70 646 Traducido

Este libro está dedicado a los gatos de mi hija, Bonnie y Clyde, cuya contribución
de un libro anterior nunca ha sido plenamente reconocido, y no eran más que los gatitos en el
momento!
-Ian McLean
Por la grande y noble Thomas Joanie
-Orin Thomas
1
Acerca de los autores
Ian McLean
Ian McLean, MCSE, MCITP, MCT, tiene una experiencia de más de 40 años de experiencia en
la industria, el comercio,
y la educación. Comenzó su carrera como ingeniero electrónico antes de entrar en
de aprendizaje a distancia y luego en la educación como profesor universitario. En la actualidad
corre
su empresa de consultoría propia. Ian ha escrito 21 libros, más numerosos artículos y técnicos
cal artículos. Él ha estado trabajando con sistemas operativos de Microsoft desde 1997.
Orin Thomas
Orin Thomas, MCSE, MVP, es un autor y administrador de sistemas que ha trabajado
con los sistemas operativos de Microsoft desde hace más de una década. Él es el coautor
de numerosos kits de entrenamiento de autoaprendizaje de Microsoft Press, incluyendo MCSA /
MCSE
Kit de autoaprendizaje para Capacitación (examen 70-290): Administración y mantenimiento de
un Microsoft
Entorno Windows Server 2003, Segunda edición, y un redactor que contribuye para
Windows IT Pro Magazine.
Steve Suehring
Steve Suehring es un consultor internacional que ha escrito acerca de la programación,
administración de la seguridad, red y sistemas, sistemas operativos y otros temas
para varias publicaciones de la industria. También da conferencias y grupos de usuarios y
se desempeñó como editor de la revista LinuxWorld.
Contenido de un vistazo
1Installing, actualización e implementación de Windows Server 2008. . . . . . . . . . 1
2Configuring conectividad de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Directorio 3Active y Directiva de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Servidores 4Application y Servicios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Servicios 5Terminal y aplicación y virtualización de servidores. . . . . . . . 263
6File y servidores de impresión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
7Windows Server 2008 Management, Supervisión y Delegación. . . 395
8Patch gestión y seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
9Remote acceso y protección de acceso de red. . . . . . . . . . . . . . . . . . . 509
10Certificate servicios y redes de área de almacenamiento. . . . . . . . . . . . . . . . . . . 545
11Clustering y alta disponibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
12Backup y recuperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
vii
Tabla de contenidos
Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Xxi
Instrucciones de configuración del laboratorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . xxi
Requisitos de hardware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxii
Preparación del equipo Windows Server 2008 Enterprise. . . . . . . . . . . . . . . . xxii
Preparación del equipo de Windows Vista. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii
Uso del CD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii
Cómo instalar la práctica de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
Cómo utilizar la práctica de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiv
Cómo desinstalar la práctica de pruebas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
Microsoft Certified Professional Program. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
Soporte Técnico. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxvi
1 Instalación, actualización e implementación de Windows Server 2008. . . . . . . . . . 1

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.1
Lección 1: Planificación de Windows Server 2008 Instalación y actualización. . . . . . . . . . . . . . 0.3
Selección de la edición correcta de Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . 0.3
Windows Server 2008 Server Core. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.8
Instalación de Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.12
La actualización de Windows Server 2003. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.13
Planificación de implementación de BitLocker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0.17
Práctica: Instalación de Windows Server 2008 e implementación de BitLocker. . . . . . . . 0.22
Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.33
Repaso de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.34
Lección 2: Implementación de servidor automatizado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0.36
Windows Server 2008 archivos de respuesta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.36
¿Qué piensa usted de este libro? Queremos saber de usted!
Microsoft está interesado en escuchar sus comentarios así podemos mejorar continuamente nuestros libros y el aprendizaje
recursos para usted. Para participar en una encuesta en línea breve, por favor visite:
www.microsoft.com/learning/booksurvey/
ix
x Tabla de contenidos
Windows Deployment Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Multicast, programada y la implementación automática. . . . . . . . . . . . . . . . . . . . . . . 42
Retroceso de la preparación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Práctica: Instalación y configuración de Windows
Servicios de implementación de funciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 46
Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Repaso de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Revisión del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Resumen del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Escenarios de caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Escenario 1: La migración de Contoso a Windows Server 2008. . . . . . . . . . . . 56
Dos casos: Juguetes Tailspin Automatiza de Windows
Server 2008 Deployment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Prácticas sugeridas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Instalaciones Plan de servidor y las actualizaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
Planear la implementación de servidor automatizado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Tomar un examen de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
2 Configuración de la conectividad de red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Lección 1: El uso de IPv6 en Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Abordar los problemas causados por las limitaciones de IPv4. . . . . . . . . . . . . . . . . . . . . . . . 62
Analizando la estructura de direcciones IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
La planificación de una estrategia de transición de IPv4 a IPv6. . . . . . . . . . . . . . . . . . . . . . . . . .
. . 73
Implementación de IPv4 a IPv6 de compatibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Uso de herramientas de IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
Configuración de clientes a través de DHCPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Planificación de una red IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Práctica: Configuración de la conectividad IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Repaso de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Lección 2: Configuración del DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Uso de Windows Server 2008 DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
Tabla de contenidos xi
El examen de nuevas características y mejoras de DNS. . . . . . . . . . . . . . . . . . . . . . 114

Planificación de una infraestructura DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Práctica: Configuración de DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Revisión del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Resumen del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Escenarios de caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Caso Escenario 1: Implementación de la conectividad IPv6. . . . . . . . . . . . . . . . . . . . . . 127
Caso Escenario 2: Configuración del DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Prácticas sugeridas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Configurar la conectividad IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Configurar el DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Tomar un examen de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
3 Active Directory y Group Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Lección 1: Windows Server 2008 Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
La introducción de Windows Server 2008 Directorio de funciones de servidor. . . . . . . . . . . . .
134
Planificación de dominio y funcionalidad del bosque. . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Nivel de planificación forestal Fideicomisos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
156
La práctica: elevar los niveles de dominio y funcional del bosque
y configuración de grano fino Directiva de contraseñas. . . . . . . . . . . . . . . . . . . . . . . . 161

Lección 2: Directiva de grupo en Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Comprensión de directiva de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Planificación y Gestión de Políticas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Solución de problemas de directiva de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
183
Práctica: Instalación de GPMC y crear un almacén central
para los archivos de directiva de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 186
xii Tabla de contenidos

Resumen del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Escenarios de caso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Escenario 1: Planificación de una actualización de Windows Server 2003. . . . . . . . . . . . . 193
Caso Escenario 2: Planificación y Documentación
Solución de problemas Procedimientos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Configurar Windows Server 2008 AD DS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Configure la directiva de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Tomar un examen de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
4 Servidores de aplicaciones y servicios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Lección 1: Servidores de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
La planificación de disponibilidad de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 199
Garantizar la disponibilidad de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Implementación de aplicaciones de accesibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
La planificación de la resiliencia de la aplicación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 213
Práctica: Instalación del servidor de aplicaciones Función de servidor. . . . . . . . . . . . . . . . . . .
224
Lección 2: Implementación de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Planificación de implementación de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
235
El despliegue de aplicaciones con System Center Essentials. . . . . . . . . . . . . . . . . 237
Usando System Center Configuration Manager 2007. . . . . . . . . . . . . . . . . . . . . 240
Práctica: Instalación de System Center Essentials 2007 (opcional). . . . . . . . . . . . . 253
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Caso Escenario 1: Planificación de la resiliencia de aplicaciones LOB. . . . . . . . . . . . . . . . . . .
260
Tabla de contenidos xiii
Escenario 2: Gestión de clientes y despliegue del software. . . . . . . . . . . . . 260

Utilice la función de servidor de Application Server, IIS, y WSUS. . . . . . . . . . . . . . . . . . 261
Utilice las herramientas de cliente de Gestión Unificada. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
262
5 Servicios de Terminal Server y de aplicaciones y virtualización de servidores. . . . . . . . 263

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Lección 1: Servicios de Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
265
Planificación de Infraestructuras de Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Licencias de Terminal Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Configuración de servidores Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
272
Terminal Services Web Access. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Terminal Server sesión Broker. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Monitoreo de Servicios de Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
Terminal Services Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Práctica: Implementación de Servicios de Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 283
Lección 2: Server y Application Virtualization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
Hyper-V. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Administración de servidores virtualizados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
300
Terminal Services RemoteApp. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
Microsoft Application Virtualization. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306
Práctica: Configuración e implementación de RemoteApp. . . . . . . . . . . . . . . . . . . . . . 307
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Caso Escenario 1: Consolidación de servidores Tailspin Toys. . . . . . . . . . . . . . . . . . . . . 316
Escenario 2: Planificación de una estrategia de Servicios de Terminal para Wingtip Toys. . 317
xiv Tabla de contenidos
Aplicaciones disposición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Servidores del Plan de aplicaciones y servicios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
318
6 Archivo y servidores de impresión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Lección 1: Gestión de archivos y servidores de impresión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
321
Planificación de la función Servicios de archivo del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . 321
La gestión de control de acceso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Utilizando FSRM configurar cuotas de pantalla y la política de archivos. . . . . . . . . . . . . . . . .
339
Planificación de la función Servicios de impresión del servidor. . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . 344
Práctica: Agregar servicios de función a la función del servidor de archivos Servicios
y adición de la función Servicios de impresión del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
349
Lección 2: Aprovisionamiento de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Utilizando espacio de nombres DFS para planificar e implementar una carpeta compartida
Estructura y mejorar la disponibilidad de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
Configuración de una estructura de DFSR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

370
Configurar el acceso a datos sin conexión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
Configuración de indización en el servicio de búsqueda de Windows. . . . . . . . . . . . . . . . . . .
381
Práctica: La migración de un espacio de nombres para Windows Server 2008 de modo. . . . . .
. . . 384
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
Case Scenario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Escenario de caso: Planificación de una actualización de Windows Server 2003. . . . . . . . . . . .
. . . 391
Archivo y servidores de impresión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
392
393
7 Windows Server 2008 Management, Supervisión y Delegación. . 395
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
Tabla de contenidos xv
Lección 1: Estrategias de Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

Herramientas para la administración de Windows Server 2008. . . . . . . . . . . . . . . . . . . 397
Tecnologías de administración remota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
La administración de Windows Server 2008 los registros de sucesos. . . . . . . . . . . . . . . . . . . . .
. . . . . 408
Práctica: la administración remota de Windows Server 2008. . . . . . . . . . . . . . . . . . . . 420
Lección 2: Monitoreo y Optimización del rendimiento. . . . . . . . . . . . . . . . . . . . . . . . . 426
Fiabilidad y rendimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Optimización del rendimiento de Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . 434
Del sistema de Windows Resource Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Práctica: Establece el recopilador de datos, informes y políticas WSRM. . . . . . . . . . . . . . . 438
Lección 3: la delegación de autoridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Políticas de la delegación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Procedimientos de la delegación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Delegación de credenciales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452
Delegar la gestión de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . 455
Práctica: La delegación de permisos administrativos
en Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Caso Escenario 1: Gestión de Fabrikam evento. . . . . . . . . . . . . . . . . . . . . . . . . 463
Dos casos: el servidor de supervisión del rendimiento
en el Blue Yonder Airlines. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Caso Escenario 3: La delegación de los Derechos de los Usuarios de confianza en Wingtip

Toys. . . . . . 464
Plan de Estrategias de Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
xvi Tabla de contenidos
Plan de administración delegada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Monitor de Servidores para la evaluación y optimización del rendimiento. . . . . . . . . . . 465
466
8 Gestión de parches y seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Lección 1: Windows Server 2008 Estrategias de gestión de parches. . . . . . . . . . . . . . . . 469
Implementación de actualizaciones con WSUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
469
Replica y modo autónomo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Uso de grupos de equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Configuración del cliente WSUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Actualizaciones y estrategias de sincronización. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Actualización de Gestión y Cumplimiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Otras herramientas de gestión de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485
Práctica: implementación de WSUS Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486
Lección 2: controlar y mantener la seguridad del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Supervisión de la seguridad del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
494
Sistema de archivos cifrados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497
Firewall de Windows con seguridad avanzada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Práctica: Las políticas de aislamiento de servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
501
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
Case Scenario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 507
Escenario: implementación de WSUS 3.0 SP1 en Fabrikam. . . . . . . . . . . . . . . . . . . . 507
Implementar una estrategia de gestión de parches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
Monitor de seguridad del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
508
Tabla de contenidos xvii
9 Acceso remoto y Network Access Protection. . . . . . . . . . . . . . . . . . . 509

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Lección 1: Administrar el acceso remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
VPN y protocolos de autenticación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
La red del servidor de políticas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518
Contabilidad de acceso remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Servicios de Terminal Server Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
Práctica: Instalación y configuración de acceso remoto. . . . . . . . . . . . . . . . . . . . . 525
Lección 2: Protección de acceso a la red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Agentes del Sistema de Salud y validadores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Los métodos de cumplimiento NAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Servidores de Remediación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Práctica: Configuración del PAN con la Agencia de DHCP. . . . . . . . . . . . . . . . . . . . 536
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Case Scenario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Escenario: Acceso remoto a Wingtip Toys. . . . . . . . . . . . . . . . . . . . . . . . . 542
Configurar acceso remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
Configurar la protección de acceso a la red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542
10 Servicios de Certificate Server y Storage Area Networks. . . . . . . . . . . . . . . . . . . 545

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Lección 1: Configuración de servicios de Active Directory Certificate. . . . . . . . . . . . . . . . . . . 547
Tipo de entidad emisora de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547
Certificado de Servicios de administración basada en funciones. . . . . . . . . . . . . . . . . . . . . . . . .
550
Configuración de credenciales móviles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
xviii Tabla de contenidos
Configuración de inscripción automática. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

553
Configuración de la compatibilidad de inscripción Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 556
Configuración de listas de revocación de certificados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
557
Configuración de una respuesta en línea de Servicios de Certificate Server. . . . . . . . . . . . . . . .
559
Dispositivo de red Servicio de inscripción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
Uso de Enterprise PKI para controlar la salud de CA. . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Práctica: Implementación de Servicios de certificados de Active Directory
y una respuesta en línea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

Lección 2: Planificación de la implementación de redes de área de almacenamiento. . . . . . . . . . . . . .
. . 574
Números de unidad lógica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
VDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Storage Manager para redes SAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577
Multipath I / O. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
El Explorador de almacenamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 580
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584
Case Scenario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
Escenario: Servicios de implementación de certificados y
una matriz de SAN en el viñedo y la Bodega Coho. . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

Plan de Servicios de Infraestructura de las funciones del servidor. . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . 586
Configurar el almacenamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
586
586
11 Clustering y alta disponibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587
Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Lección 1: Comprensión de DNS Round Robin y equilibrio de carga. . . . . . . . . . . . . . 589
Plan de Estrategias de disponibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
DNS Round Robin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Tabla de contenidos xix
Configuración de red de Windows Load Balancing. . . . . . . . . . . . . . . . . . . . . . . . 594

Práctica: Configuración del balance de carga de red. . . . . . . . . . . . . . . . . . . . . . . . . 601
Lección 2: Windows Server 2008 Cluster Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Selección de estrategias de redundancia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Conceptos Cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Configuración de conmutación por error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Práctica: La validación de un nodo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.619
Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.622
Repaso de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.624
Case Scenario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Escenario: La elección de la estrategia de disponibilidad adecuada. . . . . . . . . . . 624
Crear un DNS Round Robin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Crear un clúster de conmutación por error. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . 625
12 Backup y recuperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

Antes de empezar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Lección 1: Copia de seguridad de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
629
Las instantáneas de carpetas compartidas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Windows Server Backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
El wbadmin herramienta intérprete de comandos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
637
Copia de seguridad de funciones de servidor y aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 639
Copia de seguridad de forma remota equipos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0.641
Otras consideraciones para copias de seguridad de planificación. . . . . . . . . . . . . . . . . . . . . . . .
. . 642
System Center Data Protection Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Práctica: Copia de seguridad de Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
xx Tabla de contenidos
Lección 2: Recuperación de desastres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650

Windows Server Modos de copia de seguridad de recuperación. . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 650
Recuperación de Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656
Hyper-V y recuperación de desastres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
Práctica: La restauración de Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664
Términos clave. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Caso Escenario 1: Wingtip infraestructura de copia de seguridad Juguetes. . . . . . . . . . . . . . . .
. . . . 672
Escenario 2: Recuperación de desastres en Fabrikam. . . . . . . . . . . . . . . . . . . . . . . . 672
Plan de copia de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
673
Plan de Recuperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
674
Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675
Glosario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729
Índice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737
¿Qué piensa usted de este libro? Queremos saber de usted!
Microsoft está interesado en escuchar sus comentarios así podemos mejorar continuamente nuestros libros y el aprendizaje
recursos para usted. Para participar en una encuesta en línea breve, por favor visite:
www.microsoft.com/learning/booksurvey/
Introducción
Este kit de capacitación está diseñado para administradores de servidores que tienen de dos a
tres años de
experiencia en la gestión y la infraestructura de servidores de Windows en un entorno que
normalmente soporta de 250 a 5.000 o más usuarios en tres o más ubicaciones físicas y
tiene tres o más controladores de dominio. Probablemente, usted será responsable de apoyar
servicios de red y recursos tales como mensajería, servidores de bases de datos, archivos e
impresión
servidores, un servidor proxy, un servidor de seguridad, conexión a Internet, intranet, acceso
remoto,
y los equipos cliente. También será responsable de implementar la conectividad
requisitos tales como conexión de sucursales y usuarios individuales en lugares remotos-
ciones a la red corporativa y conexión de redes corporativas a Internet.
Mediante el uso de este kit de capacitación, usted aprenderá cómo hacer
lo siguiente:
■ Planificar e implementar Windows Server 2008 la implementación del
■
servidor
Planificar e implementar Windows Server 2008 la administración de
■
servidores
Monitorear, mantener y optimizar servidores
■ Plan de aplicación y suministro de datos
■ Planificar e implementar estrategias de alta disponibilidad y garantizar la continuidad del
negocio
Buscar contenido en línea
Como adicional
materia nueva o actualizada que complemente su libro
esté disponible, será publicada en la prensa en línea Microsoft Windows Server y Cliente Web
sitio. Basado en la versión final de Windows Server 2008, el tipo de material que usted puede encontrar incluye
actualizaciones de los contenidos de libros, artículos, enlaces a contenidos compañero, fe de erratas, capítulos de la muestra, y
mucho más.
Este sitio web estará disponible en breve en www.microsoft.com / learning / libros / en línea / ServerClient y
se actualizará periódicamente.
Instrucciones de instalación de
laboratorio
Los ejercicios de este kit de capacitación requieren un mínimo de dos ordenadores o virtuales
máquinas:
■ Uno de Windows Server 2008 Enterprise servidor configurado como controlador de

■
dominio
Una Windows Vista (Enterprise, Business, Ultimate o) equipo
Usted puede obtener una versión de evaluación de Windows Server 2008 Enterprise Edition
software de centro de descargas de Microsoft en http://www.microsoft.com/Downloads/
Search.aspx. Si desea realizar los ejercicios opcionales en el Capítulo 4, "Solicitud
xxi
xxii Introducción
Servidores y Servicios ", que necesita un servidor adicional de Windows Server 2003 miembros.
Si desea realizar los ejercicios opcionales en el capítulo 11, "la agrupación y la alta
Disponibilidad ", que necesita un servidor adicional de Windows 2008 Enterprise servidor
miembro.
Estos servidores pueden ser las máquinas virtuales.
Todos los equipos deben estar conectados físicamente a la misma red. Le recomendamos que
utiliza una red aislada que no forma parte de la red de producción para hacer prácticas
tica ejercicios de este libro. Para minimizar el tiempo y los gastos de configuración física
computadoras, le recomendamos que utilice las máquinas virtuales. Para ejecutar las
computadoras como virtuales
las máquinas de Windows, puede utilizar Virtual PC 2007, Virtual Server 2005 R2, o
software de terceros máquina virtual. Para descargar Virtual PC 2007, visite http://
www.microsoft.com / windows / downloads / VirtualPC / default.mspx. Para descargar una eva-
UA R de Virtual Server 2005 R2, visite http://www.microsoft.com/technet/virtualserver/
evaluación / default.mspx.
Requisitos de hardware
Puede completar casi todos los ejercicios de práctica en este libro con las máquinas virtuales
en lugar de hardware del servidor real. El hardware mínimos y recomendados requisitos
mentos para Windows Server 2008 se enumeran en la Tabla 1.
Tabla 1 Windows Server 2008 Requisitos mínimos de hardware
Los componentes de hardware Requisitos mínimos Recomendado
Procesador 1 GHz (x86), 1,4 GHz (x64) 2 GHz o más rápido
RAM 512 MB 2 GB
De espacio en 15 GB 40 GB
disco
Si tiene intención de poner en práctica varias máquinas virtuales en el mismo equipo (reco-
recomendado), una especificación más alta mejorará su experiencia de usuario. En particular,
un
equipo con 4 GB de RAM y 60 GB de espacio libre en disco puede albergar todas las máquinas
virtuales
especificado para todos los ejercicios de práctica en este libro.
Preparación del equipo Windows Server 2008 la empresa
Las instrucciones detalladas para la preparación para Windows Server 2008 la instalación y la
instalación
ción y configuración de Windows Server 2008 Enterprise controlador de dominio se les da
en el Capítulo 1, "Instalación, actualización e implementación de Windows Server 2008." El
requiere funciones de servidor se agregan en los ejercicios de práctica en los capítulos
siguientes.
Introducción xxiii
La preparación del equipo con Windows Vista

Realice los pasos siguientes para preparar el equipo con Windows Vista para los ejercicios
en este kit de capacitación.
Compruebe los requisitos de funcionamiento la versión del

sistema
En el Panel de Control (en la categoría Sistema y mantenimiento), verificar que
la versión del sistema operativo es Windows Vista Enterprise Edition, Business Edition, o
Ultimate Edition. Si es necesario, elija la opción de actualizar a una de estas versiones.
El nombre del equipo

En el panel de control del sistema, especifique el nombre del equipo como
Melbourne.
Configurar la red
Para configurar la red llevar a cabo las siguientes tareas:
1. En Panel de control, haga clic en configurar el uso compartido de archivos. En el Centro de

redes y recursos compartidos, ver-
verifican que la red está configurada como una red privada y que es compartido de archivos
habilitado.
2. En el Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.
En Net-
Conexiones de trabajo, abra las propiedades de la Conexión de área local. Especificar un
dirección IPv4 estática que se encuentra en la misma subred que el controlador de dominio.
Para
ejemplo, las instrucciones de la configuración del controlador de dominio especificar una
dirección IPv4
dirección 10.0.0.11. Si utiliza esta dirección se puede configurar el equipo cliente
con una dirección IP de la 10.0.0.21. La máscara de subred 225.225.225.0 y DNS es el
es la dirección IPv4 del controlador de dominio. Que no requieren de un defecto
puerta de entrada. Usted puede elegir otras direcciones de red si se quiere, siempre que
el cliente y el servidor están en la misma subred.
Uso del CD
El CD incluido en este kit de capacitación contiene lo siguiente:
■ Las pruebasUsted puede reforzar su comprensión de cómo configurar Windows
de práctica
Vista mediante la práctica electrónica pruebas personalizar para satisfacer sus
necesidades de la
conjunto de preguntas Repaso de la lección de este libro. O se puede practicar para el 70-
646
examen de certificación mediante el uso de las pruebas creadas a partir de un grupo de
190 examen realista de preguntas
ciones, que le dan los exámenes muchas prácticas para garantizar que está preparado.
xxiv Introducción
■ Un libro Una versión electrónica (eBook) de este libro se incluye para cuando lo haga
electrónico
No quieren llevar el libro impreso con usted. El libro electrónico es en Portable Document
Format
Format (PDF), y se puede ver mediante el uso de Adobe Acrobat o Adobe Reader.
■ Capítulos deCapítulos
la muestrade la muestra de otros títulos de Microsoft Press en Windows
Server 2008. Estos capítulos están en formato PDF.
Contenido digital para los lectores de libros digitales: Si usted compró una edición exclusivamente digital de este libro, puede
disfrutar de seleccionar el contenido del CD que acompaña la edición impresa.
Visita http://go.microsoft.com/fwlink/?Linkld=112300 para obtener su contenido descargable. Este contenido
esté siempre actualizada y disponible para todos los lectores.
Cómo instalar la práctica de pruebas

Para instalar el software de prueba de la práctica desde el CD al disco duro, haga lo
siguientes:
1. Inserte el CD en la unidad de CD y acepte el contrato de licencia.

Un menú del CD.
Si el menú del CD no
Si aparece
el menú del CD o el acuerdo de licencia no
aparecen, se podría desactivar la ejecución automática en su ordenador. Consulte el archivo Readme.txt en el
CD-ROM para obtener instrucciones de instalación alternativa.
2. Haga clic en Pruebas de la práctica y siga las instrucciones en la pantalla.
Cómo utilizar la práctica de pruebas

Para iniciar el software de prueba de la práctica, siga estos
pasos:
1. Haga clic en Inicio, seleccione Todos los programas y, a continuación, seleccione Microsoft
Formación Prensa examen Kit
Prep. Aparecerá una ventana que muestra todos los de formación de Microsoft Kit de
prensa preparación para el examen
Haga doble
2. suites clic en su
instalado la revisión de la lección o la práctica de pruebas que
ordenador.
desee utilizar.
Revisiones lección frente a la práctica
Seleccione el (70-646)lasadministración de Windows Server
Repaso
pruebasde la lección utilizar las preguntas de la "revisión de la lección" de este libro. Seleccione la
(70-646) administración de Windows Server la práctica de prueba para utilizar un conjunto de 190 preguntas similares a las
que aparecen en el examen de certificación 70-646.
Introducción xxv
Opciones de revisión de la lección

Al iniciar una revisión de la lección, el cuadro de diálogo Modo personalizado aparece para que
pueda
configurar la prueba. Puede hacer clic en Aceptar para aceptar los valores predeterminados, o
puede personalizar el
número de preguntas que quiere, cómo la práctica funciona el software de prueba, que el
examen
objetivos que usted quiere las preguntas que se relacionan, y si desea que su lección
revisión limitado en el tiempo. Si vas a tomar nuevamente una prueba, puede seleccionar si
Después
desea verde hacer clic en Aceptar, tu opinión lección
comienza.
todas las preguntas otra vez o sólo las preguntas de los que te perdiste o no respondió.
■ Para realizar la prueba, responder a las preguntas y el uso de la Anterior Siguiente, e Ir a
botones para pasar de una pregunta a otra.
■ Después de responder a una pregunta concreta, si desea ver qué respuestas son
correcta, junto con una explicación de cada respuesta correcta, haga clic en Explicación.
■ Si prefiere esperar hasta el final de la prueba para ver cómo lo hizo, responder a todas las
preguntas y luego haga clic en calificación en las pruebas. Usted verá un resumen de la
prueba obje-
objetivos que usted eligió y el porcentaje de preguntas que hizo bien en general y por
objetivo. Puede imprimir una copia de su prueba, revise sus respuestas, o tomar el
examen.
Opciones de la práctica de
prueba
Al iniciar un examen de práctica, puede elegir si desea tomar el examen de certificación
Modo, el modo de Estudio, o Modo personalizado:
■ Certificación deSe parece mucho a la experiencia de tomar una certificación

modo
examen. La prueba tiene un número determinado de preguntas. Es tiempo, y no se puede
hacer una pausa
y reiniciar el temporizador.
■ ModalidadCrea una prueba sin límite de tiempo durante el cual se puede revisar el correcto
respuestas y las explicaciones después de responder a cada pregunta.
■ Le da control total sobre las opciones de la prueba para que pueda cus-
Modo personalizado
tomize como desee.
En todos los modos de la interfaz de usuario cuando se está tomando la prueba es

básicamente el mismo, pero
con diferentes opciones de activar o desactivar dependiendo de la modalidad. Las principales
opciones
se discuten
Cuando en su
revise la sección anterior,
respuesta a una "Opciones delarevisión
pregunta de prácticade
delapruebas
lección."individuales, un
"Referencias"
sección se establece que las listas que en el kit de entrenamiento que usted puede encontrar la
información
que se refiere a esta pregunta y ofrece enlaces a otras fuentes de información. Después de
xxvi Introducción
hacer clic en Resultados de pruebas para la calificación de su examen de práctica completo,

puede hacer clic en el Plan de Aprendizaje
ficha para ver una lista de referencias para cada objetivo.
Cómo desinstalar la práctica de pruebas

Para desinstalar el software de prueba de la práctica de un kit de entrenamiento, usar el
programa y Características
opción en el Panel de control de Windows.
Microsoft Certified Professional Program

Las certificaciones de Microsoft proporcionan el mejor método para demostrar su dominio del
CUR-
alquiler de productos de Microsoft y las tecnologías. Los exámenes y las certificaciones
correspondientes
se han desarrollado para validar su dominio de las competencias críticas como el diseño y la
desarrollar o implementar y dar soporte, soluciones con productos de Microsoft y tecnologías
estrategias. Profesionales de la informática que se convierten en la certificación de Microsoft
son reconocidos como
expertos y son buscados en toda la industria. Certificación trae una variedad de beneficios para
los empresarios individuales y las organizaciones.
Todas las certificaciones de Microsoft
Para obtener una lista completa de las certificaciones de Microsoft, vaya a
www.microsoft.com / learning / mcp / default.asp.
Soporte Técnico
Cada esfuerzo se ha hecho para garantizar la exactitud de este libro y el contenido de la
compañero de CD. Si tiene comentarios, preguntas o ideas acerca de este libro o el
CD complementario, por favor envíelas a Microsoft Press mediante el uso de cualquiera de los
siguientes
métodos:
E-mail: tkinput@microsoft.com
Correo postal:
Microsoft Press
La atención de: MCITP Paced Training Kit (examen 70-646): administración de Windows
Server,
Editor
Una manera Microsoft
Redmond, WA 98052-6399
Introducción xxvii
Para información de soporte adicional con respecto a este libro y el CD-ROM (incluye
respuestas a las preguntas más frecuentes sobre la instalación y uso), visite el Microsoft
Prensa sitio web de asistencia técnica en www.microsoft.com/learning/support/books/. A
conectar directamente con el Microsoft Knowledge Base y entrar en una consulta, visite http://
support.microsoft.com / search /. Para información de soporte sobre el software de Microsoft,
conectarse a http://support.microsoft.com.
Capítulo 1
Instalar, actualizar y
Implementación de Windows Server 2008
Los administradores de grandes sistemas no se presentan en el trabajo por la mañana, algunas
cof-
tarifa y una galleta, y luego decide instalar un sistema operativo del servidor, ya que
tengo una cuantas horas libres antes de la comida. Los administradores de grandes sistemas
de trabajo con un
plan. Ellos saben cómo se va a instalar el sistema operativo del servidor antes de la
hardware del servidor deja el almacén del proveedor.
Este capítulo trata sobre la planificación de la implementación de Windows Server 2008.
Lección 1
cubre decidir qué edición de Windows Server 2008 es el más apropiado para un
un conjunto dado de funciones, lo que los preparativos deben hacerse para implementar
características tales como Bit-
Armario y Server Core, y lo que hay que tener en cuenta a la hora de actualizar un
equipo de Windows Server 2003. Lección 2 se ve en el despliegue automatizado
opciones, desde la creación y utilización de los archivos de instalación desatendida de la
programación de la
el despliegue de múltiples sistemas operativos Windows Server 2008 con Windows
Servicios de implementación.
Los objetivos del examen en este capítulo:
■ Plan de instalaciones de servidores y
■
actualizaciones.
Plan de implementación del servidor
automatizado.
Las lecciones de este capítulo:
■ Lección 1: Planificación de Windows Server 2008 Instalación y actualización. . . . . . . . 3
■ Lección 2: Implementación de servidor automatizado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 36
Antes de empezar
Para completar las lecciones de este capítulo, usted debe haber hecho lo siguiente:
■ Tienen acceso a una computadora con al menos 20 gigabytes (GB) de disco sin
particionar
de espacio en disco, 512 megabytes (MB) de RAM y un procesador de 1 gigahercio (GHz)
o más pro-
sucesor. Los ejercicios de la práctica de este libro asumen que el equipo que está
utilizando no está conectada directa o indirectamente a Internet, pero está conectado a
1
2 Capítulo 1 Instalación, actualización e implementación de Windows Server 2008
una red con una dirección IP privada. Es posible el uso de máquinas virtuales en lugar
de hardware del servidor real para completar todos los ejercicios prácticos en este
capítulo, excepto
práctica 2 en la lección 1, "Configuración de BitLocker Drive Encryption duro del disco."
■ Descargar la versión de evaluación de Windows Server 2008 Enterprise Edition
del Centro de descarga de Microsoft en http://www.microsoft.com/Downloads/
Search.aspx.
No se requiere configuración adicional para este capítulo.
Mundo Real
Orin Thomas
La gran mayoría de las organizaciones que implementar Windows Server 2008 no se

lo tienen como el foco central de la empresa. En mi experiencia, el nuevo sistema
operativo
características se introducen muy lentamente en la mayoría de las organizaciones, porque
la mayoría de los orga-
nes son conservadores y no les gusta jugar un poco con lo que ya funciona.
Lo más probable es qué va a pasar con BitLocker. Cifrado puede ser difícil de
explicar a la gente no técnica y que es probable que se despliegue de Win-
dows Server 2008 durante un tiempo antes de que alguien le permite utilizar BitLocker
cifrar el disco duro de un servidor importante. Y ahí es donde se
más probable es que se produce un problema.
Como usted aprenderá en este capítulo, si en algún momento en el futuro va a
implementar
BitLocker, usted tiene que configurar particiones del disco duro de una manera particular
antes de instalar Windows Server 2008. Esto significa que usted realmente necesita para
establecer
seguridad de todos los ordenadores Windows Server 2008 para apoyar BitLocker, incluso
si no hay
planes inmediatos para su uso, porque en algún momento en el futuro que la política
podría
el cambio. La creación de un adicional de 1,5 GB partición de arranque antes de instalar
Windows
Server 2008 y el cambio de BitLocker en algún momento futuro es mucho más simple
de tener que volver a instalar Windows Server 2008 desde cero después de volver a
Esta es la razón por la planificación es importante. Cuando se planifica la implementación
particionar
del servidor,
la unidad de usted tiene porque su jefe decide que BitLocker de ejecución es
disco duro,
tomar en cuyo
una idea cuenta las cosas
momento haque nunca podría suceder para que usted tenga la flexi-
llegado.
dad para responder rápidamente en caso de que no podía acabar realmente hace.
Lección 1: Planificación de Windows Server 2008 Instalación y actualización 3
Lección 1: Planificación de Windows Server 2008 la instalación y

Mejorar
Esta lección cubre las diferentes ediciones de Windows Server 2008 y las funciones que
están diseñados para cumplir. Usted aprenderá sobre el nuevo Windows Server Core, que
puede pensar en como Windows sin ventanas reales. Usted aprenderá acerca de Windows
Server 2008 la instalación y el proceso de actualización, y usted aprenderá acerca de BitLocker
vol-
volumen cifrado y los pasos que debes seguir para ponerlo en práctica.
Después de esta lección, usted será capaz de:

■ Plan para la instalación o actualización a Windows Server 2008.
■ Plan para el despliegue de BitLocker.
Lección Tiempo estimado: 60 minutos
Selección de la edición correcta de Windows Server 2008

Windows Server 2008 viene en varias ediciones diferentes, cada uno apropiado para una espe-
papel específico. Una edición y configuración es apropiada para un servidor de la sucursal de
archivos de oficina;
otra edición y configuración es adecuada para un jefe de oficina de Microsoft Exchange
Server 2007 de buzones en clústeres de servidores. Además de estas ediciones diferentes, hay
diferentes versiones de la mayoría de las ediciones para diferentes arquitecturas de
procesador, así como la
posibilidad de instalar la versión de servidor despojada de núcleo de cada edición. En el
seguimiento
ING páginas usted aprenderá cómo todas estas opciones encajan en los planes de despliegue
diferentes
y cómo se puede evaluar un conjunto de requisitos para determinar qué edición de Windows
Server 2008
Windows mejor2008
Server se adapte a un determinado
Requisitos mínimos conjunto de necesidades.
Antes de aprender sobre las diferentes ediciones de Windows Server 2008, es necesario
saber si el equipo que va a instalar o actualizar es capaz de ejecutar
Windows Server 2008. A menos que utilice Windows Deployment Services o
el arranque de Windows en el Entorno de preinstalación de un CD-ROM, tendrá que
el acceso a una unidad de DVD-ROM. Esto se debe a que Windows Server 2008, como
Windows
Vista, se instala desde un DVD en lugar de CD-ROM. Como verás en la Lección 2,
puede instalar Windows Server 2008 si no hay una unidad DVD-ROM está presente, estas
opciones
se describirán más adelante en "Instalación de Windows Server 2008." Aparte de la óptica
los medios de comunicación, y la capacidad de soporte básico de gráficos VGA, Windows
Server 2008 tiene la
requisitos mínimos descritos en la Tabla 1-1.
Tabla 1-1 Windows Server 2008 Requisitos mínimos de hardware
Los componentes de hardware Requisitos mínimos Recomendado
Procesador 1 GHz (x86), 1,4 GHz (x64) 2 GHz o más rápido
RAM 512 MB 2 GB
De espacio en 15 GB 40 GB
disco
Aunque la Tabla 1.1 dice que 15 GB es necesario, la rutina de instalación real de la
Edición x86 estándar le informará de que sólo 5436 MB que se necesita. Por el otro
parte, Windows Server 2008 Enterprise x64 Edition requiere 10,412 MB de espacio libre
para la instalación. 15 GB se especifica, como mínimo, en la Tabla 1.1, porque esto
proporciona
espacio suficiente para el sistema operativo y espacio adicional para el archivo de intercambio,
los archivos de registro
para su almacenamiento, y cualquier función de servidor adicional para ser instalado en el
servidor en una fecha posterior.
NOTA Diversos documentos
Usted puede encontrar que los informes varían sobre los requisitos mínimos de Windows Server 2008.
Esto no es raro que los nuevos sistemas operativos debido a los requisitos mínimos como el cambio
el sistema operativo pasa de beta a la etapa de Release Candidate de la versión final RTM.
Los requisitos descritos en la Tabla 1.1 se encuentran pendientes. Usted puede ser capaz de obtener Windows
Server 2008 para instalar en un equipo que no cumpla con estas especificaciones, pero la experiencia
será inferior al óptimo.
El hardware de máxima admitida varía con cada edición. No hay límite superior en
términos de la velocidad del procesador o disco duro, pero cada edición tiene un máximo por
separado
cantidad de memoria RAM y el número máximo de procesadores independientes que se
pueden implementar en
Multi-proceso simétrico (SMP) de configuración. En algunos casos, estas cifras varían
dependiendo de si la versión x86 o x64 está instalado. En general, la versión x64
de una determinada edición de Windows Server 2008 es compatible con más memoria RAM
que el equi-
prestó la versión x86. Al considerar que la versión de una determinada edición de instalar,
recordar que sólo se puede instalar la versión x86 de Windows Server 2008 en sistemas x86
hardware, sino que se puede instalar tanto en las ediciones x86 y x64 en hardware x64. Si
el hardware que se va a instalar Windows Server 2008 en Itanium 2 tiene un pro-
procesador, sólo se puede instalar Windows Server 2008 Itanium Edition.
Windows Server 2008 Standard Edition
Windows Server 2008 Standard Edition es la versión del software destinado a la
pequeñas y medianas empresas. Esta edición de Windows Server 2008 es la que
que se elija para desplegar con mayor frecuencia para apoyar a Windows Server 2008
funciones en su
el medio ambiente. El siguiente Windows Server 2008 Standard Edition propiedades difieren
de otras ediciones del software:
■ La versión de 32 bits (x86) admite un máximo de 4 GB de RAM. Soporta hasta
4 procesadores SMP en la configuración.
■ La versión de 64 bits (x64) admite un máximo de 32 GB de memoria RAM. Soporta hasta
4 procesadores SMP en la configuración.
■ Soporta red clústeres de Equilibrio de carga, pero no admite la conmutación por error
agrupación.
Al planear la implementación de servidores, es probable que se seleccione la edición estándar

de Windows Server 2008 para llenar el papel de controlador de dominio, servidor de archivos e
impresión, DNS
servidor, servidor DHCP y servidor de aplicaciones. Aunque estos servicios son vitales para su
infraestructura de la organización de la red, que no requieren las características de mayor
presente en el Windows Server 2008 Enterprise Edition y Datacenter Edition. Usted
debe utilizar Windows Server 2008 Standard Edition en sus planes a menos que la empresa
Características de la edición, como la conmutación por error o de servicios de Active Directory
Federation se
necesarios para cumplir sus metas.
Windows Server 2008 Enterprise Edition

Windows Server 2008 Enterprise Edition es la versión del sistema operativo tar-
orientado a las grandes empresas. Planear la implementación de esta versión de Windows
2008 en servidores que
se ejecutan aplicaciones como SQL Server 2008 Enterprise Edition y Exchange
Server 2007. Estos productos requieren la potencia de procesamiento y memoria RAM que
Enter-
premio Edition admite. En la planificación de implementaciones, considere Windows Server
2008
Enterprise Edition en situaciones que requieren las siguientes tecnologías no disponibles en
■
Windows Server
Failover 2008
Clustering Standard Edition:
Conmutación por error es una tecnología que permite que otro
servidor para continuar a las solicitudes de servicio al cliente en caso de que el servidor
original
falla. Agrupación se explica con más detalle en el capítulo 11, "la agrupación y la alta
Disponibilidad. "Implementar conmutación por error en servidores de misión crítica para
asegurar la
que los recursos importantes están disponibles, incluso si un servidor que aloja los
recursos
■ Active ADFS permite
(ADFS) a la federación de identidades,
falla. Directory Federation Services
a menudo utilizado por las organizaciones con muchos socios que requieren acceso a
locales
los recursos.
■ El de 32 bits (x86) versión es compatible con un máximo de 64 GB de memoria RAM y

procesadores de 8
en la configuración de SMP.
■ El 64-bit (x64) versión es compatible con un máximo de 2 TB de memoria RAM y
procesadores de 8
En la planificación de implementaciones, es probable que utilice Windows Server 2008
Enterprise
Edición junto con Windows Server 2008 Standard Edition. Standard Edition
se reunirá la mayor parte de las necesidades de su organización y que sólo será necesario
planear la implementación de Enterprise Edition, cuando un servidor tiene requisitos inusuales,
como la necesidad de ser parte de un clúster de conmutación o que necesitan tratamiento
excepcional o
capacidad de memoria.
Windows Server 2008 Datacenter Edition
Windows Server 2008 Datacenter Edition está dirigida directamente a las empresas muy
grandes.
La razón principal para implementar Windows Server 2008 Datacenter Edition en la empresa
Edición es la Datacenter Edition permite a los derechos ilimitados de la imagen virtual.
Ventanas
Server 2008 Datacenter Edition es probable que sea la mejor opción para las organizaciones
que
utilizar la virtualización para consolidar servidores existentes o requerir simplemente
significativa duro
ware
■ capacidad
El de 32 bitspara servidores
(x86) decompatible
versión es aplicaciones.
conWindows Server
un máximo 2008
de 64 GBDatacenter
de memoriaEdition
RAM yse32
ha proces
las siguientes
sores de propiedades:
configuración SMP.
■ El 64-bit (x64) versión es compatible con un máximo de 2 TB de RAM y 64 proces
sores de configuración SMP.
■ Soporta conmutación por error y ADFS.
■ Derechos ilimitados de la imagen
virtual.
Windows Server 2008 Datacenter Edition sólo está disponible a través de fabricantes de
equipos originales.
Un servidor de clase de centros de datos, coloquialmente conocido como Big Iron, costará
decenas si no cientos de
miles de dólares, y es una importante inversión de capital. Cuando la implementación de
Windows
Server 2008 Datacenter Edition, es probable que el trabajo con los OEM durante la operac-
ción de instalación del sistema y fase de despliegue en lugar de hacer estallar la instalación
los medios de comunicación en una unidad óptica de los medios de comunicación y hacerlo
uno mismo. Esto es en parte debido a una significativa-
no puedo inversión en hardware que pudiera justificar la instalación de Windows Server 2008
Datacenter Edition en Windows Server 2008 Enterprise Edition es probable que incluya un
nivel de rigor de apoyo OEM. Por ejemplo, Datacenter Edition serán desplegados en
servidores en los que el costo para la empresa del servidor al que durante una hora puede ser
medido en las decenas de miles de dólares. En el caso de que un componente tan importante
como una placa base falla, el proveedor es probable que envíe a alguien personalmente con el
reemplazo de partes. No sólo esa persona entregar la pieza, sino que también llevará a cabo la
reemplazo. Esto no es porque alguien duda de su capacidad de sustituir una placa base,
sino porque un vendedor que vende su empresa un servidor que los costos de muchos miles de
dólares tiene la responsabilidad legal de garantizar que el servidor funciona correctamente.
Esto es legal
responsabilidad no será dado de alta si el vendedor simplemente envía una pieza de repuesto
por mensajería con un conjunto de fotocopias de las instrucciones que le permite hacerlo usted
mismo.
Windows Web Server 2008

Windows Web Server 2008 está diseñado para funcionar específicamente como aplicaciones
Web
servidor. Otras funciones, tales como la implementación de Windows Server y Active Directory
Servicios de dominio, no son compatibles con Windows Web Server 2008. Implementar esta
Función del servidor, ya sea en una subred protegida para soportar un sitio Web externo visible
para
anfitriones o como un servidor de intranet. Como teniendo en cuenta su reducido para papel,
Windows
Web Server 2008 no es compatible con las configuraciones de hardware de alta potencia que
otras ediciones de Windows Server 2008 hacen. Windows Web Server 2008 tiene las
siguientes
■ La versión de 32 bits (x86) admite un máximo de 4 GB de RAM y 4 procesadores
siguientes
en la propiedades:
configuración de SMP.
■ La versión de 64 bits (x64) admite un máximo de 32 GB de RAM y 4 procesadores
■ Soporta red clústeres de Equilibrio de carga.
Usted debe hacer planes para implementar Windows Web Server 2008 Server Core en la
configura-
ción, lo que minimiza la superficie de ataque, algo que es muy importante en el servidor
que interactúa con los servidores externos a su entorno de red. Sólo se debe planificar
para implementar la versión completa de Windows Web Server 2008, si Web de su
organización
aplicaciones se basan en características tales como ASP.NET, ya que el. NET Framework no
es
incluye en una instalación Server Core.
Windows Server 2008 para sistemas basados en Itanium
Esta edición está diseñada para el procesador Intel Itanium de 64 bits la arquitectura del
procesador, que es dife-
diferentes de la arquitectura x64 que se encuentran en los chips, como el Intel Core 2 Duo
o AMD Turion serie de procesadores. Esta es la única edición de Windows Server 2008 que
se puede instalar en un equipo basado en Itanium y requiere un procesador Itanium 2. Ambos
servidor de aplicaciones y funcionalidad de servidor Web son proporcionados por Windows
Server 2008
para sistemas basados en Itanium. Otras funciones de servidor, tales como la virtualización y
Windows
Servicios de implementación, no están disponibles. Hasta 64 procesadores SMP en la
configuración y
2 terabytes de memoria RAM son compatibles con Windows Server 2008 para sistemas
basados
MÁS en Investigar
Itanium.Itanium
INFORMACIÓN
Compruebe el producto de Windows Server 2008 del sitio Web para obtener más detalles sobre las funciones específicas
disponibles
para la edición en Itanium http://www.microsoft.com/windowsserver2008.
Windows Server 2008 Server Core

Server Core es una versión reducida de una edición de Windows Server 2008. Más bien
de proporcionar un escritorio completo, Windows Server 2008 es administrado desde la com-
comando shell, como se muestra en la Figura 1.1. Usted puede manejar un equipo con Server
Core
de forma remota mediante la conexión a través de Microsoft Management Console (MMC).
Puede
también establecer un protocolo de escritorio remoto (RDP) a un equipo que ejecuta Servidor
Central, aunque tendrá que utilizar el shell de comandos para realizar tareas administrativas.
Figura 1-1 Servidor central de escritorio

Utilizando la versión del núcleo del servidor de Windows Server 2008 tiene dos ventajas
principales:
■ Menos componentes están instalados, lo que reduce el
Ataque reducida superficie
número de componentes que podrían ser atacados por alguien que intenta com-
la promesa del equipo. Un equipo con sólo un pequeño número de componentes
para cumplir con una función especializada también necesita menos actualizaciones.
■ Menores requerimientosDebido a que tanto se ha despojado de la

de hardware
versión del servidor de base de Windows Server 2008, puede ejecutar en un servidor
central-com
ordenador que se presentan cuellos de botella de rendimiento en carrera un completo
tradicional
de la instalación. Una ventaja de esto es que permite a las organizaciones a utilizar
mayores duro
ware, como el hardware adquirido para ejecutar Windows 2000 Server como una
Cuando usted compra
plataforma para una licencia para una edición concreta de Windows Server 2008,
tiene Windows
la opción de instalar
Server 2008la la
versión completa o la versión del servidor reducida base de
instalación.
el sistema operativo. De cualquier manera, la licencia va a costar la misma cantidad. Si la
licencia
una edición en particular, puede instalar esta edición en su núcleo ya sea completo o de
configuración del servidor,
guración, como se muestra en la Figura 2.1.
Figura 1-2 Las opciones de instalación con una clave de Windows Server 2008 Enterprise Edition licencia
Puede utilizar los mismos comandos para administrar base de servidor que puede utilizar para
administrar un completo
ofreció la instalación de Windows Server 2008. Usted debe examinar de Windows
Server 2008 Referencia de comandos de línea, disponible en la Ayuda, para aprender a realizar
común las tareas administrativas de la línea de comandos. Por ejemplo, para unirse a una com-
ordenador con una instalación Server Core para el dominio Contoso con Kim Akers "
cuenta de administrador de dominio, usted debe ejecutar el siguiente comando:
Este comando funciona en una instalación con todas las funciones de Windows Server 2008,
pero
mayoría de los administradores se unirá a un equipo en el dominio mediante la GUI porque se
trata de
el proceso que están más familiarizados. En una instalación Server Core, que tiene que
hacer todo, desde la línea de comandos.
Un área importante de la diferencia en términos de administración de línea de comandos entre
un
instalación de todas las prestaciones y una instalación de Server Core es que Server Core no
apoyo PowerShell directamente, aunque puede ejecutar algunos comandos PowerShell
contra una instalación Server Core de forma remota a través de WMI. Es posible ejecutar
Windows
Scripts Script Host en una instalación Server Core del mismo modo que es posible ejecutar el
mismo
Como
scripts se
demuestra en la plenamente
instalaciones Figura 1.3, puede ejecutar
destacadas devarias herramientas
Windows Server 2008.importantes
gráficamente en un servidor
Base de instalación, incluyendo regedit y el Bloc de notas. También es posible invocar el
Tiempo
y el Panel de Control de fecha, y el Panel de Control de Configuración. Estos son
llaman utilizando los comandos control timedate.cpl y el control intl.cpl.
Figura 1-3 Regedit y el Bloc de notas están disponibles en Server Core.

Dos comandos más importantes son oclist.exe y Ocsetup.exe. Oclist.exe proporciona una lista
de todas las funciones de servidor que están actualmente instalados en el servidor y qué
funciones están disponibles
para instalar. La Figura 1-4 muestra la lista de las características instaladas por defecto en una
instalación Server Core-
ción de Windows Server 2008 Enterprise Edition. Puede añadir y eliminar estos carac-
ras con el Ocsetup.exe comandos. Por ejemplo, para instalar la función de servidor web IIS,
ejecutar el comando Ocsetup.exe IIS-WebServerRole. Es importante señalar que el papel
nombre de mayúsculas y minúsculas. El comando Ocsetup.exe / desinstalar IIS-
WebServerRole se utiliza para
eliminar la función del servidor Web, a pesar de que es necesario garantizar que todos los de la
función de ser-
vicios se cierran antes de intentar esto.
Figura 1-4 Viendo las funciones y características disponibles en Server Core
No es posible actualizar un equipo que ejecuta la versión Server Core de un determinado edi-
ción a la versión completa, así como no es posible actualizar un equipo con Windows
Server 2003 a una versión Server Core de Windows Server 2008. Aunque Internet Infor-
Servicios de información (IIS) es compatible con Server Core, la falta de. NET Framework
significa que algunas aplicaciones Web basadas en. NET Framework no funcionará en
Windows Server Core. Algunas funciones, tales como servicios de Active Directory Certificate
Server, activo
Directory Federation Services, Servidor de aplicaciones y servicios de implementación de
Windows
no están disponibles en las instalaciones básicas de servidor en el momento del lanzamiento,
pero podría ser incluido
en futuros Service Pack. Por esta razón, usted debe utilizar oclist.exe en una implementación
de prueba de
del núcleo del servidor con las últimas actualizaciones y Service Packs aplicados para
determinar las funciones
y características se pueden implementar en el entorno del núcleo del servidor.
NOTA Siempre verifique

Durante el período de prueba inicial, una instalación Server Core no podría funcionar como un servidor Web. Por el
tiempo que los candidatos lanzamiento de Windows Server 2008 estuvo disponible, es posible configurar
una instalación Server Core para funcionar como un servidor Web. Por lo tanto, usted debe consultar con el
oclist.exe comando cuando se trata de determinar las funciones y características se pueden y no pueden ser
instalado en un equipo con Server Core.
Consulta Rápida
1. ¿Qué versiones de Windows Server 2008 Standard Edition puede ser instalado
en un equipo que tiene un procesador Core 2 Duo y 4 GB de RAM?
2. ¿Cuáles son las dos ventajas de la implementación de Server Core en una instalación
normal?
Respuesta de Consulta Rápida
1. Tanto el servidor central y las opciones de instalación estándar tanto con el x86
y las versiones de 64 bits.
2. Un mejor rendimiento y superficie de ataque reducida.
Instalación de Windows Server 2008

Instalación de Windows Server 2008 es un ejercicio relativamente sencillo. Se inicia el
medios de instalación y seleccione las opciones de idioma, y luego se presentan con la
opción de ingresar su clave de producto para determinar qué edición tiene licencia para
instalar. Usted no tiene que introducir la clave de producto en esta etapa, pero si no lo haces,
podría instalar una edición de Windows Server 2008 que no están autorizados a instalar.
Si esto sucede, usted puede comprar una licencia para la edición que realmente instalada,
o se puede empezar de nuevo e instalar la versión correcta.
NOTA No activar al instante

Aunque la opción por defecto es para la activación que se produzca después de que el equipo se conecta a Internet,
que no podría obtener la configuración correcta, precisamente las primeras veces que se instala Windows
Server 2008. Es una buena idea usar una parte del período de activación de 30 días de gracia para que el servidor
resolver, asegurando que nada tiene que cambiar drásticamente, como actualizar el procesador o la memoria RAM
(Que normalmente se sanciona con una reactivación) antes que el servidor se somete el proceso de activación.
Así que recuerde que esperar, asegúrese de que el servidor no requiere actualizaciones de hardware adicional, y luego
realizar la activación.
Usted debe revisar la sección "Planificación de implementación de BitLocker" más adelante en

esta lección
sobre la configuración de las particiones para apoyar BitLocker antes de realizar la instalación
ción. El ejercicio de la práctica al final de la lección también muestra las medidas necesarias
para
configurar el servidor para que pueda implementar BitLocker en una fecha posterior.
En el caso de que el equipo en el que desea instalar Windows Server 2008 se
no tiene una unidad de DVD-ROM, usted tiene varias opciones. Si el equipo tiene un
prearranque
Entorno de ejecución (PXE) tarjeta de red capaz, puede configurar Windows
Servicios de implementación, cubre en detalle por la lección 2, "servidor de implementación
automatizada",
como un método de implementación de Windows Server 2008 en la red. Por otra parte, si un
servidor no tiene una tarjeta de red PXE capaz o no desea usar Windows
Servicios de implementación, se puede arrancar con el entorno de preinstalación de Windows
(Windows PE) y el uso de archivos del sistema operativo alojado en un recurso compartido de
red para realizar una
instalación de red. Windows PE es una herramienta gratuita que puede descargar de Microsoft,
Web site. Que le permite arrancar en un entorno en el que se pueden realizar ciertas
mantenimiento en un ordenador de la misma manera que lo disquetes de arranque de nuevo,
cuando todos los com-
ordenadores viene con unidades de disquete. El proceso de instalación estándar está cubierta
en
más detalle Windows
en el ejercicio
MÁS INFORMACIÓN PE 2.0 de la práctica por primera vez en la final de esta lección.
Para obtener más información acerca de Windows PE 2.0, consulte la siguiente página Web de TechNet:
http://technet.microsoft.com/en-us/windowsvista/aa905120.aspx.
La actualización de Windows Server 2003

Algunas organizaciones quieren mejorar su existente de Windows Server 2003 computa-
res a Windows Server 2008. Realizar actualizaciones utilizando los mismos medios que utiliza
para realizar una instalación normal. A diferencia de los sistemas operativo de Microsoft, los
clientes, no
la versión más barata de actualización de la instalación de Windows Server 2008 está
disponible los medios de comunicación,
y las actualizaciones son casi siempre se realiza debido a que el proceso de actualización es
más simple
que una migración. Las actualizaciones de Windows Server 2008 desde Windows Server 2003
están
apoyado en un conjunto específico de condiciones, que se tratan en las páginas siguientes.
Lo primero a destacar es que usted puede realizar una actualización sólo si se inicia la
actualización
Como
procesosedesde
muestra en ladeTabla
dentro 2.1, puede
Windows Serveractualizar
2003. Noaesuna edición
posible únicauna
realizar equivalente o unade
actualización
mayor edición
arrancar desde el disco de instalación.
ción. Esto significa que usted puede actualizar desde Windows Server 2003 Standard Edition
a Windows Server 2008 Standard o Enterprise Edition, pero no se puede actualizar
Windows Server 2003 Enterprise Edition a Windows Server 2008 Standard Edition.
Esta regla no se aplica a Windows Server Web o Datacenter Edition. Puede
sólo la actualización de Windows Server 2003 Web Edition a Windows Web Server 2008
y de Windows Server 2003 Datacenter Edition a Windows Server 2008 Data-
Center Edition. Tampoco se puede actualizar a Server Core de cualquier edición de Windows
Server 2003. Además, no es posible realizar una actualización directa desde cualquier edi-
ción de Windows 2000 Server a Windows Server 2008. Finalmente, para llevar a cabo una
actualización, Windows Server 2003 debe tener Service Pack 1 o posterior aplicación. Esto
significa que
que Windows Server 2003 R2 se puede actualizar a Windows Server 2008 sin la
aplicación de los paquetes de servicios adicionales.
Tabla 1-2 Windows Server 2008 Rutas de actualización
Windows Server 2003 Edición Ruta de actualización
Windows Server 2003 Standard Windows Server 2008 Standard Edition

Edición
Windows Server 2008 Enterprise Edition
Windows Server 2003 Enterprise Windows Server 2008 Enterprise Edition

Edición
Windows Server 2003 Datacenter Windows Server 2008 Datacenter Edition

Edición
Windows Server 2003 Web Edition Windows Web Server 2008
Windows Server 2003 para Itanium Windows Server 2008 para sistemas con Itanium
Enterprise Edition Los sistemas de
NOTA Con y sin Hyper-V

Usted puede notar que algunos Stock Keeping Units (SKU) de Windows Server 2008 están etiquetados como
"Sin Hyper-V." Esta etiqueta indica que los archivos necesarios para instalar la función Hyper-V no se
incluido con el soporte de instalación de Windows 2008. La función Hyper-V puede ser instalado en
un equipo que se instala desde los medios de comunicación sin los archivos de Hyper-V, pero los archivos necesarios para instalar
Hyper-V debe ser descargado desde el sitio Web de Microsoft. Usted puede encontrar más información sobre Hyper-V en
Capítulo 5, "Servicios de Terminal Server y de aplicaciones y virtualización de servidores".
No es posible actualizar a una arquitectura de procesador diferente. Por ejemplo, si su

la organización está ejecutando Windows Server 2003 R2 x64 Standard Edition, no se puede
realizar una actualización a Windows Server 2008 x32 Edition Standard. Tampoco es posi-
ble para actualizar un servidor de la versión de 32 bits de Windows Server 2003 a un 64-bit
versión de Windows Server 2008, incluso si el hardware lo soporta. Por ejemplo: Ian
tiene una versión de 32 bits del sistema de Windows Server 2003 Standard Edition de
funcionamiento
configurado para funcionar como servidor de archivos e impresión. Este servidor tiene un
procesador Intel Core 2 Duo pro-
sor y 4 GB de RAM. Aunque el servidor tiene un procesador capaz de soportar
una edición de 64 bits de Windows Server 2008, Ian sólo es capaz de realizar una actualización
a una
Edición de 32 bits de Windows Server 2008 debido a que la instalación existente de Windows
Server 2003 es de 32 bits en lugar de 64 bits. Si Ian quiere hacer una instalación de 64 bits de
Windows Server 2008, que necesita para realizar una instalación independiente. Es posible
instalar Windows Server 2008 en una partición independiente del actual Windows de 32 bits
Server 2003 edición, vuelva a crear las impresoras compartidas, y volver a crear los archivos
compartidos de ese momento
a los datos compartidos existentes. Por otra parte Ian podía hacer copias de seguridad del
servidor, en formato
las unidades de disco duro, y luego realizar una instalación limpia de una edición de 64 bits de
Windows Server 2008. Lo que es importante recordar es que Ian no podrá
realizar una actualización directa, conservando la impresora compartida y los datos de la
Desde
carpetalacompartida,
perspectivaya dequela planificación no siempre está claro si se debe realizar una
actualización
no es posible oactualizar
copia de entre
seguridad de unarquitecturas
diferentes servidor existente, el formato de la unidad de disco
de procesador.
duro, instalar Windows
Server 2008, y luego restaurar los datos y reinstalar las aplicaciones. Las actualizaciones son
a menudo se implementa cuando la transición es sencilla, como la actualización de un equipo
que
funciona como un controlador de dominio de Windows Server 2003 a Windows Server 2008
controlador de dominio. Cuando un servidor tiene un papel más complejo, como un servidor de
hosting
un servidor de SQL Server 2008 gran ejemplo, es necesario sopesar cuidadosamente sus
opciones. Si
necesidad de hacer un montón de configuración posterior a la instalación personalizada para
las funciones que el servidor
los ejércitos, de realizar la actualización puede ser mucho más rápido. Porque antes de
realizar-
ING cualquier migración de actualización o en su lugar, es necesario realizar una copia de
seguridad completa de todos modos,
debe
NOTA intentar
RecuerdelaItanium
actualización y luego buscar otras opciones, incluyendo rodar
volver a la configuración original, si la actualización sale mal. Escenarios de reversión se
Aunque Itanium es una arquitectura de 64 bits, no es lo mismo que la arquitectura x64. No se puede
cubierto en de
o actualización mayor profundidad
una versión enWindows
de Itanium de la lección
Server22008
en a"Preparación de Rollback."
menos que la versión existente de
Windows es la versión de Itanium de Windows Server 2003.
Antes de iniciar el proceso de actualización, el servidor de Windows 2008 rutina de instalación

realizar una comprobación de compatibilidad, presentar los resultados de un informe de
compatibilidad se muestra en la
Figura 1-5. El informe de compatibilidad intentará informarle de los problemas que
podría ocurrir si la actualización se inicia, pero el informe de compatibilidad sólo se puede
informar
de los problemas que Microsoft es consciente de. Si el equipo que va a actualizar tiene
un hardware o inusual configuración de la aplicación, la comprobación de compatibilidad no se

pueden indicar las
el problema y no se darán cuenta de ello hasta que lo encontramos directamente. Para
asegurarse de que
la comprobación de compatibilidad es tan precisa como sea posible, usted debe asegurarse de
que Windows
Server 2008 es capaz de recuperar archivos de la información más actualizada de instalación
cuando se consultan
acerca de cómo recuperar los archivos actualizados de la instalación al comienzo del proceso
de actualización. También
importante tener en cuenta es que las actualizaciones requieren mucho más espacio en disco
que directa
instala y se debe garantizar que al menos 30 GB libres en el volumen que alberga el
del sistema operativo antes de intentar una actualización. Planes de contingencia para la
actualización pro-
proceso se explican con más detalle en la lección 2, "Implementación de servidor
automatizado."
Figura 1-5 Compatibilidad informe generado durante la actualización
En resumen, tener en cuenta los siguientes puntos acerca de las actualizaciones en

comparación con
instalaciones:
■ Debe iniciar las actualizaciones desde Windows Server 2003. Usted puede iniciar
instalaciones desde Windows o desde el disco de instalación.
■ Una actualización que requiere más espacio libre disponible en el volumen donde
Windows Server 2008 se instala en comparación con una instalación limpia.
■ Las actualizaciones funcionan mejor cuando una cantidad significativa de personalización
es necesario que
no se puede aplicar simplemente la restauración de la copia de seguridad de datos y la
instalación de aplicaciones-
■ cationes en una
Implementar nueva en
BitLocker instalación
un equipodeactualizado
Windows Server
desde2008.
Windows Server 2003 es
muy difícil. Para más detalles, consulte la sección "Configuración de volumen BitLocker"
más adelante en
este capítulo.
Planificación de implementación de
BitLocker
Windows BitLocker Drive Encryption y (BitLocker) es una característica que debutó
en Windows Vista Enterprise y Ultimate, y está disponible en todas las versiones de
Windows Server 2008. BitLocker sirve para dos propósitos: la protección de los datos del
servidor a través de
cifrado de volumen completo y proporcionar un mecanismo de comprobación de integridad para
asegurar que
el entorno de arranque no ha sido manipulado.
Cifrado de todo el funcionamiento del sistema y los volúmenes de datos significa que no sólo
son los
sistema operativo y los datos protegidos, pero también lo son los archivos de paginación, las
aplicaciones, y aplica-
datos de localización de configuración. En el caso de que un servidor es robada o una unidad
de disco duro
quitar de un servidor de terceros para sus fines malévolos, BitLocker
se asegura de que estos terceros no pueden recuperar los datos útiles. El inconveniente es que
si las claves de BitLocker en un servidor se pierden y el entorno de arranque se ve
comprometida,
Para apoyar la comprobación de la integridad, BitLocker requiere una computadora para tener
los chip
un datos almacenados
capaz de en el servidor serán irrecuperables.
apoyar el Trusted Platform Module (TPM) 1.2 o una norma posterior. Un equipo debe
también tienen una BIOS que soporte el estándar TPM. Cuando BitLocker está implementado
en
estas condiciones y en el caso de que la condición de un componente de inicio ha
cambiado, protegida con BitLocker volúmenes están bloqueados y no pueden ser
desbloqueadas a menos que el
persona que realiza el desbloqueo tiene las llaves digital correcta. Protegidos componentes de
inicio
Desde una perspectiva de administración de sistemas, es importante deshabilitar BitLocker
incluyen la BIOS, Master Boot Record, el sector de inicio, gestor de arranque, y el cargador de
durante
Windows.de mantenimiento cuando cualquiera de estos componentes están siendo alteradas.
períodos
Por ejemplo,
debe deshabilitar BitLocker durante una actualización de BIOS. Si no, la próxima vez que el
comienza equipo, BitLocker bloqueará los volúmenes y tendrá que iniciar la recupe-
proceso de recuperación. El proceso de recuperación consiste en introducir una contraseña de
48 caracteres que se
genera y se guarda en una ubicación especificada cuando se ejecuta el asistente de
configuración de BitLocker.
Esta contraseña debe ser almacenada de manera segura ya que sin ella el proceso de
recuperación puede-
También puede implementar BitLocker sin un chip TPM. Cuando se implementa en este
no se producen. También puede configurar BitLocker para guardar los datos directamente a la
de manera que no hay comprobación de integridad de arranque. Una de las claves se
recuperación de activos
almacenan en una
Directorio, éste memoria
es el métodoUSB extraíble miem-
recomendado de gestión en entornos empresariales.
dispositivo de memoria, el cual debe estar presente y con el apoyo de la BIOS de la
computadora cada vez que
el equipo se inicia. Cuando el equipo se ha iniciado con éxito, la removible
Dispositivo de memoria USB se puede quitar y se debe almacenar en un lugar seguro.
Configuración de un equipo que ejecuta Windows Server 2008 para utilizar un USB extraíble
dispositivo de memoria como una clave de inicio BitLocker está cubierto en la segunda al final
de esta lección.
NOTA La seguridad es más que BitLocker

Proteger los datos de su empresa requiere algo más que cifrar unidades de disco duro de su servidor de disco.
Asegúrese de que sus cintas de copia de seguridad se almacenan en un lugar seguro. A pesar de los datos almacenados en un
Unidad BitLocker cifrado está codificado, los datos en cintas de seguridad en general no lo es. La aplicación de
BitLocker es un poco inútil si usted almacenar todas sus cintas de respaldo en un estante en la sala de servidores!
BitLocker Configuración de volumen

Una de las cosas más importante a recordar es que un equipo debe estar configurado
para apoyar BitLocker antes de la instalación de Windows Server 2008. El procedimiento
para esto se detalla en el inicio de la práctica 2 al final de esta lección, sino que implica
la creación de un independiente de 1,5 GB de partición, el formato, y por lo que es activo como
el Sistema de
partición antes de crear una partición de mayor tamaño, formato, y luego de instalar el
Windows Server 2008 del sistema operativo. La Figura 1-6 muestra una configuración de
volumen
que apoya BitLocker. Si los volúmenes de un ordenador no están correctamente configurados
antes de la
la instalación de Windows Server 2008, tendrá que realizar una completamente nueva
la instalación de Windows Server 2008 después de volver a particionar el volumen
correctamente. Para
esta razón, debería particionar los discos duros de los ordenadores en el medio
ción en la que se va a instalar Windows Server 2008 con la asunción
que en algún momento en el futuro puede que tenga que implementar BitLocker. Si BitLocker
no es
desplegado, que le ha costado sólo unos minutos extra de tiempo de configuración. Si más
adelante
decide implementar BitLocker, se han ahorrado muchas horas de trabajo la reconfiguración de
la
servidor para que admita el cifrado completo del disco duro.
Figura 1-6 El esquema de partición que soporta BitLocker

La necesidad de contar con volúmenes de BitLocker configurado específicamente hace difícil

implementar en Windows Server 2008 equipos en los que se han actualizado desde Win-
dows Server 2003. El esquema de partición es necesario habría tenido que ser introducidos
antes de la instalación de Windows Server 2003, que en la mayoría de los casos se han
ocurrió antes de la mayoría de las personas eran conscientes de BitLocker.
Políticas de Grupo de BitLocker

Políticas BitLocker grupo se encuentran en la Configuración del equipo \ Policies \
Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad BitLocker nodo
de un servidor Windows 2008 de objetos de directiva de grupo. En el caso de que los equipos
que
desea implementar BitLocker en que no tienen chips TPM, puede utilizar el panel de control
Configuración: Habilitar la directiva de opciones de inicio avanzadas, que se muestra en la
Figura 7.1. Cuando
esta política está activado y configurado, puede implementar BitLocker sin un TPM
estar presente. También puede configurar esta política para exigir que un código de inicio se
si se ha ingresado un chip TPM está presente, proporcionando una capa adicional de
seguridad.
Figura 1-7 Permitir BitLocker sin el chip TPM
Otras políticas BitLocker incluyen:

■ Activar copia de seguridad de BitLocker ToCuando esta política
Active Directory Domaines
Services
permitido, la clave de un equipo de recuperación se almacena en Active Directory y se
puede
recuperada por un administrador autorizado.
■ Configuración del Panel de control: Configurar la carpeta de recuperación Cuando está activada, esta
política establece
la carpeta por defecto la cual la computadora claves de recuperación se
puede almacenar.
■ Configuración del Panel de control: configurar opciones de recuperación Cuando está activada, esta
política puedepara desactivar la contraseña de recuperación y la clave de recuperación. Si
puede utilizar
tanto la recu-
contraseña de recuperación y la clave de recuperación son discapacitados, la política que
respalda la
■ clave de el
Configure recuperación de Active
método de cifrado Directory
Esta política debe estar
le permite habilitado. especificar el
al administrador
propiedades del método de cifrado AES utiliza para proteger la unidad de disco duro.
■ Esta
Evitar sobrescritura de memoria enpolítica
Reiniciarse acelera se reinicia, pero
aumenta el riesgo de BitLocker se vea comprometida.
■ Esta política
Configurar la plataforma de validación de TMPse configura como la TMP
perfil
hardware de seguridad protege la clave de cifrado BitLocker.
Sistema de archivos cifrados de BitLocker vs

Aunque ambas tecnologías implementar el cifrado, hay una gran diferencia entre
Sistema de archivos cifrados (EFS) y BitLocker. EFS se utiliza para cifrar archivos individuales
y las carpetas y se puede utilizar para cifrar estos artículos para diferentes usuarios. BitLocker
encripta toda la unidad de disco duro. Un usuario con credenciales de legítimo puede iniciar
sesión en un
servidor de archivos que están protegidos por BitLocker y será capaz de leer cualquier archivo
que se ha
permisos. Este usuario no tendrá, sin embargo, ser capaz de leer los archivos que han sido
EFS
encriptada para otros usuarios, incluso si se concede el permiso, ya que sólo se puede
leer archivos cifrados con EFS si tiene el certificado digital correspondiente. EFS permite
organizaciones para proteger archivos confidenciales compartidas por los ojos del personal de
apoyo que podrían
se requiere para cambiar permisos de archivos y carpetas como parte de su puesto de trabajo,
pero debe
en realidad no ser capaz de revisar el contenido del propio archivo. BitLocker proporciona una
trans-
los padres forma de cifrado, visible sólo cuando el servidor está comprometido. EFS
proporciona
una forma opaca de cifrado del contenido de los archivos que se pueden ver a la persona que
Desactivación de BitLocker
encriptada que no son visibles para cualquier persona, independientemente de lo que los
En algunos
archivos casos puede
y carpetas por ser necesario quitar de BitLocker en un equipo. Por ejemplo,
el
lasmedio ambiente
misiones en el que se encuentra el equipo ha hecho mucho más seguro
se establecen.
y la cabeza del proceso de BitLocker está causando problemas de rendimiento. Alter-
nativa, puede que tenga que desactivar temporalmente BitLocker para que pueda realizar
el mantenimiento de los archivos de inicio o el BIOS del equipo. Como muestra la Figura 8.1,
que ha
dos opciones para la eliminación de BitLocker de un equipo en el que se ha imple-
mented: deshabilitar BitLocker o descifrar la unidad.
Figura 1-8 Opciones para la eliminación de BitLocker
Desactivación de BitLocker se elimina la protección BitLocker sin descifrar el encriptado

volúmenes. Esto es útil si un chip TPM está presente, pero es necesario actualizar un com-
BIOS ordenador o los archivos de inicio. Si no deshabilitar BitLocker para realizar esta
tipo de mantenimiento, con BitLocker cuando se implementa con un chip TPM, se bloqueará el
equipo, ya que el diagnóstico se detecta que el ordenador ha sido manipulado
con. Al deshabilitar BitLocker, una clave de texto se escriben en el disco duro.
Esto permite que la unidad cifrada en el disco duro para ser leído, pero la presencia del texto
clave significa que el ordenador no es seguro. Desactivación de BitLocker con este método pro-
Vides no aumentar el rendimiento ya que los datos permanecen cifrados, es sólo
encriptado de una manera insegura. Cuando BitLocker se vuelve a habilitar, este texto es clave
eliminado y el equipo está de nuevo seguro.
Examen Consejo
Tenga en cuenta las condiciones en que es posible que necesite deshabilitar BitLocker. También
recordemos las limitaciones de BitLocker sin un TPM 1.2 chip.
Seleccione descifrar la unidad cuando se desea eliminar por completo BitLocker de un

equipo. Este proceso es tan lento como la realización de la unidad inicial de cifrado
tal vez más debido a que más datos pueden ser almacenados en el ordenador que cuando el
cifrado inicial ocurrió. Después de que el proceso de descifrado es terminado, el equipo está
regresó a su pre-codificados del estado y los datos almacenados en él ya no está protegida por
BitLocker. Descifrar la unidad no descifrar archivos cifrados con EFS almacenados en el disco
duro
la unidad de disco.
Práctica: Instalación de Windows Server 2008 e implementación de BitLocker

En este conjunto de ejercicios que va a instalar Windows Server 2008 Enterprise Edition en un
ordenador o la máquina virtual y configurarlo para que funcione como un controlador de
dominio en el
contoso.internal dominio. Después de este proceso se haya completado, se va a implementar
BitLocker en
el ordenador.
Mundo Real
Orin Thomas
Ian y yo usamos software de máquina virtual ampliamente al escribir Kits de formación y

que tanto recomendamos que utilice esta tecnología en su propia certificación
los estudios. A pesar de que es posible completar toda la práctica de ejercicios de este
libro mediante la instalación de la versión de evaluación de Windows Server 2008
Enterprise Edi-
ción que ha descargado desde el sitio Web de Microsoft directamente en una de repuesto
equipo, la mayoría de los candidatos al examen prefiere utilizar software de la máquina
virtual para per-
forma de entrenamiento los ejercicios de la práctica del kit. Uso de máquinas virtuales
ofrece muchos beneficios,
incluyendo la posibilidad de crear puntos de restauración que se puede hacer retroceder
en el caso
de que algo va mal durante un ejercicio de práctica. También es sencillo hacer que mul-
tiple virtuales activas al mismo tiempo las máquinas, lo que permite la interacción entre
estos
equipos virtuales que se produzca. Microsoft y otros proveedores han ver-disponible
gratuitamente
nes de software de la máquina virtual de la máquina disponible para su descarga. Usted
Ejercicio 1: Instalar Windows Server 2008 Enterprise Edition
puede obtener una
Endescarga
este ejercicio se llevará
gratuita a cabo
de Virtual la instalación
PC de y configuración inicial de Windows
http://www.microsoft.com/virtualpc.
Server 2008. Se comenzará con una configuración de hardware limpio, instalar el sistema
operativo,
y luego configurar el servidor para que funcione como un controlador de dominio en una
ventana nueva
Server 2008 de dominio. Que va a hacer toda la configuración con la cuenta Administrador.
Deben llevar a cabo prácticas más tarde utilizando la cuenta de usuario Kim_Akers. Para
completar este
1. Inicie realice
ejercicio, el equipo
lososiguientes
la máquina virtual en el que va a instalar el sistema operativo
pasos:
sistema desde el Windows Server 2008 Enterprise Edition medios de instalación
que ha descargado desde el centro de descarga de Microsoft en http://
www.microsoft.com / downloads / Search.aspx.
2. En la página Instalar Windows, seleccione el idioma, la hora y el formato de moneda,

y el teclado o método de entrada, y haga clic en Siguiente.
3. En la página Instalar Windows, haga clic en Reparar el equipo.
NOTA Medidas poco comunes

Es necesario llevar a cabo estas medidas inusuales para configurar Windows Server 2008 para apoyar
BitLocker. Este método permite la creación de una partición de sistema activo que está separado
desde la partición de Windows Server 2008 que se instalará en el, lo que permite el pleno
cifrado de la partición que aloja el sistema operativo más adelante en este capítulo.
4. Asegúrese de que ningún sistema operativo está seleccionada en las opciones de

recuperación del sistema dia-
registro y luego haga clic en Siguiente.
5. En el Comando de elegir una herramienta de recuperación de cuadro de diálogo, que se
muestra en la Figura 9.1, haga clic en
Del sistema.
Figura 1-9 Elija una herramienta de

recuperación
6. En la ventana de comandos, escriba diskpart y pulse Enter.
7. Escriba los siguientes comandos en orden, presione ENTRAR después de cada
una de ellas:
8. Mecanografía salida termina la utilidad diskpart y le devuelve a la orden

del sistema. En el símbolo del sistema, escriba los siguientes comandos para dar formato a
la
particiones. Pulse Intro después de cada comando.
9. En la ventana Opciones de recuperación del sistema, haga clic en el icono de cerrar la

ventana situada en
la esquina superior derecha del cuadro de diálogo. Esto le llevará a la instalación de
Windows
10. el
Encuadro
el tipo de
de diálogo.
clave deHaga
producto
clic en
para
Instalar
la página
ahora.
de activación, que se muestra en la Figura 1-
10, introduzca
Windows Server 2008 Enterprise Edition clave del producto.
Figura 1-10 Introduzca la clave del producto
NOTA La activación automática

Los ejercicios de práctica en este libro asume que el equipo que está instalando no es
conectados directa o indirectamente a Internet. Por lo tanto, debe desactivar la
Opción de activación automática durante la instalación y realizar la activación en un práctico
más tarde.
11. Haga clic en Siguiente. En la página Seleccione el sistema operativo que desea instalar,
haga clic
Windows Server 2008 Enterprise (instalación completa) y luego haga clic en Siguiente.
12. En la página Lea los términos de licencia página, revisar la licencia y luego seleccione
Acepto los Términos de licencia del cuadro de control. Haga clic en Siguiente.
13. En la página ¿Qué tipo de instalación que desea, haga clic en Personalizada (avanzada).
¿Bajo qué condiciones sería la opción de actualización disponible?
Respuesta: Si usted había comenzado la instalación dentro de una edición compatible de
Windows Server 2003.
14. En la página ¿Dónde desea instalar Windows, haga clic en Disco 0 partición 2
y haga clic en Siguiente.
15. El proceso de instalación se iniciará. Este proceso puede tardar hasta 20 minutos,
dependiendo de la velocidad del hardware sobre el que va a instalar el opera-
el sistema operativo. El ordenador se reiniciará automáticamente dos veces durante este
período.
16. Se le pedirá que cambie la contraseña antes de iniciar la sesión por primera vez.
Aquí es donde puede configurar la contraseña para la cuenta de administrador. Haga clic en
Aceptar
introducir la contraseña P @ ssw0rd dos veces en el cuadro de diálogo que se muestra en la
figura 1.11, y
a continuación, pulse Intro. Haga clic en Aceptar cuando se le informa que su contraseña ha
sido
cambiado y se ha iniciado sesión.
Figura 1-11 Introduzca la contraseña del administrador
17. En la página de configuración inicial de tareas, haga clic en Establecer la zona horaria y
configurar el
servidor para utilizar su zona horaria local.
18. Haga clic en Configurar la red. Haga clic derecho en Conexión de área local y haga clic en
Propiedades.
19. En la lista se muestra en la Figura 1-12, haga clic en Protocolo de Internet versión 4
(TCP/IPv4)
y haga clic en el botón Propiedades.
Figura 1-12 Configurar propiedades de la red
20. Configurar el protocolo de Internet versión 4 (TCP/IPv4) cuadro de diálogo Propiedades de

muestra en la Figura 1.13 y luego haga clic en Aceptar. Haga clic en Cerrar para cerrar el
área local de Con-
Propiedades de conexión. Cierre la ventana Conexiones de red para volver a la inicial
Tareas de configuración de página.
Figura 1-13 IPv4 Propiedades

21. En la página de configuración inicial de tareas, haga clic en Proporcionar nombre del equipo
y
Dominio. Se abrirá el cuadro de diálogo Propiedades del sistema. En el equipo
Ficha Nombre, haga clic en el botón Cambiar.
22. En el Nombre de equipo / dominio cuadro de diálogo Cambios, establezca el nombre del
equipo de
Glasgow y haga clic en Aceptar. Haga clic en Aceptar cuando le informen que será necesario
reinicie el equipo y haga clic en Cerrar para cerrar el cuadro de diálogo Propiedades del
sistema.
23.Haga clic en
Después de Reiniciar ahorase
que el equipo para reiniciar
haya el equipo.
reiniciado, inicie sesión con la cuenta de administrador y
la contraseña configurada en el paso 8.
24. Haga clic en Inicio y luego en Ejecutar. En el tipo de cuadro de diálogo Ejecutar dcpromo y
luego
haga clic en Aceptar.
NOTA Directorio activo binarios
Emisión de la dcpromo comando se instalará automáticamente los archivos importantes del equipo
antes de iniciar el controlador de dominio proceso de promoción.
25. En la Bienvenido al Asistente de dominio de Active Directory Servicios de Instalación

página, haga clic en Siguiente.
26. En la página Elegir una configuración de implementación, seleccione la opción Crear una
Nueva
Dominio en una opción de New Forest, como se muestra en la figura 1.14, a continuación,
haga clic en Siguiente.
Figura 1-14 Crear un nuevo dominio en un nuevo bosque

27. En el nombre del dominio raíz del bosque página, escriba el nombre contoso.internal
28. En la página Establecer el nivel funcional bosque, dejar el nivel por defecto funcional
Bosque
en su lugar y haga clic en Siguiente.
29. En la página Establecer el nivel funcional de dominio, deje el dominio por defecto funcional
nivel en su lugar y haga clic en Siguiente.
30. Compruebe que el controlador de dominio adicionales Opciones de página coincide con la
figura 1-15
Figura 1-15 Opciones adicionales del controlador de dominio
31. En el cuadro de asignación estática de IP de diálogo de advertencia, haga clic en Sí, el

equipo se
Utilice una dirección IP asignada dinámicamente (no recomendado).
¿Por qué el cuadro de diálogo IP estática Asignación aparecen al configurar manualmente
la
Dirección IP antes de la práctica de ejercicios?
Respuesta: Sólo la dirección IPv4 fue asignado estáticamente. La interfaz tiene una
dirección IPv6
dirección local de vínculo se configura automáticamente.
32. Cuando se presentó la delegación de advertencia, haga clic en Sí.
33. En la ubicación para la base de datos, archivos de registro y SYSVOL aceptar el valor
predeterminado
los ajustes y haga clic en Siguiente.
34. Introduzca la contraseña P @ ssw0rd dos veces por el dicho modo
Administrador de la cuenta. Haga clic en Siguiente.
35. En la página Resumen, revise las selecciones y haga clic en Siguiente. Activa la Direc-
historia será ahora configurado en el equipo. Cuando se complete este proceso,
haga clic en Finalizar y haga clic en Reiniciar ahora.
NOTA Adición de un equipo cliente

Varios de los ejercicios de práctica en los últimos capítulos requieren el uso de un equipo cliente
Windows Vista o Windows XP para comunicarse e interactuar con el Windows
Server 2008 equipo llamado Glasgow. Este equipo puede ser configurado para existir sólo en un
entorno virtual. Debido a que es muy probable que realizó muchos de cliente de Windows
instalaciones, sólo la información de configuración básica se proporciona aquí. Debe realizar una
instalación estándar, nombrando al equipo de Melbourne y le da la dirección IP 10.0.0.21
con una máscara de subred 255.255.255.0. La dirección del servidor DNS a 10.0.0.11 y unirse a la
Melbourne equipo al dominio Contoso.Internal.
Ejercicio 2: Configuración de BitLocker Drive Encryption en disco duro

En esta práctica se va a configurar el servidor denominado Glasgow utilizar BitLocker completo
disco duro cifrado de la unidad. Esta práctica no se puede completar con un virtual
máquina porque BitLocker no es compatible para los clientes de la máquina virtual.
Esta práctica supone que el equipo no tiene un chip de TPM 1.2 o posterior.
En lugar de almacenar la clave de inicio BitLocker en el dispositivo de TPM, una clave de inicio
se
almacenados en un dispositivo de memoria extraíble USB. Después de BitLocker se ha
configurado y
demostrado su funcionalidad, será eliminado de la computadora a la práctica sim-
plificar los ejercicios posteriores la práctica en este libro.
Para completar esta práctica, realice los siguientes pasos:
1. Inicie sesión en el equipo de Glasgow con la cuenta Administrador.

2. En el menú Herramientas administrativas, abra el Administrador de
servidores.
3. Haga clic derecho en el nodo Características y haga clic en Agregar
características.
4. En la página Seleccionar características del Asistente para agregar características,
seleccione la unidad BitLocker
Función de cifrado, como se muestra en la figura 1.16. Haga clic en Siguiente y luego haga
clicHaga
5. clic en Cerrar para cerrar el Asistente para agregar características. Cuando se
en Instalar.
presentó la Usted No
Desea reiniciar ahora el cuadro de diálogo, haga clic en Sí. El equipo se reiniciará.
6. Una vez reiniciado el equipo, volver a ingresar con la cuenta de administrador y el
contraseña P @ ssw0rd. El Asistente para configuración de Reanudar automáticamente
después de comenzar el proceso de inicio de sesión completa. Haga clic en Cerrar cuando
finalice el asistente.
7. Haga clic en Inicio y luego en Ejecutar. En el cuadro de diálogo Ejecutar, escriba gpedit.msc
y luego
Figura 1-16 Agregue la función de cifrado de unidad BitLocker
8. En el Editor de directivas de grupo local, vaya a la Directiva de equipo local \ Admin-

Plantillas administrativas \ Componentes de Windows BitLocker \ Drive nodo de cifrado.
9. Abra el Panel de control de configuración: Habilitar la directiva de opciones de inicio

avanzadas, seleccione
la opción Activado, seleccione Permitir BitLocker sin un TPM compatible
opción, haga clic en Aceptar y, a continuación, cierre el Editor de directivas de grupo local.
10. Abra un símbolo del sistema y ejecute el comando gpupdate / force para aplicar la
la política. Cierre el símbolo del sistema.
11. Compruebe que un dispositivo USB extraíble de memoria está conectada a la

computadora.
12. Abra el Panel de control y abra el elemento de unidad BitLocker Cifrado. Bajo
volumen C: \, haga clic en Activar BitLocker.
13. En el mensaje de advertencia se muestra en la Figura 1-17, haga clic en Continuar con
BitLocker
Cifrado de unidad.
14. En la página BitLocker configurar las preferencias de inicio, haga clic en Requerir clave de
inicio USB en
Cada inicio.
15. En su página Guardar la clave de inicio, seleccione el dispositivo de memoria extraíble USB
y haga clic en Guardar.
Figura 1.17 BitLocker de alerta
16. En la página Guardar la contraseña de recuperación, que se muestra en la Figura 1-18,

haga clic en Save The
Contraseña en una unidad USB y seleccione el dispositivo USB extraíble de memoria que
guardó los datos clave de inicio en y haga clic en Guardar.
Figura 1-18 El almacenamiento de la contraseña de recuperación de

BitLocker
17. Una vez que la recuperación de la contraseña es guardada,
18. En la página de cifrar el volumen, que se muestra en la figura 1.19, asegúrese de que la
ejecución
Sistema de BitLocker punto de verificación está activada y haga clic en Continuar. Asegúrese
de que
la instalación de Windows Server 2008 los medios de comunicación ha sido eliminado del
DVD
unidad y haga clic en Reiniciar ahora. El equipo se reiniciará.
Figura 1.19 Cifrar el volumen
19. Inicie sesión con la cuenta de administrador y la contraseña P @ ssw0rd. Después de

de inicio de sesión se le informará de que su equipo no es compatible con BitLocker o
que el volumen del sistema operativo está siendo encriptada. Si el equipo no
es compatible con BitLocker, no se puede completar esta práctica.
NOTA Largo proceso

No es estrictamente necesario que se realice el paso 20 y descifrar el disco duro después de la
proceso de cifrado en el paso 19 se ha completado. Tener un ordenador cifrado con BitLocker no
alterar la funcionalidad de los ejercicios de práctica otros en este libro. El inconveniente de retención
una unidad cifrada en el disco duro es que será necesario contar con el dispositivo de memoria USB
presente cada vez que se inicia el equipo y que se reinicia se producen con regularidad durante el juego de la formación
ejercicios de práctica.
20. Después del proceso de cifrado de disco duro ha terminado, abra la unidad BitLocker
Artículo de encriptación en el Panel de control y compruebe que se activa BitLocker. Si Bit-
Casillero está activado, el Desactivar BitLocker y BitLocker Administrar las claves de
opciones
estará disponible, como se muestra en la figura 1.20.
21. Haga clic en Desactivar BitLocker y haga clic en descifrar la unidad. Esto iniciará el
proceso de descifrado, que tendrá aproximadamente la misma cantidad de tiempo que
el proceso de cifrado.
Figura 1.20 Cifrado de unidad BitLocker
Resumen de la lección
■ Windows Server 2008 se presenta en el Standard, Enterprise, Datacenter, Web
Servidor, y las ediciones de Itanium. La empresa y el apoyo Datacenter
failover clustering, servicios de Active Directory Federados, y dura más de gran alcance
configuraciones de software.
■ Server Core es una opción de instalación que permite a Windows Server 2008 que se
desplegado con una superficie de ataque menor y menor huella de hardware.
■ Las actualizaciones sólo se puede iniciar desde dentro de Windows Server
■
2003.
No se puede actualizar una versión de 32 bits de Windows Server 2003 a una versión de
64 bits
de Windows Server 2008.
■ Para implementar BitLocker en un equipo, debe configurar particiones del disco duro
antes de instalar el sistema operativo.
■ Las computadoras con chips TPM puede utilizar BitLocker para verificar que el entorno de
arranque
ción no ha sido manipulado.
■ Directiva de grupo, puede configurar BitLocker funcione en equipos que
no tienen chips TMP.
■ Puede configurar la directiva de grupo para que las claves de BitLocker se archivan en
activo
Directorio.
Repaso de la lección
Puede utilizar las siguientes preguntas para poner a prueba su conocimiento de la información
en
Lección 1, "Planificación de instalación de Windows Server 2008 y actualizaciones." Las
preguntas
También están disponibles en el CD, si lo prefiere para revisar en forma electrónica.
NOTA Respuestas
Las respuestas a estas preguntas y explicaciones de por qué cada respuesta es correcta o incorrecta se
ubicado en el "respuestas" al final del libro.
1. Su organización tiene un Windows Server 2003 R2 Standard Edition equipo que

se utiliza como un servidor de intranet. ¿Cuál de las siguientes rutas de actualización
posibles para
este equipo? (Cada respuesta correcta se presenta una solución completa. Elija dos.)
A. Windows Server 2008 Datacenter Edition
B. Windows Web Server 2008
C. Windows Server 2008 Enterprise Edition
D. Windows Server 2008 Standard Edition
E. Windows Server 2008 Standard Edition (Server Core)
2. Su organización tiene un ordenador con un procesador Core 2 Duo que tiene el de 32 bits
Windows Server 2003 R2 Standard Edition del sistema operativo instalado. ¿Cuál de
las siguientes versiones de Windows Server 2008 este equipo puede ser actualizado a?
A. Versión de 32 bits de Windows Server 2008 Standard Edition

B. Versión de 64 bits de Windows Server 2008 Standard Edition
C. Versión de 32 bits de Windows Server 2008 Datacenter Edition
D. Versión de 64 bits de Windows Server 2008 Enterprise Edition
3. Se le ha pedido a cifrar el disco duro de un servidor de Windows 2008
servidor de archivos mediante BitLocker. El servidor de archivos tiene dos unidades de
disco. El primer disco tiene
un solo volumen que aloja el sistema operativo. El segundo disco de una sola
volumen que aloja los archivos compartidos. Placa base del ordenador tiene una acti-
vated chip TPM 1.2 y una BIOS compatible con TCG. ¿Qué pasos tiene que tomar
para habilitar BitLocker para cifrar el volumen que aloja el sistema operativo y el
volumen que aloja los archivos compartidos?
A. Configurar la directiva de grupo correspondiente.

B. Reparticionar el disco que alberga el volumen del sistema operativo y reinstalar
C. Desactivar el chip TPM.

D. Actualizar el chip TPM.
4. Usted está en el proceso de configurar BitLocker para un servidor de archivos que se
encuentran
en una sucursal. La unidad del servidor en el disco duro está dividido en el que empezará a
partir de
un volumen del sistema que es independiente del volumen del sistema operativo. La com-
ordenador no tiene un chip de TPM, por lo que BitLocker se llevará a cabo mediante un
cable USB
clave de inicio. Después de la función BitLocker se instala, se abre el Con-BitLocker
elemento de control Panel y se presentan con una pantalla idéntica a la figura 1.21.
Figura 1.21 Panel de control de BitLocker tema
¿Cuál de los siguientes pasos deben tomar para que pueda habilitar BitLocker en
este equipo?
A. Inserte un dispositivo USB extraíble de memoria.

B. Actualización de la BIOS de la
computadora.
C. Configurar las directivas de grupo locales.
D. Instalar la función BitLocker.
5. ¿Qué edición de Windows Server 2008 que usted elija si desea
implementar un servidor Exchange Server 2007 de buzón en clústeres, lo que requiere que
un
clúster de conmutación por ser configurado antes de la instalación de Exchange?
A. Windows Web Server 2008 (x64)
B. Windows Server 2008 Standard Edition (x64)
C. Windows Server 2008 Enterprise Edition (x64)
D. Windows Server 2008 Standard Edition (x86)
Lección 2: Implementación de servidor automatizado

Como administrador de sistemas con experiencia, es probable que la implementación del
servidor
hasta un arte. En lugar de tener que sentarse y hacer clic a través de una serie de diálogo
cajas, es probable que haya realizado el proceso con tanta frecuencia que se puede hacer con
los ojos cerrados. En esta lección aprenderás las herramientas que puede utilizar para crear
XML
los archivos de respuesta para el proceso de instalación de Windows Server 2008 y cómo
instalar y
configurar Windows Deployment Services, un servicio que le permite desplegar Operac-
ING imágenes del sistema a los clientes compatibles en la red.
■ Crear y utilizar un archivo XML desatendido para instalar Windows Server 2008.
■ Calendario de la implementación de Windows Server 2008 con los sistemas operativos y
Windows Deployment Services.
Windows Server 2008 archivos de respuesta

Un archivo de respuesta le permite especificar las opciones de configuración específicos como
la forma de partición
unidades de disco duro, la ubicación del servidor de imágenes de Windows 2008 que se va a
instalado, y la clave del producto. Windows Server 2008 archivo de respuesta se suele llamar
autounattended.xml. Este es el nombre que la instalación de Windows Server 2008
proceso busca automáticamente durante la instalación en un intento de iniciar una instalación
desatendida
de la instalación. A diferencia de los archivos de respuesta se utiliza con las versiones
anteriores de Windows
Sistema operativo para servidores, Windows Server 2008 utiliza el formato de archivo de
respuesta XML. Como
un administrador que casi siempre crear este archivo utilizando el sistema de Windows
El Administrador de imágenes (Windows SIM). La herramienta Windows SIM se incluye con el
Windows Automated Installation Kit (Windows AIK o WAIK). Aunque puede cre-
se comió un archivo de respuesta con un editor de texto, la compleja sintaxis XML de la
desatendida
archivo de instalación hace que el AIK de Windows herramientas de un uso más eficiente de su
tiempo.
Para crear unde
Otra ventaja archivo de respuesta
las herramientas deutilizando
Windows el Windows
AIK System
es que le Image
permiten Manager,
verificar realiceUNAT
que una-la los
siguientes pasos:
archivo tendido respuesta en realidad produce el resultado deseado.
1. Iniciar Windows System Image Manager. Esta aplicación está incluida en el Win-
ventanas Kit de instalación automatizada, que se puede descargar desde Microsoft,
Web site.
Lección 2: Implementación de servidor automatizado 37
Descargar el AIK de Windows

MÁS INFORMACIÓN
Puede descargar el AIK de Windows desde la siguiente ubicación:

http://go.microsoft.com/fwlink/?LinkId=79385.
2. Copie el archivo \ Sources \ install.wim de la instalación de Windows Server 2008

los medios de comunicación en un directorio temporal en el equipo Windows Server 2008 en
el que ha instalado el AIK de Windows.
3. Haga clic en el menú Archivo y luego haga clic en Seleccionar imagen de Windows. Vaya a
la tem-
directorio temporal en la que copió install.wim y seleccione el archivo. Este archivo con-
contiene todas las ediciones y las versiones de Windows Server 2008 que puede ser
instalado
4. de
Selos mediosque
le pedirá de seleccione
instalación.una imagen en el archivo de imagen de Windows. Seleccione
Servidor
Empresa y haga clic en Aceptar.
5. Cuando se le pida para crear un archivo de catálogo, haga clic en Sí. Cuando se le solicite
por el usuario
Control de cuentas de cuadro de diálogo, haga clic en Continuar. El archivo de catálogo se
6. En el menú Archivo, seleccione Nuevo archivo de
creará.
respuesta.
7. Al seleccionar el componente adecuado de la imagen de Windows, usted puede config-
Ure las propiedades de ese componente. La figura 1-22 muestra el conjunto de
configuración
ajustes que permiten que el equipo que está instalando para unirse de forma automática el
dominio
contoso.internal con el conjunto específico de credenciales.
Figura 1-22 Creación del archivo de autounattended.xml en el Administrador de imágenes del sistema de
8. Cuando el archivo de respuesta se guarda, que es validada contra la explotación

imagen del sistema que se ha cargado.
Archivos desatendida
MÁS INFORMACIÓN
Para más información sobre la creación y configuración de los archivos de instalación desatendida,
consultar la referencia de la instalación de Windows desatendida, que es accesible desde el menú Ayuda de
Windows System Image Manager.
Ejecución de una instalación desatendida

Tradicionalmente, las instalaciones desatendidas utilizar disquetes que contenían el
archivo de texto desatendido. Hardware de servidor más moderno no incluye un disquete
unidad, así como se mencionó anteriormente, el servidor Windows 2008 de rutina de instalación
automática-
camente comprobar todos los volúmenes locales del servidor un archivo llamado
autounattended.xml. Este
control automático también incluye cualquier dispositivo USB removible de memoria conectada
a la
En el caso de que la instalación utiliza archivos de configuración en un recurso compartido de
equipo.
red, se
necesario para arrancar en Windows PE, conectarse al recurso compartido de red, y luego
emitir
el comando setup.exe / unattend: x: \ autounattended.xml (Donde x: \ es la ruta de
el archivo autounattended.xml). En "Servicios de implementación de Windows" más adelante en
esta lección,
usted aprenderá cómo utilizar los archivos de respuesta desatendida con Windows Deployment
Services.
Consulta Rápida
1. ¿Qué herramienta se debe utilizar para generar un archivo XML desatendido
respuesta?
2. Cuando a partir de los medios de instalación de Windows Server 2008 para per-
forman una configuración en un equipo sin una unidad de disco, ¿cómo se puede
garantizar
que el archivo autounattended.xml será reconocido por la instalación?
1. Windows System Image Manager de la instalación automatizada de Windows
Kit (WAIK o AIK de Windows).
2. Coloque el archivo autounattended.xml en un dispositivo de memoria extraíble USB

se conecta al servidor. Una alternativa es que la copia en el volumen de
que va a instalar Windows Server 2008, aunque esto requiere más
preparación de utilizar el dispositivo USB.
Windows Deployment Services

Windows Deployment Services es un papel que puede añadir a un servidor Windows 2008
com-
ordenador que permite el despliegue remoto de Windows Server 2008 y Windows Vista.
También puede implementar versiones anteriores de sistemas operativos de Microsoft con
Windows
Deployment Services (WDS), pero la lección de esta se concentra en la implementación de
Windows
WDS
Serverrequiere que un equipo
2008 utilizando cliente tiene una tarjeta de red compatible con PXE. Si un cliente
esta tecnología.
equipo no tiene una tarjeta de red compatible con PXE, tendrá que utilizar otro
método, como una instalación de red con Windows PE-para llevar a cabo un control remoto
de la instalación. El proceso funciona cuando el ordenador con la tarjeta de red basada en PXE
se inicia y se localiza el servidor WDS. Si el cliente está autorizado y multicast trans-
las misiones se han configurado, el cliente comenzará automáticamente el proceso de
configuración.
Transmisiones unicast, que son menos eficientes cuando los clientes están involucrados
múltiples son
activado una vez que una imagen del sistema operativo está instalado. Si un
autounattended.xml
archivo de respuesta no se ha instalado en el servidor WDS, esta instalación se procederá
normalmente, requiere la participación del administrador. La única diferencia entre un
WDS basado en la instalación y una instalación normal es que el servidor parece estar puesta
en
ción de los medios de instalación de Windows Server 2008, más de la red en lugar de
a partir de los medios de comunicación ubicado en un local de DVD-ROM.
Windows Deployment Services se puede instalar en un equipo Windows Server 2008
sólo bajo las siguientes condiciones:
■ El equipo en el que se ha implementado WDS es un miembro de un Active Directory

dominio. Un servidor DNS es necesario, aunque esto está implícito en la existencia de
el dominio.
■ Autorizado el servidor DHCP está presente en la red.

■ Una partición NTFS está disponible para el almacenamiento de imágenes del
sistema operativo.
No se puede implementar WDS en un equipo que ejecuta una edición de Windows Server Core
Server 2008. Después de instalar Windows Deployment Services, lo que necesita para
configurar
antes de que pueda ser activado. Usted puede hacer esto mediante el uso de los Servicios de
implementación de Windows
Asistente de configuración, que se cubre en la práctica 2 al final de esta lección, o por
utilizando el wdsutil.exe de línea de comandos.
Si el servidor WDS se coloca con el servidor DHCP, es necesario configurar
WDS no escuchar en el puerto 67. Si no lo hace, WDS y DHCP tendrá un con-
conflicto. También es importante para configurar el servidor WDS a añadir la etiqueta de opción
60, como se muestra
en la figura 1.23, por lo que los clientes PXE son capaces de detectar la presencia de un
servidor WDS.
Figura 1.23 DHCP pestaña de configuración del servidor

WDS
La ficha del cliente de las propiedades de un servidor de WDS, que se muestra en la Figura 1-
24, le permite especificar
un archivo de instalación desatendida por defecto para cada arquitectura específica. Si la
autounat
tended.xml archivo no se especifica la arquitectura de Windows Server 2008 que está
la instalación, la instalación se requiere la cantidad normal de entrada manual.
Figura 1-24 Usted puede especificar los archivos por defecto de instalación desatendida en el servidor
WDS
Algunos entornos de red contarán con servicios tales como la videoconferencia y video-
de fundición que ya utilizan las direcciones IP en el rango de multidifusión. Puede utilizar la Red
Ficha Configuración, que se muestra en la figura 1.25, para configurar el rango de direcciones
IP multicast utilizados
por WDS y los puertos UDP que serán utilizados por el servidor de multidifusión. También
puede
especificar un perfil de red que va a limitar la cantidad de ancho de banda que WDS multicast
transmisiones de consumir.
Figura 1-25 Configuración de la dirección IP multicast
También puede configurar la política de respuesta PXE se configura el servidor WDS set-
ajustes. La primera opción es para configurar el retardo de respuesta PXE. Debe configurar
este
ajuste cuando desea especificar el orden en que los servidores de WDS responder a PXE
peticiones. Puede configurar tres opciones de respuesta PXE:
■ No responda a cualquier equipo cliente. WDS no responde a PXE
peticiones.
■ Responder sólo a los equipos de Clientes conocidos. Esta opción se utiliza si los clientes
tienen
sido preinstaladas en Active Directory.
■ Responder a todos los equipos cliente (conocidos y desconocidos). Esta configuración
tiene un
opción adicional que permite a los administradores para aprobar manualmente
desconocido
los clientes.
Multicast, programada y la implementación automática

Multicast permite a las organizaciones un uso más eficiente del ancho de banda de red,
permitiendo
una imagen del sistema operativo que se transmiten por la red una vez para múltiples ins-
ción clientes. Por ejemplo, si va a implementar 20 Windows Server 2008, que
ahorrar ancho de banda importante en la transmisión de una imagen de instalación en la red
(Aproximadamente 1,5 GB de datos) en comparación con la transmisión de los 20
(aproximadamente 60 GB de
de datos). También puede configurar la implementación de multidifusión para usar sólo una
cantidad específica de la
ancho de banda de red. Implementación de multidifusión sólo se admite en entornos de red
donde
También lospuede
routersprogramar
soportan las
las implementaciones.
transmisiones de multidifusión.
Esto permite la transmisión de la instalación
datos de la imagen que se produzca a una hora predeterminada. Por ejemplo, puede configurar
despliegue que se produzca durante las horas cuando la transmisión de una importante
cantidad de datos que tendría poco impacto en el día a día el funcionamiento de una red.
Alterna-
Alternativamente, puede configurar un multicast previsto que se producen cuando un
determinado número de cli-
los padres están preparados para recibir una imagen. También se pueden combinar estas
opciones. Por ejemplo,
La figura 1-26 muestra una transmisión de multidifusión que se producirá a las 3:00 am si 10
clientes
están listos para recibir la imagen. Cuando se combina con un WDS instalación desatendida
ción de archivos, se puede encender un conjunto de equipos antes de salir de la oficina para
una noche
y volver al día siguiente para encontrar que cada uno se instala automáticamente y
configurado durante el período de calma durante la noche en la actividad de red. Un auto
fundido significa que un
transmisión multicast se iniciará tan pronto como un cliente solicita una imagen de instalación.
Auto-cast
es la más utilizada por una sola vez en lugar de las implementaciones de despliegues a gran
escala en
difusión programada es más apropiado.
Figura 1-26 Configuración de una transmisión multicast

Examen Consejo
Recuerde que el despliegue previsto que ocurra en el medio de la noche necesita una
archivo de respuesta, de lo contrario, el proceso de implementación se detendrá cuando la entrada del administrador es necesario.
Windows Deployment Services Imágenes

Windows Deployment Services utiliza dos tipos de imágenes: imágenes de instalación y
arrancar las imágenes. Las imágenes de instalación son las imágenes del sistema operativo
que se desplegará a
Windows Server 2008 o Windows Vista los equipos cliente. Una instalación por defecto
la imagen se encuentra en el directorio \ Sources de Windows Vista y Windows Server
2008 DVDs de instalación. Si está utilizando WDS para implementar Windows Server 2008
para
ordenadores con distintas arquitecturas de procesador, tendrá que añadir por separado
imágenes de instalación para cada arquitectura en el servidor WDS. Específica a la arquitectura
las imágenes se pueden encontrar en los medios de instalación de una arquitectura específica.
Por ejemplo, el
Imagen de Itanium se encuentra en el medio de instalación de Itanium y x64 por defecto
imagen de la instalación se encuentra en el medio de instalación de 64 bits. Aunque puede
crear
imágenes personalizadas, sólo es necesario tener una imagen por la arquitectura del
procesador. Para
ejemplo, la implementación de Windows Server 2008 Enterprise x64 Edition a un ordenador
con un procesador x64 y un equipo con 8 procesadores x64 en la configuración de SMP
sólo requiere de acceso a la imagen de instalación por defecto de 64 bits. La práctica el
ejercicio 2 en el
finalimagen
La de estadelección cubre
arranque se los detalles
utiliza de la adición
para iniciar de una
un equipo imagen
cliente antesde
deinstalación por de
la instalación defecto
la a
un WDS
operac-
servidor.
ción de imágenes del sistema. Cuando arranca un equipo de una imagen de arranque en la red,
un menú
que se presenta muestra las imágenes posibles que se pueden implementar en el equipo
desde el servidor WDS. Windows Server 2008 permite el archivo boot.wim avanzada
opciones de implementación, se debe utilizar este archivo en lugar del archivo boot.wim que se
dis-
Además
poder sobrede lalosimagen
mediosdedearranque básicos,
instalación dos tipos
de Windows diferentes de imágenes de arranque
Vista.
adicional puede ser
configurada para su uso con WDS. La captura de la imagen es una imagen de arranque que
inicia la WDS cap-
tura de servicios públicos. Esta utilidad se usa con un equipo de referencia, elaborado con el
sysprep util-
dad, como un método para captar la imagen del equipo de referencia para el despliegue de
WDS.
El segundo tipo de imagen de arranque adicional es la imagen de detección. Descubra las
imágenes se utilizan
para desplegar imágenes en equipos que no están habilitados para PXE o en redes que no
permiten PXE. Estas imágenes se graban en CD, DVD o una memoria USB y el ordenador
arrancado desde los medios de comunicación más que de la tarjeta de red PXE, que es el
tradicional
método de usar WDS.
Más información sobre la gestión de

MÁS INFORMACIÓN
imágenes
Para más información sobre cómo trabajar con imágenes de WDS, consulte el siguiente artículo de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/06fd5868-cf55-401f-8058-2339
ab1d4cbe1033.mspx.
WDS y activación de productos

A pesar de la activación del producto no es necesario que se producen durante la instalación
real de pro-
proceso, los administradores considerar el uso WDS para automatizar la implementación
también debe
considerar el uso de la activación por volumen para automatizar la activación. La activación por
volumen ofrece
un método sencillo y centralizado que los administradores de sistemas pueden utilizar para la
activación de
un gran número de servidores desplegados. La activación por volumen permite dos tipos de
llaves yde activación múltiple permiten la activación de un número determinado de
Claves
tres métodos de
ordenadores. activación. Los tipos principales son la clave de activación múltiple (MAK) y
Cada
los Servicios
activación de administración
correcta de claves
agota la activación. (KMS).
Por ejemplo, un MAK clave que ha
100 activaciones permite la activación de 100 equipos. La activación múltiple
Puede utilizar la clave de activación proxy de MAK y la activación independiente de MAK activa-
los métodos de producción. La activación proxy de MAK usa una solicitud de activación
centralizada en nombre de
múltiples productos, usando una única conexión a los servidores de activación de Microsoft.
MAK
La activación independiente requiere que cada equipo se activa de forma individual en contra
de
Clave de las llaves de gestión permiten a los equipos para ser activado en un entorno
Servidores de activación de Microsoft.
administrado-
ambiente sin necesidad de conexiones individuales a Microsoft. Las claves KMS activar la
Servicio de administración de claves en el servidor y las computadoras en el entorno de
conectarse a
ese equipo para realizar la activación. Las organizaciones que usan KMS debe tener dos KMS
servidores implementados, uno de los cuales funcionará como una serie de copia de seguridad
para garantizar la redundancia.
KMS requiere un mínimo de 25 equipos que se conectan antes de la activación puede ocurrir, y
acti puede utilizar KMS y MAK, junto con los otros. El número de ordenadores-
Usted
innovación
res, con quédebe ser renovada
frecuencia por volver
se conectan a conectar
a la red, y si haycon el servidor
conexión KMS cada 180 días.
a Internet
determina cuál es la solución que debe implementar. Debería implementar MAK si sustanciales
número de computadoras no se conectan a la red de más de 180 días. Si hay
hay conexión a Internet y los ordenadores de más de 25, se deben desplegar KMS. Si
no hay conexión a Internet y los ordenadores de menos de 25, usted tendrá que utilizar
MAK y activar cada sistema a través del teléfono.
Retroceso de la preparación
En el mejor de los mundos de cada actualización funciona a la perfección, con lo que aumentó
funciones
funcionalidad, estabilidad y rendimiento para el equipo que se ha actualizado. En
la realidad se encuentra la mejor forma de tomarlo como un administrador de sistemas es
asumir que la ley de Murphy siempre está en efecto: Todo lo que puede salir mal,
probablemente
se. Antes de actualizar un equipo de Windows Server 2003 a Windows Server
2008, usted debe tener un plan de restauración en el lugar en caso de que algo espectacular
mal.
Rollback es necesaria cuando la funcionalidad de un servidor se ve comprometida por la
actualización. Por ejemplo, una aplicación personalizada puede ser desplegado en un servidor
Windows
2003 que se vuelve funcional al actualizar a Windows Server
2008. Si la aplicación personalizada es fundamental para la función de un negocio, usted tendrá
que rodar
de nuevo a Windows Server 2003 para que la aplicación puede seguir utilizándose.
Durante el proceso de actualización se puede volver a la existente en Windows Server 2003
de la instalación. Sin embargo, después de un inicio de sesión correcto se ha producido, la
actualización no puede
se deshace. El inconveniente de esta situación es que muchas veces no se cuenta
de los problemas con una actualización hasta que se produce después de inicio de sesión
correcto. La única manera de
retroceder es formatear el disco duro y restaurar el servidor de Windows 2003
copias de seguridad que tomó antes de intentar la actualización. Una alternativa al formato
la unidad de disco duro y la restauración de Windows Server 2003 es la implementación de
Windows
Server 2003 a través de característica de virtualización de Windows Server 2008. La
virtualización es
tratan con más detalle en el capítulo 5, "Servicios de Terminal Server y la aplicación y el
Antes
servidorde actualizar un equipo de Windows Server 2003 a Windows Server 2008,
tomar las siguientes
Virtualización ". precauciones:
■ Realice una copia de seguridad de Recuperación automática del sistema de Windows

Server 2003
equipo.
■ Realice una copia de seguridad completa de todos los datos,
■
incluyendo datos del estado del sistema.
Tenga un plan para rodar la parte posterior actualización en el caso de que algo va mal.
En el caso de que tenga que quitar Windows Server 2008 desde un equipo que tiene
ha actualizado desde Windows Server 2003, la forma más rápida para restaurar la función
antes de
nalidad es la aplicación de Windows Server 2003 copia de seguridad ASR, restaurar el estado
del sistema
y datos de usuario y volver a instalar todas las aplicaciones adicionales.
Práctica: Instalación y configuración de la implementación de Windows

Servicios de función
En este conjunto de ejercicios que va a instalar y configurar Windows Deployment Services,
importar imágenes del sistema operativo de los medios de instalación de Windows Server 2008,
y configurar una transmisión multicast para implementar estas imágenes del sistema operativo
para
correctamente configurados los clientes PXE.
Ejercicio 1: Prepárese para la instalación de la función de implementación de Windows Server Servicios
En este breve ejercicio que llevará a cabo varios ejercicios de limpieza que se pre-
Pare el servidor para la instalación de la función de servidor de Windows Deployment Services.
Esto incluye la instalación del servicio de servidor DHCP y la creación de un usuario
cuenta que se ha limitado, pero no los derechos completa, administrativa. Esta cuenta de
usuario
espejos los profesionales de TI cuya función laboral se cruza con el tipo de tareas de prueba en
el examen 70-646. Esta cuenta tiene derechos administrativos, pero no es un miembro de la
Administradores de esquema o de los grupos Administradores de organización. Para completar
este ejercicio, realice los
siguientes pasos:
1. Inicie sesión en el Glasgow de controlador de dominio utilizando la cuenta de
administrador.
2. Abra Usuarios y equipos desde el menú Herramientas administrativas.
3. En el contenedor de usuarios, cree una nueva cuenta de usuario llamada Kim_Akers.
Asignar Kim
la cuenta de usuario la contraseña P @ ssw0rd y establecer la contraseña no caduque nunca.
NOTA Para mayor comodidad Kit de formación sólo
En un entorno del mundo real debe asegurarse de que las cuentas de administrador tienen el mismo
la directiva de contraseñas de caducidad como todas las otras cuentas de usuario.
4. Agregue la cuenta de Kim Akers usuario al grupo Administradores de dominio de seguridad.

No
agregar la cuenta de Kim Akers usuario a cualquier otro grupo administrativo en este
5. Cierre la sesión de servidor de Glasgow y volver a ingresar con la cuenta
momento.
Kim_Akers.
6. Si la consola Server Manager no se abre automáticamente, ábralo con el
Barra de inicio rápido o en el menú Herramientas administrativas.
7. Haga clic derecho en el nodo Funciones y, a continuación, haga clic en Agregar funciones.
Esto abrirá la opción Agregar
Asistente para funciones.
8. En la página Antes de comenzar, haga clic en
Siguiente.
9. En la página Seleccione un servidor de la página Roles, seleccione el servidor DHCP y
10. Sobre la introducción a la página del servidor DHCP, haga clic en
Siguiente.
11. En la conexión de red de enlaces de página, aceptar la interfaz 10.0.0.11 como la

uno que acepte las peticiones DHCP y haga clic en Siguiente.
12. Compruebe que la configuración del servidor DNS IPv4 coinciden con los mostrados en la
Figura 1.27
Figura 1.27 Configuración de DNS para el servidor DHCP
13. En la página Configuración de WINS IPv4, acepte los valores predeterminados y

14. En la página de ámbitos DHCP, haga clic en
Agregar.
15. En el cuadro de diálogo Agregar ámbito, añadir entradas a fin de que el cuadro de diálogo
aparece como
muestra en la figura 1.28. Haga clic en Aceptar y luego haga clic en Siguiente.
16. Revise la configuración por defecto el modo sin estado DHCPv6 y haga clic en
Siguiente.
17. Revisar el valor por defecto de DHCP IPv6 configuración del servidor DNS y haga
clic en Siguiente.
18. Compruebe que la configuración Utilizar las credenciales del actual está seleccionada y que
el usuario
Nombre está en la cuenta de usuario CONTOSO \ kim_akers. Haga clic en Siguiente y, a
continuación, en el
Página de confirmación, haga clic en Instalar. La instalación de la función de servidor DHCP
comenzar.
Figura 1.28 Configuración de ámbito DHCP
19. Cuando la función de servidor DHCP se ha instalado, haga clic en Cerrar para cerrar el
Agregar
Asistente para funciones.
20. Apague el equipo.
Ejercicio 2: Instalación de la implementación de Windows función de servidor de Servicios y añadir
archivos de imagen
En este ejercicio va a instalar la función de servidor de Windows Deployment Services y
agregar
archivos de imagen de los medios de instalación de Windows Server 2008. Debe asegurarse de
que
el Windows Server 2008 los medios de instalación se encuentra en la unidad de DVD-ROM
unidad. Para completar este ejercicio, realice los siguientes pasos:
1. Inicie sesión en el servidor de Glasgow con la cuenta de usuario
Kim_Akers.
2. Si la consola del servidor de funciones no se abre automáticamente, se abre con el corto
plazo
corte en la barra de herramientas Inicio rápido o en el menú Herramientas administrativas.
3. Haga clic derecho en el nodo Funciones y, a continuación, haga
clic en Agregar funciones.
4. Si se le presenta la página Antes de comenzar el Asistente para agregar funciones,
haga clic en Siguiente, de lo contrario, vaya al paso 5.
5. En la página Seleccionar funciones, seleccione la función Servicios de implementación de

Windows
6. Revise la sección A tener en cuenta del panorama general de implementación de Windows
Página de servicios se muestra en la Figura 1.29 y luego haga clic en Siguiente.
Figura 1.29 WDS visión
7. En la página Seleccionar servicios de función, asegúrese de que tanto la implementación

de servidores y
Servicios de transporte por función de servidor se seleccionan. Haga clic en Siguiente y
luego haga clic en Instalar. La
la instalación de Windows Deployment Services comenzará. Cuando la instala-
8. ción
En elcompleta, haga clic enadministrativas,
menú Herramientas Cerrar. haga clic en Windows Deployment Services. En
el
User Account Control cuadro de diálogo, haga clic en Continuar.
9. En la consola de implementación de los servicios de Windows, haga clic en el nodo
Servidores y
continuación, haga clic en Agregar servidor.
10. En el cuadro de diálogo Agregar servidor (s), asegúrese de que Equipo local está
seleccionado y
11. Haga clic derecho en el servidor Glasgow.contoso.internal y haga clic en Configurar
servidor. Este
se iniciará la implementación de Windows Asistente para configuración de servicios. Haga
clicAcepte
12. el valor predeterminado remota ubicación de la carpeta de instalación de C: \
en Siguiente.
RemoteInstall y
13. En el Aviso de volumen del sistema, tenga en cuenta la recomendación de que el mando a
distancia
carpeta de instalación se debe colocar en un volumen diferente que la del sistema
volumen y haga clic en Sí.
14. Asegúrese de que no escuchan en el puerto 67 y configurar la opción DHCP 60 A
"PXEClient" opciones están seleccionadas, como se muestra en la figura 1.30, a
continuación, haga clic en Siguiente.
Figura 1.30 DHCP Opción 60
15. En la página Configuración del servidor PXE inicial, seleccione la opción de responder sólo
a las
Conoce los equipos cliente y haga clic en Finalizar.
16. En la página Configuración completa, asegúrese de que las imágenes Añadir a la
De implementación de Windows Server Ahora se selecciona la opción y haga clic en
Finalizar.
NOTA Los medios de comunicación requiere
instalación
Asegúrese de que la instalación de Windows Server 2008 los medios de comunicación está presente en el DVD de la
computadora
unidad antes de intentar el paso 17. Las imágenes se requieren 1,8 GB de espacio en disco.
17. En la imagen de Windows los archivos cuadro Ubicación de diálogo, haga clic en Examinar,
navegue hasta la
Directorio de las fuentes de la unidad de DVD, haga clic en Aceptar y, a continuación, haga
clicEn
18. en la página de Grupo Imagen, compruebe que la opción Crear un nuevo grupo de
Siguiente.
imágenes se
seleccionado y que el nombre de la imagen nuevo grupo será ImageGroup1. Haga clic en
19. En el cuadro de diálogo Configuración de revisión, verificar que una imagen de arranque y 6
Siguiente.
imágenes de instalación
serán transferidos al servidor, como se muestra en la figura 1.31, a continuación, haga clic en
Siguiente.
Ahora las imágenes se transfieren desde el servidor de DVD de Windows 2008 a la
20.c:Cuando
\ RemoteInstall.
las imágenes se han transferido al servidor, haga clic en Finalizar.
Figura 1.31 Agregar imágenes a WDS
21. En la consola Servicios de Windows Deployment, haga clic con el Multicast Trans-
nodo de las misiones y luego seleccione Crear transmisión por multidifusión.
22. En la página Nombre de transmisión, el tipo TestAlpha y haga clic en

Siguiente.
23. En la página de selección de imagen, asegúrese de que ImageGroup1 esté seleccionada y
luego haga clic en Siguiente.
24. En la página Tipo de multidifusión, que se muestra en la Figura 1-32, asegúrese de que es
de difusión programada
seleccionado. Seleccione el que se inicie automáticamente cuando el número de clientes
dispuestos a
Recibe esta imagen es la opción. Definir el valor umbral de 10. Haga clic en Siguiente y
después
25. Cierre la consola de Servicios de implementación de Windows y luego cerrar la
haga clic en Finalizar.
sesión.
Figura 1-32 Diez clientes son necesarios antes de la multidifusión se inicia

■ Un servidor Windows 2008 archivo de respuesta permite a los administradores
automatizar algunos o
todo el proceso de instalación de suministro de información a la rutina de instalación en el
componentes y ajustes de configuración necesarios para la instalación de Windows
Server 2008.
■ El archivo de respuesta, por lo general llamado Autounattend.xml, se crea utilizando el
Windows
De imágenes de sistema (Windows SIM), un componente de Windows Auto-
Instalación acoplado Kit (WAIK). WAIK es una libre disposición add-on para Windows
Server 2008 que puede ser descargado desde el sitio Web de Microsoft.
■ Puede almacenar los archivos de respuesta en un dispositivo de memoria extraíble USB,
donde se
automáticamente detectado por la rutina de instalación de Windows Server 2008. Alterna-
tivamente pueden ser ubicados en un recurso compartido de red y llama si una
configuración de red es
■ comenzó
Puede usar desde dentroDeployment
Windows de Windows PE.
Services (WDS) para implementar Windows Server
2008 imágenes del sistema operativo a los clientes PXE utilizando transmisiones
multicast. La
ventaja de una transmisión multicast, es que los datos de imagen se transmite sólo
una de la red, minimizando el uso de ancho de banda.
■ Usted puede programar las transmisiones de multidifusión que se produzca en momentos
concretos, cuando un
determinado número de clientes se han conectado al servidor WDS, o una combinación
de
■ de el
Si ambos. También
servidor es posible
WDS también crear
recibe el un auto-Cast,
servicio que seDHCP,
de servidor inicia de forma
debe automática.
configurar
WDS para escuchar en un puerto distinto, y para configurar la etiqueta de opción DHCP
60 para todos los
ámbitos.
■ La activación por volumen permite el uso de dos tipos de claves de activación. El múltiple
Clave de activación (MAK) es una clave única que se puede utilizar para activar múltiples
com-
computadoras. Esto puede ocurrir en una base por computadora oa través de un proxy
MAK. La Clave
Management Service (KMS) requiere un mínimo de 25 equipos que necesitan
para conectar con el servidor KMS cada 180 días. KMS es la más adecuada en el entorno
mentos en que no hay conexión a Internet.
en
Lección 2, "servidor de implementación automatizada." Las preguntas también están
disponibles en la
compañero de CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Si acaba de instalar Windows Server 2008 en un equipo en el que

la intención de implementar los Servicios de implementación de Windows (WDS) la función
de servidor. Que
de los siguientes requisitos deben cumplirse antes de instalar el servidor WDS
papel? (Cada respuesta correcta se presenta parte de la solución. Elija tres.)
A. El equipo debe ser un miembro de un dominio de Active Directory.
B. Autorizado el servidor DHCP debe estar presente en el entorno de red.
C. Un servidor DNS debe estar presente en el entorno de red.
D. La función Servidor de aplicaciones debe estar instalado en el servidor de Windows
2008
equipo.
2. ¿Cuál de los siguientes ambientes le permite iniciar una instalación desatendida
la instalación?
A. Windows PE 2.0
B. Windows NT disco de arranque
C. MS DOS disco de arranque
D. Windows Server 2008 los medios de instalación
3. Usted acaba de implementar la función de servidor de Windows Deployment Services en un
com-
ordenador que funciona como un controlador de dominio, servidor DHCP y servidor DNS.
Cuando intenta iniciar un servidor con una tarjeta de red PXE, usted no puede con-
conectar con el servidor PXE en WDS. ¿Cuál de los siguientes debe hacer para tratar de
resolver este problema?
A. Configurar las opciones de DHCP en el servidor de implementación de los servicios
de Windows
las propiedades.
B. Configurar las opciones de DHCP en la consola del servidor
DHCP.
C. Configurar los ajustes de DNS en la consola del servidor DNS.
D. La configuración del cliente de Windows en el servidor de Servicios de implementación
de
las propiedades.
4. Se ha configurado una transmisión de multidifusión en Windows Deployment Services
(WDS) para comenzar a las 7:00 pm del viernes por la noche, tan pronto como 10 clientes
están listos para
recibir la imagen. Su servidor WDS está situado en una planta baja sala de servidores y
los 10 equipos en los que se va a instalar Windows Server 2008 son
ubicado en la sala de ensayo, al lado de su cuarto piso de la oficina. La sala de servidores
y
el resto del edificio se encuentran en subredes separadas. DNS y DHCP en su entorno
ambiente están alojados en un servidor diferente al servidor WDS. Se ha configurado
el servidor WDS con un archivo de instalación desatendida apropiado. Su estancia en el
oficina para verificar que el despliegue se inicia correctamente, pero descubren que no es
así.
¿Cuál de los siguientes cambios serán necesarios antes de poder obtener este método
de despliegue de la función?
A. Actualizar las zonas DNS para asegurarse de que son Active Directory integrado.
B. Configurar un ámbito DHCP IPv6 especiales para los clientes
PXE.
C. Configurar un ámbito DHCP IPv6 especiales para los clientes
PXE.
D. Vuelva a colocar el router con el que admite la multidifusión.
5. Usted tiene 15 Windows Server 2008 del servidor para desplegar imágenes a los clientes
utilizando
Windows Deployment Services (WDS). Todos los servidores deben configurarse en un
manera casi idéntica. Ninguno de los servidores tienen unidades de disco óptico o
Unidades de medios. ¿Cómo se puede configurar WDS para reducir al mínimo la cantidad
de hombre-
intervención individuales
A. Coloque un archivonecesarios para la instalación
XML desatendido de estos servidores?
en una carpeta
compartida.
B. Configurar las propiedades de la transmisión de multidifusión en WDS.
C. Configurar un archivo XML desatendido dentro de las propiedades del servidor
WDS.
D. Coloque un archivo XML desatendido en un dispositivo USB extraíble y conéctelo al
cada servidor.
Repaso del capítulo 1 55
Revisión del capítulo

Para practicar y reforzar aún más las habilidades que aprendió en este capítulo, puede per-
forman las siguientes tareas:
■ Revise el resumen del capítulo.

■ Revise la lista de términos clave introducidas en este capítulo.
■ Completa los escenarios de caso. Estos escenarios de establecer situaciones del mundo
real involv-
ción de los temas de este capítulo y le pedirá que cree una solución.
■ Completar las prácticas sugeridas.
■ Tomar un examen de
práctica.
Resumen del capítulo

■ Determinar qué edición de Windows Server 2008 es adecuado requiere
comprensión de las necesidades, tales como los requisitos de hardware, los requisitos de
la agrupación,
y los roles del servidor tendrá que proporcionar.
■ Windows Server 2008 que tradicionalmente se implementa mediante DVD-ROM de
instalación
los medios de comunicación. También puede utilizar Windows PE para arrancar en un
entorno con una red de
compartir el trabajo que contiene los archivos de Windows Server 2008 la instalación,
aunque este
■ por lo general
BitLocker sólo un
requiere se esquema
realiza cuando un adaptador
muy específico de reddel
partición PXE no duro
disco está que
disponible y WDS
se imple-
No se puede utilizar.
mented antes de la implementación del sistema operativo. Si este esquema de partición
no es
implementado, tendrá que eliminar ningún sistema operativo instalado y partículas
particiones en el disco duro correctamente antes de la reinstalación y el despliegue de
■ BitLocker.
BitLocker se puede implementar sin un chip TPM 1.2 compatible siempre y cuando el
Directiva de grupo que permite a la clave de BitLocker que se almacenan en una memoria
USB extraíble
dispositivo de memoria está activada y el BIOS del equipo admite el acceso a USB
dispositivos de memoria antes de iniciar el sistema operativo.
■ Windows Server 2008 los archivos de respuesta se llaman y son autounattended.xml
generados usando el Administrador de imágenes del sistema, una herramienta disponible
en el AIK de Windows.
Puede configurar WDS para usar autounattended.xml para automatizar la instalación
proceso.
■ Windows Deployment Services permite que las imágenes del sistema operativo que se
desplegará
a varios equipos con tarjetas de red PXE en multidifusión programada
56 Repaso del capítulo 1
transmisiones. Las transmisiones multicast minimizar la cantidad de ancho de banda

utilizar, y permite la programación de la interrupción de la imagen del sistema operativo
trans-
misión que se produzcan durante los períodos de baja utilización de la red.
Términos clave
¿Sabes lo que significa estos términos clave? Usted puede ver sus respuestas consultando
los términos en el glosario al final del libro.
■ Arranque de la
■
partición
DHCP
■ Multicast
■ PXE
■ La partición del sistema
■ Windows PE
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de la planificación
instala el servidor y las actualizaciones. Usted puede encontrar respuestas a estas preguntas
en el
"Respuestas" al final de este libro.
Caso Escenario 1: La migración de Contoso a Windows Server 2008

Contoso se encuentra en proceso de trasladar su infraestructura de red para Windows Server
2008 de Windows Server 2003 bajo la dirección de Windows Server 2008 Enter-
Los administradores del premio. En varias de las situaciones involucradas en la migración del
plan de
personal de Contoso daría la bienvenida a su consejo sobre los detalles de implimentation. La
situaciones en las que desean saber su opinión son:
1. Cinco de los servidores de Contoso sucursal será actualizada de forma que se están
ejecutando
la opción de instalación Server Core de Windows Server 2008 Standard Edition.
Estos servidores se están ejecutando Windows Server 2003 Standard Edition.
Cada servidor tiene un procesador Core 2 Duo a 2 GHz, 4 GB de RAM y 1 TB de libre
espacio en el disco duro. ¿Qué planes haría para cumplir con este objetivo?
2. ¿Qué planes deben hacerse para prepararse para el despliegue de BitLocker en cinco
servidores que funcionan como controladores de dominio de sólo lectura?
3. ¿Qué edición de Windows Server 2008 sería el más apropiado para desplegar en
la subred Contoso seleccionados teniendo en cuenta que la única funcionalidad del servidor
requiere es que aloja el sitio Web corporativo?
Escenario 2: Los juguetes Tailspin Automatiza Windows Server 2008

Despliegue
Tailspin Toys es un fabricante de aviones de juguete con una infraestructura de red de
envejecimiento.
Decidido a modernizar, Juguetes Tailspin será el despliegue de un número significativo de
De Windows Server 2008 como parte de una completa infraestructura de TI
actualización. Usted ha sido incorporado como un consultor de Tailspin Toys para ayudarles
con la planificación de la implementación de todos estos servidores nuevos.
1. La infraestructura física de red de Tailspin Toys es casi una década de antigüedad. Que
parte importante de la infraestructura podría tener que ser actualizadas o cambiadas antes
para tratar de implementar Windows Server 2008 utilizando transmisiones multicast?
2. Si el servidor que alojará la función WDS también aloja la función de servidor DHCP, lo que
medidas hay que tomar?
3. Usted tiene 10 servidores que desea utilizar para instalar WDS. Le preocupa que
la transmisión multicast se iniciará antes de tener todos los 10 servidores de listas y
quiere evitar transmisiones múltiples. ¿Qué medidas puede tomar para asegurarse de
que esto no ocurra?
Prácticas sugeridas
Para ayudarle a dominar con éxito los objetivos del examen se presentan en este capítulo,
com-
completa las siguientes tareas.
Instalaciones Plan de servidor y actualizaciones

Si usted tiene el hardware disponible o capacidad de la máquina virtual y quiere más
investigar la implementación del servidor automático, realice los siguientes ejercicios de
práctica
sobre la base de lo que has aprendido en este capítulo:
■ Práctica 1: Instalar la versión de evaluación de Windows Server Core Instalación de la eva-
ción edición de Windows Server Core.
■ Práctica 2: Configurar el servidorAgregue el núcleo
de funciones de Windows
de servidor de Server
núcleo en el dominio creado en el ejercicio de la práctica con la línea de comandos
equipo
herramientas que se discuten en este capítulo.
Añade la función de servidor IIS en el equipo Windows Server Core.

Planear la implementación de servidor

automatizado
Si usted tiene el hardware disponible o capacidad de la máquina virtual y quiere más
investigar la implementación del servidor automático, realice los siguientes ejercicios de
práctica
sobre la base de lo que has aprendido en este capítulo:
■ Práctica 1: Implementar elDescargue e instale el Windows Auto-
AIK de Windows
Instalación Kit acoplado desde el sitio Web de Microsoft.
■ Use Windows
Práctica 2: Crear una imagen System Image Manager, una com-
personalizada
componente del Kit de instalación automatizada de Windows para crear una imagen
personalizada
sobre la base de una de las imágenes de instalación de Windows Server 2008.
■ Utilice desatendida
Práctica 3: Crear un archivo de instalación la imagen del sistema de Windows
Manager, un componente del Kit de instalación automatizada de Windows, para crear un
archivo de respuesta para la instalación de Windows Server 2008.
Tomar un examen de
práctica
La práctica de pruebas en CD que acompaña este libro ofrecen muchas opciones. Por ejemplo,
puede poner a prueba a ti mismo en el objetivo del examen de un solo, o puede ponerse a
prueba todos los 70-646
certificación de contenido del examen. Puede configurar la prueba para que se simula el expe-
cia de tomar un examen de certificación, o se puede configurar en modo de estudio para que
pueda
vistazo a las respuestas correctas y explicaciones después de responder a cada pregunta.
Las pruebas de práctica
MÁS INFORMACIÓN
Para obtener más información acerca de todas las opciones de la práctica de prueba disponibles, consulte la sección "Cómo
utilizar la práctica
Pruebas "en la introducción de este libro.
Capítulo 2
Configuración de la conectividad de red

Protocolo de Internet (IP) se ha utilizado para implementar con éxito la conectividad de red
en las redes internas y en Internet durante muchos años. Protocolo de Internet versión 4
(IPv4) se definió en la solicitud de comentarios (RFC) 791, publicado en 1981, y ha
no ha cambiado sustancialmente desde entonces. IPv4 es un protocolo robusto implementado
a lo largo de
la mayor parte de la actual Internet, la gran mayoría de las estaciones de trabajo y los
servidores tienen IPv4
direcciones, por lo general proporcionada por Dynamic Host Configuration Protocol (DHCP)
servidores o direcciones IP privadas automáticas (APIPA).
Sin embargo, Internet se ha expandido enormemente desde 1981, y esto ha llevado a la
los siguientes problemas relacionados con el uso de IPv4 y se especifican los requisitos para su
eventual reemplazo:
■ El agotamiento probable de espacio de direcciones

■
IPv4
El mantenimiento de grandes tablas de enrutamiento en los routers de
■
backbone de Internet
El requisito para la configuración sencilla y automática más de direcciones IP
y otras opciones de configuración que no se basan en DHCP
■ El requisito de seguridad de extremo a extremo de cifrado implementado por defecto
■ La exigencia de un mejor soporte para entrega en tiempo real de datos
En este capítulo se analiza cómo las direcciones IPv6 de estos problemas y cumple con estos
requisitos
mentos. IPv6 está disponible para los anteriores sistemas operativos Windows Server, pero es
necesario
que se instalen. Está disponible de forma predeterminada en Windows Server 2008 (y también
en
Sin embargo, el IPv4 no está a punto de desaparecer en un futuro próximo. La mayor parte de
Windows Vista, en el que se utiliza en redes peer-to-peer).
la Internet todavía
utiliza IPv4. Por lo tanto, IPv6 debe ser compatible con IPv4. Este capítulo trata sobre IPv4
a una estrategia de transición IPv6 y cómo se debe planificar para IPv4 e IPv6 interoperabil
dad. El capítulo también analiza las herramientas que se utilizan para configurar IPv6 y
depuración
Problemas de conectividad IPv6, y se va a discutir DHCP versión 6 (DHCPv6) y
Windows Server 2008 Mejoras al Sistema de Nombres de Dominio (DNS).
59
60 Capítulo 2 Configuración de la conectividad de red

■ Plan de servicios de infraestructura de las
funciones del servidor.
■ Lección 1: El uso de IPv6 en Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . 62
■ Lección 2: Configuración del Sistema de Nombres de Dominio. . . . . . . . . . . . . . . . . . . . . . .
104
Antes de empezar
Para completar la lección de este capítulo, usted debe haber hecho lo siguiente:
■ Windows Server 2008 instalado y configurado el PC de prueba como un dominio de
control-
ler (DC) en el dominio Contoso.internal como se describe en la introducción y
Capítulo 1, "Instalación, actualización e implementación de Windows Server 2008." Usted
También es necesario un PC cliente con Windows Vista Business, Enterprise o Ultimate
que es un miembro del dominio Contoso.internal. Esto puede ser un PC independiente o
un
máquina virtual instalada en el mismo PC que el DC. Aunque se pueden llevar a cabo
la mayor parte de las sesiones de práctica mediante el uso de una PC cliente con
Windows XP
Profesional, usted podría tener problemas con algunas de las prácticas en el capítulo 5,
"Servicios de Terminal Server y de aplicaciones y virtualización de servidores" y en el
capítulo 4,
"Los servidores de aplicaciones y servicios." Utilización de un cliente de Windows XP
Professional
por loReal
Mundo tanto, no se recomienda.
Ian McLean
¿Recuerdas el cambio de milenio?
En 1999, el mundo de las redes fue, supuestamente, en estado de agitación, por lo menos
de acuerdo
a los informes de los medios de comunicación. Parecía que en el filo de la medianoche, ya
que el nuevo milenio
Milenio comenzó, todos los equipos que iba a explotar y los aviones que vuelan hacia
atrás.
Gerentes reaccionó previsiblemente, ordenando que todo se apaga cinco
Profesionales
minutos antes de
de redes conocía ely fallo
la medianoche vuelvetemía era tan real
a encender comominutos
los cinco la Cenicienta
del nuevo día.
zapatilla. Unos pocos antiguos de 4 bits procesadores podrían verse afectados, pero nada
grande se acerca
a pasar el año 2000 amaneció. Y hemos tenido un poco más de qué preocuparse que
algunos ficti-
infecciosas problema de fin de año. Usted ve, el mundo de las redes estaba en crisis.
Antes de empezar 61
Se había previsto que en abril de 2000, no más direcciones IPv4 se dis-

capaz de ser asignados. IPv6 y la sección de IPv6 de Internet existiera. Sin embargo,
Internet IPv6 no fue ampliamente utilizada. Algunos ingenieros de redes profesionales
se presenten signos de un pánico más profesional. El autor de un cínico antiguo llamado
McLean fue la negociación de un libro sobre IPv6.
El libro nunca se escribió, que era tan bueno porque no se han

se vende. De repente, NAT y redes privadas se hizo popular. Organizaciones de la almeja
oring para cientos de direcciones públicas descubrieron que podían hacer frente
perfectamente
con dos. El uso de enrutamiento sin clase entre dominios (CIDR) permitió a la Internet
Assigned Numbers Authority (IANA) para arrancar de nuevo las direcciones IP de
organizaciones
ciones que se habían asignado sesenta y cinco mil de ellos en una red de clase B
pero sólo había utilizado mil. El problema había sido resuelto.
Excepto que no tenía. Que se había ocultado, pero todavía está allí. Espacio de
direcciones IPv4
permanece bajo la amenaza de agotamiento. IPv4 estructura de cabecera sigue causando
problemas
problemas con los routers de Internet. APIPA asigna sólo no enrutable interna
direcciones, y que dependen en gran medida DHCP. Todo lo que ha sucedido es que
hemos
compró algo de tiempo para la transición limpio, tranquilo que está sucediendo ahora. Por
por defecto, "Protocolo de Internet" siempre significaba IPv4. Ahora significa IPv6.
Moderno
servidores y sistemas operativos cliente el uso de IPv6.
Lección 1: El uso de IPv6 en Windows Server 2008

Las direcciones IPv4 e IPv6 pueden distinguirse fácilmente. Una dirección IPv4 utiliza
32 bits, lo que resulta en un espacio de direcciones de poco más de 4 millones de dólares. Una
dirección IPv6 utiliza
128 bits, lo que resulta en un espacio de direcciones 2128 o 340.282.366.920.938.463.463.374,
607,431,768,211,456, un número demasiado grande para comprender. Esto representa el 6,5 *
223 o
54.525.952 direcciones por cada metro cuadrado de superficie de la tierra. En la práctica, la
Espacio de direcciones IPv6 permite múltiples niveles de las subredes y asignación de
direcciones
entre el backbone de Internet y las subredes individuales dentro de una organización. IPv6
espacio de direcciones ha sido descrito como un "recurso ilimitado." (Tenga en cuenta que la
misma descripción se le dio al espacio de direcciones IPv4 en 1981.)
Sin embargo, el espacio de direcciones aumentado considerablemente disponible permite
asignar no uno, sino
varias direcciones IPv6 única a una entidad de red, con cada dirección se utiliza para una
propósito diferente. Esta lección describe la notación de IPv6 y los diferentes tipos de IP
dirección, incluidas las direcciones IPv6 IPv4 utiliza para la compatibilidad.

■ Explicar cómo las direcciones IPv6 IPv4 limitaciones
■ Identificar los distintos tipos de direcciones IPv6 y explicar su uso
■ Recomendar un apropiado de IPv4 a IPv6 estrategia de transición
■ Identificar las direcciones IPv6 que puede enviarse a través de Internet IPv4
■ Implementar IPv4 y IPv6 interoperabilidad
■ Utilice las herramientas
■
de IPv6
Configurar DHCPv6 ámbitos
Abordar los problemas causados por las limitaciones de IPv4

La primera limitación es IPv4 el agotamiento potencial de espacio de direcciones IPv4. En retro-
respeto, 32 bits no era suficiente para hacer frente a una estructura. IPv6 ofrece 128 bits.
Esto le da suficientes direcciones para todos los dispositivos que requiere que uno tiene una
única
dirección IPv6 público. Además, el 64-bit de host porción (ID de interfaz) de IPv6
dirección pueden ser generados automáticamente desde el hardware del adaptador de red.
Configuración automática de direcciones

Por lo general, IPv4 está configurada de forma manual o mediante DHCP. Configuración
automática
(Autoconfiguración) a través de APIPA está disponible para las subredes aisladas que no se
dirigen a
otras redes. Ofertas de IPv6 con la necesidad de una dirección sencilla y automática más
configuración mediante el apoyo tanto de estado y configuración de direcciones sin estado. Con
estado
Lección 1: El uso de IPv6 en Windows Server 2008 63
configuración utiliza DHCPv6. Si la configuración de direcciones sin estado se utiliza, los hosts
de un enlace
se configuran automáticamente con direcciones IPv6 para el enlace y (opcionalmente)
con las direcciones que se derivan de los prefijos anunciados por los routers locales. También
puede
configurar la configuración DHCPv6 sin estado, donde los ejércitos se configura
automáticamente, pero DNS
servidores (por ejemplo), obtener su configuración de DHCPv6.
Consulta Rápida
1. El número de bits en una dirección IPv4?
2. El número de bits en una dirección IPv6?
Respuestas Quick Check
1. 32
2. 128
El tamaño y la extensión de cabecera

Encabezados
IPv4 y IPv6 las cabeceras no son compatibles, y un host o router debe utilizar IPv4
y las implementaciones de IPv6 para reconocer y procesar los formatos de cabecera. Por lo
tanto,
un objetivo de diseño fue mantener el tamaño de la cabecera IPv6 dentro de un plazo
razonable. No-
campos esenciales y opcionales se trasladan a las cabeceras de extensión coloca después de
la IPv6
cabecera. Como resultado, la cabecera IPv6 sólo es dos veces mayor que la cabecera IPv4, y
Tamaño de la tabla de
el
enrutamiento
tamaño de las cabeceras de extensión IPv6 está limitado sólo por el tamaño del paquete IPv6.
Las direcciones IPv6 global que se utiliza en la sección de IPv6 de Internet están diseñados
para cre-
comió una infraestructura eficaz y jerárquica, y summarizable enrutamiento basado en el
ocurrencia común de múltiples niveles de proveedores de servicios Internet (ISP). En el IPv6
sección de la Internet, los routers de backbone se han reducido en gran medida las tablas de
enrutamiento que utilizan
agregación de rutas y corresponden a la infraestructura de enrutamiento de alto nivel
agregadores.
Ruta de agregación
Agregación de rutas ofrece para el enrutamiento de tráfico para redes con menor pre-
fija a las redes con mayor prefijos. En otras palabras, permite que una serie de
bloques contiguos de direcciones se combinen y se resumen en una dirección más
bloque. Agregación de rutas reduce el número de rutas se anuncian en grandes
las redes. Cuando un proveedor de Internet rompe su red en subredes más pequeñas
para proporcionar
servicio a los pequeños proveedores, es necesario anunciar el único camino a sus
principales
superred para el tráfico que se enviará a los pequeños proveedores.
Agregación de rutas se usa cuando el gran proveedor de Internet tiene un rango continuo
de IP
direcciones para manejar. Direcciones IP (IPv4 o IPv6) que son capaces de summariza-
ción que se denomina direcciones agregables.
Nivel de seguridad de la red

Comunicación privada a través de Internet requiere de encriptación para proteger los datos
sean
vistos o modificados en tránsito. Internet Protocol Security (IPsec) ofrece este servicio, pero
su uso es opcional en IPv4. IPv6 IPsec hace obligatorio. Esto proporciona una basada en
estándares
solución para las necesidades de seguridad de la red y mejora la interoperabilidad entre los
diferentes IPv6
implementaciones.
Datos en tiempo real de entrega
Calidad de Servicio (QoS) que existe en IPv4, y el ancho de banda se puede garantizar
tráfico en tiempo real (como el vídeo y transmisiones de audio) a través de una red. Sin
embargo,
IPv4 soporte en tiempo real del tráfico se basa en el tipo de servicio (ToS) y la identifica-
cación de la carga útil, por lo general usando un User Datagram Protocol (UDP) o trans-
Comisión de Control Protocol (TCP) puerto.
El campo TOS de IPv4 tiene una funcionalidad limitada, y la identificación con una carga útil de
TCP
y el puerto UDP no es posible cuando una carga útil del paquete IPv4 está cifrada. Carga útil de
iden-
cación está incluido en el campo Etiqueta de Flujo de la cabecera IPv6, por lo que el cifrado de
carga útil
La eliminación
no afecta del tráfico dededifusión
al funcionamiento QoS.
IPv4 se basa en Address Resolution Protocol (ARP) está emitiendo para resolver las
direcciones IP
a la Media Access Control (MAC) de las tarjetas de interfaz de red
(NIC). Emisiones de aumentar el tráfico de la red y son ineficientes debido a que cada huésped
los procesa.
El descubrimiento de vecinos (ND) del protocolo de IPv6 utiliza una serie de control de Internet
Protocolo de mensajes para IPv6 (ICMPv6) que administran la interacción de los nodos
en el mismo enlace (nodos vecinos). ND reemplaza difusiones ARP, ICMPv4
Router Discovery, y ICMPv4 redireccionamiento de mensajes con multidifusión eficiente y uni-
emitir mensajes Key.
Analizando la estructura de dirección IPv6

IPv6 proporciona direcciones que son equivalentes a los tipos de direcciones IPv4 y otros que
son
única para IPv6. Un nodo puede tener varias direcciones IPv6, cada una de ellas tiene su
propio
propósito único. En esta sección se describe la sintaxis de la dirección IPv6 y las diversas
clases de direcciones IPv6.
Sintaxis de la dirección IPv6
El IPv6 de 128 bits de la dirección se divide en los límites de 16 bits, y cada bloque de 16 bits
convertido en un número hexadecimal de 4 dígitos. Dos puntos se utilizan como separadores.
Este
representación se llama hexadecimal con dos puntos.
Unidifusión globales de direcciones IPv6 se describen más adelante en esta lección y son
equivalentes a
Las direcciones IPv4 unicast público. Para ilustrar la sintaxis de la dirección IPv6, tenga en
cuenta la
siguiente dirección IPv6 unicast
21cd: 0053:0000:0000:03 global:
anuncio: 003f: af37: 8d62
Representación IPv6 se puede simplificar mediante la eliminación de los ceros a la izquierda

dentro de cada
16-bit del bloque. Sin embargo, cada bloque debe tener al menos un dígito. Con cero a la
izquierda
la supresión,
21cd: 53:0:0:3laanuncio:
representación
3f: af37:se8d62
convierte en la dirección:
Una secuencia contigua de bloques de 16 bits en 0 en el formato hexadecimal con dos puntos
puede
ser comprimido para::. Por lo tanto, la dirección de ejemplo anterior se podría escribir:
21cd: 53:: 3AD: 3f: af37: 8d62
Algunos tipos de direcciones contienen largas secuencias de ceros y por lo tanto proporcionar
una buena
ejemplos de cuándo se debe utilizar esta notación. Por ejemplo, la dirección de multidifusión
FF05: 0:0:0:0:0:0:2 se puede comprimir en FF05:: 2.
Los prefijos de direcciones IPv6

El prefijo es la parte de la dirección que indica la de los bits que tienen valores fijos
o los bits de identificador de red. Prefijos IPv6 se expresan de la misma manera como CIDR
IPv4 notación, o barra de notación. Por ejemplo, 21cd: 53:: / 64 es la subred en la que el
21cd dirección: 53:: 23ad: 3f: af37: 8d62 se encuentra. En este caso, los primeros 64 bits de la
dirección son el prefijo de red. Un prefijo de subred IPv6 (o ID de subred) es asignado a un
solo enlace. Varios identificadores de subred se pueden asignar a la misma conexión. Esta
técnica es
llamado multinetting.
NOTA IPv6 no utiliza la notación decimal punteada en las máscaras de subred

Notación sólo la longitud del prefijo es compatible con IPv6. IPv4 subred decimal con puntos máscara de representación
(Por ejemplo, 255.255.255.0) no tiene equivalente directo.
Tipos de direcciones IPv6

Los tres tipos de direcciones IPv6 es unicast, multicast y anycast.
■ UnicastIdentifica una interfaz única en el ámbito del tipo de dirección unidifusión.
Los paquetes dirigidos a una dirección unicast se entregan a una sola interfaz. RFC
2373 permite múltiples interfaces para utilizar la misma dirección, siempre que estas
interfaces de aparecer como una única interfaz para la implementación de IPv6 en el host.
Esto da cabida a los sistemas de balanceo de carga.
■ Identifica múltiples interfaces. Los paquetes dirigidos a un multicast

Multicast
dirección también llega a todas las interfaces que se identifican por la dirección.
■ Anycast Identifica múltiples interfaces. Los paquetes dirigidos a una dirección anycast
se entregan con una precisión de interfaz identificado por la dirección. La más cercana
entre
la cara es el más cercano en términos de enrutamiento de distancia, o el número de
saltos. Un anycast
dirección se utiliza para la comunicación uno-a-uno de muchos, con entrega en un solo
interfaz.
Arquitectura de direccionamiento IPv6
MÁS INFORMACIÓN
Para más información sobre la estructura de direcciones IPv6 y la arquitectura, vea RFC 2373 en
http://www.ietf.org/rfc/rfc2373.txt.
NOTA Interfaces y nodos

Las direcciones IPv6 identificar interfaces en lugar de los nodos. Un nodo es identificado por cualquier dirección unicast
que se asigna a una de sus interfaces.
Direcciones IPv6 Unicast

IPv6 soporta los siguientes tipos de direcciones unidifusión:
■ Global
■ De enlace local
■ Sitio local
■ Especial
■ Servicio de red punto de acceso (NSAP) y Internetwork Packet Exchange (IPX)
direcciones asignadas
Mundial
Direcciones Globales Unicastde las direcciones unicast son el equivalente a IPv6 de IPv4
discursos públicos y son globalmente enrutable y alcanzable en la sección IPv6 del
Internet. Estas direcciones se pueden agregar para producir un enrutamiento eficaz
infraestructura
infraestructura y por lo tanto, a veces conocido como agregables direcciones unicast global. Un
dirección agregable de unidifusión global es único en toda la sección IPv6 de la Comisión
Interamericana
net. (La región en la que una dirección IP es única se llama el alcance de la dirección.)
El prefijo de formato (FP) de una dirección de unidifusión global se lleva a cabo en los tres más
importantes
bits, que son siempre 001. El próximo 13 bits son asignados por la Internet Assigned Num-
bros Authority (IANA) y que se conoce como el Agregador de nivel superior (TLA). IANA asigna
TLA a los registros locales de Internet que a su vez, asignar TLA individual a Internet de gran
Proveedores de servicios Internet (ISP). El próximo 8 bits de la dirección están reservados para
futuras ampliaciones.
El próximo 24 bits de la dirección de contener el agregador siguiente nivel (NLA). Esta iden-
tifica un sitio específico del cliente. La NLA permite a un ISP para crear varios niveles de
frente a la jerarquía dentro de una red. El próximo 16 bits contienen el nivel de sitio agre-
Gator (SLA), que se utiliza para organizar el direccionamiento y enrutamiento de los ISP abajo
y para identificar los sitios o subredes dentro de un sitio.
Los próximos 64 bits identifican la interfaz dentro de una subred. Esta es la de 64 bits extendido
Unique Identifier (EUI-64) dirección, tal como se define por el Instituto de Ingenieros Eléctricos y
Elec-
nica Engineers (IEEE). EUI-64 direcciones se asignan directamente a la red
las tarjetas de adaptador o derivados de la dirección MAC de 48 bits de un adaptador de red tal
como se define
por el estándar IEEE 802. En pocas palabras, la identidad de la interfaz es proporcionada por la
red de
trabajo hardware del adaptador.
Extensiones de privacidad para configuración automática de direcciones sin
estado
en IPv6
Se han expresado preocupaciones que se derivan un identificador de interfaz
directamente de
hardware de la computadora podría permitir el itinerario de un ordenador portátil y por lo
tanto, de que su
propietario a ser rastreado. Esto plantea problemas de privacidad y de los futuros
sistemas de asignación puede
RFC 3041 y RFC 4941 frente a este problema. Para más información, consulte
ID de interfaz diferente.
http://www.ietf.org/rfc/rfc3041.txt y http://www.ietf.org/rfc/rfc4191.txt.
En resumen, la FP, TLA, los bits reservados, y NLA identificar la topología pública, la
SLA identifica la topología del sitio, y la identidad de interfaz (ID) identifica la interfaz.
La Figura 2-1 muestra la estructura de una dirección de unidifusión global agregables.
3 bits 13 bits 8 bits 24 bits 16 bits 64 bits

(FP)
001 TLA ID Res NLA ID SLA ID ID de interfaz
Figura 2-1 Estructura global de direcciones unicast
Formato global de direcciones unicast

MÁS INFORMACIÓN
Para más información sobre las direcciones unicast globales agregables, vea RFC 2374 en http://
www.ietf.org/rfc/rfc2374.txt.
ExamenUsted
Consejo
necesita saber que una dirección global agregable de unidifusión es el equivalente en IPv6
de una dirección IPv4 unicast público. Usted debe ser capaz de identificar una dirección de unidifusión global de la
valor de sus tres bits de menor peso. Conocer los distintos componentes de la dirección que nos ayuda a
entender cómo funciona el direccionamiento IPv6, pero el examen 70-646 es poco probable que la prueba este conocimiento
ventaja en la profundidad de los detalles proporcionados por el RFC.
Direcciones
Direcciones locales de vínculo locales de vínculo IPv6 son equivalentes a las direcciones IPv4
se configura automáticamente a través de APIPA y utilizar el prefijo 169.254.0.0/16. Puede
identificar una dirección de enlace local por una FP de 1111 1110 10, que es seguido por 54
ceros
(Direcciones locales de vínculo siempre comienzan con FE8). Los nodos utilizan direcciones
locales de vínculo cuando
comunicarse con los nodos vecinos en el mismo enlace. El alcance de un enlace local
dirección es el enlace local. Una dirección de enlace local es necesaria para la ND y es siempre
automática-
camente configurado,
Direcciones incluso
Direcciones
locales del sitio si no del
locales haysitio
otraIPv6
dirección unicast es asignada.
son equivalentes a las IPv4 privadas
espacio de direcciones (10.0.0.0 / 8, 172.16.0.0/12 y 192.168.0.0/16). Intranets privadas que
no tienen una conexión directa, asignadas a la sección IPv6 de Internet puede usar el sitio-
las direcciones locales sin entrar en conflicto con las direcciones agregables de unidifusión
global. La
ámbito de una dirección local de sitio es el sitio (o de la organización inter-red).
Direcciones locales del sitio se pueden asignar mediante la configuración de estado de la
dirección, como
de un ámbito de DHCPv6. Un host utiliza la configuración de estado de la dirección cuando se
recibe
mensajes de anuncio de enrutador que no incluyen los prefijos de direcciones. Un host también
se utiliza
una dirección de protocolo de configuración de estado cuando no hay enrutadores en la red
local.
Direcciones locales del sitio también se puede configurar a través de la configuración de

direcciones sin estado.
Esto se basa en mensajes de anuncio de router que incluyen prefijos de direcciones sin estado
y exigir que los ejércitos no utiliza un protocolo de configuración de direcciones con estado.
Por otra parte, la configuración de direcciones se puede usar una combinación de apátridas y
de estado
de configuración. Esto ocurre cuando los mensajes de anuncio de enrutador incluyen apátridas
prefijos de direcciones, sino que requieren que aloja utilizar una dirección de protocolo con
estado de configuración.
Configuración automática de direcciones IPv6
MÁS INFORMACIÓN
Para obtener más información acerca de cómo se configuran las direcciones IPv6, consulte http://www.microsoft.com/
technet/technetmag/issues/2007/08/CableGuy /. Aunque el artículo se titula "Configuración automática de IPv6
en Windows Vista ", que también cubre la configuración automática de Windows Server 2008 y describe la
diferencias entre la configuración automática de un cliente y un sistema operativo de servidor.
Direcciones locales del sitio comienza con FEC0, seguido de 32 ceros y luego por una de 16
bits
subred identificador que se puede utilizar para crear subredes dentro de su organización. La
Campo de 64 bits ID de interfaz identifica una interfaz específica en una subred.
La Figura 2-2 muestra las direcciones de enlace local y el sitio local (para los servidores DNS)
configurado en
interfaces en el Windows Server 2008 DC Glasgow. No hay direcciones globales existentes en
el
configuración, ya que los países en desarrollo no están expuestos directamente a Internet. El
IPv6
las direcciones en el equipo de prueba será probablemente diferente.
Figura 2-2 Las direcciones IPv6 en las interfaces de ordenador

Las direcciones locales de vínculo y el sitio local-

Puede implementar la conectividad IPv6 entre los hosts de una subred aislada por
utilizando direcciones locales de vínculo. Sin embargo, no se puede asignar direcciones
locales de vínculo para
interfaces del router (puerta de enlace predeterminada) y no puede enrutar de una subred
a
otra dirección, si sólo de enlace local se utilizan. Los servidores DNS no puede usar el
enlace de sólo
las direcciones locales. Si utiliza direcciones locales del vínculo, es necesario especificar
su inter-
ID de la cara, es decir el número después del símbolo% al final de la dirección, como
muestra
Por estasen la Figura
razones, el 2.2.
sitioDirecciones localeslocales
de las direcciones de vínculo no se registran
se suelen dinámicamente
usar en las subredes de en
Windows
una pri- Server 2008 DNS.
privado de la red para implementar la conectividad IPv6 a través de la red. Si todos los
dispositivos
en la red tiene su propia dirección global (un objetivo declarado de la implementación IPv6
ción), direcciones globales puede enrutar entre las subredes internas, a las zonas
periféricas,
y en la Internet.
Dos direcciones IPv6 especiales existen-sin especificar la dirección y el
Direcciones especiales
dirección de loopback. La dirección no especificada 0:0:0:0:0:0:0:0 (o::) se utiliza para indicar
la ausencia de una dirección y es equivalente a la dirección IPv4 no especificado 0.0.0.0. Lo
se suele utilizar como dirección de origen para los paquetes tratando de verificar si una tenta-
TIVOS dirección es única. Nunca se le asigna a una interfaz o se utiliza como un destino
la dirección. La dirección de loopback 0:0:0:0:0:0:0:1 (o:: 1) se utiliza para identificar un bucle
interfaz y es equivalente a la dirección de bucle IPv4 127.0.0.1.
Direcciones NSAP son etiquetas de identificación de red de extremo

NSAP e IPX direcciones
los puntos utilizados en Open Systems Interconnection (OSI) de red. Se utilizan para
especificar un equipo conectado a un modo de transferencia asíncrona (ATM)
de la red. IPX ya no es ampliamente utilizado por modernas redes Novell NetWare apoyo
puerto TCP / IP. Las direcciones IPv6 con un FP de 0.000.001 mapa para NSAP direcciones.
IPv6
direcciones con un FP de 0000010 mapa para las direcciones IPX.
Examen Consejo
El examen 70-646 es poco probable que incluirá preguntas sobre NSAP o la asignación de IPX.
Las direcciones IPv6 Multicast

Direcciones IPv6 multicast permiten un paquete IPv6 a ser enviado a un número de hosts, de
todos los
que tienen la misma dirección de multidifusión. Tienen una FP de 11111111 (siempre
comienzan
con ss). Los campos siguientes especifican las banderas, el alcance y la ID de grupo, como se
muestra en la Figura 2.3.
8 bits 4 bits 4 bits 112 bits

(FP)
1111 1111 Banderas Alcance ID de grupo
Figura 2-3 Estructura de dirección de multidifusión
El campo de las banderas tiene la configuración de la bandera. Actualmente, la bandera sólo se

define es el transitorio
(T) indicador que utiliza el campo de bits de orden inferior. Si este indicador se establece en 0,
la dirección de multidifusión es
bien conocido, en otras palabras, es asignado permanentemente y ha sido asignado por
IANA. Si el indicador se establece en 1, la dirección multicast es transitorio.
Consulta Rápida
■ ¿Qué tipo de dirección es fec0: 0:0: eadf:: 1 ss?
■ Unicast locales de sitio
El campo de alcance indica el alcance de las redes IPv6 para que la multidifusión
tráfico que se pretende. Routers utilizan el ámbito de multidifusión, junto con la información pro-
ESTABLECIDO por protocolos de enrutamiento multicast, para determinar si el tráfico de
multidifusión se puede
enviado. Por ejemplo, el tráfico con la dirección multicast FF02:: 2 tiene un enlace local
alcance y no se desvía más allá del vínculo local. La Tabla 2-1 enumera el alcance asignado
valores de los campos.
Tabla 2-1 Los valores de campo

alcance
Valor Alcance
0 Reservado
1 Nodo de ámbito local
2 Ámbito local del vínculo
5 Ámbito local del sitio
8 Organización de ámbito local
E Alcance global
F Reservado
El ID de grupo representa el grupo de multidifusión y es único en el ámbito. Perma-

permanentemente asignado los identificadores de grupo son independientes del ámbito de
aplicación. ID de grupo son transitorios
relevantes sólo para un ámbito específico. Las direcciones de multidifusión de FF01:: a través
de ff0f: se
reservados,
En teoría, el conocida direcciones.
2112 de ID de grupo están disponibles. En la práctica, debido a la forma en que
IPv6
las direcciones de multidifusión se asignan a Ethernet las direcciones MAC de multidifusión,
RFC 2373, "IP
Versión 6 Abordar Arquitectura ", recomienda asignar el ID de grupo de la
bajo orden de 32 bits de la dirección IPv6 multicast y el establecimiento de la original restante
grupo de bits de la ID a cero. De esta manera, cada grupo de mapas de identificación de un
único multicast Ethernet
De direcciones MAC.
Asignación de identificadores de
MÁS INFORMACIÓN
grupo
Para más información sobre la asignación de identificadores de grupo, consulte http://www.ietf.org/rfc/rfc2373.txt.
La dirección de multidifusiónLa
dedirección de multidifusión de nodo solicitado faci-
nodo solicitado
Tates la consulta de nodos de la red durante la resolución de la dirección. IPv6 utiliza la ND
mensaje para resolver una dirección local de vínculo IPv6 a un nodo de la dirección MAC. En
lugar de utilizar
el ámbito local-link todos los nodos de dirección multicast (que debería ser procesado por todos
los
los nodos de la red local) como el destino de mensaje de solicitud de vecino, IPv6 utiliza
la dirección de multidifusión de nodo solicitado. Esta dirección se compone del prefijo FF02:: 1:
FF00: 0 /
104 ejemplo,
Por y en los últimos 24 bits
si un nodo delaladirección
tiene direcciónlocal
IPv6de
que se está
vínculo resolviendo.
fe80:: 6b: 28c: 16d2: c97, la corres-
correspondiente dirección de nodo solicitado es ff02:: 1: ffd2: c97.
El resultado de usar la dirección de multidifusión de nodo solicitado es que utiliza la resolución

de direcciones
un mecanismo que no es procesado por todos los nodos de la red. Debido a la relación
entre la dirección MAC, el identificador de interfaz, y la dirección de nodo solicitado, el
dirección de nodo solicitado actúa como un pseudo-dirección unicast para la resolución de la
dirección eficaz.
IPv6 Direcciones Anycast
Una dirección anycast es asignada a múltiples interfaces. Los paquetes enviados a una anycast
la dirección se transmiten por la infraestructura de enrutamiento con una precisión de una de
estas interfaces.
La infraestructura de enrutamiento debe ser consciente de las interfaces que se asignan
anycast
direcciones y la distancia en términos de métrica de enrutamiento. Actualmente, las direcciones
anycast
sólo se utilizan como direcciones de destino y sólo se les asigna a los routers. Anycast
las direcciones se asignan a partir del espacio de direcciones unicast, y el alcance de un
anycast
la dirección es el alcance del tipo de dirección unidifusión de que la dirección anycast es

asignado.
La subred-router anycast Dirección La dirección anycast subred-router se crea

del prefijo de subred de una interfaz dada. En una subred-router anycast dirección de los bits
en el prefijo de subred mantienen los valores actuales y los bits restantes se ponen a cero.
Todas las interfaces del router conectado a una subred se asignan los anycast subred-router
dirección de la subred. La dirección anycast subred-router se utiliza para la comunicación
con uno de varios enrutadores que están conectados a una subred remota.
Consulta Rápida
■ Un nodo tiene la dirección local del vínculo fe80:: aa: cdfe: aaa4: cab7. ¿Cuál es su
correspon-
correspondiente dirección de nodo solicitado?
■ ff02:: 1: ffa4: cab7
La planificación de una estrategia de transición de IPv4

a IPv6 No hay marco de tiempo específico tiene el mandato para la transición de IPv4 a IPv6. Como
administrador de la red,
Una de las decisiones es si para ser los primeros en adoptar y tomar ventaja de IPv6
mejoras tales como el direccionamiento y una mayor seguridad o esperar y aprovechar las
la experiencia de otros. Ambas estrategias son válidas.
Sin embargo, usted tiene que averiguar si su ISP arriba soporte de IPv6 y
si el hardware de red de su organización también es compatible con el protocolo.
El método de transición más sencilla, doble pila, requiere que los protocolos IPv4 e
IPv6 se admite. De la misma manera, no se demore la decisión de la transición a IPv6
durante demasiado tiempo. Si usted espera hasta que el espacio de direcciones IPv4 está
completamente agotada, la pila dual
ya no estará disponible y usted (y los usuarios que de apoyo), la transición
proceso mucho más traumático.
Actualmente, el supuesto subyacente en la planificación de la transición es que el actual IPv4

la infraestructura está disponible y que su necesidad más inmediata es la de transportar
Paquetes IPv6 sobre IPv4 para que las redes de islas aisladas de la red IPv6 no
ocurrir. A medida que más redes hacen la transición, la exigencia va a cambiar a trans-
portar paquetes IPv4 sobre IPv6 para apoyar las infraestructuras heredadas IPv4 aplicaciones
y evite los IPv4 islas.
Varias estrategias de transición y tecnologías existen, porque no hay una estrategia única para
todos.
RFC 4213, "Mecanismos básicos de Transición para los hosts y routers", describe la clave
elementos de estas tecnologías de transición, tales como doble pila y configurado el túnel
ING. El RFC también define una serie de tipos de nodos en base a su compatibilidad con el
protocolo,
incluyendo los sistemas antiguos que sólo soportan IPv4, los futuros sistemas que sólo admiten
IPv6, y el nodo dual que implementa IPv6 e IPv4.
IPv4 a IPv6 transición
MÁS INFORMACIÓN
Para más información sobre los mecanismos de transición básicos, consulte http://www.ietf.org/rfc/rfc4213.txt y
descargar el libro blanco "Tecnologías de transición IPv6" de http://technet.microsoft.com/en-us/
library/bb726951.aspx.
La transición de doble pila

Doble pila (también conocido como una capa IP dual) es posiblemente el más sencillo
enfoque de la transición. Se supone que los hosts y routers proporcionan apoyo para ambos
protocolos y puede enviar y recibir tanto los paquetes IPv4 y IPv6. Así pues, una doble pila
nodo puede interactuar con un dispositivo de IPv4 mediante el uso de paquetes IPv4 e
interoperar
con un dispositivo de IPv6 mediante el uso de paquetes IPv6. También puede operar en uno de
los siguientes
tres modos:
■ Sólo la pila IPv4 activado
■ Sólo la pila IPv6
■ Tanto las pilas IPv4 e IPv6
Debido a que un nodo de pila dual soporta los protocolos, se puede configurar con ambos
IPv4 direcciones de 32 bits y las direcciones IPv6 de 128 bits. Se puede utilizar, por ejemplo,
DHCP
adquirir sus direcciones IPv4 y la autoconfiguración apátrida o DHCPv6 para adquirir su
Las direcciones IPv6. Las implementaciones actuales de IPv6 son normalmente de doble pila.
Un sólo IPv6
producto tendría interlocutores muy pocos.
Transición configura un túnel
Si configura una estrategia de transición de un túnel se emplea, el actual IPv4 rutas
infraestructura sigue siendo funcional, pero también conlleva el tráfico IPv6, mientras que el
enrutamiento IPv6
infraestructura está en desarrollo. Un túnel es una bidireccional, punto-a-punto de enlace
entre dos puntos finales de red. Los datos pasan a través de un túnel con la encapsulación,
en la que el paquete IPv6 se realiza dentro de un paquete IPv4. La encapsulación de IPv4
cabecera se crea en el punto de entrada del túnel y se retira en el punto de salida del túnel. La
direcciones de túnel punto final se determina a partir de la información de configuración
almacenados en el punto final de encapsulado.
Túneles configurados también se les llama túneles explícitos. Usted puede configurar como
router
a router, host-a-router, host-a host o un router a host, pero lo más probable es que se
utiliza en una configuración de router a router. El túnel configurado puede ser administrado por
un
túnel corredor. Un corredor de túnel es un servidor dedicado que gestiona las peticiones del
túnel com-
ción de los usuarios finales, como se describe en RFC 3053, "IPv6 Tunnel Broker".
Túnel broker
MÁS INFORMACIÓN
Para obtener más información acerca de Tunnel Broker, consulte http://www.ietf.org/rfc/rfc3053.txt.
Automático de túnel
RFC 2893, "Mecanismos para la Transición IPv6 Hosts y Routers", (sustituida por RFC
4213) describe un túnel automático. Esto permite que los nodos IPv4/IPv6 para comunicarse
a través de una infraestructura de enrutamiento IPv4 sin utilizar túneles preconfigurados. Los
nodos
que realizan un túnel automático se les asigna un tipo especial de dirección llamado
Compatible con IPv4 dirección, que se describe más adelante en esta lección, que lleva el IPv4
de 32 bits
dirección dentro de un formato de dirección IPv6 de 128 bits. La dirección IPv4 pueden ser
automáticamente
extraído de la dirección IPv6.
Un túnel automático
MÁS INFORMACIÓN
Para obtener más información acerca de un túnel automático, consulte http://www.ietf.org/rfc/rfc2893.txt. Tenga en cuenta,
sin embargo, que el estado de este documento está obsoleto y RFC 4213 es el estándar actual.
6to4
RFC 3056, "Conexión de dominios IPv6 a través de IPv4 nubes", describe el túnel 6to4
esquema de ing. Túnel 6to4 permite a los sitios IPv6 para comunicarse entre sí a través de un
Red IPv4 sin utilizar túneles explícitos, y para comunicarse con IPv6 nativo
dominios a través de encaminadores de reenvío. Esta estrategia trata de Internet IPv4 como un
vínculo de datos.
Un túnel 6to4
MÁS INFORMACIÓN
Para obtener más información acerca de túnel 6to4, consulte http://www.ietf.org/rfc/rfc3056.txt.

