Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Windows Server 2012 R2 Guia Estudio Exam
Windows Server 2012 R2 Guia Estudio Exam
Capítulo 1 Introducción
A. Introducción 12
B. Implementación de Hyper-V 17
E. El Sandbox 27
1. Configuración necesaria 27
2. La instalación de Windows Server 2012 R2 27
F. Talleres 28
1. Métodos de instalación 56
2. Requisitos previos de hardware para Windows Server 2012 R2 57
E. Introducción a PowerShell 66
1. Presentación de PowerShell 66
2. Sintaxis de los cmdlets PowerShell 66
3. Presentación de la consola PowerShell ISE 67
4. Instalar y configurar la característica DSC (Desired State Configuration) 68
F. Talleres 68
A. Introducción 98
G. Talleres 109
1. Promover un servidor utilizando IFM 109
2. Utilización de la interfaz de la papelera de reciclaje AD 116
3. Implantación de una directiva de contraseña muy específica 120
A. Introducción 132
F. Talleres 144
A. Introducción 160
D. Taller 172
1. Modificación de varios usuarios en PowerShell 172
A. Introducción 176
G. Talleres 189
A. Introducción 200
F. IPAM 216
G. Talleres 218
A. Introducción 250
F. Talleres 261
1. Configuración de un redirector condicional 261
2. Creación de una zona GlobalNames 268
A. Introducción 276
E. Talleres 284
1. Implementar un sistema GPT 284
2. Reducción de una partición 292
3. Despliegue de diferentes volúmenes 294
4. Implementar un espacio de almacenamiento redundante 303
A. Introducción 316
F. Talleres 331
A. Introducción 376
E. Talleres 395
A. Introducción 420
E. Talleres 433
E. Talleres 507
índice 533
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista teórico como práctico. Ha sido redactado por un formador
profesional reconocido, también consultor, certificado técnica y pedagógicamente por Microsoft. De
esta forma, su saber hacer pedagógico y técnico conducen a un enfoque claro y visual, de un alto
nivel técnico.
Capítulo tras capítulo, podrá validar sus conocimientos teóricos, empleando un gran número
de preguntas-respuestas (154 en total) haciendo hincapié tanto en los fundamentos como las
características específicas de los conceptos abordados..
Cada capítulo está terminado por los talleres (46 en total) tendrá los medios para medir su
autonomía. Estas operaciones concretas, llegando más allá de los objetivos fijados para el
examen, le permitirán forjar una primera experiencia significativa y adquirir verdaderas
competencias técnicas en situaciones reales. Los scritps incluidos en el libro pueden descargarse
en está página.
A este dominio del producto y sus conceptos, se añade la preparación específica para la
certificación: en el sitio www.edieni.com podrá acceder de forma gratuita a 1 examen en línea,
destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio, cada pregunta
está planteada dentro del espíritu de la certificación y, para cada una, se encuentran respuestas
suficientemente comentadas para cubrir o identificar sus lagunas.
Nicolas BONNET
Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace años.
Está certificado MCT (Microsoft Certified Trainer) y transmite al lector, a través de este libro, toda
su experiencia en las tecnologías servidor y su evolución. Sus cualidades pedagógicas conducen a
un libro verdaderamente eficaz para la preparación a este examen acerca de Windows Server
2012.R2.
Introducción
El examen 70-410 "Instalación y configuración de Windows Server 2012 R2" es el primero de los tres
exámenes obligatorios para obtener la certificación MCSA Windows Server 2012 certification. Este
examen valida sus competencias y conocimientos acerca de la puesta en marcha de una
infraestructura Windows Server 2012 R2 básica en un entorno empresarial existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales (se
proporciona la lista en el anexo) tanto desde un punto de vista teórico como práctico.
Una definición de los objetivos a alcanzar: permite definir de forma precisa las competencias
proporcionadas por el capítulo una vez validado.
Una parte teórica: permite definir los términos y conceptos abordados y esquematizar en
forma de hilo conductor los diferentes puntos a asimilar.
Los talleres (46 en total): permiten ilustrar con precisión ciertas partes del curso y le aportan
los medios para evaluar su autonomía. Estas operaciones, en particular, le permitirán forjar
una primera experiencia significativa y adquirir verdaderas competencias técnicas sobre todo
un conjunto de situaciones reales, más allá de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos se añade la preparación específica para la certificación:
en el sitio www.edieni.com podrá acceder de forma gratuita a un examen en línea, destinado a
entrenarle en condiciones similares a las de la prueba. En este sitio, cada pregunta está planteada
dentro del espíritu de la certificación y, para cada una, se encuentran respuestas suficientemente
comentadas que le permitirán cubrir o identificar sus lagunas.
Introducción
El antiguo plan de certificación permitía obtener la certificación MCITP (Microsoft Certified IT
Professional). Éstas han sido rebautizadas MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Organización de las certificaciones
El plan de estudios MCSA está compuesto por tres exámenes. El examen 70-410, que trata sobre
lainstalación y la configuración de Windows Server 2012. Se requiere aprobar, a continuación, el
segundo examen cuyo número es el 70-411. Éste trata sobre la administración de Windows Server
2012. Finalmente, para aprobar el plan de estudios, es necesario aprobar el examen 70-412. Éste
tiene por objeto la administración avanzada de Windows Server 2012.
A partir de ahora, existen varios planes de estudio MCSE (Microsoft Certified Solutions Expert).
Se deben aprobar dos exámenes para obtener esta certificación. Además del plan de estudios MCSA,
es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el examen 70-414,
Implementación de una infraestructura de servidor avanzada para validar el plan de estudios.
Este plan de estudios se compone de tres exámenes. Se deben aprobar los exámenes 70-415,
Implementación de una infraestructura de puestos de trabajo y el 70-416, Implementación de entorno
de aplicación ofimática.
Para obtener la certificación MCSE Private Cloud, se requiere aprobar los exámenes 70-246
Monitorización y uso de un cloud privado con System Center 2012 y 70-247 Configuración y
despliegue de un cloud privado con System Center 2012.
¿Cómo está organizado este libro?
Este libro le prepara para el examen 70-410 Instalación y configuración de Windows Server 2012.
Este libro está dividido en capítulos que le proporcionan el conocimiento teórico en el momento
preciso. Los talleres se presentan a los lectores permitiéndoles una puesta en práctica de los puntos
tratados en las partes teóricas.
Es preferible seguir los capítulos en su orden. En efecto, estos confieren las competencias necesarias
para aprobar el examen de forma progresiva al lector. Al final de cada capítulo, una serie de
preguntas validarán el nivel que debe ser alcanzado. Si se supera, el lector podrá pasar al siguiente
capítulo.
El primer capítulo introduce el libro y permite una mejor comprensión de la forma en la que el libro
está construido.
Los tres capítulos siguientes tratan sobre Active Directory. Los primeros puntos permiten obtener o
revisar los conceptos básicos necesarios para Active Directory. Después de haber visto las diferentes
maneras de promover un servidor a controlador de dominio (promover con IFM), se abordan las
diferentes características (papelera de reciclaje, directiva de contraseñas muy específica). Se abordan,
a su vez, los objetos Active Directory (usuario, equipo...) que es posible crear. Los talleres permiten
implementar delegaciones, la gestión de cuentas de usuario o el restablecimiento de un canal seguro.
La parte Active Directory termina con el capítulo de automatización de la administración. Los puntos
tratados son la administración por línea de comandos y mediante PowerShell.
La sección acerca de las redes se aborda posteriormente a estos capítulos. Se estudian los protocolos
IPv4 e IPv6. Se abordan la conversión binario/decimal, las direcciones privadas/públicas y el
direccionamiento IPv4. Esta sección se complementa con la implantación de subredes y los diferentes
comandos (ping, tracert e ipconfig). Finalmente, la sección sobre IPv6 (información general del
protocolo y las diferentes direcciones) completa y cierra el capítulo.
El servicio DHCP también se aborda en este libro, después de haber estudiado el funcionamiento de la
asignación de una dirección IP, así como el uso de DHCP. Las características y la gestión de la base de
datos se estudian a continuación. IPAM complementa y cierra el capítulo sobre DHCP.
Los dos capítulos siguientes tratan sobre la administración del espacio de almacenamiento y el
servidor de archivos. En el primer capítulo, se proporciona una definición de DAS (Direct Attached
Storage), NAS (Network Attached Storage) y SAN (Storage Area Network) para seguidamente estudiar la
gestión de discos y volúmenes (MBR, GPT, FAT, NTFS y ReFS) y el despliegue de un espacio de
almacenamiento. El capítulo siguiente permite comprender la gestión de los diferentes controladores,
las instantáneas y ABE (Access Based Enumeration).
Los siguientes dos capítulos tratan sobre el despliegue de directivas de grupo y la securización de
servidores empleando GPO. Los diferentes componentes y el almacenamiento de una directiva de
grupo, las preferencias, así como las GPO de inicio dan comienzo al capítulo de Implementación de
directivas de grupo. Éste se completa con el tema de su tratamiento (gestión de vínculos, orden de
aplicación y filtros de seguridad) así como la función del directorio central. El capítulo Securización del
servidor empleando GPO presenta las funcionalidades de seguridad mediante la configuración de los
parámetros, el despliegue de AppLocker y el firewall de Windows.
El capítulo decimocuarto y último del libro trata sobre las herramientas de análisis incluidas en
Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
Competencias evaluadas en el examen 70-410
Puede encontrar la tabla con las competencias evaluadas al final del libro.
1. El examen de certificación
El examen de certificación está compuesto de varias preguntas. Para cada una, se ofrecen varias
respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener una nota
de 700 para aprobar el examen.
El día indicado, contará con varias horas para responder al examen. No dude en tomarse todo el
tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es posible marcar
las preguntas para una relectura antes de terminar el examen. El resultado se emite al finalizar el
examen.
Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte ningún
capítulo y repítalo tantas veces como sea necesario. Se ofrece un examen de prueba con este libro
que le permite evaluar sus conocimientos antes de presentarse al examen.
Máquinas virtuales utilizadas
Para realizar los talleres y evitar multiplicar el número de máquinas, se instala un sistema de
virtualización. El capítulo permite la instalación del Sandbox o maqueta. Éste emplea el hipervisor de
Microsoft Hyper-V. Puede utilizar, si lo desea, su propio sistema de virtualización.
A continuación, se instalan varias máquinas virtuales que ejecutan Windows Server 2012 o Windows
8.
http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
Requisitos previos y objetivos
1. Requisitos previos
Contar con nociones sobre los sistemas de virtualización.
2. Objetivos
Presentación de la situación de virtualización Hyper-V.
Existen varios sistemas de virtualización, cada uno utiliza un disco virtual (un archivo en formato vhd,
vhdx…) así como una red virtual (interna al equipo o empleando la red física).
Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo, esta
tecnología llamada VDI (Virtual Desktop Initiative) permite la virtualización del sistema operativo pero
también de las aplicaciones. El puesto puede, entonces, ser de tipo cliente ligero o de tipo PC.
2. Virtualización de aplicaciones
La virtualización de aplicaciones engloba varios tipos de virtualización. Es posible realizar la
virtualización de aplicaciones centralizadas. El usuario ejecuta una aplicación en un puesto de
trabajo, sin embargo ésta realmente ejecutándose en un servidor remoto (solo se ejecuta el
sistema operativo en el puesto de trabajo).
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). La capacidad del procesador debe responder a las necesidades de las
máquinas virtuales. Estas últimas pueden soportar como máximo 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la asignada a las máquinas virtuales.
Durante la asignación de la memoria a las máquinas virtuales, es necesario reservar una parte para
el funcionamiento de la máquina física. Si el equipo consta de 32 GB de RAM, es aconsejable reservar
de 1 a 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de
los roles instalados en la máquina física).
Memoria RAM: se asigna una cantidad de memoria RAM a la máquina virtual. Se puede asignar
un máximo de 1 TB. A partir de Windows Server 2008 R2 SP1, es posible asignar la memoria
dinámicamente (tratado en profundidad en este capítulo).
Procesador: al igual que la memoria, es posible asignar uno o más procesadores (en función
del número de procesadores y núcleos de la máquina física). Se puede asignar un máximo de
32 procesadores a una máquina.
Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Máquina Virtual).
Cada una posee dos discos como máximo.
Controladora SCSI: añade una controladora SCSI a la máquina virtual. De esta forma es
posible añadir discos duros o lectores DVD.
Adaptador de red: por defecto no se hereda el adaptador de red de la máquina virtual, lo que
permite un mejor tráfico pero impide que la máquina realice un arranque PXE (arranque a
través de la red cargando una imagen). Para poder arrancar desde la red, es necesario
agregar un adaptador de red heredado.
Tarjeta de vídeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento gráfico
haciendo uso de DirectX.
Seleccionando una máquina virtual y después haciendo clic en Configuración, en el menú Acciones,
aparecerá la ventana de configuración.
Configuración de una máquina virtual de generación 2
Todos los componentes descritos arriba pueden configurarse durante la creación de la máquina
virtual (adaptador de red, disco duro, unidad DVD) o accediendo a la configuración del equipo virtual.
La memoria dinámica permite asignar una cantidad mínima de memoria. Sin embargo, si la máquina
virtual tiene necesidad de más memoria, está autorizada a solicitar una cantidad suplementaria
(esta última no puede exceder la cantidad máxima asignada). Esta característica se introdujo en los
sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores
mínimos y máximo de la memoria durante el arranque.
La memoria búffer es una característica que permite a la máquina virtual contar con una cantidad
adicional de memoria RAM en caso de necesidad.
La ponderación de memoria permite establecer prioridades para la memoria disponible.
VM de generación 1
Este tipo de máquina virtual proporciona las mismas ventajas que las versiones anteriores de
Hyper-V.
VM de generación 2
Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible
arrancar la máquina virtual desde una unidad conectada a un controlador SCSI.
Boot PXE con una tarjeta de red estándar: con las máquinas virtuales de 1ª generación es
necesario tener una tarjeta de red heredada para poder efectuar un arranque PXE. Microsoft
permite ahora realizar la misma operación con una tarjeta de red estándar (los rendimientos
se ven mejorados). Preste atención, sin embargo, solo las máquinas virtuales de 2ª
generación son compatibles con esta mejora.
Las máquinas virtuales de esta generación no permiten utilizar tarjetas de red heredadas o
unidades conectadas a un controlador IDE. Adicionalmente, solo están soportados los siguientes
sistemas operativos:
En las versiones anteriores de Hyper-V solo la pantalla, el ratón y el teclado estaban redirigidos. Era
entonces necesario establecer una conexión con el escritorio remoto para redirigir la impresora u
otros dispositivos. Windows Server 2012 R2 contiene ahora una herramienta de sesión mejorada, a
través del menú Ver, que permite llevar a cabo esta redirección mediante el bus (VMBus) de la
máquina virtual. Ya no es necesario establecer la conexión a través de la red para efectuar esta
operación.
Configuración de vista
Dispositivos de audio
Impresoras
Portapapeles
Tarjetas inteligentes
Dispositivos USB
Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad.
El usuario que va a efectuar la redirección debe ser miembro del grupo de usuarios del
escritorio remoto o del grupo de administradores locales en el sistema invitado.
Durante la conexión a una máquina virtual que soporte esta funcionalidad, se abre un cuadro de
diálogo que permite configurar la visualización.
También es posible configurar la redirección de recursos locales.
Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.
El disco duro de las máquinas virtuales
Un disco duro virtual es un archivo utilizado por Hyper-V para representar los discos duros físicos. De
esta forma, es posible almacenar en archivos el sistema operativo o los datos. Se puede crear un
disco duro empleando:
Con la llegada de la nueva versión de Hyper-V, incluida en Windows Server 2012, se emplea un nuevo
formato VHDX.
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD (Virtual
Hard Disk). Con este formato, el tamaño de los archivos ya no está limitado a 2 TB, cada disco duro
virtual puede tener un tamaño máximo de 64 TB. El formato VHDX es menos sensible a la corrupción
de archivos por un cierre inesperado (por un corte de luz por ejemplo) del servidor. Es posible
convertir los archivos VHD existentes en VHDX (este punto se aborda en profundidad en este
capítulo).
A partir de Windows Server 2012, el almacenamiento de discos duros virtuales puede realizarse en
particiones de archivos SMB 3. Del mismo modo, es posible especificar un recurso compartido local
durante la creación de una máquina virtual Hyper-V.
Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de discos,
incluyendo discos de tamaño fijo, dinámico y de acceso directo ”pass-through”. Al crear un disco
virtual de tamaño fijo se reserva el tamaño total del archivo en el disco. De esta forma, se puede
limitar la fragmentación del disco duro de la máquina host y mejorar su rendimiento. Sin embargo,
este tipo de disco presenta el inconveniente de consumir espacio en disco incluso si el archivo VHD
no contiene datos.
Un disco de tamaño dinámico, posee un tamaño máximo de archivo, sin embargo el tamaño de
archivo aumenta en función del contenido hasta alcanzar su tamaño máximo. Al crear un archivo VHD
dinámico, éste tendrá un tamaño de 260 KB, en comparación con los 4096 KB para un formato VHDX.
Es posible crear un archivo VHD empleando el cmdlet PowerShell New-VHD con el parámetro -
Dynamic.
El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder
directamente a un disco físico. El sistema operativo de la máquina virtual considera el disco como
interno. Esto puede ser útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI.
Sin embargo, esta solución requiere un acceso exclusivo de la máquina virtual al disco físico
empleado. El disco deberá quedar operativo mediante la consola de Administración de discos en el
equipo host.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales,
opción Editar disco… en el panel Acciones. La ventana proporciona acceso a varias opciones.
También es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar la
compresión de un disco duro virtual dinámico.
El tamaño necesario para el almacenamiento de las máquinas virtuales se ve así reducido. Tenga en
cuenta que la modificación de un disco principal causará la pérdida de los enlaces al disco duro de
diferenciación. Será entonces necesario volver a conectar los discos de diferenciación utilizando la
opción Inspeccionar disco… en el panel Acciones.
Cada máquina puede tener varios puntos de control. Si el punto de control se crea cuando la
máquina está arran-cada, contendrá el contenido de la memoria RAM. Si se usa un punto de control
para revertir a un estado anterior es posible que la máquina virtual no pueda conectarse al dominio.
En efecto, se realiza un intercambio entre un controlador de dominio y una máquina unida al
dominio. Al restaurar una máquina, este intercambio (contraseña) también se restaura. Sin
embargo, la contraseña restaurada no sigue siendo válida, rompiendo el canal seguro. Es posible
reinicializarlo efectuando nuevamente la operación de unirse al dominio o utilizando el comando
netdom resetpwd.
Tenga cuidado, esta funcionalidad no reemplaza en ningún caso a las copias de seguridad, ya que
los archivos avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En caso de
fallo del disco, todos los archivos se perderán y será imposible restaurarlos.
Al utilizar discos de diferenciación, cada uno contiene los datos agregados desde el último punto de
control efectuado.
Gestión de redes virtuales
Se puede crear y utilizar varios tipos de redes en una máquina virtual. Esto con el fin de permitir a las
diferentes máquinas comunicarse entre ellas o con equipos externos a la máquina host (router,
servidores…).
Las máquinas están conectadas a sus redes mediante conmutadores virtuales (vswitch). Un
conmutador virtual se corresponde con un conmutador físico como el que podemos encontrar en
cualquier red informática. Conocido como red virtual en Windows Server 2008, ahora en Windows
Server 2012 R2 hablamos de conmutador virtual. Es posible gestionar estos últimos empleando la
opción Administrador de conmutadores virtuales en el panel Acciones.
Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la
máquina host desde la máquina virtual. De esta forma, la última tiene una conexión a la red
física, permitiéndole acceder a los equipos o servidores de la red física.
Interno: permite la creación de una red entre la máquina física y las máquinas virtuales. Es
imposible para las máquinas de la red física comunicar con las máquinas virtuales.
Una vez creado, es conveniente vincular el adaptador de red de la máquina virtual con el conmutador
deseado.
El Sandbox
El ”Sandbox” consiste en la creación de un entorno virtual o físico de pruebas que permita realizar las
pruebas sin perturbar las máquinas o servidores de producción.
La virtualización permite disminuir el número de máquinas físicas necesarias. Todas las máquinas
virtuales funcionan en una misma máquina física. Sin embargo, será necesario contar con una
cantidad de memoria y espacio en disco suficientes.
1. Configuración necesaria
Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales, como
por ejemplo una máquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El sistema
operativo será Windows Server 2012 R2.
Si su configuración es inferior a ésta, bastará con arrancar solamente las máquinas necesarias. Es
aconsejable reservar un mínimo de 1 GB para la máquina host, dejando 5 GB para el conjunto de las
máquinas virtuales.
Memoria RAM: 512 MB como mínimo, sin embargo un servidor equipado con 1024 MB parece
el mínimo indispensable.
Espacio en disco: una instalación base sin ningún rol necesita un espacio en disco de 15 GB.
Será necesario prever un espacio mayor o menor en función de los roles del servidor.
Una instalación completa: se instala una interfaz gráfica que permite administrar el servidor
de forma gráfica o por línea de comandos.
Una instalación mínima: se instala el sistema operativo, sin embargo no está presente
ninguna interfaz gráfica. Solo se cuenta con un símbolo de sistema, la instalación de roles,
características o la administración diaria se realizan por línea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server
Administration Tools) en un puesto remoto.
Una vez terminada la instalación del servidor, se requiere configurar el nombre del servidor y su
configuración IP.
Talleres
Esta sección sigue con la implementación de la maqueta con el objetivo de familiarizarle con Hyper-V.
De esta forma podrá crear las máquinas virtuales para proceder a su instalación y configuración.
Ahora podemos utilizar el conmutador virtual para las máquinas alojadas en este servidor.