Teredo
RFC 4380, "Teredo: túnel IPv6 a través de UDP a través de traducciones de direcciones de red
(NAT) ", describe Teredo, que es una mejora al método de 6to4 y apoyo
apoyadas por Windows Server 2008. Teredo permite que los nodos que se encuentran detrás
de un
IPv4 NAT dispositivo para obtener conectividad de IPv6 mediante UDP a paquetes de túnel.
Teredo
requiere el uso de elementos de servidor y relay para ayudar a la conectividad vía.
Teredo
MÁS INFORMACIÓN
Para obtener más información acerca de Teredo, consulte http://www.ietf.org/rfc/rfc4380.txt y http://

www.microsoft.com/technet/network/ipv6/teredo.mspx.
Dentro de un sitio Protocolo de direccionamiento automático de

túnel
RFC 4214, "dentro de un sitio direccionamiento automático de túnel Protocolo (ISATAP)",
define
ISATAP, que conecta los hosts y routers IPv6 en una red IPv4 mediante un proceso de
que las opiniones de la red IPv4 como capa de enlace de IPv6, y los otros nodos en la red
como posibles anfitriones IPv6 o routers. Esto crea un host a host, host-a un router, o enrutador
a-host túnel automático.
ISATAP
MÁS INFORMACIÓN
Para obtener más información acerca de ISATAP, consulte http://www.ietf.org/rfc/rfc4214.txt y descargar el blanco
papel de "Transición a IPv6 manejable con ISATAP" de http://www.microsoft.com/downloads/
details.aspx? FamilyId = B8F50E07-17BF-4B5C-A1F9-5A09E2AF698B & displaylang = es.
Implementación de IPv4 a IPv6 de compatibilidad

Además de los distintos tipos de direcciones descritas anteriormente en esta lección, IPv6
proporciona los siguientes tipos de direcciones de la compatibilidad de la ayuda de migración
de IPv4 a
IPv6 y la implementación de tecnologías de transición.
IPv4-compatible Dirección
La dirección compatible con IPv4 0:0:0:0:0:0: wxyz (o:: wxyz) es utilizado por la doble pila
nodos que se comunican con IPv6 sobre una infraestructura IPv4. Los últimos cuatro
octetos (wxyz) representar a la representación decimal con puntos de una dirección IPv4. Dual
los nodos son nodos de la pila de protocolos IPv4 e IPv6. Cuando el compatible con IPv4
dirección se utiliza como un destino de IPv6, el tráfico IPv6 se encapsula de forma automática
con un encabezado IPv4 y se envían al destino mediante la infraestructura IPv4.
IPv4-asignada Dirección
La dirección IPv4-asignada 0:0:0:0:0: ffff: wxyz (o:: fffff: wxyz) se utiliza para representar una
Sólo IPv4-nodo a un nodo IPv6 y, por ende mapa IPv4 dispositivos que no son compa-
ble con IPv6 en el espacio de direcciones IPv6. La dirección asignada a IPv4 nunca se usa
como
la dirección de origen o destino de un paquete IPv6.
Teredo Dirección
Una dirección Teredo se compone de un prefijo de Teredo de 32 bits. En Windows Server 2008
(y
Windows Vista), este es el año 2001:: / 32. El prefijo es seguido por el IPv4 (32 bits) pública
dirección del servidor Teredo que participaron en la configuración de la dirección. El próximo
16 bits están reservados para las banderas Teredo. En la actualidad la más alta bandera es
poco ordenado
definido. Esta es la bandera del cono y se establece cuando el NAT conectado a Internet es un
NAT de cono.
NOTA Windows XP y Windows Server 2003
En Windows XP y Windows Server 2003, el prefijo Teredo fue originalmente 3ffe: 831f:: / 32. Comput-
res con Windows XP y Windows Server 2003 utilizan el 2001:: / 32 prefijo de Teredo cuando se actualiza
con Microsoft Security Bulletin MS06-064.
Los siguientes 16 bits almacenan una versión oculta de la UDP puerto externo que corresponde
a todo el tráfico Teredo para la interfaz del cliente Teredo. Cuando un cliente envía su Teredo
paquete inicial a un servidor Teredo, NAT mapea el puerto de origen UDP de los paquetes a
una dife-
puerto diferente, externo UDP. Todo el tráfico Teredo para la interfaz de host utiliza la misma
exter-
puerto nal, mapeado UDP. El valor que representa este puerto externo se enmascara o
oscurecida por OR exclusivo (XOR) con 0xffff. Oscureciendo el puerto externo de pre-
respiraderos NATs de traducirlo dentro de la carga de los paquetes que se hayan desviado.
El final de 32 bits almacenar una versión oculta de la dirección IPv4 externa que corres-
ponde a todo el tráfico Teredo para la interfaz del cliente Teredo. La dirección externa
oscurecida por XORing la dirección externa con 0xffffffff. Al igual que con el puerto UDP, este
NAT impide la conversión de los externos dirección IPv4 dentro de la carga de paquetes-
ets que se hayan desviado.
La dirección externa es oscurecida por XORing la dirección externa con 0xffffffff. Por ejem-
Por ejemplo, la versión oculta de la dirección IPv4 pública 131.107.0.1 en hexadecimal con dos
puntos por-
alfombra es 7c94: fffe. (131.107.0.1 es igual 0x836b0001, y es igual 0x836b0001 XOR 0xffffffff
0x7c94fffe.) Oscurecimiento de la dirección externa de NAT impide su traducción en el
capacidad de carga de los paquetes que se hayan desviado.
Por ejemplo, Neptuno actualmente implementa el siguiente IPv4 privadas

redes en su sede y sucursales:
■ Sede: 10.0.100.0 / 24
■ Branch1: 10.0.0.0 / 24
■ Branch2: 10.0.10.0 / 24
■ Branch3: 10.0.20.0 / 24
La empresa quiere establecer la comunicación entre los clientes Teredo IPv6 y

otros clientes de Teredo, y entre los clientes Teredo y los host sólo IPv6. La presencia de
Servidores Teredo en Internet IPv4 permite que esta comunicación tenga lugar. A
Teredo servidor es un nodo IPv6/IPv4 conectado a la Internet IPv4 e IPv6, el
Internet que soporta una interfaz de túnel Teredo. Las direcciones Teredo de la
Neptuno redes dependerá de una serie de factores tales como el puerto y
tipo de servidor que se utiliza NAT, pero podría, por ejemplo, las siguientes:
■ Sede: 2001:: ce49: 7601: e866: EFFF: f5ff: 9bfe hasta el 2001:: 0a0a: 64fe: e866:
EFFF: f5ff: 9b01
■ Sucursal 1: 2001:: ce49: 7601: e866: EFFF: f5ff: fffe hasta el 2001:: 0a0a: 0afe: e866:
EFFF:
f5ff: FF01
■ Sección 2: 2001:: ce49: 7601: e866: EFFF: f5ff: f5fe hasta el 2001:: 0a0a: 14fe: e866:
EFFF:
f5ff: F501
■ Sección 3: 2001:: ce49: 7601: e866: EFFF: f5ff: ebfe hasta el 2001:: 0a0a: 1efe: e866:
EFFF:
f5ff: ebfe
Tenga en cuenta que, por ejemplo, 10.0.100.1 es el equivalente de 0A00: 6401, y 0A00: 6401
XOR con ffff: ffff es f5ff: 9bfe.
Examen Consejo
El examen 70-646 es poco probable que le pida para generar una dirección Teredo. Usted
podría, sin embargo, le pedirá que identifique dicha dirección y el trabajo de sus incluyó la dirección IPv4. Por-
Desafortunadamente usted tiene acceso a una calculadora científica durante el examen.
Cone NAT
NAT de cono puede ser de cono lleno, cono restringido, o un cono de puerto restringido.
En un pleno
cono de NAT, todas las peticiones de la misma dirección IP interna y puerto se asignan
a la misma dirección IP externa y puerto y cualquier host externo puede enviar un paquete
al host interno mediante el envío de un paquete a la dirección externa asignada.
En un NAT de cono restringido, todas las peticiones de la misma dirección IP interna y

puerto
se asignan a la misma dirección IP externa y puerto, pero puede un host externo
enviar un paquete al host interno si el host interno previamente había enviado una
paquete al host externo.
En un puerto NAT de cono restringido, la restricción incluye los números de puerto. Una
externa
host con una dirección IP y el puerto de origen puede enviar un paquete a un interno
anfitrión sólo si el host interno previamente había enviado un paquete a la dirección IP
y el puerto.
ISATAP direcciones
IPv6 puede utilizar una dirección ISATAP para la comunicación entre dos nodos más de una
dirección IPv4
intranet. Una dirección ISATAP se inicia con un unicast de 64 bits de enlace local, el sitio local,
global o
6a4 prefijo global. Los siguientes 32 bits son el identificador de ISATAP 0:5 efe. El final de 32
bits
contener la dirección IPv4 en formato decimal punteado o notación hexadecimal. Un ISATAP
Por ejemplo,
dirección la dirección
se puede ISATAP
incorporar FE80::
ya sea 5EFE:
pública la dirección
o una direcciónwxyz
IPv4tiene un prefijo de enlace
privadas.
local, el
fec0:: 1111:0:5 efe: la dirección wxyz tiene un prefijo de sitio local, el 3ffe: 1A05: 510:1111:0:5
efe:
la dirección wxyz tiene un prefijo global, y el 2002:9 d36: 1:2:0:5 efe: la dirección wxyz ha
un prefijo global 6to4. En todos los casos w.x.y.z representa una dirección IPv4.
Por defecto, Windows Server 2008 configura automáticamente la dirección ISATAP
fe80:: 5EFE: wxyz para cada dirección IPv4 que se asigna a un nodo. Este enlace local
Dirección ISATAP permite que dos hosts se comunican a través de una red IPv4 mediante el
uso de cada uno
dirección ISATAP otros.
Puede implementar IPv6 a IPv4 de configuración mediante el uso de las herramientas de IPv6
netsh interface
ipv6 6to4, ISATAP netsh interface ipv6, y netsh interface ipv6 añadir v6v4tunnel. Por ejem-
Por ejemplo, para crear un túnel IPv6 en IPv4 entre la dirección local 10.0.0.11 y el
dirección remota 192.168.123.116 de una interfaz denominada Remoto quieres entrar en la
netsh
interface ipv6 añadir v6v4tunnel "Remote" 10.0.0.11 192.168.123.116.
También puede configurar las direcciones de compatibilidad correspondiente de manera
manual mediante el uso de la
netsh interface ipv6 dirección indicada comando o el Protocolo de Internet versión 6 (TCP/IPv6)
Interfaz gráfica de usuario (GUI) como se describe en la siguiente sección de esta lección.
NOTA 6to4cfg
Windows Server 2008 no es compatible con la herramienta 6to4cfg.
Uso de herramientas de
IPv6 Windows Server 2008 proporciona las herramientas que le permiten configurar las interfaces de
IPv6 y comprobar
Conectividad IPv6 y routing. También existen herramientas que implementan y comprobar IPv4
a IPv6
compatibilidad. Lección 2 de este capítulo trata de las herramientas que verificar el nombre
DNS resolución
En Windows Server 2008, la línea de comandos estándar de herramientas tales como ping,
ción de las direcciones IPv6.
ipconfig, la trayectoria
ping, tracert, netstat, y ruta tiene la funcionalidad de IPv6 completo. Por ejemplo, la Figura 2-4
muestra la mesa de ping comando que se utiliza para comprobar la conectividad con una
dirección local de vínculo IPv6 en
una red de prueba. Las direcciones IPv6 en su red de prueba será diferente. Tenga en cuenta
que si
que se haga ping de un host a otro que también tendría que incluir el inter-
frente a ID, por ejemplo mesa de ping fe80:: fd64: b38b: cac6: cdd4 15%. ID de interfaz se
discuten
más adelante en esta lección.
Figura 2-4 Haciendo ping a una dirección IPv6
NOTA Ping6
El ping6 herramienta línea de comandos no es compatible con Windows Server 2008.
Herramientas específicas para IPv6 se proporcionan en los poderosos netsh (Red shell) de
comandos
estructura. Por ejemplo, el netsh interface ipv6 mostrar vecinos comando muestra la
Interfaces de IPv6 de todos los hosts en la subred local. De utilizar este comando en la práctica
sesión de tarde en esta lección, después de haber configurado la conectividad IPv6 en una
subred.
Verificación de la configuración y conectividad IPv6

Si está solucionando problemas de conectividad o simplemente quiere comprobar su con-
figuración, sin duda la herramienta más útil-y sin duda uno de los más utilizados-es ipcon-
fig. La ipconfig / all herramienta muestra la configuración de IPv4 e IPv6. La salida de
esta herramienta se muestra en la Figura 2.2 anteriormente en esta lección.
Si desea visualizar la configuración de las interfaces de IPv6 sólo en la comunidad local

ordenador, puede utilizar la netsh interface ipv6 dirección de mostrar comandos. La Figura 2-5
muestra
la salida de este comando se ejecutan en el equipo de Glasgow. Tenga en cuenta el carácter%
si-
lowed por un número después de cada dirección IPv6. Este es el ID de interfaz, que identifica
la interfaz que se configura con la dirección IPv6.
Figura 2-5 Viendo las direcciones IPv6 y los identificadores de

interfaz
Si se está administrando una red empresarial con un número de sitios, también es necesario
saber ID sitio. Usted puede obtener un identificador de sitio con el comando netsh interface ipv6
show
nivel de dirección = verbose. Parte de la salida de este comando se muestra en la Figura 6.2.
Figura 2-6 Viendo las direcciones IPv6 y los ID de sitio

Configuración de interfaces de IPv6

Por lo general, las direcciones de la mayoría de IPv6 se configuran mediante la configuración
automática o DHCPv6.
Sin embargo, si es necesario configurar manualmente las direcciones IPv6, puede utilizar la
netsh
interface ipv6 dirección indicada comandos, como en este ejemplo: netsh interface ipv6
dirección indicada
"Conexión de área local 2" fec0: 0:0: fffe:: 2. Tiene que ejecutar la consola de comandos como
administrador para utilizar este comando. En Windows Server 2008 (y en Windows Vista)
también se puede configurar manualmente las direcciones IPv6 de las propiedades de Internet
Protocol Version 6 (TCP/IPv6) Interfaz gráfica de usuario (GUI). La Figura 2-7 muestra este
de configuración.
Figura 2-7 Configuración de una dirección IPv6 a través de una

interfaz gráfica de usuario
La ventaja de usar la interfaz gráfica de usuario TCP/IPv6 es que usted puede especificar las
direcciones IPv6
de uno o más servidores DNS, además de especificar la dirección de la interfaz. Si, ¿cómo-
nunca, usted elige utilizar Command Line Interface (CLI), el comando de
agregar las direcciones IPv6 de servidores DNS es netsh interface ipv6 add dnsserver, como en
este ejem-
ejemplo: netsh interface ipv6 add dnsserver "conexión de área local 2" fec0: 0:0: fffe:: 1. Para
cambiar
las propiedades de las interfaces de IPv6 (pero no su configuración), utilice el netsh interface
interface ipv6 set comandos, como en este ejemplo: netsh interface ipv6 set interface "local
conexión de área 2 "forwarding = habilitado. Tiene que ejecutar la consola de comandos como
administrador para utilizar el netsh interface ipv6 add y netsh interface ipv6 set comandos.
Consulta Rápida
■ ¿Qué netsh comando muestra los ID sitio?
■ netsh interface ipv6 show address = nivel detallado
Verificación de la conectividad IPv6

Para comprobar la conectividad en una red local de su primer paso debe ser vaciar el veci-
bor de caché, que almacena resuelto recientemente capa de enlace de las direcciones y podría
dar una falsa
consecuencia, si usted está comprobando los cambios que implican la resolución de
direcciones. Puede comprobar el
contenido de la caché de vecinos con el comando netsh interface ipv6 show vecinos-
Bors. El comando netsh interface ipv6 delete vecinos limpia el caché. Es necesario
ejecutar la consola de comandos como administrador para poder utilizar el netsh herramienta.
Usted puede probar la conectividad a un host local de la subred y la puerta de enlace
predeterminada por
utilizando el mesa de ping comandos. Usted puede agregar el ID de interfaz a la dirección de la
interfaz IPv6 a
asegurar que la dirección está configurada en la interfaz correcta. La Figura 2-8 muestra un
mesa de ping
comando con una dirección IPv6 y un ID de interfaz.
Figura 2-8 Haciendo ping a una dirección IPv6 con un ID de interfaz
Para comprobar la conectividad a un host en una red remota, su primera tarea debe ser
revisar y borrar la caché de destino, que almacena las direcciones IPv6 del próximo salto para
des-
tinos. Puede visualizar el contenido actual de la caché de destino mediante el
netsh interface ipv6 show destinationcache comandos. Para vaciar la caché de destino, utilice
la netsh interface ipv6 delete destinationcache comandos. Tiene que ejecutar la Co-
comando de consola como administrador para utilizar este comando.
El siguiente paso es comprobar la conectividad de la interfaz del router por defecto en el equipo
local
subred. Esta es tu puerta de enlace predeterminada. Puede identificar la dirección IPv6 de su
incumplimiento
la interfaz del router mediante el uso de la ipconfig, netsh interface ipv6 show routes, o la ruta
de impresión
comandos. También puede especificar el ID de zona, que es el ID de interfaz para el valor
predeterminado
puerta de enlace en la interfaz en la que desea que los mensajes de solicitud de eco ICMPv6
que se
enviado. Cuando se haya asegurado de que puede llegar a la puerta de enlace predeterminada
en el equipo local
Si se puede conectar a la puerta de enlace predeterminada, pero no puede llegar al destino
subred, haga ping al host remoto por su dirección IPv6. Tenga en cuenta que no puede hacer
remoto
ping a un mando a distancia
dirección, trazar la ruta hacia el destino remoto mediante el tracert-d comando
host (o una interfaz de router) por su dirección local de vínculo IPv6 ya direcciones de enlace
seguido de la dirección IPv6 de destino. La -D de línea de comandos evita que el
local
tracert herramienta de la realización de una consulta DNS inversa en las interfaces del router
no enrutable.
en la ruta
trayectoria. Esto acelera la visualización de la ruta. Si desea obtener más información
acerca de los routers en el camino, y en especial si desea verificar la fiabilidad del router,
utilizar el pathping-d comandos, una vez más seguido de la dirección IPv6 de destino.
Consulta Rápida
■ ¿Qué netsh comando podría utilizar para identificar la dirección IPv6 de la
por defecto la interfaz de router?

■ netsh interface ipv6 mostrar ruta
Solucionar problemas de conectividad

Como un administrador experimentado, sabe que si no puede conectar con un mando a
distancia
anfitrión, en primer lugar que desee comprobar las conexiones de hardware distintas
(cableadas e inalámbricas)
en su organización y asegurar que todos los dispositivos de red están en marcha y
funcionando. Si estos
comprobaciones básicas no encuentra el problema, el Internet Protocol Security (IPsec) confi-
ración podría no estar correctamente configurado, o problemas de firewall (como
Puede utilizar la seguridad Directivas IP de administración de Microsoft Management Console
incorrectamente
(MMC) para
configurar ver ydeconfigurar
filtros paquetes)las directivas
puede IPsec y Firewall de Windows con
existir.
Avanzada complemento de seguridad para controlar y configurar IPv6 basado en filtros de
paquetes. Figuras 2-9
y 2-10 muestran estas herramientas.
Figura 2-9 Directivas de seguridad IP de administración snap-in
Figura 2-10 El Firewall de Windows con seguridad avanzada en
NOTA Ipsec6
La herramienta ipsec6 no está implementada en Windows Server 2008.
Es posible que no pueda llegar a un destino local o remoto, debido a incorrecta o

faltan las rutas en la tabla local de enrutamiento IPv6. Usted puede utilizar el ruta de impresión,
el comando netstat-r, o
netsh interface ipv6 mostrar ruta comando para ver la tabla de enrutamiento IPv6 locales y
verificar
que tiene una ruta que corresponde a la subred local y su puerta de enlace predeterminada.
Tenga en cuenta que la netstat-r comando muestra las tablas de enrutamiento IPv4 e IPv6.
Si usted tiene varias rutas predeterminadas con la misma métrica, es posible que tenga que
modificar
la configuración de su router IPv6 para que la ruta por defecto con el menor utiliza métricas
la interfaz que conecta a la red con el mayor número de subredes. Puede
utilizar el netsh interface ipv6 set ruta comando para modificar una ruta existente. Para agregar
un
ruta a la tabla de enrutamiento IPv6, utilice el netsh interface ipv6 add route comandos. La
netsh interface ipv6 delete ruta comando elimina una ruta existente. Tiene que ejecutar
la consola de comandos como administrador para poder utilizar estos comandos.
Si puede acceder a un servidor local o remoto por la dirección IPv4, pero no por el nombre de
host
podría haber un problema de DNS. Herramientas para configurar, comprobar y depurar
incluyen DNS
dnscmd, ipconfig, netsh interface ipv6 show dnsservers, netsh interface ipv6 dnsserver añadir,
nslookup, y el Protocolo de Internet versión 6 (TCP/IPv6) GUI. Lección 2 de la presente
capítulo trata de DNS.
Verificación de IPv6 basado en conexiones TCP
Si la herramienta de cliente telnet está instalado, usted puede verificar que una conexión TCP
puede ser esta-
lished a un puerto TCP, escriba telnet, seguido de la dirección IPv6 de destino y
el número de puerto TCP, como en este ejemplo: telnet fec0: 0:0: fffe:: 1 80. Si telnet éxito
completamente crea una conexión TCP, el telnet> en la pantalla aparece y se puede escribir
telnet
comandos. Si la herramienta no puede crear una conexión, se mostrará un mensaje de error.
Instalación de cliente telnet
MÁS INFORMACIÓN
Para más información sobre telnet, incluida la forma de instalar el cliente de telnet, de búsqueda de Windows Server
2008 Ayuda para "Telnet:. Las preguntas más frecuentes"
Configuración de clientes a través de DHCPv6

Usted puede elegir la configuración con o sin estado, cuando la configuración de hosts
mediante el uso de
DHCPv6. Configuración sin estado no genera una dirección, que es lugar de acogida
autoconfigured, pero puede, por ejemplo, especificar la dirección de un servidor DNS. Con
estado
configuración especifica las direcciones de host.
Ya sea que elija con estado o sin estado de configuración, puede asignar el IPv6
direcciones de los servidores DNS a través del servidor DNS recursivo Nombre DHCPv6 opción
(Opción 0023). Si elige la configuración de estado, las direcciones IPv6 de servidores DNS
se puede configurar como una opción de ámbito, por lo que podría haber diferentes ámbitos
DNS diferente
servidores. Las opciones de ámbito encima de las opciones de servidor para ese ámbito. Este
es el preferido
método de configuración de DNS del servidor de direcciones IPv6, lo que no se configuran a

través de
descubrimiento de enrutadores.
Con DHCPv6, un host IPv6 puede recibir prefijos de subred y la configuración de otros
parámetros. Un uso común de DHCPv6 para Windows basado en hosts IPv6 es automática-
camente configurar las direcciones IPv6 de servidores DNS.
Actualmente, cuando se configura un ámbito de IPv6 se especifica el prefijo de 64 bits. Por

defecto,
DHCPv6 puede asignar direcciones de acogida de toda la gama de 64 bits para ese prefijo.
Este
permite direcciones de host IPv6 que se configura a través de hardware del adaptador. Puede
especificar intervalos de exclusión, por lo que si quería asignar direcciones único huésped en el
rango de
fec0:: 0:0:0:1 través fec0:: 0:0:0: fffe, que excluiría a las direcciones fec0:: 0:0:1:1
Varias
a travésopciones
de fec0::DHCPv6 existe.
ffff: ffff: ffff: fffe. Sin duda la opción más útil especifica el DNS
servidor. Otras opciones se refieren a la compatibilidad con otros sistemas de apoyo que
puerto IPv6, tales como la integración de Unix de servicio de red (NIS).
DHCPv6 es similar a DHCP en muchos aspectos. Por ejemplo, las opciones de ámbito anular
opciones de servidor, y pide DHCPv6 y reconocimientos pueden pasar a través
BootP habilitado para routers y switches Layer-3 (casi todos los routers y switches modernos)
para que un servidor DHCPv6 puede configurar los clientes en una subred remota.
Al igual que con DHCP, puede implementar la regla de 80:20 para que un servidor DHCPv6
está config-
ured con un margen para su propia subred que contiene el 80 por ciento de las disponibles
direcciones para la subred, y un segundo ámbito de una subred remota que contiene 20
por ciento de las direcciones disponibles para la subred, una configuración similar DHCPv6
servidor de la subred remota proporciona conmutación por error. Si cualquiera de los servidores
falla, los anfitriones en ambos
subredes siguen recibiendo sus configuraciones.
Por ejemplo, Toy Tailspin de Melbourne red de oficinas cuenta con dos VLAN privadas que
Se han asignado los siguientes locales de sitio de redes:
■ VLAN1: fec0: 0:0: aaaa:: 1 a fec0: 0:0: aaaa:: fffe

■ VLAN2: fec0: 0:0: aaab:: 1 a fec0: 0:0: aaab:: fffe
Las excepciones se definen para que las direcciones IPv6 en las VLAN pueden ser
estáticamente
asignados a los servidores. En este caso se podría aplicar la regla de 80:20 en la configuración
de
los■ siguientes
fec0: 0:0:ámbitos
aaaa:: 1DHCPv6 en el
a fec0: 0:0: servidor
aaaa:: CCCBDHCP en VLAN1:
■ fec0: 0:0: aaab:: cccc a través fec0: 0:0: aaab:: fffe
A continuación, podría configurar los siguientes ámbitos DHCPv6 en el servidor DHCP en

VLAN2:
■ fec0: 0:0: aaab:: 1 a fec0: 0:0: aaab:: CCCB

■ fec0: 0:0: aaaa:: cccc a través fec0: 0:0: aaaa:: fffe
Los servidores DHCP y, especialmente, los servidores DHCP que albergan 20 por ciento de los
ámbitos, son excelentes
candidatos para la virtualización, ya que la experiencia sólo se limita la actividad de E / S. Addi-
excepcionalmente se puede implementar esta función en Server Core. Esta técnica es
particularmente apli-
cable a las redes más complejas.
NOTA Virtual servidores DNS
Al igual que los servidores DHCP, servidores DNS secundarios, especialmente los servidores DNS, son buenos candidatos para
virtualización.
Por ejemplo, Trey Research es una organización en un solo sitio, pero cuenta con cinco
edificios en
su sitio, conectadas por enlaces de fibra óptica a un conmutador de capa 3 configurados para
asignar un
VLAN para cada edificio. VLAN1, asignado a la oficina principal, compatible con la mayoría de
los
de la compañía informática. VLAN3 compatible con la mayoría del resto. VLAN2, VLAN4,
En este caso
y VLAN5 cadasesoporte
puede sólo
configurar el servidor
unos pocos DHCP en VLAN1 para albergar el 80 por ciento de
equipos.
la
VLAN1 rango de direcciones. Puede configurar un servidor DHCP virtual en la misma VLAN
para
anfitrión del 20 por ciento de la VLAN2 través VLAN5 rangos de direcciones. En VLAN3 puede
configurar un servidor DHCP para recibir los rangos de 80 por ciento para VLAN2 través VLAN5
y
un servidor virtual para alojar el rango de 20 por ciento para VLAN1. Si cualquiera de los
servidores falla, los ejércitos en todos los
las VLAN pueden continuar recibiendo sus configuraciones a través de DHCP. Capítulo 5 dis-
cussesLavirtualización.
NOTA regla 80:20
La regla 80/20 es típicamente implementado en un sitio, ya que un enlace WAN (routers con más de lo que
usted no tiene control) no puede pasar el tráfico DHCP. En general, si se implementa la conmutación por error de DHCP
usando la regla de 80:20, que necesita al menos dos servidores DHCP en cada sitio.
Instalación de la función de servidor DHCP y la configuración de un ámbito DHCPv6 son

prácticas
procedimientos y por lo tanto, trata en detalle en la sesión de práctica más adelante en este
lección.
Planificación de una red IPv6

Configuración de IPv6 e implementación de IPv6 es relativamente sencillo. Planificación de una
De la red IPv6 es bastante más complejo. Cada escenario tiene sus propias características,
pero en
general, es posible que desee implementar IPv6 en combinación con una red IPv4 existente.
Es posible que haya aplicaciones que requieren IPv6, aunque su red es principalmente
IPv4. Es posible que desee para diseñar una nueva red o reestructurar la actual por lo que es
pri-
palmente IPv6. Usted podría ser el diseño de una red para una gran empresa multinacional con
múltiples sitios y miles de usuarios, o para una organización pequeña con una oficina central
y una sucursal única.
Sea cual sea el escenario, será necesario para mantener la interoperabilidad con las funciones
de legado
y con IPv4. Incluso en una red IPv6 nuevo, es (actualmente) poco probable que puede pasar
por alto
IPv4 por completo.
Análisis de requisitos de hardware
Un primer paso en el proceso de diseño será el de identificar y analizar la red que
componentes de la infraestructura. Componentes de hardware pueden incluir lo siguiente:
■ Routers
■ Layer-3 interruptores
■ Impresoras
■ Faxes
■ Cortafuegos
■ Equipos de detección de intrusiones
■ Balanceadores de carga de
■
hardware
Balanceo de carga de los clústeres de
■
servidores
Red Privada Virtual (VPN) de entrada y salida
■ Servidores y servicios
■ Hardware de red de interconexión
■ Inteligente tarjetas de interfaz de red (NIC)
Esta lista no es excluyente, y puede que tenga que considerar otros dispositivos de hardware
dependiendo del escenario. ¿Cuál de estos dispositivos de ferretería, exhibición o
permitir la entrada de las direcciones IP? Todo el hardware necesario puede ser actualizado
para trabajar
con IPv6? Si no es así, ¿cuáles son las soluciones? Si necesita reemplazar el hardware, hay
un presupuesto y un plazo para la actualización de hardware?
Análisis de requisitos de software y aplicaciones

Desde el punto de vista de software y aplicaciones, gestión de redes es el área más
que podrían verse afectados por la versión de IP que se utiliza, aunque algunas aplicaciones
LOB podrían
también puede verse afectada. Puede que sea necesario para examinar el funcionamiento y la
compatibilidad de IPv6
los■ siguientes componentes:
Red de gestión de infraestructuras, tales como WINS
■ Red de sistemas de gestión, tales como sistemas basados en la Red Simple Man-
gestión de red (SNMP)
■ Desempeño de los sistemas de gestión
■ Aplicaciones de alto nivel de gestión de red (por lo general las aplicaciones de terceros)
■ Gestión de configuración, tales como DHCP y DHCPv6
■ Gestión de la seguridad y aplicación de políticas
■ Aplicaciones LOB
■ Herramientas de
transición
Estudio de los instrumentos de transición implica la exigencia, excepto en el nuevo IPv6
la red de la determinación de la estrategia de transición que desea implementar. Estrategia de
transición
gias se discutieron anteriormente en esta lección y dependen en gran medida del escenario
previsto
y si las pilas IPv4 e IPv6 están disponibles. Si algunos componentes heredados hacer
es compatible con IPv6, es necesario considerar la forma de apoyo durante la transición se
encuentra en
el progreso y si va a seguir apoyándolas en una red de doble pila
cuando la transición se ha completado. Es necesario para garantizar la interoperabilidad entre
IPv4 e
Posiblemente el primer paso en la gestión de configuración es decidir si se debe utilizar el
Los
Estadocomponentes de IPv6.
configuración útil o apátridas. Con IPv6, es posible tener todos los componentes en
la red configurados con su propia dirección unicast global. Seguridad se ha implementado
por firewalls, filtros antivirus, filtros antispam, filtrado de IP, y todos los métodos estándar de
seguridad-
ods. IPSec ofrece de extremo a extremo de cifrado. Puede configurar las zonas periféricas en
Redes IPv6 que puedas en las redes IPv4. DHCPv6 en modo apátrida puede configurar
opciones, por ejemplo, servidores DNS, que no se configuran a través del descubrimiento del
router.
En cualquier caso, es necesario asegurarse de que su proveedor es compatible con IPv6 y
obtener una
rango de direcciones IPv6.
Usted puede, sin embargo, decidir que la exposición de las direcciones unicast global de todos
sus com-
componentes de la sección de IPv6 de Internet representa un riesgo de seguridad. Este es un
asunto
de debate en la comunidad de la red y fuera del alcance de este libro. Si lo hace
tomar esa decisión, usted puede elegir para poner en práctica local de sitio IPv6 en su
subredes internas, asumiendo sus servidores NAT soporte para IPv6. Usted puede elegir de
estado
configuración DHCPv6. Suponiendo que los routers o switches capa 3 puede pasar
El tráfico DHCP, puede seguir la regla de 80:20 a través de las subredes o de área local
virtuales
Cuando se han tomado las decisiones básicas sobre la infraestructura de red y la transición
redes virtuales
estrategia (VLAN)
de ING, y hanpara asegurarque
descubierto quesilalaconfiguración
red actual (ose sigue produciendo
propuesta de nuevo si hay un
servidor DHCP está inactivo.
de red) es capaz de soportar IPv6, este caso es necesario para hacer frente a los demás
requisitos
y consideraciones. Por ejemplo, a menos que esté implementando una nueva red IPv6,
es necesario asegurarse de que la infraestructura IPv4 no se interrumpe durante la transición.
Con este requisito en mente, puede que no sea factible de implementar IPv6 en todas las
partes
la red inmediatamente.
Por otro lado, si el único requisito es el despliegue de un conjunto de aplicaciones IPv6
especifica-
comunicaciones (tales como la comunicación peer-to-peer), la implementación de IPv6 podría
ser lim-
limitado al mínimo necesario para utilizar este conjunto de aplicaciones.
Requisitos de documentación de
Su próximo paso es determinar y documentar con exactitud lo que se requiere. Por ejemplo,
puede que tenga que responder las siguientes preguntas:
■ Es la conectividad externa (a la sección de IPv6 de Internet, por ejemplo) requiere?

■ ¿La organización tiene un sitio o varios sitios? En este último caso, ¿cuáles son los
ubicación geográfica de los sitios, y cómo se pasa la información actualmente
con seguridad entre ellos?
■ ¿Cuál es el actual IPv4 estructura de la red interna?

■ ¿Qué plan de asignación de direcciones IPv6 está disponible en el
■
proveedor?
¿Qué servicios IPv6 ofrece el proveedor?
■ ¿Cómo debe ser la asignación de prefijo de delegado en la empresa?
■ Son protocolos IPv6 externa sitio y el sitio interno de enrutamiento necesaria? Si es así,
■
¿cuáles?
¿La empresa utiliza actualmente un centro de datos externos? (Por ejemplo, se
servidores ubicados en el centro?)
■ IPv6 está disponible mediante los enlaces de acceso que

■
IPv4?
Las aplicaciones que necesitan para soportar IPv6 y pueden ser actualizados para
hacerlo?
¿Estas aplicaciones necesitan para apoyar los protocolos IPv4 e IPv6?
■ ¿Las plataformas de apoyo a la empresa tanto para IPv4 como IPv6? IPv6 está instalado
por
por defecto en el servidor y plataformas de cliente?
■ NAT es V4-V6 disponible y si las aplicaciones tienen algún problema con su uso?
■ ¿Las aplicaciones necesitan direcciones IP globalmente
■
enrutable?
Se trata de multidifusión y de difusión por proximidad se
utilizan?
También es necesario analizar y documentar los patrones de trabajo y estructura de apoyo
dentro de la organización. Usted necesita obtener la siguiente información:
■ ¿Quién toma la propiedad de la red? Por ejemplo, es el soporte de red en casa

o subcontratado?
■ ¿Tiene una base de datos de gestión de activos detallado
■
existe?
¿Tiene la organización de los trabajadores de apoyo en casa? Si es
■
así, ¿cómo?
Es la movilidad de la red IPv6 utiliza o se requieran para
■
IPv6?
¿Cuál es la política de la empresa para la numeración geográfica?
■ ¿Los sitios separados en la empresa tienen diferentes proveedores?
■ ¿Cuál es el actual IPv4 política de QoS (suponiendo que no se está diseñando un nuevo
Sólo IPv6 de la red)? ¿Cambiará esto cuando IPv6 está implementado?
■ ¿Qué propuestas existen para la capacitación del personal técnico en el uso de
IPv6?
Documentar y analizar esta información tendrá una gran cantidad de tiempo. Sin embargo, sin
esta documentación no se conocen los requisitos precisos para IPv6 aplica-
ción y el proyecto tomará mucho más tiempo y dar lugar a un resultado menos satisfactorio.
Una vez que haya reunido la información, se puede planificar las tareas que usted y su equipo
necesidad de realizar y los requisitos para cada uno. Usted tendrá una mejor idea del tiempo
y el costo del proyecto, y si debe ser implementado en etapas.
Su siguiente paso es elaborar y aplicar un plan de proyecto. La planificación del proyecto está
más allá de
el alcance de este libro. Sin embargo, usted haría bien en prestar atención a una palabra de
advertencia:
no haga caso de lo que parecen ser actividades periféricas o no en tiempo crítico. Formación
su personal técnico es un buen ejemplo. Cada parte del plan final es importante, y
a menos que todos los aspectos se lleva a cabo el resultado será óptimo. En el peor
caso, el proyecto puede fallar por completo por la falta de un componente irreflexivo.
Escenarios de red IPv6

MÁS INFORMACIÓN
Para más información sobre la planificación de IPv6 y los ejemplos específicos de escenario, vea RFC 4057, "IPv6
Escenarios de la empresa de red ", en http://www.ietf.org/rfc/rfc4057.
Práctica: Configuración de la conectividad IPv6

En esta práctica se va a configurar el sitio local de direcciones IPv6 en la red
conexiones en el servidor y equipos cliente que se conectan a la subred privada
(La subred IPv4 10.0.0.0/24). Utilice las herramientas para probar la conectividad IPv6. A
continuación,
DHCPv6 configurar en su servidor.
Ejercicio 2 es opcional. Necesita instalar la función de servidor DHCP en la DC para establecer
un alcance DHCPv6 en el ejercicio 3. Sin embargo, si la función de servidor DHCP ya está
instalado
en su servidor, no es necesario para completar (y no debería intentar) Ejercicio 2.
NOTA Inicio de sesión en el cliente

Puede realizar las configuraciones de servidor en esta sesión de práctica por la tala directamente a la
servidor con una cuenta de nivel administrativo. Sin embargo, en una red de producción sería mala
la práctica. Por lo tanto, los ejercicios le pedirá que inicie sesión en el ordenador cliente y el uso de escritorio remoto para
conectarse a su servidor. Otras prácticas en este libro involucran sólo el servidor, y para mayor comodidad
estas prácticas le pedirá que inicie sesión en el servidor. Tenga en cuenta, sin embargo, que en una producción de
de red que normalmente se accede a un servidor a través de escritorio remoto o administración que se ejecuta
Herramientas en un cliente y especificar el servidor de la herramienta.
IMPORTANTE Windows XP Professional clientes

Si su equipo cliente está ejecutando Windows XP Professional (no recomendado), instalar el IPv6
protocolo en la interfaz apropiada antes de intentar estas prácticas.
Ejercicio 1: Configuración de IPv6

En este ejercicio va a configurar IPv6 direcciones locales del sitio de su cliente y servidor-com
computadoras y la conectividad de la prueba.
1. Inicie sesión en el PC del cliente con la cuenta de kim_akers nivel administrativo.

2. Panel de control, haga clic en Network and Sharing Center. Si usted no está utilizando
Vista clásica, haga clic primero en la red y haga clic en Internet. Haga clic en Administrar la
red
Conexiones. En XP a los clientes profesionales, abra Conexiones de red.
3. Haga clic con el interfaz que se conecta a tu red privada y haga clic en Propiedades.
4. Si el User Account Control (UAC) en la casilla, haga clic en Continuar.

5. Seleccione Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en
Propiedades.
6. Configurar una dirección IPv6 estática local de sitio fec0: 0:0: fffe::
a.
7. Configure la dirección de puerta de enlace predeterminada fec0:
0:0: fffe:: 1.
8. Configure una dirección de servidor DNS fec0: 0:0: fffe:: 1. El cuadro de diálogo
Propiedades
debe ser similar a la Figura 2-11.
Figura 2-11 Configuración de IPv6 en el cliente
9. Haga clic en Aceptar. Cerca de la Conexión de área local cuadro de diálogo

Propiedades.
10. Cerca de la Red y la caja de diálogo Conexiones.
11. Red de cerca y compartir centro.
12. Entrar Remote Desktop en el cuadro de búsqueda. (En XP a los clientes profesionales, entre
mstsc en el cuadro Ejecutar.)
13. Conectar con el equipo de Glasgow (el controlador de dominio) mediante el uso de la
kim_akers credenciales de la cuenta (contoso \ kim_akers).
14. Inicio Network and Sharing Center desde el Panel de Control. Haga clic en Administrar la
red
Conexiones.
15. Si un cuadro de diálogo UAC aparece, haga clic en Continuar para
cerrarla.
16. Haga clic derecho en la conexión de red a tu red privada y haga clic en Propiedades.
17. Seleccione Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en
Propiedades.
18. Configurar una dirección IPv6 estática local de sitio fec0: 0:0: fffe::
1.
19. Configure una dirección de servidor DNS fec0: 0:0: fffe:: 1. El cuadro de diálogo
Propiedades
Figura 2-12 Configuración de IPv6 en el controlador de dominio
20. Haga clic en Aceptar. Cerca de la Conexión de área local cuadro de diálogo
Propiedades.
21. Cerca de la Red y la caja de diálogo Conexiones.
22. Red de cerca y compartir centro.
NOTA Las máquinas virtuales

Si está utilizando una máquina virtual para implementar el servidor y el cliente en el mismo PC, es
una buena idea para cerrar la máquina virtual y reinicie el equipo después de configurar
interfaces.
23. Abra la consola de comandos del controlador de dominio.

24. Entrar mesa de ping fec0: 0:0: fffe:: a. Usted debe obtener la respuesta se muestra en la Figura
2-13.
Tenga en cuenta que si el firewall en su ordenador Melbourne bloques ICMP tráfico,
necesario volver a configurar antes de este comando funcionará.
Figura 2-13 Ping al cliente desde el controlador de dominio
25. Entrar netsh interface ipv6 show neighbors. La figura 2-14 muestra la fec0: 0:0: fffe:: un
interfaz como un vecino en la misma subred que el controlador de dominio.
Figura 2-14 Mostrando los vecinos controlador de dominio
26. Cerrar la sesión para cerrar la conexión a Escritorio remoto para el controlador de
dominio.
27. Abra la consola de comandos en el equipo cliente. Entrar mesa de ping fec0: 0:0: fffe:: 1.
Usted debe obtener la respuesta del controlador de dominio se muestra en la Figura 2-15.
Figura 2-15 Ping al controlador de dominio del cliente

28. Entrar mesa de ping Glasgow. Tenga en cuenta que el controlador de dominio el nombre de
host se resuelve en la
Dirección IPv6.
Ejercicio 2: Instalación de la función de servidor DHCP (opcional)
En este ejercicio va a instalar la función de servidor DHCP y especificar que DHCPv6 puede
pro-
vide con estado de configuración de IPv6. Que necesitas para completar este ejercicio sólo si
esta función de servidor
aún noes
1. Si está instaladoinicie
necesario, en su servidor
sesión Glasgow.
en el cliente con la cuenta kim_akers y el uso a distancia
Escritorio para conectar con el controlador de dominio.
2. Si la ventana de configuración inicial de tareas se abre al iniciar la sesión, haga clic en

Agregar
Roles. De lo contrario, abra Administrador del servidor en Herramientas administrativas,
haga clic en
El Asistente
3. Funciones enpara agregar
el panel funciones
izquierdo se inicia.
y haga clic enSi la página
Agregar Antes de comenzar, haga clic en
funciones.
Siguiente.
4. Seleccione el servidor DHCP casilla de verificación como se muestra en la Figura 2-16
Figura 2-16 Selección de instalar la función del servidor DHCP
5. En la página del servidor DHCP, seleccione enlaces de conexión de red. Asegúrese de que
sólo la interfaz IPv4 10.0.0.11 es seleccionado para DHCP.
6. Seleccione Ajustes de IPv4 DNS. Comprobar que el dominio es contoso.internal y la

Servidor DNS preferido de direcciones IPv4 es 10.0.0.11.
7. Seleccione Ajustes de IPv4 WINS. Comprobar que WINS no es necesario para las
aplicaciones
En esta red se ha seleccionado.
8. Seleccione ámbitos DHCP. Sólo IPv4 ámbitos se puede definir en esta página, por lo que el
alcance
lista debe estar vacía.
9. Seleccione el modo sin estado DHCPv6. Seleccione Desactivar Modo DHCPv6 sin estado
por este
Server. Esto le permite utilizar la Consola de administración de DHCP para configurar
DHCPv6
después de la función de servidor DHCP se ha instalado. La Figura 2-17 muestra esta
configuración.
Figura 2-17 Deshabilitar el modo sin estado DHCPv6
10. Seleccione la autorización de servidor DHCP. Asegúrese de que Utilizar las credenciales del
actual seleccionado.
11. Seleccione la Confirmación y comprobar los ajustes.
12. Haga clic en Instalar. Haga clic en Cerrar cuando finalice la
instalación.
13. Reinicie el controlador de dominio.
Ejercicio 3: configurar un ámbito de DHCPv6

En este ejercicio se configura un ámbito de DHCPv6. Que necesitas para completar la primera
práctica en
esta lección antes de que pueda llevar a cabo esto. También es necesario tener la función de
servidor DHCP
instalado en el DC. Si usted no ha instalado este papel, mientras estudiaba el capítulo 1,

también
necesidad de completar el segundo ejercicio en esta sesión antes de intentar esto.
1. Si es necesario, inicie sesión en el cliente con la cuenta kim_akers y el uso a distancia
Escritorio para conectar con el controlador de dominio.
2. En Herramientas administrativas, haga clic en

DHCP.
3. Si un cuadro de diálogo UAC aparece, haga clic en Continuar para
cerrarla.
4. Ampliar glasgow.contoso.internal. Ampliar IPv6. Asegúrese de que muestra una flecha
verde
al lado del icono de IPv6. Esto confirma que el servidor DHCPv6 está autorizado.
5. Haga clic con IPv6 y haga clic en Ámbito nuevo. El Asistente para ámbito nuevo se abre.
Haga clic en Siguiente.
6. Dar el alcance de un nombre (como Alcance de la red privada) y escriba una descripción
breve
ción. Haga clic en Siguiente.
7. Establecer prefijo de fec0:: fffe. Está configurando un solo ámbito de IPv6 en esta subred y
no es necesario para establecer la preferencia. Su pantalla debería ser similar a la Figura 2-
18.
Figura 2-18 Configuración de un prefijo DHCPv6
8. Desea excluir una dirección IPv6 fec0: 0:0: fffe:: 1 a fec0: 0:0: fffe:: FF de los
el alcance. Especificar una dirección de inicio de 0:0:0:1 y una dirección final de 0:0:0: ff en
la página Agregar exclusiones y haga clic en Agregar, como se muestra en la Figura 2-19.
Haga clic en Agregar.
Figura 2-19 Configuración de exclusiones alcance
9. Haga clic en Siguiente. Puede configurar el arrendamiento alcance en la página de

arrendamiento alcance. A los efectos
de esta práctica los períodos de alquiler son aceptables. Haga clic en Siguiente. Comprobar
el alcance
En la herramienta
10. resumen, asegúresedede
DHCP, ampliarámbito
que Activar el alcance,
Ahorahaga clic en Opciones
se selecciona, de ámbito,
a continuación, haga
haga clic
clic
en
enConfigurar
Finalizar.
Opciones, y examinar las opciones disponibles. Seleccione la opción DNS recursivas 0023
Servidor de lista de direcciones IPv6. Especifique fec0: 0:0: fffe:: 1 como la dirección del
servidor DNS IPv6,
como se muestra en la Figura 2-20.
Figura 2-20 Especificación de un servidor DNS para la configuración DHCPv6

11. Haga clic en Agregar y luego haga clic en Aceptar. Cierre la

herramienta DHCP.
12. Cerrar la conexión a Escritorio remoto, cerrar la sesión en el controlador de dominio.
■ Problemas de IPv6 es totalmente compatible con Windows Server 2008 y las direcciones
de tales
como la falta de espacio de direcciones que están asociados con IPv4.
■ IPv6 soporta unicast, multicast y anycast direcciones. Las direcciones unicast pueden
ser global, local de sitio, enlace local o especial. Las direcciones IPX y NSAP asignados
se
también se apoya.
■ IPv6 está diseñado para ser compatible hacia atrás, y puede direcciones compatibles con
IPv4
ser especificado. Estrategias de transición son de doble pila, configura un túnel,
automática de túnel 6to4, Teredo e ISATAP.
■ Las direcciones IPv6 se pueden configurar a través de estado (DHCPv6) y apátridas
(Autoconfiguración) métodos. DHCPv6 también se puede utilizar para configurar
statelessly
(Por ejemplo), los servidores DNS, mientras que los anfitriones son configurados
■ automáticamente.
Herramientas para configurar y solucionar problemas de IPv6 incluyen ping, ipconfig,
tracert, pathping
y netsh. También puede configurar IPv6 mediante el TCP/IPv6 GUI Propiedades.
Use las siguientes preguntas para poner a prueba su conocimiento de la información en la
lección 1,
"El uso de IPv6 en Windows Server 2008." Las preguntas también están disponibles en la com-
CD compañera, si lo prefiere para revisar en forma electrónica.
NOTA Respuestas
1. ¿Qué protocolo utiliza mensajes ICMPv6 para gestionar la interacción de los vecinos-
los nodos de ING?
A. ARP
B. ND
C. DHCPv6
D. EUI-64
2. Un nodo tiene una dirección IPv6 de enlace local fe80:: 6b: 28c: 16a7: d43a. ¿Cuál es su
correspon-
correspondiente dirección de nodo solicitado?
A. ff02:: 1: ffa7: d43a
B. ff02:: 1: ff00: 0:16 a7: d43a
C. fec0:: 1: ff a7: d43a
D. fec0:: 1: ff00: 0:16 a7: d43a
3. ¿Qué tipo de dirección IPv6 es el equivalente a un público unicast de direcciones IPv4?
A. Sitio local
B. De enlace local
C. Global
D. Especial
4. Que IPv6 a IPv4 utiliza la estrategia de transición túneles preconfigurados y encapsulación
lates un paquete IPv6 dentro de un paquete IPv4?
A. Configurar un túnel
B. Doble pila
C. ISATAP
D. Teredo
5. ¿Qué comando le permite configurar una dirección IPv6 de forma manual en un
determinado
interfaz?
A. netsh interface ipv6 dirección de mostrar
B. netsh interface ipv6 añadir la dirección
C. netsh interface ipv6 set interface
D. netsh interface ipv6 dirección indicada
6. Trey Research es una bien establecida, la organización de investigación innovadoras que
enorgullece
mismo de estar a la vanguardia de la tecnología. La compañía cuenta actualmente con 82
PCs cliente todos los que ejecutan Windows Vista edición Ultimate. Todos sus servidores,
incluyendo
sus centros de datos han sido recientemente actualizado a Windows Server 2008. Sitio de
Trey
consta de dos edificios unidos por un cable de fibra óptica. Cada edificio tiene su propio
Zona periférica de VLAN y Trey se encuentra en una VLAN. Todos los clientes de Trey
recibir sus configuraciones IPv4 a través de DHCP, y la regla 80:20 se utiliza para
aplicación de conmutación por error si el servidor DHCP se cae. Todos los servidores y las
interfaces del router
se configuran de forma manual, como son las impresoras de la empresa red y la red
proyectores. Trey tiene una clase C pública IPv4 asignación y no ve la necesidad de

imple-
ción NAT. Se utiliza un sistema de gestión de red basada en SNMP. Se utiliza un nú-
número de aplicaciones de alto nivel gráfico, además de software de negocio y la
2007 Microsoft Office system. La compañía quiere introducir IPv6 configura-
ción y el acceso a la sección de IPv6 de Internet. Se ha comprobado que su proveedor de
y todos sus equipos de red totalmente compatible con IPv6. ¿Cuál de los siguientes es
probable
para formar parte del plan de implementación de IPv6 Trey? (Elija todas las que apliquen.)
A. Trey es probable que adopte una estrategia de transición de
doble pila.
B. Trey es probable que adopte una estrategia de transición configura un túnel.
C. Trey es probable que configurar sus equipos de red interna en el sitio local
direcciones unicast.
D. Trey es probable que configurar sus máquinas de la red interna con unidifusión global
direcciones.
E. Trey debe asegurarse de que sus servidores y los clientes pueden soportar
IPv6.
F. Trey tiene que asegurarse de que sus proyectores de red e impresoras de red apoyo
puerto IPv6.
G. Trey debe asegurarse de que su sistema de gestión de red es compatible

con IPv6.
H. Trey tiene que asegurarse de que sus aplicaciones gráficas son compatibles con
IPv6.
Lección 2: Configuración del DNS

Principalmente DNS resuelve los nombres IP de host en direcciones IP. También se puede
resolver direcciones IP en
los nombres de host en zonas de búsqueda inversa de DNS. La resolución de nombres es
importante para IPv4
porque las direcciones IPv4 son difíciles de recordar. Es aún más importante para IPv6
porque recordar direcciones de IPv6 es casi imposible. Como un experimentado
red de contactos profesionales, que están familiarizados con el DNS con el propósito de esta
lección es que no
te enseñan los fundamentos de cómo funciona DNS. En cambio, la lección cubre las mejoras
de DNS introducido en Windows Server 2008 y cómo DNS trata de direcciones IPv6.
■ Enumerar y explicar las características de Windows Server 2008 DNS
■ Enumerar y explicar las mejoras de Windows Server 2008 para DNS
■ Configurar registros DNS IPv6 estática
■ Configurar una zona de búsqueda inversa IPv6
■ Administrar DNS mediante el complemento de MMC y las herramientas de línea
de comandos
Mundo Real
Ian McLean
Una vez, no hace mucho tiempo, había una red llamada Arpanet. La mayoría de los
los alojamientos de esta red estaban controlados por los militares estadounidenses,
aunque algunos
estaban en universidades como la Universidad de California en Berkeley. Nombre de
reso-
lución de esta red se llevó a cabo con los archivos hosts estáticos que celebró anfitrión
nombres y las direcciones correspondientes de la red.
Cuando el número de máquinas de la red tiene más de 80, los archivos hosts se convirtió
en mucho tiempo
y torpe. Así DNS se ha desarrollado y un equipo se ha configurado como servidor de DNS
servidor. Así es, un único servidor DNS.
¿Cuántos servidores DNS hay en el mundo de hoy? Si alguien le dice,
decir: "No, no hay más que eso," porque en el momento en que los dos tienen aletas
ished hablando, no se. ¿Podría alguien haber previsto en los días de
Arpanet lo grande que Internet se convertiría? ¿Había alguien en el mundo
lo suficientemente estúpido como para hacer ese tipo de predicción?
No había. Yo había estado trabajando para un comercial de aprendizaje a distancia y la

empresa
siempre tuvo un interés en los métodos alternativos de aprendizaje y enseñanza.
Lección 2: Configuración del DNS 105
He investigado el aprendizaje abierto, aprendizaje programado, y el excelente trabajo de

la
red de radio maestra estaba haciendo en Australia.
Incluso entonces yo era un poco de un geek de la computadora y me mantenía informado
sobre
desarrollo de la red, incluida la documentación que sale de Berkeley.
Decidí estudiar para un doctorado en tecnología de red que combina con el desa-
ING técnicas de enseñanza.
Llamé a mi idea de la Autopista de la Información y postula un futuro en un mundo-
amplia red que proporcionan información y el aprendizaje en la demanda de viviendas,
escuelas y universidades. Aún más ridículo, que predijo un futuro donde la com-
computadoras sería tan barato y fácil de usar que todos los hogares que tienen uno,
las escuelas que cuentan con cientos, y las universidades tendrían miles de personas.
Lamentablemente tuve que defender mi tesis de un panel de académicos crujiente que

con-
sidered tiza y pizarrón que la tecnología avanzada peligrosamente. No
creo que ni siquiera miró a mis referencias. Me dijeron que los doctorados no se
entregado por la ciencia ficción.
La moraleja de esta historia un poco triste es que es muy difícil predecir hasta qué punto
y la tecnología de rápido se desarrollará. Dentro de treinta años vamos a ver en la
actualidad
World Wide Web y la tecnología informática lo más simple y primitiva. ¿Qué va a
que se utiliza para entonces? ¿Hay alguien en el mundo tan estúpido como para hacer
ese tipo de
predicción?
Yo no.
Uso de Windows Server 2008 DNS

El servidor DNS de Windows 2008 la función de servidor es totalmente compatible con todos
los estándares publicados-
estándares y es compatible con la mayoría de los sistemas DNS. Conserva las características
introducidas por
Windows Server 2003 DNS, incluyendo la configuración dinámica y de zona incremental
transferencia, e introduce varias características nuevas y mejoras significativas.
Windows Server 2008 DNS Cumplimiento y apoyo
La función de servidor DNS en Windows Server 2008 cumple con todos los RFC que definen y
estandarizar el protocolo DNS. Se utiliza el estándar DNS archivo de datos y registro de
recursos de-
esteras y puede trabajar con éxito con la mayoría de las implementaciones del servidor DNS,
como por ejemplo
DNS implementaciones que utilizan Internet de Berkeley de nombres de dominio (BIND) de
software.
Windows Server 2008 DNS en una red basada en Windows compatible con Active Directory
Servicios de dominio (AD DS). Si se instala la función de AD DS en un servidor, y un servidor
DNS
que cumpla con los requisitos de AD DS no puede ser localizado, usted puede instalar
automáticamente y
configurar un servidor DNS. Por lo general esto sucede cuando se está instalando el primer
controlador de dominio en un bosque.
Una partición es un contenedor de datos de AD DS que contiene los datos para la replicación.
Puede almacenar
Datos de zona DNS, ya sea en el dominio o la partición de directorio de aplicaciones de AD DS.
Usted
Puede especificar la partición debe almacenar la zona. Esto a su vez define el conjunto de
controladores de dominio para que los datos de esa zona se replica. Aunque otros tipos de
Servidor DNS puede soportar el despliegue de AD DS, Microsoft recomienda que utilice la
Windows Server 2008 el servicio DNS Server para este propósito. Particiones ayudan a
asegurar
que las actualizaciones sólo a las zonas DNS se replican en otros servidores DNS. De zona
incremental
transferencia
NOTA sea discute
Con copia archivo demás adelante en esta lección.
los servidores
DNS
Un servidor de archivos con respaldo absoluto de DNS es un servidor DNS que no está integrado con AD DS. Puede instalar
archivos
respaldado servidores DNS en cualquier equipo independiente en la red. Por lo general, con el respaldo de archivos DNS
servidores se utilizan en las zonas periféricas donde el uso de servidores miembro (y especialmente de dominio
controladores) puede ser visto como un riesgo de seguridad.
Windows Server 2008 DNS es compatible con las zonas de rutas. A talón de la zona es una
copia de una zona que
contiene sólo los registros de recursos necesarios para identificar los servidores DNS
autorizados para
esa zona. Utilizando las zonas de rutas garantiza que el servidor DNS que aloja una zona
principal se puede determinar
mina de los servidores DNS autorizados para su zona secundaria, contribuyendo así a
mantener DNS eficiente
de resolución de nombres. La figura 2-21 muestra una zona de rutas especificadas en el
Asistente para nueva zona.
Figura 2-21 La creación de una zona de rutas

Puede utilizar las zonas de rutas, por ejemplo, cuando los servidores de nombre en la zona de
destino son a menudo
en transición, por ejemplo, si parte o la totalidad de la red de la empresa está pasando por
dirección IP
transición
La estrechay la resolucióncon
integración de otros
nombres es problemático.
servicios de Windows, incluyendo AD DS, WINS (si está
activado),
y DHCP (incluyendo DHCPv6) asegura que Windows 2008 DNS es dinámico y
requiere una configuración manual de poca o ninguna. DNS de Windows 2008 es totalmente
compatible con
el protocolo de actualización dinámica definida en el RFC 2136. Los equipos que ejecutan el
cliente de DNS
servicio de registro de sus nombres de host y las direcciones IPv4 e IPv6 (aunque no de enlace
local
Las direcciones IPv6) de forma dinámica. Puede configurar el servidor DNS y cliente DNS
para realizar actualizaciones dinámicas seguras. Esto asegura que sólo los usuarios
autenticados con la
derechos apropiados puede actualizar los registros de recursos en el servidor DNS. Figura 2-22
muestra un
zona que se está configurado para permitir sólo actualizaciones dinámicas seguras.
Figura 2-22 Permitir sólo actualizaciones dinámicas seguras
Protocolo de actualización dinámica

MÁS INFORMACIÓN
Para más información sobre el protocolo de actualización dinámica, consulte http://www.ietf.org/rfc/rfc2136.txt y

http://www.ietf.org/rfc/rfc3007.
NOTA Las actualizaciones dinámicas seguras

Las actualizaciones dinámicas seguras sólo están disponibles para las zonas integradas en AD DS.
Zona de replicación
De conmutación por error, y para mejorar la eficiencia de la resolución de nombres DNS, zonas
DNS se
replica entre servidores DNS. Las transferencias de zona implementar la replicación de zonas y
sincronización. Si se agrega un nuevo servidor DNS de la red y configurarlo como un
servidor DNS secundario en una zona existente, realiza una transferencia de zona completa
para obtener
una copia de sólo lectura de los registros de recursos para la zona. Antes de Windows Server
2003, un total
transferencia de zona se deben replicar los cambios en la zona DNS autorizada para
el servidorServer
Windows DNS secundario.
2003 se creó una transferencia de zona incremental, que es totalmente imple-
mented en Windows Server 2008. Transferencia incremental permite que un servidor
secundario para
sacar únicamente los cambios de zona que necesita para sincronizar su copia de la zona, con
sus
zona de origen, que puede ser una copia primaria o secundaria de la zona que se
mantenida por otro servidor DNS.
Usted puede permitir transferencias de zona a cualquier servidor DNS, los servidores DNS que
aparece en el nombre
Ficha Servidores (cualquier servidor que ha registrado un registro NS), o sólo a los servidores
DNS especificados
servidores. La figura 2-23 muestra una zona DNS configurado para permitir transferencias de
zona sólo a
Los servidores DNS que aparece en la ficha Servidores de nombres.
Figura 2-23 Configuración de transferencia de zona

DNS Forwarders
Si un servidor DNS no tiene una entrada en su base de datos del host remoto especificado en
una petición de cliente, se puede responder al cliente con la dirección de un servidor DNS más
probable que tenga esa información, o se puede consultar el otro servidor DNS. Este pro-
proceso puede llevarse a cabo de forma recursiva hasta que el equipo cliente recibe la
dirección IP
o el servidor DNS establece que el nombre consultado no se puede resolver. Los servidores
DNS
a la que otros servidores DNS reenvían peticiones que se conoce como forwarders.
El Windows 2008 del servicio Servidor DNS amplía la configuración estándar de agente de
mediante el uso de reenviadores condicionales. Un reenviador condicional es un servidor DNS
que de-
DNS salas de consultas de acuerdo con el nombre de dominio DNS de la consulta. Por
ejemplo,
puede configurar un servidor DNS para que reenvíe todas las consultas que recibe para los
nombres
terminando con adatum.com a la dirección IP de uno o más servidores DNS especificados. Este
característica es especialmente útil en extranets, donde varias organizaciones y dominios
acceder2-24
Figura a lamuestra
misma red internade
el cuadro privada.
diálogo para crear un reenviador condicional. No se puede
en realidad hacer esto en su red de prueba, porque sólo tiene un servidor DNS.
Figura 2-24 Especificar un reenviador condicional
La administración de DNS
Puede utilizar el Administrador de DNS de MMC en la interfaz gráfica para administrar y
configurar el DNS
Servicio de servidor. Windows Server 2008 también ofrece asistentes de configuración para
realizar tareas comunes de administración del servidor. Figura 2-25 muestra esta herramienta y
También muestra los registros de host IPv4 e IPv6 de forma dinámica registrados en DNS.
Figura 2-25 El Administrador de DNS
Otras herramientas se proporcionan para ayudar a mejorar la gestión y el apoyo y los

servidores DNS
clientes de su red. Usted puede utilizar el dnscmd herramienta para configurar y administrar
ambos registros IPv4 e IPv6. Figura 2-26 muestra los modificadores de línea de comandos que
puede
su uso con esta versátil herramienta. Por lo general, es necesario ejecutar la consola de
comandos como
administrador para utilizar el dnscmd herramienta.
Figura 2-26 La dnscmd herramienta

Usted puede utilizar el ipconfig comando como se describe en la lección 1 de este capítulo para
ver
configuraciones de adaptador de interfaz. También puede liberar configuraciones IPv4 e IPv6
por
uso ipconfig / release y ipconfig / release6 , respectivamente. Del mismo modo se puede
renovar con- envía una solicitud a un servidor DNS y el nombre del host remoto no puede ser
Si un cliente
figuraciones con ipconfig
resuelto, el caché de DNS/ renew y ipconfig
en el cliente / renew6.
almacena la información de que la resolución no.
Esto está diseñado para evitar que los clientes continuamente acceso a los servidores DNS y
tratando de resolver los nombres de host sin solución. Sin embargo, la desventaja es que si
el nombre del host remoto no se puede resolver a causa de un problema en el servidor y que
pro-
problema es posteriormente reparado, el cliente no puede obtener una resolución para que el
nombre de host
hasta que la información que no se puede resolver se borra de la memoria caché. En esta
situación
ciónnuevo
Un se puede utilizar
cliente ipconfig
de una / flushdns
red necesita en el
algún cliente
tiempo para
para borrar la caché
registrarse en DNSdedinámico.
inmediato.Puede
acelerar este proceso mediante el uso de la ipconfig / registerdns comandos. Puede mostrar
DNS de información mediante el uso de la ipconfig / displaydns comandos. La ipconfig
comandos
que muestran información se puede ejecutar sin privilegios elevados, pero los comandos
que las interfaces de configuración, la configuración de lanzamiento, vaciar la caché, o cuando
se registra el cliente
es necesario ejecutar la consola de comandos como administrador. La figura 2-27 muestra la
de línea de comandos disponibles con el ipconfig comandos.
Figura 2-27 La ipconfig herramienta

Consulta Rápida
■ ¿Qué línea de comandos CLI (interfaz) de herramientas se puede utilizar para crear
inversa
Las zonas de búsqueda?
■ dnscmd
Si un cliente no puede obtener la resolución remota nombre de host de un servidor DNS, y ha

utiliza la mesa de ping comando para asegurarse de que tiene conectividad de red entre el
servidor y el host, puede utilizar nslookup para comprobar si el servidor está proporcionando
una
El servicio DNS. Desde el equipo cliente Melbourne, ejecute el comando nslookup
glasgow. Esto demuestra la conectividad con el servidor glasgow.contoso.internal.
Ejecutar el comando nslookup contoso.internal. Esto devuelve las direcciones IPv4 de
Los servidores DNS en el dominio contoso.internal.
Entrar nslookup. En el nslookup>, escriba ls-d contoso.internal. Esta lista de todos

los registros DNS en el dominio contoso.internal, como se muestra en la figura 2.28.
Figura 2-28 Los registros DNS en el dominio contoso.internal

NOTA Nslookup ls Identificación <dominio>

Este comando no funciona a menos que haya permitido la transferencia de zona (ver Figura 2-23), aunque
ejecutarlo en el servidor que aloja el dominio. Si no puede conseguir que esto funcione, trate de seleccionar a cualquier
Servidor en la ficha Transferencias de zona, pero ten en cuenta que al hacerlo pone en peligro su seguridad.
Una lista de nslookup comandos se muestra en la figura 2.29.
Figura 2-29 Nslookup comandos
Lección 1 discutió la netsh interface ipv6 add dnsserver comandos. La netsh interface
ipv6 show dnsservers comando muestra las configuraciones de DNS IPv6 y también indica
direcciones de servidor DNS que se configuran de manera estática.
Registros DNS
Como una red de profesionales que deben estar familiarizados con el estándar de los tipos de
registro DNS:
como IPv4 de host (A), SOA, PTR, CNAME, NS, MX, etc. Otros tipos de registros DNS, como
como archivo de base de datos del Sistema Andrew (AFSDB) y la dirección de ATM, son de
interés sólo si
a configurar la compatibilidad con sistemas no-Windows DNS. Figura 2-30 muestra
algunos de los tipos de registro disponibles en el DNS de Windows 2008. Si usted necesita
para crear una dirección IPv6
récord para un cliente que no puede registrarse con el Directorio Activo, debe ser manualmente
crear un registro AAAA.
Figura 2-30 Tipos de registro DNS
El examen de nuevas características y mejoras de DNS

La función de servidor DNS en Windows Server 2008 proporciona las siguientes nuevas o
características mejoradas:
■ Zona de carga de fondo Cargando datos de zona DNS es una operación en segundo plano.
Si
es necesario reiniciar el servidor DNS que aloja uno o varios grandes zonas DNS
almacenada en AD DS, el servidor es capaz de responder a las consultas de los clientes
con mayor rapidez
porque no es necesario esperar hasta que todos los datos de la zona se ha cargado.
■ El Windows
Soporte para los controladores de dominio de sóloServer
lectura2008
(RODC)
Papel del servidor DNS primario proporciona sólo lectura en las zonas de RODC.
■ Mundial de nombres de una sola El GlobalNames zona DNS proporciona una sola etiqueta con
el nombre de las redes de grandes empresas que no se despliegan WINS. Esta zona es
resolución
se utiliza cuando no es práctico de usar sufijos de nombres DNS para proporcionar una
sola etiqueta
de resolución de nombres.
■ Windows
Soporte para IPv6 Server 2008 función de servidor de DNS es totalmente compatible con
IPv6
direcciones. Implementa AAAA y registros IP6 y apoya inversa IPv6
Las zonas de búsqueda.
Antecedentes Loading Zone

Si usted trabaja en una gran organización con grandes de Windows Server 2003 (o anterior) de
las zonas
que almacenan los datos DNS en AD DS, a veces se dará cuenta de que el reinicio de un
servidor DNS puede
tomar un tiempo considerable. Es necesario esperar a que la zona DNS se recuperan los datos
de AD DS;
el servidor DNS no está disponible para solicitudes de servicio al cliente, mientras que esto está
sucediendo.
Al actualizar el sistema operativo del servidor para Windows Server 2008, se le
que esta situación se ha abordado. Windows Server 2008 cargas de datos de zona DNS
de AD DS en el fondo mientras se reinicia de manera que pueda responder a las solicitudes
casi de inmediato cuando se reinicie, en lugar de esperar hasta que sus zonas están
completamente cargados.
Además, dado que la zona se almacenan los datos de AD DS en lugar de en un archivo, que
los datos pueden ser
acceder de forma asíncrona y de inmediato cuando una consulta se recibe. Basado en archivos
de zona
los datos sólo se puede acceder a través de una lectura secuencial de archivos y toma más
tiempo
Cuandopara accederDNS
el servidor a se inicia, se identifican todas las zonas se va a cargar, carga de
de datos de AD DS.
sugerencias de raíz de
archivos o almacenamiento de AD DS, las cargas de cualquier zona de respaldo de archivos, y
empieza a responder a las preguntas
y las llamadas a procedimiento remoto (RPC) durante el uso de procesos en segundo plano
(adicionales
Si un cliente solicita datos DNS de un host en una zona que ya ha sido cargado, el
subprocesos del procesador) para cargar las zonas que se almacenan en AD DS.
Servidor DNS responde cuando sea necesario. Si la solicitud es para obtener información que
todavía no ha
ha cargado en memoria, el servidor DNS lee los datos necesarios de AD DS de manera que
la solicitud se pueden cumplir.
NOTA Zona de carga de fondo en la práctica

Carga de fondo la zona es una mejora a las anteriores versiones de Windows DNS, pero en la práctica
Sería muy raro que una gran organización para tener un servidor DNS el servicio a sus peticiones.
Si un servidor primario fue de reiniciar, las solicitudes de DNS normalmente ser respondidas por otros activos
Integrada en el directorio de los servidores DNS o servidores secundarios. El efecto de la carga de fondo en
la práctica es que un servidor DNS se reinicia en línea más rápida de compartir la carga de satisfacer
solicitudes de los clientes.
Consulta Rápida
■ ¿Qué registro DNS permite un nombre de host que se resuelve en una dirección
IPv6?
■ AAAA
El apoyo a los RODC

Un RODC proporciona una copia de sólo lectura de un controlador de dominio y no pueden ser
directamente
configurado. Esto hace que sea menos vulnerable a ataques. Microsoft recomienda el uso de
los RODC
lugares
Windows donde no2008
Server se puede garantizarcon
es compatible la seguridad física
primario de sólode un controlador
lectura de dominio.
zonas (a veces llamada rama
zonas de oficinas). Cuando un servidor Windows Server 2008 se configura como un RODC que
la réplica de una copia de sólo lectura de todas las particiones de Active Directory que utiliza
DNS, incluyendo
la partición de dominio, ForestDNSZones y DomainDNSZones. Un administrador
Puede ver el contenido de una primaria de sólo lectura de zona, pero puede cambiar el
contenido sólo
al cambiar la zona de DNS en el controlador de dominio principal.
Uso de la Zona DNS GlobalNames
WINS utiliza NetBIOS sobre TCP / IP (NetBT), que Microsoft describe como se acerca
obsolescencia. No obstante, ofrece registros estáticos globales con los nombres de etiqueta
única
y sigue siendo ampliamente utilizado. Windows Server 2008 DNS introduce el GlobalNames
zona para mantener una sola etiqueta nombres. Normalmente, el ámbito de replicación de esta
zona es el
bosque entero, lo que garantiza que la zona puede proporcionar los nombres de etiqueta única
que se
único en el bosque. La zona GlobalNames también es compatible con una sola etiqueta el
nombre de resolución
ción de una organización que contiene varios bosques, siempre que se utilicen
Ubicación de servicios (SRV) de los recursos para publicar la ubicación de la zona
GlobalNames.
La
Esto zona GlobalNames
permite proporcionadeshabilitar
a las organizaciones una sola etiqueta
WINS ydeNetBT,
resolución de nombres para
que probablemente noun
será
conjunto limitado de acogida
apoyado en el futuro servidor del sistema operativo.
nombres, por lo general de gestión centralizada servidores corporativos y sitios Web, y no se
utiliza
para la resolución de nombres peer-to-peer. Estación de trabajo cliente de resolución de
nombres y dinámica
actualizaciones no son compatibles. En cambio, la zona GlobalNames tiene recursos CNAME
registros para asignar un nombre de etiqueta única a un nombre de dominio completo (FQDN).
En red
obras que se están utilizando WINS, la zona GlobalNames generalmente contiene
los registros
Microsoft de recursos
recomienda quepara los nombres
integran la zona de gestión centralizada
GlobalNames con AD DS que
y ya están configurados
de forma estática
que se configure cada servidor DNS autorizado con una copia local de la-Global
en el servidor
Nombres de laWINS.
zona. Esto proporciona el máximo rendimiento y escalabilidad. AD DS
integración
de la zona GlobalNames se requiere para apoyar el despliegue de la GlobalNames
zona a través de varios bosques.
El apoyo a las direcciones IPv6

Windows Server 2008 DNS es compatible con direcciones IPv6 en todo lo que es compatible
con IPv4
direcciones. Registro de las direcciones IPv6 de forma dinámica y puede crear un registro
AAAA (cuádruple A)
anfitrión de registro para cualquier ordenador de la red cuyo sistema operativo no apoyo
puerto de registro dinámico. Se pueden crear zonas de búsqueda inversa IPv6. Configurar
un registro AAAA y crear una zona de búsqueda inversa IPv6 en la sesión de tarde
en esta lección.
IPv6 Búsqueda Inversa
MÁS INFORMACIÓN
Para obtener más información acerca de IPv6 zonas de búsqueda inversa, e información adicional sobre una amplia gama de
amplia gama de temas de IPv6, consulte http://www.microsoft.com/technet/network/ipv6/ipv6faq.mspx.
La dnscmd herramienta línea de comandos acepta direcciones en formato IPv4 e IPv6.

Windows Server 2008 los servidores DNS pueden enviar consultas recursivas a IPv6-sólo los
servidores,
y un servidor DNS forwarder lista puede contener tanto direcciones IPv4 e IPv6. DHCP
los clientes pueden registrar direcciones IPv6, además de (o en lugar de) las direcciones IPv4.
Win-
dows Server 2008 los servidores DNS del espacio de nombres de dominio de apoyo para
revertir ip6.arpa
cartografía.
Consulta Rápida
■ ¿Qué característica tiene DNS de Windows Server 2008 que le ayudará a introducir
organizaciones de eliminar WINS y NetBT?

■ La zona GlobalNames
Planificación de una infraestructura

DNS Como una red profesional es casi seguro que han trabajado con DNS y saber
que en un sistema dinámico de DNS mayoría de hosts y servidores de registro de su anfitrión
(A)
automáticamente, y usted puede configurar DHCP para crear registros de DNS cuando se
asigna
configuraciones. En comparación con el legado de DNS estático, donde los registros
necesarios para ser
agregar manualmente (de ahí la popularidad de WINS), DNS dinámico requiere muy poco
configuración manual. Es posible que haya creado IPv4 zonas de búsqueda inversa, y en el
sesión de práctica más adelante en este capítulo va a crear una zona de búsqueda inversa
IPv6.
Sin embargo, puede que no tenga experiencia en la planificación de una infraestructura DNS. A
medida que
avanzar en su profesión, descubrirá que la planificación tiene mucho de
su tiempo, y la guía del examen 70-646 menciona específicamente a las tareas de planificación
llevado a cabo y las decisiones tomadas por los administradores del servidor. Por lo tanto,
necesidad de con-
Sider el proceso de planificación de una infraestructura DNS.
La planificación de un espacio de
nombres DNS
Por lo general, la planificación y la definición de un espacio de nombres DNS será una tarea
para una empresa
administrador. Sin embargo usted debe saber las opciones disponibles para que usted pueda
de manera más eficiente planear la implementación de las decisiones tomadas a nivel de
empresa.
Si utiliza un espacio de nombres DNS para fines exclusivamente internos, el nombre no tiene
por qué
cumplen con el estándar definido en el RFC 1123, "Requisitos para hosts de Internet-
Aplicación y soporte ", RFC 2181," Aclaraciones a la Especificación de DNS ", y
el conjunto de caracteres especificado en el RFC 2044, "UTF-8, un formato de transformación
de Unicode
y la ISO 10646. "El espacio de nombres contoso.internal ha configurado en su prueba
la red es un ejemplo de este tipo de espacio de nombres.
Sin embargo, si es necesario especificar un espacio de nombres corporativos que se empleen
habitualmente en Internet, que
debe ser registrado ante la autoridad competente y conforme a las correspondientes
RFC normas, tales como treyresearch.com o tailspintoys.co.uk. La mayoría de las
organizaciones han
tanto una privada y una red pública. Puede implementar la infraestructura de DNS
utilizando uno de los siguientes esquemas:
■ Puede utilizar un espacio de nombres corporativos, tanto para el interior y exterior
(Internet)
porciones de la red. Este es sin duda el espacio de nombres más sencillo
configuración para implementar y proporciona acceso a tanto internos como externos
los recursos. Sin embargo, es necesario asegurarse de que los registros pertinentes se
almacenados en los servidores DNS internos y externos y que la seguridad de su
red interna está protegida.
■ Puede utilizar los espacios de nombres para identificar los delegados internos de su
organización
de la red. Por ejemplo, Trey Research podría tener el espacio público
treyresearch.com y el espacio de nombres privado intranet.treyresearch.com. Esto se
ajusta
perfectamente con la estructura de Active Directory y se implementa fácilmente si se
utiliza activos
Integrado de directorio DNS. Los clientes internos deben ser capaces de resolver externo
las direcciones del espacio de nombres, pero los clientes externos no deberían ser
capaces de resolver interna
espacio de direcciones. Todos los datos de dominio interno se encuentra aislada en el
árbol de dominio
y requiere su propia infraestructura de servidores DNS. Un servidor DNS interno se
transmitir las peticiones de una dirección de espacio de nombres externo a un servidor

DNS externo.
La desventaja de la delegación del espacio de nombres es que pueden volverse muy
FQDN
mucho tiempo. La longitud máxima de un FQDN es de 255 bytes. FQDN para los países
■ en desarrollo
Puede utilizarson limitados de nombres separados por espacios de nombres externos e
los espacios
a 155 bytes.
internos,
tal como tailspintoys.com y tailspintoys.private. Esto mejora la seguridad de ISOLAT-
ción de los dos espacios de nombres de los demás y la prevención de los recursos
internos de
estar expuesto directamente a la Internet. Las transferencias de zona no es necesario que
se per-
formado entre los dos espacios de nombres, y se mantiene el actual espacio de nombres
En lasDNS
redes de Active Directory, puede obtener grandes beneficios mediante la especificación
de activos
sin cambios.
Integrado de directorio DNS. No al menos de estos beneficios es que la información de la zona
DNS es
replican automáticamente a través de la replicación de Active Directory. Puede implementar
secundaria zonas DNS en los servidores de DNS de BIND o que no tiene que ser parte del
activo
Estructura de directorios. Por ejemplo, los servidores DNS en las zonas periféricas son
frecuentes
servidores independientes. Implementación de Active Directory en la red juega un
papel crítico en la determinación de cómo los dominios deben ser creados y anidados dentro de
cada
Usted puede particionar el espacio de nombres DNS por su ubicación geográfica, por
otros. Usted puede crear fácilmente zonas delegadas. Por ejemplo, puede utilizar
departamento o por
engineering.tailspintoys.com más bien que tailspintoys.com / ingeniería.
ambos. Por ejemplo, si Trey Research tiene varios lugares, pero sólo un ser humano único
Los recursos del departamento ubicado en la oficina central, se puede utilizar el espacio de
nombres
hr.treyresearch.com. Si Tailspin Toys tiene una oficina principal en Denver y facil de fabricación
dades en Boston y Dallas, podría configurar espacios de nombres denver.tailspintoys.com,
boston.tailspintoys.com, y dallas.tailspintoys.com. Se pueden combinar los dos sistemas:
maintenance.dallas.tailspintoys.com. Si le preocupa que el diseño de instrumentos
los niveles jerárquicos de más, usted puede elegir en lugar de utilizar Active Directory organiza-
unidades internacionales (OU), como dallas.tailspintoys.com / mantenimiento.
La planificación del tipo de zona

Redes de Active Directory suelen utilizar Active Directory para las zonas integradas interna
de resolución de nombres. En este caso la información de zona DNS se lleva a cabo en países
en desarrollo en la escritura
dominio (por lo general todos los permisos de escritura CD). Este ofrece las ventajas de Active
Directory
replicación, failover, si una CC baja, y una mayor disponibilidad a través de una multi-
maestro de acuerdo. Las zonas principales estándar instalado en Windows independiente
servidores pueden ser utilizados en una escritura del servidor DNS es necesario, pero el
acceso a los activos
Base de datos de directorio es visto como un riesgo de seguridad.
Las dos zonas principales integradas en Active Directory y estándar puede proporcionar la zona
información a nivel secundaria las zonas DNS. En Windows Server 2008 las redes,
Las zonas DNS secundario (con características especiales que se describen en el capítulo 3,
"Active Directory
y Directiva de grupo ") pueden ser implementadas en los RODC. Localización de un DNS
secundario
servidor en una ubicación remota puede mejorar significativamente la velocidad de resolución
de nombres en
ese lugar. Los servidores secundarios zona de aumentar la redundancia por su nombre
demostrando resolución
ción, aunque el servidor no responde zona primaria. Los servidores secundarios zona también
reducir la carga en los servidores primarios de distribución de las solicitudes de resolución de
nombres entre los
más servidores DNS. Un servidor de zona secundaria, no tiene por qué ser parte del activo
Dominio de Active Directory (excepto en el caso de los RODC) y se pueden instalar zonas
Planificación
secundarias de DNS de reenvío
en
Un la no-servidores
reenviador DNS Windows.
acepta enviado búsquedas recursivas de otro servidor DNS y
luego se resuelve la solicitud de que el servidor DNS. Por ejemplo, un servidor DNS local puede
adelante las consultas DNS a un servidor central DNS que tiene autoridad para un DNS interno
la zona. Si el servidor de reenvío no recibe una resolución válida del servidor de
que remite la solicitud, los intentos de resolver la petición en sí, a menos que sea una
servidor subordinado. Servidores subordinados no tratar de resolver una solicitud de resolución
si
no recibe una respuesta válida a una petición enviada DNS. Normalmente subordinación
Nate servidores se utilizan en combinación con conexiones seguras de Internet.
Windows Server 2003 introdujo el reenvío condicional, que se describe anteriormente en este
lección, y esto puede ser usado en Windows Server 2008. Usted debe planear el uso condi-
forwarders internacionales si, por ejemplo, desea que las solicitudes hechas por el nombre
interno de resolución
ción para ser enviados a un servidor DNS interno que almacena las zonas DNS, y quiere
peticiones de resolución de nombres de dominios de Internet que se enviará a la Internet donde
se
pueden ser satisfechas a través de la recursividad. También puede utilizar el reenvío
condicional en un
extranet donde las peticiones de resolución que especifique los dominios en la extranet pueden
ser enviados a
DNS autorizados para la zona DNS correspondiente al dominio, y los servidores
peticiones para la resolución de nombres externos a la extranet se pueden enviar a la Corte
Interamericana
Examen
net para Consejo
El reenvío de peticiones DNS requiere que el servidor DNS es capaz de hacer recursivo
la resolución recursiva.
consultas. Respuestas de examen que sugieren que se debe configurar el reenvío y desactivar
recursión se puede eliminar como sea posible las respuestas correctas.
Un escenario típico de DNS de reenvío puede especificar un servidor DNS que está autorizado
a
consultas hacia adelante a los servidores DNS fuera del firewall corporativo. Esta
implementación
permite que el firewall esté configurado para permitir el tráfico DNS sólo de esta DNS específico
servidor, y para permitir que sólo respuestas válidas al servidor DNS para entrar en el área
protegida
de la red. Al utilizar este enfoque, todos los demás DNS tráfico entrante y saliente-
se puede quitar en el firewall. Esto mejora la seguridad general de la red y
el servicio de DNS.
Práctica: Configuración de DNS
En esta práctica se configura un registro estático AA AA y una inversa IPv6
Zona de búsqueda.
Ejercicio 1: Configuración de un registro AAAA

El servidor independiente de Brisbane tiene un sistema operativo que no se puede registrar en
Windows Server 2008 DNS. Por lo tanto, necesidad de crear un manual de registro AAAA para
esta
servidor. Su dirección IPv6 es fec0: 0:0: fffe:: aa.
1. Inicie sesión en el controlador de dominio con la cuenta kim_akers.
2. En Herramientas administrativas, abra el Administrador
de DNS.
3. Si un cuadro de diálogo UAC aparece, haga clic en
Continuar.
4. En el Administrador de DNS, expanda Zonas de búsqueda. Haga clic derecho en
contoso.internal
y seleccione Host nuevo (A o AAAA).
5. Introduzca el nombre del servidor y la dirección IPv6, como se muestra en la figura 2.31.
Asegúrese de que
Crear puntero asociado (PTR) no está seleccionada.
Figura 2-31 Especificación de un registro de host DNS

6. Haga clic en Agregar host. Haga clic en Aceptar para cerrar el

cuadro de mensaje de DNS.
7. Haga clic en Hecho. Asegúrese de que el nuevo disco que existe en el
Administrador de DNS.
8. Cierre el Administrador de
DNS.
9. Cierre la sesión en el controlador de
dominio.
Ejercicio 2: Configuración de una zona de búsqueda inversa
IPv6
En el ejercicio anterior no se podía crear un registro PTR asociado por un revés
Zona de búsqueda no existía. En este ejercicio se crea una zona de búsqueda inversa IPv6
para
todos los sitios locales de las direcciones IPv6, es decir las direcciones que comienzan con
fec0. A continuación, cree un PTR
registro de la zona. Tenga en cuenta que en IPv6, las direcciones de zona de búsqueda inversa
se introducen como
1. Si es
orden necesario,mordiscos,
inverso-4-bit inicie sesión
porenloelque
controlador de dominio
se convierte en fec0 con
0.cefla cuenta kim_akers.
2. Haga clic en Inicio. Haga clic derecho en Símbolo del sistema y seleccione Ejecutar
como administrador.
3. Si un cuadro de diálogo UAC aparece, haga clic en
Continuar.
4. Entrar dnscmd glasgow / ZoneAdd 0.cefip6.arpa / DsPrimary. Figura 2-32
muestra que la zona se ha creado correctamente. Cierre la consola de comandos.
Figura 2-32 Creación de una zona de búsqueda inversa IPv6
5. Abra el Administrador de DNS en Herramientas administrativas. Si un cuadro de diálogo

UAC aparece, haga clic en
Continuar.
6. Expanda Zonas de búsqueda. Seleccione contoso.internal.
7. Haga clic con el registro AAAA para Glasgow y luego haga clic en
Propiedades.
8. Seleccione Actualizar asociados puntero (PTR) como se muestra en la Figura 2-33.
Haga clic en Aceptar.
Figura 2-33 La creación de un registro PTR
9. Expanda Zonas de búsqueda y seleccione 0.cefip6.arpa. Asegúrese de que el PTR

récord de Glasgow existe, como se muestra en la Figura 2-34.
Figura 2-34 El registro PTR para Glasgow
10. Cierre la sesión en el controlador de

dominio.
■ La función de servidor DNS en Windows Server 2008 cumple con todos los estándares
actuales-
normas y puede trabajar con éxito con la mayoría de las implementaciones del servidor
■ Windows Server 2008 DNS es dinámico y por lo general requiere de muy poco estática
DNS.
de configuración. Puede utilizar el Administrador de DNS GUI o CLI como herramientas
dnscmd,
nslookup, ipconfig y netsh para configurar y administrar DNS.
■ Nuevas funciones de Windows Server 2008 DNS incluyen la carga de fondo la zona,
apoyo a los RODC, y la zona GlobalNames DNS. Windows Server 2008
DNS es totalmente compatible con IPv6 de búsqueda directa y zonas de búsqueda
inversa.
Use las siguientes preguntas para poner a prueba su conocimiento de la información de la
Lección 2,
"Configuración de DNS." Las preguntas también están disponibles en el CD si
prefieren revisar en forma electrónica.
NOTA Respuestas
1. Desea crear una zona de búsqueda inversa IPv6 que contiene registros PTR para
ordenadores con direcciones IPv6 en el fec0:: eefd/64 subred. El servidor DNS se llama
Denver y también es un controlador de dominio. DNS de su dominio es AD DS
integrado. Puede utilizar Escritorio remoto para conectarse a Denver y ejecutar el
Consola de comandos como administrador. ¿Qué comando se introduce la creación de
la zona de búsqueda inversa?
A. dnscmd denver / ZoneAdd dfee0.0.0.0.0.0.0.0.0.cefip6.arpa / Primaria

B. dnscmd denver / ZoneAdd dfee0.0.0.0.0.0.0.0.0.cefip6.arpa / DsPrimary
C. dnscmd denver / ZoneAdd dfee0.0.0.0.0.0.0.0.0.cefin-addr.arpa / Primaria
D. dnscmd denver / ZoneAdd fec0:: eefd/64.ip6.arpa / DsPrimary
2. Quiere una lista de todos los registros DNS en el dominio adatum.internal. Se conecta
en el servidor DNS Edinburgh.adatum.internal mediante Escritorio remoto y
abrir la consola de comandos. Usted entra en nslookup. En el nslookup> en la pantalla
que introduzca ls-d adatum.internal. Un mensaje de error que dice que los datos de zona
no se puede cargar a esa computadora. Que conoce todos los registros DNS en el
dominio
existen en Edimburgo. ¿Por qué no se muestra?
A. Usted no ha configurado la zona de búsqueda directa de adatum.internal
permitir transferencias de zona.
B. Tiene que ejecutar la consola de comandos como administrador para el uso nslookup.
C. Usted debería haber entrado nslookup ls-d adatum.internal directamente desde
el símbolo del sistema. No se puede utilizar la ls función de la nslookup>
del sistema.
D. Tienes que iniciar sesión en el servidor DNS de forma interactiva para el uso nslookup.
Puede-
no lo use más de una conexión a Escritorio remoto.
3. Un usuario intenta acceder al sitio Web interno de la empresa desde un equipo cliente, pero
no puede hacerlo debido a un problema de red. A solucionar el problema de la red, pero
El usuario no puede acceder al sitio Web, aunque puede llegar a otros sitios Web.
Los usuarios de otros equipos cliente no tienen ningún problema de llegar a la Web interno
sitios. ¿Cómo se puede resolver rápidamente la situación?
A. Crear un registro de host estática para el servidor Web local de DNS.

B. Ejecutar ipconfig / flushdns en el servidor DNS primario.
C. Ejecutar ipconfig / registerdns en el ordenador del usuario.
D. Ejecutar ipconfig / flushdns en el ordenador del usuario.

A fin de practicar y reforzar las habilidades que aprendió en este capítulo, se puede
realizar las siguientes tareas:

real involv-
práctica.

■ IPv6 es totalmente compatible con Windows Server 2008 y se instala por defecto.
Es compatible con unicast, multicast y anycast direcciones. Es compatible con versiones
anteriores
con IPv4 y ofrece una selección de las estrategias de transición.
■ Las direcciones IPv6 se pueden configurar a través de estado y configuración sin estado.
GUI y CLI herramientas están disponibles para configurar y verificar redes IPv6
conectividad.
■ Windows Server 2008 DNS es totalmente compatible con IPv6, además de ofrecer varias
características nuevas y mejoradas. Se ajusta a todas las normativas vigentes. GUI y CLI
herramientas están disponibles para configurar el DNS y la funcionalidad de
comprobación de DNS.
Términos clave
■ Espacio de dirección
■ Anycast direcciones
■ BootP habilitado
■ Zona de búsqueda directa
■ Dirección de multidifusión
■ Zona de búsqueda inversa
■ Agregación de rutas
■ Alcance
■ Dirección unicast
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de función
personalizables-
ción de conectividad de red. Usted puede encontrar respuestas a estas preguntas en la sección
"Respuestas"
sección al final de este libro.
Caso Escenario 1: Implementación de la conectividad IPv6
Usted es un administrador de red senior de Wingtip Toys. Su empresa intranetwork
consta de dos subredes con las redes IPv4 privadas contiguas configurado como Virtual
Redes de área local (VLAN) conectado a un conmutador de capa 3. Wingtip Toys accesos
su ISP e Internet a través de un Internet Security dual-homed y aceleración
(ISA) Server que proporciona servicios de NAT y firewall y se conecta a través de un periférico-
zona de periféricos a un firewall de hardware y por lo tanto a su ISP. La compañía quiere imple-
ción conectividad IPv6. Todo el hardware de red compatible con IPv6, al igual que el ISP.
Conteste las siguientes preguntas:
1. ¿Qué opciones están disponibles para el tipo de dirección unidifusión utilizados en las
subredes?
2. Teniendo en cuenta que la red de Wingtip Toys puede soportar IPv4 e IPv6, lo que es
la transición más sencilla estrategia?
3. Usted decide utilizar configuración con estado para asignar la configuración de IPv6 en la
dos subredes. ¿Cómo se debe configurar los servidores para proporcionar DHCPv6
protección de conmutación por error?
Caso Escenario 2: Configuración del DNS

Que administrar el Windows Server 2008 AD DS red de Blue Yonder Airlines. Cuando
la compañía ha actualizado a Windows Server 2008 también introdujo integradas en AD DS
DNS, aunque dos servidores BIND todavía se utilizan como servidores secundarios DNS.
Responder a las
las siguientes preguntas:
1. Blue Yonder ha establecido puntos de acceso inalámbricos para la comodidad de sus
clientes.
Sin embargo, la administración le preocupa que los atacantes podrían tratar de registrar
sus equipos en el DNS de la empresa. ¿Cómo puede asegurarse contra esto?
2. Su jefe es consciente de la necesidad de replicar zonas DNS a los dos independientes
Servidores BIND. A ella le preocupa que un atacante podría intentar replicar DNS
zona de información a un servidor no autorizado, lo que expone a los nombres y las IP

direcciones de las computadoras de la compañía. ¿Cómo tranquilizarla?
3. Para mayor seguridad Blue Yonder RODC usa en los lugares de las ramas. Gestión
ción le preocupa que la información de la zona DNS en estos equipos se mantiene al
fecha. ¿Qué información puede proporcionar?
4. Blue Yonder quiere usar una aplicación que necesita para resolver direcciones IPv6 a
los nombres de host. ¿Cómo se implementa esta funcionalidad?
realizar las siguientes tareas.
Configurar la conectividad IPv6

¿Es la Práctica 1 y Práctica 2. Práctica 3 es opcional.
■ La netsh
Práctica 1: Investigar los comandos estructura de mando proporciona
Netsh
que con muchos comandos de gran alcance. En particular, utilizar la función de ayuda en
el
Comando de consola para investigar la netsh interface ipv6 set, netsh interface ipv6
añadir, y netsh interface ipv6 show comandos. También investigar la netsh dhcp
comandos.
■ Utilizar
Práctica 2: Obtenga más información sobre DHCPv6 el DHCP
Alcance y opciones de servidor
herramienta administrativa a la lista el ámbito DHCP y opciones de servidor. Tener acceso
a Windows
Ayuda Server 2008 e Internet para obtener más información sobre estas opciones. En el
proceso que debe aprender algo acerca de la integración de servicios de red (NIS)
las redes. Aunque el examen 70-646 objetivos no cubren NIS,
debe, como profesional de la red, sabe lo que es.
■ Si usteddetiene
Práctica 3: Prueba de DHCPv6 Asignación acceso a otros ordenadores
direcciones
con adecuados sistemas operativos cliente, los conectan a la red y
configurarlos para obtener la configuración IPv6 de forma automática. Asegúrese de que
el
DHCPv6 alcance que ha configurado proporciona la configuración de los ordenadores-
ERS. Asegúrese de que el anfitrión de direcciones IPv6 configuradas caer fuera del rango
fec0: 0:0: fffe:: 1 a fec0: 0:0: fffe:: ff, que incluye las direcciones IPv6 para el
Glasgow y computadoras Melbourne.
Configurar el DNS
Hacer las dos prácticas en esta sección.
■ Práctica 1: Utilizar lasSe necesitaría
herramientas de un
la libro entero para hacer justicia a la
CLI
nslookup, dnscmd, ipconfig, y netsh herramientas. La única manera de familiarizarse con
estas herramientas es que los utilizan.
■ Este de
Práctica 2: Configuración de IPv6 Zonas procedimiento fue descrito
búsqueda inversa
anteriormente en esta lección. IPv6 Especificación de zonas de búsqueda inversa en el
DNS puede ser un
propenso a errores procedimiento debido a la forma en que los prefijos se especifican.
Usted
se sienten cómodos con esta notación sólo a través de la práctica.
Tomar un examen de
práctica
prueba en todos los
70-646 certificación de contenido del examen. Puede configurar la prueba para que se simula
la experiencia de tomar un examen de certificación, o se puede configurar en el modo de
estudio para
que se puede ver en las respuestas correctas y explicaciones después de cada respuesta
cuestión.
MÁS INFORMACIÓN
Para obtener más información acerca de todas las opciones de la práctica de prueba disponibles, vea la sección "Cómo utilizar
las pruebas de la práctica"
sección en la introducción de este libro.
Capítulo 3
Active Directory y Group Policy

Este capítulo examina Active Directory y, específicamente, el dominio de Active Directory
Servicios (AD DS). Se analizan las nuevas características y mejoras introducidas por
Windows Server 2008 y cómo se implementa la directiva de grupo en AD DS. El enfoque de la
del capítulo es la planificación en lugar de la ejecución. Usted aprenderá a utilizar el gráfico-
iCal interfaz de usuario (GUI) y herramientas de línea de comandos (CLI). Sin embargo, la
mayoría de los
consideración importante no es la forma de realizar cambios de configuración, pero ¿por qué y
cuando. A medida que avance en la carrera elegida, se gastan más tiempo y más
la planificación en lugar de configurar.

■
Planificar e implementar la estrategia de directiva
de grupo.
■ Lección 1: Windows Server 2008 Active Directory. . . . . . . . . . . . . . . . . . . . . . . 134
■ Lección 2: Directiva de grupo en Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . 170
Antes de empezar
■ Windows Server 2008 instalado y configurado su equipo de prueba como un dominio con-
controlador (DC) en el dominio Contoso.internal como se describe en la introducción
y en el capítulo 1, "Instalación, actualización e implementación de Windows Server 2008."
También se necesita un PC cliente con Windows Vista Business, Enterprise o Ulti
compañero que es un miembro del dominio Contoso.internal. Esto puede ser un PC
independiente
o una máquina virtual instalada en el mismo PC que el DC.
131
132 Capítulo 3 Active Directory y Group Policy
Mundo Real
Ian McLean
Active Directory ha estado alrededor por algún tiempo. Como profesional de la red que
estará familiarizado con las tareas de administración de Active Directorio de la mayoría de
dominio y
con herramientas como usuarios y equipos que permiten llevarlas a
a cabo. Incluso los usuarios corporativos relativamente sencillos podría haber oído hablar
de activos
Directorio, y saben que si se olvidan sus contraseñas o necesidad de permisos
en una carpeta, un administrador haga algo mágico en el directorio.
Sin embargo, a veces podría ser llamado a explicar "el Active Directory
Lo "a los usuarios con poco conocimiento de, o interés en los aspectos técnicos de
la creación de redes. Estos usuarios suelen ser directivos que no se puede ver por qué
todos los equipos
en la organización no sólo se pueden vincular entre sí (algunos pueden incluso haber oído
de grupos de trabajo) y por qué necesita los controladores de dominio y otros servidores
que, como
medida en que se trate, en realidad no hacer nada.
Me parece que una buena manera de explicar la estructura de directorios es el uso de la
analogía de la
una biblioteca. Un sistema de archivos planos, como el implementado por Windows NT4,
es el
equivalente de almacenar todos los libros en un montón en el suelo. Si el lector quiere leer
un libro en particular, tiene que verlos uno a uno hasta que el libro se encuentra.
Una estructura de directorio, por el contrario, es el equivalente a tener los libros
en los estantes de librería, en orden alfabético por el nombre del autor, y las bibliotecas de
la
se
Así,encuentra
si quería en las partes
encontrar designadas
un libro de la
de historia biblioteca.
que se vería en no ficción, encontrar la su-
historia estantes para libros y localizar fácilmente el volumen. En una gran biblioteca, las
librerías
podría subdividirse en (por ejemplo) la historia antigua, American his-
historia, la historia europea, y así sucesivamente.
Incluso de manera más eficiente, podría consultar el índice de la biblioteca y encontrar
exactamente lo que
estante tiene un libro que estoy buscando. Yo pude ver un mapa de la distribución de la
biblioteca y
determinar la ubicación física de esa plataforma. Esto es (aproximadamente) la función
del esquema de Active Directory. Usted puede extender la analogía para describir
habitaciones
en la biblioteca que contienen materiales especializados (unidades organizativas).
Especialista
investigadores que se sientan en estas habitaciones y leer los libros se encuentra allí.
Usted podría
tienen las políticas de acceso a las habitaciones de especialistas que difieren de las que
se aplican a
la biblioteca principal. Usted podría tener una persona que controla el acceso a los
materiales dentro
una sala específica, pero no tiene autoridad en otras habitaciones o en la biblioteca
principal.
Antes de empezar 133
Por último, y lo más importante, una biblioteca ordenada, como un directorio ordenado
estructura
tura, se han definido y regulado de forma central las políticas de seguridad. En la libre-
para-todos
montón de libros en el suelo, cualquiera puede acceder a cualquier libro, escriba en la
hoja de guarda, y
incluso deciden a lanzar el libro. En un sistema de organización centralizada, leer, escribir,
Por supuesto,
y modificar los la analogíapueden
derechos no es perfecta, pero lo hecontroladas.
ser estrictamente utilizado con éxito para
varios años.
Lección 1: Windows Server 2008 Active Directory

El propósito de esta lección no es para describir las funciones básicas de Active Directory.
Como profesional experimentado de la red que usted debe saber cómo agregar usuarios y
grupos, asignar derechos y permisos, y utilizar la función Buscar de AD. Si no es así, estos
temas se describen adecuadamente en los archivos de ayuda, en libros blancos, y en muchos-
Excel
prestado publicaciones. El objeto de esta lección es describir la nueva y mejorada
características de Windows de servidor de AD DS y para discutir los aspectos de planificación
de AD DS
implementación. Es bastante fácil para elevar el nivel funcional de dominio. Saber cuándo
y si debe hacerlo es otra cuestión, sobre todo porque no se puede revertir
el proceso, excepto por la restauración de la copia de seguridad o reinstalar el sistema
operativo.
Es poco probable que implementar varios dominios en la red de prueba pequeña, y esto
libro no le pide que lo haga. Que tienen aún menos probabilidades de crear varios bosques.
Sin embargo, la planificación de los niveles funcionales de bosque y las confianzas de bosque
son tareas que
se le puede pedir para llevar a cabo en la administración de una gran red corporativa. La
lección
por lo tanto, abarca los procesos de planificación en las operaciones entre bosques.
■ Enumerar y describir las nuevas características y funciones en el Activo de Windows Server 2008
Directory Domain Services (AD DS).
■ Planificar y configurar niveles funcionales de dominios.
■ Niveles del plan funcional del bosque.
■ Plan de las confianzas de
■
bosque.
Utilice el servidor de directorio.
La introducción de Windows Server 2008 Directorio de funciones de

servidorPuede utilizar un controlador de dominio con Windows Server 2008 AD papel de servidor DS (a
veces
conocida como la función de servidor de directorio) instalado para administrar usuarios,
ordenadores, impresoras o
aplicaciones en una red. AD DS presenta las siguientes características que le permiten
implementar
■ de manera más simple y segura y para administrar de manera más eficiente:
De sólo lectura los controladores de dominio AD DS introduce sólo lectura los controladores de
dominio
(RODC) que acogen a particiones de sólo lectura de la base de datos de Active Directory.
Puede
uso RODC donde la seguridad física no se puede garantizar, como en la sucursal
ubicación de las oficinas o en el almacenamiento local de contraseñas de dominio se
considera
Lección 1: Windows Server 2008 Active Directory 135
una amenaza primaria (en extranets o en una función de aplicación de cara, por ejemplo).
Usted
puede delegar la administración de RODC a un usuario de dominio o grupo de seguridad
y puede
por lo tanto, el uso RODC en lugares donde un administrador local no es miembro de
■ el grupo Administradores de dominio.
Windows
Herramientas nuevas y mejoradas Server
y los 2008 AD DS también intro-
asistentes
duce un asistente de instalación de AD DS y mejora la administración de Microsoft
Console (MMC) en las herramientas de interfaz gráfica de usuario que la gestión de
usuarios y recursos. Por ejem-
Por ejemplo, el Asistente para la instalación de AD DS permite especificar si se va a
instalar
un DC grabable o un RODC. Si va a instalar el primer caso, se puede especificar el
Política de replicación de contraseñas para que el DC para determinar si se permite una
RODC para extraer información de credenciales de usuario.
■ Windows
De grano fino, las políticas Server 2008 AD DS permite aplicar dife-
de seguridad
diferentes políticas de contraseña y bloqueo de cuentas de usuarios y grupos globales de
seguridad en
el mismo dominio, lo que reduce el número de dominios que necesita para administrar.
■ Reiniciable ADUsted
DS puede detener y reiniciar AD DS. Esto le permite realizar en línea
operaciones tales como la desfragmentación de los objetos de Active Directory sin
necesidad de reiniciar un DC en dicho modo.
■ Puede
AD DS herramienta utilizar
de minería de la herramienta de AD DS minería de datos para ver los datos
datos
de AD
almacenados en las instantáneas en línea, comparar los datos de instantáneas que se
toman en diferentes
veces, y decidir qué datos se deben restaurar, sin tener que reiniciar el DC.
NOTA Restaurar los objetos eliminados y contenedores
No se puede utilizar la herramienta de AD DS minería de datos para restaurar los objetos eliminados directamente y contenedores.
Usted
Se utiliza para ver los datos de instantáneas y la necesidad de realizar la recuperación de datos como un paso posterior. Sin
embargo,
ya no es necesario para restaurar a partir de varias copias de seguridad para encontrar los datos que desea.
■ Puede utilizar el nuevo servicio de directorio Cambios de auditoría
Mejoras en la auditoría
subcategorías de la directiva cuando la auditoría de Windows Server 2008 AD DS. Esto le
permite
registro de valores antiguos y nuevos, cuando se realizan cambios en los objetos de AD
DS y sus
atributos. También puede utilizar esta nueva función al Directorio Activo de auditoría
Servicios de directorio ligero (AD LDS).
AD LDS
MÁS INFORMACIÓN
Para obtener más información acerca de AD LDS, consulte http://technet2.microsoft.com/windowsserver2008/en/

servermanager / activedirectorylightweightdirectoryservices.mspx y seguir los enlaces.
RODC
En las organizaciones que utilizan Windows Server 2003 (o antes) los dominios, los usuarios a
distancia
sucursales suelen autenticar con un DC en la oficina central a través de una amplia zona
de red (WAN). Esto está lejos de ser ideal y puede causar demoras. Si WAN
los usuarios se interrumpe la conectividad no son capaces de iniciar la sesión.
Sin embargo, desde un punto de vista de seguridad, la tala de más de una WAN es preferible a
tener
un DC puede escribir en un lugar pequeño donde la seguridad física no se puede garantizar.
Por otra parte,
se trata de un mal uso de los recursos administrativos escasos para localizar a un
administrador de dominio en
una sucursal pequeña, y la administración de un DC remota a través de una WAN puede ser un
tiempo y tarea frustrante, especialmente si la oficina está conectada a
Windows Server
un sitio central 2008
con soluciona
ancho estebajo.
de banda problema mediante la introducción en el RODC. RODC
ofrecer una mayor seguridad, mejores tiempos de inicio de sesión, y un acceso más eficiente a
locales
los recursos. RODC se puede delegar la administración a los usuarios o grupos que no tienen
derechos administrativos en el dominio.
Usted también puede optar por implementar un RODC si, por ejemplo, una línea de negocio
(LOB)
aplicación que se utiliza en una sucursal se ejecuta correctamente sólo si se instala en un
dominio
controlador. Como alternativa, el controlador de dominio podría ser el único servidor en la rama
oficina, y que aloje aplicaciones de servidor. En ambos casos, el propietario de la aplicación
LOB
normalmente debe iniciar sesión en el DC de forma interactiva o el uso de Terminal Services
para configurar
y administrar la aplicación. Esta situación crea un riesgo para la seguridad de Active Direc-
historia de los bosques. Sin embargo, el riesgo se reduce considerablemente si el propietario
de
NOTAla aplicación LOBde las sucursales
La planificación
(Por lo general no es un administrador de dominio) se le concede el derecho de iniciar sesión
En una pequeña oficina donde el presupuesto es limitado hardware que pueda necesitar servidores que realizan
en un RODC.
una variedad de funciones, algunas de las cuales el conflicto. Un RODC puede proporcionar parte de la solución a este
problema, pero también se debe considerar la virtualización. Capítulo 5, "Servicios de Terminal Server y aplicaciones
y virtualización de servidores ", explica esto en detalle.
Un RODC recibe su configuración de un controlador de dominio grabable. Por lo tanto, en

por lo menos un controlador de dominio de escritura en el dominio deben ejecutar Windows
Server
2008. Además, el nivel funcional del dominio y el bosque debe ser Windows
Server 2003 o superior. Seguridad de la información confidencial, como contraseñas de usuario
no se
replica en el RODC. La primera vez que un usuario inicia sesión en la sucursal de su identidad
validado a través de la WAN. Sin embargo, el RODC puede tirar de las credenciales del usuario
para que
Los inicios de sesión más por el mismo usuario se valida localmente, aunque es necesario
específicamente lo permiten en la política de replicación de contraseñas de dominio con

respecto a ese
RODC. Usted puede hacer esto al crear una cuenta de equipo del RODC en activo
Directorio mediante Usuarios y equipos de Active Directory en un controlador de dominio de
escritura en el
dominio.
Consulta Rápida
■ Va a instalar RODC en todas las sucursales de su empresa. ¿Cuál es la
nivel forestal mínima funcional que le permite hacer esto?

■ Windows Server 2003.
Cuando un RODC solicita información de las credenciales de la DC de escritura, que DC

reconoce que la solicitud proviene de un RODC y consulta de la contraseña
Replicación de políticas en vigor para ese RODC. Esto se refiere a los riesgos de seguridad de
tener
contraseñas para cada usuario en un dominio almacenado en un CD en una ubicación remota.
RODC atributos con filtro

MÁS INFORMACIÓN
Para obtener más información acerca de los atributos que se filtran y no replica en un RODC, consulte
http://technet2.microsoft.com/windowsserver2008/en/library/0e8e874f-3ef4-43e6-b496-
302a47101e611033.mspx? Referencia del fabricante = true.
Los RODC son particularmente útiles en lugares remotos que tienen relativamente pocos
usuarios o
usuarios con conocimientos de TI poco, la seguridad física inadecuada, el ancho de banda
bajo,
o cualquier combinación de estas características. Proporcionan una de sólo lectura de bases de
datos AD DS, uni-
replicación de dirección (de la DC de escritura para el RODC sólo), el caché de credenciales
(Para simplificar de inicio de sesión) y de sólo lectura zonas del Sistema de Nombres de
La implementación de un RODC
MÁS INFORMACIÓN
Dominio (DNS).
Para más información sobre los requisitos previos para la implementación de un RODC, consulte http://
technet2.microsoft.com/windowsserver2008/en/library/ce82863f-9303-444f-9bb3-
ecaf649bd3dd1033.mspx? Referencia del fabricante = true y http://technet2.microsoft.com/windowsserver2008/en/
library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx? Referencia del fabricante = true. Para más información sobre
la adprep / rodcprep Comando de la CLI, consulte http://technet2.microsoft.com/windowsserver2008/en/
library/aa923ebf-de47-494b-a60a-9fce083d2f691033.mspx? Referencia del fabricante = true.
Usted puede instalar el servicio Servidor DNS en un RODC, que puede reproducir todas las
aplica-
ción particiones de directorio que utiliza DNS, incluyendo ForestDNSZones y dominio
DNSZones. Si un servidor DNS está instalado en un RODC, los clientes pueden enviar la
resolución de nombres
consultas como lo harían con cualquier otro servidor DNS.
Sin embargo, el servidor DNS en un RODC no soporta directamente las actualizaciones de

cliente y
no registra el nombre del servidor (NS) de recursos de cualquier Active Directory
integrada de las zonas que lo hospeda. Cuando un cliente intenta actualizar sus registros DNS
en contra
un RODC, el servidor devuelve una referencia a una escritura del servidor DNS. El RODC se
solicita la actualización del registro DNS (un registro único) de la escritura del servidor DNS.
La lista completa de la zona o cambiar los datos de dominio no pueden ser duplicadas en esta
espe-
cial replicar-solo objeto de la petición.
Planificación de la ejecución RODC
Usted puede planificar para implementar RODC en lugares remotos o bien cuando se
despliegue
una actualización de Windows Server 2008 o si usted ya tiene un servidor de Windows 2008
AD
DS del dominio. Puede especificar la política de replicación de contraseñas para un RODC
específico cuando
de crear la cuenta de equipo del RODC en el dominio de la primera etapa de un
dos etapas de instalación de RODC como se describe más adelante en esta lección. Como
alternativa, puede
abrir Usuarios y equipos de un DC de escritura existente, haga clic en
la cuenta para un RODC en el contenedor Controladores de dominio, haga clic en Propiedades
y, a
haga clic en la ficha Directiva de replicación de contraseñas para permitir el almacenamiento en
caché de contraseña para ese RODC.
La Figura 3-1 muestra la ficha Directiva de replicación de contraseñas para un RODC llamado
Edimburgo
en el dominio contoso.internal.
Figura 3-1 La directiva de contraseñas de replicación para el Edimburgo

RODC
Por ejemplo, Viajes Margie tiene un número de sucursales muy pequeñas ubicadas en
zonas rurales remotas donde los enlaces WAN a veces puede ser lento o poco fiable. A causa
de
el tamaño y la lejanía de estas oficinas, el presupuesto es limitado hardware y servidores
necesidad de realizar varias funciones. No existen los administradores de dominio local. Central
la administración de la oficina central requiere que el equipo de la sucursal es parte
de una estructura de Active Directory. Una de las funciones de los servidores de la rama
las oficinas de la actualidad para actuar como servidores secundarios DNS. Los servidores
remotos de archivos también
y servidores de aplicaciones, y algunas aplicaciones requieren inicio de sesión del servidor
interactivo.
Oficinas en lugares remotos no pueden ofrecer el mismo nivel de seguridad física al igual que el
la oficina central, y los inicios de sesión en las oficinas remotas son validados por los países en
desarrollo en la sede central. Este
puede resultar
Además en retrasos
de actualizar de inicio de sesión
los controladores inaceptable.
de dominio en la oficina principal, una planificada de
Windows Server 2008
actualización podría incluir la instalación de RODC en las sucursales. En primer lugar, puede
crear
las cuentas de estos RODC en la oficina principal, y en esa etapa se puede establecer el paso
palabra política de replicación para cada RODC para permitir que el RODC a distancia para
tirar de la cuenta
la información y la caché de credenciales para los usuarios que inician sesión en la sucursal.
Este
podría acelerar los inicios de sesión. Al mismo tiempo, los usuarios o un grupo de seguridad
puede
DNS seser concedido
instala en los RODC (por defecto) implementa un servidor DNS secundario que puede
permiso
replicar todas instalar
para RODC ydepara
las particiones iniciar de
directorio sesión en los RODC
la aplicación de forma
que usa DNS, interactiva
incluyendoen la
sucursal
ForestDNSZones
la oficina.
y DomainDNSZones. Además, si un registro de cliente local es modificado o agregado, este
Servidor DNS puede solicitar la correspondiente DNS único y actualizado de los permisos de
escritura DNS
servidor sin necesidad de tirar de la lista completa de la zona o cambiar los datos del dominio.
Puede permitir inicio de sesión interactiva si las aplicaciones instaladas en el RODC lo
requieran
sin exponer a los permisos de escritura de datos de Active Directory para un usuario que no es
un administrador de dominio
trador. Usted debería considerar también la virtualización. Servidores de archivos y
aplicaciones son
rara vez virtualizados.
Mejoras Losde
en la utilización servidores
AsistenteDNSparay los RODC puede ser.
la instalación
Windows Server 2008 mejora el Asistente para la instalación de AD DS para racionalizar y
simplificar AD DS e introducir nuevas características, tales como la instalación de RODC.
Windows Server 2008 también incluye cambios en el Microsoft Management Console
(MMC) en las funciones que gestionan AD DS. Estos cambios le permiten, por ejem-
Por ejemplo, para localizar fácilmente los países en desarrollo en una red de grandes
empresas, y para configurar la contraseña
Política para la replicación RODC.
Se inicia el asistente de instalación de AD DS, haga clic en Agregar funciones en la

configuración inicial
ción de tareas o el cuadro de diálogo del Administrador de servidores, o mediante la ejecución
dcpromo desde un símbolo del
del sistema o desde el cuadro Ejecutar. Algunas de las páginas del asistente aparecerá sólo si
se selecciona
Utilice el modo avanzado de instalación en la página de bienvenida del asistente. También
puede introducir
dcpromo / adv para acceder a la instalación en modo avanzado. La Figura 3-2 muestra la forma
de especificar
instalación en modo avanzado.
Figura 3-2 Especificación de instalación en modo avanzado
Examen
UnConsejo
administrador de dominio configura la directiva de replicación de contraseñas para un RODC en
un DC modificable. Se puede descartar ninguna respuesta en el examen 70-646 en el que un usuario designado
que no es un administrador de dominio abre Usuarios y equipos en el RODC y
contraseña configura la réplica política.
Instalación en modo avanzado le da un mayor control sobre el proceso de instalación.

Si no se especifica este modo, el asistente utiliza las opciones por defecto que se aplican a la
mayoría de los
configuraciones. Las opciones adicionales de instalación en modo de instalación avanzados
incluyen
lo ■siguiente:
Puede seleccionar el DC de origen para la instalación. Este CD se utiliza para inicialmente
repre-
licate datos del dominio al nuevo DC.
■ Puede utilizar los medios de comunicación copia de seguridad de un DC existente en el
mismo dominio para reducir la
el tráfico de red que está asociada con la replicación inicial.
■ Puede crear un nuevo árbol de dominios.

■ Puede cambiar el nombre NetBIOS predeterminado.
■ Puede configurar los bosques y los niveles funcionales de dominio cuando se crea un
nuevo bosque o
un nuevo dominio.
■ Puede configurar la directiva de replicación de contraseñas para un RODC.
Usted descubrirá otras mejoras a medida que avanza la instalación de AD DS

proceso. Por ejemplo, si instala un DC adicional, usted puede seleccionar el nombre de dominio
en lugar de escribir en un cuadro de diálogo. Por defecto, el nuevo asistente de instalación
utiliza el
credenciales del usuario que ha iniciado la sesión, siempre que el usuario ha iniciado sesión
con una cuenta de dominio. Puede especificar otras credenciales si es necesario.
Desde la página Resumen del asistente puede exportar la configuración a un archivo de
respuesta que
puede utilizar como plantilla para futuras instalaciones o desinstalaciones. Tenga en cuenta que
si usted
especificar un valor para el Modo de restauración (DSRM) pass-administrador
palabra en el asistente, y luego exportar la configuración a un archivo de respuesta, la
contraseña se
no aparecen en el archivo de respuesta. Si desea que esta información que debe incluirse, es
Sin embargo, la inclusión de texto sin cifrar las contraseñas en los archivos de respuesta de
necesario
seguridad no es buena el archivo de respuesta.
modificar manualmente
la práctica. Por esta razón, se puede omitir la contraseña de administrador de la respuesta
archivo. Si escribe password =* en el archivo de respuesta, el asistente de instalación le pedirá
credenciales de la cuenta. Finalmente, el asistente de instalación le permite forzar la
degradación de
un controlador de dominio que se inicia en el Modo de restauración.
La delegación de la instalación de RODC
Cuando se planifica la instalación de RODC se puede optar por aplicar en dos etapas
instalación
ción. De trabajo en la oficina central, puede delegar los permisos adecuados para
un usuario o un grupo. En una sucursal de un usuario con los permisos delegados puede per-
forma la instalación y, posteriormente, puede administrar el RODC sin necesidad de
derechos de administrador de dominio.
Para delegar la instalación de RODC, primero debe crear una cuenta RODC en Active Directory
Usuarios y equipos, haga clic en el contenedor Controladores de dominio y seleccione
ción pre-Crear cuenta de sólo lectura del controlador de dominio. Cuando se crea el RODC
cuenta, puede delegar la instalación y administración del RODC a un usuario
o un grupo de seguridad, como se muestra en la Figura 3.3.
Figura 3-3 La delegación de la instalación y administración de un RODC
Un usuario con la instalación de delegados y de los derechos de administración puede crear un

RODC en
un servidor designado mediante la ejecución de dcpromo / UseExistingAccount: Adjuntar. Este
usuario (o todos los
usuarios de un grupo de seguridad designado) puede iniciar sesión en el RODC de forma
interactiva y adminis-
nistro que sin requerir derechos de administración en el resto del dominio o del bosque.
Consulta Rápida
■ Usted es un administrador de dominio. Va a utilizar en los RODC de su empresa
sucursales. Personal de las sucursales que no son administradores se pro-
Moting servidores de sucursal al RODC. ¿Qué es lo que tiene que hacer como el
primer
etapa de la instalación de dos etapas RODC?
■ Es necesario crear las cuentas de equipo para el RODC en el dominio.
Es necesario dar al personal de las sucursales (por lo general un miembro del
personal en cada
sucursal) de los derechos adecuados para instalar RODC.
La utilización de MMC de las mejoras

Windows Server 2008 mejora las funciones del complemento MMC de herramientas tales como
Los usuarios de Active Directory y equipos. La siguiente sección de esta lección se analiza
mejoras en el esquema y para los usuarios de Active Directory y equipos que proporcionan
mayor granularidad permiso y le permiten planificar su estructura de permisos y en
algunas circunstancias, simplificar la estructura de dominios.
El Windows Server 2008 Active Directory Sitios y Servicios de complemento incluye una
búsqueda
comando en la barra de herramientas y en el menú Acción. Este comando te permite descubrir
el sitio en el que se coloca un DC. Esto puede ayudarle a solucionar problemas de replicación
de
problemas. En Windows 2000 Server y Windows Server 2003, en sitios y
Servicios no fácilmente proporcionarle esta información.
Que vimos antes que al instalar una cuenta de equipo para un RODC, uno de los
características avanzadas del asistente de instalación proporciona una política de replicación
de contraseñas
página que le permite configurar los ajustes para ese RODC. Si usted opta por no configurar
estos
ajustes en esta etapa, en su lugar puede utilizar la replicación de contraseñas en la ficha
Directiva de
Si hace de
Cuadro clicdiálogo
en el botón Opcionesdel
Propiedades avanzadas
RODC. Estoen esta ficha,en
se ilustra selapuede
Figuradeterminar lo que lasen
3.1 anteriormente
contraseñas
esta lección. se han
sido enviados o se almacenan en el RODC y lo que cuentas se hayan autenticado en el
RODC. Esto le permite saber quién está usando el RODC. Usted puede utilizar esta
información
la hora de planificar su política de replicación de contraseñas. Usted no va a ver las entradas en
este cuadro de diálogo
caja hasta el RODC
Planificación se ha
de grano finocreado físicamente
contraseña y ha validado
y Políticas los inicios
de bloqueo de sesión para los
de cuentas
usuarios locales.
En las anteriores implementaciones de Active Directory se puede aplicar una sola contraseña
y cuenta la política de bloqueo a todos los usuarios en el dominio. Si usted necesita diferentes
pass-
palabra y la configuración de bloqueo de cuentas para diferentes grupos de usuarios, era
necesario crear
una contraseña de filtro personalizado o crear múltiples dominios.
Windows Server 2008 permite especificar de grano fino, las políticas de contraseña. Puede
especificar
varias directivas de contraseña y aplicar diferentes restricciones de contraseña y cuenta
las políticas de bloqueo a diferentes grupos de usuarios dentro de un único dominio. Por
ejemplo,
posible que desee aumentar la longitud de contraseña mínima de nivel administrativo
cuentas. Esta instalación también permite aplicar una política de contraseñas para las cuentas
especiales
Windows Server 2008
cuyas contraseñas incluye dos con
se sincronizan nuevas clases
otras de de
fuentes objeto en el AD DS
datos.
esquema:
■ Configuración de contraseña de
■
contenedores
Configuración de la
contraseña
La contraseña de Valores de contenedor (PSC), clase de objeto se crea de forma

predeterminada en el
Sistema de contenedores en el dominio. Que almacena la configuración de contraseña objetos
(OSP) para que
dominio. No se puede renombrar, mover o eliminar este contenedor. Puede crear un PSO por
ahorro de los parámetros (por ejemplo, longitud de la contraseña) en un archivo de texto con
una extensión. ldf y
utilizando el ldifde comando desde la consola de comandos. Alternativamente, puede utilizar la
Edición de ADSI complemento MMC, tal como se describe en la sección de la práctica más
MÁS en La
INFORMACIÓN
adelante creación
esta de
lección.
obligaciones de servicio
Para más información sobre la creación y configuración de obligaciones de servicio público, consulte
público
http://technet2.microsoft.com/
windowsserver2008/en/library/67dc7808-5fb4-42f8-8a48-7452f59672411033.mspx? Referencia del fabricante = true.
Examen Consejo El examen 70-646 es principalmente acerca de la planificación en lugar de la ejecución y se

poco probable que le pedirá que cree una operación de paz bajo condiciones de examen, aunque se le puede pedir
las herramientas que podría utilizar para hacerlo. Es más probable que se le pregunte acerca de la planificación
consideraciones para el uso de grano fino, las contraseñas y las ventajas que proporcionan.
Antes de planificar una política de contraseñas que usted necesita saber cuál es la
configuración predeterminada es.
La figura 3-4 muestra la configuración predeterminada para el dominio contoso.internal.
Figura 3-4 Configuración de la contraseña por

defecto
Como primer paso en la planificación de grano fino, contraseña y directivas de bloqueo de

cuentas, que
necesidad de decidir el número de las diferentes políticas clave que usted necesita. Por lo
general su política
podría incluir al menos tres, pero rara vez más de diez obligaciones de servicio público. Como
mínimo,
■ se
Un nivel administrativo la directiva de contraseñas con la configuración estricta: por
probablemente querrá configurar lo siguiente:
ejemplo, un
longitud de contraseña mínima de 12 años, un tiempo de vida máximo de 28 días, y
requisitos de complejidad de contraseña habilitada.
■ A nivel de usuario de contraseñas, por ejemplo, una longitud de contraseña mínima de
6, un tiempo de vida máximo de 90 días, y los requisitos de complejidad de contraseñas
no está habilitado.
■ Una cuenta de servicio de políticas de contraseñas con una longitud mínima de

contraseña de 32 caracteres-
sonajes y los requerimientos de complejidad habilitado (contraseñas de cuentas de
servicio se sel-
dom escribir electrónicamente). Debido a su complejidad, las contraseñas de la cuenta de
servicio puede
Usted también necesita mirar su estructura de grupo existente. Si ya dispone de Adminis-
por lo general se establece que no expiran o tienen edades contraseña muy larga.
administradores y grupos de usuarios no tiene sentido crear otros nuevos. En última instancia,
es necesario
definir un grupo y la estructura de Active Directory que se asigna a la de grano fino de paso
palabra y las políticas de bloqueo de cuentas.
No se puede aplicar PSO a las unidades organizativas (OU) directamente. Si los usuarios están
organizados en unidades organizativas, considerar la creación de grupos de sombra para la
aplicación de estas unidades organizativas y luego
la nueva definición de grano fino, contraseña y las políticas de bloqueo de cuentas a ellos.
Un grupo de sombra es un grupo de seguridad global que es, lógicamente, asignado a una
unidad organizativa a
imponer una contraseña de grano fino y la política de bloqueo de cuentas. Añadir usuarios OU
como miem-
bros del grupo de la sombra de nueva creación y después aplicar la clave de grano fino
y cuenta la política de bloqueo a este grupo la sombra. Si usted se muda a un usuario de una
unidad organizativa a
otro, debe
NOTA actualizar
Grupos de sombramembresías de usuarios en los grupos de sombra correspondiente.
Usted no encontrará un comando llamado Grupo de Añadir sombra en Active Directory usuarios y equipos.
Un grupo de sombra no es más que un grupo ordinario de seguridad global que contiene todas las cuentas de usuario
una o varias unidades organizativas. Al aplicar un PSO a un grupo de sombras en realidad está aplicando a
usuarios de la OU correspondiente.
Microsoft aplica GPO a grupos en lugar de las unidades organizativas ya que los grupos
ofrecen un mejor flexi-
dad para la gestión de diversos grupos de usuarios. Windows Server 2008 AD DS crea varios
grupos para las cuentas administrativas, incluyendo administradores de dominio,
Administradores de empresas,
Administradores de esquema, Operadores de servidores y Operadores de copia de seguridad.

Se puede aplicar a obligaciones de servicio público
estos grupos o nidos en un solo grupo de seguridad global y aplicar un PSO a la
grupo. Debido a que utilice los grupos en lugar de las unidades organizativas que no es
necesario modificar la unidad organizativa
jerarquía para aplicar contraseñas de grano fino. Modificación de una jerarquía de unidades
organizativas requiere
Si va
una a utilizar dedetallada
planificación grano fino, contraseñas,
y aumenta es probable
el riesgo que necesite para elevar el funcional
de errores.
nivel de su dominio. Para funcionar correctamente, de grano fino de la contraseña requiere un
nivel funcional de dominio de Windows Server 2008. Planificación de dominios y bosques
niveles funcionales se discute más adelante en esta lección. Cambios en los niveles
funcionales implica
cambios irreversibles. Usted necesita estar seguro, por ejemplo, que usted nunca tendrá que
añadir
Windows Server 2003 DC a su dominio.
De manera predeterminada, sólo los miembros del grupo Administradores de dominio pueden
crear PSO y aplicar
un PSO a un grupo o usuario. No obstante, es necesario tener permisos de los usuarios
objeto o grupo de objetos para poder aplicar un PSO a la misma. Puede delegar la propiedad
de lectura
permisos en el descriptor de seguridad predeterminado de un objeto PSO a cualquier otro
grupo
(Por ejemplo, personal de soporte técnico). Esto permite a los usuarios que no son los
administradores de dominio
descubrir
Usted la contraseña
puede solicitar deygrano
la configuración de bloqueo
fino las políticas de cuentas
de contraseña aplicadas
sólo a través
a los objetos de un PSO
de usuario y la
a un segu-mundial
seguridad
dad de grupo.
grupos (o inetOrgPerson objetos, si se utilizan en lugar de objetos de usuario). Si su plan
identifica a un grupo de equipos que requieren una configuración diferente contraseña, es
necesario
vistazo a las técnicas, tales como filtros de contraseña. De grano fino, las políticas de
contraseña no puede ser
Si
se utiliza
aplica filtros de contraseña
a objetos de equipo. en un dominio, de grano fino, las políticas de contraseña no
interferir con estos filtros. Si va a actualizar Windows 2000 Server o Windows
Server 2003 dominios que actualmente desplegar filtros personalizados contraseña en los
países en desarrollo, puede
seguir utilizando los filtros de contraseña para aplicar restricciones adicionales contraseña.
Si ha asignado un PSO a un grupo de seguridad global, pero un usuario de ese grupo de
requiere una configuración especial, puede asignar un excepcional PSO directamente a los
particulares que
del usuario. Por ejemplo, el consejero delegado de Neptuno es un miembro de
el grupo de altos directivos y política de la empresa requiere que los directivos utilizan
contraseñas complejas. Sin embargo, el CEO no está dispuesto a hacerlo. En este caso, puede
crear un PSO excepcional y se aplican directamente a la cuenta de usuario del CEO. La
PSO excepcional anulará el grupo de seguridad de PSO en la configuración de contraseña
(MsDS-ResultantPSO) para la cuenta de usuario del director general se determinan.
Consulta Rápida
■ De manera predeterminada, los miembros del grupo que puede
crear obligaciones de servicio público?
■ Administradores de
dominio.
Finalmente, usted puede planear para delegar la administración de contraseñas de grano fino.
Cuando se
han creado el PSO necesario y los grupos de seguridad globales asociados con estos
Obligaciones de servicio público, puede delegar la gestión de los grupos de seguridad a los
usuarios responsables o usuarios
grupos. Por ejemplo, una de Recursos Humanos (HR) del grupo podría agregar cuentas de
usuario o
eliminarlas del grupo de los administradores cuando se producen cambios de personal. Si una
operación de paz especificando
de grano fino, la directiva de contraseñas se asocia con el grupo de administradores, en efecto,
la HR
MÁS De grano fino, contraseña y configuración de la política de bloqueo de cuentas
INFORMACIÓN
grupo
Para más información acercaadequienes
es determinar grano fino,se aplican
contraseña estas
y las políticas.
políticas de bloqueo de cuentas, consulte
http://technet2.microsoft.com/WindowsServer2008/en/library/2199dcf7-68fd-4315-87cc-
ade35f8978ea1033.mspx # BKMK_7.
La planificación del uso de la herramienta de minería

de datos
La herramienta de minería de datos (Dsamain.exe) hace posible que los eliminados de AD DS
o AD LDS
datos que se conservan en forma de instantáneas de AD DS tomadas por el de instantáneas de
volumen
Copy Service (VSS). Puede utilizar un Lightweight Directory Access Protocol (LDAP) de
herramientas
tal como ldp.exe para ver los datos de sólo lectura en las instantáneas. La herramienta de
minería de datos se
Cuando usted
en realidad no está planeando
se recuperan lossuobjetos
estrategia para recuperar
eliminados los datos eliminados
y los contenedores-que debe que necesita
realizar de
para
datosdecidir
la mejor manera
recuperación de un
como preservar los datos eliminados de manera que se puede recuperar, y
paso posterior.
recuperar los datos
si es necesario. Por ejemplo, puede programar una tarea que habitualmente se corre el
ntdsutil.exe herramienta para tomar instantáneas de volumen que contiene la base de datos de
AD DS.
Puede utilizar la misma herramienta a la lista de las instantáneas que están disponibles, y
La segunda
montar etapa de su estrategia consiste en decidir qué foto debe restaurar
el complemento
si los datos
disparo que se pierdan
desea ver. o se dañen. Su plan puede incluir en ejecución Dsamain.exe para
exponer la
instantánea de volumen como un servidor LDAP. Como parte de la DSAMAIN mandato que
especifique
un número de puerto para el puerto de LDAP. Opcionalmente también se puede especificar el

LDAP-SSL,
De catálogo global, y los puertos de catálogo global-SSL, pero lo que si no lo hace el comando
estos valores se deriva del número de puerto LDAP. A continuación, puede ejecutar ldp.exe y
adjuntar
en el puerto LDAP especificado. Esto le permite navegar por la toma de imágenes justo como lo
haría con cualquier
Si
DCusted sabe qué objetos o unidades organizativas que sea necesario restaurar, puede
en vivo.
identificar en el
instantáneas y grabar sus atributos y vínculos hacia atrás. A continuación, puede reanimar a
estos
objetos utilizando la función de reanimación de desechos y manualmente repoblar
con los atributos despojado y enlaces-como se identifica en las instantáneas. Los datos
herramienta de minería le permite hacer esto sin necesidad de reiniciar el DC de servicios de
directorio
Su proceso de planificación debe involucrar otras consideraciones que cuando se toma
modo.
complemento
tiros y cómo se utiliza estas instantáneas en la restauración de datos. Por ejemplo, también
necesidad de tomar en cuenta la seguridad. Si un atacante obtiene acceso a una instantánea
de AD DS,
esto es tan grave como si una copia de seguridad de AD DS se vea comprometida. Un usuario
malintencionado podría
copia de instantáneas de AD DS desde el bosque a un bosque B y el uso de dominio o
Administrador de la empresa-
trador credenciales del bosque B para examinar los datos. Usted debe planear para cifrar AD
Instantáneas DS para ayudar a reducir el riesgo de accesos no autorizados. Al igual que con
todos los datos
cifrado también
Planificación deesAuditoría
necesario ADelaborar
DS planes de recuperación para recuperar la información si
el
En Windows
clave Server
de cifrado 2008, olase
se pierde política
daña.de auditoría global de auditoría de acceso a directorios de
servicios es
activado por defecto. Esta directiva controla si la auditoría de eventos de servicio de directorio
está activada o desactivada. Si esta configuración de directiva mediante la modificación del
defecto
Controladores de dominio de políticas, puede especificar si desea auditar los éxitos, los
fracasos de auditoría,
o no de auditoría a todos. Usted puede controlar que las operaciones de auditoría mediante la
modificación del sistema
Accessadministrador
Como Control List (SACL)
de una ende un
susobjeto.
tareasSe puede en
consiste establecer una
configurar la SACL
políticaendeunauditoría.
objeto deQue
AD
DS en el éxito o el
permite
enauditoría
la la ficha Seguridad
de erroreseneseluncuadro de ese objeto
procedimiento de diálogo
sencillo. Propiedades.
Decidir qué objetos de la auditoría;
si se debe auditar el éxito, fracaso o ambos, y la posibilidad de registrar los valores nuevos y
viejos
si se realizan cambios es mucho más difícil. Todo lo que la auditoría no es una opción-
demasiada información es tan malo como demasiado poco. ¡Tienes que ser selectivo.
En Windows 2000 Server y Windows Server 2003, puede especificar sólo si

DS acceso ha sido auditada. Windows Server 2008 proporciona un control más granular. Usted
puede auditar los siguientes:
■ DS acceso
■ DS cambios (valores antiguos y nuevos)
■ DS replicación
Auditoría de replicación DS se subdivide de manera que puede elegir entre dos niveles de
auditoría de lo normal o detallado.
Por ejemplo, usted es un administrador de dominio en Litware, Inc. Anteriormente has

encontrado
que la auditoría ha configurado tenía limitaciones. Se podría determinar que el
atributos de un objeto en Active Directory se ha modificado, pero no cambia lo que
se hicieron. Si el cambio era erróneo que se basó en la documentación mantenida por
el equipo de administración de dominios para revertir o corregir la alteración. Tal
documentación
ción, si es que existía, rara vez fue perfecto.
Litware ha actualizado recientemente su dominio a Windows Server 2008. Ahora puede
planificar
sus procedimientos de auditoría de manera que si un cambio se realiza en un atributo del
objeto, AD
DS registra los valores anterior y actual del atributo. Sólo los valores que el cambio
como resultado de la operación de modificación está en el sistema, por lo que no es necesario
buscar a través de
una larga lista de valores de atributos para encontrar el cambio.
Consulta Rápida
■ Va a configurar la auditoría de DS de replicación. ¿Cuáles son los dos niveles de
auditoría
desde donde se puede elegir?
■ Normal o detallado.
Si un objeto se crea uno nuevo, AD DS registra los valores de los atributos que se han
configurado o
añadido en el momento de la creación. Atributos que tienen valores por defecto no se ha
autentificado. Si un
objeto se mueve dentro de un dominio, puede asegurarse de que los lugares antiguos y nuevos
está en el sistema. Cuando un objeto se mueve a un dominio diferente, puede acceder a la
Crear
caso de que se genera y se registra en el controlador de dominio en el dominio de destino. Si
un
objeto se han borrado, se puede determinar la ubicación en la que se mueve el objeto.
Si los atributos son modificados, agregados o eliminados durante una operación se puede
recuperar
determinar los valores de los atributos del registro de eventos de seguridad.
Si los cambios del servicio de directorio está activada, AD DS registra los eventos en el registro
de eventos de seguridad
cuando se realizan cambios a los objetos que un administrador ha configurado para la
auditoría.
La Tabla
Tabla 3-1 3-1 enumera
Eventos estos eventos.
relacionados con la seguridad de los objetos
de AD DS
Id. del suceso Tipo de evento Descripción del evento
5136 Modificar Una modificación exitosa ha hecho una

atributo en el directorio.
5137 Crear Un nuevo objeto se ha creado en el directorio.
5138 Undelete Un objeto ha sido sin borrar en el directorio.
5139 Movimiento Un objeto se ha movido dentro del dominio.
Usted debe decidir si se debe reaccionar ante tales acontecimientos, y cómo hacerlo. Por
defecto, el
los eventos se registran en el registro de eventos de seguridad y miembros del grupo
Administradores de dominio,
BUILTIN \ Administradores, y los grupos Administradores de organización pueden ver mediante
la apertura de
Visor de sucesos. Sin embargo, puede especificar que un evento escrito en el registro de
eventos de seguridad
inicia una tarea, como la generación de una alerta o comenzar un programa ejecutable. Para
hacer
ello, seleccione el evento en el Visor de sucesos y haga clic en Adjuntar tarea a este evento en
el
Menú de Acción. La figura 3-5 muestra esta función.
Figura 3-5 Colocación de una tarea a un AD DS Modificar evento

Planificación de dominio y funcionalidad de bosque

Al actualizar sus dominios y bosques de Windows Server 2008-la tentación
ción es siempre para aumentar el dominio y niveles funcionales del bosque. Esto es muy fácil
de hacer,
y la red no va a lograr la funcionalidad completa hasta que los niveles funcionales
planteadas. Por ejemplo, de grano fino de configuración de directiva de contraseñas para que
funcione correctamente
se necesita un nivel funcional de dominio de Windows Server 2008.
Tenga cuidado. Es muy fácil de recaudar dominio y niveles funcionales de bosque, pero casi
imposible bajarlos. (Usted necesita desinstalación y reinstalación, o restaura
a partir de una copia de seguridad realizada antes de que el nivel funcional se ha cambiado.) Si
se le pide que agregue
Windows Server 2003 controladores de dominio de su dominio y que ha planteado el dominio
de funciones
nivel nacional para Windows Server 2008, usted tiene un problema. Si usted ha planteado su
nivel funcional del bosque a Windows Server 2008 y que se encuentra necesidad de incorporar
un servidor de dominio de Windows 2000, lo cual podría arrepentirse de su decisión anterior.
Planificación
niveles funcionales es un acto de equilibrio delicado y difícil. Debe tener en cuenta tanto la
una funcionalidad adicional que criar a un nivel funcional ofrece y el que los problemas
podría presentar.
Para planificar el nivel funcional es necesario establecer para sus dominios y bosques, y
cuando
tiene que aumentar los niveles funcionales, lo que necesita saber lo que los países en
desarrollo cada nivel funcional
apoya y proporciona una funcionalidad adicional que elevar el nivel funcional. Usted
También es necesario conocer la relación entre el dominio y niveles funcionales del bosque.
Para
ejemplo, si aumenta el nivel funcional del bosque a Windows Server 2008,
asegurar que el nivel por defecto funcional de todos los dominios del bosque es Windows
Server 2008.
IMPORTANTE Niveles funcionales no afectan a los servidores miembros
Dominio funcional del bosque y los países en desarrollo soportan niveles. No afectan a los servidores miembros. Por ejemplo,
un servidor de archivos en un servidor Windows 2008 de dominio puede hacer que Windows 2000 Server o Windows Server
2003 instalado.
Consideraciones sobre el nivel funcional del dominio

La funcionalidad de dominio habilita características que afectan el dominio. En Windows Server
2008 AD DS, los niveles funcionales de dominios disponibles son las siguientes:
■ Nativo de Windows 2000

■ Windows Server 2003
Una instalación por defecto de la función de Windows Server 2008 AD DS va a crear un

dominio
con el nivel funcional Windows 2000 nativo. De elevar el nivel funcional de un
dominio en la sesión de práctica más adelante en esta lección. Para decidir si debe aumentar
el nivel funcional de dominio, primero debe saber qué nivel funcional compatible con todos los
los centros de distribución que existen actualmente en el dominio, y cualquier otra que puedan
ser añadidos.
La Tabla 3-2 enumera los niveles funcionales de dominio y los controladores de dominio que
cada 3-2
Tabla uno apoya.
Funcional del dominio y los niveles de los países en
desarrollo el apoyo
Nivel funcional de dominio Los países en desarrollo el
apoyo
Nativo de Windows 2000 Windows 2000 Server
Windows Server 2003
Windows Server 2008
Windows Server 2003 Windows Server 2003

Windows Server 2008
Si, por ejemplo, usted tiene Windows Server 2003 controladores de dominio en su dominio, no
puede levantar
el nivel funcional de dominio a Windows Server 2008. Si todos los países en desarrollo son de
Windows
Server 2008, pero puede que tenga que agregar un DC Windows Server 2003 en una fecha
posterior,
sería conveniente posponer la decisión de elevar el nivel funcional de dominio pasado
Usted
Windows necesidad de equilibrar estas restricciones frente a las ventajas que obtenemos a través
Server 2003.
de elevar
niveles funcionales. Por ejemplo, de grano fino, las políticas de contraseña requieren un
dominio de funciones
nivel internacional de Windows Server 2008 para que funcione correctamente. Para ayudarle a
tomar la decisión
y el plan de sus niveles funcionales de dominio, la tabla 3-3 se enumeran las características
que cada fun-
NOTA Obtenga más información sobre las
nivel internacional
características permite.
La Tabla 3-3 enumera las características, pero no explica los de la mesa, sería demasiado largo. La mayor parte de
Estas características se explican en este libro. Si usted ve una característica que usted no reconoce,
consultar el índice de este libro, el Windows Server 2008 los archivos de ayuda, o Internet (por ejemplo,
http://technet2.microsoft.com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-
ade35f8978ea1033.mspx? Referencia del fabricante = true).
Tabla 3-3 Gracias a las características de niveles funcionales de

dominio
Nivel funcional de dominio Características habilitado
Nativo de Windows 2000 Todas las características predeterminadas

de Active Directory
Distribución universal y grupos de seguridad
Grupo de anidación
Grupo de conversión
Identificador de seguridad (SID)
Windows Server 2003 Todas las características predeterminadas

de Active Directory
Todos los Windows 2000 nivel funcional de dominio nativo
características
La herramienta de gestión de dominio (Netdom.exe)

Sello de tiempo de actualización
de inicio de sesión
Ajuste de la userPassword atributo como la efectiva
contraseña en el inetOrgPerson objeto y usuario
objetos
Reorientación de los usuarios y equipos contenedores

Gestor de almacenes de autorización de autorización
las políticas de AD DS
La delegación restringida
Selectiva la autenticación entre bosques

de Active Directory
Todos los Windows Server 2003 nivel funcional de dominio
características
Sistema de archivos distribuido (DFS) de apoyo

para SYSVOL
Servicios Avanzados de Encriptación (AES 128 y 256)

soporte para el protocolo de autenticación Kerberos
Última información de inicio de sesión

interactivo
De grano fino, las políticas de
contraseñas
Bosque Consideraciones función de nivel

Funcionalidad de los bosques habilita funciones en todos los dominios en un bosque. En
Windows
Server 2008 los bosques de los niveles funcionales del bosque disponibles son las siguientes:
■ Windows 2000
Una instalación por defecto de la función de Windows Server 2008 AD DS que crea un nuevo
bosque
establecerá el nivel funcional del bosque a Windows 2000. Usted puede levantar el bosque
funciones
nivel nacional para Windows Server 2003 o Windows Server 2008. Funcional del bosque
los niveles son menos restrictivos que los niveles funcionales de dominio con respecto a los
países en desarrollo que pueden
operar en la selva. Sin embargo es necesario tener en cuenta tanto dominio y el bosque
niveles funcionales si desea determinar lo que los países en desarrollo pueden ser compatibles
o añadido.
La Tabla 3-4
Tabla 3-4
enumera los niveles funcionales de bosque y de los centros de distribución de
Funcional del bosque y los niveles de los países en
cada soporte. Tengaelen
desarrollo cuenta que Windows
apoyo
Los controladores
Nivel funcional delde dominio NT4 Los
bosque copia de seguridad
países (BDC)
en desarrollo el pueden operar en un dominio de
Active Directory. apoyo
Windows 2000 Windows NT 4.0
Windows 2000 Server
Windows Server 2003
Windows Server 2008

Windows Server 2008
Al elevar el nivel funcional del bosque, los controladores de dominio que ejecutan antes
Operac-
sistemas de formación no pueden ser introducidos en el bosque. Por ejemplo, si aumenta el
bosque
nivel funcional de Windows Server 2003, los controladores de dominio que ejecutan Windows
2000
Servidor no se puede agregar a la selva. El nivel funcional de dominio no puede ser inferior a
el nivel funcional del bosque. No puede, por ejemplo, tienen un nativo de Windows 2000
de dominio en un bosque de Windows Server 2003, pero usted puede tener un servidor de
Windows 2008
de dominio en un bosque de Windows 2000.
Elevar el nivel funcional de un bosque es una decisión que requiere una planificación
cuidadosa. Usted
podría ser capaz de garantizar que usted no tendrá que añadir un Windows Server 2003 DC
a un dominio de Windows Server 2008, pero puedo garantizar que nunca se
llamados a agregar un dominio Windows Server 2003 a Windows Server 2008 bosque
(Posiblemente como parte de una adquisición de la empresa)?
Al igual que con el aumento del nivel funcional de dominio, usted necesita estar consciente de
las ventajas de
mayores niveles funcionales antes de que pueda tomar su decisión final. La Tabla 3-5 enumera
las carac-
ras
Tablaactivado
3-5 por cada
Gracias a lasnivel funcional.de niveles funcionales de
características
bosque
Nivel funcional del bosque Características habilitado
Windows 2000 Todas las características predeterminadas

de Active Directory
de Active Directory
De confianza de
bosque
El cambio de nombre de
dominio
Ligada al valor de reproducción
RODC despliegue
La mejora de coherencia Checker (KCC)
escalabilidad y los algoritmos, como la mejor entre sitios
generador de topología entre sitios (ISTG) algoritmos
La capacidad de crear el dynamicObject clase en un

partición de directorio de dominio
La capacidad de convertir una inetOrgPerson objeto de

instancia
en un Usuario instancia de objeto, y viceversa
La capacidad de crear grupos de aplicaciones básicas y
Grupos de consulta LDAP para apoyar basado en roles
autorización
Windows Server 2008 nivel funcional del bosque no (actualmente) el apoyo a cualquier adi-
características adicionales. Sin embargo, si se especifica este nivel funcional, se asegura de
que todos los dominios
en el bosque de operar en el nivel de dominio de Windows Server 2008 funcional. No se puede
especificar el Windows Server 2008 nivel funcional del bosque a menos que todos los DC del
bosque son
Windows Server 2008. Usted no debe hacerlo, a menos que esté seguro de que nunca
se le pedirá que agregue países en desarrollo con sistemas operativos anteriores a su bosque.
Por ejemplo, las empresas asociadas Coho Vineyard y Coho y Bodega

plan para unir sus estructuras de Active Directory en un bosque. Todos Coho
Servidores de viñedo han sido recientemente actualizado a Windows Server 2008. Coho Vine-
gestión astillero prevé considerables beneficios de las políticas de contraseñas de grano fino
que permitirá a la estructura de la empresa de dominio que se simplifica a un solo dominio.
La mayoría del viñedo de Coho y servidores de la Bodega, incluyendo todos sus centros de
datos actuales, ejecute
Windows Server 2003. La empresa no tiene la intención de promover los existentes
equipos que ejecutan Windows 2000 Server para los países en desarrollo, pero tampoco tiene
planes
para actualizar sus servidores a Windows Server 2008 en un futuro próximo. Coho Vineyard y
Bodega en la actualidad tiene una estructura de dominio único y no tiene planes de instalar
varios
dominios. Ambas compañías trabajan muy estrechamente con Trey Research y el plan de
imple-
En esta situación de dominio rediseñado Viña Coho puede tener un dominio funcional
ción entre
nivel bosquesServer
de Windows con el2008.
servidor confía
Esto en que
permite la empresa
a la empresa el de
usoWindows
de grano2003 delpaso
fino de bosque.
palabra política. Viña Bodega Coho y el nivel de dominio se puede configurar para Windows
Server
2003, ya que no tiene planes de agregar cualquier dominio de Windows 2000 Server. Esto a su
vez
permite que el nivel funcional del bosque de la selva a que se eleva a Windows Server
2003, lo que permite entre bosques fideicomisos con Trey Research.
Nivel de planificación forestal
Fideicomisos
Un fideicomiso forestal (o nivel de confianza) le permite a cada dominio en un bosque a confiar
en todos los
de dominio de un segundo bosque. Las confianzas de bosque fueron introducidas en Windows
Server 2003 y
puede ser una vía de entrada, una vía de salida, o de dos vías. Por ejemplo, puede
configurar todos los dominios en el bosque A confiar en todos los dominios en el bosque B
mediante la creación de
una confianza unidireccional, ya sea en B o A. Bosque Bosque Si además desea que todos los
Puede
dominiosutilizar las confianzas de bosque con la pareja o las organizaciones estrechamente
vinculadas.
en el bosquePor ejemplo,
B para confiar en todos los dominios en el bosque A, es necesario crear una
Viñedos
confianzay bidireccional.
Bodega Coho Coho no puede optar por fusionar sus activos Direc-
estructuras de historia en un solo bosque, sino que puede optar por utilizar una confianza de
bosque para dar
empleados de una organización de derechos y permisos en la otra.
Las confianzas de bosque pueden formar parte de una adquisición o una estrategia de
adquisición. Neptuno
ha adquirido Litware, Inc. El plan final es reorganizar las estructuras de dominio de
ambas empresas en un único bosque, pero hasta que se complete este proceso es posible que
el plan
una relación de confianza entre las organizaciones.
También se puede utilizar para el aislamiento de las confianzas de bosque de Active Directory.
Es posible que, por ejemplo,
desea ejecutar Exchange Server 2007 como parte de una estrategia de migración para probar
la nueva
características y familiarizar a su personal técnico. Sin embargo, usted no desea instalar
Exchange 2007 en el bosque de producción, porque esto podría afectar a su actual
Servidor de implementación de Exchange 2003. Puede crear un bosque independiente en el
que puede
ejecutar Exchange 2007, pero el acceso a los recursos del bosque de producción, mientras que
hacerlo por
Planificación de clases
el establecimiento de unaderelación
Confianza y
de confianza.
Dirección
El tipo más común de la confianza que opera a través de los bosques es la confianza de
bosque, y esto
es el tipo de confianza discutidos en esta lección. Usted debe, sin embargo, ser conscientes de
los otros
tipos de fideicomisos que se pueden establecer con entidades fuera del bosque. Estos incluyen
el ■ Acceso directo confianza Una confianza de bosque permitirá a cualquier dominio en un
siguientes:
bosque
dominio adeconfiar en los Sin embargo, si los bosques son complejos, con varias capas de
otro bosque.
dominios secundarios, de un cliente en un dominio secundario podría tomar algún tiempo
para localizar
recursos en un dominio secundario de otro bosque, en especial cuando la operación
pasa sobre un enlace WAN. Si los usuarios en el dominio de un niño a menudo tienen que
acceder a
los recursos de otro dominio secundario de otro bosque, se puede decidir la creación de
una confianza de acceso directo entre los dos dominios.
■ Confianza externa Configurar una confianza de dominio cuando un dominio dentro de su
bosque
requiere una relación de confianza con un dominio que no pertenece a un bosque. Typ-
camente, las confianzas externas se utilizan cuando la migración de recursos de Windows
NT
dominios (muchos de los cuales aún existen). Windows NT no utiliza el concepto de
los bosques, y un dominio de Windows NT es un autónomo, unidad autónoma. Si
plan de migración de recursos de un dominio de Windows NT en un activo existente
Directorio de los bosques, se puede establecer una confianza externa entre uno de los
activos
Dominios de Directorio y el dominio de Windows NT.
■ Reino de Si un reino UNIX utiliza la autenticación Kerberos, puede crear
la confianza
un fideicomiso entre el reino de un dominio de Windows y un dominio UNIX. Esto es
similar a
una confianza externa, excepto que es entre un dominio de Windows y un dominio UNIX.
Cuando haya seleccionado el tipo de confianza que requieren-por lo general una relación de
confianza, porque
confianzas de acceso directo, externa, y el reino se utilizan en determinadas situaciones,
entonces usted necesidad de
decidir si la confianza es unidireccional o bidireccional y, de ser el primero, lo que es la
confianza
dirección. Una sola vía los fideicomisos pueden ser entrantes o salientes.
Si los usuarios del bosque A requieren acceso a los recursos del bosque B y usuarios del
bosque B requieren
acceso a los recursos en el bosque A, es necesario crear una confianza bidireccional. Debido a
que este es bidi-
direccional
Sin embargo,no si
eslos
necesario
usuariosespecificar
del bosqueuna dirección.acceso a los recursos del bosque B, pero
A requieren
los usuarios del bosque B
no requieren acceso a los recursos en el bosque A, un bosque es el bosque de confianza y el
Bosque B
el bosque de confianza o de recursos. Bosque B confía en los usuarios de un bosque y les
permite
acceder a sus recursos. Si va a crear una relación de confianza unidireccional en un bosque de
recursos, es un
Imagine
confianzalade
confianza
entrada.como
Si va una flecha.
a crear unaLos recursos
relación están en unidireccional
de confianza la punta de la flecha. Los
en un bosque de
usuarios
confianza, es una
que son dedeconfianza
confianza salida. para utilizar estos recursos están en el otro extremo. La Figura 3-6
muestra esta rela-
tionship. La flecha está entrando en la confianza (de recursos) de los bosques y de salida en el
confianza de los bosques.
Confianza de entrada Confianza de salida

Recursos Usuarios
Bosque de confianza o de recursos De confianza del bosque
Figura 3-6 De un solo sentido de confianza de bosque

relación
La creación de confianzas de
bosque
Antes de crear una relación de confianza que necesita para asegurarse de que el nivel
funcional del bosque
tanto de los bosques es Windows Server 2003 o Windows Server 2008. Bosque funciones
nivel internacional se discutieron anteriormente en esta lección. Su próximo paso es asegurarse
de que cada
patrimonio forestal de la raíz puede acceder al dominio raíz del bosque. Es necesario crear
los registros obligatorios de DNS y el uso de la nslookup herramienta para asegurarse de que
puede resolver
los nombres de dominio en el otro bosque. Usted también necesita saber el nombre de usuario
y contraseña
para una cuenta de administrador de la empresa (una cuenta de administrador en la raíz
de dominio) en cada bosque, a menos que la creación de un solo lado de la confianza y un
Crear confianzas
administrador deotro
en el bosque mediante
bosque la apertura
está creando de extremo.
el otro dominios de Active Directory y confianzas
de Admin-
Herramientas administrativas. Es necesario para conectar la herramienta a un DC en el dominio
raíz del bosque. Usted
a continuación, haga clic en el dominio raíz en el panel izquierdo de la herramienta y haga clic
en Propiedades. En
la ficha Confianza, haga clic en Nueva confianza para iniciar el Asistente para nueva confianza.
El asistente le pedirá que introduzca el dominio, bosque, o el nombre de reino de la confianza.
A
crear una relación de confianza que introduzca el nombre de dominio del dominio raíz del
bosque con
la que desea establecer la confianza. El asistente le preguntará si está creando un fideicomiso
reino
o un fideicomiso con un dominio de Windows, seleccione la opción de dominio de Windows. A
continuación, se
En
dada este punto, el asistente
la posibilidad de elegirleentre
preguntará si desea
crear una establecer
confianza una entrada
de bosque de un solo
o una confianza sentido,
externa. de
Elija
un solo sentido
el Bosque
confianza
La confianzade salida,
y haga oclic
deen
dos vías. Si, por ejemplo, se está creando una confianza
Siguiente.
unidireccional en un
recursos forestales, la confianza es entrante. (Ver Figura 3-6). En la práctica, sin embargo, una
de dos vías
El asistente le preguntará si desea configurar solamente su propio lado de la confianza o
la confianza es generalmente la opción más apropiada.
ambas cosas
partes de la confianza. Una contraseña administrativa para ambos dominios raíz del bosque es
necesario
para establecer la confianza. Si sólo dispone de la contraseña administrativa para su propio
de dominio, seleccione la opción Dominio Esto sólo y el administrador de la otra
dominio raíz del bosque se repite el procedimiento en el otro extremo. Si usted sabe tanto de
paso
A
escontinuación,
decir, se puedetiene que elegir
configurar entrelados
ambos la autenticación de todo
de la confianza, el bosque
al mismo y selectivo Authen
tiempo.
ticación. Autenticación selectiva le permite especificar el proceso de autenticación en
más detalle, pero se trata de mucho más esfuerzo. Normalmente se elige todo el bosque
Autenticación.
Autenticación selectiva
MÁS INFORMACIÓN
Para obtener más información acerca de la autenticación selectiva, vea http://technet2.microsoft.com/

windowsserver/en/library/9266b197-7fc9-4bd8-8864-4c119ceecc001033.mspx? Referencia del fabricante = true. Aunque este
información y los documentos relacionados son parte de la biblioteca de Windows Server 2003, la información que
proporcionar es importante para Windows Server 2008.
El asistente muestra un resumen de las opciones que ha elegido. Haga clic en Siguiente para
estable-
blecer la confianza. A continuación, puede confirmar el vínculo.
NOTA Confirme la relación entre los bosques

En Windows Server 2003 una relación de confianza puede ser establecido y funcionan perfectamente bien a pesar de que
el proceso de confirmación no. En la actualidad no está claro si este problema ha sido completamente
solucionado en Windows Server 2008.
Active Directory Federation Services

Se pueden crear confianzas de bosque entre dos o más bosques de Windows Server
2008
(O Windows Server 2008 y Windows Server 2003 los bosques). Esto proporciona
entre bosques de acceso a los recursos que se encuentran en las unidades de negocio
dispares o
las organizaciones. Sin embargo, las confianzas de bosque a veces no son la mejor
opción, como
cuando el acceso a través de las organizaciones tiene que ser limitado a un pequeño
grupo de indi-
individuos. Active Directory Federation Services (ADFS) permite a las organizaciones
permitir un acceso limitado a la infraestructura a socios de confianza. AD FS actúa como
una confianza entre los bosques que opera a través de Internet y amplía la relación de
confianza
barco a las aplicaciones Web (una confianza federada). Web que ofrece un único inicio de
sesión
(SSO)
WindowslasServer
tecnologías
2003 que se pueden
R2 introdujo ADautenticar a un usuario
FS y Windows más de
Server 2008 la vida de una sola
amplía
línea
que. Nuevas características introducidas AD FS en Windows Server 2008 son las
sesión. AD FS con seguridad las acciones de los derechos digitales de identidad y el
siguientes:
derecho
■ Una(conocido como
mejor aplicación Windows
de apoyo Server 2008 se integra con AD FS
reclamaciones) allá deSharePoint
Microsoft Office los límites Server
de seguridad
2007 yyActive
empresariales.
Directory Rights Man-
Servicios de gestión (AD RMS).
■ AD
FS se implementa en Windows Server 2008 como
Instalación mejorada
una función de servidor. El asistente de instalación incluye nuevas comprobaciones
de validación en el servidor.
■ Mejoras
Mejora de la confianza en la política de importación y exportación de confianza
política
funcionalidad de ayudar a minimizar los problemas de configuración que son
comúnmente
asociados con el establecimiento de fideicomisos federados.
AD FS amplía la funcionalidad de SSO para las aplicaciones de cara a Internet. Socios de
expe-
cia la misma experiencia de usuario optimizada SSO cuando tienen acceso a la organiza-
basado en la Web zación de aplicaciones a medida que lo haría al acceso a los recursos
a través de una relación de confianza. Los servidores de federación se pueden
implementar para facilitar los negocios-
to-business (B2B) federados.
AD FS proporciona una solución de gestión de identidades federadas que interopera
con otros productos de seguridad mediante el cumplimiento de la Federación de Servicios
Web
(WS-Federation) especificación. Esta especificación permite a los entornos
gobiernos que no utilizan Windows para federar con entornos Windows. También se
proporciona una arquitectura extensible que soporta el marcado de aserción de seguridad
Language (SAML) 1.1 y el tipo de token de autenticación Kerberos. AD FS puede
realizar reclamo de asignación, por ejemplo, la modificación de las reclamaciones con la

lógica de negocio
variables en una solicitud de acceso. Las organizaciones pueden modificar AD FS para
coexistir con
su
Porinfraestructura
último, AD FSde seguridad
admite y políticas de
la autenticación negocio. distribuida en los
y autorización
Internet. Se puede integrar en la gestión de una organización de acceso existentes
solución para traducir las demandas que se utilizan en la organización de las denuncias
que se
acordadas como parte de una federación. AD FS puede crear, proteger y verificar las
afirmaciones que
moverse entre las organizaciones. También puede auditar y supervisar la comunicación
actividad entre las organizaciones y departamentos para ayudar a garantizar
transacciones seguras.
AD FS función de servidor
MÁS INFORMACIÓN
Para obtener más información acerca de la función de servidor de AD FS en Windows Server 2008, consulte
http://technet2.microsoft.com/windowsserver2008/en/library/a018ccfe-acb2-41f9-9f0a-
102b80a3398c1033.mspx? Referencia del fabricante = true y seguir los enlaces.
Práctica: El aumento de dominios y niveles funcionales de bosque y

Configuración de grano fino Directiva de contraseñas
En esta sesión de práctica de crear y configurar una operación de paz que contiene una
contraseña
política diferente a la política por defecto en el dominio contoso.internal. Antes de hacer
esto, sin embargo, es necesario elevar el nivel funcional del dominio y de bosque.
NOTA Inicio de sesión en el controlador de dominio

En aras de la brevedad y conveniencia, esta sesión de práctica (y otros en este libro) le pide que
sesión de forma interactiva a la DC. Usted debe ser consciente de que en un dominio de la producción es probable que
no lo haría. En su lugar, se inicia una sesión en una estación de trabajo y crear un escritorio remoto
conexión con el DC, o que le instale las herramientas de servidor remoto Administrativo (RSAT) en un
estación de trabajo, abra la herramienta relevante en la estación de trabajo, y conectarlo a la DC.
Ejercicio 1: Elevar el nivel funcional del dominio

En este ejercicio se eleva el nivel funcional de dominio. Para ello, en primer lugar porque la
nivel funcional del bosque no puede ser más alto que el nivel funcional de cualquier dominio
el bosque.
1. Inicie sesión en el DC con la cuenta kim_akers.

2. En el menú Herramientas administrativas, abra dominios de Active Directory y confianzas.
3. En el árbol de la consola, haga clic en el dominio contoso.internal.
4. El control del dominio Elevar el nivel funcional se muestra en la Figura 7.3. Haga clic
derecho
Elevar el nivel funcional del dominio.
Figura 3-7 El control del dominio Elevar el nivel funcional
5. Compruebe el nivel funcional del dominio. Si esto ya es Windows Server 2008,

no es necesario llevar a cabo el resto de esta práctica. En este caso, haga clic en Cancelar
y
cierre de dominios de Active Directory y confianzas y proceder a la práctica 2.
6. Si el nivel funcional de dominio no tiene nada de Windows Server 2008, seleccione
Windows Server 2008 desde la página Seleccione un nivel funcional del dominio disponible
el cuadro desplegable, haga clic en Elevar, haga clic en Aceptar en el nivel de dominio
funcional Levante
cuadro de diálogo y haga clic en Aceptar de nuevo.
7. En el árbol de la consola, haga clic en el dominio contoso.internal, haga clic en Elevar
dominio
Nivel funcional. Repita este proceso hasta que el nivel funcional del dominio se
Windows Server 2008, como se muestra en la Figura 3.8.
Figura 3-8 A nivel funcional de dominio de Windows Server 2008
8. Haga clic en Cerrar. Cerca de dominios de Active Directory y

confianzas.
Ejercicio 2: Elevar el nivel funcional del bosque

En este ejercicio se eleva el nivel funcional del bosque. No intente este ejercicio hasta que
que ha completado el ejercicio 1.
1. Si es necesario, inicie sesión en el DC con la cuenta abierta y activa kim_akers Direc-

historia Dominios y confianzas.
2. En el árbol de la consola, haga clic con el botón de dominios de Active Directory

y confianzas.
3. El control de los bosques Elevar el nivel funcional se muestra en la Figura 3.9. Haga clic
derecho
Elevar el nivel funcional del bosque.
Figura 3-9 El control de los bosques Elevar el nivel funcional
4. Comprobar el nivel funcional del bosque. Si esto ya es Windows Server 2008,

no es necesario para terminar el resto de esta práctica. En este caso, haga clic en Cancelar
y
cierre de dominios de Active Directory y confianzas.
5. Si el nivel funcional del bosque es otra cosa que Windows Server 2008, seleccione
Windows Server 2008 desde la página Seleccione un nivel funcional del bosque disponible
el cuadro desplegable, haga clic en Elevar, haga clic en Aceptar en el cuadro de diálogo
Elevar el nivel funcional de bosque
caja, y luego haga clic en Aceptar.
6. En el árbol de la consola, haga clic en Dominios y confianzas de Active Directorio, haga clic
en Elevar
Nivel funcional del bosque. Repita este proceso hasta que el nivel funcional del bosque se
Windows Server 2008, como se muestra en la figura 3.10.
7. Haga clic en Aceptar. Cerca de dominios de Active Directory y
confianzas.
Figura 3-10 A nivel funcional del bosque de Windows Server 2008
Ejercicio 3: Creación de un PSO

En este ejercicio se crea una operación de paz con las políticas de contraseña que no son los
mismos que los
las políticas de contraseña por defecto para el dominio contoso.internal. A asociar esto con un
grupo de seguridad global llamado special_password que contiene el don_hall usuario. No
intentar este ejercicio hasta que haya completado los dos ejercicios anteriores.
1. Si es necesario, inicie sesión en el DC con la cuenta kim_akers.
2. Crear una cuenta de usuario para don_hall con una contraseña de P @ ssw0rd. Crear un
mundo
grupo de seguridad llamado special_password. Hacer don_hall un miembro de
special_password. Si no está seguro cómo hacerlo consulte el Windows Server
2.008 archivos de ayuda.
3. En el cuadro Ejecutar, escriba adsiedit.msc.
4. Si esta es la primera vez que se ha utilizado el Editor ADSI de la consola en su red de
prueba,
haga clic derecho en ADSI y, a continuación, haga clic en Conectar a. Tipo contoso.internal
en el
Haga doble
5. Cuadro clic en
Nombre contoso.internal.
y haga clic en Aceptar.
6. Haga doble clic en DC = Contoso, DC = interno.
7. Haga doble clic en CN = System.
8. Haga clic derecho en CN = Contraseña contenedor Configuración. Haga clic en Nuevo.
Haga clic en objeto, como se muestra
en la figura 3.11.
Figura 3-11 Crear un objeto de configuración de contraseña
9. En el cuadro de diálogo Crear objeto, asegúrese de que msDS-PasswordSettings está

seleccionado.
10. En el cuadro de CN, el tipo PSO1. Haga clic en
Siguiente.
11. En el cuadro de msDS-PasswordSettingsPrecedence, el tipo 10. Haga clic en
Siguiente.
12. En el cuadro de msDS-PasswordReversibleEncryptionEnabled, el tipo FALSO. Haga clic en
Siguiente.
13. En el msDS-PasswordHistoryLength, escriba 6. Haga clic en Siguiente.
14. En el cuadro de msDS-PasswordComplexityEnabled, el tipo FALSO. Haga clic en
Siguiente.
15. En el cuadro de msDS-MinimumPasswordLength, el tipo 6. Haga clic en
Siguiente.
16. En el cuadro de msDS-MinimumPasswordAge, el tipo 1:00:00:00. Haga clic en
Siguiente.
17. En el cuadro de msDS-MaximumPasswordAge, el tipo 20:00:00:00. Haga clic en
Siguiente.
18. En el cuadro de msDS-LockoutThreshold, el tipo 2. Haga clic en
Siguiente.
19. En el cuadro de msDS-LockoutObservationWindow, el tipo 0:00:15:00. Haga clic en
Siguiente.
20. En el cuadro de msDS-LockoutDuration, el tipo 0:00:15:00. Haga clic en
Siguiente.
21. Haga clic en Finalizar.

22. Abra Usuarios y equipos, haga clic en Ver y, a continuación, haga clic
Características avanzadas.
23. Ampliar contoso.internal, expanda sistema y haga clic en Configuración de la contraseña

Contenedor.
24. Haga clic derecho en PSO1. Haga clic en

Propiedades.
25. En la ficha Editor de atributos, seleccione msDS-PSOAppliesTo, como se muestra en la
Figura 3-12.
Figura 3-12 Al seleccionar un atributo para editar
26. Haga clic en Editar.

27. Haga clic en Agregar cuenta de
Windows.
28. Tipo special_password en el cuadro Escriba los nombres de objeto que desea seleccionar.
Clic
Comprobar nombres.
29. Haga clic en Aceptar. El nombre completo con múltiples valores con el director de Seguridad
Cuadro de diálogo Editor debe ser similar a la Figura 3-13.
30. Haga clic en Aceptar y, a continuación, haga clic en Aceptar para cerrar el cuadro de
diálogo Propiedades de PSO1.
31. Pon a prueba tus ajustes al cambiar la contraseña de la cuenta a un don_hall
no complejo, de seis letras password, como simple.
Figura 3-13 La adición del grupo de seguridad global para special_password PSO1
■ Windows Server 2008 introduce una serie de nuevas características de AD DS,
incluyendo
RODC, de grano fino, las políticas de seguridad, y la herramienta de minería de datos.
■ RODC puede ser instalado en las sucursales para mejorar el inicio de sesión y la
resolución de DNS
en situaciones donde un DC de escritura sería un riesgo para la seguridad.
■ Puede configurar obligaciones de servicio público que tienen las políticas de contraseña y
bloqueo de cuentas diferentes
de las políticas de dominio. Se puede asociar a usuarios o grupos de seguridad con una
■ La herramienta de minería de datos hace posible eliminar los datos de AD DS o AD LDS
operación de paz.
que se
conservadas en forma de instantáneas de AD DS tomadas por el VSS.
■ Windows Server 2008 introduce mejoras en MMC de herramientas, incluyendo
Usuarios y equipos de Active Directory y Sitios y Servicios.
■ Mejoras en AD DS de auditoría permiten determinar qué cambios AD DS han
han hecho y cuando estos cambios se hicieron.
■ Nivel de confianza de los bosques permiten a los usuarios en un dominio en un bosque
para acceder a los recursos en
un dominio de un segundo bosque.
en
Lección 1: "Windows Server 2008 Active Directory." Las preguntas también están disponibles
en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Que ha creado y configurado un PSO que contiene no cuenta predeterminada de bloqueo

políticas hacia fuera. Para que las entidades pueden aplicar este PSO? (Elija todas las que
apliquen.)
A. Un grupo de seguridad global
B. Una cuenta de usuario de
dominio
C. Una unidad
organizativa
D. Un grupo de distribución global
E. Una cuenta de equipo
2. ¿Qué herramienta se puede utilizar para ver los datos de Active Directory
almacenados en instantáneas?
A. SACL
B. PSC
C. AD DS herramienta de minería de
datos
D. AD DS Asistente para la instalación
3. Tiene previsto migrar los recursos de un dominio de Windows NT4 a uno existente
Bosque de Active Directory. ¿Qué tipo de confianza se configura?
A. confianza de bosque
B. confianza externa
C. reino de la confianza
D. acceso directo
confianza
4. Usted es un administrador de dominio en Litware, Inc., en colaboración con colegas
en las sucursales que no son administradores de dominio que han establecido los RODC
en todas las sucursales de Litware. La directiva de replicación de contraseña para una de
las
Litware RODC necesita ser cambiado. ¿Cómo debe hacerse esto?
A. Pregúntele a su colega de la sucursal que tiene el derecho de iniciar sesión en el
RODC
en la rama de abrir Usuarios y equipos y
garantizar que la herramienta está conectada a su rama de RODC. A continuación,
puede cambiar
la configuración de la ficha de la directiva de contraseñas de replicación del RODC es
correcto-
los lazos de hoja.
B. Agregue el usuario de la sucursal que tiene el derecho para iniciar sesión de forma
interactiva en la
RODC rama correspondiente al grupo Administradores de dominio. Pida al usuario
para iniciar sesión
a el Administrador de RODC y abierta. A continuación, puede ampliar la confi-
C.ración y el con
Conectar acceso a la replicación
el RODC relevantesde contraseñas
mediante cuadro
Escritorio de diálogo.
remoto. Open Server
Y expanda Configuración. Acceder a la replicación de contraseñas
Política de cuadro de diálogo.
D. Abra Usuarios y equipos y garantizar que la herramienta es

conectado a un controlador de dominio de escritura en la oficina central. Localice el
RODC relevantes en el
Los controladores de dominio de contenedores y abrir el cuadro de diálogo
Propiedades. Hacer
el cambio necesario a través de la ficha de la directiva de contraseñas de réplica.
5. Usted está planeando crear una relación de confianza bidireccional entre el bosque de la
empresa
y el bosque de una organización de reciente adquisición. Lo forestal mínima función
nivel internacional se requiere de ambas organizaciones?
A. Windows 2000
B. Nativo de Windows 2000
C. Windows Server 2003
D. Windows Server 2008
6. Va a utilizar la herramienta de gestión de dominio (Netdom.exe) a nombre de un dominio.
Todos sus centros de datos en la actualidad ejecutan Windows Server 2003 o Windows
Server
2008. Usted no tiene actualmente planes para actualizar el Windows Server 2003 DC.
¿Qué nivel funcional de dominio apoya este plan?
A. Windows Server 2008
B. Windows Server 2003
C. Nativo de Windows 2000
D. Mixto de Windows 2000
Lección 2: Directiva de grupo en Windows Server 2008

Como un administrador experimentado que ya sabe que la directiva de grupo simplifica
administración mediante la automatización de muchas tareas relacionadas con la
administración de usuarios y computadoras.
Usted debe ser consciente de que puede utilizar la Directiva de grupo para instalar aplicaciones
permitidas
en los clientes de la demanda y para mantener las aplicaciones al día. Capítulo 4, "Solicitud
Servidores y servicios ", trata sobre este aspecto con más detalle.
En esta lección, por lo tanto, no cubre los aspectos básicos de la directiva de grupo en detalle,
pero
no discute las mejoras que introduce Windows Server 2008.
En Windows Server 2008, el Group Policy Management Console (GPMC) es construido adentro
Puede instalar GPMC mediante el Asistente para agregar características del Administrador del
servidor. Hacer
esto en la sesión de práctica más adelante en esta lección. Mediante GPMC, de manera
eficiente puede imple-
ción configuración de seguridad, hacer cumplir las políticas, y consistente en distribuir el
software
Plantilla administrativa
sitios, dominios (ADM)
o unidades se introdujo en Windows NT4 y se utilizan
organizativas.
para describir el registro basado en la configuración de directiva de grupo. En Windows Sever
2008 (y en Windows
dows Vista), los archivos ADM se sustituyen por lenguaje de marcado extensible (XML)
conocidos como archivos ADMX. Estos nuevos archivos de plantilla administrativa que sea más
fácil
gestión basada en el Registro configuración de la directiva.
Esta lección describe la configuración de directiva presentado por Windows Server 2008 que
puede administrar mediante GPMC. También se discute ADMX independiente del idioma y
lenguaje de los archivos específicos.

■ Instale GPMC (si es necesario) y utilizar la consola para administrar la configuración de directiva
■
de grupo.
Lista de los ajustes de nuevo Grupo de Política introducida por Windows Server 2008 y explicar
sus funciones.
■ Escribir archivos simples ADMX.
■ Discutir los diferentes problemas que pueden ocurrir en la configuración de directiva de grupo y
cómo
usted debe solucionar.
Comprensión de directiva de grupo

Usted ya sabe que la configuración de directiva de grupo que figuran en los objetos de directiva
de grupo
(GPO) se puede vincular a las unidades organizativas, y que las unidades organizativas pueden
heredar los valores de los padres
Herencia de las unidades organizativas o de bloque y obtener su configuración específica de su
propia vinculadas
Lección 2: Directiva de grupo en Windows Server 2008 171
GPO. También sabemos que algunas políticas-en concreto, las políticas de seguridad-puede
ser configurado para
"No pasar por alto" por lo que no puede ser bloqueado o niño sobrescribe y la fuerza de las
unidades organizativas
heredan
WindowslaServer
configuración
2008 no de sus padres.
cambios de este, además de la introducción de obligaciones de
servicio público,
descrito en la lección anterior, que permiten algunas opciones de seguridad (como paso
palabra y la configuración de bloqueo de cuentas) que se configuran de forma diferente desde
el dominio
por defecto y se aplica a grupos de seguridad.
Sin embargo, el funcionamiento básico de la directiva de grupo, así como sus funciones siguen
siendo
sin cambios. Para entender Windows 2008 de Directiva de grupo que usted necesita saber lo
que los nuevos
la configuración de Windows Server 2008 introduce.
Nuevo Windows Server 2008 Configuración de directivas de
grupo
La configuración del grupo después de la política se han introducido en Windows Server 2008
(La lista no es exhaustiva):
■ Permitir el arranque remoto de Programas Cotizadas Este equipo basado en el establecimiento

de políticasespecificar si los usuarios remotos pueden iniciar cualquier programa en el
le permite
terminal
servidor (TS) cuando se inicia una sesión remota, o si sólo puede comenzar a pro-
programas que se enumeran en la lista Programas RemoteApp. Usted puede utilizar el TS
remoto
Gerente de la aplicación de herramientas para crear esta lista. De manera
predeterminada, un usuario puede iniciar programas sólo en el
Programas RemoteApp lista durante una sesión remota. La figura 3-14 muestra esta
configuración.
La figura 3-15 muestra el Asistente para RemoteApp que se abre desde el RemoteApp de
TS
Gerente y le permite agregar programas a la lista Programas RemoteApp.
Figura 3-14 Permitir el inicio a distancia de programas no cotizan en

bolsa
Figura 3-15 El Asistente para RemoteApp
Terminal Services RemoteApp

MÁS INFORMACIÓN
Para obtener más información acerca de Servicios de Terminal Server RemoteApp, consulte http://technet2.microsoft.com/
windowsserver2008/en/library/57995ee7-e204-45a4-bcee-5d1f4a51a09f1033.mspx? Referencia del fabricante = true. Para más
información sobre la función de servidor de Servicios de Terminal Server, véase el capítulo 5 y http:/technet2.microsoft.com/
windowsserver2008/en/library/ddef2b89-73cf-4d74-b13b-47890fd1a6271033.mspx.
■ Permitir redirección deEsta

zona configuración
horaria de directiva basada en el usuario determina si
el equipo cliente vuelve a dirigir su configuración de zona horaria a los Servicios de
Terminal
sesión. Cuando se habilita esta configuración de directiva, los clientes que son capaces
de tiempo
■ redirección de zona de enviar
Mostrar siempre el escritorio Esta
su información
configuración
En conexión dede zona horaria
directiva enen
basada el el
servidor.
usuario determina
si el escritorio se muestra siempre cuando un cliente se conecta a un mando a distancia
ordenador, incluso si el primer programa ya está especificado en el usuario por defecto
pro-
archivo, Conexión a Escritorio remoto (RDC), cliente de Terminal Services, oa través de
Directiva de grupo. Si un programa inicial no se especifica, el escritorio remoto es siempre
aparece cuando se conecta el cliente.
■ De diagnóstico de disco: Configurar texto de alerta personalizados Este equipo basado en el
establecimiento
requiere de políticas de escritorio se instala en un servidor Windows Server 2008.
que la experiencia
Se sustituye el texto de alerta personalizados en el mensaje de diagnóstico de disco
muestra a los usuarios
cuando un disco de una auto-informes de supervisión, análisis y presentación de informes

de Tecnología
(SMART) falla.
NOTA SMART
La mayoría de fabricantes de discos duros incorporan la lógica de SMART en sus unidades. Esto actúa como una de
las primeras
sistema de alerta de problemas en las unidades pendientes. Para más información, consulte
http://www.pcguide.com/ref/
hdd / perf / calidad / featuresSMART-c.html. Esto no es un enlace de Microsoft y la URL puede cambiar, en el que
caso de que usted puede buscar en Internet para "auto monitoreo, análisis y reporte de Tecnología".
Sin embargo, tenga en cuenta que SMART no es una tecnología de Microsoft y es poco probable que participarán en la
70-646 examen.
Experiencia de escritorio
Configuración de un servidor Windows Server 2008 como servidor de terminales permite
utilizar
Conexión a Escritorio remoto 6.0 para conectarse a una computadora alejada de su
equipo administrador y se reproduce en el ordenador de escritorio que
existe en el equipo remoto. Cuando se instala Experiencia de escritorio en Win-
dows Server 2008, puede utilizar las funciones de Windows Vista tales como Windows
Media
Jugador, temas de escritorio y gestión de fotos dentro de la conexión remota.
Para instalar Experiencia de escritorio, abra Administrador del servidor y haga clic en
Agregar funciones en
la sección Resumen de características. Seleccione la casilla Experiencia de escritorio,
haga clic en
A continuación, y luego haga clic en Instalar.
■ Este
De diagnóstico de disco: Configurar el equipo basado en el establecimiento de políticas
nivel de ejecución
requiere que la experiencia de escritorio está instalado en su Windows Server 2008
servidor. Determina el nivel de ejecución para el diagnóstico de disco SMART-basado. La
Diagnóstico de la política de servicio (DPS) que detectar y registrar las fallas de SMART
para el registro de eventos
cuando se producen. Si habilita esta configuración de directiva, el DPS también advertir a
los usuarios
y guiarlos a través de backup y recuperación para minimizar la pérdida potencial de datos.
■ No permitir redirección del Esta configuración de directiva basada en el usuario especifica
Portapapeles
si se debe evitar el uso compartido de contenido del portapapeles (redirección del
portapapeles)
entre un equipo remoto y un equipo cliente durante una Terminal Services
sesión. De manera predeterminada, Terminal Services permite la redirección del
portapapeles. Si la política
estado se establece en No configurado, la redirección del portapapeles no se especifica
en el
Nivel de directiva de grupo, pero un administrador puede deshabilitar la redirección del
portapapeles utilizando
los Servicios de Terminal herramienta de configuración.
■ No mostrar la ventana de configuración inicial tareas de Este

forma automática Al iniciar la sesión
equipo basado en configuración de directiva le permite desactivar la visualización
automática de la
Tareas de configuración inicial ventana de inicio de sesión. Si no configura esta directiva
ajuste, la configuración inicial ventana Tareas se abre cuando un administrador
sesión en el servidor. Sin embargo, si el administrador selecciona la no muestran este
En la ventana de inicio de sesión casilla de verificación, la ventana no se abre en los
inicios de sesión posteriores.
■ No Presentación de página ServerEsta directiva
Manager dellaequipo
Al iniciar sesión de configuración basada en
ting le permite desactivar la visualización automática de Administrador de servidores al
iniciar la sesión. Si
habilita esta configuración de directiva, el Administrador de servidores no se abre
automáticamente
cuando un administrador inicia sesión en el servidor. Este ajuste es específico para el
servidor
■ Cumplir eliminación de Fondos de Esta directiva
Escritorio remotodel equipo de configuración basada en
en lugar de una cuenta de usuario en particular.
ting especifica si papel tapiz del escritorio se muestra en los clientes remotos conectar-
ción a través de Terminal Services. Usted puede utilizar esta opción para ejecutar la
expulsión de
fondo de pantalla durante una sesión remota. Windows Server 2003 Server no por
fondo de pantalla por defecto para las sesiones remotas. Si el estado de directiva se
establece en
Activado, no de fondo aparece a un cliente de Terminal Services. Si el estado se
establece
para personas de movilidad reducida, fondos de pantalla puede parecer a un cliente de
■ Terminal Services,
Group Policy enEsta
Management función de en el usuario permite el establecimiento de políticas o
basado
Editor
la configuración del cliente.
pro-
prohíbe los el uso del editor de Group Policy Management Server. Si habilita esta
establecer el complemento está permitido. Si esta opción no está configurada, la opción
Restringir
Usuarios a la lista permisos explícitos establecer complementos determina si
Este complemento está permitido o prohibido.
Restringir los usuarios a la lista de permisos explícitos complementos
MÁS INFORMACIÓN
Esta configuración de directiva no es nueva en Windows Server 2008 y por lo tanto no se describe en esta lección.
Si usted nunca ha visto este ajuste y necesita más información, consulte http://www.microsoft.com/
technet/prodtechnol/windows2000serv/reskit/gp/251.mspx? Referencia del fabricante = true.
■ Grupo de Política de arranque GPO Editor Esta basado en el usuario permite el establecimiento
de políticas
su uso de laoDirectiva
prohib de grupo GPO de inicio complemento. Si esta opción no es
configurado, el restringir los usuarios a la lista de permisos explícitos complementos set-
ting determina si este complemento está permitido o prohibido.
■ Este usuario
Redirigir sólo la impresora predeterminada basada en el establecimiento de políticas
del cliente
(usuario)
le permite especificar si la impresora predeterminada del cliente es la única impresora
redi-
corregidas en sesiones de Terminal Services.
■ Estadel
Redirigir sólo la impresora predeterminada política
cliente basados
(PC) en computadoras
configuración le permite especificar si la impresora predeterminada del cliente es la única
impresora
redirigido en sesiones de Terminal Services. Esta configuración es independiente de la
usuario con sesión iniciada. Figura 3-16 muestra el cuadro de diálogo Propiedades que le
permite config-
Ure este ajuste.
Figura 3-16 Sólo redirigir el cliente predeterminado cuadro de diálogo Propiedades de la

impresora
■ Esta política
Establecer el número de reintentos de contraseña basados
Servidores Sync en computadoras
configuración le permite establecer el número de reintentos de sincronización en caso de
fallo servi-
ERS. Si se habilita esta directiva, todos los servidores afectados Contraseña Sync utiliza
el número de
reintentos especificado por la configuración de directiva. Si deshabilita o no configura esta
configuración
■ Establecer el intervalo de reintento deEsta directiva deldistintos
equipo de configuración basada en de
ting, la preferencia del usuario secontraseña
utiliza Servidores
para los servidores de sincronización
Sync
ting le permite establecer el intervalo en segundos entre reintentos de sincronización
contraseñas.
fracasos. Si deshabilita o no configura esta configuración de directiva, la preferencia del
usuario
se utilizarán para los distintos servidores de sincronización de contraseñas.
■ Establecer intervalo de actualizaciónEsta

para directiva del NIS
los servidores equipo de configuración basada en
subordinados
ting le permite establecer un intervalo de actualización para empujar Red de Información
de Ser-
vice (NIS) se asigna a los servidores NIS subordinados. Si se habilita esta política, el
intervalo especificado de actualización se utiliza para todos los servidores afectados por
NIS (SNIS), los países en desarrollo. Si
se desactiva o no configura la configuración de directiva, la preferencia del usuario se
utilizados para los distintos centros de datos del SNIS.
Servidor para NIS
MÁS INFORMACIÓN
Para más información sobre SNIS y NIS, consulte http://technet2.microsoft.com/windowsserver/en/

library/d9a0eb27-026f-455b-8d86-fa832b1c2eb31033.mspx? Referencia del fabricante = true.
■ Esta equilibrio
El uso de sesiones de TS Broker configuración de directiva basado en computadora permite
de carga
especificar si se debe utilizar la sesión de TS Broker característica Equilibrio de carga de
equilibrar la carga entre los servidores de una granja de TS. Si habilita esta configuración
de directiva,
Broker de sesión de TS redirigirá a los usuarios que no tengan una sesión existente a la
terminal de servidor de la comunidad con el menor número de sesiones.
TS Session Broker y granjas de TS

MÁS INFORMACIÓN
Para más información sobre el Agente de sesión de TS y las granjas de TS, consulte
windowsserver2008/en/library/4c492494-1a34-4d3e-80b1-4a562b8a0bdc1033.mspx? Referencia del fabricante =
true y
seguir los enlaces.
■ Esta
Activar el registro extensivo para servidores política basados
de sincronización de en computadoras
contraseña
configuración le permite gestionar la función de un amplio registro de sincronización de
contraseñas
servidores. Si se habilita esta directiva, todos los servidores afectados sincronización de
contraseñas de registro inter-
■ mediar en los pasos en los intentos de sincronización.
Este
Activar el registro extensivo para los controladores de dominio que ejecuta Servidor para NIS
equipo basado en configuración de directiva le permite administrar la tala indiscriminada
característica de los países en desarrollo SNIS.
■ A su vez en las ventanas para NIS de sincronización de contraseñas para los usuarios migrados para
sincronización de contraseñas
Servidores Esta configuración de directiva basado en computadora le permite manejar el
A NIS contraseña función de sincronización (para usuarios de UNIX migrado a Active
Windows
Directory).
■ Uso de Servicios de Terminal Easy Print primer piloto (el usuario) Este usuario basada en el
establecimiento
le de políticas
permite especificar si los Servicios de Terminal Server Fácil controlador de impresora
de impresión es
utilizó por primera vez para instalar todas las impresoras del cliente.
■ Uso de Servicios de Terminal Easy Print primer piloto (PC) Esta pol basados en computadoras
establecimiento de hielo le permite especificar si los Servicios de Terminal Server
impresora Easy Print
conductor se utilizó por primera vez para instalar todas las impresoras del cliente. La
configuración de la computadora-basado en
independiente de que el usuario ha iniciado sesión.
Mundo Real
Ian McLean
Libros sobre una nueva e importante versión de la aplicación o sistema operativo tiende a
cubrir las novedades que se introducen. Afortunadamente la mayoría de los exámenes se
el mismo. A menos que sean por escrito de algo completamente nuevo, los autores
tienden a moverse rápidamente sobre lo que ha venido antes. Si no, la mayoría de los
técnicos
libros sería demasiado largo y muy costoso.
Sin embargo, a pesar de los exámenes y los libros son principalmente acerca de lo que es
nuevo, real
la vida no refleja esta situación. Todos los días hago un llamamiento a las habilidades y
principios que
Que he aprendido en los tiempos de Windows 2000 Server e incluso Windows NT4.
Tampoco es
Hay alguna garantía de que el examen sólo se le preguntará sobre las nuevas
características. Si el
especificar los objetivos de la directiva de grupo, el examinador tiene derecho a pedir
cualquier cosa
Recuerdo que leagusta
que viene través de una pregunta en un examen de hace unos años y el
acerca de directivas de grupo, si la función se introdujo en Windows 2000
pensamiento
Server
que eraoalgo
Windows Server
que había 2008. algo de tiempo antes y no había utilizado mucho desde
aprendido
entonces. Por-
Desgraciadamente yo sabía la respuesta, pero no fue que yo hubiera encontrado en
ninguno de los libros que había
leer como preparación. A veces he sido abordado por los colegas que han leído
uno de mis libros y le dijo acerca de un tema examinado que no se incluyó. Sonrío
En particular,
débil y les digolos candidatos
que fue en unpara
libroelanterior
examen 70-646
que separa
escribí espera que se expe-
un examen anterior.
Los administradores experimentados y se pondrá a prueba como tal. No puedo poner un
sólido de tres años
experiencia en un libro, además de todas las complejas características nuevas
introducidas por Windows
Server 2008. Que iba a necesitar toda una biblioteca. La solución es asegurarse de que
tiene la
la experiencia. En el mundo real a menudo se hace la misma tarea en varias ocasiones, y
que
otros miembros de su equipo de asumir la responsabilidad de otras tareas. Para el
examen de su-
minación de preparación, trate de obtener experiencia en todo. Los libros son valiosos,
pero
sólo hay una manera de conseguir títulos y para avanzar en su carrera. En las manos,
manos, y más manos.
Planificación y gestión de la directiva de grupo

Planificación de la directiva de grupo es, en parte, la planificación de su estructura organizativa.
Si
tiene un gran número de unidades organizativas, algunas de las políticas que hereda, otros el
bloqueo de la herencia,
OU varios enlaces a la misma GPO, y varios GPO enlace a la misma unidad organizativa-que
tiene una receta para el desastre. Aunque muy pocas unidades organizativas y GPO también
es un error, la mayoría de nosotros
errar por el lado de tener demasiadas. Mantenga sus estructuras simples. No enlaces unidades
Cuando ustedyestá planeando la directiva de grupo que necesita para estar al tanto de la
organizativas
directiva
GPO entre delos
grupo configuración
límites del sitio. Dé a sus unidades organizativas y GPO nombres significativos.
ajustes que se proporcionan con Windows Server 2008. Estos son numerosos y no es
práctica de memorizar todos ellos, pero usted debe saber lo que las distintas categorías
se. Incluso si usted no modifica las políticas, la exploración de la estructura directiva de grupo
en
Directiva de grupo Editor de administración de la pena. Va a desarrollar una idea de lo que se
disponible y si es necesario generar políticas personalizadas mediante la creación de archivos
Usted también necesita una buena comprensión de cómo la directiva de grupo se procesa en el
ADMX.
cliente.
Esto ocurre en las dos fases siguientes:
■ Cuando un cliente comienza a procesar la directiva de grupo, se debe
Núcleo de procesamiento
determinar
mina si se puede llegar a un DC, ya sea de los GPO han cambiado, y
lo que la configuración de directiva debe ser procesado. El Grupo de Política de motor
central realiza
■ la tramitación de este enEn la fase
Extensión del lado cliente (CSE) esta inicial.
fase, la configuración de Directiva de grupo se
de procesamiento
de
colocados en distintas categorías, como Plantillas administrativas, Configuración de
seguridad,
Redirección de carpetas, cuota de disco, y la instalación del software. Un CSE específicos
pro-
la configuración de los procesos en cada categoría, y cada CSE tiene sus propias reglas
para el proceso de-
configuración de ing. El Grupo de Política de motor central llama a la CSE que se
CSE no puede comenzar
requieren para el proceso hasta el procesamiento de directivas de grupo núcleo se
ha completado.
proceso deEsla configuración que se aplica al cliente.
tanto, es importante para planificar su directiva de grupo y la estructura de su dominio para que
este
pasa tan rápido y fiable posible. La sección de solución de problemas más adelante en este
lección analiza algunos de los problemas que pueden retrasar o prevenir la Política centrales
del grupo
procesamiento.
Arrancador GPO
Windows Server 2008 introduce la directiva de grupo GPO de inicio. Estos GPO le
permiten
guardar las plantillas de referencia que puede utilizar al crear nuevos GPO. También
puede
exportación de arranque GPO a dominios distintos de aquellos en los que fueron creados.
Al abrir GPMC en Windows Server 2008 se puede ubicar el arranque

GPO de contenedores en el panel izquierdo. Hasta que lo pueblan este contenedor es
vacío. Para crear un GPO de inicio, haga clic en el contenedor de arranque y GPO
seleccionando Nuevo. Puede configurar los GPO en este contenedor como lo haría
configurar
cualquier GPO, excepto que sólo la configuración de plantillas administrativas están
disponibles en
tanto la configuración del equipo y Configuración de usuario.
Al crear un nuevo GPO de arranque se le pedirá un nombre para el arranque
GPO y también puede agregar un comentario. Puede editar su arranque GPO y configurar
el
Las plantillas administrativas que requiere. Cuando se crea un GPO de inicio se auto-
automáticamente crea una nueva carpeta en la DC para que GPMC está conectado, por
defecto
en el directorio C: \ Windows \ SYSVOL \ dominio \ ruta StarterGPOs. Esto se replica en
otros controladores de dominio como parte de la replicación de SYSVOL.
Puede crear una nueva (normal) con un GPO GPO de inicio como una plantilla por la
derecha
haciendo clic en el GPO de inicio y seleccionando Nuevo GPO del abridor GPO. Alterna-
vamente puede hacer clic en el contenedor de objetos de directiva de grupo, seleccione
Nuevo y, a
a continuación, especifique un arrancador GPO como la fuente de arranque GPO en la
lista desplegable. Puede
acceder al mismo cuadro de diálogo y especifique un GPO de inicio si hace clic en una
unidad organizativa (o
el dominio) y seleccione Crear un GPO en este dominio y vincularlo aquí.
Un GPO de inicio le permite crear fácilmente varios GPO con la misma línea base
de configuración. Sólo es necesario configurar los ajustes de estos objetos que no son
Arrancador GPO no están respaldados al hacer clic en copia de seguridad en la acción
contenida en Plantillas administrativas.
GPMC
menú o haga clic en el contenedor de objetos de directiva de grupo y seleccione Copia de
seguridad de todos.
Que necesita para copia de seguridad de GPO de inicio por separado, haga clic en el
GPO de inicio
contenedores y la selección de copia de seguridad de todos o haciendo clic derecho en
cada GPO de inicio
y la selección de copia de seguridad.
GPO comentarios y plantilla administrativa de filtrado
MÁS INFORMACIÓN
La capacidad de añadir comentarios a los GPO de inicio y ordinario GPO es nuevo en Windows Server
2008. Puede introducir un comentario acerca de toda la GPO y comentarios acerca de secundaria
ajustes individuales. Otra de las novedades en Windows Server 2008 es la instalación de un filtro de GPO
Administrativo
Configuración de la plantilla por cualquier configuración o comentario. Para más información, consulte
http://technet2.microsoft.com/WindowsServer/en/library/e50f1e64-d7e5-4b6d-87ff-
adb3cf8743651033.mspx.
La gestión de directivas de grupo mediante archivos ADMX

ADMX, basado en XML, son sin duda más útil y fácil de usar que el ADM
archivos a los que sustituyen. Definen basada en el Registro configuración de directiva que se
encuentran en la
Plantillas de categoría administrativa en el Editor de objetos de directiva. El Grupo de
Instrumentos de política tales como el Editor de objetos de directiva de grupo y GPMC siguen
en gran medida
sin cambios de Windows Server 2003, a excepción de algunas configuraciones de directiva
adicionales
A diferencia
que de losen
se describen archivos ADM,
la sección ADMX no se almacenan en cada GPO. Se puede crear un
anterior.
ubicación en el centro almacén de archivos ADMX que es accesible por cualquier persona con
permiso para
crear o editar los GPO. Herramientas de directiva de grupo siguen reconociendo los archivos
ADM en su existen-
entorno de ING, pero ignorará cualquier archivo ADM que ha sido reemplazado por un ADMX
archivo. La Directiva de grupo lee automáticamente y muestra Administrativo
Ajustes de plantilla de directiva de los archivos ADMX que se almacenan de forma local o en el
ADMX almacén central. Todas las configuraciones de directiva de grupo aplicadas actualmente
por los archivos ADM en
sistemas operativos antiguos están disponibles en Windows Server 2008 como archivos ADMX.
NOTA Windows Vista
Windows Vista también utiliza archivos ADMX para aplicar la política local. Si se crea un almacén central en
un equipo con Windows Server 2008 DC, puede copiar los archivos ADMX de una administración de Windows
Vista
estación de trabajo a esa tienda.
Los archivos de plantilla administrativa de uso de un formato de archivo basado en XML que
describe el Registro
la directiva de grupo basada en. ADMX están divididos en recursos independientes del idioma (.
Admx
archivos) y el lenguaje específico de los recursos (. adml archivos). Esto permite a las
herramientas de directiva de grupo
para ajustar sus interfaces de usuario de acuerdo con el idioma elegido. Usted puede agregar
un nuevo
lenguaje a un conjunto de definiciones de políticas, siempre que el lenguaje específico de
Ubicación de los archivos
archivo de recursos
ADMX
está disponible.
Archivos ADMX en Windows Server 2008 controladores de dominio se hace en un almacén
central. Esto en gran medida
reduce la cantidad de espacio de almacenamiento necesario para mantener la GPO. En
Windows Server
2008, la Directiva de grupo no copia los archivos ADMX a cada GPO editado.
Por el contrario, ofrece la posibilidad de leer de un solo nivel de dominio ubicación en el DC.
Si el almacén central no está disponible, la Directiva de grupo leerá el
administración local (Windows Vista) estación de trabajo.
El almacén central no está disponible por defecto, que hay que crearla manualmente. Para ello,
en la sesión de práctica más adelante en esta lección. Además de almacenar estándar de
Windows
Server 2008 archivos ADMX en el almacén central, puede compartir un archivo personalizado
de ADMX también
copiar este archivo en el almacén central. Esto hace que automáticamente disponible para
todos los grupos
Los administradores de la política en un dominio. La Tabla 3-6 muestra las ubicaciones de los
archivos ADMX en un DC
(Suponiendo una típica instalación de Windows 2008 y Estados Unidos Inglés ADMX
lenguaje de los archivos específicos). Microsoft recomienda que cree manualmente el centro
almacenar en el DC principal de su dominio, es decir el primer Windows 2008 DC que
configuradas en su dominio. Esto hace que sea más rápido para reproducir los archivos a todos
los demás
Los países
Tabla 3-6 en desarrollo
Ubicaciones en archivos
de los su dominio
ADMXmediante la replicación de Sistema de archivos
en un DC
distribuido (DFSR). Capítulo 6,
Tipo de Archivo
"Servicios Ubicacióntrata
de archivos e impresión", de los
sobre DFSR en detalle.
archivos
ADMX idioma C: \ Windows \ SYSVOL \ domain \ policies \
neutral (. admx) PolicyDefinitions
ADMX idioma C: \ Windows \ SUSVOL \ domain \ policies \

específicos (. adml) PolicyDefinitions \ es-es
El almacén central para los archivos ADMX permite a todos los administradores de esa edición
basada en el dominio
GPO para acceder al mismo conjunto de archivos ADMX. Después de crear el almacén central,
las herramientas de directiva de grupo utilizará los archivos ADMX sólo en el almacén central,
haciendo caso omiso de cualquier
almacenados localmente versiones. Para editar los GPO utilizando almacenados de forma
centralizada los archivos ADMX crear por primera vez
el almacén central, y todas las subcarpetas que usted necesita para el lenguaje específico de
los archivos. Puede
A continuación, copie los archivos ADMX de su estación de trabajo administrativa en el
La creación
almacén de archivos
central. Usted ADMX
hacer esto en la sesión de práctica
Si la configuración del grupo más
estándar deadelante enque
la política estaselección.
incluyen en Windows Server son
insuficientes para
sus necesidades, usted podría considerar la creación de archivos ADMX. En primer lugar, una
palabra de advertencia,
ADMX modificar el registro. Tenga mucho cuidado con cualquier modificación del registro y
hacer
Seguro de que volver a revisar su código. Por encima de todo, no se instalan los archivos del
Microsoft
usuario enrecomienda
un ADMX descargar e instalar archivos de ejemplo, y la modificación de los ele-
gobiernos que
red de producciónno afectan el que
antes de registro hasta
los han que esté
probado en seguro
una redacerca del uso
de prueba de la sintaxis ADMX.
aislada.
Puede descargar el archivo de instalación de http://www.microsoft.com/downloads/

details.aspx? FamilyId = 3D7975FF-1242-4C94-93D3-B3091067071A & displaylang = es.
El esquema ADMX define la sintaxis de los archivos ADMX. Si desea ver el

esquema, puede descargarlo desde http://www.microsoft.com/downloads/
details.aspx? FamilyId = B4CB0039-E091-4EE8-9EC0-2BBCE56C539E & displaylang = es.
Tenga en cuenta, sin embargo, que el programa de examen 70-646 no incluye el esquema
de gestión.
Usted puede crear y editar archivos ADMX mediante el uso de un editor XML o un editor de
texto como nota-
pad. Si no desea descargar los archivos de ejemplo que puede utilizar el Bloc de notas para
abrir cualquiera de los
ADMX archivos que se colocan en el almacén central en la sesión de práctica más adelante en
esta lección.
Tenga
NOTA El cuidado, sinlosembargo,
examen de cambiar el nombre del archivo antes de guardar los cambios
archivos ADMX
realizados.
ADMX son bastante largos, y no es práctico o útil en particular para incluir una en este libro.
En su lugar, se recomienda que abra los archivos en el Bloc de notas y examinar el contenido.
Costumbre de base ADMX archivos

MÁS INFORMACIÓN
Si va a crear una serie de archivos ADMX que se muestran en un nodo de una sola categoría en el
Directiva de grupo, es necesario crear un archivo de base personalizado. Para más información, consulte
http://technet2.microsoft.com/windowsserver2008/en/library/22f34dbd-1d72-4ddd-9b14-
4ba8097827771033.mspx? Referencia del fabricante = true.
ADMX se crean como un archivo independiente del idioma (. Admx) y uno o más
específicos del lenguaje (los archivos. adml). Tenga en cuenta que XML es sensible a
mayúsculas. Un lenguaje neutro
Archivo ADMX contiene los siguientes elementos:
■ Declaración Esto
XML es necesario para el archivo para validar como un archivo basado en
XML. Lo
contiene información de versión y codificación.
■ PolicyDefinitions elemento Este contiene todos los demás elementos de un archivo.
Admx.
■ Esto define el espacio de nombres único para el archivo. Este
PolicyNamespaces elemento
elemento que también proporciona una asignación de espacios de nombres de archivo
externo.
■ Este especifica los requisitos para el idioma específico
Recursos elemento
recursos, por ejemplo, la versión mínima necesaria de los archivos. adml.
■ Esto especifica las referencias a cadenas de texto localizados definir

SupportedOn elemento
los sistemas operativos o aplicaciones afectadas por una configuración de directiva
específica.
■ Categorías elemento Esto especifica categorías en las que la política de ajuste en el

archivo se muestra en el Editor de objetos de directiva. Tenga en cuenta que si se
especifica un gato
goría nombre que ya existe en otro archivo ADMX crear un nodo duplicado.
■ Políticas elemento Este contiene las definiciones de la política de cada
establecimiento.
Un lenguaje específico (o de recursos de idiomas) archivo ADMX contiene los siguientes
elementos:
■ Declaración Esto
XML es necesario para el archivo para validar como un archivo basado en
XML.
Este elemento es el mismo en. Admx y archivos. Adml.
■ PolicyDefinitionResources elemento Este contiene todos los demás elementos de un lenguaje-
específicos de archivos
ADMX.
■ Recursos elemento (. adml) Este contiene un StringTable y un elemento Presenta-
tionTable elemento de un idioma determinado.
ADMX elementos del archivo

MÁS INFORMACIÓN
Para más información, y específicamente para los ejemplos de cada elemento, consulte
http://technet2.microsoft.com/windowsserver2008/en/library/22f34dbd-1d72-4ddd-9b14-
4ba8097827771033.mspx? Referencia del fabricante = true.You necesidad de ampliar la sintaxis ADMX en el panel
de la izquierda y
seguir los enlaces.
ExamenElConsejo
examen 70-646 es muy poco probable que le pedirá que cree un archivo ADMX en
condiciones de examen. Sin embargo, podría mostrar una sección de código XML y le hará preguntas
sobre él. Normalmente, el código no es difícil de interpretar. Por ejemplo, una sección de código que comienza
<policies> es probable que forme parte de la Políticas elemento.
Solución de problemas de directiva de

grupo Directiva de grupo muy rara vez "se rompe". Es parte de AD DS y, como tal, es robusto y
capacidad de recuperación. Lo que es mucho más probable que ocurra es que las políticas no
se aplicará la
manera que usted y sus usuarios esperan que sean. Por ejemplo, una configuración de un
GPO se incor-
correctamente configurado o, más comúnmente, la herencia política y la estructura de unidades
organizativas, no se
correctamente diseñado. Como resultado, los usuarios no son capaces de hacer las cosas que
tienen que hacer o (más
en serio y más difícil de depurar) que pueden hacer cosas que no deberían ser capaces de
hacer. Si utiliza
Su primer paso bucle (basadodeendepuración
en la política sistemas informáticos)
del Grupo eseltípicamente
tratamiento, los comprobar
para equipos de que
la el
seguridad
dominio de infra-
habitación no sido
estructura ha esté correctamente
funcionando tan seguro como
planificadas debería ser.
y ejecutadas. Usted necesita asegurarse de que
los servicios y los componentes están funcionando y configurado como se esperaba. Al igual
que con
toda la depuración del sistema, comienzan en la capa más baja y asegurarse de que tiene la
red completa
conectividad. Si un cliente en particular no está funcionando como debería, verifique que se
trata de con-
No le gusta administrador de excepciones, pero son necesarias para su ejecución. Típicamente
conectado a la red, unido al dominio, y tiene el tiempo correcto del sistema.
es posible que tenga configurado el filtrado de seguridad, Windows Management
Instrumentation
(WMI), filtros, ajustes de bloquear la herencia, sin invalidar la configuración, procesamiento de
bucle invertido,
y de vínculos lentos ajustes. Es necesario comprobar que estos ajustes no afectan a lo normal
GPO procesamiento.
Uso de las herramientas de directiva
de grupo
Grupo de herramientas de depuración de la política son bien conocidos, y Windows 2008 no
intro-
producir cambios significativos. Por ejemplo, GPResult.exe verifica la configuración de directiva
en
efecto de un determinado usuario o equipo. Gpotool.exe es una utilidad del kit de recursos que
los cheques
GPO para mantener la coherencia en cada controlador de dominio en su dominio. La
Posiblemente una de determina
herramienta también las herramientas
si más útiles para aislar problemas de directiva de grupo
es el informe-
las políticas son válidas y muestra información detallada sobre replicado GPO.
ción en función de GPMC. Puede seleccionar un GPO en el panel izquierdo de la herramienta y
ver los
información sobre el alcance, Detalles, Configuraciones, y las fichas Delegación en el panel de
derecha.
También puede hacer clic en un GPO y seleccione Guardar informe, como se muestra en la
figura 3.17.
Figura 3-17 Guardar un informe GPMC

Figura 3.18 muestra una parte de la producción de un informe de GPMC. De manera

predeterminada, los informes se guardan
en Hypertext Markup Language (HTML) y abierta en Internet Explorer.
Figura 3-18 GPMC salida del informe
Microsoft recomienda que examine los informes de GPMC y buscar respuestas a la

■ Hace Resultados de directivas de grupo la lista de GPO que

■
se aplican?
Es la configuración de directiva de grupo que figuran en los
■
resultados del informe?
Es la GPO que figuran en la lista denegado?
Uso de registros de depuración de directiva de

MÁS INFORMACIÓN
grupo
Los registros de sucesos puede ayudarle a aislar problemas de directiva de grupo, incluyendo operativa de la directiva
de grupo
registro. Puede acceder a este registro mediante la apertura de Visor de sucesos, la ampliación de Registros de
aplicaciones y servicios,
ampliación de Microsoft, la expansión de Windows, y luego expandir la directiva de grupo.
Abordar las cuestiones básicas de

procesamiento
Si el procesamiento de núcleo no se produce de forma rápida y eficiente, el CSE no puede
procesar
comenzar y Directiva de grupo no se aplicará. Una serie de factores que pueden afectar núcleo
procesamiento.
Una de las causas más comunes de un GPO no se aplica a un usuario o equipo

que la GPO no está vinculado al usuario o al equipo de sitio, dominio o unidad organizativa.
GPO
entregan a los clientes basada en el sitio y la pertenencia a OU de la computadora y el
usuario con sesión iniciada.
Consulta Rápida
■ ¿Qué línea de comandos herramienta comprueba todas las configuraciones de la
política en vigor durante un determinado
usuario o de equipo?
■ GPResult.exe.
Otro problema que puede causar problemas de núcleo de procesamiento es que la replicación
no ha
sin embargo, ocurrió. Si GPO se vinculan a través de los sitios (no recomendado), esto se
puede espe-
especialmente problemática. Al vincular un GPO a un sitio, dominio o unidad organizativa en la
jerarquía, la
el cambio debe ser replicado en el DC de que el cliente recupera su GPO. Si
agregar un usuario o un equipo a una unidad organizativa, el GPO que se aplican a la unidad
Después de realizar
organizativa no puedecambios
ser a un GPO, estos cambios tienen que llegar hasta el cliente. Esto
ocurre
aplican al cliente hasta que el cambio en la composición OU ha sido replicado.
durante la actualización de la directiva de grupo. A veces los problemas de directiva de grupo
pueden ser curados por
utilizando el gpupdate
La conectividad de redcomandos.
se mencionó al inicio de esta sección. No me arrepiento de
mencionarlo de nuevo al final. Usted necesita asegurarse de que el equipo cliente puede con-
conectar a la DC. Compruebe que TCP / IP, DNS y DHCP están configurados y en
funcionamiento.
Asegúrese de que un cable de red no se ha caído.
Práctica: Instalación de GPMC y crear un almacén central

para los archivos de directiva de grupo
En esta sesión de práctica de instalar la GPMC, a menos que ya se ha instalado
durante la instalación de AD DS. También crear y llenar un almacén central para el grupo
Política (ADMX) los archivos de definición.
Ejercicio 1: Instalación de la GPMC

En este ejercicio se verifica si la GPMC se instala. Esto dependerá de la forma
configurar el equipo. Si la consola no está instalado, usted lo instala.
1. Inicie sesión en el DC con la cuenta de kim_akers.

2. Busque en Herramientas administrativas. Si la gestión de directivas de grupo ya existe,
no es necesario para terminar el resto de este ejercicio.
3. En Herramientas administrativas, abra Administrador del

servidor.
4. Haga clic en Funciones en el árbol de la
consola.
5. Haga clic en Agregar funciones en el panel de
funciones.
6. En el cuadro de diálogo Asistente para agregar características, seleccione Administración
de directiva de grupo de
la lista de funciones disponibles, como se muestra en la figura 3.19.
Figura 3-19 Política de selección de grupo Management Console
7. Haga clic en
Siguiente.
8. Haga clic en Instalar.
9. El Administrador de servidores en Cerrar cuando finalice la
instalación.
Ejercicio 2: Creación de un almacén central para los archivos

ADMX
En este ejercicio se crea una carpeta que actúa como un almacén central para el lenguaje-
neutral
ADMX archivos. A continuación, cree una subcarpeta para mantener el lenguaje específico de
los archivos ADMX. Usted
copiar archivos
1. Si es desde
necesario, su estación
inicie deeltrabajo
sesión en DC conWindows
la cuentaVista en estas carpetas.
de kim_akers.
2. Abra el Explorador de Windows y vaya a C: \ Windows \ SYSVOL \ domain \ policies.
Crear una subcarpeta llamada PolicyDefinitions. Es necesario hacer clic en Continuar varios
veces en el control de acceso de los usuarios (UAC) en la casilla al crear esta carpeta.
3. Cree una subcarpeta de la carpeta de definiciones de llamada en-us. Al igual que con la
paso anterior, tendrá que desactivar la casilla de diálogo UAC en varias ocasiones. El
archivo
estructura se muestra en la figura 3.20.
Figura 3-20 Estructura de los ficheros para el almacén central
4. Inicie sesión en el PC cliente o conectarse a ella a través de Escritorio

remoto.
5. Localizar todos los archivos con tipo de archivo. Admx en el PC cliente. Copiarlos en la
política-
Definiciones de carpeta en el DC. Haga clic en Continuar para borrar el cuadro de diálogo
UAC, como
necesaria. La figura 3-21 muestra el almacén central que contiene los archivos ADMX.
Figura 3-21 Admx
6. Localizar todos los archivos con tipo de archivo. Adml en el PC cliente. Copiarlos en la
política-
Definiciones / en-us carpeta en el DC.
7. Abrir cualquier archivo ADMX (. Admx o adml.) Con el Bloc de notas y examinar el
contenido.
■ GPMC está estrechamente integrado con Windows Server 2008. Usted puede instalar la
herramienta
por el Administrador de servidores.
■ Windows Server 2008 introduce una serie de nuevas opciones de directiva de grupo, en
situaciones particulares relacionadas con la función de servidor de TS.
■ ADMX independiente del idioma y los archivos específicos del lenguaje define Grupo
configurable
Configuración de directiva de dominios de Windows Server 2008. Puede almacenar estos
archivos en un
almacén central en sus DC. Es necesario crear el almacén central en un DC. DFSR
■ la replicavarias
Existen en otros controladores
herramientas que de dominio
ayudan en el dominio.
a solucionar problemas de directiva de grupo.
Uno de los
más útil es la posibilidad de guardar un informe de GPO mediante GPMC.
en
Lección 2, "Directiva de grupo en Windows Server 2008." Las preguntas también están
disponibles
NOTA Respuestas
1. ¿Qué configuración de directiva de grupo requiere que la experiencia de escritorio puede

instalar en un
Servidor Windows Server 2008? (Elija todas las que apliquen.)
A. De diagnóstico de disco: Configurar el nivel de
ejecución
B. No permitir redirección del Portapapeles
C. Cumplir eliminación de Fondos de Escritorio remoto
D. Conjunto de actualización de intervalo a servidor NIS
subordinado
E. De diagnóstico de disco: Configurar texto de alerta
personalizados
2. ¿Qué configuración de directiva de grupo asociados con los Servicios de Terminal? (Elija
todas las
que se aplican.)
A. Permitir redirección de zona horaria
B. De diagnóstico de disco: Configurar el nivel de
ejecución
C. No permitir redirección del Portapapeles
D. Cumplir eliminación de Fondos de Escritorio remoto
E. Activar el registro extensivo para los países en
desarrollo SNIS
3. Usted está planeando su estructura directiva de grupo. ¿Cuál de las siguientes estatal
mentos representan un buen consejo? (Elija todas las que apliquen.)
A. Mantener el número de GPO a un mínimo absoluto por tener una gran cantidad de
ajustes de configuración en cualquier sola GPO y vincular los GPO a las unidades
organizativas a través de
los límites del sitio.
B. Almacena tus archivos ADMX en un almacén
central.
C. Dé a sus unidades organizativas y GPO nombres
significativos.
D. Hacen un uso extensivo de características tales como la herencia de bloque, no
reemplazar, seguri-
dad de filtrado, y las políticas de bucle invertido.
E. Asegúrese de que su política de actualizaciones de GPO y los mandatos de las
enmiendas del
uso de la gpupdate comando de reconfiguración cuando se ha completado.
4. Un elemento de una ADMX independiente del idioma archivo contiene el siguiente

código:
¿Qué elemento es?

A. La Políticas elemento
B. La SupportedOn elemento
C. La PolicyNamespaces elemento
D. La declaración XML
192 Capítulo 3 Revisión


real involv-
práctica.

■ Nuevo Windows 2003 características de AD DS le dará más control sobre las políticas de
seguridad,
permiten mejorar la experiencia del usuario en las sucursales, y le ayudará a
localizar la copia de seguridad de la información que usted necesita para restaurar.
■ Mejoras en las herramientas GUI y mejoras de auditoría en Windows Server
2008 están diseñados para facilitar las tareas administrativas más sencillas y menos
tiempo.
■ Puede aumentar los niveles de dominio y funcional del bosque para apoyar la nueva
funcionalidad
pero no se pueden bajar (que no sea por restaurar o reinstalación). Puede con-
la figura de confianza entre bosques.
■ Grupo de archivos de definición de la política se hace en un almacén central de AD DS
que se repli-
cated entre países en desarrollo. Puede crear archivos personalizados si es necesario.
■ La nueva configuración política que se introdujo en Windows Server 2008 le dará más
Grupo de Política de la funcionalidad. Herramientas de solución de problemas están
disponibles, pero (como siempre)
la política de solución de problemas y la planificación es de sentido común,
principalmente.
Términos clave
■ Niveles funcionales
■ Grupo de objetos de directiva (GPO)
Capítulo 3 Revisión 193
■ Configuración de Directiva
■
de grupo
Unidad organizativa (OU)
■ Contraseña configuración del contenedor
■
(PSC)
Contraseña configuración del objeto
■
(PSO)
De sólo lectura los controladores de dominio
■
(RODC)
El grupo shadow
■ Dos etapas de instalación
■ Volume Shadow Copy Service (VSS)
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de Active
Directorio y la directiva de grupo. Usted puede encontrar respuestas a estas preguntas en la
sección "Respuestas"
Caso Escenario 1: Planificación de una actualización de Windows Server

2003 Usted es un administrador de dominio principal de Northwind Traders. La compañía es el plan-
zando a mejorar sus centros de datos a Windows Server 2008, aunque algunos directivos están
todavía no están convencidos. En este momento está asistiendo a una serie de reuniones de
planificación.
Conteste las siguientes preguntas:
1. Algunos miembros del personal (por ejemplo, el director ejecutivo) desea utilizar no
contraseñas complejas, a pesar de la política por defecto para el northwindtraders.com
dominio impone contraseñas complejas. Se le pregunta si este servicio seguirá
estará disponible al actualizar a Windows Server 2008. ¿Cuál es su respuesta?
2. El director técnico le preocupa que si se actualiza algunos de los países en desarrollo a

Windows Server 2008 y luego elevar el nivel funcional del bosque a Windows
Server 2008 para aprovechar las nuevas características, los países en desarrollo que
todavía tiene Windows
2003 Server instalado deje de funcionar. También le preocupa que el
dominio en la actualidad contiene Windows 2000 Server y Windows Server 2003
servidores miembro y la empresa no tiene planes inmediatos para mejorar estos
computadoras. ¿Cuál es su respuesta?
3. Actualmente, los usuarios en oficinas remotas están informando de que de inicio de sesión
es a veces
inaceptablemente lenta. Un servidor DNS secundario está instalado en cada sucursal
oficina, pero los países en desarrollo no se utilizan en las sucursales por razones de
seguridad y porque
personal de las sucursales no son los administradores de dominio. Se le pregunta si va a

actualizar
a Windows Server 2008 ayudará a resolver este problema. ¿Cuál es su respuesta?
Caso Escenario 2: Planificación y Documentación

Solución de problemas Procedimientos
Que trabajó en el servicio de asistencia en Litware, Inc por un número de años. Una de sus
tareas
era la resolución de cuestiones relacionadas con la directiva de grupo. Usted ha sido
recientemente promovido y
una de sus competencias es crear un documento de procedimientos y de planificación que
guiará
los administradores con menos experiencia en la realización de tareas de solución de
1. ¿Cuál debería
problemas ser el
de manera procedimiento si un usuario informa de que no tiene acceso a
eficiente.
las mismas facilidades que sus colegas?
Conteste las siguientes preguntas.
2. ¿Cuál debería ser el procedimiento si los cambios en la configuración de directivas no se
aplican
a un equipo cliente en particular, pero están trabajando en equipos similares?
3. Los administradores de Litware utilizan con frecuencia la función Guardar informe de GPMC
para
generar informes de GPO. ¿Qué preguntas debería hacer que en el estudio de estos
los informes?
com-
Configurar Windows Server 2008 AD DS

Hacer todas las prácticas en esta sección.
■ Un PSO
Práctica 1: Configuración de puede contener un gran número de ajustes, de
obligaciones
que de serviciosólo
ha configurado público
un pequeño subconjunto de la sesión de práctica en la lección 1.
Experimente con la configuración de PSO y determinar los efectos que cada uno tiene en
la seguridad
políticas que afectan a los usuarios asociados con el GPO.
■ Es difícilsobre
Práctica 2: Obtenga más información de instalar
los y configurar un
RODC
RODC real en su red pequeña prueba, aunque es posible que considere el uso de una
máquina virtual. Buscar en la Internet para los artículos y debates en línea que se refieren
en los RODC. Esta es una nueva tecnología y más información debe ser dis-
poder sobre una base diaria.
■ Práctica 3: Configurar la auditoría Mira las nuevas características disponibles en Windows

Server 2008 para AD DS de auditoría. Configurar la auditoría para registrar los cambios
AD DS,
hacer cambios, y luego examinar el registro de eventos de seguridad.
Configure la directiva de grupo

Hacer todas las prácticas en esta sesión.
■ Una típicamente-administrador
Práctica 1: Uso de GPMC y el Editor de directivas de grupo de gestión
camente tiene que configurar sólo una configuración de directiva de pocos en el curso de
su trabajo.
Un administrador de alto nivel, responsables de la planificación en lugar de la ejecución,
necesita un conocimiento más amplio de lo que los ajustes están disponibles. Mira GPMC
y
especialmente el Grupo Editor de directivas de gestión. Ampliar la lista de configuración
de la directiva.
■ losLa capacidad de comprender
Práctica
Utilice el2: Explicar
Examinar función
archivos
paraADMX
averiguar qué hace ycada
crearuno.
código
muy útil si quieres desarrollar tu carrera profesional. Los administradores no son software
los diseñadores, pero la capacidad de generar archivos simple (por ejemplo) XML es un
valioso
activos capaces. Examinar los archivos estándar de ADMX. Instalar y experimentar con la
muestra ADMX archivos que Microsoft ofrece. (El enlace se da en la Lección 2.)
■ Utilice
Práctica 3: Examinar los el Guardar
informes de GPO informe función de GPMC para gene-
comieron y guardar los informes de GPO. Examinar dichos informes hasta que se sienta
cómodo con
su estructura y conocer la información que proporcionan.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Para obtener más información acerca de todas las opciones de la práctica de prueba disponibles, vea la sección
"Cómo utilizar las pruebas de la práctica"
Capítulo 4
Servidores de Aplicaciones y Servicios

En este capítulo se describe la compatibilidad de Windows Server 2008 proporciona a las
aplicaciones,
y en las funciones de servidor en particular, como la función de servidor de aplicaciones, que
mejoran la aplica-
cación disponibilidad y accesibilidad. El capítulo también analiza la implementación de
aplicaciones
y la resistencia y el uso de herramientas tales como Microsoft System Center Configuration
Manager 2007.del examen en este capítulo:
Los objetivos
■
Plan de servidores de aplicaciones y servicios.
■ Aplicaciones disposición.

■ Lección 1: Servidores de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
■
199
Lección 2: Implementación de aplicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Antes de empezar
■ Windows Server 2008 instalado y configurado el equipo de prueba como un dominio
y el capítulo 1, "Instalación, actualización e implementación de Windows Server 2008."
También se necesita un equipo cliente con Windows Vista Business, Enterprise o
Última que es un miembro del dominio Contoso.internal. Esto puede ser una sepa-
equipo tasa o una máquina virtual instalada en el mismo equipo que el DC.
■ Si desea completar el ejercicio sesión de práctica opcional en la lección 2, es necesario

para añadir un servidor Windows Server 2003 a su red de prueba como un servidor
miembro en
el dominio Contoso.internal. Esto es así porque en el momento de escribir este artículo,
Microsoft
System Center Essentials no se instalará en un servidor Windows Server 2008.
197
198 Servidores de Aplicaciones y Servicios
Mundo Real
Ian McLean
No es agradable para hacerse responsable de algo que no tiene control sobre,

Aunque los administradores de acostumbrarme a esto.
Una vez trabajé para una organización educativa que había encargado y pur
perseguido (a un costo considerable) un paquete de software personalizado para horarios
y la asignación de recursos. Por el momento me encontré con este software que sin duda
podría
ser descrito como legado. Fue de 16 bits, aunque la frase "dos bits" era un mejor
descripción. La compañía que la suministra no había fijado sus errores obvios (o
al menos eso parecía). Ahora estaban fuera del negocio.
Debido a que el software ha sido costoso, la administración insistió en que se utiliza. Lo

sin duda, desempeñar su función, en cierto modo, a pesar de que podría ser descrito
como
"Peculiar". Apoyada Sólo un usuario concurrente, y si ese usuario no ha salido
gracia que nadie más podía tener acceso al software hasta que se produjo un tiempo de
espera. Me pareció
un CD de actualización todavía en su envoltorio y esperaba que resolver algunos de los
proble-
problemas. Sin embargo, yo estaba preocupado al ver que el mecanismo de actualización
sólo era
manualmente desinstalar
Lo que finalmente y reinstalar
acabó con el software.
este paquete No había
de software, sin manera
embargo, deque
forma automática
la organización
garantizar que el software fue actualizado-o para actualizarlo si no lo era.
tenía una buena reputación como empleador de igualdad de oportunidades y que este
paquete
no las características de accesibilidad. No tuvieron en cuenta las características de
accesibilidad de la ope-
ating sistema y proporcionan ninguna característica adicional. Que no era compatible con
cualquier
A
deregañadientes, la alta
lectura de pantalla deldirección
softwaredecidió encargar
que pude a otro paquete a medida.
encontrar.
La razón aducida fue la "dificultades técnicas" en el apoyo a la corriente suave
ware. Yo le aconsejé que los paquetes comerciales en perfecto estado de software que
permitiera
hacer el trabajo por una fracción del costo, pero que la organización quería "su propio"
software.
Le pregunté a participar en las conversaciones con los desarrolladores de aplicaciones.
Yo quería que la nueva
software debidamente planificado de manera que estarían disponibles, accesibles y
flexibles.
Me dijeron que se trataba de una decisión de negocios y mi aportación técnica no fue
necesaria.
Le dije que quería asegurarse de que no habría ninguna dificultad técnica en el apoyo
el nuevo software. A veces es necesario tragarse el orgullo y hacer el trabajo.
Lección 1: Servidores de aplicaciones 199
Lección 1: Servidores de aplicaciones

Capítulo 11, "Clustering y alta disponibilidad", trata sobre las técnicas de alta disponibilidad
para aplicaciones de misión crítica. En esta lección, por lo tanto, se centra en el apoyo
siempre para la línea de negocio (LOB) a través del servidor de aplicaciones
función de servidor. Aplicaciones de backoffice, como Microsoft Exchange Server 2007 y
Microsoft SQL Server 2008 no requieren este papel, ni las aplicaciones estándar
tales como el sistema Microsoft Office 2007. Esta lección se analiza el apoyo específico
que la función de servidor ofrece.

■ Plan de disponibilidad de las
■
aplicaciones.
Planificar y aplicar la accesibilidad de la aplicación.
■ Proporcionar la capacidad de recuperación
de aplicaciones.
La planificación de disponibilidad de
aplicaciones
En su proceso de planificación inicial que necesitan para determinar los tipos de aplicaciones
la organización es probable que se ejecute, en la actualidad y en el futuro. El componente que
proporciona
soporte para las aplicaciones LOB Application Server, que se instala como una función de
servidor
Windows Server 2008. Es necesario planificar de antemano y saber qué aplicaciones están
probable que necesite ayuda. Esto a su vez determina qué componentes tiene que especificar
al instalar esta función de servidor.
El servidor de aplicaciones función de servidor proporciona un entorno para implementar y
ejecutar
Aplicaciones LOB construido con la plataforma Microsoft. NET Framework versión 3.0. Cuando
se
instalar esta función de servidor, puede seleccionar los servicios que soportan las aplicaciones
que se
diseñado para utilizar COM +, Message Queue Server, servicios web y transacciones
El servidor de aplicaciones función de servidor proporciona las
distribuidas.
siguientes:
Instalar el servidor El
deasistente
aplicaciones en función de servidor de la sesión de práctica más adelante
■ Asistente para la instalación de instalación le permite seleccionar las distintas funciones ser-
en esta lección.
los vicios y las características que usted necesita para ejecutar aplicaciones. El asistente
instala las características de un servicio de determinada función.
■ Núcleo de ejecución Esto apoya la implementación y administración de alta

rendimiento de las aplicaciones LOB.
■ Este es un entorno de desarrollo que ofrece una efi-

. NET Framework
programación eficiente y un modelo de ejecución de aplicaciones basadas en servidor.
■ . NET Framework, a su vez permite que los servicios Web, e integra

Servicios web
aplicaciones nuevas y existentes con los demás y con la infraestructura de servidores.
Application Server es un servidor de Windows 2008 la función de servidor expandida. Simplifica

el
proceso de implementación de aplicaciones que responden a las solicitudes enviadas por la red
de los equipos cliente a distancia o desde otras aplicaciones. Normalmente, las aplicaciones
que
son ejecutados en el servidor de aplicaciones se benefician de uno o más de los siguientes
tecnologías:
■ Microsoft. NET Framework versiones 3.0 y 2.0
■ Internet Information Services versión 7 (IIS7)
■ Message Queue Server
■ Microsoft Distributed Transaction Coordinator (MS DTC)
■ Los servicios Web creados con Windows Communication Foundation (WCF)
Como parte de su proceso de planificación es necesario determinar cuáles son los servicios
específicos de un papel
aplicación personalizada requiere. Por lo general, es necesario trabajar con la aplicación de
desa-
opers para comprender los requisitos de la aplicación, como por ejemplo si se utiliza COM +
componentes o el 3.0. NET Framework.
Por ejemplo, de viaje de Margie ha encargado un pedido de procesamiento de aplicaciones
LOB
que accede a los registros de clientes almacenados en una base de datos a través de un
conjunto de servicios web de WCF.
En este caso, ya que WCF es parte de la 3.0. NET Framework, puede utilizar aplicaciones
Servidor para implementar y configurar WCF en cualquier equipo en el que la empresa quiere
que el
aplicación de procesamiento de pedidos a ejecutar. Puede instalar la base de datos en el
El servidor
mismo de aplicaciones Foundation (ASF) característica de Application Server se instala
equipo
por
o endefecto. Usted
un equipo puede La
diferente. seleccionar
siguiente otros durante
sección la instalación
de esta papel. Las
lección se analiza consiguientes
más detalle WCF.
características son
disponibles:
■ ASF
■ Del servidor web
■ COM + acceso a la red
■ Proceso de activación de Windows Service (WS)
■ Uso compartido de puertos
■
Net.TCP
Las transacciones distribuidas
Aplicación Foundation Server

ASF se instala por defecto cuando se instala el servidor de aplicaciones función de servidor.
Añade
. NET Framework 3.0 a las características. NET Framework 2.0, que se incluye en
Windows Server 2008, independientemente de si la función de servidor está instalado. El
Common
Language Runtime (CLR) está incluido en el Framework 2.0. NET y proporciona
un entorno de ejecución de código que promueve la ejecución segura de código, código
simplificado
implementación, soporte para la interoperabilidad de múltiples idiomas, y las aplicaciones
bibliotecas.
. NET Framework 3.0 El se compone de los siguientes componentes:
■ . NET Framework
■ WCF
■ Windows Presentation Foundation (WPF)
■ Windows Workflow Foundation (WF)
. NET Framework 3.0 componentes

MÁS INFORMACIÓN
Para más información sobre. NET Framework, consulte http://msdn2.microsoft.com/en-us/

NETFramework / default.aspx. Más información acerca de WCF, WPF, WF y se da más adelante en esta lección.
Servidor Web
Si selecciona la opción de servidor Web, este se instala IIS 7 en Windows Server 2008
servidor. IIS ha sido significativamente mejorado para Windows Server 2008 y proporciona
mejoras en la seguridad, rendimiento, fiabilidad, capacidad de soporte de gestión, y
modularidad.
IIS7 permite Application Server para alojar sitios Web internos o externos o servicios con
contenido estático o dinámico. Se proporciona soporte para las aplicaciones ASP.NET que se
accede desde un navegador Web y servicios Web que están construidas con WCF o
ASP.NET.
ASP.NET
MÁS INFORMACIÓN
Para obtener más información acerca de la tecnología ASP.NET, consulte http://asp.net/.
IIS7
MÁS INFORMACIÓN
Para más información sobre IIS7, consulte http://www.iis.net.

Consulta Rápida
■ ¿Qué característica de la función de servidor de aplicaciones de servidor se instala
por defecto?
■ ASF
COM + acceso a la red

Esta opción añade COM + acceso a la red para el acceso remoto (o invocación) de la
aplicación
componentes de automatización que están basadas y hospedadas en COM +. Estos
componentes de la aplicación
A veces también se llama componentes Enterprise Services.
Windows 2000 Server introducido COM + acceso a la red y Windows Server 2008
continúa su apoyo. Sin embargo, las nuevas aplicaciones suelen utilizar WCF para apoyar
invocación remota, ya que WCF proporciona acoplamiento, lo que hace integrados
sistemas menos dependientes de los demás y ofrece interoperabilidad entre múltiples
plataformas.
WCF y acoplamiento
MÁS INFORMACIÓN
Para obtener más información acerca de WCF de programación, incluida la aplicación de acoplamiento,
ir a la http://msdn2.microsoft.com/en-us/library/ms735119.aspx y seguir los enlaces.
Examen Consejo
El examen 70-646 es probable que para probar si usted sabe lo que es WCF y la
instalaciones que ofrece. No es probable que se les pide que generen código WCF bajo examen
condiciones.
Proceso de activación de Windows Servicio

Esta opción añade WS, que es un mecanismo de activación de procesos de Windows
Vista y Windows Server 2008 sistemas operativos. IIS7 usa WAS para poner en práctica
activación basada en mensajes a través de HTTP. WCF puede proporcionar activación basada
en mensajes de
no se usen los protocolos HTTP con el apoyo de ERA, como TCP, Message Queue Server y
Canalizaciones con nombre, además de HTTP. Esto permite que las aplicaciones que utilizan la
comunicación
protocolos para aprovechar las características de IIS (por ejemplo, el proceso de reciclaje), que
fueron ante-
ously disponible sólo para aplicaciones basadas en HTTP.
Consulta Rápida
■ ¿Qué cuatro componentes tiene el 3.0. NET Framework, además de proporcionar
a las previstas por el. NET Framework 2.0?

■ . NET Framework, WCF, WPF y WF
Uso compartido de puertos

Net.TCP
Windows Server 2008 introduce Net.TCP compartido de puertos. Esta opción agrega el
Net.TCP Puerto servicio de uso compartido, lo que hace posible que múltiples aplicaciones
para el uso
un único puerto TCP para las comunicaciones entrantes. Uso compartido de puertos, o
multiplexación, es típico-
camente necesaria cuando las configuraciones de firewall o restricciones de la red sólo
permiten un
número limitado de puertos abiertos o cuando hay varias instancias de una aplicación de WCF
Los puertos Net.TCP servicio Compartir acepta solicitudes de conexión entrantes mediante el
necesidad
uso de de forma simultánea.
ejecutar
TCP. El servicio entonces envía las solicitudes de entrada a los diferentes servicios basados en
WCF
en las direcciones de destino de las solicitudes. Uso compartido de puertos sólo funciona
cuando la aplicación WCF-
caciones utilizan el protocolo Net.TCP para las comunicaciones entrantes.
Transacciones distribuidas
Microsoft Windows NT Server 4.0 introduce compatibilidad con transacciones distribuidas y
esto sigue siendo compatible con Windows Server 2008. Aplicaciones que se conectan a
realizar actualizaciones en múltiples bases de datos u otros recursos transaccionales pueden
exigir
que estas actualizaciones se realizan en régimen de todo o nada, a veces conocido como
Propiedades ACID (Atomicidad, Consistencia, Aislamiento, Durabilidad). Estas bases de datos
y
recursos transaccionales pueden estar en un único equipo o distribuidos a través de una red.
MS DTC en Windows Server 2008 proporciona esta funcionalidad.
El servidor de aplicaciones de funciones de

MÁS INFORMACIÓN
servidor
Para obtener más información acerca de la función de servidor de aplicaciones de servidor, consulte
windowsserver2008/en/servermanager/applicationserver.mspx.
Aplicación Foundation Server Componentes

Application Server Foundation fue discutido anteriormente en esta lección. En esta
sección
da más detalles sobre el servidor de aplicaciones componentes Fundación: WCF,
WF y WPF. Cada componente se instala como un conjunto de bibliotecas y asambleas.
NET
bleas. WCF y WF se utilizan principalmente en aplicaciones basadas en servidor y WPF
utiliza principalmente en aplicaciones basadas en cliente.
WCF
WCF es el modelo de programación de Microsoft para crear aplicaciones orientadas a
servicios,
ciones que utilizan los servicios Web para comunicarse entre sí. Los desarrolladores
utilizan
WCF para crear segura, confiable, aplicaciones basadas en transacciones que se pueden
integrar
WF
a través de plataformas e interoperar con los sistemas y aplicaciones existentes.
WF es el modelo de programación de Microsoft que permite a los desarrolladores a
construir
flujo de trabajo habilitado para aplicaciones en Windows Server 2008. Es compatible con
el sistema
flujo de trabajo de flujo de trabajo y los derechos humanos a través de una variedad de
escenarios.
■ Por ejemplo,
Aplicaciones LOB
los desarrolladores pueden utilizar WF para poner en práctica lo siguiente:
■ Negocio basado en reglas de flujo de
■
trabajo
Flujo de trabajo humano
■ Flujo de trabajo compuesto por aplicaciones orientadas a
■
servicios
Centrada en el documento de flujo
■
de trabajo
Interfaz de usuario (UI) de flujo de la
■
página
Sistemas de gestión de flujo de trabajo
WPF
WPF es el modelo de programación de Microsoft que utilizan los desarrolladores para
construir Windows
inteligentes aplicaciones de cliente. WPF está instalado como parte del servidor de
aplicaciones Fun-
dación. Sin embargo, no se suele utilizar en aplicaciones basadas en servidor.
Garantizar la disponibilidad de aplicaciones

Microsoft define la disponibilidad de aplicaciones como la disponibilidad de una aplicación (y la
servicio se ejecuta bajo) para atender las peticiones de los clientes y para volver oportuna y
precisa
respuestas. Para garantizar la disponibilidad de la aplicación satisfactoria, es necesario definir
la disponibilidad de
objetivos que satisfagan las necesidades empresariales de su organización y establecer los

sistemas de medición
la disponibilidad de las aplicaciones y permiten probar que sus objetivos se están cumpliendo.
También
tienen que ser conscientes y hacer conscientes a los usuarios de los compromisos y
concesiones que
podrían ser necesarias. Por ejemplo, alta disponibilidad de aplicaciones pueden venir con el
costo
Aplicación de planeación de Disponibilidad
de menor rendimiento o la relajación de los requisitos de seguridad de la red.
La hora de planificar la disponibilidad de aplicaciones uno de los factores que debe considerar
es el
tipo de aplicaciones de su empresa desea que sus empleados utilizan. Las solicitudes se
pueden
basado en el servidor o cliente basado. Aplicaciones basadas en servidor se puede acceder de
forma remota
a través de una interfaz de cliente o de una interfaz web (o ambos). Algunas aplicaciones
Basado
requieren enLOB
aplicaciones cliente, como la suite Microsoft Office, se puede instalar en el cliente
ordenadores,
el usuario parapor ejemplo adirectamente
conectarse través de un al
proceso de creación de imágenes o la política del
servidor.
grupo. Una vez
instalado, estas aplicaciones están disponibles para el usuario, incluso cuando se trabaja fuera
de línea. ¿Cómo-
Sin embargo, muchas basadas en el cliente aplicaciones requieren el acceso periódico a una
organización red
trabajar para que los archivos de usuario se pueden sincronizar y administración de parches
central apliquen pueden
cambios obtenidos (por ejemplo) a través del Windows Server Update Services
(WSUS). Si los paquetes de servicio o nuevas revisiones del software instalado se ponen a
disposición
a través de directivas de grupo, un inicio de sesión de dominio es necesario. Los trabajadores
domésticos pueden conectarse a la
red deaplicaciones
Otras la organización
estána través
basadas
de en
unaservidor,
red privada
y algunas
virtual aplicaciones
(VPN) o mediante
LOB requieren
el uso de ya
la tercera
sea
productos de otros fabricantes tales como Citrix MetaFrame. Un administrador que trabaje de
inter-
forma
de inicio
remota
de sesión
puedeactiva
usar o una conexión a Escritorio remoto en el servidor que ejecuta la
aplicación.
Servicios deBackOffice
Terminal Server para crear un escritorio remoto (RD) la conexión a un servidor
aplicaciones
específico. suelen tener interfaces de cliente de software basado en servidor. Por ejemplo,
Microsoft Outlook, Outlook Express y Outlook Web Access (OWA) son clientes
interfaces para Microsoft Exchange Server. Muchas de las aplicaciones modernas utilizan una
web
navegador, por lo general la versión de Internet Explorer 7, para ejecutar aplicaciones Web,
tales
Si lascomo la aplica-
aplicaciones están basadas en el cliente o servidor, y cualquiera que sea la interfaz
ciones desarrolladas
utilizada es, utilizando ASP.NET.
disponibilidad de las aplicaciones depende en gran medida la conectividad de red. Si una
aplicación
está basado en servidor, el usuario puede conectarse al servidor? Si la aplicación de ciertos
usos
puertos, hacer los cortafuegos entre el cliente y el servidor que volver a configurar? Hace
al usuario a comprender la necesidad de una conexión a Escritorio remoto, y que esto requiere
un segundo inicio de sesión?
Usuarios que se conectan de forma remota, como los trabajadores a domicilio, que traen
distintos problemas,
algunos de ellos fuera de su control. ¿Qué tan rápido y fiable es el enlace del usuario de
Internet?
Un usuario puede reclamar tener una conexión rápida de banda ancha, pero una investigación
más
muestra que esto es un enlace de 2 Mb que suelen experimentar altas tasas de contención.
Algunos trabajadores a domicilio, especialmente en áreas remotas, todavía podría estar usando
dial-up
módems. ¿Ha dejado bien claro que la conexión al dominio de la organización
a través de una VPN a través de una 56Kb vínculo de acceso telefónico requiere un grado de
paciencia? ¿Tienen los usuarios
Cuando usted está planeando disponibilidad de las aplicaciones que usted necesita considerar
Entendemos que la contraseña de inicio de sesión de su ISP requiere no es de ninguna manera
otros factores en
relacionada con la
Además
contraseña de que
las aplicaciones que desea
utiliza para iniciar sesióninstalar. Inducción de usuario, en especial para
en el dominio?
usuarios que se conectan de forma remota, es importante para su estrategia global. Concesión
de licencias es también
una consideración. Si una aplicación tiene licencia para 25 usuarios concurrentes, hacen los
usuarios en-
soporte que necesitan para cerrar la aplicación cuando se termine lo está usando? Algunas
aplicaciones
ciones requieren que los usuarios cerrar la sesión en lugar de que simplemente se cierra la
aplicación.
Típicamente, Si los
el administradores utilizan RD para administrar servidores. Usted espera que su
la
administra- licencia permite el uso simultáneo ilimitado, lo que los usuarios entiendan
solicitud de
un
resgran
paranúmero
saber quede tienen
usuarios
queal cerrar
mismolatiempo
sesiónse detraducirá en una
una conexión a caída en elremoto
Escritorio rendimiento?
en lugar de
apagarlo.
¿Se puede esperar lo mismo de un usuario que utiliza RD para ejecutar una aplicación LOB en
el servidor?
¿Los usuarios entienden que el número máximo de conexiones de un servidor compatible con
Su
RD proceso de planificación debe ser técnicamente correctos. Es necesario determinar cómo
que
es muyva alimitado
instalar(generalmente
las aplicaciones, donde instalarlos, y cómo va a
dos)?
medir el desempeño y disponibilidad. Como con la mayoría de los aspectos de planificación, sin
embargo,
la planificación de disponibilidad de las aplicaciones no se puede hacer de manera aislada. Es
necesario discutir
las aplicaciones con los usuarios y determinar un equilibrio aceptable de desempeño-
rendimiento, disponibilidad y seguridad. Es necesario hablar con los entrenadores, no sólo
acerca de cómo
utilizar la aplicación, sino también sobre cómo conectarse y desconectarse de ella. Un menor
administrador puede optar por trabajar de forma aislada detrás de un escudo de la jerga
técnica. Como
quedisponibilidad
La avance en su de profesión elegida,basadas
aplicaciones sin embargo,
en Webes necesario desarrollar habilidades de la
gente.
Para asegurar la disponibilidad de aplicaciones basadas en Web, primero debe asegurarse de
que su red
trabajo está disponible y que el servidor Web está en funcionamiento. Es necesario establecer
la disponibilidad
objetivos, configurar IIS para satisfacer las demandas que los usuarios están poniendo en sus
aplicaciones, y
probar sus aplicaciones para la compatibilidad funcional con IIS7 modos de aplicación de la
piscina.
Los grupos de aplicaciones consisten en una o varias direcciones URL que son atendidas por
un proceso de trabajo o
un conjunto de procesos de trabajo. Utilizan los límites del proceso para separar las
aplicaciones. Este
impide que una aplicación que afectan a otra aplicación en un servidor Web, y por lo tanto
le permite comprobar la disponibilidad de una aplicación web de forma aislada, sin la necesidad
de permitir que
interferencia de otras aplicaciones. IIS7 grupos de aplicaciones siguen utilizando IIS6
proceso de trabajo de modo de aislamiento, y se puede especificar el modo integrado o de
Internet
Servidor de aplicaciones de interfaz de programación (ISAPI) el modo, comúnmente conocida
como Clas- IIS6 proceso de trabajo de modo de aislamiento
MÁS INFORMACIÓN
sic modo, para determinar cómo IIS7 peticiones procesos que involucran recursos
Para más información sobre IIS6 el modo de aislamiento de procesos, consulte http://www.microsoft.com/
administrados.
technet/prodtechnol/WindowsServer2003/Library/IIS/333f3410-b566-49bc-8399-
57bcc404db8c.mspx? Referencia del fabricante = true.
Cuando un grupo de aplicaciones es en el modo integrado, la aplicación puede utilizar el

integrado
la arquitectura de procesamiento de solicitudes de IIS y ASP.NET. Cuando un trabajador en un
proceso de
grupo de aplicaciones recibe una petición, la solicitud pasa a través de una lista ordenada de
eventos. Cada evento requiere de los módulos necesarios para procesar la solicitud y para
generar
una respuesta. Si un grupo de aplicaciones se ejecuta en el modo integrado de la solicitud de
procesamiento de
modelosun
Cuando degrupo
IIS y ASP.NET están integrados
de aplicaciones en un
es en el modo modeloIIS7
Clásico, de gestiona
proceso unificado. Estede
las peticiones integra
la
pasos que
misma se han duplicado previamente en IIS y ASP.NET, como la autenticación.
manera
IIS6 como modo de aislamiento de proceso. Solicitudes de ASP.NET primero pasar por nativos
pro-
procesamiento pasos en IIS y luego se dirige a Aspnet_isapi.dll para el procesamiento de los
administrados
Si usted tiene una aplicación Web que fue desarrollado para trabajar con IIS 6 (o anterior),
código. La solicitud se envía de vuelta a través de IIS, que envía la respuesta.
necesidad de probar su compatibilidad en el modo integrado antes de actualizar a IIS 7 en el
pro-
medio ambiente y la producción de asignar la aplicación a un grupo de aplicaciones en Inte-
modo rallado. Usted debe agregar una aplicación a un grupo de aplicaciones en el modo
Clásico
sólo si la aplicación no funciona en el modo integrado.
Para asegurarse de que el nivel de disponibilidad de aplicaciones Web en Windows Server
2008
servidor responde a las necesidades de sus clientes, primero debe definir la disponibilidad,
servicio,
y el manejo de peticiones y objetivos que representan las necesidades del cliente. A
continuación, deberá crear
grupos de aplicaciones y configurar las características de IIS para aislar las aplicaciones y de
afinar y
controlar los grupos de aplicaciones. Finalmente, es necesario evaluar las ventajas y
desventajas entre los dis-
capacidad y otros aspectos de la ejecución de las aplicaciones, tales como el rendimiento.
Consulta Rápida
1. ¿Qué es un grupo de aplicaciones?
2. ¿De qué dos formas puede funcionar un grupo de aplicaciones en IIS7?
3. ¿Cuál de estos modos gestiona las peticiones de la misma manera que los
trabajadores IIS6
proceso de modo de aislamiento?
1. Un grupo de aplicaciones es una o varias direcciones URL que son atendidas por un
proceso de trabajo
o un conjunto de procesos de trabajo.
2. Modo integrado y clásico (o ISAPI) de modo.
3. El modo clásico.
La gestión de grupos de aplicaciones

MÁS INFORMACIÓN
Para más información sobre la gestión de grupos de aplicaciones en IIS7, consulte http://technet2.microsoft.com/
windowsserver2008/en/library/1dbaa793-0a05-4914-a065-4d109db3b9101033.mspx? Referencia del fabricante =
true.
Examen El
Consejo
examen 70-646 pruebas de capacidad de planificación y administración. No prueba su
habilidades como desarrollador de programas. Usted necesita saber que usted puede probar la disponibilidad de
aplicaciones Web en
grupos de aplicaciones y IIS7 que ofrece dos modos de grupo de aplicaciones. No se espera que sean
capaces de desarrollar aplicaciones Web.
Solicitud de aplicación de Accesibilidad

Para la aplicación de software para ser más accesible, tiene que ser diseñado de manera que
el
mayor número posible de personas puedan usarlo sin necesidad de adaptación especial de
soft-
software o hardware. Esto se conoce como Acceso Directo. El software también tiene que
trabajar con funciones de acceso integrado en el sistema operativo, tales como la facilidad de
acceso
Centro proporciona en Windows Server 2008. Una parte importante de la accesibilidad-un
es ignorado con demasiada frecuencia-es asegurar que la documentación, capacitación y
soporte al cliente
Discapacidad
los sistemas sonFísica
de fácil acceso.
Personas con discapacidades físicas pueden tener una amplia gama de habilidades y
limitaciones.
Algunos pueden tener un rango muy limitado de movimiento, pero tienen el control del
movimiento dentro de una buena
de ese rango. Otros pueden sufrir movimientos involuntarios y esporádicos que acompañan
sus acciones con un propósito más. Algunas personas, como los enfermos de artritis, encontrar
mover la articulación
ción física limitada y dolorosa.
Normalmente, una discapacidad física que pone límites a la circulación no afecta a una per-
capacidad hijo a entender la información mostrada en una pantalla de ordenador. El acceso es
depende de la capacidad del usuario para manipular un dispositivo de interfaz.
Por lo tanto, la aplicación de la accesibilidad consiste en evitar las respuestas de tiempo o

permitir
los tiempos de respuesta para ser cambiado, facilitando el acceso de teclado para todas las
barras de herramientas, menús y
los cuadros de diálogo, y el uso de las instalaciones del sistema operativo tales como
StickyKeys, Teclas lentas, y
Clave de repetición.
Discapacidad Auditiva
Usuarios con discapacidad auditiva necesitan tener algún método para ajustar el volumen o
para el acoplamiento de la salida de audio directamente a los audífonos. Profundamente los
usuarios sordos requieren
una pantalla de visualización de la información auditiva. Además, usted debe asegurarse de
que apoyo
puerto es accesible a través de teléfonos de texto.
Discapacidad Visual
La deficiencia visual puede ir desde la ceguera al color, a través de la baja visión, a la legal
ciego
Ness. Puede mejorar la accesibilidad para el usuario ciego a los colores mediante el uso de los
medios de transmitir-
ción de información que no implican un código de colores, lo que garantiza que el software
puede funcionar
Los usuarios con baja visión pueden sufrir de mala agudeza visual (visión borrosa o nublada),
en el modo blanco y negro, y el uso de colores que se diferencian en la oscuridad.
la pérdida de
la visión central (ver sólo con los bordes de los ojos), visión en túnel (como mirar
a través de un tubo), o pérdida de visión en diferentes partes del campo visual. Otros
problemas
puede incluir la sensibilidad al deslumbramiento o ceguera nocturna. Un método común de
mejorar
acceso a la información en la pantalla es para agrandar o de otra manera mejorar el actual
área de enfoque. Puede permitir a los usuarios ajustar las fuentes, colores, y los cursores, el
uso de alta con-
contraste entre el texto
Muchas personas y ellegalmente
que son fondo, evitar colocar
ciegos textoalgún
tienen sobreresto
un fondo
visual.estampado;
Algunos pueden percibir
utilizar
sólo un diseño de pantalla consistente y predecible, y ajustar el ancho de línea.
luz y oscuridad, mientras que otros pueden ver las cosas que se magnifican. La mejor
estrategia de diseño
gia por lo tanto no asume ninguna visión, pero al mismo tiempo que los usuarios puedan hacer
uso
El acceso se realiza generalmente con especial software de lectura de pantalla para acceder y
residual de lo que la visión que ellos tienen.
leer el contenido de la pantalla. Normalmente, la salida se envía a un sintetizador de voz o
Braille dinámico. Los sistemas operativos modernos hacen uso extensivo de gráficos
interfaces de usuario (GUI). Esta es una buena noticia para la mayoría de los usuarios, pero no
para los ciegos. Soft-
software diseñado para la accesibilidad hace que el texto disponible para el software de lectura
de pantalla, incluso
cuando el texto está incrustado en una imagen. Utiliza la pantalla consistente y predecible y
diseños de cuadros de diálogo y herramientas se presentan por separado en las barras de
herramientas, paletas y menús más
Pop-up
que en unglobos de de
gráfico ayuda
granno debenodesaparecer
tamaño sino que debe permanecer encerrado en su
barra de herramientas.
lugar hasta que
los usuarios pueden acceder y leer. Los controles deben tener nombres lógicos que se pueden
leer
por el software de lectura de pantalla, incluso si no aparecen en la pantalla. Aplicaciones
debe utilizar una sola columna de texto siempre que sea posible y deberá facilitar el acceso de
teclado
a todas las herramientas, menús y cuadros de diálogo. Se deben evitar los esquemas de
Documentos y materiales de capacitación son más accesibles si se diseñan de modo que
control que utilizan
puedan ser "puntos calientes" en las imágenes.
Sin nombre
entendido por la lectura del texto solamente. La información en cuadros y gráficos también
deben
se presentan como descripciones de texto. Si la información se presenta como un gráfico
animado
o una película,
Idioma debe ir acompañada
o discapacidades cognitivasde una descripción de audio sincronizado.
Esta categoría incluye a personas con dificultades de procesamiento general (retraso mental-
intimidación, lesiones cerebrales, etc), los déficits específicos (incapacidad para recordar los
nombres, los pobres
memoria a corto plazo, y así sucesivamente), problemas de aprendizaje y retrasos en el
lenguaje. El rango de
de deterioro puede variar de mínima a severa.
El software que está diseñado para ser fácil de usar puede facilitar el acceso de las personas
con lan-
calibre o cognitivas. Los mensajes y las alertas que deben permanecer en la pantalla hasta que
son despedidos. El lenguaje, tanto de la documentación en pantalla y en, debe ser tan simple
y directo posible. Diseño de la pantalla debe ser simple y consistente.
Planificación de la accesibilidad
Toda la información y orientación en esta sección ha sido hasta ahora en general, no espe-
específicas para Windows Server 2008 y las aplicaciones que soporta. Sin embargo, en su
último año
administrador que será (y, ciertamente, debe ser) consultados en su organización
ción sus planes de comprar paquetes de aplicaciones comerciales o de la comisión a medida
aplica-
cationes. Uno de los aspectos de su planificación debe ser las características de accesibilidad
cualquier software que planea lanzar. Si los deberes de su equipo son producto y servicio
apoyo a la parte superior, tiene que ser consciente de las dificultades que pueden ser
experimentados por los usuarios
con discapacidad y de la mejor manera usted puede apoyar a estos usuarios.
Accesibilidad
MÁS INFORMACIÓN
Para obtener más información acerca de la accesibilidad y productos de tecnología de asistencia, consulte el
Microsoft
La accesibilidad del sitio web en http://www.microsoft.com/enable/.
Utilizando el Centro de accesibilidad

Windows Server 2008 implementa el Centro de accesibilidad, que ofrece un cen-
ubicación centralizada para la configuración de accesibilidad y programas que antes se
encontraban en
Opciones de accesibilidad. El Centro de accesibilidad también incluye un nuevo cuestionario
que puede utilizar para recibir sugerencias acerca de características de accesibilidad que
puede
de utilidad. Este cuestionario reemplaza el Asistente para accesibilidad proporcionada por
anteriores
Los sistemas operativos Windows. Se accede al cuestionario haciendo clic en Obtener la Reco-
recomendaciones paradeque
Puede abrir el Centro su equipo fácil
accesibilidad de usar
del Panel deen el Centro
control de accesibilidad.
o mediante el uso de la misma clave
Junta de acceso directo (tecla de Windows + U) que utilizó para abrir el Administrador de
utilidades en el anterior
Las versiones de Windows. El Centro de accesibilidad reemplaza el Administrador de
utilidades. Usted puede agregar
otros productos de tecnología de asistencia para su equipo si usted necesita más accesibilidad
características. Estos están disponibles en el sitio Web de accesibilidad de Microsoft. Figura 4-1
muestra el Centro de accesibilidad.
Figura 4-1 El Centro de accesibilidad

El Centro de accesibilidad proporciona un acceso que le permite configurar los siguientes

acceso-
configuración de la accesibilidad y los programas incluidos en Windows Server 2008:
■ Windows Server 2008 proporciona una base
Utilizar el ordenador sin pantalla
lector de pantalla llamado Narrador que lee el texto en la pantalla y proporcionar servicios
de voz
salida. También puede configurar las opciones de que el control de las descripciones de
audio de los vídeos
y como cuadros de diálogo.
NOTA Instalaciones adicionales
Programas y el hardware que son compatibles con Windows Server 2008, incluyendo lectores de pantalla,
Dispositivos Braille de salida, y así sucesivamente se pueden encontrar en el sitio Web de accesibilidad de Microsoft.
■ Hacer que el equipo más fácil de ver Se puede configurar un número de configuraciones que
que la información en la pantalla más fácil de ver y entender. Por ejemplo,
la pantalla se pueden ampliar, colores de la pantalla se puede ajustar, y animales
innecesarios
transformaciones y las imágenes de fondo se puede quitar.
Usar el equipo sin un mouse o teclado
un teclado en pantalla. También puede configurar reconocimiento de voz para controlar su
ordenador con comandos de voz y dictado de entrada de texto.
■ Puede
El ratón hacen más fácil de usarcambiar el tamaño y el color del mouse
puntero. También puede configurar el teclado para controlar el ratón.
■ Hacer que el teclado fácil de usar Usted puede configurar la forma en Windows Server 2008
responde a la entrada del ratón ni del teclado de modo que las combinaciones de teclas
son más fáciles de usar
(Claves no deben ser presionadas simultáneamente), escribir es más fácil, y
inadvertidamente
■ presiona
Utilizar ENT
texto son ignorados.
y alternativas Windows
visuales Server
para los 2008 puede reemplazar
sonidos
sistema de sonido con alertas visuales y de diálogo hablado con leyendas de texto.
■ Usted
Que sea más fácil centrarse puede
en las configurar una serie de ajustes para
tareas
facilitar a los usuarios concentrarse en la lectura y la escritura. Usted puede utilizar el
Narrador
para leer la información en la pantalla, ajustar la forma en el teclado responde a cier-
mantener las pulsaciones de teclas predefinidas, y el control tanto si se especifican los
elementos visuales son
muestra.
Consulta Rápida
■ Que facilidad de ajuste del Centro de Acceso puede ayudar a los usuarios de la
audición
dificultades?
■ Utilizar texto y alternativas visuales para los sonidos
ExamenLos
Consejo
ajustes en el Centro de facilidad de acceso son relativamente fáciles de entender y
configurar, y una explicación detallada no es apropiado en un libro a este nivel. Aun así, se
deben estar familiarizados con las funciones disponibles. Es una muy buena idea para pasar algún tiempo con
el Centro de accesibilidad a fin de que usted está familiarizado con la configuración de accesibilidad.
La planificación de la resiliencia de
aplicaciones
Capacidad de recuperación de aplicaciones significa que si una aplicación instalada está
dañado o si su eje-
cutable archivo es eliminado, la aplicación automáticamente vuelve a instalar. También significa
que apli-
ciones se mantienen hasta la fecha y las nuevas actualizaciones, service packs y revisiones de
la aplicación
se instalan según las necesidades. Windows Server 2008 Server ofrece una serie de
herramientas que
mantener la resiliencia de la aplicación. Por lo general, las herramientas utilizadas para
Proporcionar resistencia a través de Windows Installer
desarrollar aplicaciones también
proporcionar
Windows Installer
capacidad
4.0 sedeincluye
recuperación.
con Windows
Lección
Server
2 de2008
este ycapítulo
proporciona
se analiza
resistencia
la FEA-
implementación
ras que impiden de queaplicaciones.
las aplicaciones estables. Ofrece las siguientes características (o puntos
de entrada):
■ Atajos Windows Installer introduce un tipo especial de acceso directo que se trans-
los padres para el usuario y verifica el estado de la instalación de una aplicación
específica
antes de iniciar la aplicación.
■ AsociacionesWindows
de archivosInstaller puede interceptar llamadas de un archivo de usuario está
asociado
aplicación de modo que cuando un usuario abre el archivo, Windows Installer puede
verificar la
■ aplicación antes de Installer
Windows
COM Publicidad lanzarlo.proporciona un enlace a la de objetos componentes
Model (COM) del subsistema para que cualquier aplicación que crea una instancia de un
Componente COM instalados por Windows Installer recibe este caso sólo después de
Windows Installer se ha verificado el estado de la instalación de ese componente.
En la planificación de la resistencia, especialmente si la aplicación es necesario instalar LOB

personalizado
y las aplicaciones de terceros-que necesita para cumplir con los desarrolladores de
aplicaciones y
determinar si los puntos de entrada de Windows Installer se proporcionan cuando una
aplicación
Cuando Windows Installer despliega una aplicación y proporciona un acceso directo a los
se accede a través de un acceso directo, a través de la invocación, o por medio de la publicidad
usuarios
COM.
Menú de inicio, por lo general se configura en este acceso directo para que acceda al punto de
entrada (o
acceso directo transparente) que se utiliza para detectar el estado de la solicitud y la reparación
como
sea necesario. Windows Installer reemplazará los archivos que faltan y requiere instalar ningún
actualizaciones. Normalmente, Windows Installer acceder a los archivos necesarios en la red
ubicación desde la que los instaló originalmente. De lo contrario, el usuario podría ser
le pedirá que proporcione los medios de comunicación o una ruta de ubicación. Por lo general,
usted no quiere que esto hap-
pluma, y es necesario asegurarse de que la conectividad de la red se mantenga y que la
Si un punto
archivos de de entrada se
instalación de mantienen
Windows Installer
hasta laes proporcionado por la invocación de archivos,
fecha.
puede examinar el
Registro en el equipo en el que se ejecuta la aplicación y determinar el archivo de aso-
ciaciones. La Figura 4-2 muestra la tecla correspondiente. El valor REG_MULTI-SZ en esta
clave es
conocido como un Darwin Descriptor. Se trata de una representación codificada de un producto
específico,
componentes y características. Afortunadamente no es necesario para interpretar este valor,
sólo para
verificar que está ahí. Si el descriptor de Darwin existe, Windows Installer decodifica la
datos y los utiliza para llevar a cabo los controles contra ese producto y los componentes.
Figura 4-2 Darwin Descriptor de archivo que la invocación

Una biblioteca de componentes COM proporciona componentes que varias aplicaciones

diferentes
puede utilizar. Por ejemplo, un proveedor de componentes podría proporcionar una visión
compartida basada en COM
biblioteca que proporciona instrucciones de viaje cuando un usuario especifica una dirección y
un des-
tino dirección. Esto podría ser utilizado con varias aplicaciones, pero de Windows Installer
tiene que comprobar el estado de los componentes COM a través de publicidad independiente
de la aplicación que lo utiliza (e incluso con independencia de si la solicitud fue
instalado con Windows Installer). Publicidad COM garantiza que el componente
queda instalado y registrado correctamente. Cuando una aplicación crea una instancia de
este componente, los enlaces de Windows Installer para el proceso de una manera similar a la
que se vincula a
una asociación de archivo. La figura 4-3 muestra el descriptor de Darwin para un componente
COM,
que se almacena en el valor del Registro InprocServer32.
Figura 4-3 Darwin Descriptor de Publicidad COM
A veces, las características de la resistencia integrada de Windows Installer no puede ser

capaz de
detectar todos los problemas con la configuración de una aplicación, o la aplicación puede
Corred de tal manera que los puntos de entrada requeridos no se hayan activado. El Windows
Instalador de Application Program Interface (API) proporciona funciones adicionales la
resistencia
en tales situaciones.
Por ejemplo, una aplicación puede utilizar más de un archivo ejecutable. El primer EJECUC
poder puede buscar e instalar las actualizaciones del segundo archivo ejecutable, el cual pro-
proporciona la interfaz de usuario principal. En este caso, el primer ejecutable se invoca cuando
el
usuario hace clic en un acceso directo en el menú Inicio. En esta situación, es posible que los
problemas
con el ejecutable de la aplicación principal no serán detectados por el instalador de Windows
motor. En este caso, el desarrollador de aplicaciones debe utilizar Windows Installer es

conocimiento de la configuración de la aplicación que ya está definido en el despliegue
ción del paquete.
Un administrador no se espera que sea un desarrollador de software. Sin embargo, usted será
el
primero en saber si una aplicación crítica para el negocio no está actualizada o reparada. Como
parte de la
proceso de planificación que usted necesita saber que las aplicaciones no pueden acceder a la
incorporada en el
Instalador de Windows puntos de entrada y si los desarrolladores de aplicaciones han imple-
capacidad de recuperación ejecutada a través de la API. Normalmente, usted puede ser que
■ Laspara
necesite tareas programadas
asegurarse de que la resistencia ha
ha■ configurado para los siguientes tipos de aplicaciones:
Aplicaciones que se ejecutan desde la línea de
■
comandos
Los servicios del
■
sistema
Las aplicaciones que inicialmente el acceso al sistema operativo (normalmente asociada
con
de ejecución o de ejecución, una vez las claves de registro)
■ Aplicaciones que llaman a otras aplicaciones
Aplicación de la resiliencia
MÁS INFORMACIÓN
Para más información sobre la resistencia de aplicación, consulte http://msdn2.microsoft.com/en-us/library/

aa302344.aspx. Este artículo está escrito desde la perspectiva de un desarrollador y no es específico de Windows
Server 2008. Lo tratan como información de fondo.
La aplicación de la resiliencia mediante el uso de System

Center
Configuration Manager 2007
Lección 2 de este capítulo se analizan Microsoft System Center Configuration Manager
2007 en detalle. El propósito de esta sección es analizar cómo utilizar las instalaciones del este
software proporciona para implementar actualizaciones de software y ayudar a garantizar la
resistencia de la aplicación.
System Center Configuration Manager 2007 reemplaza a Microsoft Sistema de Gestión de
Server (SMS) 2003 y hace más fácil para usted para hacer un seguimiento y aplicar las
actualizaciones de software
toda su organización. Se ofrece una solución integrada que se despliega suave
software (y hardware) actualiza a través de clientes físicos y virtuales, servidores y dispositivos
móviles
los dispositivos, independientemente de su ubicación. Se puede utilizar para distribuir la
seguridad y la no-
de seguridad relacionados con las actualizaciones de los productos de Microsoft, las
aplicaciones de terceros, y la costumbre
Aplicaciones LOB.
De gestión System Center Configuration Manager de actualización de software se basa en

Windows Server Update Services (WSUS). Esto mejora la velocidad y la eficiencia de
actualizaciones, ayuda a limitar la vulnerabilidad, y proporciona las actualizaciones
programadas.
WSUS
MÁS INFORMACIÓN
Para obtener más información acerca de WSUS, consulte http://technet.microsoft.com/en-

us/wsus/default.aspx.
System Center Configuration Manager 2007 es compatible con la actualización de software a

medida cata-
los registros de terceros y software de LOB personalizado. Estos catálogos permiten in-house
de software
los equipos de desarrollo o de terceros proveedores de software para crear sus propios
definición de actualización
ciones y publicarlas en WSUS. Personalizado catálogos de actualizaciones de software creado
por Microsoft
Software
socios comocatálogos
Citrix yde actualización
Adobe soncon
se incluyen relativamente fácil Configuration
System Center de escribir (al Manager
menos en
comparación
Manager 2007. con el software de escritura-
paquetes de software). Como resultado, System Center Configuration Manager 2007
proporciona una
solución única e integrada que permite a los administradores para gestionar la distribución de
actualizaciones de los productos de Microsoft y otros programas a través de su organización.
System Center Configuration Manager 2007 proporciona las siguientes características:
■ Usted puede usar System Center Configuration Manager 2007 para
Control granular
implementar las actualizaciones sin problemas en toda su organización. El paquete
proporciona gran-
cular sobre el control cuando se aplican las actualizaciones de software y se repara.
Puede
permite especificar un período de tiempo durante el cual System Center Configuration
Manager 2007 puede realizar cambios a un conjunto de ordenadores administrados.
Usted
puede coordinar la frecuencia y la duración de las ventanas de mantenimiento con
■ los acuerdosdedeevaluación
Automatizado nivel de servicio
System
de (SLA)Configuration
Center actualmente Manager
vulnerabilidades en vigor en su organización.
2007
También ofrece evaluación de la vulnerabilidad automatizado que descubre que faltan
actualizaciones de dispositivos en la red y genera recomendaciones. Este
a menudo le permiten resolver los problemas antes de que ocurran, o al menos antes de
su
los usuarios se percaten. Además de implementar la resiliencia de aplicación, el paquete
edad le permite agregar actualizaciones (por ejemplo, actualizaciones de seguridad) a las
imágenes del sistema operativo
de modo que todos los ordenadores nuevos a implementar están al día y seguro.
■ Aplicación
Basado en Internet de gestión de software para asegurar la resiliencia
de clientes
instalado en los clientes utilizados por los trabajadores móviles y el hogar, que rara vez se
adhieren a su
red de la empresa genera un nivel adicional de complejidad. Cliente, por ejemplo
las computadoras son especialmente vulnerables porque a menudo se integran con

de cara al público las redes fuera del firewall corporativo. Esto facilita la aplica-
impor-ciones resistentes y, en particular, aplicar actualizaciones de seguridad más
importantes. System Center Configuration Manager 2007 ofrece Internet basado en el
cliente
gestión y puede ofrecer actualizaciones tanto para clientes internos y basados en Internet.
Esto permite que las actualizaciones oportunas de software que se produzca
independientemente de con qué frecuencia un cliente
ordenador está conectado a la red interna. Debido a los clientes la gestión de computa-
res en una red pública requiere de mayor seguridad, Internet-cliente basado en gestión de
ción requiere la autenticación mutua utilizando la infraestructura de clave pública (PKI)
basada en
certificados, y datos hacia y desde estos clientes se cifra mediante Secure Sockets
Layer (SSL).
■ Wake On LAN System Center Configuration Manager 2007 proporciona Wake On
LAN, que permite actualizaciones que se produzcan fuera del horario comercial. Wake On
LAN envía
despertar paquetes a los equipos que requieren actualizaciones de software. Esto
significa que
no es necesario dejar los ordenadores encendidos para proporcionar el mantenimiento
fuera
del horario de oficina. También facilita la programación de sus limitaciones y mini-
■ La integración con Network Access System Center
Protection (NAP) Configuration
minimiza la interrupción de la red.
Manager 2007 le permite a su organización de exigir el cumplimiento de las
actualizaciones de software en
los equipos cliente. Esto ayuda a proteger la integridad de la red corporativa
mediante la integración con la política de Microsoft Windows Server 2008 NAP
aplicación de la plataforma. Las políticas del PAN le permiten definir que el software
cambios a incluir en los requisitos del sistema de salud. Si un equipo cliente
los intentos de acceder a su red, PAN y System Center Configuration-Man
Ager 2007 trabajan juntos para determinar el cumplimiento del cliente y estatales de salud
determinar si el cliente tiene acceso completo a la red o restringido. Si el
cliente no cumplen las normas, System Center Configuration Manager 2007 puede ofrecer
las actualizaciones de software necesarias para que el cliente puede cumplir del sistema
de salud requiere-
gobiernos y tener acceso completo a la red.
PAN
MÁS INFORMACIÓN
Aunque Windows Server Update Services 3.0, System Center Configuration Manager 2007, y
System Center Essentials 2007 (que se describe más adelante en este capítulo) pueden ser utilizados como parte de
la
Cliente NAP proceso de remediación, que no son esenciales para el proceso de validación del sistema de salud. Para
más información sobre NAP para Windows Server 2008, consulte http://www.microsoft.com/
windowsserver2008/network-access-protection.mspx.
■ Informes flexible System Center Configuration Manager 2007 proporciona una amplia gama
de
variedad de informes que muestran el estado de las actualizaciones de software a través
de su empresa
de la red. Estos informes permiten ver (por ejemplo), estado de implementación y com-
Estadísticas de cumplimiento. Puede agrupar varios informes para que sea más fácil de
ver y
comparar los resultados.
System Center Configuration Manager 2007
MÁS INFORMACIÓN
Para obtener más información acerca de System Center Configuration Manager 2007, consulte http://
www.microsoft.com / systemcenter / ConfigMgr. Puede descargar una versión de prueba de este software de
http://technet.microsoft.com/en-us/configmgr/default.aspx.
NOTA System Center Essentials 2007

System Center Essentials es una herramienta unificada que proporciona servicios similares a los de System Center
Administrador de configuración, incluyendo la actualización de aplicaciones y capacidad de recuperación. System
Center Essentials
diseñado para redes de tamaño medio y está limitado a 30 servidores y 500 clientes. Lección 2 de la presente
capítulo se describe la herramienta en detalle.
Uso de WSUS
WSUS versión 3.0 (WSUS 3.0) le permite implementar las actualizaciones de producto de
Microsoft para computadoras-
res que ejecuta Microsoft Windows Server 2008 y sistemas operativos de cliente en su
la red de la organización. La infraestructura de administración de WSUS consiste en la
Sitio Web de Microsoft Update (http://update.microsoft.com) y el servidor WSUS instalado
en un equipo Windows Server 2008. Servidor WSUS le permite administrar y dis-
actualizaciones tributo mediante el uso de la Consola de administración de WSUS 3.0 (Update
Services),
muestra en la Figura 4.4, que se puede instalar en una estación de trabajo administrativo para
el hombre
la edad del
Además, unservidor
servidorWSUS 3.0 Server
Windows de forma remota.
2008 que ejecuta el servidor WSUS puede actuar como
un
aguas arriba en el servidor una fuente de actualización para otros servidores WSUS dentro de
su organización.
Al menos un servidor WSUS de la red debe conectarse a la web de Microsoft Update
sitio para obtener información de actualización disponible. Otros servidores de la cantidad de
conectarse directamente a
Microsoft Update es algo que hay que determinar con la mayor parte de la planificación de su
El
pro-componente de cliente de Actualizaciones automáticas integrada en el cliente y el servidor
de operación
proceso, y depende de la configuración de red y los requisitos de seguridad.
sistemas permite a los equipos de la red para recibir las actualizaciones directamente desde
Microsoft Update o desde un servidor que ejecuta WSUS. En una red administrada corporativa,
las actualizaciones normalmente se controla mediante WSUS en combinación con el SMS o el
sistema de
Figura 4-4 Servicios de actualización
Center Configuration Manager. Esto le permite probar las actualizaciones antes de rodar hacia
fuera a
ordenadores de su red de producción. También permite programar actualizaciones para
que se producen durante los periodos de bajo uso de la red, por ejemplo, durante la noche.
WSUS ha estado alrededor por algún tiempo, y como un administrador con experiencia que se
probablemente está familiarizado con él. Si no, vaya a la página principal de WSUS en
http://technet.microsoft
.com / en-us / wsus / default.aspx y seguir los enlaces. Este libro analiza el mejorar
mentos de WSUS proporciona la versión 3.0. WSUS 3.0 ofrece mejoras en la
las siguientes áreas:
■ Implementación mejoradas
■ Usabilidad
■ Rendimiento y la optimización de ancho de banda
■ Apoyo a las jerarquías de servidores complejas
■ Mejora de las API
Una mayor distribución WSUS 3.0 le permite configurar su servidor WSUS para sincro-
Niza se actualiza automáticamente con la frecuencia que una vez por hora (WSUS 2.0 permiten
sincronizar
una vez al día). Usted puede obtener y replicar las actualizaciones críticas más rápidamente, a
pesar de que
es una decisión de si debe hacerlo, y cuánto tiempo debe tomar para poner a prueba
(Por ejemplo) una actualización de seguridad marcados como urgentes o importantes antes de
implementarla.
WSUS 3.0 permite especificar múltiples reglas de aprobación automática para que los
diferentes productos y
clasificaciones de actualización puede o no se aprueban automáticamente. Aprobación
automática
WSUS 3.0 ofrece un grupo de WSUS Reporters seguridad. Los miembros de este grupo han
reglas se aplican a todas las actualizaciones que se encuentran actualmente en un servidor
acceso de sólo lectura al servidor WSUS. Se pueden generar informes, pero no puede aprobar
WSUS 3.0.
actualizaciones o configurar el servidor.
La consola de administración de WSUS 3.0 ahora es un complemento de MMC. Esta

Usabilidad
inter-
cara (como se muestra anteriormente en la Figura 4-4) proporciona páginas de inicio en cada
nodo que contiene
una visión general de las tareas asociadas con el nodo. Ofrece funciones avanzadas de filtrado
y la capacidad de clasificar las actualizaciones según el Centro de Microsoft Security Response
(MSRC) número, la gravedad MSRC, artículo de Knowledge Base (KB), y el estado de la
instalación.
La consola ofrece menús de acceso directo y le permite integrar sus informes con la
actualización
La consola de administración de WSUS 3.0 ofrece acceso a un asistente de configuración que
puntos
a travésde
delvista. También
proceso ofrece vistasdel
de configuración personalizadas de lade
servidor después información WSUS.
la instalación. Puede generar
informes
directamente de la actualización de la vista. Usted puede informar sobre subconjuntos de
actualización, como la seguridad
cambios que aún no aprobado para su instalación. Puede guardar estos informes en Microsoft
Office Excel o PDF.
WSUS 3.0 registra información detallada del estado del servidor en el registro de eventos.
Usted puede utilizar el Sistema
Center Operations Manager para supervisar eventos generados por el servidor WSUS. La
servidor puede informarle acerca de nuevas actualizaciones a través de correo electrónico.
WSUS 3.0 proporciona una limpieza
para eliminar los registros obsoletos equipo, las actualizaciones y archivos de actualización de
Usted puede actualizar WSUS 2.0 a WSUS 3.0. Esto conserva los valores anteriores y
su servidor.
aprobaciones. Sin embargo, la actualización de WSUS 2.0 a WSUS 3.0 es un proceso
unidireccional.
Volviendo a WSUS 2.0 requiere que primero quitar WSUS 3.0 y vuelva a instalar
WSUS 2.0.
Rendimiento y optimización Microsoft estima
de ancho de bandaque WSUS 3.0 pro-
proporciona una mejora de rendimiento del 50 por ciento en comparación con WSUS 2.0.
Además,
WSUS 3.0 viene con soporte nativo de 64 bits para mejorar el rendimiento y la escalabilidad de
Hardware de 64 bits.
Las sucursales con conexiones lentas WAN en el servidor central, pero la banda ancha con-
conexiones a Internet puede configurarse para obtener metadatos del servidor central y
actualizar el contenido del sitio Web de Microsoft Update.
Puede configurar una sucursal para descargar actualizaciones en menos idiomas que los
servidor central. Por ejemplo, puede configurar el servidor central para descargar
cambios en todos los idiomas y una sucursal para descargar actualizaciones en EE.UU. Inglés
solamente.
Apoyar complejas jerarquías del servidor La consola de administración de WSUS 3.0
le permite ver y gestionar todos los servidores WSUS en su jerarquía, y puede
crear informes de actualización para todos los equipos actualizados a través de WSUS. Puede
agrupar
Servidores WSUS 3.0 para la tolerancia a fallos.
Puede mover un servidor secundario entre el modo de réplica y de modo autónomo, sin
necesidad de volver a instalar WSUS 3.0. En réplica modo, un servidor WSUS acciones arriba
actualizaciones, los grupos de equipos, y el estado de aprobación con sus servidores de la
cadena de réplica,
que heredan las aprobaciones de actualización y no se puede administrar al margen de su
servidor ascendente. En el modo autónomo, una aguas arriba de acciones WSUS servidor de
actualizaciones
con sus servidores indirectos durante la sincronización, pero no actualiza el estado de
aprobación
o la computadora la información del grupo. Abajo los servidores WSUS se debe administrar
por
WSUSseparado en este
3.0 permite modo.
a un equipo de pertenecer a grupos múltiples. También puede crear
grupos jerárquicos y especificar las aprobaciones para el grupo objetivo principal que se auto-
automáticamente heredados por los equipos de los grupos secundarios.
La API
Mejora de las API de WSUS 3.0 se basa en el 2.0. NET Framework. Microsoft
ha creado APIs adicionales para las herramientas de administración avanzadas (como System
Center
Configuration Manager). Sin embargo, estas API no están disponibles en el WSUS
consola de administración y están fuera del alcance de este capítulo.
La API de WSUS 3.0 le permite crear autorizaciones para la instalación opcional. Esto hace que
el
actualización disponible para la instalación de Programas y características del Panel de control,
pero
no a través de Actualizaciones automáticas. Por último, el WSUS 3.0 API permite publicar
aplicaciones
y
Laactualizaciones
aplicación de de terceros. mediante Directiva de grupo
la resiliencia
Windows 2000 Server Política presentó el Grupo de instalación de software como una
extensión
de la Directiva de grupo de MMC. En las redes de producción que normalmente
utilizar métodos de suministrar la instalación de software y capacidad de recuperación que se
puede programar
y el control. Sin embargo, la directiva de grupo sigue siendo un método válido de asignación o
pub
Puede
que se publicar software
establece a los usuarios,
aplicaciones asignar software
y actualizaciones a los usuarios
de desarrollo, o asignar
en particular software
en una red a
com-
pequeña.
computadoras. Puede utilizar una combinación de estos métodos para asegurar que el software
está disponible
a los usuarios que lo necesiten, y para asegurar que el software es flexible y las actualizaciones
y los nuevos
las revisiones se instalan en su caso.
Cuando se publica una instalación de software (. Msi) a los usuarios de un sitio, dominio o
OU, los usuarios pueden utilizar los Programas y características en el panel de control para
instalar el software.
Es importante recordar que los usuarios no administrativos no pueden instalar por defecto
software en los equipos cliente a través de Programas y características, a menos que el
software
ha sido publicada previamente por el administrador.
Si se publica una aplicación en un nuevo GPO, debe vincular el GPO a un sitio, dominio o
OU y actualizar la directiva de grupo antes de la aplicación aparece en Programas y
características.
Si selecciona Auto-Install cuando se publica el software, puede instalar la aplicación
la apertura de un documento asociado. Esto se conoce como documento invocación.
Publicación de los paquetes de instalación de software permite a los usuarios elegir si desea
instalar una
nueva versión o aplicar las actualizaciones. Un usuario puede utilizar Agregar o quitar
programas para instalar el
software, o para quitarlo y luego volver a instalarlo. Este método de aplicación es la capacidad
de recuperación
empleados normalmente cuando los usuarios son relativamente sofisticados. Organizaciones
con los usuarios
Puede
que sonasignar
menosaconscientes
los usuariosde deordenador
software bajo demanda,
suelen se debe asignar
utilizar Directiva de grupoa para
los usuarios
bloqueardeel
inicio
acceso dedel
sesión, o asignar
usuario al control de
a los ordenadores.
Grupo, en cuyo caso Si la
sepublicación
asigna el software en la de
de paquetes demanda, el software
instalación se anuncia
de software en la
no es apropiado.
escritorio. El usuario instala el software haciendo clic en el acceso directo del escritorio
mediante el acceso a
el software a través del menú Inicio, o por la invocación del documento. Si el panel de control
es
También puede
disponibles, asignartambién
el usuario software a los instalar
puede usuarioselpara que se
software instalede
a través la Programas
próxima vezy que un
usuario cierra la sesión (o
características.
se reinicia el ordenador) y los registros de nuevo. Incluso si el usuario quita el software,
vuelve a estar disponible al iniciar la sesión. Actualizaciones y nuevas versiones de forma
automática
instalado en el inicio de sesión.
Si se asigna a los usuarios de software en una unidad organizativa y de los usuarios en el uso
de diferentes unidades de la misma com-
ordenador, el software puede estar disponible para un usuario y no a otro. Si desea que el
software que esté disponible para todos los usuarios de un equipo o grupo de equipos, se
puede
asignar software a las computadoras. El software se instala en el ordenador se enciende,
y cualquier actualización o revisiones nuevas se instalan en el reinicio. Si se asigna a un
software
ordenador, el usuario de la computadora no se puede quitar. Sólo un administrador local o de
dominio
puede quitar el software, a pesar de que un usuario puede reparar.
La publicación y la asignación de software

MÁS INFORMACIÓN
Para más información sobre la publicación y la asignación de software, y un ejemplo paso a paso, consulte
http://technet2.microsoft.com/WindowsServer/en/library/d3d52f5d-45ab-4be9-a040-28ffe09bc8f81033
. Mspx? Referencia del fabricante = true. Aunque este es un artículo de Windows Server 2003, también es importante
a Windows
Server 2008.
Consulta Rápida
■ Paquete de software que puede utilizar para instalar aplicaciones de software y
mantener la capacidad de aplicación, y también soporta actualizaciones de software
a medida
catálogos de software LOB de terceros y la costumbre?
■ System Center Configuration Manager 2007
Práctica: Instalación del servidor de aplicaciones Función de

servidorEn
deesta sesión de práctica de instalar el servidor de aplicaciones función de servidor. Instalar
todas las carac-
ras incluidas en este papel, excepto COM + acceso a la red, por lo que la instalación lleva algún
tiempo. A continuación, asegúrese de que la instalación del servicio de servidor Web se ha
instalado
Ejercicio 1:IIS7.
Instale el servidor de aplicaciones Función de servidor
de
En este ejercicio, se instala el servidor de aplicaciones función de servidor. Instalar todas las
características de
este papel, excepto COM + acceso a la red. Para completar este ejercicio, haga lo siguiente
pasos:
1. Inicie sesión en el DC con la cuenta kim_akers.
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga
clic en Administrador de servidores.
3. Cuando el cuadro de diálogo UAC aparece, haga clic en
Continuar.
4. En el menú Acción, haga clic en Agregar
funciones.
5. El Asistente para agregar funciones aparece. Haga clic
en Siguiente.
6. En la página Seleccionar funciones, seleccione el servidor de aplicaciones casilla de
verificación.
7. En el agregar características requerido para la caja de diálogo del servidor de aplicaciones,
que se muestra en
Figura 4-5, haga clic en Agregar características requeridas.
Figura 4-5 Agregando las características requeridas para el rol de servidor de aplicaciones de
servidor
8. En la página Seleccionar funciones del Asistente para agregar funciones, servidor de
aplicaciones es
ahora seleccionado, como se muestra en la Figura 4.6. Haga clic en Siguiente.
Figura 4-6 El servidor de aplicaciones función de servidor se puede instalar
9. Información acerca de la función Servidor de aplicaciones aparece como se muestra en la

Figura 4.7.
Lea esta información y haga clic en Siguiente.
Figura 4-7 Información sobre la función de servidor de aplicaciones de

servidor
10. En la página Seleccionar servicios de función, seleccione Servidor Web (IIS)
de apoyo.
11. En el complemento Servicios y las funciones requeridas para Web Server (IIS) de diálogo
de Apoyo
caja de texto, haga clic en Agregar servicios de función requeridos.
12. Seleccione el uso compartido de puertos TCP
casilla de verificación.
13. Seleccione el proceso de activación de Windows Servicio de Apoyo casilla de
verificación.
14. En los servicios de función Añadir y las funciones requeridas para el proceso de Windows
Activa-
Servicio de Información de Apoyo cuadro de diálogo, haga clic en Agregar servicios de
15. Seleccione
función la casilla de transacciones distribuidas de verificación. Los servicios de función
requeridos.
Seleccionar la página de
el Asistente para agregar funciones deben aparecer como se muestra en la Figura 4-8. Haga
16. En
clic en la página Elegir un certificado de autenticación de servidor para la página de cifrado
Siguiente.
SSL,
seleccione Elegir un certificado para el cifrado SSL más tarde, como se muestra en la Figura
9.4.
17.Haga
Información
clic en Siguiente.
acerca de Web Server (IIS) aparece. Lea esta información y haga clic en
Siguiente.
Figura 4-8 Servicios de la función

seleccionada
Figura 4-9 Elección para elegir un certificado para el cifrado SSL más tarde
18. Un rol de página Seleccionar servicios de Web Server (IIS) aparece. Seleccione la casilla
ASP
caja, como se muestra en la Figura 4-10. Haga clic en Siguiente.
Figura 4-10 Selección de servicios de función de servidor Web
19. Lea la información en la página Confirmar selecciones de instalación, como se muestra en

Figura 4-11. Si está satisfecho con las opciones de instalación seleccionadas, haga clic en
Instalar.
Figura 4-11 Selecciona las opciones de instalación

20. Cuando el proceso de instalación haya finalizado, el estado de la instalación aparece

en la página de Resultados de la instalación, como se muestra en la figura 4.12. Haga clic en
Cerrar.
Figura 4-12 Resultados de la instalación página
21. Cierre el Administrador de

servidores.
Ejercicio 2: Comprobar que está instalado IIS7
IIS7 se instala cuando se instala el servidor de aplicaciones y seleccione la función de servidor
Web
Server (IIS) Servicio de papel de apoyo. En este ejercicio, se verifica IIS7 instalación. No
intento Ejercicio 2 hasta que haya completado el ejercicio 1. Para completar este ejercicio,
realice los siguientes pasos:
1. Si es necesario, inicie sesión en el DC con la cuenta kim_akers.
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en
Internet Information Server
Services (IIS) Manager.
3. Cuando el cuadro de diálogo UAC aparece, haga clic en Continuar. El Administrador de IIS
se abre, como se muestra
en la figura 4.13.
Figura 4-13 Servicios de Internet Information Server (IIS)
4. Haga clic en Conectar a localhost. Información de IIS para el DC Glasgow se muestra,

como
muestra en la figura 4.14.
Figura 4-14 Internet Information Services (IIS) señala gerente de Glasgow servidor
5. Ampliar GLASGOW (CONTOSO \ kim_akers), expanda Sitios y, a continuación, haga clic

en Predeterminado
Sitio Web. Desplácese a IIS y haga clic en documento predeterminado, como se muestra en
la figura 4.15.
Figura 4-15 Seleccionar el documento predeterminado en el sitio Web predeterminado
6. Haga clic derecho en documento predeterminado y haga clic en funciones abierto. El

archivo default.htm
debe estar en la parte superior de la lista de documentos predeterminados, como se
Figura 4-16 Listado de documentos por defecto

7. Haga clic en iisstart.htm, a continuación, haga clic en Subir en el panel Acciones. Haga clic
en Sí para borrar
El documento por defecto del cuadro de diálogo.
8. Siga haciendo clic en Subir hasta que iisstart.htm es en la parte superior de la lista de
incumplimiento
de los documentos.
9. Abra Internet Explorer.
10. Tipo localhost en el cuadro de dirección y pulse la tecla Enter. Compruebe que el acceso
iisstart.htm, como se muestra en la figura 4.17.
Figura 4-17 Acceso a la pantalla iisstart
11. Cierre Internet Explorer y cierre Internet Information Services (IIS)

Manager.
■ El servidor de aplicaciones función de servidor proporciona un entorno para la
implementación y
la ejecución de aplicaciones LOB construido con la plataforma Microsoft. NET Framework
3.0.
El papel ofrece un asistente de instalación, el apoyo básico de ejecución, y el apoyo a
. NET Framework, que a su vez permite que los servicios Web.
■ ASF se instala por defecto cuando se instala el servidor de aplicaciones función de

servidor. Lo
añade. NET Framework 3.0, incluyendo las características de WCF, WF, WPF y el a
. NET Framework 2.0, que se incluye en Windows Server 2008, independientemente de
si la función de servidor está instalado.
■ Puede utilizar los grupos de aplicaciones para comprobar la disponibilidad de aplicaciones
basadas en Web
de forma aislada para que no se ven afectados por la interferencia de otras aplicaciones.
■ Windows Server 2008 Centro de facilidad de acceso permite acceder a los acce-
lidad de las características de Windows Server 2008. Aplicaciones que se ejecutan en
Windows
Server 2008 los servidores deben, como mínimo, proporcionar acceso a estos
accesibilidad
■ características.
Puede implementarAlgunas aplicaciones
la resiliencia proporcionan
de aplicación características
en un adicionales
servidor Windows 2008 dedela red por
accesibilidad.
con Windows Installer, System Center Configuration Manager, System Center
Esencial, y Directiva de grupo. System Center Configuration Manager y el sistema de
Center Essentials utilizar WSUS para obtener e implementar las actualizaciones de
producto de Microsoft.
También necesitan tener acceso a una base de datos SQL.
en
Lección 1, "servidores de aplicaciones y servicios." Las preguntas también están disponibles en
la
NOTA Respuestas
1. ¿Qué característica de la función de servidor de aplicaciones de servidor IIS7 se utilizan

para implementar
activación basada en mensajes a través de HTTP?
A. ASF
B. WS
C. Uso compartido de puertos
Net.TCP
D. Las transacciones distribuidas
2. ¿Cuál de las siguientes. NET Framework 3.0 los componentes? (Elija todas las que
se aplican.)
A. WCF
B. WPF
C. WF
D. WS
E. MS DTC
3. ¿Qué hace la herramienta de configuración de Windows Server 2008 proporcionan para
que pueda configurar
características de accesibilidad?
A. Asistente para accesibilidad
B. Centro de servicios
públicos
C. Opciones de accesibilidad
D. Centro de accesibilidad
4. Aunque Windows Server 2008 continúa apoyando a COM + acceso a la red,
nuevas aplicaciones que suelen utilizar los componentes ASF para soporte remoto
invocación?
A. WCF
B. WF
C. WS
D. WPF
5. Que desea utilizar Directiva de grupo para instalar un paquete de software en todos los
equipos cliente-
computadoras en una unidad organizativa. Desea que la directiva de grupo para instalar el
software y sus actualizaciones
o nuevas revisiones cuando un equipo cliente se enciende. Desea que todos los usuarios
que
conéctese a Internet
A. Asignar en cualquiera
el software desesión
al iniciar la los equipos para
a todos los tener acceso
usuarios de al software. ¿Cómo se
con- la OU.
figura
B. Hacer
el paquete
público
de el
instalación
software depara
software
todos los
de usuarios
Directivade
de grupo?
la OU.
C. Asignar el software a todos los equipos de la unidad
organizativa.
D. Hacer público el software para todos los equipos de la
unidad organizativa.
Lección 2: Implementación de aplicaciones 235
Lección 2: Implementación de aplicaciones

La implementación de aplicaciones en una red de producción puede ser complejo y requiere de
una cuidadosa
la planificación, sobre todo en una gran organización. Sus planes de negocios tienen que
reconocer
requisitos y también hay que tener en cuenta los costos, tales como el costo de cada uno de
y múltiples licencias de usuario. Se aplican diferentes consideraciones para el basado en
servidor y cliente-
aplicaciones basadas en. Usted necesita asegurarse de que las aplicaciones están disponibles
para los usuarios que
les exigen al mismo tiempo no perder tiempo y dinero mediante la implementación de
aplicaciones a los usuarios
que nunca van a usar. En esta lección se analiza el proceso de planificación, y en la
instalaciones
sanciones previstas por el System Center Configuration Manager 2007, que es el despliegue
ción de herramientas Microsoft recomienda para grandes redes de Windows Server 2008, y en
Después
System de esta
Center lección, usted
Essentials seráque
2007, capaz
se de:
utiliza para el despliegue en pequeñas y medianas em-
■
empresas con
Plan de menos de 30 servidores
implementación y 500 clientes.
de aplicaciones.
■ Implementar las aplicaciones.
■ El uso de System Center Configuration Manager.
Planificación de implementación de
aplicaciones
En las organizaciones empresariales modernas rara vez se ve a los administradores van desde
el ordenador
al equipo de instalación de software de medios ópticos. En su lugar, emplean las soluciones de
como el Sistema de 2007 director del centro de configuración que utilizan las facilidades
proporcionadas por
Windows Installer 4.0 para implementar soluciones integrales para la planificación, prueba,
implementación, análisis y optimización de aplicaciones de software. Usted necesidad de
planificar
soluciones que ayudan a activar el despliegue fluido de las aplicaciones de negocio a todos los
ordenadores,
Podría decirsedesde
que laservidores a equipos
primera cosa cliente
que usted para dispositivos
necesita dede
saber la hora mano.
planificar el despliegue
de nuevas
aplicaciones es el estado del hardware actual de su organización y los activos de software.
Es necesario determinar la compatibilidad y comprender cómo estos activos son en la
actualidad
utilizados. Tanto SMS 2003 y su reemplazo, System Center Configuration Manager
2007, proporcionan hardware y software de inventario con integrada basada en Web
presentación de informes, al igual que System Center Essentials 2007. Usted puede utilizar
esta información de los activos
a paso a través del proceso de implementación en un entorno de prueba que se basa en la
configuraciones de los sistemas actuales. Se pueden agrupar los sistemas con las mismas
configuraciones
(Colecciones) en conjunto (por ejemplo, para System Center Configuration Manager 2007 del
sitio)
y el plan de lanzamientos de los departamentos. Si las aplicaciones necesitan ser
implementados en un determinado
subconjunto de los usuarios de negocios o de los equipos cliente, puede utilizar la información
incluida en
Tanto System Center Essentials 2007 y System Center Configuration Manager 2007
Usuario de Active Directory y de equipo durante el proceso de implementación.
el uso de Windows Installer 4.0. Esto le permite auto-sanación o resistentes a los paquetes de
software
pueden crear directamente desde el Windows Installer (. msi). Lección 1 de este capítulo dis-
discutió la resistencia de la aplicación. Su plan también debe abordar el ancho de banda y
seguridad
implicaciones. Despliegue de la aplicación debe tener poco o ningún impacto sobre lo normal
operaciones de negocio y tiene que ser de alta seguridad. Un invasor que secuestra a su soft-
el tráfico de mercancías de instalación podría hacer un daño considerable.
Mundo Real
Ian McLean
Comenzó con Microsoft Operations Monitor (MOM).
Hace algún tiempo me estaba aconsejando a una organización que quería supervisar las
operaciones de
en sus servidores, en particular, su servidor de correo electrónico. Habían estado
haciendo algunas investigaciones
ción antes de pedir mi consejo, y había identificado MOM como una solución a sus
requisitos, que de hecho lo fue.
Sin embargo, he tenido que señalar que su base de datos actual sistema de gestión
(DBMS) no era de SQL Server. MOM requiere acceso a una base de datos SQL Server.
Gestión fue menor que contento con la compra de una licencia de SQL Server y
configuración de un servidor, aunque sí apuntó que la organización podría usar un
máquina virtual.
Con el tiempo la organización decidió rediseñar su DBMS, que se expe-

ING problemas en cualquier caso. SQL Server se introdujo y se utilizó para MOM
vigilancia. Sin embargo, me he quedado cuidado cuando la investigación de soluciones
para
cualquier problema para averiguar lo que los requisitos de un software en particular
paquete son. Puede ser muy fácil de perder una sola línea en los requisitos de
especificaciones
ción y hacer usted mismo la vergüenza considerable.
System Center Essentials 2007 y System Center Configuration Manager 2007
necesitan tener acceso a una base de datos SQL Server. Ambas herramientas también
utilizan WSUS 3.0, pero
WSUS 3.0 no necesita de SQL Server y es una solución para la implementación de
software
y capacidad de recuperación de SQL Server si no se utiliza en una organización.
Sin embargo, parece ser cada vez más el caso de que SQL Server es un requisito previo,
y se está convirtiendo en una parte casi esencial de la infraestructura de red de Windows.
Siempre revise los requisitos previos con cuidado.
Distribución de aplicaciones con System Center Essentials

Puede utilizar Microsoft System Center Essentials 2007 para administrar el software de
despliegue. La herramienta ofrece una amplia gama de instalaciones y características
adicionales,
incluyendo la solución de problemas del usuario final, la automatización de las tareas de
gestión, el hombre-
el envejecimiento de múltiples sistemas y diagnosticar y resolver problemas de TI. System
Center
Essentials 2007 es visto como una solución para organizaciones de tamaño medio. Si su
organi-
zación tiene
System o es
Center probable 2007
Essentials que tenga más deuna
proporciona 30 500 servidores
solución o clientes,
única con usted
una sola debepara
consola utilizar
System
la Center
gestión Configuration
de servidores, Manager
clientes, 2007 software
hardware, en su lugar.
y servicios de TI para una estrategia más
unificada
la experiencia. La herramienta se basa en WSUS 3.0 y requiere acceso a un servidor de datos
SQL
base. Sin embargo, si una base de datos de SQL Server no existe en su organización y no
puede
se especifica, la instalación de System Center Essentials 2007 instala SQL Server 2005
Expresa con la presentación de informes por defecto.
NOTA Política de la organización se opone a la utilización de SQL Server
Si la política de su organización se opone a la utilización de SQL Server, no debe instalar System Center
Essentials 2007, sino que debe utilizar WSUS, que System Center Essentials 2007 se basa en.
Sin embargo, ser conscientes de que WSUS no ofrece la amplia gama de información y otros servicios proporcionados
por los paquetes de System Center y se puede instalar y actualizar sólo el software que Microsoft pro-
proporciona en el sitio web de Microsoft Update.
System Center Essentials de Información

System Center Essentials 2007 proporciona información unificado, basado en el servidor SQL
Server
motor de informes. Usted puede revisar, guardar o imprimir la información sobre el estado de la
IT
medio ambiente, y puede enviar un e-mail esta información a otros profesionales de TI en su
equipo. La función de informes le proporciona informes preconfigurados para satisfacer sus
necesidades de informes. Estos informes abarcan, por ejemplo, el inventario de activos,
entorno de TI esta-
tus, la capacidad de planificación, implementación de software y cumplimiento de las
actualizaciones. Puede configurar
System Center Essentials 2007 al correo electrónico que usted o sus compañeros de una
amplia diario
informe de situación a una hora programada del día.
Los informes remitidos por System Center Essentials 2007 incluye soporte y diag-
tic la información para el servidor de Windows y sistemas operativos cliente, Active Directory,
Microsoft Office, Exchange, SQL Server, SharePoint Server y IIS. La herramienta proporciona
una consola unificada, que se muestra en la figura 4.18, desde donde se puede ver y
administrar los servidores,
clientes, hardware, software y servicios de TI
Figura 4-18 System Center Essentials consola unificada
Distribución de aplicaciones y actualizaciones

Usted puede utilizar el System Center Essentials 2007 consola unificada para evaluar,
configurar,
y distribuir las actualizaciones y la implementación de software para grupos específicos y las
computadoras. Sistemas de
TEM Center Essentials 2007 proporciona un asistente de configuración de actualización que le
permite
para establecer el comportamiento de actualización para los clientes de red y servidores. Se
especifica actualización
■ Información
parámetros, tales de proxy,
como como el puerto
los productos para 80
la actualización y qué tipo de actualización para
empujar
■ a cabo
Aplicaciones y versiones que desea actualizar, como Exchange Server 2007,
o instalar en la demanda. El asistente le pedirá la siguiente información:
el sistema Office 2007, y así sucesivamente
■ La actualización de su idioma o idiomas
■ Tipos de actualizaciones que desea instalar, como las actualizaciones críticas y de
■
seguridad
La descarga, instalación, y las preferencias de la
aprobación
Cuando haya especificado la configuración de actualizaciones que pueden implementar las

actualizaciones de Microsoft
sistemas operativos, actualizaciones de hardware, actualizaciones de terceros, los
controladores y Microsoft y
no es de Microsoft aplicaciones de software de forma manual o automática. System Center
Essen-
tials 2007 comprueba automáticamente si hay nuevas actualizaciones disponibles y aplicables
a las TI
System Center Essentials
medio ambiente 2007notificación
y proporciona simplifica lay tarea
accesodeaimplementación de sistema
los informes sobre operativo de
la Implementación
actualizaciones
la actualización o instalar paquetes de aplicaciones (tales como el sistema Office 2007),
proporcionando
progreso para ayudarle a solucionar cualquier problema de implementación de las
un asistente que le guiará por el proceso de despliegue de software mediante la creación de un
actualizaciones.
paquete-
edad y la orientación de instalación en los clientes y servidores de la red. Puede implementar
Instalación del software Microsoft (MSI) y MSI no las aplicaciones, los controladores y Microsoft
y no es de Microsoft Quick Fix Engineering (QFE) libera. Puede orientar software insta-
ciones mediante la agrupación de las computadoras y la definición de línea de comandos de
Configuración de la instalación por defecto de la instalación silenciosa. Sin embargo, usted
configuración.
puede usar el comando
funcionalidad de la línea en el asistente para habilitar escenarios de configuración especial.
Cuando se utiliza
el asistente, puede buscar. msi o. exe paquetes y caminar a través de un proceso a corto y
implementarlos en sus clientes y servidores. El asistente se completa el proceso de instalación
mientras que le permite especificar dónde se instala el software, establecer una fecha límite de
instalación,
seguimiento del progreso de la instalación y solucionar problemas de la instalación. La figura 4-
19 muestra el soft-
paquete de software de instalación en pantalla que le permite aprobar los grupos para su
implementación.
Figura 4-19 Grupos que se aprueba para el despliegue

Solución de problemas y de inventario de activos

System Center Essentials 2007 le notifica tan pronto como se produce un problema y ayuda a
a diagnosticar de manera proactiva y arreglarlo. También proporciona información del estado
de salud, por
información de desempeño, los eventos claves, y una vista de la topología de la red de red
simple
Management Protocol (SNMP) con capacidad de dispositivos de red tales como routers,
switches,
y puntos de acceso inalámbrico (WAP). Los barcos de la herramienta con la gestión de
instalaciones y
paquetes que proporcionan
La herramienta el conocimiento
también automatiza experto
el inventario para queyusted
de software puedaque
hardware, recibir notificación
permite revisar
de cualquier
los pro-
activos y optimizar la configuración y el cumplimiento. Usted puede realizar búsquedas,
problemas y solucionar problemas de manera más eficiente y eficaz.
definir
filtros y generar informes que incluyen hasta al día las listas de todo el software instalado
aplica-
cationes y hardware instalado. Esto es útil si desea generar hardware
informes de preparación para el despliegue de las aplicaciones más importantes o nuevos
sistemas operativos.
System Center Essentials 2007
MÁS INFORMACIÓN
Para más información y un enlace para descargar el software de prueba, consulte http://www.microsoft.com/
systemcenter / essentials / default.mspx.
Usando System Center Configuration Manager 2007

System Center Configuration Manager 2007 es visto como una actualización de SMS 2003. Es
por
formas de funciones similares a System Manager Essentials 2007, aunque es más completo
destacados. La distinción entre los dos paquetes es que Sistema de Gestión de Essen-
tials 2007 está diseñado para organizaciones de tamaño medio y cuenta con límites de 30
servidores o
500 clientes, mientras que System Center Configuration Manager 2007 está diseñado para
grandes
las organizaciones y no tiene límites. Ambos paquetes se basan en WSUS Server 3.0 y el uso
SQL Server
System bases
Center de datos para
Configuration almacenar
Manager 2007 información de configuración
le permite desplegar servidor crítica.
y el cliente
sistemas operativos, aplicaciones y actualizaciones. Que le permite medir el uso de software y
administrar de forma remota las computadoras. La herramienta funciona con Windows Server
2008 Network
El servidor de políticas para restringir el acceso a los equipos que no cumplen con requisitos
especificados
mentos, tales como tener las actualizaciones necesarias de seguridad instalado.
Usted necesidad de planificar el despliegue de System Center Configuration Manager 2007 con
mucho cuidado. La herramienta tiene el potencial de afectar a cada equipo de la
la organización. Si a implementar y administrar con ella una planificación cuidadosa y la
consideración de
necesidades de su negocio, usted puede reducir sus gastos administrativos y el costo total de
propiedad (TCO). Si se implementa System Center Configuration Manager 2007, sin

una planificación suficiente, toda la red puede ser interrumpido.
Una vez instalado y configurado, System Center Configuration Manager 2007 puede
ayudar a la planificación de su despliegue al que le proporciona un hardware y software
inventario y una evaluación de las variaciones entre la configuración actual y
predefinido que desee o configuraciones recomendadas.
System Center Configuration Manager 2007 recopila información de un servidor de datos SQL
base. Esto le permite consolidar la información a través de su organización a través de
SQL Server y los informes. Si desea ver la herramienta en un entorno de prueba, el
desventaja es que se necesita para instalar SQL Server en ese ambiente como un requisito
previo
sitio. Sin embargo, esto no es un problema típico en las redes de producción, que por lo general
compatibles con SQL Server. A diferencia de System Center Essentials 2007, System Center
Configuration
Gerente ción 2007 no proporciona la opción de instalar SQL Server Express 2005
durante su instalación. Se requiere que SQL Server ya existe en la red.
Examen
Si Consejo
usted ve las palabras "solución unificada" en una pregunta, acompañada de "configuración
informe de gestión "," gestión de clientes "," actualización "," instalación "," inventario "o", "la respuesta es
probablemente System Center Configuration Manager 2007, System Center Essentials 2007, o ambas cosas.
System Center Configuration Manager 2007 Requisitos previos

Puede instalar System Center Configuration Manager 2007 en un servidor con un mini-
la velocidad del procesador mínimo de 233 MHz. Microsoft recomienda un procesador Intel de
300 MHz o más rápido
Pentium / Celeron o procesador comparable. Un mínimo de 128 MB de RAM
necesaria, aunque menos de 256 MB no es recomendable y un mínimo de 384 MB
es necesario si desea utilizar la herramienta para desplegar los sistemas operativos. En teoría,
usted necesita
350 MB de espacio mínimo libre en disco para una instalación nueva. En la práctica, usted
debe tener en
al menos 5 GB de sobra, porque la instalación de cliente crea un programa de descarga
temporal
carpeta que automáticamente se incrementará a 5 GB si es necesario. A pesar de los recursos
disponibles en un equipo servidor modernos son por lo general muy por encima de los mínimos
Dado que el
requisitos, eshardware del para
posible que servidor cumple
tener con los
en cuenta requisitos
si desea de un
utilizar instalación, la red
servidor virtual.
debe ser compatible con las siguientes condiciones:
■ Los servidores que sistema host Center Configuration Manager 2007 debe ser miembro
servidores en Windows 2000 o un dominio de Windows 2003 Active Directory. En la
actualidad
los requisitos previos no se especifica un servidor Windows 2008 de dominio de Active
Directory.
■ IIS 6.0 o posterior debe estar instalado en su red. A pesar de System Center Con-
Administrador de configuración 2007 se instalará si IIS no está disponible, su
funcionalidad se verá
muy reducida de ver la barra lateral IIS más adelante en esta sección.
■ Servicio de transferencia inteligente de fondo (BITS) 2.0 o posterior es necesario si
configura-
ración Gerente de sistemas de punto de distribución que utilice el límite de ancho de
banda son BITS
■ configurado.
Internet Explorer (IE) 5.0 o posterior debe estar instalado en todos los servidores de
■
la red.
Microsoft Management Console (MMC) 3.0 debe estar instalado en el servidor
o estación de trabajo administrativo que se encargará de System Center Configuration
Manager 2007.
■ El. NET Framework 2.0 debe estar instalado en el servidor que aloja sistema
Center Configuration Manager 2007.
■ Actualmente SQL Server 2005 SP2 es la única versión de SQL Server compatible con
sede de la System Center Configuration Manager 2007 base de datos. SQL Server
2008 no se especifica en los requisitos previos. El servicio de base de datos SQL es el
único
Componente de SQL Server es necesario instalar para albergar la base de datos.
IIS
IIS (6.0 o posterior) es necesario para apoyar el System Center Configuration siguientes
Manager 2007 funciones:
■ A BITS habilitado puntos de distribución. Esta funcionalidad requiere de servidor

BITS
extensiones y Web Distributed Authoring and Versioning (WebDAV)
extensiones.
■ Un punto de administración. Esto requiere las Extensiones de servidor BITS IIS y
Web
DAV IIS extensiones.
■ A punto de notificación. Esto requiere que las páginas Active
■
Server.
A punto de actualización de
■
software.
Un servidor de punto de
localización.
Debido a la funcionalidad de System Center Configuration Manager 2007 se
ser muy limitado sin estas características, IIS es generalmente considerado como un pre-
requisito, el Sistema, aunque Center Configuration Manager 2007 aún
instalar si no está disponible.
NOTA Requisitos previos sitio secundario

System Center Configuration Manager 2007 se instala normalmente en función de cada sitio. System Center
Configuration Manager 2007 sitios pueden ser los mismos que los sitios de Active Directory o puede ser independiente
de la estructura de Active Directory. A sitio es una colección de equipos que tienen la misma o similar
los requisitos de configuración. El primer sitio en el que System Center Configuration Manager es
instalado es el sitio primario. Si va a instalar la herramienta en un servidor Windows Server 2003 en un
Sitio secundario, puede ser necesario para aplicar las actualizaciones disponibles en http://support.microsoft.com/
? default.aspx scid = kb; en-us; 906570 y http://support.microsoft.com/kb/914389/en-us.
Consulta Rápida
■ ¿Cuál es la recomendación de Microsoft para el procesador en un servidor en
que tiene la intención de instalar el Sistema de Gestión Center Configuration
Manager 2007?
■ Microsoft recomienda 300 MHz o más rápido de la familia Intel Pentium / Celeron
o comparables procesador.
System Center Configuration Manager 2007 la implementación del cliente

Puede utilizar una serie de métodos para implementar la configuración del sistema Centro de
Man-
ager 2.007 clientes en los sistemas informáticos de la red. La Tabla 4-1 lista y una breve
describe estos métodos.
Tabla 4-1 Centro de Implementación de los métodos de configuración del sistema Administrador 2007
Cliente
Método de instalación Descripción
Cliente push Los objetivos del cliente a los recursos

instalación asignados
Actualización de software Instala el cliente mediante el uso de System Center

punto Configuration Manager 2007 actualizaciones de software
instalación cuentan con
Grupo de Política Instala el cliente mediante Directiva de grupo
instalación
Inicio de sesión de Instala el cliente por medio de un script de inicio de

guión sesión
instalación
Manual de instalación Instala el cliente de forma manual
Tabla 4-1 Centro de Implementación de los métodos de configuración del sistema Administrador 2007
Cliente
Método de instalación Descripción
Instalación de la Instala actualizaciones para el software de cliente mediante la

actualización función de distribución de software en System Center
Configuration Manager 2007
Cliente de imágenes Fases previas a la instalación del cliente en una

operación
sistema de imagen
La implementación del cliente

MÁS INFORMACIÓN
Para más información sobre el System Center Configuration Manager 2007 de instalación del cliente
métodos enumerados en la Tabla 1.4, vaya a http://technet.microsoft.com/en-us/library/bb632762.aspx y
seguir los enlaces.
Sistema de Planificación Center Configuration Manager 2007 Implementación

Usted necesidad de planificar la implementación de System Center Configuration Manager
2007
con cuidado. Usted bien debe investigar, documentar, y poner a prueba su plan antes de
implementar el software. El proceso de planificación se pueden dividir en las siguientes etapas:
■ Planificación previa Esto implica el examen y la documentación de la informática actual
medio ambiente, la determinación de sus objetivos organizacionales, análisis de riesgo,
creando-
ción del proyecto del plan de documentación, la creación de una red de prueba para el
proyecto piloto,
y aprender lo más que pueda acerca de la configuración del sistema Centro de Man-
■ gerente 2007 de la herramienta.
Planificación En esta etapa, debe completar los documentos del plan del proyecto. Es
necesario
documento con el Centro planeado sistema de Configuration Manager 2007 la jerarquía,
los requisitos de su proyecto piloto, ¿cómo va a implementar la herramienta, cómo
que va a utilizar sus características y su seguridad y los planes de recuperación.
■ DespliegueEn esta etapa, en primer lugar instalar la herramienta en la red de prueba y

valores
idate su diseño. A continuación, instalar System Center Configuration Manager 2007
a su sitio principal, la configuración de seguridad y el sitio, construir la jerarquía de sitios,
y (si es necesario) implementar la herramienta a sitios adicionales. También llevar a cabo
una progresiva
implementación de System Center Configuration Manager 2007 de software de cliente.
El proceso de planificación también se requiere la creación de listas de verificación. Se necesita
una lista de comprobación para
la planificación de la implementación de System Center Configuration Manager 2007, un
despliegue de lista. También es necesario para crear flujos de trabajo de administrador de
software
operativo de distribución, las actualizaciones de software, y (si es necesario) de implementación
del sistema.
Flujos de trabajo de administrador

MÁS INFORMACIÓN
Para más información sobre los flujos de trabajo de administrador, consulte http://technet.microsoft.com/en-us/library/
bb632865.aspx, http://technet.microsoft.com/en-us/library/bb680675.aspx, y
http://technet .microsoft.com/en-us/library/bb694121.aspx.
Consulta Rápida
■ ¿Qué método de instalación instala la configuración de System Center
Manager 2007 de cliente mediante la herramienta de software con actualizaciones?

■ Actualización de software punto de
instalación.
System Center Configuration Manager 2007 Características

System Center Configuration Manager 2007 proporciona una herramienta única para el cambio
y
gestión de la configuración. Su función es para que usted pueda proporcionar el software
correspondiente
y actualizaciones a los usuarios de forma rápida, rentable y de un solo complemento de MMC.
La■
Inventario de hardware y software
herramienta proporciona las siguientes funciones:
■ Distribución e instalación de aplicaciones de software
■ Distribución e instalación de actualizaciones de software, tales como los
■
parches de seguridad
Implementación de sistemas
■
operativos
Especificación de una configuración de cliente que desee y supervisar el cumplimiento de
que
configuración
■ Restricción de acceso a la red si un equipo no se adhiere a la configuración
requisitos
■ Medición del uso del software
■ Control remoto de ordenadores para apoyar la solución de problemas
La figura 4-20 muestra el System Center Configuration Manager 2007 y la consola

diversas opciones disponibles.
Los requisitos previos para la instalación de System Center Configuration Manager Server 2007
se discutieron anteriormente en esta lección. Puede instalar System Center Configuration Man-
Ager 2007 software cliente en los equipos cliente, servidores, ordenadores portátiles, móviles
dispositivos con Windows Mobile o Windows CE y dispositivos que ejecutan Windows XP
Incorporadas (como cajeros automáticos).
Figura 4-20 System Center Configuration Manager 2007 de la consola
System Center Configuration Manager 2007 está basada en el sitio. Esto proporciona un
método de
agrupación de los clientes en unidades manejables con requisitos similares para los conjuntos
de características,
ancho de banda, la conectividad, el lenguaje y la seguridad. System Center Configuration Man-
ager 2.007 sitios pueden igualar los sitios de Active Directory o puede ser totalmente
independiente de
System Center
ellos. Los Configuration
clientes Manager
pueden cambiar 2007o ofrece
de sitio muchas
se gestiona de características
forma remota. de la herramienta
para la gestión
los equipos cliente y dispositivos móviles. Después de haber instalado y configurado el
herramienta y el software cliente instalado en sus equipos de red, puede realizar la
siguientes tareas comunes:
■ Recopilar información de hardware y software Usted puede usar System Center configuraciones
ración Manager 2007 para recoger inventario de hardware y software de su
clientes de la red. Hardware y software de los agentes de inventario de clientes están
habilitados en un
en todo el sitio base. Cuando el agente de inventario de hardware cliente está activada,
usted puede
recoger los datos de inventario de hardware. Esto proporciona información del sistema,
por ejemplo
espacio disponible en disco, tipo de procesador y sistema operativo para cada cliente
com-
ordenador. Cuando el agente de inventario de software de cliente está habilitada puede
■ obtenerde clientes a través de Internet Basado en Internet de gestión de clientes le permite al
Gestión
los datos de inventario de software. Esto le da información acerca de la aplicación
hombre-
los clientes de edad que no están conectados a la red de la organización pero que tienen
instalada
un
ciones y propiedades de los archivos en los sistemas cliente.
Conexión a Internet. No es necesario utilizar redes privadas virtuales (VPNs) y
puede implementar actualizaciones de software programado. A los efectos de la seguridad
y la
la autenticación mutua, basada en Internet de gestión de clientes requiere que el sitio es

en modo nativo. Si la gestión de clientes a través de Internet, características que
dependen de activos
Directorio o no son apropiados para una red pública no están disponibles. Por ejemplo,
que no pueden dirigirse a la distribución de software a los usuarios, utilizar los puntos de
ramificación de distribución,
implementar System Center Configuration Manager 2007 clientes, asigna
automáticamente una
sitio, el uso de protección de acceso de red (NAP), implementar Wake On LAN, el uso a
distancia
control,Modos
MÁS INFORMACIÓN o implementar
de sitio los sistemas operativos.
Para más información sobre el Centro mixto y nativo del sistema de Configuration Manager 2007 sitio
los modos, consulte http://technet.microsoft.com/en-us/library/bb680658.aspx.
■ Distribuir software Distribución de software que permite que las aplicaciones y

actualizaciones a los equipos cliente. Utiliza los paquetes (por ejemplo, los paquetes MSI)
para
desplegar aplicaciones de software. Dentro de estos paquetes, comandos conocidos
como pro-
gramos decirle al cliente lo que el archivo ejecutable a ejecutar. Un paquete puede
contener
múltiples programas. Los paquetes también puede contener las líneas de comandos para
ejecutar archivos
ya presente en el cliente. Los anuncios se utiliza para especificar que los clientes
recibir el programa y el paquete. Distribución de aplicaciones utilizando el Sistema de
Center Configuration Manager 2007 incluye la creación de la distribución de software
paquete, la creación de programas que se incluyen en el paquete, la selección de
paquetes dis-
puntos de distribución, y luego crear un anuncio de un programa. Tenga en cuenta que
System Center Configuration Manager 2007 no crea los paquetes, sino que
NOTA Asignación
sólo de horarioa los clientes.
los distribuye
Si el anuncio es obligatorio, también es necesario especificar una programación de trabajo.
■ Implementar las actualizaciones System Center Configuration Manager 2007 software

función de actualizaciones proporciona un conjunto de herramientas y recursos para
ayudarle a manejar el
compleja tarea de seguimiento y aplicación de actualizaciones de software (tales como la
seguridad
cambios) en los equipos cliente en la red. Actualizaciones de software se componen
de metadatos y un archivo de actualización. Los metadatos son información sobre el
software
actualización y se almacena en la base de datos de servidor del sitio. El archivo de
actualización es lo que el cliente
computadoras descargar y ejecutar la instalación de la actualización del software. En el
síndrome de
cronización fase, los metadatos de actualización de software se sincroniza desde el
aguas arriba servidor WSUS 3.0 (o, menos habitualmente, desde Microsoft Update) y
inserta en la base de datos de servidor del sitio. Durante la fase de evaluación del
cumplimiento,
equipos cliente buscará el cumplimiento de actualización de software e informar de sus
compli-
Ance estado de las actualizaciones de software sincronizados. Durante la fase de
despliegue,
actualizaciones de software que elija para la implementación y actualizaciones
seleccionadas a través de la
■ System Center Configuration Manager
Implementar
software delos la sistemas
política operativos
de actualizaciones se envían a los2007 proporciona
equipos cliente. Los archivos de
un sistema de despliegue
actualización de software característica que le permite crear imágenes que
se pueden implementar en los equipos
descargan y se instalan en los clientes. administrados por el System Center Configuration
Manager Man-
Ager 2007. También puede implementar imágenes del sistema operativo para
computadoras no administradas-
res mediante el uso de dispositivos de inicio, como un conjunto de CD o un DVD. La
imagen, en un WIM
formato de archivo, contiene el necesario sistema operativo Microsoft Windows y puede
También incluyen todas las aplicaciones empresariales que necesitan ser instalados. El
sistema operativo
función de tem despliegue captura y despliega imágenes, proporciona al usuario el estado
la migración
ción mediante el uso de la herramienta de migración de estado de usuario (USMT) 3.0, y
NOTA De terceros los sistemas operativos
permite controlar la
Systemlas
Center Configuration
secuencias de Manager 2007 puede desplegar
tareas requeridas de terceros sistemas
para el despliegue operativosdel
de imágenes de cliente
sistema
a condición de que las organizaciones asociadas de suministro del correspondiente código de implementación del
operativo.
sistema operativo.
UserState herramienta de migración

MÁS INFORMACIÓN
Para obtener más información acerca de USMT 3.0, consulte http://technet2.microsoft.com/WindowsVista/en/library/

91f62fc4-621f-4537-B311-1307df0105611033.mspx? Referencia del fabricante = true.
■ System
Gestionar los dispositivos Center Configuration Manager 2007 móviles
móviles
gestión de dispositivos le permite gestionar los dispositivos móviles, incluyendo teléfonos
inteligentes y
Pocket PC, en la mayor parte de la misma manera como las computadoras de escritorio.
De manera predeterminada, el dispositivo móvil
los clientes utilizan HTTP para comunicarse con los puntos de gestión de dispositivos.
Móvil
clientes de dispositivos sondear el punto de gestión de dispositivos a intervalos
configurables para informar
■ el descubrimiento
Administrar de datos deseadas
las configuraciones y recibir System
los anuncios deConfiguration
Center política. Se puede especificar
Manager 2007 la
votación entre
la administración de configuración le permite evaluar el cumplimiento de los clientes
val
los en el System
equipos Center Configuration
con respecto a los valores Manager 2007 consola
de configuración de administración.
diferentes, como el sistema
operativo
versión y la configuración y las aplicaciones instaladas y la configuración de la aplicación.
Usted
También puede verificar el cumplimiento de las actualizaciones de software y la

configuración de seguridad. Compli-
Ance se evalúa con una configuración básica. Este contiene la configuración
elementos que desea controlar y reglas que definen la conformidad requerida. Este con-
los datos de configuración se pueden importar desde la Web de configuración de System
Center
Manager 2007 paquetes de configuración como las mejores prácticas definidas por
Microsoft y
otros proveedores. También puede definir los datos de configuración dentro de System
Center Con-
NOTA Administrador
Basado en la webdelosconfiguración de 2007, o definir de forma externa y luego importarlo en
datos de configuración
la herramienta.
Puede descargar los datos de configuración publicado por Microsoft y otros proveedores de software y
los proveedores de soluciones de System Center Configuration Manager 2007 Configuración de Paquetes Web
página https://www.microsoft.com/technet/prodtechnol/scp/configmgr07.aspx.
■ Medidor de uso de software System Center Configuration Manager 2007 software

medición le permite recoger los datos de uso de software de System Center Configuration
ción Manager 2007 clientes. De medición de software se puede saber qué programas
están
siendo usado activamente (a diferencia de inventario de software que le dice lo que es
) instalado. De medición de software le permite adquirir o renovar licencias de
aplicaciones
ciones que se utilizan realmente, en lugar de comprar licencias para aplicaciones de
que duermen en los equipos cliente. System Center Configuration Manager
2007 presentan informes pueden presentar datos de resumen se reunieron con el
software
■ medición
Realizar de características.
la administraciónPara administrar de forma remota equipos con Sys-
remota
TEM Center Configuration Manager 2007, es necesario instalar y activar el
herramientas remotas de agente de cliente. La función de las herramientas de control
remoto permite a los espectadores permitido
acceder a cualquier ordenador del cliente en el System Center Configuration Manager
2007
sitio que tiene las herramientas remotas componentes del agente cliente instalado. Mando
a distancia
es una característica de la aplicación de herramientas de control remoto que puede utilizar
para ver o utilizar un
ordenador en cualquier lugar en la jerarquía del sitio. Puede utilizar el control remoto para
problemas
disparar los problemas de hardware y software de configuración en los clientes remotos y
Integración con el escritorio remoto
MÁS INFORMACIÓN
proporcionar soporte remoto servicio de ayuda cuando se necesita acceso a la
La administración
computadora remota ofrece la posibilidad de integrar System Center Configuration Manager 2007
cliente.
con el Escritorio remoto. Para obtener más información acerca de Escritorio remoto, consulte el Capítulo 5, "Terminal
Servicios y aplicaciones y virtualización de servidores ".
■ Restringir el acceso a la red System Center Configuration Manager 2007 del PAN
permite incluir las actualizaciones de software en los requisitos del sistema de salud.
Las políticas del PAN definir qué actualizaciones de software deben ser incluidos, y el
Sistema
Center Configuration Manager 2007 del Sistema de Salud de validación pasa por el punto
cumplen o no cumplen las normas del estado de salud del cliente al servidor de políticas
de red,
que determina si se concede al cliente acceder a la red completa o restringida.
Los clientes no cumplen las normas pueden ser automáticamente puesto en conformidad
a través de
remediación. Esto requiere que el System Center Configuration Manager 2007 soft-
■ actualizaciones de del
Despierta los clientes software
Puede
modo función
de paraelser
configurar
suspensión configurado
Centro y en del
programada funcionamiento.
sistema
Configuration Manager 2007 para las actividades tienen lugar fuera del horario de
con la característica Wake On LAN. Wake On LAN puede enviar una transmisión de
despertador
antes de la fecha límite configurado para una implementación de actualización de
software. Wake-up-pack
ETS sólo se envían a los equipos que requieren las actualizaciones de software. Además,
Wake
On LAN puede enviar una transmisión de despertar antes de la programación configurada
de una
anuncio obligatorio.
Wake
MÁS INFORMACIÓN On LAN Esto puede ser la distribución de software o una secuencia de tareas.
Para System Center Configuration Manager 2007 para usar Wake On LAN, la configuración del sistema
Manager 2007 software del cliente se debe instalar en el ordenador, la tarjeta de red del cliente debe
la magia de apoyo formato de paquete, y el BIOS del cliente debe estar configurado para despertar los paquetes en la
tarjeta de red.
Para más información y los escenarios de ejemplo, véase http://technet.microsoft.com/en-gb/library/

bb932183.aspx.
Solución de problemas de System Center Configuration Manager 2007

MÁS INFORMACIÓN
Para la solución de problemas, vaya a http://technet.microsoft.com/en-gb/library/bb932183.aspx y

seguir los enlaces.
Informes System Center Configuration Manager de cliente

System Center Configuration Manager 2007 informes de clientes ayudan a administrar y-trou
resolver inmediatamente los clientes. Puede utilizar los informes para recolectar, organizar y
presentar la información
sobre los usuarios, inventario de hardware y software, actualizaciones de software, el estado de
sitio, y otros
System Center Configuration Manager 2007 operaciones. La herramienta proporciona un
número
de informes predefinidos. Si es necesario, puede modificar informes predefinidos o crear sus
propios
informes para satisfacer sus necesidades. En esta sección se muestra sólo un subconjunto de
los numerosos informes disponibles
capaz de System Center Configuration Manager 2007. Para una lista completa, haga clic en
Informes
en la consola del Administrador de configuración, como se muestra en la figura 4.21.
Figura 4-21 Los informes disponibles
Consulta Rápida
1. ¿Qué System Center Configuration Manager 2007 característica le permite instalar
cambios en la noche cuando el tráfico de red es baja y la mayoría de las computadoras
cliente son
en modo de reposo?
2. ¿Qué System Center Configuration Manager 2007 característica que indica si
una aplicación instalada en un cliente se utiliza realmente?

1. Wake On LAN
2. Software de medición
La siguiente implementación del cliente y la asignación de informes, que no requieren que

los clientes se les asigna un punto de estado de reserva, le ayudan a rastrear y monitorear los
clientes a implementar
ción, tanto para System Center Configuration Manager 2007 y los clientes de SMS 2003
los clientes:
■ Equipos asignados pero no se instala en un sitio determinado
■ Los equipos con una versión específica del cliente
■
SMS
Clientes cuentan asignados e instalados para cada sitio
■ Contar con los clientes para cada
■
sitio
Contar con las versiones de cliente
de SMS
La siguiente implementación del cliente y la asignación de los informes, los cuales requieren
que los clientes
se les asigna un punto de estado de reserva, le ayudan a rastrear y monitorear la
implementación de clientes para
Configuration
■ Manager
Cliente Informe de2007 sólo
Estado delos clientes: detallada
Asignación
■ La falta de clientes detalles de la
■
asignación
Detalles del cliente de Estado de
■
Asignación
Cliente detalles de la asignación de éxito
■ La falta de implementación de cliente
■
Informe
Detalles de implementación de cliente
■
Estado
Implementación del cliente de éxito Informe
Los siguientes informes de comunicación con los clientes, que se aplican a Configuration
Manager
2007 sólo los clientes y requieren que estos clientes se les asigna un punto de estado de
reserva,
ayudará
■ a identificar
Temas los problemas
en el informe del cliente
de la incidencia de comunicación:
de detalle de una colección
■
específica
Temas en el informe de la incidencia de resumen de una colección
■
específica
Temas en el informe de la incidencia de detalle para un
■
sitio específico
Temas en el informe de incidencia resumen
El cliente informa de modo de ayudar a gestionar los clientes cuando los sitios están
configurados para nativos
modo, que requiere infraestructura de clave pública (PKI) certificados para todos los clientes, y
sistemas específicos de sitio. Puede utilizar la información resumida de los clientes en modo
nativo
informe cuando se va a migrar sitios del modo mixto al modo nativo. El presente informe
identifica a los clientes que han logrado cambiar su modo de configuración del sitio.
Los informes de cliente siguientes modo de ayudarle a determinar si los clientes están
dispuestos a
se van a migrar al modo nativo, pero es necesario que el Administrador de configuración de
modo nativo
Herramienta
■ de preparación
Los clientes incapaces se
de ejecuta por primera vez en System Center Configuration
modo nativo
Manager 2007 clientes:
■ Resumen de información de los clientes capaces de modo nativo
Los clientes que migran a modo nativo

MÁS INFORMACIÓN
Para obtener más información acerca de cómo migrar sus clientes a modo nativo, consulte
http://technet.microsoft.com/
en-us/library/bb680986.aspx y http://technet.microsoft.com/en-us/library/bb632727.aspx.
ExamenExaminadores
Consejo a menudo le pedirá que identifique la herramienta adecuada para realizar un trabajo
determinado.
Las herramientas con nombres similares se muestran como las respuestas incorrectas. Recuerde que tanto el sistema
Center Configuration Manager 2007 y System Center Essentials 2007 proporciona soluciones unificadas
que proporcionan los inventarios y los informes y permite instalar aplicaciones y actualizaciones y
realizar la gestión de parches. Ambas herramientas utilizar WSUS 3.0 Server y requiere una base de datos SQL
Server.
System Center Configuration Manager 2007 se utiliza en las grandes organizaciones. System Center Essentials
2007 está limitada a 30 servidores o clientes 500.
Si SQL Server no puede ser utilizado en una organización, se puede utilizar WSUS para implementar actualizaciones.
Sin embargo, WSUS puede instalar sólo el sistema operativo de Microsoft y las actualizaciones de las aplicaciones
publicadas en
el sitio web Microsoft Update. System Center Operations Manager 2007 no puede ser utilizado como un
actualización de la herramienta de implementación. Es sobre todo una herramienta de monitorización que proporciona
información sobre un servidor de
estado actual y funcionalidad. System Center Virtual Machine Manager 2007 realiza centralizada
gestión de una infraestructura de máquinas virtuales y no se utiliza para el despliegue de aplicaciones o
gestión de parches.
Operations Manager y Virtual Machine Manager

MÁS INFORMACIÓN
Para obtener más información acerca de System Center Operations Manager 2007 y System Center Virtual
Machine Manager 2007, consulte http://www.microsoft.com/systemcenter/opsmgr/default.mspx y http://
technet.microsoft.com/en-us/scvmm/bb871026.aspx.
Práctica: Instalación de System Center Essentials 2007 (opcional)

En este ejercicio, de instalar System Center Essentials 2007. Sin embargo, en el momento de
esta
escribir es necesario tener un equipo que ejecuta Windows Server 2003 Standard o
Enterprise Edition en la red, ya que System Center Essentials 2007 requiere
WSUS 3.0, que es incompatible con Windows Server 2008. Si una actualización de software
esté disponible para resolver esta incompatibilidad, a continuación, puede instalar System
Center
Essentials 2007 en el servidor Windows Server 2008.
Ejercicio: Instalación de System Center Essentials 2007
En este ejercicio de instalar System Center Essentials 2007 en un servidor Windows 2003
servidor de la red de prueba. Esto instala SQL Server 2005 Express con la presentación de
informes sobre
el mismo equipo. En una red de producción es probable que se elija la opción
de la instalación de System Center Essentials 2007 en un servidor y SQL Server en
otros. Para completar el ejercicio, realice los siguientes pasos:
1. Si es necesario, inicie sesión en el dominio en su servidor Windows Server 2003 mediante
el uso de
la kim_akers cuenta.
2. Vaya a la conexión a Internet que te permite descargar la prueba de System Center
Essentials 2007 software. En la actualidad este es http://technet.microsoft.com/en-us/
bb738028.aspx.
3. Si se le pide que instale Microsoft Silverlight, haga clic aquí para instalar y
continuación, haga clic en Ejecutar. Microsoft Silverlight se instala.
4. En el Centro del Sistema de Evaluación de Essentials 2007 Página Web Hoy en día,
seleccione su
idioma de la instalación, que suele ser Inglés (Estados Unidos).
5. Haga clic en el botón ">" a la derecha del cuadro de selección de idioma.
6. Si es necesario, haga clic en la barra de información y seleccione Mostrar contenido
bloqueado.
7. Inicia sesión con tu Windows Live ID (por ejemplo, su cuenta de Microsoft Passport
cuenta). Si usted no tiene un Windows Live ID, haga clic en Registrarse ahora y siga
las instrucciones.
8. Verificar y, si es necesario, actualizar sus datos personales. Haga clic en

Continuar.
9. Lea la información en la página web del Centro de descarga se muestra en la Figura 4-22.
Haga clic en Continuar.
Figura 4-22 Centro de descarga de la página Web
10. Si se le pide, vuelva a introducir su contraseña de Windows Live ID y haga clic en

Iniciar sesión.
11. Si un cuadro de diálogo preguntando si desea probar el nuevo Silverlight potencia
Centro de descarga, haga clic en No.
12. En la página web del Centro de descarga, haga clic en Descargar los
archivos siguientes.
13. Haga clic en el botón Descargar al lado de SCE2007RTMEval.exe, como se muestra en la

figura 4.23.
Figura 4-23 Al seleccionar un archivo para descargar
14. En el archivo de descarga de seguridad de la caja de diálogo de advertencia, haga clic en

Ejecutar y luego seleccione
Cerrar este cuadro de diálogo cuando termine la descarga.
15. La descarga de archivos de instalación. Haga clic en Ejecutar y luego
16. No cambiar la carpeta por defecto descomprimir. Haga clic en
Descomprimir.
17. Haga clic en Aceptar en los archivos descomprimidos con éxito el
cuadro de diálogo.
18. En la página Configuración de System Center Essentials 2007 se muestra en la Figura 4-24,
haga clic en
La instalación completa en Instalar.
19. El System Center Essentials 2007 Asistente de Configuración. Haga clic en
Siguiente.
20. El asistente comprueba los requisitos previos de instalación. Haga clic
en Siguiente.
21. Siga los pasos del asistente de instalación. Tendrá que estar de acuerdo con la concesión
de licencias
términos, el registro de la instalación, especificar una ubicación de instalación o aceptar la
por defecto, y especificar una base de datos SQL (o seleccione para instalar SQL Server
2005 Express).
Normalmente se acepta la cuenta de administración por defecto y error y el uso
informes. Se le presentará un resumen. Si esto es aceptable, haga clic en Instalar.
Figura 4-24 El System Center Essentials 2007 Configuración de página
22. Microsoft Update comprueba si hay alguna actualización en línea están disponibles y se
instala
en caso necesario. La instalación ha confirmado.
23. Open System Center Essentials 2007. Usted debe ver una pantalla similar a la
se muestra en la Figura 4-18 anteriormente en esta lección.
■ System Center Essentials 2007 es una herramienta de cliente de administración unificada
que puede desplegar
aplicaciones y sistemas operativos y distribuir actualizaciones. También puede compilar
inventarios de hardware y software y generar informes. La herramienta está diseñada para
organizaciones de tamaño medio con menos de 30 servidores o clientes 500.
■ System Center Configuration Manager 2007 es una herramienta de gestión de clientes
unificada
que puede implementar aplicaciones y sistemas operativos y distribuir actualizaciones. Lo
También puede compilar inventarios de hardware y software, generar informes, consulte
cumplimiento con la configuración óptima, y restringir el acceso a la red a los clientes
que no cumplen con los estándares de cumplimiento. La herramienta de medición de
software pueden proporcionar
y Wake on LAN y también se puede utilizar para administrar equipos remotos a través de
la
■ Tanto System
Internet Center
y gestionar losEssentials 2007
dispositivos de ymano.
System Center Configuration Manager
2007 se basan en servidor WSUS 3.0 y necesitan tener acceso a una base de datos SQL.
Sistema
Center Configuration Manager 2007 requiere que esta base de datos ya existe, pero
System Center Essentials 2007 se instala SQL Server Express 2005, si SQL Server
no está disponible en una red.
en
Lección 2, "de implementación de aplicaciones." Las preguntas también están disponibles en la
com-
NOTA Respuestas
1. Está utilizando el System Center Essentials 2007 asistente de configuración de

actualización
establecer el comportamiento de actualización para los clientes de red y servidores. ¿Por
cuál de los
A. Aplicaciones
siguiente y versiones
hace el asistente que desea
le pedirá? (Elijaactualizar
todas las que apliquen.)
B. La ubicación del archivo de imagen
C. La actualización de su lenguaje
D. Tipos de actualizaciones que desea instalar
E. La configuración de la instalación
2. Usted está utilizando System Center Configuration Manager 2007 para administrar clientes
en
la Internet. ¿Cuál de los siguientes que usted no pueda hacer? (Elija todas las que
A. Establecer el System Center Configuration Manager 2007 el sitio a modo nativo.
apliquen.)
B. Objetivo de la distribución de software a los
usuarios.
C. Distribuir actualizaciones de
seguridad.
D. Uso del PAN.
E. Implementar Wake On LAN.
F. Crear un inventario de software.
3. ¿Cuál de las siguientes condiciones son necesarias para el equipo cliente del Sistema Cen-
ter Configuration Manager 2007 para usar Wake On LAN? (Elija todas las que apliquen.)
A. System Center Configuration Manager 2007 debe estar instalado en un servidor

Windows Server 2003 SP1 o posterior.
B. Al menos un servidor Windows Server 2008 debe existir en la red y

debe estar configurado con la función de red del servidor de políticas.
C. USMT 3.0 debe estar instalado y en funcionamiento en la configuración de System

Center
Administrador de Server 2007.
D. Configuración del sistema Manager 2007 software del cliente se debe instalar en
el ordenador.
E. La tarjeta de red del cliente debe ser compatible con formato de

paquete mágico.
F. La BIOS del cliente debe estar configurado para despertar los paquetes en la tarjeta
de red.
4. Está realizando la migración de System Center Configuration Manager 2007 sitios de la
mezcla
modo al modo nativo. Que el informe identifica los clientes que han logrado
cambiaron su modo de configuración del sitio?
A. Resumen de la Información de los clientes en modo nativo
B. La falta de clientes detalles de la asignación
C. Resumen de la Información de clientes capaces de modo nativo
D. Incapaz de clientes en modo nativo


■ Completa los escenarios de caso. Estos escenarios de establecer en el mundo real las
situaciones que implican
los temas de este capítulo y le pedirá que cree una solución.
práctica.

■ Instalar el servidor de aplicaciones función de servidor en un servidor Windows Server
2008
para proporcionar un entorno para implementar y ejecutar aplicaciones LOB. La
función proporciona un asistente de instalación, el apoyo básico de ejecución, y el apoyo a
la
■ . NET Framework
Windows 3.0. Centro
Server 2008 Tambiéndeayuda a poner
facilidad en práctica
de acceso la acceder
permite disponibilidad de
a los acce-
aplicaciones.
lidad de las características de Windows Server 2008. Usted puede proporcionar capacidad
de recuperación de aplicaciones
mediante el uso de Windows Installer, la directiva de grupo, System Center Essentials
2007, y
■ System Center
System Center Configuration
Essentials 2007Manager
y System2007.
Center Configuration Manager 2007
se unifican las herramientas de gestión de clientes que pueden desplegar las aplicaciones
y de operación
sistemas y distribuir actualizaciones, compilar inventarios de hardware y software, y
generar informes. System Center Configuration Manager 2007 se utiliza en grandes
redes y ofrece funciones adicionales, tales como medición de software, del PAN, y
Wake On LAN. Ambos paquetes de utilizar WSUS 3.0 y requieren acceso a un SQL
Servidor de base de datos.
Términos clave
■ . NET Framework
■ Propiedades ACID
■ Aplicación de accesibilidad
■ Disponibilidad de las
aplicaciones
■ Aplicación de la resiliencia
■ ASP.NET
■ Component Object Model (COM)
■ De línea de negocio (LOB)
■ Red de protección de acceso (NAP)
■ Remediación
■ Wake on LAN
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de aplicaciones
servidores de información y servicios. Usted puede encontrar respuestas a estas preguntas en
la sección "Respuestas"
Caso Escenario 1: Planificación de la resiliencia de aplicaciones

LOB Usted es un administrador de red senior de la aerolínea Blue Sky. Usted no se ha enlace
con una compañía de software que se está desarrollando un conjunto de aplicaciones LOB de
cielo azul.
Usted quiere que las nuevas solicitudes para ser resistente, desea nuevas versiones y
actualizaciones de
instala automáticamente, y desea que los archivos que faltan y corrupto que ser reemplazado.
Respuesta
Capacidadpreguntas:
1. siguientes
las de recuperación será de aplicación compatibles con Windows Installer. ¿Qué
garantías
lo que necesita entre los desarrolladores de software?
2. Los desarrolladores de la intención de utilizar una biblioteca de componentes COM para
proporcionar los componentes
que pueden ser utilizados por diferentes aplicaciones de la suite. ¿Qué hace Windows
Instalador de verificación en el registro del equipo en el que un componente de carreras y en
que este valor del registro es almacenado?
3. Usted está convencido de que las aplicaciones LOB que son ejecutados por un solo archivo
están diseñados para ser resistentes. Sin embargo, es necesario asegurarse de que las
aplicaciones que
usa varios archivos también proveen resistencia a través de Windows Installer. ¿Qué tipos
de aplicación debe estar preocupado?
Caso Escenario 2: Gestión de clientes y despliegue del software

Recientemente ha sido empleado como un administrador de dominio senior de Trey Research,
una
de tamaño mediano pero en rápida expansión organización. En un solo sitio de la red de Trey
en la actualidad
cuenta con 25 servidores y 450 equipos cliente. Algunos de los clientes son los ordenadores
portátiles utilizados por las ventas
personal y los trabajadores a domicilio. Los gerentes se emiten los Pocket PC, además de a su
escritorio
los principales clientes. Trey actualmente utiliza WSUS para distribuir actualizaciones de
Microsoft y un 3,0 WSUS
servidor se instala en la red. La empresa hace un uso extensivo de SQL Server y
un clúster de servidores en la actualidad se ejecuta SQL Server 2005 la compañía SP2.The
sitio Web se ejecuta en un
IIS7 servidor. Trey ha mejorado todas sus controladores de dominio a Windows Server 2008,
1. Gestión
pero le pide que recomendar una herramienta unificada que se encargará de los
su ser-miembro
clientes;
res siguen corriendo Windows Server 2003. Conteste las siguientes preguntas:
crear inventarios de hardware y software, instalación de sistemas operativos, aplicaciones,
y las actualizaciones, y crear informes. ¿Qué recomienda usted y por qué?
2. El Director Financiero está preocupado por el costo de las licencias de software. Ella
cree que algunos paquetes de software instalados en todos los clientes son a menudo
utilizados por
sólo un pequeño porcentaje de la fuerza laboral. Los inventarios de software sólo para
identificar la
software instalado en los ordenadores, no si se utiliza. ¿Qué sugiere usted como
una solución a este problema?
3. El director técnico le preocupa que los vendedores y trabajadores del hogar-algunos
veces llevar las computadoras portátiles en la oficina que se han conectado a otros
redes o se han desactivado las actualizaciones de seguridad se distribuyeron. Él es
preocupado de que estos equipos pueden suponer un riesgo de seguridad si se les da la red
completa
acceso. ¿Qué le dijiste?
completa
las siguientes tareas.
Utilizar el servidor de aplicaciones Función del servidor, IIS, y

WSUS Hacer todas las prácticas que se enumeran en
esta sección.
■ Ende
Práctica 1: Investigar la función de servidor la servidor
Lecciónde1aplicaciones
se instaló
el servidor de Application Server Role. Experimentar con las novedades de este agregado
a su servidor. Además de la información proporcionada en este capítulo acerca de este
función de servidor, buscar los archivos de Ayuda de Microsoft TechNet, y el Internet para
más
de la información.
■ Como
Práctica 2: Revisión de un
IIS administrador de redes experimentado que ha proba-
Bly ya se utiliza IIS. Revisar lo que sabes. Si usted no ha utilizado previamente
la versión 7, saber qué nuevas características que ofrece. Hacer de la web por defecto
interno
sitio en el servidor de Glasgow más interesante.
■ Como
Práctica 3: Revisión un administrador de redes experimentado que ha
de WSUS
Probablemente ya se utiliza WSUS. Revisar lo que sabes. Si usted no ha
utilizar WSUS 3.0 Server, saber qué nuevas características que ofrece.
Utilice las herramientas de cliente de Gestión

Unificada¿Esde
la práctica 2 de esta sección. Las prácticas son opcionales.
■ Práctica 1: Investigar System Center Essentials 2007 Si ha instalado el Sistema Cen-
ter Essentials 2007 en la Lección 2, investigar las características proporcionadas por esta
herramienta. Leer
los archivos de ayuda y experimentar con los procedimientos que describen.
■ Práctica 2: Utilizar los recursos para investigar Haga clic aquí para System Center Essentials 2007 y
System Center Configuration Manager 2007 Explora TechNet y buscar virtuales
laboratorios, el disco duro virtual (VHD) de funciones de los programas que te permiten
investigar Sys-
TEM Center Essentials 2007 y System Center Configuration Manager 2007.
Ambos tipos de recursos son gratuitos. En la actualidad estas herramientas se basan en
Windows
■ Server 2003, pero los conceptos y procedimientosUsted paraManager
Práctica 3: Instalación y Investigar System Center Configuration
el uso de las herramientas no se
2007
han modificado.
probablemente necesitará hardware adicional para llevar a cabo esta práctica, a menos
que su
equipo de prueba es suficientemente potente para soportar por lo menos una y
posiblemente dos
servidores virtuales adicionales. Usted tendrá que instalar una versión de evaluación de
SQL
Servidor y software adicional (como WSUS 3.0 Server) para cumplir con los requisitos
previos.
A continuación, puede buscar e instalar una versión de evaluación de System Center Con-
figuración Manager 2007. Esto no es una instalación fácil, pero usted va a aprender
mucho
por llevarlo a cabo. Cuando System Center Configuration Manager 2007 es
Tomar un examen de
instalado, experimentar con sus múltiples funciones.
práctica
pueda
MÁS INFORMACIÓN
Capítulo 5
Servicios de Terminal Server y aplicaciones

y virtualización de servidores
Windows Server 2008 introduce muchas nuevas tecnologías, aunque algunos de estos
tecnologías impactará la forma en que su plan de despliegue de la red tanto como
las contempladas en este capítulo. Aunque los productos de virtualización de haber existido en
la
Plataforma Windows Server durante algún tiempo, Hyper-V, anteriormente conocida como
Windows
Virtualización de servidores, la virtualización de las relaciones directamente en el sistema
operativo. En este
capítulo usted aprenderá acerca de Hyper-V funcionalidad y la forma en que esta tecnología
influir en las decisiones que tome con respecto a la implementación de Windows Server 2008.
Servicios de Terminal Server, una tecnología que permite a un cliente relativamente baja
potencia para correr
potentes aplicaciones en un servidor remoto como si estuvieran en el mercado local
computadora también incluye algunas mejoras significativas en este último servidor de Operac-
ING versión del sistema. La Terminal Services Session Broker (Broker de sesión de TS) de
servicio
simplifica el proceso de creación de un grupo de servidores Terminal Server con equilibrio de
carga, el
Terminal Services Gateway (TS) de servicios permite a los usuarios autorizados a conectarse
a Terminal Server a través de Internet sin necesidad de configurar una VPN
servidor, y RemoteApp permite implementar aplicaciones específicas, en lugar de toda la
computadoras de escritorio remoto a los clientes de la red. En este capítulo usted aprenderá
sobre
todasobjetivos
Los estas tecnologías
del exameny cómo planificar
en este su despliegue al máximo los beneficios de
capítulo:
su■organización.
Plan de servidores de aplicaciones y servicios.
■ Aplicaciones disposición.