Creación de las máquinas virtuales
Una vez instalado el sistema operativo en la máquina física, la etapa siguiente consiste en la
instalación del rol Hyper-V y luego la creación, instalación y configuración de las diferentes máquinas
virtuales.
Al ser Hyper-V un rol, marque la opción por defecto Instalación basada en características o en
roles y luego haga clic en Siguiente.
En la ventana Seleccionar servidor de destino, haga clic en Siguiente.
Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
características.
Es necesario crear un conmutador virtual. Haga clic en el adaptador de red para establecer un
puente entre la red física y la máquina virtual.
Si no desea utilizar el adaptador de red físico, será necesario crear un conmutador virtual antes
de volver a arrancar el servidor.
Haga clic tres veces en Siguiente y, a continuación, en Instalar.
Es posible descargar el archivo ISO de la versión de evaluación de Windows Server 2012 R2 del sitio
web siguiente: http://technet.microsoft.com/es-es/evalcenter/dn205286.aspx
a. Creación y configuración de la VM
En la consola Hyper-V, haga clic en Nuevo en el menú Acciones y luego en Máquina virtual.
En la ventana Antes de comenzar, haga clic en Siguiente.
Conecte la máquina virtual al archivo ISO o al DVD de Windows Server 2012 R2.
En la ventana resumen, haga clic en Finalizar.
El disco duro de la máquina se crea, pero en blanco, es necesario particionarlo e instalar el sistema
operativo.
Haga doble clic en la máquina virtual en la consola Hyper-V y luego haga clic en el
botónIniciar (botón verde).
La máquina arranca y se inicia la instalación de Windows Server 2012 R2.
Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por
defecto).
c. Configuración post-instalación
Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidos y
luego haga clic en Abrir.
El procedimiento a seguir será el mismo, siguiendo los parámetros detallados para las máquinas
virtuales siguientes.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única
partición.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única
partición.
La cantidad de memoria asignada es de 1024 MB, el disco virtual de 30 GB particionado en una única
partición.
Haga un clic con el botón derecho en la máquina virtual y luego seleccione Punto de control.
Muy útil para las cloud públicas, la característica permite garantizar que la máquina virtual de un
cliente no impacta en el rendimiento de lectura/escritura de otro cliente.
Cada disco duro virtual puede tener un valor máximo IOPS (Input/output Operations Per Second -
operaciones de escritura por segundo).
Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS máximo
definido para los discos duros virtuales.
La QoS a nivel de almacenamiento requiere el rol Hyper-V. Durante la instalación del rol, la caracte-
rística se habilita automáticamente. Sin embargo no es posible emplearla con discos duros virtuales
compartidos.
En el Administrador de Hyper-V, haga clic con el botón derecho en la máquina virtual deseada y
luego seleccione Configuración.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus
ventajas?
8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 8 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿En qué consiste la virtualización de aplicaciones?
La virtualización de aplicaciones consiste en ejecutar, por parte del usuario, aplicaciones que no se
encuentran en el puesto de trabajo sino en un servidor. Esto permite facilitar la administración de
las aplicaciones, las cuales estarán agrupadas en un único equipo.
La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address
Translation). También es necesario que la cantidad de memoria sea superior a la asignada a las
máquinas virtuales.
La memoria dinámica es una característica aparecida con el SP1 de Windows Server 2008 R2. Ésta
permite asignar una cantidad mínima de memoria a una máquina virtual. Ésta puede, en caso
necesario, solicitar más memoria adicional, sin embargo no puede exceder la cantidad máxima.
4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus
ventajas?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de disco duro. El
formato VHDX proporciona ciertas ventajas. El tamaño del archivo puede, ahora, tener un tamaño
máximo de 64 TB y resuelve el problema de la corrupción de archivos tras un error no esperado.
Los discos de tamaño fijo: el tamaño total del archivo se reserva en el disco, este tipo de
disco permite limitar la fragmentación del archivo. Tiene sin embargo el inconveniente de
consumir el espacio en disco incluso si el archivo está vacío.
Un punto de control permite capturar el estado de una máquina virtual en un momento dado, con
el fin de poder restaurar el estado de la instantánea.
Externo: se crea un puente entre la interfaz de red de la máquina física y la interfaz de red
virtual. De esta forma la VM tiene la posibilidad de acceder a la red física.
Interno: este tipo de conmutador permite a las máquinas virtuales comunicarse con la
máquina host. Por el contrario, les es imposible acceder a la red física.
8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2?
Las máquinas virtuales de generación 2 aportan la posibilidad de arrancar desde una unidad SCSI y
también de realizar un arranque PXE desde una tarjeta de red estándar.
9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2?
Solo los sistemas operativos Windows Server 2012, Windows Server 2012 R2, Windows 8 y
Windows 8.1 son compatibles con las máquinas virtuales de generación 2. Los sistemas operativos
anteriores deberán instalarse en una máquina virtual de generación 1.
Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una
conexión de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la máquina
virtual. Este modo de sesión mejorada permite, en lo sucesivo, redirigir los periféricos sin tener que
pasar por la red y el cliente de escritorio remoto.
La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos
duros virtuales de las VM. Se configura un umbral mínimo y máximo de operaciones por segundo
para garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Presentación de Windows Server 2012 R2.
Edición Standard: esta edición incluye todos los roles y características. Soporta hasta 4 TB de
memoria RAM e incluye dos licencias para dos máquinas virtuales.
Edición Datacenter: esta edición incluye todos los roles y características. Permite instalar un
número ilimitado de máquinas virtuales y soporta un procesador con hasta 640 núcleos y 4 TB
de memoria RAM.
Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios, incluye
un número limitado de roles y no puede unirse a un dominio. Soporta un procesador con un
solo núcleo y hasta 32 GB de memoria RAM.
Edición Essentials: esta edición reemplaza a las versiones Small Business Server. Puede
actuar como servidor raíz en un dominio pero no puede poseer los roles Hyper-V, clúster de
conmutación o servidor Core. Esta edición limita el número de usuarios a 25, la cantidad de
memoria RAM no puede exceder 64 GB.
El servidor Core es uno de los métodos de instalación disponibles a partir de Windows Server 2008.
Solo se puede administrar un servidor instalado en modo Core empleando comandos PowerShell o
comandos DOS. De hecho este tipo de instalación está desprovisto de interfaz gráfica, reduciendo
de esta forma el número de actualizaciones requeridas y los recursos hardware necesarios. La
cantidad de memoria RAM o el espacio en disco son menores comparados con una instalación
completa. A partir de Windows Server 2012 es posible pasar de un modo de instalación al otro
eliminando o agregando la característica que proporciona la interfaz gráfica (esta operación era
imposible de realizar en los sistemas operativos precedentes).
PowerShell: ejecuta una sesión PowerShell con el fin de poder ejecutar los comandos.
Sconfig.cmd: menú por línea de comandos que permite efectuar las tareas de administración
en el servidor.
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una empresa.
El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory, que
tiene por objetivo la autenticación de las cuentas de usuario y de equipo en un dominio Active
Directory.
AD CS (Active Directory Certificate Services) permite instalar una entidad de certificación, que
tiene por objetivo entregar y administrar certificados digitales.
Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un
acceso autenticado a un recurso web.
Proxy FSP: permite recopilar información de autenticación del usuario desde un navegador
o una aplicación web.
Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Se despliega un
mecanismo de protección contra usos no autorizados. Los usuarios se identifican y se les
asigna una licencia para la información protegida. De este modo resulta más sencillo prohibir
a un usuario realizar una copia de un documento en una llave USB o imprimir un archivo
confidencial. Durante la instalación del rol es posible instalar dos servicios de rol:
Acceso a red COM+: utilización del protocolo COM+ para comunicación remota.
Uso compartido de puertos TCP: permite a varias aplicaciones gestionar el mismo puerto.
Puesta en marcha del servidor Web (IIS): instala el servicio Web (IIS).
Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System)
que permiten, respectivamente, la distribución de configuraciones de red a los equipos cliente
y la resolución de nombres en direcciones IP (o viceversa).
Existen otros roles disponibles en Windows Server 2012 R2, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
3. Presentación de las principales características
Una característica aporta herramientas adicionales al sistema operativo. Al igual que para un rol,
una característica puede instalarse de forma manual o automática.
El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en
caso de pérdida o robo del equipo. Se requiere la presencia de una tarjeta TPM en la máquina
para una verificación del sistema de propagación.
El clúster de conmutación por error permite a los servidores funcionar conjuntamente, para
proporcionar alta disponibilidad. En caso de fallo de uno de los servidores, los otros
garantizan la continuidad del servicio.
El equilibrio de carga de red realiza una distribución del tráfico para evitar la saturación de
uno de los servidores.
Al igual que los roles, las características pueden instalarse con la consola Administrador del servidor
o mediante PowerShell.
Información general de la administración de Windows
Server 2012 R2
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de
administración. Es posible arrancarlas desde la consola Administrador del servidor.
La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde
Windows Server 2008 y Windows Server 2008 R2, ha sufrido un enorme cambio en Windows Server
2012.
Permite añadir o eliminar roles e igualmente la gestión de PC remotos. Se pueden instalar roles y
características empleando el protocolo WinRM. Se puede configurar igualmente un grupo de
servidores por medio de esta consola, para poder administrar varios servidores desde una misma
consola.
La gestión del servidor local se hace también mediante esta consola. Se puede modificar cierta
información muy rápidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece la máquina. También se puede gestionar la configuración del escritorio
remoto o la administración remota.
La característica Configuración de seguridad mejorada de Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Esta opción se encuentra habilitada por
defecto.
De igual forma, el panel permite verificar rápidamente que no existe ningún problema en el servidor.
Así, podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de
almacenamientofuncionan correctamente. Servidor local y Todos los servidores (que por el
momento solo incluye al Servidor local) están igualmente presentes.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las
categorías está precedida por una cifra el administrador sabe que existen eventos pendientes de
visualizar.
Haciendo clic en la categoría se muestra una ventana que contiene los detalles del evento.
Así, es posible intervenir en un problema (reiniciar un servicio...) muy rápidamente. Adicionalmente, el
aspecto visual proporciona una vista inmediata del estado de salud del servidor o servidores.
Instalación de Windows Server 2012 R2
Antes de realizar la instalación de Windows Server 2012 R2 conviene verificar que el hardware
respeta los requisitos previos exigidos por el fabricante. Adicionalmente, se debe hacer una elección:
la instalación completa que incluye la interfaz gráfica o una instalación mínima sin interfaz gráfica.
1. Métodos de instalación
Para instalar Windows Server 2012 R2, pueden usarse varios métodos:
El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de
instalación es mucho más larga que el uso de un medio USB y presenta el inconveniente de
no poder modificar la imagen (sin cambiar el medio).
El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo
software o un controlador) sin tener que volver a crear el medio. Se puede usar un archivo de
respuestas para automatizar las etapas de la instalación. Esto requiere sin embargo
permisos de administración para algunas etapas.
Una nueva instalación consiste en instalar el sistema operativo en un disco o volumen nuevo.
Una actualización permite conservar los archivos y aplicaciones. Esta operación se puede
realizar desde Windows Server 2008 R2 SP1 o Windows Server 2012. Sin embargo se debe
tener cuidado, la edición debe ser equivalente o superior.
La migración, que es útil al pasar de Windows Server 2003 o Windows Server 2003 R2 a
Windows Server 2012 R2.
Es necesario garantizar antes de la instalación que se tiene, como mínimo, un procesador con una
arquitectura de 64 bits, el cual debe tener una velocidad mínima de 1,4 GHz. El servidor debe tener
512 MB de memoria RAM y 32 GB de espacio en disco.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Configuración del sistema operativo después de su
instalación
A partir de Windows Server 2008, se ha reducido el número de parámetros a configurar durante la
instalación. Ya no es posible configurar la red, el nombre del equipo o la adhesión a un dominio
durante la instalación. Es posible automatizar la configuración de estos parámetros utilizando un
archivo de respuestas). El único parámetro a introducir es la contraseña de la cuenta del
administrador local del servidor.
Estas operaciones deben realizarse después de la instalación. Para ello hay que usar el
nodoServidor local de la consola Administrador del servidor.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática. Estas
concesiones DHCP tienen una duración limitada en el tiempo y contienen toda la configuración IP
(dirección IP, máscara de subred, etc.) necesaria para que la máquina se comunique en la red.
También es posible asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la
consola Administrador del servidor (nodo Servidor local).
También es posible realizar la configuración por línea de comando DOS. El comando netsh permite
realizar esta operación.
La formación de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta
característica permite utilizar una dirección IP en varios adaptadores de red, la conexión se
mantiene de esta forma incluso si una de las tarjetas de red sufre algún problema. No es necesario,
en ningún caso, contar con adaptadores de red idénticos para instalar la formación de equipos de
NIC.
Una vez abierta la conexión a la máquina virtual, haga clic en Archivo y luego
enConfiguración...
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic en el enlace Deshabilitado al lado de Formación de equipos de NIC.
Haga clic con el botón derecho y luego, en el menú contextual, seleccione Agregar a nuevo
equipo.
En el campo Nombre del equipo, introduzca Equipo 1.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz continúa con la
comunicación. Adicionalmente, el conjunto de adaptadores comparten la misma configuración de red.
2. Unirse a un dominio sin conexión
La unión a un dominio sin conexión permite a un equipo unirse a un dominio. Incluso sin que se
encuentre conectado. Para realizar esta operación es preciso utilizar el comando djoin.exe. En
primer lugar será necesario ejecutar, en el controlador de dominio, el comando djoin con la
opción/provision.
El archivo Union.txt contiene toda la información necesaria para unirse al dominio. Puede copiarlo al
equipo. Utilice, una vez más, el comando djoin y el parámetro /requestODJ.
Por último, reinicie el equipo para terminar la operación de unión al dominio (en un entorno de
producción, la última operación se validará durante la próxima conexión del equipo a la red
empresarial).
Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor Core.
Introducción a PowerShell
PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas de
administración.
1. Presentación de PowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administración de
servidores y redes informáticas. Estos scripts permiten automatizar las tareas (creación de usuarios,
etc.). El lenguaje está compuesto por cmdlets que se ejecutan desde un símbolo del sistema
PowerShell. Muchos productos de Microsoft utilizan scripts de PowerShell mediante interfaces
gráficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los asistentes en MDT 2010 y MDT 2012
muestran el script PowerShell empleado. Ciertos roles como Hyper-V pueden gestionarse empleando
comandos PowerShell.
Las funciones básicas pueden extenderse agregando módulos (módulo Active-Directory, etc.), lo que
permite la administración del rol en línea de comandos.
Import-Module NombreModulo
Get
New
Set
Restart
Resume
Remove
Add
Show
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2.
Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Para facilitar su mantenimiento,
se emplea un código de colores al igual que en una herramienta de depuración.
Finalmente, se pueden visualizar los diferentes cmdlets por módulo, esto permite saber que módulo
cargar.
DSC proporciona a PowerShell nuevos cmdlets así como recursos que permiten realizar la definición
de un entorno deseado. Adicionalmente, es posible efectuar la gestión y el mantenimiento de las
configuraciones existentes.
Se ha incluido una nueva palabra clave Configuration en PowerShell. Se utiliza para definir un
bloque dentro de un script. Estará seguida por un identificador y corchetes, que permiten delimitar el
bloque. Éste contendrá la configuración deseada.
Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr].
Después de algunas búsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre
es FORMACION.
Haga clic en Siguiente después de haber verificado los parámetros en la ventana Revisar
opciones.
Haga clic en Instalar para iniciar la instalación de Active Directory y promover el servidor. Al
terminar la instalación, el servidor reinicia.
Después del reinicio, abra una sesión como administrador y verifique el nombre usando el
comando hostname.
Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora.
Introduzca el índice del adaptador de red deseado y luego pulse la tecla [Intro].
Haga clic en Aceptar en la ventana Configuración de red y luego pulse [Intro] sin introducir
ningún valor para volver al menú.
Seleccione la opción 4) Regresar al menú principal.
Salga del menú sconfig seleccionando la opción 15) Salir a la línea de comandos.
3. Administración de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalará un rol en uno de los
servidores del grupo.
Abra una sesión en AD1 y luego ejecute la consola Administrador del servidor.
Seleccione SVCore como servidor de destino de la instalación del rol y luego haga clic
enSiguiente.
Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion.
Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows PowerShell.
Introduzca Get-NetIPAddress | Format-table, para obtener una tabla con las direcciones IPv4 e
IPv6 del servidor consultado.
De esta forma es muy sencillo instalar un rol o una característica, y también realizar la administración
de un servidor local o remoto.
Sitúe el ratón en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz
Windows. Haga clic con el botón derecho en la miniatura y seleccione Ejecutar.
Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.
Active los adaptadores de red y luego abra una sesión como administrador del dominio.
SV1 será miembro del dominio, la unión al dominio sin conexión ha funcionado.
Abra un símbolo del sistema DOS y, a continuación, introduzca el comando dism /get-imageinfo
/imagefile:c:\imagewim\install.wim
Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim.
Para ello, se recupera la imagen de la edición Datacenter con interfaz gráfica. El siguiente comando
indica que la imagen deseada tiene asignado el número 4. El archivo install.wim contiene cuatro
archivos install.wim (uno por edición).
No acceda a la carpeta Montar porque esto causará que la imagen no pueda ser desmontada
(recomprimida en el archivo wim).
El servidor Core no tiene los recursos necesarios para la instalación de la interfaz gráfica, nos basa-
remos en primera instancia en el archivo install.wim presente en el DVD.
Abra una sesión en SVCore como administrador y luego conecte la imagen ISO de Windows
Server 2012 R2.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexión.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de
forma remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y característica
de forma remota.
Empleando un código de color (rojo, blanco) es, en adelante, muy fácil distinguir si existe un
problema en el servidor. Adicionalmente, el panel proporciona la posibilidad de intentar resolver el
problema (por ejemplo: iniciar o detener el servicio que está detenido).
3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar Windows
Server 2012 R2 en modo completo (interfaz gráfica presente en el servidor) o en modo instalación
mínima (sin interfaz gráfica).
Con este tipo de instalación, es posible utilizar un hardware más antiguo. Adicionalmente, menos
servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un
hacker, e igualmente el número de actualizaciones a instalar. A partir de Windows Server 2012, es
posible pasar de un tipo de instalación al otro.
5 Nombre algunos roles y características presentes en Windows Server 2012 R2.
Los roles, aparecidos con Windows Server 2008, proporcionan funciones suplementarias al
servidor. Podemos encontrar los siguientes roles Servidor de aplicaciones, DNS (Domain Name
System), DHCP (Dynamic Host Configuration Protocol), AD DS (Active Directory Domain Services),
AD CS (Active Directory Certificate Services), AD FS (Active Directory Federation Service), AD RMS
(Active Directory Rights Management Services)…
El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que
tiene como función la gestión de certificados digitales.
Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como
mínimo) con la misma configuración IP. Esto permite, de forma muy simple, contar con una mayor
redundancia en caso de fallo de uno de los adaptadores.
9 Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo) unirse a
un dominio sin conexión.
El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. Debe ejecutarse con
permisos de administrador en el controlador de dominio, con el objetivo de poder crear el archivo
necesario para la operación. A continuación, se utilizará el ejecutable en el equipo que se unirá al
dominio.
10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un
dominio?
El archivo utilizado por el comando djoin es de tipo txt, contiene la información necesaria para
unirse al dominio AD.
Un servidor en modo instalación Core puede administrarse por línea de comandos. Ciertos
elementos (IP, etc.) pueden configurarse mediante una interfaz de configuración. Es posible
mostrarla utilizando el comando sconfig.
Esta consola facilita la creación de scripts o el uso de PowerShell. Permite igualmente visualizar los
diferentes módulos y sus cmdlets.
1. Requisitos previos
Poseer conocimientos de Active Directory.
2. Objetivos
Definición del directorio Active Directory.
Los componentes físicos van a englobar varios elementos clave en un dominio Active Directory. Estos
últimos pueden ser hardware o software:
El controlador de dominio, que contiene una copia de la base de datos Active Directory.
El servidor de directorio global, que contiene una copia parcial de los atributos (nombre,
nombre de pila, dirección del usuario…) y objetos del bosque. Permite realizar búsquedas
rápidas sobre los atributos de algún objeto de un dominio diferente al del bosque.
Todos los componentes funcionan con componentes lógicos, los cuales permiten la puesta en marcha
de la estructura de Active Directory deseada.
Las particiones, que son selecciones de la base de datos de Active Directory. Así, podremos
encontrar la partición de configuración, la partición de dominio, la partición DNS…
El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden
ser creados en Active Directory.
El dominio, que permite poner en marcha un límite administrativo para los objetos usuarios y
equipos.
El sitio de Active Directory, que permite dividir un dominio en varias partes, para así limitar y
controlar la replicación entre dos sitios remotos.
La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar
una delegación.
La cuenta de usuario, que permite efectuar una autenticación y autorizar los accesos a los
diferentes recursos compartidos. Corresponde a una persona física o una aplicación.
La cuenta de equipo, que permite autenticar la máquina en la que el usuario inicia una
sesión.
Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo
de autorizar el acceso a un recurso, implementar una delegación…
De esta forma las OU representan una jerarquía lógica en el dominio Active Directory (se las puede
anidar, entonces hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad
organizativa por ciudad (Alicante, Madrid...) o por tipo de objeto (usuario, equipo...). Durante la
creación del dominio se encuentran presentes las carpetas de sistema y unidades organizativas
predeterminadas:
Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos últimos comparten un espacio de nombres contiguo. La relación
entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un
espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite la
autenticación de una entidad (persona física de la empresa...) se define por cada dominio. Este
último contiene al menos un controlador de dominio, siendo dos lo recomendable en términos de
alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios
y equipos en un dominio AD.