■ Lección 1: Servicios de Terminal Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
■
. 265
Lección 2: Server y Application Virtualization. . . . . . . . . . . . . . . . . . . . . . . . 294
263
264 Servicios de Terminal Server y de aplicaciones y virtualización de servidores
Antes de empezar
■ De instalar y configurar la edición de evaluación de Windows Server 2008
Enterprise Edition, de acuerdo con las instrucciones que figuran en la primera práctica
ejercicio de la lección 1 del capítulo 1, "Instalación, actualización e implementación de
Win-
dows Server 2008. "Los ejercicios de la práctica requiere que los equipos cliente
que ejecuta Windows XP Service Pack 3 o Windows Vista Service Pack 1.
Mundo Real
Orin Thomas
El servidor de Terminal primera vez que se desplegó como una solución experimental
para ayudar a
algunos de los contadores en la empresa donde trabajaba. Los contadores se
llevado a cabo una aplicación personalizada en un único servidor de Windows NT 4.0 que
inter-
frente a SQL Server 7. La configuración es tal que sólo una persona podría trabajar en
la aplicación a la vez, lo que provocó un cuello de botella, porque el tiempo con el servidor
tendría que ser programadas con antelación. La aplicación en sí no era la red
consciente y tuvo que ser instalado y utilizado en el mismo servidor que fue sede de la
base de datos. Finalmente, un nuevo servidor fue comprado por el servidor original por
mal formada como resultado del hardware inadecuado. Aunque el camino más fácil de
la acción habría sido simplemente instalar NT4 en el nuevo hardware y con-
continuar como antes, Windows 2000 acababa de salir y me moría de ganas de ver
si podía utilizar los servicios de Terminal como una solución. Después de comprobar que
el
aplicación se ejecutó sin problemas en Windows 2000, lo desinstala, reconfiguración
ured el servidor para que ejecute Servicios de Terminal Server, vuelve a instalar la
aplicación, y comenzó una
prueba con varios usuarios. Funcionó a las mil maravillas, que nos dejó con un pasado
pro-
blema: las licencias. Se estableció contacto con la empresa local que había escrito la
costumbre
de la aplicación. Nunca habían oído hablar de alguien tratando de obtener su solicitud de
trabajo
con Servicios de Terminal Server, por lo que salió a echar un vistazo en el servidor. No
tiene normas sobre las licencias de este tipo de configuración, pero quedamos bastante
impresionados
con la forma en que varios usuarios pudieron interactuar con sus no-consciente de la red
aplica-
ción a la vez. Debido a que iban a comenzar a recomendar la configuración
a otros clientes, se decidió que todavía estábamos en el cumplimiento y todo el mundo
terminó feliz.
Lección 1: Servicios de Terminal Server265
Lección 1: Servicios de Terminal

Server Esta lección le enseñará sobre los factores que debe considerar en la planificación de la
el despliegue de Windows Server 2008 Terminal Services papel en su organización
ción del medio ambiente. Usted aprenderá lo que debe tener en cuenta al planificar una
licencias estrategia para clientes de Terminal Server, y qué tecnologías nuevas como el
impacto
como la sesión de TS servicio Broker tendrá en la implementación de Terminal Server en
la sede y sucursales de oficinas.

■ Plan de infraestructura de Servicios de Terminal
■
Server.
Plan de licencias de Terminal Services.
■ Configurar y monitorizar los Servicios de Terminal
■
Server.
Configurar el Agente de sesión de Terminal Services.
■ Planear la implementación de servidores de Terminal Services Gateway.
Planificación de Infraestructuras de Terminal

Server Un servidor de Terminal Server proporciona un escritorio accesible de forma remota a los
clientes. Un equipo sólo
debe tener un protocolo de escritorio remoto compatible (RDP) y será capaz de
para conectarse a un servidor de Terminal Server que aloja todo lo demás. Muchas
organizaciones ahorrar
dinero, proporcionando el hardware del cliente barata y que sus usuarios se conectan a una
Ter-
sesión de servidor de terminal para ejecutar las aplicaciones más potentes, tales como
procesadores de texto,
Navegadores
■ de de
Estaciones Internet y clientes
trabajo de correo
de usuario electrónico.
se ejecutan Los beneficios
una mínima la aplicación
cantidad de software de
y poca
esta configura-
necesidad de atención directa
ción se incluyen:
ción. Si ocurre un problema con una estación de trabajo del usuario, el escritorio del
usuario medio
ción que existe en el Terminal Server, por lo que la estación de trabajo no se pueden
■ intercambiar
Los datos del usuario siempre se almacena en una ubicación central en lugar de en
a cabo sin necesidad
estaciones de usuario,de datos que desea migrar a la sustitución.
simplificar el backup de datos y proceso de recuperación.
■ Anti-spyware y software antivirus instalado y actualizado en la Terminal
Servidor, asegurando que todos los archivos de definición están al día.
■ En lugar de actualizar cada aplicación instalada en una estación de trabajo del usuario,
aplicaciones y
cationes se actualizan de forma centralizada.
Cuando se utiliza de manera sostenida, las conexiones de escritorio remoto a un servidor de

terminales
requieren gran ancho de banda y baja latencia. Esto se debe a que los usuarios esperan de un
cierto nivel
de la capacidad de respuesta de las aplicaciones que utilizan a diario. A pesar de que es posi-
ble para optimizar la experiencia de escritorio remoto para las conexiones de bajo ancho de
banda, el
mejor el ancho de banda entre los clientes y el servidor de Terminal Server, el más feliz a los
los usuarios van a ser. Esto significa que debe tener en cuenta la implementación de una
Terminal
Servidor para cada sitio de la sucursal. También es necesario considerar la necesidad de
equilibrar
el número de clientes que se conectan al servidor de Terminal con el coste de despliegue
ción del servidor de Terminal Server en esa ubicación. Por ejemplo, si sólo tiene tres usuarios
en
la organización de la oficina de Yarragon rama que necesitan tener acceso a las mismas
aplicaciones
de implementar el uso de una granja de Terminal Server a la sede central de Melbourne, podría
ser
más fáciles de instalar directamente las aplicaciones en el ordenador de cada usuario o para
Planificación de los terminales de hardware del
optimizar la RDP
servidor
Terminal
conexión Servers necesitan
para utilizar procesadores
el enlace WAN desde potentes y mucha
Melbourne memoria
a Yarragon. RAM. Cada
A menos sesión
que un muy de
buen
cliente
modelo de negocio se puede hacer, la mayoría de las organizaciones van a ser reacios a
tiene que utilizar el hardware del servidor de Terminal Server y los recursos. Por esta razón,
desplegar
debe
de tipoconsiderar
servidor de el despliegue de las
hardware para versiones
satisfacer las x64 de Windows
necesidades Server de
puntuales 2008
losEnterprise o
tres usuarios!
Datacenter Edition en servidores Terminal Server en su entorno. Estas versiones de los
sistema operativo de apoyo a los más RAM y el mayor número de CPUs. Si un Termi-
hardware del servidor nal se convierte en sobrecarga de trabajo, usted puede agregar más
memoria RAM y CPU
antes de tener que considerar la adición de una segunda Terminal Server y el inicio de un
terminal
Granja de servidores. Granjas de Terminal Server se tratarán en "Agente de sesión de Terminal
Server"
Aunque en general se debe evitar la virtualización de un servidor de terminales, la
más adelante en este capítulo.
implementación de este
tipo de solución podría tener sentido cuando se enfrentan a situaciones tales como
los tres usuarios en la sucursal Yarragon se mencionó anteriormente. Un pequeño número de
los usuarios no tendrán un impacto significativo en el rendimiento del servidor virtual
anfitrión, y la Terminal Servers con un pequeño número de usuarios y un pequeño espectáculo
huella de buenos candidatos para la virtualización. Hyper-V se aborda con más detalle
en la lección 2, "Server y Application Virtualization."
Usted puede utilizar herramientas como el Administrador de recursos del sistema de Windows y
el rendimiento
Monitor para determinar la memoria y el uso del procesador de Servicios de Terminal Server.
Una vez
a entender cómo los recursos del servidor de Terminal Server se utilizan, se puede determinar
la
recursos necesarios de hardware y hacer una buena estimación en cuanto a la de Terminal
Server
capacidad total de clientes. Capacidad de Terminal Server influye directamente en la

implementación
planes: Un servidor que tiene una capacidad de 100 clientes no va a funcionar bien cuando
más de 250 clientes intentan conectarse. Herramientas de monitoreo se explican con más
detalle
en "Servicios de Supervisión Terminal" más adelante en esta lección.
Software de planificación de Terminal Server
El software que va a ser utilizado por clientes que se conectan a un servidor de Terminal Server
deben
instalado después de la función de Terminal Server se ha implementado. Muchas aplicaciones
de realizar una comprobación
durante la instalación para determinar si el objetivo de la instalación de un terminal
Server. En algunos casos, los archivos ejecutables diferentes se instalarán cuando la
instalación
destino es un servidor de Terminal Server en lugar de una normal, equipo independiente. Por
otra parte,
algunas aplicaciones se generará un cuadro de diálogo emergente que le informa que la
instalación del que se despliegan en un Terminal Server pueden entrar en conflicto unos con
Las aplicaciones
aplicación
otros. en un servidor de Terminal Server, no se recomienda y que el vendedor no
apoyo a esta configuración de implementación.
Antes de implementar una configuración de Terminal Server en un nuevo entorno de
producción,
debe planear un período de prueba. Durante este período de prueba se debe organizar una
pequeña
grupo de usuarios y conseguir que el uso del servidor de Terminal Server como parte de su día
a día de activi-
dades. Si usted sigue este procedimiento, se dará cuenta de los posibles problemas y
conflictos antes de implementar el servidor de terminales más ampliamente en favor de su
organización
producción medio ambiente. En la sección "Microsoft Application Virtualization" en la lección 2
tiene
Licencias demás información
Terminal sobre cómo implementar aplicaciones que entran en conflicto o que son
Services
incompatibles
Todos
con un los clientes
terminal porque se conectan
defecto a un servidor
los servicios de Terminal Server requiere una licencia
de implementación.
especial que se llama Terminal
Cliente de servicios de licencia de acceso (CAL de TS). Esta licencia no se incluye con
Windows
Vista y no es una parte de la CAL estándar que se utiliza cuando la licencia de un servidor.
Estas licencias son administradas por un servidor de licencias TS, que es un componente de
servicio de la función
Es
quenecesario
se puedetomar varias
instalar comodecisiones en la
parte de una planificación dedel
implementación una licencia
servidor dede TS implementación
Terminal Server.
del servidor.
El más importante de estas decisiones giran en torno a las siguientes preguntas:
■ ¿Cuál es el alcance del servidor de licencias?
■ ¿Cómo será el servidor de licencias se activa?
■ ¿Cuántos servidores de licencias son
■
necesarias?
¿Qué tipo de licencias se implementará?
Licencia de ámbito de servidor

El alcance del servidor de licencias de descubrimiento determina qué servidores de terminales
y clientes
puede detectar automáticamente el servidor de licencias. El ámbito de aplicación de servidor de
licencias está configurado du-
ción de la instalación del servicio de licencias de TS función de servidor, como se muestra en la
Figura 5.1. Usted
puede cambiar el ámbito, una vez que se establece. Los tres ámbitos de posible
descubrimiento se presente
Grupo de trabajo, dominio de este, y el bosque.
Figura 5-1 Servidor de licencias descubrimiento de

alcance
■ Este
Este grupo de ámbito de aplicación no está disponible si el equipo está unido a un activo
trabajo
Directorio de dominio. Este ámbito es el descubrimiento más a menudo instalados en el
mismo com-
ordenador como el papel de Terminal Services. Servidores de terminales y clientes en el
mismo
■ grupo deEl
trabajo
Este dominio
puede
ámbito descubrirde
de aplicación automáticamente el servidor
descubrimiento de dominio de licencias.
permite a los servidores de
terminales y clientes
que son miembros del mismo dominio para obtener automáticamente la CAL de TS. Este
ámbito de aplicación es más útil si las CAL de TS van a ser comprados en una base por-
■ dominio.
Este Bosque El alcance de los bosques descubrimiento permite a los servidores de
terminales
en y clientes
cualquier parte delque se encuentren
bosque de Active Directory para obtener automáticamente la CAL
de TS.
Una desventaja de este ámbito es que en los grandes bosques con muchos dominios, las
CAL de TS puede
adquirir rápidamente.
Examen Si
Consejo
una pregunta de examen se menciona que las CAL de TS van a ser gestionados y adquiridos
a nivel local, esto debería conducir a respuestas que sugieren que el ámbito de descubrimiento.
Activación de la licencia del servidor

Antes de que un servidor de licencias de TS puede emitir CAL, se debe activar con Microsoft en
un pro-
procedimiento similar a la activación de productos Windows. Durante el proceso de activación
un certificado emitido por Microsoft digital que se utiliza para validar tanto la propiedad del
servidor e identificar
tidad está instalado en el servidor de licencias TS. Este certificado será utilizado en las
transacciones
con Microsoft para la adquisición e instalación de nuevas licencias. Como se muestra en
Figura 5.2, un servidor de licencias puede ser activado a través de tres métodos.
Figura 5-2 Tres métodos para activar un servidor de licencias TS
El primer método se produce de forma transparente a través de un asistente, al igual que

productos de Windows Activa-
ción. Este método requiere que el servidor se puede conectar directamente a Internet a través
de un
Conexión SSL, lo que significa que no va a funcionar con ciertas configuraciones de firewall.
El segundo método consiste en navegar a una página Web. Este método puede ser utilizado en
un equipo que no sea el servidor de licencias y es apropiado en entornos donde
la infraestructura de red no es compatible con una conexión SSL directa de la interna
de red a un servidor de Internet.
El tercer método consiste en colocar una llamada telefónica a un Centro de Información

Microsoft opera-
Ator. Esta es una llamada al número gratuito de la mayoría de lugares. El método utilizado para
la activación
También se utiliza para validar las CAL de TS que se compran en un estado posterior, aunque
se puede
cambiar este método mediante la edición de las propiedades del servidor de licencias TS. Si un
Si el certificado
servidor adquirido
de licencias es durante el proceso de activación caduca o se daña,
puede
no estáque tenga que
activado, sólo desactivar el servidor
puede emitir de licencias.
CAL temporal. Un servidor
Estas CAL de licencias
tienen una no90
validez de puede
días.
desactivarse
tema permanente de TS CAL por dispositivo, aunque todavía puede emitir TS CAL por usuario
y
TS temporal CAL por dispositivo. Usted puede desactivar los servidores de TS de licencia
mediante el auto-
método automático o por teléfono, pero no se pueden desactivar con un sitio Web
navegador en otro equipo.
Servicios de Terminal Server Client Access Licenses
A Windows Server 2008 TS servidor de licencias puede emitir dos tipos de CAL: el dispositivo
por
CAL y el CAL por usuario. Las diferencias entre estas licencias son las siguientes:
■ TS CAL por dispositivo El TS CAL por dispositivo concede una computadora o dispositivo
específico
la capacidad de conectarse a un servidor de Terminal Server. CAL de TS Por dispositivo
son automáticamente
reclamado por el servidor de licencias TS después de un periodo aleatorio entre 52 y 89
días. Esto no afectará a los clientes que utilizan regularmente estos CAL, ya que cualquier
CAL disponibles sólo se volverá a emitir la próxima vez que el dispositivo vuelve a
conectarse. En el
caso de que se le acaba el CAL disponibles, el 20 por ciento de los emitidos por
dispositivo de TS
CAL para un sistema operativo específico puede ser revocado mediante el Administrador
de licencias TS Man-
gerente de la consola en el servidor de licencias. Por ejemplo, 20 por ciento de los
emitidos de Windows
Vista TS CAL por dispositivo puede ser revocada o 20 por ciento de Windows emitido
Server 2003 CAL por dispositivo puede ser revocado en cualquier momento. La
■ revocación
TS no es Un TS CAL por usuario concede una cuenta de usuario específica la
CAL por usuario
capacidad
un sustituto
acceder depara asegurar
a cualquier que
servidor desu organización
Terminal Serverhaenadquirido la necesaria
una organización de cualquier equipo
número de CAL
o dispositivo. TSde TS Por dispositivo para su entorno.
CAL por usuario no se aplican por licencias de TS, y es posible tener más
conexiones de los clientes que ocurren en una organización de TS CAL por usuario real
instalado en el servidor de licencias. No contar con el número apropiado de TS por
CAL de usuario es una violación de los términos de la licencia. Puede determinar el
número de TS
CAL por usuario mediante el uso de las licencias de TS en la consola del Administrador de
servidor de licencias.
Usted puede examinar el nodo Informes o utilizar la consola para crear un usuario por
CAL informe de uso.
Usted puede comprar las CAL de TS automáticamente si el servidor de Terminal Server es
capaz de hacer un
conexión directa a Internet SSL. Por otra parte, al igual que cuando se activa la Termi-
nal del servidor, puede utilizar un equipo independiente que se conecta a Internet para comprar
TS CAL por navegar a un sitio Web o llamando al Centro de Información de Microsoft
directamente.
Más información sobre las
MÁS INFORMACIÓN
CAL de TS
Para obtener más información acerca de Servicios de Terminal Server licencias de acceso de cliente, consulte el
siguiente sitio Web de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/aa57d355-5b86-4229-9296-
a7fcce77dea71033.mspx? Referencia del fabricante = true.
Copia y restauración de un servidor de licencias

Para realizar una copia de un servidor de licencias TS que necesita para copia de seguridad de
los datos de estado del sistema y la
carpeta en la que la base de datos de licencias de TS se ha instalado. Usted puede usar
revisión Configuration
ción, que se muestra en la Figura 5.3, para determinar la ubicación de la base de datos de
licencias de TS.
Para restaurar el servidor de licencias, reconstruir el servidor y vuelva a instalar el servidor de
licencias de TS
papel, restaurar los datos de estado del sistema y, a continuación, restaurar la base de datos
de licencias de TS. Cuando
restaurado a un equipo diferente, las licencias no emitidas no se restaurará y se le
ponerse en contacto con el Centro Microsoft para obtener las licencias reeditado.
Figura 5-3 Revisión de la configuración

Licencia de implementación de
Exchange Server
Al planear la implementación de servidores de Windows Terminal Server 2008 en un entorno-
ambiente con Servicios de Terminal Server se ejecuta en las versiones anteriores de servidores
de Microsoft
sistema operativo, tenga en cuenta el hecho de que Windows Server 2003 los servidores de
licencias TS y
Windows 2000 Server servidores de licencias de TS no puede expedir licencias para Windows
Server
2008 Terminal Server. Windows Server 2008 Terminal Server, sin embargo, el apoyo
versiones anteriores de Servicios de Terminal Server. Si su organización va a tener un período
de
en Windows Server 2003 Terminal Server coexistirá con Windows Server
2008 Terminal Server, primero debe actualizar los servidores de su organización licencia para
Windows Server 2008 para que puedan apoyar tanto a la Terminal de nuevos y existentes
Servidores.
Consulta Rápida
1. ¿Qué tipo de CAL de TS puede ser revocada?
2. ¿En qué momento debe de instalar las aplicaciones que se van a utilizar
por los Servicios de Terminal Server en el servidor de Terminal?

1. Dispositivo por licencias de acceso de cliente puede ser
revocado.
2. Después de la función de Terminal Server se ha instalado en el servidor.
Configuración de servidores de
Terminal
Al planear la implementación de servidores de Terminal Server, debe ser consciente de lo que
con-
ajustes de configuración se puede aplicar en el Terminal Server y el nivel de protocolo. Prima-
rily que estén interesados en las opciones de configuración a nivel de protocolo. Usted puede
editar
ajustes a nivel de protocolo al abrir la configuración de Servicios de Terminal Server en la
consola
encuentra en la carpeta de Servicios de Terminal del menú Herramientas administrativas-botón
derecho del ratón
el
Laelemento de RDP-TCP
ficha General en el área
de este cuadro de conexiones,
de diálogo, y haga clic
que se muestra enFigura
en la Propiedades. Con ello
4.5, permite al se
abre
administrador
la RDP-Tcpelcuadro
configurar nivel dedeseguridad,
diálogo Propiedades.
nivel de codificación y de seguridad de conexión otra
instalación
ajustes. El valor predeterminado para el nivel de seguridad seguridad de la capa se negocia,
por defecto
para el nivel de cifrado es Cliente compatible. Por defecto el intento será hecho para
negociar la capa más fuertes de seguridad y cifrado, pero los administradores pueden
establecer una espe-
nivel específico. Los clientes que no pueden cumplir con este nivel no será capaz de establecer
una conexión
a un servidor de Terminal Server. Windows Vista y Windows XP Service Pack 2 puede hacer
Los servicios tradicionales de conexiones Terminal cuando la configuración de seguridad a sus
nivel más alto, aunque esta regla no se aplica a las conexiones de RemoteApp hecho
a través de TS Web Access, que se explican con más detalle en la sección remota-
La aplicación en la lección 2 de este capítulo.
Figura 5-4 La ficha General del cuadro de diálogo Propiedades de RDP-Tcp
La configuración de seguridad de la capa se utilizan para configurar la autenticación del

servidor, que es como
el servidor verifica su identidad al cliente. Esto permite que un certificado SSL emitido por una
autoridad de certificación de confianza para ser instalado como un método de verificación de la
Terminal
La identidad del servidor a un cliente que se conecta. Utilice este ajuste cuando los clientes se
conectan a
un servidor de Terminal Server desde redes no confiables como Internet. La verificación de una
Ter-
la identidad del servidor terminal, se reduce el riesgo de que un usuario de la organización
proporcionará
sus credenciales de autenticación para un servidor de terminales sin escrúpulos. A pesar de
El nivel de cifrado se utiliza para proteger el contenido del servidor de Terminal Server de inter-
que es posible
percepción por parte de terceros. Los cuatro valores tienen las siguientes propiedades:
utilizar un certificado autofirmado generado por el servidor de Terminal Server, esto puede
llevar
■
a problemas
Alto Este nivel de cifrado utiliza una clave de 128 bits y es compatible con RDP 5.2
problemas si los clientes no están correctamente configurados para confiar en el certificado
clientes (Windows XP SP2 +, Windows Server 2003 SP1 +, y Windows Vista).
SSL del servidor.
■ FIPSEl tráfico se cifra mediante Proceso de Información Federal Standard (FIPS)

140-1 validados los métodos de cifrado. Esto se utiliza principalmente por el gobierno de
orga-
zaciones.
■ Este método negocia una longitud de clave máxima sobre la base de
Cliente compatible
lo que admite el cliente.
■ BajoLos datos enviados desde el cliente al servidor se cifran mediante una clave de 56
bits. Datos
enviados desde el servidor al cliente se mantiene sin cifrar.
En la ficha Seguridad del cuadro de diálogo RDP-Tcp propiedades le permite especificar qué
grupos de usuarios pueden acceder al servidor de Terminal Server y el nivel de control que
tienen.
Con la ficha Sesiones, que se muestra en la Figura 5.5, puede especificar el tiempo que un
terminal
Servidor permite conexiones activas a la última y la forma de tratar inactivo y desconecta
sesiones de
nes. En entornos en los que cada sesión adicional ejerce una presión sobre un recurso de Ter-
servidor terminal hasta el punto de sesiones son limitados, asegurando que espera y
sesiones desconectadas se expulsan puede ser una excelente manera de gestionar una
Terminal
De recursos del servidor.
Figura 5-5 Las sesiones de la ficha del cuadro de diálogo Propiedades de RDP-
Tcp
La ficha de control remoto del cuadro de diálogo Propiedades de RDP-Tcp le permite
especificar
qué nivel de control de un administrador tiene más conectados sesiones. Puede asegurarse de
que las sesiones de control remoto, que se utilizan sobre todo por el apoyo de sólo el personal
puede
aprobado si el usuario conectado proporciona el permiso para el personal de apoyo para

conectar
de manera similar a la funcionalidad de asistencia remota que se incluye con Windows
Vista. La ficha Adaptador de red, que se muestra en la Figura 6.5, permite a los
administradores limitar
el número de conexiones activas en el servidor de Terminal Server y para especificar qué
Los clientes de red del adaptador se utiliza para conectarse. Esta configuración es importante
en la Terminal
Servidores en los que el número de clientes que se conectan pueden agotar los recursos de
hardware y
un límite tiene que ser puesto en marcha para asegurar que la funcionalidad del servidor no
disminuye
hasta el punto de la frustración del usuario.
Figura 5-6 Configuración de red del adaptador
Propiedades del servidor

Además de las propiedades de conexión RDP cubierto anteriormente, las propiedades de cada
Terminal Server también influyen en la experiencia del cliente. Como se muestra en la Figura
5.7, se puede
configurar cada servidor de Terminal Server para utilizar carpetas temporales para cada sesión
y se
las carpetas eliminadas cuando la sesión termina. También se puede restringir a un usuario a
un pecado-
gle sesión en un Terminal Server. Esta configuración es importante porque si la conexión RDP
ción ajustes no se han establecido para desconectar las sesiones inactivas, el usuario podría
ser responsable de
múltiples sesiones inactivas en un servidor. Usted debe utilizar la configuración de inicio de
sesión en modo de usuario
cuando se necesita para poder desconectar un servidor de Terminal Server para el
mantenimiento. Por ejemplo, si usted
establecer el modo de inicio de sesión de usuario para permitir reconexiones, pero impedir
nuevos inicios de sesión hasta la
Servidor se reinicia, puede controlar el número de conexiones activas y cerradas

el servidor y realizar tareas de mantenimiento sin interrumpir el trabajo de los usuarios.
Figura 5-7 Terminal propiedades del servidor
Configuración de Servicios de Terminal Server con Directiva de

grupo
En los grandes despliegues de Terminal Server, no se configura la conexión RDP-Tcp
configuración y las propiedades de Terminal Server en una base de por servidor de Terminal
Server. Que se aplicaría
estos valores a través de Active Directory. Configuración del equipo \ Policies \
Plantillas administrativas \ Componentes de Windows \ Terminal Services \ Terminal Server
Nodo de directiva de grupo contiene varios nodos de las políticas cuyo funcionamiento refleja el
ajustes que se pueden aplicar en el servidor. Debido a la gran cantidad de políticas, que
sólo están cubiertos brevemente.
■ En el nodo Conexiones contiene las siguientes políticas: Automático

Conexiones
Reconexión, permiten al usuario conectarse de forma remota utilizando Servicios de
Terminal Server, Deny
Cierre de sesión de un administrador de inicio de sesión la sesión de consola, configurar
Keep-
Intervalo de conexión viva, número límite de conexiones, establecer reglas para remoto
El control de sesiones de terminal de usuario de Servicios, Permitir reconexiones de
original
Sólo cliente, restringir los servicios Terminal usuarios a una sesión remota única, y
Permitir el arranque remoto de Programas Cotizadas.
■ Elde
Dispositivo y la redirección nodo de redirección de dispositivos y de recursos con-
recursos
contiene las siguientes políticas: Permitir redirección de audio, no permita que
Portapapeles
Redirección, no permiten la redirección de puertos COM, no permita que la unidad
Redirec-
ción, No permitir redirección de puertos LPT, no permita que Plug and Play
Redirección de dispositivos, no permiten la redirección de dispositivos inteligentes de
tarjetas, y permitir
■ Concesión El nodo
de licencias de de licencias contiene las siguientes políticas: utilice el cable
Tiempo redirección la zona.
para
Terminal Servers de licencias de Servicios, ocultar notificaciones sobre el problema de
licencias de TS-
problemas que afectan a la Terminal Server, y establecer las Licencias de Servicios de
Terminal
■ Modo.
Redirección de impresora El nodo Redirección de impresora contiene las siguientes políticas:
No establecer impresora predeterminada de cliente como impresora predeterminada para
una sesión, no permita que
Redirección de impresoras del cliente, especifique de Terminal Server de reserva del
controlador de impresora comporta-
IOR, uso de Terminal Services Easy Printer driver de la primera impresión, y redirigir sólo
■ la
PerfilesEl nodo de perfiles contiene las siguientes políticas: Inicio de ajustes del usuario TS
Omisión
Directorio,deutilice
la impresora
perfiles del cliente. en el Terminal Server, y Establecer ruta de TS
obligatorios
Perfil de usuario móvil.
■ Entorno de sesión remota El nodo de Medio Ambiente en Sesión remota contiene

las siguientes políticas: la profundidad de color máxima límite, eliminación de cumplir
Fondos de Escritorio remoto, quitar Desconecte opción Apagar Dia-
Caja de registro, Quitar elemento de seguridad de Windows desde el menú Inicio,
Compresión
Algoritmo para la RDP de datos, iniciar un programa en la conexión, y Mostrar siempre
El escritorio de conexión.
■ El nodo de Seguridad contiene las siguientes políticas: la autenticación del servidor
Seguridad
Plantilla de certificado, el cliente de juego de conexión Nivel de cifrado, Pedir siempre
Contraseña al conectarse, requieren proteger la comunicación RPC, requieren el uso
De la capa de seguridad específica para remoto (RDP), no permiten Local
Los administradores personalizar los permisos, y requieren autenticación de usuario para
Conexiones remotas mediante la autenticación de nivel de red.
■ El tiempo
Límites de tiempo de sesión Límites nodo contiene las siguientes políticas
de la sesión
CIES: límite de tiempo establecido para sesiones desconectadas, plazo establecido por
activos, pero
Servicios de inactividad sesiones de terminal, límite de tiempo establecido para Servicios
de Terminal activo
Sesiones, Terminar sesiones cuando se alcanzan los límites de tiempo y plazo
establecido
De cierre de sesión de sesiones de RemoteApp.
■ Carpetas temporales El nodo de carpetas temporales contiene las siguientes políticas:

No eliminar la carpeta Temp a la salida, y no utilizar carpetas temporales por
Sesión.
■ Las políticas en esta carpeta se tratan en detalle en el "Terminal

TS Session Broker
Servicios de Agente de sesión ", más adelante en esta lección.
Aunque esta lista puede parecer intimidante al principio, que se reproduce aquí para darle una
idea
de cómo se puede configurar Servicios de Terminal para satisfacer mejor las necesidades de
su
organización, no porque se espera que lo recitan de memoria en el examen. Usted
debe leer la lista y considerar cómo cada política pudiera afectar a la
número de clientes que pueden ser atendidos, así como la forma en cada política puede influir
en el
número de servidores de terminal que es necesario implementar. Algunas políticas serán
irrelevantes
Desde la perspectiva de un administrador que tiene que planificar el despliegue de
a su búsqueda
Servicios de estos
de Terminal objetivos
Server, y otras políticos
los grupos políticas más
será importantes
fundamental.se encuentran en la
Conexiones
y Límites de tiempo de la sesión los nodos. Con estos nodos a controlar cuántos clientes están
conectados a cada servidor de Terminal Server y el tiempo que permanecen conectados, tanto
de
que afectan directamente a la capacidad del Terminal Server. Si usted permite que un montón
de sesiones inactivas a
ocupan memoria en el entorno de Terminal Services, usted tendrá que planificar la
el despliegue de servidores de terminales más, porque los ya existentes llegarán a su natu-
la capacidad de los Urales rápidamente. Si limitas las sesiones inactivas a un período
determinado de tiempo, se le
asegurar que la capacidad no se pierde, sino que también podría afectar la manera en que las
personas en
su organización trabajan realmente. Al igual que con todo lo relacionado con la implementación
y
TS Webplanificación,
Access conseguir la configuración correcta es una cuestión de encontrar únicas de su
organización
Terminal Services Web Access (TS Web Access) permite a los clientes conectarse a una
saldo de puntos.
Termi-
nal del servidor a través de un enlace a la página Web en lugar de entrar en el servidor de
Terminal Server
dirección en el software de cliente Conexión a Escritorio remoto. A diferencia de los similares
funciones
funcionalidad que estaba disponible en Windows Server 2003, TS Web Access en Windows
Server 2008 no se basa en un control ActiveX para proporcionar la conexión RDC, pero
en su lugar utiliza el software de cliente RDC que se instala en los equipos cliente. Esto
significa que
que para utilizar TS Web Access, los equipos cliente deben ejecutar Windows XP
SP2, Windows Vista, Windows Server 2003 SP1 o Windows Server 2008. TS Web
El acceso debe estar instalado en el servidor de Terminal Server que se trata de facilitar el
acceso a. A
implementar TS Web Access, no sólo se debe instalar el Acceso web de TS función de
servidor, pero
También el servidor web (IIS) y una función llamada Windows Process Activation Ser-
vicio. TS Web Access se instala en el ejercicio de la práctica en tercer lugar, "Instalación de TS
Web
El acceso, "al final de esta lección.
Terminal Server sesión Broker

Un único servidor de Terminal Server sólo admite un número limitado de clientes antes de que
comience
que se quede sin recursos y la experiencia del cliente comienza a deteriorarse. La precisa
número dependerá de lo que las aplicaciones y tareas de los clientes llevando a cabo, así
como la configuración de hardware específica del servidor de Terminal Server en sí. Con el
tiempo, como el
número de clientes a crecer, tendrá que añadir un segundo servidor de Terminal Server a su
entorno
ambiente para tomar algo de carga de la primera. Desde la perspectiva de la planificación de
este es bastante
obvio, pero da lugar a la pregunta "¿Cómo me aseguro de que los clientes se distribuyen
en partes iguales entre el nuevo y el servidor de terminal de edad? "Si todo el mundo salta
sobre el nuevo
servidor, que pronto tendrá el problema de recursos misma presión que el servidor antiguo
tenía!
El Terminal Server Session Broker (Broker de sesión de TS) el servicio de función simplifica el
proceso
La sesióndedeadición de capacidad,
TS servicio lo quede
Broker consta permite el balanceo
una base de datosde carga
que de un
realiza servidores Terminal
seguimiento de la
Server en un grupo
Terminal
y la reconexión de clientes a las sesiones existentes dentro de ese grupo. En la sesión de TS
Sesiones de servidor. Broker de sesión de TS puede trabajar con DNS Round Robin o con la
Corredor de la terminología, un grupo de servidores de terminales que se llama una granja.
Red
Equilibrio de carga para distribuir a los clientes a servidores Terminal Server. Cuando se
configura con carga
el equilibrio, la sesión de TS servicio Broker supervisa todos los servidores Terminal Server en
el grupo
y asigna a nuevos clientes a los servidores Terminal Server que tienen la mayor cantidad de
libres
los recursos. Cuando se utiliza con DNS Round Robin, los clientes están siendo distribuidas,
los principales
ventaja es que el Agente de sesión de TS recuerda que un cliente está conectado. Así, un
sesión desconectada se vuelve a conectar apropiadamente en lugar de un nuevo período de
sesiones
Para se
implementar sesiones de TS Broker equilibrio de carga en su organización, debe
creado en un
asegurarse deservidor de Terminal Server diferente. La limitación del servicio de Equilibrio de
carga
que losdeclientes
TS soporte RDP 5.2 o posterior. Broker de sesión de TS también es compatible
es que
con el inicio
sólo se
de puede
sesiónutilizar
de usuario
con Windows Server 2008 Terminal Server. Ventanas
Server
Ajustes2003 Terminal
de modo, Server
discutido no puede participar
anteriormente en una granja
en "Configuración de TS Session
y Monitoreo Broker.Server".
de Terminal
Estas opciones le permiten detener las nuevas conexiones se realizan para un servidor
individual
Usted puede
en la finca unirse
hasta queahaya
un servidor de Terminal
completado Server
las tareas a una granja con
de mantenimiento la configuración de
pendientes.
Servicios de Terminal Server
MMC, disponible en la carpeta Servicios de Terminal Server en el menú Herramientas
administrativas.
Como se muestra en la Figura 5-8, uniéndose a una granja es una cuestión de especificar la
dirección de un TS
Sesión de servidor Broker, un nombre de granja, que el servidor debe participar en el Agente de
sesión
Equilibrio de carga, y el peso relativo de los servidores en función de su capacidad en la granja.
Usted debe configurar los servidores más potentes con los valores de peso superiores a los
que
configurar los servidores de menor potencia. Sólo se debe borrar la dirección IP Redirec-
ción opción en el caso de que el equilibrio de carga de solución utiliza el Agente de sesión de
TS
Fichas de enrutamiento, que son utilizados por el hardware de equilibrio de carga de las
soluciones y lo que significa
que el equilibrio de la carga no es manejado por el servidor de Agente de sesión de TS. Como
ya se ha oído
Lier, también se pueden aplicar estas opciones de configuración a través de directivas de
grupo, con la rel-
políticas relevantes situado debajo de la Configuración del equipo \ Policies \ Administrativo
Templates \ Componentes de Windows \ Terminal Services \ Terminal Server \ sesiones de TS
Bro-
ker nodo de un GPO Windows Server 2008.
Figura 5-8 TS propiedades Agente de sesiones
En conjunto con estas opciones de configuración, debe agregar el servidor de Terminal

Active Directory cuenta de equipo al directorio de sesión de equipos de grupo local
en el equipo que aloja la sesión de TS de Service Broker. Después de completar estos
tareas, entonces tienes que configurar la función de balanceo de carga en cada uno de los
ordenadores
en la granja. Usted aprenderá más acerca de la característica Network Load Balancing y DNS
Round Robin en el capítulo 11, "Clustering y alta disponibilidad."
Más sobre la configuración de Agente de sesión de TS

MÁS INFORMACIÓN
Para obtener más información sobre la configuración del Agente de sesión de TS, consulte
windowsserver2008/en/library/f9fe9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspx? Referencia del
fabricante = true.
Consulta Rápida
■ ¿Qué grupo tiene en cuenta un servidor de terminales de ordenador hay que añadir
que en el equipo que hospeda la sesión de Terminal Services papel Broker
antes de que pueda convertirse en un miembro de una granja?

■ Computadoras sesión de Directorio de grupo local
Servicios de vigilancia Terminal

Es necesario vigilar con regularidad Terminal Server para asegurarse de que la experiencia del
usuario es
siendo aceptable y que el servidor de Terminal Server todavía tiene suficientes recursos de
hardware
con el que llevar a cabo su función. Cuellos de botella de hardware en servidores Terminal
principalmente
se producen alrededor de los recursos del procesador y la memoria. Estos son los recursos que
deben ser más cuidadosos en la vigilancia porque a pesar de que pueden hacer estimaciones
sobre la capacidad de un servidor, hasta que los clientes realicen efectivamente el día a día las
tareas,
No se sabe realmente la cantidad de la carga del servidor puede tomar antes de la experiencia
del usuario
comienza
Usar a deteriorarse.
el Monitor Quepara
de sistema va amonitorear
utilizar dos los
herramientas específicas de gestión y
Servicios de
seguimiento de terminales
Terminal
Además de las
Los recursos deltípicas herramientas
servidor: Monitor deldesistema
Windows y elServer 2008 de del
Administrador vigilancia
sistemaque
dese le
recursos de
familiarizados,
Windows. el Monitor de sistema contiene específicas del servidor Terminal rendimiento
contadores que ayudará a determinar qué nivel de uso de las sesiones de los clientes actuales
son VHA
ción en el servidor que las alberga. Los dos grandes categorías de contadores son los
encuentra bajo la categoría de Servicios de Terminal Server y los ubicados en la Terminal
Servicios de Sesiones categoría. La categoría de Servicios de Terminal Server registra el
número de
sesiones activas, inactivas, y el total. La categoría de Servicios de Terminal Server sesiones se
rompe
uso de los recursos hacia abajo en detalle. Puede utilizar esta categoría para hacer un
seguimiento de memoria y
el uso del procesador, así como recibir información detallada de solución de problemas tales
como la
número de errores de trama y golpea protocolo de caché.
Windows System Resource Manager

Windows System Resource Manager (WSRM) es una característica que se puede instalar en
un equipo Windows Server 2008 que controla la asignación de recursos. La
WSRM consola, que se muestra en la Figura 9.5, permite a los administradores aplicar políticas
WSRM
CIES. WSRM incluye cuatro políticas por defecto y también permite a los administradores crear
su propia cuenta. Las dos políticas que más le interesen a alguien responsable de la
planeación e implementación de infraestructura de Servicios de Terminal Server se
Equal_Per_User y
Equal_Per_Session.
Figura 5-9 La consola WSRM
La política Equal_Per_User WSRM garantiza que cada usuario se le asigna los recursos
por igual, incluso cuando un usuario tiene más sesiones conectadas al servidor de Terminal de
otros usuarios. Aplicar esta política cuando se permite a los usuarios tener varias sesiones a la
Terminal Server que se detenga cualquier usuario de monopolizar los recursos de hardware
la apertura de varias sesiones. La política Equal_Per_Session se asegura de que cada sesión
es
los recursos asignados por igual. Si se aplica en un Terminal Server donde los usuarios se les
permite
conectarse con varias sesiones, esta política puede permitir a los usuarios para acceder a
una cantidad desproporcionada de los recursos del sistema en comparación con los usuarios
con un solo
sesiones.
Servicios de Terminal Server y WSRM
MÁS INFORMACIÓN
Para obtener más información sobre el uso de Terminal Services de Windows con el Administrador de recursos del
sistema, consulte la
siguiente artículo de TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/
a25ed552-a42d-4107-B225-fcb40efa8e3c1033.mspx? Referencia del fabricante = true.
Terminal Services Gateway

De enlace de TS permite a los clientes acceso a Internet segura y cifrada a los servidores de
Terminal
detrás del firewall de su organización sin tener que desplegar una red privada virtual-
trabajo (VPN). Esto significa que usted puede hacer que los usuarios interactúan con sus cor-
porate escritorio o aplicaciones desde la comodidad de sus hogares sin los problemas
que se producen cuando las VPN están configurados para ejecutarse en direcciones de red
múltiples traducciones
ción (NAT) y pasarelas de los servidores de seguridad de múltiples proveedores.
TS Gateway funciona con RDP sobre Secure Hypertext Transfer Protocol (HTTP),
que es el mismo protocolo utilizado por Microsoft Office Outlook 2007 para acceder a corpo-
tasa de Exchange Server 2007 los servidores de acceso de cliente a través de Internet. TS
Gateway-Serv
los parámetros pueden ser configurados con las políticas de autorización de conexión y de
recursos
las políticas de autorización como una forma de diferenciar el acceso a servidores de
terminales y
recursos de la red. Las políticas de autorización de conexiones permiten el acceso basado en
un conjunto de
las condiciones
Lo que hace queespecificadas porautorización
las políticas de el administrador, las políticas
de conexión de recursos
diferente concederá
es que los servidores de
autorización
puerta de enlace de TS
acceso
puede sera recursos específicos
configurado para usardeNetwork
TerminalAccess
ServerProtection
basado en(NAP).
propiedades de la cuenta
PAN realiza de
un cliente
usuario.
controles de salud. Esto significa que puede no permitir a un usuario acceso si el cliente con el
que el
el usuario está tratando de acceder al servidor de Terminal Server no pasa una serie de
pruebas de salud,
como prueba de que el software antivirus y anti-spyware es hasta la fecha y el más reciente
conjunto de actualizaciones y Service Packs de Microsoft Update se aplican. De salud del
cliente
cheques son importantes, desea asegurarse de que todos los clientes que se conectan a un
terminal
Los recursos del servidor de alojamiento de negocios importantes que no están infestados con
spyware, virus,
y los troyanos que podrían ser transmitidos a la red de su organización infra-
MÁS Más información
INFORMACIÓN
estructura. Usted aprenderásobre TS Gateway
más acerca dede cómo implementar NAP y más en el enlace de TS
Servicios
Las
Para obtener más información acerca de servidores de"El
directivas del servidor en el capítulo 9, acceso
puerta remoto
de enlace y la
de TS, protección
consulte el sitio de acceso de red".
Web de TechNet siguiente: http://
technet2.microsoft.com/windowsserver2008/en/library/9da3742f-699d-4476-b050-
c50aa14aaf081033.mspx? Referencia del fabricante = true.
Práctica: Implementación de Servicios de

TerminalEnServer
este conjunto de prácticas que va a instalar y configurar Servicios de Terminal Server. Este
proceso
incluirá la configuración inicial, los ajustes de configuración y despliegue de la TS
Web Access servicio de función. Estos ejercicios requieren la práctica de que su equipo cliente
han RDC 6.0 o posterior del software. Este software está disponible de forma predeterminada
con
Windows Vista, sino que requiere un componente adicional, puede descargar e instalar para
Windows XP.
Cómo RDC 6.0

MÁS INFORMACIÓN
Puede obtener la versión RDC 6.0 para Windows Server 2003 o Windows XP desde el siguiente sitio:
http://support.microsoft.com/?kbid=925876.
Ejercicio 1: instalar la función Servicios de Terminal

Server
En este ejercicio, va a instalar la función Servicios de Terminal Server en el equipo de Glasgow.
Para completar este ejercicio, realice los siguientes pasos:

Kim_Akers.
2. Abra la consola Administrador del servidor de inicio rápido o Administración de la
Menú de las herramientas si no se abre automáticamente.
3. Haga clic en el nodo Funciones y haga clic en el elemento para agregar funciones en el
Resumen de funciones
sección de la consola de Administrador de servidores. Esto iniciará el Asistente para agregar
funciones.
En la clic
4. Haga página Funcionesendel
en Siguiente la servidor, seleccione
página Antes Servicios de Terminal Server y
de comenzar.
5. En la página de Servicios de Terminal Server, revise la información y haga clic en
Siguiente.
6. En la página Seleccionar servicios de función, seleccione Terminal Server. Al seleccionar
Termi-
Servidor nal se le presentará con una advertencia de que la instalación de Terminal Server
con Active Directory Domain Services, no se recomienda. Debido a que este es un
ejercicio de la práctica para demostrar la tecnología, y no un mundo real de implementar
ción, haga clic en Instalar Terminal Server De todos modos (no recomendado). Haga clic en
Siguiente.
7. Sobre las aplicaciones de desinstalación y reinstalación por la página de compatibilidad,
consulte la
la información y haga clic en Siguiente. El despliegue de aplicaciones a través de Terminal
Ser-
8. vicios
En el método
se trata de
en autenticación
detalle en la lección
para especificar
2, "Serverlay página
Application
de Terminal
Virtualization."
Server, seleccione
Requerir
Network Level Authentication, como se muestra en la Figura 5-10 y luego haga clic en
9. En la página Especificar modo de licencia, seleccione por usuario y haga clic en
Siguiente.
Siguiente.
10. En los grupos de usuarios Seleccione Permitida acceso a esta página de Terminal Server,
compruebe
que el grupo de administradores esté seleccionada y luego haga clic en Siguiente.
11. Revise el resumen de información sobre la instalación de la página Confirmar selecciones
y haga clic en Instalar. El papel de Servicios de Terminal Server se instalará en el
servidor de Glasgow.
Figura 5-10 Especifique el método de autenticación
12. Es necesario reiniciar el servidor para completar el proceso de instalación de la función. En

el
Instalación de la página Resultados, haga clic en Cerrar. En el cuadro de diálogo Asistente
para agregar funciones, haga clic en
13.Sí
Cuando
cuandosesereinicia
le pregunta
el servidor,
si desea
inicie
reiniciar
sesiónelcon
servidor
la cuenta
ahora.
de usuario Kim_Akers. Después
de la
proceso de inicio de sesión se ha completado, el asistente de configuración de reanudación
automática-
automáticamente iniciar y completar la instalación de la función Terminal Services. Cuando el
asistente, haga clic en Cerrar.
NOTA 120 días
Puede recibir una advertencia al final del proceso de instalación le informa de que la Terminal
Servicios dejarán de funcionar en 120 días. Despedir a esta advertencia, se va a configurar la licencia
servidor en el ejercicio de la práctica siguiente.
14. Abra Usuarios y equipos. En el contenedor de usuarios, cree un usuario

cuenta con el nombre de usuario Sam_Abolrous. Asignar la contraseña P @ ssw0rd y
seleccionar la opción de contraseña nunca caduca. Agregue el usuario a la Sam_Abolrous
Grupo de usuarios.
15. En el menú Inicio, haga clic en Ejecutar y escriba gpedit.msc. Esto abrirá el
Editor de directiva de grupo local.
16. Vaya a Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \

Directivas locales \ Asignación de derechos de nodo y abrir la opción Permitir Inicio de sesión
A través de la política de Terminal Services.
17. Haga clic en Agregar usuario o grupo y agregue el grupo de usuarios. Haga clic en Aceptar
y luego ejecutar gpupdate.exe desde un símbolo del sistema con privilegios elevados.
NOTA Servicios de Terminal Server y los controladores de

dominio
De manera predeterminada, sólo los miembros del grupo de administradores pueden iniciar sesión en un
controlador de dominio
a través de Terminal Services. Mediante la modificación de esta política, puede permitir a otros grupos para
iniciar sesión en
el controlador de dominio utilizando Servicios de Terminal Server, aunque es importante señalar que para la
seguridad
razones por las que volvería a evitar este en una implementación real.
18. Inicie sesión en el equipo cliente de Melbourne con la cuenta de usuario Sam_Abolrous.
Abra Conexión a Escritorio remoto y conectar con el servidor con el nombre de Glasgow.
Asegúrese de proporcionar las credenciales se muestra en la Figura 5-11.
Figura 5-11 Las credenciales de autenticación
19. Después de comprobar que la conexión funciona, cierre la sesión de escritorio remoto y
la sesión del equipo cliente de Melbourne.
Ejercicio 2: Configuración de Servicios de Terminal

Server
En este ejercicio, va a configurar algunas de las configuraciones comunes del servidor de
Terminal Server que
le permiten administrar cómo se hacen las conexiones con el servidor. Para completar este
ejercicio
cicio, realice los siguientes pasos:
1. Asegúrese de que está conectado al servidor de Glasgow con el usuario Kim_Akers

cuenta.
2. Haga clic en Inicio, haga clic en Herramientas administrativas, haga clic en Terminal
Services y, a continuación, haga clic en
Configuración de Terminal Services.
3. En el cuadro de diálogo User Account Control, haga clic en Continuar. Ahora se le pre-
representados con la consola de Terminal Services se muestra en la Figura 5-12.
Figura 5-12 Los Servicios de Terminal Server de la consola de

configuración
4. Haga clic derecho en RDP-Tcp en el área de conexiones y seleccione
Propiedades.
5. En la ficha General del cuadro de diálogo RDP-Tcp Propiedades, establezca la encriptación
Nivel en Alto, y luego haga clic en Aplicar.
6. Haga clic en la ficha Control remoto. Seleccione Usar control remoto con la siguiente
configuración-
ajustes. Verifique que la opción Requerir el permiso del usuario se ha seleccionado y que en
el
Nivel de sección de Control de la vista se selecciona el período de sesiones, como se
muestra en la
7. Haga clic enfigura 5.13.
la ficha Adaptadores de red. Seleccione la opción máximo de conexiones y
Haga clic en Aplicar.
a continuación, establezca el valor de la opción de 15. Haga clic en Aplicar y luego haga clic
en Aceptar para cerrar el
el cuadro de diálogo. Haga clic en Aceptar para cerrar la advertencia que le informa que las
sesiones actuales
no se verá influido por los cambios realizados.
Figura 5-13 Los Servicios de Terminal Server opciones de control remoto
8. En la sección Editar configuración, haga doble clic en el modo de licencias de Terminal

Services
ajuste. Esto abrirá la pestaña de licencias de las propiedades de Terminal Server.
9. Cambiar el modo de Servicios de Terminal Server Licencias de Por dispositivo. En el cuadro
Especifique el
Servidor de licencias de modo de descubrimiento, seleccione Usar los servidores de
licencias especificadas y
tipo glasgow.contoso.internal como se muestra en la figura 5.14.
Figura 5-14 TS licencia de configuración del servidor
10. Haga clic en Aplicar y luego haga clic en Aceptar. Haga clic en Aceptar para cerrar la
advertencia que le informa
que las sesiones actual no se verá influido por los cambios realizados.
11. Cierre la consola de Terminal Services Manager.
NOTA No hay ningún servidor de licencias en glasgow.contoso.internal

En este conjunto de prácticas de un servidor de licencias no se ha establecido, ya que se requiere la activación.
La
objetivo de la etapa 9 es mostrar la forma de reemplazar el servidor de licencias automáticas proceso de
descubrimiento.
Ejercicio 3: Instalación de TS Web Access
En este ejercicio, va a instalar y configurar el Acceso web de TS función de servidor. Usted
a continuación, conecte con un cliente para verificar que la función del servidor se ha instalado
correctamente. Para com-
completa este ejercicio, realice los siguientes pasos:
cuenta.
2. Si la consola Server Manager no se abre automáticamente, haga clic en el acceso directo

ubicado en la barra de herramientas Inicio rápido o abrir la consola de Administrador de
servidores de
en el menú Herramientas administrativas. Haga clic en Continuar si se le presenta una
cuenta de usuario
3. Control deen
Haga clic cuadro de Funciones.
el nodo diálogo. En el panel de funciones, desplácese hasta la función
Terminal Services
y haga clic en Agregar servicios de función. Se iniciará el Asistente para Agregar función
4. En la página Seleccionar servicios de función, seleccione el servicio de Acceso web de TS
servicios.
papel y luego
5. En los servicios de función Añadir y funciones necesarias para el cuadro de diálogo TS Web
Access,
haga clic en Agregar servicios de función requeridos. Haga clic en Siguiente.
6. Haga clic en Siguiente hasta llegar a la página Confirmar instalación Selección de la opción
Agregar
Servicios de Asistente de papel. Haga clic en Instalar. Cuando el proceso de instalación,
haga clic en Cerrar.
7. Inicie sesión en el equipo cliente utilizando el usuario sam_abolrous@contoso.internal
cuenta.
8. Abra el Explorador de Internet, vaya a http://glasgow.contoso.internal/ts y cuando

solicita la autenticación mediante la cuenta de usuario sam_abolrous@contoso.internal.
9. Desestimar las advertencias presentadas e instalar el Terminal Services ActiveX

Del cliente. Haga clic en el elemento de Escritorio remoto en la página Web de TS Web
Access.
NOTA Sitios de confianza
Para realizar las conexiones con éxito, es necesario configurar el TS Web Access como un sitio
Intranet del sitio en Internet Explorer.
10. En el cuadro de diálogo Conectar, escriba la dirección glasgow.contoso.internal y

haga clic en Opciones, como se muestra en la figura 5-15. Haga clic en Conectar.
Figura 5-15 TS Web Access Remote Desktop
11. Si se presenta con la advertencia de confianza, haga clic en Sí. Si se le presenta la Internet
Explorador de advertencia de seguridad, se muestra en la Figura 5-16, haga clic en Permitir.
Figura 5-16 Conexión de advertencia

12. En el cuadro de diálogo Seguridad de Windows, escriba las credenciales para el

sam_abolrous
@ Cuenta de usuario contoso.internal.
13. En la tiene confianza en el equipo que se está conectando el cuadro de diálogo, se muestra
en la
Figura 5-17, haga clic en Sí. La sesión de Terminal Services ahora se inicia.
Figura 5-17 Terminal Server de confianza consulta
14. Después de comprobar que el TS Web de acceso remoto página del escritorio se ha ini-
correctamente
tiated una conexión con el servidor de Terminal Server en glasgow.contoso.internal, cierre la
sesión de
terminar la conexión.
■ Terminal Server del servidor de licencias debe ser activado antes de que sea posible la
instalación de
TS CAL. El ámbito de aplicación de descubrimiento de un servidor de licencias determina
que los clientes y
■ Servidores
Broker de sesión
de TS de
puede
TS ledetectar
permiteautomáticamente
crear una granja el
deservidor.
Terminal Services. De sesiones de
TS Bro-
ker se puede combinar con DNS Round Robin o equilibrio de carga de red y
asegura que los clientes están desconectados siempre vuelve a conectar a la sesión
correcta
■ en el
TS servidor
Web adecuado.
Access permite a los clientes para conectarse a un servidor de terminales
mediante un navegador
acceso directo, pero requiere que el software más reciente de RDC ser instalado.
■ TS Servidores Gateway puede permitir a los clientes de la Internet para conectarse al
terminal
Servidores detrás del firewall sin tener que implementar una solución VPN.
en
Lección 1, "Servicios de Terminal Server." Las preguntas también están disponibles en el CD
si lo prefiere para revisar en forma electrónica.
NOTA Respuestas
1. Su organización tiene un único servidor de Terminal Server. Los usuarios pueden

conectarse a
Terminal Server con un máximo de dos sesiones simultáneas. Usted quiere asegurarse de
que
los usuarios que están conectados a dos sesiones de no utilizar más recursos en el Ter-
Servidor terminal de un usuario conectado con una sola sesión. ¿Cuál de las siguientes
estrategias debe seguir?
A. Aplicar la política Equal_Per_User WSRM.
B. Aplicar la política Equal_Per_Session WSRM.
C. Configurar las propiedades del servidor de consola de administración de Terminal
Server.
D. Configurar propiedades de RDP-TCP.
2. Su organización cuenta con dos oficinas, una ubicada en Sydney y uno situado en
Melbourne. Un centro de datos en Canberra alberga los servidores de infraestructura. Tanto
el
Las oficinas de Melbourne y Sydney tienen sus propias granjas de Terminal Server. Las
oficinas
están conectados por un enlace WAN de alta velocidad. Cada oficina tiene su propia Direc-
Active
historia de dominio, que son una parte del mismo bosque. El dominio raíz del bosque es
situado en el centro de Canberra de datos y no contiene de usuario estándar o
cuentas de equipo. Por razones operativas, desea asegurarse de que la CAL
comprar e instalar en cada lugar se sólo se asigna a los dispositivos en ese
ubicación. ¿Cuál de los planes de licencia después de la implementación del servidor en
caso de que
A. Implementar un servidor de licencia para cada lugar y establecer el ámbito de cada
poner en práctica?
descubrimiento
licencia de servidor de dominio.
B. Implementar un servidor de licencia para cada lugar y establecer el ámbito de cada
descubrimiento
servidor de licencias para los bosques.
C. Implementar un servidor de licencia para el centro de Canberra de datos y configurar
el descubrimiento
ámbito de aplicación del servidor de licencias a los bosques.
D. Implementar un servidor de licencia para el centro de Canberra de datos y configurar
el descubrimiento
ámbito de aplicación del servidor de licencias de dominio.
3. ¿Cuál de los siguientes pasos se debe tomar antes de la instalación en un CAL de TS

servidor de licencias? (Cada respuesta correcta se presenta una solución completa. Elija
dos.)
A. Seleccionar ámbito de la licencia de
servidor.
B. Establecer el nivel de dominio a nivel de servidor Windows 2008
funcional.
C. Activar el servidor de licencias.
D. Seleccione el tipo de licencia.
E. Instalar Internet Information Services (IIS).
4. La organización para la que trabaja está pasando por un período de crecimiento. Usuarios
acceder a las aplicaciones de negocio de terminales del cliente. A usted le preocupa que el
el crecimiento de usuarios superará la capacidad de procesamiento del servidor de Terminal
Server de host.
¿Cuál de las siguientes soluciones le permite aumentar la capacidad de los clientes con-
sin requerir reconfiguración del cliente?
A. Use WSRM para asegurarse de que todos los usuarios pueden acceder a los
recursos por igual.
B. Instalación de Hyper-V en un equipo que ejecuta Windows Server 2008 Enterprise
Edición y añadir servidores virtuales según las necesidades.
C. Agregar servidores Terminal ya que los clientes requieren y volver a configurar para el
uso específico
Servidores Terminal Server.
D. Crear una granja de Terminal Server y Terminal Server agregar según sea
necesario.
5. Usted necesita asegurarse de que los clientes que se conectan a servidores Terminal
Server han pasado
un chequeo de salud. ¿Cuál de las siguientes implementaciones debe implementar?
A. Instalar OneCare Live en los servidores de Terminal
Server.
B. Implementar Broker de sesión de TS.
C. Mediar el acceso usando un servidor de puerta de
enlace de TS.
D. Mediar el acceso utilizando ISA Server 2006.
Lección 2: Server y Application Virtualization

Esta lección mira a dos tipos diferentes de tecnología de virtualización: la virtualización de
servidores
ción y la virtualización de aplicaciones. Cuando se configura para la virtualización, ya sea
entero
las aplicaciones informáticas o individuales se ejecutan en sus entornos por separado. Este
asegura que no se producen conflictos ya que cada sistema operativo o la aplicación se
encuentra en
el equivalente de su propio entorno cerrado. En esta lección, usted aprenderá acerca de la
Hyper-V característica de Windows Server 2008. Usted aprenderá acerca de RemoteApp, que
le permite ejecutar las aplicaciones de Servicios de Terminal Server sin tener que ejecutar en
un año normal
Servicios de Terminal Server de la ventana. También podrá aprender acerca de aplicaciones de
Microsoft de virtualización
ción, anteriormente conocido como SoftGrid, una tecnología de Microsoft que permite a los
aplicaciones que de otro modo entraría en conflicto o no se ejecutan en un servidor de Terminal
Después
Server quede esta lección, usted será capaz de:
vir-
■
tualized y sirvió aellos
Planificar equiposdecliente
despliegue en la red.
Hyper-V.
■ Planear la implementación de RemoteApp de TS.
■ Planificar el despliegue de la virtualización de aplicaciones.
Mundo Real
Orin Thomas
Uno de los entornos más difíciles que he trabajado en un sistema

administrador es aquel donde los desarrolladores están trabajando y actualización de
aplicaciones
en un servidor que yo era responsable de la gestión. Como la mayoría de los sistemas de
administración
res, prefiero mantener la configuración de los servidores que administro de manera
estática como sea posible.
Una vez que tengo un servidor funcionando correctamente Tiendo a no querer a nadie a
cambiar
la configuración, que puede conducir a la inestabilidad y por lo tanto dar lugar a más
trabajo para
me! Durante el proceso de desarrollo de aplicaciones de un montón de cambios en la
configuración
se puede hacer a un servidor que luego tiene que ser deshecho. Dependiendo de qué tan
invasivo
procedimiento de la aplicación de instalación es, a menudo puede ser más fácil de limpiar
y refuerzo
puesto en lugar de intentar eliminar una aplicación de generación anterior para que
se puede probar y desplegar la nueva. Es por eso que el amor instantáneas. Las
instantáneas son
una funcionalidad de Hyper-V que le permite guardar la configuración de una
computadora a
un punto en el tiempo. Antes de instalar una nueva construcción de una aplicación, o
incluso la aplicación de
Lección 2: Server y Application Virtualization 295
un nuevo conjunto de actualizaciones, que crear una instantánea. Esto me permite

desplegar rápidamente de vuelta a
una configuración buena conocida, si el cambio en el servidor creada por la actualización
hace que el sistema inestable. Si está trabajando en un ambiente con
desarrolladores, te recomiendo que les corral en servidores virtualizados. De esta manera
cuando, inevitablemente, romper algo, es simplemente una cuestión de hacer retroceder a
un
instantánea conocido lugar de tener que reinstalar el sistema operativo de
cero.
Hyper-V
Hyper-V es una característica de Windows Server 2008 que permite ejecutar virtualizado
computa-
res en las versiones x64 de Windows Server 2008. Hyper-V tiene muchas similitudes con Vir-
Servidor 2005 R2 intelectual en términos de funcionalidad, aunque a diferencia de Virtual
Server 2005 R2,
Hyper-V está integrado directamente en el sistema operativo como un papel y no se sienta por
encima de la
del sistema operativo como una aplicación. Hyper-V también permite ejecutar virtual de 64 bits
Virtualización
máquinas, quea notravés de Hyper-V
es posible en Windows
en Virtual Server
Server 2005 R2.2008 proporciona las siguientes ben-
cios sobre las instalaciones tradicionales:
■ Servicios
Uso más eficiente de los recursos tales como DHCP y DNS, mientras que
de hardware
vitales para la infraestructura de red, es poco probable que empujar los límites de su
servidor de
procesador y memoria RAM. A pesar de que es posible co-localizar el DNS y DHCP
roles en el equipo Windows Server 2008, la estrategia de separación de redes
roles de trabajo en particiones separadas le permite trasladar a los tabiques de
otros equipos de acogida si las circunstancias y el uso de los roles cambian en
en el futuro.
■ La consolidación de estos servicios en una sola plataforma de hardware-

Mejora de la disponibilidad
forma pueden reducir los costos y gastos de mantenimiento. A pesar de pasar de muchos
plataformas para uno puede parecer que conduciría a un punto único de fallo, imple-
Menting tecnologías de redundancia (clustering y hot-swappable de hardware,
como procesadores, memoria RAM, fuentes de alimentación y unidades de disco duro)
proporciona una mayor
nivel de fiabilidad de un menor costo. Considere la siguiente situación: Cuatro Ventanas
Server 2008 las computadoras son cada ejecución de una aplicación por separado
prestados a los usuarios
en la red. Si un componente de hardware falla en uno de esos servidores, la aplica-
ción de que el servidor ofrece a los usuarios de la red no estará disponible hasta el
componente se sustituye. La construcción de un servidor con componentes redundantes
es
más barato que la construcción de cuatro servidores con componentes redundantes. En el

caso de que
un componente falla, la redundancia incorporada en todas las funciones de servidor
permite a permanecer
■ disponible. Algunos
Servicios sólo necesitan estar disponible servidores
de forma sólo deben ser
intermitente
disponible de forma intermitente. Por ejemplo, como se indica en el capítulo 10,
"Certificado de
Servicios y de almacenamiento, "la mejor práctica con una CA raíz de empresa es el uso
de subordina-
coordinar las CA para emitir certificados y mantener la línea de CA raíz. Con la
virtualización,
se puede mantener el servidor virtualizado completo en una unidad de disco extraíble
USB duro
una caja fuerte, sólo que encender cuando sea necesario y garantizar así la seguridad de
■ su de cajaCaja
Papel de arena es un término usado para describir la división de
de arena
certificado
los recursos dedel
la infraestructura.
servidor para queEsto
unalibera a hardware
aplicación existente
o servicio que se
no influye enutiliza
otros muy
com-poco-o
quiere decir que nunca es necesario comprar.
componentes en el servidor. Sin caja de arena, un servidor de aplicación o en su defecto
papel
tiene la capacidad de derribar todo un servidor. Al igual que las piscinas de aplicaciones
Web en
IIS sandbox aplicaciones web para que el fracaso de una aplicación no traerá
todos ellos hacia abajo, la ejecución de aplicaciones de servidor y las funciones en su
propia separada vir-
medio ambiente tualized asegura que un proceso de errantes no bajar
■ todo lo demás.
Una mayor capacidad La adición de capacidad de hardware importante en un solo servidor
es
más barato que la adición de mejoras incrementales de hardware de varios servidores.
Capacidad
se puede aumentar mediante la adición de procesadores y memoria RAM para el servidor
host y luego
■ la asignación
Una de esos
Una
mayor portabilidad recursos
vez que a un servidor
un servidor virtual en caso
se ha virtualizado, de necesidad.
moverlo a otro host
si los recursos del host original de sentirse abrumado es un método relativamente simple
pro-
proceso. Por ejemplo, supongamos que los discos en un servidor Windows 2008
Enterprise
Edición equipo que aloja 10 servidores virtualizados están llegando a su E / S de la
capacidad.
El traslado de algunos de los servidores virtualizados a otro host es un proceso más
sencillo que
■ migración
Más fácil de oguardar
actualización de untales
Herramientas
y recuperar servidor.
comoHerramientas
Volume Shadow talesCopy
comopermite
Systemrealizar
Centercopias
Virtual
Machine
de
Manager,
la imagen expone más adelante
de un servidor entero,en el capítulo,
mientras que el sigue
el servidor proceso aún más sencillo.
funcionando. En el caso de
que
una computadora central falla, las imágenes pueden ser rápidamente restaurada en otro
host
equipo. En lugar de copias de seguridad de archivos y carpetas individuales, usted puede
copias de seguridad
todo el equipo virtualizado en una sola operación. System Center Virtual Machine
Manager le permite mover máquinas virtuales de ida y vuelta al área de almacenamiento

De red (SAN) e incluso migrar máquinas virtuales entre los hosts.
Creación de máquinas virtuales

Crear una máquina virtual es un proceso relativamente simple y consiste en ejecutar el nuevo
Asistente de la máquina virtual de la consola de administración de virtualización. Para crear el
máquina virtual, siga estos pasos:
1. Especifique un nombre y una ubicación para la máquina virtual. La colocación de una

máquina virtual en
un volumen RAID-5, o mejor aún un RAID 0 +1 o RAID 1 +0 volumen asegura
redundancia. Usted debe evitar la colocación de las máquinas virtuales en el mismo
volumen que
el sistema operativo host. El nombre de la máquina virtual no tiene por qué ser
simplemente el nombre del equipo, pero puede incluir otra información sobre el
máquina virtual de funcionalidad.
2. Especificar la asignación de memoria. La cantidad máxima de memoria depende de la
cantidad de RAM instalada en el equipo host. Recuerde que cada activo
máquina virtual se debe asignar la memoria RAM y que el monto total asignado de
RAM para todas las máquinas virtuales activas y el sistema operativo host no puede
exceder
la cantidad instalada en el equipo host.
3. Especificar la configuración de redes. Especificar cuál de las tarjetas de red instaladas en el
anfitrión será utilizada por la máquina virtual. Donde se espera que la red de alta
rendimiento, puede agregar una tarjeta de red adicional y asignarlo a un sólo
organizado máquina virtual.
4. Especificar el disco duro virtual. Las máquinas virtuales utilizan archivos planos para
almacenar datos del disco duro.
Estos archivos son montados por Hyper-V y parece que la máquina virtual como un ni-
unidad de disco duro normal que incluso se puede formatear y particionar. Cuando se crea
un disco duro virtual, debe especificar el espacio suficiente para que el sistema operativo
creciendo, pero no utilizan todo el espacio disponible si usted tiene la intención de añadir
otros virtuales
máquinas más tarde.
5. Especificar la configuración de instalación del sistema operativo. En la última etapa de la
creación de
una máquina virtual, debe especificar cómo va a instalar el sistema operativo,
ya sea desde un archivo de imagen, como un ISO., medios ópticos, como un DVD-ROM,
o una instalación basada en red, como servidor WDS, que estaba cubierto de
Lección 2, "servidor de implementación automatizada", en el capítulo 1.
Desde este punto se puede dar vuelta en la máquina virtual y luego comenzar la instalación
proceso mediante el método que seleccionó en el paso 5.
Los candidatos de virtualización

Cuando usted está considerando las opciones de servidor de implementación, será ventajoso
en
algunas situaciones para implementar un servidor virtualizado en lugar de lo real. Uno de ellos
es
Costo: Como se mencionó en el capítulo 1, Windows Server 2008 Enterprise Edition licencia
incluye las licencias para cuatro instancias virtuales alojadas. Aunque debe tener en cuenta
muchos otros costos al realizar una comparación, desde una perspectiva de las licencias a
entrar en
premio licencia de edición va a costar menos de cinco licencias de edición estándar. También
recuerdo
que el hardware de servidor de calidad siempre va a costar mucho más que un servidor
Windows
Aunque cada situación es diferente, en algunas situaciones arquetípicas que se
2008 Enterprise Edition de licencia, especialmente si su organización tiene un acuerdo de
plan de un servidor virtualizado en lugar de una instalación tradicional, incluyendo las
licencia
siguientes:
ción con Microsoft.
■ Que desea usar Windows Deployment Services en una sucursal de una
despliegue que va a durar varios días, pero usted no tiene los recursos necesarios para
implementar
hardware adicional en esa ubicación. En este caso se podría virtualizar un servidor WDS
y sólo encender la máquina virtual cuando era necesario. En el caso de que más
los sistemas operativos necesitan que se desarrollará en una etapa posterior, la máquina
virtual puede
estar encendido.
■ Usted tiene dos aplicaciones alojadas en el mismo servidor que el conflicto entre
otros. Dado que las aplicaciones personalizadas no siempre juegan bien juntos, a veces
es necesario colocar cada aplicación en su propia máquina virtual. Aplicaciones
organizado en equipos independientes es poco probable que los conflictos con los demás!
Otro
solución es la virtualización de la propia aplicación. La virtualización de aplicaciones es
cubierto
■ Se está trabajando con los desarrolladores que necesitan probar una aplicación. Si usted
tiene
trabajó como administrador de sistemas en un entorno con los desarrolladores, ya sabes
que algunos proyectos no son estables hasta que están casi completos, y hasta ese
momento
que tienen la mala costumbre de bloquear el servidor. Dando a los desarrolladores su sitio
virtual
máquina para trabajar con les permite bloquear un servidor con la frecuencia que desee
Algunassin implementaciones de servidores hacen buenos candidatos para la virtualización.
Servidores que tienen por el impacto en ninguna persona fuera del grupo de desarrollo.
que preocuparse
de I / O requerimientos o requisitos de CPU de alto que los candidatos pobres. Un servidor que
monopoliza los recursos de CPU, memoria y disco en un único ordenador requerirá la
mismo nivel de recursos cuando virtualizado, y una instalación de servidor tradicional
proporcionar un mejor rendimiento que correr ese mismo servidor virtualizado en el mismo
hardware. En general, usted está razonablemente seguro en la decisión de implementar
servidores virtuales si
el servidor no tiene una huella de gran rendimiento. Cuando un servidor se espera que
tienen una huella significativa del rendimiento, tendrá que desarrollar un sistema más de
decidir si la virtualización ofrece ninguna ventaja.
Recuerde que Windows Server 2008 Datacenter Edition (64 bits) con licencias ilimitadas para
CONSEJO
máquinas virtuales y que Windows Server 2008 Enterprise Edition (64 bits) sólo tiene cuatro.
La virtualización de los servidores

existentes
Al planear la implementación de Windows Server 2008 en un sitio particular que ha
una infraestructura de servidor de Windows, se le realiza una valoración de
¿Cuál de los servidores existentes pueden ser virtualizados, que es necesario migrar, y que
deben ser actualizados. Cuando haya determinado la necesidad de virtualizar un servidor, el
siguiente paso es mover el servidor de su hardware existente a una partición virtualizada
se ejecuta en Windows Server 2008. Se pueden utilizar dos herramientas para virtualizar un
servidor
instalado en el hardware tradicional: el Virtual Server Migration Toolkit (VSMT) y
System Center Virtual Machine Manager. Ambas herramientas son compatibles no sólo con
Hyper-V, sino también con Virtual Server 2005 R2.
VSMT es la mejor herramienta para utilizar cuando se tiene un pequeño número de servidores
que necesitan
ser virtualizados. La herramienta es la línea de comandos basada en y utiliza archivos XML
para almacenar configuraciones
ración de datos que se utiliza durante el proceso de migración. Usted no puede utilizar la
herramienta VSMT
para administrar los servidores virtualizados, que es puramente una herramienta para la
migración de los servidores existentes a una vir-
Más información sobre
MÁS INFORMACIÓN
tualized medio ambiente.
VSMT
Para obtener más información acerca de cómo se puede utilizar VSMT para virtualizar servidores, consulte el
siguiente TechNet
artículo: http://www.microsoft.com/technet/virtualserver/evaluation/vsmtfaq.mspx.
El uso de System Center Virtual Machine Manager cuando se tiene un gran número
de las máquinas virtuales para gestionar en un solo lugar. System Center Virtual Machine
Manager requiere una inversión en infraestructuras y está diseñado principalmente para
gestionar grandes implementaciones de servidores virtuales y no sólo la migración de un par de
rama de servidores de la oficina en un entorno virtual. Si usted está planeando para virtualizar
un
gran número de servidores, se encuentran la funcionalidad adicional de System Center Virtual
Máquina valiosa Manager. A diferencia del Virtual Server Migration Toolkit, el Sistema de
Center Virtual Machine Manager está totalmente integrado con Windows PowerShell, pro-
viding que con un mayor grado de flexibilidad en la migración de servidores físicos a partir de
entornos virtualizados.
Debe tener en cuenta que el despliegue del sistema Center Virtual Machine Manager requiere
una conexión a una base de datos SQL Server. System Center Virtual Machine Manager utiliza
esta base de datos para almacenar información de configuración de la máquina virtual de. Esto
debería recordar a
usted que la implementación de este producto no es para tomarse a la ligera y debe ser
hecho después de asegurar que el producto realmente resuelve el tipo de problemas que su
la organización es probable que experimente. Además de la virtualización de servidores
tradicionales ins-
ciones, puede utilizar System Center Virtual Machine Manager para:
■ Supervisar todos los servidores virtualizados en su entorno.
■ Controlar todos los hosts de Hyper-V en su entorno.
■ Cuando se conecta a un entorno SAN de canal de fibra, mover servidores virtuales
desde un host Hyper-V a otro.
■ Mover servidores virtuales y las bibliotecas.
■ Delegar permisos para que los usuarios con privilegios administrativos no son capaces de
crear y administrar sus propias máquinas virtuales.
Más sobre el sistema Center Virtual Machine Manager

MÁS INFORMACIÓN
Para obtener más información sobre el sistema Center Virtual Machine Manager, consulte el enlace de TechNet:
http://technet.microsoft.com/en-us/scvmm/default.aspx.
Administración de servidores
virtualizados
Hyper-V se gestiona a través de la consola de Hyper-V, que se muestra en la figura 5.18.
Puede utilizar esta consola para administrar las redes virtuales, editar e inspeccionar los discos,
tomar
instantáneas, volver a las instantáneas, y eliminar instantáneas, así como para editar los
ajustes de
máquinas virtuales individuales. También puede montar los discos duros virtuales como
volúmenes en el
servidor en caso de necesidad.
Instantáneas
Las instantáneas son similares a una copia de seguridad de punto en el tiempo de una máquina
virtual. El gran ben-
cio de las instantáneas es que le permite volver a una instancia anterior de una operación
sistema mucho más rápido que cualquier otra tecnología que. Por ejemplo, supongamos que
su organización cuenta con su servidor web de la intranet como una máquina virtual con Hyper-
V.
Una instantánea del servidor web de la intranet se toma todos los días. Debido a un imprevisto
problema con el sistema de gestión de contenido personalizado, la serie más reciente de
actualizaciones
al sitio de intranet se han borrado del servidor por completo. En el pasado, como un
administrador,
usted tendría que ir a las cintas de copia de seguridad y restaurar los archivos. Con Hyper-V, se
puede
simplemente volver a la instantánea anterior y todo va a estar en el estado en que estaba
cuando
se tomó la instantánea.
Figura 5-18 Consola de administración de virtualización
Concesión de
licencias
Todos los sistemas operativos que se ejecutan en un entorno virtualizado necesidad de tener
una licencia. Pro-
productos tales como Windows Server 2008 Enterprise y Datacenter permite una cierta
número de instancias virtuales que se ejecutan sin incurrir en costos adicionales de licencia por
las licencias para estas ediciones incluyen el componente de virtualización. Las aplicaciones
que se ejecutan en los servidores virtuales también necesitan licencias. Al igual que con todas
las consultas de licencias, en
situaciones más complicadas que deben consultar con su representante de Microsoft, si
no está seguro si usted está de acuerdo.
Más sobre las licencias de máquinas virtuales

MÁS INFORMACIÓN
Para obtener más información acerca de lo que usted necesita considerar cuando se licencia una
máquina virtual, consulte
http://download.microsoft.com/download/6/8/9/68964284-864d-4a6d-aed9-f2c1f8f23e14/
virtualization_brief.doc.
Modificación de la configuración de
hardware
Puede modificar la configuración de la máquina virtual. Esto le permite agregar recursos como
virtuales
discos duros y más memoria RAM, y para configurar otras opciones, como la instantánea de
archivos
Ubicación. La figura 5-19 muestra los servicios de integración de una máquina virtual
específica. Inte-
Servicios de integración permiten que la información y datos que se intercambian directamente
entre el huésped y
máquina virtual. Para funcionar, estos servicios deben ser instalados en el sistema operativo
invitado
del sistema. Esta tarea se lleva a cabo después de que el sistema operativo invitado está
configurado. Algunos ajustes,
tales como la configuración de la unidad óptica, se pueden editar, mientras que la máquina
virtual está en ejecución.
Otros ajustes, como la asignación y la eliminación de los procesadores de una máquina virtual,
requiere la máquina virtual que se desactive.
Figura 5-19 Modificar la configuración de una máquina virtual
No sólo se puede asignar los procesadores a las máquinas virtuales, pero también se puede
limitar el
cantidad de uso del procesador de una máquina virtual en particular. Esto se hace con el Virtual
Configuración de procesador se muestra en la Figura 5-20. De esta manera usted puede parar
una máquina virtual
que tiene necesidades de procesamiento relativamente alto de monopolizar el servidor es
difícil-
ware. También puede utilizar la configuración del procesador virtual para asignar un peso
relativo a un
organizado máquina virtual. En lugar de especificar un porcentaje de los recursos del sistema
de
que la máquina virtual tiene derecho, puedes usar las razones de peso de la máquina virtual
el acceso a los recursos del sistema. La ventaja de utilizar el peso relativo es que no quiere
decir que no
no tener que volver a calcular porcentajes cada vez que agregue o quite las máquinas virtuales
a partir de
una gran cantidad. Usted sólo tiene que añadir el nuevo host, asignar un peso relativo, y que
Hyper-V resolver
el porcentaje específico de los recursos del sistema que la máquina virtual tiene derecho.
Figura 5-20 Máquina virtual de asignación de procesador
Consulta Rápida
1. ¿Qué versiones de Windows Server 2008 se puede instalar el Hyper-V
papel en?
2. ¿Qué características de rendimiento indican que la existencia de Windows

Server 2008 equipo sería un mal candidato para la virtualización?

1. Puede instalar la función Hyper-V en las ediciones de 64 bits de la Norma,
Enterprise, y Datacenter de Windows Server 2008, tanto en el
estándar y los modos de servidor de núcleo.
2. Los equipos que tienen la CPU, disco duro, o la utilización de memoria RAM que los
pobres
candidatos para la virtualización.
Terminal Services RemoteApp

RemoteApp se diferencia de una sesión de Terminal Server normal en que en lugar de
conectar-
ción de una ventana que muestra el escritorio de un ordenador remoto, una aplicación que se
está ejecu-
cuted en el Terminal Server aparece como si el que se está ejecutando en el equipo local.
Por ejemplo, la Figura 5-21 muestra WordPad que se ejecutan localmente y como RemoteApp
de TS en
el mismo equipo con Windows Vista. La diferencia visible entre estos dos es que
uno no tiene las fronteras de Windows Vista y se reserva el Windows Server 2008
apariencia.
Figura 5-21 Dos instancias distintas de WordPad
Una de las ventajas de esta tecnología es que todos los recursos de la memoria, disco y
procesador
requerido por la aplicación son proporcionados por el servidor de Terminal Server de
alojamiento la aplica-
ción más que el equipo cliente. Esto permite que las aplicaciones que requieren importantes
cantidades de memoria RAM y recursos de la CPU para ejecutar con rapidez en los equipos
que no tienen
Cuando
recursosvarias aplicaciones
suficientes para unaseinstalación
invocan desde el mismo
tradicional servidor,de
y ejecución laslaaplicaciones
aplicación.
se transmiten al cliente utilizando la misma sesión. Esto significa que si usted tiene
configurado un servidor de Terminal Server para permitir un máximo de 20 sesiones

simultáneas, un usuario
tener tres diferentes aplicaciones RemoteApp abierto sólo para abrir una cuenta
sesión en lugar de tres.
RemoteApp incluye los siguientes beneficios:
■ Más fácil de implementar las actualizaciones de la aplicación. Las actualizaciones sólo se
deben aplicar en el
Terminal Server en lugar de tener que implementar en los equipos cliente.
■ Aplicación más sencilla vía de actualización. Al igual que con la aplicación de cambios, es
sólo
necesario actualizar la aplicación en el servidor de Terminal Server a una nueva versión.
El equipo cliente no tiene que ser actualizado.
Puede utilizar tres métodos para implementar un RemoteApp de TS para los clientes de su
organización:
■ Crear un archivo de acceso directo RDP y distribuir este archivo a los equipos cliente.
Usted puede hacer
esto colocando el atajo de RDP en una carpeta compartida.
■ Crear y distribuir un paquete de Windows Installer. El despliegue de Win-
paquetes de instalador de ventanas estaba cubierto en la lección 2, "la implementación de
aplicaciones",
en el Capítulo 4, "servidores de aplicaciones y servicios."
■ Lograr que los clientes se conectan al sitio Web de TS Web Access y el lanzamiento del
RemoteApp
aplicación de un enlace en la página.
El principal inconveniente de utilizar TS Web Access para implementar aplicaciones de
RemoteApp es
que el Acceso web de TS sitio web debe ser desplegado en el Terminal Server que aloja el
solicitud de que el sitio Web proporciona la conexión a. Aunque esto funciona bien
cuando un solo servidor se utiliza para implementar de forma remota las aplicaciones, no es
compatible
con las granjas de Terminal Server administrado por el Agente de sesión de TS. Al igual que
con completo control remoto
sesiones de escritorio, TS Web Access se adapta mejor a un solo despliegue de Terminal
Server
RemoteApp usuarios todavía tienen que ser miembros del grupo de usuarios de
en lugar de
Terminal grupos
Server. Si de servidores
usted está en de terminalesendelacarga
la situación equilibrada.
que se RemoteApps
desplegado desde un equipo que también funciona como un controlador de dominio, se le
necesidad de modificar el Registro Permitir a través de Terminal Services para habilitar la
política remoto
El acceso de la aplicación.
Para calcular la huella de la memoria de una aplicación de RemoteApp en un Terminal Server,
examinar el Administrador de tareas y localizar un usuario con un RemoteApp abierto. Como se
muestra en
Figura 5.22, usted será capaz de ver la cantidad de memoria de la aplicación específica es
utilizando, así como la cantidad de memoria de los procesos relacionados con RemoteApp son
utilizando. Multiplicando el consumo de memoria de aplicaciones por el número de usuarios

debe dar una buena estimación de la memoria RAM necesaria para RemoteApp. Recuerde que
sólo
para utilizar este número como una estimación de sólo el control de la Terminal Server le
permiten
para determinar la capacidad real del servidor en el entorno de la empresa.
Figura 5-22 Evaluar las necesidades de una aplicación de RemoteApp de la memoria
Profundizar en el TS RemoteApp
MÁS INFORMACIÓN
Para obtener más información acerca de RemoteApp de TS, consulte

http://technet2.microsoft.com/windowsserver2008/en/library/
57995ee7-E204-45a4-BCEE-5d1f4a51a09f1033.mspx? Referencia del fabricante = true.
Microsoft Application Virtualization

Hyper-V crea un espacio separado con particiones para un sistema operativo completo y
cualquier
aplicaciones y servicios que la alberga. La virtualización de aplicaciones va más allá de
este. En lugar de crear un espacio separado con particiones para el sistema operativo
completo, que
crea un espacio separado con particiones para una aplicación específica. Esta tecnología es
llamado Microsoft Application Virtualization, antes SoftGrid, un producto adicional
que usted puede comprar e instalar en un equipo con Windows Server 2008.
A pesar de la perspectiva de los clientes de virtualización de aplicaciones de Microsoft podría
parecer superficialmente similares a RemoteApp, los dos de implementación de aplicaciones
tecno-
estrategias son muy diferentes. La principal diferencia es que una aplicación virtualizada
ejecuta en el equipo cliente. Lo hace en un espacio virtualizado especial llamado silo
que la separa de las aplicaciones ejecutadas localmente. RemoteApp tiene la aplicación

se ejecutan en el servidor de Terminal Server de host y utiliza la tecnología de escritorio remoto
para mostrar
la aplicación en el equipo local.
Servicios de Terminal Server y Microsoft Application Virtualization

MÁS INFORMACIÓN
Para obtener más información acerca de cómo Microsoft Application Virtualization trabaja con Terminal Services,
consulte
http://www.microsoft.com/systemcenter/softgrid/evaluation/softgrid-ts.mspx.
Microsoft Application Virtualization también difiere de la ejecución de un programa de una red

de
compartir el trabajo, ya que las corrientes a través de la red sólo las partes de la aplicación que
en realidad están siendo utilizados por el cliente. Dado que la aplicación se virtualiza en un silo,
Microsoft Application Virtualization le permite hacer lo siguiente:
■ Desplegar múltiples versiones de la misma aplicación desde el mismo servidor. Incluso es
posible ejecutar múltiples versiones de la misma aplicación en un cliente local como el
silos, asegurando que las dos aplicaciones no entren en conflicto. Esto es especialmente
útil
en entornos de desarrollo de aplicaciones en diferentes versiones de la misma
aplicación deben ser probados de manera simultánea.
■ Implementar aplicaciones que normalmente entrarían en conflicto unos con otros de la
misma
servidor. Al implementar aplicaciones utilizando RemoteApp, sólo se puede instalar
aplicaciones que no están en conflicto unas con otras en el mismo servidor de Terminal
■ Server.
Implementar aplicaciones que no son compatibles con Terminal Server. A causa de
conflictos con la arquitectura de servidor de Terminal Server, no todas las aplicaciones
que trabajan con
Terminal Server. Microsoft Application Virtualization permite que estas aplicaciones
que se implementa en los clientes de una manera similar a la de Terminal Server.
Microsoft Application Virtualization TechCenter

MÁS INFORMACIÓN
Usted puede aprender más acerca de Microsoft Application Virtualization y cómo usted puede planear para el
despliegue de esta tecnología en su entorno en http://technet.microsoft.com/en-us/softgrid/
default.aspx.
Práctica: Configuración e implementación de RemoteApp

En este conjunto de ejercicios, que va a utilizar dos métodos diferentes para implementar
aplicaciones mediante
RemoteApp a los clientes de la red. La primera será la de configurar un acceso directo y RDP
colocarlo en una carpeta compartida accesible a los clientes. El segundo método será el de
establecer un TS
Web Access y abra la aplicación implementada utilizando su enlace en el TS Web Access
Web site. Estos ejercicios requieren que el equipo cliente se ejecuta cualquiera de Melbourne
Windows Vista o Windows XP si se está utilizando, que instale la versión 6.0 RDC.
NOTA La obtención de RDC 6.0

Puede obtener la versión RDC 6.0 para Windows Server 2003 o Windows XP desde el siguiente sitio:
http://support.microsoft.com/?kbid=925876 .
Ejercicio 1: Implementación de WordPad con RemoteApp y un acceso directo RDP

En este ejercicio, va a configurar RemoteApp de TS para que los clientes pueden ejecutar
WordPad
sin el acompañamiento de escritorio remoto desde un acceso directo RDP ubicado en una
compartida
carpeta. Para completar
1. Asegúrese este
de que está ejercicio,al
conectado realice los de
servidor siguientes
Glasgowpasos:
con el usuario Kim_Akers
cuenta.
2. Haga clic en Inicio, haga clic en Herramientas administrativas, haga clic en la carpeta de
Servicios de Terminal Server y
a continuación, en Administrador de RemoteApp de TS. En el cuadro de diálogo User
Account Control,
En el clic
3. haga panelen Acciones
Continuar.del
LaAdministrador de RemoteApp
consola de Administrador de de TS consola
RemoteApp de(Figura 5-23), haga
TS se abrirá.
clic en
Agregar programas RemoteApp. Esto abrirá el Asistente para RemoteApp.
Figura 5-23 El Administrador de RemoteApp de TS consola

4. En la página Asistente para RemoteApp bienvenida, haga clic en

Siguiente.
5. En los Programas de optar por añadir a la página de lista Programas RemoteApp,
seleccione
WordPad, como se muestra en la figura 5.24. Haga clic en Siguiente.
Figura 5-24 Agregar un programa a la lista de programas RemoteApp de TS
6. En la página Revisar la configuración, haga clic en

Finalizar.
7. Crear una carpeta compartida llamada RemoteAppDist en el volumen C.
8. En la consola de TS RemoteApp Manager, haga clic en WordPad y haga clic en Crear
. RDP de archivos en el panel Acciones. Esto abrirá el Asistente para RemoteApp. Clic
Siguiente en la página de bienvenida.
9. En el paquete Especificar la configuración de página que se muestra en la figura 5.25,

especifique la ubicación
de la carpeta compartida que creó en el paso 7 y haga clic en Siguiente.
10. En la página Revisar la configuración, haga clic en
Finalizar.
11. Inicie sesión en el equipo cliente utilizando el usuario sam_abolrous@contoso.internal
cuenta.
12. Abra la carpeta compartida \ \ glasgow \ RemoteAppDist y haga doble clic en el

WordPad de escritorio remoto elemento de conexión.
13. En el cuadro Escriba su cuadro de diálogo Credenciales, escriba la contraseña de la

sam_abolrous
cuenta de usuario.
14. En la tiene confianza en el equipo que se está conectando el cuadro de diálogo, revisión
los valores predeterminados y haga clic en Sí. El WordPad RemoteApp ahora se inicia.
Figura 5-25 RemoteApp de distribución de acceso directo
15. Verifique que el WordPad RemoteApp funciona correctamente al guardar un documento

que contienen las palabras El veloz murciélago hindú saltó sobre el perro perezoso al
escritorio del equipo cliente.
16. Cierre la aplicación de RemoteApp.

Ejercicio 2: Implementación de Microsoft Paint con RemoteApp y Terminal de Acceso de Servicios Web
En este ejercicio, va a configurar Microsoft Paint como un acceso directo a la aplicación
disponible en
los Programas RemoteApp página de Acceso web de Terminal Services.
NOTA Los paquetes de servicio necesarios

Este ejercicio requiere de Windows Vista Service Pack 1 o Windows XP Service Pack 3 para ser
instalado en el funcionamiento de equipo como el cliente. Para más información sobre el software
necesario el uso de TS Web Access con RemoteApp de TS, consulte http://go.microsoft.com/fwlink/
? LinkID = 56287.

cuenta.
2. Haga clic en Inicio, haga clic en Herramientas administrativas, haga clic en la carpeta de
Servicios de Terminal Server y
a continuación, en Administrador de RemoteApp de TS. En el cuadro de diálogo User
Account Control,
haga clic en Continuar. La consola de Administrador de RemoteApp de TS se abrirá.
3. En el panel Acciones de la consola TS RemoteApp Manager, haga clic en Agregar a

distancia-
La aplicación de programas. Esto abrirá el Asistente para RemoteApp.
4. En la página Asistente para RemoteApp bienvenida, haga clic en
Siguiente.
5. En los Programas de optar por añadir a la página de lista Programas RemoteApp,
seleccione
Pintura, haga clic en Siguiente y haga clic en Finalizar en la página Revisar la configuración.
6. Inicie sesión en el equipo cliente como sam_abolrous@contoso.internal y abrir la
Sitio web http://glasgow.contoso.internal/ts. Cuando se le pida las credenciales,
autenticación mediante la cuenta de usuario sam_abolrous@contoso.internal. Esto
que aparezca el Acceso web de TS RemoteApp Programas página Web se muestra en la
Figura 5-26.
Figura 5-26 RemoteApp disponibles a través de TS Web Access programas
7. En la web de TS RemoteApp Acceso a la página web de los programas, haga

clic en Paint.
8. Revisión de la advertencia que aparece en la figura 5.27. Compruebe que la cuenta de
usuario correcto es
se utiliza para la autenticación y que el equipo remoto es glasgow.con-
toso.internal. Haga clic en Conectar.
9. Utilizando las herramientas de Microsoft Paint, crear una imagen con la aplicación
RemoteApp
ción y luego guardarlo en el equipo local.
10. Cierre la aplicación y luego cerrar la sesión en el equipo cliente.
11. Sesión en el servidor de Glasgow.
Figura 5-27 TS Web Access RemoteApp de alerta
■ Hyper-V es una función adicional para versiones de 64 bits de Windows Server 2008 que
puede utilizar para alojar y administrar sistemas operativos virtualizados.
■ Las instantáneas permiten el estado de un servidor para ser tomada en un momento en el
tiempo, como antes
para el despliegue de una actualización, para que el servidor se puede revertir a ese
estado
■ en algún
Los momento
mejores en el para
candidatos futuro.
la virtualización de servidores que no hacen uso intensivo de
pro-
procesador, RAM y recursos de disco.
■ El Virtual Server Migration Toolkit proporciona herramientas que puede usar para
virtualizar
los servidores existentes. El kit de herramientas utiliza archivos basados en XML para
ayudar en la transición de la
tradicional a una instalación virtualizada. Utilice esta opción si usted tiene un pequeño nú-
■ número Center
System de servidores
Virtual existentes para virtualizar.
Machine Manager permite gestionar muchos virtuales
máquinas a la vez. Incluye herramientas que le permiten mover las máquinas virtuales
entre los ejércitos, permitir que usuarios sin privilegios para crear y administrar sus
propias vir-
máquinas intelectual, y llevar a cabo virtualizaciones mayor parte de los servidores
instalados en la tradi-
hardware adicionales. Sólo el uso del sistema Center Virtual Machine Manager, con
grandes
despliegues de máquinas virtuales.
■ RemoteApp de TS permite a las aplicaciones de Terminal Server que se presentará

directamente a un
cliente de escritorio sin necesidad de que un terminal normal de la sesión de Servicios se
establecida.
■ Microsoft Application Virtualization permite a las aplicaciones que se virtualizados. Este
tiene la ventaja de permitir que las aplicaciones que puedan entrar en conflicto unos con
otros para
pueden ejecutar simultáneamente. Microsoft Application Virtualization se diferencia de la
Terminal
Servicios en que las aplicaciones se ejecutan en el cliente en lugar de en el servidor.
en
Lección 2, "Server y Application Virtualization." Las preguntas también están disponibles
NOTA Respuestas
1. ¿Cuál de los siguientes escenarios ofrece el caso más convincente para el

despliegue previsto de sistema Center Virtual Machine Manager 2007?
A. Es necesario para virtualizar cuatro computadoras Windows Server

2000.
B. ¿Quieres ser capaz de mover servidores virtuales entre los hosts de su
SAN Fibre Channel.
C. Usted es responsable de la gestión de 10 virtualizados Windows Server 2008

servidores en su ubicación central.
D. Usted necesita para automatizar el despliegue de cinco Windows Server 2008 Enter-
computadoras premio Edition con la función Hyper-V instalado.
2. ¿Cuál de las siguientes plataformas se pueden instalar Hyper-V en?

A. Una instalación Server Core de la versión x64 de Windows Server 2008
Enterprise Edition
B. Una instalación Server Core de la versión x86 de Windows Server 2008 Data-
Center Edition
C. Una instalación estándar de la versión x86 de Windows Server 2008 Enter-

premio Edition
D. Una instalación estándar de la versión x86 de Windows Server 2008 Data-

Center Edition
3. ¿Cuál de los siguientes métodos puede utilizar para implementar un RemoteApp de TS

aplica-
ción a los usuarios de su organización? (Cada respuesta correcta se presenta una completa
solución. Elija todas las que apliquen.)
A. Añadir a favoritos de TS Web Access despliega a través de Directiva de
grupo.
B. El paquete de Windows Installer despliega a través de Directiva de
grupo.
C. RDP de acceso directo en una carpeta accesible
compartido.
D. Instalar la aplicación en una carpeta accesible compartido.
4. Usted trabaja como administrador de sistemas para una empresa de desarrollo de software.
Dur-
Durante la fase de desarrollo de aplicaciones es necesario instalar varias versiones
del mismo software del servidor de Terminal Server mismo. Cuando intenta instalar
las aplicaciones en paralelo que provoca un conflicto. ¿Cuál de las siguientes soluciones
que va a utilizar?
A. Implementar las aplicaciones utilizando el TS
RemoteApp.
B. Implementar un servidor de puerta de
enlace de TS.
C. Implementar Microsoft Application Virtualization.
D. Implementar las aplicaciones con acceso web de TS.
5. Los clientes de Windows XP en su organización no se puede conectar con el
TS Web Access página web a las aplicaciones de RemoteApp. Los clientes de Windows
Vista son
capaz de conectar sin ningún problema. ¿Cuál de los siguientes pasos que debe
tomar para resolver este problema?
A. Instalar Internet Explorer 6.0 en los clientes Windows XP.
B. Desactive el firewall de Windows XP.
C. Actualizar los equipos con Windows XP a Service Pack 3.
D. Instalar Windows Defender en los clientes de Windows XP.
Capítulo 5 Examen 315


real involv-
práctica.

■ Los servidores que no cuentan con una gran superficie de hardware pueden ser
virtualizados y alojados
en un servidor Windows 2008 de 64 bits ejecutando la función Hyper-V.
■ System Center Virtual Machine Manager se deben implementar cuando un adminis-
trador debe gestionar un gran número de máquinas virtuales.
■ Terminal Servers requieren cantidades importantes de memoria RAM y capacidad de la
CPU si
son para organizar varias sesiones de cliente.
■ TS servidores de licencias debe ser activado antes de que puedan tener por dispositivo de
TS y TS
Por usuario-CAL instalado.
■ RemoteApp de TS permite que sólo la aplicación, en lugar de la distancia total de
escritorio
superior, que se muestra en el cliente de Terminal Services.
■ TS Servidores de Gateway permite a los clientes a través de Internet para conectarse a
proteger Termi-
nal servidores sin necesidad de la configuración de una VPN.
■ Broker de sesión de TS permite la creación de granjas de Terminal Server y asegura que
los clientes están conectados a la sesión de corregir si se desconectan.
■ Microsoft Application Virtualization permite a las aplicaciones que no podrían de otro
sabio se instala en un servidor de Terminal Server, o coexistir en un Terminal Server, para
ser
transmite a los clientes. Esto se logra a través de la virtualización de aplicaciones.
Términos clave
316 Capítulo 5 Examen
■ Hyper-V
■ Silo
■ SoftGrid
■ Virtualizados
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de la Terminal
Servicios y aplicaciones y virtualización de servidores. Usted puede encontrar respuestas a
estas preguntas
ciones en las "respuestas" al final de este libro.
Caso Escenario 1: Consolidación de servidores Juguetes

TailspinTailspin Toys tiene un despliegue de envejecimiento de los equipos que ejecutan Windows
2000 Server.
La administración ha decidido hacer la transición a una infraestructura de Windows Server
2008. Uno
objetivo del proyecto de transición es el de reducir el número de servidores físicos y retirarse a
todo el hardware de servidor existente, que ahora es más de cinco años de edad. Usted ha sido
trajo como consultor para ayudar en el desarrollo de los planes de consolidación de servidores
ción en una oficina sucursal Tailspin Toys. Cada sitio tiene un conjunto único de necesidades y
aplicaciones
ciones. Lasrecibe
1. El sitio características de cada
actualmente sitio son las
un Wangaratta siguientes:
Windows 2000 controlador de dominio que
También acoge los servicios DHCP y DNS. Un equipo hosts de Windows 2000
una base de datos de SQL Server 2000 y otros dos servidores, cada uno de los que la
costumbre de acogida
aplicaciones de negocio. Estas aplicaciones no pueden ser localizados con los demás
o con la base de datos de SQL Server 2000. ¿Cómo podría reducir el número de
servidores físicos utilizando la virtualización y lo que la configuración de estos
servidores que?
2. El sitio recibe actualmente Yarragon seis servidores de terminales, cada una de ellas
alberga una
aplicaciones de negocio separadas. Una de estas aplicaciones utiliza un SQL Server 2005
base de datos. Estas aplicaciones no pueden ser localizados, sin causar problemas en
los servidores Terminal Server de host. Debido a que el sitio Yarragon tiene sólo un
pequeño número de
los usuarios, los recursos de hardware de los servidores Terminal Server están
subutilizadas. Cómo
se puede minimizar el número de servidores de terminales necesarios para apoyar al
personal
en el lugar de Yarragon?
Caso Escenario 2: Planificación de una estrategia de Servicios de

Terminal
para Wingtip Toys
Usted está planeando la implementación de Terminal Services para la compañía de juguetes
Wingtip.
Wingtip Toys tiene una oficina en cada estado de Australia. Debido a la descentralización
naturaleza de la organización Wingtip Toys, cada oficina estatal tiene su propio dominio en el
Bosque Wingtiptoys.internal. Todos los clientes de la organización está usando Windows Vista
sin ningún Service Pack aplicado. Teniendo esto en cuenta, ¿cómo va a
resolver los problemas de diseño siguientes?
1. Cada oficina del estado debe ser responsable de la adquisición y gestión de TS

CAL. ¿Qué planes deben hacerse para la implementación de servidor de licencias TS?
2. El servidor de Terminal Server en la oficina de Queensland está llegando a su capacidad y

no puede ser
Mejoras posteriores. ¿Cómo se puede seguir a los clientes de servicios en el Queensland
oficina y garantizar que las sesiones se interrumpen a conectar?
3. ¿Qué medidas deben tomarse para asegurar que los clientes de Windows Vista pueden
acceder a
Aplicaciones a través de RemoteApp de TS Web Access?
com-
Aplicaciones de la provisión
■ Usando
Práctica 1: Crear un paquete de Windows Installer el TSelRemoteApp
para Bloc de notas
Manager, cree un paquete de Windows Installer para la aplicación Bloc de notas.
■ Instalación
Práctica 2: Instalar y activar el servidor de la Licencia
de licencias TS de TS función de servidor de
servicio en el equipo de Glasgow. Activar el ordenador mediante la página Web
método con otro ordenador que esté conectado a Internet.
Servidores del Plan de aplicaciones y servicios

■ Obtener
Práctica 1: Instalación una versión de evaluación de 64 bits de Windows Server
de Hyper-V
2008 del sitio Web de Microsoft. Instalar este sistema operativo en un ordenador
con un procesador de 64 bits. Configurar el servidor como un equipo independiente y no

unirse a un dominio. Descargar e instalar Hyper-V desde el sitio Web de Microsoft.
NOTA La obtención de software de evaluación

Usted será capaz de obtener el software y necesariamente de http://www.microsoft.com/
WindowsServer2008.
■ Después
Práctica 2: Virtualización de Windows de 2008
Server configurar Windows Server
2008 con la función Hyper-V, instalar la versión Server Core de Windows Server
2008 como una máquina virtual infantil en el ordenador.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Para obtener más información acerca de todas las opciones de la práctica de prueba disponibles, consulte "Cómo
utilizar las pruebas de la práctica" en este
Introducción del libro.
Capítulo 6
Archivo y servidores de
impresión
Este capítulo examina el servidor de archivos y funciones de servidor de impresión del servidor
y describe cómo
usted puede planear para cumplir con la impresión de su organización, almacenamiento de
archivos y seguridad de acceso
las necesidades. También se explica cómo a la provisión de datos de la organización al
compartir recursos,
configurar el acceso en línea, diseño e implementación de una estructura de la réplica, con-
calcular la indexación,
Los objetivos y la planificación
del examen de la disponibilidad de datos.
en este capítulo:
■ Plan de archivo y las funciones de
■
servidor de impresión.
De suministro de
datos.
■ Lección 1: Gestión de archivos y servidores de impresión. . . . . . . . . . . . . . . . . . . . . . . . . . .
■
. . 321
Lección 2: Aprovisionamiento de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
360
Antes de empezar
■ Windows Server 2008 instalado y configurado su equipo de prueba como un dominio con-
También se necesita un equipo cliente con Windows Vista Business, Enterprise o
Última que es un miembro del dominio Contoso.internal. Esto puede ser una sepa-
equipo tasa o una máquina virtual instalada en el mismo equipo que el DC.
Mundo Real
Ian McLean
En julio de 1993, Microsoft introdujo el New Technology File System (NTFS).

Si se le puede llamar "nuevo" es discutible, pero fue un notable desarrollo
ción en su momento. Las carpetas y archivos ahora pueden ser protegidos de interactivos,
así
como usuarios de la red, y la protección podría ser implementado a nivel de archivo en
lugar de
319
320 Capítulo 6 Archivo y servidores de impresión
carpeta de nivel superior. No voy a entrar en la evolución de muchas otras que NTFS
habilitado
esta historia no es un libro, pero sé que he perdido datos en discos NTFS mucho menos
mayoría de las veces en discos FAT.
Sin embargo, NTFS, no fue una buena noticia pura, sobre todo para una red de ingeniería
Neer (yo) que estaba estudiando para su primer MCSE en el momento. NTFS introdujo un
nivel de complejidad en el cálculo de los permisos de usuario que casi garantizado ejem-
minación falta a los que no podía entender cómo funcionan los permisos inter-
actuado, sobre todo cuando el viejo no permiso de acceso fue reemplazado por el más
Denegar granular.
Software fue desarrollado para determinar los permisos de usuario resultante, pero
no puede tener esto en la sala de examen. Mi solución fue mucho más simple. Dibujé
tres cajas rectangulares uno junto al otro. Me marcó la derecha de la caja "Archivo",
el cuadro central "Carpeta", y la caja de la izquierda "Compartir".
Entonces escribí en los permisos NTFS un usuario tenía en un archivo y los permisos
el mismo usuario había en la carpeta que contiene el archivo. Archivo anula carpeta. Así
Yo tenía mi resultante permisos NTFS. Si un usuario se registra en el nivel local, que se
sus permisos de la carpeta. Escribí el permiso de carpeta compartida en la
Compartir caja. Si un usuario se acceder de forma remota, me tomé la más restrictiva
entre los
compartir y NTFS resultante. Yo había trabajado con el permiso del usuario.
He utilizado esta técnica en los exámenes y en mi profesión. Cuando me convertí en un

MCT I
se lo enseñó a mis alumnos, y las pizarras floreció con cajas rectangulares
en todo el país. Es una técnica sencilla. Algunos incluso lo han llamado tonto.
Funciona. Haga la
prueba.
321
Lección 1: Gestión de archivos y servidores de impresión
Lección 1: Gestión de archivos y servidores de

impresión
En cuanto a los usuarios de la organización se refiere, dos de las principales funciones que
requieren de una red de ordenadores son la capacidad de crear archivos y guardarlos en
pueden ser fácilmente recuperados y la capacidad de imprimir archivos de manera fácil y sin
problemas.
Desde su punto de vista, es necesario asegurarse de que los usuarios no pueden leer los
archivos confidenciales
a menos que se les permite. Es necesario para controlar el uso que los usuarios no pueden
tapar la red de
trabajar con un gran número de archivos de gran tamaño. Es necesario para publicar
impresoras para que los usuarios
puede imprimir en ellos, mientras que al mismo tiempo, controlar el uso de la impresión de cara
activos. Esta lección mira a los servicios de impresión y servicios de archivos funciones de
servidor y cómo
Después las
configurar de esta lección,
cuotas usted será
y publicar capaz de:
impresoras.
■ Utilice la herramienta de compartir y de gestión de almacenamiento a las carpetas compartidas y
la prestación de disco
de almacenamiento.
■ Plan de los servicios de función que usted necesita para agregar a la función de servidor
■
de archivos Servicios.
Instalar la función Servicios de impresión y servidor de instalar y administrar las impresoras y los
■
controladores de impresión.
Configurar las cuotas y plantillas de cuota.
■ Acceder a las herramientas que le permiten configurar los filtros de archivos e informes de
almacenamiento.
La planificación de la función de servidor

Servicios
Unde archivo
servidor de archivos proporciona una ubicación central de la red donde los usuarios pueden
almacenar archivos y compartirlos
con otros usuarios en la red. Si un usuario necesita un archivo que se suele acceder
por muchos usuarios, como un documento de política de la empresa, debe ser capaz de
acceder a la
archivo de forma remota. A los efectos de la administración centralizada, backup y restauración,
y
la aplicación de las instantáneas, que necesita para almacenar los archivos de usuario en un
servidor de archivos
en lugar deun
Configurar enservidor
equiposWindows
individuales, aunque
Server 2008normalmente
como servidorlosdeusuarios
archivostambién deben
mediante tener la
la adición del
facilidadde
archivo deSer-
trabajar con sus archivos en línea.
vicios papel. Esta función se compone de una serie de servicios de función. El servidor de
archivos función de servicio
se instala por defecto. La Figura 6-1 muestra los servicios de función se puede instalar como
parte de la
Como parte de su proceso de planificación tiene que decidir cuál es el papel que requieren
Servicios de archivo función de servidor.
servicios
y cómo se debe configurar. La tentación es instalar todo lo justo
caso de necesidad. Resistir a esta tentación. Los servicios que más se instala en un servidor
más presión pones sobre los recursos limitados, y mayor es el de la huella para el ataque.
Figura 6-1 Servicios papel proporcionado por el papel de servidor de archivos

Servicios
El papel de servicios de función de servidor proporciona los servicios de
función siguientes:
■ Compartir y gestión del almacenamiento (proporcionada por los
■
servicios de archivo)
Sistema de archivos distribuido (DFS)
■ Servidor de archivos de Resource Manager
■
(FSRM)
Servicios para Network File System (NFS)
■ Servicio de búsqueda de
■
Windows
Windows Server 2003 Servicios de archivo
NOTA Las características opcionales

A menudo, la copia de seguridad de Windows Server, el Administrador de almacenamiento para redes de área de
almacenamiento (SAN), de conmutación por error
Agrupación, y de múltiples entradas / salidas (I / O) características se instalan al mismo tiempo, como el papel
servicios prestados por el papel de servidor de archivos Servicios. Capítulo 12, "Copia de seguridad y
recuperación", y
Capítulo 10, "Servicios de Certificate Server y Storage," hablar de estas características.
323
Acciones para el Manejo y Almacenamiento

Compartir y gestión de almacenamiento se instala por defecto con el servicio de función de
servidor de archivos.
Usted puede acceder al recurso compartido y la consola de administración de almacenamiento
a través de Administrador de servidores o
directamente desde Herramientas administrativas. Utiliza el bloque de Microsoft Message
Service (SMB)
2,0 protocolo para compartir el contenido de las carpetas y para administrar las carpetas
compartidas. Figura 6-2
muestra las carpetas compartidas en el servidor de Glasgow. Su servidor puede tener más
acciones si se crea cuando se estaban experimentando con la red.
Figura 6-2 Las carpetas compartidas en el servidor de

Glasgow
Microsoft protocolo SMB

MÁS INFORMACIÓN
Si desea obtener más información sobre este protocolo, a veces conocido como el Archivo de Internet comunes
System (CIFS), consulte http://msdn2.microsoft.com/en-us/library/aa365233.aspx. Sin embargo, el
70-646 examen es poco probable que le haga preguntas detalladas acerca de este protocolo.
Usted puede manejar los volúmenes y discos mediante el compartir y la herramienta de

administración de almacenamiento.
La Figura 6-3 muestra esta herramienta se accede desde Herramientas administrativas en lugar
de desde el servidor
Manager. Una vez más, los volúmenes en el servidor de Glasgow pueden diferir de los que se
muestran
en la figura.
Figura 6-3 La gestión de volúmenes
Si accede a Compartir y gestión de almacenamiento de Administrador de servidores, puede

acceder a la
Consola Administración de discos muestra en la Figura 6.4. Los discos de su servidor de
Glasgow
otra vez puede ser diferente de los que se muestran en la figura.
Figura 6-4 Administración de discos

325
Puede compartir el contenido de las carpetas y volúmenes en un servidor Windows Server

2008
través de la red utilizando el Asistente para aprovisionar carpetas compartidas, que se puede
acceder
desde el panel de acciones en la proporción y la consola de administración de almacenamiento.
Figura 6-5
muestra de este asistente, que le guía a través de los pasos necesarios para compartir una
carpeta o
volumen y configurar sus propiedades.
Figura 6-5 El Asistente para aprovisionar carpetas

compartidas
Puede utilizar el Asistente para aprovisionar carpetas compartidas para hacer lo
siguiente:
■ Especificar una carpeta o volumen de compartir, o crear una nueva carpeta
■
para compartir.
Especificar el protocolo de compartición de red utilizada para acceder al recurso
■
compartido.
Cambiar el local de los permisos NTFS de la carpeta o volumen que está compartiendo.
■ Configure los permisos de acceso compartido, límites de usuario y acceso en línea a los
archivos en
el recurso compartido.
■ Publicar el recurso compartido para un sistema de archivos distribuido (DFS) de
espacio de nombres.
Si ha instalado los Servicios para Network File System (NFS) el servicio de función, puede
especificar NFS basado en los permisos de acceso para el recurso compartido. Si ha instalado
el servidor de archivos Administrador de recursos del servicio de función, puede aplicar las
cuotas de almacenamiento para la
nuevo recurso compartido y limitar el tipo de archivos que pueden almacenarse en él.
Usted puede utilizar Compartir y gestión de almacenamiento para dejar de compartir un recurso
seleccionándolo
en la ficha Shares (mostrado anteriormente en la Figura 6-2) y recursos compartidos haciendo
clic en Detener en el
Del panel de acciones. Si una carpeta o volumen compartido para el acceso tanto por el SMB y
NFS el
protocolos, es necesario dejar de compartir de forma individual para cada protocolo. Antes de
dejar de
compartir una carpeta o volumen que necesita para asegurarse de que no está en uso
mediante el uso utilizar
También puede de la Administración
Compartir y gestión de almacenamiento para ver y modificar las
Administrar
propiedades delas funciones de las sesiones y archivos abiertos de participación y de gestión de
almacenamiento. Estos
una carpeta compartida o en volumen, incluidas las locales y los permisos NTFS de la red
características
permisos se describen
de acceso para esemás adelante
recurso en esta Para
compartido. sección.
hacer esto de nuevo, seleccione el
compartir
de recursos en la ficha Acciones y seleccione Propiedades en el panel Acciones. La figura 6-6
muestra
el cuadro de diálogo Propiedades de la carpeta pública de acciones. La ficha Permisos permite
espec-
ify permisos de recurso compartido y NTFS. Al hacer clic en Avanzado le permite configurar los
límites de los usuarios y
almacenamiento en caché y habilitar o deshabilitar el acceso basado en la enumeración (ABE).
ABE está habilitado
por defecto y permite ocultar archivos y carpetas de los usuarios que no tienen acceso a ellos.
Figura 6-6 Comparten propiedades

327
NOTA Acciones administrativas

No se puede modificar los permisos de acceso de las carpetas o volúmenes compartidos de administración
propósitos, tales como C $ y ADMIN $.
Si desea ver y cerrar las sesiones abiertas y abrir los archivos, por ejemplo, si usted
la intención de dejar de compartir un recurso, puede hacer clic en Administrar sesiones y
administrar
Expedientes abiertos en la proporción y el panel de almacenamiento Administración de
acciones. Las figuras 6-7 y 6-8
mostrar los cuadros de diálogo resultante.
Figura 6-7 El cuadro de diálogo Gestión de Sesiones
Compartir y gestión de almacenamiento le permite aprovisionar almacenamiento en discos en

su
Windows Server 2008 Server o en los subsistemas de almacenamiento que soporte de disco
virtual
Service (VDS). El Asistente para aprovisionar almacenamiento le guiará en el proceso de cre-
ating un volumen de un disco o en un subsistema de almacenamiento (por ejemplo, una SAN)
conectados a un servidor. Si crea un volumen en un subsistema de almacenamiento, el
asistente
le permite crear un número de unidades lógicas (LUN) para albergar ese volumen. También
puede
utilizar el asistente para crear una LUN, y utilizar la consola Administración de discos (que se
muestra pre-
riormente en la Figura 6-4) para crear el volumen más adelante. Capítulo 12 discute LUN y
sistemas de almacenamiento con más detalle.
Figura 6-8 La Gestión de cuadro de diálogo Abrir Archivos
NOTA Aprovisionamiento de
almacenamiento
Puede ejecutar el Asistente para aprovisionar almacenamiento sólo si su servidor se puede acceder a los discos con
los asignados
subsistemas de almacenamiento con espacio o de almacenamiento disponible para que un proveedor de hardware de
VDS se ha instalado.
Además, sólo se puede crear un volumen en un disco que está en línea.
Siempre y cuando tenga el disco o los recursos del subsistema de almacenamiento, las dispo-
sión de almacenamiento asistente puede realizar las siguientes funciones:
■ Elija el disco en el que se crea el volumen.

■ Especificar el tamaño del
■
volumen.
Asignar una letra de unidad o un punto de
■
montaje.
Formatear el volumen. (También puede hacerlo desde la consola Administración de
discos.)
Usted puede utilizar Compartir y gestión de almacenamiento para controlar y gestionar los
volúmenes de su
servidor. La herramienta le permite realizar las siguientes operaciones:
■ Ampliar el tamaño de un volumen.
■ Formato a un volumen.
329
■ Eliminación de un
■
volumen.
Cambiar las propiedades de volumen, incluyendo la compresión, la seguridad, la
disponibilidad en línea, y
indexación.
■ Acceder a las herramientas de disco para la comprobación de errores,
desfragmentación y copia de seguridad.
LUN
Un LUN se refiere a una parte de un subsistema de almacenamiento. Un LUN puede
incluir un disco, un
sección de un disco, un conjunto de discos enteros, o una sección de una matriz de
discos. LUN simplificar
gestión de almacenamiento, proporcionando identificadores lógicos que se pueden
asignar privilegios de acceso y control.
Puede utilizar el Asistente para aprovisionar almacenamiento en Compartir y gestión de
almacenamiento para
crear LUNs de canal de fibra y iSCSI subsistemas de la unidad de disco conectada al
su servidor. A continuación, puede asignar el LUN a su servidor o con otros servidores de
de la red. Al crear el LUN, también puede crear un volumen en que LUN
y formato. Como alternativa, puede crear el LUN primero y después el volumen.
Si desea crear un LUN en un subsistema de almacenamiento en disco, es necesario
asegurarse de que
todos los siguientes requisitos:
■ El subsistema de almacenamiento compatible
■
con VDS.
El proveedor de hardware de VDS para el subsistema de almacenamiento está
instalado en el
servidor.
■ Espacio de almacenamiento disponible en el
■
subsistema.
El subsistema de almacenamiento está conectado directamente al servidor o sea
accesible a través
de la red.
Si desea asignar un LUN a un servidor o clúster que no sea el servidor en el que
ejecutar el Asistente para aprovisionar almacenamiento, es necesario configurar el
servidor de conexión
ciones mediante el Administrador de almacenamiento para redes SAN. (Véase el capítulo
10.) Si desea asignar
el LUN a un clúster, asegúrese de que cada servidor del clúster es un miembro de sólo
un grupo y se ha configurado mediante la instalación de conmutación por error. Además,
si
habilitar varios puertos de canal de fibra o adaptadores de iniciador iSCSI de LUN
acceso, asegúrese de que el servidor soporta múltiples rutas de E / O (MPIO).
NOTA Storage Manager para redes SAN

Administrador de almacenamiento para redes SAN no se instala por defecto. Puede instalarlo haciendo clic en Agregar
funciones en
Características del nodo en el Administrador de servidores. Capítulo 10 da más detalles.
iSCSI
MÁS INFORMACIÓN
Para obtener más información acerca de iSCSI, consulte

http://www.microsoft.com/WindowsServer2003/technologies/
almacenamiento / iscsi / default.mspx.
MPIO
MÁS INFORMACIÓN
Para más información sobre MPIO, consulte http://technet2.microsoft.com/windowsserver2008/en/library/

1b48614a-9f2c-4293-bf2b-ffa9b17e15401033.mspx? Referencia del fabricante = true.
Compartir y de gestión de almacenamiento

MÁS INFORMACIÓN
Para más información, abra la consola de comandos (o ventana de símbolo del sistema) y el tipo
hh storagemgmt.chm.
Sistema de archivos distribuido (DFS)

DFS es considerablemente mejorado en Windows Server 2008. Se compone de dos
tecnologías,
Espacios de nombres DFS y Replicación DFS, que se puede utilizar (juntos o por separado)
para
proporcionar
Los espacios tolerancia
de nombresa fallos y flexible,
DFS permite servicios
agrupar lasde intercambio
carpetas de archivos
compartidas y la
en servidores
reproducción.
diferentes (y en varios
sitios) en uno o más espacios de nombres lógicamente estructurado. A los usuarios ver cada
espacio de nombres
como una sola carpeta compartida con una serie de subcarpetas. Las carpetas compartidas
subyacentes
estructura está oculto para los usuarios, y esta estructura proporciona tolerancia a fallos y la
capacidad de conectarse automáticamente a los usuarios locales de las carpetas compartidas,
Replicación
cuando estén DFS proporciona
disponibles, un motor de replicación con múltiples maestros que le permite
en lugar
sincronizar
de enrutamiento de los más de red de área amplia (WAN).
carpetas en varios servidores a través de conexiones locales o WAN. Utiliza el Dif-Remote
Compresión diferencial (RDC), el protocolo para actualizar sólo aquellos archivos que han
cambiado
desde la última replicación. Puede utilizar la replicación DFS en combinación con DFS
Los espacios de nombres o por sí mismo.
En esta lección se resume DFS sólo muy brevemente, como parte de las consideraciones de su
planificación.
Lección 2 de este capítulo se analiza el tema con mucha más profundidad.
ExamenExamen
Consejo
anterior de Windows Server que contiene una alta proporción de DFS
preguntas. No hay ninguna razón para creer 70-646 va a ser diferente.
331
Servidor de archivos de Resource Manager

(FSRM)
FSRM incluye herramientas que le permiten comprender, controlar y administrar la cantidad
y el tipo de datos almacenados en sus servidores. Usted puede utilizar FSRM para establecer
cuotas en las carpetas
y los volúmenes, de forma activa los archivos de la pantalla, y generar informes de
almacenamiento. Detalles de las instalaciones
disponible en la consola FSRM se dan más adelante en esta lección.
Servicios para Network File System (NFS)
NFS proporciona una solución de intercambio de archivos para las organizaciones con una
mezcla de Windows y
Entorno UNIX. Servicios para NFS le permite transferir archivos entre ordenadores de ejecución
Ning Windows Server 2008 y sistemas operativos UNIX mediante el protocolo NFS.
La versión Windows Server 2008 de Servicios para NFS admite los siguientes
mejoras:
■ Búsqueda en Active Directory De gestión de identidad para la extensión de UNIX de la
Esquema de Active Directory incluye el identificador de usuario UNIX (UID) y grupo
identificador (GID) campos. Esto permite que Servidor para NFS y Cliente para NFS para
referirse a
Windows a UNIX en cuenta las correlaciones de usuario directamente desde el Directorio
Activo
Servicios de dominio (AD DS). Identity Management for UNIX simplifica la asignación de
las cuentas de usuario de Windows a UNIX en AD DS.
■ Soporte dePuede
64 bits instalar Servicios para NFS en todas las ediciones de Windows
Server 2008, incluyendo las ediciones de 64 bits.
■ Mejor rendimiento del servidor Servicios para NFS incluye un controlador de filtro de archivos.
Este
reduce significativamente la latencia de acceso a
archivos de servidor.
■ UNIX compatibilidad con dispositivos especiales Servicios para NFS proporciona soporte para
UNIX especiales
dispositivos basados en la mknod (Crear un directorio, un archivo especial, o un archivo
normal)
función.
Mknod
MÁS INFORMACIÓN
Para más información sobre el mknod función, consulte http://www.opengroup.org/onlinepubs/009695399/

funciones / mknod.html. Sin embargo, el examen 70-646 es poco probable que preguntar acerca de las funciones de
UNIX.
■ Mejorado soporteServicios
UNIX para NFS admite las siguientes versiones de UNIX:
Sun Microsystems Solaris versión 9, Red Hat Linux versión 9, IBM AIX versión
5L 5.2, y Hewlett Packard HP-UX 11i versión.
Servicios para NFS

MÁS INFORMACIÓN
Para más información, abra la consola de comandos (ventana de símbolo del sistema) y el tipo
hh nfs__lh.chm.
Servicio de búsqueda de Windows

Servicio de búsqueda de Windows que permite realizar búsquedas rápidas de archivos en un
servidor desde el cli-
computadoras diferentes que son compatibles con Windows Search. Se crea un índice de la
de archivo más comunes, y no los tipos de archivos de datos en el servidor, tales como correo
electrónico, contactos, cal-
dario citas, documentos, fotografías, y multimedia. Los archivos de la indexación y
tipos de datos que permite realizar búsquedas rápidas de archivos en Windows Server 2008
servidor de los equipos cliente que ejecutan Windows Vista o desde clientes de Windows XP
con Windows Desktop Search instalado.
Servicio de búsqueda de Windows reemplaza el servicio de Index Server que se proporciona en
Windows
Server 2003 del servidor. Aunque usted tiene la opción de instalar Windows Server 2003
Servicios de archivo, incluyendo el Servicio de Index Server-en un servidor Windows Server
2008 como
parte de la función de servidor de archivos Servicios, usted no puede instalar los servicios de
Index Server si usted elige
Al instalar
para el Service
instalar Windows
el Service Search
Windows se le da la opción de seleccionar el volu-
Search.
volúmenes o carpetas que desea indexar. Microsoft recomienda que seleccione un volumen
en lugar de una carpeta sólo si ese volumen se utiliza exclusivamente para alojar las carpetas
compartidas.
Windows Server 2003 Servicios de archivo

La función Servicios de archivo en Windows Server 2008 incluye los siguientes servicios de
función
que son compatibles con Windows Server 2003:
■ Servicio de replicación de archivos (FRS) El servicio de replicación de archivos (FRS) le permite
sincronizar carpetas con los servidores de archivos que utilizan FRS. Siempre que sea
posible se debe utilizar
la Replicación DFS (DFSR) de servicio. Debe instalar FRS sólo si su Windows
Server 2008 del servidor tiene que sincronizar las carpetas con los servidores que utilizan
FRS con
Windows Server 2003 o Windows 2000 implementaciones de servidor de DFS.
FRS
MÁS INFORMACIÓN
Para más información sobre FRS, consulte http://technet2.microsoft.com/WindowsServer/en/library/

965a9e1a-8223-4d3e-8e5d-39aeb70ec5d91033.mspx? Referencia del fabricante = true.
333
■ Los Server
Servicio de Index catálogos de servicios de Index Server contenido y las propiedades de los
archivos
en equipos locales y remotos. Si instala el servicio de búsqueda de Windows
No se puede instalar el Servicio de Index Server.
Características opcionales
Si lo desea, puede instalar las siguientes características adicionales para complementar la
función
servicios en la función Servicios de archivo:
■ Windows Server Backup Copia de seguridad de Windows Server proporciona un método
confiable
respaldar de
y recuperar el sistema operativo, algunas aplicaciones y archivos
y ficheros almacenados en su servidor. Esta función sustituye a la copia de seguridad
anterior FEA-
tura que estaba disponible con las versiones anteriores de Windows.
Windows Server Backup

MÁS INFORMACIÓN
hh backup.chm.
■ Storage Manager para redes SAN Administrador de almacenamiento para redes SAN de
almacenamiento
en uno o más de que
Fibrepermite
Channella prestación
o iSCSI subsistemas de almacenamiento en
una SAN.
Storage Manager para redes SAN
MÁS INFORMACIÓN
hh sanmgr.chm.
■ Clustering La función de conmutación por error permite que varios servidores

trabajar juntos para aumentar la disponibilidad de servicios y aplicaciones. Si uno de los
los servidores en clúster (o nodos) falla, otro nodo proporciona el servicio requerido
a través de conmutación por error.
Clustering
MÁS INFORMACIÓN
Para más información sobre conmutación por error, consulte http://technet2.microsoft.com/windowsserver2008/en/

library/13c0a922-6097-4f34-ac64-18820094128b1033.mspx? Referencia del fabricante = true.
■ MPIO MPIO ofrece soporte para varias rutas de datos entre un servidor de archivos y un
dispositivo de almacenamiento (conocido como múltiple). Usted puede utilizar MPIO para
aumentar los datos disponibles
capacidad de proporcionar conexiones redundantes a los subsistemas de
almacenamiento. Multipathing
También se puede equilibrar la carga de tráfico de E / S y mejorar el sistema y el
rendimiento de las aplicaciones.
La gestión de control de acceso

Control de acceso es el proceso de los usuarios lo permiten, grupos y equipos para acceder a
objetos de la red o en un equipo. Se trata de autorización de permisos, inherente-
itance, propiedad de los objetos, los derechos de los usuarios, y la auditoría.
Los permisos definen el tipo de acceso concedido a un usuario o grupo para un objeto. Cuando
un
carpeta o volumen se comparte en una red y los usuarios acceder a sus contenidos de forma
remota (como es
el caso de los archivos en un servidor de archivos), compartir o permisos de carpeta compartida
se aplican a estos
los usuarios. Una carpeta o archivo en un volumen NTFS también tiene los permisos NTFS,
que se aplican
si se accede de forma local o en la red. Permisos de acceso a los archivos en un archivo
servidor suelen ser una combinación de permisos NTFS y de permiso en la carpeta compartida
nes
Cadaestablecidas
contenedor en la jerarquía
y objeto de unadered
carpetas o la carpeta
tiene asociada que contiene
(o adjunto) los de
el control archivos.
accesoLos objetos
de impresora que
información definida dentro de un descriptor de seguridad. Esto controla el tipo de acceso
asociados permisos
permite a los deyimpresión.
usuarios grupos de seguridad. Permisos definidos en la seguridad de un objeto
descriptor están asociados con, o asignan a usuarios específicos y grupos de seguridad. Cada
asignación de permisos a un usuario o grupo está representado en el sistema como el acceso
controlar la entrada (ACE). Todo el conjunto de entradas de permisos en un descriptor de
seguridad es
conocido como un conjunto de permisos, o la lista de control de acceso (ACL).
Puede establecer permisos NTFS para objetos tales como archivos, objetos de Active
Directory, reg-
objetos ministerio, o los objetos del sistema, tales como los procesos. Configurar los permisos
NTFS en la
La ficha Seguridad del cuadro de diálogo Propiedades de objeto, a veces conocido como el
acceso
Control de la interfaz de usuario. Se pueden conceder permisos a usuarios individuales, la
seguridad
Los permisos
grupos, equiposasociado
y otros aobjetos
un objeto
condepende del tipode
identificadores deseguridad
objeto. Por
enejemplo, el Se trata de un
el dominio.
permisos que se puede
buenas prácticas conectar
para asignar a un archivo
permisos son de
a grupos distintos de los
seguridad enque
lugarsede
puede conectar a
a usuarios
una impresora o una clave del Registro. Cuando se establecen permisos, se especifica el nivel
individuales.
de acceso para
grupos y usuarios. Por ejemplo, puede permitir que un usuario leer el contenido de un archivo, y
mucho
otro usuario realizar cambios en el archivo, y evitar que los demás usuarios tengan acceso al
Microsoft
archivo. dice que la herencia de permisos permite a los administradores asignar fácilmente
y gestionar los permisos y asegura la consistencia de los permisos de todos los objetos
dentro de un contenedor determinado. La herencia de forma automática hace que los objetos
dentro de un contenedor
a heredar todos los permisos heredables de ese contenedor. Por ejemplo, las carpetas
secundarias
por defecto heredan los permisos de sus padres, y los archivos de una carpeta tienen sus
permisos ajusta automáticamente dependiendo de los permisos de carpetas.
335
Sin lugar a dudas, la herencia es conveniente cuando la configuración de permisos. Usted

puede bloquear
carpeta de herencia y asignar permisos explícitos en lugar de heredarse a hijo
objetos. Puede cambiar los permisos de archivo para que algunos archivos en una carpeta
puede tener diferentes
permisos de acceso que otros. Esto le da una gran flexibilidad pero puede llevar a com-
complejidad, por lo que la herencia puede hacer que los permisos más difíciles de manejar en
lugar de
más fácil. Al igual que con todas las tareas del administrador, la clave es planear con cuidado
para evitar excepciones.
También debe limitar el uso de permisos Denegar explícitos. Si un usuario es un miembro de
un
Un propietario es asignado a un objeto cuando el objeto se crea-por lo general un objeto es
grupo que tiene un permiso denegado, o se ha denegado explícitamente el permiso, el usuario
propiedad
se les niegadelese
usuario quesin
permiso crea, de modo
importar queotros
lo que los archivos guardados
grupos, es miembroen de.la carpeta Mis
documentos en un usuario
perfil son propiedad de ese usuario. El propietario del objeto siempre puede cambiar el
permiso-
nes en un objeto.
Objeto de propiedad
MÁS INFORMACIÓN
Para más información sobre la propiedad de objetos, consulte http://technet2.microsoft.com/windowsserver2008/en/

library/cb906e8c-9c49-4cd7-ac44-e7d91d1572511033.mspx? Referencia del fabricante = true.
Derechos de los usuarios conceden determinados privilegios y derechos de inicio de sesión

para los usuarios y grupos de seguridad. Usted
puede asignar derechos específicos a las cuentas de grupo o de cuentas de usuario
individuales. Estos
los derechos de autorizar a los usuarios para realizar acciones específicas, tales como el
registro en un sistema de inter-
Derechos de los usuarios son diferentes de los permisos porque los derechos de usuario se
activa o copias de seguridad de archivos y directorios.
aplican a cuentas de usuario,
y los permisos se adjuntan a los objetos. Aunque se pueden aplicar los derechos de usuario
indi-
las cuentas individuales del usuario, es una buena práctica para su aplicación a grupos de
seguridad en lugar de
a los usuarios individuales. Puede administrar los derechos del usuario a través de la
Puede auditar de
Configuración el acceso correcto
seguridad local o no a los objetos en una base por usuario. Selecciona
que
MMC. el acceso a objetos de la auditoría mediante el uso de la interfaz de usuario de control de
acceso, pero primero
debe habilitar la directiva de auditoría Auditar el acceso mediante la selección de objetos en las
políticas locales en
la configuración de seguridad local en. A continuación, puede ver estos acontecimientos
relacionados con la seguridad en
el registro de seguridad en el Visor de sucesos.
De auditoría de seguridad
MÁS INFORMACIÓN
Para más información sobre la auditoría de seguridad, consulte http://technet2.microsoft.com/windowsserver2008/en/

library/cb906e8c-9c49-4cd7-ac44-e7d91d1572511033.mspx? Referencia del fabricante = true.
Configuración de permisos de acceso

De manera predeterminada, compartir archivos e carpetas públicas están habilitadas en un
servidor Windows
Server 2008. Usted puede activar y desactivar estas características en la red y compartir Cen-
ter, que se puede acceder a través del Panel de control. También puede abrir el Hombre-
Microsoft
gestión Console (MMC) y agregue las carpetas compartidas en el complemento. Si a
continuación, haga clic en
Acciones y seleccione Nuevo recurso compartido, el Asistente para crear carpetas compartidas
se inicia. Este asistente permite a los
se especifica
Puede la ruta
especificar la de una carpeta
carpeta que quieres
compartida compartir,
de permisos el nombre
estándar, de la acción,
los usuarios y compartió
tienen permiso de
la
lectura y
permisos
Los de acceso atienen
administradores carpetas.
control total, por ejemplo-o se pueden establecer permisos
personalizados.
Figura 6-9 muestra el cuadro de diálogo Personalizar permisos. El asistente también le permite
con-
figura configuración fuera de línea. Usted puede compartir una carpeta o un volumen.
Figura 6-9 Personalización de los permisos
Si opta por personalizar los permisos, también puede acceder a una ficha de seguridad que
permite a los
configurar los permisos NTFS. Para los usuarios que accedan a las carpetas de un servidor a
través de una red
(La gran mayoría de los usuarios), los permisos de acceso son una combinación de carpeta
compartida
También puede utilizar el Asistente para aprovisionar carpetas compartidas para compartir una
y permisos NTFS.
carpeta o volumen
y configurar los permisos de acceso. Como se ha descrito anteriormente en esta lección, usted
accede a este
asistente de la Participación y la consola de administración de almacenamiento. Este asistente
le permite especificar
la ruta a la carpeta que desea compartir. A continuación, tiene la opción de configurar
NTFS permisos, como se muestra en la Figura 6-10.
337
Figura 6-10 Configuración de los permisos NTFS
A continuación, puede seleccionar el protocolo sobre el cual los usuarios pueden acceder a la
carpeta compartida SMB,
NFS, o ambas cosas. Tenga en cuenta que puede especificar NFS sólo si ha instalado los
Servicios para
Servicio NFS papel. A continuación, tiene la opción de fijar un límite de usuarios, la
desactivación de usuario basada en
enumeración y la reconfiguración de la configuración en línea. Puede elegir uno de los tres
configuraciones estándar compartido el permiso de carpeta o personalizar estos permisos,
como se muestra en la figura 6.11. Si opta por personalizar los permisos de carpeta
compartida, el
asistente le presenta con un cuadro de diálogo muy similar a los permisos Personalizar dia-
registro de caja en el Asistente para crear carpeta compartida mostrada en la figura 9.6.
Figura 6-11 Configuración de permisos de carpeta compartida

El asistente le pedirá que cree una política de cuotas y una política de filtro de archivos, y
te ofrece la opción de publicar la parte de un espacio de nombres DFS. Cuotas y de filtro de
archivos
las políticas se discuten más adelante en esta lección. Espacios de nombres DFS se discuten
en la Lección 2.
Por último, el asistente resume su configuración, y haga clic en Crear para crear el recurso
Usted también puede compartir una carpeta de forma manual y conjunto de carpetas
compartido.
compartidas y los permisos NTFS
clic derecho en una carpeta o volumen en el Explorador de Windows o Mi PC y haga clic en
Propiedades. Si usted decide compartir una carpeta con este método, usted verá un cuadro de
diálogo
similar a la mostrada en la figura 6.12. Los niveles de permisos se clasifican en una diferente
manera que la utilizada por los magos: Son propietario, copropietario, Colaborador y
Reader. Si hace clic en la ficha Seguridad, se obtiene un cuadro de diálogo similar permisos
NTFS
a la mostrada anteriormente en la figura 6.10.
Figura 6-12 Compartir una carpeta de forma manual
La combinación de acciones y permisos NTFS

Archivos, carpetas y otros objetos se suele acceder a través de una red, como cuando
que se llevan a cabo en un servidor de archivos. Entradas de control de acceso (ACE), sin
embargo, se aplican tanto a
el nivel de cuota (permisos de recurso compartido) y en el nivel de sistema de archivos
(permisos NTFS). Este
significa que usted necesita recordar para cambiar los permisos en dos lugares diferentes.
Por ejemplo, si desea que los miembros del grupo de seguridad Administradores para poder
añadir,
editar y eliminar archivos en una carpeta llamada Informes, cuando antes sólo podían ver
ellos, tendría que cambiar el permiso NTFS para el grupo de seguridad para modificar. Si,
339
Sin embargo, el permiso de recurso compartido de la carpeta es de lectura y se olvida de

cambiar esta situación,
los miembros del grupo todavía sólo podrá ver el contenido de los archivos.
Una solución a este problema es permitir el acceso total a todos en el nivel de participación y
asignar restrictiva los permisos NTFS. Los permisos NTFS son entonces los efectivos por
las misiones, porque son los más restrictivos. Sin embargo, muchos administradores no son
feliz sobre la asignación de no restrictiva permisos de recurso compartido. La mejor práctica de
seguridad en
esta situación es el uso (como máximo) el permiso de compartir el Cambio.
Para averiguar los permisos que un grupo de seguridad tiene en un archivo, primero calcula la
efectivos los permisos NTFS, ya que cualquier conjunto de permisos explícitos a nivel de
archivo
anular los permisos de carpeta. A continuación, comparar y compartir permisos NTFS, el
permisos efectivos son los más restrictivos de los dos. Este proceso se hace aún
más compleja cuando se desea averiguar los permisos de acceso para un usuario que pueda
ser miembro de varios grupos de seguridad.
Usted puede averiguar los permisos efectivos de un usuario de forma manual. Este es un
proceso tedioso,
pero se hace más fácil con la práctica. Actualmente no hay ningún servidor Windows 2008
existe la herramienta de auto-
compañero el proceso, pero debe tener en cuenta la descarga Compruebe Share Server desde
el
Windows Server 2003 Kit de recursos. Esta herramienta se ejecuta en servidores Windows
Server 2008.
Puede descargar el Kit de recursos en http://www.microsoft.com/downloads/details
MÁS Servidor
INFORMACIÓN
. Aspx? Familyid = Observar Compartir
9d467a69-57ff-4ae7-96ee-b18c4790cffd & displaylang = es.
Para más información sobre Check Share Server, consulte http://searchwindowssecurity.techtarget.com/tip/
0,289483, sid45_gci1194946, 00.html. Esto no es un enlace de Microsoft TechNet y el URL puede cambiar.
Si no puede acceder a ella, buscar en Internet "Check compartido del servidor."
Utilizando FSRM configurar cuotas de pantalla y la política de

archivosWindows Server 2008 ofrece una mayor gestión de las cuotas. Se puede aplicar a las cuotas
carpetas, así como los volúmenes, y que tiene un conjunto de plantillas de cuota que usted
puede utilizar para
crear cuotas de forma rápida y sencilla. Puede crear una cuota de costumbre o se derivan de
una cuota de
una plantilla existente.
Microsoft recomienda que las cuotas derivadas de las plantillas. Esto simplifica la gestión de
ción de las cuotas, ya que se pueden actualizar automáticamente todas las cuotas que se
basan en un
plantilla específica mediante la edición de esa plantilla. A continuación, tiene la opción de
actualizar el conjunto-
ajustes de las cuotas que ha creado con la plantilla. También puede excluir especificado
las cuotas de esta actualización. Por ejemplo, si ha creado una cuota de una plantilla y luego
cambiar manualmente algunos de sus valores, no puede ser que desee actualizar la cuota al
se modifica la plantilla, ya que podría perder estos valores.
Usted puede crear un cupo de aplicación automática y asignar una plantilla de cuota para un
volumen de padre o
carpeta. Cuotas basadas en esa plantilla son automáticamente generadas y aplicadas a
cada una de las subcarpetas existentes y todas las subcarpetas que cree en el futuro.
La creación de
contingentes
Si el archivo de FSRM función de servicios de servidor está instalado, puede utilizar FSRM para
crear cuotas.
El cuadro de diálogo Crear cuota se muestra en la figura 6.13. Tenga en cuenta que no podrá
acceso a este cuadro si no se ha instalado la función del servidor adecuado, que va a hacer
en la sesión de práctica más adelante en esta lección.
Figura 6-13 La cuota de diálogo Crear
Se especifica una ruta con el volumen o carpeta para el que desea crear la cuota y
a continuación, especifique si desea crear una única cuota en ese camino o si un
de cuotas basado en plantilla se genera automáticamente y se aplica a nuevos y existentes
subcarpetas en el camino del volumen de los padres o la carpeta. Para especificar la acción
esta última,
seleccione Auto Aplicar plantilla y crear cuotas en subcarpetas nuevas y existentes.
341
Normalmente, se selecciona Derivar propiedades de esta plantilla de cuota (Reco-

recomendado) y seleccione una plantilla. Usted puede, si lo desea, definir propiedades
personalizadas de cuotas,
pero esto no es recomendable. Puede seleccionar las plantillas que especifican el tamaño de la
cuota que
se asigna a cada usuario y si la cuota es duro o blando. Una cuota de disco duro no puede
ser superado. Un usuario puede exceder de una cuota blanda, pero por lo general superior a
los límites del contingente
genera un informe, además de enviar una notificación por correo electrónico y el registro del
■
evento. Esta
Límite de 100 MBes una cuota dura. Que los correos electrónicos que el usuario y los
Cuotas blandas se utilizan
administradores para el monitoreo. Plantillas de cuota son los siguientes:
especificar
si el límite de cuota the100 por ciento se ha alcanzado y escribe un suceso en el registro
■ MB Límite de informes de usuario Esta es una cuota dura. Se genera un informe, envía
de eventos.
200
e-mails, y escribe un suceso en el registro de eventos si el límite de la cuota del 100 por
ciento ha
ha alcanzado.
■ Técnicamente
Límite de 200 MB con 50 MB de extensión se trata de una cuota máxima, ya que per-
constituye una acción cuando el usuario intenta sobrepasar el límite, en lugar de
simplemente
monitoreo superado el límite. La acción es ejecutar un programa que se aplica la
250 MB de plantilla Límite extendido y eficaz ofrece al usuario una adicional
50 MB. E-mails se envían y el evento se registra cuando el plazo se amplía.
■ 250 MB ExtendidaElLimitar
límite de 250 MB no se puede sobrepasar. E-mails se envían
y el evento se registra cuando se alcanza el límite.
■ Monitor de 200 GB del Esta esvolumen

uso del una cuota blanda que se puede aplicar sólo a
volúmenes. Se utiliza para el monitoreo.
■ Monitor de 50 MB de Esta es una cuota blanda que se puede aplicar sólo a

uso Compartir
acciones. Se utiliza para el monitoreo.
También puede configurar plantillas para enviar e-mails y escribir en el registro de eventos si se
define
porcentaje de la cuota que se alcanza. La figura 6-14 muestra las propiedades de los 200 MB
Límite de informes a la plantilla de usuario.
Cuando haya creado un contingente o un contingente de aplicación automática que se puede
editar. Figura 6-15
muestra un cuadro de cuotas en Propiedades. Puede cambiar la plantilla de cuota, limitar el
espacio, y
Notificaciones de umbrales y agregar una etiqueta. Usted puede agregar nuevos umbrales de
notificación
y especificar qué acción se debe tomar si se alcanza un umbral. Por ejemplo,
puede especificar si un e-mail es enviado al usuario y una o más especifica admin-
nistradores. También puede especificar un comando, generar un informe, y especificar si el
evento se ha autentificado. Si edita la configuración de cuotas o crear una cuota personalizada,
puede utilizar
la cuota de crear una nueva plantilla.
Figura 6-14 200 MB Límite de informes a las propiedades de plantilla de usuario
Figura 6-15 Propiedades de la cuota

343
Creación de plantillas
Si ninguna de las plantillas suministrado es adecuado para sus propósitos, puede crear una
nueva
plantilla. Si lo desea, puede copiar la configuración de una plantilla existente y editarla, o
puede especificar la configuración nueva. La figura 6-16 muestra la cuota de diálogo Crear
plantilla
caja. Muchos de los parámetros son similares a los que se pueden configurar durante la edición
de una cuota.
Figura 6-16 Creación de una plantilla
La gestión de Filtros de archivos

Usted puede utilizar FSRM para crear y administrar filtros de archivos que controlan los tipos de
archivos que
los usuarios pueden guardar y generar notificaciones cuando los usuarios intentan guardar
autorizado
archivos. También puede definir plantillas de filtrado de archivos que se pueden aplicar a los
nuevos volúmenes
FSRM también le permite crear excepciones de filtrado de archivos que se extiende la
o las carpetas y el uso de toda la organización.
flexibilidad de
las reglas de filtrado de archivos. Usted podría, por ejemplo, garantizar que los usuarios no
tienda de música
los archivos de carpetas personales, pero se podía permitir el almacenamiento de los archivos
de los medios de comunicación,
tales como archivos de entrenamiento que cumplen con las políticas de la empresa. También
puede crear un
excepción que permite a los miembros del grupo de la alta dirección para guardar cualquier tipo
de
archivo que desea (siempre y cuando cumplan con las restricciones legales).
También puede configurar el proceso de selección para que le notifique por correo electrónico
cuando un EJECUC-
archivo puede se almacena en una carpeta compartida. Esta notificación puede incluir
información sobre
el usuario que guarda el archivo y la ubicación exacta del archivo.
ExamenLos
Consejo
filtros de archivos no están específicamente incluidos en los objetivos para el examen 70-646.
Usted debe saber lo que son, lo que hacen, y que pueda gestionar de FSRM. Usted
probablemente no se encontrará con preguntas detalladas sobre el archivo de configuración de la pantalla.
Gestión de informes de
almacenamiento
FSRM proporciona un nodo de almacenamiento de informes de gestión. Esto le permite
generar
relacionados con el almacenamiento informes, tales como los informes sobre archivos
duplicados, los archivos más grandes, que
los archivos se accede con más frecuencia, y que rara vez se accede a los archivos. También
le permite
calendario de los informes periódicos de almacenamiento, lo que ayudará a identificar las
Por ejemplo,
tendencias enpodría
el usoprogramar
del disco, un
y informe para su ejecución a la media noche todos los
domingos y pro-guardar archivos no autorizados.
monitor intenta
vide usted con información sobre los archivos más recientemente visitada de los últimos
dos días. Esto le permite monitorear la actividad de fin de semana de almacenamiento y
servidores plan de tiempo de inactividad
de modo que tenga un impacto mínimo sobre los usuarios que se conectan desde su casa el fin
Usted podría utilizar la información en un informe que identifica los archivos duplicados para
de semana.
que pueda
recuperar espacio en disco sin perder datos, y puede crear otros informes que permitan
a analizar cómo los usuarios individuales están utilizando los recursos compartidos de
almacenamiento.
FSRM
MÁS INFORMACIÓN
Para más información, abra la consola de comandos (o ventana de símbolo del sistema) y el tipo
hh fsrm.chm.
Planificación de la función Servicios de impresión

del servidor
Como un administrador con experiencia es casi seguro que esté familiarizado con administrat-
ING impresoras y dispositivos de impresión. Por favor, tratar la mayor parte de esta sección
como un repaso. ¿Qué hay de nuevo
en Windows Server 2008 es que los servicios de impresión es una función de servidor que se
necesita para instalar en
un servidor para crear un servidor de impresión. De instalar esta función en la sesión de
práctica más adelante en este
lección. Windows Server 2008 también introduce la consola de administración de impresión.
345
La función Servicios de impresión del servidor le permite administrar los servidores de

impresión e impresoras. Si
configurar un servidor Windows Server 2008 como servidor de impresión, reducir los gastos
y la gestión de la carga de trabajo mediante la centralización de las tareas de gestión de
impresoras a través de la
Consola de administración de impresión.
De manera predeterminada, la instalación de la función Servicios de impresión del servidor se
instala el servidor de impresión servicio de función,
que te permite compartir impresoras en una red y publicarlas en Active Directory.
Si lo desea, puede instalar el servicio Line Printer Daemon (LPD), que le permite imprimir en
impresoras conectadas a un servidor UNIX, y de impresión de Internet, que le permite utilizar
un sitio Web
interfaz para conectar y administrar impresoras.
NOTA Impresoras y dispositivos de impresión
Un dispositivo de impresión es un dispositivo físico que se imprime en papel. Una impresora controla un dispositivo de
impresión. Puede
instalar varias impresoras conectadas a un dispositivo de impresión individuales y establecer diferentes permisos de
acceso y
horarios para los distintos usuarios. Por ejemplo, si usted tiene un dispositivo de impresión a color costosos, es posible
que
desea permitir el acceso a los usuarios comunes fuera del horario normal de trabajo, pero permiten el acceso en
cualquier
tiempo al grupo de seguridad Administradores. Usted puede hacer esto mediante la creación de dos impresoras,
Planificación
ambas conectadas deala función Servicios de impresión del servidor incluye el análisis actual y
el dispositivo
requiere dedeimpresión
impresión.
sidades dentro de una programación de la impresora y la configuración de la organización y el
acceso por
misiones. ¿Tiene un departamento que envía los trabajos muy grandes, pero no urgente a un
de impresión del dispositivo? En este caso es necesario configurar una impresora que envía los
trabajos de dichos centros a una
¿Todas las personas
de impresión de su organización
del dispositivo necesitan
fuera de las horas imprimir en color? Si usted les da la opor-
de oficina.
oportunidad, es probable que lo hagan, si es necesario o no. No se puede evitar que los
usuarios
de forma habitual haciendo clic en Imprimir varias veces cada vez que desee imprimir un
documento,
o de imprimir todos sus mensajes de correo electrónico. Puede, sin embargo, configurar la
auditoría para
detectar el uso de impresoras de alto e identificar a los usuarios con los hábitos de impresión
mala. Ya que esto
afirma el de
Algunas libro
lasen varios lugares,
decisiones un administrador
de planeación tieneyque
será práctico ser capazPodría
pragmático. de resolver
ser unalosbuena
proble-
problemas,
idea de tenerasíuncomo problemas
dispositivo técnicos.con múltiples bandejas de entrada para los tipos de
de impresión
papel especial, pero es
probablemente una mala idea de usar esto para propósitos generales de impresión. Un
dispositivo de impresión que deja de
y se muestra un mensaje de error cada vez que un usuario especifica el tamaño incorrecto de
papel también
una mala opción para las necesidades de impresión general. Usted debe considerar el uso de
una impresora de la piscina
en una sola impresora varios controles de los dispositivos de impresión, si es necesario para
proporcionar alta disponibilidad-
capacidad de los dispositivos de impresión.
La gestión de las entidades de la

impresora
Si la función Servicios de impresión del servidor está instalado en el servidor, puede administrar
los siguientes
entidades:
■ La cola deUna cola de impresión es una representación de un dispositivo de impresión. La
impresión
apertura de una impresión
muestra la cola de trabajos de impresión activos y su estado. Si un trabajo de impresión a
la cabeza de
la cola no está siendo procesado, posiblemente debido a un papel de tamaño incorrecto
especificado, puede eliminar este trabajo y permitir que el resto de trabajos en la cola de
ser procesada.
■ Unimpresión
Servicio de cola de servidor de impresión cuenta con un servicio de cola de impresión
individuales. Este hombre-
de todas las edades los trabajos de impresión y colas de impresión en ese servidor.
Normalmente, la cola de impresión
servicio se inicia automáticamente. Sin embargo, si el servicio se haya detenido por
cualquier razón,
usted tiene que reiniciar. Un síntoma de esto es un trabajo de impresión a la cabeza de
■ ControladorUna
de lacola de impresión requiere un controlador de impresora para imprimir en un
una cola que
impresora
dispositivo de impresión.
no está siendo trabajado, pero no se pueden borrar.
Usted necesita asegurarse de que el controlador de impresión está instalado en el
servidor de impresión, está trabajando
■ correctamente, y es de
Puerto de la impresora hasta la fecha.
red Un controlador de impresora utiliza un puerto de impresora de
red
con para comunicarse
un dispositivo físico a través de una red. Estos puertos pueden, por ejemplo, TCP / IP
los puertos de impresora, puertos Line Printer Remote (LPR), o COM estándar y puertos
LPT.
■ Imprimir clústerLa
deimpresión
servidores es normalmente una operación de misión crítica y podría
elegir al grupo servidores de impresión para garantizar una alta disponibilidad y la
conmutación por error.
Capítulo 11, "Clustering y alta disponibilidad", trata sobre la administración de cluster.
Publicar una impresora

Si comparte una impresora en una red, pero no lo publican en Active Directory, los usuarios
necesidad de conocer su ruta de red para su uso. Si usted publicar la impresora en Active
Direc-
historia, es más fácil de localizar. Si usted decide mover una impresora a otro servidor de
impresión,
no es necesario cambiar la configuración de los equipos cliente, sólo tiene que cambiar su
registro en Active Directory.
Si hay una impresora compartida pero no publicados, se puede publicar, seleccione la lista en
el
Directorio de casilla de verificación en la ficha Compartir del cuadro de diálogo Propiedades de
la impresora. Si se agrega
una impresora en un servidor de impresión de Windows 2008 y compartirlo, la impresora es
automática-
automáticamente publicados siempre que la configuración de Directiva de grupo
automáticamente Publicar Nuevo
Impresoras en Active Directory y permitir que se publican son activadas, lo que se
están por defecto. Una impresora publicada debe ser compartida. Si deja de compartir la
impresora que
ya no se publica.
347
Gestión de las impresoras con la Consola de administración de

impresión
El servidor de impresión Windows 2008 consola de administración se instala como parte de la
impresión
Servicios de función de servidor. También se puede instalar mediante la apertura de
Administrador de servidores, haga clic Fea-
turas en el árbol de la consola y haga clic en Agregar características. A continuación, ampliar
remoto
Herramientas de administración del servidor, expanda Herramientas de administración de papel
y seleccione Imprimir
La consola de casilla
Herramientas administración de impresión
de verificación. es una
Haga clic herramienta
en Siguiente y, ade administración
continuación, hagaremota
clic enque le
permite
Instalar. Haga clic en Cerrar cuando la herramienta
poner en práctica la administración de un solo asiento en una gran organización que tiene un
está instalado.
número (normalmente,
automáticamente un gran número) de servidores de impresión. Cuando se ha instalado la
administración de impresión
de la consola, se puede abrir desde el menú Herramientas de administración o desde
servidores
Manager. Cuando se ha instalado la consola de Administración de impresión que necesita para
configurar
para identificar las impresoras y servidores de impresión que desea administrar. Usted puede
agregar impresoras
manualmente, o usted puede explorar la red para identificar automáticamente las impresoras.
Figura 6.17
muestra la consola de administración de impresión. Tenga en cuenta que no puede acceder a
esta herramienta a menos
lo tiene instalado como una herramienta de administración remota o ha instalado la impresión
Ser-
vicios función de servidor. Instalar la función Servicios de impresión del servidor en la sesión de
tarde
en esta lección.
Figura 6.17 La consola de administración de impresión

Puede agregar un servidor de impresión para la consola de administración de impresión, haga

clic en Imprimir
Servidores y seleccionando Agregar / quitar servidores. Usted puede agregar nuevas
impresoras en un equipo con Windows
Server 2008 de la red utilizando el Asistente para agregar impresoras que estaba disponible en
anteriores
Las versiones de Windows. La consola de administración de impresión que da la opción de
ejecutar
este asistente en un servidor de impresión remoto, ya que es necesario para ejecutar de forma
local. Para empezar
el Asistente para agregar impresoras dentro de la consola de administración de impresión,
servidores de impresión ampliar
y haga clic en el servidor de impresión que desea ser anfitrión de la impresora. A continuación,
haga clic en Agregar
Impresora, como se muestra en la Figura 6-18 y siga los pasos del Asistente para agregar
impresoras. La
Consola de gestión de impresión le permite ejecutar este asistente en un servidor de impresión
remoto.
Figura 6-18 Adición de una impresora a través de la consola de administración de

impresión
Una vez añadidos los servidores de impresión remota a la consola de administración de
impresión y con-
impresoras figurado en estos servidores, el centro puede ver, administrar, y administrar estos
impresoras y servidores de impresión. Algunas de las tareas que se realizan desde la
administración de impresión
la consola que ya ha llevado a cabo localmente en el servidor de impresión, tales como cambiar
la impresora
puertos, adición o modificación de las formas, y viendo el estado de las impresoras. Otras
tareas son
nueva en la consola de administración de impresión, incluyendo la creación de filtros
personalizados de impresora
Si hace clic en Filtros que
personalizados se puede acceder a la opción Agregar nueva impresora
permitirá que usted
Asistente para filtrosy otros administradores para ver y administrar las impresoras seleccionadas
sobre la base de
que le guiará en esta tarea. Puede crear filtros personalizados que filtran por la impresora
su sitio, los derechos y roles.
349
fabricante o por el tipo de impresora (por ejemplo, láser, láser color, y plotter). Esto le permite
ver los activos por marca, modelo, o la configuración.
Usted puede ampliar cualquiera de los servidores de impresión que aparece en el árbol de la
consola y gestionar los conductores,
los puertos, las formas, o las impresoras. Si hace clic en formularios y seleccione Administrar
formularios puede
crear y eliminar las nuevas formas de apoyar el papel de tamaño diferente o para especificar
una tregua
terhead papel. Para cualquier servidor de impresión que aparece también se puede cambiar un
puerto de impresora,
definir la configuración de registro, y activar las notificaciones. La figura 6-19 muestra la ficha
Opciones avanzadas de
las Propiedades del servidor de impresión del cuadro de diálogo que se puede acceder desde
la administración de impresión
consola para configurar los registros y las notificaciones.
Figura 6-19 Configuración de los registros y las notificaciones
Práctica: Agregar servicios de función a la función del servidor de archivos y

servicios
Adición En
deesta
la función Servicios
práctica de de impresión
agregar servicios del
de función servidor para el papel de servidor de
seleccionada
archivos Servicios
y añadir la función Servicios de impresión del servidor en el controlador de dominio (DC).
NOTA El uso de un DC para albergar otras funciones de

servidor
En su red pequeña prueba, iniciar sesión de forma interactiva en el DC y agregar funciones de servidor y el papel
los servicios. Usted debe ser consciente de que en un dominio de la producción probablemente no añadiría más
funciones a un DC, ni tampoco iniciar sesión de forma interactiva en un DC o cualquier servidor importante.
Ejercicio 1: Agregar servicios de función a la función del servidor de

archivos Servicios
En este ejercicio se abre el Administrador de servidores y agregar servicios seleccionados
papel en el archivo
Servicios de función de servidor. No agrega ninguna de las características opcionales
asociados con este
función
1. Iniciedesesión
servidor. Para
en el DC completar el ejercicio,
con la cuenta siga estos pasos:
kim_akers.
2. En el menú Herramientas administrativas, abra el Administrador de servidores (a menos
que se abre auto-
automáticamente en el inicio de sesión). Si un cuadro de diálogo UAC aparece, haga clic en
3. Expandapara
Continuar Funciones
cerrarla.y haga clic en Servicios de archivo. En el panel derecho, busque la lista
de
Servicios de función se muestra en la Figura 6-20.
La figura 6-20 Servicios de función que puede agregar
4. Haga clic en Agregar servicios de

función.
5. En el cuadro de diálogo Función Seleccionar servicios, seleccione todos los servicios de
función, excepto desinstalar
Windows Server 2003 Servicios de archivo, como se muestra en la figura 6.21.
6. Haga clic en
Siguiente.
7. Llame al espacio de nombres DFS MyNamespace como se muestra en la Figura 6-22.
351
Figura 6-21 Selección de los servicios de función
Figura 6-22 Especificar un espacio de nombres DNS

8. Especificar un espacio de nombres de dominio basados en (por defecto) como se muestra

en la figura 6.23.
Figura 6-23 Especificar un tipo de espacio de nombres DNS
NOTA Espacios de nombres de dominio basados en e independiente

Lección 2 de este capítulo se describen los espacios de nombres de dominio basados en e
independiente.
9. En el cuadro de diálogo Configuración de espacio de nombres, haga clic en Agregar. Haga

clic en Examinar en la ventana Agregar
Carpeta cuadro de diálogo Espacio de nombres.
10. En el botón Examinar para las carpetas compartidas, haga clic en Mostrar cuadro de diálogo
Carpetas compartidas. Como
muestra en la figura 6.24, público está seleccionada por defecto. Haga clic en Aceptar.
11. Por defecto, la carpeta correspondiente en el espacio de nombres tiene el mismo nombre
que
la carpeta compartida que ha seleccionado. Haga clic en Aceptar para aceptar este valor
12. El espacio de nombres cuadro de diálogo Configurar debe ser similar a la Figura 6-25.
predeterminado.
353
Figura 6-24 Selección de una carpeta compartida
Figura 6-25 Configuración de un espacio de nombres
13. En la página Configuración de almacenamiento de seguimiento de uso, seleccione la

carpeta C: volumen,
muestra en la figura 6.26. El tamaño de su volumen y su uso probablemente será diferente
de lo
se muestra en la figura. No cambiar las opciones predeterminadas. Haga clic en Siguiente.
Figura 6-26 Configurar la supervisión de uso de almacenamiento
14. Acepte los valores predeterminados en el cuadro de diálogo Establecer opciones como se
Figura 6.27 Opciones de informe

355
15. Elija el índice de un volumen que no contenga el sistema operativo. Si el

volumen sólo en su servidor es C: no indexar cualquier volumen. Haga clic en Siguiente.
16. Revise sus selecciones de instalación. Si está satisfecho con ellos, haga clic en Instalar.
17. Cuando la instalación termine, haga clic en Cerrar.
Ejercicio 2: instalar la función Servicios de impresión del
servidor
En este ejercicio se instala la función Servicios de impresión del servidor. Esto le permite
compartir (o publicar)
impresoras en una red. Para completar el ejercicio, siga estos pasos:
1. Si es necesario, inicie sesión en el DC con la cuenta kim_akers y Open Server
Manager. Si un cuadro de diálogo UAC aparece, haga clic en Continuar para cerrarla.
2. En el árbol de la consola, haga clic en Administrador de servidores. Localice el Resumen de

funciones en el
panel derecho, como se muestra en la figura 6.28.
Figura 6.28 Resumen de funciones
3. Haga clic en Agregar funciones. El Asistente para agregar funciones se inicia. Si la página
Antes de comenzar
, haga clic en Siguiente.
4. Seleccione los servicios de impresión como se muestra en la figura
6.29. Haga clic en Siguiente.
Figura 6-29 Selección de la instalación de servicios de

impresión
5. Lea el resumen de servicios de impresión. Si lo desea, también puede hacer clic en los
enlaces de la
Los archivos de ayuda. Haga clic en Siguiente.
6. En la página Seleccionar servicios de función, servidor de impresión debe ser seleccionada
por defecto.
Seleccione Impresión de Internet. Si los servicios de función Añadir necesarias para la
impresión de Internet
el cuadro de diálogo, haga clic en Agregar servicios de función requeridos. Haga clic en
Siguiente en la Selección
7. Si el servidor web (IIS), lea la información y haga clic en Siguiente.
Función de servicios de la página.
8. El Servicio Web de la función de servidor se ha instalado con la función de servidor de
aplicaciones de servidor
en el Capítulo 4, "servidores de aplicaciones y servicios." Si usted no completó la
sesiones de práctica en el capítulo 4, es necesario seleccionar los servicios del servidor
Web en el papel
9. los
Leaservicios de función
la información en laSeleccionar página.selecciones
página Confirmar Haga clic en
deSiguiente.
instalación, que debe
ser similar a la Figura 6-30. Tenga en cuenta que es posible que deba reiniciar el servidor
cuando
completar la instalación. Haga clic en Instalar.
357
Figura 6-30 La instalación de la página Confirmar selecciones
10. Haga clic en Cerrar cuando finalice la instalación.

11. Guarde los archivos no guardados, cierre todas las ventanas abiertas y reiniciar el DC. Se
trata de una buena
idea de hacer esto después de instalar una función de servidor, incluso si no se le pide que
lo haga.
■ El servidor de archivos servicio de función en el papel de servidor de archivos Servicios se
instala por defecto
y permite el acceso al recurso compartido y la consola de administración de
almacenamiento. Esta consola
a su vez da acceso al Asistente para aprovisionar almacenamiento y la Disposición A
Almacenados Asistente de carpeta y le permite configurar el control de acceso y gestión
■ compartida
Si lo desea, puede instalar el sistema de archivos distribuido (DFS), servidor de archivos
carpetas, volúmenes, las sesiones abiertas, y los archivos abiertos.
Resource Manager (FSRM), Servicios para Network File System (NFS), y de ganar-
dows servicios Buscar Servicio de papel. Administración DFS incluye espacios de
nombres DFS
y la replicación DFS. También puede instalar el Windows Server File Services 2003
función de servidor para la compatibilidad con versiones anteriores de Windows.
■ La consola FSRM le permite configurar las cuotas y los filtros de archivos y generar alma-
informes de la edad. Puede establecer cuotas en las carpetas compartidas, así como los
volúmenes.
■ Si se instala la función Servicios de impresión del servidor, puede instalar y administrar
impresoras
y controladores de impresión. La consola de Administración de impresión proporciona un
solo asiento de gestión
ción de las impresoras en los servidores de impresión remota en la red.
en
Lección 1, "Gestión de archivos y servidores de impresión." Las preguntas también están
disponibles en la
NOTA Respuestas
1. ¿Cuál de los siguientes asistentes pueden acceder desde el recurso compartido y

almacenamiento
Consola de administración? (Elija todas las que apliquen.)
A. Asistente para aprovisionar carpetas
compartidas
B. Nuevo Espacio de nombres
Asistente
C. Provisión de almacenamiento
Asistente
D. Asistente para la creación de
cuotas
E. Asistente para crear archivos de
pantalla
2. No ha instalado ningún servicio de rol para el rol de servidor de archivos y servicios sólo
el archivo por defecto del servidor servicio de función está instalado. De iniciar la prestación
una responsabilidad compartida
Folder Wizard. Todos los volúmenes están formateadas con NTFS. Que del seguimiento de
la
INGA.tareas puede una
Especifique llevarcarpeta
a cabopara
mediante el asistente? (Elija todas las que apliquen.)
compartir.
B. Cree una nueva carpeta para
compartir.
C. Especificar el protocolo de compartición de red utilizada para acceder al recurso
compartido.
D. Cambiar el local de los permisos NTFS de la carpeta o volumen que se
compartir.
E. Publicar el recurso compartido en un espacio de nombres

DFS.
359
3. Al instalar la función Servicios de impresión del servidor que puede utilizar la administración
de impresión
consola remota para llevar a cabo una serie de trabajos que antes se tenía que hacer
localmente en el servidor de impresión que se celebrará en la impresora. La consola
también incorpora funciones
que no estaban disponibles en versiones anteriores de Windows. ¿Cuál de las siguientes
tareasA. Cambio de los puertos de
es nueva en la consola de administración de impresión?
impresora
B. Viendo el estado de la impresora
C. Adición o modificación de las formas
D. Creación de filtros personalizados de
impresora
4. ¿Cuál de las siguientes plantillas de cuota, disponible por defecto, crea una cuota blanda
que se pueden aplicar sólo a los volúmenes?
A. Límite de 100 MB
B. 200 MB Límite de informes a usuario
C. Monitor de 200 GB del uso del volumen
D. Monitor de 50 MB de uso Compartir
Lección 2: Los datos de

aprovisionamiento
Lección 1 de este capítulo introduce la Participación y la herramienta de administración de
almacenamiento, que
le da acceso a la Asistente para aprovisionar almacenamiento y la disposición de una carpeta
compartida Wiz-
ard. Estas herramientas le permiten configurar el almacenamiento de los volúmenes a su
servidor
y establecer acciones. Cuando se agrega el sistema de archivos distribuido (DFS) la función de
servicio a la
Archivo función de servidor de Servicios se puede crear un espacio de nombres DFS y pasar a
configurar DFSR.
Aprovisionamiento
En una base de datos de datos garantizasistema
bien diseñado que losde
archivos de usuario están
aprovisionamiento, disponibles
los usuarios y siguen
no necesitan
estando disponibles,
conocer la red de incluso si un
servidor falla o un
trabajo camino vínculo
a sus WANodisminuye.
archivos, desde quéAprovisionamiento de datos también
servidor se está descargando. selos
Incluso asegura de
grandes
que los usuarios pueden
archivos normalmente debe descargar rápidamente archivos no debe ser descargado o
trabajar
guardado en los archivos importantes cuando no están conectados a la red corporativa.
través de un enlace WAN cuando están disponibles desde un servidor local. Es necesario
configurar
de indexación para que los usuarios puedan encontrar información rápida y fácilmente. Los
archivos sin conexión deben ser
sincronizar de forma rápida y eficiente, y siempre que sea posible, sin intervención del usuario
ción. El usuario siempre debe estar trabajando con la información más al día (excepto
cuando una instantánea se especifica) y la réplica rápida y eficaz debe garantizar que
donde varias copias de un archivo existe en una red que contienen la misma información
Usted tiene varias
y la latencia herramientas
se reduce al mínimo.que se utilizan para configurar las acciones y los archivos sin
conexión, configurar alma-
edad, acceso a los archivos de auditoría, evitar el acceso inadecuado, evitar que los usuarios el
uso excesivo
recurso de disco, e implementar la recuperación ante desastres. Sin embargo, la principal
herramienta para la prestación de-
almacenamiento de elaborar y poner una estructura de carpetas compartidas es DFS
Management, espe-
camente espacios de nombres DFS. La herramienta principal para la aplicación de replicación
de Después
carpetasdecompartidas
esta lección, usted será capaz de:
en una
■
Windows Server 2008
Configurar es lade
un espacio red de replicación
nombres DFS. DFS.
■ Configurar DFSR.
■ Configurar los archivos para el uso en línea.
■ Configurar la indexación.
Lección 2: Los datos de 361
aprovisionamiento
Mundo Real
Ian McLean
Bien diseñado aprovisionamiento de datos, como un buen administrador, en su mayoría

deben ser
invisible.
Los usuarios quieren ser capaces de acceder, actualizar, guardar e imprimir su trabajo de
manera eficiente y
fácilmente. Ellos no están interesados en que una de las piezas de aspecto extraño de
equipos
ción en lo que normalmente se llama la sala de comunicaciones almacena sus archivos, o
incluso si cualquiera de ellos. Los servidores no suelen parecerse a lo que un usuario
normal
se entiende por el término equipo, y la mayoría de los usuarios no saben de un servidor
Lo
de que los usuarios
un firewall quieren, y esto no es irrazonable, es seguir adelante con su trabajo.
o un switch.
Ellos quieren acceder a sus archivos de la misma manera cada día, y quieren que los
archivos
para estar allí. No quieren saber que un servidor se ha reducido o se ha de
un fallo de red. Ellos quieren que sus archivos. Si un usuario trabaja en su casa en la
noche,
que no quiere ver los resultados de su trabajo desaparecen cuando se conecta a
la red corporativa. Si un archivo se pierde o se daña, el usuario puede aceptar la pérdida
de un par de horas de trabajo, pero no la pérdida de varios meses de esfuerzo. A-así
estructura diseñada compartir y el sistema de aprovisionamiento de datos proporcionará
esta estabilidad
y fiabilidad, con la replicación, la indexación, la sincronización y la ruta del archivo-switch-
ción todos los pasa en el fondo, invisible para el usuario.
Desafortunadamente, no todos los usuarios son susceptibles a la razón. Una vez tuve un
usuario me trae
su computadora portátil a primera hora de la mañana. Al parecer se le había caído él y un
camión
había corrido
"Yo tenía sobre
meses de él-un camión
trabajar muy
en él", pesado
se quejó por la mirada de ella.
ella.
Le expliqué que si se sentaba en una de las computadoras de escritorio libre y se registra

en
con su nombre y contraseña, los archivos de su todavía todo estará allí. Ella se mostró
escéptico
al principio,
"Pasé horasluego
de la aliviado,
noche la yúltima
luegoactualización
molesto. que la hoja de cálculo", se quejó, "pero
no ver a ninguno de los cambios. "Yo le expliqué, tan simple como pudiera, que los
cambios
se había hecho en la computadora portátil ya desaparecida y no en el archivo de la
empresa
de la red, y ahora lamentablemente se ha perdido.
"Bueno, a encontrar", dijo.
Utilizando espacio de nombres DFS para planificar e implementar una

carpeta compartida
Estructura y mejorar
Cuando la eldisponibilidad
se agrega de datos de DFS en el servidor de archivos Windows
servicio de rol Administración
2008 Ser-
vicios función de servidor, la consola de administración de DFS está disponible en la
Administración
Menú de las herramientas o desde el Administrador de servidores. Esta consola ofrece el
espacio de nombres DFS
y herramientas de replicación de DFS, como se muestra en la Figura 6.31
Figura 6-31 La consola de administración de DFS
Los espacios de nombres DFS permite agrupar las carpetas compartidas que se encuentran en
diferentes servidores
en uno o más espacios de nombres lógicamente estructurado. Cada espacio de muestra a los
usuarios
como una sola carpeta
Esta estructura aumenta compartida con unaUsted
la disponibilidad. serie puede
de subcarpetas.
utilizar el eficiente, maestro de varias
réplicas-
ción del motor proporcionada por DFSR para replicar un espacio de nombres DFS en un sitio
ya través de
Enlaces WAN. Un usuario que se conecta a los archivos dentro de las estructuras contenidas
en la carpeta compartida
el espacio de nombres DFS se conecta automáticamente a las carpetas compartidas en el
mismo AD DS
sitio (si está disponible) en lugar de a través de una WAN. Usted puede tener varias espacio de
nombresa DFS
Debido que DFSR es de varios maestros, un cambio en un archivo en el espacio de nombres
servidores
DFS de un sitio
en cualquier DFSy se extendió por varios sitios, por lo que si un servidor se cae, el usuario
puede de espacio de forma rápida y eficiente replica en todos los espacio de nombres DFS
Servidor
todavía
otros acceder a los archivos dentro de la estructura de carpetas compartidas.
servi-
res que sostienen que el espacio de nombres. Tenga en cuenta que DFSR reemplaza el
servicio de replicación de archivos (FRS)
como el motor de replicación para espacios de nombres DFS, así como para la replicación del
AD DS
Carpeta SYSVOL en los dominios que utilizan Windows Server 2008 nivel funcional de dominio.
Puede instalar la replicación FRS, como parte del Windows Server 2003 Función Servicios de
archivo ser-
vicio, sino que debe administrarse sólo si es necesario para sincronizar con los servidores que
utilizan FRS con
Windows Server 2003 o Windows 2000 implementaciones de servidor de DFS.
aprovisionamiento
La creación de un espacio de
nombres DFS
Usted puede (opcionalmente) crear un espacio de nombres cuando se instala la función de
administración de DFS
de servicio. Usted puede agregar espacios de nombres adicionales haciendo clic derecho en
espacios de nombres DFS en el
DFS consola de administración y selección de nuevo espacio de nombres. Se pueden crear
espacios de nombres
en un servidor miembro de Windows Server 2008 o DC. Sin embargo, no se puede crear más
de un espacio de nombres en un servidor Windows Server 2008 Standard. Puede crear mul-
Un espacio
espacios dede nombres
tiple es unaServer
en Windows vista virtual de las carpetas
2008 Enterprise compartidas de una organización y
y Datacenter.
tiene una trayectoria similar
a una convención de nomenclatura universal (UNC) a una carpeta compartida. Se pueden crear
dos
tipos de espacios de nombres. A espacio de nombres de dominio utiliza un dominio de la raíz
del espacio de nombres, tales como
\ \ Contoso.internal \ MyNamespace. Aindependiente del espacio de nombres utiliza un servidor
de espacio de nombres como
su espacio de nombres raíz, como \ \ Glasgow \ MyNamespace. Un espacio de nombres
basado
Un en dominio
espacio puede
de nombres contiene carpetas, que definen la estructura y la jerarquía de la
se aloja de
espacio en nombres.
los servidores de espacio
Carpetas en un de nombres
espacio múltiplesproporcionan
de nombres para aumentar su disponibilidad
accesos directos a y
sus metadatos
destinos de carpeta, que almacenan datos
yalmacenadas
el contenido.en PorADejemplo,
DS. en el espacio de nombres que ha creado en la sesión de práctica
en la lección
1, los puntos de la carpeta pública a la carpeta de destino \ \ Glasgow \ Public. Si usted tuvo
también aso-
ated la carpeta pública del espacio de nombres con una carpeta llamada pública sobre el
Brisbane servidor, un
usuarios que buscan a \ \ Contoso.internal \ MyNamespace \ Public se dirigirán a
o \ \ Glasgow \ Public o \ \ Brisbane \ Public. La figura 6-32 muestra la carpeta y la carpeta
objetivo para \ \ Contoso.internal \ MyNamespace.
Figura 6-32 Carpeta y carpeta de destino

Si los servidores de Glasgow y Brisbane se encontraban en diferentes sitios, un usuario en el

mismo sitio que
el servidor de Brisbane se dirige automáticamente a la \ \ Brisbane \ Public carpeta
objetivo. Si esa carpeta de destino no estaba disponible (por ejemplo, si el servidor se Brisbane
fuera de línea) el usuario será redirigido a la \ \ Glasgow \ Public carpeta de destino. Multimas-
ter DFSR se asegura de que las mismas versiones de los archivos están disponibles en las dos
carpetas de destino.
Cliente de conmutación
MÁS INFORMACIÓN
por recuperación
Si un servidor está en línea y un cliente se redirige a una carpeta de destino en otro servidor, posiblemente en
otro sitio, la conmutación por recuperación del cliente se asegura de que cuando el servidor preferido vuelve a estar
disponible,
las referencias deben hacerse a dicho servidor. Algunos sistemas operativos cliente son compatibles con la
conmutación por recuperación de clientes;
otros no. Para más información, busque "Revisión de los requisitos del cliente espacios de nombres DFS"
en los archivos de Ayuda de Windows Server 2008.
Usted puede agregar carpetas a un espacio de nombres y agregar destinos de carpeta en las
carpetas en un espacio de nombres.
Las carpetas pueden contener los objetivos de la carpeta o carpetas de DFS, pero no ambas al
mismo nivel
en la jerarquía de carpetas. Puede utilizar la herramienta de espacios de nombres DFS para
configurar un
espacio de nombres para que una carpeta se encuentra en varios servidores. Esto aumenta la
disponibilidad de datos-
dad y distribuye la carga del cliente a través de servidores. Puede utilizar la herramienta de
Examen Consejo
Espacios
replicación DFSde nombres DFS distribuye un espacio de nombres en varios servidores. DFSR asegura que
datos en las carpetas de destino relevante es consistente y actualizada. No se puede utilizar para distribuir una DFSR
para asegurar que cada carpeta de destino puede contener hasta al día los datos.
espacio de nombres.
Espacios de nombres
independientes
Espacios de nombres independientes se pueden crear en un único servidor que contiene una
partición NTFS vol-
volumen para alojar el espacio de nombres. Aunque el espacio de nombres no está basada en
el dominio, el servidor
todavía tiene que ser un servidor miembro o una DC. La ventaja de un espacio de nombres
independiente
es que se puede alojar en un clúster de conmutación para aumentar su disponibilidad. Siempre
y cuando
Se podría
se crea enelegir un espacio
un servidor de nombres
Windows independiente
Server 2008, si su
un espacio de organización no usa AD puede
nombres independiente DS,
si usted necesita para crear un único espacio de nombres con más de 5.000 carpetas DFS,
apoyar
pero su
la enumeración basada en acceso, que se discutirá más adelante en esta lección.
organización no apoya Windows Server 2008 modo funcional de dominio, o si
desea utilizar un clúster de conmutación para aumentar la disponibilidad.
De dominio de nombres basados en

Se pueden crear espacios de nombres de dominio basados en uno o más servidores miembro
o controladores de dominio en
el mismo dominio. Metadatos de un espacio de nombres basado en dominio se almacena en
AD DS. Cada
aprovisionamiento
servidor debe contener un volumen NTFS para organizar el espacio de nombres. Espacio de
nombres múltiples
servidores de aumentar la disponibilidad de espacio de nombres y garantizar la protección de
conmutación por error. A
basada en el dominio del espacio de nombres no puede ser un recurso agrupado en un clúster
de conmutación. ¿Cómo-
Sin embargo, puede localizar el espacio de nombres en un servidor que también es un nodo de
un clúster de conmutación por error
siempre y cuando se configura el espacio de nombres a usar sólo los recursos locales en el
servidor.
Usted elige un espacio de nombres basado en dominios si desea utilizar varios servidores de
Un espacio
espacio de nombres de dominio basados en Windows Server 2008 es compatible con el
de nombres
modo de acceso
para asegurar basado en
la disponibilidad del espacio de nombres, o si desea que el nombre de la
enumeración.
espacio invisible para losServer
Windows 2008
usuarios delesservidor.
el modoCuando
más adelante en esta
los usuarios nolección.
necesitan conocer la
ruta de acceso UNC
a una carpeta de espacio de nombres es más fácil reemplazar el servidor de espacio o migrar
los
Si, por ejemplo,
espacio un espacio
de nombres de nombres independiente llamada \ \ Glasgow \ Libros necesarios
a otro servidor.
para ser trans-
car a un servidor llamado Brisbane, que se convertiría en \ \ Brisbane \ Libros. Sin embargo, si
se
un espacio de nombres basado en dominio (suponiendo Brisbane y Glasgow se encuentran en
el Con-
dominio toso.internal), sería \ \ Contoso.internal \ Libros sin importar en qué servidor
organizado, y que Coud se transfiere de un servidor a otro sin esta transferencia
siendo evidente para el usuario, que se siguen utilizando \ \ Contoso.internal \ Libros de
acceder a ella.
Modos de espacio de
nombres
Si opta por un espacio de nombres basado en dominios, puede utilizar el Windows 2000 Server
o el modo de Windows Server 2008. Windows Server 2008 incluye el modo de
apoyo para la enumeración basada en el acceso y proporciona una mayor escalabilidad (más
de
5.000 carpetas DFS). Siempre que sea posible, Microsoft recomienda que elija el
Windows Server 2008 de modo. Para utilizar este modo el dominio tiene que estar en el Win-
Servidor de ventanas 2008 nivel funcional de dominio y todos los servidores de espacio de
nombres se debe ejecutar-
Ning Windows Server 2008. Si desea utilizar varios espacios de nombres, sus servidores
También se debe ejecutar ediciones Enterprise o Datacenter.
Si su entorno no es compatible con el dominio de nombres basados en Windows Server
2008 modo, usted necesita usar el modo Windows 2000 Server para el espacio de nombres. El
si-
siguientes servidores pueden alojar varios espacios de nombres en el modo de Windows
Server
■ 2000: Server 2008 Enterprise
Windows
■ Windows Server 2008 Datacenter
■ Windows Server 2003 R2, Enterprise Edition
■ Windows Server 2003 R2, Datacenter Edition
■ Windows Server 2003, Enterprise Edition

■ Windows Server 2003, Datacenter Edition
Los siguientes servidores sólo puede alojar un espacio de nombres, aunque se puede aplicar
una revisión
que le permite crear múltiples espacios de nombres de dominio basados en un servidor que
ejecuta Windows
Server 2003, Standard Edition (ver http://support.microsoft.com/default.aspx?scid=kb;
en-us;
■
903651):
Windows Server 2008 Standard
■ Windows Server 2003 R2, Standard Edition
■ Windows Server 2003, Web Edition
■ Windows Server 2003, Standard Edition
■ Cualquier versión de Windows 2000 Server
La Tabla 6-1 resume las características del espacio de nombres y sus dependencias en
tipo y modo de espacio de nombres.
Tabla 6-1 Características del espacio de

nombres
Característica Autónomo Basada en el dominio Basada en el dominio
Espacio de nombres Espacio de nombres Espacio de nombres de Windows
Windows 2000 Server 2008 de modo
Modo servidor
Espacio de \ \ ServerName \ \ NetBIOS \ \ NetBIOSDomainName \

nombres \ RootName NombreDeDominio RootName
\
camino RootName
Metadatos En el Registro En AD DS y en En AD DS y en una memoria

almacenamiento y en un una memoria cachécaché en cada servidor
la memoria caché en cada servidor
en el servidor
Escalabilidad Más que El tamaño de la Más de 5.000 carpetas

5.000 carpetas espacio de nombrescon los objetivos
con los objetivos objeto de AD DS
debe ser menor
de 5 MB
(Aproximadamente
5.000 carpetas
con los objetivos)
aprovisionamiento
Tabla 6-1 Características del espacio de

nombres
Característica Autónomo Basada en el dominio Basada en el dominio
Espacio de nombres Espacio de nombres Espacio de nombres de Windows
Windows 2000 Server 2008 de modo
Modo servidor
AD mínimo AD DS no Windows 2000 Windows Server 2008

DS dominio necesario mixto
nivel funcional
Mínimo Windows 2000 Windows 2000 Windows Server 2008

el apoyo Servidor Servidor
espacio de
nombres
servidores
DFSR Sí (si es parte de Sí Sí
el apoyo Dominio de AD DS)
Disponibilidad Error de clúster Múltiple Varios servidores (en el mismo

de dominio)
servidores (en el mismo
de dominio)
Apoyo a la Sí (se requiere No Sí

basada en el acceso
Ventanas
enumeración Server 2008
servidor)
Los espacios de nombres DFS de

ajuste
Usted puede ajustar y optimizar la forma en espacios de nombres DFS maneja las referencias y
las encuestas de AD DS
para los datos de espacio de nombres actualizada. Por ejemplo, si usted sabe que un servidor
está experimentando
de mantenimiento, puede deshabilitar las referencias a los destinos de carpeta en el servidor
haciendo clic en el
DFS carpeta en la que se refiere a que el objetivo en el árbol de la consola Administración DFS,
haga clic en
Usted puede
la carpeta de buscar
destinoenenlas carpetas
la ficha o destinos
Carpeta de carpeta
objetivos, medianteDesactivar
y seleccionando la selección de un de
carpeta espacio
de nombres,
destino en el haga clic en el Buscar
ficha, especificando
Del panel una cadena de búsqueda en el cuadro de texto y haciendo clic en Buscar.
de acciones.
Figura 6-33
muestrahacer
Puede los resultados
clic en un de búsqueda.
espacio de nombres en Administración de DFS y seleccione
Propiedades. Este
le permite determinar el tamaño del espacio de nombres en la ficha General. Esta ficha permite
a determinar el modo de espacio de nombres, pero no se puede cambiar en este cuadro de
diálogo.
Figura 6-33 Buscar un espacio de nombres
La pestaña Referencias le permite programar el tiempo que un cliente almacena en caché las
referencias. También puede configurar el
método de ordenación, que determina el orden en el que un cliente intenta acceder a
carpeta de objetivos fuera de su sitio. Puede especificar un orden aleatorio, con menor coste, o
excluir
Objetivos fuera del sitio de clientes.
Si un cliente accede a una carpeta de destino no preferido debido a que el objetivo preferido es
dis-
discapacitados, se puede especificar si se referencia a la conmutación por recuperación de la
carpeta de destino preferido
cuando esté disponible (siempre que el sistema operativo del cliente no soporta-
espalda). Para ello, active o desactive los clientes conmutación por recuperación en los
destinos preferidos
casilla de verificación. Puede establecer este espacio de nombres en el cuadro de diálogo
En la ficha Avanzadas
Propiedades del carpetas
de todas las cuadro dedediálogo Propiedades del espacio de nombres, se puede
optimizar
el espacio de nombres o en el cuadro de diálogo Propiedades de una carpeta individual.
espacio de nombres de dominio de votación para espacios de nombres basados. Servidores de
espacio de forma periódica
encuesta de AD DS para obtener los datos del espacio de nombres más actuales y mantener
una constante
basada en el dominio del espacio de nombres. Usted debe seleccionar Optimizar para la
consistencia si es 16 o menos
servidores de espacio de alojamiento son el espacio de nombres. Si hay más de 16 servidores,
debe elegir optimizar la escalabilidad, lo que reduce la carga en el primario
Controlador de dominio (PDC) emulador. Sin embargo, debe tener en cuenta que este ajuste
aumenta la latencia, el tiempo necesario para que los cambios en el espacio de nombres para
replicar a todos los
servidores y espacio de nombres por lo tanto aumenta la probabilidad de que los usuarios
tengan una incon-
punto de vista consistente del espacio de nombres.
aprovisionamiento
El establecimiento de prioridades de destino a la anulación de

remisión de pedido
Una referencia es una lista ordenada de los objetivos que el cliente recibe de un DC o espacio
de nombres
servidor cuando un usuario accede a una raíz de espacio de nombres o una carpeta que tenga
destinos de carpeta en el
espacio de nombres. Cada carpeta de destino en una referencia se ordena de acuerdo con el
método definido
de la raíz del espacio de nombres o una carpeta, por ejemplo, orden aleatorio o costo más bajo.
Puede
refinar cómo se ordenan los destinos mediante el establecimiento de una prioridad en los
objetivos individuales.
Para establecer Por ejemplo,
la prioridad de destino en un destino de raíz para un espacio de nombres
puede especificar
basado en dominios, queaelampliar
objetivo
el es en primer lugar entre todos los objetivos, el último lugar
entre todos
espacio los objetivos,
de nombres en laoconsola
el primerde administración de DFS, haga clic en la carpeta
(O último) entre todos
correspondiente, hagalosclicdestinos
en el de igual costo.
carpeta de destino, y haga clic en Propiedades. En la ficha Opciones avanzadas, que se
muestra
■ en la Figura 6-34, se Los
En primer lugar entre todos los
puedeusuarios siempre se refirió a este objetivo, si está
seleccionar
objetivosla referencia de pedido anulación casilla de verificación y especifique una de las
disponible.
siguientes
■ opciones:
El último lugar entre todos losLos usuarios nunca se hace referencia a este objetivo a menos
objetivos
se no están disponibles. que todos los demás tar-
■ En primer lugar, entre destinos de igual costo Los usuarios se hace referencia a este objetivo
antes de de
destinos otros
igual costo (por lo general en el mismo sitio).
■ Los costo
Último de los destinos de igual usuarios nunca se hace referencia a este objetivo si no es
destinos de igual costo están disponibles (por lo general en el mismo sitio).
Figura 6-34 Referencia primordial pedido

NOTA La administración de espacios de

nombres
Puede administrar espacios de nombres DFS mediante la Administración de la dfsutil de línea de comandos, o
scripts que llaman a Windows Management Instrumentation (WMI) los procedimientos.
La enumeración basada en acceso

La enumeración basada en acceso es una nueva característica en Windows Server 2008 que
permite a DFS
a los usuarios ver sólo los archivos y carpetas en un servidor de archivos que tienen permiso de
acceso.
Esta función no está habilitada por defecto para espacios de nombres. Sin embargo, es
permitido por la
por defecto en el recién creado carpetas compartidas en Windows Server 2008. Que sólo se
admite
en un espacio de nombres DFS, cuando el espacio de nombres es un espacio de nombres
independiente alojada en un
equipo que ejecuta Windows Server 2008 o un espacio de nombres de dominio basados en
Windows
Server 2008
Windows de modo.
Server Para habilitar
2008 mejora la enumeración
las características de labasada
dfsutil en acceso
utilidad en un espacio
e introduce la de
nombres,
dfsdiag dese introduce
servicios un
públicos. Para más información, abra la consola de comandos (o Comando
línea de comandos
Ventana con
del sistema) la tipo
y el siguiente
dfsutilsintaxis:
/? y dfsdiag /?.
Configuración de una estructura de

DFSR DFSR proporciona un motor de replicación con múltiples maestros que replica los datos entre
múltiples
servidores a través de conexiones LAN y WAN de la red. Sustituye a la NIC como la replica-
ción del motor para espacios de nombres DFS, así como para la replicación de AD DS la
carpeta SYSVOL
en los dominios que utilizan Windows Server 2008 nivel funcional de dominio. DFSR utiliza
la compresión diferencial remota (RDC), algoritmo de compresión que detecta
cambios en los datos en un archivo y permite DFSR para replicar únicamente los bloques
modificados archivo
en desea
Si lugar de todo DFSR,
utilizar el archivo.
es necesario crear grupos de replicación y añadir replicado plegable
res de estos grupos. Un grupo de replicación es un conjunto de servidores conocidos como
miembros. El grupo
participa en la replicación de una o más carpetas replicadas, que se sincronizan
de cada miembro. Las conexiones entre los miembros forman la topología de replicación.
Cuando se crea varias carpetas replicadas en un único grupo de replicación, el proceso de
de la implementación de carpetas replicadas se simplifica debido a que la topología, la
programación y
del ancho de banda para el grupo de replicación se aplican a cada carpeta replicada.
Debido a que cada carpeta replicada tiene una configuración única, puede filtrar los archivos de
diferentes
y subcarpetas para cada carpeta replicada.
aprovisionamiento
Si desea implementar carpetas replicadas adicionales, puede utilizar la replicación de Nueva

Grupo de Asistente de la consola de administración de DFS o la dfsradmin de línea de
comandos util-
dad para definir la ruta local y los permisos para la nueva carpeta replicada. Que especifique
los servidores (dos o más) que se incluyen en el grupo de replicación y la topología,
que puede ser centro o hablaba, de malla, la topología o no. La figura 6-35 muestra la topología
Selección del Asistente para nuevo grupo de replicación.
Figura 6-35 Selección de una topología de replicación
Las carpetas replicadas almacenadas en cada miembro pueden estar ubicados en diferentes
volúmenes
y las carpetas replicadas no es necesario que sean carpetas compartidas o parte de un espacio
de nombres.
Sin embargo, puede utilizar la consola Administración de DFS para compartir carpetas
replicadas y
Puede utilizar el nuevo grupo de replicación asistente para configurar un grupo de replicación
(Opcionalmente) las publicará en un espacio de nombres existente.
de datos
colección (no sólo para la replicación del espacio de nombres DFS). Esto establece una
replicación bidireccional
entre dos servidores, como el sarmiento, y servidor concentrador. Esto permite a los
administradores a
la oficina central de una copia de seguridad de datos en el servidor de sucursal desde el
servidor concentrador y elimina la
necesidad de realizar copias de seguridad en las sucursales donde la experiencia necesaria
puede
no estar disponibles. Si usted usa DFSR de esta manera, asegúrese de establecer los permisos
para
que la replicación desde el centro hasta la rama (que suele ser lo que se requiere) y no el
otra manera.
El despliegue de DFSR
El despliegue de DFSR requiere que se realicen las siguientes tareas (como mínimo):
■ Revisar los requisitos de DFSR.
■ Crear un grupo de replicación.
■ Agregar una carpeta replicada a un grupo de
■
replicación.
Agregar un miembro a un grupo de replicación.
■ Crear una conexión.
■ Delegar la capacidad de realizar tareas de DFSR.
Antes de poder implementar DFSR, es necesario asegurarse de que el esquema de AD DS se

ha
ampliado para incluir las adiciones esquema necesario. Usted puede utilizar el adprep de
comandos
utilidad de la línea para incluir adiciones al esquema. Es necesario verificar que todos los
miembros de la
grupo de replicación se ejecuta Windows Server 2008 o Windows Server 2003 R2. Usted
necesidad de instalar el servicio de función DFSR en todos los servidores que actúan como
No todo el de
miembros software de protección antivirus es compatible con DFSR. Antes de implementar
una réplica-
DFSR,
ción delque
grupo.
ponerse en contacto con su proveedor de software antivirus. Usted necesita asegurarse de que
las carpetas que
desea replicar se llevan a cabo en volúmenes NTFS. Si las carpetas que desea replicar están
en
grupos de conmutación por error, es necesario ubicarlos en un nodo específico. El servicio
Servidores
DFSR no de grupo de replicación deben estar ubicados en el mismo bosque. No se puede
habilitar
coordinar con los componentes del clúster, y el servicio no conmutará por error a otro nodo.
DFSR entre servidores de diferentes bosques. Si usted necesita para replicar datos a través de
bosques,
deben investigar otros métodos, tales como la copia de archivos robusto (Robocopy) utilidad
que
está actualmente disponible en el Kit de recursos de Windows Server 2003 (véase http://
www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-
Usted puede utilizar
b18c4790cffd el Asistente
& displaylang para nuevo grupo de replicación en la consola de
= en).
administración de DFS
crear un grupo de replicación y el Asistente para nuevo miembro agrega un miembro. La Nueva
Asistente para replicar carpetas en la misma herramienta que añade una carpeta replicada a
una réplica
grupo. Tenga en cuenta que cuando se agrega una nueva carpeta replicada no se replica
inmediata-
inmediatamente. Configuración DFSR primero se debe replicar en todos los países en
desarrollo, y cada miembro de la
grupo de replicación debe sondear su más cercano DC para obtener la nueva configuración. La
cantidad
de tiempo que tarde depende de la latencia de replicación de AD DS y el intervalo de sondeo
largo
(Normalmente 60 minutos) de cada miembro.
aprovisionamiento
Para crear una conexión, haga clic en el grupo de replicación en el que desea crear un
nueva conexión y haga clic en Nueva conexión. A continuación, especifique el envío y la
recibir a los miembros y especifique la programación que se utilizará para la conexión. En este
punto,
replicación es unidireccional y debe seleccionar crear una segunda conexión en la
Dirección opuesta a la aplicación de una replicación bidireccional.
PRECAUCIÓNLa replicación unidireccional
A pesar de que es posible crear una conexión de replicación de un solo sentido, esto puede causar
(Por ejemplo), la salud comprobar errores de topología, las cuestiones de puesta en escena, y los problemas con
la base de datos DFSR.
Se puede delegar la capacidad de realizar tareas de DFSR. Por ejemplo, puede hacer clic con
el botón
el nodo Replicación en la consola de Administración de DFS y luego haga clic en Delegar Man-
Permisos de gestión. Esto le permite delegar las tareas de creación de un grupo de replicación,
la administración de un grupo de replicación, o permitiendo DFSR en una carpeta que tiene la
carpeta tar-
se. Para añadir un servidor a un grupo de replicación, el usuario debe ser un administrador
local en el
servidor o un miembro del grupo de seguridad Administradores de dominio.
La replicación inicial
Cuando se configura la replicación, se elige un miembro principal. Normalmente, usted
que elija el miembro que tiene la información más al día los archivos debido a que el pri-
contenido mary miembro se considera autorizada. Durante la replicación inicial,
los archivos del miembro principal siempre va a ganar la solución del conflicto que se
produce
cuando los miembros han de recibir los archivos que son mayores o posterior a la aso-
ated archivos en el miembro principal.
La replicación inicial siempre se produce entre el miembro principal y su recepción

asociados de replicación. Después de un socio ha recibido todos los archivos de los
principales miembros de
bre, que a su vez, los archivos de replicar a sus socios de acogida. Así, la replicación de
una
nueva carpeta replicada comienza desde el miembro principal y luego se propaga a
los otros miembros del grupo de replicación.
Si un archivo en un asociado de replicación es idéntico al de un archivo en el miembro
principal, el
archivo no se replica. Si la versión de un archivo en el miembro receptor es diferente
de la versión del miembro principal, la versión del miembro receptor se mueve a
la carpeta Conflictos y eliminaciones y RDC se utiliza para descargar sólo los cambios
bloques. Para determinar si los archivos en el miembro principal y la recepción de una
miembros son idénticos, DFSR compara los archivos utilizando un algoritmo hash. Si el
los archivos son idénticos, sólo se transfiere un mínimo de metadatos.
Cuando todos los archivos existentes en una carpeta replicada se añaden a la base de
datos DFSR, el
designación de miembro principal se retira. El miembro que fue el principal
miembro es tratado como cualquier otro miembro. Todo Miembro que haya terminado
la replicación inicial se considera autoridad sobre los miembros que no han com-
completaron la replicación inicial.
La gestión de DFSR
Puede administrar DFSR mediante la Administración de DFS, el dfsradmin y dfsrdiag de
comandos
utilidades de la línea, o mediante el uso de scripts que llaman a las clases de WMI. La gestión
de DFSR requiere que
realizar
■ las siguientes
Editar tareas de
programaciones (como mínimo):
las replicaciones o manualmente la
■
replicación fuerza.
Activar o desactivar la replicación.
■ Activar o desactivar la replicación en un miembro específico de un grupo de
■
replicación.
Cambiar el tamaño de las carpetas provisionales o carpetas Conflictos y
■
eliminaciones.
Especificar los tipos de archivos para ser
■
replicado.
Compartir una carpeta replicada en una red o agregar la carpeta a un espacio de
■
nombres DFS.
Especificar y si es necesario, cambie la topología de un grupo de replicación.
Para modificar la programación de replicación de un grupo de replicación o para forzar la

replicación con un espe-
miembro específico de un grupo de replicación, haga clic en el grupo de replicación con el
calendario
que desea editar y haga clic en Modificar la programación de replicación de grupo. Para forzar
la replicación
ción inmediatamente, seleccione el grupo de replicación, haga click en la pestaña de
Para activar o desactivar la replicación para una conexión específica, haga clic en el grupo de
Conexiones,
replicación
y haga clic en el miembro que desea utilizar para replicar. Continuación, haga clic en Replicar
que contiene la conexión que desea editar, haga clic en la ficha Conexiones en los detalles
ahora.
panel, haga clic en la conexión, y haga clic en Activar o desactivar, según corresponda.
Usted puede activar o desactivar la replicación con determinados miembros de un grupo de
replicación en
la consola de administración de DFS. Sin embargo, después de haber habilitado una persona
con discapacidad
el miembro debe completar una replicación inicial de la carpeta replicada. Repli-inicial
ción hará que alrededor de 1 KB de datos que se transfieren por cada archivo o carpeta en el
carpeta replicada y los archivos actualizados o nuevos presentes en el miembro se moverá
al DfsrPrivate \ PreExisting carpeta en el miembro y ser sustituido por autoritario-
TIVOS archivos de otro miembro.
aprovisionamiento
Si todos los miembros son discapacitados de una carpeta replicada, el primer miembro que se
permiten
automáticamente el miembro principal. Si la lista de control de acceso discrecional (DACL)
la ruta local de este usuario contiene ACE heredadas, que se convierten en
ACE explícitas con los mismos permisos a fin de que todos los miembros tengan el mismo
DACL en la raíz de la carpeta replicada.
Para activar o desactivar la replicación de una carpeta replicada a un miembro específico, haga
clic en la repre-
blicación grupo que contiene el número de miembros que desea activar o desactivar y
seleccione
la carpeta replicada en el miembro específico. Haga clic derecho en la carpeta replicada y
haga clic en Activar o desactivar, según corresponda. Cambios de pertenencia no se aplican
inmediatamente-
inmediatamente. Deben ser replicado en todos los países en desarrollo y el miembro debe
sondear su más cercano a la DC
obtenerutiliza
DFSR los cambios. La cantidad
las carpetas de tiempo
provisionales paraque
cadatarde depende
carpeta de la Estos
replicada. replicación
actúandecomo
AD DS
caché
la latencia
para y el intervalo
los nuevos y de sondeo corto (generalmente 5 minutos) en el miembro.
archivos modificados que están listos para ser replicado desde los miembros remitentes a la
recepción de
los miembros. Estos archivos se almacenan en los elementos privados de DFSR \ Staging
carpeta en la ruta local de
la carpeta replicada. Cuando un archivo se modifica en dos o más miembros antes de
los cambios pueden ser replicados, el archivo de la actualización más reciente es elegido para
replica-
ción y el restante del archivo o los archivos se copian en la carpeta Conflictos y eliminaciones
(DfsrPrivate
Por defecto, \elConflictAndDeleted).
tamaño de la cuota de La cada
carpeta Conflictos
carpeta y eliminaciones
provisional es de 4.096también almacena
MB y el los
tamaño de
archivos
la cuota de
que
cadase eliminan
carpeta de las carpetas
Conflictos replicadas.
y eliminaciones es de 660 MB. El tamaño de cada carpeta en un
miembro es
acumulativos. Si existen varias carpetas replicadas en un miembro, DFSR crea múltiples
puesta en escena y carpetas Conflictos y eliminaciones, cada uno con su propia cuota.
Puede cambiar el tamaño de la cuota de carpetas provisionales o carpetas Conflictos y
eliminaciones en una
por replicado-carpeta, por cada miembro base. Para hacer esto en la consola de administración
de DFS,
haga clic en el grupo de replicación que contenga la carpeta replicada con las cuotas que
desea editar. En la ficha de miembro en el panel de detalles, haga clic en la replica
carpeta en el miembro de la cuota que desea editar y, a continuación, haga clic en
Propiedades.
En la ficha Opciones avanzadas, editar las cuotas según las necesidades.
NOTA La cuota provisional de DFSR
A diferencia de la cuota provisional de FRS, la cuota provisional de DFSR no es un límite absoluto, y puede crecer
más grande que su tamaño configurado. Cuando se alcanza la cuota, elimina los archivos antiguos de DFSR de la
puesta en escena
carpeta para reducir el uso del disco. La carpeta de ensayo no se reserva espacio en el disco duro, y sólo se
consume el espacio en disco que se necesita actualmente.
Puede configurar filtros de archivos y subcarpetas que especifican los tipos de archivos y
carpetas que se
reproducirse o, para ser exactos, qué tipos de archivos y las carpetas que no quieren repre-
licate. Ambos tipos de filtro se especifican en función de cada replica de carpetas. Puede
excluir
subcarpetas especificando su nombre o utilizando el carácter comodín (*). Puede
excluir archivos mediante la especificación de sus nombres o utilizando el carácter comodín
para especificar
Por defecto,
nombres no en lasysubcarpetas
de archivos extensiones.están excluidos de la replicación y son los siguientes
archivos
excluidos:
■ Los nombres de archivo a partir de una tilde (~) de
■
carácter
Archivos con extensión. Bak o. Tmp
Independientemente de cómo especificar los filtros, los siguientes tipos de archivos están
siempre
excluidos de la replicación:
■ NTFS puntos de montaje de
■
volumen
Los archivos que son encriptados usando el sistema de archivos cifrado
■
(EFS)
Todos los puntos de reanálisis, excepto aquellos asociados con espacios de
■
nombres DFS
Archivos en los que se ha establecido el atributo temporal
Para editar los filtros de replicación de una carpeta replicada, haga clic en el grupo de
replicación que
contenga la carpeta replicada con los filtros que desea editar. En el panel de detalles,
en la pestaña Carpetas replicadas, haga clic en una carpeta replicada, a continuación, haga clic
en Propiedades.
En la ficha General, editar los filtros existentes o agregar nuevos filtros. Tenga en cuenta que
no puede cre-
comieron los filtros de archivo o una subcarpeta, especificando la ruta completa, como por
ejemplo C: \ Replicatedfolder \ Temp
o C: \ Replicatedfolder
Cuando \ archivo.dat.
un miembro detecta un filtroAdemás,
nuevo que noexplora
se puede
su utilizar
base deuna coma
datos en un filtro,
y elimina ya que
los registros
com-
del archivo
mas
de lossearchivos
utilizan como delimitadores.
que coinciden con el filtro. Dado que los archivos ya no aparecen en la base de
datos,
futuros cambios en los archivos se pasan por alto. Cuando un miembro detecta que el filtro ha
sido
retirado que busca en el sistema de archivos, agrega registros para todos los archivos que
Usted puede
coinciden conhabilitar el usofil-compartido de archivos en una carpeta replicada y especificar si
el eliminado
desea agregar (publicar)
ter, y reproduce los archivos.
la carpeta en un espacio de nombres DFS. En la consola de Administración de DFS, haga clic
en la replicación
grupo que contiene la carpeta replicada que desee compartir. En el panel de detalles, en el
Replicado ficha Carpetas, haga clic en la carpeta replicada que desee compartir y, a
haga clic en Compartir y publicar en el espacio de nombres. En el compartir y publicar
replicados
aprovisionamiento
Asistente para carpeta, haga clic en Compartir la carpeta replicada y siga los pasos de la
Participación
Asistente para publicación y carpetas replicadas, especificando si la publicación de la carpeta
cuando se
se le solicitará que ajuste. Si usted no tiene un espacio de nombres existente, puede
crear una ruta en la página Espacio de nombres en el asistente. Para ello, haga clic en
Examinar en el
Página del espacio
Especificar de nombres
la topología de ruta y haga clic en nuevo espacio de nombres.
de replicación
La topología de replicación define las conexiones lógicas que DFSR utiliza para replicar
archivos entre servidores. La hora de elegir o cambiar una topología, recuerda que que dos
de un solo sentido se crean conexiones entre los miembros que elija, lo que permite
el flujo de datos en ambas direcciones. Para crear o cambiar una topología de replicación de la
DFS
Consola de administración, haga clic en el grupo de replicación para el que desea definir un
nueva topología y haga clic en la nueva topología. La nueva topología del Asistente se le
permite
elegir una de las siguientes opciones:
■ Hub and spoke Esta topología requiere tres o más miembros. Para cada radio
miembro, usted debe elegir un miembro de centro necesario y un segundo centro opcional
miembro de la redundancia. Este centro opcional garantiza que un miembro habló todavía
puede
replicar si uno de los miembros de centro no está disponible. Si se especifica más de una
miembro del cubo, los miembros del centro tendrá una topología de malla completa entre
■ ellos.
De malla completa En esta topología, todos los miembros se replica con todos los demás
miembros
del grupo de replicación. Esta topología funciona bien cuando 10 o menos miembros
están en el grupo de replicación.
Nueva funcionalidad proporcionada por DFSR

A condición de que todos los miembros del grupo de replicación está ejecutando el operativo
del sistema, Windows Server 2008 DFSR proporciona las siguientes mejoras:
■ Esto evita que un servidor que estaba fuera de línea durante mucho tiempo de
Contenido frescura
sobrescribir los datos nuevos cuando se trata de nuevo en línea con los datos fuera de
fecha.
■ Windows Server 2008 DFSR
Mejoras para el manejo de cierres inesperados
ofrece una recuperación más rápida de cierres inesperados, incluyendo inesperados
Cierre DFSR causada por la insuficiencia de recursos, el ordenador se bloquea, o en el
disco
los problemas. En tales situaciones, Windows Server 2008 (a diferencia de Windows
Server 2003 R2) usualmente no es necesario para reconstruir la base de datos y por lo
tanto se recupera
con mayor rapidez.
■ La replicación es más rápido, tanto para los archivos pequeños y

Mejoras en el rendimiento
grandes,
sincronización inicial se completa más rápido, y es la utilización del ancho de banda
mejora tanto en redes de área local y redes de alta latencia, como las redes WAN.
■ Windows Server 2008 utiliza la llamada a procedimiento remoto
Las mejoras técnicas
(RPC) Async tuberías cuando se replica con otros servidores que ejecutan Windows
Server
2008. Hace uso de la asíncrona, sin búfer, de baja prioridad I / O, con lo que
la reducción de la carga en el sistema como resultado de la replicación.
■ Descargas simultáneas de archivos Windows Server 2008 permite DFSR 16 concurrentes
descargas de archivos. Windows Server 2003 R2 permite sólo cuatro.
■ La propagación de informe El Windows Server 2008 DFS consola de administración de pro-
proporciona acceso a un nuevo tipo de informe de diagnóstico denominado informe de
propagación, que
muestra el progreso de la replicación para el archivo de prueba creado durante una
■ pruebainmediata
Réplica Puede forzar la replicación se produzca inmediatamente, tempo-
de propagación.
rarily haciendo caso omiso de la programación de replicación. Este procedimiento se ha
descrito anteriormente en
esta lección.
■ Soporte para los controladores deWindows
dominio deServer 2008
sólo lectura DFSR
(RODC)
apoya los RODC, que fueron discutidas en el Capítulo 3, "Active Directory y
Directiva de grupo. "Sin embargo, no es compatible con DFSR de sólo lectura los grupos
de replicación
y sólo es compatible con los RODC en los nodos hoja.
■ La replicación de SYSVOL DFSR reemplaza FRS como el motor de replicación para replicar
la
AD DS SYSVOL carpeta en dominios que utilizan el dominio de Windows Server 2008
funciones
a nivel internacional.
DFS de gestión
MÁS INFORMACIÓN
hh dfs2.chm.
Configurar el acceso a datos fuera de

línea Usted puede utilizar el recurso compartido y la consola de administración de almacenamiento
para configurar cómo (y si)
archivos y programas en una carpeta compartida o el volumen de su servidor Windows Server
2008 son
disponible sin conexión. Los usuarios, a su vez, deberá configurar la característica Archivos sin
conexión en sus clientes
computadoras.
aprovisionamiento
Por lo general, cuando los usuarios están en línea van a descargar y editar archivos de datos
(por ejemplo,
Los documentos de Microsoft Office Word o Microsoft Office Excel hojas de cálculo)
almacenado en un
servidor, y salvar sus archivos actualizados en el servidor. Si un archivo ejecutable (por ejemplo
un exe. o. dll) se ha descargado en el cliente, el archivo local por lo general se ejecutan en
el cliente cuando sea necesario.
Los archivos de usuario marcados para el acceso en línea se puede configurar para que se
descargan en
el cliente cuando el usuario cierra la sesión o inicie un cierre ordenado. El usuario puede
trabajar con estos archivos sin conexión. Cuando el usuario inicia sesión en la red, los archivos
modificado
en el cliente se cargan en el servidor. Este proceso se conoce como sincronización, y
sólo los archivos que se han abierto desde la última sincronización o los nuevos archivos que
se han
Puede configurar
han creado recursos compartidos del servidor que contiene los archivos de alta seguridad
se sincronizan.
(tales como archivos cifrados)
para que estos archivos no están sincronizados. La característica Archivos sin conexión en los
equipos cliente
almacena los archivos sin conexión en una parte reservada del disco del cliente que se conoce
Configuración de los valores fuera de
como la caché local.
línea
En la proporción y la consola de administración de almacenamiento se puede acceder a una
carpeta compartida en la
Acciones ficha y haga clic en Propiedades. A continuación, haga clic en Avanzado en la
pestaña Compartir de la
participación de cuadro de diálogo Propiedades. Esto le permite acceder a la configuración de
la caché
ficha del cuadro de diálogo Opciones avanzadas, como se muestra en la Figura 6-36.
Figura 6-36 Configuración sin conexión

Usted puede elegir una opción de disponibilidad en línea para el recurso compartido. Si lo
desea,
Puede configurar cada recurso compartido en el servidor con la configuración en línea que
usted elija.
Los
■ siguientes ajustes
Sólo los archivos están disponibles:
y programas Esta es lestán disponibles sin
que los usuarios especifiquen
conexión
la opción por defecto. Con esta opción, no los archivos del usuario o el programa están
disponibles en línea
a menos que el usuario especifica que debe ser. El usuario elige los archivos que se
sincronizado y en línea disponibles. Puede utilizar esta opción si los usuarios están
relativamente sofisticado y sensible puede elegir los archivos que desea trabajar.
■ Todos los archivos y programas que el usuario abra desde el recurso compartido están disponibles de
forma automática
Fuera de línea Cada vez que un usuario accede a la carpeta compartida o el volumen y se
o archivos
abre de programa, archivo o programa que automáticamente disponibles sin
un usuario
conexión a
ese usuario. Los archivos y programas que no sean abiertas, no están disponibles sin
conexión. Este
tiene la ventaja de que los usuarios no tienen que elegir los archivos que se sincro-
reconocido. Cualquier archivo que un usuario abre durante las horas de trabajo está
disponible en ese usuario
portátil en casa. El ajuste tiene el inconveniente de que si el usuario abre un montón de
archivos, o algunos archivos muy grandes (o ambos) que podría tomar bastante tiempo
para que él
sesión de la tarde ya que los archivos deben transferirse desde el cliente al
■
el servidor. La opción Optimizado para rendimiento (más adelante en este sec-
No hay archivos o programas del recurso compartido está disponible sin conexión Esta opción bloquea
ción) puede aliviar (pero no eliminar) este problema.
la
Característica Archivos sin conexión en el cliente de hacer copias de los archivos y
programas
en el recurso compartido. Normalmente, se selecciona esta opción para evitar que seguro
recursos compartidos que se almacenen fuera de línea en no asegurar los equipos. Si la
compañía
la política no le permite seleccionar esta opción, asegúrese de establecer acciones y
NTFS para configurar el nivel apropiado de control de acceso.
La optimización de rendimiento
Si selecciona Todos los archivos y programas que el usuario abra desde el recurso compartido
están automática-
Disponible sin conexión automáticamente, si lo desea, puede seleccionar el optimizadas para el
rendimiento
casilla de verificación. Si lo hace, los archivos ejecutables que un cliente va desde el recurso
compartido son
automáticamente almacenados en caché en ese cliente. La próxima vez que el equipo cliente
debe ejecutar
uno de los archivos ejecutables, que tendrá acceso a su caché local en vez de la compartida
recurso en el servidor. Usted debe configurar esta opción en servidores de archivos que alojan
aplicaciones, ya que esto reduce el tráfico de red y mejora la escalabilidad del servidor.
Nótese, sin embargo, que el ajuste optimizado para el rendimiento del servidor no altera la
caché de comportamiento de los clientes de Windows Vista.
aprovisionamiento
ExamenLaConsejo
característica Archivos sin conexión debe estar habilitado en el cliente para archivos y programas que se
automáticamente almacenados en caché, sin importar los ajustes que se configuran en servidores Windows Server
2008.
Configuración de indización en el servicio de búsqueda de

WindowsWindows Server 2008 ofrece el servicio de búsqueda de Windows como un servicio de función
en el
Servicios de archivo función de servidor. El servicio ofrece una solución de indexación que crea
una
Índice de los archivos más comunes y no los tipos de archivos de datos en el servidor. Al índice
archivos y tipos de datos, esto le permite realizar búsquedas rápidas de archivos en el servidor
de
los clientes que ejecutan Windows Vista o Windows XP o Windows Server 2003
En
consu lugar, puede
Windows Desktopinstalar el servicio
Search de indexación legado que se utilizó en versiones
instalado.
anteriores
de Windows como parte del servicio de Windows Server 2003 papel. Sin embargo, usted debe
hacer
esto solo si usted tiene una aplicación a medida o no son de Microsoft que requiere que usted
ejecutar este servicio en su servidor. No se puede instalar el servicio de búsqueda de Windows
y
el Servicio de Index Server en el mismo equipo, y Microsoft recomienda que
actualizar todas las aplicaciones que requieren el servicio de Index Server para ser compatible
con
Windows Search Service, que ofrece varias mejoras, especialmente en las áreas de
Selección de los
extensibilidad, volúmenes
facilidad de usoyycarpetas al índice
rendimiento.
Se le da la opción de seleccionar el índice de volumen cuando se agrega el de Windows
Servicio de búsqueda de servicio de la función. Usted siempre debe índice de recursos
compartidos solamente. La
Servicio de búsqueda de Windows le permite buscar archivos en el servidor de un cliente
equipo y no hay mucho sentido en las carpetas de indexación que no se puede acceder a
través de
de la red.
Microsoft recomienda que seleccione un volumen que se utiliza exclusivamente para hosting
las carpetas compartidas. No es necesario que especifique un volumen para instalar el servicio
de función y
puede agregar carpetas compartidas individuales después de que el servicio está instalado.
Cuando se instala
Windows Search Service, ubicaciones predeterminadas de indexación son seleccionados,
incluso si no
seleccionar un volumen en el índice. Usted puede revisar las ubicaciones predeterminadas
mediante la apertura de indexación
Opciones del Panel de control, como se muestra en la Figura 6-37. En esta figura la F: el
volumen se
especifica que el servicio de rol se ha instalado. El usuario y las carpetas del menú Inicio se
ubicaciones predeterminadas.
Figura 6-37 El cuadro de diálogo Opciones de indización
Configuración de indexación
Al hacer clic en Modificar en el cuadro de diálogo Opciones de indización se mostró
anteriormente en
Figura 6-37, haga clic en Mostrar Todas las localidades en el cuadro de diálogo Ubicaciones
indizadas, y claro
el cuadro de diálogo UAC para llenar el cuadro de diálogo Ubicaciones indizadas, se obtiene
una lista de
ubicaciones indizadas que se puede editar, como se muestra en la Figura 6-38. La figura 6-39
muestra la
carpeta compartida C: \ Libros que se añade a la lista de ubicaciones.
Figura 6-38 Lugares poblados indexadas cuadro de diálogo

aprovisionamiento
Figura 6-39 Adición de una ubicación al índice
Cuando se agrega una nueva ubicación de indexación comenzará. Puede hacer clic en Detener
si es necesario
pausa de indexación para hacer otra cosa. Como anteriormente, es necesario borrar el cuadro
de diálogo UAC
caja. También puede hacer clic en Opciones avanzadas del cuadro de diálogo Opciones de
indización (una vez más lo que necesita
para desactivar la casilla de diálogo UAC). Esto le permite tener acceso al cuadro de diálogo
Opciones avanzadas.
La ficha Configuración del índice de este cuadro de diálogo se muestra en la Figura 6-40.
Figura 6-40 La configuración de índice de tabulación del cuadro de diálogo Opciones avanzadas
En la ficha Configuración del índice se puede elegir a los archivos de índice de cifrado y
similares para el tratamiento de
palabras con los signos diacríticos como palabras diferentes. Diacríticos son marcas anteriores,
a través o por debajo
letras (como los acentos). También puede optar por reconstruir su índice o índices
lugares seleccionados y para cambiar la ubicación de su índice. Si cambia el índice de
lugar es necesario detener y reiniciar el servicio.
En la ficha Tipos de archivo del mismo cuadro de diálogo puede agregar o quitar tipos de
archivo que
quiera señalar y especificar si el índice de propiedades o sólo por las propiedades y
contenido. También puede especificar una extensión de archivo que no está en la lista y haga
clic en Agregar nuevo
De extensión.
Práctica: La migración de un espacio de nombres para Windows Server 2008
de modo Cuando se creó el espacio de nombres de dominio basados en \ \ Contoso.internal \
MyNamespace en
la sesión de práctica en la lección 1, que se creó en el modo de Windows Server 2000
(Suponiendo que se lleva a cabo las instrucciones de como esta escrito). En esta sesión de
práctica
migrar el espacio de nombres con el servidor en modo de Windows 2008.
Ejercicio: Migrar un espacio de nombres
En este ejercicio se utiliza tanto en la consola de administración de DFS y la dsfutil de línea de
comandos
de servicios públicos. En primer lugar, confirmar que el espacio de nombres que se crea en
Windows 2000 Server
modo. A continuación, exportar el espacio de nombres en un archivo, borrar el espacio de
nombres, vuelva a crear en
Modo Windows Server 2008, y luego importar la configuración de espacio de nombres del
archivo que
1. InicieEs
creado. sesión en el haber
necesario DC con la cuenta de
completado loskim_akers.
ejercicios en la lección 1 antes de llevar a cabo esta
el ejercicio. Para completar los ejercicios, siga estos pasos:
2. Abra la consola de administración de DFS en el menú Herramientas administrativas. Clic
Continuar para cerrar el cuadro de diálogo UAC.
3. Ampliar los espacios de nombres. Haga clic derecho en \ \ contoso.internal \

MyNamespace y haga clic en
Propiedades.
4. En la ficha General se muestra en la Figura 6-41, confirmar que el espacio de nombres se
encuentra en
Windows 2000 Server modo. Si el espacio de nombres se encuentra en modo de servidor
de Windows 2008
Haga
5. no clic en Cancelar
es necesario llevar apara
cabocerrar el cuadro
el resto de estede diálogo Propiedades. Cerca de la
ejercicio.
Administración de DFS
de la consola.
6. Abra la consola de comandos (a veces conocido como el símbolo del sistema
ventana) en modo elevado (Ejecutar como Administrador). Haga clic en Continuar para
borrar el
UAC cuadro de diálogo.
aprovisionamiento
Figura 6-41 Espacio de nombres en el modo de Windows Server 2000
7. Tipo exportación dfsutil root \ \ contoso.internal \ MyNamespace C: \ MyNameSpace.xml

como se muestra en la Figura 6-42.
Figura 6-42 Exportación de las propiedades del espacio de nombres
8. Para eliminar el espacio de nombres, escriba el comando dfsutil raíz eliminar \ \ Contoso
. Internas \ MyNamespace.
9. Para volver a crear el espacio de nombres en el servidor de modo de Windows 2008,

ejecute el comando
dfsutil raíz adddom \ \ Glasgow \ MyNamespace. Su consola de comandos
Figura 6-43 Borrar y volver a crear un espacio de nombres
NOTA Adddom
La adddom parámetro en el comando asegura que el espacio de nombres es basada en el dominio. Usted
necesidad de especificar una versión servicios. Si el espacio de nombres se distribuye en varios servicios esta
vers
configuración se restaura cuando se combinan los valores del espacio de nombres que ha eliminado. Usted
no es necesario añadir V2 a la orden porque Windows Server 2008 es el modo por defecto.
10. Ahora importar la configuración del espacio de nombres del archivo de exportación que creó
anteriormente. Entrar
el comando importación dfsutil raíz fusionar C: \ MyNameSpace.xml \ \ Contoso
. Internas \ MyNamespace. La salida de este comando se muestra en la Figura 6-44.
Si usted fuera la migración de un espacio de nombres con más opciones de configuración, la
actualización
estadísticas, vínculos, los objetivos y las raíces se muestran los diferentes valores.
Figura 6-44 Importación de la configuración del espacio de

nombres
11. Abra la consola de administración de DFS en el menú Herramientas administrativas. Clic
Continuar para cerrar el cuadro de diálogo UAC.
aprovisionamiento
12. Ampliar los espacios de nombres. Haga clic derecho en \ \ contoso.internal \

MyNamespace y luego
haga clic en Propiedades.
13. En la ficha General se muestra en la Figura 6-45, confirmar que el espacio de nombres se
encuentra en
Windows Server 2008 de modo.
Figura 6-45 Espacio en el servidor de modo de Windows 2008
■ La herramienta de espacios de nombres DFS en la consola de administración de DFS le
permite compartir grupo
carpetas en diferentes lugares en espacios de nombres lógicamente estructurado de tal
manera que los usuarios
Puede ver cada espacio de nombres como una sola carpeta compartida con una serie de
subcarpetas.
■ Esta estructura proporciona tolerancia a fallos y la capacidad de forma automática
La herramienta de replicación DFS en la consola de administración de DFS le permite
conectar a los usuarios locales a las carpetas compartidas cuando esté disponible.
administrar DFSR,
que proporciona un motor de replicación con múltiples maestros que te permite sincronizar
carpetas
en los servidores a través de conexiones locales o WAN. En él se actualiza sólo aquellos
archivos que han
■ cambiado
Usted puededesde la última
utilizar replicación.
el recurso Usted
compartido puede
y la utilizar
consola DFSR junto condeDFS
de administración
Los espacios de nombres o por sí mismo.
almacenamiento para configurar el número de archivos
y los programas en una carpeta compartida o el volumen de su servidor Windows Server
2008
están disponibles sin conexión.
■ El servicio Windows Search índices de función de servicio de archivos, carpetas y

volúmenes
permiten realizar búsquedas rápidas de archivos de servidor para ser implementado
desde un equipo cliente. Usted
Puede configurar los ajustes de indexación de la herramienta Opciones de indización en el
Panel de Control.
en
Lección 2, "aprovisionamiento de datos." Las preguntas también están disponibles en el CD si
que prefieren revisar en forma electrónica.
NOTA Respuestas
1. ¿Cuál de los siguientes servidores pueden soportar múltiples espacios de nombres DFS en
Windows
Server 2008 modo? (Elija todas las que apliquen.)
A. Windows Server 2008 Standard
B. Windows Server 2008 Enterprise
C. Windows Server 2008 Datacenter
D. Windows Server 2003 R2, Datacenter Edition
E. Windows Server 2003 R2, Enterprise Edition
2. ¿Cuál de los siguientes espacios de nombres DFS puede admitir más de 5.000 carpetas
DFS?
(Elija todas las que apliquen.)
A. Independiente del espacio de nombres en un servidor Windows
Server 2008
B. Independiente del espacio de nombres en un servidor Windows Server
2003 R2
C. Basada en el dominio del espacio de nombres en el modo de
Windows Server 2000
D. Basada en el dominio del espacio de nombres en Windows Server
2008 el modo de
3. ¿Qué nueva característica en Windows Server 2008 DFS permite a los usuarios ver sólo los
archivos y
carpetas en un servidor de archivos que tienen permiso para acceder?
A. Archivo de la
pantalla
B. La enumeración basada en acceso
C. Cuota blanda
D. Carpeta de destino
aprovisionamiento
4. DFSR utiliza las carpetas provisionales para cada carpeta replicada. Estos actúan como
caché para los nuevos
y cambiar los archivos que están listos para ser replicada desde el envío de miembros de
recibir a los miembros. De manera predeterminada, lo que la cuota de almacenamiento se
encuentra en una carpeta de ensayo y
lo que ocurre
A. 4096 cuando
MB. se supera
Cuando la cuota?
se alcanza este límite no hay archivos adicionales se almacenan en
el
puesta en escena carpeta.
B. 660 MB. Cuando se alcanza este límite no hay archivos adicionales se almacenan en
el
puesta en escena carpeta.
C. 4096 MB. Cuando se alcanza este límite se elimina DFSR archivos antiguos de la
puesta en escena
carpeta para reducir el uso del disco.
D. 660 MB. Cuando se alcanza este límite se elimina DFSR archivos antiguos de la
puesta en escena
carpeta para reducir el uso del disco.
5. Está configurando el acceso fuera de línea en un servidor Windows Server 2008. Los
usuarios en
de su organización de dominio utilizan Windows XP Professional clientes, todos los cuales
están configurados para utilizar la característica Archivos sin conexión. Usted quiere
asegurarse de que EJECUC-
archivos capaz de que un cliente va desde el recurso compartido son automáticamente
almacenadas en caché en
ese cliente, y que la próxima vez que el cliente necesita para ejecutar uno de los ejecutables
archivos, que tendrá acceso a su caché local en lugar del recurso compartido en el servidor.
En
Compartir la consola de administración de almacenamiento se accede a la pestaña Sin
conexión de la
A. Seleccionar sólo los archivos y programas que los usuarios especifiquen están
Cuadro de diálogo avanzado para la carpeta compartida que almacena los archivos que se
disponibles
sincro- Fuera de línea. Desactive la casilla de Optimizar para rendimiento de verificación.
nized
B. ySeleccionar
utilizar sin conexión. ¿Qué ajustes
sólo los archivos se puede
y programas queconfigurar?
los usuarios especifiquen están
disponibles
Fuera de línea. Seleccione la Optimización de casilla de verificación Rendimiento.
C. Seleccione Todos los archivos y programas que el usuario abra desde el recurso
compartido están Auto-
Disponible sin conexión automáticamente. Desactive la casilla de Optimizar para
D. Seleccione
rendimiento deTodos los archivos y programas que el usuario abra desde el recurso
verificación.
compartido están Auto-
Disponible sin conexión automáticamente. Seleccione la Optimización de casilla de
verificación Rendimiento.

Para practicar y reforzar aún más las habilidades que aprendió en este capítulo, se pueden
realizar
las siguientes tareas:
■ Completa los escenarios de caso. Estos escenarios de establecer en el mundo real las
situaciones que implican
los temas de este capítulo y le pedirá que cree una solución.
práctica.

■ Los servicios de función en el rol de servidor de archivos le permiten configurar los
servicios de control de acceso;
administrar carpetas compartidas, los volúmenes, las sesiones abiertas y abrir archivos,
gestión de DFS
espacios de nombres y DFSR, configurar las cuotas y los filtros de archivos, generación
■ de función
La almacenamiento
Servicios de impresión del servidor le permite administrar las impresoras,
informes, configurar
controladores las opciones
de impresión, colasde
delos archivos sin conexión y configurar la indización.
impresión,
y los permisos de impresora, tanto en las impresoras instaladas localmente y en las
impresoras
■ instalados
DFSR en otrosa servidores
reemplaza de utilizado
FRS, que fue impresiónenenversiones
su red. anteriores de Windows para
copiar el año
DS SYSVOL información. Windows Server 2008 DFSR proporciona acceso rápido,
eficiente,
varios maestros de replicación de datos distribuidos de espacio de nombres DFS. Nivel de
dominio DFS
espacios de nombres en Windows Server 2008 y el modo stand-alone espacios de
nombres DFS
■ El
en servicio de búsqueda
servidores de Windows
Windows Server reemplaza elnumerosas
2008 proporciona servicio demejoras,
indexación utilizado en
incluyendo
anteriores
acceso basado en la enumeración.
las versiones de Windows. Puede configurar las cuotas en las carpetas compartidas, así
como los volúmenes de
y una amplia variedad de informes de almacenamiento se pueden generar. Los filtros de
archivos que se pre-
de ventilación que los usuarios guarden tipos de archivos inapropiados.
Términos clave
■ Control de acceso
■ Entrada de control de acceso (ACE)
■ Access Control List (ACL)
■ Espacio de nombres
■
DFS
Replicación DFS (DFSR)
■ Raíz DFS
■ Sistema de archivos distribuido (DFS)
■ Indexación
■ Archivo fuera de
■
línea
Cuota
Case Scenario
En el escenario siguiente, se aplicará lo que has aprendido acerca de Archivo y
Servidores de impresión. Usted puede encontrar respuestas a estas preguntas en la sección
"Respuestas" en el
final de este libro.
Escenario de caso: Planificación de una actualización de Windows

Server 2003
Usted es un administrador de dominio principal en Blue Yonder Airlines. La compañía ha
ha mejorado recientemente sus controladores de dominio a Windows Server 2008 Enterprise.
Sus servidores miembro
ejecutar Windows Server 2003 R2 y Blue Yonder no tiene planes inmediatos para mejorar.
Conteste las siguientes preguntas.
1. El Director Técnico tiene las calificaciones y Microsoft mantiene un gran interés en
los nuevos desarrollos. Ella está deseosa de hacer uso de las facilidades que ofrece
múltiples
basada en el dominio espacios de nombres DFS en Windows Server 2008 de modo. Lo que
haces
2. decirle?
El director financiero le preocupa que si un servidor se cae, los datos podrían no ser
disponible. Él también está preocupado de que si un servidor se sustituye o un nuevo
servidor es intro-
producido, la UNC rutas de acceso a la carpeta de acciones en todos los equipos cliente de
la compañía
3. tendría que ser
El Consejero actualizado.
Delegado ¿Cómo tranquilizarlo?
le preocupa que algunos empleados habitualmente tienda
música y archivos de vídeo en las carpetas compartidas en los servidores. Ella quiere saber
si esto se puede
impedido. El responsable de formación, sin embargo, le preocupa que la compañía aprobó
archivos de vídeo de entrenamiento debe permanecer en el sistema y puede que los
archivos de formación de nuevos
se guardan en carpetas según sea necesario. ¿Cómo responde usted a estas

aparentemente contra-
requisitos contradictorios?
completa
Archivo y servidores de
impresión
¿Las prácticas de 1 a 4 en esta sección. Prácticas 5 y 6 son opcionales.
■ Práctica 1: utilizar el recurso compartido y la consola de administración de almacenamiento Usted
puede convertirse
familiarizado con unaen fami-
única herramienta a través de la práctica. Este capítulo no tiene
espacio suficiente para
describe completamente todas las características y configuración que ofrece esta
herramienta. Utilizar todas las características de
■ la herramienta
Práctica y los
2: Creación de asistentes y que
las cuotas Crear proporciona.
y definir
generar las cuotas de inter-
informes
inmediata límites que escribir en el registro de eventos y generar informes. Establecer la
cuota de
los límites de baja por lo que fácilmente puede llegar a ellos. Investigar los tipos de
informe que
■ se pueden generar y qué información
Añadir
Práctica 3: Investigar los espacios
contiene
deadicionales
nombres DFS
cadaen
basados tipoelde informe.
dominio DFS
espacios de nombres para su dominio en el servidor de Glasgow. Agregar carpetas DFS y
enlace
ellos a la carpeta de objetivos. Mira todos los ajustes y los asistentes proporcionados por
DFS
■ Espacios de nombres en la herramienta Administración de DFS.
Práctica 4: Investigar laInvestigar
indexación la indexación con la búsqueda de Windows
De servicio. Familiarizarse con las opciones disponibles en la herramienta Opciones de
indización.
■ Si desea
Práctica 5: archivos sin conexión completar esta práctica con-
(opcional)
convincentemente, su cliente Melbourne tiene que ser un equipo independiente en lugar
de una
máquina virtual. Configure su cliente y el servidor para que pueda acceder a los archivos
cuando el cliente no está en línea y sincronizar con el servidor de conexión y
■ desconexión. Usted necesita un servidor adicional de Windows Server 2008
Práctica 6: Investigar DFSR
para esta práctica. Si su equipo tiene los recursos suficientes, esto puede ser un virtual
de la máquina. Establecer DFSR entre los dos servidores. Mira las opciones disponibles.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Capítulo 7
Windows Server 2008

Gestión, seguimiento y
Delegación
La planificación de cómo los servidores será administrado es tan importante como la
planificación de su despliegue.
Si usted, como administrador de sistemas, no ponen atención suficiente en la determinación de
la
método por el cual los servidores serán administrados, tu trabajo se vuelve mucho más difícil. Y
del mismo modo que es importante para planificar la gestión de servidores, también es
importante para planificar
cómo va a controlar los servidores en una base de toda la organización. Sin un conjunto de
coherencia de los procedimientos, que son menos propensos a tomar conciencia de
rendimiento del servidor de grados-
radation lo largo del tiempo, sólo se dé cuenta cuando comienza a los usuarios molestias. Por
último, como
un administrador del sistema que su tiempo es importante. En una organización grande, no
tener tiempo suficiente para hacer frente a cada problema pequeño que viene a través de su
escritorio. Usted
debe pensar en delegar tareas administrativas menores a usuarios de confianza para que
usted puede enfocar su atención en asuntos más complicados. Este capítulo explica cómo
puede hacer frente a todas estas cuestiones, desde la administración remota excelente
tecnología
Los de del examen en este capítulo:
objetivos
gía■ enPlan
Windows Server 2008
de estrategias con las herramientas
de administración de específicas que le permiten optimizar un
servidor por
servidores.
■ Plan depara
rendimiento administración delegada.
producir el mejor resultado posible para su organización.
■ Servidores de monitoreo para la evaluación del rendimiento y optimización.

■ Lección 1: Estrategias de Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
■ Lección 2: Monitoreo y Optimización del rendimiento. . . . . . . . . . . . . . . . . . . . . 426
■ Lección 3: La administración delegada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
395
396 Capítulo 7 Windows Server 2008 Management, Supervisión y Delegación
Antes de empezar
■ Instalado y configurado la edición de evaluación de Windows Server 2008 Enter-
Edición del premio de acuerdo con las instrucciones que aparecen en la primera práctica
ejer-
cicio de la lección 1 del capítulo 1, "Instalación, actualización e implementación de
Windows
No seServer 2008.
requiere "
configuración adicional para este capítulo.
Mundo Real
Orin Thomas
Yo tenía uno de los más telecommutes del mundo. Durante un par de años que
utiliza la tecnología de escritorio remoto para realizar las tareas diarias de gestión de un
servidor
alojado en una Minneapolis, Minnesota, centro de datos de donde yo vivo en Melbourne,
Australia. En lugar de un largo viaje al trabajo, si hubiera necesitado alguna vez de
cambiar manualmente un
cinta de copia de seguridad! Hoy en día, en la era de la deslocalización y la
subcontratación, tal arreglos
ción es menos probable que levantar una ceja. En el año 2000 que era cosa de vértigo!
Remoto
gestión de la tecnología es una bendición y una maldición para administradores de
sistemas: una bendición
ya que le permite administrar un servidor desde cualquier lugar del mundo, una pesadilla,
porque
que se espera que sean capaces de administrar un servidor desde cualquier lugar del
mundo.
Cuando usted tiene una computadora portátil y un módem 3G, usted puede encontrar en
el Trans-
Ferrocarril transiberiano restaurar los datos en un servidor fuera de Puckapunyal. Claro, la
gente
usted trabaja para saber que está de vacaciones, pero cuando no hay nadie más sabe
cómo
hacer el trabajo, que la computadora portátil y un módem 3G es lo que puede salvar el
día.
Lección 1: Estrategias de Management Server 397
Lección 1: Estrategias de Management Server

En esta lección, usted aprenderá diferentes métodos de administración de Windows de forma
remota
Server 2008. Al entender las tecnologías a través del cual se puede
gestionar de forma remota de Windows Server 2008, puede aplicar este conocimiento para la
planificación
la forma de gestionar y controlar los servidores en una base de toda la organización. La clave
para aplicar-
ción este conocimiento es entender la diferencia entre la funcionalidad de un par-
tecnología particular cuando se utiliza directamente en la sala de servidores y la aplicación que
tecnología para la gestión de servidores en otro estado o incluso en otro continente.
■ Plan para la administración local y remota de Windows Server 2008.
■ Determinar qué tecnología de servidor de administración para desplegar en una situación dada.
Herramientas para la administración de Windows Server 2008

En muchos casos, las herramientas que usted decida usar para administrar los servidores de
su organi-
zación del servidor de Windows 2008 de la red será más una cuestión de preferencia personal
de la necesidad técnica. Usted tiene una gran flexibilidad en cómo se puede gestionar
servidores, sino como un administrador de sistemas que serán llamados para asesorar a las
personas en
su organización en la mejor forma de gestionar los servidores de un determinado conjunto de
circunstancias.
A lo largo de esta lección usted aprenderá sobre los diferentes Windows Server 2008 gestión
ción de tecnologías y las situaciones en las que puede optar por utilizar una tecnología
sobre otro para lograr el resultado del servidor de administración más eficiente.
Servidor de consola de
La consola del Administrador de servidores, que se muestra en la Figura 7.1, es una ampliación
de Microsoft Manage-
ción de consola que permite gestionar todos los aspectos de Windows Server 2008
equipo. La consola del Administrador de servidores contiene las herramientas más
comúnmente utilizadas que
un administrador va a necesitar. Como agregar o quitar funciones y características, la
correspondiente com-
componentes son añadidos o eliminados de la consola de Administrador de servidores. El
El servidor quedel
Administrador está conectado a nivel local, oa través de escritorio remoto, es el único
servidor
servidor que
la consola nose puede
está gestionar
disponible directamente
en las conde
instalaciones esta consola.
Windows La gestión
Server Core. de otros servidores
con
Microsoft Management Console se cubre en "Microsoft Management Console"
Figura 7-1 Servidor de consola del Administrador

de
Servidor de consola del Administrador

MÁS INFORMACIÓN
de
Para obtener más información acerca de la consola del Administrador de servidores, consulte el siguiente
artículo de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/b3274a34-7574-4ea6-aec0-
e05ba297481e1033.mspx? Referencia del fabricante = true.
Servermanagercmd.exe es una utilidad de línea de comandos que se puede ejecutar desde

una elevada
consola en Windows Server 2008 la instalación estándar de agregar y quitar servidores
funciones y características. La ejecución del comando ServerManagerCmd.exe-query mostrará
una lista de todas las funciones, servicios de función y las características disponibles en un
servidor Windows 2008 com-
ordenador y si están instalados en el equipo. En un equipo instalado
con la opción de instalación Server Core, oclist.exe y comandos Ocsetup.exe
proporcionan la misma funcionalidad.
Microsoft Management Consoles

A pesar de un conjunto predeterminado de las consolas está disponible en el menú
Herramientas administrativas, el
complementos que se pueden utilizar para crear una consola personalizada permiten una
mayor funcionalidad
y la personalización. Una consola personalizada le permite acceder rápidamente a un conjunto
de herramientas comunes.
También puede copiar la consola a otros equipos, tales como una estación de trabajo de
gestión
para que tenga las herramientas disponibles misma independientemente del lugar donde se
inicia la sesión.
Con algunos complementos, puede especificar un conjunto de credenciales cuando se ejecuta

el complemento
en un equipo remoto. Crear una consola personalizada es muy sencillo. Para ello,
1. En el menú Inicio, escriba mmc en el cuadro de diálogo Ejecutar. Esto abrirá un espacio en
blanco
Consola MMC.
2. En el menú Archivo, haga clic en Agregar / quitar complemento. Esto abrirá la opción
Agregar o
Remoto complementos cuadro de diálogo, que se muestra en la Figura 7.2. Agregar los
complementos que
desea utilizar con la consola y haga clic en Aceptar.
Figura 7-2 Los complementos amplían la funcionalidad de una consola
3. Si se le pregunta qué equipo para enfocar la MMC, seleccione ese equipo y luego
4. En el menú Archivo, guardar la consola.

A pesar de los complementos para todas las funciones y características presentes en el
servidor estará disponible,
algunos complementos son para servicios y funciones que no están instalados. Estos
complementos adicionales
no estará disponible a menos que instale la Administración competente del servidor remoto
Herramientas (RSAT) característica. Las herramientas RSAT se explican en "Administración del
servidor remoto
Herramientas "más adelante en esta lección.
Windows PowerShell
Windows PowerShell es un lenguaje de scripts de línea de comandos y lenguaje de la Shell en
concreto
diseñado para tareas de administración de sistemas. Aunque Windows PowerShell puede mirar
desalentador para los administradores de sistemas que no están acostumbrados a realizar un
importante
cantidad de sus funciones desde la línea de comando, después de un par de horas dedicado al
uso de
Windows PowerShell para llevar a cabo día a día las tareas de administración de servidor que
La característica de Windows PowerShell no está activado por defecto. Al planear el uso
puede
Windows PowerShell
se muestran reacios acomo
volveruna
a latecnología de administración
interfaz gráfica de servidores
de usuario basada en sude
en servicios entorno,
necesidad de garantizar
administración que se implemente de Windows Server 2008 con Windows
del sistema.
Función de PowerShell habilitado. Usted puede lograr este objetivo durante el proceso de
implementación
asegurar que se agrega la función que corresponda a las imágenes del sistema operativo WDS.
WDS
fue cubierto en la lección 2 del capítulo 1.
NOTA Windows PowerShell y Windows Server 2003
Windows PowerShell también está disponible como un componente add-on para Windows Server 2003, es decir,
que los comandos de Windows PowerShell que se utiliza para administrar Windows Server 2008 también puede ser
utiliza para administrar Windows Server 2003.
Desde la perspectiva de la planificación de estrategias de gestión de Windows Server 2008,

puede utilizar secuencias de comandos de Windows PowerShell para automatizar casi todos
los sistemas complejos de administración-
tración tareas. Usted puede llamar a los scripts de Windows PowerShell desde el Programador
de tareas,
lo que le permite automatizar muchas tareas diarias de administración de sistemas. Debido a
que Windows
PowerShell es un lenguaje de programación, usted puede construir la lógica condicional en su
scripts, permitiendo que las tareas automatizadas para la ejecución de una determinada
manera en función de la
condiciones que existen cuando se ejecuta el script. Scripts de Windows PowerShell funcionan
mejor
de las tareas planificadas en el que saben exactamente lo que hay que hacer. Ventanas
eléctricas,
MÁS INFORMACIÓN Windows PowerShell y Windows Server 2008
Los shell scripts no funcionan tan bien cuando se está llevando a cabo tareas que requieren
que usted
Windows PowerShell es un tema profundo que no se puede hacer justicia en unas pocas páginas. Varios buenos
libros
que un están disponibles
número en Microsoft
significativo dePress que le enseñará
controles sobre elcómo hacerde
terreno el mejor uso de Windows
las decisiones sobre qué forma de
PowerShell en su entorno. Para empezar, consulte con el Windows PowerShell y Windows
proceder.
Server 2008 las páginas del sitio Web de Microsoft en http://www.microsoft.com/windowsserver2008/
powershell.mspx.
Secuencias de comandos y herramientas de

línea de comandos
De línea de comandos y scripts de herramientas están disponibles para todas las funciones de
servidor y características
que se puede instalar en Windows Server 2008. Aunque las herramientas de línea de
comandos son
no tan sencillo de usar como los servicios basados en GUI, con un poco de esfuerzo se puede
utilizar
a realizar todas las tareas que puede realizar con las herramientas de interfaz gráfica de
usuario. Una ventaja
ventaja de las herramientas de línea de comandos es que se pueden utilizar en secuencias de
comandos que cree.
Si usted puede
Scripting crearcon
tradicional un Windows
script queScripting
automatiza una
Host tareauna
como complicada administrativo
herramienta quede
administrativa trabaja
en un equipo Windows Server 2008, puede copiar la secuencia de comandos
Windows Server 2008 ha quedado obsoleto en favor de Windows PowerShell. Que para su uso en
otros
Esto no significa que no puede utilizar secuencias de comandos existentes de gestión con
Windows
Server 2008, sino que simplemente significa que Microsoft recomienda que utilice Windows
PowerShell, que fue diseñado específicamente como un script de shell y la línea de comandos
para la administración de los sistemas de una manera que los scripts de Windows Scripting
Host no lo son. En
algunas circunstancias, especialmente en términos de la gestión basada en script de com-
computadoras funcionando en el Núcleo de configuración del servidor, no tendrá más remedio
que
usar secuencias de comandos tradicionales, ya que Windows PowerShell no es totalmente
compatible con
Windows Server Core.
Secuencias de comandos frente a la administración
basada en GUI
Para los no iniciados que sólo están a gusto con interfaz gráfica de usuario basada en
herramientas de Windows
PowerShell ve horriblemente complejo. ¿Por qué alguien decide usar un script
cuando en perfecto estado, interfaz gráfica de usuario basada en herramientas están
disponibles? La respuesta es la repetición.
Creación de 10 usuarios utilizando el complemento Usuarios y equipos de interfaz
una tarea relativamente sencilla. La creación de 1.000 usuarios utilizando el mismo
proceso se
repetitivo. La repetición no es sólo aburrido, sino que también lleva a cometer errores. El
pri-
beneficio de un resumen de las secuencias de comandos es que se puede acelerar una
tarea larga y repetitiva por auto-
apareamiento ella. Se obtienen resultados más precisos y su tarea se ha completado más
rápidamente. Si no están convencidos, creo que de esta manera: Imagine que usted tiene
una tarea que toma tres minutos para terminar con las herramientas de interfaz gráfica de
usuario basada en que se
incluida en Windows Server 2008. Usted tiene que realizar esta tarea 80 veces. Dejar
a suponer que usted puede enseñar a la escritura la misma tarea en dos horas.
Debido a que sólo ejecutar secuencias de comandos en un par de segundos, debe salvar
a dos
horas en escribir el guión en lugar de realizar la misma tarea con la interfaz gráfica de
usuario.
Así que, aunque las secuencias de comandos puede parecer terriblemente complejas,
aprender con eficacia
secuencia de comandos con herramientas como Windows PowerShell le ahorrará horas

de tedio
cuando se trata de las tareas repetitivas, que ocupan una parte importante de un
día los sistemas de administrador.
EMS
Gestión de Servicios de Emergencia (EMS) permite que un servidor puede controlar cuando
está en
un estado mínimamente funcional, como la tarjeta de red y adaptador de pantalla que no
funcional. EMS permite una conexión fuera de banda, por lo general a través de un puerto serie
usando una aplicación como Telnet. Con el hardware adecuado, puede también per-
forma casi todas las tareas normales de administración del servidor a través de EMS, aunque
hay que
completar todas estas tareas desde la línea de comandos.
Una ventaja de la EMS es que es accesible cuando otros métodos de administración son
no. Se puede acceder a EMS cuando el ordenador está en el proceso de puesta en marcha o
cerrando. Por ejemplo, EMS permite el acceso a un servidor si se ha congelado durante el
cierre
abajo o en algunos casos, incluso cuando un error de detención se ha producido. También
puede utilizar EMS
cuando un servidor no responde a los métodos de entrada tradicionales a causa de una fuga
proceso. Por ejemplo: En su experiencia como administrador de sistemas que pueda tener
se encontró con un servidor que parece haber congelado y no es capaz de iniciar la sesión. En
este
situación, usted podría ser capaz de utilizar EMS para administrar el servidor, e incluso apagar
el
proceso errante. Esto no siempre será el caso, a veces no se puede hacer mucho con
un servidor que no sea congelado apagarlo manualmente, pero EMS proporciona un final de
otoño-debe ser habilitada en un servidor. ¿Cómo se habilita depende del tipo de hardware
EMS
de nuevo la posición
configuración que un para trabajar
equipo con Server
Windows un servidor
2008antes de ejemplo,
ha. Por que el último recurso.
el método de
activar y configurar el EMS en un equipo con Extensible Firmware Interface
(EFI) del firmware es diferente de la forma de activar y configurar el EMS en un
equipo que tiene una interfaz de Avance de configuración y energía (ACPI) del puerto serie
Redirección de la consola (SPCR) mesa. Permitiendo requiere el uso de la bcdedit comando
para editar la configuración de Windows Server 2008 es el arranque, pero la sintaxis exacta
depende de una
configuración del hardware del servidor. Desde una perspectiva de planificación, debe activar la
EMS en los servidores antes de su despliegue. De esta manera, si encuentra una situación en
la
que las herramientas pueden ser útiles, que estará disponible para usted.
Más información sobre configuración de

MÁS INFORMACIÓN
EMS
Para obtener más información acerca de los detalles de permitir EMS en Windows Server 2008, consulte los
siguientes
Artículo de MSDN: http://msdn2.microsoft.com/en-us/library/ms791506.aspx.
Aunque puede utilizar EMS para realizar casi todas las tareas de administración en un servidor
a través de una interfaz del símbolo del sistema, la mayoría de las organizaciones utilizan
principalmente para el hombre-EMS
edad de un servidor que no responde a las tecnologías de gestión normal. El Relator Especial
La consola de administración es una herramienta EMS-específico, pero sólo está disponible si
Windows es
funcionando normalmente. La consola! SAC está disponible cuando el sistema operativo no es
funciona con normalidad y la consola SAC no se carga correctamente y ha dejado de funcionar.
Mecanografía ayuda o ?ya sea en el SAC o! SAC pronto será una lista de comandos que
que puede utilizar con EMS en su nivel actual de funcionalidad.
Utilizando EMS
MÁS INFORMACIÓN
Para más información sobre los detalles específicos de cómo utilizar EMS para realizar tareas de servidor de
administración,
! incluyendo una lista completa de SAC y comandos SAC, consulte el documento de TechNet siguiente:
http://technet2.microsoft.com/windowsserver/en/library/ed1f3d57-e3a3-4ef6-857a-
adbff20302701033.mspx? Referencia del fabricante = true.
Tecnologías de administración remota

Usted no está limitado a una elección o la otra cuando se considera que a distancia
administración de tecnología para implementar para administrar los servidores de su
organización
el medio ambiente. Cada tecnología tiene sus ventajas y desventajas. Que tenga sentido para
los
realizar algunas tareas de administración utilizando una conexión a escritorio remoto, mientras
que en otros
situaciones que podrían ser mejor servidos por la conexión a un servidor Telnet mediante una
aplicación
ción cuando se necesita para ejecutar un script. La siguiente parte de esta lección cubre a
distancia
Remote Desktop
administración utilizando el escritorio remoto, el mando de Herramientas de Sistemas de
Administración,
Escritorio remoto es probable que sea la administración más utilizada a distancia tecnología
y Telnet.
tecnología implementado en su entorno Windows Server 2008, ya que más de cerca
simula la experiencia de estar directamente en frente de un servidor. Los administradores se
conectan
a los servidores con el software cliente de Escritorio remoto que se incluye con Windows
sistemas operativos, aunque, como vimos en el capítulo 5, "Servicios de Terminal Server y
Aplicación y virtualización de servidores ", la configuración de seguridad más estrictas
requieren que el
Escritorio remoto cliente de conexión que se incluye en Windows Server 2003 Service
Pack 2, Windows XP Service Pack 3, o Windows Vista Service Pack 1.
Después de habilitar Escritorio remoto en un equipo Windows Server 2008, los miembros de la
grupo de administradores locales y el grupo Usuarios de escritorio remoto de forma automática
son capaces de
conectar. Es importante señalar que los controladores de dominio, sólo ser un miembro de la
Grupo de usuarios no confiere el derecho de iniciar la sesión utilizando el escritorio remoto.
Puede cambiar esto editando la Configuración del equipo \ Policies \ Windows

\ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario \ Permitir
Inicio de sesión
A través de la política de Terminal Services.
Escritorio remoto permite a los dos administradores para hacer remotas simultáneas
conexiones
ciones a un equipo con Windows Server 2008. Este límite es importante porque por defecto
no hay límites de sesión activa o inactiva. Esto significa que un administrador olvida que
se desconecta de un servidor que está en el proceso de gestión puede ser que encuentre que
es
puede volver a conectarse a un servidor, ya que la sesión actual administración sigue siendo
activa. Como muestra el gráfico 7.3, puede resolver esto por la configuración de RDP-Tcp
propiedades
final desconectado y las sesiones inactivas después de un período razonable de tiempo ha
pasado. Si un
conexión se está realizando a un servidor que también aloja la función de Servicios de Terminal
Server, en lugar
de utilizar un cliente de Terminal Services Access License (CAL TS), puede asegurarse de que
se realiza una conexión a una de las dos sesiones disponibles reservados para el administrador
uso mediante el uso de la mstsc / admin comando desde el cuadro de diálogo Ejecutar.
Figura 7-3 Límites de la sesión garantizar que los administradores siempre se puede conectar
Como se muestra en la Figura 4.7, a excepción de Escritorio remoto firewall de forma

automática
permitió al habilitar Escritorio remoto para administración en un servidor Windows
2008 equipo. Aunque el Firewall de Windows se configura automáticamente para permitir que
el tráfico de escritorio remoto, otros cortafuegos pueden existir entre el equipo cliente y
el servidor que desea administrar. Si se encuentra con esta situación, debe asegurarse de que
configurar el cortafuegos para permitir el tráfico en el puerto TCP 3389.
Figura 7-4 El firewall se configura automáticamente cuando se habilita el Escritorio remoto.
En ciertas situaciones, usted tendrá que realizar tareas administrativas en servidores ubicados
en las redes privadas a las organizaciones que sólo puede conectarse a través de Internet.
Estos servidores son propensos a ser protegida por cortafuegos y tampoco será directamente
direccionable por servidores de Internet. Por ejemplo, no se puede establecer una conexión
directa a
un equipo Windows Server 2008 que está utilizando la dirección IP 192.168.15.100 en un
organización remota de la red si la única forma que puede conectarse a esa red es
a través de Internet.
En el caso de que usted necesita para llevar a cabo tareas administrativas regulares en los
servidores de
redes privadas que no tienen una conexión directa con, usted tiene dos opciones:
■ Usted puede configurar un servidor VPN en la subred filtrada a distancia. Después de un
con-VPN
conexión se establece a partir de su estación de trabajo a la red privada remota,
puede hacer una conexión administrativa al servidor que desea gestionar.
■ Puede instalar una puerta de enlace de Terminal Services en la subred filtrada a distancia.
Usted
A continuación, puede realizar una conexión RDP a través de esta puerta de entrada a
cualquier servidor ubicado en
Aunqueredlaprivada de la organización
configuración del VPN
de un servidor control
enremoto.
subred filtrada a la organización a distancia es
una opción en muchos casos, configurar un servidor VPN se trata de una importante
cantidad de esfuerzo. Si sólo necesita para hacer las conexiones RDP a servidores remotos,
instalar-
ción de un servidor de puerta de enlace de TS es un proceso simple.
Terminal Services Gateway (TS) es un nuevo servicio de Windows Server 2008
que permite a los usuarios de la Internet para conectarse a servidores de terminales en un área
protegida
red a través de un servidor de puerta de enlace de TS alojados detrás de un firewall en una

subred filtrada.
TS servidores de puerta de enlace se discutieron brevemente en el capítulo 5. TS Gateway
funciona con RDP
a través de HTTPS, lo que significa que los cortafuegos externos sólo se necesita tener el
puerto 443 abierto
en vez de abrir el puerto de Escritorio remoto. Una conexión directa es a partir de
el host de Internet a través del cortafuegos en el servidor de puerta de enlace de TS, y puerta
de enlace que
servidor reenvía el tráfico autorizado a los servidores situados en una red privada protegida
el trabajo. Aunque principalmente se utiliza para permitir que los usuarios normales para
acceder al servidor de terminales aplica-
ciones cuando se conecta desde los clientes a través de Internet, Puerta de enlace también se
Más información sobre TS
MÁS INFORMACIÓN
puede utilizar para
Gateway
Para másen
ayudar información sobre TS Gateway
la administración remotay cómo usarlo con elen
de servidores Escritorio
una red remoto, consulte la siguiente
protegida.
TechNet artículo: http://technet2.microsoft.com/windowsserver2008/en/library/9da3742f-699d-4476-
B050-c50aa14aaf081033.mspx? Referencia del fabricante = true.
RSAT Herramientas
Por defecto, sólo las herramientas de administración de los servicios y características instalado
en un
Windows Server 2008 equipo están disponibles en ese equipo. Por lo tanto, si usted
quería para administrar un servidor remoto que ejecuta Active Directory Rights Management
Servidor, no sería capaz de añadir que complemento o acceder a la herramienta de la
administración
el menú Herramientas administrativas, a menos que usted ha instalado las herramientas RSAT
o el ADRMS específicos
Las herramientas
componente de lasRSAT están disponibles
herramientas RSAT. para Windows Vista SP1 Business, Enterprise y Ulti
Ediciones mate como una descarga adicional. En versiones anteriores de Windows Server, el
herramientas se llama Windows Server 2003 Administrador paquete de Herramientas, que se
acortada por la mayoría de los administradores Adminpak.msi, después de que el nombre de la
cual
las herramientas se instalan. Las herramientas RSAT contienen todas las consolas de gestión
necesarios para
la administración de las funciones o características que se incluyen con Windows Server 2008.
Herramientas de administración remota para usuarios no-administrador
En la lección 3, "Administración delegada", usted aprenderá las técnicas para la delegación de
privilegios de administrador a los usuarios no son administradores. Para que los usuarios no-
administrador
puede realizar las tareas que les han sido delegadas, que necesitan tener acceso a la
herramientas que les permitan llevar a cabo esas tareas.
Un método que puede utilizar para proporcionarles las herramientas es la creación y dis-
homenaje personalizado Microsoft Management Consoles. Usted sólo tiene que añadir la
consola relacionados
a la tarea delegada a la consola personalizada, salvo que la consola, y se implementa en la

del usuario. Aunque se puede instalar las herramientas RSAT en la estación de trabajo de un
miembro del personal
con los no privilegios administrativos, con 30 consolas disponibles cuando el personal de
miembros de
bre sólo necesita una para llevar a cabo su función de trabajo puede resultar confuso.
A pesar de que podría estar tentado a, no se debe dar a los usuarios normales de acceso a
un servidor a través de escritorio remoto. En general, la planificación para la administración
remota
ción, se debe limitar el número de personas que son capaces de acceder directamente a un
servidor.
Los usuarios que se han delegado responsabilidades administrativas puede limitarse casi
siempre completar sus tareas mediante el uso de herramientas instaladas en sus estaciones de
trabajo
Uso de Telnet para la administración remota
Un último método de llevar a cabo la administración remota en Windows Server 2008 com-
computadoras es mediante la conexión a través de Telnet. Telnet le permite hacer un texto
basado en con-
conexión a la red a un equipo Windows Server 2008 a un comando
de la consola. Se puede ejecutar cualquier comando a distancia basado en texto que
normalmente se le
capaz de ejecutar de forma local en un símbolo del sistema. La ventaja de Telnet como un
mando a distancia admin-
tración tecnología es que se puede utilizar a través de conexiones de ancho de banda muy
bajo,
como
Despuéslos de
quelaestán porde
función debajo de lo
servidor normal
Telnet una
está velocidad
instalado, de acceso
puede telefónico
configurar de 56 K y
las opciones
podría
medianteno la
serejecución
capaz dedel
apoyo
puerto de Escritorio
Tlntadmn.exe remoto.
comando desde un símbolo del sistema con privilegios elevados. Opciones que
se pueden con-
cifra incluye el tiempo de espera de sesión inactiva, el número máximo de apoyo de Telnet
conexiones, el puerto Telnet opera en, y el número máximo de no
intentos de conexión. El mecanismo de autenticación por defecto para el servidor Telnet es
NTLM.
Debido a que Telnet no es un protocolo de cifrado, debe proteger las conexiones a un Telnet
Servidor mediante IPsec si es posible.
Consulta Rápida
1. ¿Qué consola agrega y quita automáticamente los componentes que se agregan
y eliminar las funciones y características?
2. A qué puerto se EMS conexiones a un servidor por lo general a través?

1. Consola del Administrador de
servidores.
2. Conexiones de EMS son casi siempre a través de un puerto serie.
ExamenConsiderar
Consejo la complejidad de las tareas que usted necesita para llevar a cabo y considerar entonces
la herramienta que es mejor para el trabajo.
La administración de Windows Server 2008 los registros

de sucesos
Un componente importante de la planificación de la gestión y seguimiento de
Windows Server 2008 es determinar cómo hacer frente a los registros de sucesos. El problema
central
con el registro de eventos es garantizar que usted es consciente de que algo importante ha
sucedido,
PÉNED al asegurar que no sólo se han registrado el evento en cuestión, pero que se puede
También realmente encontrarlo. El problema que usted enfrenta en hacer esto es doble:
■ Si inicia una sesión de todo, ¿cómo asegurarse de que no se pierda que un impor-
evento importante en las decenas de miles de personas que se registran?
■ Si se restringe la cantidad de datos que se conecte, ¿cómo puedes estar seguro de que
se
No le falta algo de vital importancia, ya que han optado por registrar sólo
un selecto número de eventos?
Cuando usted tiene que manejar decenas o incluso cientos de servidores, puede ser
rápidamente
inundado de datos. En la siguiente sección, usted aprenderá cómo utilizar el Visor de sucesos
que se incluye con Windows Server 2008 para que los datos del registro de eventos más
manejable.
De manera predeterminada, Windows Server 2008 tiene los siguientes registros disponibles en
el Ventanas
Registros nodo en el Visor de sucesos:
■ Aplicación Las tiendas de aplicaciones de registro de datos generados por las aplicaciones
que se
instalado en el equipo Windows Server 2008. Esto incluye aplicaciones
como el cliente de Servicios de Certificate Server, Desktop Manager de Windows, y otros
aplicaciones como el Bloc de notas. Con el registro de aplicación, hay que recordar
que también hay un nodo en el visor de eventos llamada Registros de aplicaciones y
servicios
que también las tiendas de aplicaciones y servidor de datos de registro de papel. En
general, usted debe comprobar
bajo la Registros de aplicaciones y servicios primer nodo de aplicación relacionadas con
información
■
ción antes de ver la propia aplicación de registro. Como alternativa, puede configurar
SeguridadEl registro de seguridad contiene eventos de auditoría de seguridad, como los
un filtro. Usted aprenderá a configurar los filtros más adelante en esta lección.
inicios de sesión o
acceso de los objetos auditados, como los archivos. Lo que es importante para recordar
acerca de
este registro es que se debe configurar la auditoría para asegurar que los eventos que
desea
registrados son en realidad. Usted no será capaz de determinar quién ha intentado
acceder a un archivo específico a menos que haya configurado la auditoría para ese
archivo. Si usted tiene
configurado la auditoría, los eventos relacionados se escriben en el archivo de registro de
seguridad.
■ Configuración El registro de instalación contiene los eventos relacionados con la instalación

de aplicaciones en el
servidor.
■ El sistema almacena registro de los sucesos registrados por componentes del
Sistema
sistema, incluyendo
eventos tales como la falta de un controlador de dispositivo o el fracaso de un servicio.
■ Este registro de eventos almacena eventos recopilados de otros equipos.
Eventos enviado
Este registro es muy útil para los administradores que desean ver los datos de registro
importantes en
un solo lugar en vez de mediante la comprobación de los registros individuales de cada
servidor que
que manejan. Sólo se puede recopilar eventos de otros equipos mediante suscripción-
nes, que se explican en "Configuración de suscripciones Registro" más adelante en esta
Otra decisión
lección. importante de la planificación en relación con los registros de sucesos es decidir
el tamaño del
registros pueden ser y qué hacer cuando el archivo de registro alcanza el tamaño máximo
especificado de registro.
Esto es a menudo descrito como el establecimiento de una política de retención de registros.
Como se puede ver en la Figura 5.7,
las opciones son para sobrescribir sucesos cuando sea necesario, archivar el registro cuando
esté lleno, y hacer
No sobrescribir sucesos (borrado manual del registro). Si se establece este registro final de la
política de seguridad
recordar que en función de cómo configurar la directiva de grupo, un servidor podría convertirse
en
disponible hasta que el archivo de registro adecuado es borrar manualmente. Como se puede
aprender en
Capítulo 8, "Políticas de Seguridad", Microsoft recomienda que configure retención del registro
de
políticas para que los eventos de registro de seguridad, no se sobrescribe.
Figura 7-5 Registro de las propiedades del

archivo
Filtros
Los filtros son una forma de reducir el número de elementos mostrados en un registro a los que
se
pertinentes a sus intereses. Por ejemplo, el filtro que se muestra en la Figura 7.6 sólo se dis-
jugar advertencia crítica, y los eventos de error en el registro del sistema que se registraron
entre 19:36 y 20:36 el 4 de diciembre de 2007. Para usar un filtro que necesita para
saber algo sobre el tipo de evento que usted está buscando. Cuanto mayor sea el nú-
número de condiciones que se colocan en el filtro, el menor número de los eventos que se dis-
jugado. A diferencia de las vistas personalizadas, usted no puede guardar los filtros-que se
debe generar cada
vez que desee utilizarlos.
Figura 7-6 Filtrado el registro del sistema
Vistas personalizadas
Usted puede pensar en una vista personalizada, que se muestra en la Figura 7.7, como un filtro
especial que se puede
salvo. También puede aplicar un filtro personalizado para varios registros en lugar de un único
registro.
En lugar de tener que crear el filtro, se puede crear una vista personalizada y seleccionar que
ver cada vez que entras en la consola del Visor de sucesos. También puede importar y exportar
vistas personalizadas si desea utilizarlos en otro Windows Server 2008. Usted
se crea una vista personalizada en el ejercicio de la segunda práctica al final de esta lección.
Figura 7-7 Crear una vista personalizada
Colocación de tareas a eventos

Como se muestra en la Figura 7.8, adjuntando una tarea a un evento le permite iniciar ya sea
un pro-
programa, enviar un e-mail, o mostrar un mensaje cada vez que se escribe un evento
específico a una
registro de eventos en particular. Colocación de las tareas a eventos le permite ser más
proactivos
la gestión de eventos importantes. En lugar de sólo saber sobre el evento
cuando se examinan los archivos de registro después se produce el evento, puede indicarse de
forma inmediata-
inmediatamente que ocurre el evento, lo que le permite tomar acción directa. Al igual que con
cualquier
notificación directa, se debe evitar la configuración de notificaciones directas de más. Si
configurar las notificaciones directas de más, usted puede comenzar a sentirse inundado por
las tareas que puedan
no requieren su atención inmediata. Sólo la organización de una notificación directa de la
tipo
Las de evento que
limitaciones deusted tendría
fijación de lasque responder
tareas con urgencia a.es
a los acontecimientos Las tareas
que quedebe
el caso se adjuntan
existir a
registros
en de eventos
el archivo se almacenan
de registro, no se puede en adjuntar
el Programador
tareas ade tareas.en
eventos Silos
desea eliminar
registros de una tarea o
analíticas
adjunta,
de depuración, y
debe
No sehacerlo desde eluna
puede asignar Programador
tarea a un de tareas
evento en lugar deendesde
almacenado el Visor
un archivo dede sucesos.
registro guardado.
Usted no puede utilizar este
funcionalidad para ejecutar una tarea a un evento si el evento no ha ocurrido, aunque puede
Figura 7-8 Creación de una tarea básica
imitan la funcionalidad de tales mediante la creación de un script de Windows PowerShell que

se ejecuta en
una base programada. Uso de Windows PowerShell con los archivos de registro se explica con
más detalle
más adelante en esta lección. Le den una tarea a un evento en los ejercicios de práctica en el
final de esta lección.
Configuración de registro de suscripciones
Suscripciones de registro son una forma de gestión de registro centralizado. En lugar de tener
que
comprobar los registros de cada servidor que usted es responsable de, usted puede utilizar
registro suscrip-
ciones para centralizar todos los eventos importantes que ocurren en toda la organización en
un solo
su lugar. Luego, mediante la aplicación de las vistas personalizadas, usted puede señalar a los
Puede
eventosconfigurar dosdetipos de suscripciones. En una suscripción colector iniciado, el
específicos
equipo que
de interés. almacenará los eventos recopilados (el colector) que recupera de
el equipo que genera el evento. En una suscripción equipo de origen iniciado,
los equipos que generan los eventos de interés los acontecimientos en el equipo recolector.
Para configurar una suscripción colector iniciado, siga los siguientes pasos:
1. En cada equipo de origen, abra un símbolo del sistema con privilegios elevados y ejecute el
comando winrm quickconfig. También tendrá que aceptar la solicitud de crear una
firewall excepción.
2. En cada equipo de origen, agregue la cuenta de equipo del equipo colector

al grupo de administradores locales.
3. En el equipo que funcionará como colector, abra un símbolo del sistema elevado
del sistema y ejecute el comando qc wecutil. Esto iniciará el de sucesos de Windows
Servicio de colector y configurarlo para que se inicie automáticamente con el inicio
retardado.
4. Abrir el Visor de sucesos en el equipo recolector y haga clic en el elemento de
suscripciones.
En el panel Acciones, haga clic en Crear suscripción. Esto abrirá la suscripción
Cuadro de diálogo Propiedades se muestra en la Figura 9.7.
Figura 7-9 Configuración de una suscripción
5. Haga clic en Seleccionar equipos para seleccionar los equipos de

origen.
6. Cuando todos los equipos de origen están seleccionados, haga clic en Seleccionar eventos
para configurar un filtro de
para el tipo de eventos que desea que el equipo colector para recoger.
7. Cuando haya completado la creación del filtro, haga clic en Aceptar dos veces para activar
el
suscripción.
La configuración de un filtro de suscripción se parece más a la configuración de una costumbre
ver en que usted es capaz de especificar múltiples fuentes de registro de eventos, en lugar de
una sola
Origen del suceso de registro. Además, la suscripción se guardará mientras que usted necesita
re-crear un filtro cada vez que uno de los usos. Por defecto, todos los datos de eventos
recopilados registro se
escriben en el registro de eventos de eventos reenviados. También puedes enviar los datos a
los registros de otros con-
calcular las propiedades de la suscripción. A pesar de que utiliza un filtro para recuperar
sólo los eventos específicos de los equipos de origen y el lugar en el registro de destino,
todavía se puede crear y aplicar una vista personalizada de los datos que se encuentra en el
registro de destino.
Usted podría crear una vista personalizada para cada equipo de origen, lo que le permitiría
rápidamente limitar los eventos de ese equipo en lugar de ver los datos de todas las fuentes
com-
ordenadores al mismo tiempo.
Configurar suscripciones colector iniciado a través de la aplicación de la directiva de grupo.
Para hacer esto usted debe configurar el equipo colector de la misma manera como lo hizo
en los pasos anteriores. Cuando se configura el tipo de suscripción, seleccione equipo de
origen
Iniciado en lugar de colector iniciado. Para configurar los equipos de origen, aplicar una GPO
donde se ha configurado la Configuración del equipo \ Policies \ Administrativo
Plantillas \ Componentes de Windows eventos \ reenvío del nodo y configurar el servidor de
Dirección, intervalo de actualización, y la política de Emisor del certificado con los datos del
colector
equipo, como se muestra en la figura 7-10.
Figura 7-10 Caso de la política de reenvío
Fuente inició la suscripción

MÁS INFORMACIÓN
Para más detalles sobre la creación de una fuente de suscripción iniciado, consulte el enlace de MSDN siguientes:
http://msdn2.microsoft.com/en-us/library/bb870973.aspx.
Registros de aplicaciones y servicios

Al instalar una aplicación o función en un equipo Windows Server 2008, se
más probable es que agregue un nuevo registro en la Aplicaciones y servicios registro de nodo
del evento
Espectador. Registros de aplicaciones y servicios es una nueva categoría de los registros de

eventos introducidos con
Windows Server 2008. Debido a esta categoría de registro de eventos es nuevo, las
aplicaciones de pro-
producidos antes del lanzamiento de Windows Server 2008 todavía podría escribir eventos en
el tra-
registro de aplicaciones tradicionales, cubiertos anteriormente en esta lección. Como muestra la
Figura 7-11 muestra, se puede
También ver los registros de análisis y depuración de un servidor en este nodo. Estos registros
son ver-
poder sólo si se selecciona la opción Mostrar registros analíticos y de depuración en el menú
Ver
en la consola del Visor de sucesos.
Figura 7-11 Ver los registros analíticos y de depuración
Registros de aplicaciones y servicios puede ser definido por cuatro grandes

categorías:
■ Administración Registros de administración se describe un problema y sugerir una solución
que un
administrador puede ejecutar. Mensajes en los registros de administración casi siempre le
digo a una
administrador de la manera de rectificar el problema.
■ Eventos operacionales proporcionar información para ayudar en el análisis
Operacional
y el diagnóstico de problemas. A pesar de estos hechos no proporcionan información
sobre cómo resolver el problema que generó el evento, puede utilizar estos eventos
como un disparador tarea de alertar a un administrador que este evento ha ocurrido.
■ Sólo se puede ver cuando está activado, los eventos de análisis están escritos en
Analítico
alto vol-
volumen e indicar los problemas que generalmente no se pueden resolver fácilmente.
■ Los registros de depuración son utilizados por los desarrolladores de aplicaciones

Depurar
que son solución de problemas
que han creado.
Usando el Visor de sucesos en un equipo remoto

Así como usted puede con consolas de administración, usted puede usar el visor de eventos
con-
única para conectar a equipo remoto con Windows Server 2008. Para ello, seleccione la
Conectar a otro equipo en el menú Acción de la consola. Para ver
Los registros de sucesos de forma remota en un equipo que tiene habilitado Firewall de
Windows, debe
habilitar el registro remoto de eventos Gestión de excepción.
Cuando se conecta a otro equipo de forma remota utilizando el visor de sucesos, la costumbre
puntos de vista que se puede acceder son los almacenados en el equipo local. Las vistas
personalizadas
almacenados en el equipo remoto no estará disponible. Cuando se ejecuta una vista
personalizada locales
cuando se conecta a un equipo remoto, la vista personalizada se llevará a cabo en contra de la
remoto caso de los registros en lugar de los locales. Por ejemplo, si usted tiene una vista
personalizada
que sólo muestra los eventos de error del registro del sistema, cuando esté conectado a un
mando a distancia
el equipo
Debido de su
a que vista
son personalizada
propensos a usar sólo se muestran los
las suscripciones queeventos de los
transmita error de ladedel
datos equipoa una
eventos
remoto
ubicación centralizada-
Sistema
ción paradeel registro.
análisis, desde una perspectiva de planificación que sólo son susceptibles de hacer
a distancia con-
conexiones con el Visor de sucesos cuando haya encontrado un acontecimiento digno de su
atención
y desea profundizar en busca de otros eventos de ese equipo original.
Desvío de todo lo que es interesante para una ubicación centralizada y permitiendo un local
seguimiento proporciona un buen equilibrio entre el almacenamiento de datos y la visualización
de lo que se
Archivo de registros
probablemente de eventos
importante.
En la planificación de la gestión de los datos de registro de eventos en una organización,
asegúrese de con-
considerar su evento políticas de almacenamiento de registros. Usted tendrá que crear una
política que especifica cómo
de datos a largo registro de eventos tiene que ser conservado. Por ejemplo, si un empleado
está atrapado acceso
los datos confidenciales, la evidencia de esta actividad pueden existir en los registros de
seguridad que se tomaron
en los últimos meses. Si los registros se sobrescriben automáticamente al llegar a la par-
tamaño particular o, simplemente, eliminados después de un examen superficial, la información
pertinente a un
investigación, podrían perderse. La forma más sencilla de gestionar el archivo de una organiza-
ción de los registros de servidor de eventos es llevar a cabo el reenvío de registro de eventos y
luego exportar a la
recogida de datos del registro de eventos a los archivos que se pueden hacer copias de
seguridad por separado y almacenados de forma segura para
el tiempo necesario. Puede guardar los archivos de registro haciendo clic en Guardar archivo
de registro como en la Acción
menú. Puede seleccionar entre los siguientes formatos:
■ Archivos del evento (*. evtx)
■ XML (*. xml)
■ Texto (delimitado por tabulaciones)
■
(*. txt)
CSV (valores separados por comas) (*.
csv)
Al guardar archivos de registro mediante el Visor de sucesos función de ahorro de archivos de
registro, se le
le pregunte si desea guardar la información de la pantalla. Si no se incluye
esta información con el archivo de registro guardado, el archivo de registro no se muestren
correctamente cuando
importados de otros equipos. También puede guardar los archivos de registro al aplicar filtros o
cus-
tom puntos de vista. Esto puede reducir el tamaño de los archivos de registro guardados,
aunque es posible que no para salvar a un
caso de que más tarde resulta ser importante cuando se está llevando a cabo una
investigación.
La gestión
Aunque de registros
el otro de eventos
tipo de archivo puedecon Wevtutil
ser útil y Windows circunstancias,
en determinadas PowerShell sólo los archivos
almacenados
Wevtutil tiene gran parte de la misma funcionalidad que la interfaz gráfica de usuario del Visor
en formato Visor de sucesos puede ser reabierto en el Visor de sucesos en otro equipo.
de sucesos. Que permite
a los administradores visualizar, filtrar y gestionar los datos de registro de eventos directamente
desde un símbolo del
la línea. Por ejemplo, para el uso wevtutil para exportar un registro en un archivo, use el
siguiente comando:
Con esta información, es un ejercicio relativamente sencillo para la mayoría de los
administradores de la crea-
se comió un guión basado en wevtutil para realizar una exportación diaria de todos los archivos
de registro de una responsabilidad compartida direc-
historia. La consola del Visor de sucesos no permite este tipo de automatización.
Automatizar la copia de seguridad de los datos de archivo de registro es útil cuando usted está
pensando en el hombre-
gestión de registros de eventos en una base de toda la organización.
MÁS INFORMACIÓN
wevtutil
Usted puede encontrar más información sobre wevtutil mediante la consulta de los siguientes en profundidad
artículo de Technet:
http://technet2.microsoft.com/windowsserver2008/en/library/d4c791e0-7e59-45c5-aa55-
0223b77a48221033.mspx? Referencia del fabricante = true.
Aunque wevtutil proporciona la capacidad para analizar los datos del registro de eventos, la
herramienta proporciona
sólo la simple funcionalidad de gestión de eventos y no es tan extensible como Windows
PowerShell, que proporciona otro método de control y gestión de registros de eventos
a través del cmdlet Get-EventLog. La ventaja de usar Windows PowerShell es que
puede crear secuencias de comandos más complicado de lo que puede con wevtutil. Todos los
análisis de datos
y la manipulación se produce en el script de Windows PowerShell, mientras que con Wev-
tutil el script se llama una aplicación externa y luego tratar de ocuparse de que fuera
aplicación del lado de la salida. Dicho de otra manera, los componentes de Windows
PowerShell se
diseñados para interactuar con otros, y esto hace que la escritura y la gestión de Win-
dows scripts PowerShell una tarea más sencilla para que usted como administrador de
Puede utilizar un comando de Windows PowerShell a la lista de todas las instancias de un
sistemas.
evento en un espec-
ficados de registro. Por ejemplo, para encontrar todos los eventos con el evento ID 1000 en el
registro del sistema, que
entraría en el comando de PowerShell siguientes:
Más información sobre Get-Eventlog

MÁS INFORMACIÓN
Para obtener más información sobre cómo puede aprovechar el cmdlet Get-EventLog, consulte los siguientes
TechNet artículo: http://www.microsoft.com/technet/scriptcenter/topics/msh/cmdlets/get-eventlog.mspx.
Como la programación y lenguaje de scripting, PowerShell le permite crear rápidamente

comandos complicados para el análisis de los datos de registro de eventos de Windows. A
partir de una planificación por
perspectiva, debe tener en cuenta los scripts de Windows PowerShell para la gestión de
registros de eventos, cuando las herramientas incorporadas, como las vistas personalizadas,
filtros, y las tareas correspondientes a espe-
eventos específicos no se le proporciona el control suficiente para satisfacer sus necesidades.
El funcio-
funcionalidad integrada en el visor de eventos es probable que cumpla la mayoría de sus
necesidades, pero si
es necesario
MÁS Lairherramienta
INFORMACIÓN más allá, de
utilizando Windows
Microsoft Log Parser PowerShell le ayudará a alcanzar sus metas.
Log Parser es una maravillosa herramienta de Microsoft que permite el uso de consultas SQL de eventos de Windows
Registros para extraer los datos. A pesar de Log Parser no es probable que se mencionan en el examen 70-646, es
una
registro de herramienta de gestión de pruebas de valor en su entorno. Usted puede encontrar más información acerca
de Log Parser
en http://www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx.
Microsoft System Center Operations Manager 2007

La hora de planificar el seguimiento y gestión centralizada de un gran número
de la de Windows Server 2008, debe considerar la implementación de Microsoft
System Center Operations Manager 2007. System Center Operations Manager 2007
se tocó brevemente en el capítulo 4, "servidores de aplicaciones y servicios."
Microsoft System Center Operations Manager 2007 te permite gestionar de forma centralizada
y controlar a miles de servidores y aplicaciones y proporciona una visión completa
de la salud de su entorno de red. System Center Operations Manager 2007

es la versión más reciente de Microsoft Operations Manager 2005 (MOM). Sistema
Center Operations Manager 2007 proporciona las siguientes características:
■ Alertas proactivas que reconocer las condiciones que pueden llevar al fracaso de crítica
servicios, aplicaciones y servidores en el futuro
■ La capacidad de configurar las tareas a ejecutar de forma automática para resolver los
problemas cuando
determinados eventos ocurren
■ La recogida de datos sobre tendencias a largo plazo de todos los servidores y
aplicaciones a través de
la organización con la capacidad de generar informes de comparación contra el actual
rendimiento
■ Correlación de los datos de auditoría generados en toda la organización, permitiendo que
el
detección de tendencias que podrían no ser evidentes al examinar la auditoría de servidor
los datos de forma aislada
Además de los componentes de monitoreo que forman parte de un defecto de Operaciones
Manager 2007 de la instalación, puede utilizar los módulos de administración, que son add-on
compo-
componentes que se extienden de Operations Manager 2007 capacidad de control. Microsoft
pro-
proporciona más de 60 módulos de administración diferentes que se pueden utilizar con las
operaciones
Manager 2007, que abarca desde Exchange Server 2007 y SQL Server 2005
para Windows Server Update Services 3.0. Usted puede utilizar un módulo de administración
para determinar
mina si una tecnología en particular se configura de acuerdo a las mejores prácticas. Usted
También puede utilizar los módulos de administración se puede analizar el rendimiento de una
tecnología y
hacer recomendaciones sobre los cambios de configuración debe ser hecho con el mejor traje
la forma en que la tecnología se está utilizando. Esto es similar al uso de una las mejores
prácticas
Al igual que otros en toda la empresa soluciones de monitorización y gestión, como el Sistema
Analizador, pero en lugar de limitarse al análisis de una computadora a la vez, puede
de
examinar
Centro la implementación
Virtual de una
Machine Manager tecnología
2007, Microsoftespecífica de todaOperations
System Center la organización.
Manager
2007 requiere acceso a un servidor SQL Server 2005 SP1 o posterior, o la base de datos de
SQL Server 2008
para almacenar datos. Debido a instancias de SQL Server es capaz de alojar bases de datos
múltiples, un pecado-
gle de SQL Server puede alojar bases de datos de configuración de System Center Virtual
Machine
Manager 2007, System Center Operations Manager 2007, y servicios tales como
Microsoft Virtual Application Server 2007. Incluso si una organización no requiere de un
servidor de base de datos como un servidor de aplicaciones, en entornos empresariales, SQL
Server
encuentra un lugar cada vez más como un componente central de la infraestructura de red.
Más información sobre System Center Operations Manager 2007

MÁS INFORMACIÓN
Usted puede encontrar más información acerca de System Center Operations Manager 2007 y descargar una de 180
días
evaluación de la versión del software desde el sitio Web de Microsoft siguiente: http://www.microsoft.com/
systemcenter / opsmgr / default.mspx.
Práctica: la administración remota de Windows Server 2008

En este conjunto de ejercicios, que va a instalar las herramientas de administración remota del
sistema, con-
la figura de un servidor para aceptar conexiones de escritorio remoto, y configurar cus-Visor de
sucesos
tom opiniones
Ejercicio y tareas.de RSAT y configuración de Escritorio remoto
1: Herramientas
En este ejercicio, va a instalar todas las herramientas disponibles de administración remota en
el servidor de Glas-
gow y configurar el servidor para gestionarse a través de Escritorio remoto. Para completar este
ejercicio, realice los siguientes pasos:
Kim_Akers.
2. Haga clic en Inicio, haga clic en Equipo y haga clic en Propiedades. Esto abrirá el
Sistema de Panel de control.
3. En el panel Tareas, haga clic en Configuración remota y haga clic en Continuar cuando
impulsado por el cuadro de diálogo UAC.
4. En la ficha Remoto del cuadro de diálogo Propiedades del sistema, asegúrese de que
aceptan a distancia
Sólo las conexiones desde equipos que ejecuten Escritorio remoto con la red
Nivel de autenticación (seguro) se ha seleccionado, como se muestra en la figura 7.12.
Figura 7-12 Configuración de las propiedades de escritorio remoto

5. Haga clic en Seleccionar usuarios. Se abrirá el cuadro de diálogo Escritorio remoto de

usuarios. Verificar
que no hay ningún usuario seleccionado y haga clic en Cancelar dos veces. Si los usuarios
están presentes,
6. sacarlos
Abra la consola
de este Administrador
grupo. del servidor, haga clic en el Características nodo y haga clic
en
Agregar características. Cuando se presentó la solicitud de UAC, haga clic en Continuar.
7. En la página Seleccionar características del Asistente para agregar características, haga
clic en el signo más (+)
al lado de herramientas remotas de servidor de administración para ampliar este tema.
8. Ampliar y seleccionar todos los elementos en herramientas de administración de funciones
y características
Herramientas de administración, como se muestra en la Figura 7-13. Dependiendo de la
configuración
de su servidor, puede ser necesario añadir IIS 6 componentes de gestión en este
punto.
Figura 7-13 Instalación de herramientas de administración y herramientas de características
9. Cuando todos los componentes seleccionados, haga clic en Siguiente y luego

haga clic en Instalar.
10. Haga clic en Cerrar y luego, si es necesario permitir que el servidor se reinicie. La
instalación
completa después de que el servidor se haya reiniciado.
Ejercicio 2: Utilice el Visor de sucesos para configurar una vista personalizada y para asociar una tarea
a un
Evento
En este ejercicio, va a configurar una vista personalizada que se mostrará ningún mensaje de
error
que han ocurrido en las últimas 24 horas de todos los registros. También se adjuntará una tarea
a un espe-
caso específico.
1. Mientras estáPara completar
conectado este ejercicio,
al servidor realice
de Glasgow loslasiguientes
con cuenta depasos:
usuario Kim_Akers, abra
el
Visor de sucesos en el menú Herramientas administrativas. Haga clic en Continuar cuando
se pre-
2. representados
En el menú Acciones
en el cuadro
de la consola
de diálogo
de User
vista de
Account
eventos,
Control.
haga clic en Crear vista
personalizada.
3. En el cuadro de diálogo Crear personalizado Ver, haga clic en la registrada en el menú
desplegable y
seleccione últimas 24 horas.
4. En la categoría de nivel de eventos, seleccione sólo la opción de
error.
5. Haga clic en los registros de sucesos en el menú desplegable y seleccionar tanto los
registros de sucesos de Windows
y las aplicaciones y registros de servicio casillas de verificación.
6. Verifique que el cuadro de diálogo Crear personalizado Ver coincide ahora con la figura 7-
14 y
haga clic en Aceptar. Cuando se presentó la advertencia, haga clic en Sí.
Figura 7-14 Crear una vista personalizada

7. En el cuadro Guardar Filtro Para Ver cuadro de diálogo, escriba el nombre de la vista como
Última errores
24 Horas y haga clic en Aceptar. La vista personalizada ha sido creado.
8. Ver los resultados del filtro.
9. Ampliar el De registro de Windows nodo y seleccione el registro del
sistema.
10. Localizar cualquier error o eventos de advertencia en el registro y haga clic en él. Si no hay
error o
eventos de advertencia, seleccione al azar un evento de información.
11. Haga clic con el evento y haga clic en Adjuntar tarea a este evento. Esto iniciará el Cre-
se comió un Asistente para tareas básicas. Haga clic en Siguiente dos veces.
12. En la página Acción de la Creación de un Asistente para tareas básicas, seleccione Mostrar
un mensaje
13. En la pantalla de una página de mensajes, establezca el título Evento de registro de mensajes y
establecer el
mensaje Este es el mensaje basado en tareas que he creado. Haga clic en Siguiente y después
haga clic en Finalizar.
14. Haga clic en Aceptar para cerrar el mensaje informativo.
■ Usted debe habilitar Escritorio remoto en Windows Server 2008 antes de poder
hacer las conexiones al servidor. De manera predeterminada, los miembros de los
administradores locales
y grupo de usuarios pueden iniciar sesión en un servidor usando Escritorio remoto.
Esto no se aplica a los controladores de dominio, donde sólo los miembros de la
Administración-
■ grupo de administradores sanitarios pueden iniciar sesión.
Servicio de Manejo de Emergencias le permite administrar un equipo que tiene
se vuelve no funcional.
■ Las herramientas RSAT incluyen consolas para administrar todas las funciones y
características
que vienen con Windows Server 2008. Las herramientas RSAT se incluyen como una
instalación-
característica de poder en Windows Server 2008 y puede ser descargado e instalado
■ en
Losequipos
filtros leque ejecutan
permiten Windows
limitar Vista SP1.de un registro de sucesos de un conjunto
la visualización
específico de
eventos. No se puede guardar los filtros, aunque las vistas personalizadas le permiten
aplicar un guarda
■ filtropueden
Se para los registros
adjuntar de registros
a los eventos múltiples.
de las tareas o eventos específicos. Cuando se
produce el evento, la tarea
se dispara. Puede editar o eliminar eventos ya existentes basado en registro en las tareas
de trabajo
Scheduler.
en
Lección 1, "Estrategias de administración del servidor." Las preguntas también están
disponibles en la
NOTA Respuestas
1. En el momento del lanzamiento de Windows Server 2008, sobre cuál de las siguientes com-
computadoras sería usted capaz de instalar las herramientas de administración remota del
sistema
(RSAT)? (Cada respuesta correcta se presenta una solución completa. Elija dos.)
A. Windows Vista Enterprise SP 1
B. Windows XP SP 2
C. Windows Server 2003 R2 Enterprise Edition
D. Windows Vista Home Basic SP 1
E. Windows Server 2008 Enterprise Edition
2. De manera predeterminada, los miembros de los cuales de los siguientes grupos son
capaces de conectarse a través de
Escritorio remoto en un stand-alone equipo Windows Server 2008? (Cada cor-
respuesta rect presenta una solución completa. Elija dos.)
A. Los administradores
B. Usuarios de escritorio remoto
C. Los usuarios de
energía
D. Operadores de impresión
E. Operadores de copia de
seguridad
3. ¿Cuál de las siguientes tecnologías se pueden utilizar para cerrar una Win-
Servidor dows Server 2008 que sigue funcionando después de una carga eléctrica que
se ha quemado sus gráficos y tarjetas de red?
A. Remote Desktop
B. Telnet
C. EMS
D. MMC
4. Será necesario en los próximos meses para llevar a cabo regularmente administra-
tareas productivas en varios de Windows Server 2008 alojado en una subsidiaria
empresa de la oficina. Debido a que esta es una filial de su empresa, no hay directa
Enlace WAN a la ubicación de la oficina de la sede central de su empresa. Sin embargo
tanto en el filial y el suyo tienen una conexión directa a Internet
y el firewall de otro fabricante está configurado para permitir el tráfico a través del puerto 443
si el
dirección de la fuente se encuentra dentro de la oficina de su empresa pública de la cabeza
rango de direcciones IP.
¿Cuál de las siguientes soluciones que piensa implementar para permitir la
administración remota de los equipos de Windows Server 2008 de su
cabeza de ubicación de la oficina?
A. Configurar un servidor de Terminal Services Gateway y colocarlo en la filial
la oficina.
B. Configurar un servidor de Terminal Services Gateway y colocarlo en su com-

empresa de la oficina central.
C. Configurar el firewall de la oficina filial de permitir tráfico del puerto 25, si el

dirección IP de origen está dentro de la dirección de su empresa sede IP pública
amplia.
D. Configurar el firewall de la oficina filial de permitir tráfico del puerto 25, si el

dirección IP de origen está dentro de la dirección de su empresa sede IP privadas
amplia.
5. Se ha configurado un equipo colector para recoger los datos de registro de eventos de 50

dife-
diferentes de Windows Server 2008 que se encuentran dispersos en toda la organización
ción. Cuando se abre el registro de eventos reenviados en el Visor de sucesos que se
abrumado por los datos. Cada vez que abra el Visor de sucesos que desea ser
capaz de rápidamente determinar si los eventos críticos se encuentran que tienen
ocurrido en las últimas 24 horas. ¿Cuál de las siguientes soluciones que deben
poner en práctica?
A. Crear un filtro personalizado.

B. Crear una vista personalizada.
C. Crear una suscripción.
D. Configurar una política de WSRM.
Lección 2: Monitoreo y Optimización del rendimiento

En esta lección, usted aprenderá acerca de las tecnologías incluidas en Windows Server 2008
que le permiten controlar y optimizar el rendimiento del servidor. Una vez que entienda el
tecnologías a través del cual es posible controlar y mejorar el rendimiento de un
único Servidor Windows Server 2008, puede aplicar este conocimiento para la planificación de
cómo ser-
los parámetros pueden ser monitoreados y su mejor rendimiento sobre una base de toda la
organización.
■ Crear una línea base de rendimiento de Windows Server 2008.
■ Supervisar los indicadores clave de rendimiento.
■ Optimizar el rendimiento de Windows Server 2008.
■ Administrar los registros de
sucesos.
Confiabilidad y rendimiento
La Fiabilidad y rendimiento nodo se encuentra en el nodo de diagnóstico de la
Servidor de la Consola de Gestión. Monitor de confiabilidad y rendimiento también se pueden
añadir
como complemento a una MMC personalizada. La ventaja de la fiabilidad y rendimiento
Monitor de la consola sobre las herramientas disponibles anteriormente es que recoge la
funcionalidad de
Monitor de sistema, registros y alertas de rendimiento y Server Performance Advisor en
una única interfaz con un método común de configurar los datos que serán recogidos.
La vista predeterminada de la fiabilidad y el Monitor de rendimiento de la consola es el recurso
Descripción general. La Introducción a los recursos, que se muestra en la figura 7.15, muestra
los datos gráficos
de tiempo real de la CPU, disco duro, memoria y rendimiento de la red.
Figura 7-15 La fiabilidad y la consola de complemento Rendimiento

Lección 2: Monitoreo y Optimización del rendimiento 427
Aunque superficialmente similar a la salida se muestra en Rendimiento del Administrador de

tareas
ficha, el beneficio del uso de Introducción a los recursos es que le permite a la lista
rápidamente, lo que
los procesos y las aplicaciones están consumiendo la mayor parte de un recurso específico. Si
un servidor
que usted es el responsable se ha convertido en insensibles a las peticiones del cliente, el
examen de la
Introducción a los recursos que le permiten determinar rápidamente qué aplicación específica o
servicio está monopolizando un recurso de hardware. El inconveniente de la Introducción a los
recursos
es que es una herramienta reactiva. Le da un punto de vista un punto en el tiempo de
rendimiento del servidor. Usted
No puede utilizar la Introducción a los recursos para realizar un seguimiento a largo plazo las
tendencias
Monitor de oconfiabilidad
que transmita una alerta en
el caso de que un determinado umbral se supera. Lo más probable es encontrar el
El Monitor degeneral
Información confiabilidad,
sobre laque se muestra
utilidad cuandoen
selaestá
Figura 7.16, proporciona
consciente unaun
de que existe descripción
problema con
gráfica rápida
un servidor y
de la estabilidad
se trata de un servidor
de diagnosticar durante las últimas semanas. Los registros de Monitor de
la causa.
confiabilidad fallas
de componentes de hardware, aplicaciones y servicios. El Monitor de confiabilidad también
registra los cambios de configuración, tales como la instalación de nuevas actualizaciones de
software y
las aplicaciones. El beneficio para usted como administrador, es que usted puede determinar
mina si un cambio de configuración a un servidor ha provocado una disminución de ese
la estabilidad del servidor. Desde la perspectiva de la planificación, la creación de una consola
que se conecta a
el Monitor de confiabilidad en varios servidores permite una rápida y de alto nivel general de la
fiabilidad de todos los servidores. En el caso de que usted encuentra un servidor cuya fiabilidad
gráfico
muestra un fuerte descenso, a continuación, puede empezar a cavar más profundo para
determinar exactamente por qué
el servidor está experimentando problemas.
Figura 7-16 Monitor de confiabilidad

Monitor de rendimiento
Monitor de rendimiento permite mostrar los contadores de rendimiento, ya sea en tiempo real o
por la carga de los datos históricos. Los contadores de rendimiento se pueden añadir de forma
individual o por la CRE-
ating lo que se conoce como un conjunto de recopiladores de datos. Conjuntos de
recopiladores de datos contienen el rendimiento
contadores, los datos de seguimiento de eventos e información de configuración del sistema.
Colector de conjuntos de datos
Al
se evaluar
explicanelcon
desempeño de en
más detalle losel
servidores
"colector mirando
de datos"los contadores
más adelante de
en rendimiento,
esta lección. es
necesario tener en cuenta los promedios en el tiempo en lugar de cifras de un punto en el
tiempo, lo que puede
variar significativamente de la media y no dan una buena indicación de cómo los servidores
están funcionando bajo carga. La siguiente lista de estadísticas de rendimiento, si se toma en
un período de uso del servidor de medios, deben ser seguidas por un administrador de
sistemas:
■ Longitud de la cola de disco promedio con el tiempo debe ser igual o inferior a cuatro
solicitudes por
disco físico.
■ Páginas de la memoria / s debe tener un valor medio inferior a 50.
■ % De tiempo de procesador del procesador no debe exceder del 85
■
por ciento.
Red Total de bytes / seg no deberá exceder del 90 por ciento de la capacidad de
la línea.
Colector de conjuntos de
datos
Colector de conjuntos de datos organizar múltiples puntos de recogida de datos en un único
componente
que puede utilizar para evaluar el rendimiento de un equipo que ejecuta Windows Server
2008. Conjuntos de recopiladores de datos incluyen los contadores de rendimiento, los datos
de seguimiento de eventos, y el sistema
información de configuración (como los valores de las claves de registro específicas).
Recopilación de datos
Establece sector son una herramienta clave para evaluar y optimizar el rendimiento de
■ Cuando
La creación de un colector de datos desde haya
el Monitor añadido
de rendimiento
Windows
Serverun2008.
conjunto
Puedede crear
contadores del Monitor
conjuntos de rendimiento
de recopiladores quemediante
de datos desea ver,
dossemétodos:
pueden utilizar
para crear un colector nuevo conjunto de datos haciendo clic en Nuevo en el panel
Acciones y después
seleccionar Set de recopiladores de datos. Esto iniciará el Asistente para nuevo
■ recopilador de datos Set. datos Establecer
Creación de un recopilador dePuede ejecutar el conjunto de recopiladores de datos Asistente
manualmente
para
manualmente mediante la ampliación de la Colector de conjuntos de datos nodo de la
fiabilidad y rendi-
rendimiento del monitor, haga clic en el Definido por el usuario nodo y haga clic en
Nuevos datos
Collector Set. Como muestra la Figura 7.17, el asistente le ofrece la posibilidad de
seleccione los contadores de rendimiento, los datos de seguimiento de eventos e
información de configuración del sistema
datos a incluir en el conjunto de recopiladores de datos.
Figura 7-17 La creación de un colector nuevo conjunto de datos de forma

manual
La otra opción, al crear un recopilador de datos manualmente, es crear un Perfor-
Contador de rendimiento de alerta, que le permite configurar una tarea que se producen cuando
una determinada
umbral del contador de rendimiento se cumple. Posibles tareas incluyen la redacción de una
entrada de registro a la
registro de eventos de aplicación, a partir de un conjunto de datos existente colector, o la
ejecución de una aplicación
ción. La posibilidad de iniciar un conjunto de recopiladores de datos le permite grabar muy
detallada información
ción sobre el estado de los equipos Windows Server 2008 en el período inmediatamente
después de queyelexportar
Puede importar contador de rendimiento
conjuntos Umbral dede
de recopiladores alerta
datossemediante
ha disparado.
el usoSe
decreará una-
plantillas.
Per
Como
Alerta
muestracontra
en laelfigura
desempeño en laplantillas
7.18, cuatro práctica deporejercicios al final decon
defecto coinciden estaellección.
Recaudador de
conjuntos de datos existentes
disponibles en el Sistema nodo de la Colector de conjuntos de datos nodo. También puede
navegar
de plantillas personalizadas. Puede utilizar plantillas personalizadas de datos del Conjunto de
recopiladores como
método
Creaciónque degarantice
líneas deque los datos de rendimiento mismo se está grabando en cada servidor
base
que usted maneja.
Abase es un conjunto de estadísticas de rendimiento promedio de contador del Monitor
tomadas durante
un período normal de utilización del servidor. Las cifras de referencia le permiten comprender
cómo
un servidor realiza en un punto específico en el tiempo para que pueda utilizar esto como un
punto de
de comparación para el rendimiento del servidor en el futuro. Cuando la generación de cifras de
referencia, es
importante elegir un período de uso normal del servidor y tomar las estadísticas sobre un
cantidad de tiempo razonable. La recogida de los datos durante un período de tiempo se
asegura de que cualquier
picos inusuales y cae en las cifras se compensan. La recopilación de datos durante los
períodos
de uso normal también le permite entender cómo el servidor realiza por lo general, en lugar
que bajo cargas inusualmente alta o baja inusual.
Figura 7-18 Data Collector Set plantillas
Hacer el seguimiento de las

tendencias
Periódicamente debe reunir y conservar los datos de rendimiento de misión crítica
servidores. Esto le permite vigilar las tendencias en el rendimiento del servidor. Muchos
de los sistemas
Los administradores de encontrar los datos de tendencia particularmente útil cuando se
tienen que presentar un caso
a quienes toman decisiones financieras acerca de la actualización o sustitución de los
servidores existentes. Si
usted puede ir a una reunión que demuestra que la utilización del servidor ha crecido de
forma constante
el último año y que el hardware del servidor casi se ha llegado a su capacidad, su
argumento más persuasivo que si usted sólo tiene que presentar el más reciente
de las estadísticas. Quienes toman las decisiones son casi siempre más influido por los
datos que indican
una tendencia clara de lo que son por una demanda que después del examen más
reciente,
Creación y Programación de los registros de recopilador de datos
el servidor parece estar llegando a los límites de sus capacidades.
conjuntos
Ejecución de un conjunto de recopiladores de datos genera registros de datos. Puede
configurar el almacenamiento
opciones para cada colector de datos establecido por editar las propiedades de Data Collector
Set. Usted
puede incluir información sobre el registro del nombre de archivo, si los datos se sobrescribe o
se
adjunta, y el límite de tamaño de archivo para cada archivo de registro. Colector de datos se
ejecutan en el sistema
usuario de forma predeterminada.
El monitoreo del desempeño se realiza en muchas organizaciones por los usuarios que no son
conceden derechos administrativos. Estos usuarios son generalmente miembros del
rendimiento
Grupo Usuarios del registro. Para estos usuarios para poder iniciar el registro de datos o editar
datos
Establece colector mediante el Visor de sucesos de Windows Server 2008, debe asignar el
Registro de rendimiento del grupo Usuarios del registro como usuario proceso por lotes.
Para iniciar el registro, haga clic en el conjunto de recopiladores de datos y haga clic en Iniciar.
Para dejar de log-
Ging, haga clic en el conjunto de recopiladores de datos y haga clic en Detener. En la mayoría
de los casos tendrá que
para programar la ejecución de conjuntos de recopiladores de datos, que usted puede hacer
haciendo clic derecho
el Conjunto de recopiladores de datos, haga clic en Propiedades y luego haga clic en la ficha
Programación. De
Aquí usted puede agregar los tiempos de comienzo a un programa, como se muestra en la
figura 7.19. Al hacer clic en el
Tabulación condición le permite establecer las condiciones en que la colección
parar. La condición de parada puede ser expresado como un período de tiempo o una
determinada área
minado tamaño en megabytes.
Figura 7.19 Data Collector Set horario
Informes
Los informes son generados automáticamente a partir de datos del recopilador de datos de
registro de Set. Usted puede crear
un informe haciendo clic derecho en uno de los incorporados en conjuntos de recopiladores de
datos y ponerlo en marcha. Será
plazo por un monto de tiempo preconfigurado antes de terminar su ejecución. Cuando la
ejecución
se ha completado, un informe basado en datos de registro del sistema del colector de datos
estará presente en
el nodo. Al hacer clic en este informe le permite ver su contenido. La figura 7-20 muestra un
ejemplo de informe de rendimiento de apoderado de la predeterminada del sistema de
rendimiento de recopiladores de datos
Fije el intervalo.
Figura 7-20 Ejemplo de informe de rendimiento
Programación de las prestaciones del sistema colector de datos para que se ejecute durante un
servidor de nor-
períodos de funcionamiento normal, y luego comparar los datos generados anteriormente para
ejecutar
informes, le permite ver las tendencias actuales de rendimiento del servidor. Por defecto, el
Sys-
Rendimiento del conjunto de datos tem colector sólo se ejecuta durante un minuto. Si usted
está interesado
en la creación de conjuntos de datos más robusta de la tendencia de los períodos de
funcionamiento máxima, usted debe
crear un recopilador de datos definidos por el usuario Juego basado en la plantilla del
rendimiento del sistema
y el aumento de este intervalo a una cifra superior a 20 minutos. No se puede editar la
cantidad de tiempo que los conjuntos de datos por defecto Collector ejecutar. Puede, sin
embargo, crear un
definida por el usuario fija con base en las plantillas por defecto y hacer la modificación a la
recién creado conjunto.
Administrador de tareas y lista de

tareas
El Administrador de tareas de la ficha de rendimiento proporciona un resumen gráfico de uso de
la CPU y
ha sido utilizado durante mucho tiempo por los administradores para determinar rápidamente la
carga del servidor CPU. Usted
También puede usar el Administrador de tareas a los procesos de clasificar de acuerdo a uso
de CPU o memoria. Sim-
funcionalidad ILAR existe con el Tasklist.exe de línea de comandos. Estas herramientas siguen
siendo
Como alguien
disponible responsable
en Windows de la
Server planificación
2008, aunque sudefuncionalidad
la gestión de es
Windows Serverpor
reemplazado 2008 en un
entorno de producción,
la funcionalidad se debeyconsiderar
de la fiabilidad que de
el rendimiento a pesar de estas herramientas tanto en el
la consola.
trabajo
y en los servidores de una sola, que no se adaptan bien a la hora de gestionar más
que un número pequeño de Windows Server 2008. Si usted está planeando para el segui-
MONITOR el desempeño de más de 10 de Windows Server 2008, usted es mejor
servido con la consola de confiabilidad y rendimiento de lo que son las tradicionales
herramientas como el Administrador de tareas y la utilidad de línea de comandos Tasklist.exe.
Guía de rendimiento y fiabilidad de seguimiento paso a paso

MÁS INFORMACIÓN
Para obtener más información sobre el rendimiento y mejoras de la confiabilidad de monitoreo que se suministran
con
Windows Server 2008, consulte la Guía de rendimiento y fiabilidad de seguimiento paso a paso
disponible en http://technet2.microsoft.com/windowsserver2008/en/library/e571af05-3003-45ae-962c-
e5acfaf4958e1033.mspx? Referencia del fabricante = true.
Consulta Rápida
1. ¿Qué herramienta le permitirá determinar con rapidez la aplicación específica
o servicio que está monopolizando memoria RAM de un equipo Windows Server 2008
es?
2. ¿Qué información se puede incluir en un conjunto de recopiladores de
datos?
1. Fiabilidad y rendimiento del Monitor dar información gráfica y pro-
proporciona los datos ordenados en orden de utilización de los recursos de la CPU,
disco, red,
y el uso de memoria.
2. Conjuntos de recopiladores de datos pueden incluir contadores de rendimiento, los
datos de seguimiento de eventos,
y el sistema de información de configuración.
Optimización del rendimiento de Windows Server 2008

Windows Server 2008 está diseñado para funcionar bien desde la instalación de la mayoría de
los clien-
despliegues de Tomer. Microsoft ha dedicado un esfuerzo importante la creación de una
dinámica
subsistema de la red a punto y mejora del sistema de intercambio de archivos que se deben
realizar en
la mejor manera posible sin requerir la intervención de un administrador. Para
circunstancias específicas, sin embargo, un administrador puede realizar cambios en la
configura-
ración
La de Windows
primera cosa queServer 2008 fuera de deben
los administradores las quetener
se encuentran
en cuenta enes una
que implementación típica.
el registro de Windows
Estos 2008
Server
cambios
los ajustespueden aumentar
y parámetros deelajuste
rendimiento más allá de lo que
son significativamente la configuración
diferentes de las de por defecto
Windows
proporciona.
Server 2003. Si va a poner en práctica precisamente la optimización del rendimiento mismo
proce-
mientos en sus organizaciones servidores Windows Server 2008 que trajo mejoras
mejoras en Windows Server 2003, es probable que encuentre resultados inesperados. Es
También es importante recordar para realizar una copia de seguridad del estado del sistema
antes de hacer
modificaciones del registro de modo que si surgen resultados inesperados, usted tiene un pre-
existentes
Interrupción de afinidad
de configuración que puedepolítica
caer de nuevo a.
Herramienta
El comportamiento predeterminado de Windows Server 2008 en sistemas multiprocesador con
ocho
o menos procesadores lógicos es que transmita interrupciones del dispositivo a cualquier
procesador disponible.
La herramienta de la política de interrupción de afinidad, que se muestra en la Figura 7.21,
permite a los administradores de alterar
que el comportamiento por defecto y se unen las interrupciones de un dispositivo específico
para un determinado pro-
sucesor. Debido a que la herramienta Directiva de interrupción de afinidad le permite crear
cualquier configuración-
ción, incluidas las configuraciones que son perjudiciales para el rendimiento del servidor, es
necesario
asegurarse de que tiene las líneas de base un buen rendimiento con el que comparar un nuevo
modificar la configuración. Sólo se puede utilizar la herramienta en dispositivos de interrupción
recursos y no se comparten con otros dispositivos. Algunos dispositivos de hardware también
MÁS Obtener la herramienta Directiva de interrupción de
INFORMACIÓN
solicitan
afinidad
la afinidad
Puede del
descargar procesador
la durante
herramienta de el de
la política proceso de arranque,
interrupción de afinidad yyaveriguar
estas solicitudes generadas
más acerca de poren
cómo utilizarlo
hardware
multiprocesador de Windows Server 2008 en la siguiente página en el sitio Web de Microsoft:
http://www.microsoft.com/whdc/system/sysperf/IntPolicy.mspx.
valores prevalecen aplicado utilizando la herramienta de la política de interrupción de afinidad.
Figura 7.21 Interrupción de afinidad política Herramienta
El método principal de mejorar el rendimiento de cualquier servidor es reducir el número

de los servicios activos y sus aplicaciones. Las únicas aplicaciones y servicios que deben ser
funcionamiento son los que apoyan directamente la funcionalidad del servidor. El beneficio
adicional de
cerrar servicios innecesarios es que no sólo va a mejorar el rendimiento,
También hará que el servidor más seguro al reducir su perfil de ataque.
Pautas de ajuste del rendimiento

MÁS INFORMACIÓN
Para más información sobre el ajuste de rendimiento, consulte el documento titulado "Optimización del Rendimiento
Directrices para Windows Server 2008 "en http://www.microsoft.com/whdc/system/sysperf/
Perf_tun_srv.mspx.
Windows System Resource Manager

Windows System Resource Manager (WSRM), que se muestra en la figura 7.22, es un
desempeño,
función de optimización de rendimiento que se puede instalar en Windows Server 2008 desde
el
Consola de Server Manager. Usted puede usar WSRM para administrar el uso de memoria y
procesador
mediante la aplicación de las políticas de recursos. A través de políticas WSRM, se puede
asegurar
que cada servicio se asignan los recursos en igualdad de condiciones, o que las aplicaciones
específicas,
servicios, o los usuarios se reparten una mayor cantidad de recursos de un servidor. WSRM se
se menciona brevemente en la lección 1 del capítulo 5.
Figura 7.22 Windows System Resource Manager
Usted puede utilizar el Sistema de Windows Administrador de recursos para cumplir con los
siguientes de Windows
Server 2008 las metas de desempeño:
■ Asignar los recursos en un proceso por, por usuario o por grupo de aplicaciones IIS
■
base.
Variar el número de servidores asignar los recursos a través del tiempo por el uso del
calendario WSRM FEA-
tura de aplicar diferentes políticas de acuerdo a un horario.
■ Cambiar la política de recursos se aplica sobre la base de las propiedades del servidor y
■
eventos.
Recopilar datos de uso de recursos, ya sea en la base de datos interna de Windows o en
un clien-
tom base de datos SQL Server.
WSRM viene con los siguientes cuatro políticas de gestión de recursos:
■ Esta política está diseñada para ser utilizada en un Terminal Server. Cuando
Igual por sesión
la política de igualdad se aplica por sesión, cada sesión de TS que se conecta a la
servidor se le asigna los recursos por igual, independientemente de si el mismo usuario
una sesión con múltiples sesiones.
■ Esta política asigna recursos sobre la base de la cuenta de usuario

Igual por usuario
está ejecutando el proceso. Esta política se aplica principalmente a los servidores de
aplicaciones.
Un usuario que está ejecutando cuatro procesos se asignarán los mismos recursos del
sistema
como los asignados a un usuario que ejecuta un proceso. Si un usuario se le asigna más
recursos que le lleve a la práctica, WSRM temporalmente asignar esos
recursos a otros usuarios que podrían beneficiarse de ellas hasta que el usuario original
requiere más recursos. Por ejemplo, si cuatro usuarios están conectados a una aplicación
servidor y el usuario sólo utiliza un 10 por ciento de los recursos, los otros tres
se asignó el 30 por ciento de los recursos disponibles hasta que un usuario requiere más,
en
cual todos los usuarios se limitará a un 25 por ciento de los recursos disponibles.
■ Esta política asigna los recursos del servidor igualmente a través de pro-
Igual por proceso
procesos. Si un proceso no es totalmente el uso de los recursos asignados a ella por
WSRM,
WSRM asignará los recursos no utilizados a otros procesos hasta el momento
que necesita el proceso original de los recursos aumenta el límite asignado.
■ Iguales por grupo de aplicaciones IIS Esta política asigna los recursos por igual sobre la base
de un grupo de aplicaciones IIS. Un grupo de aplicaciones IIS es una colección de
aplicaciones Web
ciones alojada en un equipo Windows Server 2008 con la función de servidor Web
instalado. Las aplicaciones que no están asignados a los grupos de aplicaciones sólo se
capaz de utilizar los recursos no consumidos por los grupos de aplicaciones existentes.
Como se discutió en la sección de política anteriormente, las políticas WSRM sólo entrará en
vigor cuando
existe una disputa por los recursos. Si no existe competencia por los recursos, los recursos se
se asignarán según sea necesario. En algunos casos usted tendrá que planificar políticas que
WSRM
no asignar recursos en forma equitativa, sino asignar más recursos a un
grupo de usuarios o procesos que a cualquier otro usuario o proceso, tales como la política
muestra en la figura 7.23. Así como usted puede utilizar por el usuario, por proceso, por sesión,
y
aplicación por los procesos de la piscina, también puede crear políticas WSRM para usuarios
específicos,
sesiones específicas, procesos específicos, y las piscinas de aplicaciones específicas.
Figura 7.23 Costumbre WSRM política

WSRM tiene algunas limitaciones, además de ser incapaz de funcionar correctamente si un

com-
ordenador está en manos de otro administrador de recursos. Usted no debe usar WSRM
para gestionar las aplicaciones que o bien se han incorporado en la gestión de recursos o
aplicaciones
que usan objetos de trabajo. En el caso de que un equipo en el que desea utilizar WSRM
tiene cualquier tipo de aplicación, se puede seguir usando WSRM, siempre y cuando
añadir estas aplicaciones específicas a las definidas por el usuario la lista de excepciones. Para
estas aplicaciones
ciones, la asignación de recursos no serán administrados por WSRM, pero tampoco con-
conflicto con WSRM. Por último, debe tener en cuenta que WSRM no logra procesador y
los recursos de memoria utilizados directamente por Windows Server 2008. Por ejemplo,
imagine
aplicar una política de igualdad de usuario por WSRM. Cuatro usuarios ejecutan aplicaciones
en el
Server y Windows Server 2008 es utilizar el 20 por ciento de los recursos de CPU disponibles.
Cada usuario se limitaría a un 20 por ciento de la capacidad de la CPU, ya que sólo el
80 por ciento de la capacidad de la CPU no se utiliza por Windows Server 2008 está disponible
para su asignación
ción a través de WSRM. WSRM se estudiarán con más detalle en el ejercicio de la práctica
Práctica:
"LaEstablece
aplicación de elun
recopilador de datos,
sistema de recursos informes
de Windows y políticas
Policy Manager"WSRM
al final de esta lección.
En este conjunto de ejercicios, creará un conjunto de recopiladores de datos, programar su
ejecución, crea-
comió una alerta de rendimiento, ver un informe generado por un conjunto de recopiladores de
datos, y luego
crear y aplicar
Ejercicio 1: Crearun
unsistema
servidor de
de recursos de Windows
Windows 2008 directiva
Data Collector Set yde administrador.
programar su ejecución
En este ejercicio, creará un conjunto de recopiladores de datos que controla varias importantes
por-
los contadores de rendimiento. Después de crear el conjunto de recopilación de datos, se
creará un programa de
para su ejecución.
1. Inicie sesión enPara completar
el servidor este ejercicio,
de Glasgow con larealice
cuentalos
desiguientes pasos: y abrir la
usuario Kim_Akers
La fiabilidad y la consola de Monitor de rendimiento de las herramientas administrativas
menú. Haga clic en Continuar cuando se le presenta el cuadro de diálogo User Account
Control.
2. Ampliar el Colector de conjuntos de datos nodo. Haga clic con el Definido por el usuario
nodo, haga clic en
Nuevo y, a continuación, haga clic en Establecer el recopilador de datos. Esto iniciará el
Crear nuevos datos
3. Colector
Asegúrese asistente
de quede crear
configuración.
desde una plantilla
En la casilla
seleccionada
Nombre Miy luego haga
sistema clic en
de Set.
Siguiente.
4. En la plantilla de en cuáles le gustaría utilizar la página, asegúrese de que el Sistema de
El rendimiento es seleccionado y luego haga clic en Siguiente.
5. Acepte la ubicación predeterminada de los datos del colector de datos para guardar
6. En la página Crear un nuevo conjunto de datos Collector, seleccione Abrir propiedades para
la
Este colector de datos Seleccionar la opción y haga clic en Finalizar. Se abrirá el cuadro de
diálogo
Figura 7.24 Creación de un conjunto de recopiladores de datos
7. Haga clic en la ficha Programación y después haga clic en Agregar. La hora de inicio a las
9:30 am y
8. Haga clic en la pestaña de condición de Stop. Cambiar la duración total de 10 minutos y
luego
9. Haga clic con el Mi de grupos de sistemas de recopiladores de datos y haga clic en Inicio. El
recopilador de datos
pasará los próximos 10 minutos, mientras que la recopilación de información se inicia en el
ejercicio de la práctica siguiente.
Ejercicio 2: Crear alertas de rendimiento y ver los informes
En este ejercicio, creará una alerta de rendimiento y ver el informe generado
por el conjunto de recopiladores de datos que ha creado y ejecutado en el ejercicio anterior. A
completar este ejercicio, realice los siguientes pasos:
1. En el Monitor de confiabilidad y rendimiento, haga clic en el Definido por el usuario nodo,

haga clic en Nuevo y, a continuación, haga clic en Establecer el recopilador de datos.
2. En la página Crear un nuevo conjunto de datos Collector, escriba el nombre Mi cola de disco
Alerta, seleccionar la opción de crear manualmente (avanzado) y haga clic en Siguiente.
3. En la página Crear un nuevo conjunto de datos Collector, seleccione el contador de

rendimiento
Opción de alerta y haga clic en Siguiente.
4. En los contadores de rendimiento que usted tiene gusto de Monitor de página, haga clic en
Agregar.
5. En la lista de contadores de rendimiento disponibles, añadir el disco lógico \ Current
La cola de disco contador Longitud como se muestra en la Figura 7-25, haga clic en Agregar
y luego haga clic en Aceptar.
Figura 7.25 Adición de un contador de rendimiento
6. Configurar la alerta cuando sobre la figura de 50 y haga clic en

Siguiente.
7. En la página Crear la página Conjunto de recopiladores de datos, seleccione el Abrir
propiedades para este
Data Collector Set y luego haga clic en Finalizar. Se abrirá la recogida de datos-
tor Set cuadro de diálogo Propiedades.
8. En la cola de disco Mi cuadro de diálogo Alerta de propiedades, haga clic en la ficha Tarea.
Debido a que no
las tareas programadas se han creado, haga clic en Aceptar para cerrar este cuadro de
9. Verifique que el Mi de grupos de sistemas de datos del Conjunto de recopiladores se
diálogo.
encuentra en estado detenido y luego
haga clic en el Definido por el usuario nodo en el Informes nodo.
10. Haga doble clic en Mi Ajustes del sistema y haga doble clic en el elemento de informe que
será verde
tienen fecha de hoy. Con ello se abre un informe del rendimiento del sistema similar a la
Figura 7.26 Informe de desempeño del sistema
Ejercicio 3: Crear y aplicar un sistema de recursos de Windows Policy Manager

En este ejercicio, va a instalar Windows System Resource Manager en el servidor de Glasgow
y crear y aplicar una política personalizada WSRM de acuerdo a un horario específico. A
completar este ejercicio, realice los siguientes pasos:

Kim_Akers.
2. Abra la consola Administrador del servidor si no se abre automáticamente desde
la barra de herramientas Inicio rápido o en el menú Herramientas administrativas.
3. Haga clic con el Características nodo y haga clic en Agregar características. Esto iniciará el
complemento
Características del Asistente. En la página Seleccionar características, desplácese hacia
abajo por la lista y
Cuando aparece
4. seleccione el de
Sistema cuadro de diálogo
Windows que le informa
Administrador de que el interno de Windows
de recursos.
Función de base de datos se requiere, que se muestra en la Figura 7-27, haga clic en
Agregar características requeridas
Figura 7.27 Añadir característica que depende de WSRM
5. En la página Confirmar selecciones de instalación, haga clic en Instalar. Cuando la

instalación
de las nuevas características completa, haga clic en Cerrar.
6. En el menú Herramientas administrativas, haga clic en Sistema de Windows Administrador
de recursos.
Haga clic en Continuar cuando se le solicite por el cuadro de diálogo User Account Control.
7. Cuando se lo indique el cuadro Conectar con PC de diálogo, asegúrese de que esta
Equipo está activada y haga clic en Conectar.
8. Haga clic en el Las políticas de asignación de recursos nodo en el lado izquierdo de la

consola, y
continuación, haga clic en Nueva directiva de asignación de recursos en el panel Acciones.
Esto abrirá
Ennueva
9. La el cuadro de asignación
asignación de recursos
de recursos de diálogo
de la política de política,
de cuadros escribaque
de diálogo, el nombre
se muestra en la
NewPolicy
figura 7.28.
en
el cuadro Nombre de política y luego haga clic en Agregar.
10. Haga clic en criterios coincidentes del proceso y luego haga clic
en Nuevo.
11. En el cuadro Nombre escriba el nombre de Criterios AdminResources y haga clic en
Agregar.
12. En el cuadro de diálogo Agregar regla, haga clic en la pestaña Usuarios o Grupos y
después haga clic en Agregar.
Figura 7.28 Asignación de nuevos recursos Política cuadro de diálogo
13. En Seleccionar usuarios o grupos el cuadro de diálogo, escriba Administradores de dominio y

luego
14. Haga clic en Aceptar. Verificar que el nuevo proceso de Criterios de Coincidencia cuadro de
diálogo
coincide con la figura 7.29 y luego haga clic en Aceptar.
Figura 7.29 Nuevo Proceso de Criterios de Coincidencia cuadro de diálogo

15. Definir el porcentaje de procesador asignados para esta cifra de recursos para 30 y
16. Establecer el nombre de la política de AdminResources y haga clic en

Aceptar.
17. Haga clic en la recién creada AdminResources política en la lista de asignación de recursos
Políticas y haga clic en Establecer como política de gestión en el panel Acciones.
18. Aparecerá una advertencia, que le informa que el calendario se desactivará. Haga clic en
Aceptar.
19. Haga clic en el Windows System Resource Manager (Local) nodo en el panel de la
izquierda y ver
verifican que la política seleccionada es AdminResources, como se muestra en la figura
7.30.
Figura 7.30 La aplicación de la nueva política
20. En el panel Acciones, haga clic en paradas del sistema de Windows Administrador de
recursos de gestión
ción del sistema de Windows para deshabilitar el Administrador de recursos.
■ Una línea de base es un conjunto de datos de rendimiento que representa el modo en el
servidor funcionaba
bajo carga normal, por lo general cuando el servidor se desplegó por primera vez. ¿Cómo
un servidor
■ realizando de
Conjuntos actualmente es ade
recopiladores menudo comparado
datos incluye datoscon
de su rendimiento
contadores de de referencia.los
rendimiento,
datos de seguimiento de eventos, y con-
figuración de la información. Cuando se ejecuta un conjunto de recopiladores de datos,
genera registro
datos que se utiliza para generar informes.
■ Las alertas de rendimiento son conjuntos de recopiladores de datos que ejecutan una
tarea cuando un particular
umbral de rendimiento que se alcanza.
■ Los informes proporcionan fácil de entender resúmenes de recopilador de datos de
registro Configurar infor-
información. Los informes se generan automáticamente después de un conjunto de
recopiladores de datos ha dejado de
■ la ejecución.
Windows System Resource Manager (WSRM) Las políticas permiten a los
administradores
establecer políticas que las solicitudes de subvención o de acceso de los usuarios
prioridad a los recursos del sistema.
en
Lección 2, "Seguimiento y Optimización del rendimiento." Las preguntas también están
disponibles
poder en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. ¿Cuál de las siguientes herramientas se va a utilizar si desea enlazar una red de

interrumpe el trabajo del adaptador de dispositivo a un procesador en particular en un
servidor Windows
2008 que tiene varios procesadores?
A. Microsoft System Center Operations Manager 2007
B. Windows System Resource Manager
C. Interrupción de afinidad política
Herramienta
D. Administrador de
dispositivos
2. Usted necesita asegurarse de que durante la última semana de cada mes, las aplicaciones
se ejecutan por
los miembros del grupo de Contabilidad se da prioridad a los recursos en tres de Windows
Server 2008 equipos en los que usted maneja. ¿Cuál de los siguientes métodos
se debe utilizar para poner en práctica este objetivo?
A. Configurar una política de WSRM que se aplica manualmente.
B. Configurar una política de WSRM que se aplica utilizando el calendario.
C. Configurar una política de interrupción de afinidad que se aplica
manualmente.
D. Configurar una política de interrupción de afinidad que se aplica utilizando
programadas
Tareas.
3. ¿Cuál de las siguientes cifras de Monitor de rendimiento debe causar preocupación

si se comprueba que el promedio a lo largo de un período normal de servidor
carga?
A. Un promedio de longitud de la cola de disco lógico

de un
B. Páginas de la memoria / s de 75
C. % De tiempo de procesador Procesador de
65%
D. Bytes Total Network / Sec de 2048 en una red de 1 Gbit
4. Le preocupa que los datos de rendimiento del sistema colector Set, que
han programado para ejecutarse a las 9:00 am todos los días, no es suficiente para la
recogida de datos
que os hagáis una idea exacta de cómo un servidor lleva a cabo bajo una carga normal. La
El rendimiento del sistema de datos del Conjunto de recopiladores se ejecuta de acuerdo a
sus valores predeterminados
de configuración. ¿Cuál de los siguientes cambios podría hacer para remediar esta
situación?
A. Configurar la programación para ejecutar a las 10:00 am todos los
días.
B. Crear una colección definida por el usuario del conjunto de datos basado en el
Sistema Perfor-
rendimiento recopilador de datos conjunto de plantillas que tiene una duración de 30
C. Crear una colección definida por el usuario del conjunto de datos basados en los
minutos.
diagnósticos del sistema
Data Collector Set plantilla que tiene una duración de 30 minutos.
D. Configure la programación existente no a punto de
expirar.
Lección 3: la delegación de autoridad 447
Lección 3: la delegación de autoridad

Como administrador de sistemas que suelen tener los privilegios para hacerlo todo. Como una
valiosa
activo capaz de su organización, se debe minimizar el tiempo dedicado a asistir trivial
tareas de manera que sus habilidades pueden ser empleadas contra los más complejos.
Delegaciones
ción de la autoridad es una tecnología que permite a los usuarios no privilegiados para llevar a
cabo un número limitado de
y conjunto muy específico de tareas administrativas simples. En esta lección, usted aprenderá
cómo se puede planificar la delegación de autoridad para hacer la gestión de su orga-
Servidor de Windows 2008 nización de la red más eficiente.
■ Políticas esquema de delegación y los procedimientos.
■ Delegar la autoridad.
■ Delegar la gestión de aplicaciones.
Políticas de Delegación
Personal de recursos humanos rara vez se conocen las capacidades de Active Direc-
historia. La delegación de autoridad es un área que combina tanto los aspectos técnicos de
lo que puede lograrse mediante la aplicación de un administrador de sistemas de conocimiento
borde y el marco jurídico y político que debe ser interpretado y aplicado
por el departamento de Recursos Humanos. Los administradores de sistemas son de confianza
con el crítico
información por parte de las organizaciones que trabajan. Si un administrador del sistema es la
único que puede realizar una tarea determinada, como la creación de cuentas de usuario,
permiso-
modificación nes, o cambiar la contraseña de un director general, alguien que es claramente la
culpa si
algo va mal. Como se puede aprender de esta lección, los administradores de sistemas tienen
la capacidad de delegar sus poderes. Delegación de privilegio se debe hacer solamente en
situaciones cubiertas por la política existente, no sólo porque es el punto de vista ético, pero
también porque es necesario que haya una clara cadena de responsabilidades.
Procedimientos de la
delegación
Se puede delegar la autoridad mediante la configuración de la configuración de seguridad de
los objetos dentro
Active Directory. La figura 7-31 muestra la configuración de seguridad avanzada para una
unidad organizativa en la
la cuenta de usuario Kim Akers se ha delegado los permisos. El inconveniente de las per-
la formación de un manual de edición es que se requiere una precisión mucho más que el uso
de la Delegación
Asistente de Control, que realiza la configuración automática. También puede
realizar las delegaciones con el comando Dsacls.exe. Similar al uso de la interfaz gráfica de
usuario, el
comando Dsacls.exe requiere el uso de sintaxis precisa para establecer permisos en
Objetos de Active Directory. Usted puede aprender más sobre la sintaxis de la Dsacls.exe com-
demanda mediante la emisión de la Dsacls.exe /? comando desde un símbolo del sistema con
privilegios elevados en un
equipo que ejecuta Windows Server 2008. También puede crear aplicaciones de Windows
PowerShell
secuencias de comandos para modificar los permisos asignados a una unidad organizativa
como método de delegación.
Debido a que el Dsacls.exe de línea de comandos se ha diseñado específicamente para la
tarea de
modificación de los permisos de objetos de directorio, ofrece una ruta más directa para este
tarea que un script de Windows PowerShell que logra los mismos resultados para los sencillos
del-
egation tareas.
Figura 7.31 Permisos de edición para la delegación
En la planificación de las delegaciones para su entorno, el Asistente para delegación de control

es la mejor herramienta a utilizar para un pequeño número de delegaciones, ya que reduce la
probabilidad-
capilla de los errores y es relativamente fácil de usar. Cuando usted necesita para llevar a cabo
una
gran número de delegaciones complejo, obteniendo un script que usa Dsacls.exe o Windows
Funcionamiento PowerShell vale la pena la inversión de tiempo. Cuando tenga que decidir
entre
utilizando Dsacls.exe y Windows PowerShell, es necesario evaluar la complejidad de la
delegación. Puede realizar un gran número de delegaciones relativamente simple utilizando
Dsacls.exe. Un gran número de delegaciones complejo podría llevarse a cabo mejor utilizando
una
Windows PowerShell guión, porque entonces le será más fácil añadir otros componentes
componentes, tales como tener los datos de extracto de guión a partir de una base de datos o
hoja de cálculo que
describe que las delegaciones deben realizarse. En resumen, utilice el siguiente

criterios para tomar su decisión:
■ Si usted tiene un pequeño número de delegaciones, utilice el Asistente para delegación de

■
control.
Si usted tiene un gran número de delegaciones simple, utilice el comando Dsacls.exe-
utilidad de la línea.
■ Si usted tiene un gran número de delegaciones compleja que involucra componentes
como archivos CSV, utilizar un script de Windows PowerShell.
Delegación de privilegios administrativos

Como se mencionó anteriormente en esta lección, la principal herramienta para la realización
de las delegaciones es la
Asistente para delegación de control, que se muestra en la Figura 7-32. Usted puede utilizar el
asistente en el
nivel de dominio, aunque en la mayoría de las organizaciones de las delegaciones tendrá lugar
en la Organización
nivel de unidad organizativa.
Figura 7-32 Tareas que se pueden delegar
Puede delegar las siguientes tareas comunes:

■ Crear, eliminar y administrar cuentas de usuario
■ Restablecer las contraseñas de usuario y cambiar la contraseña de la
■
Fuerza Al siguiente inicio de sesión
Lea toda la información del usuario
■ Crear, eliminar y administrar grupos
■ Modificar la pertenencia de un grupo
■ Administrar vínculos de directiva de

■
grupo
Generar conjunto resultante de directivas
■
(planeamiento)
Generar conjunto resultante de directivas (registro)
■ Crear, eliminar y administrar cuentas de InetOrgPerson
■ Restablecer las contraseñas de InetOrgPerson y cambio de contraseña de la Fuerza Al
■
siguiente inicio de sesión
Lea toda la información InetOrgPerson
Puede utilizar el Asistente para delegación de control para delegar una, algunas o todas estas
tareas a los usuarios o grupos. También puede, cuando se utiliza el Asistente para delegación
de control,
crear una tarea personalizada para delegar. Al crear una tarea personalizada para delegar,
puede dele-
eGate el control de la carpeta, los objetos existentes en el contenedor, y la creación de nuevas
objetos en el contenedor, u objetos específicos. Puede delegar el control sobre más de
100 objetos diferentes. La figura 7-33 muestra algunos de estos objetos en la Delegación de
Control Wizard.
Figura 7-33 Delegación de costumbre
La razón principal para planificar la delegación de control es que usted quiere dar limitada
derechos de administrador a los usuarios. Esto es muy importante en entornos en los que
apoyo
puerto está centralizada y muchas sucursales no tienen un miembro del soporte de TI
del personal. Es importante porque los riesgos de seguridad que implica tener un importante
tareas administrativas, tales como el restablecimiento de contraseñas, realizada por una
persona en un mando a distancia
la sede de la oficina. Por ejemplo, un atacante podría llamar a la mesa de ayuda pretendiendo
que ser un usuario en particular para obtener la contraseña del usuario de cuenta de usuario
cambiado. Si su orga-
nización tiene políticas sólidas, se necesita algo más que una declaración de "yo soy
Rooslan "antes de Rooslan contraseña se cambia. En muchas organizaciones, se trata de

una visita a la mesa de ayuda y la presentación de algún tipo de identificación, como un
licencia de conducir. Verificación de la identidad se vuelve más difícil cuando alguien en una
sucursal se olvida de su contraseña y ninguna persona de TI local está disponible para verificar
la identidad
o restablecer la contraseña.
Utilizando el Asistente para delegación de control, se puede planificar políticas que permitan
una confianza
persona en un sitio de la sucursal de la capacidad de restablecer contraseñas. Porque sólo
parti-
cular derecha se delega, la persona de su confianza no tiene ninguna otra administración
los derechos. Cuando alguien en la oficina necesita una contraseña cambiada, se puede
verificar
su identidad directamente con el delegado de confianza. El delegado de confianza se realiza la
restablecimiento de contraseña.
La eliminación de las delegaciones
existentes
Aunque es posible, mediante la visualización de la configuración de seguridad avanzada para la
delegación
Propiedades, para determinar qué cuentas de usuario se han delegado administrativo
permisos, a veces puede ser difícil determinar exactamente los derechos que han sido
delegados, sobre todo si las opciones de la delegación personalizados se utilizan. En una
situación en la que
no está seguro de lo que ha sucedido con anterioridad en términos de delegación y no por
escrito
existen registros, que sería prudente para restablecer los ajustes a su configuración
predeterminada.
La próxima
El botón vez quevalores
Restaurar se solicita la delegación, en
predeterminados usted puede asegurarse
la configuración de que existe
de seguridad un rastro
avanzada para el
de papelDelegación
diálogo para
explicar
caja quepor qué (y encontrar
se puede para quién) se llevó clic
haciendo a cabo la delegación.
en Avanzadas de Seguridad de la OU propiedades
tab-le permite restablecer la unidad organizativa a un defecto no delegada del Estado. También
puede restablecer
las delegaciones existentes con el Dsacls.exe de línea de comandos. Por ejemplo, para
restablecer
la unidad organizativa denominada Delegación en el dominio contoso.internal, usted deberá
utilizar los siguien-
comando siguiente:
Delegar la gestión de un grupo
Puede delegar el control sobre los miembros de un grupo a través de la especificación de un
hombre
gerente de la ficha Administrado por las propiedades de una cuenta de usuario. La cuenta de
usuario espe-
FIED como el administrador puede modificar la composición del grupo, agregar y eliminar
usuarios
según sea necesario. La figura 7-34 muestra que cuenta Kim Akers "el usuario se ha dado la
capacidad de
para actualizar la lista de miembros del grupo llamado ExampleGroup. El administrador puede
ya sea una cuenta de usuario o un grupo que existe en Active Directory.
Figura 7-34 Configuración de grupo de administración como la

delegación
Delegación de credenciales
La delegación de credenciales es un proceso automático que es diferente de la delegación de
la con-
de control. Delegación de control permite que una persona con un gran conjunto de los
derechos de la concesión de un subconjunto
de los derechos de otro usuario. La delegación de credenciales, también conocido como
delegado
autenticación, permite a una computadora suplantar a un usuario para el propósito de obtener
Cuando
acceso aellos
dominio y elque
recursos nivel
el funcional del bosque se
usuario normalmente establece
tienen en Windows Server 2008, los
acceso.
Del-
ficha egation, se muestra en la Figura 7-35, disponible en propie-la cuenta de equipo
erties cuadro de diálogo en Active Directory usuarios y equipos.
Puede confugure la configuración siguiente delegación mediante la edición de las propiedades
de un
de cuenta de equipo:
■ No confiar en este equipo para la delegación
■ Confiar en este equipo para delegación a cualquier servicio (sólo Kerberos)
■ Confiar en este equipo para la delegación a los servicios especificados
En términos de planificación, usted debe negar equipos que no están físicamente seguro de la
capacidad de participar en la autenticación delegada. En el caso de que esto no es práctico,
usted puede planear usar la delegación restringida. La delegación restringida le permite
seleccionar los servicios específicos que pueden ser solicitados a través de la delegación por
un equipo que
de confianza para la delegación. Por ejemplo, en la figura 7-36 la cuenta de equipo para la
equipo llamado Adelaide está configurado para que sólo se puede utilizar para presentar dele-
credenciales cerrada para el servicio de DNS en el ordenador GLASGOW.contoso.internal.
Figura 7-35 Equipo configuración de la cuenta la delegación
Figura 7-36 Limitar la delegación

Usted puede bloquear las cuentas de usuario importante de la participación en la delegación.

En el
Cuenta la pestaña de propiedades de una cuenta de usuario en usuario de Active Directory y
equipos,
bajo Opciones de la cuenta se encuentra la opción de configurar una cuenta tan sensible y
puede
no ser delegado, como se muestra en la Figura 7-37. Autenticación delegada permite a una red
servicio para asumir la identidad de un usuario cuando se conecta a un servicio de red
secundaria. Para
ejemplo, si el sistema de cifrado de archivos (EFS) se utiliza en una organización, delegada
autenticación permite el almacenamiento de archivos encriptados en servidores de archivos ya
que el archivo
servidor tiene que asumir la identidad del usuario para obtener los certificados necesarios para
cifrar el archivo. Aunque esto es aceptable para las cuentas de usuario, Microsoft rec-
mienda que todas las cuentas de administrador de nivel de dominio debe ser marcado como
sensibles
y la prohibición de la delegación. De esa manera no hay posibilidad de que los derechos
administrativos
sea secuestrada por un sofisticado ataque que utiliza la delegación y suplantación.
Figura 7-37 Detener la delegación de una cuenta de usuario sensible
Consulta Rápida
1. ¿Por qué el personal de Recursos Humanos necesita la entrada de los
administradores de sistemas
cuando se genera la política de la organización referentes a la delegación privilegio?
2. ¿Qué tipos de cuentas de usuario se debe marcar como sensibles y prohib
limitado de la participación en la delegación de credenciales?

1. En la mayoría de los casos humanos del personal de recursos es poco probable que
sea consciente de lo que es y
lo que no es técnicamente posible con respecto a la delegación de privilegio.
2. Las cuentas de administrador, en concreto del dominio y de la empresa-adminis-
trador cuentas, se debe marcar como sensibles y se prohíbe a los par-
pando en la delegación de credenciales.
NOTA Auditar la actividad de la delegación

Así como usted debe mantener un registro del uso de los permisos administrativos, también debe
configurar la auditoría de manera que existen registros de las actividades de los usuarios que han delegado
privilegios.
Delegar la gestión de aplicaciones

En muchas organizaciones grandes, diferentes personas son responsables de diferentes
administraciones
tareas. A menudo, la persona que instala la aplicación no es la persona que es respon-
ble para el mantenimiento de la aplicación. Un ejemplo de esto podría ser Microsoft Exchange
Server 2007, cuando la persona que es responsable de la red general y que ha
privilegios de administrador en todos los ordenadores Windows Server 2008 no es en realidad
responsable de la gestión de la infraestructura de Exchange Server 2007. Figura 7-38 pro-
proporciona un ejemplo de los grupos de seguridad de Exchange Server 2007 que se utilizan
para asignar funciones
a los administradores de Exchange. En Exchange Server 2007, la delegación de privilegios
pueden ser
logra mediante la adición de cuentas de usuario a los grupos especiales que se han concedido
privilegios a través de una organización de Exchange.
Figura 7-38 Exchange Server 2007 la delegación en Windows Server 2003

Basado en el rol Delegación

Casi todos los productos de Microsoft del servidor, como Exchange 2007, SQL Server 2008, y
System Center Operations Manager 2007 utiliza este método de delegación basada,
donde los usuarios se les asignan funciones administrativas particulares. En casi todos los
casos, los usuarios que
se delegan funciones administrativas para una aplicación particular no requieren distintos
derechos de administrador en el servidor que aloja la aplicación.
Al igual que Windows Server 2008 cuenta con las herramientas RSAT, la mayoría de servidores
de aplicaciones vienen con
un conjunto de herramientas de administración que se puede instalar en un sistema operativo
cliente, tales como
Windows Vista. Esto permite la gestión remota de la aplicación sin
que requieren el acceso directo al servidor que aloja la aplicación. El principio rector
detrás de la planificación de la administración de servidores de aplicaciones instaladas en
Windows
Server 2008 los ejércitos es tratar de minimizar la cantidad de interacción directa que
los administradores de aplicaciones que con el servidor real que aloja la aplicación.
Delegación de configuración de IIS
IIS delegación de configuración 7.0, una nueva característica de IIS 7.0, permite a los
administradores de
los equipos que hospedan la función de servidor Web a delegar las tareas de configuración
Web site. Este
significa que en lugar de requerir que el administrador del servidor de Windows 2008 com-
ordenador para configurar los parámetros tales como defecto de los documentos de un sitio
Web o la configuración de SSL,
estas tareas de configuración pueden ser delegadas a los propietarios de sitios web o usuarios
sin servidor
nivel de derechos de administrador en una base por sitio Web. Para llevar a cabo la delegación
de características que se
necesarios para iniciar la sesión, o invocar, la cuenta de administrador integrada. No se puede
realizar la delegación cuentan con una cuenta que sea miembro de la administración local-
grupo de términos de referencia del equipo que aloja IIS 7, debido a la arquitectura de
De configuración de IIS delegación
MÁS INFORMACIÓN
seguridad de
Windows
Para Server 2008.
más información sobre la delegación de configuración, consulte el siguiente enlace escrito por Microsoft,
IIS equipo: http://www.iis.net/articles/view.aspx/IIS7/Managing-IIS7/Delegation-in-IIS7/Delegating-
Permission-in-Config/How-to-Use-Configuration-Delegation-in-IIS7.
Práctica: La delegación de permisos administrativos en Windows

Server 2008
En este conjunto de ejercicios, que llevará a cabo el tipo de tareas de la delegación que lo más
probable es
encontrar en la gestión del día a día de un entorno Windows Server 2008.
En el primer ejercicio, que va a delegar la gestión de contraseñas de cuentas de usuario a un

confianza del usuario. En el segundo ejercicio, que se revoque esta delegación.
Ejercicio 1: delegar la gestión de contraseñas de usuario para todas las cuentas de usuario en un
Unidad organizativa
En este ejercicio, va a delegar la capacidad de gestionar las contraseñas de usuario de una

unidad organizativa específica
a una cuenta de usuario. Este procedimiento es probable que usted ha planeado para permitir
una
persona designada en una sucursal para restablecer las contraseñas, pero en el que se
No quiero permitir que esa persona la capacidad de realizar tareas como crear cuentas de
usuario
o 1. Inicie sesión
administrar en Glasgow
grupos. DC con la
Para completar cuenta
este de usuario
ejercicio, realiceKim_Akers.
los siguientes pasos:
2. En el menú Herramientas administrativas, haga clic en usuarios y equipos.
3. En Usuarios y equipos, crear una cuenta para Andy_Jacobs en
en el contenedor Users. Asignar la contraseña P @ ssword.
4. En Usuarios y equipos, crear una nueva unidad organizativa

llamado Delegación bajo el dominio contoso.internal.
5. Haga clic derecho en la unidad organizativa de Delegación y haga clic en Delegar control.
Esto iniciará
la delegación del control Wizard. Haga clic en Siguiente.
6. En los usuarios seleccionados y los grupos, haga clic en Agregar, a continuación, añadir
andy_jacobs @
contoso.internal y haga clic en Aceptar. El Asistente para delegación de control debe resem-
Figura 7-39 ble. Haga clic en Aceptar y luego haga clic en Siguiente.
Figura 7-39 Delegar el control de una unidad organizativa

7. En la página Tareas que se delegarán, asegúrese de que el Delegado Los siguientes

Tareas comunes opción está seleccionada y luego seleccione el restablecimiento de
contraseñas de usuarios y
Cambio de la Fuerza contraseña en el siguiente inicio de sesión, como se muestra en la
Figura 7-40. Clic
Siguiente.
Figura 7-40 Delegar la capacidad de cambiar y restablecer las contraseñas
8. Haga clic en Finalizar para cerrar el Asistente para delegación de

control.
Ejercicio 2: Restablecer una delegación con el comando DSACLS
En este ejercicio, va a deshacer la delegación que realizó en el ejercicio 1. Puede
lograr este objetivo mediante varios métodos. Usted examinará el primer método y entonces
por
forman la segunda. Para completar este ejercicio, realice los siguientes pasos:
1. Inicie sesión en Glasgow DC con la cuenta de usuario Kim_Akers.
2. En el menú Herramientas administrativas, haga clic en usuarios y equipos.
3. Haga clic en Ver y haga clic en Características avanzadas. Esto mostrará prop-extendida
erties objetos de Active Directory.
4. Haga clic derecho en la unidad organizativa de la Delegación, haga clic en Propiedades y

haga clic en la ficha Seguridad.
Haga clic en Avanzado. Usted debe ser capaz de ver que la cuenta de Andy Jacobs usuario
ha asignado los permisos se muestra en la Figura 7-41. Tenga en cuenta el Restaurar
valores predeterminados
botón en este cuadro de diálogo. También puede usar este botón para restaurar una unidad
organizativa delegada
5. Haga clic en Cancelar dos veces para cerrar los permisos y propiedades OU cuadros de
a su configuración inicial.
diálogo.
6. Abra un símbolo del sistema administrativo por el símbolo del sistema haciendo clic derecho
en el menú Inicio y haga clic en Ejecutar como administrador.
Figura 7-41 Configuración de seguridad avanzada
7. Cuando el símbolo del sistema se abre, ejecuta el siguiente comando:
8. Cuando reciba el mensaje de completado el comando correctamente, cierre la

símbolo del sistema.
9. Ver la seguridad avanzada cuadro de diálogo Configuración de la unidad organizativa de

Delegación con el
procedimiento que se describe en el paso 4. Verificar que la cuenta de usuario Andy Jacobs
ya no
tiene todos los permisos a la unidad organizativa Delegación.
■ Usted debe consultar con el departamento de Recursos Humanos y desarrollar por escrito
las políticas de delegación antes de proceder con una delegación real.
■ Delegación se realiza generalmente mediante el Asistente para delegación de control.
Usted
También puede realizar la delegación con el comando Dsacls.exe. También es posible
restablecer los ajustes de la delegación a sus valores predeterminados mediante el
■ comando
Las cuentasDsacls.exe.
de administrador de dominio debe ser marcado como confidencial y está
prohibido
de participar en la delegación.
■ Delegación de aplicación por lo general implica la adición de usuarios a los grupos
especiales que se
agrega al dominio por la rutina de instalación de una aplicación.
en
Lección 3, "la delegación de autoridad." Las preguntas también están disponibles en la
compañía
CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Usted acaba de iniciar sesión en un equipo Windows Server 2008 que aloja la web
Función de servidor utilizando Escritorio remoto. El servidor es un miembro de su
organización de
dominio. Usted está en el proceso de configuración del servidor para alojar sitios web para
diferentes departamentos de su empresa. Desea delegar autoridad
de tal manera que cada departamento puede administrar su propio sitio web. Cuando se
intentarlo, son incapaces de realizar la delegación de funciones. ¿Cuál de los siguien-
siguientes estrategias debe seguir para lograr este objetivo?
A. Inicie sesión con la cuenta de administrador integrada.

B. Agregar su cuenta de dominio al grupo Administradores local.
C. Agregar su cuenta de dominio al grupo Administradores de dominio.
D. Agregar su cuenta local al grupo Administradores local.
2. Usted está planeando una red de Windows Server 2008 para su organización. Su
organización tiene una oficina de cabeza y cinco ubicaciones de las sucursales dispersas
en todo el país. El personal de TI sólo se encuentra en la ubicación central.
Usted quiere evitar que los usuarios de la sucursal en contacto con la oficina central cuando
se
necesidad de cambiar una contraseña, pero no quiere conceder a los no-personal de TI
innecesarios
privilegios. ¿Cuál de los siguientes planes que cumplir con estos objetivos?
A. Previsto delegar la creación, eliminación y gestionar grupos de trabajo a una de
confianza
usuario en cada sucursal utilizando el Asistente para delegación de control.
B. Previsto delegar la Creación, eliminar y administrar cuentas de usuario a una tarea
usuario de confianza en cada sucursal utilizando el Asistente para delegación de
control.
C. Plan de delegar la tarea de leer todos los información de usuario a un usuario de
confianza en cada
de la sucursal utilizando el Asistente para delegación de control.
D. Previsto delegar la Restablecer las contraseñas de usuario y cambiar la contraseña de
la Fuerza A
Tarea siguiente inicio de sesión a un usuario de confianza en cada sucursal con la
delegación
ción de control Wizard.
3. Desea dar a Sam Abolrous la capacidad de cambiar la composición de los Pasantes

grupo de seguridad universal. El grupo se encuentra en la unidad organizativa de los
Contratistas. Esta unidad organizativa
aloja las cuentas de usuario y grupos relacionados con la seguridad a los trabajadores
temporales en
su organización. ¿Cuál de los siguientes pasos debe tomar para llevar a cabo
esteA.objetivo?
Utilice el Asistente para delegación de control para la cuenta de usuario es la
concesión de Sam
Modificar la pertenencia de un grupo a la derecha en la unidad organizativa de los
B. Utilice el Asistente para delegación de control en el grupo de seguridad internos.
Contratistas.
Conceder
el modificar la pertenencia de un grupo directamente a la cuenta de usuario de Sam.
C. Utilice el Asistente para delegación de control en el grupo de seguridad internos.
Conceder
el crear, eliminar y administrar grupos de derecha en la cuenta de usuario de Sam.
D. Establecer el grupo de seguridad de los internos a ser administrados por cuenta de
usuario de Sam.
Asegúrese de que Sam tiene la capacidad de actualizar la lista de miembros.
4. Los estudiantes de la unidad organizativa contiene 300 cuentas de usuarios y grupos 40. Su
asistente
informa de que ha cometido un error al utilizar el Asistente para delegación de control
y no es precisamente seguro de que los derechos que puedan haber delegado de distancia.
Que
de las siguientes acciones podrían tomar para devolver la unidad organizativa de los
estudiantes en el estado
que existía antes de la delegación en que ocurren? (Cada respuesta correcta se presenta
una A. Utilice el comando dsacls con la opción / resetDefaultDACL.
solución completa.
B. Utilice Elija
el botón dos.) valores predeterminados en Configuración de la unidad
Restaurar
organizativa de seguridad avanzada
cuadro de diálogo de Delegación.
C. Use el botón Borrar en la ficha Administrado por las propiedades OU.
D. Utilice el botón Cambiar en la ficha Administrado por las propiedades OU.
E. Utilice el comando dsquery.


real involv-
práctica.