Partición de dominio: contiene la información de los diferentes objetos que se han creado en
el dominio (atributos de cuentas usuario y equipo…).
Partición de configuración: en esta partición está descrita la topología del directorio (lista
completa de dominios, arborescencias).
Partición de esquema: contiene todos los atributos y clases de todos los objetos que es
posible crear.
Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Este último es el
único que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar esta
operación, es necesario que la cuenta empleada sea miembro del grupo Administradores de
esquema. Los otros servidores solo tienen un acceso de lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se
encuentra únicamente en un único controlador de dominio del bosque. El Maestro de nomenclatura
de dominios es necesario al añadir o eliminar un dominio del bosque. Se contacta este servidor para
garantizar la coherencia de los nombres de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC están
presentes en cada dominio del bosque.
Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del dominio
para crear el SID (identificador de seguridad) del objeto. Es mediante este identificador como se
reconoce un objeto.
Los sitios Active Directory permiten definir fronteras de replicación, lo cual permite ahorrar ancho de
banda en la línea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesión, se utilizan los controladores de dominio Active
Directory a los que está conectado. Sin embargo, si la autenticación no puede realizarse en éstos, la
operación se ejecuta en otro sitio.
La replicación inter-sitio permite garantizar la transmisión de una modificación a uno o varios sitios.
Para ello, conviene utilizar un objeto de conexión de tipo unidireccional (solo de entrada). Mediante
estas rutas de replicación, la topología se creará automáticamente. Esta última garantiza la
verificación de la coherencia de los datos (KCC - Knowledge Consistency Checker). De esta forma
garantizamos la continuidad de servicio a nivel de replicación en caso de una avería en uno de los
controladores de dominio. Sin embargo, es imposible realizar más de tres saltos entre dos
controladores de dominio.
Información general de un controlador de dominio
El controlador de dominio es uno de los servidores más sensibles en un dominio Active Directory.
Conviene tomar precauciones adecuadas al instalar el servidor.
La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de grupo. A
diferencia de la base de datos, la replicación de la carpeta sysvol se efectúa utilizando el servicio de
replicación de archivos (FRS) o más recientemente mediante el sistema DFS (Distributed File System).
En un dominio es necesario contar con al menos un servidor que tenga el rol de catálogo global así
como dos controladores de dominio por dominio. Los sitios remotos que cuenten con un número muy
restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller - Controlador
de dominio de solo lectura).
El catálogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos
que son susceptibles de ser utilizados por las búsquedas inter-dominio (nombre, apellidos...). En un
bosque compuesto de varios dominios, los servidores con el rol de Maestro de infraestructura no
deben ser también catálogo global.
Como hemos visto en el taller del capítulo precedente, es necesario instalar el rol Servicios de
dominio de Active Directory.
El comando dcpromo solo puede utilizarse por línea de comandos. Después de haber instalado el rol
en un servidor con interfaz gráfica, es necesario iniciar el asistente para promover el servidor. Este
último ofrece la posibilidad de crear un nuevo bosque, de agregar un nuevo dominio o de agregar un
controlador de dominio suplementario.
Para obtener más información sobre las diferentes opciones, puede consultar la página
Technet que se encuentra en: http://technet.microsoft.com/es-
es/library/cc732887(v=ws.10).aspx
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada papelera de
reciclaje de Active Directory. Esta última permite efectuar la restauración de un objeto eliminado del
directorio al igual que sus atributos.
Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y
activar la funcionalidad desde el Centro de administración de Active Directory. Todas las operaciones
se realizarán, en adelante, empleando una interfaz gráfica en lugar de PowerShell.
La directiva de contraseña muy específicas
Un dominio incluye una directiva de seguridad (contraseñas y bloqueos). Puede ser necesario
implantar una directiva de contraseña diferente, más o menos estricta en función de las cuentas
afectadas (cuenta de servicio, cuenta de administrador...). Para esto, antes de Windows Server 2008,
era necesario implantar varias directivas de grupo.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creación de
directivas de contraseña muy específicas. Esto permite a una empresa definir varias directivas de
contraseña o de bloqueo. Éstas se atribuyen, a continuación, a un usuario o a un grupo de seguridad
global. El sistema operativo utilizado en el controlador de dominio deberá ser por lo menos Windows
Server 2008. El nivel funcional deberá estar, a su vez, configurado a nivel Windows Server 2008. La
operación debe realizarla un administrador de dominio, sin embargo es posible implementar una
delegación para un usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema:
El objeto PSO (Password Settings Object): ubicado en el contenedor PSC, posee los
atributos de todos los parámetros de una directiva de dominio predeterminada (sin parámetros
Kerberos).
Histórico de contraseñas.
Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra
vinculada esta directiva.
Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación de
varias PSO a un objeto.
Un objeto PSO posee el atributo msDS-PSOAppliesTo. Éste permite implementar un vínculo entre los
objetos de usuario o grupo y el objeto PSO. De esta forma el objeto que la recibe ve configurado su
atributo msDS-PSOAppliced, que permite el vínculo de retorno a la directiva.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una novedad
con la gestión y la creación de las directivas de contraseña muy específicas.
En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas directivas pero,
sobre todo, para visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de
administración de Active Directory. Esta consola permite en adelante la visualización de la directiva
resultante de un usuario.
Talleres
Los talleres siguientes le permitirán promover un controlador de dominio utilizando el método IFM. Se
tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contraseña
muy específicas.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil.
Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creación del
archivo de medios.
Haga clic con el botón derecho en el botón Inicio y, a continuación, en el menú contextual,
seleccione la opción Ejecutar.
Introduzca en el menú Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor AD1.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic en Agregar
roles y características.
Se inicia el asistente; haga clic en Siguiente.
En la ventana Seleccionar tipo de instalación, deje la opción predeterminada y luego haga clic
en Siguiente.
Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del
bosque.
Inicie la consola Centro de administración de Active Directory desde las Herramientas
administrativas ubicadas en la pantalla Inicio.
Cree la unidad organizativa Form, los grupos Formadores y Alumnos y los usuarios de
prueba (Nicolas BONNET, Alumno 1, Alumno 2 y Alumno 3).
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno
son miembros del grupo Alumnos.
Elimine los grupos y cuentas de usuario para enviarlas a la papelera de reciclaje.
En la consola Centro de administración de Active Directory, haga doble clic en Deleted Objects.
En el panel de la derecha, haga doble clic en la raíz del dominio Formacion (local).
Modifique el valor de la vigencia máxima de contraseñas para que sea igual a 90 días.
Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad organizativa Form.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuración de contraseña
resultante.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012 R2?
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta
solución.
16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 13 puntos para
aprobar el capítulo.
3. Respuestas
1 Enumere los componentes físicos y lógicos de un dominio Active Directory.
Un dominio Active Directory es una agrupación de objetos (usuarios, equipos o grupos...). Al ser
creados, todos estos objetos se almacenan en una base de datos. Permiten la autenticación
(objetos usuario y equipo) o simplemente la agrupación de un conjunto de objetos (grupo). Los
grupos se utilizan para proporcionar autorización a un recurso.
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo (extender el
esquema), es necesario ejecutar el comando Adprep. Éste se ejecuta al migrar un servidor o al
instalar el primer servidor Exchange…
4 Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es necesario
actualizar el esquema para la migración a Windows Server 2012 R2?
No, a partir de Windows Server 2012 ya no es necesario efectuar esta operación. La etapa de
actualización se realiza automáticamente (si es necesaria) al promover el nuevo controlador de
dominio.
La base de datos Active Directory se compone de varias particiones. Podemos encontrar la partición
de dominio, que contiene el conjunto de objetos creados en el dominio, la partición de
configuración, que contiene la topología del directorio (lista completa de los dominios,
arborescencias y bosque). Encontramos de igual manera la partición del esquema, que contiene
todos los atributos y clases de un objeto. Finalmente la partición DNS, que contiene el conjunto de
zonas DNS integradas en Active Directory.
Un servidor con el rol catálogo global posee una base de datos de todos los objetos presentes en el
bosque así como algunos de sus atributos. Este tipo de servidor facilita la búsqueda de objetos.
8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo, si el dominio
solo cuenta con un controlador de dominio, es posible (solo en este caso) albergar el Maestro de
infraestructura en el servidor con el catálogo global.
9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio?
Existen dos posibilidades: la instalación y configuración del rol de forma remota empleando la
consola Administrador del servidor o el empleo del comando dcpromo en local en el servidor. El
comando necesita que se informen las distintas opciones. Se puede utilizar un archivo de
respuestas para automatizar la operación.
Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el único poseedor de estos permisos.
Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.
Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de ahorrar ancho
de banda de la línea que conecta dos sitios remotos.
No, a partir de Windows Server 2012 este comando solo puede utilizarse por línea de comandos.
Para promover un controlador de dominio, es necesario instalar el rol Servicios de directorio Active
Directory.
13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta
solución.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. El
archivo de medios contiene todos los datos (objetos, carpeta SYSVOL...) necesarios para promover
un nuevo servidor, de esta forma este último no tiene más que replicar los cambios de los objetos
creados después de la creación del archivo de medios. Esto permite evitar sobrecargar la línea de
comunicación durante la primera replicación.
A diferencia de Windows Server 2008 R2, que utilizaba PowerShell y la consola de modificación
ADSI para gestionar la papelera de reciclaje y la directiva de contraseña muy específica, a partir de
Windows Server 2012 es posible utilizar la consola Centro de administración de Active Directory. La
administración de estas dos características se realiza en adelante de forma gráfica.
16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD?
Para esto es necesario utilizar la directiva de contraseña muy específica que permite crear y asignar
varias directivas de seguridad.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de la creación y administración de cuentas de equipo.
2. Objetivos
Información general de las consolas Active Directory.
Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así como la
topología de red. La gestión de las relaciones de confianza y del nivel funcional del bosque se realiza
mediante la consola Dominios y confianzas de Active Directory. Por último, la consola Esquema de
Active Directory permite administrar el esquema de Active Directory. Esta consola solo está
disponible si se ha ejecutado el comando regsvr32 schmmgmt.dll al menos una vez, y permite definir
la librería en el registro de Windows.
Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1)
después de descargar e instalar el archivo RSAT (Remote Server Administration Tools).
La consola Centro de administración de Active Directory proporciona otras opciones para la gestión
de los objetos. Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar
la creación de objetos (usuarios...), crear y administrar una unidad organizativa. Un administrador
puede conectarse a otro dominio y administrarlo desde la consola.
Es, también, posible realizar la administración de este servicio mediante comandos PowerShell.
Importando el módulo Active Directory es también posible realizar las mismas operaciones que las
realizadas con las diferentes consolas. Para llevar a cabo estas acciones, también se pueden usar los
comandos DOS:
Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesión y los
apellidos o el nombre de pila. Después de introducir la información obligatoria, se activa el
botónSiguiente.
A diferencia del SAMAccountName (nombre de inicio de sesión anterior a Windows 2000) que estaba
construido según la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN
(User Principal Name - campo nombre de inicio de sesión de usuario) se construye según la forma
NombreInicioDeSesión@dominio (nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanuméricos para generar nombres de usuario únicos (ejemplo:
n.bonnet, n-bonnet...). Observe que esto puede causar problemas con ciertas aplicaciones.
Existen otras opciones disponibles, que permiten prohibir el cambio de contraseña o configurar una
contraseña que no expira nunca (muy útil para las cuentas de sistema).
Miembro de los grupos: este atributo encontrado en la pestaña Miembro de permite añadir
o eliminar al usuario de un grupo de seguridad o de distribución.
Se puede cambiar el atributo desde la pestaña específica o desde la pestaña Editor de atributos.
El atributo givenName tiene como valor inicial Alumno 4. Si modificamos el nombre de pila en la
pestaña General...
... podemos ver que el atributo se actualiza correctamente:
3. Creación de un perfil de usuario móvil
Un perfil de usuario puede ser local o móvil. En el caso de un perfil local, se crea un directorio en la
carpeta Usuarios de cada máquina en la que el usuario abre una sesión.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es necesario
emplear un perfil móvil. Éste se encuentra en una carpeta compartida en el servidor.
Al iniciar sesión, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente,
durante el cierre de sesión, se realiza la copia en sentido inverso. Para instalar esta solución es
necesario configurar el atributo Ruta de acceso al perfil en la pestaña Perfil.
La variable %username% se reemplaza por el nombre de inicio de sesión del usuario después de
hacer clic en Aplicar.
Es, también, posible configurar un script (en formato vbs o bat), este último se ejecuta cuando el
usuario abre una sesión. Si este se almacena en la carpeta SYSVOL, solo será necesario introducir el
nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello será
necesario especificar la letra de la unidad.
Administración de grupos
Los grupos en Active Directory permiten facilitar la administración. Es más fácil agregar el grupo a la
ACL (Access Control List - lista que permite proporcionar permisos) de un recurso compartido en lugar
de añadir a todos los usuarios. Una vez ubicado el grupo, el administrador solo tendrá que agregar o
eliminar los objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administración no se efectúa más a nivel de la ACL, sino al nivel de Active Directory (consola Usuarios
y equipos de Active Directory, Centro de administración de Active Directory o directamente en
PowerShell). Adicionalmente, un grupo se puede colocar en una lista de control de acceso de varios
recursos. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del
departamento de contabilidad, RRHH...) o por recursos (G_Conta_r, G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible. Sugerimos nombrar
los grupos de esta forma:
El permiso NTFS que se atribuye al grupo (w para escritura, m para modificación, r para
lectura...).
De esta forma, si un grupo se llama G_Conta_w, podrá deducir con seguridad que es un grupo global
ubicado en la carpeta compartida Conta y que proporciona derechos de escritura a sus miembros.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo para
asignar permisos a sus usuarios o para crear listas de distribución de correo.
2. El ámbito de un grupo
El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así como
los objetos que pueden ser miembros.
Local: presente solamente en un servidor miembro o puesto de trabajo, un grupo con este
ámbito no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las
cuentas locales). Este grupo puede utilizarse para proporcionar permisos a los usuarios
locales o del bosque Active Directory.
Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y
usuarios del dominio son respectivamente miembros de los grupos locales Administradores y
usuarios del equipo.
Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos del
dominio, un grupo de este ámbito puede tener como miembros a los usuarios, equipos o
grupos globales y universales del bosque. Los grupos locales de miembros del dominio de
este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse únicamente
a los recursos de su dominio.
Global: a diferencia del ámbito del Dominio local, un grupo global puede contener solamente
a los usuarios, equipos y otros grupos globales del mismo dominio. Se puede asignar a
cualquier recurso del bosque.
Universal: un grupo de este ámbito puede contener usuarios, equipos y grupos globales y
universales de un dominio del bosque, puede ser miembro de un grupo de tipo universal o
dominio local. El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga
cuidado de no abusar de este tipo de grupo porque se replica en el catálogo global. Un gran
número de grupos universales sobrecargan la replicación del catálogo global.
Microsoft ha definido una estrategia de administración de grupos (IGDLA). Ésta consiste en agregar
las Identidades (usuarios y equipos) en un grupo Global. Éste es miembro de un
grupo DominioLocal (permite proporcionar el acceso al recurso). El grupo Dominio local se incluye en
una ACL.
Así, si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado
informática, no será necesario acceder a la ACL. Agregándolo al grupo DL_TEC_W (el cual está, por
supuesto asignado al recurso) se proporciona el acceso deseado.
Administración de las cuentas de equipo
Al unir el equipo al dominio se crea una cuenta de equipo. Ésta permite autenticar la máquina al iniciar
sesión, y también asignar directivas de grupo.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las cuentas
de equipo de las máquinas unidas al dominio. No es una unidad organizativa, no es posible añadir
una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar los objetos equipo a la
OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU
Puestos, OU Portátiles); para poder vincular las diferentes directivas de grupo o simplemente para
delegar en otras personas diferentes la gestión de los diversos objetos.
La gestión de los contenedores es propia de cada empresa y debe responder a sus necesidades y
limitaciones.
Para efectuar una unión al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El usuario que
efectúe la unión debe ser necesariamente miembro del grupo de administradores locales del equipo.
También es posible modificar el contenedor predeterminado. Esta operación permite crear la cuenta
de equipo en la unidad organizativa deseada. Para ello, se deberá utilizar el comando DOS redircmp.
La sintaxis del comando es la siguiente:
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administración) tiene, por defecto, la posibilidad de unir 10
equipos al dominio. Al solicitar autenticación, deberá introducir su nombre de usuario y su
contraseña. A partir de Windows 2000 Server es posible modificar el número de equipos sobre los
cuales un usuario tiene permisos modificando el atributo LDAP.
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya
existe en el dominio.
Si se rompe el canal seguro, aparece un mensaje durante el inicio de sesión. Se incluye un evento a
su vez en el registro. Tendrá como fuente a NETLOGON y un ID 3210.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podrá unir el
equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a
unirse al dominio, se genera un nuevo SID, la lista de grupos de los que era miembro el equipo
antes del problema del canal seguro se crean nuevamente de forma idéntica. Para reiniciar el canal
seguro es, también, posible efectuar otras operaciones:
Comando DOS: también es posible utilizar comandos DOS para restablecer la contraseña en
el controlador de dominio y el puesto cliente. Es posible utilizar los comandos dsmod, netdom
o nltest.
1. Implementar la delegación
Objetivo: implementar una delegación para que un usuario pueda administrar la unidad organizativa
sobre la que se ha establecido la delegación.
Haga clic con el botón derecho en la OU Form y luego en el menú contextual seleccione Delegar
control....
Introduzca Formadores y luego haga clic en el botón Comprobar nombres en la nueva ventana
que se muestra.
Haga clic en Aceptar para validar el campo y luego en Siguiente.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de
usuario y Crear, eliminar y administrar grupos.
En la barra de menús de la consola Usuarios y equipos de Active Directory, haga clic en Ver y
luego en Características avanzadas.
Haga clic con el botón derecho en la unidad organizativa Form y luego en Propiedades.
Para permitir al usuario administrar la unidad organizativa, es posible instalar en su equipo los
archivos RSAT (Remote Server Administration Tool). De esta forma contará con acceso a la consola con
los permisos adecuados. En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de
seguridad para poder abrir una sesión en el controlador de dominio. El usuario utilizado debe ser
miembro del grupo Formadores.
En CL8-01, abra una sesión y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuración del adaptador y, a continuación, haga doble clic en el
adaptador de red y luego en el botón Propiedades.
En AD1, abra una sesión como administrador y luego inicie la consola Usuarios y equipos de
Active Directory.
Ciudad: Velaux
Estado o provincia: 13
En la ventana que se muestra, introduzca Paul en el campo Nombre de pila y luego Mendez en
el campo Apellidos. Por último, introduzca pmendez en el campo Nombre de inicio de sesión de
usuario.
Haga clic en Siguiente e introduzca una contraseña.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creación de un nuevo objeto
se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la pestaña Miembro
de…) se replican.
En las propiedades de la carpeta creada, seleccione la pestaña Compartir y luego haga clic
enUso compartido avanzado....
Marque la opción Compartir esta carpeta y luego haga clic en Permisos.
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuación:
Formadores: Cambiar
Valide los cambios haciendo clic dos veces en Aceptar.
Haga clic en el botón Agregar y luego en el enlace Seleccionar una entidad de seguridad en la
ventana Entrada de permiso para Perfiles.
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la información haciendo clic
en Aceptar.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que
contiene?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿En qué lenguaje se basa la consola Centro de administración de Active Directory?
Cuando el administrador ejecuta una acción, la consola llama a comandos PowerShell. Esta consola
permite realizar operaciones tales como la activación o la administración de la papelera de reciclaje
Active Directory, y puede también realizar operaciones más elementales como la creación de un
objeto.
2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son obligatorios un
apellido o nombre de pila, un nombre de usuario y una contraseña.
4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que
contiene?
La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario
seleccionado. Estos valores están, también, presentes en las diferentes pestañas (apellido, nombre
de pila, nombre de inicio de sesión). Es perfectamente posible modificar el valor de un atributo.
Global
Dominio local
Universal
La diferencia estriba a nivel del SID, el grupo de seguridad posee este identificador único. Puede
entonces utilizarse en una ACL o tener la función de lista de distribución de correo. Al contrario que
este último, un grupo de distribución no cuenta con este identificador y solo puede utilizarse como
lista de distribución.
Al realizar la unión al dominio de un equipo que no posee una cuenta, ésta se crea
automáticamente en la carpeta de sistema Computers. El comando redircmp permite alojar la
cuenta creada automáticamente en otro contenedor (por ejemplo, en una unidad organizativa).
1. Requisitos previos
Conocer la línea de comandos DOS.
2. Objetivos
Utilización de los comandos csvde y ldifde.
-p scope: permite especificar el ámbito de la búsqueda. Cada opción cuenta con diferentes
posibilidades: Base permite indicar únicamente una búsqueda del objeto, onelevel para la
búsqueda de un objeto solamente en el contenedor indicado y subtree para lanzar una
búsqueda en el contenedor y subcontenedores.
-r filter: permite incluir un filtro. Esta última utiliza una solicitud en formato LDAP.
-l ListOfAttributes: especifica los atributos que deben exportarse. Cada atributo debe
seleccionarse mediante su nombre LDAP y separarse por una coma.
Csvde -f ArchivoCsv
-k: se ignoran los errores, lo que permite que el comando se ejecute sin interrupción.
El archivo LDAP utilizado posee una línea de cabecera, compuesta por el nombre de los atributos
LDAP (nombre...). Este comando no se puede utilizar para importar las contraseñas porque éstas
aparecen sin cifrar. Por lo tanto, la cuenta no posee contraseña y se deshabilita.
Este tipo de archivo de texto contiene bloques de líneas, cada una permite efectuar una operación.
Cada línea del bloque contiene información sobre la operación a realizar, así como el atributo
afectado.