■ Escritorio remoto se utiliza comúnmente para la administración remota de Windows
Server 2008. Las herramientas RSAT permite las funciones y características de
un equipo Windows Server 2008 que se logró a partir de una estación de trabajo cliente.
Windows PowerShell es un poderoso lenguaje de scripting que permite la administración
a los administradores automatizar las tareas repetitivas y complejas de sistemas de
administración.
■ Suscripciones de registro de eventos permite que todos los eventos de una organización
que se remitirá a
un equipo único colector para su análisis. Las vistas personalizadas son filtros
persistentes que
■ permitende
Monitor a un
rendimiento
administrador
de conjuntos
para localizar
de recopiladores
rápidamentedelosdatos
datospermiten
de registro
el rendimiento
de eventosy
importantes.
la configuración
datos que se capturan y se resumen en los informes. Conjuntos de recopiladores de datos
se
■ excelentes
El Administrador
herramientas
de recursos
paradel
la generación
sistema le permite
de datosaplicar
de referencia
las políticas
sobre
deelrecursos
rendimiento
en un
del equipo.
por usuario, por grupo o por aplicación de base.
■ El Asistente para delegación de control se puede utilizar para delegar la capacidad de
realizar
tareas administrativas a los usuarios no administrativos.
Términos clave
■ Colector de equipo
■ Conjunto de datos de
colector
■ Delegación
■ Privilegio
■ Confiabilidad
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de Windows
Server 2008 de gestión, seguimiento, y la delegación. Usted puede encontrar respuestas a
estas
preguntas en el "respuestas" al final de este libro.
Caso Escenario 1: Gestión de eventos Fabrikam

Uno de los miembros del equipo de Administración de Sistemas de Fabrikam se retira de la
nuevo año y, en lugar de sustituir a los miembros del personal, la gestión le ha ofrecido
un acuerdo en el que van a incrementar su salario si se puede aplicar de forma más eficiente
tecnologías de servidor de administración. Uno de los más tareas que consumen tiempo ha
sido el
gestión de los datos de registro de eventos en varios servidores de la compañía. Usted ha
decidido
poner en práctica algunas de las funcionalidades de administración de registros nuevos que se
incluye con Windows
Server 2008 como una forma de ser más eficiente. Para ello es necesario encontrar respuestas
a 1.
las¿Qué
siguientes preguntas:
medidas deben tomarse para configurar un único servidor de Windows 2008
equipo como un colector de registro?
2. Hay 30 servidores, todos ellos situados dentro de una unidad organizativa llamada
appservers. ¿Cómo se puede
garantizar que los actos por escrito a los registros de sucesos de estos 30 servidores son
para-
¿Quieres
3. warded al ser notificado
equipo por uncomo
configurado SMS un
enviado a su teléfono celular cuando en las
coleccionista?
los eventos de error se producen. Usted ha escrito un script de Windows PowerShell que
genera
el SMS sobre la base de los datos del evento, pero necesita alguna manera de activar este
guión
cuando se produce el evento. ¿Qué pasos debe seguir para implementar esto?
Escenario 2: el servidor de supervisión del rendimiento en Blue Yonder
Las líneas aéreas
Blue Yonder Airlines está a punto de recibir la entrega de 20 computadoras nuevas que se han
Windows Server 2008 Enterprise Edition del sistema operativo instalado en ellos.
Su administrador quiere mantener los datos de rendimiento de estos servidores, de forma que
se pueden denunciar
lo bien que funcionan con su carga asignada. También quiere para almacenar datos de manera
que
con el tiempo las tendencias de rendimiento se puede explicar y solicitaron un nuevo equipo
durante las reuniones de presupuesto en el futuro. Con esto en mente, tiene que completar
varias tareas
y considerar varias cuestiones. Por ejemplo:
1. Desea crear un conjunto de recopiladores de datos que registra el uso del procesador, la
cantidad
de memoria RAM disponible y la carga en el subsistema de disco. Que los contadores
deben
¿Qué
2. que debe tener en cuenta cuando se genera un informe de la situación con el
incluye?
Informes de la funcionalidad de la fiabilidad y rendimiento de MMC?
3. ¿Qué método se utiliza para demostrar que el hardware nuevo servidor puede ser
necesario porque el hardware del servidor actual es inadecuado?
Caso Escenario 3: La delegación de los Derechos de los Usuarios de confianza en

WingtipUsted
Toysestá ayudando a planear los procedimientos administrativos y de políticas para un nuevo
Windows
Server 2008 entorno a implementarse en la punta del ala de negocios de tamaño medio
Juguetes. Wingtip Toys cuenta con aproximadamente 500 empleados repartidos en una oficina
y dos sitios de la fábrica. Wingtip Toys desea reducir al mínimo el número de los miem-
bros que tienen una responsabilidad directa de TI y desea delegar específicos relacionados con
la TI las tareas
a usuarios de confianza en toda la organización. Por ejemplo, los departamentos adminis-
TIVOS asistentes deben ser capaces de restablecer las contraseñas de los miembros de sus
departamentos
y los jefes de equipo deben ser capaces de agregar y eliminar cuentas de usuario de la
seguridad
grupos que corresponden a sus equipos. Los jefes de equipo no debería ser capaz de modificar
el
Composición de los grupos de seguridad a otros líderes del equipo. Todas las cuentas de
usuario
1. ¿Qué son actualmente
pasos debe tomar para implementar el plan para permitir a los departamentos
almacenados
adminis- en el contenedor de usuarios y cada departamento está representado por un
grupo de seguridad.
asistentes administrativos para restablecer las contraseñas de las cuentas de usuario del
Teniendo
personalen cuenta
dentro de esta
sus información:
¿Qué pasosdepartamentos?
2. respectivos debe tomar para implementar el plan para permitir que los líderes del grupo
que agreguen
y eliminar cuentas de usuario de los grupos de seguridad que corresponden a sus equipos?
com-
Plan de Estrategias de Management Server

■ Crea
Práctica 1: Herramientas de línea un archivo
de comandos delimitado por comas con
y scripts
los detalles de cada cinco usuarios. Crear un script de Windows PowerShell para importar
estos
los usuarios en Active Directory.
Cree un segundo archivo delimitado por comas con los detalles de cada cinco usuarios
más. No
uso de los nombres de usuario que ha configurado para la primera parte de esta práctica.
Utilice el
Csvde.exe tradicionales de línea de comandos para importar el segundo grupo de cinco
■ usuarios Crear una vista personalizada que muestra todos los
Práctica 2: Creación de una vista personalizada
en Active Directory.
desde el origen del evento Cuota deeventos Disco.
Crear una vista personalizada que muestra todos los eventos de advertencia, crítico, y el
error de
el registro de eventos reenviados solamente.
Plan de administración delegada

■ Práctica 1: Realización de una Crear una de
Delegación nueva unidad llamada CompanyCon-
encargo
contactos. Crear un nuevo grupo de seguridad llamado ContactAdmins. Delegar la
capacidad de
para crear y eliminar objetos de contacto en la OU CompanyContacts a los miembros de
el grupo de seguridad ContactAdmins.
■ Práctica 2: Delegación En IIS, virtual
de host cree un nuevo host virtual llamado
cohovineyard.com. Crear un nuevo grupo de seguridad llamado CohoAdmins.
Delegar el control de la página web de nueva creación para el grupo Cohoadmins.
Monitor de Servidores para la evaluación y optimización del rendimiento

■ Crear
Práctica 1: Conjunto de un conjunto
recopiladores de de recopiladores de datos con el rendimiento
datos
Monitor, centrándose específicamente en los contadores relacionados con la longitud de
cola de disco.
Crear un informe con la cola de disco basado en la talla del Conjunto de recopiladores de
datos que abarca
un período de cinco minutos.
■ Crear
Práctica 2: Sistema de Windows un grupo
Resource de seguridad llamado
Manager
ResourceHogs. Crear un sistema de recursos de Windows Administrador de la política que
permite a los
los miembros del grupo de seguridad ResourceHogs utilizar hasta un 80 por ciento de la
CPU
los recursos.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Capítulo 8
Patch Management y Seguridad

Este capítulo examina varios temas que caen bajo la amplia categoría de seguridad.
La primera parte de este capítulo se analiza la implementación centralizada de actualizaciones
a través de
Windows Server Update Services. El capítulo pasa a cubrir cómo se puede garantizar
que la instalación de parches centralizada es en realidad trabajan a través de informes. A partir
de ahí
usted aprenderá cómo utilizar las diferentes políticas de auditoría para el seguimiento de
artículos y datos sensibles
dentro de su organización. El capítulo termina con una discusión sobre cómo usar Windows
Firewall con seguridad avanzada para asegurar la comunicación de dominio para que
autoridades de sólo
Los
rizedobjetivos del examen
computadoras en este
son capaces decapítulo:
comunicarse entre sí.
■ Implementar la estrategia de gestión de parches.
■ Vigilar y mantener la seguridad y las políticas.

■ Lección 1: Windows Server 2008 Estrategias de gestión de parches. . . . . . . . . . . 469
■ Lección 2: controlar y mantener la seguridad del servidor. . . . . . . . . . . . . . . . . . . . . . . . 494
Antes de empezar
■ Instalado y configurado la edición de evaluación de Windows Server 2008
Enterprise Edition, de acuerdo con las instrucciones que aparecen en las primeras
prácticas
tica de ejercicio de la lección 1 del capítulo 1, "Instalación, actualización e implementación
de
Windows Server 2008. "
467
468 Patch Management y Seguridad
Mundo Real
Orin Thomas
Un usuario voluntarioso y terco puede deshacer el diseño más elegante solución de

seguridad
ción. La directiva de contraseñas más rigurosos del mundo es inútil si no es tan oneroso
que los usuarios garabatear sus contraseñas en pedazos de papel de notas y pegarlas a
su
los monitores. Una política del PAN no puede considerarse un éxito si los usuarios
simplemente dejar de tratar de
para conectar sus portátiles a la VPN corporativa para tener acceso a Microsoft Exchange
y
empezar a utilizar exclusivamente una cuenta de correo electrónico gratuitas relacionadas
con el trabajo de e-mail. Como
administrador, usted necesita tomar un enfoque holístico para asegurar Windows Server
2008. Esto implica algo más que la configuración de las políticas de seguridad elegante:
Usted
También debe informar a las personas que utilizan los servidores que administrar en un
día a día
base por qué ciertas políticas de seguridad se han aplicado y las medidas que
puede tomar para resolver los problemas causados por las políticas de seguridad que
inevitablemente
surgir. Recuerde siempre que proteger servidores es más que el proceso técnico
de la configuración del servidor de seguridad, sino que también implica educar e informar
a los usuarios
cómo se puede seguir haciendo su trabajo con los parámetros de seguridad en el lugar.
Lección 1: Windows Server 2008 Estrategias de gestión de parches 469
Lección 1: Windows Server 2008 Parche

Estrategias de gestión
Windows Server Update Services (WSUS) es una libre disposición add-on de componentes
para
Windows Server 2008 que funciona como un servidor de actualizaciones de Microsoft en su
entorno.
En lugar de que cada equipo de la organización de megabytes de descarga por valor de
actualizaciones a través de Internet, puede configurar un servidor WSUS para ser el único
equipo
que las descargas de actualizaciones, y luego se configura cualquier otro equipo en su orga-
zación para utilizar el servidor WSUS como la fuente de los archivos de actualización. En esta
lección, usted aprenderá
cómo configurar y utilizar WSUS como el método principal de administrar las actualizaciones en
su
Entorno Windows Server 2008. También podrá aprender acerca de software avanzado
soluciones, como por ejemplo Microsoft System Center Essentials 2007 y System Microsoft
Center Configuration Manager 2007, que se puede utilizar para asegurarse de que los equipos
de Después de esta lección, usted será capaz de:
■
su entorno son completamente
Gestionar actualizado
revisiones del sistema operativo del ynivel
compatible con las normas y reglamentos
de mantenimiento.
pertinentes.
■ Administrar Windows Server Update Services.
■ Administrar parches de mantenimiento de aplicaciones de nivel.
La implementación de actualizaciones
con WSUS
El primer paso en la implementación de WSUS 3.0 SP1 en un equipo Windows Server 2008 en
su organización es descargar el software de WSUS 3.0 SP1 desde la Web de Microsoft
sitio. WSUS 3.0 SP1 no se incluye como una función o característica en Windows Server 2008,
aunque el propio software está disponible gratuitamente y se puede instalar en Windows con
licencia
Server 2008. WSUS 3.0 SP1 no se puede instalar en equipos que ejecutan
Windows Server Core, aunque esta funcionalidad puede estar disponible en versiones
posteriores de
el software de servidor de actualizaciones.
La obtención de WSUS
MÁS INFORMACIÓN
Puede descargar la última versión de WSUS desde la siguiente página Web: http://technet
.microsoft.com / en-us / wsus / default.aspx.
WSUS 3.0 SP1 es la primera versión de WSUS que se puede instalar y ejecutar en un
Equipo Windows Server 2008. Puede, por supuesto, ejecutar versiones anteriores de WSUS
en un servidor Windows 2003 de la máquina virtual en un servidor Windows 2008 de acogida,

pero
porque el examen 70-646 se centra en Windows Server 2008, la discusión se
limitada a la ejecución de WSUS 3.0 SP1 en ese sistema operativo.
Sólo se puede instalar WSUS 3.0 SP1 si el siguiente Windows Server 2008 com-
componentes están habilitados:
■ La autenticación de Windows
■ El contenido estático
■ ASP.NET
■ IIS 6.0 Compatibilidad con la administración
■ IIS 6.0 Compatibilidad con la metabase
El componente final necesario es el de Microsoft Report Viewer, versión 2005 o posterior,

que no se encuentra disponible como una función de complemento o función. Este software
debe ser descargado
desde el sitio Web de Microsoft. Después de estos componentes están habilitados y se Visor de
informes
instalado, puede instalar WSUS 3.0 SP1.
NOTA Descargar Microsoft Report Viewer
Descargar Microsoft Report Viewer en la siguiente dirección: http://www.microsoft.com/
Descargas / details.aspx? Familyid = 8A166CAC-758D-45C8-B637-DD7726E61367 & displaylang = es.
La instalación de WSUS 3.0 SP1 en un equipo Windows Server 2008 genera el

después de dos grupos locales, que funcionan como WSUS funciones administrativas. Puede
asignar funciones a los usuarios mediante la adición de sus cuentas de usuario a los grupos
pertinentes.
■ Administradores de WSUS Los usuarios que tienen cuentas que son miembros de este local
grupo son capaces de administrar el servidor WSUS. Esto incluye la administración de
WSUS
cionales, según la aprobación de las actualizaciones y la configuración de grupos de
equipos de config-
urante la aprobación automática y la fuente de actualización de servidor WSUS. Un
usuario que se
■
un miembro de este grupo pueden utilizar la consola Update Services para conectarse de
Los usuarios que tienen cuentas que son miembros de este grupo local
Reporteros WSUS
forma remota
son capaces de crear
para administrar informes en el servidor WSUS. Un usuario que es miembro de esta
WSUS.
grupo puede conectarse de forma remota con el servidor WSUS utilizando los servicios de
actualización de con-
única para ejecutar estos informes.
Aunque el valor predeterminado es utilizar su propia base de datos, instalado durante la
instalación de WSUS
proceso, también es posible utilizar un servidor SQL Server 2005 SP1 o base de datos para
almacenar más de WSUS
información de configuración y presentación de informes. Las organizaciones que desean
generar
informes personalizados utilizar esta opción, escribir sus propias aplicaciones para interactuar
con el
Base de datos SQL Server en lugar de depender de las opciones por defecto de información
disponibles
desde la consola de Servicios de actualización. Por ejemplo, los desarrolladores de su
organización podría
escribir una aplicación de base de datos que extrae datos de la base de datos y los envía a
los administradores sobre una base diaria a través de e-mail. Organizaciones que están
considerando este tipo de
instalación también podría considerar el uso de System Center Essentials 2007 como una
actualización
Escenarios
Solución de de implementación
gestión, ya que incluye la funcionalidad de informes más detallados. Sistema
Center Essentials 2007 se describe
¿Cómo WSUS es implementado en más adelante endepende
su organización esta lección.
de la red de la organización
arquitectura. La siguiente sección se detallan cuatro comunes de implementación de WSUS
configura-
raciones y los entornos de red que mejor se adapten.
Implementación de un solo servidor WSUS En una implementación de WSUS de servidor único,
una sola WSUS se ha implementado en un entorno protegido y sincroniza el contenido
Servidor
directamente con Microsoft Update. Las actualizaciones se distribuyen a los clientes como se
muestra en la Figura
1.8. Este tipo de implementación es el más común, y un solo servidor WSUS 3.0 SP1
puede servir como el servidor de actualizaciones para más de 25.000 clientes de WSUS.
Microsoft Update
Internet
Cortafuegos
Servidor WSUS
Los clientes de WSUS
Figura 8-1 Implementación de un solo servidor WSUS

Varios servidores WSUSEl despliegue de múltiples WSUS independiente

independientes
es común en organizaciones que tienen sucursales en distintas localidades. Cada
WSUS servidor funciona como un servidor independiente. Los datos de configuración y
aprobación
gestionan sobre una base de por servidor WSUS, por lo general por los administradores en el
sitio. Figura 8-2
muestra una implementación múltiple independiente del servidor WSUS.
Microsoft Update
Internet
Cortafuegos
Servidor WSUS Servidor WSUS
Los clientes de WSUS Los clientes de WSUS
Figura 8-2 Varios servidores WSUS independientes
En este
Varios servidores WSUS sincronizados modelo de implementación, el WSUS
internamente
servidor que recibe actualizaciones del servidor de Microsoft Update se designa como
servidor ascendente. Un servidor WSUS que recupera las actualizaciones desde otro servidor
WSUS
designado como un servidor indirecto. Este tipo de implementación es cada vez menos común
porque WSUS 3.0 es compatible con más de 25.000 clientes y transferencia inteligente en
segundo plano
de servicios de inversión (TBI) entre pares de almacenamiento en caché. Almacenamiento en
caché BITS peer-es un Windows Vista y Windows Server
2008 La tecnología que permite que las actualizaciones sean compartidos de forma peer-to-
peer entre
clientes de la LAN. Almacenamiento en caché BITS-peer permite a un equipo en una subred
local a
descargar una actualización desde un servidor WSUS y luego compartirlo con otros
compatibles cli-
los padres en la misma subred. Cuando se estudia en la red de Microsoft, BITS peer-caché
reducción de la carga en los servidores WSUS tanto que se determinó que el 70 por ciento
de cambios fueron recuperados de otros equipos de la misma red local en lugar de ser
descargar directamente desde el servidor WSUS. Esto significa que, excepto por los efectos de
redundancia, un servidor WSUS puede aportar cambios a todos, pero los sitios más grandes.
La
múltiples modelos de despliegue sincronizado internamente se muestra en la Figura 8.3.
Microsoft Update
Internet
Cortafuegos
Figura 8-3 Varios servidores WSUS sincronizados internamente
En el modelo
Desconectar los servidores WSUS desconectado, un servidor recupera las actualizaciones
a través de Internet y las actualizaciones se transfieren por medio de los medios de
comunicación, ya sea otro
grabadora de DVD-ROM o Unidad USB extraíble y disco duro transferidos a otros servidores,
que su despliegue a los clientes. Muchos administradores utilizan una variante de este modelo
cuando
hacer frente a las oficinas remotas. En lugar de gigabytes de transferencia de cambios
existentes
a través de enlaces WAN lentos o Internet con el servidor WSUS nuevo en la oficina remota,
los datos
es físicamente transportado y añadido a un nuevo servidor WSUS. La figura 8-4 muestra la dis-
conectados modelo de implementación del servidor WSUS.
Microsoft Update
Internet
Cortafuegos

Actualizaciones de forma manual y lleva a
aplicado a desconectar
Servidores WSUS
Figura 8-4 Desconectar los servidores WSUS
Más sobre el despliegue de WSUS

MÁS INFORMACIÓN
Para obtener información detallada sobre el despliegue de WSUS, consulte la guía de implementación de
WSUS en:
http://www.microsoft.com/downloads/details.aspx?FamilyID=208e93d1-e1cd-4f38-ad1e-
d993e05657c9 & displaylang = es.
Replica y modo autónomo

Usted tiene dos opciones a la hora de configurar el modelo de administración para su
organización
ción de aguas abajo los servidores WSUS. La primera opción, que se muestra en la Figura 8.5,
es configurar
el servidor WSUS aguas abajo, como una réplica del servidor ascendente. Cuando se configura
un servidor WSUS como una réplica, la aprobación de todo, ajustes, equipos y grupos de la
servidor de aguas arriba se usan en el servidor abajo. El servidor indirecto no puede ser
utilizado para aprobar las actualizaciones cuando se configura en modo de réplica, aunque se
puede cambiar un
réplica del servidor en el segundo modo llamado modo autónomo, si hay una actualización
urgente
se debe implementar.
Figura 8-5 Aguas abajo réplica del servidor
Modo autónomo permite a un administrador de WSUS local para configurar por separado
actualizar la configuración de su aprobación, pero aún así recupera las actualizaciones del
servidor WSUS aguas arriba.
Modo autónomo ahorra ancho de banda para la organización, asegurando que
las actualizaciones se descargan una sola vez a través de Internet, pero conserva la ventaja de
permitir-
ción a los administradores locales discreción con respecto a la aprobación de cambios.
Utilizando grupos de equipos
En la forma más básica de WSUS despliegue, cada equipo que es un cliente de la
Servidor WSUS recibe actualizaciones aprobadas al mismo tiempo. Aunque este método
funciona bien para muchas organizaciones, otras organizaciones prefieren realizar escalonada
lanzamientos de cambios. Los grupos permiten la implementación escalonada y selectiva de las
actualizaciones.
Microsoft hace todo lo posible para asegurar que las actualizaciones se libera no causan
problemas con el software, pero si la organización despliega aplicaciones personalizadas,
puede surgir un conflicto entre una actualización recientemente lanzado y la importancia de su
organización
aplicación importante de visita personalizadas. Mediante la creación de un grupo de prueba, se
puede implementar nuevos
publicado actualizaciones para un subconjunto de los equipos de la organización. Esto le da

una
oportunidad de comprobar que las actualizaciones nuevas no entran en conflicto con los
actuales desplegados configura-
ciones
Gruposantes de implementar
de WSUS la las
equipo tiene actualización
siguientes apropiedades:
todos en su organización.
■ Los dos equipos por defecto son todos los equipos y Equipos sin asignar. A menos que
un equipo cliente ya está asignado a un grupo, cuando entra en contacto con el servidor
WSUS
por primera vez, que se añadirá al grupo Equipos no asignados.
■ Los grupos pueden ser organizados en una jerarquía. Una actualización agrega a un
grupo en la parte superior
de la jerarquía también se implementa en los equipos que están en los grupos de
menores en
la jerarquía. El grupo Equipos no asignados es una parte de los equipos de todas las
■ jerarquía.
Las computadoras pueden ser asignados a varios
grupos.
Como muestra la Figura 6.8, los administradores pueden utilizar dos métodos para asignar las
cuentas de equipo
a los grupos de WSUS. El primer método se conoce como la orientación del lado del servidor.
Para utilizar este
método, seleccione la opción Usar la opción de Actualización de Servicios de consola en los
ordenadores
tema en la sección Opciones de la consola de Servicios de actualización. Cuando un ordenador
contacta
el servidor WSUS por primera vez, se coloca en el grupo Equipos no asignados.
Un usuario con privilegios de administrador de WSUS se asigna manualmente la computadora
a un
Agrupar los equipos mediante la consola de WSUS.
Figura 8-6 Opción de grupo de equipo

El otro método de asignación de equipos a los grupos es utilizar la directiva de grupo o de

registro
configuración de los clientes del servidor WSUS. Este método, conocido como la orientación del
lado del cliente, es
menos oneroso en entornos de gran tamaño y simplifica el proceso de asignación de grupo.
Independientemente del método que se utiliza para asignar los equipos a los grupos, primero
debe
crear los grupos mediante la consola de WSUS. Para configurar un objeto de directiva de grupo
1. Abra el GPO que se utilizará para asignar el grupo de equipos.
(GPO)
para apoyar el lado del cliente objetivo, realice los siguientes pasos:
2. En Configuración del equipo \ Directivas \ Plantillas administrativas \ Com-
componentes \ Windows Update, abra la opción Activar en el cliente elemento Orientación
Política.
3. Seleccionar la opción Activado y después especifica un equipo en el grupo objetivo
Nombre para este equipo, como se muestra en la Figura 7.8.
Figura 8-7 Del lado del cliente objetivo
WSUS Client Configuration

Aunque los clientes de WSUS se puede configurar manualmente con el registro, en la mayoría
de las empresas
entornos de los clientes de WSUS se puede configurar mediante la directiva de grupo. Las
políticas relacionadas con
a WSUS se encuentran en la Configuración del equipo \ Policies \ Administrativo
Plantillas \ Componentes de Windows \ Windows Update nodo y se muestra en la Figura 8.8.
Es importante recordar que si quieres un Windows Server 2008 equipo que aloja
WSUS para recibir actualizaciones, se debe configurar como lo haría con cualquier otro equipo
cliente.
Figura 8-8 WSUS políticas relacionadas con el
Actualización de comportamiento de la
instalación
Aparte de las políticas que determinan la asignación de equipos a los grupos de WSUS
y la ubicación del servidor WSUS local, los más importantes relacionados con WSUS políticas
se refieren a cómo y cuándo las actualizaciones de WSUS se descargan e instalan. Como
administrador,
trador quiere evitar la situación de las actualizaciones no se instalan, ya sea
debido a que intervenga el usuario para cancelar instalación de la actualización o
actualizaciones son siempre
programado para ser instalado en el ordenador se apague. Detener la intervención del usuario
debe ser balanceada con interrumpir el trabajo de un usuario. Nadie va a ser muy feliz
a perder varias horas de trabajo en una hoja de cálculo importante, ya que han config-
ured los parámetros de actualización para instalar y reiniciar el equipo sin dar al usuario una
oportunidad de hacer algo al respecto.
La hora de planificar la programación de las implementaciones de actualización, usted debe

tomar las siguientes
elementos de directiva en cuenta:
■ Habilitación de administración de Windows Update Para poder Despierta automáticamente el sistema
Para instalar actualizaciones programadas Esta política sólo funciona con Windows Vista que
tiene hardware compatible y una BIOS correctamente configurados. Más bien que
preocuparse por si los usuarios se verá interrumpido por reinicios durante la actualización
proceso de implementación, utilizar esta directiva para permitir a las computadoras para
ser despertado a mediados de los
DLE de la noche, se han desplegado las correspondientes actualizaciones, y luego volvió
a dormir.
■ Configurar las actualizaciones automáticas La política permite configurar las actualizaciones

automáticas
especificar si las actualizaciones se descargan automáticamente y programada para el
instalación o si el usuario es notificado, simplemente, que las actualizaciones (o ya
descargado o en el servidor WSUS) están disponibles.
■ Si detección
Actualizaciones automáticas de esta directiva
de no está habilitada, el valor por defecto
frecuencia
frecuencia de detección es de 22 horas. Si desea configurar una más frecuentes entre
val, utilizar esta directiva para hacerlo.
■ Permitir la instalación inmediata de Actualizaciones automáticas Cuando está activada, esta política
de auto-
automáticamente se instala todas las actualizaciones que no requieren la interrupción del
servicio o de
Se reinicie Windows.
■ No reiniciar automáticamente para instalacionesCuando esta política
de actualizaciones automáticas
está activada, el ordenador no se reiniciará automáticamente, pero se espera para el
usuario
para reiniciar el equipo en su propio tiempo. El usuario será notificado de que la com-
ordenador necesita ser reiniciado antes de la instalación de actualizaciones se ha
completado. Si este
directiva no está habilitada, el equipo se reiniciará automáticamente cinco minutos
después de
■ Retraso de reinicio parase
la han Esta política
instalación le permite
programada variar la auto- de actualización.
las actualizaciones instalado para completar la instalación
periodo de reinicio automática. Como se mencionó anteriormente, el período
predeterminado es de cinco minutos.
Esta política le permite establecer un período de demora de hasta 30 minutos.
■ Volver a programar la instalación programadaEstadepolítica asegura que un
actualizaciones
automáticas
instalación programada que no ha ocurrido, tal vez porque el equipo se
apagado o desconectado de la red, se producirá un número específico
de minutos después el equipo se inicia la siguiente. Si esta directiva está deshabilitada, se
perdió una
instalación programada se producirá con la instalación más próxima.
Apoyo WSUS para clientes móviles

Muchas organizaciones tienen personal que se desplazan entre los lugares. Este personal se
asigna a menudo los ordenadores portátiles. En cuanto a la implementación de las
actualizaciones, esto significa
que a menos que una tecnología como Network Access Protection (NAP) está instalado, estos
las computadoras no pueden recibir actualizaciones hasta que el miembro del personal que los
utiliza en los registros
de vuelta a su oficina en casa. (Para más detalles sobre NAP, consulte el Capítulo 9, "de
acceso remoto
La
y laforma deProtección
Red de asegurar que los clientes
de acceso. ") móviles pueden acceder a actualizaciones en cualquier
servidor WSUS en
su organización es configurar todos los clientes de actualizar para que apunte al servidor
WSUS mismo
nombre de la directiva de grupo y luego configurar el DNS para que el FQDN resuelve
la dirección IP local en cada subred. Para ello, configurar el DNS Round Robin con red
máscara de orden, como se muestra en la Figura 9.8. Cuando se configura DNS Round Robin
con
máscara de red de pedido, el servidor DNS devuelve el registro de host que se encuentra en la
consulta de subred del equipo. Por ejemplo, el nombre completo de wsus.contoso.internal se
determinación de 10.10.10.100 DNS cuando se realiza una consulta en la sucursal de Sydney y
10.10.20.100 DNS cuando se realiza una consulta en la sucursal de Melbourne.
Figura 8-9 Máscara de red que permite ordenar
Actualizaciones y estrategias de sincronización

Cuando las actualizaciones se descargan a un servidor WSUS, ya sea desde Microsoft Update
o un
servidor de aguas arriba, los metadatos y los archivos de actualización se almacenan en
lugares separados.
Los metadatos de actualización se almacena en la base de datos de WSUS. Dependiendo de la
configura-
ción de WSUS, los archivos de actualización real de sí mismos se almacenan en el servidor
WSUS o en
los servidores de Microsoft Update. Esta configuración se determina durante el
instalación de WSUS. Cuando las actualizaciones se almacenan en los servidores de Microsoft
Update,
La aprobación de reglas automáticas le permiten aprobar determinadas categorías de cambios
actualizaciones
automática- aprobadas por los clientes se descargan directamente desde los servidores de
Microsoft, en lugar
camente. Puede configurar las actualizaciones para una clasificación específica, para productos
que desde elyservidor WSUS.
específicos,
para aplicar a determinados grupos de equipos WSUS. Las clasificaciones disponibles son
críticos
Actualizaciones, actualizaciones de definiciones, Drivers, Feature Packs, actualizaciones de
seguridad, Service Packs,
Herramientas, paquetes acumulativos de actualizaciones y actualizaciones. La categoría de

productos incluye casi todos los cur-
alquiler de productos de Microsoft y es demasiado numerosas para enumerarlas aquí. Usted
puede tener múltiples
reglas de aprobación automática y se puede activar y desactivar cuando sea necesario.
Automático
normas de homologación se configuran a través del cuadro de diálogo Aprobaciones
automáticas se muestra en la
Figura 8-10, que está disponible en Opciones en la consola de Servicios de actualización. Por
por defecto, no hay actualizaciones automáticamente aprobados para su distribución por WSUS
3.0 SP1.
Figura 8-10 Configuración de aprobaciones automáticas
Para aprobar una actualización, es necesario realizar los siguientes

pasos:
1. Abra la consola de Servicios de actualización. En el nodo de actualizaciones, haga clic en
Todas las actualizaciones.
2. Elija No aprobada de la aprobación de la lista desplegable y elegir cualquiera de los
Estado de la lista desplegable.
3. Haga clic derecho en una actualización y haga clic en Aprobar. Con ello se abre la
Aprobación
Actualizaciones cuadro de diálogo.
4. Haga clic en el icono situado junto a todos los equipos y haga clic en Aprobada para
su instalación.
5. Haga clic derecho en la actualización recientemente aprobada en el grupo Todos los
equipos, haga clic en Dead-
línea, a continuación, haga clic en 2 semanas. La actualización aprobada hoy se
implementará con
el plazo establecido.
NOTA Forzar cambios
Si desea una actualización que se desplegó inmediatamente, establecer la fecha límite de actualización a una fecha en
el pasado.
Consulta Rápida
1. Modo que se debería implementar un servidor WSUS 3.0 posterior Service Pack 1 en
si
desea que el uso de las aprobaciones y configuración del equipo de grupos de la
designado servidor original?
2. Aparte del software de WSUS 3.0 SP1, que otro software debe ser hacia abajo
cargado en el sitio Web de Microsoft antes de la instalación de WSUS?
1. Usted debe poner el servidor WSUS aguas abajo en el modo de réplica si
queremos que el uso de las aprobaciones y la configuración de grupo de equipos de la
des-
ignated servidor ascendente.
2. Es necesario descargar e instalar el Report Viewer 2005 o posterior antes de
puede instalar WSUS 3.0 SP1.
Actualización de Gestión y Cumplimiento

Cumplimiento significa asegurar que un equipo se configura de manera obligatoria. Este
implica no sólo tener un conjunto específico de actualizaciones instaladas, sino también
asegurar que
otras opciones de configuración, tales como una política de contraseñas fuertes, fuertes config-
firewall
guración, y el software anti-spyware instalado correctamente.
WSUS informes
WSUS 3.0 SP1 ofrece una funcionalidad de información básica. Los informes se basan en
información
ción se comunicó con WSUS. WSUS no examinar los equipos para determinar
si hay actualizaciones que faltan, sino que los registros si las actualizaciones han sido hacia
abajo
cargado en equipos de destino y si los equipos de destino han informado a
el servidor WSUS que la actualización se ha instalado correctamente. Se puede acceder a
WSUS información haciendo clic en el nodo Informes en la consola de Servicios de
actualización, como
muestra
Informesendela figurapuede
WSUS 8.11. imprimir o exportar a Microsoft Office Excel o PDF. Si
WSUS se escriben datos en una base de datos de SQL Server, usted tiene la capacidad para
llevar a cabo su
propios análisis por separado con su propio conjunto de consultas de bases de datos. Puede
generar el
los siguientes informes con WSUS 3.0 SP1 si su cuenta de usuario es un miembro del WSUS
Periodistas o grupos de administradores de WSUS:
■ Estado de actualización Resumen del informe Este informe contiene información básica sobre
actualización de implementación, incluyendo el número de ordenadores se ha instalado la
actualización de,
se necesita en adelante, no se pudo instalar en, y para que WSUS no tiene datos. Una
página es
disponibles por actualización. Un informe Actualizar resumen se muestra en la figura 8.12.
Figura 8-11 WSUS opciones de informes
Figura 8-12 Estado de actualización Resumen del informe

■ Actualización delEste informe

estado ofrece mucha más información acerca de
detallada
el despliegue de actualizaciones, proporcionando una lista de equipos y su estado de
actualización
sobre una base de actualización por página. Cuando se ejecuta una actualización
detallada, se puede ver el
■ informe de resumen oestado
en formato
Estedeformato
Actualización de tabla
tabular.
de informe proporciona datos en una tabla en una per-
actualización de base. Después de este informe se genera puede cambiar el informe de
resumen
o actualizar el estado detallado. Este tipo de informe es el mejor para exportar a Office
Excel
porque ya está en forma de tabla, como se muestra en la figura 8.13.
Figura 8-13 Estado de actualización de tabla de informe
■ Resumen del estado de equipo Al igual que en el informe de actualización detallada del
estado,
informe este
proporciona información de actualización en un equipo por más que por
actualización
base. Los datos se presentan en forma resumida.
■ Equipo detallada del Este
estadoformato
de de informe proporciona detalles sobre el estado de
actualizaciones específicas para un equipo determinado. Después de este informe se
genera, se puede
cambiar el informe de resumen o de forma tabular.
■ Equipo de tabla de estado Este informe proporciona una tabla de estado de actualización de
información
ción, con los ordenadores individuales como filas. Después de este informe se genera, se
puede
cambiar el informe de resumen o de forma tabular.
■ Resultados de sincronización Este informe muestra el resultado de los últimos servidor WSUS
de
sincronización.
Permitiendo la continuación de informes para Downstream WSUS opción permite actualizar los
servidores,
datos de la computadora, y la sincronización de réplica de servidores intermedios para ser
incluidos en
los informes generados en el servidor WSUS aguas arriba.
Otras herramientas de gestión de parches
Aunque WSUS es la herramienta principal de gestión de parches cubiertos por el 70-646
Windows Server 2008 Server examen de Administrador, usted debe estar enterado de algunas
otras
herramientas de gestión de parches. Estos incluyen, pero no se limitan a, Microsoft Baseline
Security Analyzer, System Center Essentials 2007 y System Center Configuration
Manager 2007.
Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) no se utiliza para el despliegue de
actualizaciones, sino que permite a los administradores de sistemas para escanear la red para
determinar
los equipos que faltan actualizaciones o es incorrecta. La herramienta de MBSA
se puede integrar con WSUS, por lo que en lugar de sistemas de escaneo de destino, consulte
si los
actualizaciones no aparecen en el catálogo de actualizaciones, la herramienta MBSA sólo
comprueba
si las actualizaciones aprobadas no se encuentran en un equipo de destino.
System Center Essentials 2007
System Center Essentials 2007 es el siguiente paso después de WSUS 3.0 SP1 en términos de
de gestión de parches en un entorno Windows Server 2008. Se limita a gestionar
500 equipos cliente y servidores 30, System Center Essentials 2007 es signifi-
significativamente el despliegue de información más detallada revisión de la funcionalidad de
WSUS. Puede
también utilizan System Center Essentials 2007 para implementar actualizaciones de software
de Microsoft no
productos y proporciona un control avanzado de distribución de actualizaciones y la
programación de flexi-
bilidad. System Center Essentials 2007 ofrece también el cumplimiento básico de cheques
funciones
cionalidad y la gestión de inventarios. A diferencia de WSUS 3.0 SP1, que se proporciona a
los titulares de licencias de Microsoft Windows Server 2008, System Center Essentials 2007
requiere que usted compre una licencia adicional. System Center Essentials 2007 también
requiere el acceso a una base de datos de SQL Server 2005 SP1, que también deberá tener la
licencia.
Alternativamente, es posible usar la base de datos de SQL Server Express incluye en el
System Center
Más Essentials
MÁS INFORMACIÓN archivos
información sobre deCenter
System instalación.
Essentials
Para obtener más información acerca de System Center Essentials 2007, consulte la página del producto en:
http://
www.microsoft.com / systemcenter / essentials / default.mspx.
System Center Configuration Manager 2007

System Center Configuration Manager 2007 es la siguiente iteración de los sistemas hombre-
Servidor de gestión de líneas de productos. Este producto ofrece una funcionalidad más
detallada que la
System Center Essentials 2007 y se puede utilizar para controlar casi todos los aspectos de
una red de
entorno de trabajo. System Center Configuration Manager 2007, que proporciona
informes avanzados de cumplimiento, está diseñado para entornos muy grandes, como
las que excedan de los 500 clientes, 30-la capacidad del servidor de System Center Essentials
2007.
Al comparar las soluciones
MÁS INFORMACIÓN
Para ver una comparación entre WSUS, MBSA, System Center Essentials 2007, y Sistemas de Gestión-
ción Server 2003 (el predecesor de System Center Configuration Manager 2007), consulte la
siguiente enlace de TechNet: http://technet.microsoft.com/en-au/wsus/bb466194.aspx.
Práctica: Implementación de servidor WSUS

Windows Server Update Services funciona como un servidor de Microsoft Update en el local
Red de área. Está disponible como una descarga gratuita desde el sitio Web de Microsoft y se
puede
instalado en una instalación estándar de un equipo con Windows Server 2008.
Ejercicio 1: instalar WSUS 3.0 SP1 en Windows Server 2008
En este ejercicio, va a instalar WSUS 3.0 SP1 en Windows Server 2008. Esta instalación-
ción se puede configurar para que las actualizaciones se almacenan en los servidores de
Microsoft Update.
Este ejercicio debe ser considerada opcional, ya que requiere acceso a Internet. Usted
Puede configurar el servidor de Glasgow para acceder a Internet mediante la adición de una
segunda tarjeta de red
o mediante la adición de una tarjeta de red virtual y la configuración de la máquina virtual de
configuración de la red
adecuadamente. Este ejercicio también se supone que no se han instalado en el servidor IIS
Glasgow. Si IIS está instalado, use la función Agregar la funcionalidad de Servicios añadir
componentes adicionales necesarios que se especifican en el paso 7 de los siguientes pasos
en lugar de por-
la formación de los pasos 5 y 6.
Ubicaciones de descarga
MÁS INFORMACIÓN
Puede descargar WSUS 3.0 SP1 o posterior de http://www.microsoft.com/wsus.

Puede descargar Repor t Viewer 2005 de http://www.microsoft.com/Downloads/
details.aspx? familyid = 8A166CAC-758D-45C8-B637-DD7726E61367 & displaylang = es.

Kim_Akers.
2. Descargar el instalador de WSUS 3.0 SP1 y el instalador ReportViewer a la
c: \ temp.
3. Haga doble clic en el ReportViewer de instalación para iniciar la instalación del visor de
informes
en el servidor de Glasgow. Haga clic en Continuar cuando se le solicite por el Control de
cuentas de usuario
4. el
Haga
cuadro
clic de
en diálogo.
Siguiente. Acepte los términos del contrato de licencia y haga clic en Instalar.
Haga clic en Finalizar cuando el proceso de instalación.
5. Abra la consola de Administrador de servidores desde el menú Herramientas

administrativas. Clic
Continue para minimizar el User Account Control cuadro de diálogo, a continuación, haga
clic
6. los
En roles
la página
de nodo.
Funciones
Haga clic
del servidor
en Agregar
del funciones.
Asistente para
Hagaagregar
clic en funciones,
Siguiente. seleccione el
servidor web (IIS)
papel. Cuando se le pregunte por el para agregar características requeridos para el Servidor
Web (IIS),
7.haga
En laclic
página
en Agregar
Seleccionar
características
servicios de
requeridas.
función, seleccione
Haga clic en
ASP.NET.
SiguienteCon
dosello
veces.
se abre un
cuadro de diálogo
le pide que agregar servicios adicionales papel. Haga clic en Agregar servicios de función
requeridos. Bajo
De seguridad, seleccione la autenticación de Windows. En Herramientas de administración,
seleccione
8. IIS 6las características que figuran en el cuadro de diálogo Confirmar selecciones
Verificar que
deCompatibilidad
instalación con la metabase. Haga clic en Siguiente.
coincidir con los presentados en la figura 8.14 y luego haga clic en Instalar.
Figura 8-14 Preparar IIS para la instalación de WSUS

9. Cuando el proceso de instalación, haga clic en Cerrar.

10. Haga doble clic en WSUSSetup.exe para iniciar el proceso de instalación de WSUS 3.0
SP1. Clic
Continue para minimizar el User Account Control cuadro de diálogo.
11. En la bienvenida a Windows Server Update Services 3.0 SP1 Setup Wizard
página, se muestra en la Figura 8-15, haga clic en Siguiente.
Figura 8-15 A partir de instalación de WSUS
12. En la página de selección de modo de instalación, seleccione Instalación de servidor

completa incluida
Consola de administración y haga clic en Siguiente.
13. En la página Contrato de licencia, seleccione Acepto los términos de la Licencia
Acuerdo y luego haga clic en Siguiente.
14. En la página Actualización de selección de fuente, desactive la opción de almacenar las

actualizaciones localmente y
15. En la página de base de datos Opciones, seleccione Instalar Windows Internal Database En
Este equipo como se muestra en la Figura 8.16 y luego haga clic en Siguiente.
16. En la página Selección de sitio Web, seleccione Usar el valor predeterminado existente IIS
del sitio Web
(Recomendado) y haga clic en Siguiente. Haga clic en Siguiente para comenzar la
instalación
proceso. Haga clic en Finalizar cuando se le informa que WSUS 3.0 SP1 ha tenido éxito-
17.con éxito instalado.
El software de Windows Update Services Asistente para la configuración automática-
automáticamente cuando inicio la instalación de WSUS 3.0 SP1 se ha completado. Si tu
Windows
Server 2008 equipo no tiene una conexión a Internet, usted debe
haga clic en Cancelar en este momento. De lo contrario, haga clic en Siguiente dos veces.
Figura 8.16 Configuración de las opciones de base de datos de WSUS
18. En la página Servidor Elija Upstream, que se muestra en la Figura 8-17, seleccione
Sincronizar
Desde Microsoft Update y haga clic en Siguiente.
Figura 8-17 Configuración de las opciones de sincronización

19. A menos que su organización utiliza un servidor proxy que requiere autenticación,
haga clic en Siguiente en la página Especificar servidor proxy. Si su organización hace uso
de una
servidor proxy para acceder a Internet, complete la información correspondiente en esta
página y
20.haga
En laclic en Siguiente.
página Conectar al servidor Upstream, haga clic en Iniciar conexión. El servidor
Ahora póngase en contacto con Microsoft Update para determinar el tipo de actualizaciones
disponibles, el
productos que se pueden actualizar, y los idiomas disponibles. Cuando la conexión
ción de rutina completa, haga clic en Siguiente.
21. En la página Seleccione los productos mostrados en la Figura 8-18, seleccione Todos los
productos y
Figura 8.18 Elija los productos que WSUS puede actualizar
22. En la página de Clasificaciones en Elegir, seleccione Todas las clasificaciones y luego haga
clic en Siguiente.
23. En la página Configurar programación de sincronización, seleccione Sincronizar
manualmente y haga clic en Siguiente.
24. Asegúrese de que el lanzamiento de Windows Server Update Services Administration
Consola e iniciar la sincronización inicial que no son seleccionados y haga clic en
Finalizar.
■ Réplicas WSUS son servidores intermedios que heredan la configuración de su
servidor ascendente.
■ De modo autónomo servidores WSUS son servidores intermedios que recuperar las
actualizaciones
desde un servidor ascendente, pero su aprobación y grupos de equipos se config-
medidos por un administrador local.
■ Asignación dirigida al servidor asigna equipos a los grupos con el WSUS WSUS
consola de administración.
■ Del lado del cliente objetivo asigna equipos a los grupos de WSUS mediante Directiva de
grupo o
mediante la edición del registro del equipo cliente.
■ La implementación de actualizaciones de forma escalonada o en un entorno de prueba le
permite
comprobar si una actualización en particular tiene un impacto adverso en los equipos
■ System
cliente. Center Essentials 2007 proporciona una mayor funcionalidad de WSUS, pero
También requiere el acceso a un servidor SQL Server 2005 SP1 o base de datos más
tarde.
■ System Center Configuration Manager 2007 ha avanzado de información funcional-
dad que se puede utilizar para verificar que los equipos cumplan con los requisitos de
cumplimiento.
en
Lección 1: "Windows Server 2008 Estrategias de gestión de parches." Las preguntas son
también está disponible en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. El treinta por ciento de la fuerza laboral de la empresa utiliza los ordenadores portátiles. La
mayor parte de
estos empleados acudan a las oficinas sucursales diferentes cada semana. Su organización
ha
30 sucursales diseminadas por todo Australia. Después de hacer algunas cumplimiento de
informe-
ING, que ha determinado que estos ordenadores portátiles sólo están siendo actualizados
cuando se conectan a la sucursal que fueron desplegados originalmente.
¿Cómo se puede asegurar que estas computadoras portátiles siempre recibir las
actualizaciones de la
sucursal de la oficina
A. Configurar del servidor
el equilibrio WSUS,
de carga sin importar
de red que laWSUS
en el servidor sucursal
de se conecta-
cada sitio.
ING? (Cada respuesta correcta se presenta parte de la solución. Elija dos.)
B. Configurar DNS Round Robin y máscara de red orden en cada servidor DNS en
su organización.
C. Configurar cada servidor WSUS en su organización para utilizar los mismos servicios
totalmente
Nombre de dominio completo (FQDN).
D. Configurar BIND secundarios en cada servidor DNS de su organización.
E. Configurar el archivo hosts en cada equipo cliente con el nombre de host e IP
dirección de todos los servidores WSUS en la organización.
2. Usted está en el proceso de planificación de la implementación de WSUS en una

universidad. La
la universidad se compone de cinco facultades, cada una de ellas tiene su propio personal
de TI. Usted
desea reducir al mínimo la cantidad de datos descargados de la actualización de Microsoft
servidores, pero el personal de cada facultad debe ser el responsable de aprobar las
actualizaciones.
A. Configurar un servidor ascendente. Configurar cinco servidores indirectos como repre-
¿Cuál de las siguientes implementaciones de WSUS debe implementar?
licas del servidor ascendente.
B. Configurar cinco servidores de réplica.

C. Configurar un servidor ascendente. Configurar cinco servidores indirectos como
servidores autónomos.
D. Configurar cinco servidores autónomos.

3. Desea escalonar el despliegue de actualizaciones de WSUS SP1 de su organización 3.0
servidor en una base departamental. Las cuentas de equipo para los equipos de cada
departamento se encuentran en las unidades organizativas de departamento. ¿Cuál de los
siguientes debe
hacer? (Cada respuesta correcta se presenta parte de la solución. Elija dos.)
A. Crear grupos de WSUS ordenador para cada departamento.
B. Crear GPO y vincularlos con el dominio. En cada GPO, especifique el nombre
de un grupo de WSUS equipo departamental.
C. Crear GPO y vincularlos a cada unidad organizativa. En cada GPO, especifique el

nombre de
un grupo de equipos departamentales de WSUS.
D. Crear grupos de seguridad para todas las cuentas de equipo en cada
OU departamentales.
E. Crear grupos de seguridad para todas las cuentas de usuario en cada departamento
OU mental.
4. ¿Qué método se puede utilizar para asegurarse de que todos los de seguridad y
actualizaciones críticas
implementar en los equipos en el grupo PatchTest equipo?
A. Crear una tarea programada.
B. Crear una regla de aprobación automática que utiliza el grupo Todos los equipos
como
objetivo.
C. Crear una regla de aprobación automática que utiliza el equipo PatchTest WSUS
grupo como un objetivo.
D. Crear una regla de aprobación automática que utiliza el grupo de seguridad PatchTest
como un objetivo.
5. Se necesita una lista de equipos que una reciente actualización no se ha instalado en lo que
puede enviar un técnico a investigar más a fondo. ¿Cuál de los siguientes informes
debe generar para poder localizar rápidamente la información?
A. Resumen del estado de

actualización
B. Resumen del estado de equipo
C. Actualización del estado
detallada
D. Equipo detallada del estado de
Lección 2: controlar y mantener la seguridad del servidor

La seguridad es un proceso continuo. Después de configurar el Firewall de Windows y
Conexiones
ción de políticas de seguridad, es necesario mantener un ojo en las cosas para asegurarse de
que esta protección
escudo que ha colocado alrededor de los servidores efectivamente mantiene el servidor seguro.
Tal vez
el mayor problema en la obtención de cualquier entorno es la complacencia de la persona
que poner la seguridad en el lugar. No sólo hay que construir la valla, pero también hay que
monitor de la cerca para asegurarse de que está funcionando como se pretendía. En esta
lección,
aprender acerca de diferentes capas que se pueden aplicar a la seguridad de Windows Server.
En concreto, usted aprenderá acerca de la configuración del Firewall de Windows con
Advanced
De seguridad, Directivas de seguridad de conexión, seguridad de datos y la auditoría.
■ Monitor de seguridad del servidor.
■ Monitor de autenticación y autorización.
■ Configurar la auditoría.
■ Monitor de seguridad de los datos.
■ Configurar reglas de firewall y políticas.
Supervisión de la seguridad del

servidorLa auditoría es el principal método mediante el cual se supervisa la seguridad de un
Equipo Windows Server 2008. En la primera parte de esta lección, usted aprenderá sobre
las categorías de auditoría diferentes que se pueden aplicar a Windows Server 2008 computa-
ERS. Usted también aprenderá sobre los tipos de situaciones en que se usan cada auditoría
la política de controlar.
Monitorización del registro de

seguridad
Eventos de auditoría se escriben en el registro de seguridad en el Visor de sucesos. La gestión
de Visor de sucesos
fue cubierto en el capítulo 7, "Gestión de Windows Server 2008." Técnicas de cubiertas en
ese capítulo, como la colocación de las tareas a eventos específicos, también son aplicables
cuando se
viene a la vigilancia de la seguridad del servidor. Utilizando la funcionalidad de tareas adjunto le
permite
ser alertados en caso de que un evento de seguridad en particular se produce. También puede
configurar
tareas adjunto para iniciar el registro más detallado mediante la activación de colector de
conjuntos de datos. Con
configuración adecuada, Conjuntos de recopiladores de datos puede permitir recopilar datos
detallados
sobre los eventos en un equipo con Windows Server 2008, tales como las aplicaciones
particulares
Lección 2: controlar y mantener la seguridad del servidor 495
que se han abierto, los procesos que se están ejecutando, y otra información de diagnóstico.
El 70-646 de Windows Server 2008 Server examen de Administrador no entra en esta
nivel de detalle, pero para aquellos interesados en la seguridad de Windows Server 2008, que
combina
auditoría, las tareas de adjunto, y conjuntos de recopiladores de datos es la investigación más
vale la pena.
Otra técnica de cubierta en el capítulo 7 fue el reenvío de eventos y suscripciones.
Cuando se realiza el seguimiento de inicio de sesión de usuario de información, especialmente
cuando los usuarios pueden autenticarse-
cate en contra de cualquiera de varios controladores de dominio en un sitio se puede ver la
ventaja
de la configuración de las suscripciones de registro de eventos para que los datos de eventos
fluye a un lugar centralizado
desde el que se puede ver. Los detalles de esta configuración son cubiertas de nuevo en
Capítulo 7. Sólo asegúrese de que el servidor que está configurado como el colector tiene
suficiente
de espacio en disco para almacenar los archivos de registro de gran tamaño que se genera
cuando se adelante la seguridad
Por último,
eventos de debe
todasdevolver el Capítulo
las de Windows 7 para
de su refrescar Server
organización la memoria
2008acerca de la creación
computadoras de
a un sistema
vistas personalizadas. Al implementar la auditoría en un entorno Windows Server 2008-
centralizado
ción, es probable que se inunde con los datos. Creación de un conjunto de puntos de vista
ubicación!
personalizada que permite
para centrarse en un conjunto de eventos que ya se ha definido como interesante. Pasando por
el evento de seguridad de línea de registro por línea puede conducir rápidamente al
aburrimiento y la distracción. Si
se distraen, puede perderse algo. Cuando se descubre un caso interesante,
considerar la creación de una vista personalizada de modo que usted puede encontrar
fácilmente los eventos similares al siguiente
vez que se examine el registro de eventos de seguridad.
Auditoría de cuentas de inicio de sesión y eventos de
inicio de sesión
Hay dos tipos de auditoría de inicio de sesión del evento. Incluso los administradores de
sistemas
se confunden y tienen que comprobar la documentación para asegurarse de que están usando
la cor-
rect
■ categoría
Eventos dede auditoría
auditoría.de
Estas dos políticas
cuentas de relacionadas con el inicio de sesión de auditoría
son los siguientes:
inicio de sesión
■ Eventos de auditoría de
inicio de sesión
Eventos de inicio de sesión de cuenta se generan cuando una cuenta de usuario de dominio
autentica
en un controlador de dominio. Los eventos se escriben en los registros del controlador de
dominio,
y es en el controlador de dominio que debe configurar el reenvío de eventos si
desea centralizar la auditoría de inicios de sesión de dominio y cierres de sesión. Si usted no
utiliza el evento de-
alejar, debe comprobar los registros de cada controlador de dominio en un sitio, ya que
cualquier
controlador de dominio en un sitio puede autenticar cuenta los eventos de inicio de sesión.
Eventos de inicio de sesión de auditoría registra los inicios de sesión local. Si los dos eventos
de auditoría de cuentas de inicio de sesión y
Eventos de auditoría de inicio de sesión están habilitados para los eventos de éxito, un usuario
inicia sesión en un miembro
servidor en un dominio va a generar un evento de inicio de sesión en los registros de eventos
del servidor miembro y
un evento de
Auditoría de gestión
inicio dede
sesión de cuenta en los registros de sucesos del controlador de dominio.
cuentas
Cuando la auditoría de cuentas la política de gestión está activado, los eventos relacionados
con la cuenta
de gestión (en un controlador de dominio o un equipo local) se escribirá en el caso
registro. Eventos de gestión de cuentas son:
■ La creación, eliminación o modificación de cuentas de
■
usuario
La creación, eliminación o modificación de grupos de seguridad o de
■
distribución
Cambiar contraseñas de usuario
Esta política de auditoría es la más utilizada para mantener un registro independiente de las
actividades
del personal de asistencia y de recursos humanos cuando se trata de llevar a cabo la gestión
de usuarios
cuentas. Auditoría rigurosa de los eventos de administración de cuentas le permite responder
preguntas acerca de si una cuenta de usuario ha sido modificado sin autorización, como
como cuando un miembro del personal de asistencia cambia la contraseña del consejero
delegado, después de horas de
acceder a datos confidenciales en un servidor de archivos.
Directorio de auditoría de servicio de acceso
Directorio de servicios de auditoría de acceso le permite registrar el acceso a los objetos dentro
de activo
Directorio que se han configurado con listas de control de acceso. Esta auditoría
la política es útil en situaciones donde usted necesita para controlar si los cambios han sido
realizados en los objetos críticos en Active Directory, como unidades organizativas.
Auditoría de acceso a objetos

Esta política se utiliza para auditar el acceso a todos los objetos excepto aquellos almacenados
en activo
Directorio. Usted puede utilizar esta directiva para registrar el acceso a determinados archivos,
carpetas, registro
llaves, y las impresoras. Al asegurar los datos sensibles, debe configurar esta política para
que es posible auditar los intentos de acceso a esos datos. No sólo hay que grabar
qué cuentas de usuario con éxito acceder a los datos, sino que también debe registrar lo que
las cuentas de usuario han intentado sin éxito acceder a los datos. De esta manera usted
puede
determinar si alguien que no debería ser capaz de acceder a los datos en realidad puede
acceder a los datos, y también será capaz de determinar si alguien está tratando de
acceder a los datos cuando no debería serlo.
Cambio de directiva de auditoría

La directiva de auditoría de políticas El cambio es utilizado para auditar los cambios a los
derechos de los usuarios, la auditoría de Pol-
líticas, o políticas de confianza. Esta política se utiliza a menudo para seguimiento de las
modificaciones a las cuentas
utilizado por el personal de TI. En los entornos de las políticas de seguridad rigurosas, es
necesario
no perder de vista que las cuentas de usuario han sido delegadas derechos específicos. Como
el capítulo 7
discutido, no perder de vista que los derechos han sido delegadas a una cuenta específica o
grupo puede ser difícil. Auditoría de este tipo de actividades le permite asegurar que las
cuentas
no delega derechos indebidos. Usted no quiere ir de vacaciones durante una semana y
volver a encontrar que uno de sus empleados asistencia ha logrado delegar a sí mismo
los privilegios
Auditoría de un
de uso deadministrador
privilegios de empresa sin necesidad de añadir a su cuenta de usuario
para que
Cuando
grupo! está activada, esta política le permite rastrear el uso de derechos de usuario. De alta
seguridad
entornos, esta política es útil para la grabación de cómo el nivel de administrador de cuentas
son
utilizados. Usted puede utilizar esta directiva para asegurarse de que los administradores no
excedan de las autori-
dad de hacer cambios no autorizados, ya que sus cuentas han de nivel administrativo
privilegios.
Auditoría de eventos del sistema y el seguimiento de
procesos
Los eventos del sistema de auditoría y de las políticas de auditoría de seguimiento de procesos
monitor de la computadora-
los eventos relacionados en lugar de los acontecimientos específicos del usuario. El
seguimiento de procesos puede ser utilizado para la auditoría
cuando los programas de activación, como los programas de acceso a los objetos, y cuando las
aplicaciones de terminales
Nate. Sistema de eventos de auditoría de los registros de información sobre el inicio o el cierre
de un
equipo. También se puede utilizar para registrar los datos cuando ocurre un evento que cambia
MÁS
la INFORMACIÓNMás información sobre la
auditoría
registro
Para de más
obtener seguridad.
información sobre el Directorio Activo de auditoría en Windows Server 2008, consulte los siguientes
TechNet enlace: http://technet2.microsoft.com/windowsserver2008/en/library/a9c25483-89e2-4202-881c-
ea8e02b4b2a51033.mspx? Referencia del fabricante = true.
Sistema de archivos cifrados

Sistema de archivos cifrados (EFS) es otro método a través del cual se puede asegurar la
integridad de los datos. A diferencia de BitLocker, que encripta todos los datos en un volumen
con una sola
clave de cifrado que está ligado a la computadora, EFS permite el cifrado de la persona
archivos y carpetas usando una clave de cifrado pública vinculada a una cuenta de usuario
específica. La
archivo cifrado sólo puede ser descifrado con una clave privada de cifrado que se puede
acceder
sólo para el usuario. También es posible cifrar documentos para públicos de otros usuarios EFS
cer-
tificados. Un documento cifrado con certificado público de otro usuario EFS sólo pueden ser
Grupos
descifradode por
seguridad no puede
el certificado contener
privado certificados de cifrado, por lo que el número de
del usuario.
usuarios que pueden
acceso a un documento cifrado siempre se limita a los certificados EFS individuales que
se han asignado al documento. Sólo un usuario que originalmente cifra el archivo o
usuario cuyo certificado ya se ha asignado al archivo puede agregar el certificado de otro
usuario a
ese archivo. Con EFS no hay ninguna posibilidad de que un archivo cifrado en un departamento
compartido
carpeta se pueda acceder por alguien que no debería tener acceso a causa de incor-
correctamente configurado o NTFS permisos de carpetas compartidas. Como muchos saben
los administradores,
personal docente regular para configurar los permisos NTFS puede ser un reto. La situación
se complica aún más si se toma en cuenta permisos de carpetas compartidas.
Personal docente para utilizar EFS para limitar el acceso a los documentos es mucho más
simple
Si ustedqueestá considerando la implementación de EFS en toda su organización, debe
explicando
recuerde ACL
que de NTFS.
la configuración predeterminada de EFS utiliza certificados con firma personal.
Estos son
los certificados generados por el ordenador del usuario en lugar de una autoridad de
certificación y
puede causar problemas con el intercambio de documentos, ya que no necesariamente son
acce-
ble de otros equipos en los que el usuario no tiene los documentos cifrados. Una más
solución robusta es modificar la plantilla de certificado EFS predeterminado que se proporciona
con
Windows Server 2008 Enterprise Certificate Authority para habilitar la inscripción automática.
Automáticamente certificados EFS emitido por una CA de empresa se pueden almacenar en
activo
Directorio y se aplica a los archivos que necesitan ser compartidos entre varios usuarios. Otro
Opción de EFS de implementación implica las tarjetas inteligentes. En las organizaciones
donde los usuarios auten-
Cate uso de tarjetas inteligentes, los certificados EFS privadas se pueden almacenar en una
tarjeta inteligente y
sus certificados pública almacenada en Active Directory. Usted puede aprender más acerca de
MÁS INFORMACIÓNMás información sobre
con- EFS
Para más información
calcular sobre
las plantillas el Sistema
para de cifrado automática
la inscripción de archivos enen
Windows Server10,
el capítulo 2008, consulte losde
"Servicios siguientes
Certificate
TechNet artículo: http://technet2.microsoft.com/windowsserver2008/en/library/f843023b-bedd-40dd-
Server y almacenamiento
9e5b-f1619eebf7821033.mspx? Referencia del fabricante = true.
Redes de área ".
Consulta Rápida
1. Desde la perspectiva de un usuario normal, en términos de funcionalidad de cifrado,
¿cómo se diferencian de BitLocker EFS?
2. ¿Qué tipo de política de auditoría debe implementar para controlar el acceso a la sen-
archivos insensibles?

1. BitLocker funciona con volúmenes enteros y es transparente para el usuario. EFS
trabaja en los archivos y carpetas individuales y configurables por el usuario.
2. La auditoría de acceso de objetos.
Firewall de Windows con seguridad avanzada

El método más simple de aplicar una configuración de firewall estándar a través de una
organización es utilizar la directiva de grupo. Puede configurar reglas de entrada y de salida
así como activar y desactivar Firewall de Windows con seguridad avanzada para determinados
perfiles a través de la Configuración del equipo \ Directivas \ Configuración de Windows \
Windows
Firewall con el nodo Avanzadas de Seguridad de la directiva de grupo, como se muestra en la
figura 8.19.
Figura 8.19 Firewall de Windows la configuración de Directiva de grupo

Puede configurar las nuevas reglas sobre la base de un programa específico, el puerto, o de
reglas predefinidas.
Las reglas se pueden aplicar al tráfico entrante y saliente. En muchos entornos de dominio
gobiernos, los administradores utilizan las reglas de salida como una forma de bloquear el uso
de determinados pro-
gramos, como el uso compartido de archivos o programas de mensajería instantánea. A pesar
de la mejor manera de
bloquear este tipo de tráfico es detener el software sea instalado en primer lugar,
muchos entornos de dominio tienen los usuarios con computadoras portátiles que son
contratados y
fuera de la red. En algunos casos, los usuarios de portátiles tienen el control administrativo de
los locales
sus equipos. Aplicación de reglas de firewall en cada equipo a través de directivas de grupo
permite a los administradores bloquear los programas que pueden utilizar túneles SSL para
moverse Más información sobre Firewall de Windows con seguridad avanzada
MÁS INFORMACIÓN
perímetro
Para obtenerde lainformación
más configuración
acercadel firewall.
de la implementación de Firewall de Windows con seguridad avanzada a
través de directivas de grupo,
consultar el siguiente artículo de TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/
626058b7-54b4-4fc9-bbdf-7a427bedf4671033.mspx? Referencia del fabricante = true.
Dominio de aislamiento
Firewall de Windows con seguridad avanzada se puede utilizar con Windows Vista y
Windows Server 2008 los ejércitos para crear reglas de seguridad de conexión que el tráfico
seguro
mediante el uso de IPsec. Aislamiento de dominio usa un dominio de Active Directory, el
dominio de mem-
bership y Firewall de Windows con avanzadas opciones de directiva de grupo de seguridad
para
aplicar una política que las fuerzas de equipos miembros del dominio para que acepte sólo
entrante
solicitudes de comunicación de otros equipos que son miembros de la misma
dominio. Cuando se impone, los equipos que son miembros del dominio se encuentran aisladas
de los equipos que no son miembros del dominio. Es importante tener en cuenta
que en los escenarios de aislamiento de dominio, equipos aislados puede iniciar la
comunicación
con los anfitriones fuera del dominio, tales como servidores Web en Internet. Sin embargo,
No
Lasresponderá cuando
directivas de la comunicación
dominio de aislamientode
sered se inicia
aplica desde
a través unConfiguración
de la host fuera de del
la equipo \
dominio. \ Configuración de Windows \ Configuración de seguridad \ Windows Firewall con
Directivas
Advanced
La seguridad de nodo de un GPO accediendo a la seguridad de conexión Reglas tema.
Dominio de aislamiento
MÁS INFORMACIÓN
Para obtener más información acerca del aislamiento de dominio, consulte el siguiente artículo de TechNet:
http://technet2
.microsoft.com/windowsserver/en/library/69cf3159-77ea-4a56-9808-a3f35d2ccc3f1033.mspx? Referencia del fabricante = true.
Configurar el aislamiento de servidor

De aislamiento de servidor funciona de manera similar al aislamiento de dominio, salvo que en
lugar de
aplicar a todos los equipos dentro de un dominio, una política de aislamiento de servidor sólo se
aplica a
un conjunto específico de servidores de un dominio. Esto se hace generalmente mediante la
colocación de la computadora
cuentas de los servidores que serán aislados en una unidad organizativa específica y la
aplicación de un GPO
que tiene una regla de seguridad de conexión apropiadamente configurado para esa unidad
organizativa. Cuando
forzada, sólo los equipos que son miembros del dominio son capaces de comunicarse
con los servidores aislados. Esto puede ser una manera eficaz de proteger a los servidores
cuando
debe conceder acceso a la red de computadoras de terceros. Las computadoras de terceros
son
tener acceso a algunos recursos de red tales como web de la intranet y servidores de DNS,
pero
MÁS INFORMACIÓN Servidor de aislamiento
puede aislar
Para obtener más a los recursos
información específicos
acerca de red,
del aislamiento como consulte
de servidor, servidores de archivos
el siguiente y bases
artículo de TechNet: de datos,
por función personalizables-
http://technet2.microsoft
líticas servidor de aislamiento. Va a configurar una política de aislamiento
.com/windowsserver/en/library/3b828c92-93a7-40b3-b468-59e7e84c45611033.mspx? de servidor
Referencia del fabricante = true.a través
de un con-
conexión regla de seguridad en el ejercicio de la práctica al final de esta lección.
Práctica: Las políticas de aislamiento de
servidorLas políticas de aislamiento de servidor son las directivas IPsec que permiten a los
administradores restringir la incom-
ción del tráfico de red a los servidores que van a responder. Cuando se aplica en el dominio del
entorno
mentos, esta tecnología puede garantizar que la única alberga un servidor responderá a
aquellos
Ejercicio 1: Configuración de una política de aislamiento de servidor con las reglas de seguridad
que han autorizado a las cuentas de equipo en el entorno de Active Directory.
de conexión
En este ejercicio, va a configurar una política de aislamiento de servidor utilizando una conexión
de seguridad
reglas a través de Directiva de grupo para una unidad organizativa llamada Secure_Servers. En
un real
situación del mundo sería capaz de aplicar esta regla de seguridad de conexión mediante la
colocación de la
cuentas de equipo de servidores que desea aplicar la regla en esta unidad organizativa. Para
com-
Kim_Akers.
completa este ejercicio, realiceadministrativas,
los siguientes pasos:
2. En el menú Herramientas abra usuarios de Active Directory y computadoras
ERS. Haga clic en Continuar para cerrar la cuenta de usuario de control de cuadro de
diálogo.
3. Haga clic derecho en contoso.internal, haga clic en Nuevo y, a continuación, haga clic en
Unidad organizativa. En el
Nuevo objeto - Unidad organizativa cuadro de diálogo escriba Secure_Servers y haga clic en
Aceptar.
4. En el menú Herramientas administrativas, abra la Gestión de Políticas de Grupo Con-

única. Vaya a los bosques: Contoso.internal \ dominio \ contoso.internal. Haga clic derecho
Los objetos de directiva de grupo y haga clic en Nuevo. En el cuadro de diálogo Nuevo
GPO, escriba el
nombre Connection_Security y haga clic en Aceptar.
5. Haga clic con el nuevo Connection_Security GPO y haga clic en Editar. Esto abrirá el
Group Policy Management Editor.
6. Expanda Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración

de seguridad \
Firewall de Windows con seguridad avanzada nodo y localizar la conexión
Reglas de seguridad del objeto.
7. Haga clic con reglas de seguridad de conexión y seleccione Nueva regla. Esto iniciará el
Nuevo Asistente para reglas de seguridad de conexión, que se muestra en la figura 8.20.
Figura 8.20 El nuevo Asistente para reglas de seguridad de conexión
8. Lo que en el tipo de regla de seguridad de conexión ¿Le gustaría crear la página,

seleccionar el aislamiento y haga clic en Siguiente.
9. En la página Requisitos, seleccione Requerir la autenticación de entrada y de salida

Conexiones atado y haga clic en Siguiente.
10. En la página Método de autenticación, seleccione Equipo (Kerberos V5) como se muestra
en la figura 8.21 y luego haga clic en Siguiente.
11. En la página de perfil, asegúrese de que dominio, privado y público son seleccionados y
Figura 8.21 La selección de un método de autenticación
12. En la página Nombre, escriba el nombre Secure_Servers y haga clic en Finalizar.

13. Cierre el Editor de administración de directiva de grupo.
14. En el Group Policy Management Console, haga clic en la unidad organizativa de servidores
seguros y
haga clic en Vincular un GPO existente.
15. En el cuadro de diálogo Seleccionar GPO, que se muestra en la Figura 8-22, seleccione
Connection_Security
Figura 8.22 Vincular un GPO a una unidad organizativa para aplicar la

política
■ Eventos de inicio de sesión de cuenta son los eventos registrados por un controlador de
dominio en el
controlador de dominio se ha autenticado la actividad de inicio de sesión de dominio.
■ Las directivas de dominio aislamiento dejar de equipos en el dominio de la aceptación de
com-
comunicación iniciada por los ordenadores fuera del dominio. Las computadoras en el
dominio todavía puede iniciar la comunicación con los anfitriones ouside el dominio.
■ Las políticas de aislamiento de servidor son similares a las políticas de aislamiento de
dominio a menos que sean
limitado a un conjunto de servidores en lugar de todo el dominio.
en
Lección 2, "controlar y mantener la seguridad del servidor." Las preguntas también están
disponibles
NOTA Respuestas
1. Sitio de su organización sede cuenta con tres controladores de dominio. Desea

configurar un servidor miembro nombrado expedientes para que tenga un registro de todos
los dominios
de inicio de sesión y la actividad de cierre de sesión que se produce en el lugar de la sede.
¿Cuál de los siguien-
las A.
acciones siguientes
Configurar debe
el reenvío detomar?
eventos en los controladores de dominio. Eventos hacia
adelante
generados por la cuenta de inicio de sesión de auditoría a los expedientes de la política
B. Configurar
de eventos delelservidor.
reenvío de eventos en los controladores de dominio. Eventos hacia
adelante
generados por la directiva de auditoría de administración de cuentas de los registros
delConfigurar
C. servidor. el reenvío de eventos en los controladores de dominio. Eventos hacia
adelante
generados por el inicio de sesión Auditar sucesos de política a los expedientes de
D. Configurar el reenvío de eventos en los controladores de dominio. Eventos hacia
servidor.
adelante
generada por la política de acceso al servicio de directorio de auditoría a los registros
2. Cinco contadores desea utilizar la carpeta compartida de Contabilidad para compartir
del servidor.
temporalmente
información confidencial del cliente con los demás. Treinta y contadores tienen acceso
a esta carpeta y la experiencia ha demostrado que los permisos de archivos y carpetas se
casi siempre aplicado de forma incorrecta por los usuarios no técnicos. ¿Cuál de las
siguientes
métodos podrían estos cinco contadores utilizar para proteger estos datos confidenciales,
mientras que
que está siendo alojado en la carpeta compartida de Contabilidad?
A. El uso de BitLocker para cifrar los datos confidenciales.
B. Utilizar EFS para cifrar los datos confidenciales mediante una cuenta especial para
grupos.
C. Utilizar EFS para cifrar los datos confidenciales de cada una de las cinco de contador
Certificados EFS.
D. El uso de BitLocker para cifrar los datos confidenciales a cada uno de los cinco
accoun-
certificados importante de cifrado.
3. Como medida de seguridad, desea asegurarse de que los equipos que son miembros de
el dominio Fabrikam.internal son capaces de comunicarse entre sí y se
no es accesible a cualquier otro equipo. ¿Cuál de los siguientes debe hacer?
A. Implementar el aislamiento de dominio.

B. Configurar una VPN.
C. Configurar EFS.
D. Configurar la protección de acceso a la red.
4. Su organización cuenta con un pequeño grupo de contratistas que trabajan en el lugar.
Diferente
los contratistas de trabajo en su empresa cada semana. Estos contratistas necesitan de la
red
acceso a servicios tales como DNS, DHCP, el servidor web de la intranet y la Internet
acceso a través de ISA Server en el perímetro de la red. Usted quiere asegurarse de que
estos contratistas no tienen acceso a Exchange Server de su organización en el 2007
ordenadores o cualquier servidor de archivos. Los contratistas todo el uso de Windows Vista
portátil
equipos que no son miembros de su dominio de Active Directory. ¿Cuál de las
siguientes estrategias pueden seguir para garantizar que los contratistas no pueden
tener
A. acceso
Coloquea los
estos servidores
servidores de infraestructura
Exchange Server 2007importantes?
y los servidores de archivos en el
perímetro
de la red.
B. Configurar una política de aislamiento de
dominio.
C. Configurar una regla de firewall de Windows de salida en el servidor de Exchange
2007
servidores y servidores de archivos.
D. Configurar una política de aislamiento de
servidor.


real involv-
práctica.

■ Servidor WSUS puede ser utilizado para centralizar la implementación de cambios en un
equipo con Windows
Server 2008 medio ambiente.
■ System Center Configuration Manager 2007, ha avanzado la funcionalidad de reporting
que se puede utilizar para verificar que los equipos cumplan con los requisitos de
cumplimiento.
■ La auditoría puede ser utilizado para registrar los eventos que son de interés para los
administradores, de
acceso de los archivos y carpetas a los eventos de inicio de sesión de dominio.
■ Firewall de Windows con las políticas de seguridad avanzada se puede utilizar para
aplicar el firewall
reglas a través de Directiva de grupo para Windows Server 2008 y Windows Vista.
■ Normas de seguridad de conexión se puede utilizar para hacer cumplir de dominio y el
aislamiento de servidor
las políticas.
Términos clave
■ Modo autónomo
■ Ámbito de la política de
■
aislamiento
Servidor indirecto
■ EFS
■ Replica el modo de
Case Scenario
En los escenarios siguientes, se aplicará lo que has aprendido sobre el parche
gestión y seguridad. Usted puede encontrar respuestas a estas preguntas en la sección
"Respuestas"
Escenario: implementación de WSUS 3.0 SP1 en Fabrikam

Después de usar un enfoque ad-hoc a la gestión de parches en los últimos años, el CIO
Fabrikam ha decidido que durante el proyecto para actualizar todos los existentes en Windows
2000
Servidores a Windows Server 2008, WSUS 3.0 SP1 también se deben implementar. Fabrikam
es
ubicada en el estado de Victoria, Australia. La oficina central se encuentra en el Melbourne
Central Business District (CBD) y las oficinas de los suburbios satélites se encuentran en
Moonee
El plan actual
Estanques, es para un Endeavour
Cheltenham, servidor WSUS Hills,3.0 SP1Waverley.
y Glen que se instala en un servidor Windows
2008 de acogida en la sede central y luego de una ejecución por fases de los servidores W SUS
en la sub-
urbano oficinas satélite. Como todo el trabajo del personal de TI en la oficina de Melbourne
CBD, los servidores
en las oficinas satélite debe utilizar la configuración de grupo de equipos y actualización de la
aprobaciones que se configuran en el servidor central.
Una de las razones para el enfoque ad-hoc en el pasado ha sido que Fabrikam utiliza
personalizado
software que a veces entra en conflicto con las actualizaciones, haciendo que la instalación de
los
cambios a fallar. El CIO quiere ser capaz de ejecutar los informes sobre las actualizaciones de
su escritorio
equipo para determinar cuándo se producen estos eventos. El CIO no requiere adminis-
acceso administrativo al servidor y nunca se lleva a cabo las manos-en las tareas
Con esta información
administrativas, en mente, responda las siguientes preguntas:
siempre
delegar esto a los administradores de sistemas a su equipo.
1. ¿A qué grupo local en el Windows Server 2008 equipo que aloja WSUS
debe agregar la cuenta del CIO de usuario?
2. ¿Cómo se debe configurar el origen de la actualización de servidores WSUS aguas abajo

en
las oficinas satélite Fabrikam?
3. ¿Qué tipo de informe debe instruir a los CIO a generar para obtener detalles
información sobre los equipos específicos donde la instalación de una actualización en
particular
ha fallado?
com-
Implementar una estrategia de gestión de parches

Complete el ejercicio siguiente práctica:
■ Práctica: Configuración de una réplica de WSUS
1. Sincronizar el servidor WSUS que ha configurado en el ejercicio de la práctica
al final de la primera lección de actualización de Microsoft.
2. Instalación de WSUS 3.0 SP1 en un segundo equipo.

3. Configure el segundo servidor Windows 2008 como un equipo corriente abajo
réplica del servidor WSUS 3.0 SP1 que se ha configurado en la práctica de ejer-
cicio al final de la primera lección.
4. Sincronizar el servidor WSUS aguas abajo con el servidor ascendente.
Server Monitor de Seguridad

Complete el ejercicio siguiente práctica:
■ Práctica: Configuración de Auditoría
1. Configurar la auditoría de uso de privilegios.
2. Configurar la auditoría de eventos de inicio de sesión de cuenta y verificar que estos
eventos
están registrados en el servidor de Glasgow.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Capítulo 9
Acceso remoto y acceso a la red

Protección
VPN se puede utilizar para permitir a usuarios remotos conectarse a internos de su
organización
recursos de red desde un punto de acceso inalámbrico de hoteles en Gundagai o de una banda
ancha
conexión en Yarragon. Planificación de VPN de acceso hay que tener en cuenta una
serie de factores. Usted necesita saber cómo el firewall se pueden configurar, lo que los
clientes
va a conectar, y los tipos de recursos que necesitan para acceder. En este capítulo,
usted aprenderá cómo planear e implementar un servidor VPN y usted aprenderá acerca de la
nueva Access Protection es otra nueva característica de Windows Server 2008 que se
Network
tecnologías
es probable disponibles en Windows
que se abordarán Server 2008
en el examen para
70-646. simplificar
Esta función este proceso.
le permite restringir la red
acceso sobre la base de la salud del equipo cliente. En pocas palabras, si el equipo cliente no
es
al día con los parches y las definiciones de antivirus, que no tenga pleno acceso a la red,
el trabajo. Si el equipo cliente está al día, el acceso se concede la totalidad. En este capítulo,
Aprenderá a configurar e implementar Network Access Protection y los diversos
los métodos que están disponibles para hacer frente a equipos que no cumplen.

■ Vigilar y mantener la seguridad y las políticas.
■ Lección 1: Administrar el acceso remoto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
■ Lección 2: Protección de acceso a la red. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Antes de empezar
ejer-
Windows
509
Server 2008. "
510 Capítulo 9 Acceso remoto y Network Access Protection
■ Los ejercicios de práctica en este capítulo requerirá que se realice una instalación por
defecto
ción de un segundo servidor miembro de Windows Server 2008 y unirse a la Contoso
. Internas de dominio. Es posible instalar este servidor miembro con el mismo
medios de instalación que utilizó para instalar el servidor Glasgow.contoso.internal. Este
servidor miembro sólo se deben utilizar para los ejercicios de práctica y en caso de que
no completa el proceso de activación de producto de Windows para este equipo. Este
equipo debe tener dos adaptadores de red: uno que está conectado a la
10.0.0.x / 24 de red y una segunda que tiene la dirección IP estática asignada de
1.2.3.4 / 24. Usted debe el nombre de este equipo Hobart.

Lección 1: Administrar el acceso remoto 511
Lección 1: Administrar el acceso remoto

Si su organización va a permitir a los trabajadores trabajar a distancia, es necesario
proporcionar
con alguna forma de acceder a los recursos de la red interna de su organización. En
esta lección, usted aprenderá cómo planear la implementación de servidores VPN para permitir
a distancia
el acceso a su red interna de los lugares que son externos a la de su organización
de la red.
■ Plan de acceso remoto de funciones de servidor de
■
infraestructura.
Controlar y mantener a distancia las políticas de seguridad de acceso.
■ Controlar y mantener acceso a la red.
Debería implementar el Windows Server 2008 de enrutamiento y acceso remoto

Servidor de acceso remoto función de servicio cuando se quiere proporcionar una de las
siguientes
recursos para su entorno de red:
■ Servidor de acceso remoto VPN
■ Dial-up servidor de acceso remoto
En esta lección, usted aprenderá cómo específicamente para configurar y controlar un equipo
con Windows
Server 2008 de servidor VPN de acceso remoto. Para instalar el enrutamiento y acceso remoto
Servicios (RRAS) servicio de función, utilice la función para agregar funciones a continuación,
seleccione la directiva de red
Y servicios de acceso. Servicios de enrutamiento y acceso remoto es un servicio de función
dentro de este
papel. Para configurar Windows Server 2008 para aceptar el tráfico entrante y VPN de acceso
El servicio de acceso remoto debe ser activado manualmente después de la instalación. Sólo
telefónico,
miembros
seleccionedela función de servicio de acceso remoto, como se muestra en la Figura 9.1.
los miembros del grupo de administradores locales son capaces de activar el servicio de
acceso remoto.
En los entornos de dominio, debe realizar esta acción utilizando una cuenta de usuario que se
un miembro del grupo Administradores de dominio. Si su cuenta de usuario no es miembro de
la
Administradores de dominio grupo de seguridad, organizar un administrador de dominio para
agregar manualmente el RAS
equipo servidor cuenta con el RAS e IAS grupo de servidores de dominio de seguridad. No es
necesarios para agregar el servidor RAS a este grupo si el servidor de acceso remoto se
mediante la autenticación local o autentica en un acceso telefónico de autenticación remota en
Usuario del servicio (RADIUS).
Figura 9-1 Instalación del servicio de acceso remoto
Para habilitar el acceso remoto, abra la consola de enrutamiento y acceso remoto de la

Menú Herramientas administrativas, haga clic en el equipo Windows Server 2008 que
quiere ser anfitrión de este papel, y luego haga clic en Configurar y habilitar enrutamiento y
remoto
Acceso. Al realizar esta acción se inicia el enrutamiento y acceso remoto Configuración del
servidor
Asistente. La página de configuración de este asistente, que se muestra en la Figura 9.2, le
permite
seleccionar la combinación de servicios que este servidor en particular va a dar. El Control
Remoto
Acceso
Si usted(dial-up o VPN)
ha elegido parase selecciona
instalar la opción
un servidor cuando
VPN, se quiere dar
se le presentará conuno o ambos
el VPN Con-
opciones de acceso remoto a los clientes externos a su organización.
Página conexión se muestra en la Figura 9.3. Esta página requiere que se especifique la red
interfaz en el equipo que se conecta a Internet. Esta será la interfaz que
tiene la dirección IP pública en lugar de la interfaz que tiene la dirección IP privada.
Si adaptadores de red adicionales se instalan en el servidor que aloja la función RAS después
el servidor RAS se ha implementado, estos pueden ser configurados para su uso con RAS con
el RRAS
de la consola. Si su equipo Windows Server 2008 tiene menos de dos redes adaptar-
res, que no será capaz de realizar una configuración estándar del servidor VPN, y tendrá que
realizar una configuración personalizada en su lugar.
Figura 9-2 Configuración de acceso remoto
Figura 9-3 Instalación del servicio de acceso remoto
Filtros de paquetes que sólo permiten a los protocolos VPN se configuran y aplican a la Internet
interfaz. Esto significa que el servidor se limita a proporcionar acceso a la VPN. En el caso de
que ha implementado otros servicios en el servidor que será el anfitrión de la función RAS,
tendrá que configurar nuevos filtros de paquetes para permitir este tráfico en el servidor. Como
un despliegue
gia de desarrollo, usted debe considerar seriamente mantener el servidor RAS independiente
de
otros servicios.
Después de la interfaz externa se identifica, el siguiente paso en la configuración de la función

RAS
especificar las direcciones IP se asignan a los clientes. Direcciones de los clientes puede ser
arrendada
de un servidor DHCP dentro de la organización, el R COMO servidor puede generar la
direcciones de sí mismo, o puede especificar un rango de direcciones para asignar a la
conexión de los clientes.
Cuando se utiliza la infraestructura de su organización DHCP, el servidor RAS de
arrendamiento
bloques de
Windows 10 direcciones,
Server solicitandoDHCP
2008 los servidores nuevos bloques
tienen una si los bloques
clase solicitados
de usuario anteriormente
predefinida, conocida
son la
como
actualmente
Enrutamientoen poruso.
defecto y la clase de acceso remoto, que permite a los administradores
asignar espe-
opciones específicas sólo para clientes de enrutamiento y acceso remoto. Esta clase está
configurada
a través de la ficha Opciones avanzadas de Opciones del servidor DHCP, como se muestra en
la Figura 4.9.
Figura 9-4 La RRAS de clase DHCP
El siguiente paso en la configuración de un servidor de RAS es determinar la forma de

autenticación
ocurrir. Puede configurar el servidor de RAS para llevar a cabo la autenticación en activo
Directorio (o la base de datos de cuentas locales) o se puede configurar el servidor de RAS
como un
RADIUS cliente y permitir que el servidor RADIUS para realizar la autenticación y
autorización de las solicitudes de conexión del cliente. Opciones de RADIUS se tratan con más
detalle más adelante en esta lección. Después de haber realizado estos pasos, el servidor RAS
se
funcional.
VPN y protocolos de autenticación

Redes Privadas Virtuales son una extensión de una red privada que incluye
vínculos encapsulados, cifrados y autenticados a través de redes compartidas o públicas. A
equipo cliente se conecta a una red pública, como Internet, e inicia una
Conexión VPN a un servidor remoto. Este servidor remoto se encuentra normalmente en el
subred filtrada de la organización que el cliente desea conectarse. Después de la con-
conexión se realiza, de un túnel cifrado se forma entre el cliente y el servidor VPN.
Este túnel cifrado transporta el tráfico de red local entre el cliente y la
remoto de la red que el cliente está conectado. Los clientes se conectan a la red
de la misma manera que lo serían si estuvieran en la oficina. En lugar de una caída de CAT-5
cable de conexión a un interruptor en algún lugar de la oficina, un cable virtual en la forma
de un túnel VPN que conecta a la infraestructura de red de su organización.
Comprensión Protocolos de autenticación

Los siguientes protocolos de autenticación puede ser utilizado por un servidor de Windows
Server 2008
para autenticar las conexiones entrantes VPN. Estos protocolos se enumeran en orden de
más segura, al menos para asegurar:
■ Protocolo de autenticación extensible-Seguridad deEste
nivel es
de el
transporte (EAP-TLS)
protocolo que se implementa en los clientes VPN pueden autenticarse usando
tarjetas inteligentes o certificados digitales. EAP-TLS no es compatible con stand-alone
servi-
res y sólo pueden aplicarse cuando el servidor que aloja el acceso remoto
Servicio de servicio de la función es un miembro de un dominio de Active Directory.
■ Esta
Microsoft Protocolo de autenticación por desafío proto-
mutuo (MS-CHAPv2)
col proporciona autenticación mutua y permite la encriptación de los dos
los datos de autenticación y los datos de conexión. MS-CHAPv2 está activado por defecto
en
■ Protocolo de autenticación por desafíoUna autenticación
mutuo (CHAP) más viejos
método que encripta los datos de autenticación utilizando hash MD5. CHAP no
apoyo a la encriptación de los datos y se utiliza con mayor frecuencia para proporcionar
compatibilidad
con más edad, no los clientes de Microsoft.
■ Protocolo de autenticación extensible-Message Digest 5 desafío mutuo auten-
ción (EAP-MD5 CHAP) Una versión de CHAP que ha sido adaptada a la
EAP marco. Este protocolo de autenticación compatible con el cifrado de auten-
datos de localización a través de hash MD5 y se utiliza generalmente para proporcionar
compatibilidad
con los no clientes de Microsoft.
■ Un cifrado
Protocolo de autenticación de contraseña débil(SPAP)
de Shiva autentica-
ción de protocolo que no es compatible con el cifrado de los datos de conexión.
■ Protocolo de autenticación deCuando se (PAP)

contraseña utiliza este protocolo, autentica-
ción de datos no está cifrado, pero se pasa a través de la red en texto plano. PAP
no es compatible con el cifrado de protección de datos.
El proceso de autenticación siempre trata de negociar el uso de las más seguras

protocolo de autenticación. El protocolo de autenticación por defecto utilizado para los clientes
VPN
conexión a una VPN de Windows Server 2008 es MS-CHAPv2.
Windows Server 2008 VPN Protocolos

Windows Server 2008 es compatible con tres protocolos diferentes de VPN: Protocolo de túnel
(PPTP), Protocolo de túnel de capa dos más de IPSec (L2TP/IPSec) y Secure Socket Tun-
neling Protocolo (SSTP). Los factores que influyen en el protocolo que decide
despliegue en el entorno de red propia incluyen el sistema operativo del cliente, el certificado de
infraestructura, y cómo firewall de la organización se ha implementado.
■ PPTPConexiones PPTP sólo puede ser autenticada utilizando MS-CHAP, MS-CHAPv2,

EAP y PEAP. Conexiones PPTP usan MPPE para cifrar los datos PPTP. Conexiones
PPTP
ciones garantizar la confidencialidad de los datos, pero no proporcionan datos de origen o
la integridad de los datos
autenticación. Es posible usar PPTP con los certificados si EAP-TLS se ha seleccionado
como
el protocolo de autenticación, a pesar de la ventaja de PPTP VPN sobre el otro
protocolos compatibles con Windows Server 2008 es que no requieren certificados
ser instalado en el equipo cliente que realiza la conexión. Con PPTP, no
necesidad de preocuparse acerca de los secretos compartidos o certificados de equipo o
asegurar que los
la correspondiente CA SSL es de confianza. PPTP se utiliza a menudo con los no
operativos de Microsoft
Más en PPTP
MÁS INFORMACIÓN
los sistemas.
Para más información sobre este viejo protocolo VPN, consulte el siguiente artículo de MSDN:
http://msdn2 .microsoft.com/en-us/library/ms811078.aspx.
■ L2TP/IPsec Conexiones L2TP utilizan el cifrado proporcionada por IPsec. L2TP/IPsec es

el protocolo que tiene que implementar si es compatible con Windows XP a distancia
los clientes de acceso, debido a que estos clientes no pueden usar SSTP. L2TP/IPsec
ofrece
por cada paquete de datos de autenticación de origen, integridad de datos, protección de
repetición, y los datos
confidencialidad.
Conexiones L2TP/IPSec usan dos niveles de autenticación. El nivel del equipo autentica-
ción se produce ya sea el uso de certificados digitales emitidos por una CA de confianza por
parte del cliente y
Servidor VPN o mediante el despliegue de claves pre-compartidas. Autenticación PPP proto-
cols se utilizan para la autenticación a nivel de usuario. L2TP/IPsec soporta todas las VPN
de autenticación disponibles en Windows Server 2008 protocolos.

MÁS INFORMACIÓN
L2TP/IPsec
Para obtener más información acerca de L2TP/IPsec, consulte los siguientes enlaces Microsoft
TechNet:
http://technet .microsoft.com/en-us/library/bb742553.aspx.
■ SSTPProtocolo de túnel de sockets seguros (SSTP) es una tecnología VPN que hace
su debut con Windows Server 2008. SSTP túneles VPN permiten que el tráfico pase
a través de firewalls tradicionales que bloquean el tráfico PPTP o L2TP/IPSec VPN. SSTP
funciona al incluir el punto a punto (PPP), el tráfico sobre el seguro
Sockets Layer (SSL) canal del Protocolo seguro de transferencia de hipertexto (HTTPS)
protocolo. Expresado de forma más directa, piggybacks SSTP PPP a través de HTTPS.
Este
significa que el tráfico SSTP pasa a través del puerto TCP 443, que es casi seguro que
será
abrir en cualquier servidor de seguridad entre la Internet y un servidor Web de cara al
público en un
subred filtrada de la organización.
El PPP de SSTP permite la implementación de métodos de autenticación tales avanzada
como EAP-TLS, que es más comúnmente utilizado con tarjetas inteligentes. El componente del
SSL
SSTP proporciona el túnel VPN con encriptación, clave de la negociación mayor, y la integridad
dad de cheques. Esto significa que los datos transferidos mediante este método se codifica y
que es
posible detectar si alguien ha intentado interceptar el contenido de la
túnel entre los puntos de origen y destino.
Al planificar el despliegue de SSTP, es necesario tener en cuenta los resultados de
ING consideraciones:
■ SSTP sólo es compatible con Windows Server 2008 y Windows Vista con
Service Pack 1.
■ SSTP requiere que el cliente confía en la CA que emite el servidor VPN SSL
certificado.
■ El certificado SSL debe estar instalado en el servidor que funcionará como el VPN
servidor antes de la instalación de enrutamiento y acceso remoto, de lo contrario, SSTP
no estará disponible.
■ El certificado SSL nombre del sujeto y el nombre de host que los clientes externos utilizan
para
conectar con el servidor VPN deben coincidir, y el cliente de Windows Vista SP1 com-
ordenador debe confiar en la CA emisora.
■ SSTP no es compatible con un túnel a través de proxies de Internet que requieren
■
autenticación.
SSTP no es compatible con el sitio a sitio túneles. (PPTP y L2TP hacer.)

MÁS INFORMACIÓN
SSTP
Para obtener más información acerca de SSTP, consulte el siguiente documento SSTP visita guiada de
implementación en
http://download.microsoft.com/download/b/1/0/b106fc39-936c-4857-a6ea-3fb9d1f37063/
Implementación% 20Remote 20SSTP%%% 20Access 20Step% 20de% 20Step 20Guide.doc%.
La red del servidor de políticas

Servidores de Red de Políticas implementadas en Windows Server 2008 para hacer cumplir las
redes de
uniforme de las políticas de acceso a la red en toda la organización. La red del servidor de
políticas
(NPS) es un componente esencial en la protección de acceso a la red, que es el tema de la
siguiente lección en este capítulo. Esta cobertura en esta lección se centra en el uso de fuentes
de energía nuclear
ya sea como un servidor RADIUS o como un cliente RADIUS, también conocido como un proxy
RADIUS. La
NPS como un servidor RADIUS
mismo servidor puede funcionar como un servidor RADIUS y un proxy RADIUS.
Cuando una organización tiene más de un servidor de acceso remoto, un administrador puede
configurar un servidor que ha instalado NPS como un servidor RADIUS y configurar todos los
servidores de acceso remoto como clientes RADIUS. La ventaja de hacer esto es que la red
gestión de políticas centralizada, en lugar de requerir la gestión de una-por-distancia
de acceso de servidor base.
Cuando RADIUS se utiliza como un proveedor de autenticación para los servidores de RAS, la
conexión
solicitud se envía en un formato de mensaje de solicitud RADIUS a un servidor RADIUS. El
RADIUS
servidor realiza la autenticación y la autorización y luego pasa esta infor-
ción de vuelta al servidor RAS. El servidor RADIUS debe ser un miembro activo de una
Directiva
dominio historia, pero el servidor VPN RAS pasar las solicitudes de autenticación RADIUS para
la
NPS y clientes RADIUS
servidor puede ser un equipo independiente.
Los clientes de RADIUS son servidores de acceso a la red como los servidores VPN, puntos de
acceso inalámbricos,
y la autenticación 802.1x interruptores. Aunque los ordenadores que acceden a estos
servidores de acceso a la red se llaman clientes de acceso remoto, no se consideran
Los clientes de RADIUS. Los clientes de RADIUS proporcionar acceso de red a otras
máquinas.
Para configurar un cliente de RADIUS mediante fuentes de energía nuclear, abra la directiva de
red Server Console
en el menú Herramientas administrativas. Haga clic derecho en los clientes RADIUS y luego
haga clic en Nuevo
RADIUS cliente. Con ello se abre el cuadro de diálogo que se muestra en la Figura 5.9.
Configuración
■ Nombre descriptivo
consiste en proporcionar la siguiente información:
■ Dirección (IP o DNS)
■ Nombre del proveedor (más de 20 proveedores independientes están disponibles en este
menú desplegable
del menú.)
■ Secreto compartido (configurado con el complemento NPS en el cliente RADIUS)
Figura 9-5 Configuración de un nuevo cliente RADIUS
Más información sobre fuentes de energía

MÁS INFORMACIÓN
nuclear y los clientes de RADIUS
Para más información sobre la configuración de clientes RADIUS, consulte el enlace de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/5ba4dfa8-674d-43fe-9196-
93fc599ee94d1033.mspx? Referencia del fabricante = true.
NPS como un proxy RADIUS

Proxies RADIUS vía mensajes RADIUS entre los servidores de acceso remoto se configura
como
Los clientes de RADIUS y los servidores RADIUS que realizar la autenticación, autorización y
contabilidad. Cuando se configura como un proxy RADIUS, NPS un registro de información en
el
contable de registro de los mensajes que se pasa de los clientes de RAS en el radio
servidores. Funciones NPS como un cliente RADIUS cuando se configura como un proxy
Debería implementar NPS como proxy RADIUS cuando se necesita para proporcionar la
RADIUS.
autenticación
y la autorización de las cuentas de otros bosques de Active Directory. El RADIUS NPS
proxy utiliza el nombre de dominio (el nombre que identifica la ubicación de la cuenta de
usuario)
parte de un nombre de usuario que transmita la solicitud a un servidor RADIUS en el bosque de
destino.
Esto permite a los intentos de conexión de cuentas de usuario en un bosque a ser autenticada
por
servidor de red de acceso en otro bosque. El uso de un proxy RADIUS entre bosques de auten-
ticación
Tambiénno es necesario
debe queNPS
implementar tantocomo
los bosques se están
proxy RADIUS deejecutando en Windows
autenticación cuando seServer 2003
necesita y
nivel funcional y una relación de confianza que existe.
la autorización de que se produzca contra una base de datos que no sean la base de datos
cuenta de Windows.
Las solicitudes de conexión que coincidan con un nombre de dominio específico son enviados a
un servidor RADIUS
servidor, a menudo se ejecuta en una plataforma distinta de Windows, que accede a una por
separado
base de datos de cuentas de usuario y los datos de autorización. De ahí que se despliegue
como fuentes de energía nuclear
un
Unaproxy RADIUS
última de autenticación
razón para considerar elydespliegue
autorización,
de cuando tienen
NPS como un que ocurrir
servidor contra
proxy un es
RADIUS
Servidor RADIUS que utiliza los servicios de directorio de Novell o de uno que se ejecuta en
cuando
UNIX.
lo necesario para procesar un gran número de peticiones de conexión entre el radio RAS
clientes y servidores RADIUS. Un proxy RADIUS NPS puede equilibrar la carga de tráfico a
través de
servidores RADIUS, algo múltiple que es difícil de configurar cuando se trata de
sólo los clientes de RADIUS y servidores RADIUS.
Más información sobre fuentes de energía
MÁS INFORMACIÓN
nuclear como un proxy RADIUS
Para obtener más información acerca de cómo configurar NPS como proxy RADIUS, consulte el siguiente enlace de
TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/94c797c3-1efa-4a62-946b-
a6923e0ee0 361033.mspx? Referencia del fabricante = true.
Consulta Rápida
1. ¿Qué protocolo VPN requiere un certificado SSL?
2. Que soporta el protocolo de autenticación de tarjetas
inteligentes?

1. HTTPS utiliza SSTP y por lo tanto requiere un certificado SSL.
2. EAP-TLS.
Contabilidad de acceso remoto

Los servidores de la red de políticas puede ser configurado para realizar la contabilidad
RADIUS. RADIUS
contabilidad le permite realizar un seguimiento de quién se está conectando y que no haya con-
conectar. Puede utilizar la contabilidad de fuentes de energía nuclear para controlar
específicamente
■ la siguiente
Las solicitudes información:
de autenticación de
■
usuarios
Acceso-Aceptar mensajes
■ Acceso-Rechazar mensajes
■ Las solicitudes de cuentas y las respuestas
■ Actualizaciones periódicas de
estado
Como muestra la Figura 9-6, tiene dos maneras distintas de grabar los datos de registro. Los
registros se pueden
almacenados localmente o por escrito a la base de datos de SQL Server 2005 SP1. Registros a
nivel local por escrito se
conveniente si usted tiene un pequeño número de clientes de acceso remoto. Si usted tiene
una significativa
número de clientes de acceso remoto, escribir datos en una base de datos de SQL Server le
dará
con una forma mucho mejor de la gestión de lo que es probable que sea una montaña de
información.
Figura 9-6 Contabilidad de nodo de la red de la consola del servidor de políticas

Registro de archivos locales

Los archivos de registro de fuentes de energía nuclear puede ser escrito en dos formatos: las
NIC y la base de datos compatible. El valor por defecto
formato es la base de datos compatible. La frecuencia con que los nuevos archivos de registro
se crean
debe ajustarse a las necesidades de su organización. El beneficio de tener un solo archivo de
tamaño ilimitado es que la localización de un evento específico es más simple, porque usted
tiene que buscar
para el archivo de registro único. El inconveniente de los archivos de registro más importante es
que en los sistemas en un registro de
Fuentes
A pesar dede los
energía nuclear
registros de contabilidad
se escriben de forma sepredeterminada
registran los datos,
en lalos archivosSystemroot%
carpeta% de registro \
puede llegar
System32 a ser enorme,
\ LogFiles carpeta,por lo que el proceso de
abrirlos y buscar
Microsoft en ellas
recomienda quedifíciles.
mantenga los archivos de registro en una partición separada de la
operación
sistema y datos de aplicaciones o archivos compartidos. Los archivos de registro, a menos que
un control estricto, tienen una forma
de llenar todo el espacio disponible en disco. Si esto sucede en una partición crítica, el servidor
podría
no están disponibles. Es muy importante tener en cuenta que los registros contables NPS datos
no son
elimina automáticamente. Puede configurar la directiva de retención de registros para asegurar
que las personas mayores
los archivos de registro se borran automáticamente cuando el disco está lleno. Esto funciona
mejor cuando los archivos de registro
se escriben
Los archivosendeuna
registro
partición
se puede
aislada
escribir
de manera
a las acciones
que el único
a distancia.
impacto Esto
de unsedisco
hacelleno
mediante
de la
archivos de registro
especificación de la de
rutafuentes
UNC de energía nuclear
está
la participación.
en el almacenamiento
Si configurade esta
archivos
opción,deserá
registro
necesario
existentes
asegurar
fuentes
la participación
de energía nuclear.
de per- Si
NPS archivos
misiones estándeconfigurados
registro deben paraser
permitir
almacenados
que la cuenta
en unade partición
que escribe los registros para
con otros
escribir datos
datos,
en oelel sistema operativo, debe tener en cuenta que escribir un guión auto-
elimina automáticamente
carpeta compartida. La ficha los Archivo
registrosde
cuando llegan
registro a cierta
de los archivosedad.
locales de registro de cuadro
de diálogo Propiedades
Figura 9-7 Configuración de NPS local de la tala

Configurar el registro de SQL Server

La alternativa a la tala NPS datos contables a nivel local es que sea por escrito a un SQL
Equipo servidor que está instalada de forma local o en la red local. NPS envía
datos a la report_event procedimiento almacenado en el equipo de destino de SQL Server. Este
procedimiento almacenado se encuentra disponible en Microsoft SQL Server 2000, 2005 y
2008.
Puede configurar qué fuentes de energía nuclear de contabilidad los datos se envían a la
computadora de SQL Server
la selección de opciones en el registro de SQL Server cuadro de diálogo Propiedades se
Al hacer clic en Configurar en el cuadro de diálogo le permite especificar las propiedades de los
datos
vínculo con el equipo de SQL Server. Al configurar las propiedades de enlace de datos para la
Conexión de SQL Server, debe proporcionar el nombre del servidor, el método de
autenticación-
ción que se utiliza con el equipo de SQL Server y la base de datos en el SQL
Servidor de la computadora que utilizará para almacenar los datos contables. Al igual que es
una buena idea
a tener una partición en un ordenador para almacenar los datos de fuentes de energía nuclear
de contabilidad, es una buena idea
tener una base de datos independiente que almacena los datos de contabilidad NPS.
Figura 9-8 NPS configurar el registro de SQL Server
Servicios de Terminal Server Portal

Servicios de Terminal Server Gateway (TS Gateway) permiten Protocolo de escritorio remoto
(RDP) a través de conexiones HTTPS de servidores ubicados en RDP interna protegida
redes a los clientes en Internet. Esta funcionalidad permite a los clientes en Internet para
acceder al TS-RemoteApp las aplicaciones estándar de sesiones de Terminal Server, y la
distancia
sesiones de escritorio a los equipos cliente correctamente configurado.
Una ventaja de enlace de TS es que no es necesario crear VPNs RAS para conceder
acceso a los recursos. En lugar de tener que instalar kits de conexión de cliente a cada uno en
la organización que necesita para poder acceder a los recursos desde el lado de Internet del
firewall, puede enviarlas por correo electrónico un archivo de acceso directo RDP y les permite
conectarse con sus
Windows XP SP2 o Windows Vista los equipos cliente. TS Gateway es esencialmente
SSL VPN que se limita a RDP. Con un regular de conexión VPN, puede teóricamente-
camente acceder directamente a todos los recursos, una vez conectado. Por lo que una VPN
puede ser utilizado para conectarse a
acciones de control interno de archivos e impresoras compartidas. Con TS Gateway se puede
acceder a un terminal
Servidor o sesión de escritorio remoto ya través de ese acceso a los recursos compartidos,
tales como
Siga estose pasos
unidades para configurar un servidor de puerta de
impresoras.
enlace de TS:
1. Instalar el servicio de función Puerta de enlace de TS en un servidor Windows 2008 que se
se encuentra en una subred filtrada. El servidor de seguridad perimetral debe ser
configurado para
que el servidor TS Gateway es accesible en el puerto 443.
2. Obtener un certificado SSL. El nombre del certificado debe coincidir con el nombre que los
clientes
utilizar para conectarse al servidor. Instalar el certificado en el servidor y luego usar el
TS Gateway Manager Console para asignar el certificado del servidor. Es importante que
sólo usar el Administrador de puerta de enlace de TS para asignar el certificado SSL. Si se
utiliza otro
3. método,
Configurar el servidor
Serviciosdedepuerta de enlace
Terminal Serverde TS no funcionará
Conexión correctamente.
políticas de autorización (CAP de TS) y
Servicios de Terminal Server políticas de recursos autorización (PAR TS). (Estos están
cubiertos
en la siguiente sección.)
Detallada TS instrucciones de configuración de pasarela

MÁS INFORMACIÓN
Para obtener información detallada acerca de los pasos anteriores, consulte el enlace de TS hipótesis básica
documento en http://technet2.microsoft.com/windowsserver2008/en/library/5fdeb161-31c7-41b2-aaa3-
7a4d5f5e3cda1033.mspx? Referencia del fabricante = true.
Las políticas de autorización de conexiones

Servicios de terminal de conexión a las políticas de autorización (TS-CAP) especificar los
usuarios
están autorizados a conectarse a través del servidor de puerta de enlace TS a los recursos
ubicados en su
red interna de la organización. Esto normalmente se hace mediante la especificación de un
grupo local en
el servidor TS Gateway o un grupo dentro de Active Directory. Los grupos pueden incluir
usuario o
cuentas de equipo. También puede usar el TS-CAP para especificar si los clientes remotos
utilizan
contraseña o tarjeta inteligente de autenticación para acceder a los recursos de la red interna a
través de
el servidor TS Gateway. Usted puede usar el TS-CAP junto con PAN, este escenario
se explica con más detalle en la próxima lección.
Políticas de Recursos autorización

Servicios de Terminal Server de recursos las políticas de autorización (TS-PAR) se utilizan para
determinar
los recursos específicos en la red de una organización que una entrada de puerta de enlace TS
cli-
diferentes se puede conectar. Cuando se crea un TS-RAP se especifica un grupo de equipos
que
desea conceder el acceso y el grupo de usuarios que va a permitir que este acceso.
Por ejemplo, podría crear un grupo de equipos que llama AccountsComputers
será accesible a los miembros del grupo de usuarios de Contadores. Para poder acceder a
recursos internos, un usuario remoto deberá cumplir las condiciones de al menos un TS-PAC y
por lo menos un TS-RAP.
Práctica: Instalación y configuración de acceso remoto
En este ejercicio, va a instalar y configurar un servidor de acceso remoto que apoyarán
PPTP VPN. PPTP es un protocolo VPN que es generalmente utilizado por los clientes más
antiguos y los clientes
que no utilizan los sistemas operativos de Microsoft.
Ejercicio 1: Configuración de acceso remoto
Como se mencionó al comienzo de este capítulo, usted debe tener instalado un Windows
Server 2008 del servidor miembro llamado Hobart y se unió al dominio Contoso.internal.
Este servidor debe tener dos adaptadores de red, uno de los cuales se configura con la estática
La dirección IP 1.2.3.4. Este adaptador se simulará un adaptador de conexión a Internet.
1. Inicie sesión en el servidor de Hobart con la cuenta de usuario

Kim_Akers.
2. Cuando la consola de Administrador de servidores se abre, haga clic en Funciones y
después haga clic en Agregar
Roles.
3. En la página Antes de comenzar, haga clic en Siguiente. Seleccione la directiva de red y
acceso
Servicios de elemento y haga clic en Siguiente.
4. En la Introducción a la directiva de red y de la página Acceso a los Servicios, haga clic en
Siguiente.
5. En la página Seleccionar servicios de función, seleccione la opción de servicio de acceso
remoto y
6. En la página Confirmación, haga clic en Instalar. Cuando finalice la instalación, haga clic en
Cerrar para cerrar el Asistente para agregar funciones.
7. En el menú Herramientas administrativas, abra el enrutamiento y acceso remoto

de la consola. Haga clic en Continuar para cerrar la cuenta de usuario de control de cuadro
de diálogo.
8. Haga clic derecho en Hobart servidor en la consola de enrutamiento y acceso remoto y

haga clic en Configurar y habilitar enrutamiento y acceso remoto como se muestra en la
Figura 9.9.
Esto iniciará el Asistente para enrutamiento y servidor de acceso remoto de configuración.
Figura 9-9 Configuración de enrutamiento y acceso remoto
9. En la página Configuración, seleccione el acceso remoto (acceso telefónico o red privada

virtual).
10. En la página de acceso remoto, seleccione VPN, como se muestra en la figura 9.10, a
continuación, haga clic en
Siguiente.
Figura 9-10 Configurar un servidor VPN

11. En la página Conexión VPN, seleccione el adaptador de red externa que tienen
configurado con la dirección IP 1.2.3.4. Asegúrese de que la seguridad de habilitar en el
Interfaz seleccionado mediante la creación de paquetes estático opción de filtros se
selecciona y luego
12. En la página Asignación de direcciones IP garantizan que el de un rango específico de
Opción de direcciones esté seleccionada y luego haga clic en Siguiente.
13. En la página Dirección de Asignación de intervalo, haga clic en Nuevo. Esto abrirá el nuevo
IPv4
Intervalo de direcciones. Introduzca la dirección IP de inicio 10.0.0.200 y la dirección IP de
extremo
amplia como 10.0.0.220 y haga clic en Aceptar. Verifique que el rango de direcciones Asignar-
Página ción coincide con la figura 9-11 y luego haga clic en Siguiente.
Figura 9-11 Configuración de un rango de direcciones para los clientes VPN
14. En la gestión de múltiples servidores de acceso remoto página, seleccione No, usar
Enrutamiento
Y acceso remoto para autenticar las solicitudes de conexión, haga clic en Siguiente y, a
continuación,
El servidor
15.haga clic ende enrutamiento y acceso remoto finalizar la configuración y luego comenzar.
Finalizar.
16. Cierre la consola de enrutamiento y acceso remoto.
■ Piggybacks SSTP PPP a través de HTTPS. El certificado SSL instalado en el RAS
servidor debe coincidir con el nombre de host que el cliente se conecta a SSTP. SSTP
puede
sólo se puede utilizar con Windows Vista SP1 y Windows Server 2008 clientes. SSTP
no puede utilizarse en los túneles de sitio a sitio.
■ Servidores de fuentes de energía nuclear puede ser configurado para escribir los datos
contables de los archivos de registro local o
SQL Server que tienen los ordenadores de la report_event procedimiento almacenado
■ Proxies RADIUS son una forma útil de las solicitudes de balanceo de carga de los
disponible.
servidores de RAS para
Servidores RADIUS.
■ TS Servidores de Gateway proporcionan otra forma de acceso remoto, que permite a
Windows
Vista a los clientes conectarse a los servidores de RDP utiliza el puerto 443.
en
Lección 1, "Gestión de acceso remoto". Las preguntas también están disponibles en la com-
NOTA Respuestas
1. ¿Cuál de los siguientes protocolos de VPN que se implementa si el firewall bloquea

todo el tráfico de la Internet, excepto el tráfico en los puertos TCP 25, 80 y 443?
A. L2TP/IPsec
B. SSTP
C. PPTP
D. SLIP
2. VPN clientes que se conectan a Windows de su organización Server 2008 del servidor RAS
se asignan las direcciones IP de un Windows Server 2008 del servidor DHCP. Desea
para configurar un conjunto diferente de opciones de DHCP para estos clientes. ¿Cuál de
los siguien-
los pasos siguientes debe tomar?
A. Configurar una reserva DHCP.
B. Configurar una exclusión de DHCP.
C. Configurar la clase de usuario predeterminado en el servidor
DHCP.
D. Configurar el enrutamiento por defecto y la clase de acceso remoto en el servidor
DHCP.
3. ¿Cuál de los siguientes clientes pueden conectarse a Windows de su organización
Server 2008 del servidor VPN si los puertos que están disponibles para las conexiones VPN
son los puertos 25, 80 y 443?
A. Windows 2000 Professional con Service Pack 4

B. Windows XP Professional con Service Pack 2
C. Windows Vista RTM

D. Windows Vista con Service Pack 1
4. Servidores VPN1, VPN2 y vpn3 sede de la función de servidor de RAS y aceptar de entrada
Conexiones VPN de los clientes en Internet. NPS1 servidor está configurado como
un servidor RADIUS con la directiva de servidor de red función de servidor. Servidores
VPN1, VPN2,
y vpn3 NPS1 usar para autenticar las conexiones entrantes. SQL1 servidor es un
Windows Server 2003 que tiene SQL Server 2005 Service Pack 2
instalado. Usted desea mejorar su capacidad de búsqueda a través de RADIUS cuenta-
datos de ing. ¿Cuál de las siguientes estrategias debe seguir?
A. Configure VPN1, VPN2 y vpn3 para que NPS datos contables se remite
a SQL1.
B. Configure VPN1, VPN2 y vpn3 para que NPS datos contables se remite
a NPS1.
C. SQL1 configurar para que NPS datos contables se remite a NPS1 servidor.
D. NPS1 configurar para que NPS contables datos se envían al servidor SQL1.
5. Usted quiere asegurarse de que los usuarios se conectan a través de Internet a su
organiza-
ción de los servidores Terminal sólo son capaces de acceder a un conjunto específico de
servidores Terminal Server.
¿Cuál
A. Instalar
de las siguientes
un servidor
medidas
de puerta
debe
de tomar?
enlace de TS en la subred protegida y configurar
una RAP.
B. Instalar un servidor de puerta de enlace de TS en la subred protegida y configurar un
CAP.
C. Instalar un servidor de directorio de sesión de TS y configurar NLB.
D. Instalar un servidor de directorio de sesión de TS y configurar DNS Round Robin.
Lección 2: Protección de acceso a la red

Implementar Network Access Protection de la red como un método para asegurar que
computadoras el acceso a recursos importantes cumplir con ciertos puntos de referencia de
salud del cliente.
Estos parámetros incluyen (pero no se limitan a) con las actualizaciones más recientes
aplicados, teniendo en software antivirus y anti-spyware hasta la fecha, y con importantes
tecnologías de seguridad como Firewall de Windows configurada y funcional. En este
lección, usted aprenderá a planificar e implementar una red de acceso apropiada protección
ción de infraestructura y el método de aplicación para su organización.

■ Plan de acceso a la red las funciones de servidor de protección.
■ Controlar y mantener la red de políticas de protección de acceso.
Agentes del Sistema de Salud y validadores

Agentes del Sistema de Salud (SHA) y validadores del Sistema de Salud (SHV) son los
componentes
componentes que validar el estado de un ordenador configurado con un conjunto de puntos de
referencia. La
SHV especifica que los puntos de referencia que el cliente debe cumplir. El SHA es el
componente
contra el cual los puntos de referencia son la prueba. El Windows Vista y Windows XP
SHV se puede configurar a través del Sistema de Salud de validadores nodo en la red
Protección de acceso en el servidor de directivas de redes. Figura 9-12 muestra los ajustes que
se pueden configurar
Organizaciones para lapueden
de terceros SHV Windows Vista.SHA y SHV que se pueden utilizar con sus
proporcionar
propios productos y del PAN. Implementación de terceros SHA y SHV implica la instalación de
la
SHA componentes en todos los clientes y la SHV en el equipo Windows Server 2008
que aloja el servidor de red Política de la función de servidor. Una vez instalado, se crea una
nueva
políticas de salud que utiliza el nuevo SHV como punto de referencia de cumplimiento. Una
política de salud puede
un llamado a SHV múltiples. Por ejemplo, puede crear una política de salud que requiere que
todos los
condiciones de la SHV Windows Vista y la SHV Fabrikam deben cumplirse antes de un cliente
se leINFORMACIÓN
MÁS concede
Másacceso a todos
información sobre los recursos
agentes de ladel
de Windows red.
sistema
de salud
Para obtener más información acerca de los agentes del sistema de salud, consulte la siguiente página
Web de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/ab8507c4-af62-4334-beca-
b1cb0c687b011033. mspx? Referencia del fabricante = true.
Lección 2: Protección de acceso a la red 531
Figura 9-12 Windows Vista SHV
Los métodos de cumplimiento NAP

Cuando un equipo se encuentra que no cumplen con las políticas de salud aplicadas, PAN
refuerza el acceso limitado a la red. Esto se hace a través de un cliente de cumplimiento (CE).
Windows Vista, Windows XP Service Pack 3 y Windows Server 2008 incluyen PAN
Apoyo de la CE para IPsec, IEEE 802.1X, VPN de acceso remoto, y la aplicación de DHCP
métodos. Windows Vista y Windows Server 2008 también apoyo a la aplicación del PAN
para las conexiones de Terminal Server Gateway.
Métodos de cumplimiento NAP pueden ser utilizados individualmente o se puede utilizar en

conjunción
ción entre sí para limitar el acceso a la red de computadoras que se encuentran a no ser
en cumplimiento de las políticas de salud configurado. Por lo tanto, usted puede solicitar el
acceso remoto
VPN IPsec y los métodos de control para asegurar que los clientes internos y clientes com-
ción en la Internet sólo se conceden acceso a los recursos que respondan a las apro-
puntos de referencia apropiados de salud del cliente.
IPsec cumplimiento NAP
IPsec aplicación funciona mediante la aplicación de reglas de IPsec. Sólo los equipos que
cumplen con la salud
los requisitos de cumplimiento son capaces de comunicarse entre sí. IPsec cumplimiento
puede ser aplicada en una dirección por IP, por número de puerto TCP o UDP por el número de
puerto
base. Por ejemplo: Usted puede usar la aplicación de IPsec para bloquear el acceso RDP a un
servidor Web
por lo que sólo los equipos que están sanos se puede conectar a administrar el servidor, pero
permite
clientes que no cumplen con los requisitos de salud para conectarse a ver las páginas web
IPsec
alojadaejecución
por se aplica después de los ordenadores ha recibido una dirección IP válida, ya
sea
el mismo servidor web.
desde DHCP o mediante la configuración estática. IPsec es el principal método para limitar
red de comunicación de acceso a través del PAN. Donde podría ser posible para subvertir
otros métodos mediante la aplicación de direcciones estáticas o de cambiar los puertos, el
certificado de IPsec
utiliza para el cifrado sólo puede obtenerse por una multitud cuando pasa el chequeo de salud.
No hay ningún certificado IPsec medios de comunicación con otros hosts, que cifran sus com-
comunicación con un certificado emitido por la misma CA es imposible.
Para implementar la aplicación IPsec un entorno de red debe tener un servidor de Windows
2008 Salud y la Autoridad de Registro de Windows Server 2008 CA. Los clientes deben ser
Windows Vista, Windows Server 2008 o Windows XP Service Pack 3, todos los
que incluye el cliente de cumplimiento IPsec (CE).
IPsec aplicación paso a paso

MÁS INFORMACIÓN
Para obtener información más detallada sobre la aplicación de la aplicación IPsec NAP, consulte los siguientes
Paso a paso guía sobre TechNet: http://go.microsoft.com/fwlink/?LinkId=85894.
Cumplimiento NAP 802.1X

Aplicación de 802.1X hace uso de la autenticación de switches Ethernet o IEEE 802.11
Puntos de Acceso inalámbricos. Estos conmutadores y puntos de acceso compatibles con una
única subvención unlim-
red de acceso limitado a los equipos que cumplen el requisito de cumplimiento. Computadoras
que no cumplen con el requisito de cumplimiento están limitados en su comunicación
un perfil de acceso restringido. Perfiles de acceso restringido de trabajo mediante la aplicación
de filtros de paquetes IP
o VLAN (Red de Área Local Virtual) identificadores. Esto significa que los ejércitos que tienen la
perfil de acceso restringido sólo se permite la comunicación de red limitada. Esta lim-
la comunicación de la red limitado generalmente permite el acceso a los servidores de
actualizaciones. Usted
aprender más acerca de los servidores de actualizaciones más adelante en esta lección.
Una de las ventajas de la aplicación de 802.1X es que el estado de salud de los clientes está
en constante
evaluados. Clientes vinculados entre sí que se convierten en no cumplen las normas se
colocará automáticamente
bajo el perfil de acceso restringido. Clientes en el perfil de acceso restringido que
conforme se tendrá que eliminar el perfil y ser capaz de comunicarse
con otros hosts en la red en forma irrestricta. Por ejemplo, supongamos
que una nueva actualización de antivirus sale. Los clientes que no hayan instalado la
actualización se
sometido a un perfil de acceso restringido hasta que la nueva actualización se ha instalado.

Una vez que el nuevo
se instala la actualización, los clientes vuelven a acceder a la red completa.
Un equipo Windows Server 2008 con el rol de servidor de red de políticas es necesario
apoyo 802.1X cumplimiento NAP. También es necesario contar con interruptor y / o inalámbrica
acceso al hardware punto de que es compatible con 801.1x. Los equipos cliente deben ejecutar
Windows Vista, Windows Server 2008 o Windows XP Service Pack 3 ya que estos
los sistemas operativos incluyen la EAPHost CE.
Aplicación de 802.1X paso a paso

MÁS INFORMACIÓN
Para obtener información más detallada sobre la aplicación de cumplimiento NAP 802.1X, consulte los siguientes
VPN cumplimiento NAP

VPN, se usa en la conexión de los clientes de VPN como un método para asegurar que los
clientes
acceso a la red interna del sistema cumplan los requisitos de cumplimiento de la salud.
VPN aplicación funciona mediante la restricción de acceso a la red no compatible con los
clientes a través de
el uso de filtros de paquetes. En lugar de ser capaz de acceder a toda la red, las llamadas
entrantes
Como es el caso
Los clientes VPN con
que la aplicación
están de 802.1X,
no cumplen el estado
las normas sólode saludacceso
tienen de un cliente conectadodees
a los servidores
con-
grupos de remediación.
continuamente monitoreados. Si un cliente se convierte en no cumplen las normas, los filtros de
paquetes de red de restricción
acceder a un trabajo se aplicará. Si un cliente no cumplen las normas se cumplen, los filtros de
paquetes
restringir el acceso a la red serán eliminados. VPN aplicación requiere una existente
infraestructura de acceso remoto y un servidor de red política. El método de ejecución
utiliza el VPN CE, que se incluye con Windows Vista, Windows Server 2008, y
Windows XP Service Pack 3.
VPN de aplicación paso a paso
MÁS INFORMACIÓN
Para obtener información más detallada sobre la aplicación de la aplicación VPN NAP, consulte los siguientes
DHCP cumplimiento NAP

Cumplimiento DHCP NAP funciona proporcionando acceso ilimitado de direcciones IPv4
información
ción a los ordenadores compatibles y de acceso limitado a información de la dirección IPv4 no-
también
equipos flexibles. A diferencia de VPN y los métodos de aplicación de 802.1X, DHCP NAP
la aplicación sólo se aplica cuando una concesión de cliente es obtenido o renovado.
Organizaciones
utilizando este método de cumplimiento NAP deben evitar la configuración de arrendamiento a
largo DHCP
porque esto reducirá la frecuencia con la que comprueba el cumplimiento se hacen.
Para implementar la aplicación DHCP NAP, debe utilizar un equipo con Windows Server 2008
DHCP
servidor, ya que esto incluye el servicio DHCP Cumplimiento (ES). La CE DHCP
incluidos en el servicio cliente DHCP en Windows Vista, Windows Server 2008, y
Windows XP Service Pack 3.
El inconveniente de cumplimiento NAP DHCP es que usted puede conseguir alrededor de él
por estáticamente
configurar la dirección IP de un cliente. Sólo los usuarios con acceso de administrador local
puede con-
figura una dirección IP manual, pero si su organización ofrece a los usuarios acceso de
administrador local,
Cumplimiento DHCP NAP no puede ser el método más eficaz de mantener a estos com-
ordenadores de la red hasta que se cumple.
DHCP aplicación paso a paso
MÁS INFORMACIÓN
Para obtener información más detallada sobre la aplicación de cumplimiento DHCP NAP, consulte los siguientes
Consulta Rápida
1. ¿Qué método de cumplimiento NAP utiliza VLAN?
2. ¿Qué métodos de cumplimiento NAP puede moverse en la configuración de una
estática
Dirección IP?
1. El método de cumplimiento NAP 802.1X utiliza VLAN.
2. Usted puede obtener todo el método de cumplimiento DHCP NAP mediante la
configuración de un
dirección IP estática.
Terminal Services Gateway de cumplimiento NAP

Puerta de enlace de la aplicación del PAN asegura que Windows Vista y Windows Server 2008
clientes ubicados en la Internet que se conectan a una puerta de enlace TS cumplir com la
salud
los requisitos de cumplimiento antes de la puerta de enlace de TS permite conexiones a los
servidores de RDP
la red interna. Para configurar la puerta de enlace de TS para el PAN, debe realizar el
seguimiento
1. Habilitar
ING la directiva de NAP comprobar en el servidor de puerta de enlace de TS mediante
pasos básicos:
la configuración de la
TS Gateway Server a petición de los clientes enviar una declaración de salud.
2. Elimina cualquier TS-CAP. No es necesario para eliminar los TS-PAR.
3. Configuración de un validador de seguridad de Windows en el servidor de puerta de enlace

de TS
edición de las propiedades de la seguridad de Windows Validador en la Red
Política de consola del servidor en el servidor TS Gateway.
4. Crear directivas NAP en el servidor TS Gateway utilizando el Asistente para configurar NAP.
Usted tendrá que crear dos políticas de salud (uno por conforme y otro para no
equipos compatibles), una política de solicitud de conexión, y tres directivas de la red
(De acuerdo, no cumplen las normas, y no del PAN capaz).
PAN y de enlace de TS
MÁS INFORMACIÓN
Para conocer los pasos detallados para configurar NAP para TS Gateway, consulte el siguiente enlace:
http://technet2.microsoft.com/windowsserver2008/en/library/b3c07483-a9e1-4dc6-8465-
0a7900900 a551033.mspx? Referencia del fabricante = true.
Remediación de los
servidores
Servidores de reparación en general de acogida y las actualizaciones de software antivirus y
anti-spyware
archivos de definición y se utilizan para llevar a un cliente que no ha pasado un examen médico
a
fecha. Los servidores de actualizaciones son accesibles desde las redes que no cumplen las
normas restringido
los clientes se ven relegadas a cuando no pasar los controles del sistema de salud.
Remediación de los servidores
permite a estos clientes a ponerse en consonancia para que puedan tener libre
acceso a la red. Grupos de servidores de se agregan a través de la remediación
Servidor de nodo de grupo de la consola de red del servidor de políticas, como se muestra en la
figura 9.13.
Figura 9-13 Configuración de un grupo de servidores de remediación

NOTA Monitoreo en modo de sólo

Cuando PAN está configurado para operar en el control de sólo configuración, los clientes no cumplen las normas son
concedido un acceso sin restricciones a la red, pero es información detallada acerca de los problemas de cumplimiento
reportado en los archivos de registro. Monitoreo en modo de sólo es útil usar antes de un despliegue completo de la
PNA, por lo que
que se pueden identificar y corregir los equipos cliente que pueden sufrir problemas disruptivos cuando PAN está
totalmente
cumplir.
Credencial de Salud Protocolo de autorización de

MÁS INFORMACIÓN
Credencial de Salud protocolo de autorización (HCAP) se utiliza para integrar los PAN con Cisco Network
Admisión Control (NAC). Usted puede encontrar más información sobre esta tecnología de interoperabilidad por
consultar el siguiente documento: http://www.microsoft.com/presspass/events/ssc/docs/
CiscoMSNACWP.pdf.
Práctica: Configuración de NAP con DHCP Cumplimiento

Cumplimiento DHCP NAP funciona proporcionando acceso ilimitado de direcciones IPv4
información
ción a los ordenadores compatibles y de acceso limitado a información de la dirección IPv4 no-
también
equipos 1:
Ejercicio flexibles.
Configuración del servidor de directivas de redes
En este ejercicio, se instala el servidor de red en el servidor de la política y configuración de
Glasgow
PAN con la aplicación de DHCP. Para completar este ejercicio, realice los siguientes pasos:
Kim_Akers.
2. Si la consola Server Manager no se abre automáticamente, se abre haciendo clic en
el elemento del Administrador de servidores de inicio rápido.
3. Haga clic derecho en el nodo Funciones y, a continuación, haga clic en Agregar funciones.
Haga clic en Siguiente para pasar a la
Seleccione Servidor de la página Roles.
4. Haga clic en la directiva de red y el nodo de acceso a servicios y haga clic en Siguiente. En
el
Política de la red y la página Acceso a los Servicios, haga clic en Siguiente.
5. En la página de servicios de función, seleccione sólo el servidor de políticas de red y haga
clic en
Siguiente. En la página Confirmación, haga clic en Instalar. Cuando el servidor de directivas
de redes
En el menú
6. servicio de laHerramientas
función se haadministrativas,
instalado, hagahaga clicCerrar
clic en en DHCP. Haga clic
para cerrar en Continuar
el Asistente para en el
agregar funciones.
usuario
Control de cuentas de cuadro de diálogo. La consola DHCP se abrirá.
7. Seleccione y haga clic en el nodo IPv4 en Glasgow.contoso.internal y luego
haga clic en Ámbito nuevo. Se iniciará el Asistente para ámbito nuevo. Haga clic en
Siguiente.
8. En la página Nombre de ámbito, escriba el nombre del ámbito de NAP_Scope. Haga

clic en Siguiente.
9. Configure la dirección IP de inicio como 10.100.0.1 y la dirección IP final como 10.100.0.254.
Ajuste la longitud de la máscara de subred en 24. Haga clic en Siguiente tres veces.
10. En la página Configurar opciones de DHCP, seleccione No, voy a configurar estos
Más tarde, las opciones y haga clic en Siguiente. Haga clic en Finalizar.
11. En el menú Herramientas administrativas, haga clic en Servidor de red de políticas. Haga
clic en Con-
continuar para cerrar el cuadro de diálogo UAC. La directiva de red de la consola del servidor
12. En la página de inicio, se muestra en la Figura 9-14, haga clic en Configurar NAP.
se abre.
Figura 9-14 La página de introducción de la consola de NPS
13. En el método de conexión de red Seleccionar para su uso con la página del PAN, utilice el
en el menú desplegable para seleccionar Dynamic Host Configuration Protocol (DHCP) y
14. En la página Clientes RADIUS, haga clic en

Siguiente.
15. En la página de ámbitos DHCP, haga clic en Agregar. En el cuadro Especifique el nombre
de perfil que
Identifica tu casilla de DHCP alcance, tipo NAP_Scope y haga clic en Aceptar. Haga clic en
16. En los grupos de configuración de usuario y la página Grupos de máquinas, haga
Siguiente.
clic en Siguiente.
17. En el cuadro Especifique una remediación del PAN grupo de servidores y URL de la
página, haga clic en Siguiente.
18. En la página del PAN definir la política de salud, desactive la opción Activar Auto-
Rehabilitación de los
Opciones de cliente Equipos y seleccione Permitir el acceso de red a PAN-no elegibles
Los equipos cliente, como se muestra en la figura 9.15. Haga clic en Siguiente y luego haga
clic en Finalizar.
Figura 9-15 NAP Políticas de Salud
■ Un sistema de salud de validación es un conjunto de condiciones que un equipo debe
cumplir para ser
considera saludable. Un agente del Sistema de Salud es lo que el servidor de directivas
de redes
controles con para determinar si un cliente que se conecta cumpla con todas las
■ condiciones
Los cuatro métodos de cumplimiento NAP que se puede aplicar a Windows Server
del Validador
2008, Windows delVista
Sistema de Salud.
y Windows XP SP3 son clientes IPsec, DHCP, VPN, y
Aplicación de 802.1X. NAP de enlace de TS sólo se puede utilizar con Windows Vista
y Windows Server 2008.
■ Los servidores de la red política se instala como parte de la política de red y acceso
Funciones de servidor. Estos servidores son donde se configuran las políticas de salud y
SHV
que determinan el punto de referencia el cumplimiento de la salud.
en
Lección 2, "Protección de acceso a la red." Las preguntas también están disponibles en la com-
NOTA Respuestas
1. Sólo desea que los equipos saludable en la red para poder conectarse a una
Windows Server 2008 equipo usado como una función de servidor web de la intranet para la
gestión de
tareas de desarrollo, sino que desea que todos los clientes, saludables o no saludables,
para poder
acceder a las páginas Web en los mismos servidores. ¿Cuál de las siguientes de
cumplimiento NAP
métodos debe implementar sin tener que configurar el cortafuegos o el IP
las A. IPsec
restricciones de dirección en el servidor de Windows Server 2008 intranet?
B. 802.1X
C. DHCP
D. VPN
2. Su red contiene una mezcla de Windows Vista SP1 y Windows XP SP3
los clientes. Desea habilitar refuerzos del PAN para el Windows Vista SP1 cli-
los padres. Windows XP SP3 clientes no deben ser sometidos a la aplicación del PAN.
¿Cuál de las siguientes estrategias debe seguir? (Cada respuesta correcta pre-
senta una parte de la solución. Elija dos.)
A. Crear una política de red que especifica el sistema operativo como una condición.
B. Crear una red VLAN para todos los clientes de
Windows XP.
C. Configure la directiva de red para permitir que los equipos con Windows Vista para
evitar
los controles de salud.
D. Configure la directiva de red para permitir que los equipos con Windows XP para evitar
los controles de salud.
E. Crear una red VLAN para todos los clientes de Windows

Vista.
3. Su organización tiene un servidor Windows 2003 controlador de dominio y un
Windows Server 2008 controlador de dominio. Se nombran 2K3DC y 2K8DC
, respectivamente. El nivel funcional del dominio es Windows Server 2003. DNS es
instalado en un servidor Windows 2003 R2 equipo independiente DNS1.
DHCP está instalado en un servidor Windows Server 2003 R2 equipo independiente

nombrado
DHCP1. NPS se instala en un equipo Windows Server 2008 llamado NPS1.
¿Cuál de los siguientes equipos deben actualizar si quieres usar DHCP
Cumplimiento NAP?
A. 2K3DC
B. DNS1
C. DHCP1
D. NPS1
4. ¿Cuál de las siguientes funciones de servidor debe estar disponible en la red si
plan para configurar reglas de IPsec de modo que sólo los equipos sanos pueden
conectarse entre sí
otros? (Cada respuesta correcta se presenta parte de la solución. Elija dos.)
A. Autoridad de registro de
B. Windows Server 2008 Certificate Authority
C. Windows Server 2008 del servidor DHCP
D. La salud de autorización de credenciales Protocolo (HCAP) Server
E. Servidor NPS configurado como un proxy RADIUS
5. Que no sean compatibles con 802.1X cambia, ¿cuál de los siguientes componentes deben
ser implementado en su entorno de red para apoyar la aplicación del PAN 802.1X?
(Cada respuesta correcta se presenta una solución completa. Elija dos.)
A. NPS función de servidor en un equipo Windows Server 2008

B. RADIUS del servidor proxy
C. EAPHost CE en los clientes
D. HCAP función de servidor en un equipo Windows Server 2008
E. Servidor DHCP


■ Completa el escenario del caso. Este escenario crea una situación del mundo real involv-
ción de los temas de este capítulo y le pide que para crear una solución.
práctica.

■ Windows Server 2008 de acceso remoto
■ Network Access Protection es un método de mediación, ya sea el acceso a la red LAN o
a través de servidores de acceso remoto a la red central de su organización.
■ Los aspectos de la validación del PAN son de salud del estado, el cumplimiento de las
políticas de salud, el acceso
restricción, y la rehabilitación.
■ PAN admite los siguientes tipos de acceso a la red o la comunicación: IPsec,
IEEE 802.1X interruptores, conexiones VPN, y las configuraciones DHCP.
Términos clave
■ EAP-TLS
■ L2TP/IPsec
■ PPP
■ PPTP
■ RADIUS
■ SSTP
■ VPN
Case Scenario
En el escenario siguiente, se aplicará lo que has aprendido acerca de Remote
Acceso y protección de acceso a la red. Usted puede encontrar respuestas a estas preguntas
en el
Escenario: Acceso remoto a Wingtip Toys

Wingtip Toys tiene oficinas sucursales en Sydney y Melbourne, Australia. La
firewalls de las sucursales están configurados sólo para permitir el tráfico de Internet a través
de
las máquinas de la subred filtrada en los puertos TCP 25, 80 y 443. Un servidor de puerta de
enlace de TS se ha
ha instalado en la subred protegida en el lugar de Sydney. A multi-homed
Windows Server 2008 con el equipo de acceso remoto serán desplegados en la
Melbourne detección de subred de la próxima semana. Con esta información, dar respuestas a
1. ¿Qué tipo de política debe configurar para limitar el acceso a la ubicación de Sydney
a una lista de usuarios autorizados?
2. Cuando el servidor de Melbourne se ha implementado, lo VPN protocolo que se utiliza para

facilitar el acceso si no son capaces de modificar las reglas del cortafuegos existente?
3. ¿Qué tipo de cumplimiento NAP se debe utilizar en la ubicación de Melbourne?
realizar las siguientes tareas.
Configuración del acceso remoto

Hacer la práctica en esta sección.
■ Configurar
Práctica: Configurar un servidor de puertaun
de servidor
enlace de puerta de enlace de TS en un stand-
de TSWindows Server 2008 que tiene dos tarjetas de red, uno de los cuales se
Sólo
conectado a una red pública simulada.
Configurar una política de autorización de recursos y una política de autorización de

conexiones.
Configure Network Access Protection

Hacer la práctica en esta sección.
■ Práctica: Configurar Aplicación Configurar
IPsec NAP la aplicación para que IPsec
sólo los clientes de salud en la red son capaces de comunicarse entre sí.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Capítulo 10
Servicios de Certificate Server y

almacenamiento
Redes de área
Como la privacidad y seguridad de los datos se convierte en una preocupación cada vez más
importante
los que pagan los salarios de los administradores de sistemas, la implementación del
Certificado de Ser-
vicios en los entornos de red corporativa se ha vuelto más frecuente. Planificación de la
el despliegue de servidores de certificados no sólo incluye el despliegue de los servidores
sí, pero el despliegue de nuevas tecnologías de apoyo como la Web
inscripción, la inscripción automática, listas de revocación de certificados, y respuesta en línea.
En
este capítulo, usted aprenderá acerca de estas tecnologías y cómo aplicarlas para cumplir con
certificado
La segundadeparte
su organización necesita.
de este capítulo trata de los dispositivos de almacenamiento en red, que,
como Servicios de Certificate Server, forman parte integrante de la red de una gran
organización de infra-
estructura de despliegue. El crecimiento en la cantidad de datos que las organizaciones tienen
que hacer frente
, es también un desafío para los administradores de sistemas. En lugar de añadir discos duros
adicionales
a los servidores de una manera gradual a medida que se queda sin espacio de
almacenamiento, Storage Area Network
(SAN) matrices le permiten configurar una red de área de almacenamiento centralizado. Usted
puede dis-
Los
sión objetivos del examen
el almacenamiento enaeste
extra capítulo: según sea necesario. En este capítulo, usted
los servidores
■
aprenderá
Plan de servicios de infraestructura de las
cómofunciones
configurardel
arrays SAN compatible con Windows Server 2008.
servidor.
■ Plan de
almacenamiento.
■ Lección 1: Configuración de servicios de Active Directory Certificate. . . . . . . . . . . . . . 547
■ Lección 2: Planificación de la implementación de redes de área de almacenamiento. . . . . .
. . . . . . 574
545
546 Servicios de Certificate Server y Storage Area Networks
Antes de empezar
ejer-
Windows
No seServer 2008.
requiere "
configuración adicional para este capítulo.
Lección 1: Configuración de servicios de Active Directory Certificate 547
Lección 1: Configuración de servicios de Active Directory Certificate

Autoridades de certificación se están convirtiendo en parte integral de la red de una
organización infra-
estructura como controladores de dominio, DNS, DHCP y servidores. Usted debe pasar por lo
menos
todo el tiempo que la planificación del despliegue de servicios de certificados en los que su
organización
Entorno de Active Directory a medida que pasan planificar el despliegue de estos otros
servidores de infraestructura. En esta lección, usted aprenderá cómo certificado de impacto
plantillas
la emisión de certificados digitales, cómo configurar los certificados de forma automática
asignados a los usuarios, y cómo configurar las tecnologías de apoyo como en línea
Respondedores y las credenciales móviles. Aprender a usar estas tecnologías
facilitar la integración de certificados en Windows 2008 Server de su organización
el medio ambiente.
■ Instalar y administrar servicios de Active Directory Certificate.
■ Configurar la inscripción automática de certificados.
■ Configurar las credenciales móviles.
■ Configurar una respuesta en línea de Servicios de Certificate Server.
Tipos de Autoridad de Certificación

Al planear la implementación de Servicios de Certificate Server en su entorno de red,
debe decidir qué tipo de certificado de la autoridad mejor se adapte a su organización
requisitos. Hay cuatro tipos de certificados (CA):
■ Raíz de empresa
■ Empresa subordinadas
■ Raíz independiente
■ Subordinada independiente
El tipo de CA de implementar depende de la forma de certificados se utilizará en su entorno

ción y el estado del medio ambiente existente. Tienes que elegir entre una-Enter
premio o una entidad de certificación independiente durante la instalación de la función de
servicios de certificados, como
muestra en la Figura 10-1. No se puede cambiar entre cualquiera de los tipos de CA después
de que el CA ha
han desplegado.
Figura 10-1 Selección de una empresa o autónomo CA
Las CA de empresa necesitan tener acceso a Active Directory. Este tipo de CA utiliza Directiva
de grupo
para propagar la confianza de certificados listas de usuarios y equipos en todo el dominio
y publicar listas de revocación de certificados de Active Directory. Las CA de empresa asunto
certif-
icates
■
de plantillas de certificados, lo que permite las siguientes funcionalidades:
Las CA de empresa hacer cumplir los controles de credenciales de los usuarios en el
certificado de matrícula
ceso de desarrollo. Cada plantilla de certificado tiene un conjunto de permisos de
seguridad que
determinar si un usuario está autorizado a recibir certificados de ge-
■ ated partirde
Nombres delos
esa plantilla. se generan automáticamente a partir de la información
certificados
almacenada en
Active Directory. El método por el que se hace está determinado por el certificado
configuración de la plantilla.
■ La inscripción automática se puede utilizar para emitir certificados de las CA de empresa,
muy
simplificar el proceso de distribución de certificados. La inscripción automática se
configura
mediante
En esencia, lasla aplicación
CA de empresade los permisos
están de la plantilla
plenamente integradosde certificado.
en un entorno Windows Server
2008-
ción. Este tipo de CA hace que la emisión y gestión de certificados de Active
Directorio de lo más simple posible clientes.
CA independientes no requieren de Active Directory. Cuando las solicitudes de certificado se
presenten
independiente de CA, el solicitante deberá proporcionar toda la información pertinente para
identificar y
especificar manualmente el tipo de certificado es necesario. Este proceso se realiza

automáticamente con
una CA de empresa. De manera predeterminada, independiente de las solicitudes CA requieren
la aprobación del administrador.
La intervención del administrador es necesaria porque no existe un método automatizado de
verificar-
ción las credenciales de un solicitante. CA independientes no usan plantillas de certificado, lo
Puede implementar CA independiente en equipos que son miembros del dominio. Cuando
que limita
instalado por de
la capacidad un los
usuario que es miembro
administradores del grupo
personalizar losAdministradores
certificados para delas
dominio, o uno que ha
necesidades
sido
específicas de la organización.
delegada derechos similares, el Independiente de CA datos serán incorporados a la confianza
Certificado de Entidades emisoras raíz de almacén de certificados para todos los usuarios y los
equipos del dominio.
El CA también será capaz de publicar su lista de revocación de certificados de Active Directory.
Si se instala una raíz o CA subordinada depende de si hay una existen-
infraestructura existente de certificados. CA raíz son el tipo más confiable de CA en una organi-
infraestructura de clave pública zación (PKI) de la jerarquía. CA raíz se sientan en la parte
superior de la
jerarquía, como el último punto de la confianza y por lo tanto, debe ser lo más segura posible.
En
muchos entornos, una entidad emisora raíz sólo se utiliza para emitir certificados de firma de
subordinación
Nate CA. Cuando no se utiliza para este propósito, CA raíz se mantienen fuera de línea en
entorno seguro,emisora raíz está en peligro, todos los certificados en la infraestructura de una
Si una entidad
ronments como
organización de un
PKImétodo para reducir la probabilidad de que se pueda ver afectado.
deberá considerarse en peligro. Los certificados digitales son en última instancia, las
declaraciones de
confianza. Si usted no puede confiar en la autoridad última de la cual se deriva que la
confianza, se sigue
CA subordinadas son los servidores de infraestructura de red que se deben implementar para
que no se debe confiar en ninguno de los certificados de seguimiento de dicha autoridad
expedir los certificados de todos los días que necesitan los equipos, usuarios y servicios. Una
suprema.
organi-
ción puede tener muchos CA subordinadas, cada uno de los cuales se emite un certificado de
firma por
en la CA raíz. En el caso de que una CA subordinada se ve comprometida, la confianza de que
CA
pueden ser revocados por la CA raíz. Sólo los certificados emitidos por dicha CA
ser considerados indignos de confianza. Puede reemplazar el peligro CA subordinadas con-
sin tener que reemplazar la infraestructura de toda la organización de certificados. Subordinado
CA puede ser reemplazado, pero un peligro CA raíz de empresa por lo general significa que
usted tiene
volver a implementar el bosque de Active Directory desde el principio. Si una entidad emisora
raíz independiente se com-
Certificado de Introducción a Servicios
MÁS INFORMACIÓN
prometido, sino que también requiere el reemplazo de la infraestructura de una organización de
PKI.
Para una descripción más detallada de los servicios de Active Directory Certificate Server en Windows Server
2008,
consultar los siguientes enlaces Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/
en/library/ee335ea9-e1d1-4f85-b9a4-ab0a8e75a7d21033.mspx? Referencia del fabricante = true.
Certificado de Servicios de administración basada en

funciones
Dado el carácter integral de servicios de certificado de seguridad de una organización infraes-
las organizaciones de infraestructura, muchos utilizan los diferentes miembros del personal
para gestionar los diferentes aspectos de Cer-
cado Servicios. El personal suele ser separados en las personas responsables de la gestión de
la
CA sí mismo y las personas responsables de la gestión de los certificados emitidos por la
CA. Esta separación se lleva a cabo a través de la asignación de los Servicios de certificados
Las dos funciones esenciales son el Administrador de CA y el Administrador de certificados.
de roles.
Los roles son
designado por la asignación de permisos mediante la ficha Seguridad del Certificado de
Servidor
las propiedades. Se asigna la función de administrador de CA mediante la concesión de la
Gestión de CA permiso-
sión de un usuario o grupo. Asignar la función de administrador de certificados mediante la
concesión de la cuestión
Y administrar certificados de permisos a un usuario o grupo. Por defecto, el dominio
Administradores, Administradores de empresas y grupos de administradores locales pueden
asignar estas funciones.
Figura 2.10 muestra que el grupo Alfa tiene las funciones Administrador de certificados, ya
el grupo se le asigna el emitir y administrar certificados permiso.
Figura 10-2 El grupo Alfa se le asigna la función Administrador de certificados.
Estas funciones tienen las siguientes propiedades:

■ CA administrador Esta función debe ser asignada a personal que necesita para configurar
y mantener la autoridad de certificación en sí. Los usuarios asignados a esta función
puede comenzar
y detener el servidor de certificados, configurar las extensiones, asignar roles, renovar las
claves de CA,
definir los agentes clave de recuperación, y configurar las restricciones del administrador
de certificados.
■ Este
Administrador de papel se debe asignar a los funcionarios que son responsables de
certificados
la aprobación de la inscripción de certificados y solicitudes de revocación. Puede restringir
el certif-
icate gerentes de grupos específicos o plantillas específicas. Por lo tanto, se puede
configurar
un grupo con el permiso para aprobar los certificados emitidos a partir de una plantilla
y configurar otro grupo con el permiso por separado para aprobar certificados
emitido a partir de una plantilla diferente. Puede configurar estas restricciones en el Certifi-
Cate administradores pestaña, se muestra en la Figura 10-3.
Figura 10-3 El grupo de usuarios Alfa puede administrar los certificados de servidor Web.
Más de administración basada en funciones

MÁS INFORMACIÓN
Para más información sobre la administración basada en Servicios de Certificate Server, consulte los siguientes
TechNet Link:
http://technet2.microsoft.com/windowsserver2008/en/library/c651f8cf-5c84-42c0-9a61-
37e0000e69891 033.mspx? Referencia del fabricante = true.
Credencial de la configuración de
itinerancia
Las credenciales móviles permite el almacenamiento de certificados y claves privadas en activo
Directorio. Por ejemplo, un usuario certificado de cifrado de archivos se pueden almacenar en
Active Directory y proporciona al usuario cuando se conecta a diferentes equipos
dentro del dominio. El certificado EFS siempre la misma será utilizada para cifrar archivos. Este
significa que el usuario puede encriptar archivos en un dispositivo de almacenamiento USB con
formato NTFS en
un ordenador y luego descifrarlos en otra, ya que el certificado EFS se

trasladado al almacén de certificados del segundo equipo durante el proceso de inicio de
sesión.
Las credenciales móviles también permite que todos los certificados de un usuario y las claves
para ser retirados
cuando se desconecta de la computadora.
Las credenciales móviles es posible gracias a la política de certificado de cliente de Servicios,
que se encuentra
en Configuración de usuario \ Policies \ Windows \ Configuración de seguridad \ Public Key
Las políticas y los muestra en la figura 4.10.
Figura 10-4 Política de credenciales móviles
Las credenciales móviles funciona de la siguiente manera. Cuando un usuario inicia sesión en
un cliente
equipo en un dominio donde ha sido la política de credenciales móviles habilitados, la
certificados en el almacén del usuario en el equipo cliente se comparan con los certificados
almacenados por el usuario en Active Directory.
■ Si los certificados en el almacén de certificados del usuario están al día, ninguna acción
es
tomado.
■ Si los certificados más recientes para que el usuario se almacenan en Active Directory,
estos creden
tials se copian en el equipo cliente.
■ Si los certificados más recientes se encuentran en el almacén del usuario, los certificados
almacenados en el
Active Directory se actualizan.
Las credenciales móviles sincronizan y resuelve los conflictos entre los certificados y
las claves privadas de cualquier número de equipos cliente que un usuario inicia sesión en, así
como cer-
tificados y las claves privadas almacenadas en Active Directory. Las credenciales móviles se
dispara
cada vez que una clave privada o certificado en el almacén local de cambios certificado,
siempre que el
usuario bloquea o desbloquea una computadora, y cada vez que se actualiza la directiva de
grupo. Credencial
roaming es compatible con Windows Vista, Windows Server 2008, Windows XP SP2, y
Windows Server 2003 SP1.
Más información sobre las credenciales
MÁS INFORMACIÓN
móviles
Para más información sobre la configuración de las credenciales móviles, consulte el enlace de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/fabc1c44-f2a2-43e1-b52e-
9b12a1f19a331 033.mspx? Referencia del fabricante = true.
Configuración de inscripción
automática
La inscripción automática permite a los certificados que se distribuyen a los clientes sin la
intervención directa del cliente-
intervención. La inscripción automática permite la inscripción automática de temas específicos
certif-
icates. También permite la recuperación de certificados expedidos y la renovación automática
de vencimiento de certificados sin necesidad de tema o la intervención del administrador. En
mayoría de los casos, la inscripción automática se produce sin que el usuario sea consciente
de ello, aunque se puede
configurar plantillas de certificados, de tal manera que lo hacen interactuar con los sujetos.
Configurar una plantilla para la inscripción automática
Antes de que un certificado puede ser inscrito automáticamente, es necesario configurar varias
los aspectos de la plantilla de certificado. Plantillas de certificado se modifican mediante el
Certificado de
Plantillas de complemento, que tendrá que añadir a un MMC personalizado. Sólo los usuarios
con la
Permisos de las funciones del administrador de certificados son capaces de crear y modificar
Cuando se utiliza la consola de Plantillas de certificado, tenga en cuenta que no puede
las plantillas de certificado.
configurar el
la inscripción automática de permiso para una plantilla de nivel de certificado 1. Certificados de
nivel 1 han
Windows 2000 como mínimo admitido CA. Nivel 2 plantillas de certificado se
Windows Server 2003, como mínimo, apoyado CA. Nivel 2 plantillas de certificado se
También el nivel mínimo de plantilla de certificado que apoya la inscripción automática. Nivel 3
plantillas de certificados sólo son compatibles con los equipos cliente que ejecutan Windows
Server 2008 o Windows Vista. Nivel 3 plantillas de certificados permiten a los administradores
configurar avanzada suite configuración de cifrado B. Estos valores no están obligados a
permitir la inscripción automática de certificados y la mayoría de los administradores de
encontrar el nivel 2 del Código tem-
las placas son adecuadas para sus necesidades de organización.
Si crea una nueva plantilla de certificado sobre la base de uno ya existente, que debe config-
ure la plantilla copiada sustituida de la plantilla. Esto permite que los certificados que se
configurado con la configuración anterior para ser actualizado a la nueva configuración.

También tendrá que
Para configurar la CA para publicar esta nueva plantilla a través de la Autoridad de Certificación
de la consola. Para configurar la inscripción automática de certificados para una plantilla
específica, siga
estos pasos:
1. Abra el complemento Plantillas de certificado.
2. Haga clic derecho en la plantilla de certificado que desea modificar y haga clic en
Propiedades.
3. Configurar el Manejo General, Solicitud y requisitos de emisión como nece-

necesarios para los fines de la certificación. Este paso no es necesario para la inscripción
automática-
ción, pero debe revisar estos ajustes, ya que le permiten un mejor ajuste
la emisión automática de certificados.
4. En la pestaña de Seguridad de la plantilla de certificado, seleccione el grupo que va a
permitir a
Inscribir certificados automáticamente y el active la casilla Permitir al lado de la Autoen
rollo de permiso. Figura 10-5 muestra la inscripción automática configurado para autentificar
el
Los usuarios del grupo cated.
Figura 5.10 Habilitar el permiso de inscripción automática para permitir la inscripción automática
Configuración de la directiva de grupo para la inscripción

automática
Después de haber configurado los permisos de las plantillas de certificado, el siguiente paso
para desplegar-
la inscripción automática de certificados de ING en toda la organización es configurar el
por defecto la directiva de dominio para apoyar la inscripción automática. Para configurar la
directiva de grupo
la inscripción automática, realice los siguientes pasos:
1. Edite el GPO Directiva predeterminada de dominio mediante el Group Policy Management
Console
función ubicada en el Administrador de servidores.
2. En Configuración de usuario \ Policies \ Configuración de Windows \ Configuración de
seguridad \ Public
Directivas de claves, haga doble clic en Servicios de certificados de cliente - inscripción
automática. Esto
abrir el cliente de Servicios de Certificate - Auto-Inscripción de diálogo Propiedades de la
política
caja, que se muestra en la Figura 10-6.
Figura 10-6 Configuración de las políticas de inscripción automática
3. Seleccione Activado en el menú desplegable Modelo de configuración de la lista y luego

configurar
la configuración de caducidad y de actualización.
Después de habilitar la directiva de servicios de certificados de inscripción automática, los
certificados que
tienen plantillas configuradas para la inscripción automática se desplegará automáticamente.
Usted
También
■ puede
Renovar activar caducados,
certificados las siguientes opciones
actualizar políticas
certificados como parte
pendientes y quitarde la directiva
revocados de
Certifi-
inscripción automática:
Cates Esta política se refiere principalmente a la gestión de certificados. Si usted tiene
la inscripción automática está activada, usted probablemente querrá asegurarse de que
expiró
certificados se renuevan automáticamente, se eliminan los certificados revocados, y
certificados pendientes actualizada. Al activar esta opción reduce enormemente la carga

de trabajo
de los administradores de certificado.
■ Actualizar certificados que usan plantillas de certificado Cuando esta directiva está habilitada
y la plantilla que se expidió el certificado de es revisado o sustituido, el
certificado emitido será actualizado.
■ Caducidad de unaEsta política es menos necesaria al configurar expirado

notificación
certificados para renovar de forma automática, pero puede ser útil cuando las plantillas de
certificados
están configurados para que la renovación automática (en lugar de la inscripción
automática)
no se produce.
Más sobre la configuración de inscripción automática
MÁS INFORMACIÓN
Para obtener más información sobre la configuración de inscripción automática, consulte la página de
TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/a24a23a7-b723-42fc-8295-
2641e6fc5de 31033.mspx.
Consulta Rápida
1. ¿Qué tipo de CA deben de instalar como la primera CA en el medio ambiente si
desea integrar los certificados de Active Directory?
2. Que los clientes y el nivel de apoyo AC 3 plantillas?

1. CA raíz de empresa.
2. Windows Vista y Windows Server 2008 el nivel de soporte de 3 plantillas.
Configuración de la compatibilidad de inscripción

Web De inscripción en Web permite a los usuarios de Internet Explorer versión 6.x o posterior para
presentar certifi-
Cate solicita a una CA directamente a través de una aplicación web. Puede utilizar la
■
inscripción en certificados
Solicitar Web para: y revisar las solicitudes de certificados.
■ Acceder a las listas de revocación de
■
certificados.
Realizar la inscripción de tarjetas
inteligentes.
De inscripción en Web es el principal desplegados para proporcionar un mecanismo de
inscripción de organizaciones
zaciones que necesitan para emitir y renovar los certificados para los usuarios y equipos que no
están
unido a un dominio de Active Directory o que están usando no operativos de Microsoft
los sistemas. Los usuarios de otros navegadores de Internet Explorer versión 6.x y luego son
capaces de
para presentar las solicitudes de inscripción con la solicitud de inscripción Web, sino que
también deben
primero se crea una solicitud PKCS # 10 antes de enviarlo a través de la inscripción en Web
las páginas. Una vez que la solicitud se realiza correctamente, los usuarios pueden conectarse
a la Web matrícula
Para
ción deconfigurar un servidor
aplicaciones parade
y es capaz que admita laeinscripción
descargar instalar losen Web, la Web
certificados de la entidad de
solicitados.
certificación matrícula
ción de servicio papel debe ser añadido a la función de servidor. Cuando la Autoridad de
Certificación
Inscripción de servicios Web papel se instala en un equipo que está funcionando como una
entidad de certificación, no hay futuro
los pasos de configuración necesarios. Si la Autoridad de Certificación de servicios web de
inscripción es
De inscripción
instalado en unen Web tiene
equipo las siguientes
independiente de lalimitaciones:
CA, la CA debe ser especificado durante la
Web de la entidad de certificación de inscripción función de servicio el proceso de instalación.
■ De inscripción en Web no puede ser utilizado con las plantillas de la versión de certificado
3. Sólo ver-
Comisión 1 y 2 plantillas de certificados están respaldados por la inscripción en Web.
■ Certificados de equipo no se puede solicitar el uso de inscripción en Web de un equipo
con Windows
CA Server 2008.
■ Si IIS está instalado en una versión de 64 bits de Windows Server 2008 32-bit Web aplica-
caciones, como WSUS, no se puede instalar porque esto obligará a IIS para ejecutar en
Modo de 32 bits. La inscripción en web de servicio de la función intentará instalar como de
64 bits
Aplicación web y la instalación fallará. Esto no se aplica a la versión de 32 bits-
siones de Windows Server 2008.
La creación de inscripción en Web

MÁS INFORMACIÓN
Para más información sobre la configuración Web de soporte de la inscripción, consulte el enlace de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/d6e60022-fcad-4192-b038-
be51c15b8f 6a1033.mspx? Referencia del fabricante = true.
Configuración de listas de revocación de

certificados
Servicios de certificados de hacer algo más que emitir certificados. Los certificados son
muestras de confianza y en
algunos casos las muestras de confianza deben ser revocadas. Este proceso se llama
certificado
revocación. El método más común de la publicación de información sobre la cual certifica-
Cates emitido por una CA ya no son válidos es la lista de certificados revocados (CRL).
Las listas de revocación de certificados son listas de números de serie del certificado para los
certificados que se han
ya sea revocada o se pone en espera. CRL emitidos por la CA que emite el cor-
certificado de responder, en lugar de un río arriba o río abajo CA. Cuando un certificado
se va a utilizar, un cheque en contra de la entidad emisora de certificados de CRL debe

hacerse. La ubicación de la
CRL está incluido en el certificado para que el cliente sabe dónde en la red para
mirar para comprobar que el certificado que está a punto de aceptar es aún válidas.
Especificación de un punto de distribución CRL

En la ficha Extensiones de las propiedades de un servidor de certificados, que se muestra en la
Figura 7.10, permite
agregar, quitar o modificar los puntos de distribución CRL. Cuando usted realiza una modifica-
ción a la lista de puntos de distribución, debe tener en cuenta que esto sólo se aplicará a
certificados emitidos a partir de ese momento y no se aplica retroactivamente. El usuario
cuenta debe tener asignado el rol de administrador de certificados CRL para modificar dis-
punto de distribución de información de configuración. URL de CRL puede utilizar HTTP, FTP,
LDAP, o FILE
direcciones.
Figura 10-7 Configuración de un punto de distribución CRL
Configuración de CRL y CRL Delta publicación

Debido a que las CRL puede ser muy grande, puede publicar un tipo más pequeño de la CRL
llamado delta
CRL a intervalos más frecuentes. Una CRL sólo contiene datos sobre los certificados que
han sido revocados desde la publicación de la CRL completa más reciente. Esto permite a los
clientes para recuperar
el pequeño CRL y agregarlo a una copia en caché de la CRL completa para construir una lista
completa
de certificados revocados. CRL permiten los datos de revocación que se publicará más fre-
consiguiente, lo que hace que el despliegue de servicios de certificados más seguras. Un
anticuado
CRL no se puede utilizar para informar a los clientes de las revocaciones más reciente debido a
que estos revo-
ciones no será publicado hasta que la próxima vez que el CRL completo se ha publicado.
El CRL delta y los intervalos de publicación de CRL se configuran mediante la modificación de
la propie-
erties de los certificados revocados en un nodo de CA desde la consola Entidad emisora de
certificados,
como se muestra en la figura 8.10. El CRL intervalo predeterminado de la publicación es una
vez por semana y el
por defecto delta intervalo de publicación de CRL es una vez al día.
Figura 8.10 Configuración del intervalo de publicación de CRL
Más información sobre la

MÁS INFORMACIÓN
revocación
Para más información sobre la configuración de revocación de certificados, consulte el siguiente artículo de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/336d3a6a-33c6-4083-8606-
c0a4fdca9 a251033.mspx? Referencia del fabricante = true.
Configuración de una respuesta en línea de servicios de certificados

El problema con la publicación de CRL es que se producen retrasos significativos en los
períodos de
pico de actividad, por ejemplo, cuando un gran número de usuarios iniciar sesión con tarjetas
inteligentes, encriptar
archivos, o el uso de firmas digitales. Esto se debe a la CRL entero tiene que ser revisado y,
como se mencionó anteriormente en esta lección, CRL puede ser muy grande.
Comprobaciones CRL no puede
se equilibra la carga a otra entidad si la entidad emisora está experimentando un aumento de

tráfico.
Se han hecho intentos para resolver este problema mediante soluciones como dividido
CRL CRL y CRL indirecta. Todas estas soluciones antes de terminado el aumento
la complejidad de la aplicación CA sin reducir significativamente el problema de la
los picos de tráfico. Aquí es donde Online Certificate Status Protocol (OCSP) entra en escena
Una respuesta en línea sólo recibe y responde a las peticiones sobre el estado de indi-
certificados individuales. Por ejemplo, en lugar de tener que descargar toda la CRL de la CA de
ver si el certificado de firma emitidos a Rooslan es válida, el cliente consulta al
De respuesta en línea para ver si el certificado de firma Rooslan es válida y recibe una
respuesta
que sólo proporciona información sobre certificado de firma de Rooslan. Esta significativa
reduce la carga en la entidad emisora y también reduce el tráfico de red. CRL puede ser muy
grande, y la distribución de una CRL a cada uno de 100 los clientes pueden utilizar una gran
cantidad de ancho de banda. Dependen-
ción del tamaño de la CRL, proporcionando información sobre la revocación alrededor de 100
diferentes específica
certificados pueden utilizar menos ancho de banda de transmisión de la CRL actual a un único
Windows Server 2008 OCSP función incluye las siguientes características:
cliente.
■ Web Caching Proxy La respuesta en línea de caché de proxy Web es la interfaz que
los clientes se conectan con el acceso en línea a los datos de respuesta. Se implementa
como una
Extensión ISAPI hospedado por IIS.
■ Apoyo a las solicitudes nonce y noPuede
nonce configurar nonce y no nonce
solicitud de las opciones de configuración para evitar los ataques de repetición de
respuesta en línea.
Los ataques de repetición de trabajo por cualquiera de repetir o retrasar la transmisión de
la legítima
■ de datos. Un ataque de repetición puede ser utilizado para indicar que un certificado
Soporte avanzado de la criptografía Se puede configurar para usar OCSP curva elíptica
revocado sigue siendo válido.
y SHA-256 criptografía.
■ Kerberos protocolo dePeticiones
integración y las respuestas de OCSP pueden ser procesados
con la autenticación Kerberos, lo que permite la validación de servidor
certificados durante el proceso de inicio de sesión.
■ Unrespuesta
Solo punto o una matriz de solo equipo puede funcionar como una línea
Responder, o varias computadoras conectadas pueden albergar respuesta en línea, lo
que permite
para el certificado de validez de los cheques para ser equilibrada entre varios hosts.
Puede instalar el servicio Respondedor en línea en una CA, pero recomienda Microsoft
el despliegue de la línea Servicio de respuesta en un equipo independiente. Un solo equipo
con el servicio Respondedor en línea implementado puede proporcionar datos de estado de
revocación
para los certificados emitidos por una CA simples o múltiples. Como se mencionó
anteriormente, una sola CA
los datos de revocación puede ser distribuido a través de múltiples respuesta en línea.
El servicio Respondedor en línea se instala en Windows Server 2008. Usted

debe desplegar respuesta en línea a partir del despliegue de autoridades de certificación, pero
antes de la emisión de certificados de cliente. Para implementar el servicio Respondedor en
línea para
un equipo Windows Server 2008, las condiciones deben cumplirse los siguientes:
■ IIS debe estar instalado en el equipo que será el anfitrión de la respuesta en línea
de servicio.
■ Una respuesta de OCSP plantilla Firma de certificado debe ser configurado en el CA
y la inscripción automática se debe utilizar para emitir un certificado Firma de respuesta
de OCSP
el equipo que alojará el servicio Respondedor en línea. Una línea
Responder no puede proporcionar información de estado de un certificado emitido por una
CA
■ más alto en la cadena de CA que el que emitió su certificado de firma.
La dirección de respuesta en línea debe ser incluido en la información de la Autoridad
Acceso (AIA) la extensión de los certificados emitidos por la CA. Este URL será utilizado
por
los clientes para localizar la respuesta en línea a fin de que la validación de certificados
puedeRespondedor
El servicio ocurrir. en línea se gestiona a través de la Dirección de respuesta en línea
de la consola, se muestra en la Figura 10-9. Después de haber implementado el Servicio de
respuesta en línea, usted debe
Figura 9.10 De respuesta en línea de la consola

crear una configuración de revocación de cada certificado de la CA y CA en la que será

atendida por
la respuesta en línea. Configuraciones de revocación incluyen todos los ajustes necesarios
para responder
a las solicitudes de estado del cliente con respecto a los certificados expedidos con una clave
de CA específica.
Estos ajustes incluyen el certificado de CA, el certificado de firma de la respuesta en línea,
y el proveedor de revocación que proporciona los datos de revocación utilizados por la
revocación
de configuración. Al configurar una sola respuesta en línea para múltiples autoridades de
certificación, garantizar
que la respuesta en línea tiene un certificado de clave y firma de cada CA que apoyo
los puertos. En de
Configuración el ejercicio de la práctica al final de esta lección, tendrá que configurar una línea
Arrays Responder
Responder.
En el caso de que la respuesta en línea que ha implementado en su red de medio-
ambiente no es capaz de hacer frente al tráfico proyectado, se puede implementar una serie de
computadoras
funcionamiento como respuesta en línea. Como se mencionó anteriormente en esta lección,
una serie de
Respuesta en línea puede manejar el tráfico de revocación de una o más entidades de emisión.
En línea
Las matrices de respuesta también son empleadas a menudo para fines de la tolerancia a
fallos. Los nodos en línea
Las matrices de respuesta en también
línea puede serde
tiene uno implementado
los miembrosendeoficinas sucursales
la matriz o satélites
se configura como la
que han
matriz de con-
sólo la conectividad
controlador y el restode red intermitente
como miembros de enlaelmatriz.
sitio que aloja cada
Aunque la entidad emisora.
uno de respuesta en línea en
una matriz
puede ser administrado y configurado por separado, cuando surgen los conflictos, la
configuración del set-
Para crear una matriz de respuesta en línea que usted necesita para llevar a cabo los
ajustes para el controlador de la matriz prioridad sobre los valores de configuración para
siguientes pasos generales:
miembros de lalas
1. Configurar matriz.
CA de la organización que se utilizan para emitir certificados para apoyar
Respuesta en línea.
2. Agregue el servicio Respondedor en línea a todos los servidores que participarán en la

serie planificada.
3. Añadir la respuesta en línea a la matriz mediante la apertura de la respuesta en línea con-

único, la selección de la configuración de la matriz Miembros nodo, y el uso de la matriz
Agregar
Los miembros de elemento en el panel Acciones.
OCSP grupo Configuración de directiva

Windows Server 2008 incluye varias opciones de configuración de directiva de grupo que
mejoran el hombre
gestión de OCSP y CRL uso de datos. Estas políticas se encuentran en la ficha Revocación
de las propiedades de la Configuración del equipo \ Directivas \ Configuración de Windows \
Security
Settings \ Directivas de claves públicas Certificados \ Ruta de Configuración de la validación de
nodo, que se muestra
en la figura 10-10. Una de las razones de estas políticas es que las CRL tienen fechas de
vencimiento
y si pasa la fecha de vencimiento antes de la actualización estén disponibles, el certificado
validación de la cadena puede fallar, incluso con un desplegado de respuesta en línea. Los
problemas pueden
se producen cuando una respuesta en línea se ve obligado a confiar en una CRL expiró.
Mediante la selección de
Permitir respuestas CRL y OCSP Para ser válidas durante más de su vida, puede
efectivamente expedir una ampliación de laboratorios comunitarios de referencia en caso de
que no se actualizan en el momento oportuno
manera.
Figura 10-10 Grupo de opciones de política relacionadas con OCSP
Más en el apoyo OCSP

MÁS INFORMACIÓN
Para más información sobre el apoyo de OCSP de Windows Server 2008, consulte los siguientes
TechNet enlace: http://technet2.microsoft.com/windowsserver2008/en/library/99d1f392-6bcd-4ccf-
94ee-640fc100ba5f1033.mspx? Referencia del fabricante = true.
Dispositivo de red Servicio de inscripción de

El dispositivo de red permite a un servicio de inscripción de Windows Server 2008 CA para
emitir y
administrar los certificados de routers y otros dispositivos de red que no tienen cuentas
dentro de la base de datos de Active Directory. El dispositivo de red Servicio de inscripción
permite a los
dispositivos de red para obtener certificados basados en la inscripción de certificados simple

Protocolo (SCEP). El dispositivo de red ofrece servicio de inscripción de las siguientes fun-
funcionalidad a un entorno de red:
■ Genera y proporciona contraseñas de un solo de inscripción para los administradores de

red
dispositivos de trabajo
■ Presenta una petición de inscripción SCEP en nombre de los dispositivos de red de
Windows
CA Server 2008
■ Recupera los certificados emitidos por la CA y los dirige al dispositivo de red
Por defecto, el dispositivo de red Servicio de inscripción sólo puede almacenar en caché cinco
contraseñas en un
tiempo. Esto limita el número de dispositivos de red que pueden participar en la matrícula
proceso a cinco. Es posible para eliminar las contraseñas almacenadas en la caché mediante el
reinicio de
IIS, y también es posible configurar el dispositivo de red al servicio de inscripción de
caché de más de cinco contraseñas a la vez.
Más información sobre los dispositivos de red
MÁS INFORMACIÓN
inscribirse
Para obtener más información sobre el uso de dispositivos de red Servicio de inscripción para inscribirse
dispositivos, consulte la
siguiente artículo de TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/f3911350-
AB45-494d-a07e-d0b9696a651e1033.mspx? Referencia del fabricante = true.
Uso de Enterprise PKI de Vigilancia de la Salud CA

Usted puede agregar la Empresa PKI para una consola personalizada (que se muestra en la
Figura 10-11) a
vigilar la salud de todas las autoridades competentes dentro de una infraestructura de clave
pública (PKI). La Empresa
Herramienta PKI le permite ver el estado de todo el entorno de la organización de PKI. En
una organización que tiene varios niveles de CA emisoras, con una en-un-vistazo vista de
todos los servidores de certificados permite a los administradores a administrar la jerarquía de
CA y problemas
disparar errores CA con facilidad y eficacia. La herramienta Enterprise PKI proporciona datos
sobre la
validez o la accesibilidad
PKI de empresa funciona de la Autoridad
tanto en Windowsde Acceso a la Información
Server 2008 (AIA) los
y Windows Server lugares y CRL
2003
puntos de distribución.
Las CA de empresa. La herramienta Enterprise PKI proporciona la siguiente información de
estado
acerca de cada CA en la jerarquía de PKI:
■ Signo de interrogación: El estado de salud está siendo
■
evaluado.
Indicador verde: CA está libre de problemas.
Figura 10-11 Enterprise PKI indica los errores de configuración
■ Indicador amarillo: CA tiene un problema que no son

■
críticas.
Red de Indicadores: CA tiene un problema crítico.
■ Más de la Cruz Roja Icono CA: CA está
desconectado.
Los problemas más comunes de configuración es probable que la segunda ubicación de AIA,
el segundo delta CRL ubicación y la ubicación de CDP. Cuando nos enfrentamos a CA con-
problemas de configuración, debe utilizar las siguientes estrategias en un intento de resolver el
tema:
■ Si el problema es la CA-relacionados, tales como problemas para conectarse a una CRL

actual, utilice el
Autoridad de Certificación de la consola para manejar el problema mediante la conexión a
la CA
■ experimenta
Si la cuestiónelseproblema.
refiere al Servicio de respuesta en línea, utilice el Servicio de respuesta
en línea Manage-
ción de la consola para resolver el problema.
■ Si la PKI de empresa los informes de la consola que los certificados de CA están a punto
de caducar,
debe utilizar el complemento Certificados de una consola personalizada para renovar
■ Es posible habilitar el diagnóstico CryptoAPI 2.0 para obtener información detallada
estos certificados.
acerca de temas relacionados con PKI. Esto se hace permitiendo el registro de operativos
en el marco
Registros de aplicaciones y servicios \ Microsoft \ Windows \ CAPI2 registro del Visor de
sucesos,
muestra en la Figura 10-12.
Más de PKI de empresa
MÁS INFORMACIÓN
Para más información sobre Enterprise PKI, consulte el siguiente artículo en TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/bf9c7dca-26d7-4de5-890d-
47e30308690e1033.mspx.
Figura 10-12 Utilizar el registro de diagnóstico operacional para CryptoAPI 2.0
Práctica: Implementación de Servicios de certificados de Active Directory y un

De respuesta en línea
Una CA raíz de empresa constituye el núcleo de una implementación de Windows Server 2008
PKI. En
entornos más pequeños una CA raíz de empresa se mantendrá en línea y una empresa
CA subordinada se utilizará para expedir los certificados para el uso del día a día.
Ejercicio 1: Instalar y configurar AD CS una respuesta en línea
En este ejercicio, se va a implementar servicios de Active Directory Certificate. Una vez activo
Directorio de Servicios de Certificate Server se ha implementado, a continuación, será
implementar y configurar una
De respuesta en línea. Para completar este ejercicio de práctica, realice los siguientes pasos:
1. Inicie sesión en el servidor de Glasgow con la cuenta de usuario Kim_Akers. Cuando el
servidor
Se abre el Administrador de la consola, dentro de la sección Resumen de funciones, haga
clic en Agregar
Roles tema. Si la consola Server Manager no se abre automáticamente, ábralo
2. en
En el
la menú
páginaHerramientas administrativas.
Seleccionar funciones, seleccione Servicio de certificados de Active Directory y
haga clic en Siguiente dos veces.
3. En la página Seleccionar servicios de función, verificar que la Autoridad de Certificación y

certificación
Autoridad ción de inscripción en Web están seleccionados. Si se le pide para instalar
servicios adicionales de función y las características del servidor web (IIS) y Windows
Servicio de proceso de activación, haga clic en Agregar servicios de función requeridos.
4. En la página Especificar tipo de instalación, asegúrese de que la empresa se selecciona y

luego
5. En la página Especificar tipo de CA, asegúrese de que la CA raíz se selecciona como se
muestra en
Figura 10-13 y luego haga clic en Siguiente.
Figura 10-13 Selección de una raíz o CA subordinada
6. En la página Configurar la clave privada, asegúrese de que la opción Crear una nueva clave
privada se ha seleccionado
7. En la página Configurar criptografía para CA, compruebe que el RSA # Microsoft Soft-
software de almacenamiento clave CSP proveedor seleccionado, una longitud de caracteres
clave de 2048 es
seleccionados, y el algoritmo de hash SHA1 está establecido en. Haga clic en Siguiente.
8. Verifique que el nombre común para este CA está en Contoso-GLASGOW, CA
9. Aceptar el período de validez predeterminado de 5 años y luego haga clic en Siguiente

hasta llegar a
la instalación de la página Confirmar selecciones, que se muestra en la Figura 10-14. Haga
clic en Instalar.
Cuando el proceso de instalación, haga clic en Cerrar.
Figura 10-14 Confirmados los valores
10. En el menú Herramientas administrativas, abra la consola Entidad de Certificación.

Haga clic en Continuar cuando se le solicite por el cuadro de diálogo UAC. Verifique que
Contoso-
GLASGOW-CA tiene un icono de marca de verificación verde junto a él.
11. Seleccione el nodo Plantillas de certificado. Compruebe que la lista de plantillas de
certificado
coinciden con los de la figura 10-15.
Figura 10-15 Conjunto de plantillas después de la instalación

12. Cierre la consola Entidad de Certificación.

13. Abra la consola Administrador del servidor. En el nodo Funciones, seleccione Active
Directory
Servicios de Certificate Server. En la sección Servicios de función, haga clic en Agregar
14. En la página
elemento Seleccionar
de la función de losservicios
servicios.de función, seleccione de respuesta en línea y haga clic
en Siguiente. Clic
Instalar para instalar el servicio Respondedor en línea. Haga clic en Cerrar cuando la
instalación
Haga clic
15.proceso seen Inicio, haga clic en Ejecutar, y escriba MMC para abrir una consola de
complete.
administración de Microsoft.
Haga clic en Continuar para cerrar la cuenta de usuario de control de cuadro de diálogo.
Desde el Archivo
menú, haga clic en Agregar / quitar complemento. Agregue el complemento Plantillas de
certificado, como
muestra en la Figura 10-16 y luego haga clic en Aceptar.
Figura 10-16 Añadir plantilla de Certificate Server
16. Expanda el complemento Plantillas de certificado. Haga clic con el inicio de sesión de
respuesta de OCSP
plantilla de ING y luego haga clic en Propiedades.
17. Haga clic en la pestaña Seguridad y haga clic en Agregar. Haga clic en Tipos de objetos y
asegurarse de que la
Tipo de ordenadores objeto seleccionado. Haga clic en Aceptar para cerrar el cuadro de
diálogo Tipos de objetos
18.caja.
CuandoEn Escriba
el objetolos
denombres
Glasgowde
seobjeto
ha seleccionado,
a seleccionar,
establezca
escriba Glasgow
la lectura,
y haga
inscripción
clic ene
inscripción
Aceptar. automática por
misiones para permitir, como se muestra en la Figura 10-17. Haga clic en Aceptar.
19. Cierre la consola personalizada. Abra la consola Entidad de Certificación de la
El menú Herramientas administrativas.
Figura 10-17 Configurar la inscripción automática de OCSP
20. Haga clic derecho en Contoso-GLASGOW-CA y luego haga clic en Propiedades. Haga clic
en la exten-
nes ficha. Seleccione Autoridad Acceso a la Información (AIA) de la extensión Seleccione
la lista desplegable.
21. Haga clic en Agregar. Se abrirá el cuadro de diálogo Agregar ubicación. Tipo http://glasgow.
contoso.internal / ocsp y haga clic en Aceptar.
22. Seleccione Incluir en la extensión AIA de los certificados emitidos e incluir en el

Online Certificate Status Protocol (OCSP) de extensión, como se muestra en la Figura 10-18
23. Se le informará de que es necesario reiniciar certificado de Active Directory

Servicios para que los cambios surtan efecto. Haga clic en Sí para reiniciar el servicio.
24. En la consola Entidad emisora de certificados, haga clic en el nodo Plantillas de certificado
y haga clic en Nueva plantilla, certificado para emitir. Seleccione la respuesta de OCSP
La firma de la plantilla y haga clic en Aceptar.
25. Revise la lista de plantillas de certificados en el nodo de plantilla de certificado y

verificar que la respuesta de OCSP plantilla Firma de la lista.
26. Minimizar la consola Entidad de Certificación.

27. Desde el nodo Funciones de Administrador de servidores, seleccione la Gestión de Políticas
de Grupo
De la consola.
Figura 10-18 Configuración de las extensiones de CA OCSP
28. Edite el dominio predeterminada objeto de directiva de grupo. Habilitar la directiva de

inscripción automática
encuentra en Configuración de usuario \ Directivas \ Configuración de Windows \
Configuración de seguridad \
Directivas de claves públicas. Haga lo mismo con la configuración de inscripción automática
en el
29. Com-el editor de GPO y reiniciar el servidor Glasgow.
Cierre
sección Configuración del ordenador.
■ Las CA de empresa se utilizan para apoyar Active Directory. Las CA de empresa se auto-
automáticamente añadido a las tiendas de confianza certificados de usuario del dominio.
La mayoría de Certificado
Despliegues de servicios en entornos de red Windows Server 2008 utilizan
Las CA de empresa.
■ CA independientes no requieren la implementación de Active Directory y no puede
estar configurado para utilizar las plantillas de certificado.
■ Línea de respuesta a procesar solicitudes de datos de CRL más eficiente que los tra-
tradicionales métodos de publicación de CRL.
■ Las credenciales móviles garantiza que los certificados de los usuarios están al día con
frecuencia
comparación de certificados locales con certificados almacenados en Active Directory.
■ La inscripción automática permite a los certificados que se distribuye automáticamente a

los clientes elegibles
sin intervención del usuario o del administrador. La inscripción automática tiene que ser
activado
dentro de una plantilla de certificado y dentro de la directiva de grupo.
en
Lección 1, "Configuración de servicios de Active Directory Certificate." Las preguntas son
también
disponibles en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Los certificados digitales distribuidos a través de la inscripción automática se utilizan

ampliamente en una com-
empresa de ubicación la oficina central. ¿Cuál de los siguientes tipos de CA que se
implementa
a una sucursal regional para expedir los certificados en apoyo de la inscripción automática
políticas
A. CAconfiguradas en el GPO predeterminado del dominio?
raíz de empresa
B. Empresa CA subordinada
C. CA raíz independiente
D. CA subordinada independiente
2. ¿Cuál de los siguientes pasos se deben tomar antes de implementar la inscripción
automática?
(Cada respuesta correcta se presenta parte de la solución. Elija dos.)
A. Configure la directiva de grupo para apoyar la inscripción
automática.
B. Configurar los permisos de inscripción automática en las plantillas de
certificado.
C. Modificar la configuración de CRL
publicación.
D. Configurar una respuesta en línea.
E. Configurar la inscripción en Web.
3. Cuando se desea configurar el servidor ocsp.contoso.internal como respuesta en línea para
ca1.contoso.internal. Ocsp.contoso.internal servidor tiene instalado IIS. ¿Cuál de
los siguientes pasos se debe tomar como parte de este proceso? (Cada respuesta correcta
respuesta presenta parte de una solución. Elija tres.)
A. Instale un certificado Firma de respuesta de OCSP en ca1.contoso.internal.

B. Configurar una respuesta de OCSP plantilla de certificado Firma de ca1.contoso.
interna.
■ La inscripción automática permite a los certificados que se distribuye automáticamente a

los clientes elegibles
sin intervención del usuario o del administrador. La inscripción automática tiene que ser
activado
dentro de una plantilla de certificado y dentro de la directiva de grupo.
en
Lección 1, "Configuración de servicios de Active Directory Certificate." Las preguntas son
también
disponibles en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Los certificados digitales distribuidos a través de la inscripción automática se utilizan

ampliamente en una com-
empresa de ubicación la oficina central. ¿Cuál de los siguientes tipos de CA que se
implementa
a una sucursal regional para expedir los certificados en apoyo de la inscripción automática
políticas
A. CAconfiguradas en el GPO predeterminado del dominio?
raíz de empresa
B. Empresa CA subordinada
C. CA raíz independiente
D. CA subordinada independiente
2. ¿Cuál de los siguientes pasos se deben tomar antes de implementar la inscripción
automática?
(Cada respuesta correcta se presenta parte de la solución. Elija dos.)
A. Configure la directiva de grupo para apoyar la inscripción
automática.
B. Configurar los permisos de inscripción automática en las plantillas de
certificado.
C. Modificar la configuración de CRL
publicación.
D. Configurar una respuesta en línea.
E. Configurar la inscripción en Web.
3. Cuando se desea configurar el servidor ocsp.contoso.internal como respuesta en línea para
ca1.contoso.internal. Ocsp.contoso.internal servidor tiene instalado IIS. ¿Cuál de
los siguientes pasos se debe tomar como parte de este proceso? (Cada respuesta correcta
respuesta presenta parte de una solución. Elija tres.)
A. Instale un certificado Firma de respuesta de OCSP en ca1.contoso.internal.

B. Configurar una respuesta de OCSP plantilla de certificado Firma de ca1.contoso.
interna.
C. Instale un certificado Firma de respuesta de OCSP en ocsp.contoso.internal.

D. Configurar la extensión AIA con la URL ocsp.contoso.internal.
E. Configurar la extensión AIA con la URL ca1.contoso.internal.
4. La oficina de su organización Queensland rama hace un uso extensivo de la tecnología
digital
certificados. Queensland oficinas satélites tienen patrones de uso similares. La Reina-
sland sucursal tiene una CA raíz de empresa única desde la cual todos los certificados en
Queensland se emiten. Debido a los vínculos de bajo ancho de banda WAN, a veces
Toma mucho tiempo para los clientes de sucursales para validar la autenticidad
de los certificados que ya han sido emitidos. ¿Cuál de los siguientes pasos pueden
ha realizado para mejorar los tiempos de validación de certificados para los clientes en las
oficinas de satélite?
A. Implementar una empresa emisora de certificados subordinada a la
sucursal.
B. Implementar una empresa emisora de certificados subordinada en cada
oficina satélite.
C. Implementar una CA independiente subordinada a la sucursal.
D. Coloque una respuesta en línea en cada oficina satélite. Configurar una línea
Responder Array.
5. ¿Cuál de las siguientes herramientas se puede utilizar para ver la salud de varias entidades
emisoras de certificados
de su organización entorno PKI?
A. Autoridad de Certificación de la consola
B. De respuesta en línea la consola de administración
C. PKI de empresa
D. Certificados de MMC
Lección 2: Planificación de la implementación de

almacenamiento
Redes En
deesta
árealección, usted aprenderá acerca de LUN, SAN, iSCSI, MPIO, VDS, y Fibre Channel.
Tan intimidante como estas siglas se puede, al final de esta lección usted comprenderá
cómo los conceptos que representan encajan de modo que usted puede planear la
implementación de
de redes de área de almacenamiento en el entorno Windows Server 2008.

■ Plan de la asignación de LUN.
■ Planificar el despliegue de SANs iSCSI .
■ Planificar el despliegue de redes SAN de canal de fibra .
■ Plan de Multipath I / O.
■ Planear la implementación de VDS.
Números de unidad lógica

Un número de unidad lógica (LUN) es una referencia lógica a una parte de un subsistema de
almacenamiento
del sistema. Un LUN puede representar un disco, una sección de un disco, una matriz de todo
el disco, o una sección
ción de un conjunto de discos en el subsistema de almacenamiento. Cuando un LUN se asigna
a un servidor que
actúa como una unidad de disco físico que el servidor es capaz de realizar leer y escribir la
Se puede utilizar cualquier tipo de LUN que se apoya en el subsistema de almacenamiento que
ópera-
se
ciones sobre. LUN se utiliza para simplificar la gestión de recursos de almacenamiento en
despliegue.
redes SAN. Los tipos de LUN diferentes son:
■ Simple Un LUN simple utiliza bien el disco entero o una parte física de la que
unidad. El fallo de un disco en una LUN simples significa que todos los datos
almacenados en el
LUN se pierde.
■ Abarcó Un LUN distribuido es un LUN simples que se extiende por varias unidades físicas.
El fallo de cualquier disco de una en una LUN abarcó significa que todos los datos
almacenados en el
LUN se pierde.
■ A rayasLos datos se escriben a través de múltiples discos físicos. Este tipo de LUN,
también
conocido como RAID-0 ha mejorado el rendimiento de E / S, porque los datos pueden ser
leídos y
escrito en varios discos al mismo tiempo, sino como una LUN distribuidos, que todos los
datos
se perderá en el caso de que uno de los discos falla.
Lección 2: Planificación de la implementación de redes de área de 575
almacenamiento
■ Espejo Este tipo de LUN, también conocido como RAID-1, es tolerante a fallos. Copias
idénticas
del LUN se crean en dos unidades físicas. Todas las operaciones de lectura y escritura se
producen
al mismo tiempo en ambas unidades. Si un disco falla, el LUN sigue estando disponible en
■ el disco no afectado.
Con paridad Este tipo de LUN, también conocido como RAID-5, ofrece tolerancia a fallos
y mejorar el rendimiento de lectura, aunque el rendimiento de escritura se ve
obstaculizada por
la paridad de cálculo. Este tipo requiere un mínimo de tres discos y el equivalente
prestado del valor de un disco de almacenamiento se pierde en el almacenamiento de
información de paridad
a través del conjunto de discos. Este tipo de LUN que conservar los datos si un disco se
pierde, pero todos los datos
se perderán si dos discos de la matriz no al mismo tiempo. En el caso de que un
Usteddisco
puede falla,
haberse debe reemplazar
notado lo antes
que los tipos posible.
de LUN casi se corresponden directamente con el
volumen
opciones de implementación que están disponibles en Windows Server 2008. Usted puede
aprender más
sobre la configuración de los volúmenes locales de alta disponibilidad en el capítulo 11,
"Clustering
y alta
La disponibilidad.
creación de un LUN"
El Asistente para aprovisionar almacenamiento, que es accesible desde el Administrador de
almacenamiento para redes SAN,
le permite crear una LUN en un subsistema de canal de fibra o iSCSI de almacenamiento en
disco. Anterior
para intentar crear una LUN, debe verificar que los siguientes requisitos
han
■
cumplido:
El subsistema de almacenamiento compatible con servicio de disco
■
virtual (VDS).
El proveedor de hardware de VDS para el subsistema de almacenamiento ya está
■
instalado.
El espacio de almacenamiento está disponible en el
■
subsistema de almacenamiento.
Si va a asignar el LUN a un clúster, conmutación por error se ha instalado.
■ Si va a asignar el LUN a un servidor, asegúrese de que tiene conexiones con el servidor
ha configurado. Cómo configurar conexiones de servidor se explican con más detalle
en las secciones sobre iSCSI y Fibre Channel más adelante en este capítulo.
Después de un LUN ha sido asignado a un servidor o clúster, que se mostrará como un disco
en el que
servidor y usted será capaz de crear un volumen en el disco. El rendimiento y la reli-
características de capacidad de los volúmenes creados en el disco están determinados por el
tipo de LUN.
La gestión de LUNs
Puede ampliar una LUN si el espacio de almacenamiento está disponible en el subsistema en
el LUN
fue creado. Extensión de un LUN no extenderá su partición de sistema de archivos. Usted debe
utilizar
la consola Administración de discos o una herramienta similar para extender la partición de

sistema de archivos
el servidor que tiene acceso a los LUN después de la LUN se ha extendido el uso de
almacenamiento
Gerente de SANS.
Eliminación de un LUN se eliminarán todos los datos de todos los volúmenes del LUN. Esta
operación es irre-
irreversible. Un LUN sólo se puede eliminar si todas las aplicaciones que acceden a la LUN se
han
cerrado. Una alternativa a la eliminación de un LUN es para anular la asignación. Al anular la
asignación de un
LUN a tomar la LUN invisible para el servidor o clúster, pero conservan los datos almacenados
en
del LUN. El LUN se pueden reasignar en un momento posterior en el tiempo. LUN se eliminan
con
Storage Manager para redes SAN. Seleccione el LUN de destino en el nodo Administración de
Virtual Disk
LUN Service (VDS)
y, en el panel Acciones, haga clic en Eliminar LUN. Para anular la asignación de un LUN,
Virtual
realice Disk Service (VDS) proporciona un conjunto estándar de programación de aplicaciones
el mismo
inter-
acciones, excepto haga clic en Desasignar LUN en lugar de LUN en Eliminar.
caras (API) que proporciona una única interfaz a través del cual los discos se pueden gestionar.
VDS
proporciona una solución completa para la gestión de hardware de almacenamiento y discos y
permite
crear volúmenes en dichos discos. Esto significa que usted puede utilizar una única
herramienta para
administrar dispositivos en un entorno de almacenamiento mixto en lugar de las herramientas
proporcionadas por dife-
diferentes proveedores de hardware. Antes de poder administrar un LUN con el Administrador
de almacenamiento para
VDS define un software y una interfaz de hardware del proveedor. Cada uno de estos
SAN, deberá instalar su proveedor de hardware de VDS. Esto por lo general estará a cargo de
proveedores
el proveedor de hardware. Antes de comprar un dispositivo de almacenamiento que se utilizan
implementa una parte diferente de la API de VDS. El proveedor de software es un programa de
en su organiza-
que se ejecuta
SAN zación, usteden eldebe
hostverificar
y el apoyo
quede
el un controlador
proveedor en modo
de VDS núcleo.de
compatible Los proveedores de
hardware.
software
operar en los volúmenes, discos y particiones. El proveedor de hardware gestiona el
subsistema de almacenamiento real. Proveedores de hardware suelen ser de matriz de disco o
un adaptador
las tarjetas que permiten la creación de discos lógicos para cada tipo de LUN. El tipo de LUN
que
se puede configurar dependerá de las opciones posibles para el hardware de VDS pro-
Vider. Por ejemplo, algunos proveedores de hardware de VDS le permitirá al RAID-5 (a rayas
con paridad) Tipo de LUN a implementar, mientras que otros pueden limitarse a Provid-
ción del espejo o distribuido tipos de LUN.
MÁS INFORMACIÓN
VDS
Para más información sobre la funcionalidad de VDS, consulte el siguiente artículo de TechNet:
http://technet2.microsoft.com/windowsserver/en/library/dc77e7c7-ae44-4483-878b-
6bc3819e64dc1033.mspx? Referencia del fabricante = true.
almacenamiento
Consulta Rápida
1. El subsistema de almacenamiento se compone de cinco unidades de 1 terabyte.
¿Qué tipo de LUN
le permitirá crear un volumen de aproximadamente 5 terabytes?
2. Usted acaba de extenderse una LUN con el Administrador de almacenamiento para
redes SAN. Que
herramienta se debe utilizar para ampliar la partición de sistema de archivos en este
Respuestas
LUN? Quick Check
1. Abarcó tipo de LUN.
2. La consola Administración de discos o un instrumento equivalente. No se puede
utilizar Stor-
Gerente de edad para redes SAN para aumentar el tamaño del sistema de archivos,
sólo el tamaño de
del LUN.
Storage Manager para redes SAN
Puede utilizar el Administrador de almacenamiento para redes SAN de la consola para crear los
LUN de Fibre Channel y
matrices de almacenamiento iSCSI. Que instalar el Administrador de almacenamiento para
redes SAN como en Windows Server 2008-FEA
■ Para
tura. Los subsistemas
utilizar el Administrador
de almacenamiento
de almacenamiento
que se va a para
administrar
redes SAN
debepara
ser compatible
administrar LUN,
con VDS.
los■ criterios deben cumplirse los siguientes:
El proveedor de hardware de VDS para cada subsistema debe estar ya instalado en el
Equipo Windows Server 2008.
Al abrir el Administrador de almacenamiento para redes SAN en el menú Herramientas

administrativas,
se presentan con tres nodos principales, que tienen las siguientes funciones:
■ LUN gestión Este nodo muestra todos los LUN creados con el Administrador de
almacenamiento
Para redes SAN. Desde este nodo se pueden crear nuevos LUN, ampliar el tamaño de las
actuales
LUN, asignar y anular la asignación de LUN, y borrar LUN. También puede utilizar este
nodo
■
para configurar el canal de fibra y conexiones iSCSI que utiliza para acceder a los
Este nodo muestra todos los subsistemas de almacenamiento en la actualidad
Subsistemas
servidores
descubierto
LUN.
dentro del entorno SAN. Puede cambiar el nombre de los subsistemas con este nodo.
■ UnidadesEste nodo muestra todas las unidades en los subsistemas de almacenamiento en
descubierto
la SAN. Puede identificar las unidades que están trabajando con la unidad por lo que
parpadear la luz de este nodo.
La gestión de LUNs de canal de fibra
En un entorno de canal de fibra, los LUN creados en un almacenamiento de canal de disco
Fibre sub-
sistema se asignan directamente a un servidor o clúster. Servidores de acceso al LUN a través
de un
o más de Fibre Channel Host Bus Adapter (HBA) los puertos. Mediante el Administrador de
almacenamiento para
SAN se puede identificar el servidor que va a tener acceso al LUN y especifique que HBA
los puertos se utilizan para el tráfico de LUN. Usted puede agregar puertos manualmente
mediante la especificación de sus
World Wide Name. También puede ver información detallada sobre Fibre Channel
HBA para servidores de la SAN usando el Explorador de almacenamiento de la consola. El
Explorador de almacenamiento
se explica con más detalle más adelante en esta lección.
La gestión de LUNs iSCSI
iSCSI es un protocolo de SAN que utiliza la red de las tecnologías tradicionales, en lugar de la
cableado especial utilizada por Fibre Channel para enviar comandos SCSI de iniciadores
instalado en los servidores a dispositivos de almacenamiento basados en SCSI se encuentra
en la red. A diferencia de
Fibre Channel, iSCSI LUN no se asignan directamente a un servidor o clúster, pero son
asignados a las entidades lógicas llamadas destinos. Estos objetivos administrar las
conexiones
entre el hardware iSCSI y los servidores que acceder a él. Un objetivo incluye la IP
dirección, o portal, del dispositivo iSCSI, así como la seguridad del dispositivo la configuración,
por lo general
lo que las credenciales del servidor tiene que ofrecer para autenticarse con el dispositivo. La
detalles de las credenciales varían de un proveedor a otro.
Para conectarse a un objetivo, un servidor utiliza un iniciador iSCSI. Un iniciador iSCSI es una
lógica
entidad que permite la comunicación con el objetivo desde el servidor. El Windows
Server 2008 iniciador iSCSI se encuentra en el Panel de Control. El iniciador iSCSI inicia sesión
en
el objetivo y, cuando se concedió el acceso, permite al servidor a leer y escribir a todos los
LUNs
asignados a ese objetivo. Cada iniciador iSCSI puede comunicarse a través de uno o más
adaptadores de red. Windows Server 2008 iniciador iSCSI se muestra en la figura 10-19.
La figura 10-19 Los Objetivos de la ficha del iniciador iSCSI

almacenamiento
Más en el Administrador de almacenamiento para

MÁS INFORMACIÓN
redes SAN
Para obtener más información acerca del Administrador de almacenamiento para redes SAN en Windows Server
2008, consulte los siguientes
TechNet artículo: http://technet2.microsoft.com/windowsserver2008/en/library/6ebeae3b-da04-4cb4-
96e0-ff5cf95580d11033.mspx? Referencia del fabricante = true.
Multipath I / O
Multipath I / O (MPIO) es una característica de Windows Server 2008 que permite a un servidor
para que utilice
varias rutas de datos a un dispositivo de almacenamiento. Esto aumenta la disponibilidad de
almacenamiento
recursos, ya que proporciona rutas alternativas a partir de un servidor o clúster a un
almacenamiento
subsistema en caso de fallo de ruta. MPIO utiliza componentes redundantes ruta física
(Adaptadores, interruptores, cableado) para crear caminos separados entre el servidor o clúster
y
el dispositivo de almacenamiento. Si uno de los dispositivos en estos caminos se separan no,
una ruta alternativa para
el dispositivo de SAN se utilizará, lo que garantiza que el servidor está siendo capaz de acceder
a datos críticos.
Si el servidor
Configurar tendráde
tiempos acceso a un LUN
conmutación pora error
travésa de varios
través delpuertos de canal
controlador de fibra
Microsoft o múltiples
iSCSI Software
adaptadores
Initiator o de iniciador iSCSI, debe instalar en los servidores de MPIO. Usted debe verificar
que el
modificación de la HBA Fibre Channel valores de los parámetros del controlador, en función de
servidor
la SAN es compatible con MPIO antes de habilitar múltiples adaptadores de iniciador iSCSI o
múltiples
tecnología utilizada en su entorno.
Puertos Fibre Channel para el acceso a LUN. Si no lo hace, la pérdida de datos es probable
que ocurra.
En el caso de que usted no está seguro si un servidor es compatible con MPIO, sólo permiten
Windows
una únicaServer 2008 MPIO soporta iSCSI, Fibre Channel, y adjunta serialmente
De
iSCSIalmacenamiento (SAS) SAN
iniciador o adaptador conectividad
de puerto de canalmediante el establecimiento
de fibra en el servidor. de múltiples
conexiones o sesiones
el dispositivo de almacenamiento. El Windows Server 2008 incluye una aplicación de MPIO
Módulo específico de dispositivo (DSM) que funciona con los dispositivos de almacenamiento
que soportan el
asimétrica de acceso de unidad lógica (ALUA) controlador de modelo, así como dispositivos de
almacenamiento
que utilizan el modelo de controlador activo / activo. MPIO también es compatible con los
■
siguientes Cuando
Conmutación por esta política se lleva a cabo sin el balanceo de carga se lleva a cabo. La
balanceo
error de carga
aplicación de las políticas:
especifica una ruta principal y un grupo de rutas en espera. El principal
ruta se utiliza para todas las solicitudes del dispositivo. Los caminos de espera sólo se
utilizan en el caso
que el camino principal falla. Rutas en espera se indican de la ruta de mayor preferencia
para
al camino preferido.
■ Cuando
Conmutación por esta política se ha configurado, I / O se limita a una ruta preferente,
recuperación
mientras que
ese camino está en funcionamiento. Si la ruta preferida no, I / O se dirige a un suplente
trayectoria. I / O cambiará automáticamente de nuevo a la ruta preferida cuando ese

camino
vuelve a la funcionalidad completa.
■ Round-robin Todas las rutas disponibles se utilizan para la E / S de una manera equilibrada.
Si
no,una
I / Oruta
se redistribuye entre los caminos restantes.
■ Round-robin con un subconjunto de caminos Cuando esta política se ha configurado un conjunto
de pre- ferred se especifica para E / S y un conjunto de rutas en espera se especifica
caminos
para
conmutación por error. El conjunto de los caminos preferidos, se utilizará hasta que todos
los caminos no, momento en el que
conmutación por error se produce al conjunto de camino de espera. Los caminos
■ preferidos son utilizados en una
I / de
Dinámica por lo menos profundidad O se dirige a la ruta con el menor número de
round-robin.
cola
solicitudes pendientes.
■ Camino ponderado Cada ruta tiene asignado un peso. La ruta con el menor peso
elegido para E / S.
Balanceo de carga de las políticas dependen del modelo de controlador (ALUA o verdadero
activo /
Activa) de la matriz de almacenamiento conectado a la computadora de Windows Server 2008.
MPIO es
añadido a un equipo Windows Server 2008 mediante la opción para agregar características en
el
Características
Más del
MÁS INFORMACIÓN área de Server Manager.
de MPIO
Para obtener más información acerca de E / S multirruta, consulte el artículo de TechCenter
siguientes:
http://www.microsoft.com/WindowsServer2003/technologies/storage/mpio/default.mspx.
El Explorador de
almacenamiento
El Explorador de almacenamiento, que se muestra en la Figura 10.20 y están disponibles en las
herramientas administrativas
menú, se utiliza para gestionar Fibre Channel y iSCSI telas en la SAN. A tejido es un
topología de la red donde los dispositivos de almacenamiento están interconectados a través
de uno o más
datos de caminos. En un tejido de canal de fibra, esta red contará con fibra de múltiples Chan-
nel interruptores que se utilizan para conectar los servidores y dispositivos de almacenamiento
entre sí
a través virtuales punto-a-punto. En los tejidos iSCSI la red
incluyen múltiples de almacenamiento de Internet servicio de nombres (iSNS) los servidores
que permiten la dis-
descubrimiento y la partición de los recursos.
almacenamiento
Figura 10-20 El Explorador de

almacenamiento
La consola de almacenamiento Explorer puede mostrar información detallada acerca de los
servidores que se
conectado a la SAN, así como datos sobre los componentes de tela como de bus de host adap-
res, conmutadores Fibre Channel, iSCSI iniciadores y objetivos iSCSI. El Explorador de
almacenamiento puede
se utiliza para configurar la seguridad iSCSI, configure portales de destino iSCSI, agregar
servidores iSNS,
y gestionar los dominios de detección y conjuntos de Dominio de descubrimiento. Para ver y
administrar un
tejido iSCSI, debe habilitar la excepción de WMI en el Firewall de Windows en cada servidor
Windows Server 2008 que es una parte de la tela. Muchos de los relacionados con iSCSI
las tareas de administración que puede realizar utilizando el Explorador de almacenamiento
también se pueden per-
formado con el iniciador iSCSI de Microsoft (que se encuentra en el Panel de Control) o de la
Más en el Explorador de
MÁS INFORMACIÓN
Microsoft iSNS Server.
almacenamiento
Para más información sobre el Explorador de almacenamiento, consulte el siguiente artículo de
TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/aed88bb0-d9e0-4c5e-8e90-
c398547f379e1033.mspx? Referencia del fabricante = true.
■ Un número de unidad lógica (LUN) es una referencia lógica a una parte de un subsistema
de almacenamiento
del sistema. Un LUN puede representar un disco, una sección de un disco, una matriz de
todo el disco, o una
sección de una matriz de discos en el subsistema de almacenamiento.
■ Multipath I / O (MPIO) es compatible con varias rutas de datos en dispositivos de

almacenamiento. MPIO
debe estar instalado en un servidor si un LUN se puede acceder a través de fibra de
múltiples
■ HBAservidores
Los de canal de puertos
y los o varios
clusters iniciadores
conectarse a las iSCSI.
matrices de canal de fibra utilizando el
adaptador de bus host
(HBA) los puertos. Los servidores y los clusters utilizar los iniciadores iSCSI para conectar
a los objetivos iSCSI,
■ que gestionar los
Administrador arrays iSCSI.
de almacenamiento para redes SAN se utiliza para crear y administrar LUN
en iSCSI y
Dispositivos de canal de fibra. El Explorador de almacenamiento se utiliza para gestionar
iSCSI y Fibre Channel
Canal telas.
en
Lección 2, "Planificación de la implementación de redes de área de almacenamiento." Las
preguntas son
también está disponible en el CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. ¿Cuál de las siguientes características de Windows Server 2008 deben instalar antes de
para permitir el acceso a un LUN a través de varios puertos de canal de fibra?
A. Compresión diferencial remota

B. UDDI
C. MPIO
D. RPC sobre HTTP Proxy
2. Suponiendo que el dispositivo de almacenamiento iSCSI soporta todos los tipos de LUN,
que LUN
tipo que usted elija si desea maximizar el rendimiento de E / S, pero conservan
tolerancia a fallos?
A. Abarcó
B. A rayas
C. Simple
D. Con paridad
almacenamiento
3. ¿Cuál de las siguientes políticas de MPIO si usted elige para asegurarse de que un servidor
que se configura con cuatro rutas entre el servidor y el array SAN dirige
el tráfico por igual a todos los caminos durante el funcionamiento normal?
A. Conmutación por
recuperación
B. Round-robin
C. Camino ponderado
D. Dinámica Menor profundidad de cola
4. ¿Cuál de las siguientes herramientas de Windows Server 2008 se puede utilizar para crear
LUN en una matriz de almacenamiento Fibre Channel?
A. Storage Manager para redes SAN

B. El Explorador de
almacenamiento
C. Administrador de
dispositivos
D. Administración de discos


real involv-
práctica.

■ Las autoridades de la empresa de certificados se utilizan para emitir certificados digitales
en Active
Directorio de usuario y de equipo.
■ El proceso de inscripción automática y credenciales móviles puede reducir la adminis-
la carga administrativa de la implementación de certificados en Windows Server 2008
entornos.
■ Respuesta en línea y en línea Arrays Responder reducir el impacto del ancho de banda
de los controles de CRL. Una sola respuesta en línea o matriz de respuesta en línea
puede pro-
vide CRL información de una o más autoridades de certificación.
■ Un LUN es una referencia lógica a una parte de un subsistema de almacenamiento, que
van
a partir de una partición de un disco a un array de almacenamiento.
■ MPIO se utiliza para proporcionar tolerancia a fallos de los servidores de las rutas
a las matrices SAN.
Términos clave
■ La inscripción
■
automática
California
■ CRL
■ LUN
Case Scenario
En los escenarios siguientes, se aplicará lo que has aprendido acerca de Certificado
Servicios y redes de área de almacenamiento. Usted puede encontrar respuestas a estas
preguntas en el
Escenario: Implementación de Servicios de Certificate Server y una matriz de

SAN en
Coho Viñedos
Viñedos yy Bodega
BodegasCoho ha instalado recientemente una red de Windows Server 2008
en todas sus oficinas en toda la región vinícola Yarra Valley de Australia. Ellos han
se acercó a usted para obtener ayuda con varios problemas de configuración de red que
Esperamos que usted sea capaz de resolver. La primera cuestión es que la administración
considera que la red
trabajo de comunicación a través de la WAN y LAN Coho deberían estar mejor protegidos.
Que quieren implementar IPsec y el uso de autenticación basada en certificados para la pro-
proceso. Los enlaces WAN entre la oficina central y las oficinas satélites ya están
ahogada por el tráfico. Se le ha pedido para desarrollar un método por el cual el
impacto de los controles de CRL en ancho de banda WAN se reduce al mínimo. Por último, en
el original
fase de despliegue, varias matrices iSCSI que soporta todos los tipos de LUN se pur-
perseguido. Estos arreglos son para uso como dispositivos SAN de la Viña y Coho
Bodega de Windows Server 2008 los servidores de archivos. Este equipo ya ha llegado y el
hombre
gestión gustaría su ayuda para implementarlo. Con estos hechos en mente, la respuesta
1. ¿Qué medidas se pueden tomar para asegurar que los certificados de IPsec se
implementan en todos los
equipos que son miembros del dominio?
2. ¿Qué medidas deben tomarse para garantizar el control de la revocación se producen con
un min-
mo de uso de ancho de banda?
3. ¿Qué tipo de LUN que se configura para la matriz de SAN para asegurar la mejor
combinación
de rendimiento y tolerancia a fallos?
com-
Plan de Servicios de Infraestructura Funciones del

servidorHacer la práctica en esta sección.
■ Práctica: Configuración de inscripción Web Configurar la inscripción en Web en el servidor de
Glasgow.
Use un equipo cliente para solicitar un certificado de servidor Web mediante la matrícula
ción de la interfaz. Aprobar la solicitud mediante la consola de Autoridad de Certificación
y luego descargar el certificado del servidor Web de las páginas web de inscripción.
Configurar el
almacenamiento
Hacer la práctica en esta sección si tiene acceso al hardware de matriz adecuado SAN.
■ Configurar
Práctica: Crear un LUN un LUN del tipo de RAID-5 en SAN hardware
que usted tiene acceso a (iSCSI o Fibre Channel).
Asignar este LUN a un equipo con Windows Server 2008.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Capítulo 11
Clustering y alta disponibilidad

El entorno empresarial actual exige 24 / 7, siempre en el acceso a aplicaciones críticas
ciones. Bases de datos, aplicaciones Web, correo electrónico y sistemas de comunicación e
Internet
acceso son sólo algunas de las aplicaciones críticas que deben estar siempre disponibles.
Negocios
los requisitos de dictar cuales aplicaciones se consideran críticas y cuánto
el tiempo de inactividad es aceptable para estas aplicaciones.
Al mirar la disponibilidad de una aplicación, debe considerar las áreas fuera de la
servidor que podría fallar y hacer que el tiempo de inactividad para los usuarios finales de la
aplicación. Estos
áreas incluyen las conexiones de red, seguridad de datos, y los factores ambientales, tales
como
seguridad del edificio. Cuando una aplicación se ha considerado crítica para el negocio, el
papel de
un administrador del servidor es asegurar que la aplicación se mantiene en línea con las
herramientas
disponible. Windows Server 2008 se basa en el marco de alta disponibilidad de
Windows Server
Este capítulo 2003 yen
se centra proporciona herramientas
las herramientas para asegurar
que proporcionan la disponibilidad
soluciones del servidor y
de alta disponibilidad
el
con
aplicaciones
Windows Servercríticas deWindows
2008. negocio que se ejecutan
Server en él.dos métodos principales para
2008 admite
agrupamiento: Network Load Balancing (NLB) y clustering de servidores. Un tercer método,
DNS Round Robin, puede proporcionar una disponibilidad adicional mediante el uso de DNS
registros. Puede combinar estos tres métodos para crear una alta disponibilidad y altamente
soluciones escalables. Dentro de este capítulo, usted aprenderá acerca de las diferentes
tecnologías
para proporcionar una alta disponibilidad en entornos de Windows Server 2008. Esto incluye
la elección de una metodología (DNS Round Robin o NLB) y la aplicación de NLB. Usted
También aprenderá acerca de Failover Clustering, incluyendo la forma de validar un clúster y
cómo
para configurar Failover Clustering y parámetros relacionados, tales como modelos de quórum.
■ Plan de alta disponibilidad.

■ Lección 1: Comprensión de DNS Round Robin y equilibrio de carga. . . . . . . . 589
■ Lección 2: Trabajar con herramientas de Windows Cluster Server 2008. . . . . . . . . . . . 607
587
588 Clustering y alta disponibilidad
Antes de empezar
■ Windows Server 2008 instalado y configurado su equipo de prueba como un dominio
También es necesario instalar la función de servidor DNS como se describe en el capítulo
2, "Config-
urante la conectividad de red. "
■ Si desea llevar a cabo los ejercicios de práctica en este capítulo y los servidores de grupo
es necesario crear al menos un servidor miembro adicional. Esto puede ser virtual
máquina si los recursos de su equipo son suficientes para apoyarlo. El servidor
debe estar en su red interna. Para las sesiones de práctica para trabajar como está
escrito,
el nombre del servidor de Perth y darle la dirección IPv4 192.168.1.50 y la máscara
máscara 255.255.255.0.
IMPORTANTE Redes privadas IPv4

Este capítulo ha sido escrito para una red privada 192.168.1.0/24. Esto permite la conexión a
la mayoría de los módems de cable o puntos de acceso inalámbrico (WAP). Sin embargo, los ejercicios de práctica
no
requieren acceso a Internet y, si lo prefiere, puede utilizar la red 10.0.0.0/24 que se creó en
Capítulo 1 y se utiliza en el capítulo 2. En este caso, la dirección IPv4 de Perth es 10.0.0.50. El único
diferencias será en las cifras que muestran la dirección de red.
Lección 1: Comprensión de DNS Round Robin y equilibrio de carga 589
Lección 1: Comprensión de DNS Round Robin y de carga

Equilibrio
En esta lección se analiza DNS Round Robin y NLB como técnicas para la aplicación de uso
compartido
de carga entre varios servidores y ofrecer disponibilidad. Usted aprenderá la diferencia
entre DNS Round Robin y NLB y cuando cada uno es apropiado en un determinado
el medio ambiente.

■ Entender DNS Round Robin.
■ Comprender el equilibrio de carga.
■ Implementar DNS Round Robin.
■ Configurar el equilibrio de carga de red.
Mundo Real
Steve Suehring
Independientemente de la estrategia de disponibilidad que usted elija, un fracaso en otros

lugares dentro de la
la red entre el usuario final y el resultado será servidores-en la aplicación
no estén disponibles. Por esta razón, es importante tener en cuenta todos los lugares
donde una falla podría ocurrir entre los usuarios finales y los servidores. Estos incluyen
todo, desde los switches y routers para poder facilidad, seguridad y medio ambiente-
factores ambientales tales como incendios e inundaciones. Ninguna cantidad de equilibrio
de carga o la agrupación
Será de ayuda si los servidores implicados en el mismo rack en el mismo edificio que
acaba de perder el poder y no tiene ningún generador.
La reducción de los puntos de fallo es clave para la disponibilidad, pero esto tiene un
costo.
Proporcionar routers redundantes y switches es relativamente barato, pero los costos
rápido aumento en los requisitos incluyen proporcionar redundancia sitios calientes, o
ubicaciones físicas de los almacenes de datos redundantes.
El uso de enlaces dedicados de la WAN es común para proporcionar suficiente ancho de
banda entre
el sitio principal y el sitio caliente para que los datos pueden ser replicados en tiempo real.
Prueba de la
copia de seguridad y redundancia de las estrategias a través del uso de la prevista (y
Unsched
programada) ejercicios de desastre ayuda a los equipos crear confianza y encontrar
nunca antes vistas
las áreas que necesitan redundancia.
La creación paso a paso los planes de recuperación ante desastres es también clave para
la identificación de posibles
áreas fracaso. En última instancia, la organización debe decidir cuánto invertir en pro-
viding la redundancia y la reducción de los puntos únicos de fallo en la red.
Estrategias Plan de Disponibilidad

DNS Round Robin y NLB dos técnicas para asegurar la disponibilidad de las aplicaciones.
Estos no han cambiado desde Windows Server 2003 y por lo tanto le resultará familiar
para cualquier administrador que los utilizados en la versión anterior de Windows. Cuando
las solicitudes se encuentran dispersas en varios servidores, la carga en cada servidor es
reducido. Al igual que Windows Server 2003, Windows Server 2008 es compatible con DNS
Ronda
Robin y NLB como las estrategias de disponibilidad.
Ambos DNS Round Robin y NLB se utilizan para aplicaciones que tienen sus propios datos
almacén. Cada servidor también se conoce como un host dentro de este tipo de grupo utiliza su
propio conjunto
de los datos. Contraste esto con conmutación por error, en el que un almacén de datos
compartido puede ser
utilizados. Aplicaciones tales como Internet Information Services (IIS) y los servidores proxy son
candidatos para ambas Robin DNS Ronda y NLB, porque con frecuencia de servicio de un
solicitudes de tiempo en lugar de las solicitudes que deben ser manejados por el mismo
servidor a través de-
a cabo la sesión.
Contraste DNS Round Robin y NLB con Failover Clustering, otra disponibilidad
la tecnología de Windows Server 2008. Anteriormente conocido como clustering de servidores,
conmutación por error
Agrupación crea un grupo de equipos que tienen acceso al mismo almacén de datos o
recursos de disco o recurso compartido de red. Las aplicaciones que se ejecutan en un clúster
de conmutación por error debe ser
clústeres. Failover Clustering ha tenido algunos cambios desde Windows Server 2003.
Lección 2 cubrirá estos cambios.
DNS Round Robin
DNS Round Robin funciona proporcionando diferentes respuestas IP de un servidor DNS para
las solicitudes de mismo nombre de host. Por ejemplo, supongamos que el registro DNS para
www.contoso.internal se asocia con dos servidores que se encuentran en 192.168.1.1 y
192.168.2.1. Cuando un cliente solicita un recurso de www.contoso.internal, el
cliente en primer lugar realizar una búsqueda DNS para obtener la dirección IP asociada con
www.contoso.com. El primer cliente para solicitar la dirección IP del servidor DNS que
contoso.com aloja contará con la dirección IP 192.168.1.1. El próximo cliente
a petición de la dirección IP desde el mismo servidor DNS en su lugar se transmitió la
propiedad intelectual
la dirección 192.168.2.1. A través de este método para proporcionar resultados alternos a la

consulta para la dirección www.contoso.com 's IP, la carga del cliente se extiende en varios
hosts.
El número de direcciones IP que se pueden asociar con un nombre de host en particular es
ilimitado. Por ejemplo, se podría asociar 20 direcciones IP diferentes con una serie
nombre. Cuando se habilita DNS Round Robin en el servidor DNS, el servidor DNS funciona
a través de la lista, devolviendo una dirección diferente a cada cliente la consulta hasta que
todos los
20 direcciones se han previsto y el proceso comienza de nuevo.
La Figura 11-1 muestra la nslookup utilidad que se utiliza para consultar el servidor de nombres
en el mercado local
equipo para el registro www.contoso.internal. Tenga en cuenta que en la consulta inicial, el
primero
dirección en la lista es 192.168.1.1, mientras que en la segunda consulta 192.168.2.1 aparece
en primer lugar.
Figura 11-1 Un DNS Ronda Robin de configuración con dos registros de servidor que regresa
Un adicional de DNS Round Robin tecnología, conocida como la solicitud de máscara de red,
tenga en
cuenta la dirección IP de la consulta del cliente. Al pedir la máscara de red está activado, el
Servidor DNS intentará devolver una dirección IP host que está en la misma subred que el
consulta de los clientes. Por ejemplo, si DNS Round Robin se configuró como se ha oído
antes (con las direcciones IP 192.168.1.1 y 192.168.2.1 para el www.contoso.com dos
anfitrión de registros), y la máscara de pedido fue habilitada, a un cliente en la subred
192.168.1.x / 24
siempre se devolverá el 192.168.1.1 al consultar www.contoso.com
ya que el servidor DNS que reconocer que ambos equipos se encuentran en la misma subred.
Si un
host en 192.168.100.1 hizo una consulta, recibirá un resultado de la Ronda Robin, porque
el anfitrión de consulta no está en la misma subred que cualquiera de los anfitriones
www.contoso.com. A
habilitar DNS Round Robin y la máscara de red orden, abra la consola del Administrador de
DNS
en el menú Herramientas administrativas, editar las propiedades del servidor DNS y haga clic
en el
Ficha Opciones avanzadas. Asegúrese de que Habilitar el Round Robin y la máscara de red
Habilitar Orden se
seleccionado, como se muestra en la Figura 11-2.
Figura 11-2 Habilitación de DNS Round Robin y la máscara de red orden
Mediante el Administrador de DNS para crear un DNS Round Robin de configuración

La consola del Administrador de DNS es la principal herramienta para la gestión del día a día
en el DNS
Windows Server 2008. El Administrador de DNS es un complemento MMC y también se puede
encontrar
haciendo clic en DNS en el menú Herramientas administrativas. El Administrador de DNS se
muestra en la
Figura 3.11.
Figura 11-3 El Administrador de DNS en Windows Server 2008

La figura 11-3 muestra las zonas de búsqueda directa en este equipo, con el contoso
. Internas dominio seleccionado. Los registros dentro de la zona se muestran y se incluyen en
la actualidad
sólo el inicio por defecto de autoridad (SOA) y nombre del servidor (NS) para el dominio.
Creación de un Robin DNS Ronda implica la creación de dos o más registros, por lo general un
registros, con el mismo nombre de host. Para ello, haga clic en la zona o la selección de Nueva
Host (A o AAAA) en el menú Acción. Dentro de la caja de diálogo Host nuevo, entrar en el
el nombre de host www junto con una de las direcciones IP de este Round Robin,
192.168.1.1, como se ilustra en la figura 4.11.
Figura 11-4 Adición de un registro de host nuevo como parte de una configuración de Ronda
Robin
El anfitrión de la próxima se añade en la misma forma, aunque con una dirección IP diferente.
Este
continúa hasta que todas las máquinas que servirán en la Ronda Robin grupo se agregan. La
final
El resultado se muestra a través de Administrador de DNS en la figura 5.11.
Figura 11-5 Un DNS Round Robin con dos anfitriones como se ve a través de Administrador de
DNS
Configuración de red de Windows Load Balancing

Aunque DNS Round Robin es una manera simple de distribución de las solicitudes, Windows
Server
2008 NLB es una forma mucho más sólida de proporcionar una alta disponibilidad a las
aplicaciones.
El uso de NLB, un administrador puede configurar varios servidores para operar como una sola
racimo y controlar el uso del cluster en tiempo casi real.
NLB funciona de forma diferente DNS Round Robin en el que NLB utiliza una red virtual
adaptador en cada host. Este adaptador de red virtual obtiene una dirección IP única y con-los
medios de comunicación de acceso
control (MAC), que se reparte entre las demás máquinas participantes en el balanceo de carga
cluster. Los clientes que solicitan servicios de un clúster de NLB sus solicitudes enviadas a la IP
la dirección del adaptador virtual, momento en el que puede ser manejado por cualquiera de los
servidores
el clúster.
NLB reconfigura automáticamente como nodos se agregan y quitan de la agrupación. Un
administrador puede añadir o eliminar nodos a través de la interfaz del Administrador de NLB o
el
de línea de comandos. Por ejemplo, un administrador puede eliminar todos los nodos a su vez
a la per-
forma de mantenimiento en los nodos de forma individual y no causan interrupciones en el
servicio a la
Servidores
del usuario en clústeres de NLB están en constante comunicación con los demás, de-
final.
minería, que los servidores están disponibles con un proceso conocido como latidos del
corazón y la convergencia
de inteligencia. El latido del corazón consiste en un servidor que participan en un clúster de
NLB que envía
un mensaje cada segundo a su participación NLB homólogos. Cuando los cinco (por defecto)
latidos consecutivos se pierden, la convergencia empieza. La convergencia es el proceso por el
que el resto de hosts determinar el estado del clúster.
Durante la convergencia, el resto de hosts para escuchar los latidos del corazón de los demás
servidores para
determinar el host con la prioridad más alta, que luego es seleccionado como el equipo por
defecto para
el clúster de NLB. En general, los dos escenarios puede desencadenar la convergencia. La
primera es la perdida
escenario latidos del corazón se mencionó anteriormente, la segunda es la eliminación o
adición de un servidor a la
grupo por un administrador. El latido del corazón se reduce a la mitad en la convergencia.
Una de las razones menos comunes para la convergencia es un cambio en la configuración del
Añadir Hosts
host, como un a un clúster NLB
prioridad
NLB está de host.
configurado en el equilibrio de carga de red Administrador de MMC se muestra en la
Figura 6.11. La carga de red del Administrador de equilibrio se instala mediante el uso de
agregar características
dentro de Server Manager.
Figura 11-6 La carga de red Administrador de equilibrio
Usted puede agregar hosts a un clúster NLB a través del Administrador de Equilibrio de carga.
Es importante asegurarse de que la información de clúster se actualiza cada vez que el NLB
Manager se usa para administrar un clúster. Esto se debe a la información sobre un
determinado
cluster se almacena en caché desde la última vez que el Administrador de NLB conectados con
el grupo
y que la información puede ser obsoleta. Cuando un host se añade a la agrupación, la
anfitrión se conecta dentro de la agrupación sólo después de que la nueva información de
configuración se ha
tenidoañadir
Para la oportunidad de propagarse
una máquina, siga estos por otros hosts del clúster.
pasos:
1. Haga clic con el clúster en el que desea agregar el nuevo host y seleccione Agregar
Host al clúster.
2. Introduzca el nombre del host que desea agregar y haga clic en Conectar.
3. Seleccione el adaptador de red que desea utilizar para este sistema y configurar el
resto de los parámetros de host según sea necesario o aceptar los valores predeterminados.
Más información sobre la adición de

MÁS INFORMACIÓN
los ejércitos
Para más información sobre cómo agregar hosts para los clústeres de NLB, consulte el documento de
TechNet
http://technet2.microsoft.com/windowsserver2008/en/library/46d9994c-0af3-43b0-a8ca-
7f1be65fd5331033.mspx? Referencia del fabricante = true.
Administración de clústeres de
NLB
La gestión de clústeres de NLB incluye acciones tales como la modificación de las reglas de
puerto y los parámetros
en las que el grupo opera. Al administrar los clústeres de NLB, incluyendo la adición de
anfitriones-que debe ser miembro del grupo Administradores o tener concedido el
autoridad competente en el clúster.
Se conecta a un clúster NLB mediante la conexión a un host o una lista de host.
Para conectarse a través de un único host, dentro de los grupos de Administrador de NLB NLB
botón derecho del ratón
y seleccione Conectar a existente. Introduzca el nombre del host de clúster que desea con-
conectar y haga clic en Connect. Los nombres de clúster disponibles aparecerá. Haga clic en el
nombre de
el grupo para administrar y haga clic en Finalizar.
Algunas condiciones, como la creación de dos equipos con la misma prioridad, pueden impedir
la
de ser capaz de conectar con el Administrador de NLB. En tales casos, puede intentar con-
conectar una lista de host. Una lista de host es un archivo de texto plano que contiene una lista
de hosts del clúster, cada
en su propia línea. Por ejemplo, una lista de anfitriones de tres hosts llamado MONTREAL,
GLASGOW,
PERTH, y se vería así:
Para utilizar una lista de host desde el Administrador de NLB, seleccione Lista de carga del
host del archivo
menú, localice el archivo de texto, y seleccione Abrir.
Para eliminar los ejércitos de clusters NLB a través del Administrador de NLB, simplemente
haga clic en el
anfitrión que desea eliminar y seleccione Eliminar host. Puede eliminar todo el clúster de
clic derecho en el grupo y la selección de racimo en Eliminar. Tenga en cuenta que todas las
conexiones
el grupo será rechazado inmediatamente.
Más información sobre la gestión de clústeres
MÁS INFORMACIÓN
de NLB
Ver http://technet2.microsoft.com/windowsserver2008/en/library/5a49da8e-c157-4024-9305-
5207f910cf481033.mspx? Referencia del fabricante = true Para obtener más información sobre el manejo de NLB en
Definición de los parámetros NLB

Clusters NLB operar con varios parámetros que controlan su funcionamiento. En esta sección,
verá cómo configurar los parámetros de clúster, la forma de configurar el modo de
funcionamiento del clúster, y
cómo configurar reglas de puerto.
Los parámetros de clúster incluye la dirección IP del clúster, la máscara de subred, el nombre
de Internet, y
Modo de funcionamiento. Configurar todas estas propiedades en el Administrador de NLB
haciendo clic derecho en el grupo y seleccionando Propiedades de clúster. Esto abre las
propiedades
cuadro de diálogo que se muestra en la figura 7.11.
Figura 7.11 Utilice el cuadro de diálogo Propiedades de clúster para establecer los parámetros del
cluster
Los parámetros de clúster, incluyendo la dirección IP, máscara de subred, el nombre de
Internet, y ope-
ating modo, se configuran en la ficha Parámetros de clúster. Usted sólo tendrá que cambiar
estos parámetros en un host. Los cambios se propagan a otros hosts dentro de
el clúster de NLB.
NLB
Modo de operación tiene dos modos de funcionamiento: unicast y multicast. Todos
del cluster
los servidores de un clúster debe operar en un modo u otro, el operativo dos
modos no se pueden mezclar dentro de un clúster de NLB. Estos modos de operación
funcionan como
siguiente manera:
■ La dirección MAC creado para el adaptador de red virtual se comparte
Unicast modo
entre los participantes dentro de la agrupación. En un solo homed servidores (servidores
con
una tarjeta de red), la dirección virutal MAC del clúster lógicamente sustituye a la
dirección MAC física de la tarjeta de red. El servidor todavía conservan su estado original
IP, pero también se resuelve en la dirección MAC del adaptador de red virtual.
En efecto, esto significa que sólo los equipos dentro de la misma subred que un servidor
dado
será capaz de comunicarse con el servidor, pero en otros servidores dentro de la
agrupación
no lo hará. Para resolver esto, puedes usar el modo unicast con dos tarjetas de red
instalado en un host. La primera tarjeta de red participa en el grupo, mientras que el
otro se utiliza para la gestión y la comunicación entre servidores.
■ En NLB modo de multidifusión, el servidor conserva su original MAC

Multicast modo
dirección con su dirección IP original, además de la MAC e IP virtuales creados para
el clúster. Comunicación con el servidor original puede llevarse a cabo de forma normal,
multicast y se utiliza para la comunicación del clúster. Sin embargo, los dispositivos de
red,
como la infraestructura de conmutación, debe ser compatible con MAC de multidifusión de
direccionamiento para multicast
el modo de ser una opción para NLB.
■ En IGMP Multicast modo, el Grupo de Gestión de Internet-
IGMP Multicast modo
ción se utiliza el protocolo. IGMP multicast de la red y mejora el rendimiento
permite a los clientes de multidifusión que se registra en un servidor de multidifusión
IGMP. Cuando esta
sucede, el tráfico multicast sólo se remitió a los puertos del switch o troncos que
conectarse a otros clientes de multidifusión, lo que mejora el rendimiento del tráfico de
red.
IGMP Multicast se asegura de que un parámetro no está inundado de tráfico.
Consulta Rápida
■ El nombre de un principal diferencia entre los modos de funcionamiento de
NLB.
■ A diferencia principal entre los dos modos, unicast y multicast, es que
todos los dispositivos de red que soporte multicast direcciones MAC para utilizar
multicast
modo. Otras diferencias incluyen el servidor conservando su IP original y MAC
dirección con el modo de multidifusión, y los servidores que no pueden comunicarse
directamente entre sí en el modo de unidifusión.
NLB Reglas Las reglas de puerto también se establecen desde el cuadro de diálogo
de puerto
Propiedades de clúster,
específicamente en la ficha Reglas de puerto se muestra en la Figura 11-8. Las reglas de
puerto se utilizan para controlar
Figura 8.11 Las reglas de puerto ficha del cuadro de diálogo Propiedades de racimo
cómo el tráfico en un puerto determinado se maneja para el clúster. Por ejemplo, un clúster de
NLB para
Servicios de Terminal Server puede utilizar una regla de puerto para el puerto 3389 solamente,
en lugar de toda la
rango de puertos del 0 al 65535, que es el valor predeterminado. Las reglas de puerto deben
coincidir para que cada
anfitrión en el clúster de NLB. Normalmente, el Administrador de NLB se hará cargo de esta
tarea.
Al
Sincrear un clúster
embargo, si unde
nodoNLB regla unirse
intenta de puerto,
a undebe
grupoconfigurar
y tiene unelconjunto
filtrado apropiados
diferente de reglas, el
modo.
nodo Configuración del modo le permite especificar si sólo un único nodo, algunos
nodos,
no seráocapaz
todosdelosunirse.
nodos en el clúster de responder a las solicitudes de un solo cliente durante
el
sesión. Esto es importante para algunas aplicaciones, tales como los sitios Web de comercio
electrónico, que
requieren todo el tráfico de la sesión que sólo se produzca entre un host y el cliente. La
tres modos de filtrado se utilizan:
■ Solo host Cuando se configura el host modo de filtrado, todo el tráfico enviado a
la dirección IP del clúster que coincide con una regla de puerto es manejado por un solo
nodo dentro de
el clúster.
■ Este
Desactivar rango de rango
puertosde puerto se utiliza para indicar el grupo de no responder a
el tráfico en estos puertos. El tráfico enviado por los clientes en estos puertos para el
clúster
automáticamente descartado.
■ Filtrado Host múltiple permite que todos los nodos del clúster
Host múltiple de filtrado
manejar el tráfico enviado a la agrupación. Filtrado de host múltiple tiene en cuenta la
afinidad
ajustes. Puede configurar tres configuraciones de afinidad:
❑ Ninguno Todas las solicitudes se distribuyen por igual en todo el clúster, incluso si
un cliente
ha establecido la sesión.
❑ Red Esto es similar a pedido máscara de red y dirige a los clientes a la más cercana
los nodos de la base de la subred.
❑ Solo Cuando un cliente realiza una solicitud, todas las solicitudes posteriores de la
sesión
será dirigido a un mismo nodo en el clúster. Esto permite que las sesiones que
requieren datos de estado, como las aplicaciones Web SSL o Terminal Server
sesiones de
nes. Este es el modo por defecto de filtrado en las reglas de puerto.
Configurar los parámetros de NLB
MÁS INFORMACIÓN
Más información sobre la configuración de los parámetros de NLB se puede encontrar en

windowsserver2008/en/library/a49ce864-eeaa-4d5b-b56a-71286177207e1033.mspx? Referencia del fabricante =
true.
Comparando DNS Round Robin y equilibrio de carga de red

DNS Round Robin tiene las siguientes desventajas en comparación con los de carga de red
Equilibrio.
■ No hay control sobre la distribución de la carga Porque no se puede controlar la forma en un cli-
diferentes utilizará una búsqueda de DNS, que no hay manera de equilibrar eficazmente la
carga
entre los servidores que utilizan DNS Round Robin. Un cliente puede realizar un DNS
búsqueda y luego no utilizar la aplicación, o el cliente sólo puede utilizar la aplica-
ción por un corto tiempo. El próximo cliente puede usar una aplicación durante un período
prolongado
período. Esto puede resultar en una carga desequilibrada, con más los clientes que
utilizan un servidor
■ El tiempo de
y menos otro. posible, porque de DNS Time-to-Live (TTL) Los equipos cliente y el clima
inactividad
con
servidores indirectos diferentes de DNS en caché los registros DNS con el tiempo-to-Live
(TTL) configurados por el administrador del dominio para el registro DNS dado.
Esto significa que hasta que el TTL ha expirado, el cliente puede continuar enviando
peticiones a un servidor que ya no está disponible en la dirección IP.
■ DNS Round Robin no es tolerante a fallos DNS Round Robin no significa automáticamente
compensar la pérdida de un anfitrión de la Ronda Robin. Si un host falla, los clientes
seguirán siendo
dirigido a ese host hasta registrar el anfitrión se retira de DNS.
■ DNS Round Robin no es fácil deElsesión
jefe del equipo DNS pueden vencer, mientras que un cliente
se activa mediante una aplicación. Cuando esto ocurre, el cliente consulta para el
la dirección del servidor. Con el Round Robin, que no hay manera de controlar qué
dirección
el cliente recibirá, lo que significa que la siguiente petición del cliente podría ser enviado a
una dife-
servidores diferentes que no tiene información de la sesión para ese cliente. Esto por lo
general
no representa un problema para la mayoría de aplicaciones, ya que la mayoría de los
usuarios a realizar
sus transacciones dentro del período de DNS TTL. DNS Round Robin es apro-
apropiadas para las aplicaciones sin estado que no requieren de una sesión que se
establezcan.
Sitios Web estáticos son buenos candidatos, junto con los sitios FTP que sirven archivos
Usando dos DNS Round Robin y equilibrio de carga de red
individuales
a travésRobin
DNS Round de una sola no
y NLB sesión.
son mutuamente excluyentes, se puede utilizar DNS Ronda
Robin y NLB para crear un nivel adicional de redundancia. Por ejemplo,
puede configurar dos servidores en dos sitios diferentes para equilibrio de carga con NLB y
luego otros dos servidores en los mismos sitios en otra configuración de equilibrio de carga.
A continuación, utiliza DNS Round Robin para rotar entre las peticiones de carga de red dos
Configuraciones equilibradas. De esta manera, si un servidor falla, la aplicación aún se con-
continuar para atender peticiones, e incluso si un sitio se desconecta, la aplicación seguirá
funcionando
por el balanceo de carga entre los sitios. Esto es útil para grandes implementaciones
donde varios grupos de NLB se puede utilizar y DNS Round Robin se pueden combinar para
hacer un gran conjunto de clusters redundantes.
Repartir la carga sobre los clústeres de NLB múltiples ubicados en los centros de datos
múltiples en var-
pagarés ubicación geográfica es una forma de reducir los puntos de fallo para la aplica-
ción que se sirve de la agrupación. De esta manera, incluso un desastre natural a gran escala
que afectan a una región geográfica completa, no afectaría a la disponibilidad de las
aplicaciones
ción. Sin embargo, los usuarios de la aplicación situado en la región afectada puede tener
dificultad para usar la aplicación, si las necesidades básicas tales como la energía y viable una
Conexión a Internet no están disponibles.
Práctica: Configuración de red equilibrio de carga

En este ejercicio, que se instalará el Administrador de equilibrio de carga de red y poner a
prueba su con-
figuración. Es necesario llevar a cabo los ejercicios iniciado sesión en un servidor miembro (por
ejemplo, Perth) con la cuenta Kim_Akers. Si no se puede agregar un servidor miembro a
la red, el tratamiento de esta sesión de práctica como opcional.
IMPORTANTE No utilice el controlador de dominio

No intente llevar a cabo este ejercicio en el controlador de dominio (Glasgow). Si usted no tiene
un servidor miembro adicional no intente el ejercicio.
Ejercicio 1: Instalar el Administrador de equilibrio de carga de red

En este ejercicio, que se instalará el Administrador de equilibrio de carga de red. Esta
aplicación
ción se utiliza para administrar los clústeres de NLB en el servidor local y en otros servidores
también.
1. Abra Administrador de servidores (a menos que se abrió ya en el inicio), haga clic en
Admin-
Herramientas administrativas del menú Inicio y seleccionar Administrador de servidores.
2. Dentro del Administrador del servidor, desplácese hacia abajo para encontrar la sección
Resumen de características,
muestra en la figura 9.11, y seleccione Agregar características.
3. El Asistente para agregar características se abrirá. Seleccione Equilibrio de carga de red de
la lista
de las funciones disponibles y haga clic en Siguiente, como se muestra en la figura 11-10.
4. Haga clic en Instalar para iniciar el proceso de
instalación.
Figura 9.11 Server Manager
Figura 11-10 Utilizando el Asistente para agregar funciones para añadir equilibrio de carga de
red
5. Cuando finalice la instalación, el cuadro de diálogo Resultados de la instalación. Clic

Cerca de completar el asistente y cerrar el cuadro de diálogo.
6. Cierre el Administrador de servidores si aún está

abierto.
Ejercicio 2: Crear una configuración de equilibrio de carga de red
Este ejercicio le guiará a través de los pasos necesarios para crear una carga de red
Clúster de equilibrio. Como antes, usted necesita estar conectado a un servidor miembro con el
Kim_Akers cuenta.
1. Abra el Administrador de equilibrio de carga de red, haga clic en Inicio, seleccione

Herramientas administrativas y Administrador de Equilibrio de carga de red haciendo clic.
2. Dentro del Administrador de Equilibrio de carga, haga clic en Cluster y seleccione Nuevo.
Esto abrirá el nuevo clúster: Conecte el cuadro de diálogo.
3. En el nuevo clúster: Conecte el cuadro de diálogo, introduzca el nombre de host del

servidor
de que se está ejecutando el grupo. También puede introducir la dirección IP
en su lugar. En este ejemplo, el nombre de host Perth se introduce en el cuadro de texto
Host.
Haga clic en Conectar para iniciar la conexión y rellenar las interfaces, como se muestra en
Figura 11-11. Haga clic en Siguiente.
Figura 11-11 El nuevo clúster: Conecte el cuadro de diálogo
4. El nuevo clúster: Host cuadro de diálogo Parámetros se abre a continuación, como se

muestra en
Figura 11-12. No es necesario cambiar nada en este cuadro de diálogo. Haga clic en
Siguiente.
Figura 11-12 El nuevo clúster: Host cuadro de diálogo Parámetros
5. El nuevo clúster: Direcciones IP del clúster se abre el cuadro de diálogo. Este es el cuadro
de diálogo
donde se elige la dirección IP virtual para el clúster. Haga clic en Agregar para abrir
Añade una caja de la Dirección IP de diálogo se muestra en la Figura 11-13.
Figura 11-13 La Dirección IP cuadro de diálogo
6. Dentro de la Añade una caja de diálogo IP Dirección, escriba 192.168.1.50 (U otra dirección
IP
que está en uso en su red privada, por ejemplo, 10.0.0.50 si usted está usando la
10.0.0.0/24 red) con una máscara de 255.255.255.0. Haga clic en Aceptar para agregar la IP
dirección y haga clic en Siguiente.
7. El nuevo clúster: Cluster cuadro de diálogo Parámetros abre. Haga clic en

Siguiente.
8. El nuevo clúster: Puerto cuadro de diálogo Reglas se abre. Haga clic en
Finalizar.
A pesar de que contiene un solo host, el clúster de NLB de nueva creación se muestra en la
De carga de red Administrador de equilibrio de la interfaz. Que ahora también será capaz de
hacer ping a la virtual
Dirección IP 192.168.1.50 (o 10.0.0.50 si usted está usando la red 10.0.0.0/24).
■ Windows Server 2008 proporciona las herramientas para una alta disponibilidad y
redundancia
incluyendo conmutación por error y equilibrio de carga de red. Además, DNS
Round Robin es otro método que puede utilizar en combinación con otros
estrategias de disponibilidad.
■ DNS Round Robin no requiere ningún software especial, sino que se basa simplemente
en la configuración de los registros de DNS para proporcionar un nivel de disponibilidad.
■ DNS Round Robin es menos configurable y menos controlables que NLB, pero puede
combinarse con NLB para proporcionar una disponibilidad adicional.
■ NLB se crea un adaptador de red virtual entre uno o más servidores. Entonces los clientes
enviar sus solicitudes a que el adaptador de red virtual.
Las siguientes preguntas se prueba su conocimiento de la información en la lección 1, "Ronda
Robin y equilibrio de carga de red. "Las preguntas también están disponibles en la compañía
CD, si lo prefiere a revisión en formato electrónico.
NOTA Respuestas
1. Suponiendo que el servidor Windows Server 2008 es la autoridad para un dominio,

que la consola o la herramienta que utiliza para crear la configuración DNS de la Ronda
Robin?
A. De carga de red Administrador de equilibrio
B. El Administrador de
DNS
C. nslookup
D. Server Manager
2. ¿Cuál de las siguientes desventajas de DNS Round Robin? (Elija todas las que
se aplican.)
A. DNS Round Robin no se puede utilizar para hacer frente a las aplicaciones de
Internet.
B. El administrador de DNS no tiene ningún control sobre el el time-to-Live (TTL) para
registros.
C. DNS Round Robin no funciona bien con las aplicaciones de estado.

D. El administrador no tiene control sobre la estrategia de equilibrio de carga con
Round Robin.
3. NLB se crea un adaptador de red virtual y las acciones que de entre los siguientes
los participantes de racimo?
A. Una dirección MAC y una dirección de IP

B. Una dirección IP
C. Una dirección MAC
D. Una tabla de
enrutamiento
4. De manera predeterminada, los miembros dentro de un grupo equilibrado de carga de red
va a escuchar para saber cómo
muchos perdieron los latidos del corazón antes de activar la convergencia?
A. 60
B. 30
C. 5
D. 32
5. Usted está en el proceso de configuración de un clúster NLB de 8 nodos que se utilizará
para
alojar un sitio Web importante. ¿Quieres ser capaz de conectarse a cada nodo de la
cluster por separado utilizando un ordenador situado en una subred remota utilizando RDP,
para que
puede realizar tareas administrativas. Un servicio administrativo está utilizando Robocopy
para replicar los datos del sitio Web de un servidor a otro servidor del clúster. Cada
servidor tiene una tarjeta de red. ¿Cuál de los siguientes hay que hacer? (Seleccione
dos. Cada respuesta es una parte de la solución.)
A. Configurar reglas de puerto de NLB.
B. Configurar el clúster para utilizar multicast.
C. Configurar el clúster para que utilice unicast.
D. Configurar el clúster para que utilice IPv6.
E. Configurar el clúster para que utilice DNS Round Robin.
Lección 2: Windows Server 2008 Cluster Tools 607
Lección 2: Windows Server 2008 Cluster Tools

Considerando que el DNS Round Robin y NLB son apropiados para aplicaciones con sus
propios
almacenes de datos, conmutación por error en Windows Server 2008 es la estrategia de
disponibilidad de
elección para las aplicaciones con datos compartidos que pueden transmitirse a través de
múltiples sistemas.
Failover Clustering se gestiona a través de la interfaz de administración de clústeres de
conmutación por error en
Failover
WindowsClustering, anteriormente
Server 2008. A través deconocido como clustering
este complemento de MMCde se
servidores, está disponible
pueden crear, validar y en
Windows
gestionar
Server
Clusters2008 Enterprisepor
conmutación y Datacenter y no está
error en Windows disponible
Server 2008. en Windows
Server 2008 ediciones Standard o Web.

■ Entender Failover Clustering.
■ Configurar Failover Clustering.
Selección de estrategias de redundancia

Una característica principal de un clúster de servidores en Windows Server 2008 es que utiliza
de almacenamiento compartido de datos de aplicación. De esta manera, los clústeres de
servidores están más avanzados que
sus homólogos de NLB. Los clústeres de servidores diferentes de NLB en que con un clúster de
servidores,
los datos se comparten entre los participantes del grupo, mientras que los clústeres de NLB
deben tener cada uno una
Una
copiaconfiguración
de los datos.típica para un grupo que utiliza una tecnología de disco compartidos, tales
como RAID
(Matriz redundante de discos económicos) o SAN (Storage Area Network) para compartir de
nuevo-
final almacenes de datos. Debido a esta restricción, los grupos suelen ser físicamente cerca
el uno al otro debido a los altos costos de la replicación de datos instantánea a través de área
extensa
De red (WAN). Sin embargo, Windows Server 2008 ya no requiere de racimo
miembros que se encuentra en la misma subred, sino que pueden estar ubicados en diferentes
subredes, lo que simplifica la creación de clústeres dispersos geográficamente.
Una mirada más cercana en
RAID
RAID es un método de probada eficacia para proporcionar protección de datos y permite a
varios
ejemplo los discos físicos que se combinan en uno de los discos más lógico. RAID tiene
varias
niveles, que representan la configuración resultante. Cada nivel tiene su propio conjunto
de
requisitos.
■ RAID 0Este nivel combina dos o más discos en una unidad mayor. Que pro-
proporciona ninguna protección o redundancia de datos. La pérdida de uno de los
discos de un RAID 0
resultará en la pérdida de todos los datos.
■ RAID 1RAID 1 es comúnmente conocido como un espejo. RAID 1 utiliza dos o más
discos y mantiene copias exactas de los datos de cada uno en cada disco. A
diferencia de
RAID 0, el tamaño de un conjunto RAID 1 será igual a la de su miembro más
■ pequeño.
RAID 5RAID 5 utiliza una técnica de creación de bandas para difundir la información
de paridad
en los discos dentro de la configuración. RAID 5 utiliza al menos tres discos
y proporciona una mayor cantidad de tolerancia a fallos de RAID 1, ya que una
de los discos pueden fallar y el conjunto todavía puede permanecer en línea. Por
otra parte,
muchos controladores RAID permiten el uso de discos de repuesto en caliente, lo
que significa que cuatro
o más discos se pueden utilizar. Si uno falla, uno de los repuestos en marcha puede
■ hacerse
RAID cargo
6RAID de
6 proporciona dos conjuntos de información de paridad en lugar de uno
sin tiempo de inactividad.
(como
con RAID 5). Esto es importante, ya que aún puede seguir funcionando
incluso en el caso de dos discos simultáneos.
■ RAID 10RAID 10 combina el reflejo de RAID 1, con la creación de bandas de
RAID 0 para crear una más grande, amplia tolerancia a fallos que sería posible por
de lo contrario sólo utilizando distintas matrices RAID 1.
ExamenAlConsejo
considerar las opciones de RAID para redundancia, recuerde que RAID 1 puede funcionar
en dos discos, mientras que RAID 5 necesita al menos tres. RAID 1 se utiliza con frecuencia como un volumen del
sistema, pro-
viding redundancia de base para el sistema operativo, mientras que RAID 5 o 6 se utiliza para volúmenes de datos.
Varios conceptos se debe entender cuando se considera Clusters conmutación por error,
incluyendo
el modelo de conmutación por error a utilizar, el tipo de aplicación para su implementación, y la
agrupación de los
estrategia.
El tipo de aplicación que se desplegará
Hay dos tipos de aplicaciones se pueden ejecutar dentro de un grupo: una sola instancia y
múltiples
instancia. En esta sección se analiza cada uno.
■ Una
Aplicación de instancia aplicación de instancia única se puede ejecutar en un servidor en
única
a la vez. Un ejemplo de esto es un servidor de autenticación. Si un servidor de
autenticación
servicio se está ejecutando en varios servidores al mismo tiempo, el cliente puede recibir
múltiples respuestas a una solicitud de autenticación, y algunas de esas respuestas
podría entrar en conflicto, con el envío de una respuesta correcta autenticación y otro
servidor de envío de una respuesta de un intento de autenticación ha fallado. Cuando se
ejecuta en un
cluster, aplicaciones de instancia única debe operar en un servidor en funcionamiento
en modo de espera de los demás miembros de la agrupación.
■ Múltiples instancias de Ejemplo de múltiples aplicaciones pueden compartir
aplicaciones
los datos o la partición de los datos de tal forma que un nodo en el clúster puede
proporcionar
una respuesta para una parte específica de los datos. Servidores de base de datos
avanzada y algunos
servidores de correo electrónico puede funcionar de esta manera.
Aplicaciones que se ejecutan en clústeres de
Aunque una aplicación seleccionada se ejecute en un clúster de conmutación por error de
Windows Server 2008,
que la aplicación no puede ser optimizado para el agrupamiento o el apoyo de un clúster
aplicación por el proveedor de software o Microsoft. En el entorno de producción,
necesidad de elegir las aplicaciones con cuidado. Una aplicación sin soporte puede parecer
satisfacer una necesidad inmediata, sino hacer que una gran cantidad de problemas y gastos
en el
en el futuro. Es necesario trabajar con el proveedor de software para determinar los requisitos,
la funcionalidad y las limitaciones de una aplicación.
Los siguientes criterios deben cumplirse para que una aplicación puede beneficiarse de
y adaptarse a los que se ejecutan en un clúster:
■ La aplicación del clúster debe utilizar un protocolo basado en IP.

■ Las aplicaciones que requieren acceso a bases de datos locales que le permiten
configurar
donde los datos pueden ser almacenados.
■ Si una aplicación necesita tener acceso a los datos independientemente del nodo de
clúster
que se está ejecutando, los datos deben ser almacenados en un recurso de disco
compartido que
■ conmutación
Si por error
una aplicación con el
se puede grupo de
ejecutar servicios ylos
y almacenar aplicaciones.
datos sólo en el sistema local o
unidad de arranque,
usted debe elegir el quórum de nodos de mayoría o la parte del nodo de archivos y el
Mayor
dad modelo de quórum. Usted también necesitará un mecanismo de replicación de
■ archivos separados
Si una aplicación se para
encuentra con una interrupción de la red o por error a un suplente
los datos de aplicación.
nodo de clúster, las sesiones de cliente debe ser capaz de restablecer la conectividad.
Ningún cliente
existe conectividad durante el proceso de conmutación por error hasta que una aplicación
se lleva
de nuevo en línea. Si el cliente no intenta volver a conectar y en su lugar el tiempo de
espera
cuando una conexión de red se ha roto, la aplicación no es adecuado para la conmutación
por error
(O NLB) grupos.
Si una aplicación para clúster cumple todos los criterios requeridos, por lo general se puede
implementar
que en un clúster de conmutación por error de Windows 2008 con un cierto grado de confianza.
Sin embargo,
debe probar todas las aplicaciones en una red no productivo antes de implementarlas en un
la producción de escenario. Muchos de los servicios integrados en Windows 2008 también se
pueden agrupar
y failover de manera eficiente y adecuada. Si una aplicación en particular no es compatible con
clústeres
pero quiere usarlo de todas maneras, es necesario tener un cuidado especial para investigar
todos los
implicaciones
NOTA Diseñadode instalar
para WindowslaServer
aplicación
2008 en un clúster de Windows Server 2008 Failover
antes de prototipos y luego implementar la solución.
Si va a comprar un paquete de software de terceros para su uso en Windows Server 2008 Failover
Clúster, asegúrese de que tanto Microsoft como el fabricante de software certificar que va a trabajar en
Windows Server 2008 Failover Clusters.
Conceptos racimo
La creación de un cluster en Windows Server 2008 tiene algunos requisitos. Al igual que
Windows
Server 2003, Windows Server 2008 requiere el mismo procesador de la arquitectura de 32 bits
o
64-bit. Estos no se pueden mezclar dentro de un grupo. A diferencia de Windows Server 2003,
Windows
Server 2008 la agrupación ya no apoyo directo a las conexiones SCSI al almacenamiento
compartido.
Conexiones con canal de fibra, SAS, iSCSI y son compatibles, sin embargo. Todos los
NOTA Configuraciones de hardware
servidores
dentro de
Microsoft un clúster
recomienda quedebe
utilice estar dentro
la misma del dominio
configuración de Active
de hardware Directory.
para todos los nodos dentro de un
cluster.
¿Qué hay de nuevo en Failover Clustering?

Windows Server 2008 ofrece varias mejoras para el clúster de conmutación por error. No
sólo ha cambiado el nombre (de la agrupación de servidores), pero también tiene nuevos
validación
ción incluyendo las pruebas de nodo de red, y las pruebas de almacenamiento. La
creación del clúster es mucho
menos propenso a errores, gracias a las pruebas de validación. Administración de
clústeres se ha
ha mejorado, lo que es mucho más fácil de configurar y añadir nodos a los clústeres.
Usted puede utilizar el servicio Volume Shadow Copy para crear copias de seguridad de
racimo, y
nuevos modelos de quórum se han añadido para aumentar la disponibilidad. Ver http://
www.microsoft.com/windowsserver2008/failover-clusters.mspx para más detalles sobre
agrupación nuevas características en Windows Server 2008.
Comprender los modelos de quórum de clúster

Quórums se utilizan para determinar el número de fallos que pueden ser toleradas dentro de un
grupo antes de que el grupo se tiene que dejar de correr. Esto se hace para proteger los datos
de integridad-
dad y prevenir problemas que podrían ocurrir debido a la no comunicación o en su defecto
entre los nodos.
Quórums describen la configuración del clúster y contienen información sobre el
cluster, tales como adaptadores de red, almacenamiento, y los propios servidores de
componentes.
La existencia del quórum como una base de datos en el registro y se mantiene en el disco
testigo
o testigo del recurso compartido. El disco testigo o compartir guarda una copia de estos datos
de configuración para
que los servidores pueden unirse al grupo en cualquier momento, la obtención de una copia de
estos datos para convertirse en
parte del grupo. Un servidor gestiona los datos de recurso de quórum en un momento dado,
pero
■ todos
Nodos los servidores
Microsoft que
de mayoría participan
recomienda el también tienen
uso de este una copia.
modelo Puede
de quórum deusar los siguientes
conmutación por
cuatroerror
quórum
modelos con clusters dede
Implementaciones Windows
clúster Server 2008 Failover:
que contienen un número impar de nodos del clúster. Un
racimo
que utiliza el modelo de quórum Mayoría de nodo que se llama un conjunto de nodos
mayoritario
y permanece en funcionamiento si el número de nodos disponibles supera el
número de nodos fallidos, es decir, la mitad más uno de sus nodos está disponible. Para
ejemplo, para un clúster de siete nodos de permanecer en línea, cuatro nodos deben
estar disponibles
capaces. Si no cuatro nodos en un clúster de nodo de siete nodos mayoritario, todo el
clúster
se apaga. Usted debe utilizar clusters de nodos mayoritario de vista geográfico o
red dispersos nodos del clúster. Para operar con éxito este modelo requiere
■ yMicrosoft
nodo el recomienda
Mayoría
una redde disco
muy confiable, hardware deelalta
usocalidad,
de esteymodelo de quórum en
un tercero-mech-
grupos que contienen el mismo
nismo para replicar datos back-end. número de nodos del clúster. Siempre que el testigo
el disco sigue estando disponible, un nodo de cluster y Mayoría de disco se mantiene a la
fuga
Ning cuando la mitad o más de sus nodos están disponibles. Un grupo de seis nodos no
apagará si tres o más nodos además de su disco testigo están disponibles. En este
modelo, el quórum del clúster se almacenan en un disco del clúster que está al alcance de
todos
los nodos del clúster a través de un dispositivo de almacenamiento compartido mediante
Serial Attached SCSI (SAS),
Fibre Channel, iSCSI o conexiones. El modelo consta de dos o más servidores
nodos conectados a un dispositivo de almacenamiento compartido y una sola copia del
quórum
los datos se mantienen en el disco testigo. Usted debe usar el nodo y disco
Modelo de la mayoría del quórum de los clústeres de conmutación por error con el
almacenamiento compartido, todos conectados
en la misma red y con un número par de nodos. En el caso de un ingenio-
fracaso Ness disco, la mayoría de los nodos deben permanecer en funcionamiento.
Por ejemplo, un clúster de seis nodos se ejecutará si (como mínimo) tres nodos y el
disco testigo están disponibles. Si el disco está en línea testigo, el mismo de seis nodos
agrupa-
ter requiere que los cuatro nodos están disponibles.
Examen
Si Consejo
el examen 70-646 pregunta qué modelo de quórum es el más cercano a la tradicional
un solo modelo de dispositivo de quórum del clúster de configuración, la respuesta es el Nodo Mayoría de disco y
modelo de quórum.
■ Esta configuración
Mayoría de nodos y recursos compartidos es similar a la del nodo y disco
de archivos
Modelo de la mayoría, pero el quórum se almacena en un recurso compartido de red en
lugar de una
testigo de disco. Un nodo de clúster compartido de archivos y la mayoría se pueden
implementar de una forma similar
la moda de un grupo de nodos de mayoría, pero siempre y cuando el recurso compartido
de archivos está disponible testigo-
poder del grupo puede tolerar el fracaso de la mitad de sus nodos. Usted debe usar el
nodo
■ y compartido
No hay mayoría:de archivos
sólo de la mayoría
disco Microsoft del quórum
recomienda que nomodelo en grupos
utilice este con
modelo enun número par
de
un nodos
entorno de producción porque el disco que contiene el quórum es una sola
que
puntonode
utilizan el almacenamiento
falla. No Mayoría: clusterscompartido.
de discos sólo son los más adecuados para las
pruebas de la
despliegue de servicios integrados o personalizados y aplicaciones en un servidor
Windows
2008 Failover Cluster. En este modelo, siempre que el disco que contiene el statu-
ron sigue estando disponible, el clúster puede sostener la recuperación de fallos de todos
los nodos excepto uno.
Los modelos de transmisión por
MÁS INFORMACIÓN
Internet de quórum
Cuatro modelos de quórum está disponible para Windows Server 2008. Para más información sobre el
los modelos, ver el webcast de TechNet http://msevents.microsoft.com/CUI/WebCastEventDetails
. Aspx? EventID = 1032364841 y EventCategory = 4 y cultura = en-US y código de país = EE.UU..
Antes de implementar un clúster de conmutación por error que usted necesita para determinar
si el uso compartido
de almacenamiento, asegurando que cada nodo puede comunicarse con cada uno de LUN del
almacenamiento compartido
dispositivo presenta. Cuando se crea el clúster, debe agregar todos los nodos de la lista y
asegúrese
Al configurar el cluster, Windows Server 2008 sugieren que la mayoría de los apro-
que el modelo de quórum de clúster correcto es seleccionado para el nuevo clúster de
comió modelo de quórum de ese grupo. Por ejemplo, cuando se crea un clúster de nodo único,
conmutación.
el asistente de configuración le sugerirá el modelo de quórum Mayoría de nodo. Sin embargo, si
no está de acuerdo con el modelo elegido, puede cambiar esto desde dentro de la conmutación
por error
Cluster interfaz de administración. Si el modelo elegido utiliza almacenamiento compartido y un
ingenio
dad de disco, el más pequeño LUN disponibles serán seleccionados para este disco. Si es
necesario, puede
cambiar esto después de que el clúster se crea.
Cuando se produce un error dentro de la agrupación, como una falla de la tarjeta de red, el
grupo
puede convertirse en una partición o división, ya que los nodos del cluster podría ya no ser
capaz de comunicarse. En tal caso, el modelo de quórum dicta que el nodo
poseer la copia de quórum será el nodo activo.
Usar clústeres para cumplir con los requisitos de negocio

Servicios y aplicaciones se despliegan en los grupos de conmutación por error y NLB, porque
son
críticas para las operaciones de negocios. Agrupación puede aumentar la fiabilidad,
proporcionar tolerancia a fallos, y
aumentar la disponibilidad de datos y operaciones críticas de negocio. Es esencial que el
los mismos cúmulos son altamente fiables y no introducen ningún punto único de no-
Ure. Por ejemplo, como ha aprendido en esta lección, la mayoría no: sólo disco
modelo de quórum no se recomienda para un entorno de producción debido a que su disco
almacenamiento representa un punto de fallo único.
Windows Server 2008 Enterprise y Datacenter Clusters conmutación por error de apoyo
que proporcionan tolerancia a fallos. Si un sistema o de los nodos del clúster falla y no puede
responder
a solicitudes de clientes, los servicios o aplicaciones que se ejecutan en ese nodo
fuera de línea y se mudó a otro nodo disponible en la funcionalidad y el acceso es
restaurado para el cliente. Para cumplir con los requisitos empresariales, agrupaciones de
conmutación por error son típicamente
se utiliza con los siguientes tipos de servidores:
■ Aldeimplementar servidores de archivos como nodos en un clúster de conmutación
Servidores
archivos
por error, los clientes
pueden acceder a un único repositorio de almacenamiento de datos a través de los
asignados actualmente y
■ nodo
Los deSiclúster
unde
servidores disponibles
nodo sin replicar
en un clúster los datos del
de conmutación porarchivo.
error de impresión del servidor falla,
impresión
cada uno de los cluster de
impresoras compartidas sigue siendo disponible para los clientes que continúan utilizando
el
mismo nombre del servidor de impresión. Aunque puede utilizar Directiva de grupo para
■ impresoras de
Servidores dePor
redistribuir
lo general,
bases de las grandes organizaciones implementar la línea de negocio
cuando
datos
(LOB) un servidor de impresión no en clúster falla, el paso rara vez es perfecta.
aplicaciones y otros servicios y aplicaciones críticas que requieren un alto
dispone de datos back-end del sistema. La implementación de servidores de bases de
datos de conmutación por error
Grupos es el método preferido para proporcionar alta disponibilidad y tolerancia a fallos
apoyo. Si utiliza independiente, sin agrupar servidores de bases de datos y da un
abajo, la configuración de un reemplazo puede tardar varias horas, como se puede
recuperar la
base de datos de copia de seguridad. Un clúster de conmutación proporciona acceso
ininterrumpido a los datos de
el caso de que un nodo de clúster. Tenga en cuenta que todavía necesitan de forma
regular y efi-
régimen de seguridad eficiente.
■ Empresa
Back-end de los sistemas de servicios de mensajería son críticos para el negocio
de mensajería
en muchas organizaciones y se implementan mejor en grupos de conmutación por error
para proporcionar costuras
menos fallos y acceso al buzón.
NLB proporciona tolerancia a fallos para las aplicaciones de front-end web y sitios Web,
Terminal
Servidores, los servidores VPN, servidores de medios de comunicación, y los servidores proxy
que cada servidor
en el clúster de ejecutar los servicios de red o aplicaciones de forma individual. Esto elimina
cualquier
puntos únicos de falla. Dependiendo de las necesidades particulares del servicio o la aplicación
implementado en un clúster NLB, puede configurar las opciones como las opciones de afinidad
con el
determinar cómo los clientes se conectan al back-end de los nodos de clúster NLB. Por
ejemplo, el cliente
Por otro lado, si un usuario accede a un sitio Web seguro en un clúster NLB para comprar
solicitudes de acceso
bienes o servicios, a un sitio
la sesión delweb podría
cliente debeser
serdirigida a cualquiera
iniciado y mantenidodepor
losuna
nodos
soladel clúster
agrupa-
NLB que
ter nodo, ya que la sesión será muy probablemente usando Secure Sockets Layer (SSL)
alojará
cifrado el sitio.
y también contendrá datos específicos sesión, incluyendo el contenido de la
carro de la compra del usuario y otra información específica del usuario.
Configuración de conmutación por error

En esta sección se examina cómo configurar Failover Clustering en Windows Server 2008.
Failover Clustering se considera una característica y se puede instalar a través del
Administrador de servidores
en Windows Server 2008. Se utiliza el Asistente para agregar características para instalar
Failover Clustering.
Más información sobre la instalación del Clúster de
MÁS INFORMACIÓN
Usted puede encontrar más información sobre la instalación de conmutación por error en
windowsserver2008/en/library/ebd1d3bc-d5b6-4c82-b233-615512fba44f1033.mspx? Referencia del fabricante =
true.
Se configura mediante la conmutación por error de conmutación por error Cluster Management
MMC snap-in,
Dentro de la interfaz de administración de clústeres de conmutación por error que se pueden
realizar varias tareas relacionadas
a la configuración de las agrupaciones de conmutación por error, incluyendo la validación, la
creación y gestión.
Validación de una configuración de clúster de
Antes de crear un clúster, se recomienda que valide la configuración de la
equipos que se convierten en nodos del clúster. Windows Server 2008 incluye nuevas
Figura 11-14 Utilizar el clúster de conmutación por error de la consola de administración para
gestionar la agrupación
pruebas de validación de clúster. Validar la configuración de componentes como el
almacenamiento, de red,
y el propio servidor en el Asistente para validar una configuración. La validación de los servi-
res que formarán parte de la agrupación llevará a cabo varias pruebas en los servidores para
asegurarse de
la compatibilidad y funcionalidad para garantizar que el clúster funcione correctamente.
Otros cambios en la conmutación por error de Windows Server 2008 incluyen el grupo
. Exe de línea de comandos herramienta para trabajar con grupos de conmutación por error y
mejoras en la
gestión de los clusters.
Se recomienda que se implemente componentes similares, incluso la coincidencia de computa-
res, como parte de un clúster. De hardware como tarjetas de red y almacenamiento deben estar
expresamente
marcados "Certificado para Windows Server 2008", con el apoyo de un clúster de conmutación
por error.
Otras
■
consideraciones para la conmutación por error incluyen:
Eliminar los puntos únicos de fallo, como los nodos con una conexión de red o
más de una conexión de red tanto ir al mismo conmutador. De no hacerlo
esto puede resultar en una advertencia durante la validación, a pesar de las pruebas va a
pasar.
■ SCSI paralelo no puede ser utilizado para el almacenamiento y NTFS, se recomienda

para el clúster
particiones. NTFS es necesario para el disco testigo.
■ Cualquier sistema de almacenamiento con múltiples E / S debe ser verificada con el
proveedor para asegurarse de que
es apropiado para los clústeres de Windows Server 2008 Failover.
Validación contiene cuatro tipos de pruebas:
■ Inventario de Pruebas Crea un inventario de los componentes y la configuración en el
■
nodo.
Prueba de red Garantiza que las configuraciones de la red son apropiados para el
■
agrupamiento.
Almacenamiento de pruebas Examina de almacenamiento para la
■
compatibilidad con la agrupación.
Sistema de configuración de la prueba Valida la configuración del sistema a
través de servidores.
Más información acerca de la validación
MÁS INFORMACIÓN
Para obtener más información acerca de validación de clúster, consulte el enlace de TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/e7877a17-bd60-4d64-9f2a-
3b6f4fc6221c1033.mspx? Referencia del fabricante = true.
Crear un clúster de conmutación por

error
La creación del clúster depende del servicio de clúster se está instalando a través del servidor
del hombre-
gerente y la configuración del clúster se está validando. Después de completar estos pasos,
cluster se crea con el clúster de conmutación de la consola de gestión. Dentro de conmutación
por error
Administración del clúster, la selección Crear un clúster se iniciará el Asistente para clúster
Crear,
Figura 11-15 Crear un clúster de conmutación por error mediante el Asistente para el
clúster Crear
Usted necesitará la siguiente información:

■ Los nombres de servidor que desee incluir en el clúster.
■ El nombre de la agrupación.
■ La información de la dirección IP de la red, si no estuviera ya previsto.
Un informe ubicado en SystemRoot \ Cluster \ Reports muestra las medidas adoptadas por el
asistente
durante la configuración del clúster.
También puede utilizar el clúster de conmutación de la consola de administración para agregar
un nodo a una ya existente
cluster. Con el grupo seleccionado, elegir Agregar nodo en el menú de acción empezará
el Asistente para Agregar nodo.
Más información sobre la adición de nodos de conmutación

MÁS INFORMACIÓN
por error de Clusters
Ver http://technet2.microsoft.com/windowsserver2008/en/library/616dee74-62c3-47ff-ae2d-
cb41b97aa84c1033.mspx? Referencia del fabricante = true Para más información sobre la creación de un cluster y
la adición de un nodo
a un clúster existente.
Configuración de los servicios de alta disponibilidad

Puede configurar varios servicios y aplicaciones para su uso en un clúster de conmutación por
error. Uso
el Asistente para alta disponibilidad para configurar estos servicios y aplicaciones. Varios
aplicaciones y servicios tienen una configuración específica y se pueden seleccionar en el Alto
Asistente para la disponibilidad. Servicios y aplicaciones que no figuran en el asistente debe
utilizar
el servicio genérico, de aplicación genérica, o de las opciones genéricas de secuencias de
comandos. Servicios y
■ DFS servidor
aplicaciones de espacioen la lista son:
específicamente
■ Servidor DHCP
■ Coordinador de transacciones distribuidas (DTC)
■ Servidor de
■
archivos
Nombre del servicio de almacenamiento de
■
Internet (iSNS)
Message Queue Server
■ Otros servidores
■ Servidor de
■
impresión
Servidor WINS
Más sobre los servicios en Clusters de conmutación

MÁS INFORMACIÓN
por error
Para más información sobre los servicios genéricos de los clústeres de conmutación por error, consulte
windowsserver2008/en/library/b064689c-7111-435b-b00c-4e40d8e17a791033.mspx? Referencia del fabricante =
true.
Para iniciar el Asistente para alta disponibilidad de la interfaz de administración de clústeres de
conmutación por error,
seleccione el clúster, seleccione Servicios y Aplicaciones y, a continuación, seleccione
Configuración de un servicio
O aplicación en el menú Acción.
La gestión de un clúster de
Esta sección examina las tareas más comunes implicados en la gestión de agrupaciones de
conmutación por error.
En esta discusión se pausa y reanudación de los nodos del clúster, los fundamentos de la
backup y recuperación, y llevar una línea de servicio de clúster.
Gestión de las agrupaciones se realiza dentro de la consola de administración de clústeres de
encuentra en Herramientas administrativas. Dentro de la gestión de conmutación por error de
clúster, la disposición
grupos se muestran a la izquierda. La expansión de un grupo revela las opciones disponibles
para
ese grupo, incluyendo los ganglios. Puede ampliar el tema nodos para revelar los nodos
el clúster. La figura 11-16 muestra un clúster de un solo nodo con un nodo llamado
MONTREAL.
Figura 11-16 El nodo de un pequeño grupo como se ha visto a través de Gestión de Failover Cluster
Para poner en pausa un nodo, seleccione Pausa en el menú Acción. Para reanudar el nodo,
seleccione Reanudar.
También puede utilizar la línea de comandos Cluster.exe herramienta para pausar y reanudar
los nodos. Para hacer una pausa
el nodo de Montreal de la CONTOSO-cluster utilizando la línea de comandos, abra el
Práctica: La validación de un nodo 619
Ventana de símbolo del sistema haciendo clic en Inicio y seleccione Símbolo del sistema.
Escriba el
siguiente en el símbolo del sistema:
Escriba lo siguiente para reanudar el nodo:
Copias de seguridad de agrupaciones de conmutación por error puede incluir todo, desde la
configuración de la agrupa-
ter a los datos en sí. Usted puede encontrar más información acerca del respaldo de
agrupaciones de conmutación por error en
http://technet2.microsoft.com/windowsserver2008/en/library/b064689c-7111-435b-
b00c-4e40d8e17a791033.mspx? Referencia del fabricante = true.
Servicios de clúster y las aplicaciones se pueden tomar en línea. Esto puede ser necesario para
de mantenimiento o para aplicar las actualizaciones. Servicios de clúster y las aplicaciones se
gestionan
a través de la consola de administración de clústeres de conmutación por error. Dentro de la
consola de administración,
la ampliación del nodo de clúster revela el nodo Servicios y aplicaciones, como se muestra en
Figura 11-16. Cuando se toma una línea de aplicaciones en clúster, aparece una advertencia,
lo que confirma que todas las conexiones activas se desconectan cuando esta operación
ocurre.
Gestión de aplicaciones en cluster

MÁS INFORMACIÓN
Usted puede encontrar más información sobre traer aplicaciones agrupadas en línea y llevarlos fuera de línea en
el siguiente artículo de TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/056a73ef-
5c9e-44d7-ACC1-4f0bade6cd751033.mspx? Referencia del fabricante = true.
Práctica: La validación de un nodo

En este ejercicio, se validará que un servidor es capaz de realizar dentro de una conmutación
por error
Cluster. Que necesita para completar el ejercicio en la lección 1 antes de intentar este ejercicio.
Si usted no puede agregar un servidor miembro de la red, el tratamiento de este ejercicio como
opcional.
Ejercicio: Validar el servidor miembro puede realizar dentro de un clúster de conmutación por
error
Para llevar a cabo este ejercicio que necesita para iniciar una sesión en el servidor miembro
con el
Kim_Akers cuenta.
1. Abra Administración de conmutación por error de clúster, haga clic en Inicio, haga clic
Administrativo
Herramientas y, a continuación, haga clic en Gestión de conmutación por error de clúster.
2. En la consola de administración de clústeres de conmutación por error, seleccione validar
una configuración
en el menú Acción. Al hacerlo se abrirá el Asistente para validar una configuración,
muestra en la Figura 11-17. Haga clic en Siguiente.
Figura 11-17 El Asistente para validar una configuración
3. Seleccione en los servidores o una página del clúster, especifique el nombre del servidor de
Windows
Server 2008 y haga clic en Agregar. La figura 11-18 muestra el servidor denominado
MONTREAL
4.que
A continuación,
se añade a la
elija
lista
el de
queServidores
las pruebas
seleccionados.
se ejecuten. Se
Después
recomienda
de agregar
que ejecute
el servidor,
todashaga
las
clic en Siguiente.
pruebas.
Figura 11-18 Adición de un servidor a la lista de Servidores seleccionados

Práctica: La validación de un nodo 621
5. Haga clic en Siguiente en la página de confirmación, como se muestra en la Figura 11-19.

Las pruebas se
Ahora corre, a partir del proceso de validación. El asistente mostrará el progreso
de cada prueba, junto con el progreso general.
Figura 11-19 Confirmación de los ajustes
6. Cuando las pruebas hayan finalizado, aparece una página de resumen, similar a la figura
11-20.
(Si las pruebas fallan, el resumen puede ser diferente.) Haga clic en Finalizar para completar
la
validación.
Figura 11-20 Resumen de la página

■ Failover Clustering se utiliza para conocer sesión de las aplicaciones que tienen la
necesidad de
de almacenamiento compartido de datos y son capaces de utilizar el almacenamiento de
■ Los servidores DHCP, servidores de correo electrónico y servidores de SQL Server, entre
datos compartida.
otros, son todos
buenos candidatos para la conmutación por error.
■ Los cuatro modelos de quórum en Windows Server 2008 son nodos de mayoría, y el
Nodo
Mayoría de disco, el Nodo y la mayoría para compartir archivos, y la mayoría no: sólo
■ Failover
disco. Clustering se gestiona a través de la Administración del clúster de conmutación
por error
o con la línea de comandos Cluster.exe herramienta.
■ Utilizar los asistentes para la validación de las agrupaciones, nodos, redes y
almacenamiento, y para
configuración de las agrupaciones.
■ Failover Clustering se puede combinar con NLB y DNS Round Robin.
Las siguientes preguntas prueba tus conocimientos de la lección 2, "Windows Server 2008
Herramientas de la agrupación. "Las preguntas también están disponibles en el CD, si lo
prefiere
para revisar en forma electrónica.
1. Elija el modelo de quórum recomendadas para clústeres con un número impar
de los nodos.
A. Mayoría de nodos y recursos

compartidos de archivos
B. Nodos de mayoría
C. No hay mayoría: sólo disco
D. Mayoría de disco y nodo
2. Al considerar las opciones de RAID, la cual de los siguientes niveles se podrían utilizar
con dos discos? (Elija todas las que apliquen.)
A. 0
B. 1
C. 5
D. 10
3. Usted tiene un funcionamiento clúster de dos nodos con un recurso compartido de archivos
situados en otro
servidor y se ejecuta en el nodo y el modo compartido de archivos de la mayoría. ¿Qué pasa
Repaso de la lección 623
a la aplicación y el grupo cuando uno de los servidores en el cluster tiene un

fallo de hardware?
A. La aplicación seguirá funcionando debido a que el modelo de quórum permite que

continúe.
B. La aplicación no porque el disco testigo ya no está disponible.
C. La respuesta depende de a qué servidor aloja el recurso de clúster en el momento.
D. La aplicación no porque el modelo de quórum utilizado requiere que
dejar de atender las solicitudes de si la mitad de los nodos no están disponibles.

A fin de revisar este capítulo y aprender las habilidades dentro, usted puede:
■ Revise la lista de los principales términos y sus
■
definiciones.
Completa el escenario del caso en este capítulo.

■ Windows Server 2008 utilizan tres métodos principales para proporcionar alta
disponibilidad
y la redundancia: DNS Round Robin, NLB, y Failover Clustering.
■ DNS Round Robin y equilibrio de carga de red se utilizan para aplicaciones que
pueden utilizar su propio almacén de datos, como los sitios Web. Failover Clustering se
utiliza para
aplicaciones que tienen un almacén de datos compartido.
■ NLB y Failover Clustering herramientas de gestión de su uso en Windows Server 2008,
mientras que DNS Round Robin se puede utilizar con cualquier servidor de DNS,
incluyendo Windows
Server 2008.
■ NLB se crea un adaptador de red virtual y tiene dos modos de funcionamiento, unicast y
multicast. En el modo de multidifusión, los enrutadores de la red debe entender
multicast direcciones MAC.
Términos clave
■ DNS round robin
■ Clustering
■ De equilibrio de carga
■ Quórum modelo
Case Scenario
En el escenario siguiente, se aplicará lo que has aprendido acerca de Windows
Server 2008 de gestión, seguimiento, y la delegación. Usted puede encontrar respuestas a
estas
preguntas en el "respuestas" al final de este libro.
Escenario: La elección de la estrategia de disponibilidad adecuada

Usted es el administrador de una empresa que gestiona una red con 98 por ciento
Servidores Windows Server 2008 junto con dos por ciento de los servidores Linux. El negocio
ha
sólo considera tres aplicaciones críticas de negocio, lo que significa que las aplicaciones
necesitan
tienen tiempo de inactividad mínimo. Estas tres aplicaciones incluye Exchange Server
funcionando
en dos servidores Windows Server 2008, la empresa sitio web principal, que contiene sólo
páginas estáticas, información y una aplicación de servicio al cliente interno que utiliza
Servidores Web que se ejecutan en Linux. Conteste las siguientes preguntas:
1. ¿Qué estrategias de disponibilidad puede ser utilizado para estas aplicaciones y por qué?
Incluyen lo que se podría hacer para mejorar la disponibilidad de las aplicaciones basadas
en
lo que sabe sobre el medio ambiente.
2. Windows Server 2008 que las estrategias de disponibilidad no están disponibles para cada
uno de
estas aplicaciones y por qué no?
3. Si usted elige Failover Clustering para cualquiera de las aplicaciones, que de quórum
modelo debe ser utilizado, y por qué?
completa
Crear un DNS Round Robin

■ Práctica 1: Crear una nueva zona DNS Mediante el Administrador de DNS, crear una zona
para el dominio contoso.internal. DNS
■ Mediante
Práctica 2: Creación de el Administrador
un equilibrio de carga de DNS, cree dos registros de
apuntando a la misma los recursos www.
■ Utilice el comando
Práctica 3: Probar la configuración de nslookup herramienta de línea de prueba
las búsquedas de DNS para los registros que acaba de crear.
Crear un clúster de conmutación

por errorHacer todas las prácticas en esta sección.
■ Desdededentro
Práctica 1: Validar una configuración clústerdel clúster de conmutación
Herramienta de gestión, validar el nodo que está utilizando.
■ Práctica 2: Crear unDespués

clúster de haber validado el nodo, crear una sola
nodo de clúster con el clúster de conmutación herramienta de gestión.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Para obtener más información acerca de todas las opciones de la práctica de prueba disponibles, consulte "Cómo
utilizar las pruebas de la práctica" en este
Introducción del libro.
Capítulo 12
Backup y Recuperación
Backup y recuperación han sido siempre un componente esencial de un administrador de
sistemas de
puestos de trabajo. Con un hardware más fiable, la cantidad de tiempo que un administrador de
sistemas
gasta en backup y recuperación ha disminuido, pero las expectativas de la gerencia
disponibilidad de los servidores también han cambiado. Los usuarios que se acepta que un
servidor de archivos puede tener
estado fuera de acción durante 24 horas a finales de 1990 no están dispuestos a aceptar varias
horas
el tiempo de inactividad de una década después. En este capítulo, usted aprenderá lo que es
nuevo en términos de la
proceso de copia de seguridad de Windows Server 2008 y los datos y servicios que alberga a
su organización. También aprenderá a planificar y ejecutar el desastre recu-
Ery para el servidor de su organización entorno Windows 2008. Usted aprenderá a
recuperar todo de un solo objetos de Active Directory a través de los archivos, carpetas,
papeles,
■ Plan dee backup
volúmenes, incluso yservidores
recuperación.
enteros.

■ Lección 1: Copia de seguridad de datos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
■
. 629
Lección 2: Recuperación de desastres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
650
Antes de empezar
ejer-
Windows
■ Server 2008. "en este capítulo requieren que usted tenga acceso a un disco adicional que
Las prácticas
se
capaz de almacenar 25 gigabytes (GB) de datos y adjuntar al servidor de Glasgow. Este
disco
puede ser un disco virtual adicional si usted está utilizando software de máquina virtual, un
examen físico
disco, o un adjunto de USB 2.0 o IEEE 1394 del disco si está utilizando el hardware real.
Este disco se puede utilizar para almacenar los datos de backup.
627
628 Capítulo 12 Backup y Recuperación
Mundo Real
Orin Thomas
En mi experiencia, el factor más importante en la recuperación de un desastre es

mantener la cabeza fría. En cierto modo, la recuperación de desastres es como armar
un rompecabezas. Si está tranquila y metódica en ello, todo cabe en el derecho
lugar y antes de darse cuenta que están de vuelta a donde estaba antes del desastre
ocurrido. Si usted está nervioso o asustado, usted va a tener problemas.
Estresados gente comete errores. He visto las operaciones de recuperación se tuercen
porque alguien estaba nervioso y apresurado. La gente tiene que empezar todo de nuevo
porque no se tome unos minutos para tomar unas cuantas respiraciones profundas y recor
bre de mantener la cabeza clara.
629
Lección 1: Copia de seguridad de datos
Lección 1: Copia de seguridad de

datos Las herramientas de copia de seguridad integrado en Windows Server 2008 han cambiado
significativamente desde
los que se incluye en Windows Server 2003. Las técnicas de copia de seguridad que puede
se han familiarizado con el transcurso de su carrera han cambiado. Un ejemplo de
esto es que ya no se puede escribir copias de seguridad programadas en unidades de cinta. En
esta lección,
usted aprenderá cómo utilizar el nuevo Windows Server 2008 utilidad de copia de seguridad
para volver
sus servidores, usted aprenderá cómo utilizar la línea de comandos WBADMIN.EXE copia de
seguridad
utilidad, y usted aprenderá cómo realizar una copia de seguridad de archivos, carpetas, y Active
Directory. Usted
También aprenderá a configurar las instantáneas de carpetas compartidas, una tecnología que
le permite avanzar en el proceso de recuperación de borrado o dañado los archivos
compartidos de distancia
de la■mesaA entender cómo
de ayuda y usar
en ellausuario
utilidad de copia de seguridad de WBADMIN.EXE
individual.
■
servidores.
Realice una copia de seguridad completa del
■
servidor.
Una copia de seguridad de Active Directory y los datos del
■
servidor de funciones.
Realizar copias de seguridad del
■
estado del sistema.
Realizar operaciones de copia de seguridad
remota.
Las instantáneas de carpetas compartidas

La aplicación de las instantáneas de carpetas compartidas reducirá restauración de un
administrador
ción drásticamente la carga de trabajo, ya que elimina casi por completo la necesidad de
adminis-
trador intervención en la recuperación de eliminar, modificar o dañado los archivos de usuario.
Sombra
Copias de las carpetas compartidas de trabajo tomando instantáneas de los archivos
almacenados en carpetas compartidas como
que existen en un determinado punto en el tiempo. Este momento está determinado por un
calendario y
la programación
Para habilitar laspredeterminada
instantáneas dede instantáneas
carpetas de carpetas
compartidas, compartidas debe
abra Administración ser tomada
de equipos a
de la
las 7:00 am y
Menú Herramientas administrativas, haga clic en el nodo Carpetas compartidas, haga clic en
24:00
Todastodos los días
las tareas y laborables. Múltiples programas se pueden aplicar a un volumen y la
programación por defecto
haga clic en Configurar es en realidad
instantáneas. Condos
elloprogramas
se abre el aplicados
cuadro deadiálogo
la vez. Instantáneas
caja, que se muestra en la Figura 12-1. Este cuadro de diálogo le permite activar y desactivar
sombra
Copias para cada volumen. Que le permite editar las instantáneas de carpetas compartidas
configuración de un determinado volumen. También le permite crear una copia sombra de un
parti-
cular el volumen manualmente.
Figura 12-1 Habilitación de instantáneas
Habilitación de instantáneas en un volumen generará automáticamente una sombra inicial

copia de ese volumen. Al hacer clic en Configuración abre el cuadro de diálogo que se muestra
en la figura 2.12.
A partir de este cuadro de diálogo, puede configurar el área de almacenamiento, el tamaño
máximo de la copia
tienda, y el calendario de las copias cuando se toman. Al hacer clic en Horarios le permite
configurar la frecuencia de las instantáneas se generan. El volumen de acciones de alojamiento
de archivos que
contienen los archivos que se actualizan con frecuencia, se utiliza una instantánea frecuentes
Cal.-
Ule. En un volumen que aloja los archivos compartidos donde los archivos se actualizan con
menos frecuencia, debe
configurar una programación de instantáneas con menor frecuencia.
Figura 12-2 Instantáneas de la configuración

631
Cuando un volumen regular experiencias intensas operaciones de lectura y escritura, tales

como
un recurso compartido de archivos de uso común, se puede mitigar el impacto en el
rendimiento de las Sombras
Copias de las carpetas compartidas mediante el almacenamiento de los datos de instantáneas
en un volumen independiente. Si un
volumen tiene menos espacio disponible que el límite establecido, el servicio se eliminará el
más antiguo
las instantáneas que se ha almacenado como una manera de liberar espacio. Finalmente, no
importa cómo
espacio libre queda disponible, un máximo de 64 instantáneas se pueden almacenar en
cualquier
un solo volumen. Al considerar que la programación puede estar configurado para un volumen,
te darás cuenta de cómo esta influye directamente en la duración de la instantánea de
retención de datos.
Donde haya
Al planear la espacio disponible,
implementación de un
las programa donde
instantáneas las instantáneas
de carpetas se toman
compartidas, una vez cada
es importante
Lunes, miércoles
recordar y viernes permite
que se configuran que las
las opciones en instantáneas de 21
función de cada semanas
volumen. antes
Esto de que el
significa
ser recuperada.
área La programación
de almacenamiento, tamaño predeterminada permitepara
máximo, y los horarios la recuperación de hasta 6pueden
diferentes volúmenes semanasser
de las anteriores
completamente
instantáneas.
por separado. Si el plan de acciones de tal manera que cada volumen acoge una sola acción,
que
puede optimizar la configuración de copia de sombra para que la participación en función de
cómo se utilizan los datos,
en lugar de tratar de comprometer en la búsqueda de un programa eficaz para muy diferentes
compartir los patrones de uso de la carpeta.
Consulta Rápida
1. ¿Sobre qué base (servidor, el volumen, la participación, disco o carpeta) son
instantáneas de
Carpetas compartidas permitido?
2. ¿Qué pasa con la sombra de copia de datos cuando el volumen que aloja comienza
que se quede sin espacio?

1. Las instantáneas de carpetas compartidas están habilitados en función de cada
volumen.
2. Los datos más antiguos de instantáneas se elimina automáticamente cuando el
volumen de comenzar
que se quede sin espacio.
Windows Server Backup

La herramienta Windows Server Backup es significativamente diferente de ntbackup.exe, la
herramienta
incluida en Windows Server 2000 y Windows Server 2003. Los administradores de familiares
con la herramienta anterior, debe estudiar las posibilidades y limitaciones de la nueva
Windows Server Backup utilidad ya que muchos aspectos de la funcionalidad de la herramienta

han
cambiado.
Examen Consejo
Utilidad de la herramienta
Los exámenes de Windows Server 2008 es probable que se centran en las diferencias entre NTBACKUP y
Windows Server Backup.
Los puntos clave a recordar sobre la copia de seguridad en Windows Server 2008
son:
■ Copia de seguridad de Windows Server no puede escribir en
■
las unidades de cinta.
No se puede escribir en ubicaciones de red o en medios ópticos durante una programada
copia de seguridad.
■ El objeto más pequeño que usted puede copias de seguridad mediante Windows Server
Backup es una
volumen.
■ Sólo locales con formato NTFS volúmenes se pueden copiar.
■ Los archivos de Windows Server Backup escribir su producción como VHD (Virtual Hard
Disk)
archivos. VHD se puede montar con el software adecuado y leer, ya sea
directamente oa través de software de máquina virtual, como Hyper-V.
La recuperación de copias de seguridad

MÁS INFORMACIÓN
NTbackup
No se puede recuperar copias de seguridad por escrito con Ntbackup.exe. Un especial de sólo lectura de
la versión
ntbackup.exe que es compatible con Windows Server 2008 puede descargarse desde
http://go.microsoft.com/fwlink/?LinkId=82917.
Copia de seguridad de Windows Server no se instala por defecto en Windows Server 2008 y
debe
se instala como una función con el elemento para agregar características, en el nodo
Características de la
Consola de Server Manager. Una vez instalado, el nodo de copia de seguridad de Windows
Server se convierte en
disponibles en el nodo de almacenamiento de la consola de Administrador de servidores.
También puede abrir la
Copia de seguridad de Windows Server de la consola en el menú Herramientas administrativas.
La
WBADMIN.EXE de línea de comandos, también se instala durante este proceso, se contempla
en
"El wbadmin herramienta intérprete de comandos" más adelante en esta lección. Para utilizar
Windows Server
Copia de seguridad o wbadmin programar copias de seguridad, el equipo requiere un interno
adicional o
disco externo. Discos duros externos tendrán que ser USB 2.0 o IEEE 1394 compatible.
Al planear la implementación de los discos para albergar los datos de copia de seguridad
programada, debe
garantizar que el volumen es capaz de contener al menos 2,5 veces la cantidad de datos que
desea una copia de seguridad. La hora de planificar el despliegue de los discos de copia de
seguridad programada,
633
debe controlar la forma como funciona este tamaño y el tipo de retención de datos que permite
en un
prueba antes de decidirse por un tamaño de disco para un despliegue más amplio de toda la
organización.
Al configurar su primera copia de seguridad programada, el disco que será el anfitrión de los
datos de copia de seguridad
no será visible en el Explorador de Windows. Si el disco que actualmente alberga el volumen y
los datos,
estos serán retirados para almacenar datos de copia de seguridad programada. Tenga en
cuenta que esto sólo se aplica a
copias de seguridad programadas y no a copias de seguridad manuales. Puede utilizar una
ubicación de red o
disco duro externo para copias de seguridad manuales sin preocuparse de que los datos ya
almacenados en el
dispositivo
También esseimportante
perderán.recordar
El formato
quey un
la repartición sólopuede
volumen sólo ocurrealmacenar
cuando unun
dispositivo
máximo de es512
el
primero
copias de seguridad. Si usted necesita para almacenar un mayor número de copias de
utiliza para usted
seguridad, alojar tendrá
los datos
quedeescribir
copia de seguridad programada. Esto no sucede cuando el
estas
respaldo posterior
copias de seguridad a un volumen diferente. Por supuesto, dada la cantidad de datos en la
los datosde
mayoría selos
escriben en la misma ubicación.
servidores,
Es poco probable encontrar un disco que tiene la capacidad de almacenar copias de seguridad
de tantos. Así que, Cal.
copias de seguridad programada siempre se puede ejecutar, copia de seguridad de Windows
Server automáticamente
eliminar los datos de seguridad más antigua en un volumen que es el destino de copias de
Realizar
seguridaduna copia de seguridad
programadas.
programada
Usted
Copiasno detiene que limpiar
seguridad manualmente
programadas o quitar
le permiten datos antiguos
automatizar de copia
el proceso de seguridad.
de copia de seguridad.
Después de establecer la
calendario, copia de seguridad de Windows Server se encarga de todo lo demás. Por defecto,
programado
copias de seguridad se establecen a ocurrir en 21:00 Si su organización aún tiene la gente con
regularidad
trabajar con los documentos en ese momento, debe restablecer esta. Cuando se planifica una
copia de seguridad
horario que usted debe asegurarse de que la copia de seguridad se produce en un momento en
el más
Para reciente una copia de seguridad programada, realice los
configurar
los cambios del día a los datos siempre son capturados. Sólo los miembros de los
siguientes pasos:
1. Abrir Copia de
administradores seguridad de Windows Server. Haga clic en Programar copia de seguridad
locales
en elpuede
grupo panel de acciones
configurar de
y administrar copias de seguridad programadas.
Windows Server Backup. Esto iniciará el Asistente para programar copias de seguridad.
2. La siguiente
Haga página del asistente le preguntará si desea realizar un completo servidor de
clic en Siguiente.
copia de seguridad o una copia de seguridad personalizado. Seleccione Personalizada y
haga clic en Siguiente. Como se puede ver en
Figura 12-3, los volúmenes que contienen los componentes del sistema operativo son
siempre
incluidos en las copias de seguridad personalizadas. E volumen se excluye en este caso,
porque se trata de
la ubicación donde los datos de copia de seguridad se escriben.
Figura 12-3 Selección de los elementos de

seguridad
3. El programa de copia de seguridad predeterminado es una vez al día a las 9:00 PM Puede
configurar varios
copias de seguridad de ejemplo que deben tomarse durante el día. Lo más probable es que
hacer esto en el caso
que los datos en el servidor que va a respaldar los cambios rápidamente. En los servidores
donde los datos cambian mucho con menos frecuencia, como por ejemplo en un servidor
web
4. Endonde las páginas
la página Destino son sólo
de Selección de Disco, que se muestra en la figura 4.12, seleccionar
actualiza una vez a la semana, sería configurar una programación más frecuentes.
el disco de
que las copias de seguridad se escriben. Si se seleccionan varios discos, varias copias de la
los datos de copia de seguridad por escrito. Tenga en cuenta que todo el disco se utilizará.
Todos
los volúmenes existentes y los datos serán eliminados y la utilidad de copia de formato
y ocultar los discos antes de escribir los datos de copia de seguridad primero.
5. En la página de etiquetas de disco de destino, tenga en cuenta la calificación otorgada a la
disco en el que han
seleccionado para almacenar copias de seguridad. Cuando termine el asistente, el punto de
destino es
Unaformato y laimportante
limitación primera copia de seguridad
de Windows se Backup
Server producirá
esen el sólo
que momento programado.
se puede programar una
tarea de respaldo. En otras palabras, no se puede utilizar Copia de seguridad de Windows
Server para programar trabajos
que podría ser utilizado para la programación en las versiones anteriores de Windows, como un
completo
copia de seguridad la noche del lunes con una serie de copias de seguridad incrementales
cada dos días de la
semanas. Puede configurar Windows Server Backup para realizar copias de seguridad
incrementales, pero
este proceso es diferente de lo que podría ser utilizado para las aplicaciones de copia de
seguridad.
635
Figura 4.12 Selección de un disco de destino
Realización de una copia de seguridad no programada

único
Copias de seguridad programadas, también conocido como copias de seguridad manuales, se
puede escribir
ubicaciones de red, los volúmenes locales y externos, locales y medios de comunicación DVD.
Si una copia de seguridad
Abarca más que el espacio disponible en un solo DVD, que puede abarcar la
copia de seguridad a través de varios DVDs. De lo contrario, si el tamaño calculado de una
copia de seguridad supera
la cantidad de espacio libre disponible en el lugar de destino, la copia de seguridad fallará.
Al
Que realizar
llevaráuna copiauna
a cabo de copia
seguridad manual, debe
de seguridad elegir
manual entre
en un usar uno
ejercicio de los siguien-
de práctica al final de esta
siguientes
lección. dos tipos de copia de seguridad de instantáneas de volumen servicio de
instantáneas:
■ Utilicedeesta
Copia de seguridad VSSopción de copia de seguridad cuando otro producto de copia de
seguridad también
utilizado para copias de seguridad de aplicaciones en los volúmenes de la copia de
seguridad actual. El registro de aplicación
los archivos se conservan cuando se realizan este tipo de copia de seguridad manual.
■ Este es el Utilice esta opción de copia de seguridad cuando no hay productos de copia de
Copia de seguridad
por defecto
completa
seguridad la hora de tomar una copia de seguridad.
de son
VSS
utilizado para copias de seguridad de la computadora host. Esta opción de actualización
de seguridad de cada archivo
atributo y borra los archivos de registro de aplicación.
Al realizar una sola copia de seguridad, también puede copia de seguridad de un solo volumen,
sin
tener copia de seguridad de los volúmenes de sistema o de arranque. Esto se hace en la
limpieza de la opción Habilitar
Sistema de opción de recuperación de la hora de seleccionar los elementos de seguridad.
Puede usar esta opción para
copia de seguridad de los datos de un volumen específico, cuando se va a realizar el
mantenimiento de la
volumen o la sospecha de que el disco que alberga el volumen puede fallar, pero no quiere
Optimización del rendimiento de copia de
esperar
seguridad
una copia
Copias de de seguridad
seguridad completa deldeservidor
incrementales trabajo para completar.
ligeramente diferente a como lo hacía en
versiones anteriores de
Windows. Aunque aún copias de seguridad incrementales sólo copia de seguridad de datos
que han cambiado
desde la última copia de seguridad en Windows Server Backup no elegir si desea realizar
una copia de seguridad individuales completos, diferenciales o incrementales cuando se crea la
tarea de respaldo.
Si copias de seguridad completas o incrementales se toman por separado, como se ha
configurado una
copia de seguridad el rendimiento general de opción. Todas las copias de seguridad se
configura como sea
Puede configurar total o
el rendimiento de copia de seguridad haciendo clic en Configurar el
incremental.
rendimiento enLa imagen de primera copia de seguridad adoptadas en un horario será el
equivalente a un total
el panel Acciones de la Consola de copia de seguridad de Windows Server. Al hacer esto se
copia
puede de seguridad.
seleccionar entre las opciones que se muestran en la figura 5.12. Estas opciones son sencillas,
con
Figura 12-5 Optimizar el rendimiento de copia de seguridad

637
la opción de copia de seguridad personalizado que le permite elegir copias de seguridad

completas o incrementales en
una base por volumen. Seleccionar la opción de copia de seguridad incremental le permite
almacenar
más copias de seguridad programadas en el mismo medio, y en general se debe utilizar esta
opción
ya que le dará una ventana mayor de la que puede restaurar los datos. Una de las ventajas de
la forma en que Windows Server Backup funciona es que usted no tendrá que buscar alrededor
de copia de seguridad incremental específico se establecen cuando se realiza una
restauración. Cuando se realiza
una restauración, las imágenes de las copias de seguridad se encuentran basados en la
El wbadmin herramienta
restauración intérprete de
de selección
ciones.
comandos Reparación está cubierta con más detalle en la lección 2, "la recuperación de
La utilidad wbadmin está disponible tanto en la norma y de las instalaciones de Server Core de
desastres."
Windows Server 2008 y le permite hacer todo lo que puedes hacer con Windows
Servidor de copia de seguridad y mucho más. La utilidad wbadmin está instalado en una
instalación estándar
de Windows Server 2008 al instalar el Windows Server función Copia de seguridad y
optar por instalar la opción de línea de comandos herramientas, como se muestra en la Figura
12-6.
Figura 6.12 Instalación wbadmin

La utilidad wbadmin es la única utilidad de copia de seguridad directa que se puede utilizar en
un servidor
la configuración de Server Core, a pesar de que es posible conectarse a un ordenador
forma remota con el servidor de consola de Windows de copia de seguridad. Se puede instalar
en wbadmin
un equipo que ejecuta en la configuración de Server Core mediante la emisión de los siguientes
comando:
Los comandos WBADMIN.EXE siguientes son útiles para realizar copias de seguridad de
Windows Server
2008 archivos:
■ wbadmin permitir copias de Este comando te permite crear y gestionar Cal.-
seguridad
copias de seguridad
programada.
■ wbadmin inicio systemstatebackup Este comando le permite realizar un sistema de
estado tem los datos de
backup.
■ wbadmin iniciar copia de Este comando le permite iniciar un solo manual
seguridad
copia de
seguridad.
■ wbadmin obtenerEste comando te permite ver los detalles de las copias de seguridad
versiones
Ya se han tomado.
■ Este
wbadmin obtener loscomando le permite determinar qué elementos se
elementos en una imagen de copia de seguridad específica.
contenida
La mayoría de los administradores estarán interesados en la wbadmin iniciar copia de

seguridad comando porque
que permite la realización de copias de seguridad manuales en carpetas compartidas. Esto se
hace usando el
sintaxis -Backuptarget: \ \ Share \ Folder donde la ubicación de la carpeta compartida se
expresa como un
UNC pathname. En el caso de que tenga que proporcionar credenciales de autenticación
para escribir datos en la carpeta compartida, puede utilizar por el usuario: y contraseña:
opciones. Para
ejemplo, copia de seguridad de volúmenes E, F, G y de un servidor para el almacén de
carpetas compartidas en la
Glasgow servidor con credenciales de Kim Aker, usted debe ejecutar el siguiente comando:
Debido a que usted puede llamar a WBADMIN.EXE de un archivo por lotes, y usted puede
llamar a los archivos por lotes de la
Programado utilidad Tareas, puede programar la ejecución de forma más precisa configurado
copias de seguridad que usted puede usar las opciones de copia de seguridad de Windows
Server de la programación. Usted puede usar
este método para configurar copias de seguridad programadas a ubicaciones de red. Por
ejemplo, el
comando:
639
va a crear un archivo por lotes denominado ssbackup.bat en el directorio c: \ scripts directorio

que llevará a cabo
una copia de seguridad del estado del sistema a la red compartida \ \ Server \ Share utilizando
las credenciales del usuario
RemoteUser. Uso de las tareas programadas, puede configurar este archivo por lotes para
ejecutar de acuerdo
a un horario, imitando la funcionalidad de copia de seguridad de Windows Server programar
■
copiasLadeopción-quiet
seguridad. es necesario en el comando Wbadmin, ya que no
desea detener
Al plan de copias de una tarea programada,
seguridad yamétodo,
mediante este que estásiga
a lalos
espera de la entrada.
siguientes puntos en mente:
■ La tarea programada se debe ejecutar con la cuenta Administrador local, porque
WBADMIN.EXE se debe ejecutar con privilegios elevados.
■ Si la tarea programada está escribiendo en un recurso compartido de red, usted tendrá
que poner el usuario
credenciales de la cuenta en el guión llamado por la tarea programada. Usted puede
proteger
estas credenciales mediante el uso de EFS para cifrar el archivo de modo que sólo los
■ locales de Adminis-
El principal inconveniente de copias de seguridad de secuencias de comandos es que no
cuenta trador
funcionará si el puede ver de
objetivo el contenido
loca- del script.
ción es completa. Copias de seguridad programadas con WBADMIN.EXE se eliminará
automáticamente la
más antigua copia de seguridad cuando no existe suficiente espacio para la copia de
seguridad
Lista actual.
MÁS INFORMACIÓN completa de opciones de wbadmin
Usted puede aprender algo más acerca de la sintaxis en wbadmin http://technet2.microsoft.com/
windowsserver2008/en/library/4b0b3f32-d21f-4861-84bb-b2eadbf1e7b81033.mspx? Referencia del
fabricante = true.
Copia de seguridad de funciones de servidor y

aplicaciones
En general, las copias de seguridad de una función de servidor en particular, tales como las
funciones de DHCP o DNS y sus
datos asociados, es simplemente una cuestión de hacer copias de seguridad del estado del
sistema. Los datos del sistema estatal
automáticamente incluidos en las copias de seguridad cada vez que realice una copia de
seguridad completa del servidor o de cualquier
Tipo de copia de seguridad programada. Los datos del sistema del Estado es también una
copia de seguridad cuando se realizan
una copia de seguridad manual mediante Copia de seguridad de Windows Server y elija el
sistema permiten recu-
Ery opción al seleccionar los elementos de seguridad. El único método por el cual usted puede
copias de seguridad
sólo los datos de estado del sistema es el uso de WBADMIN.EXE con la inicio
systemstatebackup opción.
Una limitación importante cuando se utiliza WBADMIN.EXE con esta opción es que el estado
del sistema
los datos sólo se puede escribir en un volumen local, incluso cuando se realiza una copia de
seguridad manual. A
realizar una copia de seguridad de datos del estado del sistema, abra un símbolo del sistema
con privilegios elevados
y ejecute el comando siguiente, donde F: es el identificador de volumen:
Realización de un estado del sistema de recuperación de datos se tratarán en detalle en la

lección 2, "Desastres
La recuperación ".
Copia de seguridad de aplicaciones
Copia de seguridad de Windows Server se nota en especial de las aplicaciones que son de
instantáneas de volumen
Copy Service (VSS) y Windows Server Backup-consciente, lo que le permite restaurar sólo
la aplicación y sus datos asociados de un servidor de copia de seguridad completa o volumen.
Para que usted pueda
poder utilizar esta funcionalidad, una aplicación debe ser registrado con Windows
Copia de seguridad del servidor, que se produciría de forma automática durante la instalación
de la aplicación
proceso. Esto limita esta funcionalidad a las aplicaciones que están diseñadas para funcionar
en
Windows Server 2008. Usted todavía puede hacer una copia de seguridad y restaurar los datos
relacionados con las solicitudes presentadas
su aplicación no se registra con un servidor Windows. El beneficio de la
esta característica es que se simplifica enormemente el proceso de restauración de
aplicaciones, asegurando que
Copia
todos losde datos
seguridad
de la de Active Directory
aplicación los archivos ejecutables a través de la configuración del
registro,
Active se envasa
Directory en
es automáticamente una copia de seguridad cada vez que una copia de
de tal manera
seguridad de laque usted puede restaurar sólo que la aplicación, sus dependencias, y los datos.
crítica
volúmenes en un controlador de dominio. También puede realizar una copia de seguridad de
Active Directory
realizar una copia de seguridad del estado del sistema. Una copia de la base de datos de
Active Directory se almacena
en todos los países en desarrollo dentro de un dominio, por lo que en el caso de que uno se
pierde y que no tienen
Aunque
acceso alalos realización
datos de de unade
copia copia de seguridad
seguridad, puede del estado
realizar unadel sistema realiza
recuperación una copiadesde
por reinstalar de
seguridad
cero y de todos los objetos de Active Directory,
la naturaleza
replicar la basededela replicación de Active Directory
datos de controladores hace que la recuperación de algunos objetos
de dominio.
más
difícil que la recuperación de los demás. Si bien el proceso de llevar a cabo una autoridad
restaurar se trata en detalle por la lección 2, la técnica para la restauración de un grupo
eliminado
Objeto de directiva es significativamente diferente de la restauración de una cuenta de usuario
o de un árbol de OU. Grupo
Objetos de directiva están respaldados con el Group Policy Management Console, y
debe utilizar esta
Para realizar una consola,
copia de en lugar dede
seguridad Directorio Modo
objetos de de restauración
directiva de servicios,
de grupo, abra el Grouppara
Policy
recuperar
Management Console para
GPO
que laeliminados.
directiva de grupo contenedor de objetos es visible. Haga clic derecho en la directiva de
grupo
Elemento objetos, que se muestra en la figura 7.12, a continuación, haga clic en Copia de
seguridad de todos. Como parte de este pro-
proceso tendrá que especificar una ubicación y una descripción para la copia de seguridad. Hay
que
ser un lugar que normalmente es una copia de seguridad como parte de la copia de seguridad
de Windows Server
rutina.
641
Figura 12-7 Grupo de Política de seguridad
Copia de seguridad de Active

MÁS INFORMACIÓN
Directory
Para más información sobre copias de seguridad de Active Directory, consulte el siguiente de Microsoft TechNet
artículo: http://technet2.microsoft.com/windowsserver2008/en/library/1ac7f330-7283-453d-bbf4-
f748fbc0ec4a1033.mspx? Referencia del fabricante = true.
Consulta Rápida
1. ¿Qué comando se utiliza para instalar WBADMIN.EXE en un servidor Windows 2008
equipo que está ejecutando la configuración de Server Core?
2. ¿Qué pasa con los volúmenes y los datos almacenados en un disco que seleccione
como
el objetivo de almacenar los datos de copia de seguridad generada por copia de
Respuestas
seguridad Quick Check Server?
de Windows
1. Ocsetup WindowsServerBackup
2. Todos los volúmenes y los datos sobre el disco de destino se eliminan antes de que
Windows
Copia de seguridad de servidor escribe su primer conjunto de datos de copia de
seguridad.
Copia de seguridad de forma remota

ordenadores
La herramienta Windows Server Backup se puede utilizar para conectarse a otro servidor de
Windows
2008 equipo y realizar tareas de copia de seguridad como si la copia de seguridad se están
realizando
en el equipo local. Esto permite a los usuarios que tienen la administración de sistemas
remotos
Herramientas instaladas en sus estaciones de trabajo Windows Vista para conectarse a
Windows Server
2.008 ordenadores y realizar operaciones de copia de seguridad como si se tratara de iniciar
sesión localmente.
Para realizar esta operación, el usuario que realiza la conexión debe ser un miembro de la
Operadores de copia o de un grupo de administradores local en el servidor de Windows 2008
Las
com-mismas limitaciones que se aplican a una instancia local de ejecución se aplican a las
conexiones
computadoraremotas
a la que se establece la conexión.
utilizando el servidor de consola de Windows de copia de seguridad. Un usuario que sólo es un
miembro de la
Grupo Operadores de copia de seguridad local no será capaz de programar copias de
seguridad y sólo se
capaz de realizar copias de seguridad programadas. Un usuario que es miembro de la
comunidad local de Adminis-
Copia
tradoresdegrupo
seguridad
en elde Windows
servidor queServer no le permite
es el destino programar
de la copia copias de
de seguridad delseguridad de datos
servidor remoto de
generados
Windows en
equipos
conexiónremotos que de
será capaz se realizar
escribentodas
en una
lasfuente
tareaslocal. Usted
de copia depuede escribir
seguridad a una fuente local
normal.
cuando
realizar una copia de seguridad programada sólo si el equipo está intentando escribir
datos se ha configurado una carpeta compartida. No se puede utilizar la utilidad de
WBADMIN.EXE
Otras consideraciones
gestionar copias depara copias
seguridad de seguridad
en equipos remotos. de
Planificación
La unidad más pequeña de copia de seguridad con backup de Windows Server es el volumen,
en lugar de
a la capacidad de copia de seguridad de archivos individuales y carpetas en Windows Server
2003. Esta lim-
bilitación tendrá un impacto significativo cómo configurar los servidores antes de su despliegue.
Al planear la implementación de servidores de archivos que usted necesita considerar cómo se
Va a ser una copia de seguridad y restauración. Puesto que las obras de seguridad en un nivel
por volumen,
podrían estar más inclinados a crear volúmenes separados por cada acción en lugar de colocar
varias partes en cada volumen, porque esto hace que sea más fácil de realizar por volumen
copia de seguridad y restauración. También es más fácil de montar una imagen de copia de
seguridad por volumen en
una máquina virtual si no puede restaurar de inmediato a su servidor original en el caso
Otra
de unconsideración en la planificación de copias de seguridad es la frecuencia con que los
fallo de hardware.
volúmenes de concreto
necesidad de hacer copias de seguridad. El uso de informes de almacenamiento, puede
hacerse una idea de cómo a menudo
los archivos de un determinado volumen se alteran. Una carpeta compartida que aloja los
documentos de política de recursos humanos
que sólo se actualizan de forma ocasional no tiene por qué ser una copia de seguridad cada
noche.
Al mover la carpeta compartida de su propia partición, puede configurar copias de seguridad de
su
contenidos que se produzcan con menos frecuencia. Como alternativa, puede localizar una
determinada compartida
carpeta en la que los datos se actualizan con tanta frecuencia y tan de misión crítica que puede
necesidad de volver hasta que el volumen de cada pocas horas. En última instancia, usted
debe desarrollar una copia de seguridad
643
estrategia de la organización que mejor se adapte a las necesidades de su organización, no la

limita-
ciones de las herramientas específicas que usted tiene que trabajar.
Una última consideración en la planificación de copias de seguridad es desarrollar una
estrategia fuera de las instalaciones. Fuera de las instalaciones
copias de seguridad asegurarse de que si el edificio que hospeda los servidores es destruido
por la inundación, incendio o
terremoto, su organización aún puede recuperar sus datos. Cuando se planifica un fuera de las
instalaciones
■ Copias de seguridad fuera del sitio se deben almacenar en lugares seguros. Debe evitar
estrategia de copia de seguridad, considere los siguientes puntos:
tener
miembros del personal de llevar a casa los datos de copia de seguridad ya que este
■ Asegúrese
entorno no de que si los datos están encriptados, las claves de recuperación se incluyen
es seguro.
en el fuera de las instalaciones
los datos de respaldo.
■ Asegúrese de que tiene suficiente equipo en su sitio de recuperación para que pueda
recuperar sus servidores.
System Center Data Protection Manager

System Center Data Protection Manager 2007 (DPM 2007) es una copia de seguridad
avanzada
solución que está disponible en Microsoft. Considerando que la copia de seguridad de Windows
Server es adecuado
de copia de seguridad más simples y restaurar situaciones, DPM 2007 está dirigido a los más
complejos
escenarios de copia de seguridad, tales como la copia de seguridad del servidor de producción
■ Ofrece copias de seguridad
de servidores de Exchange 2007 de nivel de byte. En una copia de seguridad incremental, sólo
o SQLlos archivos
Server 2008 que se han
casos. DPM 2007 tiene las principales ventajas siguientes:
cambiado desde la última copia de seguridad se escriben en la copia de seguridad. En un
nivel de byte
copia de seguridad, sólo los bytes en los archivos que han cambiado se escriben en la
■ copia
Puedede serseguridad,
utilizado para proporcionar el restablecimiento de pérdida de datos de
reduciendo
Exchange, SQLsignificativamente
Server, y la cantidad de datos que se escriban en una copia de
seguridad.
Office SharePoint Server. Esto funciona a través de la integración de un punto en el
tiempo la base de datos
copias de seguridad con registros de las aplicaciones existentes. Cuando se combinan,
los datos de aplicación puede
■ ser repuestodel
El software enagente
el momento en que
se pueden se produjo
instalar en loselservidores
error, no sólo hasta el punto
de sucursal, de
permitiendo que
donde la última copia de seguridad fue tomada.
los datos de copia de seguridad
se transmitirá a través de enlaces WAN. Software agente también puede utilizarse para
reenviar
los datos de backup a través de LAN, lo que permite copias de seguridad remotas que se
■ escribencopia
Soporta en locales
de seguridad para almacenamiento de conexión directa, Fibre Channel
los
SAN,medios de SAN.
y iSCSI comunicación.
No es compatible con dispositivos USB e IEEE 1394.
■ Informes completos, incluyendo el éxito y el fracaso de protección, así como
los medios de comunicación copia de seguridad de utilización.
■ Management Pack está disponible para System Center Operations Manager 2007. Este
permite la gestión centralizada del estado de la protección y recuperación de datos para
varios servidores DPM 2007 y servidores con el software DPM agente 2007
instalado. Mejor utilizar en entornos con muchos DPM 2007 servidores y clientes.
NOTA DPM 2007 FAQ

Para obtener más información acerca de DPM 2007, consulte la Ayuda en DPM 2007 http://technet.microsoft.com/en-
us/
library/bb795549.aspx.
Examen Consejo
Manual contra copia de seguridad programada
Tenga cuidado con las cuestiones referentes a copias de seguridad programadas, porque los lugares que usted
puede escribir
los datos de copia de seguridad son más restringidos que los lugares que usted puede escribir los datos de copia
de seguridad cuando
realizar una copia de seguridad manual.
Práctica: Copia de seguridad de Windows Server 2008

En este conjunto de ejercicios prácticos, se realizarán tres tipos distintos de copia de seguridad
en
Windows Server 2008 equipo de Glasgow. El primer tipo de copia de seguridad será lo normal
Copia de seguridad de Windows Server del sistema operativo de seguridad. El segundo tipo de
copia de seguridad
implica el uso de WBADMIN.EXE para realizar una copia de seguridad de volumen simple. El
último tipo de
copia de seguridad será un sistema estatal de seguridad de sólo copia.
NOTA Discos adicionales
Como se señaló en la introducción de este capítulo, las prácticas en este capítulo requieren que usted tenga
el acceso a un disco adicional y conectar al servidor de Glasgow. Este disco puede ser un disco virtual adicional si
usted
están utilizando el software de máquina virtual, un disco físico o un adjunto de USB 2.0 o IEEE 1394 del disco si
está utilizando hardware real. Este disco se puede utilizar para almacenar los datos de backup. El disco debe ser
aproximadamente 25 GB de tamaño de modo que puede almacenar todos los datos de copia de seguridad generada
en estas prácticas
ejercicios.
Ejercicio 1: Realizar una copia de seguridad manual mediante Copia de seguridad de

Windows Server
En este ejercicio, va a instalar el Windows Server función Copia de seguridad y luego realizar
una copia de seguridad manual del servidor de Glasgow. Al inicio del ejercicio, usted creará un
conjunto de
Objetos de Active Directory que se copia de seguridad. Estos objetos serán retirados y
más tarde restaurado como parte de los ejercicios de práctica al final de la lección 2.

Kim_Akers.
2. En la consola de Administrador de servidores, haga clic en el nodo Características y haga
clic en Agregar características.
En la página Seleccionar características del Asistente para agregar características, ampliar
la de Windows
645
Copia de seguridad de servidor de nodo Características. Seleccione Windows Server

Backup y línea de comandos
Herramientas, haga clic en Siguiente y, a continuación, haga clic en Instalar. Cuando la
función se ha instalado, haga clic en
Cerrar para salir del Asistente para agregar características.
NOTA Las necesidades de Windows PowerShell
Dependiendo de lo que otros ejercicios de la práctica que ha completado, se le pedirá a
confirmar la instalación de la característica de Windows PowerShell.
3. Abra Usuarios y equipos. Crear una nueva unidad llamada Planetas

bajo el dominio Contoso.internal. Dentro de la unidad organizativa de crear cuatro planetas
equipo
cuentas nominativas Saturno, Júpiter, Neptuno, y Urano. Cerca de Active Directory
Usuarios y equipos.
4. Compruebe que el disco extra se conecta a su ordenador y que se conoce su
nombre de volumen. Si el disco no está formateado, el formato del sistema de archivos
NTFS,
aunque una copia de seguridad manual se pueden escribir en un sistema de archivos
FAT32.
5. Abra Windows Server Backup en el menú Herramientas administrativas. En el
Panel Acciones, haga clic en Copia de seguridad de una vez. Esto abrirá el Asistente para
copia de seguridad una vez.
6. Asegúrese de que el elemento se selecciona diferentes opciones y haga clic en
Siguiente.
7. En la página de copia de seguridad Seleccione Configuración, que se muestra en la figura
8.12, seleccione Personalizar
Figura 8.12 Elija la configuración de copia de seguridad

personalizado
8. Asegúrese de que el sistema de la opción Habilitar la recuperación se ha seleccionado,
como se muestra en
Figura 9.12. Esto selecciona automáticamente todos los volúmenes que contienen operativo
componentes del sistema. Haga clic en Siguiente.
Figura 9.12 Selección de los elementos de

seguridad
9. En la página Especificar tipo de destino, asegúrese de que las unidades locales se
selecciona y se
10. En la página Seleccionar destino de copia de seguridad, utilice el menú desplegable para
seleccionar el
nuevo disco que ha agregado al servidor y haga clic en Siguiente.
11. En la página Especifique la opción Avanzado, seleccione Copia de seguridad completa de
VSS y haga clic en Siguiente.
12. En la página Confirmación, haga clic en Backup. El proceso de copia de seguridad
comenzará ahora.
Cuando el proceso de copia de seguridad completa, haga clic en Cerrar.
Ejercicio 2: Realización de un estado del sistema y copia de seguridad de volumen mediante
WBADMIN.EXE
En este ejercicio, realizará una copia de seguridad del estado del sistema mediante el
WBADMIN.EXE
de línea de comandos y luego crear una tarea programada. Para completar este ejercicio,
1. Asegúrese de que está conectado a Windows Server 2008 con el equipo de Glasgow
Kim Akers la cuenta de usuario.
2. Cree una carpeta en el volumen C: nombre Continentes. Crear cinco archivos de texto
dentro de este
volumen de llamada Europe.txt, Antarctica.txt, Africa.txt, Australia.txt, y
Asia.txt. El contenido de cada archivo de texto debe ser su nombre.
3. Abra un símbolo del sistema con privilegios administrativos.
4. Ejecutar el comando wbadmin inicio de copia de seguridad backuptarget: f: incluyen: c:-
vssFull
Silencioso.
647
NOTA Volumen de destino de copia de

seguridad
Si el disco extra se encuentra en el volumen de correo:, se utiliza-backuptarget: e:
5. Después de que el respaldo se ha completado, elimine la carpeta c: \

Continentes.
6. Ejecutar el comando wbadmin inicio systemstatebackup-backuptarget: f:-tranquilo.
7. Cuando se complete el comando, el comando wbadmin obtener versiones.
8. Comprobar que las tres tareas de respaldo se han creado, como se muestra en la
Figura 12-10.
Figura 12-10 Verificar que los elementos de una copia de

seguridad
■ Copia de seguridad de Windows Server es una característica que permite la creación de
programar y
copias de seguridad manuales en Windows Server 2008.
■ Sólo los miembros del grupo local de administradores pueden programar copias de
seguridad de Win-
dows Server 2008, aunque los miembros del grupo Operadores de copia de seguridad
puede tomar
■ copias
La líneadedeseguridad
comandos manuales.
WBADMIN.EXE herramienta ofrece más funcionalidad que Win-
ventanas de copia de seguridad del servidor, pero sólo se puede utilizar desde un símbolo
del sistema con privilegios elevados.
■ Copias de seguridad programadas sólo se puede escribir en discos locales o externos
USB conectado
2,0 o discos IEEE 1394. Copias de seguridad manuales se pueden escribir en estos
lugares, así
■ como
Se recursos
pueden compartidos
crear de red y escritores
copias de seguridad locales
programadas DVD. de la red mediante la
a lugares
colocación de un wbad-
min.exe comando en un script y programación utilizando las Tareas Programadas
herramienta. Un script que llama al comando WBADMIN.EXE se debe ejecutar utilizando
el local
Administrador de la cuenta.
■ Copia de seguridad de Active Directory consiste en tomar un estado del sistema de datos
de copia de seguridad. Toma
un estado del sistema de copia de seguridad de datos es generalmente todo lo que es
necesario realizar copias de seguridad de Windows
Server 2008 funciones.
en
Lección 1, "Copia de seguridad de datos." Las preguntas también están disponibles en el CD
NOTA Respuestas
1. Desea permitir a un usuario en un sitio remoto para realizar copias de seguridad manual de
un servidor de archivos
una vez por semana a un dispositivo USB extraíble 2.0 que será luego transportado por el
cou-
barrera a la ubicación de su organización sede. ¿Qué grupo local en el archivo
servidor debe agregar la cuenta de este miembro del personal de confianza de dominio de
usuario para
que puede realizar esta tarea sin que se concede innecesarios administra-
A. Los
TIVOS usuarios de
privilegios?
energía
B. Operadores de copia de
seguridad
C. Los administradores
D. Usuarios de escritorio remoto
2. Desea programar una copia de seguridad de estado del sistema todos los días a escribir en
una red de loca-
ción. ¿Cuál de los siguientes debe hacer para lograr esto? (Cada respuesta correcta
respuesta presenta una parte de la solución. Elija dos.)
A. Crear un archivo por lotes que contiene el wbadmin inicio systemstatebackup
comando que se dirige a la ruta UNC del recurso compartido de red con credenciales
que tienen acceso al recurso.
B. Crear un archivo por lotes que contiene el wbadmin inicio systemstatebackup

comando que se dirige a un volumen local con la cuenta de administrador local
credenciales.
C. Utilice la herramienta de tareas programadas para configurar un trabajo que se

ejecuta el lote
archivo con las credenciales de administrador local cuenta una vez al día.
649
D. Utilice la herramienta de tareas programadas para configurar un trabajo que se ejecuta

el archivo por lotes
con las credenciales que tienen acceso a la participación una vez por semana.
E. Utilice la herramienta de tareas programadas para configurar un trabajo que se
ejecuta el archivo por lotes
utilizando las credenciales de administrador local cuenta una vez por semana.
3. ¿Cuál de los siguientes lugares puede ser el destino de copias de seguridad programadas
con
De seguridad de Windows Server? (Cada respuesta correcta se presenta una solución
completa.
ElijaA.tres.)
USB 2.0 de disco externas
B. IEEE 1394 disco externo
C. IDE de disco interno
D. SAN iSCSI
4. ¿Cuál de las siguientes aplicaciones y servicios pueden utilizar para montar un
Windows Server Backup copia de seguridad de archivos? (Cada respuesta correcta se
presenta una completa
solución. Elija dos.)
A. Virtual Server 2005 R2
B. Hyper-V
C. El Explorador de
almacenamiento
D. Administración de discos
E. Storage Manager para redes SAN
5. Está desarrollando la política de la organización con respecto a las modificaciones de
activos
Directorio. Usted quiere asegurarse de que una copia de seguridad del estado del sistema
completo se toma antes de cualquier
modificaciones se realizan para Active Directory. Usted sólo quiere una copia de seguridad
del sistema
Los datos del estado y va a hacer esto con el WBADMIN.EXE inicio systemstatebackup
comandos. ¿Cuál de los siguientes objetivos se puede especificar cuando se ejecuta este
comandos de forma manual? (Cada respuesta correcta se presenta una solución completa.
Elija A. Red de Acciones
tres).
B. Grabadora de DVD
C. HDD externo USB 2.0
D. Externo IEEE 1394 HDD
E. Interna SCSI HDD
Lección 2: Recuperación de desastres

Parte del proceso de recuperación de desastres es la determinación de la causa de la falla
original. Si
que no se ocupan de la causa de la falla original, la falla podría ocurrir de nuevo. Para
ejemplo, si una unidad de disco ha fallado debido a un problema en la placa base y
no son capaces de diagnosticar correctamente este problema, un disco de reemplazo pudieran
sufrir las
misma suerte que el original. En esta lección, usted aprenderá cómo recuperarse de los
desastres
con copias de seguridad que ya hemos adoptado. Usted aprenderá la forma de recuperar todo
un
servidor mediante el proceso de recuperación de metales desnudos y cómo recuperar los datos
del estado del sistema,
y usted aprenderá
Después sobre usted
de esta lección, el proceso de restauración
será capaz de: de autoridad los elementos eliminados de
Active Directory.
■ Recuperar servidores.
■ Recuperar servicios de función.
■ Recuperar los datos.
■ Recuperar de Active Directory.
Windows Server Modos de Respaldo y Recuperación

Si usted va a realizar operaciones de recuperación mediante Copia de seguridad de Windows
Server,
cuenta de usuario debe ser miembro de los Operadores de copia de seguridad o del grupo
Administradores o
debe haber delegado los permisos adecuados. Como se mencionó al inicio de
el capítulo, copias de seguridad realizadas con ntbackup.exe no se pueden restaurar utilizando
Windows
Servidor de copia de seguridad o WBADMIN.EXE. Usted puede obtener una versión de sólo
Aunque
lectura delosntbackup.exe
servidores pueden estar protegidos por BitLocker cuando se copia de seguridad,
cuando
de Microsoft, el enlace de esta utilidad es que en la primera lección de este capítulo.
llevar a cabo un volumen, el sistema operativo, o restaurar todo el servidor, la configuración de
BitLocker se
no se han restaurado. Usted tendrá que volver a solicitar BitLocker después de la restauración
se ha completado con
garantizar que los volúmenes están cifradas. El proceso de aplicación de BitLocker en un
equipo
Recuperar archivos y carpetas
Windows Server 2008 se ha cubierto en el capítulo 1.
A pesar de copia de seguridad de Windows Server sólo permite la copia de seguridad en el
nivel de volumen,
puede realizar la recuperación en el archivo y el nivel de carpeta. Como muestra la Figura 12-
11 muestra, esta función-
lidad le permite restaurar un conjunto de archivos y carpetas, o incluso un archivo individual.
Lección 2: Recuperación de desastres 651
Figura 12-11 Selección de elementos para recuperar
Cuando se planea restaurar un archivo o carpeta que usted necesita saber lo siguiente:
■ La fecha en que el archivo o carpeta se copia de
■
seguridad
El archivo o la ubicación de la
■
carpeta de
Si usted desea restaurar el archivo o la carpeta Configuración de
■
seguridad
La ubicación en la que desea restaurar el archivo o carpeta
■ ¿Qué hacer en caso de duplicados se encuentran en la ubicación de
restauración
Si un duplicado se encuentra en la ubicación de la restauración, las opciones van a tener de
forma automática
una copia creada, para sobrescribir los archivos existentes con los archivos recuperados, o que
no se recuperan
los
Unaarchivos específicos
gran ventaja donde
de copia existen duplicados.
de seguridad de Windows Server en las versiones anteriores de
Windows
Utilidad del servidor de copia de seguridad es que gestiona los archivos de copia de seguridad
existente, de modo que si los datos de copia de seguridad
hay que leer varios archivos, tales como copia de seguridad diferente al de varios volúmenes
sobre
una carpeta que se ha hecho copia de seguridad incremental es necesario restaurar el proceso
ocurre
automáticamente. La determinación de las copias de seguridad se requiere cuando se realiza
una restauración
ción fue el mayor inconveniente de llevar a cabo una restauración de copias de seguridad
incrementales.
Que llevará a cabo un archivo y recuperación de la carpeta durante el ejercicio de la práctica

por primera vez en la final de
esta lección.
Más información sobre la restauración de archivos

MÁS INFORMACIÓN
y carpetas
Para más información sobre la restauración de archivos y carpetas, consulte el escenario 3 en el siguiente Microsoft
TechNet enlace: http://technet2.microsoft.com/windowsserver2008/en/library/00162c92-a834-43f9-9e8a-
71aeb25fa4ad1033.mspx? Referencia del fabricante = true.
Las solicitudes y la recuperación de datos de aplicación

Una nueva característica de copia de seguridad de Windows Server es la posibilidad de realizar
aplicaciones específicas
restauraciones. Una restauración de aplicaciones específicas sólo restaura una aplicación, su
configuración y los datos de la aplicación asociada. Sólo se puede utilizar para copia de
seguridad de Windows Server
realizar una restauración de aplicaciones en una aplicación que ha sido registrado con
Windows Server Backup, un proceso que ocurre durante la instalación de la aplicación.
Cuando se realiza una recuperación de la aplicación se le dará una lista de aplicaciones
registrados con un servidor Windows que se puede recuperar sobre la base de la copia de
seguridad
fecha en que usted haya seleccionado. Si la copia de seguridad que está llevando a cabo la
restauración de la es
la copia de seguridad más recientes tomadas de la solicitud de acuerdo a los datos
almacenados en el
Catálogo de copia de seguridad, usted tendrá la opción de poner al día la base de datos de
aplicación.
La opción por defecto es permitir en avance. Sólo debe seleccionar la opción No
Realizar una recuperación en avance de la base de datos de aplicaciones si desea bloquear
roll-forward. Usted podría utilizar esta opción si el cambio que están tratando de deshacer
se hizo después de la copia de seguridad fue tomada, por ejemplo, si una tabla importante en
un servidor SQL Server
Más información sobre las aplicaciones de
MÁS INFORMACIÓN
base de datos se cayó.
recuperación de
Para obtener más información acerca de la recuperación de copia de seguridad de Windows Server que las
aplicaciones, consulte las siguientes
enlace de Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/00162c92-
a834-43f9-9e8a-71aeb25fa4ad1033.mspx? Referencia del fabricante = true.
Volúmenes de recuperación
Recuperación del volumen es la recuperación directa de todos los contenidos del volumen.
Volumen de recuperación
es útil en situaciones en las que podría haber perdido un volumen debido a la falta de un disco
pero usted no necesita ir a la etapa de la realización de un sistema operativo completo o
servidor
de recuperación. Lo más importante para recordar acerca de realizar una recuperación del
volumen
es que todos los datos existentes en el lugar de destino se perderá al realizar el
de recuperación. Usted puede recuperar uno o más volúmenes en una recuperación del
volumen.
Más sobre la recuperación del volumen

MÁS INFORMACIÓN
Para obtener más información acerca de la recuperación de volumen, incluyendo una lista de los pasos detallados
necesarios para realizar la
recuperación, consulte el siguiente artículo de Microsoft TechNet: http://technet2.microsoft.com/
windowsserver2008/en/library/00162c92-a834-43f9-9e8a-71aeb25fa4ad1033.mspx? Referencia del fabricante =
true.
Instalación completa y la recuperación del sistema

operativo
También conocido como Bare Metal Recovery, recuperación de servidor completo le permite
completamente
restaurar el servidor de arranque de los medios de instalación de Windows Server 2008 o
Entorno de recuperación de Windows. Vea la nota en la construcción de una solución de
recuperación para obtener más
información sobre cómo configurar un entorno local de recuperación de Windows en Windows
Server 2008 equipo. Recuperación de servidor completo va más allá del Sistema Automatizado
Recovery (ASR) que estaba disponible en Windows Server 2003, ya que todo el servidor
recuperación restaurará todos los sistemas operativos, aplicaciones y otros datos almacenados
en la
servidor. ASR no proporcionó una recuperación completa y que era necesario más
restaurar los datos de copia de seguridad después de que el proceso ASR fue completa.
NOTA La construcción de una solución de
recuperación
Usted puede aprender a crear una solución de recuperación para la instalación en otro disco en Windows
Server 2008 equipo siguiendo las instrucciones en http://technet2.microsoft.com/WindowsVista/
en/library/61e08b15-82d8-46bd-a5f1-7947193e6ed81033.mspx? Referencia del fabricante = true. (Estas instrucciones
de referencia de Windows Vista, pero funciona en Windows Server 2008.)
Una recuperación del sistema operativo es similar a una recuperación de servidor completo,
excepto que sólo se
recuperar los volúmenes críticos y no se recuperan los volúmenes que no contienen datos
críticos.
Por ejemplo, si usted tiene un servidor de archivos en los discos que alojan críticos de
operación
volúmenes del sistema están separados de los discos que servidor compartido de carpetas y
volúmenes
Cuando
los discosseque
realiza un los
alojan servidor completo
volúmenes o la del
críticos recuperación del sistema
sistema operativo operativo
no, debe queuna
realizar debe
asegurarse
recuperación dedel
quesistema operativo.
el disco se está recuperando de por lo menos tan grande como el disco que contenía los
volúmenes
que la copia de seguridad, independientemente del tamaño de los volúmenes en el disco. Por
ejemplo, si usted
realizar una copia de seguridad completa del servidor en un servidor que se ha configurado
para utilizar sólo una de 30 GB
partición de un disco de 100 GB y el disco que falló, usted tendrá que realizar la restauración de
un disco operativo
Sistema que está pory lalo menos 100 GB
recuperación de tamaño
completa cuandose
del servidor serealiza
realizamediante
un completo servidor de
el arranque o
sistema operativo
Windows
de recuperación.
Server 2008 disco de instalación o en el entorno de recuperación y el uso de la
opciones de reparación de computadoras. Para llevar a cabo un sistema operativo completo o

de recuperación del servidor, por-
forman los siguientes pasos:
1. Arrancar desde el medio de instalación de Windows 2008.
2. En el cuadro de diálogo Configuración de idioma, haga clic
en Siguiente.
3. En la página Instalar Windows, se muestra en la Figura 12.12, haga clic en Reparar el
equipo.
Figura 12-12 La reparación de su equipo
4. Si se está recuperando de su equipo en un hardware nuevo, la recuperación del sistema

Lista de opciones estará vacía. De lo contrario, contendrá operativo detectado
sistemas en el ordenador, incluso si están dañadas. De cualquier manera, haga clic en
Siguiente.
5. En el cuadro de diálogo Opciones de recuperación del sistema, que se muestra en la Figura
13.12, haga clic en
Restauración de Windows Complete PC.
Figura 12-13 Seleccione Restauración de Windows Complete PC

6. Cuando se selecciona la opción Restaurar PC completa, la empresa buscará todos los

locales y
dispositivos de almacenamiento conectados a la copia de seguridad completa más reciente.
Usted puede elegir
restaurar desde la copia de seguridad más recientes detectados, o especificar una
copia de seguridad al elegir la opción de restaurar una copia de seguridad diferente. La
figura 12-14 muestra
varias copias de seguridad diferentes que se pueden restaurar a partir de la misma 2.0 USB
extraíble
dispositivo. Al hacer clic en la opción Avanzado permite que usted busque una copia de
seguridad en el
de red o para instalar un controlador para un disco conectado localmente, como una unidad
SCSI, que
no es visible debido a que el software apropiado no se ha cargado.
Figura 12-14 Selección de una copia de seguridad para

restaurar
7. En la página Elija Cómo restaurar la página de copia de seguridad se puede seleccionar el
formato y
Discos reparto opción si aún no lo ha preparado para los discos de restauración
ción. Seleccione la opción Excluir los discos si hay discos que no quiere
formateado y particionado. El disco que alberga los datos de copia de seguridad automática
excluidos. Si hay discos que no contienen datos importantes que usted puede seleccionar el
Sólo la opción Restaurar sistema de discos para llevar a cabo una recuperación del sistema
de sólo lectura. En este
punto también se puede instalar controladores adicionales si los discos que se están
recuperando los datos de
requieren controladores adicionales para funcionar. Selección de Opciones avanzadas
permite a los discos que se
MÁScomprueban los errores
Más información
INFORMACIÓN inmediatamente
sobre después
la recuperación del sistema de la recuperación es completa.
operativo
Para obtener más información sobre el sistema operativo y la recuperación de servidor completo, consulte el
siguiente enlace
Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/f06b5935-4d50-
456a-A249-8212d0bd26c71033.mspx? Referencia del fabricante = true.
Sistema de Recuperación de
Estado
Realizar una recuperación del estado del sistema es el método más común de recuperar
corruptos
datos del servidor de papel o la restauración de Active Directory. No es posible realizar una
parcial
Sistema de recuperación de Estado. La recuperación del sistema del Estado debe ocurrir en su
totalidad. Para llevar a cabo una
1. Abra un símbolo del sistema administrativo y entre el mandato wbadmin
La recuperación del sistema del Estado mediante la utilidad wbadmin, realice los siguientes
obtener versiones. Esto producirá una lista de copias de seguridad, con el respaldo más
pasos:
reciente
en primer lugar.
2. Tome nota del identificador de versión de copia de seguridad, que será en el formato
DD / MM / AAAA-HH: MM. Es necesario dotar a la versión de copia de seguridad completa
identificador de la hora de realizar la restauración.
3. Introduzca el comando wbadmin Inicio systemstaterecovery versión: MM / DD /

AAAA-HH: MM. Tipo Ya aceptar la recuperación del estado del sistema y pulse Intro
para iniciar el proceso de recuperación. Cuando finalice el proceso, reinicie el servidor.
4. El servidor puede que tenga que reiniciar varias veces, dependiendo de las funciones de
servidor que
se instala en Windows Server 2008, cuando la copia de seguridad del estado del sistema
fue tomada.
Consulta Rápida
1. ¿Bajo qué condiciones se puede realizar una recuperación de la aplicación?
2. ¿Cómo acceder a la herramienta que le permite realizar una recuperación completa
del servidor?
1. La aplicación debe estar registrado con un servidor Windows. Un
aplicación que está registrada con un servidor de Windows pueden ser restaurados
sin necesidad de la restauración de cualquier otro no relacionado con la aplicación de
datos.
2. Para acceder a la herramienta que se utiliza para realizar una recuperación de
servidor completo, o bien es
necesarios para arrancar desde el medio de instalación de Windows 2008 o
arrancar en el entorno de recuperación de Windows.
Recuperación de Active Directory

Active Directory se recupera cuando se recupera del sistema un controlador de dominio
Los datos del estado. Al recuperar los datos del estado del sistema se realiza lo que se
denomina
unrestauración no autoritaria. Una restauración no autoritaria trae el Active Directory
base de datos en el servidor de nuevo al punto de que se encontraba cuando la copia de
seguridad fue tomada. Cuando
de reiniciar el DC al final del proceso de replicación del sistema de Estado de la DC replica
con otros controladores de dominio en el dominio y la base de datos de Active Directory se

actualiza con
cambios que han ocurrido desde la copia de seguridad fue tomada. Si, en lugar de querer
recuperar la DC, que desea recuperar los objetos específicos de Active Directory que se han
eliminado de la base de datos, es necesario llevar a cabo lo que se conoce como autorizado
restauración. Restauraciones autoritativas se tratan en la siguiente sección.
Más sobre la realización de nonauthoritive restaura

MÁS INFORMACIÓN
Para más información sobre la realización de restauraciones no autoritativa de Active Directory, consulte los
siguientes
Artículo de Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/fd79a503-
dfe7-483a-9de1-a7b39dae76aa1033.mspx? Referencia del fabricante = true.
La restauración autoritaria
Cuando una restauración no autoritaria se lleva a cabo, los objetos eliminados después de la
copia de seguridad
tomado de nuevo se borrará cuando el DC restaurado replica con otros servidores de la
dominio. En todos los demás DC del objeto se marca como eliminado de manera que cuando la
replicación
se produce la copia local del objeto también será marcado como eliminado. La autoridad
proceso de restauración se cumple el objeto eliminado de tal manera que cuando se produce la
replicación,
el objeto se restaura al estado activo en el dominio. Es importante tener en cuenta
que cuando se elimina un objeto que no es inmediatamente eliminado de Active Directory, pero
ganancias de un atributo que lo marca como eliminado hasta que el desechados se alcanza y
el objeto es eliminado. La duración de desecho es la cantidad de tiempo que un objeto
eliminado
Para asegurarse
permanece de que
en Active la basey de
Directory datos
tiene de Active
un valor Directory node
predeterminado se180
actualiza
días. antes de que la
autoridad
restauración se lleva a cabo, se utiliza el modo de restauración de servicios de directorio
(DSRM), cuando por
que forman el proceso de restauración autoritaria. DSRM permite al administrador para llevar a
cabo
las restauraciones necesarias y marcar los objetos como restaurados antes de reiniciar el DC
y permitiendo que los cambios se repliquen a otros controladores de dominio en el dominio.
NOTA Sólo DC en el dominio
Restauraciones autoritativas no son necesarias si sólo hay un DC en el dominio porque no hay
otra copia de la base de datos de Active Directory.
Arranque en modo de restauración de servicios de directorio

Puede utilizar tres métodos para arrancar en DSRM. El primer método consiste en presionar F8
durante el
el proceso de inicio y luego seleccione Modo de restauración de servicios de directorio del
sistema, como
Figura 12-15 Usando F8 para arrancar en DSRM
La cantidad de tiempo que usted tiene que utilizar el método F8 se administra a corto plazo, y
muchos
tradores se sienten frustrados al ver que se pulse la tecla demasiado tarde, lo que significa que
tienen
para iniciar todo el camino en Windows Server 2008 con normalidad. Para el segundo método
consiste en
la apertura de un símbolo del sistema administrativo y ejecutar el siguiente comando:
Esto cambia la opción de arranque para que Windows Server 2008 se inicia automáticamente
en
DSRM. Esta opción se utiliza generalmente en los países en desarrollo que están configurados
para ejecutarse en el servidor
Núcleo de configuración. Para eliminar esta opción de arranque, abra un comando de
administración
del sistema y ejecute el siguiente comando:
Si no eliminar esta opción, el servidor siempre se iniciará en DSRM. El tercero
método de arranque de Windows Server 2008 DC en el Modo de restauración es
para abrir la consola de configuración del sistema desde el menú Herramientas administrativas
y
seleccione la opción Directorio Activo de reparación de arranque seguro, como se muestra en
la figura 12-16.
Figura 12-16 Configuración de un servidor se reinicie en DSRM
Inicio de sesión en DSRM requiere que tenga la contraseña DSRM. La contraseña DSRM
se establece sobre una base individual para cada controlador de dominio en el controlador de
dominio
promoción de procesos. Debido a que puede ser en algún momento entre un controlador de
dominio que se
promovido y un administrador que necesitan para utilizar DSRM, esta contraseña es a menudo
de-
conseguido. Si la contraseña DSRM se ha olvidado, puede restablecerla mediante la
1. Inicie sesión
realización de lasen el controlador de dominio con una cuenta que sea miembro del dominio
Administradores
siguientes acciones,de grupo.se muestra en la Figura 12-17:
también
2. Abra un símbolo del sistema administrativo y el tipo ntdsutil.
3. En el símbolo Ntdsutil del sistema, escriba establecer una contraseña
DSRM.
Figura 12-17 Restablecer la contraseña DSRM

4. En el símbolo del sistema de DSRM realice una de las siguientes:

❑ Si restablecer la contraseña DSRM en el DC local, introduzca el comando reajustar
contraseña nula servidor. Escriba y confirme la nueva contraseña.
❑ Si restablecer la contraseña DSRM para otro DC, entre el mandato reajustar
contraseña en el servidor nombre del servidor donde nombre del servidor es el nombre
completo de la
servidor para el que son restablecer la contraseña.
5. En el indicador de DSRM, el tipo q. En el símbolo Ntdsutil del sistema, escriba qpara salir.
Después de un DC se ha reiniciado en DSRM y que haya iniciado sesión en el uso de la

Adminis-
trador cuenta y la contraseña DSRM, es necesario realizar una autoritaria
restaurar mediante la restauración de los datos del estado del sistema mediante la utilidad
WBADMIN.EXE. Este proceso
fue cubierto anteriormente en "La recuperación del estado del sistema" anteriormente en este
capítulo. Si usted necesita
realizar una restauración autoritaria de SYSVOL, realizar la recuperación del estado del sistema
con
la -AuthSysVOL opción. Sólo debe utilizar esta opción cuando sea necesario para rodar
SYSVOL
Una vez que volver a una versión
el estado anterior
del sistema a la que
proceso existe actualmente.
de recuperación Esta opción es
se ha completado, es necesario
no utiliza habitualmente
utilizar el NTDSUTIL como parte del proceso de restauración autoritaria.
utilidad para entrar en el modo de restauración autoritaria. Desde aquí se puede restaurar
objetos
haciendo referencia
Para restaurar a suselnombres
un objeto, completos.de objetos y luego el nombre completo del objeto.
tipo Restauración
Para restaurar un contenedor y todo lo que encuentra debajo de ella, el tipo Restaurar subárbol
y luego
nombre completo del contenedor. Por ejemplo, para restaurar la unidad organizativa de
Platypus, y todos los
de su contenido en el dominio Tailspintoys.com, ejecute el comando siguiente:
Si los objetos tienen vínculos de vuelta, un archivo LDIF se generará en el directorio desde el
que
haber realizado la operación de restauración autoritaria. Un enlace incluye información
tales como la pertenencia a grupos que el objeto había restaurado que no son automáticamente
incluido al realizar la operación de restauración autoritaria. Debe ejecutar el archivo LDIF
archivo en cada dominio que puedan tener objetos del grupo que puede haber incluido el
restaurado
objeto en el momento de su supresión. Para realizar esta operación, ejecute el siguiente
comando en un controlador de dominio en cada dominio es necesario:
Que llevará a cabo la restauración autoritaria de objetos de Active Directory durante la

ejercicio de la segunda práctica al final de esta lección.
Más de restauración autoritaria

MÁS INFORMACIÓN
Para más información sobre cómo realizar una restauración autoritaria de objetos de Active Directory,
consulte el siguiente artículo en Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/
en/library/f4e9ee21-ee35-4650-acca-798555c0c32c1033.mspx.
La recuperación de objetos eliminados de directiva de

grupo
No se puede utilizar una restauración autoritaria para restaurar GPO eliminados. Que deben ser
recuperados
con el Group Policy Management Console. Para ello, abra la GPMC, haga clic en
la directiva de grupo contenedor de objetos y haga clic en Administrar copias de seguridad.
Vaya a la
ubicación en la copia de seguridad de GPO se almacenan, seleccione el GPO que desea
recuperar en el
el cuadro de diálogo que se muestra en la Figura 12.18, a continuación, haga clic en Restaurar.
Figura 12-18 La restauración de un GPO
Realización de recuperación de servidor completo de un controlador de

dominio
Al realizar una recuperación de servidor completo de un controlador de dominio de forma
automática por
formar una restauración no autoritativa de Active Directory. Debido a la naturaleza de la plena
proceso del servidor de recuperación, es difícil de utilizar para realizar una restauración
autoritaria
porque el servidor se reinicie más probable y replicar antes de tener la oportunidad de
la fuerza que en DSRM para llevar a cabo el proceso de restauración autoritaria. Esto podría
ser
técnicamente posible que un administrador que se apresura a presionar F8 en el apro-

comió el tiempo, pero realizando una recuperación de servidor completo de un controlador de
dominio no debe ser considerada como una vía-
ble método de restauración de datos eliminados de objetos de Active Directory. Por supuesto,
después de la plena
la recuperación del servidor se ha completado, nada impide a partir de entonces la realización
de una más tra-
tradicionales de restauración autoritaria utilizando los métodos descritos anteriormente en esta
lección. Per-
formando una recuperación de servidor completo de un controlador de dominio sigue los pasos
descritos
MÁS anteriormente
Más información sobre la recuperación de servidor
INFORMACIÓN
en la leccióncompleto de un DC
sobresobre
cómo realizar
Para más información cómo realizaruna recuperación
una recuperación completa
de servidor del servidor
completo estándar.
de un controlador de dominio,
consulte la
el siguiente artículo en Microsoft TechNet: http://technet2.microsoft.com/windowsserver2008/en/library/
fd79a503-dfe7-483a-9de1-a7b39dae76aa1033.mspx.
Base de datos de Active Directory de herramientas de

montaje
La herramienta de base de datos activa de montaje (Dsamain.exe) permite la creación
y la visualización de los datos almacenados en Active Directory directorio sin necesidad de
para reiniciar el controlador de dominio en dicho modo. Usted puede utilizar el
Dsamain.exe herramienta para comparar el estado de Active Directory, tal como existe en los
diferentes complementos
disparos sin tener que restaurar copias de seguridad múltiples. Esto puede ser muy útil si usted
está
tratando de determinar si una copia de seguridad particular de Active Directory contiene la
los objetos que desea restaurar.
Usted puede usar tanto con Dsamain.exe la operación de instantánea ntdsutil y con un
Windows Server 2008 del sistema de datos de copia de seguridad del Estado. El proceso
implica el uso de ntdsutil
para montar la instantánea del directorio y luego con Dsamain.exe para ver y mod
ify la instantánea. Por razones de seguridad, sólo los miembros del grupo Administradores de
dominio y
Administradores de grupo es capaz de ver estas fotos. Aunque puede utilizar la
dsamin.exe herramienta para volver a crear objetos eliminados, este proceso es complicado y
laborioso.
Microsoft recomienda que utilice DSRM y una restauración autoritaria como su
método principal de la restauración de objetos de directorio eliminado en vez de manual de
intentar
recreación a través de dsadmin.exe.
NOTA Más información sobre
Dsamain.exe
Para obtener más información acerca de la herramienta de base de datos activa de montaje y la forma en que se
puede utilizar en
Windows Server 2008 los escenarios de recuperación de desastres, consulte el siguiente artículo de Microsoft
TechNet:
http://technet2.microsoft.com/windowsserver2008/en/library/4503d762-0adf-494f-a08b-
cf502ecb76021033.mspx? Referencia del fabricante = true.
NOTA Reanimación de desechos

Si usted desea aprender más sobre la recuperación de objetos eliminados de Active Directory, debe
leer el artículo "Reanimación de objetos de desecho de activos de directorios" en
technet/technetmag/issues/2007/09/Tombstones/default.aspx http://www.microsoft.com/.
Hyper-V y Recuperación de Desastres

Copia de seguridad de Windows Server escribe los datos de copia de seguridad como archivos
de imagen en formato VHD. Uso
Copia de seguridad de Windows Server y WBADMIN.EXE puede realizar un sistema operativo
completo
la recuperación o recuperar un volumen o archivos y carpetas individuales a la original (o dife-
ent) del hardware del servidor. Otra opción es realizar una recuperación de una máquina virtual
alojarse en Hyper-V o Virtual Server 2005 R2 (aunque no puede utilizar este último
producto para recuperar una versión x64 de Windows Server 2008).
Desde la perspectiva de la planificación de recuperación de desastres, esto significa que usted
puede utilizar
Windows Server 2008 Datacenter Edition como plataforma de recuperación cuando se necesita
aportar copia de seguridad de servidores, pero no tiene el hardware disponible, ya la cabeza
sitio de la oficina se ha incendiado o fue golpeado por un meteorito. Por otra parte, si un
importante
hardware del servidor y no tendrá que pasar cierto tiempo antes de que los componentes
pueden ser
reemplazado, puede ejecutar el servidor recuperado en un entorno virtualizado como un
recurso provisional
medida.
TambiénLa figura
puede 12-19 las
montar muestra una restauración
imágenes completa del
de copia de seguridad PC de
ya que losservidor de Sydney
volúmenes en una a un
virtual
máquina virtual existente
máquina
edición deenlasmarcha bajo Hyper-V.
propiedades de la máquina virtual y la adición de la imagen VHD como un nuevo
virtualizados
unidad de disco duro. En general, sin embargo, es más fácil utilizar la restauración de copia de
seguridad de Windows Server
funcionalidad para llevar a cabo este tipo de operaciones, aunque esta técnica puede ser útil
como un método rápido de migrar una partición de un real a un servidor virtual sin
tener que pasar por el proceso de copia de archivos.
De 32-bit VHD de montaje
MÁS INFORMACIÓN
Para montar los discos duros virtuales de 32 bits de Windows Server 2008, descargar Virtual Server
2005 del sitio Web de Microsoft y luego extraer la utilidad Vhdmount.exe de los archivos de instalación.
Usted puede aprender cómo hacer esto, siga las instrucciones en http://technet2.microsoft.com/
windowsserver/en/library/22c042cd-9029-407f-9866-3288fe2ad2d61033.mspx? Referencia del fabricante = true.
Figura 12-19 Restauración de un servidor con Hyper-V
Práctica: La restauración de Windows Server 2008

Este ejercicio requiere de la práctica que ha completado todos los ejercicios de práctica en
Al final de la lección 1. En este conjunto de ejercicios, que restaurará los archivos y carpetas
que se
copia de seguridad y luego eliminado. Que se restablezca su contraseña DSRM. Que llevará a
cabo una
restauración autoritaria de objetos de Active Directory y usted restaurar un catálogo de copia de
Ejercicio 1: Restaurar archivos y carpetas
seguridad.
En este ejercicio, vas a restablecer el directorio borrado los continentes y los archivos que se
alojado. También se preparará para la segunda práctica mediante la supresión de varias
importantes
Objetos de Active Directory. Para completar este ejercicio, realice los siguientes pasos:
1. Inicie sesión en el servidor de Glasgow con la cuenta de usuario Kim_Akers. Verificar que
el
C: \ Continentes no está presente.
2. Iniciar copia de seguridad de Windows Server desde el menú Herramientas administrativas.