Cada operación a realizar se separa por una línea vacía. El atributo changetype permite definir la
acción a realizar. Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Es necesario utilizar al menos la opción -f para la exportación, que indica el archivo a utilizar.
Ldifde -f ArchivoLDIF
La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando va a
realizar una importación y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Las operaciones realizadas de manera gráfica pueden llevarse a cabo empleando instrucciones
PowerShell.
Se pueden usar diferentes cmdlets, cada uno con una función bien definida:
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede también incluirse la contraseña en este comando.
HomeDrive: define la letra que debe utilizar, así como la ruta a la carpeta particular del
usuario.
Nombre: BAK
Contraseña: Pa$$w0rd
La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa.
El comando PowerShell que debe utilizar para realizar esta operación es el siguiente:
El nombre de inicio de sesión del usuario es, efectivamente, jbak, para el UPN (User Principal Name)
o el SamAccountName (nombre de inicio de sesión anterior a Windows 2000).
La opción que indica el cambio durante el inicio de sesión también está habilitada.
Los campos Apellidos y Nombre de pila también están correctamente configurados.
Se han tenido en cuenta todos los parámetros del script.
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Podemos efectuar la administración de los miembros de un grupo empleando el cmdlet Add-
ADGroupMember. Si queremos agregar Jean BAK al grupo Formadores, debemos seguir la siguiente
sintaxis:
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creación del grupo. Para ello, debemos utilizar el cmdlet New-
ADGroup. Lo componen varios parámetros que permiten configurar los diferentes atributos de un
grupo.
GroupScope: define el ámbito del grupo (Dominio Local, Global o Universal). Este parámetro
es obligatorio.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un ámbito global), debemos
utilizar el comando siguiente:
Get-ADGroup Alumnos
Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes
cmdlets.
La primera operación a realizar es reiniciar la cuenta de equipo CL8-01. El canal seguro se encuentra
roto.
Es necesario conectarse como administrador local para poder resolver el problema.
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto.
Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando nos
devolverá un error por permisos insuficientes.
El parámetro Server permite indicar qué controlador de dominio hemos de contactar. Credential
indica el nombre del usuario que tiene los permisos de administración en la cuenta de equipo.
Para realizar la creación de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. Éste
tiene tres argumentos:
A partir de Windows Server 2008 es posible activar la protección contra la eliminación accidental.
Ésta se encuentra activa de forma predeterminada durante la creación de cualquier objeto.
Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Ahora podemos pasar a la etapa de creación de una unidad organizativa. Como hemos visto
anteriormente, el cmdlet a utilizar para esta operación es New-ADOrganizationalUnit. Éste tiene
varios parámetros:
Todos los usuarios de la OU Formacion deberán cambiar la contraseña tras el próximo inicio de sesión.
La opción PasswordNeverExpires permite desactivar la opción La contraseña nunca expira.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Qué tipo de archivo explota el comando csvde?
2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación?
Para realizar una exportación debemos utilizar el comando csv de - f Nom breDeArchiv o. La
opción - f permite indicar el archivo a utilizar. La importación necesitará más parámetros, la
instrucción a ejecutar es de la forma csv de - i - f Archiv oCSV - k. La opción - i indica que vamos a
realizar una importación, - k permite continuar la ejecución aunque se produzca algún error.
4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de
eliminación?
No es posible efectuar modificaciones o eliminaciones con el comando csv de. En este caso
tendremos que utilizar el comando ldifde.
Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New- ADUser.
6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
El comando im port- m odule Activ eDirectory importa el módulo que permite la administración de
los objetos Active Directory.
Si el canal seguro se rompe es imposible autenticar el equipo. Será entonces necesario emplear el
comando Reset- Com puterMachinePassword.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Análisis del protocolo TCP/IP.
Establecimiento de subredes.
Aplicación
Transporte
Internet
Interfaz de red
La capa de Aplicación
Esta capa permite a una aplicación acceder a los recursos de red. Contiene diferentes protocolos de
aplicación. Corresponde a las capas de aplicación, sesión y presentación del modelo OSI (Open System
Interconnection).
La capa de Transporte
El protocolo TCP permite establecer una conexión fiable entre dos entidades (equipos, etc.). Garanti-
za, antes de iniciar los intercambios de datos, que el receptor está listo para recibir las diferentes
tramas. Cada intercambio está seguido de un acuse de recibo, que garantiza la correcta recepción de
cada paquete. El protocolo UDP proporciona una transmisión de datos sin conexión, el emisor y el
receptor intercambian tramas de sincronización y, a continuación, comienzan la transferencia. La
entrega de paquetes se considera poco fiable, sin embargo se estima más rápida (al no enviar acuse
de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:
ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access
Control) del destinatario. Las tramas utilizadas son de tipo broadcast. Éstas no pueden
franquear los routers.
ICMP (Internet Control Message Protocol): permiten transportar mensajes de control de errores
(máquina no accesible, por ejemplo).
Corresponden a las capas 1 (nivel físico) y 2 (nivel de datos) del modelo OSI. Permite el envío en la
red física de las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efectúa
también la transformación de la señal de digital a analógica.
Para establecer una conexión con una aplicación o un equipo remoto, es necesario establecer un
socket TCP o UDP. Este último cuenta con tres parámetros:
El número de puertos que pueden utilizarse es de 65536, sin embargo los primeros 1024 se
encuentran reservados para aplicaciones específicas. La reserva de estos puertos permite a las
aplicaciones cliente una comunicación más fácil con el servidor.
1. El direccionamiento IPv4
Una dirección IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte está separado
por puntos y escrito en forma decimal (de 0 a 255).
Una dirección IP es un identificador único que permite reconocer el equipo en la red (igual que un
número de seguridad social identifica a un hombre o una mujer). Esta dirección puede configurarse
de forma manual o automática. Se le atribuye a cualquier interfaz de red que la solicite.
Una dirección posee un ID de red que identifica la red a la que está conectado el equipo. Luego un
ID de host que permite una identificación univoca del equipo en la red. En función de la dirección
utilizada (consulte la sección Las diferentes clases de direcciones más adelante en este capítulo), se
atribuyen uno o varios bytes a los diferentes ID. Antes del envío de una trama, es necesario que el
equipo emisor sepa si el destinatario está en una red diferente de la suya.
Para efectuar esta verificación, el equipo utiliza la máscara de subred y efectúa un Y lógico (para
tener un resultado 1 los dos valores deberán ser iguales a 1).
Tomemos el ejemplo de un equipo con dirección IP 10.0.0.2 y una máscara de subred 255.0.0.0.
En primer lugar, es necesario convertir de decimal a binario (este punto será tratado en profundidad
posteriormente en este capítulo).
Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos valores son
iguales a 1).
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo destino
tiene un ID de red diferente, estará necesariamente en una red diferente. En ese caso, el equipo
emisor de la trama debe enviarla a la puerta de enlace especificada en su configuración IP.
Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de
información.
Las direcciones IP públicas se encuentran en la red Internet. Dicha dirección IP es única en el mundo
y la distribuyen organismos especiales. Los equipos que poseen este tipo de dirección IP son
accesibles en Internet. Toda empresa o particular utiliza un router o modem-router (livebox...) para
acceder a Internet. Este equipo posee una dirección IP que le ha sido asignada por el proveedor de
acceso.
Los equipos en una red local utilizan por su parte una dirección privada. Esta última no es accesible
desde Internet (ningún equipo en una red pública posee este tipo de dirección). Solo es única en
una red de área local. Dos empresas diferentes que no están conectadas entre sí pueden tener las
mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP públicas para las direcciones de
equipos en una red local. De esta forma cada clase posee su propio conjunto de direcciones
reservadas.
Si descomponemos un byte, nos daremos cuenta de que éste posee 8 bits y cada uno tiene un
rango. El de menor valor, el de la derecha, tiene un rango 0 (ver más abajo). El de mayor valor,
situado más a la izquierda, tiene un rango 8. Para obtener el valor decimal de cada rango, hace falta
elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 2 0 =1, el del rango 1 tiene el valor
de 2 por 2 1 =2…
Para efectuar la conversión de binario a decimal debemos añadir los valores decimales de los bits
con valor 1.
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 73:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 73.
Para efectuar la conversión, debemos comenzar por el bit de mayor valor, es decir, con rango 7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del rango 7
es entonces igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el número 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango 5 es
entonces igual a 1. Falta convertir el número 6 (38-32).
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango 4 es
entonces igual a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3 es
entonces igual a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2 es
entonces igual a 1. Falta convertir el número 2 (6-4).
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es
entonces igual a 1.
De esta forma hemos terminado de convertir el número 102. El valor binario del rango 0 es 0.
La clase A
Las direcciones contenidas en esta clase permiten direccionar 22 4 equipos. En efecto, se reservan
tres bytes para la dirección del ID del equipo y uno solo para el ID de la red.
El primer bit de todas las direcciones comienza por 0. El resto varía desde todos los bits en 0 para la
dirección inicial hasta todos los bits en 1 para la dirección final. O sea:
Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0. Los valores 0 y 127 están
reservados, y el ámbito va desde 1.0.0.0 hasta 126.0.0.0.
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La máscara utilizada es 255.255.0.0. El
rango de direcciones va desde 128.0.0.0 a 192.255.0.0.
La clase C
Esta es la clase que proporciona menor número de direcciones para los equipos. Tiene un único byte
disponible para los equipos. Su máscara es igual a 255.255.255.0. Posee un rango de direcciones
entre 192.0.0.0 y 223.255.255.0.
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase A. Si el
valor se encuentra entre 128 y 191 la dirección es de clase B. Por último, si el valor se encuentra
entre 192 y 223 la dirección es de clase C.
5. El CIDR
La notación CIDR (Classless Inter-Domain Routing) permite escribir de forma sintética la máscara de
subred. Si tomamos la máscara de clase A (255.0.0.0), ésta puede escribirse /8. La cifra proviene del
número de bits en 1.
La máscara de la clase B puede escribirse en la forma /16, mientras que la de la clase C se escribe
/24.
Establecimiento de subredes
Una subred consiste en dividir una red informática en varias subredes. La máscara de subred se
utiliza para identificar la red en la que está conectado el equipo. Al igual que una dirección IP, está
compuesto de 4 bytes donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del
host (valor decimal 0).
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El primer
byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce el numero de
hosts direccionables.
Es posible utilizar subredes en los sitios remotos, cada sitio puede también tener su propia dirección
manteniendo el mismo ID de red. La división lógica permite reducir el tráfico de red y las tramas de
tipo broadcast que un router debe transferir entre las distintas redes.
También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de producción no
puede acceder a la red de administración). De esta forma garantizamos la seguridad de los datos.
Sin embargo esta operación necesita un cortafuegos.
La primera operación es calcular el número de bits que necesitamos reservar para identificar la
subred. Si se quieren crear tres subredes entonces el número de bits a reservar es de 2, pues 2 2 =4
> 3.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.
Para comprobar que el cálculo es correcto, debemos verificar el paso de una subred a la otra. De
esta forma podemos confirmar que es igual a 64. De hecho, si sumamos 64 a la dirección de la
subred 1, entonces el resultado es la dirección de la subred 2 (192.168.1.64 + 64 = 192.168.1.128).
Esta comprobación debe ser cierta para el conjunto de subredes.
Cálculo de la máscara de subred
A continuación debemos calcular la máscara de subred a utilizar. Esta debe configurarse en todas
las máquinas para que pertenezcan a la subred correcta.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo número para
la máscara de subred. A diferencia de las direcciones, estos bits no variarán y tendrán el valor 1. La
dirección empleada es una dirección de clase C. La máscara será 255.255.255.0.
Una vez más, el primer paso a realizar es la descomposición del primer byte del ID del host, los bits
de subred deberán valer 1:
Para conocer el rango de direcciones que es posible distribuir a los equipos, debemos hacer variar el
ID de host, (de todos los bits a 0 a todos los bits a 1, es decir:
Subred 1:
192.168.1.0 a 192.168.1.63
Subred 2:
192.168.1.64 a 192.168.1.127
Subred 3:
192.168.1.128 a 192.168.1.191
Los comandos DOS pueden ser utilizados para la administración y mantenimiento diario de una red.
Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente
diagnosticar un problema de red.
1. El comando ipconfig
El comando ipconfig permite mostrar la configuración IP de los adaptadores de red.
Utilizando las distintas opciones, es posible realizar operaciones u obtener diferentes datos.
2. El comando ping
Este comando permite comprobar la comunicación entre dos equipos. De esta forma se pueden
reparar rápidamente problemas de comunicación en un equipo o servidor. El comando cuenta con
opciones y luego el nombre o dirección IP del equipo a verificar.
Ejecutado sin opciones, solo se envían cuatro tramas de tipo echo. Si el puesto está encendido y
conectado a la red se recibe una respuesta. En caso contrario, se emite una respuesta negativa.
-t: a diferencia de -n, se efectúa el envío de tramas hasta que se solicita la interrupción.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host
remoto. Sin embargo, este tipo de solicitudes pueden estar bloqueadas por un cortafuegos.
3. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un
destino. La trama es de tipo ICMP. Es inútil utilizar este comando si el destino se encuentra en la
misma red de área local. De hecho, el comando reenvía el nombre o la dirección IP del router que
devuelve la trama echo.
Este comando es muy útil para conocer qué router tiene un problema.
Es posible usar otros comandos, como nslookup. Este último permite verificar la resolución DNS.
Implementación del protocolo IPv6
Desde hace muchos años, se continúa con la implementación de IPv6. Los sistemas operativos cliente
o servidor tienen la posibilidad de ser accedidos vía IPv6.
Adicionalmente, al contrario que una dirección IPv4, es posible realizar un configuración automática
sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la
red proporciona al cliente la información sobre la subred y el prefijo. Esto permite a los clientes
configurarse automáticamente. Hablamos entonces de configuración automática de direcciones sin
estado (RFC 2462). La configuración de direcciones sin estado necesita la presencia de un servidor
DHCPv6 (Windows Server 2008 como mínimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensión del protocolo anterior. Los periféricos de red cuentan con la posibilidad de determinar el
ancho de banda deseado para la gestión del paquete. Es posible igualmente administrar la prioridad
del tráfico. Ciertos paquetes (difusión de vídeo continuo...) son prioritarios. Los periféricos de la red
se percatan de esto mediante el empleo del campo QoS.
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
IPv4 IPv6
Los formatos de las direcciones son, a su vez, diferentes. La versión anterior utiliza un formato
decimal (192.168.1.2) mientras que las direcciones se escriben en formato hexadecimal con la
versión 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). Se recomienda el uso de nombres de host en lugar
de direcciones IPv6.
El direccionamiento IPv6
Cada dirección está compuesta por 128 bits. Se utiliza un prefijo para indicar el número de bits
utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un
prefijo de 64 bits se asigna a la dirección, que es la mitad de los bits para identificar la red, los
restantes 64 permiten una identificación única del host (identificador de interfaz). Éste puede ser
generado de manera aleatoria y asignado por DHCP o basado en el control de acceso o soporte
(MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC 1918). Este
tipo de dirección puede encaminarse solamente hacia el interior de una empresa. Para evitar los
problemas de duplicación que podían ocurrir en IPv4 al interconectar varias redes, la dirección está
compuesta por un prefijo de 40 bits.
Ésta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequeña de tener
dos prefijos idénticos.
Los siete primeros bits poseen un valor fijo igual a 1111110. El prefijo de la dirección es
igual a fc00::/7.
Este tipo corresponde a las direcciones IPv4 públicas. Permiten designar un equipo en la red
Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques están
reservados para implementar túneles 6to4 (por ejemplo el bloque 2002::/16).
Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits) permiten
formar un primer bloque de 48 bits. Éste lo asigna el proveedor de acceso.
Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar con la red
local. Este tipo de dirección se genera automáticamente y no se puede encaminar. Son homólogos
a las direcciones IPv4 correspondientes a las direcciones APIPA (169.254.x.x).
El prefijo utilizado por este tipo de dirección es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
1111 1110 Continuación de ceros (54 bits) Identificador de interfaz
10
Los 10 primeros bits (111 1110 10) al igual que los siguientes ceros forman el prefijo de 64
bits (FE80::).
192
224
1110 0111
192.168.1.102
0011 1100
1001 1100
Solución:
192
El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el número 64 (192-128).
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
224
El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del rango 7 es
entonces igual a 1. Falta convertir el número 96 (224-128).
El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del rango 6 es
entonces igual a 1. Falta convertir el número 32 (96-64).
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 7 +2 6 +2 5 +2 2 +2 1 +2 0 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
192.168.1.102
1: 0000 0001
0011 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 5 +2 4 +2 3 +2 2 = 32+16+8+4
Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.
1001 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
2 7 +2 4 +2 3 +2 2 = 128+16+8+4
Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.
Debemos dividir la red con la dirección 172.16.0.0 en 8 subredes. Proporcione, para cada una, la
dirección de subred, la dirección de la máscara de subred y los rangos de dirección que pueden ser
distribuidos.
Solución:
Máscara de subred:
Subred 1:
172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0
hasta 172.16.31.255. En este rango, debemos incluir la dirección de red 172.16.0.0 y la dirección de
broadcast 172.16.31.255. Tenemos pues un rango efectivo desde 172.16.0.1 hasta 172.16.31.254.
Dirección de subred 2:
172.16. 001 0 0000.0 a 172.16.001 1 1111.255 o sea un rango de direcciones desde 172.16.32.0
hasta 172.16.63.255. Tenemos pues un rango efectivo desde 172.16.32.1 hasta 172.16.63.254.
Dirección de subred 3:
172.16. 010 0 0000.0 a 172.16.010 1 1111.255 o sea un rango de direcciones desde 172.16.64.0
hasta 172.16.95.255. Tenemos pues un rango efectivo desde 172.16.64.1 hasta 172.16.95.254.
Dirección de subred 4:
172.16. 011 0 0000.0 a 172.16.011 1 1111.255 o sea un rango de direcciones desde 172.16.96.0
hasta 172.16.127.255. Tendremos un rango efectivo desde 172.16.96.1 hasta 172.16.127.254.
Dirección de subred 5:
172.16. 100 0 0000.0 a 172.16.100 1 1111.255 o sea un rango de direcciones desde 172.16.128.0
hasta 172.16.159.255. Tenemos pues un rango efectivo desde 172.16.128.1 hasta 172.16.159.254.
Dirección de subred 6:
172.16. 101 0 0000.0 a 172.16.101 1 1111.255 o sea un rango de direcciones desde 172.16.160.0
hasta 172.16.191.255. Tenemos pues un rango efectivo desde 172.16.160.1 hasta 172.16.191.254.
Dirección de subred 7:
172.16. 110 0 0000.0 a 172.16.110 1 1111.255 o sea un rango de direcciones desde 172.16.192.0
hasta 172.16.223.255. Tenemos pues un rango efectivo desde 172.16.192.1 hasta 172.16.223.254.
Dirección de subred 8:
172.16. 111 0 0000.0 a 172.16.111 1 1111.255 o sea un rango de direcciones desde 172.16.224.0
hasta 172.16.255.255. Tenemos pues un rango efectivo desde 172.16.224.1 hasta 172.16.255.254.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del comando.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del comando.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS?
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 5 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuáles son las capas presentes en el protocolo TCP/IP?
Son cuatro y llevan los nombres Interfaz de red, Internet, Transporte y Aplicación. Cada una
tiene su propia función. Los diferentes protocolos que comprenden la suite TCP/IP están
organizados en las diferentes capas.
La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con direcciones
desde 128 hasta 191. Finalmente, la clase C cuenta con direcciones desde 192 hasta 223. El valor
del primer byte permite determinar a qué clase pertenece la dirección.
En cada clase, se ha reservado un rango de direcciones para los puestos de trabajo. El rango
10.0.0.0 a 10.255.255.255 está reservado a la clase A. Con la clase B es posible utilizar las
direcciones entre 172.16.0.0 y 172.31.255.255. Finalmente las direcciones entre 192.168.0.0 y
192.168.255.255 están reservadas para la clase C.
Permite efectuar una división de la red física de forma lógica. Es también más fácil limitar el
número de equipos en la red o garantizar la seguridad de los datos.
6 ¿De qué byte hay que utilizar bits para definir diferentes subredes?
Los bits de subred se encuentran en el primer byte del ID del host.
Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns.
8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS?
Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /displaydns.
9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo?
El comando ping envía por defecto cuatro tramas echo. Para enviar un número mayor de tramas,
debemos usar la opción -n seguida del número deseado.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de direccionamiento IP.
2. Objetivos
Definición del rol DHCP.
Una configuración IP incluye una dirección IP, una máscara de subred y una puerta de enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuración adecuada
para cada equipo. Muy útil para los usuarios itinerantes, a éstos se les asigna una configuración sin
intervención del administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP
y NAP (Network Address Protection) para distribuir las concesiones DHCP en función del estado de
salud del equipo (antivirus actualizado, cortafuegos activado…). Este rol puede instalarse en un
servidor en modo Core para limitar la superficie de ataque.
Para obtener una asignación DHCP, el cliente y el servidor realizan un intercambio de tramas:
Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. Mediante
esta trama, se ofrece una configuración IP. De este modo, el cliente puede recibir una trama
del mismo tipo de varios servidores. El cliente selecciona el servidor que haya sido más
rápido.
El cliente envía una trama de tipo DHCPREQUEST al servidor que ha seleccionado. Permite
informar al servidor que ha aceptado la oferta.
La renovación se efectúa enviando una trama broadcast DHCPREQUEST; el servidor responde con
un mensaje de tipo DHCPACK.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en
la subred IP. Transfiere a continuación las diferentes solicitudes que recibe al servidor DHCP
presente en la red B.
Debemos sin embargo verificar el ancho de banda de la línea y los tiempos de respuesta.
Funcionalidad del servidor DHCP
Después de instalar el servidor, es necesario configurar el ámbito.
Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de direcciones entre
172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignación
DHCP recibe una dirección del ámbito configurado para la red 172.16.0.0. El resultado es idéntico si
el servidor posee ámbitos para redes diferentes.
Máscara de subred: máscara de red que deben utilizar todos los clientes que reciben una
concesión DHCP.
Exclusiones: define las direcciones IP que deben excluirse del intervalo de direcciones que se
pueden distribuir.
Retraso: permite definir el tiempo transcurrido antes de proponer una concesión DHCP al
cliente (DHCPOFFER).
A partir de Windows Server 2008, es posible añadir un ámbito para el protocolo IPv6. Al igual que
para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una reserva
en DHCP. Ésta permite garantizar la recepción de la misma configuración IP para cada cliente.
La dirección IP: dirección IP que se asignará al puesto cliente cada vez que lo solicite.
La dirección MAC: dirección física del adaptador de red a la que se asigna la concesión.
Después de su creación, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente
efectúa una nueva solicitud (renovación o nueva concesión).
La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all, y
aparece también en el nodo Concesiones de direcciones (campo ID exclusivo).
Los códigos (003, etc.) están normalizados, es posible encontrar la lista completa en la
documentación de la RFC.
Opciones de servidor: se aplican al conjunto de clientes que efectúan una solicitud de una
concesión al servidor DHCP. Si la misma opción se encuentra configurada en el nodoOpciones
de ámbito, se conserva esta última.
La opción 003 Enrutador se encuentra configurada en las opciones de servidor, la
dirección IP introducida es 192.168.1.1.
Opciones de ámbito: incluidas en cada ámbito, se aplican a sus clientes. Cada ámbito puede
tener opciones diferentes o las mismas con otros valores.
Opciones de reserva: al implantar una reserva, se aplican las opciones del ámbito.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botón derecho en
la reserva deseada, el menú contextual nos proporciona un acceso a la ventana que permite
efectuar la selección de la configuración y sus opciones.
Las opciones de reserva reemplazan a las opciones configuradas a nivel de ámbito.
El icono es diferente, lo que permite de forma sencilla saber a qué nivel se aplica la opción.
4. Implementación de filtros
La implementación de filtros permite crear listas verdes y listas de exclusión. Cada una tiene un uso
bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesión DHCP.
De esta forma, todos los adaptadores de red cuya dirección MAC se encuentre en la lista verde
tienen la posibilidad de recibir una concesión. Está representada en la consola por el nodo Permitir.
La lista de exclusión permite anotar los adaptadores de red que no recibirán respuesta del servidor.
La lista de exclusión se puede configurar por medio del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso
contrario el servidor no responderá a las solicitudes del cliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusión y viceversa. Esta característica
permite garantizar que solo los puestos autorizados recibirán una configuración IP. Sin embargo, al
añadir un nuevo equipo, es necesario crear un nuevo filtro. Esta operación puede ser muy sencilla
de realizar pero se vuelve muy restrictiva en caso de contar con un número muy elevado de equipos.
Base de datos DHCP
La base de datos de DCHP permite registrar de información (direcciones MAC...) al distribuir una nueva
concesión.
dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange Server
JET.
Para cada operación (nueva solicitud, renovación o liberación de la concesión), se actualiza la base
de datos y se crea una entrada en los registros.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Durante la operación de copia de seguridad (sincrónica o asíncrona) todos los elementos vinculados
al servidor se incluyen en la copia. Encontraremos los siguientes elementos:
Al realizar una operación de reconciliación, las entradas contenidas en la base de datos y el registro
se comparan. Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que
no estén presentes en el registro y viceversa).
Ejemplo
Seleccionando Reconciliar... en el menú contextual del ámbito (clic derecho en el ámbito deseado),
se muestra una ventana. Bastará con hacer clic en el botón Comprobar para iniciar la verificación.
Seguidamente, una ventana muestra el resultado de la operación.
Es posible iniciar esta operación en todos los ámbitos seleccionando Reconciliar todos los
ámbitos... en el menú contextual del nodo IPv4.
Como hemos visto anteriormente, el desplazamiento de la base de datos a otro volumen permite
una reinstalación del servidor sin perder la base de datos. En caso de migración del servidor DHCP,
es posible utilizar dos soluciones.
Primera solución: se ha creado una cantidad de reservas han sido creadas y se han implementado,
a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo ámbito en el nuevo
servidor DHCP y luego efectuar la etapa de creación de las reservas y exclusiones. Es tedioso y
puede causar errores más o menos perjudiciales para el sistema de información. Es entonces
necesario hacer copia de seguridad del antiguo servidor y luego restaurarlo en el nuevo o desplazar
la base de datos a otro volumen.
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho en el
servidor y luego Propiedades en el menú contextual).
Empleando el botón Examinar asociado al campo Ruta de acceso de la base de datos,
seleccione otra carpeta.
Si, durante el reinicio del servicio, el ámbito no está presente, copie todos los archivos
contenidos en Windows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuación, en
la pestaña Avanzadas, bastará con configurar el número de intentos de detección de conflictos que
el servidor debe efectuar.
Las nuevas concesiones se distribuirán sin riesgo de conflicto IP.
Securización y mantenimiento de DHCP
El protocolo DHCP no permite implementar una solución de autenticación, por lo tanto cualquier
equipo puede recibir una concesión DHCP. La solicitud resultará en una asignación aunque el equipo
no esté autorizado para recibirla.
Esta última puede implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In
User Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su
vez, compatible con la norma 802.1x.
En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access-
Enterprise) y WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticación RADIUS. Por
último, es posible implantar un servidor NAP (Network Access Protection). Este último autoriza el
acceso al servidor DHCP para los clientes que cumplan con la política de seguridad (antivirus
actualizado, cortafuegos activado…).
Es posible definir los intervalos de actualización modificando el parámetro en las propiedades del
campo IPv4 (pestaña General). Esta opción está deshabilitada por defecto.
A diferencia de las estadísticas del servidor, que proporcionan información sobre su estado, las
estadísticas del ámbito proporcionan solamente el número de direcciones presentes en el rango
permitido y el número de direcciones utilizadas y disponibles.
Como complemento a las estadísticas, es posible utilizar el registro de auditoría, que permite el
seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y también a
aquellas que han sido rechazadas.
Ver, crear informes personalizados y administración del espacio de direcciones IP: muestra
los datos detallados de seguimiento y uso de las direcciones IP. Los espacios de direcciones
IPv4 e IPv6 se organizan en bloques de direcciones IP, en rangos de direcciones IP y en
direcciones IP individuales.
Auditar los cambios de configuración del servidor y seguimiento del uso de las direcciones
IP: permite ver los eventos operativos relacionados con los servidores IPAM y DHCP
administrados. A su vez, se realiza un seguimiento de las direcciones IP, ID de cliente, nombre
de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los
eventos de inicio de sesión de usuario en los servidores NPS (Network Policy Server), en los
controladores de dominio y los servidores DHCP.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS y DHCP para
servidores que están dentro del alcance del área de descubrimiento especificada. Para poder ser
gestionados por IPAM y autorizar su acceso, se deben configurar los parámetros de seguridad y los
puertos del servidor.
La comunicación entre el servidor IPAM y los servidores administrados se efectúa mediante WMI o
RPC.
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active
Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar Windows
Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS -
Windows Internet Name Service, proxy…) no están contemplados por el servidor IPAM. Con Windows
Server 2012 R2 aparecen nuevas características, incluyendo la posibilidad de utilizar una base de
datos SQL. Las anteriores versiones solo podían emplear la base de datos interna de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas
DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo, el
administrador debe hacerlo manualmente.
Base de datos interna de Windows: base de datos interna que puede ser instalada por los
roles y características internos.
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la información de
descubrimiento de servidores, al igual que la relativa al rango de direcciones y la gestión del
servidor. El acceso a la información de seguimiento de direcciones IP les está prohibido.
Administradores IPAM ASM (Address Space Management): además de los permisos del
usuario IPAM, también tienen la posibilidad de efectuar las tareas relacionadas con el espacio
de direcciones y tareas de gestión habitual de IPAM.
Administradores de auditoría IPAM IP: los miembros de este grupo pueden efectuar las
tareas de gestión habitual de IPAM y, además, ver la información de seguimiento de
direcciones IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden realizar cualquier tarea.
Las tareas IPAM se inician regularmente en función de una periodicidad dada. Se encuentran en el
administrador de tareas (Microsoft/Windows/IPAM):
Audit: se recopila la información de auditoría de los servidores DHCP, IPAM, NPS y DC así como
de las concesiones DHCP.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
Marque la casilla Instalación basada en características o en roles y luego haga clic enSiguiente.
En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar características en la ventana que
se muestra.
En la consola Administrador del servidor en AD1, haga clic en el icono con forma de bandera.
Haga clic en el enlace Completar configuración de DHCP.
Haga clic con el botón derecho en IPv4 y a continuación, en el menú contextual, haga clic
enÁmbito nuevo....
Marque la opción Configuraré estas opciones más tarde y haga clic en Siguiente.
Haga clic con el botón derecho en Opciones de Ámbito y a continuación, en el menú contextual,
seleccione Configurar opciones.
Marque la opción 003 Enrutador y el valor 192.168.1.254 en el campo Dirección IP. Haga clic
en Agregar para validar el valor.
Marque la opción 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic
enAgregar para validar el valor.
Verifique en los equipos CL8-01 y CL8-02 que la dirección está configurada para Obtener una
dirección IP automáticamente.
Utilice el comando ipconfig para verificar la configuración actual.
Si la dirección configurada es una dirección APIPA (169.254.x.x), efectúe una nueva solicitud
de concesión empleando el comando ipconfig /renew.
Despliegue Filtros y luego haga clic con el botón derecho en el nodo Permitir. En el menú
contextual, seleccione Habilitar. Realice la misma operación para Denegar.
Haga clic en Concesiones de direcciones y, a continuación, haga clic con el botón derecho en la
concesión de CL8-02. En el menú contextual seleccione Agregar a filtro y, a
continuación,Denegar.
Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew en CL8-
02.
Despliegue el servidor ad1.formacion.local y luego haga clic con el botón derecho. Seleccione la
opción Copia de seguridad.
En la ventana Buscar carpeta, seleccione el Disco local (C:) y luego haga clic en Crear nueva
carpeta.
Haga clic con el botón derecho en el ámbito presente en DHCP y, en el menú contextual,
seleccione la opción Eliminar.
En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic
enAceptar.
Haga clic en Sí para reiniciar los servicios.
4. Implementación de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una
restauración.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
función.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic
enSiguiente.
Verifique la selección de SV2.Formacion.local y luego haga clic en Siguiente.
En el Administrador del servidor, haga clic en IPAM para mostrar la página inicial.
En la ventana Configurar base de datos, deje el valor por defecto y haga clic en Siguiente.
Haga clic en Siguiente en la ventana Aprovisionar IPAM.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea de
Overview.
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (a la izquierda del identificador de
notificación).
Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Se utilizan los objetos de
directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol)
y DNS (Domain Name System).
En la consola de configuración de IPAM, haga clic con el botón derecho en la línea AD1 y luego
seleccione Editar servidor.
En el servidor AD1, abra un símbolo del sistema DOS y luego introduzca el comando gpupdate
/force. Esto permite aplicar las directivas de grupo previamente creadas con el comando
PowerShell.
En la consola IPAM, haga clic con el botón derecho en AD1 y luego, en el menú contextual,
seleccione Actualizar estado de acceso del servidor. El campo Estado de acceso IPAM muestra
ahora el estado Desbloqueado.
Pueden hacer falta varios minutos para la aplicación de la directiva. Si esto no funciona, actualice
la consola.
En el panel INFORMACIÓN GENERAL, haga clic en Recuperar datos de servidores
administrados.
Haga clic con el botón derecho en el rango de direcciones IP y luego, en el menú contextual, haga
clic en Buscar y asignar dirección IP disponible.
Después de unos minutos, se presenta una dirección IP y luego se realizan las pruebas.
La dirección está disponible.
Introduzca CL8-02 en el campo Id. de cliente y luego marque Asociar MAC a identificador de
cliente. La dirección MAC se asocia.
Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitirá recuperar más
fácilmente la reserva.
Haga clic en el botón Aplicar y luego en Aceptar.
En el equipo CL8-02, renueve la concesión DHCP introduciendo los comandos ipconfig /releasey
luego ipconfig/renew.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que
se me presentan?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 12 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuál es el rol de un servidor DHCP?
El servidor DHCP tiene por objeto la distribución de configuraciones IP a los equipos que la solicitan.
Este servicio permite evitar la distribución de la misma configuración a dos equipos diferentes.
Cuando un cliente emite una trama para solicitar una configuración IP, ésta se envía a todos los
equipos de la red. Esta trama está basada en un tipo broadcast. Estas tramas no pueden atravesar
los enrutadores. Para evitar costes excesivos por la proliferación de servidores DHCP, debemos
implantar relay DHCP cuya función es la retransmisión de las diferentes solicitudes a los servidores
DHCP.
Sí, es posible configurar varios ámbitos en un servidor DHCP. Cada ámbito posee un rango de
direcciones diferente.
Un ámbito posee varias propiedades, entre las que se encuentran una nombre y una descripción.
Encontramos, también, un conjunto de direcciones IP que pueden distribuirse, así como la máscara
de subred y las listas de exclusión. Estas opciones pueden, a su vez, configurarse.
Para implementar una reserva necesitamos introducir la dirección MAC y la dirección deseada.
Una opción DHCP permite complementar la configuración IP distribuida. De esta forma es posible
distribuir la dirección del servidor DNS (opción 044). Adicionalmente, la puerta de enlace
configurada con el asistente de creación del ámbito es la opción número 003 enrutador. Es posible
distribuir otras opciones (opción 069: servidor SMTP, opción 070: servidor POP3).
9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP?
Es posible configurar varios tipos de opciones. Podemos configurar opciones de servidor, de clase o
de reserva.
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir
direcciones a los equipos incluidos en esta lista. La lista negra permite prohibir la concesión a los
equipos incluidos.
12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13 Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos posibilidades que
se me presentan?
Si existen reservas configuradas, es preferible hacer una copia de seguridad de la base de datos y
luego restaurarla en otro servidor. De esta forma, las concesiones ya distribuidas por el antiguo
servidor se conocen en el nuevo. En el caso que el número de reservas sea limitado, podemos
recrear el ámbito. En este último caso, debemos configurar el servidor DHCP para que verifique si la
dirección se encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha
solicitado.
IPAM (IP Address Management) permite realizar el descubrimiento, supervisión y auditoría de una
dirección IP. También es posible supervisar y administrar los servidores DHCP y DNS.
1. Requisitos previos
Poseer nociones sobre los diferentes tipos de nombres (DNS y NetBIOS).
2. Objetivos
Analizar el funcionamiento de DNS.
De esta, forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la
dirección IP del servidor. Introduciendo la dirección URL, se efectúa una resolución DNS para poder
traducir el nombre a su dirección IP.
Se utiliza una base de datos para almacenar los registros. Ésta puede almacenarse en un archivo o
en el directorio Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder
efectuar las operaciones de resolución necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efectúa las consultas y
actualizaciones en la base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se envía una consulta al servidor DNS para
resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se envía la dirección IP al
cliente que ha realizado la solicitud, en caso contrario se ponen en marcha otros mecanismos
(peticiones recursivas o iterativas) que comentaremos más adelante.
El uso de un nombre, a diferencia de una dirección IP, permite realizar la resolución incluso en caso de
cambio de dirección.
Situados debajo de los servidores raíz, los servidores con autoridad sobre los dominios de primer
nivel permiten la gestión de las zonas es, net... Cada uno de los dominios es gestionado por un
organismo (ESNIC...).
En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un proveedor de
acceso, que puede hospedar un servidor web o solamente proporcionar un nombre de dominio.
Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su
zona (el servidor raíz contiene solamente el nombre de los servidores de primer nivel, y es el mismo
para todos los servidores de cada nivel).
Es posible para una empresa o particular añadir registros o subdominios para el nombre de dominio
que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi tráfico de correo
electrónico a mi router, en concreto a la dirección de mi IP pública).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona FR
puede resolver el registro nibonnet, pero no podrá resolver el nombre de dominio shop.nibonnet.fr.
Con las consultas iterativas, el equipo cliente envía a su servidor DNS una consulta para resolver el
nombre www.nibonnet.fr. El servidor consulta al servidor raíz. Éste le redirige al servidor que tiene
la autoridad sobre la zona FR. La consulta a este último permite conocer la dirección IP del servidor
DNS con autoridad sobre la zona nibonnet. La consulta al servidor DNS con autoridad sobre la zona
nibonnet permite resolver el nombre www.nibonnet.fr. El servidor DNS interno responde a la
consulta que recibió previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Envía la petición
a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor
externo para efectuar la resolución. La petición se transmite al reenviador configurado por el
administrador (el servidor DNS del ISP que posee una caché mayor, por ejemplo). Si la respuesta no
se encuentra en su caché, el servidor DNS del ISP efectúa una consulta iterativa y luego transmite la
respuesta al servidor que ha realizado la petición. Éste puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador. En
ciertos casos (aprobación de bosque AD...), es necesario que la solicitud de resolución que se va a
reenviar a otro servidor DNS sea redirigida en función del nombre de dominio (para el dominio eni.fr
enviar la petición a, por ejemplo, el servidor SRVDNS1). El reenviador condicional permite efectuar
esta modificación y redirigir las consultas al servidor correcto si la consulta (nombre de dominio) es
válida.
Zonas y servidores DNS
Una zona DNS es una porción del nombre de dominio donde el responsable es el servidor DNS.
Podemos decir que éste tiene autoridad sobre la zona. El servidor DNS gestiona la zona al igual que
los diferentes registros que posee.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene.
Este tipo de zona puede integrarse en Active Directory o simplemente estar contenida en un archivo
de texto. En el caso de que la zona no esté integrada en el directorio, es necesario configurar la
transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este tipo de
zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una transferencia de
zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta última contiene solamente
los registros necesarios para la identificación del servidor DNS que cuenta con autoridad sobre la
zona que se ha añadido.
Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion.local: el servidor
SV1 tiene para él autoridad sobre la zona Formacion.local y nibonnet.local.
La creación de una zona de rutas internas se realiza para poder resolver los registros de otro
dominio.
Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolución para el dominio
nibonnet.local, la solicitud se redirige a los servidores DNS configurados en la zona de rutas
internas. De esta forma se podrá efectuar la resolución.
La integración de la zona en Active Directory requiere la instalación del rol DNS en un controlador de
dominio. Este tipo de zona aporta ciertas ventajas a la gestión del rol DNS:
Replicación de la zona DNS: la replicación de zona integrada en Active Directory afecta solamente
al atributo modificado. Es posible emplear dos tipos de replicación diferentes. Se realiza una
transferencia de zona con las zonas estándar, mientras que las zonas integradas en Active Directory
se replican con el controlador de dominio.
Actualización dinámica: la integración en Active Directory garantiza una mejor seguridad impidiendo
una modificación fraudulenta de los registros.
2. La zona GlobalNames
La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres
NetBIOS). Estos últimos pueden resolverse mediante un servidor DNS. En ciertos casos puede ser
necesario implantar un servidor WINS. Más antiguo que DNS, emplea NetBIOS sobre TCP/IP (NetBT).
WINS y NetBT no tienen en cuenta IPv6. Están llamados a desaparecer en unos años.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migración en
el servidor DNS para la resolución de nombres cortos. Para esto, se debe utilizar una zona llamada
GlobalNames. Esta zona contiene los registros estáticos que contienen los nombres.
Éstos se refieren a los equipos, siendo la configuración de IP estática y administrada por WINS
(fundamentalmente servidores, solo si los equipos cliente cuentan con direcciones estáticas). La
resolución de nombres de registros inscritos de forma dinámica no puede realizarse mediante esta
funcionalidad.
Adicionalmente, se añade el comando DOS dnscmd.exe, el cual permite crear un script y automatizar
la configuración DNS.
2. La actualización dinámica
La actualización dinámica consiste en una actualización del servidor DNS en tiempo real. Esta
característica es muy importante. Permite, de hecho, tener un registro al día cuando el cliente
cambia de dirección IP. La operación de actualización se efectúa en varios momentos:
El cliente envía una primera actualización dinámica no segura. Si la zona no permite las
actualizaciones seguras, se rechaza la modificación.
El cliente envía al servidor una actualización dinámica segura que tramita la solicitud.
CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El equipo es
accesible con su nombre al igual que con el alias.
SRV: permite definir un servidor específico para una aplicación, en particular para el equilibrio
de carga.
1. El comando nslookup
nslookup es un comando que permite la búsqueda de registros en el servicio DNS.
Ejecutado sin argumentos, la consola DOS muestra el nombre y la dirección IP del servidor de
nombres primario. Posteriormente, es posible interrogar al servidor.
Para evaluar la resolución de un nombre de equipo por un servidor DNS, bastará con introducir el
nombre deseado después del comando nslookup.
La opción set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opción devuelve información acerca del servidor de correo electrónico.
Este comando puede usarse para los registros de tipo público, que se encuentran en un servidor
DNS público, o para los registros de tipo privado, ubicados en una red local.
2. El comando dnslint
El comando dnslint es un comando externo, antes de poder ejecutarlo se debe descargar el archivo.
Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS (Domain
Name System). Se crea un informe en formato HTML para poder ver los resultados.
Verificación de registros DNS definidos por un usuario en un servidor DNS. Es preciso utilizar
la opción /ql.
Verificación de registros usados para la replicación de Active Directory. Se debe usar la
opción/ad.
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opción /ad, debe
emplearse una dirección IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuración IP del adaptador de red. Es
posible realizar otras acciones (renovación de la concesión...) empleando diferentes opciones.
4. El comando dnscmd
La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts. Empleando
esta herramienta pueden automatizarse tareas de administración del servicio DNS. Este comando
permite de igual manera la instalación desatendida y la configuración de nuevos servidores.
Inicie la consola Administrador del servidor y haga clic en el vínculo Agregar roles y
características.
Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar
características.
Haga clic con el botón derecho en el nodo Formintra.msft y luego en el menú contextual
seleccione Host nuevo (A o AAAA).
Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue y haga clic en Aceptar.
Si lo necesita, elimine los registros de SV2 presentes en el servidor DNS.
Haga clic con el botón derecho en el servidor AD1 y seleccione Borrar caché en el menú
contextual.
Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y seleccione Zona
nueva.
La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado
en la ventana Tipo de zona.
Seleccione el botón de opción Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: Formacion.local y luego haga clic en Siguiente.
Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).
En el equipo CL8-01, inicie un símbolo del sistema DOS y luego introduzca ping SQL.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Dónde puede almacenarse la base de datos del servicio DNS?
La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el
directorio Active Directory (solamente para las zonas integradas en AD).
El cliente DNS tiene como función el envío de las consultas al servidor DNS para pedir la resolución
de un nombre. Su segunda función es la actualización de los registros (si está activada la
actualización dinámica).
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona y solo tiene
autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz, dominio de primer
nivel...), cada uno tiene su función específica.
Cuando un servidor efectúa una consulta iterativa, envía una consulta a los servidores DNS de
diferentes niveles (raíz, dominio de primer nivel...). El objetivo del servidor es responder a la
consulta que ha recibido.
Se pueden crear tres tipos de zona en un servidor DNS. Podemos crear zonas primarias,
secundarias o zonas de rutas internas.
6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un
controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de
solo lectura y no pueden ser integradas en AD.
Una zona de rutas internas es una copia de una zona, donde solo existen los registros que
permiten la identificación de los servidores DNS.
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona GlobalNames
permite crear registros estáticos del tipo CNAME para que el servidor pueda resolver los nombres.
La actualización dinámica permite garantizar que un equipo que ha cambiado de dirección IP (nueva
concesión...) pueda modificar el registro sin intervención del administrador. Integrando la zona en
Active Directory, se asegura la actualización dinámica.
Un registro SRV permite definir un servidor específico para una aplicación, especialmente para el
balanceo de carga. Un registro de tipo CNAME permite la creación de un alias en el nombre de otro
equipo. El equipo es accesible con su nombre y el alias.
El comando dnslint es un comando externo. Permite diagnosticar problemas tales como errores de
delegación y también crear registros como los definidos por el usuario o los necesarios para la
replicación Active Directory.
Requisitos previos y objetivos
1. Requisitos previos
Poseer conocimientos sobre la gestión de discos (particionado, sistemas de archivos...).
2. Objetivos
Vista de las diferencias entre DAS, NAS y SAN.
EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnología se basa en las normas
creadas en 1986. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las
normasAdvanced Technology Attachment 2 (ATA-2) y Advanced Technology Attachment Packet
Interface(ATAPI).
SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexión de
discos duros o unidades ópticas a la placa base. La tecnología SATA tiene por objetivo
reemplazar al estándar ATA. Presentada en 2003, la norma lleva tres revisiones: SATA 1 con
una velocidad de transmisión de 1,5 GB por segundo, SATA 2 con una velocidad de
transmisión de 3 GB por segundo, y finalmente SATA 3 con una velocidad de 6 GB por
segundo. Este tipo de disco tiene un menor coste que otras tecnologías aunque posee
igualmente un rendimiento menor. Es posible seleccionar este tipo de tecnología si se
requiere gran cantidad de espacio en disco sin muchas restricciones de rendimiento.
SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la
conexión física y la transferencia de datos entre ordenadores y periféricos. Introducida en
1978, esta interfaz permite una ejecución de transacciones a alta velocidad. Estandarizada
en 1986, SCSI ha sido creada para la utilización de cables de tipo paralelo; posteriormente,
se han utilizado otros soportes con esta norma. Con el uso de cables paralelos, las
transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640 SCSI (o
Ultra 5) permite velocidades de transferencia de 640 MB por segundo. Este tipo de disco
ofrece un rendimiento mayor que un disco SATA, sin embargo tiene un coste más elevado.
SAS (Serial Attached SCSI): SAS se diseñó para paliar los problemas de fiabilidad o de
transmisión que podían traer otros formatos. Este tipo de discos utilizan dos técnicas; la
transmisión en serie de datos y SCSI. Cada disco utiliza un caudal de 3 GB/s para cada
periférico, SCSI efectúa la división del ancho de banda empleando 2,56 GB/s para el conjunto
de los periféricos del controlador. A diferencia de la norma SATA que solo puede procesar un
comando a la vez, el controlador SAS puede enviar dos comandos simultáneamente. Los
discos SAS pueden encadenarse, a diferencia de los discos SATA que necesitan un puerto por
cada disco. Durante la normalización de SATA 6 GB/s, apareció una nueva versión de SAS.
Presentada en su versión 2.0, posee las novedades de SATA 3 con un caudal de datos
equivalente.
SSD (Solid State Drive): este tipo de disco emplea memoria flash para el almacenamiento de
los datos, a diferencia de los discos clásicos que emplean un soporte magnético. Los accesos
a disco son netamente superiores con un menor consumo de energía. Este tipo de disco
emplea generalmente una interfaz SATA, sin embargo el coste es mayor que el de un disco
tradicional.
Ventajas de DAS
Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro equipo
por medio de un adaptador de bus host (HBA). No puede existir ningún equipo de red de tipo hub,
repetidor, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el despliegue de
esta solución es muy sencillo, basta con conectar el periférico y verificar que el sistema operativo lo
reconoce. Tratándose de una solución más económica, existen discos disponibles de diferentes
velocidades y tamaños. Esto permite una mejor adaptación a las diferentes soluciones que pueden
implementarse. La administración y la configuración se realizan mediante la consola Administración
de discos.
Inconvenientes de DAS
Esta solución no permite centralizar los datos, que se encuentran repartidos entre varios servidores.
Adicionalmente a la administración, la copia de seguridad y el acceso a los diferentes recursos es
también difícil de gestionar. Además, el rendimiento del servidor (velocidad del procesador, memoria)
impacta en el acceso al DAS.
NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solución no
necesita la conexión directa al servidor y proporciona acceso a un conjunto de servidores. Esta
solución es frecuentemente un "appliance" sin interfaz para teclado, monitor, etc. La configuración
se efectúa a través de la red, sin embargo el equipo debe contar con una configuración IP. En caso
de implementar un recurso compartido de red, es preciso utilizar el nombre de la NAS (o su dirección
IP) en lugar del nombre de servidor. De esta forma, todos los usuarios pueden acceder a los
diferentes recursos compartidos del equipo ya que cuenta con una configuración IP. Una mejor
opción consiste en implementar una solución SAN (Storage Area Network). Sin embargo, esta última
es muy costosa y necesita una arquitectura un poco más pesada.
Ventajas de NAS
Como hemos visto, la solución NAS ofrece la ventaja de proporcionar acceso a varios clientes con un
acceso directo desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar
cualquier problema de rendimiento vinculado al servidor, estando el equipo reservado
exclusivamente a la presentación de los archivos y carpetas. Al estar los recursos almacenados en
un punto central, la administración y la copia de seguridad son muy sencillas de realizar.
Adicionalmente, la solución es independiente de la versión del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solución está basada en red. No
es aconsejable almacenar aquí archivos de aplicaciones tales como SQL Server o Microsoft
Exchange.
Las SAN pueden utilizar fibra óptica o iSCSI. Este último tipo de interfaz permite la transmisión de
comandos SCSI a través del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el número de discos, y por ende la cantidad
total de almacenamiento. Es posible agregar un disco o una cabina de forma muy sencilla en
comparación con una solución de almacenamiento de tipo DAS. La centralización del almacenamiento
permite una mejor gestión y administración de los recursos albergados. Los rendimientos en lectura
y escritura son más elevados en este tipo de almacenamiento, adicionalmente es posible configurar
una redundancia a nivel de ciertos componentes (alimentación, disco duro).
Inconvenientes de SAN
En la actualidad, esta tecnología está muy extendida en las empresas porque garantiza (en función
del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los
servidores (generalmente contamos con una redundancia a nivel de alimentación, discos y tarjeta de
red).
Funcionamiento de RAID
Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se escribe
en el disco espejo. En caso de fallo de un disco, los datos están todavía disponibles mediante
el segundo disco.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurándola mediante diferentes herramientas. Esta configuración no está disponible para el
sistema operativo. Éste solo puede efectuar la creación de volúmenes. El RAID por software es un
poco diferente porque la configuración RAID se realiza esta vez en el sistema operativo. Se emplea
la consola Administración de discos para la gestión de los diferentes niveles de RAID.
Niveles de RAID
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos. Los n
discos presentes en el RAID trabajan en paralelo, lo que permite una mejora en el acceso de lectura
y de escritura. Esta configuración posee, sin embargo, un inconveniente en el tamaño de los discos.
En efecto, la capacidad del volumen se corresponde con el tamaño del disco más pequeño
multiplicado por el número de los discos que componen el clúster.
Ejemplo
Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La
capacidad del volumen es de 2 TB (tamaño del disco más pequeño * número de discos = 1 TB * 2 o sea 2
TB).
Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se
escriben datos cuando el disco más pequeño está lleno. Es muy aconsejable utilizar discos de igual
tamaño.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se pierde el
conjunto de los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los mismos
datos. Hablamos de espejo o "mirroring" en inglés. La capacidad del volumen es igual al menor de
los discos presentes en el clúster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamaño. Este tipo de RAID ofrece
una buena protección de datos. En caso de fallo de uno de los discos, la controladora RAID lo
desactiva sin que el usuario se percate. Al reemplazarlo, la controladora reconstruye el espejo. Una
vez terminada la operación, se garantizan nuevamente la redundancia y la alta disponibilidad.
RAID 5
RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad. De esta
forma los datos no se escriben nunca de la misma forma en los diferentes discos. Esto permite tener
en cada disco la información de paridad y los datos. Esta solución garantiza la reconstrucción del
RAID combinando los bits de paridad y los datos. Sin embargo, en caso de pérdida de más de un
disco los datos no podrán ser recuperados.
Esta solución RAID aporta un buen acceso de lectura, sin embargo el cálculo de la paridad implica
tiempos de escritura mucho más largos.
Gestión de discos y volúmenes
Desde las primeras versiones de los sistemas operativos servidor, la gestión de discos y volúmenes
es un punto esencial.
Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato
GPT permite rebasar los límites impuestos por el formato MBR. Se soportan un máximo de 128
particiones por disco en GPT. El tamaño de una partición alcanza los 8 zetabytes (10 21 ), sin
embargo es necesario que la BIOS soporte GPT para poder realizar un arranque desde este tipo de
partición.
Los discos básicos, utilizados en todas las versiones del sistema operativo Windows, utilizan tablas
de particiones de tipo MBR o GPT. Un disco básico contiene particiones principales o particiones
extendidas. Estas últimas estarán divididas en unidades lógicas. Al instalar un disco, la opción por
defecto es el disco básico. Sin embargo, es posible realizar la operación para configurar un disco
dinámico, sin tener impacto sobre los datos presentes.
El paso de disco dinámico a disco básico sí causa, por su parte, la pérdida del conjunto de datos
contenidos en el disco.
Los discos dinámicos se implementaron por primera vez con Windows Server 2000. Estos no aportan
rendimientos superiores; adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos.
La noción de volumen hizo así su aparición con este tipo de discos. En efecto, ya no hablamos de
particiones sino de volúmenes dinámicos. Se trata de unidades de almacenamiento que se
extienden sobre uno o más discos.
Al igual que para los discos básicos, los volúmenes pueden formatearse con el sistema de archivos
deseado y se les puede asignar una letra de unidad. Están disponibles varios tipos de volumen,
losvolúmenes simples utilizan un solo disco y poseen las mismas características que una partición
principal. No existe ningún límite (salvo el espacio en disco) en el número de volúmenes simples por
disco, a diferencia de las particiones principales que están limitadas a 4 por disco. El volumen
distribuido se crea utilizando el espacio en disco libre en varios discos. Este volumen puede
extenderse a un máximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna
tolerancia a errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios
discos (como mínimo dos). Los datos se escriben de forma alternativa en los diferentes discos que
componen el volumen. Conocido bajo el nombre de RAID 0 o stripping, esta solución no ofrece
tolerancia a errores. Los volúmenes reflejados, más conocidos como RAID 1, permiten implementar
un volumen con tolerancia a errores. Empleando dos discos, los datos escritos en uno se replican,
automáticamente, en el otro.
FAT
FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar con
Windows Server 2012 R2. Al formatear un disco con un sistema de archivos FAT, se realiza una
división en clúster (grupo de sectores). La versión original de FAT no permitía tener particiones de
más de 2 GB, a causa de la limitación en el tamaño de la tabla de asignación de archivos.
Desarrollado por Microsoft, este tipo de particiones admiten un tamaño máximo de 2 TB. No se
implementa seguridad alguna a nivel de archivos. No es recomendable utilizar este tipo de sistema
en las particiones internas de un servidor que ejecute Windows Server 2012 R2.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema
proporciona características muy útiles que el sistema FAT no tiene. Implementa ACL (Access Control
Lists) para los archivos y carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones
de acceso a los archivos, carpetas o cualquier recurso compartido permite obtener una mejor
seguridad en un sistema de información. Los sistemas operativos que emplean este sistema
cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es posible implementar la
compresión de archivos y cuotas por volumen. Se puede realizar conversión de una partición FAT a
una de tipo NTFS sin pérdida de datos empleando el comando convert. El tamaño de las particiones
formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamaño
teórico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamaño de
archivo, carpeta o partición. Se han mejorado a su vez la corrección de errores y la verificación de
datos. Es preciso utilizar este tipo de sistema para rebasar los límites impuestos por NTFS. Se han
mejorado la integridad de datos, así como la protección contra la corrupción. Esta novedad hereda
funcionalidades presentes en el sistema NTFS tales como la encriptación BitLocker o la
implementación de la seguridad mediante el despliegue de ACL. Esto permite garantizar la
compatibilidad hacia atrás con el sistema NTFS. Si el disco se formatea con este sistema, no se
reconocerá si se conecta a un sistema operativo anterior a Windows Server 2012. A diferencia de
NTFS que permite la modificación del tamaño de los clústers, con ReFS cada clúster tiene un tamaño
de 64 KB. El sistema EFS (Encrypted File System) no es compatible con ReFS.
A continuación, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho
más flexibles, ofrecen funcionalidades idénticas a las de un disco físico (resiliencia...).
La solución necesita un grupo de almacenamiento que agrupe los diferentes discos físicos. Éstos
pueden ser de tipo SATA o SAS. Antes de poder agregar un disco físico a un grupo, es necesario que
el disco cumpla ciertos requisitos mínimos.
En primer lugar, necesitamos tener un disco para crear un grupo de almacenamiento. Necesitamos
dos discos para implementar un disco virtual en espejo. Finalmente, los discos que pueden usar una
interfaz iSCSI, SAS, SATA, USB... deben estar vacíos y sin formatear.
Finalmente la Paridad es similar al RAID 5. Los datos, así como los bits de paridad, se
reparten entre varios discos. Esta última solución requiere tres discos físicos. Al igual que
para el espejo, esta solución incluye tolerancia a fallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
En la consola de la máquina virtual SV1, haga clic en el menú Archivo y luego en Configuración.
Si la máquina virtual está arrancada, resulta imposible agregar un disco IDE. En este caso, puede
agregar discos duros de tipo SCSI.
En la ventana Configuración para SV1 en SRV-HYPERV, haga clic en Controladora SCSI y luego
en Unidad de disco duro.
Haga clic en el botón Agregar y, a continuación, en el botón Nuevo. Se agrega un nuevo disco
duro a la máquina.
Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente.
Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la ubicación y
haga clic en Siguiente.
Introduzca 10 en el campo Tamaño y luego haga clic en Siguiente.
Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.
El nombre del archivo vhdx debe modificarse, los demás parámetros son idénticos.
Haga clic en Aceptar, luego en la máquina virtual SV1, abra la consola Administrador del
servidor.
Haga clic con el botón derecho en Disco 1 y luego seleccione la opción En línea.
El número de disco puede variar en función del número de lectores incluidos en la máquina
virtual. Si la opción En línea no aparece, significa que no se ha hecho clic en el lugar adecuado.
La operación debe hacerse en el texto encima del enlace Ayuda.
En la ventana Inicializar disco, seleccione la opción GPT (Tabla de particiones GUID) y haga
clic en Aceptar.
Haga clic con el botón derecho en el espacio no asignado (barra negra) y luego en el menú
contextual seleccione Nuevo volumen simple.
En el campo Tamaño del volumen simple en MB, introduzca 1000 y luego haga clic enSiguiente.
Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente.
Haga clic en Terminar para proceder a la creación del volumen.
La creación de un volumen con un sistema MBR y GPT es idéntica. Solo difieren el tamaño y el nombre
de las particiones.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enReducir volumen.
En el campo Tamaño del espacio que desea reducir, en MB, introduzca 200.
Después de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la partición D porque está ubicado antes que ella.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enExtender volumen.
En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego haga
clic en Siguiente.
Este campo indica al sistema operativo el valor que se agregará a la partición a extender.
La partición del sistema puede reducirse o extenderse mientras el sistema operativo está cargado.
Haga clic con el botón derecho en Disco 2 y luego seleccione la opción En línea.
Marque la opción GPT (Tabla de particiones GUID) y luego haga clic en el botón Aceptar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen distribuido.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el mensaje de advertencia, haga clic en Sí para que los discos se conviertan a discos
dinámicos.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen reflejado.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen RAID-5.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En la consola Administración de discos, haga clic con el botón derecho en Disco 2 y luego, en el
menú contextual, haga clic en Sin conexión.
Los volúmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen
seccionado) no están accesibles.
Haga clic con el botón derecho en Disco 2 y luego, en el menú contextual, seleccione En línea.
Inicie la consola Administrador del servidor y haga clic en el vínculo Servicios de archivos y
almacenamiento.
Seleccione la pestaña Grupos de almacenamiento y luego empleando el botón TAREAS, haga clic
en Nuevo grupo de almacenamiento.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento. Por último, haga clic en Grupos de almacenamiento.
Seleccione el botón TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.
Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4 ¿Qué es iSCSI?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 9 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Qué tipos de disco se pueden instalar en un servidor?
Se pueden instalar varios tipos de disco en un servidor: los discos SATA, SAS o SCSI.
Una DAS (Direct Attached Storage) es un disco conectado físicamente a un servidor a diferencia de
una NAS (Network Attached Storage) a la que se accede mediante una interfaz IP.
4 ¿Qué es iSCSI?
iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo IP.
Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI.
Una NAS debe estar conectada a una red Ethernet. Accedemos a ella empleando su dirección IP.
El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones, etc.). Para rebasar
estos límites, debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear
más de cuatro particiones principales…
ReFS permite mejorar el sistema NTFS. En efecto, el tamaño máximo de los archivos ha sido
aumentado. Este sistema aporta otras mejoras.
1. Requisitos previos
Poseer nociones acerca de los permisos NTFS.
2. Objetivos
Implementación de permisos NTFS y compartir una carpeta.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se
encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al
crear una nueva carpeta o archivo. Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos. Esto incluye la
posibilidad de modificar los permisos o convertirse en propietario. El permiso Modificar permite leer,
escribir y eliminar un archivo o una carpeta. Concede al objeto afectado permisos para ejecutar un
archivo o efectuar su creación.
Permisos de lectura Autoriza al objeto que recibe este permiso a leer los
permisos asignados a un recurso.
El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se compone del
nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por
ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan desde hace años.
Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. Para acceder, es
necesario introducir la ruta UNC. Los recursos como c$, admin$ se crean durante la instalación de un
sistema operativo cliente o servidor. Para ocultar un recurso compartido y transformarlo en un
recurso administrativo, debemos añadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un
archivo o carpeta, este último recupera automáticamente los permisos de seguridad aplicados a su
padre. En ciertas ocasiones, se puede llegar al caso de que los permisos heredados contradicen a
los permisos explícitos. Hablamos entonces de conflictos. En este caso, los permisos declarados
explícitamente por el administrador tienen prioridad sobre los permisos heredados. Los últimos
pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Esta operación se
efectúa en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades -
pestaña Seguridad - Opciones avanzadas).
Después de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarán más al
hijo. A veces es necesario restablecer los permisos en cada nodo del árbol remplazando los
permisos del padre al hijo. Para esto, se debe usar la opción Reemplazar todas las entradas de
permisos de objetos secundarios por entradas de permisos heredables de este objeto. La
operación consiste en propagar los permisos del padre a todas las subcarpetas.
Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory (usuario,
grupo o equipo). Puede ser complicado conocer esta autorización, se puede obtener un resultado
diferente del deseado si hay muchos grupos implicados y el usuario está incluido en diferentes
grupos. Desde hace algunos años, existe una herramienta que permite calcular esta autorización
final disponible en los sistemas operativos de Microsoft. Muy práctica en arquitecturas complejas,
permite saber en pocos clics el permiso otorgado a un usuario o grupo.
Haciendo clic en Ver acceso efectivo, podemos visualizar las autorizaciones que el usuario tiene
sobre el recurso.
La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta.
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamientoy
luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaña Configuración,
podemos activar la opción.
La opción debe activarse en cada recurso compartido.
Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso
de pérdida del dispositivo.
Los datos deben estar almacenados localmente, esto elimina la posibilidad de realizar copias
de seguridad.
La característica Work Folders permite resolver estos problemas. Permite acceder a los datos
empresariales desde cualquier ubicación donde se conecten los empleados. Adicionalmente, los
administradores mantienen el control a nivel de la gestión de los datos y las conexiones. Ellos tienen
la posibilidad de implantar un cifrado de datos así como los parámetros de seguridad en los
dispositivos que emplean esta característica. No es necesario que los clientes que acceden a los
datos sean miembros del dominio.
Los Work Folders pueden publicarse en Internet utilizando la característica Web Application Proxy.
Los usuarios pueden, de este modo, sincronizar los datos conectados a Internet.
El servidor de archivos que alberga los datos y gestiona los procesos de sincronización debe
ejecutar Windows Server 2012 R2. Las particiones deberán estar formateadas en sistema NTFS.
Para los accesos desde el exterior del sistema de información hay que respetar varios requisitos
previos:
Un certificado de servidor en cada servidor de archivos que emplee los Work Folders.
El certificado debe ser emitido por una autoridad de certificación aprobada por el usuario.
Implementar las reglas de tráfico y publicación para poder acceder a los servidores desde
Internet.
El uso de un nombre de dominio público y la posibilidad de crear los registros DNS adecuados.
Los equipos deben ejecutar uno de los sistemas operativos Windows 8.1 o Windows RT 8.1.
Adicionalmente, el equipo o la tableta deberá poseer suficiente espacio en disco para
albergar los datos del usuario. De manera predeterminada, la ubicación empleada
es%USERPROFILE%\Work Folders.
Es posible modificar la ubicación durante la instalación (empleo de una unidad USB, etc.).
No existe ninguna limitación configurada para el almacenamiento de los usuarios, sin embargo el
tamaño máximo de los archivos individuales es de 10 GB.
Utilización de instantáneas
Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de una
forma sencilla.
La instantánea se almacena en la misma unidad que el archivo original, sin embargo es posible
cambiar el lugar de almacenamiento. El espacio asignado a la funcionalidad puede, también,
configurarse permitiendo así evitar la saturación de los discos. Una vez alcanzada la cuota, las
instantáneas más antiguas se eliminan en beneficio de las nuevas, creando así un ciclo que permite
respetar el tamaño límite configurado. Observe sin embargo que las instantáneas no pueden
considerarse como una alternativa a las copias de seguridad. Los datos se perderán en caso de un
fallo de disco. Es casi imposible restaurar por este método ciertos archivos complejos de tipo base
de datos... Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la
aplicación.
Por defecto, la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las 12:00.
Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse de tener el
espacio en disco requerido.
El Tamaño máximo, la Programación, así como el Área de almacenamiento son parámetros que es
posible configurar.
Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma simplificamos
también el soporte técnico. La publicación en Active Directory facilita la instalación y el despliegue de
las impresoras a un usuario.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4). Con este
nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora que gestiona los
lenguajes de impresión para una amplia gama de dispositivos. Los lenguajes incluyen XML Paper
Specification (XPS), Printer Control Language (PCL)… Este tipo de controladores se distribuyen
mediante Windows Update o Windows Software Update Services (WSUS).
Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos.
En la mayoría de los casos, un grupo está compuesto de dispositivos del mismo modelo.
Por comodidad, es preferible que las impresoras estén en un entorno cercano al usuario. La
impresión puede realizarla cualquiera de las impresoras contenidas en el grupo. El usuario
deberá hacer el recorrido por las impresoras para recuperar su documento impreso, es
imposible saber en cuál de los dispositivos se ha hecho la impresión.
Administración de un servidor no unido al dominio
La consola Administración de servidores permite administrar de manera remota varios servidores
creando un grupo, sin embargo éstos deben ser miembros del dominio. Con Windows Server 2012 R2
y las herramientas RSAT (Remote Server Administration Tools) es posible administrar servidores que no
forman parte del dominio.
Antes de instalar las herramientas RSAT, se debe ejecutar un comando PowerShell desde el equipo
Windows 8.1.
Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC.
El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o
empleando un archivo hosts). Se ha agregado un redirector condicional en AD1 para poder resolver el
nombre SV2.Formintra.msft.
A continuación, es posible añadir el servidor haciendo clic con el botón derecho en Todos los
servidores y seleccionando, en el menú contextual, Agregar servidores.
Tras añadir el servidor y validar con Aceptar, aparece un error. Este ocurre al no poder autenticar la
consola.
Haciendo clic con el botón derecho en el servidor, el menú contextual proporciona acceso a la
opciónAdministrar como.
Se debe introducir un nombre de usuario y una contraseña en la ventana para obtener el acceso
adecuado para la consola. Marque la opción Recordar mis credenciales para no tener que volver a
introducir las credenciales cada vez.
En lo sucesivo es posible gestionar el servidor de manera remota.
Talleres
Los talleres permiten configurar la compartición de archivos y de instantáneas, al igual que la gestión
de impresoras mediante un grupo de impresoras. El cuarto taller muestra el uso de la consola de
administración de un servicio de impresión. Por último, esta parte práctica concluye con un taller sobre
Work Folders y la gestión de un servidor no unido al dominio.
Haga clic en el nodo Equipo y luego haga doble clic en la partición F:.
La partición puede tener una letra diferente. Si tiene solo una partición, tome la partición del
sistema.
Repita la operación anterior para crear las carpetas Informática, Ventas y Contabilidad.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vacío
del panel central.
En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic
enSiguiente.
Haga clic en Crear para iniciar la creación del recurso compartido y luego en Cerrar para detener
el asistente.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explícitos en este objeto.
En la consola Administrador del servidor, haga clic con el botón derecho en el recurso
compartido contabilidad y seleccione la opción Propiedades en el menú contextual.
2. Implementar instantáneas
2. Implementar instantáneas
Objetivo: configurar las instantáneas para permitir a un usuario restaurar un archivo.
En SV1, abra el explorador de Windows, haga clic con el botón derecho en la partición que
contiene los datos, y a continuación, en el menú contextual, haga clic en Propiedades.
Haga clic en el botón Configuración para poder configurar los parámetros de las instantáneas.
Esta ventana permite configurar el tamaño máximo que pueden utilizar las instantáneas. Es posible
configurar a su vez el volumen en el que se almacenarán las instantáneas.
Esta ventana permite configurar el momento en que se crean las instantáneas. De forma
predeterminada la operación se efectúa a las 7:00 y 12:00 de Lunes a Viernes.
El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la programación
seleccionada.
Verifique que las instantáneas están activadas y, a continuación, haga clic en Crear ahora.
Haga doble clic en el recurso compartido data y luego elimine el archivo presente.
Haga clic con el botón derecho en el recurso compartido data y luego en el menú contextual
seleccione Propiedades.
Esta opción permite copiar el contenido de la instantánea en un destino diferente del original.
Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic
enSiguiente.
Haga clic en Siguiente en la ventana Seleccionar servidor de destino.
En la ventana Seleccionar servicios de rol, deje la opción predeterminada y luego haga clic
enSiguiente.
Haga clic con el botón derecho en el nodo Impresoras y luego, en el menú contextual haga clic
en Agregar impresora.
Marque el botón Agregar una impresora TCP/IP o de servicios web escribiendo la dirección IP
o nombre de host y luego haga clic en Siguiente.
En la lista desplegable Tipo de dispositivo, seleccione Dispositivo TCP/IP y luego
introduzca192.168.1.152 en el campo Nombre de host o dirección IP.
En la lista Fabricante, seleccione Genérica y luego Generic Color XPS Class Driver (A) en la
lista Impresoras.
Haga clic con el botón derecho en Impresora Sala 1 y a continuación, en el menú contextual,
seleccione Propiedades.
En la consola Administración de impresión, haga clic con el botón derecho en el nodo Puertos y
luego haga clic en Agregar puerto.
En AD1, inicie la consola Administración de impresión y luego haga clic en el nodo Filtros
personalizados.
Los filtros personalizados permiten mostrar información acerca de las impresoras. Esto permite
visualizar de forma sencilla el conjunto de impresoras y controladores así como aquellas impresoras
con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto de impresoras que
no tienen estado de preparadas). Puede crear su propio filtro para obtener la información deseada.
Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione Agregar
nuevo filtro de impresora.
Introduzca Visualización de trabajos en curso en el campo Nombre.
Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y luego haga
clic en Siguiente.
Seleccione el nodo Impresoras y luego haga clic con el botón derecho en la impresora Impresora
Sala 1.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creación de una nueva GPO.
A continuación, debemos crear la carpeta que contendrá los datos de los usuarios. En la partición C,
vamos a crear mediante la línea de comandos la carpeta Doc-Técnica, la cual será compartida con el
nombre Documentación. Los miembros del grupo Formadores tendrán acceso a la carpeta.
En la consola PowerShell, introduzca el comando New-SyncShare Documentación -path
C:\Doc-Técnica -User Formacion\Formadores -RequireEncryption $true -
RequirePasswordAutoLock $true.
Accediendo a las propiedades del recurso compartido (haciendo clic con el botón derecho en el
recurso - Propiedades), es posible verificar la configuración de la categoría General.
La categoría Acceso a sincronización permite definir las personas o grupos de personas autorizados
para realizar la sincronización.
Por último, la categoría Directivas de dispositivos permite configurar la directiva aplicada.
Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos, así como un
bloqueo automático de la pantalla y la introducción de una contraseña.
Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestión de certificados
digitales necesarios para el uso del protocolo HTTPS.
Para configurar el uso del protocolo HTTP, introduzca el comando Reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v
AllowUnsecureConnection /t REG_DWORD /d 1
En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En
producción, será necesario emplear el protocolo HTTPS así como un nombre público.
Valide los datos mediante el botón Siguiente y, a continuación, autentíquese como nbonnet.
El usuario accede correctamente a los datos de la empresa utilizando un equipo que no forma parte
del dominio.
Validación de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta
Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
15 Mencione algunos requisitos previos a respetar para poder activar la característica Work
Folders.
16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 12 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuál es la diferencia entre un permiso NTFS estándar y un permiso NTFS avanzado?
No existe diferencia, los dos son permisos NTFS. Sin embargo los permisos NTFS avanzados
permiten ser más preciso con los permisos asignados a un objeto Active Directory.
Cuando se asigna un permiso en la ACL de un recurso (carpeta...), los objetos presentes en ese
recurso (subcarpeta, archivo...) reciben igualmente este permiso. Hablamos de padre (el recurso) y
de hijo (todo objeto presente en el interior de este recurso).
Un permiso explícito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. A
diferencia de los permisos explícitos, los permisos heredados se asignan automáticamente al
objeto hijo transmitidos por el padre.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de
los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta
Contabilidad.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al
recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que permitirá al
usuario acceder directamente a la carpeta deseada.
Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorización
efectiva diferente de la deseada por el administrador. Para garantizar que atribuimos al usuario los
permisos correctos, podemos utilizar la pestaña Acceso efectivo en la configuración de seguridad
avanzada.
Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al
usuario solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario
tiene acceso.
Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto, posible modificar
esta programación.
9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
Se realiza una rotación. De esta forma, cuando se alcanza el tamaño máximo, las instantáneas con
fecha más antigua se eliminan en beneficio de las más recientes.
Los usuarios pueden restaurar una instantánea por medio de la opción Versiones anteriores en las
propiedades del recurso compartido. El administrador tiene la opción de hacerlo desde el servidor.
La característica Work Folders permite configurar una carpeta que más adelante podrá sincronizar
un usuario. El usuario podrá sincronizar dicha carpeta utilizando su conexión a la red empresarial o
desde el exterior. A su vez, cuenta con la posibilidad de utilizar su equipo o tableta personal.
Es posible dotar de seguridad a estos datos de diferentes formas. La funcionalidad permite cifrar los
datos. Adicionalmente, es posible autorizar o no el acceso a la carpeta de sincronización. Por último,
el equipo conectado puede ser sometido a la política de bloqueo (con petición de contraseña),
incluso si se utiliza un equipo personal.
15 Mencione algunos requisitos previos a respetar para poder activar la característica Work
Folders.
16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio.
Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8.1 debemos
instalar las herramientas RSAT y verificar el funcionamiento de la resolución de nombres. A
continuación, debe ejecutarse un comando PowerShell. La última etapa consiste en añadir el
servidor a la consola Administrador del Servidor y proporcionar las credenciales.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos sobre el funcionamiento de una directiva de grupo.
2. Objetivos
Analizar los componentes de una directiva de grupo.
El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.
El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los parámetros
vinculados al registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta
Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este último identifica de forma unívoca al objeto en AD
DS. El GPC define atributos tales como el vínculo o el número de versión. Podemos encontrar el
mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.
Durante la actualización de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del
lado cliente (CSE) recuperan los parámetros y los aplican si ha habido una modificación. El número
de versión permite identificar esta modificación. En efecto, el número almacenado en el
archivogtp.ini (SYSVOL\GUIDGPO\gpt.ini) se incrementa con cada cambio o parámetro agregado.
4. Las preferencias en las directivas de grupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20 extensiones de
directiva de grupo. Esta funcionalidad permite la reducción de los scripts empleados por el inicio de
sesión (conexión de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.
Las preferencias se aplican a un usuario o equipo, además dichos parámetros no son obligatorios,
un usuario puede modificar el parámetro configurado por las preferencias (desactivar el uso del
proxy, etc.).
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al apagar el
equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parámetros configurados en las
preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. La
eliminación puede operarse indicándolo explícitamente.
La asignación de las preferencias a los puestos cliente (que permite implantar los criterios a
respetar para aplicar los parámetros, por ejemplo ser miembro de un grupo o ejecutar un sistema
operativo en particular) se efectúa de una forma más fina que usando una directiva de grupo. En
efecto, podemos atribuir las preferencias a los equipos en función del sistema operativo... Esta
funcionalidad es configurable solamente en las directivas de dominio.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos en
las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo Cabinet). De esta
forma se facilita la distribución y carga de estos archivos en otro sitio. Esta operación de distribución
es posible porque estos archivos son independientes del bosque o dominio en el que se crean.
Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la empresa.
Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible añadir
parámetros adicionales en la directiva. Esto permite responder por ejemplo a una problemática
específica de una de las áreas.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las
diferentes directivas de grupo:
Administradores de dominio
Administradores de empresas
CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicación de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio,
empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un
usuario, debemos agregarlo en la pestaña Delegación del contenedor Objetos de directiva de
grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe poseer los permisos adecuados
en el contenedor deseado.
Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorización de conectarse a un
controlador de dominio. La administración debe hacerse desde su equipo.
Tratamiento de directivas de grupo
Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicación se realiza en
un orden estricto.
Sitios
Dominios
Unidades organizativas
Es posible, a continuación, deshabilitar el vínculo. Esta operación implica eliminar las modificaciones
aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede
impactar en la productividad.
A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican durante el
inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los scripts se ejecutan
durante el inicio de sesión.
En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante el
primer inicio de sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a que se
utilizan los identificadores puestos en caché para abrir la sesión más rápidamente. Los parámetros
se vuelven a aplicar mientras el usuario cuente con una sesión abierta. Es posible modificar el
intervalo de configuración, para ello debemos modificar el parámetro presente en el
nodoConfiguración del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de
grupo.
Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción
relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el
intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la
consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un administrador
tiene acceso a la opción Actualización de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.
La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al conjunto
de usuario y equipos del dominio por herencia. Ella contiene la política de seguridad predeterminada
(parámetros de contraseña, bloqueo...). Si se deben aplicar otros parámetros al conjunto de objetos
del dominio, es preferible crear una nueva directiva y luego vincularla a la raíz del dominio.
La Default Domain Controllers Policy está vinculada a la unidad organizativa Domain Controllers,
de modo que solamente la reciben los controladores de dominio. Ésta permite configurar el sistema
de auditoría y asignar permisos suplementarios (abrir una sesión en un controlador de dominio...).
Se pueden configurar permisos más granulares configurando la ACL (Access Control List). Esto hace
que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la configuración. Para
acceder a esta lista de control de acceso, haga clic en el botón Opciones avanzadas en la
pestañaDelegación.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más
granulares.
Para utilizar una carpeta única para todos los servidores, debemos desplegar un almacén central.
El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarán. A
diferencia del formato ADM, la creación de un archivo personalizado es muy simple, sin embargo es
necesario estar familiarizado con el lenguaje XML.
Para invertir la configuración, hay que modificar la directiva para indicar lo opuesto a lo que está
configurado. Ciertos parámetros contenidos en las preferencias son parámetros no administrados.
Con los parámetros administrados, el usuario no tiene la posibilidad de modificar los parámetros.
Los cambios se realizan en zonas específicas del registro, donde solo los administradores tienen
acceso:
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de administración de
directivas de grupo. El menú contextual de las plantillas administrativas (accesible haciendo clic con
el botón derecho) permite acceder a la opción Opciones de filtro.
La ventana contiene varias zonas. La primera de ellas está compuesta por tres listas desplegables:
Configurado: permite mostrar solo los parámetros que están configurados en la directiva de
grupo.
Comentado: este parámetro es idéntico al anterior, filtra sin embargo por los comentarios
dejados en la directiva.
La segunda zona permite filtrar por palabras clave mientras que la tercera y última filtra por
aplicación o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se
muestran los parámetros que contengan la palabra Ejecutar.
La búsqueda de los parámetros es así más simple y rápida.
Talleres
Los talleres permiten poner en práctica las diferentes funcionalidades estudiadas (GPO de inicio,
preferencias...).
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:).
Haga clic con el botón derecho en Defaut Domain Policy y seleccione Editar.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego, en el menú contextual,
haga clic en Nuevo.
En el campo Nombre, introduzca Parámetros de puesto cliente y luego haga clic en Aceptar.
Esta vez haga doble clic en el parámetro Impedir administración del filtro SmartScreen.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual,
seleccione Vincular una GPO existente.
Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opción Desactivar el
filtro SmartScreen está deshabilitada.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
En la carpeta GPO de inicio, haga clic en el botón Crear la carpeta de GPO de inicio para
proceder a la creación de la carpeta (panel derecho), a continuación haga clic con el botón
derecho en el nodo GPO Inicio y, en el menú contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Haga clic con el botón derecho en el contenedor y, a continuación, haga clic en Nuevo.
Introduzca Prueba GPO inicio en el campo Nombre y luego, en la lista desplegable GPO de
inicio de origen, seleccione la directiva que acabamos de crear.
Haga clic en Aceptar y seleccione la directiva Prueba GPO inicio.
Empleando la pestaña Ámbito, podemos ver que el campo Ubicación está vacío. La directiva no está
de momento vinculada a ningún contenedor.
4. Implementación de preferencias
Objetivo: creación de una GPO que contenga las preferencias y su aplicación en el equipo.
Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botón derecho en Objetos de directiva de grupo, a continuación, en el menú
contextual, haga clic en Nuevo.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Haga doble clic en Carpetas y a continuación, en el panel central, haga clic con el botón derecho y
seleccione Nuevo y luego Carpeta.
Haga clic en Configuración del Panel de control y luego haga clic con el botón derecho
enConfiguración de Internet.
En Página principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la modificación.
La línea en el campo se torna verde. Sin la validación de la tecla [F6], el parámetro no estará
actualizado.
Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual,
seleccione Vincular un GPO existente.
En el equipo CL8-01, abra una sesión como Alumno1 y luego inicie un símbolo del sistema e
introduzca el comando gpupdate /force.
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 11 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuántas directivas de grupo locales podemos implantar en un puesto Windows 8?
A diferencia de los sistemas operativos anteriores a Windows Vista que permitían la creación de
una única directiva de grupo local, ahora es posible crear varias directivas de grupo: para el equipo
local, para el grupo Administradores, para el grupo No Administradores o para un usuario específico.
2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
Para administrar las diferentes directivas de grupo, debemos utilizar la consola Administración de
directivas de grupo (GPMC) y el Editor de administración de directivas de grupo (GPME).
La directiva de grupo está compuesta de dos partes, la GPC (Group Policy Container) y la GPT
(Group Policy Template). La GPC, que contiene el ID y el número de versión, se replica con Active
Directory mientras que la GPT, que contiene los diferentes parámetros, se replica con el sistema de
replicación de la carpeta SYSVOL. La GPT se almacena en SYSVOL.
5 ¿Qué es una extensión de lado del cliente?
Una CSE o extensión del lado cliente se encuentra en el sistema operativo. Tiene como objetivo
recuperar la configuración y aplicarla. Existen tantas extensiones del lado cliente como tipos de
parámetros.
6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP?
Para poder aplicar las preferencias en un puesto Windows XP es necesario, en primer lugar, instalar
las extensiones adecuadas en el lado cliente.
Una GPO de inicio permite crear plantillas de configuración en las plantillas administrativas.
Durante su creación, los administradores tienen la posibilidad de crear la directiva basándose en la
plantilla (los parámetros se agregarán, también, a las nuevas directivas).
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible directiva local, se
aplica la directiva de sitio AD. A continuación, se aplica la directiva de dominio y, por último, se
recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas.
Una directiva de grupo se aplica cada 90 a 120 minutos. Adicionalmente esta operación se efectúa
al arrancar el equipo o tras iniciar sesión. La recuperación de la directiva solo se efectúa si ha
habido una modificación. La directiva que se atribuye a un controlador de dominio se recupera cada
5 minutos. Por último, los parámetros de seguridad se aplican cada 16 horas incluso si no ha
ocurrido ninguna modificación.
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualización de las
diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad evita tener que
ejecutar el comando gpupdate /force en el equipo local.
Al promover un servidor, se crean dos directivas de grupo. Ubicada en la raíz del dominio, la
directiva Default Domain Plocy contiene los parámetros de seguridad. Se aplica al conjunto de
objetos del dominio. La directiva Default Domain Controllers Policy se vincula a la unidad
organizativa Domain Controllers. Permite por su parte configurar los registros de auditoría en los
controladores de dominio o proporcionar derechos suplementarios a los usuarios (abrir una sesión
en un controlador de dominio, etc.).
Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del grupo que
está configurado en el Filtrado de seguridad.
Una plantilla administrativa está compuesta por un archivo ADMX, que contiene las claves a
modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo ADML viene a
completar al archivo anterior. Por su parte contiene los textos de ayuda.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos acerca del funcionamiento de la UAC.
2. Objetivos
Creación de la plantilla de seguridad e implantación de los derechos de usuario.
Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o más
equipos. Se pueden utilizar varias herramientas para efectuar esta operación.
El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes
parámetros de seguridad.
Los privilegios que permiten el acceso a un equipo o un recurso del dominio que
proporcionan al usuario permisos para realizar una acción (por ejemplo: permiso para
guardar archivos y carpetas).
Los derechos de inicio de sesión que atribuyen los permisos de inicio de sesión (por
ejemplo: conexión local para el usuario a un controlador de dominio).
Este nodo está accesible desplegando los nodos Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales.
Estos parámetros pueden emplearse para efectuar varias operaciones:
Cambiar la hora.
La UAC (User Account Control) hizo su aparición con Windows Vista y Windows Server 2008. Esta
funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una
confirmación cuando un proceso necesita permisos de administración. Si la persona conectada no es
un administrador, se solicitan los identificadores de una cuenta de administrador.
De esta forma, los usuarios estándar y los administradores se encuentran por defecto con los
mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar
permisos más elevados, la UAC efectúa una elevación de privilegios. De esta forma, solo el proceso
que solicita la elevación funciona con permisos de administrador. Son posibles dos acciones:
Esta funcionalidad puede configurarse accediendo al nodo Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales - Opciones de
seguridad.
Elevar sin preguntar: las operaciones que necesiten la elevación de privilegios se realizan
sin solicitar al usuario la autorización de elevar el privilegio.
Todos esto parámetros se pueden configurar accediendo al nodo Directiva de auditoría ubicado
enConfiguración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad -Directivas locales - Directiva de auditoría.
Es posible activar varios tipos de parámetros:
Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto
de Active Directory. Es preciso configurar la SACL (System Access Control List).
Auditar el acceso a objetos: audita objetos no Active Directory. La SACL debe estar también
configurada con un grupo o cuenta de equipo, al igual que el acceso solicitado (escritura,
lectura…).
Auditar eventos de inicio de sesión: permite al sistema operativo auditar los intentos de
conexión y desconexión del equipo.
Auditar eventos de inicio de sesión de cuenta: indica al sistema operativo que debe auditar
cada validación de credenciales de cuenta.
Podemos acceder a los parámetros avanzados del sistema de auditoría desde Configuración del
equipo - Directivas - Configuración de Windows - Configuración de seguridad - Configuración de
directiva de auditoría avanzada - Directivas de auditoría.
La activación de la auditoría sobre las acciones correctas puede generar un gran número de eventos
en el registro Seguridad.
Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Grupos restringidos.
Implantación de una restricción de software
Esta funcionalidad no permite evitar la instalación de un software pero si su ejecución. Esto permite
prohibir la ejecución de una aplicación no autorizada por el departamento de TI.
Las reglas
Permiten indicar si la ejecución de una aplicación está autorizada. Las reglas están basadas en uno
o varios criterios que se aplican a un archivo ejecutable:
Ruta de acceso: ruta local o UNC que contiene los ejecutables a bloquear.
Niveles de seguridad
Cada regla obtendrá un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecución del software definido en la regla. Existen tres niveles de seguridad:
Las restricciones de software pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Directivas de restricción
de software.
La funcionalidad AppLocker apareció con Windows Server 2008 y permite, a su vez, implementar
restricciones de software.
2. Utilización de AppLocker
AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Al
igual que para la restricción de software, es posible controlar la ejecución de una aplicación. Esta
funcionalidad permite a los administradores implementar reglas de manera sencilla y se basa a su
vez en el despliegue de directivas de grupo. La regla se aplica a un usuario o grupo de seguridad de
Active Directory.
Podemos aplicar una regla para gestionar su ejecución o utilizar la auditoría para poder probar las
reglas antes de su implantación. Los administradores pueden prohibir, por ejemplo, aplicaciones
cuyas licencias no hayan sido compradas. Solo el software validado por el departamento de
informática estará autorizado a ejecutarse.
Ejecutables
Scripts
Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en varios
casos:
Ruta de acceso: autoriza o bloquea todos los ejecutables contenidos en la ruta de acceso
proporcionada.
También es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del
sistema operativo. Éstas contienen una acción (Permitir o Denegar) que rige el funcionamiento de la
aplicación:
Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en
cualquier entorno.
Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios
Program Files y Windows.
Utilizando el editor de reglas podemos filtrar según el número de versión, el nombre de producto...
Este tipo de regla ofrece la posibilidad de crear un filtro muy personalizado.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el tráfico entrante y
saliente.
La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall
(creación de reglas, activación/desactivación del Firewall...). Para acceder a la consola, en el
menúInicio, introduzca Firewall. En el menú de la derecha, haga clic en Firewall de Windows con
seguridad avanzada.
Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con destino
al servidor. Todo el tráfico entrante está bloqueado de manera predeterminada, con la excepción del
que está explícitamente autorizado por el administrador. Las reglas de salida las inicia la máquina
host y están destinadas a los otros equipos de la red o al exterior. El tráfico saliente está autorizado
por defecto. Sin embargo es posible bloquearlo creando una regla.
También es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o exportar las
reglas creadas. La configuración puede realizarse de forma manual en cada equipo o de forma
automática utilizando la directiva de grupo (Configuración del equipo - Directivas - Configuración de
Windows - Configuración de seguridad - Firewall de Windows con seguridad avanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. También es posible indicar
si el firewall está activo o inactivo por perfil.
Resulta, ahora, mucho más sencillo dar un juego de configuración para cada red (privada, dominio o
pública). Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del
Firewall.
Talleres
Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo.
Haga clic en Archivo - Agregar o quitar complementos y luego haga clic en Plantillas de
seguridad.
Despliegue el nodo Plantillas de seguridad y luego haga clic con el botón derecho en la carpeta.
En el campo Nombre de plantilla, introduzca Plantilla Admins. y luego haga clic en Aceptar.
Despliegue el nodo Plantilla Admins.
Haga clic con el botón derecho en Plantilla Admins. y luego, en el menú contextual, haga clic
enGuardar.
Haga clic con el botón derecho en Configuración de seguridad y luego haga clic en Importar
directiva.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuración y
análisis de seguridad.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo: conflicto
entre la plantilla de seguridad y la GPO).
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego en el menú
contextual seleccione Configurar el equipo ahora.
En la ventana Configurar el sistema, deje la ruta predeterminada y luego haga clic en Aceptar.
Los parámetros de la directiva de grupo Default Domain Policy han sido modificados por los
parámetros de la plantilla. Ésta permite actualizar el conjunto de parámetros de forma muy sencilla.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo.
La directiva aparece en la consola, haga clic con el botón derecho en ella y luego, en el menú
contextual, haga clic en Editar.
No utilice el botón Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.
En la consola Administración de directivas de grupo, haga clic con el botón derecho en la unidad
organizativa Cliente.
Agregue la cuenta Admins. del dominio y luego asígnele el permiso Control total.
Haga clic en el vínculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la
ventana que se muestra.
Haga clic en Comprobar nombres y luego en Aceptar.
En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.
En AD1, inicie la consola Administración de directivas de grupo y luego haga clic con el botón
derecho en Objetos de directiva de grupo.
Introduzca Auditoría carpeta Informática en el campo Nombre y luego haga clic en Aceptar.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuración de directivay
seleccione la casilla Error.
Abra un símbolo del sistema DOS y ejecute el comando gpupdate /force en AD1.
En AD1, inicie la consola Administración de equipos y despliegue los nodos Visor eventos y
luego Registros de Windows.
Haga clic con el botón derecho en el grupo Admins. del dominio, y luego haga clic
enPropiedades.
Esto va a permitir auditar los intentos de modificación denegados en las propiedades del grupo, tales
como la modificación del propietario…
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.
Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en
la unidad organizativa Domain Controllers.
Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione Editar.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventos de auditoría y Correcto.
Haga clic en Aplicar y luego en Aceptar.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdate /force.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el
registroSeguridad.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operación, el
objeto que ha sido modificado al igual que la cuenta que ha sido agregada, eliminada…
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en
el menú contextual.
En la consola GPMC, haga clic con el botón derecho en AppLocker y luego, en el menú
contextual, haga clic en Editar.
Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.
Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en
cualquier carpeta.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opciónCrear nueva regla.
Haga clic en el botón Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program
Files\Windows Mail.
Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea bloquear.
Situándolo encima de Nombre de producto, se bloquean todas las versiones de WAB. Haciendo clic
enUsar valores personalizados, podemos modificar todos los campos y seleccionar el valor deseado
de la lista desplegable.
El valor Y superior permite bloquear la versión 6.2.0.0 y posteriores. Es posible configurar los
valores Y superior, E inferior o Exactamente.
Creando una excepción podemos autorizar una de las versiones bloqueadas, versión 6.3.0.0 (u
otra).
En el campo Nombre, introduzca Regla Bloquear Wab y luego haga clic en el botón Crear.
Se ha creado la regla correctamente.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opciónCrear nueva regla.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
enProgram Files(x86)\Internet Explorer. A continuación, haga clic en Siguiente.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear.
Haga clic con el botón derecho en AppLocker y luego haga clic en Propiedades.
AppLocker puede tardar varios minutos después del inicio para funcionar.
En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditoría por Aplicar
reglas.
Valide la modificación haciendo clic en el botón Aceptar.
En CL8-02, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte /force.
Ejecute Internet Explorer, se muestra un mensaje informando que el programa está bloqueado.
En el menú, haga clic en Configuración avanzada para iniciar la consola Firewall de Windows y,
a continuación, haga clic en Configuración avanzada.
Haga clic en Reglas de salida y luego en Nueva regla en el panel Acciones.
En la ventana Tipo de regla, seleccione la opción Personalizada y luego haga clic en Siguiente.
La regla se debe aplicar a todos los programas, deje la opción por defecto en la
ventanaPrograma y haga clic en Siguiente.
El objetivo es bloquear las respuestas del equipo a la ejecución de un Ping.
En la lista desplegable Tipo de protocolo, seleccione el protocolo ICMPv4 y luego haga clic
enSiguiente.
En la ventana Ámbito, haga clic en Siguiente.
Seleccione la acción deseada, Bloquear la conexión, y valide su opción haciendo clic enSiguiente.
La regla se aplica de momento a los tres perfiles, deje la opción por defecto y haga clic
enSiguiente.
Introduzca Bloquear Ping en el campo Nombre y luego haga clic en Finalizar.
En CL8-02, inicie un símbolo de sistema DOS e introduzca el comando ping -4 ad1.
El equipo es miembro del dominio, por lo que está configurado en el perfil Dominio. La regla Bloquear
Ping no está activa en el perfil, el firewall permite que las tramas salgan.
Validación de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué
ocurre si no existe una regla para esta trama?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Qué es una plantilla de seguridad y en qué forma se presenta?
Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los
parámetros de contraseña, bloqueo al igual que otros parámetros de seguridad. Esta plantilla puede
importarse, a continuación, en una directiva de grupo.
Este parámetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos
permisos pueden conceder la posibilidad de abrir una sesión en un controlador de dominio o el
cambio de la zona horaria…
La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando
que los procesos de usuario (Word, Internet Explorer…) se ejecutan con permisos de usuario. Si
este último es un administrador, el token de acceso se divide en dos (un token de usuario para el
uso cotidiano y un token de administrador para contar con permisos de administración). Cuando un
proceso requiere permisos de administrador, solicita una elevación de privilegios. Después de la
aceptación del usuario, el proceso que realiza la solicitud obtendrá permiso para utilizar el token de
administrador. Sin embargo, si el usuario es una cuenta estándar sin permisos de administración,
se requiere que se indique la información de inicio de sesión de un administrador para efectuar la
elevación.
Para implantar un sistema de auditoría, debemos crear una directiva de auditoría y luego vincular la
unidad organizativa o la raíz del dominio. De acuerdo con los objetos, debemos configurar la SACL.
5 ¿A quién sirve la auditoría?
La auditoría permite tener un registro de los eventos que ocurren en un objeto (grupo AD,
carpeta...). Las auditorías pueden referirse a modificaciones, accesos, etc. Esta operación se
configura para recuperar todos los eventos correctos o fallidos.
Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de conexión y
desconexión del equipo.
El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o
un grupo local. En el último caso, esto evita que el administrador tenga que configurar el conjunto
de equipos.
El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite aplicar las reglas
configuradas.
Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las reglas. Durante
la ejecución de la aplicación gestionada por AppLocker, un mensaje de aviso informa al
administrador del resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible
bloqueo de los diferentes programas.
La consola Firewall de Windows con seguridad avanzada permite la creación de las reglas
entrantes, salientes o las reglas de conexión.
12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué
ocurre si no existe una regla para esta trama?
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la
regla predeterminada. Esta última autoriza el tráfico saliente y prohíbe todo el tráfico entrante,
salvo que exista una regla creada específicamente.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos de micro informática.
2. Objetivos
Utilización del Administrador de tareas y el Monitor de recursos.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opción Buscar en línea puede ser muy útil. Permite obtener información acerca del proceso en
cuestión. La opción Valores del recurso permite cambiar las unidades de la columna Memoria para
mostrar los porcentajes en lugar de valores y viceversa.
El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder
a la carpeta que contiene el ejecutable de un proceso sin tener que realizar una búsqueda, seleccione
la opción Abrir ubicación del archivo. A continuación, se muestra la carpeta que contiene el archivo.
En ciertos casos es necesario tener más información sobre un proceso. Para ello haga clic en Ir a
detalles. Se muestra la pestaña Detalles y el proceso en cuestión aparece seleccionado.
Esta vista proporciona acceso al nombre del archivo ejecutable, así como al ID del proceso (PID). Se
muestran también el estado, nombre de la cuenta que ha iniciado el proceso y el uso de procesador y
memoria.
Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres
gráficos. Desmarque la opción para volver al formato inicial.
Mostrar gráficos reemplaza los botones de colores por los gráficos en curso.
SeleccioneOcultar gráficos en el menú contextual para ocultar los gráficos.
Copiar copia los datos presentes en los gráficos en el portapapeles.
La pestaña Usuarios facilita la gestión de los usuarios conectados. Siempre es posible desconectar la
sesión de usuario, pero ahora es incluso más sencillo. En efecto, desplegando la línea fila del usuario
correspondiente es posible ver, fácilmente, qué procesos le pertenecen. Adicionalmente, es posible
conocer el uso de procesador y memoria de cada uno.
Por último, la última pestaña Servicios proporciona acceso a la gestión de servicios. Es posible
conocer su estado así como distintos parámetros (PID...). Podemos acceder a la consola Services.msc
haciendo clic con el botón derecho y seleccionando Abrir servicios en el menú contextual.
El Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite efectuar la supervisión del procesador y los procesos, la memoria RAM así como
la actividad de los discos y la red.
La consola se compone de varias pestañas. La pestaña Información general permite tener una vista
de conjunto de los componentes. Esto permite evitar cuellos de botella. Además de los
componentesMemoria, Red, CPU y Disco, se muestran gráficos actualizados en tiempo real.
Por último, la pestaña Red presenta los diferentes procesos con actividad de red, la herramienta
también resulta útil para ver las conexiones TCP y los puertos en que escuchan. La herramienta
permite analizar los diferentes componentes y proporcionar una explicación para una degradación de
rendimiento en un equipo.
Los diferentes gráficos permiten obtener información acerca de los diferentes componentes del
servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operación
puede llevarse a cabo mediante un gráfico e informes. El análisis se puede hacer en tiempo real, lo
que obliga al administrador a estar presente. Adicionalmente la lectura de datos no es óptima. La
segunda forma consiste en ejecutar un recopilador de datos, que permite registrar los datos
recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un análisis muy granular y un resultado óptimo.
Procesador
El objeto de rendimiento Procesador permite obtener información sobre la actividad del procesador.
Esta es una de las piezas centrales de un servidor. Si existen varios procesadores, es posible analizar
todos o uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios para los
programas. En caso de fallo, los tiempos de lectura y escritura pueden verse afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona un dato
específico.
Memoria RAM
Los contadores de rendimiento de Memoria permiten obtener información sobre la memoria física y
virtual del ordenador. La memoria física se refiere a la memoria RAM del equipo, mientras que la
memoria virtual concierne al espacio de memoria física y en disco.
Red
La parte de red incluye un gran número de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, también, sus contadores.
Es posible realizar el análisis de forma manual o automática. El método manual es en tiempo real.
Esto implica la presencia física frente al ordenador para poder analizar los datos antes de su borrado.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena un
archivo con todos los valores en la carpeta PerfLogs ubicada en la partición del sistema.
Sin embargo, el tamaño del archivo crecerá rápidamente, lo que puede impactar el servidor y los roles
instalados en él.
Los registros de eventos
El Visor de eventos contiene varios registros útiles para diagnosticar un fallo o incoherencia en el
sistema. Está compuesto por varios registros, como Aplicación, Sistema y Seguridad. El
registroAplicación ofrece la posibilidad a los desarrolladores de escribir los eventos devueltos por sus
aplicaciones. El registro Sistema permite obtener los datos enviados por el sistema (problema
DHCP…). El registro Seguridad permite visualizar el resultado de las auditorías configuradas.
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.
Información
Advertencia
Error
Crítico
Adicionalmente, un evento contiene varios datos importantes tales como Evento (número de ID del
evento), origen y el mensaje.
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del
registro...) así como configurar su tamaño actual y máximo. El registro puede vaciarse empleando el
botón Vaciar registro. Se puede acceder a esta ventana haciendo clic con el botón derecho en el
registro deseado y luego seleccionando Propiedades en el menú contextual.
Al alcanzar el tamaño máximo del registro podemos tomar tres acciones:
Podemos crear un nuevo filtro haciendo clic con el botón derecho en Vistas personalizadas y
seleccionando Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para
tener en cuenta en el filtro.
La lista desplegable Registros de eventos permite seleccionar los registros a los que se
aplica el filtro.
Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en la lista
desplegable uno o más orígenes. También es posible filtrar en función de un nombre de equipo, de
usuario, de palabras clave o de número de ID.
El filtro devuelve solamente los eventos que corresponden a las categorías seleccionadas.
2. Suscripción
Para facilitar la supervisión de los servidores de una red informática, podemos desplegar una
suscripción. Ésta permite recuperar los eventos de los servidores de destino. Los eventos
recuperados deben responder a criterios definidos por el administrador empleando una vista
personalizada. Para esta funcionalidad se emplean dos servicios:
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo
recolectado para Wecsvc.
Talleres
Los diferentes talleres presentados permiten el uso de las herramientas encargadas del análisis y
mantenimiento del servidor.
Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los
contadores.
En la barra de herramientas, haga clic en el botón Cambiar tipo de gráfico (tercer botón) y luego
seleccione en el menú contextual Barra de histograma.
Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este ejemplo
está hecho sobre un controlador de dominio, el contador para el diagnóstico de Active Directory se
encuentra en el sistema. El contenedor definido por el usuario permite crear de nuevos recopiladores
de datos.
Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de
información.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o
cambiar el tipo de gráfico.
Haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista personalizada.
Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles.
Haga clic en Aceptar y luego en el campo Nombre, introduzca Búsqueda registro App.Sys.
Confirme haciendo clic en Aceptar.
En AD1, abra la interfaz Menú Inicio, haga clic en Herramientas administrativas y luego abra
la consola DHCP.
Despliegue el nodo ad1.formacion.local y luego haga clic con el botón derecho en él.
Haga clic con el botón derecho en el aviso y luego seleccione Adjuntar tarea a este evento. Esta
opción se encuentra también disponible en el panel Acciones.
Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los
parámetros por defecto.
Los campos Registro, Origen e Id del evento aparecen en gris. Haga clic en Siguiente para
validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje
que no verá, necesariamente, el administrador.
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
Esta operación autoriza al equipo SV1 a leer los registros de eventos.
Haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en Crear
suscripción.
Los eventos que deben ser transferidos son los de nivel Información, Advertencia, Error y Crítico. El
filtro no es muy restrictivo, porque las máquinas se han instalado recientemente y no contienen una
gran cantidad de eventos de tipo advertencia o error.
Haga clic dos veces en Aceptar. Se adjunta una nueva línea a la consola.
Haga clic con el botón derecho en Recopilador AD1, luego seleccione Estado en tiempo de
ejecución.
Verifique que el sistema no envía ningún error. Si no se devuelve ningún error, espere,
porque la transferencia está en progreso.
Tras un tiempo más o menos largo, los eventos aparecen en el registro Eventos reenviados.
Si no se transfiere ningún evento y la suscripción no presenta ningún error, verifique el filtro y reinicie
el origen y el recopilador. Antes de reiniciar, espere algunos segundos para verificar que la suscripción
no presenta ningún error.
Validación de conocimientos: preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 7 puntos para
aprobar el capítulo.
3. Respuestas
1 ¿Cuál es la utilidad del Administrador de tareas?
El administrador de tareas permite gestionar los procesos y los distintos servicios. La consola
permite a su vez diagnosticar los problemas de rendimiento.
Se pueden utilizar tres tipos de gráficos en el Monitor de rendimiento: curvas, histograma de barras
e informes.
A diferencia del Monitor de rendimiento que efectúa un análisis en tiempo real, un conjunto de
recopiladores de datos permite realizar un análisis de los datos recuperados en cualquier momento.
Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta carpeta está
ubicada en la partición del sistema.
6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros?
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
La suscripción utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc
(Windows Event Collector Service) en el destino.
Objetivos
Configuración de Hyper-V