Haga clic en Con-
continuar cuando se le solicite por el cuadro de diálogo UAC.
3. En el panel Acciones, haga clic en Recuperar. Se iniciará el asistente de recuperación. En
el
Conseguir página de inicio, seleccione Este servidor (Glasgow) y haga clic en Siguiente.
4. En la fecha de copia de seguridad de Select, seleccione la fecha en la que realizó la
segunda práctica-
tica de ejercicio en la lección 1 y haga clic en Siguiente.
5. En la página Seleccionar tipo de recuperación, seleccione los archivos y carpetas y
después haga clic en Siguiente.
6. En el Seleccionar elementos Para recuperar la página, ampliar Glasgow, Disco local (C:) y
seleccione
la carpeta Continentes, que se muestra en la Figura 20.12, a continuación, haga clic en
Siguiente.
Figura 12-20 Seleccionar elementos para recuperar
7. En la recuperación de especificar opciones de la página, se muestra en la Figura 12-21,

configure la recuperación
Destino a la ubicación original y asegurar que la configuración de seguridad
restaurado. Haga clic en Siguiente.
8. En la página Confirmación, haga clic en Recuperar. Cuando la recuperación se haya
completado, haga clic en
Cerrar.
9. En el menú Herramientas administrativas, abra Usuarios y equipos de Active Directory.
En el menú Ver, asegúrese de que la opción Características avanzadas está seleccionado.
Figura 12-21 Opciones de recuperación
10. Haga clic derecho en la unidad organizativa de los planetas y seleccione Propiedades. En
la ficha de objeto, desactive la
Proteger a los objetos de la opción borrado accidental y luego haga clic en Aceptar. Haga clic
derecho
los planetas unidad organizativa y haga clic en Eliminar. Haga clic en Sí para confirmar la
eliminación y
11.haga clicUsuarios
Cierre en Sí para confirmar que desea eliminar todos los objetos contenidos en
y equipos.
los planetas unidad organizativa.
Ejercicio 2: realizar una restauración autoritaria
En este ejercicio, que va a utilizar la copia de seguridad del estado del sistema del servidor de
Glasgow que se
durante los ejercicios de práctica al final de la lección 1 y usarlo como la base de un
restauración autoritaria de objetos específicos dentro de los planetas eliminado OU. También
se
Necesitará la contraseña DSRM para realizar esta acción. Si usted ha olvidado este
contraseña, puede restablecerla con las instrucciones proporcionadas anteriormente en
"Arranque en
1. Al modo.
Dicho iniciar la
" sesión en el servidor de Glasgow con la cuenta de usuario Kim_Akers, abierta
la consola de configuración del sistema desde el menú Herramientas administrativas. Clic
Continuar cuando se le solicite por el cuadro de diálogo User Account Control.
2. En la ficha Inicio, seleccione de modo seguro y luego elegir la reparación de Active

Directory
opción. Haga clic en Aceptar para cerrar la consola de configuración del sistema.
3. Cuando se le pida, haga clic en Reiniciar. Servidor de Glasgow se

reiniciará ahora.
4. Cuando se reinicia el servidor, inicie sesión como Administrador con la contraseña
DSRM.
5. Compruebe que el servidor se ha reiniciado en modo seguro. El fondo del escritorio
debe ser de color negro y el modo de palabras de seguridad debe aparecer en las esquinas
de la
la pantalla. Si el equipo no se ha reiniciado en modo seguro, volver a empezar desde el
paso
6. Abra
1. un símbolo del sistema con privilegios elevados y escriba wbadmin
obtener versiones.
7. La copia de seguridad de final de la lista debe indicar que usted puede recuperar la
aplicación sólo (s),
Estado del sistema. Tome nota del identificador de versión. En la figura 22.12, la versión
identificador de la copia de seguridad del estado del sistema es 01/03/2008-01: 47.
Figura 12-22 Localizar el identificador de versión de copia de

seguridad
8. Ejecutar el comando wbadmin Inicio systemstaterecovery versión: 01/03/2008-
Uno y cuarenta y siete-backuptarget: f: sustituir el identificador de versión de copia de
seguridad apropiadas y
ubicación de su propia copia de seguridad del estado del sistema. Cuando se le pida
presione Y para empezar
9.el estado
Una del sistema
vez que dedel
el estado recuperación de la operación.
sistema proceso de recuperación se ha completado, el tema
NTDSUTIL
comandos.
10. Tipo Activar NTDS Instancia y luego presione Enter.
11. Tipo La restauración autoritaria y luego presione Enter.
12. Tipo Restaurar objeto "OU = Planetas, dc = Contoso, DC = interno" y pulse Enter.
Haga clic en Sí en el mensaje para confirmar que desea realizar la restauración. Verificar
que los informes ntdsutil que la restauración autoritaria ha completado con éxito, como
Figura 12-23 El éxito de una restauración autoritaria
13. Tipo Restaurar objeto "ou = Saturno, ou = Planetas, dc = Contoso, DC = interno" y

pulse Intro. Haga clic en Sí en el mensaje para confirmar que desea realizar la
restauración.
14. Tipo Dejar de dos veces para salir de la herramienta NTDSUTIL. Tipo Salida para cerrar el
símbolo
del sistema.
15. En el menú Herramientas administrativas, abra la consola de configuración del sistema.
En la ficha Inicio, desactive la opción de arranque seguro y haga clic en Aceptar. Cuando se
le pida, haga clic en
Reiniciar para reiniciar el servidor.
16. El servidor puede reiniciar varias veces como parte del proceso de recuperación.
17. Cuando el servidor se completa el proceso de reinicio, inicie sesión con el usuario
Kim_Akers
cuenta. Pulse Intro en la ventana de comandos de reconocer que
Estado del sistema de recuperación de la operación se ha completado.
Ejercicio 3: Recuperación de un catálogo de
Backup
En este ejercicio, que simula el proceso de borrado de un catálogo de copia de seguridad
dañado
y la restauración de un nuevo catálogo de la actual serie de copias de seguridad. Para
completar este
ejercicio, realice
1. Mientras estálos siguientes
conectado pasos: servidor con la cuenta de usuario Kim_Akers, abrir una
a Contoso
símbolo del sistema elevado.
2. Escriba el comando wbadmin borrar catálogo y pulse Enter.

3. Cuando se le pregunte acerca de la eliminación del
catálogo, pulse Y.
4. Escriba el comando wbadmin restaurar catálogo backuptarget: f: donde f: es el
volumen de copias de seguridad que se almacenan en.
5. Cuando se le solicite catálogo de restauración, pulse Y.

6. Tipo wbadmin obtener versiones para confirmar el contenido del catálogo.
■ Para realizar una recuperación, debe asegurarse de que la cuenta del usuario es un
miembro de
los operadores de copia de seguridad local o grupo de administradores.
■ Cuando se realiza un sistema operativo o de recuperación de servidor completo de un
disco duro nuevo,
debe asegurarse de que el disco es tan grande como el disco original que contenía el vol-
volúmenes que fueron copiados.
■ Restaurar la aplicación sólo se puede utilizar en aplicaciones que están registradas con
Windows Server Backup.
■ La recuperación de los datos de estado del sistema restaura la mayoría de las funciones
de servidor, incluyendo activos
Directorio.
■ Una restauración autoritaria se lleva a cabo después de reiniciar un controlador de
dominio en
Dicho modo. Active Directory restauraciones autoritativas se utilizan
para recuperar objetos eliminados de Active Directory.
en
Lección 2, "la recuperación de desastres." Las preguntas también están disponibles en el CD
NOTA Respuestas
1. Haber reiniciado un controlador de dominio en el dominio en Contoso.internal

Dicho modo, realizar una recuperación del estado del sistema, y poner
NTDSUTIL en el modo de restauración autoritaria. ¿Cuál de las siguientes com-
comandos que se utiliza para restaurar la autoridad del borrado accidental de Plutón
de cuenta de equipo a la unidad organizativa Solar?
A. Restaurar objeto "cn = Solar, OU = Plutón, dc = Contoso, DC = interno"

B. Restaurar PC "cn = Plutón, OU = Solar, dc = Contoso, DC = interno"
C. Restaurar objeto "cn = Plutón, OU = Solar, dc = Contoso, DC = interno"
D. Restaurar PC "cn = Solar, OU = Plutón, dc = Contoso, DC = interno"
2. Kim Akers es un miembro del grupo local de administradores de Windows Server
2008 equipo de Sydney. Sidney alberga un recurso compartido de red a la que Sam
Abolrous,
un miembro del grupo Administradores local en equipos Windows Server 2008
Melbourne, utiliza como ubicación de destino cuando se lleva a cabo copias de seguridad
manuales de la
datos sobre los volúmenes del servidor de Melbourne. Sam es un curso de capacitación
esta semana y
los usuarios del servidor de Melbourne Kim necesidad de restaurar algunas carpetas
eliminados que se
no puede acceder a través de VSS. Que la pertenencia al grupo que Kim tiene que utilizar
el
Windows Server herramienta
A. Los usuarios de grupo
de energía del copia en
de seguridad de Sydney para restaurar los datos
en Melbourne,
Sidney mientras que
manteniendo
B. Usuarios de
el principio
grupo local
de mínimo
en Melbourne
privilegio?
C. Grupo de operadores de copia de seguridad en
Melbourne
D. Los administradores de grupos en Melbourne
3. Todos los RODC desplegados en los sitios de las sucursales que todos los volúmenes
protegidos por
BitLocker. Copia de seguridad completa del servidor de cada RODC se toman una vez al
mes en DVD.
La unidad de disco duro en la oficina de Traralgon rama RODC no. Que cambie la
componentes y realizar una recuperación completa del servidor. ¿Qué otras medidas se
deben tomar
A. Realizar una restauración autoritaria.
para devolver el RODC a su estado original?
B. Realizar una restauración autoritaria.
C. Vuelva a aplicar BitLocker.
D. Realice una copia de seguridad
completa del servidor.
4. La placa base de un importante servidor de la intranet en uno de los de su organización
sucursales remotas que acaba de fallar. La placa madre es el único componente
que necesita ser reemplazado, pero debido a la ubicación remota de la sucursal, que
pasarán varios días antes de la sustitución se puede obtener. Una copia de seguridad
completa del servidor
se realizó de forma manual en el servidor de 12 horas antes se produjo el error. Este
copia de seguridad se escriben en la unidad de disco extraíble USB. A Windows Server
2008 x64
Enterprise Edition ordenador con Hyper-V también se encuentra en el lugar y alberga una
controlador de dominio virtualizados. ¿Cuál de las siguientes medidas podrían tomarse para
asegurarse de que el servidor de la intranet está disponible hasta que los componentes de
reemplazo
llegar sin interrumpir los servicios existentes?
A. Realizar una restauración completa de Windows Server 2008 x64 Empresa
Equipo de edición.
B. Montar las imágenes de copia de seguridad de Windows Server 2008 x64 Empresa
Edición de los volúmenes de equipo adicional.
C. Realizar una recuperación completa del servidor en una máquina

virtual Hyper-V.
D. Restaurar los datos del estado del sistema de las imágenes de copia de seguridad de
Windows
Server 2008 x64 Edition empresa informática.


real
participación de los temas de este capítulo y le pedirá que cree una solución.
práctica.

■ Copias de seguridad de Windows Server Backup programado sólo se puede escribir a la
interna local
o discos externos. Windows Server copias de seguridad manuales de copia de seguridad
se puede escribir
■ DVD escritoresesy la
Wbadmin.exe ubicaciones
utilidad dede
línea
red.de comandos que puede utilizar para copia de
seguridad y
restauración de Server Core, así como las implementaciones estándar de Windows Server
2008.
Wbadmin.exe es la única utilidad que se puede utilizar para realizar un estado del sistema
■ copia de seguridad
Para llevar a cabo lasin copias de seguridad
recuperación mediantede otrosdeelementos.
Copia seguridad de Windows Server,
debe asegurarse de que un
cuenta es un miembro de los Operadores de copia de seguridad o Administradores, o
sido delegada la autoridad correspondiente.
■ Cuando se realiza un sistema operativo o de recuperación de servidor completo de un
disco duro nuevo,
debe asegurarse de que el disco es tan grande como el disco original que contenía el
volúmenes que fueron copiados.
Términos clave
■ Restauración autoritaria
■ Bare Metal Restore
■ Los servicios de directorio modo de
■
restauración
Sistema de copia de
seguridad del Estado
Escenarios de caso
En los escenarios siguientes, se aplicará lo que has aprendido acerca de copia de seguridad
y la recuperación. Usted puede encontrar respuestas a estas preguntas en la sección
"Respuestas" en el
final de este libro.
Caso Escenario 1: Wingtip infraestructura de copia de seguridad

Juguetes
Usted está planeando la estrategia de copia de seguridad para los juguetes Wingtip a la luz de
su pronto-a-ser-
la migración completa de todos los servidores que ejecutan Windows 2000 Server para ejecutar
el
Windows Server 2008 del sistema operativo. La estrategia actual en Wingtip Toys se
desarrollado de una manera ad-hoc, y parte de su trabajo es asegurar una cierta coherencia
procedimientos de copia de seguridad. Con esto en mente, usted debe encontrar respuestas a
las siguientes
1. Treinta y servidores de archivos que utilice Ntbackup para escribir los datos de backup en
preguntas:
cintas DLT se
actualizado a Windows Server 2008. ¿Qué pasos debe tomar para asegurarse de que Cal.-
programada copias de seguridad diarias puede todavía ser tomadas con la utilidad de copia
deUsted
2. seguridad
está de Windows Server?
considerando la estrategia de su organización copia de seguridad remota para
programar
copias de seguridad mediante Copia de seguridad de Windows Server. ¿Qué tipos de
dispositivos de hardware que
3.se
Entiene en cuentaelel
la actualidad 23despliegue
por ciento para apoyar
de todos los esta estrategia?
trabajos de mesa de ayuda implica la
restauración de documentos a compartir
carpetas que han sido borrados por la gente que trabaja en ellos. ¿Qué
medidas puede tomar para reducir el impacto que este problema tiene sobre el personal de
mesa de ayuda?
Escenario 2: Recuperación de Desastres de Fabrikam
En la noche del sábado a las 23:00, el jefe Fabrikam edificio fue destruido
por un incendio de grandes proporciones. La oficina central de Fabrikam fue sede de la raíz del
bosque Fabrikam.internal
países en desarrollo y de dominio del dominio secundario hq.fabrikam.internal. El
Fabrikam.internal de-
est■ cuenta con 15 dominios. Las copias de seguridad existen las siguientes en un lugar fuera de
Copia de seguridad completa del servidor de los controladores de dominio raíz del
las instalaciones:
■
bosque tomada el viernes
Sistema de copias de seguridad del Estado los datos de los controladores de dominio
hq.fabrikam.internal tomado
el miércoles
■ Copia de seguridad completa del servidor de los controladores de dominio
■
hq.fabrikam.internal tomada el viernes
Copia de seguridad completa del servidor de servidor de archivos
■
fileserv.hq.fabrikam.internal tomada el miércoles
Copia de seguridad completa de volúmenes que alojan las carpetas compartidas en
fileserve.hq.fabrikam.internal
tomada el viernes
El jueves por la noche, varios objetos importantes de Active Directory son accidentalmente
retirada del dominio hq.fabrikam.internal durante una actualización de software. Estos
los objetos se han restaurado en la mañana del sábado antes del incendio. Usted está ahora en
el desastre
recuperación del sitio y tiene servidores de reemplazo.
1. Que los países en desarrollo debe restaurar primero y
por qué?
2. ¿Qué pasos debe tomar para asegurarse de que los objetos que estaban presentes en
Active Directory en la tarde del sábado se restablezcan lo más completa posible?
3. ¿Qué pasos debe tomar para restaurar los archivos compartidos en

fileserve.hq.fabrikam.internal
tanto como sea posible?
completa
Plan de copia de
seguridad
■ Práctica 1: Copia de seguridad remota Utilizar el servidor de consola de Windows para realizar
copias de seguridad
una copia de seguridad completa del sistema en un servidor miembro del dominio que se
Contoso.internal
desplegado en la configuración de Server Core.
■ Realice
Práctica 2: Server Core del sistema unadecopia
de copia de seguridad del estado del sistema
seguridad
del Estado en un equipo que se despliega en la configuración de Server Core.
localmente
Plan de Recuperación
■ Dedearranque
Práctica 1: Server Core con la instalación de Windows Server 2008
restauración
los medios de comunicación y realizar la recuperación completa del servidor en un equipo
que fue originalmente
desplegado en la configuración de Server Core. Use los datos del servidor de copia de
seguridad completa que
■ se ha generado en la práctica de copia
Práctica 2: Server Core Sistema Realizar unade seguridad
recuperación
de Recuperación de Estado
remota.
del estado del sistema en
un equipo desplegado en la configuración de Server Core. Utilice el estado del sistema
los datos de copia de seguridad que se generó en el Server Core práctica de copia de
seguridad del estado del sistema.
Tomar un examen de
práctica
pueda
MÁS INFORMACIÓN
Respuestas
Capítulo 1: Respuestas Repaso de la lección
Lección 1
1. Respuestas correctas: C y D
A. incorrecto: Sólo Windows Server 2003 Datacenter Edition pueden actualizarse
a Windows Server 2008 Datacenter Edition.
B. incorrecta: Sólo Windows Server 2003 Web Server Edition pueden actualizarse
Windows Web Server 2008.
C. Correcto: Windows Server 2003 Standard Edition pueden actualizarse a

Windows Server 2008 Enterprise Edition.
D. correcto: Windows Server 2003 Standard Edition pueden actualizarse a

Windows Server 2008 Standard Edition.
E. incorrecto: Aunque Windows Server 2003 Standard Edition puede ser

actualizado a Windows Server 2008 Standard Edition, no es posible
actualizar cualquier edición de Windows Server 2003 a una versión Server Core de
2. Respuesta correcta: A
A. Correcto: La versión de 32 bits de Windows Server 2003 Standard Edition puede
ser actualizado sólo una versión de 32 bits de Windows Server 2008 Standard o
Enterprise.
B. incorrecta: No es posible actualizar una versión de 32 bits de Windows Server

2003 a una versión de 64 bits de Windows Server 2008.
C. incorrecta: No es posible la actualización de Windows Server 2003 Standard

Edition a Windows Server 2008 Datacenter Edition.
D. incorrecta: No es posible actualizar una versión de 32 bits de Windows Server

2003 a una versión de 64 bits de Windows Server 2008.
3. Respuesta correcta: B
A. incorrecto: Para implementar BitLocker, es necesario contar con un sistema de 1,5 GB
volumen que se activa. No es necesario configurar la directiva de grupo si un TPM 1.2
o más tarde de chip está disponible.
675
676 Respuestas
B. correcto: BitLocker requiere un volumen no cifrado a partir de la

caso de que el propio sistema operativo va a ser encriptada.
C. incorrecta: A pesar de que es posible implementar BitLocker sin un TPM

chip, desactivar el chip no le permiten implementar BitLocker en
este equipo.
D. incorrecta: El chip TPM no necesita ser actualizado a la aplicación de bits

Casillero.
4. Respuesta correcta: C
A. incorrecto: Si un chip TPM no está presente, es posible habilitar BitLocker
con una llave USB a través de la política local. La memoria USB extraíble
El dispositivo no tiene que estar presente para iniciar la activación de BitLocker,
aunque será necesario insertar en el proceso de activación.
B. incorrecta: A pesar de la BIOS del equipo debe admitir desde un USB

dispositivo, la falta de una BIOS compatible no bloqueará el inicio de BitLocker
Asistente. Es posible, aunque no es obligatorio, para llevar a cabo una comprobación
del sistema de
USB antes de la encriptación de disco duro de apoyo.
C. Correcto: Si un chip TPM no está presente, puede habilitar BitLocker con USB
clave a través de la política local. Hasta que esta política se ha configurado, no se
puede
activar BitLocker.
D. incorrecta: El control de BitLocker elemento del Panel no está presente si el BitLocker
característica no está instalada.
A. incorrecto: Agrupación sólo se admite en la Enterprise y Datacenter
Las ediciones de Windows Server 2008.
B. incorrecta: Agrupación sólo se admite en la Enterprise y Datacenter

Las ediciones de Windows Server 2008.
C. Correcto: La pregunta especifica que un clúster de conmutación por error debe estar
presente
antes de un servidor Exchange Server 2007 de buzón en clústeres se pueden
implementar.
Failover Clustering sólo se admite en la Enterprise y Datacenter
D.Las ediciones
incorrecta: de Windows
Agrupación sóloServer 2008.en la Enterprise y Datacenter
se admite
Las ediciones de Windows Server 2008. Aunque este es un conocimiento que no es
directamente relacionados con el examen 70-646, debe tener en cuenta que Exchange
Server 2007 sólo se instalará en las versiones x64 de Windows Server 2003 y
Respuestas 677
Lección 2
1. Respuestas correctas: A, B y C
A. Correcto: Un equipo Windows Server 2008 debe ser un miembro de uno existente
Dominio de Active Directory antes de la implementación de implementación de
Windows
Los servicios.
B. correcto: Un servidor DHCP que está autorizado en Active Directory debe estar
presente para los Servicios de implementación de Windows para funcionar
correctamente.
C. Correcto: Un servidor DNS configurado correctamente tiene que estar presente para
Windows
Servicios de implementación para que funcione correctamente.
D. incorrecta: Windows Deployment Services no depende de la aplica-
cación función de servidor.
A. Correcto: Una instalación desatendida se puede iniciar desde el Windows
PE 2.0 medio ambiente.
B. incorrecta: Una instalación desatendida, no se puede iniciar desde un equipo con

Windows
NT disco de arranque.
C. incorrecta: Una instalación desatendida, no se puede iniciar desde un MS DOS
disco de arranque.
D. incorrecta: Una instalación desatendida se puede iniciar sólo desde el

Windows PE 2.0 medio ambiente, o desde dentro de Windows Server 2003.
A. Correcto: Al ubicar juntos a DHCP y WDS, debe asegurarse de que el
Servidor de WDS está configurado para no escuchar en el puerto 67 y que el DHCP
opción 60 está establecida en PXEClient. Esto se hace a través de la pestaña
Configuración de DHCP
de las propiedades de implementación de Windows de servidor de servicios.
B. incorrecta: No se puede configurar WDS para escuchar en un puerto alternativo
a través de la consola del servidor DHCP. Por defecto los servidores DHCP y PXE
escuchar
en el mismo puerto, por lo que si ambos servicios están colocados en el mismo
servidor,
debe obtener WDS para escuchar en un puerto alternativo y actualizar DHCP que
puede hacer a través del servidor WDS propiedades-para informar a los clientes PXE
para buscar
C.en
incorrecta:
un puertoElalternativo
servidor DNS no es
a través deellaproblema. El problema
opción DHCP 60. en este
situación es un conflicto entre los servidores DHCP y WDS.
678 Respuestas
D. incorrecta: La configuración de los clientes se utilizan para configurar la instalación

desatendida
ajustes. El problema en este caso es que WDS no puede escuchar en el puerto
DHCP ya está a la escucha en y debe estar configurado para utilizar un sistema
4. Respuesta
alternativo.
correcta: D
A. incorrecto: Información DNS no tiene por qué ser modificado para dar soporte WDS.
B. incorrecta: No es necesario configurar un especial ámbito DHCP para IPv6
PXE clientes.
C. incorrecta: No es necesario configurar un ámbito DHCP IPv4 especiales para

PXE clientes.
D. correcto: Los routers que soportan las transmisiones multicast se requiere cuando
utilizando Windows Deployment Services funcionalidad de transmisión multicast.
La pregunta indica que el servidor WDS y los clientes se encuentran en
diferentes subredes, lo que sugiere que el router puede ser el problema.
A. incorrecto: Aunque la colocación de un archivo de instalación desatendida de
respuesta XML en una visión compartida
carpeta puede ser hecho para trabajar, que requeriría una intervención significativa
porque los servidores se necesitan para arrancar de red en Windows PE para que
el argumento de la configuración correcta podría ser emitida.
B. incorrecta: Desatendido los archivos de respuesta XML se configura en un WDS por
cada servidor, no en una base de transmisión por multidifusión.
C. Correcto: Por defecto los archivos de respuesta desatendida XML puede ser
configurado en un
por cada servidor WDS.
D. incorrecta: Aunque la colocación de un archivo de instalación desatendida de
respuesta XML en un extraíble
Dispositivo USB puede funcionar, esto requeriría manuales significativamente mayor
intervención que localizar el archivo XML desatendido en el servidor WDS.
Caso Escenario 1: La migración de Contoso a Windows Server 2008

1. Porque no es posible actualizar a una edición del núcleo de Windows Server 2008,
tendrá que realizar una migración donde los datos se apoya en una instalación limpia
ción se lleva a cabo en el hardware existente, y luego los datos se restaura.
2. Antes de la instalación del sistema operativo, tendrá que correctamente parti-

ción de la unidad de disco duro para que comience a partir de un volumen del sistema por
separado que se
No aloje el sistema operativo. También es beneficioso, aunque no es necesario, para
asegurar que el hardware del servidor incluye un TPM 1.2 o posterior del chip.
Respuestas 679
3. Windows Web Server 2008 sería la edición apropiada de Windows Server

2008 para implementar, dado que la única función del servidor será sede de la empresa
Web site.
Dos casos: Juguetes Tailspin Automatiza de Windows

Server 2008 Implementación
1. Es importante comprobar que todos los routers más viejos soporte multicast
transmisiones.
2. Durante la instalación de WDS es importante dejar de WDS de la escucha en el puerto 67 y

asegurar que todos los ámbitos DHCP opción 60 han establecido.
3. Crear una transmisión de multidifusión que no se iniciará hasta 10 clientes se han

conectado
en el servidor WDS.
Lección 1
A. incorrecto: ARP es un protocolo basado en difusión utilizados por IPv4 para resolver
MAC
las direcciones de las direcciones IPv4. ND emplea los mensajes ICMPv6 para
gestionar el
B.interacción de emplea
correcto: ND nodos vecinos.
los mensajes ICMPv6 para gestionar la interacción de los
vecinos-
ING nodos.
C. incorrecta: DHCPv6 asigna configuraciones de estado de IPv6. ND utiliza ICMPv6
mensajes para gestionar la interacción de nodos vecinos.
D. incorrecta: EUI-64 no es un protocolo. Se trata de un estándar para el hardware de 64

bits
direcciones.
A. Correcto: La dirección de modo solicitado consta del prefijo 104-bit ff02:: 1: ff
(Escrito ff02:: 1: FF00: 0 / 104), seguido de los últimos 24 bits del enlace local
dirección, en este caso a7: d43a.
B. incorrecta: Aunque el prefijo 104-bit es escrito ff02:: 1: FF00: 0 / 104, el / 104

indica que sólo los primeros 104 bits (ff02:: 1: ss) se utilizan. De ahí que la solicitó
la dirección es el modo de ff02:: 1: ffa7: d43a.
680 Respuestas
C. incorrecta: Las direcciones que comienzan con fec0 son el sitio local, el nodo no es
solicitada.
D. incorrecta: Esta respuesta no es correcta por la razón dada para la respuesta C.
A. incorrecto: Un sitio local de direcciones IPv6 Unicast identifica un nodo en un sitio o
intranet. Es el equivalente de una dirección IPv6 privado, por ejemplo
10.0.0.1.
B. incorrecta: Una dirección local de vínculo IPv6 unicast se configura automáticamente

en un local de
subred. Es el equivalente de una dirección IPv4 APIPA, por ejemplo
169.254.10.123.
C. Correcto: Una dirección de unidifusión global (o la dirección global agregable de
unidifusión)
es el equivalente de una dirección IPv6 unicast IPv4 pública y es a nivel mundial
enrutable y alcanzable en el 6Bone.
D. incorrecta: Dos direcciones especiales en IPv6 existen. La dirección no especificada::
indica la ausencia de una dirección y es equivalente a la IPv4 unspeci-
dirección FIED 0.0.0.0. La dirección de loopback:: 1 identifica a un bucle entre
cara y es equivalente a la dirección de bucle IPv4 127.0.0.1. Tampoco lo es el
IPv6 equivalente de una dirección IPv4 unicast público.
A. Correcto: En un túnel configurado, los datos pasan a través de un preconfigurado
túnel mediante encapsulación. El paquete IPv6 se realiza dentro de una dirección IPv4
paquete. La encapsulación de la cabecera IPv4 se crea en el punto de entrada del
túnel
y se retira en el punto de salida del túnel. Las direcciones de punto final del túnel se
determina a partir de la información de configuración.
B. incorrecta: Doble pila requiere que los hosts y routers proporcionan apoyo a
ambos protocolos, y puede enviar y recibir tanto los paquetes IPv4 y IPv6.
Túnel no es necesario.
C. incorrecta: ISATAP conecta IPv6 hosts y los routers en una red IPv4
mediante un proceso que considera la red IPv4 como capa de enlace de IPv6, y
otros nodos en la red como posibles anfitriones IPv6 o routers. Esto crea
un host a host, host-a-enrutador o router-to-host túnel automático. Una precondición-
túnel descubierto no es necesario.
D. incorrecta: Teredo es una mejora al método de 6 a 4. Que permite

nodos que se encuentran detrás de un dispositivo NAT IPv4 a IPv6 obtener conexión
productividad mediante el uso de UDP a paquetes de túnel. Teredo requiere el uso de
servidores y
elementos de relevo para ayudar a la conectividad vía. No requiere una precondición-
imaginé túnel.
Respuestas 681
5. Respuesta correcta: D
A. incorrecto: Este comando muestra la configuración de IPv6 en todas las interfaces.
No configurar una dirección IPv6.
B. incorrecta: Usted puede usar este comando para agregar la dirección IPv6 de, por
ejem-
Por ejemplo, un servidor DNS para una configuración de IPv6. Se utiliza netsh interface
ipv6 set
C.dirección para
incorrecta: configurar
Este comandouna dirección
le permite IPv6 estática.
cambiar las propiedades de la interfaz IPv6, pero
no
una dirección IPv6. Se utiliza netsh interface ipv6 dirección indicada para configurar un
estático
D.Dirección
correcto: IPv6.
Se utiliza netsh interface ipv6 dirección indicada para configurar una IPv6
estática
la dirección.
6. Respuestas correctas: A, D, F y G
A. Correcto: IPv4 e IPv6 son a la vez compatible con el hardware de la red de Trey
y proveedores de servicios. Doble pila es la transición más sencilla
estrategia.
B. incorrecta: Trey no tiene que encapsular paquetes IPv6 dentro de IPv4

paquetes. Transición configurar un túnel se emplea típicamente si IPv6 no es
disponibles en la actualidad.
C. incorrecta: Trey no veía la necesidad de configurar NAT y el uso de IPv4 privadas

direcciones. La organización es poco probable que el uso del sitio de las direcciones
locales, que
son el equivalente a IPv6 de direcciones privadas.
D. correcto: Trey utiliza direcciones IPv4 públicas a través de su red. Es probable que
utilizar direcciones globales unicast IPv6 en su red.
E. incorrecto: Clientes de Trey ejecutan Windows Vista Ultimate Edition y sus servidores
ejecutar Windows Server 2008. Todos los clientes de Trey y servidores son
compatibles con IPv6 y
el protocolo se instala por defecto.
F. correcta: No hay garantía de que Trey proyectores de red y la red
impresoras son compatibles con IPv6, aunque es probable que no, porque la empresa
cree en la inversión en tecnología de punta.
Corregir G.: Sistemas de gestión de red necesitan ser revisados para IPv6
compatibilidad.
H. incorrecto: Aplicaciones de alto nivel suelen ser independiente de la Internet

protocolo que se utiliza.
682 Respuestas
Lección 2
A. incorrecto: La zona es AD DS integrado por lo que deberá utilizar el / DsPrimary
interruptor. Que especifique / Primaria de archivo basado en DNS, en cuyo caso
también
necesidad de especificar un nombre de archivo.
B. correcto: Esto crea el tipo correcto de la zona y el prefijo de la dirección se encuentra
en
el formato correcto.
C. incorrecta: La designación in-addr.arpa se utiliza para la búsqueda inversa IPv4
zonas. También el tipo de zona se especifica incorrectamente.
D. incorrecta: Es necesario utilizar 4-bit mordiscos en el orden inverso para especificar el

el prefijo de dirección. No se puede utilizar notación con barras en el dnscmd
comandos.
A. Correcto: No se puede listar los registros DNS mediante el uso de nslookup a menos
que tenga
permite las transferencias de zona, incluso cuando los archivos estén en el mismo
B. incorrecta: Se ejecuta la consola de comandos como administrador cuando se utiliza
equipo.
comandos de configuración, tales como dnscmd. No es necesario que lo haga cuando
se está mostrando, pero no cambiar la información.
C. incorrecta: Usted puede entrar en nslookup ls-d adatum.internal directamente desde

el símbolo del sistema. Sin embargo, también puede entrar en nslookup y luego
entrar ls-d adatum.internal de la nslookup> en la pantalla.
D. incorrecta: Puede realizar la mayoría de las operaciones en el servidor, incluyendo

nslookup, ingresando a través de una conexión a Escritorio remoto. El registro de
en los servidores de forma interactiva es una mala práctica y debe ser evitado.
A. incorrecto: No hay ningún problema con el registro de host para el servidor Web.
Otros usuarios no pueden acceder al sitio Web interno.
B. incorrecta: No es necesario para vaciar la caché de DNS en el servidor DNS. La

problema está en el equipo cliente del usuario.
C. incorrecta: El equipo cliente se registra en DNS y puede acceder a otros

Los sitios Web.
D. correcto: Una entrada de caché de DNS en el equipo cliente ha marcado el

URL del sitio web que no se puede resolver. Vaciar la caché de DNS resuelve el
problema.
Respuestas 683
Caso Escenario 1: Implementación de la conectividad IPv6

1. Direcciones locales del sitio IPv6 son el equivalente directo de direcciones IPv4 privadas y
se puede enrutar entre VLANs. Sin embargo, también podría considerar la posibilidad de
configurar
todos los dispositivos en su red con una dirección IPv6 mundial agregables de unidifusión.
NAT y CIDR se introdujeron para resolver el problema de la falta de direcciones IPv4
espacio, y esto no es un problema en IPv6. No se puede utilizar sólo locales de vínculo IPv6
aborda en esta situación porque no se puede enrutar.
2. Pilas IPv4 e IPv6 están disponibles. En este escenario, la doble pila es la más
estrategia de transición sencilla.
3. Al igual que con DHCP para IPv4, debe configurar un doble alcance DHCPv6 servidor en el
cada subred. El alcance de la subred local en cada servidor debe incluir
80 por ciento del rango de direcciones IPv6 completo de esa subred. El alcance de la
subred remota en cada servidor debe incluir el restante 20 por ciento de la
gama completa de direcciones IPv6 para la subred.
Caso Escenario 2: Configuración del DNS

1. Puede configurar las actualizaciones dinámicas seguras. Esto asegura que sólo
autenticado
los usuarios y los clientes pueden registrar la información en el DNS.
2. Puede configurar la replicación de zonas que se producen sólo con los servidores DNS que
tienen NS
registros y están en la lista Nombre del servidor. Alternativamente, puede especificar
manualmente
una lista de servidores y configurar la replicación de zona para que la información de zona
se repli- un servidor Windows Server 2008 se configura como un RODC que se replica una
3. Cuando
cated sólo a estos servidores.
lectura
sólo copia de todas las particiones de Active Directory que utiliza DNS, incluido el dominio
partición, ForestDNSZones y DomainDNSZones. Por lo tanto, la zona DNS infor-
información sobre las actualizaciones de forma automática los RODC.
4. Crear una zona de búsqueda inversa IPv6.
Lección 1
1. Respuestas correctas: A y B
A. Correcto: Por lo general se aplica un PSO a un grupo de seguridad
global.
684 Respuestas
B. correcto: Puede aplicar un PSO a una cuenta de usuario de dominio, aunque es

mejores prácticas para aplicarlo a un grupo de seguridad global y el lugar de dominio
cuenta de usuario en ese grupo.
C. incorrecta: No se puede aplicar un PSO directamente a una unidad organizativa. Si

desea aplicar
a las cuentas de usuario en una unidad organizativa que necesita para crear un grupo
especial, que es un
D.grupo de distribución
incorrecta: Un grupo global que contiene
de distribución todas
global las cuentas
se utiliza de usuario
para crear en de
un correo la OU.
Exchange
lista. No se puede asociar una operación de paz con un grupo de distribución global.
E. incorrecto: No se puede asociar una operación de paz con una cuenta de

equipo.
A. incorrecto: Usted puede controlar que las operaciones de AD DS que desea auditar
por
modificar el sistema de lista de control de acceso (SACL) de un objeto. La SACL es
no es una herramienta y no se puede utilizar para ver los datos de AD almacenados en
las instantáneas.
B. incorrecta: La contraseña de Valores de contenedor (PSC) se crea el objeto de
por defecto en el contenedor del sistema en el dominio. Que almacena la contraseña
Configuración de los objetos (OSP) para ese dominio. El PSC no es una herramienta y
No se puede utilizar para ver los datos de Active Directory almacenados en las
instantáneas.
C. Correcto: Puede utilizar la herramienta de minería de AD DS de datos para ver de
Active Directory
los datos almacenados en las instantáneas en línea, comparar los datos en las
instantáneas que se toman
en diferentes momentos, y decidir qué datos se deben restaurar, sin tener que
D.reiniciar el DC.
incorrecta: La herramienta de instalación de AD DS (o asistente) le permite especificar
si
va a instalar un controlador de dominio grabable o un RODC. No se puede utilizar para
ver
3. Respuesta
Datos de
correcta:
Active Directory
B almacenados en las instantáneas.
A. incorrecto: Las confianzas de bosque se encuentran entre los bosques. Windows NT4
no reco-
Niza el concepto de un bosque.
B. correcto: Las confianzas externas se utilizan cuando la migración de recursos de
Windows
NT dominios. Windows NT no utiliza el concepto de los bosques, un equipo con
Windows
NT4 dominio es un autónomo, unidad autónoma. Usted podría utilizar una exter-
nal de confianza cuando tiene previsto migrar los recursos de un dominio de Windows
NT4
C. incorrecta: Se utiliza un dominio de confianza para acceder a recursos de un territorio
en un bosque existente de Active Directory.
UNIX.
Que no se usará un fideicomiso reino si va a migrar los recursos de un
Windows NT4 dominio en un bosque existente de Active Directory.
Respuestas 685
D. incorrecta: Si los usuarios en el dominio de un niño a menudo tienen que acceder a

los recursos
en otro dominio secundario de otro bosque, es posible que decida crear un
acceso directo confianza entre los dos dominios. Que no se usará un acceso directo
fideicomiso, si tiene previsto migrar los recursos de un dominio de Windows NT4 en
una
existentes
4. Respuesta bosque
correcta: D de Active Directory.
A. incorrecto: Política de replicación de contraseñas se ha configurado mediante la
conexión activa
Usuarios y equipos a un DC no se puede escribir, un RODC. Su
colega de la sucursal no tiene los permisos necesarios para configurar este
la política.
B. incorrecta: Política de replicación de contraseñas no se pueden configurar en el
servidor
Manager. Además, es muy mala práctica de añadir los usuarios que no pueden tener la
habilidades apropiadas para el grupo Administradores de dominio.
C. incorrecta: Política de replicación de contraseñas no se pueden configurar en el
servidor
Manager.
D. correcto: Un administrador de dominio puede configurar replicación de contraseñas
Política mediante la apertura de usuarios de Active Directory y equipos y la garantía de
que la herramienta está conectada a un controlador de dominio grabable.
A. incorrecto: Windows 2000 nivel funcional del bosque no es compatible con
las confianzas de bosque.
B. incorrecta: Nativo de Windows 2000 es un nivel funcional de dominio, no un bosque

nivel funcional. No es compatible con las confianzas de bosque,
C. Correcto: Windows Server 2003 nivel funcional del bosque apoya

las confianzas de bosque.
D. incorrecta: Windows Server 2008 nivel funcional del bosque apoya los bosques
fideicomisos. Sin embargo, el bosque mínimo nivel funcional que soporta los bosques
fideicomisos es Windows Server 2003.
A. incorrecto: Windows 2008 soporta el nivel funcional de dominio Netdom.exe.
Sin embargo, no es compatible con Windows Server 2003 DC.
B. correcto: Windows Server 2003 nivel funcional de dominio apoya

Windows Server 2003 DC, Windows Server 2008 los países en desarrollo, y
Netdom.exe.
C. incorrecta: Windows Server 2000 nivel funcional de dominio nativo no
apoyo Netdom.exe.
686 Respuestas
D. incorrecta: Windows 2000 mixto nivel funcional de dominio no está disponible en

un dominio que contiene controladores de dominio Windows Server 2008. Por otra
parte, no
apoyo Netdom.exe.
Lección 2
1. Respuestas correctas: A y E
A. Correcto: El diagnóstico de disco: Configurar el nivel de ejecución basado en
computadoras
Configuración de directiva requiere que la experiencia de escritorio se instala en un
equipo con Windows
Server 2008 del servidor. Determina el nivel de ejecución de la SMART-basados en
disco
B. incorrecta: La opción No permitir redirección del Portapapeles de usuario basada en la
diagnóstico.
política de ajuste
ting especifica si se debe evitar el uso compartido de contenido del portapapeles entre
un equipo remoto y un equipo cliente durante una Terminal Services
sesión. No se requiere que la experiencia de escritorio puede instalar en un
Windows Server 2008 del servidor.
C. incorrecta: Exigir la eliminación de Fondos de Escritorio remoto basado en el usuario
configuración de directiva especifica si papel tapiz del escritorio se muestra en el
control remoto
clientes que se conectan a través de Terminal Services. No requiere que el escritorio
La experiencia puede instalar en un servidor Windows Server 2008.
D. incorrecta: El intervalo de actualización del conjunto de NIS subordinados basados en
computadoras
configuración de directiva le permite establecer un intervalo de actualización para
impulsar la red
Information Service (NIS) se asigna a los servidores NIS subordinados. No
requieren que la experiencia de escritorio se instala en un servidor Windows 2008
servidor.
E. correcta: El diagnóstico de disco: Configurar texto personalizado alerta por ordenador
configuración de directiva basada en la experiencia de escritorio que requiere ser
instalado en un
Windows Server 2008 del servidor. Se sustituye el texto de encargo de alerta en el
disco
mensajecorrectas:
2. Respuestas de diagnóstico
A, C ymuestra
D a los usuarios cuando un disco informa de un fallo
SMART.
A. Correcto: La opción Permitir redirección de zona horaria basada en el usuario ajuste la
política deter-
determina si el equipo cliente vuelve a dirigir su configuración de zona horaria a la
Servicios de Terminal Server sesión.
B. incorrecta: El diagnóstico de disco: Configurar el equipo-Nivel de Ejecución
configuración de directiva basada determina el nivel de ejecución de la SMART-
basados en disco
diagnóstico. No se asocia con Terminal Services.
Respuestas 687
C. Correcto: La opción No permitir redirección del Portapapeles de usuario basado en

configuración de directiva
especifica si se debe evitar el uso compartido de contenido del portapapeles (el
portapapeles
redirección) entre un equipo remoto y un equipo cliente durante una
D.Servicios
correcto: de Terminal
Exigir Server sesión.
la eliminación de Fondos de Escritorio remoto basado en el usuario
configuración de directiva especifica si papel tapiz del escritorio se muestra en el
control remoto
clientes que se conectan a través de Terminal Services.
E. incorrecto: El activar el registro extensivo para los países en desarrollo SNIS por
ordenador
configuración de directiva le permite administrar la función de registro amplio para
SNIS
3. Respuestas
Los países
correctas:
en desarrollo.
B, C y ENo se asocia con Terminal Services.
A. incorrecto: A pesar de tener muchos GPO (a menudo con los mismos valores)
Es un error común, es también una mala idea tener muy pocos. Si un GPO tiene
mucho
de configuración de la directiva configurada en diferentes áreas que pueden ser
difíciles de menores de
de pie todo lo que hace o para darle un nombre descriptivo. Vincular los GPO a
Las unidades organizativas a través de sitios de replicación puede retrasar y aumentar
el tráfico más lento WAN
B.enlaces.
correcto: Si se colocan los archivos ADMX en un almacén central en un DC, que
pueden ser repre-
licated a otros controladores de dominio en su dominio. La Directiva de grupo se
No copie los archivos ADMX a cada GPO editado, sino que los lee de un pecado-
gle nivel de dominio o la ubicación del almacén central. Esto acelera el proceso y
reduce el tráfico de red. Además, si usted decide para generar archivos personalizados
ADMX
que puede poner en el almacén central y se leerá (o consumida)
por el Editor de objetos de directiva.
C. Correcto: Tanto los GPO y unidades deben tener nombres descriptivos. Es posible
que
saber lo que GPO06 hace ahora, pero le recuerdo en tres
meses de tiempo? Si hubiera llamado a él (por ejemplo) Política de pantalla completa,
su función
sería mucho más claro. Del mismo modo, una unidad organizativa llamada Recursos
Humanos es más
D. incorrecta: Características tales como la herencia de bloque, no reemplazar, el filtro de
útil que OU23.
seguridad-
ción de políticas, y de bucle invertido puede ser útil en las situaciones para las que
fueron diseñados. Sin embargo, añaden complejidad y hacer que su directiva de grupo
diseño más difícil de entender. Debe utilizar estas excepciones sólo
donde se puede identificar una ventaja real para hacerlo.
688 Respuestas
E. correcta: Incluso si los cambios en un GPO se han replicado en todo el dominio

que no entran en vigor hasta el próximo Grupo de Política tiempo se actualiza. La
gpupdate comando de las fuerzas de una actualización de la directiva. Puede utilizar el
comando en un
DC, o en cualquier servidor miembro o un cliente en el dominio que desea
Directiva de grupo que los cambios tengan efecto inmediatamente.
A. incorrecto: La Políticas elemento contiene la definición de las políticas individuales de
defi-
niciones. Que no contiene el número de versión o codificación de la información.
B. incorrecta: La SupportedOn elemento especifica las referencias a textos localizados
cadenas de la definición de los sistemas operativos o aplicaciones afectadas por un
determinado
el establecimiento de políticas. Que no contiene el número de versión o codificación de
la información.
C. incorrecta: La PolicyNamespaces elemento define el espacio de nombres único
para el archivo ADMX. Que no contiene el número de versión o la codificación
de la información.
D. correcto: La declaración XML es necesario para validar el archivo como un

Archivo basado en XML. Que contiene el número de versión y la codificación de la
información.
Caso Escenario 1: Planificación de una actualización de Windows Server

2003 1. Windows Server 2008 introduce de grano fino, las políticas de contraseñas que permiten
configuración distinta de la predeterminada que se fijará para determinados usuarios o
grupos de seguridad.
En los dominios de Windows 2003, las variaciones en la política de contraseñas suelen
requerir adi-
2.dominios internacionales.
No hay necesidad de elevar el nivel funcional del bosque a Windows Server 2008
durante la actualización debido a que el Windows Server 2003 nivel funcional del bosque
apoyo
puertos de todas las nuevas características. El plan final es elevar el nivel funcional de
dominio
a Windows Server 2008 para aprovechar (por ejemplo) de grano fino contraseña
políticas, pero esto no tiene que ser hecho hasta que todos los países en desarrollo se están
ejecutando Windows Server
2008. Dominio y niveles funcionales de bosque no afectan a miembros de corta.
Un servidor Windows 2000 Server puede operar miembro en un dominio con un equipo con
Windows
3. Windows Server 2008 RODC puede ser instalado en las sucursales, posiblemente en el
Server 2008
servidores deen
que dominio y nivel funcional
la actualidad sede de ladel bosque. servidores DNS. Esto mejora el inicio
secundaria
de sesión
la velocidad, evitando los problemas de seguridad y administración que daría como
resultado
de la colocación de controladores de dominio de escritura en esos lugares.
Respuestas 689
Caso Escenario 2: Planificación y Documentación de solución de problemas

Procedimientos
1. La primera cosa a comprobar es si el usuario debe tener acceso a las instalaciones.
Los colegas que menciona podría, por ejemplo, trabajar en otro departamento.
El procedimiento siguiente es determinar el conjunto resultante de la política (Rosp) para
que
del usuario. Esto se puede hacer a través de GPMC o mediante el uso de la GPResult.exe
herramienta. Por último,
examinar los factores que podrían retrasar la aplicación de los cambios de política para que
parti-
cular de usuario. Por ejemplo, el cambio de política podría haber sido aplicado
recientemente y
2. el
Siusuario debe cerrar
los problemas estánlarelacionados
sesión y volver
conalaencender, o podría
informática ser necesario
y no relacionada conpara ejecutarlo
el usuario,
gpupdate
primero queen el ordenador
debe verificar del usuario.
es la infraestructura de red. Es el equipo conectado a la red? Son ser-
vicios en funcionamiento? Tiene el equipo recibió la configuración correcta a través de
DHCP? ¿Hay problemas de DNS? A continuación, compruebe que el equipo está en la
correcta
OU. Si los cambios recientes han sido realizados en los valores de directiva de grupo,
ejecute gpupdate en
3.elHace Resultados de directivas de grupo la lista de GPO que se aplican? Es el ajuste que
ordenador.
figuran en el Grupo
Resultados Informe de Política? Es la GPO que figuran en la lista denegado?
Lección 1
A. incorrecto: ASF agrega la extensión. NET Framework 3.0 a las características. NET
Frame-
de trabajo 2.0, que se incluye en Windows Server 2008. IIS7 no utiliza
ASF para implementar activación basada en mensajes a través de HTTP.
B. correcto: WS es un mecanismo de activación de procesos de Windows
Vista y Windows Server 2008 sistemas operativos. IIS7 usa WAS para
implementar la activación basada en mensajes a través de HTTP.
C. incorrecta: Los puertos Net.TCP servicio de uso compartido hace posible que
múltiples
aplicaciones para el uso de un único puerto TCP para las comunicaciones entrantes.
IIS7
no utilizar el uso compartido del puerto Net.TCP para implementar activación basada
en mensajes
a través de HTTP.
690 Respuestas
D. incorrecta: Las transacciones distribuidas hace el MS DTC a disposición de los

Servidor de aplicaciones de funciones de servidor. Aplicaciones que se conectan a
realizar
actualizaciones en múltiples bases de datos u otros recursos de transacciones
distribuidas
a través de una red es necesario que estas actualizaciones se realizan en un todo-o-
nada base. MS DTC proporciona esta funcionalidad. IIS7 no utiliza dis-
transacciones contribuyeron a poner en práctica activación basada en mensajes a
través de HTTP.
A. Correcto: WCF es un. NET Framework 3.0 de componentes. Se trata del Microsoft
modelo de programación para la construcción de aplicaciones orientadas a servicios
que utilizan
De servicios Web para comunicarse entre sí.
B. correcto: WPF es una. NET Framework 3.0 de componentes. Se trata del Microsoft
modelo de programación que utilizan los desarrolladores para construir Windows
cliente inteligente
las aplicaciones.
C. Correcto: WF es un. NET Framework 3.0 de componentes. Es el pro-Microsoft
programación modelo que permite a los desarrolladores a construir flujo de trabajo
habilitado
aplicaciones en Windows Server 2008.
D. incorrecta: WS no es un. NET Framework 3.0 de componentes. Es una característica
de
el servidor de aplicaciones de servidor IIS7 papel que utiliza para implementar mensaje
la activación basada en HTTP.
E. incorrecto: MS DTC no es un. NET Framework 3.0 de componentes. Se instala
mediante la característica de transacciones distribuidas de la función de servidor de
aplicaciones de servidor
y permite que las aplicaciones que se conectan a realizar actualizaciones en múltiples
bases de datos u otros recursos transaccionales distribuidos en una red de
realizar estas actualizaciones en régimen de todo o nada.
A. incorrecto: El Asistente para accesibilidad, que se utiliza en los primeros operativos de
Windows
sistemas, se sustituye en Windows Server 2008 por el cuestionario que
por el Centro de accesibilidad.
B. incorrecta: El Centro de accesibilidad reemplaza el Centro de servicios públicos que
se
proporcionada por los sistemas operativos Windows.
C. incorrecta: Windows Server 2008 Centro de accesibilidad proporciona
una ubicación centralizada para la configuración de accesibilidad y programas que se
se encuentra en Opciones de accesibilidad en sistemas operativos Windows
anteriores.
Respuestas 691
D. correcto: Windows Server 2008 introduce el Centro de accesibilidad,

que proporciona una ubicación centralizada para la configuración de accesibilidad y
pro-
programas que antes se encontraban en las opciones de accesibilidad e implementa la
funcionalidad proporcionada anteriormente por el Centro de utilidad y accesibilidad de
la
Asistente.
A. Correcto: Las nuevas aplicaciones suelen utilizar WCF para admitir la invocación
remota
ción, ya que WCF proporciona acoplamiento, lo que hace que los sistemas integrados
menos dependiente de los demás y ofrece interoperabilidad entre múltiples
plataformas.
B. incorrecta: WF es el modelo de programación de Microsoft que permite a los
desarrolladores
para construir aplicaciones de flujo de trabajo habilitado en Windows Server 2008. Lo
hace
C.no admitir laWS
incorrecta: invocación
no es unremota.
componente ASF. Es una característica de la aplicación
Servidor de función de servidor que IIS7 utiliza para implementar activación basada en
mensajes
a través de HTTP. No es compatible con la invocación remota.
D. incorrecta: WPF es el modelo de programación de Microsoft que utilizan los
desarrolladores
la construcción de ventanas inteligentes aplicaciones de cliente. No es compatible con
control remoto
5. Respuesta
invocación.
correcta: C
A. incorrecto: Si asigna el programa al iniciar la sesión a todos los usuarios de la OU, el
software se instala sobre una base por usuario la primera vez que un usuario inicia
sesión en
el ordenador, no en el encendido. Si un usuario que no es de esa unidad organizativa
se conecta, el
B.software no La
incorrecta: se publicación
instala para del
el usuario.
softwareEsto
parano es lolos
todos que se requiere.
usuarios de la OU permite al
usuario elegir
si desea instalar (o desinstalar) el software mediante el uso de los programas y
Características del Panel de control. El software también instala a través del
documento
C.invocación.
Correcto: Cuando se asigna el programa a todos los equipos de la unidad
organizativa, la
software (y cualquier actualización posterior) está instalado en el ordenador
se enciende. El software está disponible para cualquier usuario que se conecta a la
D. incorrecta: Usted no puede publicar software a una computadora.
computadora.
692 Respuestas
Lección 2
1. Respuestas correctas: A, C y D
A. Correcto: El asistente le pedirá para las aplicaciones y versiones que
desea actualizar, como Exchange Server 2007, Office System 2007, y
etc.
B. incorrecta: Un archivo de imagen se utiliza cuando se instala un sistema operativo y

a veces también preinstaladas las aplicaciones que se instalan en todos los clientes
que
ejecutar el sistema operativo. No se utiliza para las actualizaciones.
C. Correcto: El asistente le solicita actualizar su idioma o los idiomas.
D. correcto: El asistente le pedirá para los tipos de actualizaciones que desea
instalación, como las actualizaciones críticas y de seguridad.
E. incorrecto: El asistente le pedirá para las preferencias de instalación de la

actualización.
Sin embargo, la configuración de la instalación, tales como la instalación silenciosa, se
especifican para la aplica-
2. Respuestas
ción e instalación
correctas: del
B, Dsistema
y E operativo, no para su actualización.
A. incorrecto: Por razones de seguridad del System Center Configuration Manager
2007 sitio tiene que estar en modo nativo al administrar clientes en los
Internet.
B. correcto: Dirigidas a la distribución de software a los usuarios se basa en Active

Directory
de la información. No se puede hacer esto cuando la gestión de clientes a través de
C. incorrecta: Puede distribuir las actualizaciones, incluyendo actualizaciones de
Internet.
seguridad, a los clientes
a través de Internet.
D. correcto: PAN no es apropiado para una red pública. Usted no puede utilizar este
función en la gestión de clientes a través de Internet.
E. correcta: Wake On LAN no es apropiado para una WAN pública. No se puede

utilizar esta función en la gestión de clientes a través de Internet.
F. incorrecta: Puede crear inventarios de hardware y software para los clientes

que se gestionan a través de Internet.
3. Respuestas correctas: D, E y F
A. incorrecto: Si el sistema operativo del servidor cumpla con el requisito previo para la
instalación-
ción de System Center Configuration Manager 2007, la característica Wake On LAN
se puede utilizar. Wake On LAN no depende de los operativos de servidor
del sistema.
Respuestas 693
B. incorrecta: Este es un requisito previo para la siesta, no de Wake On LAN.

C. incorrecta: USMT 3.0 ofrece una migración del estado del usuario. No se asocia con
Wake On LAN.
D. correcto: Configuración del sistema Manager 2007 software del cliente debe ser
instalado en el equipo para que pueda utilizar la herramienta para gestionar la com-
computadora, incluyendo el uso de la característica Wake On LAN.
E. correcta: La tarjeta de red del cliente debe ser compatible con formato de paquete
mágico a
poder recibir e interpretar los paquetes Wake On LAN.
F. correcta: La BIOS del cliente debe estar configurado para despertar los paquetes en
la
tarjeta de red. De lo contrario el cliente no responderá al paquete de atención.
A. Correcto: El Resumen de información de los clientes en el informe en modo nativo
iden-
tifica los clientes que han logrado cambiar su modo de configuración del sitio.
B. incorrecta: Puede utilizar la información de asignación de clientes fracaso informe
para ayudar a
realizar un seguimiento y monitorear la implementación de clientes de Configuration
Manager 2007
los clientes. No te digo que los clientes han cambiado su éxito
C.sitio del modo
incorrecta: de configuración.
Resumen de la Información de clientes capaces de informes en modo
nativo
identifica a los clientes que se puede cambiar al modo de sitio de origen. Que no
identifica
D.clientes queLos
incorrecta: hanClientes
logrado Incapaz
cambiar de
su informes
modo de en
configuración
modo nativodel sitio. los clientes
identifica
que no se puede cambiar a modo de sitio de origen. No identifica a los clientes que
han logrado cambiar su modo de configuración del sitio.
Caso Escenario 1: Planificación de la resiliencia de aplicaciones

LOB 1. Que necesita garantías de que los puntos de entrada de Windows Installer se proporciona
cuando cualquier
Aplicaciones empresariales en la suite se accede a través de un acceso directo, a través de
la invocación,
2. oa
Windows
través de
Installer
la publicidad
comprueba
COM.
el descriptor de Darwin para un componente COM. Es
almacenados en el valor del Registro InprocServer32.
3. Usted debe estar preocupado por lo siguiente:

❑ Aplicaciones programadas
❑ Aplicaciones que se ejecutan desde la línea de
comandos
694 Respuestas
❑ Aplicaciones que se ejecutan como servicios del

❑
sistema
Las aplicaciones que inicialmente el acceso al sistema
❑
operativo
Aplicaciones que llaman a otras aplicaciones
Caso Escenario 2: Gestión de clientes y despliegue del software

1. En esta situación, recomendamos System Center Configuration Manager
2007. A pesar de System Center Essentials 2007 cumple con las especificaciones y
operar en la red actual, la organización se está expandiendo y es probable que
tienen más de 30 500 servidores o clientes en el futuro cercano. Además, el Sistema
Center Configuration Manager 2007 se encargará de Pocket PC y gestionar se
ordenadores portátiles a distancia a través de Internet. La herramienta ofrece características
tales como PAN, Wake
En LAN, y el software de medición que ayudará a hacer la gestión de clientes más
eficiente. Además, los principales requisitos para la configuración de la instalación de
System Center
Manager 2007 ya se han cumplido.
2. La función de medición de software en System Center Configuration Manager 2007
indicará qué software se utiliza en los equipos cliente, en lugar de lo que
software está instalado. Esto permitirá que las licencias de software que se racionalizan
cuando las
las licencias se deben a la renovación.
3. La característica NAP de System Center Configuration Manager 2007, sólo se admitirán
restringido el acceso de la red a los equipos cliente no cumplen las normas. Si el software
función de actualizaciones está configurado y habilitado, la recuperación puede traer como
los equipos en un estado de cumplimiento y permitir el acceso completo a la red. PAN
requiere que un servidor Windows Server 2008 configurado con la Red de Pol-
función de servidor de hielo existe en la red. Es probablemente una mala idea para instalar
esta función
en un DC, por lo que un servidor real o virtual de Windows Server 2008 los países miembros
deben
en la red.
Lección 1
A. Correcto: La política Equal_Per_User WSRM garantiza que un usuario conectado
a un servidor de terminales con dos sesiones simultáneas se le asigna el mismo
los recursos que un usuario conectado con una sola sesión.
Respuestas 695
B. incorrecta: La política Equal_Per_Session WSRM se asegura de que cada sesión

conectado a un servidor de Terminal Server se asignan los mismos recursos. Cuando
esta
directiva se aplica, un usuario conectado con dos sesiones se asignará
más recursos del sistema que un usuario conectado con una sola sesión.
C. incorrecta: La asignación de recursos no se pueden configurar mediante la edición de
la adecuada
los lazos de un servidor en la consola de administración de Terminal Server.
Asignación de recursos
D.sólo
incorrecta:
puede gestionarse
La asignación
a través
de recursos
del sistema
no se de
pueden
Windows
configurar
Administrador
mediante
delarecursos.
edición del
RDP-Tcp
las propiedades. La asignación de recursos sólo puede gestionarse a través de sistema
de Windows
2. Respuesta
Resource correcta:
Manager.
A
A. Correcto: Si el alcance de un servidor de licencias de descubrimiento está en dominio,
sólo se computa-
res dentro del dominio local podrá solicitar licencias CAL de ese servidor.
B. incorrecta: Si el alcance de un servidor de licencias de descubrimiento está en los
bosques, es posible
que los clientes de otros dominios en el bosque se adquieran licencias de ella
incluso si hay un servidor cerca de ellos-por ejemplo, cuando su servidor local
se acaba de CAL.
C. incorrecta: Un servidor de licencias ubicado en el dominio de raíz con un alcance
establecido en
bosque proporcionará a los clientes de CAL en el bosque, pero no lo hará de una
manera
D.que cumpla Un
incorrecta: conservidor
los requisitos de ubicación
de licencias ubicadodel
enescenario.
el dominio de raíz con un alcance que
se
de dominio sólo se proporcionan a los clientes de CAL en el dominio raíz, no en el
lugares específicos de la sucursal mencionada en la pregunta.
3. Respuestas correctas: A y C
A. Correcto: Es necesario establecer el ámbito servidor de licencias antes de instalar
CAL en un servidor de licencias TS.
B. incorrecta: No es necesario para establecer el nivel funcional del dominio a Windows

Server 2008 para instalar las licencias en el servidor de licencias de Terminal Server.
C. Correcto: Es necesario activar el servidor de licencias TS antes de la instala-

ción de la CAL.
D. incorrecta: Terminal Server puede emitir una licencia de servidor, tanto por dispositivo
y
CAL por usuario.
E. incorrecto: No es necesario instalar IIS en un servidor de licencias TS.
696 Respuestas
A. incorrecto: El uso de políticas WSRM no permitirá que la capacidad que se añade
como
sea necesario.
B. incorrecta: Hyper-V no iba a funcionar como una solución porque no hay un límite
superior
límite a la capacidad del procesador de la máquina virtual. Esta solución requiere la
posibilidad de añadir la capacidad del procesador según se requiera.
C. incorrecta: Aunque la adición de servidores de terminales que satisfacer las nuevas
capaci-
necesidades dad, no cumpliría el requisito de que los clientes no tienen que ser
reconfigurado.
D. correcto: La planificación del despliegue de una granja de Terminal Server le permite
agregar o quitar servidores de la comunidad como sea necesario sin alterar cliente
de configuración.
A. incorrecto: OneCare Live y otras soluciones anti-virus puede comprobar
virus y malware después de una conexión de cliente se ha hecho, pero no puede
bloquear clientes no saludables de la conexión.
B. incorrecta: Broker de sesión de TS se utiliza para administrar las sesiones que se

conectan a
Granjas-que Terminal Server no se puede utilizar para asegurar que la conexión de los
clientes
C.pasar los controles
Correcto: de salud.
Un servidor de puerta de enlace de TS puede ser usado en conjunto con la
Red
Protección de acceso a las computadoras no permitir que no hayan superado un
problema de salud
D.de
incorrecta:
verificación
ISApara
Server
conectarse
2006 no al
puede
servidor
ser de
usado
Terminal
para bloquear
Server. clientes de conectar-
ción a un Terminal Server, si no pasan un chequeo de salud. Es posible
uso de Network Access Protection en conjunto con ISA Server 2006, pero
no específicamente para bloquear el acceso a los Servicios de Terminal Server.
Lección 2
A. incorrecto: Virtual Server Migration Toolkit es una herramienta más adecuada para
virtualizar un pequeño número de servidores existentes.
B. correcto: System Center Virtual Machine Manager 2007 se pueden utilizar para
mover servidores virtuales entre los hosts virtuales a través de una SAN Fibre Channel.
Respuestas 697
Porque no se puede utilizar otros tipos de herramientas para llevar a cabo este tipo
de
la migración, se presenta el caso más convincente para el despliegue de
System Center Virtual Machine Manager 2007.
C. incorrecta: Usted puede utilizar System Center Virtual Machine Manager 2007
para administrar y controlar miles de máquinas virtuales. A pesar de que es posi-
ble para manejar sólo 10 máquinas virtuales de usar este producto, el built-in
Hyper-V son las herramientas más adecuadas para esta tarea. Debido a una respuesta
en este aspecto requiere de System Center Virtual Machine Manager 2007, este
respuesta no es la más convincente.
D. incorrecta: Implementación de la automatización del servidor se realiza a través

Windows Deployment Services en lugar de System Center Virtual Machine
Manager.
A. Correcto: Sólo es posible instalar la función Hyper-V en una versión de 64 bits de
Windows Server 2008. Es posible la instalación de Hyper-V en Server Core
equipo.
B. incorrecta: Sólo es posible instalar la función Hyper-V en una versión de 64 bits

C. incorrecta: Sólo es posible instalar la función Hyper-V en una versión de 64 bits

D. incorrecta: Sólo es posible instalar la función Hyper-V en una versión de 64 bits

A. Correcto: Es posible acceder a las aplicaciones RemoteApp a través de una Web
página y se pueden implementar los marcadores de páginas web a través de directivas
de grupo.
B. correcto: Es posible crear paquetes de Windows Installer para RemoteApp
aplicaciones y el despliegue de estos paquetes a través de directivas de grupo.
C. Correcto: Es posible crear accesos directos RDP y colócalas en acce-

ble carpetas compartidas para permitir a los usuarios acceder a aplicaciones de
RemoteApp.
D. incorrecta: RemoteApp no funciona por las aplicaciones en ejecución en común
carpetas, pero al ejecutar las aplicaciones en el servidor de Terminal Server.
Aplicaciones
ciones se pueden implementar mediante TS páginas Web Access, a través de
Windows
Los paquetes de instalación de, ya través de atajos de RDP.
698 Respuestas
A. incorrecto: Usted debe utilizar Microsoft Application Virtualization-TS
RemoteApp no resolverá el problema de las solicitudes en conflicto cuando
instalado en el mismo servidor de Terminal Server.
B. incorrecta: Usted debe utilizar Microsoft Application Virtualization, un TS-Gate

Servidor de manera no va a resolver el problema de las solicitudes en conflicto cuando
C. Correcto: Microsoft Application Virtualization permite a las aplicaciones que

Normalmente, los conflictos entre diferentes versiones de la misma aplicación que se
implementada desde el servidor Terminal mismo.
D. incorrecta: Usted debe utilizar Microsoft Application Virtualization-TS Web

El acceso no va a resolver el problema de las solicitudes en conflicto cuando
A. incorrecto: El problema es causado por la versión más reciente de la RDC
software no está instalado. Instalación de Internet Explorer 6.0 no se
resolver este problema.
B. incorrecta: Al desactivar el cortafuegos de Windows XP no va a resolver este pro-

blema, es necesario instalar la versión más reciente del software de RDC,
que se incluye en Windows XP SP3.
C. Correcto: Los clientes de Windows XP necesita la versión del software de RDC

se suministra con Windows XP SP 3 para conectarse a las aplicaciones de RemoteApp
utilizar TS Web Access.
D. incorrecta: Instalación de Windows Defender no va a resolver este problema.

Será necesario instalar la versión más reciente del software de RDC,
que se incluye con Windows XP SP3.
Caso Escenario 1: Consolidación de servidores Juguetes

Tailspin 1. Instalar la versión de 64 bits de Windows Server 2003 Enterprise Edition y desplegar
Hyper-V. Virtualizar el servidor que aloja el controlador de dominio, DNS y DHCP
servicios en un servidor virtual. Virtualizar el servidor que aloja el servidor SQL Server
2000 base de datos y virtualización de forma individual cada uno de los servidores que
alojan las empre-
aplicación Ness. Para ello sería necesario un servidor físico. También se po-
ble para actualizar los servidores existentes para Windows Server 2008 sin necesidad de
Respuestas 699
licencias adicionales debido a que la Enterprise Edition incluye cuatro licencias para virtual
casos marginados de la Windows Server 2008.
2. A pesar de que sería posible virtualizar cada servidor de Terminal Server, esto no
cumplir con el objetivo de reducir el número de servidores de Terminal-a pesar de que se
reuniría
el objetivo de minimizar la cantidad de hardware del servidor. En esta situación, se puede
reducir la cantidad de servidores de hardware y de la terminal mediante la implementación
de Microsoft
La virtualización de aplicaciones, que permite que las aplicaciones se ejecutan en silos
virtualizados
para que no entren en conflicto unos con otros. En lugar de la virtualización del servidor,
esta solución virtualiza las aplicaciones.
Caso Escenario 2: Planificación de una estrategia de Servicios de Terminal para
Wingtip
Juguetes1. Implementar un servidor de licencias TS en cada oficina estatal. Configurar el servidor para
utilizar el dominio
descubrimiento de su alcance.
2. Crear un conjunto de Servicios de Terminal Server utilizando
Broker de sesión de TS.
3. Para acceder a aplicaciones a través de RemoteApp de TS Web Access, es necesario
actualizar clientes de Windows Vista con el SP1 y clientes de Windows XP a SP3.
Capítulo 6: Las respuestas Repaso de la

lección
Lección 1
A. Correcto: Se accede al Asistente para aprovisionar carpetas compartidas por la
Participación
Y la consola de administración de almacenamiento.
B. incorrecta: Se accede al Asistente nuevo espacio de nombres de espacios de
nombres en el
Consola de administración de DFS.
C. Correcto: Se accede al Asistente para aprovisionar almacenamiento de compartir y
Stor
edad consola de administración. El asistente se inicia únicamente si el servidor puede
acceder
los discos con el espacio no asignado o subsistemas de almacenamiento con el
almacenamiento
D. incorrecta: No disponible
utilizar un asistente para crear cuotas. Puede acceder a la
Crearque
para un proveedor
el cuadro de diálogode hardware de las
de cuota de VDS se haen
cuotas instalado.
el Administrador de archivos de
recursos del servidor
de la consola.
700 Respuestas
E. incorrecto: No utilizar un asistente para crear filtros de archivos. Puede acceder a la

Crear archivos de pantalla cuadro de diálogo Filtros de archivos en el servidor de
archivos de recursos
Gerente de la consola.
2. Respuestas correctas: A, B y D
A. Correcto: Puede utilizar el Asistente para aprovisionar carpetas compartidas para
compartir una
carpeta existente.
B. correcto: Puede utilizar el Asistente para aprovisionar carpetas compartidas para crear
y
compartir una carpeta.
C. incorrecta: No se han instalado los Servicios para Network File System
(NFS) el servicio de función. Por lo tanto, SMB es el protocolo de red de intercambio
sólo
disponible y no puede cambiarlo.
D. correcto: Siempre que el recurso compartido está en (o es) un formato NTFS
volumen, puede configurar los permisos NTFS locales de la Disposición
Un asistente de carpeta compartida.
E. incorrecto: Usted no tiene instalado el sistema de archivos distribuido (DFS) de

servidor
papel. Por lo tanto, no se puede publicar el recurso compartido DFS a una
espacio de nombres.
A. incorrecto: Puede utilizar la consola de administración de impresión para cambiar la
impresora
puertos para una impresora en un servidor remoto. Sin embargo, que antes podían
cambiar los puertos en un servidor local, por lo que esta tarea no es nueva en la
Administración de impresión-
B.ción de la consola.
incorrecta: Puede utilizar la consola de administración de impresión para ver la
impresora
estado de una impresora en un servidor remoto. Sin embargo, que ya podía ver
el estado de la impresora en un servidor local, por lo que esta tarea no es nueva en la
impresión del hombre-
C.consola de gestión.
incorrecta: Puede utilizar la consola Administración de impresión para añadir o
modificar
formas para una impresora en un servidor remoto. Sin embargo, que ya puede añadir
o modificar las formas en un servidor local, por lo que esta tarea no es nueva en la
impresión del hombre-
D.consola deFiltros
correcto: gestión.
personalizados de impresora permiten que usted y otros
administradores para ver
y gestionar las impresoras seleccionadas en base a su sitio, los derechos y roles. Esta
tarea
es nueva en la consola de administración de impresión.
Respuestas 701
A. incorrecto: En Windows Server 2008, las cuotas pueden ser por lo general se aplica a
los volúmenes y las carpetas compartidas. En las versiones anteriores de Windows
Server
que sólo puede ser aplicada a los volúmenes. La plantilla de 100 MB Límite crea
una cuota máxima (no se puede superar) que se pueden aplicar tanto a los volúmenes
y las carpetas compartidas.
B. incorrecta: En Windows Server 2008, las cuotas pueden ser por lo general se aplica a
los volúmenes y las carpetas compartidas. En las versiones anteriores de Windows
Server
que sólo puede ser aplicada a los volúmenes. El límite de 200 MB informes a usuario
plantilla crea una cuota máxima (no se puede superar) que se pueden aplicar a
los volúmenes y las carpetas compartidas.
C. Correcto: En Windows Server 2008, las cuotas pueden ser por lo general se aplica a
ambos
volúmenes y las carpetas compartidas. En las versiones anteriores de Windows Server
que podría
sólo se aplicará a los volúmenes. Sin embargo, el Monitor de 200 GB del uso del
volumen
D.plantilla creaEn
incorrecta: una cuota blanda
Windows Server(se puede
2008, las superar y se utiliza
cuotas pueden ser para
por loelgeneral
monitoreo)
se aplica a
que pueden ser aplicados a los volúmenes solamente.
ambos
volúmenes y las carpetas compartidas. En las versiones anteriores de Windows Server
que podría
sólo se aplicará a los volúmenes. Sin embargo, el Monitor de 50 MB de uso Compartir
tem-
placa crea una cuota blanda (se puede superar y se utiliza para el monitoreo) que
se puede aplicar a las carpetas compartidas.
Lección 2
1. Respuestas correctas: B y C
A. incorrecto: Windows Server 2008 Standard, sólo admite una sola DFS
espacio de nombres. Que puede soportar el modo de Windows Server 2008.
B. correcto: Windows Server 2008 Enterprise soporta múltiples DFS

espacios de nombres. También puede soportar el modo de Windows Server 2008.
C. Correcto: Windows Server 2008 Datacenter puede soportar múltiples DFS

espacios de nombres. También puede soportar el modo de Windows Server 2008.
D. incorrecta: Windows Server 2003 R2, Datacenter Edition puede soportar

múltiples espacios de nombres DFS. Sin embargo, no puede soportar Windows Server
2008 modo.
702 Respuestas
E. incorrecto: Windows Server 2003 R2, Enterprise Edition puede soportar

múltiples espacios de nombres DFS. Sin embargo, no puede soportar Windows Server
2008 modo.
2. Respuestas correctas: A, B y D
A. Correcto: Un espacio de nombres independiente puede soportar más de 5000 DFS
carpetas, independientemente de si está en un servidor Windows Server 2008.
B. correcto: Un espacio de nombres independiente puede soportar más de 5000 DFS

carpetas, independientemente de si está en un servidor Windows Server 2008.
C. incorrecta: En un espacio de nombres de dominio basados en el modo de Windows

Server 2000
el tamaño del objeto de espacio de nombres en AD DS debe ser menos de 5 MB
(Aproximadamente 5.000 carpetas con destinos).
D. correcto: Un espacio de nombres de dominio basados en Windows Server 2008 modo
se puede
apoyar a más de 5.000 carpetas DFS.
A. incorrecto: Una pantalla de archivo controla los tipos de archivos que los usuarios
pueden guardar y
genera notificaciones cuando los usuarios intentan guardar archivos no autorizados.
B. correcto: La enumeración basada en acceso permite a los usuarios ver sólo los
archivos y
carpetas en un servidor de archivos que tienen permiso de acceso.
C. incorrecta: La cuota de una cuota de almacenamiento que un usuario puede superar.
Suave
las cuotas son utilizadas para el monitoreo.
D. incorrecta: Un destino de carpeta en el DFS es una carpeta física compartida que
contiene el
los datos de un usuario desea tener acceso. Carpetas DFS son entidades lógicas que
apuntan a
4. Respuesta
destinos
correcta:
de carpeta.
C
A. incorrecto: La cuota de almacenamiento es de 4.096 MB. Sin embargo, cuando este
límite es
alcanzado borra DFSR archivos antiguos de la carpeta provisional para reducir el disco
uso. Si es necesario la carpeta de ensayo también puede aumentar de tamaño. En
Windows
Server 2008, la carpeta de ensayo no es una asignación en el disco duro, pero
lugar sólo utiliza el recurso de disco que requiere.
B. incorrecta: El tamaño de la cuota de cada carpeta Conflictos y eliminaciones es de
660 MB.
El tamaño de la cuota de una carpeta provisional es de 4.096 MB.
C. Correcto: La cuota de almacenamiento es de 4.096 MB. Cuando se alcanza este
límite DFSR
elimina los archivos antiguos de la carpeta provisional para reducir el uso del disco. Si
es necesario
Respuestas 703
la carpeta de ensayo también puede aumentar de tamaño. En Windows Server 2008,

el
carpeta de ensayo no es una asignación en el disco duro, sino que utiliza sólo el
recurso de disco que requiere.
D. incorrecta: El tamaño de la cuota de cada carpeta Conflictos y eliminaciones es de 660
MB.
El tamaño de la cuota de una carpeta provisional es de 4.096 MB.
A. incorrecto: Esta opción especifica que el usuario elige los archivos que se
sincronizado y en línea disponibles. La Optimizar para verificar el funcionamiento del
cuadro no está disponible para esta opción.
B. incorrecta: Esta opción especifica que el usuario elige los archivos que se
sincronizado y en línea disponibles. La Optimizar para verificar el funcionamiento del
cuadro no está disponible para esta opción.
C. incorrecta: Esta opción especifica que cuando un usuario accede a la compartida

carpeta o volumen, y se abre un archivo de usuario o programa, archivo o programa
no está en línea automáticamente a disposición de ese usuario. Optimizar para el Per-
cuadro de rendimiento de verificación está disponible para esta opción, pero es
necesario seleccionar y
No está claro que para asegurar que los archivos ejecutables que un cliente va desde
el compartir
los recursos son automáticamente almacenados en caché en ese cliente, y que la
próxima vez que el
las necesidades del cliente para ejecutar uno de los archivos ejecutables que tendrán
acceso
D. a su Esta
correcto: caché local especifica que cuando un usuario accede a la compartida
opción
en lugarodel
carpeta recursoycompartido
volumen, se abre un del servidor.
archivo de usuario o programa, archivo o programa
que se
automáticamente disponibles sin conexión al usuario. Optimizar para el Perfor-
cuadro de rendimiento de verificación está disponible para esta opción. Al seleccionar
esta opción, se asegura
que los archivos ejecutables que un cliente va desde el recurso compartido son auto-
automáticamente almacenados en caché en ese cliente, y que la próxima vez que el
cliente necesita
ejecutar uno de los archivos ejecutables que tendrán acceso a su caché local en vez de
la
Escenario de caso: Planificación
recursos compartidos endeel una actualización de Windows
servidor.
Server 2003
1. Puede asesorar al Director Técnico que múltiples basado en el dominio DFS
espacios de nombres se pueden configurar en los países en desarrollo de la empresa.
Debido a que la fuente de
de dominio de nombres basados en se oculta que hay poco riesgo de seguridad, aunque si
el objetivo-
ción los espacios de nombres pone demasiada carga en los centros de distribución que la
empresa podría con-
Sider mejorar uno o más de sus servidores miembro de Windows Server 2008
704 Respuestas
De la empresa. Debido a que los centros de distribución a todos ejecutar Windows Server
2008 Enterprise, varios
espacios de nombres en Windows Server 2008 se puede implementar el modo y puede
DFSR
2. Siser configurado.
configura DFSR puede asegurarse de que los mismos datos se hace en varios
destinos de carpeta a través de la red corporativa y que los archivos de estas carpetas
objetivos son compatibles y hasta la fecha. Esto asegura la conmutación por error y
distribuye la carga
en los servidores. Puesto que está utilizando espacios de nombres de dominio basados en
el cliente
equipo no necesita ser configurado con la ruta UNC a una carpeta de destino.
Los destinos de carpeta se pueden mover a otros servidores, pero las carpetas DFS ese
punto
3.aWindows Server se
estos objetivos 2008 le permite
accede de unacrear y administrar
manera coherente.filtros de archivos que controlan la
tipos de usuarios de los archivos se pueden guardar, y le permite generar notificaciones
cuando los usuarios
intentan guardar archivos no autorizados. Usted puede definir plantillas de filtrado de
archivos que
se puede aplicar a nuevos volúmenes o carpetas y utilizar toda la organización. Usted
Puede crear excepciones de detección de modo que mientras los usuarios no pueden
guardar el vídeo o la música
archivos en recursos compartidos del servidor, el almacenamiento de los archivos de los
medios de comunicación (como la formación
archivos) está permitido. También puede crear una excepción que permite a los miembros
de
Capítulo 7: Respuestas
el grupo Repaso
de la alta dirección para de la lección
guardar cualquier tipo de archivo que desea guardar.
Lección 1
1. Respuestas correctas: A y E
A. Correcto: RSAT se puede instalar en Windows Vista Business, Enterprise o
Ultimate, siempre y cuando el Service Pack 1 también ha sido desplegado.
B. incorrecta: Las herramientas RSAT no están disponibles para Windows XP en el

momento de
Lanzamiento de Windows Server 2008. La administración de Windows Server 2008
a partir de Windows XP se debe realizar utilizando herramientas como el escritorio
remoto.
C. incorrecta: Las herramientas RSAT no están disponibles para Windows Server 2003
en el
momento del lanzamiento de Windows Server 2008.
D. incorrecta: Herramientas RSAT no se puede instalar en Windows Vista Home Basic
o Windows Vista Home Premium.
E. correcta: Las herramientas RSAT se puede instalar como una característica de

Windows Server
2008 Enterprise Edition, a menos que la opción de instalación Server Core se ha
sido elegido.
Respuestas 705
A. Correcto: De manera predeterminada, los miembros del grupo de administradores son
capaces de
conectarse a un servidor independiente de Windows 2008 con equipo remoto
Escritorio.
B. correcto: Los miembros del grupo de usuarios se pueden conectar a
un stand-alone equipo Windows Server 2008, incluso si no son miembros de
los miembros del grupo de usuarios de administradores locales.
C. incorrecta: Los miembros del grupo Operadores de impresión no son

automáticamente
otorgado la capacidad de iniciar sesión en un equipo independiente con remoto
Escritorio.
D. incorrecta: Los miembros del grupo Operadores de copia de seguridad no son
automáticamente
otorgado la capacidad de iniciar sesión en un servidor independiente utilizando el
3. Respuesta
escritoriocorrecta:
remoto. C
A. incorrecto: Escritorio remoto no se puede usar si la red de los adaptadores en
un equipo Windows Server 2008 han fracasado.
B. incorrecta: Telnet no se puede utilizar si los adaptadores de red en Windows

Server 2008 equipo han fracasado.
C. Correcto: Gestión de Servicios de Emergencia proporciona un método para la gestión

de un
servidor que sigue en funcionamiento tras el fracaso de los componentes de hardware
D. incorrecta: Microsoft Management Console o bien requieren el uso de
fundamentales.
una tarjeta gráfica para las tareas de administración local o conexiones de red activas
para las tareas de administración remota.
A. Correcto: Terminal Services Gateway permite servidores de escritorio remoto
sesiones de un túnel a través de un firewall en el puerto 443. La colocación de un TS
Servidor de puerta de enlace en la ubicación de la oficina filial le permitirá conectarse a
la oficina remota servidores Windows Server 2008 para llevar a cabo administrativa
tareas.
B. incorrecta: No se debe colocar un servidor de Terminal Services Gateway en el

la oficina local, porque esto no le permitirá el acceso a los servidores de oficinas
remotas.
C. incorrecta: El puerto 25 no se utiliza para el protocolo de escritorio
remoto.
D. incorrecta: El puerto 25 no se utiliza para protocolo de escritorio remoto, e incluso si
usted
podría utilizar el puerto 25, la sede central IP privada rango de direcciones sería el
configuración incorrecta para el servidor de seguridad.
706 Respuestas
A. incorrecto: Los filtros deben ser creados cada vez que se utilizan. Las vistas
personalizadas
son persistentes y pueden ser salvados.
B. correcto: Las vistas personalizadas se pueden guardar y le permitirá alcanzar la meta
de ver los eventos críticos del registro reenviado eventos que han ocurrido
en las últimas 24 horas.
C. incorrecta: A pesar de las suscripciones sólo se pueden configurar para extraer

críticas
datos de eventos, la pregunta de la posibilidad de ver sólo los eventos críticos, no
para recoger únicamente los eventos críticos. La diferencia es que con una suscripción
que
puede recoger todo tipo de eventos y luego aplicar una vista personalizada para
mostrar sólo
D. incorrecta: No debe configurar un sistema Windows Resource Manager
eventos
La específicos.
política. Políticas WSRM no están relacionados con los registros de sucesos.
Lección 2
A. incorrecto: Microsoft System Center Operations Manager 2007 no puede ser
utiliza para configurar las políticas que se unen a los procesadores de interrupciones
del dispositivo específico
en equipos multiprocesador.
B. incorrecta: El Administrador de recursos del sistema no se puede utilizar para
configurar
las políticas que se unen a los procesadores de interrupciones del dispositivo
específico de multiprocesador
C.computadoras.
Correcto: La herramienta de la política de afinidad de interrupción se puede utilizar
para enlazar dispositivos inter-
Rupts a determinados procesadores en equipos multiprocesador. Esto puede max-
imize rendimiento y escala al permitir que las tareas específicas que deben asignarse a
procesadores específicos.
D. incorrecta: El administrador de dispositivos no puede ser utilizado para enlazar
interrupciones del dispositivo de
determinados procesadores en equipos multiprocesador.
A. incorrecto: La aplicación de una política de forma manual una vez que se deja activa.
Puede ser que sea
posible aplicar de forma manual la política con el programa adecuado.
B. correcto: Configurar una política de WSRM que se aplica durante la adecuada
veces usando el calendario es mejor para alcanzar este objetivo.
Respuestas 707
C. incorrecta: Afinidad de interrupción-políticas permiten enlazar un dispositivo de

hardware
interrupción de las solicitudes a un procesador específico en un sistema
multiprocesador. Ellos
D.no
incorrecta:
puede serAfinidad
utilizado
depara
interrupción-políticas
otorgar a un grupopermiten
de usuarios
enlazar
el acceso
un dispositivo
prioritario
dea los
recursos.
hardware
interrupción de las solicitudes a un procesador específico en un sistema
multiprocesador. Ellos
3. Respuesta
no puedecorrecta: B
ser utilizado para otorgar a un grupo de usuarios el acceso prioritario a los
recursos.
A. incorrecto: Una longitud media de cola de disco lógico de 1 no es un motivo de
preocupación.
B. correcto: Una Memoria Páginas / segundo por encima de 50 es motivo

de preocupación.
C. incorrecta: A% de tiempo de procesador del procesador del 65% no es motivo de
preocupación.
D. incorrecta: En una red de 1 Gbit, un total de bytes de red / s no es una causa
de preocupación.
A. incorrecto: Cambiar el horario no va a aumentar el período durante el cual
se recopilan los datos.
B. correcto: Creación de una colección definida por el usuario del conjunto de datos
basado en el Sistema
El rendimiento del Conjunto de recopiladores de datos le permite definir un conjunto de
datos ya
C.duración.
incorrecta: Debe utilizar el rendimiento del sistema colector de datos
Conjunto en lugar del conjunto de diagnóstico del sistema de recopilación de datos.
D. incorrecta: Configuración de la programación existente no va a alterar la duración de la

la recopilación de datos. El horario sólo se dicta cuando la colección se inicia.
No dicta cuando la colección termina. Esto se hace en la parada del Con-
ficha de condición, que es independiente de la ficha Programación.
Lección 3
A. Correcto: La delegación de características a nivel mundial sólo es posible cuando el
incorporado en la cuenta de administrador se registra en forma directa o invocado a
través de la
runas comandos.
B. incorrecta: La delegación de características a nivel mundial sólo es posible con el
built-
en la cuenta de administrador. No es posible realizar la delegación de características
de IIS en
708 Respuestas
nivel mundial con una cuenta que es un miembro del grupo Administradores locales
grupo, a menos que cuenta es la cuenta de administrador integrada.
C. incorrecta: La delegación de características a nivel mundial sólo es posible con la

incorporado en la cuenta de administrador. Adición de una cuenta de dominio en el
dominio de
Grupo de administradores no va a resolver este problema.
D. incorrecta: Adición de una cuenta local al grupo de administradores locales
no resuelve el problema porque la única manera para llevar a cabo la delegación de
características
a nivel mundial es mediante la cuenta de administrador integrada.
A. incorrecto: Delegar la capacidad de administrar los grupos de confianza que no
permitirá que
a los usuarios cambiar las contraseñas.
B. incorrecta: Delegar la capacidad de crear cuentas de usuario proporcionará
usuarios de las sucursales con más derechos que son necesarios y tampoco
permitir que cambien realmente las contraseñas.
C. incorrecta: Permitir que un usuario de confianza en cada sucursal para leer el usuario
infor-
información no se les permite cambiar las contraseñas.
D. correcto: La delegación de las contraseñas de usuario de reinicio y de cambio de
contraseña de la Fuerza
En la tarea siguiente inicio de sesión a un usuario de confianza en un sitio de la
sucursal permitirá que
usuario realizar tareas básicas de administración de contraseñas, sin conceder otros
permisos
3. Respuesta innecesarios.
correcta: D
A. incorrecto: Aunque esta técnica podría funcionar, Sam se concederá
la capacidad en todos los grupos ubicados en la unidad organizativa, no sólo el grupo
de pasantes.
Esto viola el principio de privilegios mínimos, lo que requiere que se asigne
sólo aquellos derechos que son necesarios.
B. incorrecta: El Asistente para delegación de control no puede ser utilizado directamente
en
los grupos de seguridad.
C. incorrecta: El Asistente para delegación de control no puede ser utilizado directamente
en
los grupos de seguridad.
D. correcto: Utilizando la ficha Administrado por establecer la cuenta de usuario de Sam,
el grupo
gerente también confiere la posibilidad de modificar la pertenencia al grupo.
A. Correcto: El comando dsacls, dirigida a la unidad organizativa adecuada, con la
/ Opción resetDefaultDACL, se restablecerán los permisos de una unidad organizativa
para el estado por defecto.
Respuestas 709
B. correcto: Al hacer clic en el botón Restaurar valores predeterminados en avanzada de

una unidad organizativa de Segu-
Configuración dad para el cuadro de diálogo Delegación restablecer los permisos de
una unidad organizativa a la
C.estado por defecto.
incorrecta: La ficha Administrado por sobre las propiedades de una unidad
organizativa es a título informativo,
y no con fines de gestión,.
D. incorrecta: La ficha Administrado por sobre las propiedades de una unidad
organizativa es a título informativo,
y no con fines de gestión,.
E. incorrecto: El comando dsquery sólo proporciona información sobre los objetos
en Active Directory. No se puede utilizar para restablecer una delegación errante.
Caso Escenario 1: Gestión de eventos Fabrikam

1. Asegúrese de que el servicio de sucesos de Windows Collector está configurado para
iniciar automática-
camente. Configurar una suscripción equipo de origen iniciada en el colector
equipo.
2. Utilice Directiva de grupo para configurar los 30 servidores para reenviar eventos a la
computadora
que se ha configurado como un coleccionista.
3. Adjuntar una tarea para el evento con el Visor de registro de eventos y la tarea como el
Script de PowerShell que ha creado.
Escenario 2: el servidor de supervisión del rendimiento en

Blue Yonder Airlines
1. Aunque un número de contadores de registros de estos datos, Procesador \% tiempo de
procesador,
Memoria \ Mbytes disponibles y, lógico \ Longitud actual de la cola de disco pro-
proveen un buen resumen de el uso del procesador, cantidad de RAM disponible, y la
carga en el subsistema de disco.
2. Asegúrese de que su lectura se realiza durante un periodo de uso normal. El plazo debe
ser lo suficientemente largo para generar buenos valores promedio. Si graba una serie de
línea de base
las estadísticas de rendimiento en la mitad de la noche, usted no tendrá una precisión
imagen de cómo el servidor lleva a cabo bajo una carga normal.
3. Un argumento convincente de que el hardware actual es insuficiente es un conjunto de
informes, tomadas durante un período razonable de tiempo, que muestra que rendimiento
del servidor
rendimiento ha alcanzado una meseta debido a limitaciones de hardware. Basta con tomar
una
instantánea de rendimiento no es tan convincente porque las condiciones en que
se tomó la instantánea podría ser inusual y no forma parte de un consistente desempeño-
rendimiento tendencia.
710 Respuestas
Caso Escenario 3: La delegación de los Derechos de los Usuarios de confianza en

Wingtip Toys
1. Es necesario separar las cuentas de usuario en una estructura de unidades organizativas
que representa existentes
organización departamental. Después de las cuentas de usuario se colocan en nuevas
unidades, que
Puede utilizar el Asistente para delegación de control para otorgar los departamentos
administrativos
2. Aunque los jefes de equipo deben ser capaces de modificar la pertenencia al grupo, que
hanasistentes el derecho de cambiar y restablecer las contraseñas.
no hay razón para ser realmente capaces de crear o eliminar grupos. Para prepararse para
la aplica-
mentación de este plan, crear los grupos de equipo especificado y luego, mediante el uso de
la
Ficha Administrado por sobre las propiedades de cada grupo de seguridad, especifique la
correspondiente
Capítulo 8: Respuestas
gerente de cuentas de Repaso
usuario. de la lección
Lección 1
1. Respuestas correctas: B y C
A. incorrecto: Equilibrio de carga de red sólo se utiliza para equilibrar el tráfico entre
Servidores WSUS, no ayudará a asegurar que clientes que se conectan en cualquier
oficina de
utilizará el servidor WSUS local.
B. correcto: Habilitación de DNS Round Robin y la máscara de red orden permite a los
clientes
a contar con la dirección IP de su servidor más cercano WSUS.
C. Correcto: Para que este método funcione, todos los clientes necesitan para acceder al
WSUS
servidor utilizando el mismo FQDN. Esto permite al servidor DNS para devolver el
"Más cercano" resultado a la consulta de cliente DNS.
D. incorrecta: BIND secundarios permiten a los no-servidores DNS de Windows para
organizar
datos de la zona de servidores DNS de Windows. Este ajuste no está relacionado con
WSUS
E.despliegue.
incorrecto: Configuración de un archivo de host de gran tamaño no va a resolver el
problema. Que-
Ries a los archivos de host no devuelve resultados basados en el host de la consulta
Dirección IP.
A. incorrecto: Debido a que cada facultad el departamento de TI necesita la capacidad
de
aprobar las actualizaciones, no debe configurar los servidores de abajo como réplicas.
Respuestas 711
B. incorrecta: Servidores de réplica no permiten a los administradores locales para

aprobar
actualizaciones.
C. Correcto: Configuración de un servidor de aguas arriba para recuperar las
Internet y aguas abajo cinco servidores autónomos, uno por cada facultad-
cumple con los objetivos cuestión de minimizar el uso de ancho de banda y
permitiendo
D.cada facultad
incorrecta: del departamento
Aunque de TIautónomos
cinco servidores para aprobar o rechazar
permitiría cambios.
la facultad
Los departamentos de TI para aprobar las actualizaciones, no sería minimizar la
cantidad de
el tráfico entre la universidad y Microsoft Update.
A. Correcto: Es necesario crear grupos de equipos en el servidor WSUS y
a continuación, asignar a los clientes a estos grupos de equipos con los GPO se aplica
a
las unidades organizativas de departamento.
B. incorrecta: Los GPO se deben asignar a la OU en lugar de en el dominio.
C. Correcto: Es necesario crear grupos de equipos en el servidor WSUS y
a continuación, asignar a los clientes a estos grupos de equipos con los GPO se aplica
a
las unidades organizativas de departamento.
D. incorrecta: No es necesario crear un grupo de seguridad. Es necesario
crear un grupo de equipos WSUS.
E. incorrecto: No es necesario crear un grupo de seguridad. Es necesario

crear un grupo de equipos WSUS.
A. incorrecto: Aunque puede ser posible con un esfuerzo significativo,
crear una tarea programada no es la mejor manera de implementar las actualizaciones
usando
WSUS. Usted debe crear una regla de aprobación automática que utiliza el
PatchTest WSUS grupo de equipos como un objetivo.
B. incorrecta: Una regla de aprobación automática que despliega todas las
Grupo de las computadoras para implementar las actualizaciones de todos los equipos,
no PatchTest la
C.Grupo de WSUS
Correcto: Reglascomo se especifica
automáticas en el texto
Aprobación delos
utilizar la pregunta.
grupos de WSUS equipo como
objetivos
para la implementación de actualizaciones.
D. incorrecta: Reglas automáticas de aprobación no utilizar grupos de seguridad como
objetivos
para la implementación de actualizaciones.
712 Respuestas
A. incorrecto: Resumen actualizado de estado proporcionan información sobre el
número de las computadoras de la actualización no se instaló, pero no proporcionará
información detallada sobre equipos específicos.
B. incorrecta: Resumen de equipo de estado proporcionan información resumida

acerca de las computadoras y las actualizaciones, pero no proporciona información
detallada
de equipos específicos.
C. Correcto: El informe Estado de la actualización detallada proporciona un informe
actualizado por
con una lista de equipos y actualización de estado. Navegar a la página que
contiene información sobre la actualización de un problema le permitirá rápidamente
localizar las computadoras necesarias.
D. incorrecta: Un informe del estado del ordenador detallada le dará un ordenador
por página, información sobre el estado de cambios en particular. A pesar de que
sería posible comprobar todas las páginas de un informe para determinar qué
los ordenadores no tenían la actualización, esto requiere un esfuerzo mucho más
de tener una sola página que muestra el estado de cada equipo para obtener un
determinado
actualización.
Lección 2
A. Correcto: La Auditoría de Cuentas Eventos de inicio de sesión registros política de
inicio de sesión eventos
autenticados por un controlador de dominio. El reenvío de estos eventos en el servidor
los registros de todos los controladores de dominio le permitirá obtener un panorama
completo de
B.actividad de La
incorrecta: la cuenta de iniciode
administración decuentas
sesión en
se el sitio. a la creación o modificación
refiere
de cuentas de usuario o grupos. No se refiere al dominio de grabación de auten-
ticación eventos.
C. incorrecta: Eventos de auditoría de inicio de sesión sólo escribe los eventos locales de
inicio de sesión para el evento
registro. Si se instituye, sólo se proporcionan datos sobre las personas iniciar sesión en
el
controlador de dominio en lugar de los eventos de inicio de sesión autenticado por el
dominio
D. incorrecta: El Directorio del Servicio de Auditoría de políticas de acceso se utiliza para
controlador
permitir que cuando los usuarios inician sesión en el uso de otro equipo en el dominio.
la auditoría en el acceso a los objetos de Active Directory que tienen acceso al sistema
Listas de control aplicadas.
Respuestas 713
A. incorrecto: A pesar de las carpetas compartidas se pueden proteger mediante
BitLocker, Bit-
Armario de obra en una base por volumen y no se puede utilizar para restringir el
acceso
B.sobre una base
incorrecta: EFScuenta por usuario.
sólo funciona con cuentas de usuario. Las cuentas de grupo no puede
ser
asignado certificados EFS.
C. Correcto: El cifrado de los datos confidenciales de cada una de las cinco de contador
las cuentas de usuario deberá cumplir este objetivo.
D. incorrecta: A pesar de las carpetas compartidas se puede proteger con BitLocker,

BitLocker funciona con una base por volumen y no se puede utilizar para restringir el
acceso sobre una base cuenta por usuario.
A. Correcto: Aislamiento de dominio restringe la comunicación para que los equipos que
son miembros del dominio sólo se puede acceder a otros equipos que son
los miembros del dominio.
B. incorrecta: Las VPN se utilizan para el acceso remoto. VPN no se utilizan para
restringir
el acceso a los ordenadores de una red de área local.
C. incorrecta: EFS se utiliza para cifrar los archivos locales. No se puede utilizar para
restringir el
acceso a la red.
D. incorrecta: PAN restringe el acceso a la red basado en la salud del cliente, no
la pertenencia al dominio.
A. incorrecto: No se debe colocar los servidores de archivos en una red perimetral.
Ya que los equipos del contratista son los clientes DHCP, será difícil
configurar un servidor de seguridad interno para bloquear el acceso a estos servidores.
B. incorrecta: Una política de aislamiento de dominio podría bloquear el acceso a todos

los contratistas
anfitriones de dominio incluidos los servidores que deben tener acceso.
C. incorrecta: Ya que los equipos del contratista son los clientes DHCP, se
difícil de configurar un servidor de seguridad interno para bloquear el acceso a estos
servidores.
Aunque esto podría ser posible con las reservas de DHCP, el hecho de que di-
contratistas diferentes están presentes cada semana se hace difícil de implementar.
D. correcto: Las políticas de aislamiento de servidor le permite limitar el acceso de red a
un
grupo específico de servidores sobre la base de si un ordenador es un miem-
número de un dominio de Active Directory.
714 Respuestas
Escenario: implementación de WSUS 3.0 SP1 en Fabrikam

1. Usted debe agregar la cuenta del CIO con el grupo de reporteros locales WSUS. Esto
permitir que el CIO para ejecutar informes sin asignar administrativa innecesaria
privilegios.
2. Usted debe configurar los servidores WSUS aguas abajo en el satélite Fabrikam
oficinas como réplicas WSUS. De esta manera las aprobaciones de actualización y el
ordenador
configuración del grupo en el servidor WSUS jefe de oficina será automáticamente
inherente-
3.limitado por losun
Debe generar servidores de actualización
informe de abajo. de la situación detallada. Esto le permitirá
abrir la ventana de una actualización informe que la lista de equipos específicos que la
No se puede actualizar a instalar.
Lección 1
A. incorrecto: L2TP sobre IPsec utiliza el puerto 1701. SSTP utiliza el puerto 443, el
puerto
utilizado para HTTP sobre SSL (también conocido como HTTPS).
B. correcto: SSTP utiliza el puerto 443, el puerto utilizado para HTTP sobre SSL (también
conocido
como HTTPS).
C. incorrecta: PPTP utiliza el puerto 1723. SSTP utiliza el puerto
443.
D. incorrecta: SLIP (Serial Line Internet Protocol) es un viejo dial-up protocolo
y no puede ser utilizado como un túnel VPN.
A. incorrecto: Reservas DHCP se utilizan para asignar una dirección IP particular a
clientes particulares sobre la base de la dirección MAC del cliente.
B. incorrecta: Exclusiones DHCP asegurarse de que un rango de direcciones IP en el

alcance no se agregan a la piscina DHCP.
C. incorrecta: Configuración de la clase por defecto en el servidor DHCP le asignará

las opciones para todos los clientes DHCP, no sólo los clientes de acceso remoto.
D. correcto: La ruta por defecto y la clase de acceso remoto es una nueva característica
a
el servicio DHCP en Windows Server 2008 que permite separar DHCP
opciones que se asignará a los clientes de acceso remoto.
Respuestas 715
A. incorrecto: Windows 2000 Professional no se puede conectar a un SSTP
Servidor VPN.
B. incorrecta: Clientes Windows XP Professional no se puede conectar a un SSTP

Servidor VPN.
C. incorrecta: Un cliente de Windows Vista RTM no puede conectarse a una VPN SSTP.
Windows Vista debe tener instalado Service Pack 1 antes de que esta conexión VPN
ción es posible.
D. correcto: Los clientes de Windows Vista sólo puede conectarse a una VPN SSTP si
tener el Service Pack 1 instalado.
A. incorrecto: NPS datos contables se genera en el servidor de fuentes de energía
nuclear, que es
También el servidor RADIUS, en lugar de en el cliente RADIUS.
B. incorrecta: NPS datos contables se genera en el servidor de fuentes de energía
nuclear, que es
También el servidor RADIUS, en lugar de en el cliente RADIUS.
C. incorrecta: El equipo de SQL Server no reenviará RADIUS
los datos contables con el servidor de fuentes de energía nuclear, el servidor NPS
reenviará
Datos de cuentas RADIUS para el servidor SQL Server.
D. correcto: Es posible, usando el nodo de contabilidad en la consola de NPS, a
configurar todos los datos contables fuentes de energía nuclear que se escriben en una
base de datos de SQL Server
en vez de los archivos de registro local.
A. Correcto: Un TS-RAP (Política de Recursos de autorización) especifica que, entre
otras-
nal de recursos de red que un cliente que se conecta a través de la puerta de enlace
de TS
B.Servidor
incorrecta:
se puede
Un TS-PAC
conectar.
(política de autorización de conexiones) especifica que
las cuentas de usuario son capaces de conectarse a través de un servidor de puerta de
enlace de TS.
C. incorrecta: Usted no tiene necesidad de usar un Agente de sesión de TS, ya la
pregunta
ción no menciona la necesidad de volver a conectarse al servidor de Terminal Server
en el mismo
D.una
incorrecta:
granja de
NoTerminal
es necesario
Server.
utilizar un Agente de sesión de TS, ya la pregunta
ción no menciona la necesidad de volver a conectarse al servidor de Terminal Server
en el mismo
una granja de Terminal Server.
716 Respuestas
Lección 2
A. Correcto: IPsec se puede configurar la aplicación para permitir y denegar el acceso a
una base de puerto a puerto. Esto significa que se puede permitir el acceso sólo a
computadoras
res con los certificados de salud vigente en el puerto RDP al tiempo que permite el
acceso a la
B.HTTP y HTTPS
incorrecta: para clientes
Lugares las computadoras
802.1X en que carezcan
las VLAN segúnde su
certificado
estado dedesalud.
salud vigente.
Un cliente saludable será colocado en una VLAN diferente de una malsana.
Aunque puede cambiar en el futuro, como OSI Layer 2 dispositivos, switches no puede
puede configurar para bloquear específicos puertos TCP / UDP (aunque algunos
interruptores
puede dar prioridad al tráfico particular). En general, el término puerto en un switch se
refiere
a una interfaz.
C. incorrecta: DHCP lugares clientes de cumplimiento en las diferentes redes IP
sobre la base de su salud y no se puede configurar para permitir el tráfico en un puerto
y en otro bloque.
D. incorrecta: VPN aplicación funciona en clientes remotos y no es apro-

Comimos en un escenario de intranet, ya que no influirá en no clientes remotos.
2. Respuestas correctas: A y D
A. Correcto: Usando el sistema operativo como una condición le permite aplicar
normas distintas a Windows XP y Windows Vista.
B. incorrecta: Usted no debe crear una VLAN, se debe crear una condicional
política basada en el sistema operativo del cliente.
C. incorrecta: Usted debe configurar la directiva para permitir que Windows XP no,
Windows Vista, para evitar el chequeo de salud.
D. correcto: Configuración de una política que permita a los equipos con Windows XP
omitir la comprobación de la salud significa que los equipos con Windows Vista todavía
se
marcada.
E. incorrecto. Usted no debe crear una VLAN, se debe crear una condicional
política basada en el sistema operativo del cliente.
A. incorrecto: El Windows Server 2003 DC no tiene que ser actualizado para
apoyar el cumplimiento DHCP NAP.
B. incorrecta: El servidor DNS no tiene que ser actualizado para soportar DHCP
De cumplimiento NAP.
Respuestas 717
C. Correcto: El ES DHCP (Aplicación Service) sólo está disponible en Windows

Server 2008. La existente de Windows Server 2003 debe ser
actualizado a Windows Server 2008 para usar la aplicación DHCP NAP.
D. incorrecta: El Servidor de directivas de red no necesita ser actualizado para apoyar

puerto DHCP de cumplimiento NAP.
A. Correcto: IPsec cumplimiento requiere de una Autoridad de Registro de la Salud y
un equipo con Windows Server 2008 CA.
B. correcto: IPsec cumplimiento requiere de una Autoridad de Registro de la Salud y

un equipo con Windows Server 2008 CA.
C. incorrecta: A Windows Server 2008 del servidor DHCP no es necesario para IPsec
cumplimiento porque las direcciones configurada de forma estática se puede utilizar.
D. incorrecta:. Servidores HCAP se utilizan en conjunto con Cisco Network Access

El control y no está implementada como parte del programa de aplicación de IPsec.
E. incorrecto: Un servidor NPS configurado como un proxy RADIUS no es una condición

necesaria
componente de cumplimiento NAP IPsec.
A. Correcto: Un equipo Windows Server 2008 debe albergar la función de servidor de
fuentes de energía nuclear
en un entorno en el cumplimiento NAP 802.1X se va a implementar.
B. incorrecta: Un servidor proxy RADIUS no es necesario implementar 802.1X
De cumplimiento NAP.
C. Correcto: Los clientes deben tener la EAPHost CE (cliente de cumplimiento) para

Cumplimiento NAP 802.1X que se desplegará.
D. incorrecta: HCAP sólo es necesario cuando se utiliza la red de Cisco

Control de acceso de los clientes. Aunque puede utilizar switches Cisco, 802.1X
Cumplimiento NAP no exige que la función de servidor HCAP ser instalado.
E. incorrecto: Un servidor DHCP no es necesario cuando se utiliza la aplicación de

802.1X.
Escenario: Acceso remoto a Wingtip Toys
1. En el sitio de Sydney, se utilizaría un TS-CAP (Terminal de conexión de servicios
Política de autorización).
2. SSTP se debe utilizar en el puerto 443, que utiliza SSTP, ya está abierto.
3. Usted debe utilizar la aplicación VPN en la ubicación de Melbourne.
718 Respuestas
Lección 1
A. incorrecto: Usted no debe desplegar una CA raíz de empresa, porque la pregunta
ción indica que uno ya ha sido desplegada.
B. correcto: Como la pregunta lo indica, una CA de empresa ya está presente en

una cierta capacidad en el lugar de la oficina central. Debería implementar una
empresa
CA subordinada.
C. incorrecta: La cuestión se menciona el apoyo a las políticas de la inscripción
automática,
lo que significa que una CA de empresa se requiere.
D. incorrecta: La cuestión se menciona el apoyo a las políticas de la inscripción
automática,
lo que significa que una CA de empresa se requiere.
A. Correcto: Para implementar la inscripción automática, debe habilitar la inscripción
automática
dentro de Active Directory.
B. correcto: Los permisos de inscripción automática se debe aplicar a los certificados
tem-
las placas antes de certificados pueden ser inscritos automáticamente.
C. incorrecta: Configuración de CRL publicación no deben ser modificados de su
por defecto para apoyar el despliegue de la inscripción automática.
D. incorrecta: Una respuesta en línea no es necesaria para el despliegue de

la inscripción automática.
E. incorrecto: De inscripción en Web, no es necesario para el despliegue de

la inscripción automática.
3. Respuestas correctas: B, C y E
A. incorrecto: La respuesta de OCSP certificado de firma debe ser instalado en
la respuesta en línea no, el CA.
B. correcto: Es necesario configurar la respuesta de OCSP certificado Firma de tem-

placa en el CA.
C. Correcto: Es necesario instalar el certificado Firma de respuesta de OCSP en el

servidor que realizará la función de respuesta en línea.
Respuestas 719
D. incorrecta: Es necesario configurar la extensión AIA en la CA con la

URL de la respuesta en línea.
E. correcta: Es necesario configurar la extensión AIA en la CA con la URL

de respuesta en línea en lugar de la URL de la CA.
A. incorrecto: Instalación de una empresa emisora de certificados subordinada de la
sucursal se
no reducir los problemas asociados con los controles de revocación que en la
actualidad
B.se producenAapesar
incorrecta: travésde
deque
enlaces WAN.publicar los datos de CRL en ubicaciones
es posible
alternativas
como un recurso compartido de archivos de oficina sucursal, por defecto, el despliegue
de una-Enter
premio CA subordinadas no incluye información de los certificados de CRL
emitido por una CA más arriba en la jerarquía de PKI. Esta tarea es más adecuado
para
C. incorrecta: Independiente CA subordinadas no puede dejar en el servicio de
Respuesta en línea.
revocación-
ción de los cheques certificados emitidos por la empresa CA raíz.
D. correcto: Respuesta en línea puede acelerar la verificación del certificado, ya
que poseen una copia de la CRL y puede responder a las solicitudes de forma
individual
base sobre el estado de los certificados específicos. Tener una oficina satélite locales
De respuesta en línea reduce el tráfico a través de enlaces WAN.
A. incorrecto: La consola de Autoridad de Certificación puede ver el estado de un
CA a la vez. La herramienta Enterprise PKI se puede utilizar para ver el estado de
todos los
CA en un bosque de Active Directory a la vez.
B. incorrecta: La respuesta en línea Consola de administración se utiliza para gestionar
Respuesta en línea. A pesar de que la consola se puede utilizar para gestionar
Las matrices de respuesta en línea, respuesta en línea no tiene que ser instalado
en los servidores que funcionan como entidades emisoras de certificados.
C. Correcto: La herramienta Enterprise PKI se puede utilizar para ver el estado de un

entorno de red de PKI, incluyendo todas las jerarquías que existen dentro de CA
un bosque de Active Directory.
D. incorrecta: El complemento Certificados permite ver los certificados de un usuario,

computadora, o la cuenta de servicio. No se puede utilizar para ver el estado de Certif-
icate autoridades.
720 Respuestas
Lección 2
A. incorrecto: Compresión diferencial remota está relacionado con la transferencia de
datos utilizando el ancho de banda mínimo. No está directamente relacionado con
canal de fibra
dispositivos de almacenamiento.
B. incorrecta: UDDI es usado por los servicios web y no está relacionado con canal de
fibra
C. Correcto: Multipath I / O (MPIO) debe estar instalado en un servidor si se
acceso a un LUN a través de varios puertos de canal de fibra o iniciador iSCSI
adaptadores.
D. incorrecta: RPC sobre HTTP Proxy no está directamente relacionado con canal de
fibra
A. incorrecto: El tipo de LUN se extendió no proporciona la mejora de E / S desempeño-
rendimiento y no es tolerante a fallos.
B. incorrecta: El tipo de LUN rayas mejora el rendimiento de E / S más

el tipo simple, pero no es tolerante a fallos.
C. incorrecta: El tipo de LUN simples no proporciona mejoras de E / S y

no es tolerante a fallos.
D. correcto: El rayado con el tipo de paridad LUN (también conocido como RAID-5) pro-
proporciona un mejor rendimiento de E / S en el simple, distribuido, y refleja
Tipos de LUN y también es tolerante a fallos.
A. incorrecto: La política de conmutación por recuperación MPIO utiliza una ruta
preferida, sólo cambiando
E / S a una ruta alternativa cuando el camino preferido no.
B. correcto: El Round-Robin MPIO política utiliza todas las rutas disponibles entre
el servidor y la matriz SAN.
C. incorrecta: El camino ponderado política MPIO dirige de E / S a la ruta que ha

ha asignado el menor peso por el administrador que configura.
D. incorrecta: La dinámica de menor profundidad de cola MPIO dirige la política de I / O a

la
ruta con el menor número de solicitudes pendientes. No se distribuye
peticiones de igual en todos los caminos, sino que dirige, teniendo en cuenta una
corriente de carga del camino.
Respuestas 721
A. Correcto: Administrador de almacenamiento para redes SAN se utiliza
para crear LUN.
B. incorrecta: El Explorador de almacenamiento se utiliza para gestionar Fibre Channel y
iSCSI-fab
RICS. No se puede utilizar para crear LUN en matrices de almacenamiento.
C. incorrecta: Administrador de dispositivos no puede ser utilizado para crear LUN en
una fibra
Canal matriz.
D. incorrecta: Administración de discos no se pueden utilizar para crear LUN en una fibra
Canal matriz.
Escenario: Implementación de Servicios de Certificate Server y una matriz de

SAN en
Coho Viñedos y Bodegas
1. Configurar la inscripción automática en Active Directory y en la plantilla de certificado IPsec.
2. Implementar una respuesta en línea.
3. El tipo de RAID-5 LUN ofrece la mejor combinación de rendimiento y tolerancia a fallos.
Lección 1
A. incorrecto: La carga de red del Administrador de equilibrio maneja clústeres de NLB,
No DNS Round Robin.
B. correcto: El Administrador de DNS se utiliza para crear y administrar los registros DNS
en
C. incorrecta: Puede utilizar la utilidad nslookup para consultar más información útil
ción, pero no para crear o administrar DNS.
D. incorrecta: El Administrador de servidores en Windows Server 2008 se utiliza para

gestionar
el servidor como un todo, no la configuración de DNS en particular.
2. Respuestas correctas: C y D
A. incorrecto: Esto no es una limitación de DNS Round Robin. Estas configuraciones
nes son frecuentemente utilizados con éxito en Internet.
B. incorrecta: El administrador de DNS tiene un control completo sobre el jefe del equipo
de
dominios y registros DNS. Aunque no siempre lo hacen, los clientes y
los servidores DNS deben cumplir con su TTL.
722 Respuestas
C. Correcto: Esto es una desventaja de DNS Round Robin. Porque no se puede

de control que el servidor recibirá o servir una solicitud, las aplicaciones de estado
tienen problemas con el DNS de la Ronda Robin configuraciones.
D. correcto: Esto es una desventaja de DNS Round Robin. El administrador de la

no puede controlar o dar un peso extra a ciertos servidores para asegurarse de que
recibir o servir más peticiones.
A. Correcto: Las direcciones MAC e IP son compartidas entre todos los participantes de
racimo
pantalones con NLB.
B. incorrecta: Aunque la dirección IP es compartida, la dirección MAC es así.
C. incorrecta: Aunque la dirección MAC es compartida, la dirección IP también se
compartida entre los participantes.
D. incorrecta: Las direcciones MAC e IP son compartidas.

A. incorrecto: Sesenta y no es el número correcto de los latidos del
corazón.
B. incorrecta: Treinta no es el número correcto de los latidos del
corazón.
C. Correcto: Cinco es el número correcto de los latidos del corazón. Si cinco latidos del
corazón se
perdido, la convergencia se dispara entre los demás participantes.
D. incorrecta: Treinta y dos no es el número correcto de los latidos del
corazón.
A. Correcto: Es necesario configurar las reglas de NLB puerto para garantizar que el
tráfico de
el servidor Web utiliza los tipos de tráfico de NLB, pero otros no.
B. correcto: Multicast es necesario porque los hosts del clúster tiene un adaptador de
y deben comunicarse entre sí durante la replicación de Robocopy
Datos del sitio web.
C. incorrecta: Modo de unidifusión no es compatible con la comunicación entre las

agrupa-
ter nodos.
D. incorrecta: IPv6 no es necesaria en esta configuración.
E. incorrecto: DNS Round Robin no es necesario en esta situación.
Respuestas 723
Lección 2
A. incorrecto: Este modelo se recomienda para un número par de nodos.
B. correcto: Este es el modelo recomendado para los grupos con un número impar de
los nodos.
C. incorrecta: Este modelo no es recomendable.

D. incorrecta: Este modelo se recomienda para un número par de nodos.
A. Correcto: RAID 0, se crea un disco más grande lógico a partir de dos o más menores
discos.
B. correcto: RAID 1 crea un espejo de un disco a otro.

C. incorrecta: RAID 5 requiere de tres discos.
D. incorrecta: RAID 10 combina el reflejo de RAID 1, junto con la tira-
ción disponible en RAID 0 y requiere un mínimo de 4 discos.
A. Correcto: La participación mayoritaria del nodo y de archivos utiliza un recurso
compartido de archivos para almacenar los con-
los datos de configuración y puede continuar si la mitad de los nodos no.
B. incorrecta: El disco testigo se almacena en un recurso
compartido de archivos.
C. incorrecta: El uso de un recurso compartido de archivos significa que el recurso de
clúster se mantiene
disponibles en el recurso compartido de archivos con lo que esta respuesta es
D. incorrecta: Este modelo de quórum permite que la mitad de los nodos a fallar y lo
incorrecta.
todavía funcionan.
Caso Escenario 1: La elección de la estrategia de disponibilidad adecuada

1. Los equipos de Exchange Server debe utilizar Failover Clustering. De cambio es
clústeres. Con base en la información proporcionada, el sitio web de la empresa principal
Parece que correr de un servidor. Un servidor adicional se debe agregar. Porque
el sitio cuenta con páginas estáticas, de información, esto implica que la carga de red simple
Balacing se puede utilizar. Los sitios Web que se ejecuta en el servidor Linux debe usar
DNS Round Robin, porque no hay otra opción disponible con Windows Server
2008. Otros factores a considerar incluyen la conectividad y la física y el medio
factores ambientales involucrados en la prestación de una alta disponibilidad.
724 Respuestas
2. Los equipos con Exchange Server puede usar NLB o Clustering de conmutación por error,
pero no
DNS Round Robin. DNS Round Robin no es consciente de la sesión y podría peticiones
ir a diferentes servidores. De la empresa sitio web en su estado actual, usando sólo
un servidor, no puede utilizar cualquiera de las opciones de alta disponibilidad. Por lo menos
un adicional
servidor con una copia del sitio Web sería necesario para proporcionar redundancia.
Finalmente, los servidores Linux sólo puede utilizar DNS Round Robin, porque ninguno de
los
3.Windows
El modeloServer
de quórum más
2008 de probable
alta sería Compartir
disponibilidad archivos
de opciones y nodo,con
compatible ya Linux.
que permite
el disco testigo de estar en un recurso compartido de archivos. Debido a que sólo hay dos
servidores en este esce-
nario, que sería mejor para almacenar información de los testigos de disco en un lugar
separado.
Lección 1
A. incorrecto: Los miembros del grupo Usuarios avanzados no se puede realizar manual
de
copias de seguridad.
B. correcto: Los miembros del grupo Operadores de copia no se puede configurar
Windows programa de copia de seguridad del servidor, pero puede realizar copias de
seguridad manuales en
C. incorrecta: Aunque los miembros del grupo Los administradores pueden realizar
copias de seguridad manuales, añadiendo que el miembro del personal de confianza
de este grupo pro-
vide innecesarios privilegios de administrador porque esta tarea también se puede
realizado por los miembros del grupo Operadores de copia de seguridad.
D. incorrecta: Los miembros del grupo de usuarios no pueden realizar
copias de seguridad manuales.
A. Correcto: Debido a que el script se ejecutará con la cuenta de administrador local
credenciales, será necesario colocar las credenciales adicionales para el control
remoto
participación en el guión.
B. incorrecta: Local credenciales de la cuenta de administrador no permitirá el acceso
a una carpeta compartida remota (a menos que el equipo remoto utiliza la misma
Contraseña de administrador).
Respuestas 725
C. Correcto: Es necesario para ejecutar el script con el administrador local

cuenta porque WBADMIN.EXE sólo se puede ejecutar con privilegios elevados.
D. incorrecta: Es necesario para ejecutar el script con el administrador local

credenciales de la cuenta porque WBADMIN.EXE sólo se puede ejecutar con ele-
vated privilegios.
E. incorrecto: La pregunta especifica que la tarea debe ejecutarse

diariamente.
A. Correcto: Copia de seguridad de Windows Server puede escribir copias de seguridad
programadas para locales
externa USB 2.0 discos.
B. correcto: Copia de seguridad de Windows Server puede escribir copias de seguridad
programadas para locales
externo IEEE 1394 discos.
C. Correcto: Copia de seguridad de Windows Server puede escribir copias de seguridad
programadas para IDE
Discos internos.
D. incorrecta: Copia de seguridad de Windows Server no puede ser utilizado para escribir
programado
copias de seguridad para redes SAN iSCSI.
A. Correcto: Virtual Server 2005 R2 se puede utilizar para montar archivos
VHD.
B. correcto: Hyper-V se puede utilizar para montar archivos
VHD.
C. incorrecta: El Explorador de almacenamiento no puede ser usado para
montar VHD.
D. incorrecta: Administración de discos no se puede utilizar para montar archivos
VHD.
E. incorrecto: Administrador de almacenamiento para redes SAN, no se puede utilizar
para montar archivos VHD.
5. Respuestas correctas: C, D y E
A. incorrecto: Aunque por lo general cuando se realiza una copia de seguridad manual
que se
capaces de escribir los datos de backup a un recurso compartido de red, esto no es el
caso de un siste-
B.TEM
incorrecta:
EstadoAunque
de copiapor
deloseguridad
general cuando
de datos
segenerada
realiza una
con
copia
WBADMIN.EXE.
de seguridad manual
que se
capaces de escribir los datos de backup a un local de la grabadora de DVD, este no es
el caso de un
C.Estado del Puede
Correcto: sistema de datos
escribir de copia Estatal
un Sistema de seguridad
de sólocreada conseguridad
copia de WBADMIN.EXE.
mediante
WBADMIN.EXE a
un disco duro externo USB 2.0.
D. correcto: Puede escribir un Sistema Estatal de sólo copia de seguridad mediante
WBADMIN.EXE a
una externa de disco duro IEEE 1394.
726 Respuestas
E. correcta: Puede escribir un Sistema Estatal de sólo copia de seguridad mediante

WBADMIN.EXE a un
locales de la unidad interna de disco duro SCSI.
Lección 2
A. incorrecto: Este comando recupera el objeto denominado Solar situado en el
Plutón OU.
B. incorrecta: Debe utilizar el comando Objeto en Restaurar para restaurar un objeto,

si es un usuario o de equipo.
C. Correcto: Es necesario ejecutar el comando Restaurar objeto "cn = Plutón, OU = Solar,

dc =
Contoso, dc = interno "para restaurar la cuenta del equipo de Plutón a la energía solar
OU en el dominio Contoso.internal.
D. incorrecta: Debe utilizar el comando Objeto en Restaurar para restaurar un objeto,
si es un usuario o de equipo.
A. incorrecto: Los miembros del grupo local Usuarios avanzados no se puede restaurar
los datos de backup.
B. incorrecta: Los miembros del grupo local Usuarios avanzados no se puede restaurar
los datos de backup.
C. Correcto: Para llevar a cabo una restauración, es necesario ser miembro de la

Operadores de copia o de un grupo de administradores local en el servidor que la res-
toration se está realizando en. Debido a que las cuentas de usuario que son miembros
de
el grupo Operadores de copia tienen menos privilegios que las cuentas de usuario
son miembros del grupo de administradores local, cuando se sigue el princi-
ejemplo de privilegios mínimos, se debe utilizar la primera.
D. incorrecta: A pesar de la pertenencia al grupo Administradores local
permitir la restauración de archivos y carpetas que se realiza, esta tarea también puede
ser
realizado por los miembros del grupo Operadores de copia de seguridad. El Oper-
Backup
dores del
3. Respuesta grupo se
correcta: C le asigna menos privilegios que el grupo de administradores locales.
A. incorrecto: No es posible realizar una restauración autoritaria con una
RODC.
B. incorrecta: Al realizar una recuperación de servidor completo en el RODC tiene

ya ha realizado una restauración no autoritaria.
Respuestas 727
C. Correcto: Realización de una recuperación de servidor completo no se vuelva a

aplicar configuración de BitLocker
ajustes. Usted tendrá que volver a aplicar la configuración de BitLocker en un servidor
después de la plena
D.proceso del A
incorrecta: servidor de realizar
pesar de recuperación
copiases
decompleta.
seguridad siempre es prudente, no es nece-
necesarios para realizar una copia de seguridad completa del servidor después de
realizar una recuperación de servidor completo.
Recuerde, si usted acaba de realizar una recuperación de servidor completo, cualquier
copia de seguridad
tomadas serán idénticos a los datos de copia de seguridad que ya tiene en la
recuperación
los medios de comunicación.
A. incorrecto: Usted no debe realizar una recuperación del metal, ya que esto
quitar el sistema operativo y las aplicaciones actuales del servidor.
B. incorrecta: Usted no debe montar las imágenes de copia de seguridad ya que los
volúmenes ya
esto no va a restaurar la funcionalidad del servidor de la intranet, sin más
intervención.
C. Correcto: En este caso, el montaje de las imágenes de copia de seguridad como una
máquina virtual
bajo Hyper-V funciona como una medida provisional en vigor hasta la sustitución
ción de componentes llega y el servidor se puede restaurar con normalidad.
D. incorrecta: Restaurar los datos del estado del sistema de un servidor a otro se
no resolver este problema e incluso puede causar problemas de estabilidad.
Caso Escenario 1: Wingtip infraestructura de copia de seguridad

Juguetes1. Un interno o externo USB 2.0 o IEEE 1394 dispositivos de almacenamiento debe estar
conectado a
los servidores para que los datos de copia de seguridad programada se puede escribir.
2. Copia de seguridad de Windows Server sólo puede escribir en local o conectado de forma
externa
volúmenes. El respaldo remoto requiere que los medios de copia de seguridad se trasladó a
un fuera de las instalaciones
ubicación. Esto significa que los dispositivos extraíbles externos, como USB 2.0 o
IEEE 1394 dispositivos de almacenamiento, debe ser utilizado debido a que estos
dispositivos pueden ser fácilmente
3. Configurar instantáneas de carpetas compartidas en cada carpeta compartida e instruir
transportados a lugares fuera del sitio.
los usuarios de cómo acceder a ella. Esto permitirá a los usuarios recuperar sus propios
archivos y reducir
la cantidad de tiempo que el personal de mesa de ayuda debe pasar en esta tarea.
728 Respuestas
Escenario 2: Recuperación de Desastres de Fabrikam

1. Debe restaurar los controladores de dominio raíz del bosque en primer lugar porque estos
deben ser
en el lugar para realizar algunas operaciones en los dominios que componen el resto de la
de los bosques.
2. Recuperar los controladores de dominio mediante las copias de seguridad Viernes
completa del servidor. Realizar una
restauración autoritaria de los objetos que se han eliminado el jueves con el
Miércoles sistema de copias de seguridad del Estado.
3. Para restaurar fileserve.hq.fabrikam.com forma más completa posible, restablecer el pleno
servidor de copia de seguridad y restaurar las copias de seguridad de volumen compartido.
Cuando se realiza
copias de seguridad de volúmenes, los volúmenes que contienen el sistema operativo de
forma automática
copia de seguridad.
Glosario
. NET Framework Un componente de software que se incluye en el operativo de Windows
los sistemas. Que ofrece soluciones pre-codificadas a los requisitos del programa común,
y
controla la ejecución de los programas escritos para el Marco. Aplicaciones-la mayoría de
los nuevos
ciones creadas para de
Un conjunto
Propiedades ACID
las propiedades
plataformas Windows utilizan.
que garantizan queNET
las Framework.
operaciones de lógica única
(En las transacciones de bases de datos en particular) se procesan de forma fiable.
Atomicidad garan-
tes que, o bien todas las tareas de una transacción se llevan a cabo o no es ninguno de
ellos.
La coherencia requiere que los datos están en un estado de derecho, cuando comienza la
transacción
y cuando termina. Garantiza el aislamiento que la aplicación hace que las operaciones en
una transacción aparecen aislados de todas las demás operaciones. Garantiza la
durabilidad
Controlque después de que el usuario
Una combinación
de acceso haya sido
de permisos notificado
de recurso de éxito,ylaNTFS
compartido operación se mantendrá,
y derechos de y
No puede
usuario quedeshacer.
debe garantizar que los usuarios pueden tener acceso a los recursos que necesitan, sino
evitar que el INAP-
apropiado
Entrada de control acceso a (ACE)
de acceso losUna
recursos que los
asignación de usuarios
permisosno tienen
a una derecho
entidad a acceder.
de seguridad.
Access Control List (ACL) Una lista de ACE. ACL se conocen como conjuntos de permisos.
Espacio de dirección El número total de direcciones (en teoría) está disponible con un Internet
protocolo.
Anycast direcciones Una dirección IPv6 que pueden identificar un número de hosts. Paquetes
dirigidos a una dirección anycast se entregan a la interfaz más cercana (en términos de
enrutamiento de distancia) que se identifica por la dirección.
Se refiere a las características que permiten una amplia gama de usuarios

Aplicación de accesibilidad
para ejecutar
una aplicación. Accesibilidad directa requiere que una aplicación diseñada para ser
que el mayor número posible de personas se puede utilizar sin necesidad de especiales
de adaptación de software o hardware. Además, la accesibilidad es proporcionado por las
interfaces
específicamente diseñado para mejorar la accesibilidad de (por ejemplo) físicamente
los usuarios con discapacidad o usuarios con la vista o audición.
Laaplicaciones
Disponibilidad de las disponibilidad de una aplicación (y el servicio se ejecuta bajo)
para atender las peticiones de los clientes y a devolver las respuestas oportunas y
precisas.
729
730 Glosario
Asegura que si una aplicación instalada está dañado o si su

Aplicación de la resiliencia
archivo ejecutable se elimina, la aplicación automáticamente vuelve a instalar. También
asegura
que las solicitudes se mantienen al día y actualizaciones, service packs, y aplica-
revisiones cación instalar cuando sea necesario.
ASP.NETUna web de Microsoft estructura de aplicaciones que utilizan los programadores para
construir
sitios web dinámicos, aplicaciones web, y el lenguaje de marcado extensible (XML)
Los servicios Web.
Restauración autoritaria Una técnica por la cual los objetos eliminados de Active Directory puede
ser recuperados.
La inscripciónUn proceso por el cual es automáticamente un certificado digital asignado

automática
sin intervención del administrador ni del usuario.
Modo autónomo Un servidor WSUS aguas abajo de administración que utiliza el modo de
diferentes homologaciones con el servidor de aguas arriba.
Bare Metal Restore Cuando se realiza una restauración sin necesidad de cargar un sistema
operativo.
Arranque de la partición La partición de arranque aloja los archivos del sistema operativo. La
manera más fácil
recordar esto cuando se considera la partición del sistema es que las etiquetas son
contrario a la intuición.
Un router BootP habilitado o switch de capa 3 puede pasar DHCP o DHCPv6

BootP habilitado
el tráfico de subredes remotas para que un servidor DHCP puede asignar direcciones de
distintos ámbitos para distintas subredes.
Un equipo que se envía los datos del registro de eventos o un equipo que sondea
Colector de equipo
un
conjunto de equipos para los datos de registro de eventos. Los datos de registro de
sucesos de varios equipos
se puede
Component Objectver enUna
Model un ordenador
plataformade
(COM) decolección.
Microsoft para el componente basado en soft-
software de ingeniería (CBSE). COM se utiliza para permitir la creación dinámica de
objetos y
la comunicación entre procesos en cualquier lenguaje de programación que soporta el
la tecnología.
Autoridad de Certificación. Un servidor especial que emite certificados digitales a los
California
usuarios, com-
computadoras y servicios.
CRL La lista de revocación de certificados. Una lista de números de serie del certificado para
los certificados que
ya no son considerados válidos por la autoridad expedidora.
Espacio de nombresUna
DFS jerarquía de carpetas de DFS.
Glosario 731
Replicación rápida, con varios maestros eficientes que asegura que los datos
Replicación DFS (DFSR)
dentro de un espacio de nombres DFS es consistente y actualizada. En Windows Server
2008,
DFSR también replica la información de Active Directory.
DHCP Protocolo de configuración dinámica de host. Este protocolo se utiliza para proporcionar
IPv4
e IPv6 información de forma dinámica a los clientes en la red.
Raíz DFS En DFS independiente, la raíz es el servidor de espacio de nombres. Basados en
dominios
DNS, la raíz es el dominio.
Esta técnica, no se limitan a Windows Server 2008, crea múltiples

DNS round robin
respuestas ejemplo de un host individual en el DNS para crear una forma primitiva de la
carga
equilibrio.
Puede
Conjunto de datos de incluir los datos del monitor de rendimiento, los datos de seguimiento de
colector
eventos, y com-
ordenador la información de configuración.
Delegación La asignación de privilegios de administrador a los usuarios no administrativos.
Los servicios de directorio modo de restauración A modo de operación especial de un servidor de

Windows 2008 de dominio que permite la restauración de objetos de Active Directory.
controlador
Sistema de archivos distribuido (DFS) Un acuerdo en el que los recursos pueden ser distribuidos en
destinos de carpeta en uno o más servidores y los usuarios pueden acceder a los
recursos a través de virtuales
DFS carpetas sin necesidad de saber dónde están almacenados físicamente.
Una
Ámbito de la política política que restringe las computadoras para sólo aceptar de entrada
de aislamiento
comunicación de otros equipos que son miembros del mismo dominio.
Un servidor que recibe la aprobación y / o actualizaciones de otro

Servidor indirecto
WSUS servidor de la organización.
EFS Sistema de archivos cifrados. Una tecnología que permite que los archivos individuales y
carpetas que se
encriptado.
EAP-TLS Protocolo de autenticación extensible-Transport Layer Security es una autenticación-
ción del protocolo que soporta mecanismos de autenticación avanzadas como digitales
certificados y tarjetas inteligentes.
Clustering Anteriormente conocido como clustering de servidores, clústeres de conmutación por

error crea un
agrupación lógica de servidores, también conocidos como nodos, que puede dar servicio
a las solicitudes de
aplicaciones compartidas con los almacenes de datos.
Zona de búsqueda directa Una zona DNS que permite a un nombre de host que se resuelve en una
Dirección IP.
732 Glosario
Los niveles en los que un dominio y el bosque de operar. Superior funcional

Niveles funcionales
los niveles de proporcionar una funcionalidad más, pero menos apoyo versiones del
sistema operativo.
Grupo de política de objeto (GPO) Un objeto de AD DS que contiene la configuración de directiva de
grupo.GPO generalmente están vinculados a una o varias
unidades organizativas.
Una opción
Configuración de directiva de configurable que determina la seguridad y los recursos
grupo el acceso se aplica a una cuenta de usuario o equipo que se lleva a cabo en una unidad
organizativa.
Hyper-V El nombre de la función de virtualización de Windows Server. Esta característica fue
conocido como Viridian en el servidor de principios de documentación de Windows
Longhorn.
IndexaciónCreación de un índice del archivo más comunes y no los tipos de archivos de datos en
un servidor. Puede indexar el contenido del archivo, además de tipo de datos.
L2TP/IPsec Un protocolo de VPN IPsec que utiliza para cifrar los datos y verificar su
integridad.
LUN Número de unidad lógica. Un LUN es una referencia lógica a una parte de un subsistema
de almacenamiento
del sistema. Un LUN puede ser una partición en un solo disco, un disco entero, o incluso
un grupo de
dede
De línea discos.
negocio (LOB) Una aplicación personalizada que se ocupa de operativos
requisitos para una organización específica (o grupo de organizaciones).
Multicast Un tipo de transmisión en varios hosts se envían los datos de un host

través de la red, pero los datos se transmiten sólo una vez a los anfitriones en el
los grupos de multidifusión en lugar de ser transmitido en su totalidad a cada host de
forma individual.
Dirección de multidifusión Una dirección (IPv4 o IPv6) que identifica a varios equipos. Paquetes
dirigido a una dirección multicast se entregan a todas las interfaces que se identifican
por la dirección.
Red de protección de accesoUna de las características de gestión que determina si

(NAP)
un equipo cliente unirse a una red cumple con las condiciones de configuración
predefinidos,
como si las actualizaciones de seguridad se han aplicado y el sistema operativo
es hasta la fecha. Si el cliente no es compatible, acceso a la red está restringido hasta
reparación se lleva a cabo.
De equilibrio de cargaUna de las características de alta disponibilidad de Windows Server 2008 que
crea
un adaptador de red virtual entre dos o más servidores y envía las solicitudes a la
servidores basados en criterios definidos por el administrador.
Unde
Archivo fuera archivo que se descarga automáticamente desde un servidor para que un usuario
línea puede
trabajar en él fuera de línea y carga automáticamente con el servidor cuando el usuario
Glosario 733
equipo cliente está de nuevo en línea. El proceso de carga y descarga

archivos sin conexión se conoce como sincronización.
Unidad organizativa (OU) AD DS que puede contener cuentas de usuario, un equipo

cuentas, o ambas cosas.
PPP Point-to-Point Protocol es un protocolo de enlace de datos que se utiliza para la

transmisión de datos.
PPTP Point-to-Point Tunneling Protocol es un protocolo VPN basado en PPP.
PXE Entorno de ejecución previo al arranque. Permite a los clientes de red compatible para
iniciar una
sistema operativo desde un origen de red y no de los medios de comunicación locales,
tales como
un disco
Contraseña duro o CD-ROM.
configuración del contenedor (PSC) Una clase de objeto de AD DS que contiene
obligaciones de servicio público.
Contraseña configuraciónAD DS objeto
del objeto (PSO)que contiene la configuración de seguridad que
puede ser diferente de la configuración de seguridad para el dominio.
Privilegio La capacidad de realizar un acto administrativo, como el cambio de un usuario de paso

a palabra o crear un objeto de Active Directory.
Quórum modelo La técnica por la cual un servidor Windows 2008 Failover Cluster
determina el número mínimo de miembros del grupo para continuar operando.
Windows Server 2008 dispone de cuatro modelos.
Cuota Un valor que determina la cantidad de espacio de almacenamiento en una carpeta

compartida o
volumen que un usuario individual tiene derecho a utilizar. Cuotas suave puede ser
excedido.
RADIUSLasUncuotas
informede de
disco duro no puede.
la autenticación, autorización y protocolo que se utiliza con control
remoto
el acceso del tráfico.
De sólo lectura los controladores de dominio (RODC) Un controlador de dominio que tiene AD DS
información
ción y puede autenticar a los usuarios y resolver las consultas DNS, sino que no
permiso de usuario conectado a realizar ningún cambio en la estructura de AD DS. RODC
contienen
sólo un pequeño subconjunto de nombre de usuario del dominio y la contraseña (si
existe).
Medida de la estabilidad del sistema operativo de un equipo, aplicaciones
Confiabilidad
nes, servicios y hardware.
Remediación El proceso de actualización de un equipo cliente para que sea compatible con
y puede tener acceso completo a la red. Limpieza automática a través del Sistema
Center Configuration Manager 2007 requiere que la herramienta de actualizaciones de
software
característica es instalado y activado.
734 Glosario
Replica el modo de Un servidor WSUS abajo administración el modo en el que todos

información de configuración se hereda del servidor ascendente.
Zona de búsqueda inversaUna zona DNS que permite que una dirección IP que se resuelve a un
nombre. host
Agregación de rutas Una propiedad de las direcciones de protocolo de Internet que permite a un
número
de bloques de direcciones contiguas se combinen y se resumen en una mayor
dirección del bloque.
SSTP Un protocolo VPN que utiliza SSL para cifrar el tráfico PPP.
Alcance Un rango de direcciones contiguas que se pueden asignar por una dirección con estado
la asignación de protocolo, como DHCP o DHCPv6.
Un grupo de seguridad que contiene todas las cuentas de usuario en un asociado

El grupo shadow
OU. No se puede aplicar un PSO a una unidad organizativa, por lo que se aplica a la
sombra del grupo
en su lugar.
Silo En Microsoft Application Virtualization, un silo es una partición virtualizada en el que
se ejecuta una aplicación.
SoftGrid Nombre anterior de Microsoft Application Virtualization.
La partición del sistema es la partición del disco que se inicia el equipo

La partición del sistema
de. La manera más fácil de recordar esto cuando se considera la partición de arranque es
que las etiquetas son intuitivos.
Sistema de copia de seguridad del Estado Copias de seguridad de todos los Windows Server 2008
los datos de configuración,
el Directorio tales
de registro, como
Active Directory y los datos de
función de servidor.
Un procedimiento en el cual un administrador crea una cuenta de equipo
Dos etapas de instalación
y un usuario no administrativo instala el sistema operativo del equipo.
Dos etapas de instalación se utiliza típicamente para instalar RODC.
Dirección unicast Una dirección (IPv4 o IPv6) que identifica unívocamente una máquina en una
red.
VPN Red Privada Virtual permite a los hosts de Internet para utilizar túneles cifrados a
comunicarse entre sí de tal manera que parece que los anfitriones son los
en la misma red local.
Un servidor virtualizado o la aplicación se ejecuta en su propio entorno separado

Virtualizados
bajo la dirección de un servidor o computadora principal.
Glosario 735
Volume Shadow Copy Service (VSS) Un conjunto de interfaces de programación de aplicaciones

(API) permiten
que la captura de instantáneas de volúmenes de disco, mientras que las aplicaciones
en una
sistema siguen escribiendo en los volúmenes.
Wake on LANUna característica que despierta un equipo cliente del modo de suspensión para que
(Por ejemplo), las actualizaciones se pueden aplicar. Adaptador de red del equipo
necesario
ser capaz de recibir y procesar paquetes de despertador.
Windows PE El entorno de preinstalación de Windows es una simplificada, de arranque
ambiente que permita a las tareas de mantenimiento que se produzca. Es más frecuente
en
instalaciones de red donde un equipo no tiene una red compatible con PXE
adaptador.
Índice
Los símbolos y números de búsqueda, 331
NPS y RADIUS, 518-20
. Adml archivos, 180
objetos, 334
. Ldf, 144
impresoras, publicaciones, 346
. NET Framework, 7, 11-12, 200
de recuperación de datos, el ahorro, 17
. NET Framework 3.0 Application Server Fundación
la restauración, 656-63
(ASF), 201
tipos de zona, 119-20
Versión de 32 bits (x86), software, 5-7
Servicios de Active Directory Certificate Server, 11-12
De 32 bits de montaje de VHD, 663
las funciones de administración, 550-51
De 48 bits de direcciones MAC, de 67 años
La inscripción automática, 553-56
Arquitectura de 64 bits, 8.7, 15, 295, 331
de los casos, el despliegue, 585
Extender de 64-bit identificador único (EUI-64), de 67 años
Autoridad de Certificación (CA) tipos, 547-49
Versión de 64 bits (x64), software, 5-8
Listas de Revocación de Certificados (CRL), 557-59
6Bone, de 63 años
configuración, 546
6to4 plan de construcción de túneles, 75
las credenciales móviles, 551-53
80:20 norma, 87-88
PKI de empresa, vigilancia de la salud, 564-65
Conmutadores de autenticación 802.1X, 518
Online Certificate Status Protocol (OCSP), 559-63
Cumplimiento NAP 802.1X, 532-33
el despliegue de la práctica, 566-71
Inscripción Web, 556-57
Base de datos de Active Directory herramientas de montaje, 662-63
Active Directory (AD DS),
7, 106, 114-15
auditoría, 135, 148-50
Políticas de BitLocker, 19
A herramientas de minería de datos, 135
AAAA (cuádruple A) de host de registro, 117 características de, 134-35
ABE (enumeración basada en acceso), 326, 370 Asistente para la instalación, 135, 139-41
control de acceso, 334-39 de sólo lectura los controladores de dominio (RODC), 134-35
entrada de control de acceso (ACE), 334 la recuperación de datos borrados, 147-48
Access Control List (ACL), 334 Active Directory Federation Services (ADFS), 5-6,
Control de acceso de interfaz de usuario, 334 11-12, 160-61
Acceso-Aceptar mensajes, 521 Servicios de directorio ligero de Active Directory (AD
la enumeración basada en acceso (ABE), 326, 370 LDS), 135, 147-48
Opciones de accesibilidad, 211-12 Active Directory de inicio de reparación de seguridad, 658
accesibilidad, los discapacitados, 208-12 Active Directory Rights Management Services
Acceso-Rechazar mensajes, 521 (AD RMS), 160, 406
Las políticas de bloqueo de cuentas, 143-47 Sitios y servicios en el complemento, 142-43
contabilidad peticiones / respuestas, 521 Los usuarios de Active Directory y equipos, 138,
contabilidad, acceso remoto, 521-23 142-43, 454
cuentas, 143-47 Active Directory, DNS integrado, 118-19
ACE (entrada de control de acceso), 334 Active Server, 242
Propiedades ACID, 203 partición del sistema activa, de 23 años
ACL (Access Control List), 334 ActiveX, 278-79
ACPI (Interfaz Avanzada de Configuración y Energía), 402 AD DS. Ver Active Directory (AD DS)
activación, Windows Server 2008, 12, 24, 44 AD FS. Ver Active Directory Federation Services
Active Directory (AD FS)
autenticación, RAS, 514 AD LDS. Ver Directory Lightweight Directory activos
copia de seguridad, 640-41 Servicios (AD LDS)
binarios, de 27 años
descripción de, 132-33
los informes de diagnóstico, 238
DNS del espacio de nombres, 118-19
aislamiento, 157
737
738 AD RMS
AD RMS (Active Directory Rights Management Services), actualizaciones, 216-19, 477-79, 482-85
160, 406 máquinas virtuales, 300-2
Agregar o quitar programas, 223 acciones administrativas, 327
Asistente para agregar impresoras, 348 Filtrado de la plantilla administrativa, 179
resolución de la dirección, de 72 años Plantillas administrativas, 180
Address Resolution Protocol (ARP), de 64 años Los administradores del grupo, 403-4
direcciones. Véase también IPv6 de la red de conectividad Adminpak.msi, 406
agregables, 64, 67-68 ADMX archivos (. Admx), 180-83, 186-89
arquitectura, de 66 años Avance de configuración y energía (ACPI), 402
automática, 62-63 Servicios de cifrado avanzado (AES), 153
compatibilidad, 76-78 Opciones avanzadas de la política de arranque, 19
DNS Round Robin, 589-93 AES (Advanced Encryption Servicios), 153
IPv4, 59-63, 533-34 direcciones agregables, 64, 67-68
IPv6, 65-69 AIA (Acceso a la información), 561, 564-65
multicast, 70-72 texto de la alerta, 172-73
Network Load Balancing (NLB), 594, 596-601 alertas, visual, 212
clientes remotos, 514 algoritmos, 155
Los archivos ADM, 180 Todos los equipos del grupo, 476
admin registros, 415 Permitir actualizaciones automáticas de su instalación inmediata, 479
la administración. Véase también servidor de administración ALUA (acceso asimétrico de unidad lógica), 579
control de acceso, 334-39 Los procesadores AMD Turion, 7-8
flujos de trabajo de administrador, 244-45 los registros de análisis de eventos, 415
los archivos de respuesta, 36-38 los archivos de respuesta, 36-38, 43, 141
disponibilidad de las aplicaciones, 206 software anti-spyware, 265, 283, 535
gestión de aplicaciones, la delegación, 456 software anti-virus, 265, 283, 372, 535
auditoría de configuración política, 148-50 anycast direcciones, de 66 años
BitLocker, 17 API (Application Programming Interfaces), 215, 222, 576
Autoridad de Certificación vigilancia de la salud, 564-65 APIPA (IP privadas automáticas), 59, 62
informes de cliente, 250-52 aplicación de los grupos básicos, 155, 205
de línea de comandos, 10 los datos de configuración de aplicaciones, 17-21
gestión de la configuración, 248-49 solicitud de registro, 408, 414-16
delegación de privilegios, 449-51 grupos de aplicaciones, 207-8, 437
Dicho modo (DSRM), 141 Application Program Interface (API), 215, 222, 576
De configuración de DNS, 109-13 Application Server, 5, 11-12, 199
registros de eventos, 408-9 componentes, 204
Administración del clúster de conmutación por error, 614, 616-19 Sistemas basados en Itanium, 7-8
Directiva de grupo, 178 la función del servidor
Basado en Internet de gestión de clientes, 246-47 disponibilidad de las aplicaciones, la planificación, 199-208
Número de unidad lógica (LUN) de gestión, 575-79 capacidad de recuperación de aplicaciones, planificación, 213-24
dispositivos móviles, 246-50 desactivado el acceso a usuarios a las aplicaciones, 208-12
espacio de nombres, 370 planificación, 199-203
políticas de contraseñas, 145-47 la práctica, la instalación, 224-32
estrategias de gestión de parches, 469-86 Application Server Foundation (ASF), 200-1, 204
la práctica, las delegaciones permiso, 456-59 servidores de aplicaciones, 139, 436-37
impresoras, 344-49 las aplicaciones. Véase también aplicaciones críticas de negocio
de sólo lectura los controladores de dominio (RODC), 134-35 solicitud de registro, 408, 414-16
a distancia, 245, 249, 403-7, 420-23 disponibilidad, la planificación, 199-208
impresoras remotas, 347-49 copia de seguridad, 639-41
despliegues programados, de 43 años críticos del negocio, 587
el uso del software, 245, 249 escenario posible
gestión de almacenamiento, 327-30 disponibilidad de la selección de la estrategia, 624-25
System Center Essentials 2007, 237 la consolidación de servidores, 316
herramientas, Windows Server 2008, 397-401 los datos de configuración, 17-21
disponibilidad 739
personalizado, 45, 298, 475-76 la actividad de la delegación, 455

despliegue, 240-42 política global, 148
planificación, 235-36 impresoras, 345
System Center Essentials, 237-40 registro de seguridad, 408
acceso de los usuarios con discapacidad, 208-12 servidor de seguridad, 494-97
planes de recuperación de desastres, 589-90 Auditoría de cuentas Mangement, 496
distribución, 238-39, 245 Directorio de Servicio de Auditoría de acceso, 496
DNS Round Robin, 596-601 Auditoría de acceso a objetos, 496
centrada en el documento, 204 Cambio de directiva de auditoría, 497
Clusters conmutación por error, se ejecuta en, 609-10, 613, 617-18
Auditoría de uso de privilegios, 497
Directiva de grupo, 222-23 Auditoría de eventos de sistema, 497
IPv6 redes, 90-91 autenticación. Véase también Acceso a la red
de línea de negocio, 204-8, 214 Protección (NAP)
gestión de la delegación, 456 delegado, 452-54
vigilancia, 427 Todo el bosque de autenticación, 159
varias instancias, 609 Internet, 161
planificación, 213-24 NPS y RADIUS, 518-20
proteger, 17-21 contraseñas, 560
la restauración, 652 protocolos, 515-18
escenario, la línea de negocio (LOB) la planificación, 260 Servicio de acceso remoto (RAS), 511, 514
orientada a servicios, 204 selectiva, 153, 159
un solo ejemplo, 608-9 Servicios de Terminal Server, 524-25
cliente inteligente, 204 Web single-sign-on (SSO), 160-61
System Center Configuration Manager 2007, restauración autoritaria, 657, 666-68
216-19 Autoridad de Acceso a la Información (AIA),
sistemas de gestión de flujo de trabajo, 204 561, 564-65
tercero, 214, 216-19, 239 autorización, 153, 155, 161
actualización, 238-39 Administrador de autorización, 153
interfaz de usuario de la página de flujo, 204 auto-cast, de 42 años
virtualización, 294, 306-7, 316 autoconfiguración, direcciones, 62-63
Windows Installer, 213-16 La inscripción automática, 548, 553-56
Windows Server Update Services (WSUS), 219-22 Auto-Install, 223
flujo de trabajo habilitado, 204 automatizar la activación, de 44 años
Registros de aplicaciones y servicios, 408, 414-16 Sistema Automatizado de Recuperación (ASR), 653
estrategias de adquisición, 156 Recuperación automática del sistema de copia de
archivos, 416-17 seguridad, 45
ARP (Address Resolution Protocol), 64 La activación automática, 24
Arpnet, 104 la aprobación de reglas automáticas, actualizaciones, 480-
ASF (Application Server Foundation), 200-1, 204 81
ASP.NET, 7, 201, 205, 207 Direcciones IP privadas automáticas (APIPA),
ASR (Automated System Recovery), 653 59, 62-63
inventario de activos, 235-38, 240-41, 245-46, 250 automática de 75 túneles,
la asignación de software, 222-23 Actualizaciones automáticas, 219-20
acceso asimétrico de unidad lógica (ALUA), 579 Actualizaciones automáticas de detección de frecuencia,
Modo de transferencia asíncrono (ATM), 70 479
atributos, 148 modo autónomo, los servidores WSUS, 474-75
Eventos de auditoría de cuentas de inicio de sesión, 495-96 autounattended.xml, 36, 38-40
Directorio del Servicio de Auditoría de acceso, 148 disponibilidad
Eventos de auditoría de inicio de sesión, 495-96 de los casos, la estrategia de selección de disponibilidad,
auditoría 624-25
control de acceso, 334-39 herramientas de racimo, 607-19
Active Directory (AD DS), aplicaciones críticas, 587
135, 148-50 planes de recuperación de desastres, 589-90
DNS Round Robin, 589-93, 596-601
Failover Clustering, 617-18
Network Load Balancing (NLB), 594-601
740 back-end de los sistemas de mensajería
B BitLocker, 2
planificación de la implementación, 17-21
back-end de los sistemas de mensajería, 614
incapacitante, 20-21
Servicio de transferencia inteligente en segundo plano (BITS),
directivas de grupo, 19-20
242, 472-73
ejercicios de práctica
fondo de la zona de carga, 114-15
configurar, 29-32
back-links, 148
despliegue, de 22 años
Aplicaciones de BackOffice, 205
la recuperación del servidor, 650
copia de seguridad, 627
configuración del volumen, 18-19
Active Directory, 640-41
cifrado vs, 20
aplicaciones, 639-41
BITS (Background Intelligent Transfer Service),
Recuperación automática del sistema de copia de seguridad, 45
242, 472-73
Políticas de BitLocker, 19
los usuarios ciegos, 209-10, 212
de los casos, la infraestructura de copia de seguridad, 672
entorno de arranque, 17-21, 402
catálogo, 668
imágenes de arranque, 43
planes de recuperación de desastres, 589-90
Gestor de arranque, 17
Clusters conmutación por error, 619
Sector de arranque, 17
Servicios de archivo, 321-22
boot.wim archivo, 43
Grupo de objetos de directiva de grupo (GPO), 640
Braille, 209-10, 212
los ejércitos, de 44 años
ubicaciones de las sucursales
incremental, 636
delegaciones de privilegio de administración, 450-51
manual (no programada individual), 635-36, 638
copia de seguridad, 643
fuera de la oficina, 643
retrasos de inicio de sesión, 139
planificación, 642-43
Las matrices de respuesta en línea, 562
la práctica, hacer copias de seguridad de Windows Server 2008,
contraseñas, 134-37
644-47
la planificación, 136
copia de seguridad remota, 641-42
de sólo lectura del controlador de dominio (RODC) permisos,
programada, 633-34, 638
141-42
funciones de servidor, 639-41
copia de seguridad remota, 641-42
virtualización de servidores, 296-97
seguridad, 134-37
Las instantáneas de carpetas compartidas, 629-31
Terminal Server, 266
SQL Server, 643
de administración de actualizaciones, 473-74
GPO arranque, 179
máquinas virtuales, 298
Sistema estatal, 638-39
Conexiones WAN, 221-22
cintas, 18
Windows Server 2003, 136
el tráfico de difusión, de 64 años
TS del servidor de licencias, 271
la adquisición de empresas / adquisiciones, 156
wbadmin herramienta línea de comandos, 637-39
aplicaciones críticas de negocio
Windows Server Backup, 631-37, 640
disponibilidad, 587
Los controladores de dominio de reserva (BDC), 154
de los casos, la estrategia de selección de disponibilidad,
Grupo de operadores de copia de seguridad, 641-42, 650
624-25
ancho de banda
herramientas de racimo, 607-19
implementación de aplicaciones, 236
modo autónomo, los servidores WSUS, 475
DNS Round Robin, 589-93, 596-601
multicast despliegue, 41-42
Network Load Balancing (NLB), 594-601
optimización, 221-22
recuperación, 653
tamaño de la empresa, 4-6, 237, 240
Bare Metal Recovery, 653-55
negocio basado en reglas de flujo de trabajo, 204
las cifras de referencia, el rendimiento, 429
de empresa a empresa (B2B) las transacciones federadas, 160
bcdedit comando, 402
BDC (controladores de dominio de reserva), 154
Berkeley de nombres de dominio (BIND),
105, 118-19
Big Iron, 6-7
BIND (Berkeley Internet Name Domain), 105, 118
BIOS, 17
C
CA. Ver Autoridad de Certificación (CA)
CA administrador, 550-51
certificado de roaming 741
caches PKI de empresa, vigilancia de la salud, 564-65

credenciales, 137 Online Certificate Status Protocol (OCSP), 559-63
Equilibrio de carga de red (NLB), 595 el despliegue de la práctica, 566-71
acceso a los datos fuera de línea, 379-80 Inscripción Web, 556-57
contraseña, 138 Certificado de Servicios de la política del cliente, 552-53
peer-caching, 472-73 plantillas de certificados, 548-49, 557
Web proxy cache, 560 Plantillas de certificado, MMC, 553-56
CAL (Client Access Licenses), 267-71 listas de certificados de confianza, 548-49
capacidad, 237-38, 279-82, 296 certificados
captura de imágenes, de 43 años administración, 550-51
escenarios protocolos de autenticación, 515-18
estrategia de disponibilidad, 624-25 La inscripción automática, 553-56
infraestructura de copia de seguridad, 672 Los tipos de certificado de la autoridad, 547-49
Servicios de Certificate Server, el despliegue, 585 Servicios de Certificate Server, 408
gestión de clientes, 260-61 las credenciales móviles, 551-53
delegar derechos, 464 digitales, 20
el despliegue de software, los equipos cliente, 260-61 Sistema de cifrado de archivos (EFS), 497-98
recuperación de desastres, 672-73 cifrado, 498
gestión de eventos, 463 PKI de empresa, vigilancia de la salud, 564-65
Grupo de Política de solución de problemas los procedimientos, 194 Online Certificate Status Protocol (OCSP), 559-63
de línea de negocio (LOB) la resistencia de aplicación, infraestructura de clave pública (PKI), 217-18, 252
la planificación, 260 renovación, 553-56
la migración a Windows Server 2008, de 57 años peticiones, 548-49
monitoreo del desempeño, 463-64 las listas de revocación (CRL), 548-49, 557-59
acceso remoto, 542 autofirmado, 498
la consolidación de servidores, 316 SSL, 273
Actualización de Windows Server 2003, 193-94, 391-92 almacenamiento, 551-52
Windows Server Update Services (WSUS) TS del servidor de licencias, 269
despliegue, 507 Inscripción Web, 556-57
Categorías de elementos, 183 Autoridad de Certificación de Inscripción Web, 557
centro de gestión de parches, 205. Véase también parche CHAP (autenticación por desafío mutuo
administración Protocol), 515
almacén central, ADMX archivos, 180-81, 186-89 dominios secundarios, 157
Autoridad de Certificación los objetos secundarios, 335
las funciones de administración, 550-51 CIFS (Common Internet File System), 323
La inscripción automática, 553-56 Cisco Network Admission Control (NAC), 536
Listas de Revocación de Certificados (CRL), 557-59 Citrix MetaFrame, 205
las credenciales móviles, 551-53 reclamaciones, 160-61
PKI de empresa, vigilancia de la salud, 564-65 El modo clásico, IIS, 207
Online Certificate Status Protocol (OCSP), 559-63 CLI (Command Line Interface), 82
la práctica, la implementación de servicios de certificados, 566-71
licencias de acceso de cliente (CAL), 267-71
tipos de, 547-49 los equipos cliente. Véase también Red de protección de acceso
Inscripción Web, 556-57 (PAN), también Terminal Services Gateway
Autoridad de Certificación (CA) de administrador, 550-51 control de acceso, 334
Administrador de certificados, 548-51, 553-56, 558-59 la adición, de 29 años
Listas de Revocación de Certificados (CRL), 548-49, 557-59 la administración de, 403-7
Servicios de Certificate Server, 408, 545 virtualización de aplicaciones, 306-7
las funciones de administración, 550-51 copia de seguridad, 641-43
La inscripción automática, 553-56 de los casos, la gestión, el despliegue de software, 260-61
de los casos, el despliegue, 585 certificado de roaming, 551-53
Autoridad de Certificación (CA) tipos, 547-49 licencias de acceso de cliente (CAL), 267-72
Listas de Revocación de Certificados (CRL), 548-49, 557-59 gestión de la configuración, 245
configuración, 546 DNS Round Robin, 589-93
las credenciales móviles, 551-53 registros de eventos, 416
742 conmutación por
recuperación de clientes
controles de salud, 283 servermanagercmd.exe, 398

gestión, 217-18, 237, 246-50, 594-601 Tasklist.exe, 433
la migración al modo nativo, 252 Tlntadmn.exe, 407
acceso a la red, 509, 530-36 WBADMIN.EXE, 632, 637-39, 646-47
acceso a los datos fuera de línea, 378-80 Wdsutil.exe, de 39 años
impresoras, compartir, 346 comentarios, Starter GPO, 179
RemoteApp, 263, 272-73, 304-11 Common Internet File System (CIFS), 323
System Center Configuration Manager 2007 Common Language Runtime (CLR), 201
despliegue, 243-44 compatibilidad, 15-16, 76-78, 80-81
Conexiones de terminal Server, 265, 523 Component Object Model (COM), 213, 215
Terminal Services Gateway, 283 propiedades de los componentes, de 37 años
actualización, 473-74 Equipo detallada sobre el estado, 484
Windows Search Service, 332 teclas de la computadora de recuperación, 20
conmutación por recuperación de clientes, 364, 368 Resumen del estado de equipo, 484
impresoras del cliente, 176-77 Equipo de tabla de estado, 484
informes de cliente, 250-52 reenviadores condicionales, 109, 120-21
basado en el cliente de aplicaciones, 205 cono de bandera, de 77 años. Véase también NAT de cono
extensiones del lado cliente (CSE), 178 cono de NAT, 77-79
del lado del cliente objetivo, 477 configuración, 15, 248-49, 427, 456
portapapeles, las políticas de devolución, 173 Configurar las actualizaciones automáticas, 479
CLR (Common Language Runtime), 201 Configurar la directiva de un método de cifrado, 20
Modos de operación del clúster, 597-601 Configurar las políticas de recuperación de carpeta, 20
grupos, 329, 587. Véase también Failover Clustering Configurar las políticas de recuperación de la opción, 20
de los casos, la estrategia de selección de la disponibilidad, 624-25
Configurar la plataforma de validación de perfil TMP, 20
planes de recuperación de desastres, 589-90 transición configurar un túnel, 74-75
DNS Round Robin, 596-601 la configuración de
basada en el dominio espacios de nombres, 364-65 permisos de acceso, 336-38
conmutación por error, 5-6, 322, 329, 333, 364-65, 372, 609-10 La inscripción automática, 553-56
Network Load Balancing (NLB), 5, 594-601 Listas de Revocación de Certificados (CRL), 557-59
servidor de impresión, 346 Plantillas de certificado, 553-56
herramientas para, 607-19 clientes, 86-88
116 CNAME, propiedades de los componentes, de 37 años
de ejecución de código, 201 Replicación del sistema de archivos distribuido (DFSR), 370-73
discapacidades cognitivas, los usuarios, 210 DNS, 104-5
la representación hexadecimal con dos puntos, de 65 años DNS Round Robin, 592-93
usuarios ciegos al color, 209-10 suscripciones de registro de eventos, 412-14
COM (Component Object Model), 213, 215 Failover Clustering, 614-18
COM + acceso a la red, 199, 202 firewalls, 499-501
Command Line Interface (CLI), 82 indexación, 382-84
Referencia de comandos de línea, Windows Server 2008, 9 Interfaces de IPv6, 82-83
de línea de comandos de administración, 10, 400-2 Network Load Balancing (NLB), 594, 596-601
aplicaciones de línea de comandos, 216 configuración fuera de línea, 379-80
de línea de comandos shell del lenguaje, 400 Online Certificate Status Protocol (OCSP), 559-63
herramientas de línea de comandos, 401-2 particiones, 13
dnscmd, 86, 110, 117 práctica
Dsacls.exe, 447-48 BitLocker, 29-32
dsadmin.exe, 662-63 vistas personalizadas, 422-23
Dsamain.exe, 147-48, 662 NAP con DHCP ejecución, 536-38
ldp.exe, 147 Network Load Balancing (NLB), 601-5
Netdom.exe, 153 Servidor de acceso remoto, 525-27
ntbackup.exe, 631-32 RemoteApp, 307-11
oclist.exe, 11, 398 cuotas, 339-41
Ocsetup.exe, 11, 398 remediación de los servidores, 535
Actualizaciones de las 743
definiciones
de aislamiento de servidor, 501 disponibilidad, 587

Terminal Server, 272-78 de los casos, la estrategia de selección de la disponibilidad, 624-25
Servicios de Terminal para NAP, 534-35 herramientas de racimo, 607-19
Puerta de enlace de los servidores, 524 planes de recuperación de desastres, 589-90
Inscripción Web, 556-57 DNS Round Robin, 589-93, 596-601
Los clientes de WSUS, 477-79 Network Load Balancing (NLB), 594-601
Carpeta Conflictos y eliminaciones, 375 recuperación, 653
las políticas de autorización de conexiones, 283 Actualizaciones críticas, 480-81
Conexiones de nodo Directiva de Grupo, 276 Puntos de distribución CRL, 558-59
conectividad. Véase también autenticación, también de carga de red
CRL (Lista de Revocación de Certificados), 548-49, 557-59
Equilibrio (NLB) grupos la autenticación entre bosques, 153
disponibilidad de las aplicaciones, 205-6 criptografía, 560
configurar, 59-61 CSE (extensiones de cliente), 178
IPv6 herramientas, 80-81 aplicaciones a la medida, 15, 45, 298, 475-76
Las matrices de respuesta en línea, 562 Filtros personalizados, 348-49
práctica filtros de contraseña, 146
Configuración de IPv6, 93-101 vistas personalizadas, registros de eventos, 410, 413-14, 416, 422-23,
verificar, 83-86 495
contenedores, 135, 178-79, 334
la actualización del contenido, 377
Panel de control, 223
Configuración del Panel de control, 20
de convergencia, los latidos del corazón y, 594
Grupo de Política de motor central, 178 D
base de tiempo de ejecución, 199
DACL (lista de control de acceso discrecional), 375
Crear un asistente de carpetas compartidas, 336
Descriptor Darwin, 214
Crear eventos, 150
de datos. Véase también copia de seguridad, también la
Crear plantilla de cuota, 343
recuperación
la creación de
Los datos conjuntos de recopiladores, 428-31, 438-39
Admx, la costumbre, 181-83
la entrega, el 64
las cifras de referencia de desempeño, 429
Espacio de nombres DFS, 363-64
indexación, 381-84
dominios, 27, 141
minería, 135, 147-48
Clusters conmutación por error, 616-17
acceso sin conexión, 378-80
las confianzas de bosque, 158-59
la práctica, la creación de conjuntos de datos Collector, 438-
Grupo de objetos de directiva de grupo (GPO), 178-79
39
Configuración de contraseña objetos (PSO), 144
protección, 17-21
práctica
estrategias de redundancia, 607-10
almacén central para los archivos de directiva de grupo, 186-89
la restauración, 652
Los datos conjuntos de recopiladores, 438-39
instantáneas, 135, 147-48
Configuración de contraseña objetos (PSO), 161-66
Copias de seguridad del estado del sistema, 639-41
informes de rendimiento, 439-41
Windows System Resource Manager políticas,
Windows Server Backup, 631-37
441-44
Los datos del Conjunto de recopiladores, 428-31, 438-39, 494-
plantillas de cuota, 343
95
cuotas, 340-41
Data Protection Manager (DPM), 643-44
máquinas virtuales, 296-97
servidores de bases de datos, 613
credenciales
centro de datos de servidor de clase, 6-7
almacenamiento en caché, 137
DC. Ver Los controladores de dominio (DC)
cheques, 548-49, 551-53
dcpromo comando, 27
delegación, 452-54
los registros de depuración, 416
roaming, 551-53
depuración de directiva de grupo, 183-86
aplicaciones críticas
impresoras predeterminadas del cliente, 175
Controladores de dominio por defecto Política, 148
puerta de enlace predeterminada, 84
imágenes de instalación por defecto, 43
routers por defecto la interfaz, de 84 años
Default Enrutamiento y acceso remoto de clase, 514
por defecto archivo de instalación desatendida, 40
Definiciones de actualizaciones, 480-81
744 desfragmentación, objetos de Active Directory
desfragmentación, objetos de Active Directory, 135 desarrollo, las aplicaciones de software, 204, 298
Retraso de reinicio para la instalación programada, 479 Dispositivo y el Grupo de Recursos de redirección
autenticación delegada, 452-54 Política de nodo, 277
delegación, 447 Módulo específico de dispositivo (DSM), 579
privilegios de administrador, 406-7, 447, 449-51 DFS. Ver Sistema de archivos distribuido (DFS)
aplicación de gestión, 456 Consola de Administración de DFS, 362, 374-77
auditoría, 455 dfsdiag, 370, 374-77
de los casos, delegar derechos, 464 DFSR. Ver Replicación del sistema de archivos distribuido (DFSR)
credencial, 452-54 dfsradmin, 371, 374-77
grupo de gestión, 449, 451 DfsrPrivate \ PreExisting carpeta, 374
políticas, 447 dfsutil, 370
la práctica, permisos administrativos, 456-59 DHCP clientes, 117
procedimientos, 447-49 DHCP Cumplimiento de Servicio (ES), 534
la eliminación de 451 existentes, DHCP cumplimiento NAP, 533-34, 536-38
Web tareas de configuración de sitio, 456 Servidor DHCP, 5, 534
delegación de control, 452 copia de seguridad, 639-41
Asistente para delegación de control, 448-50 conflictos, de 39 años
delta Listas de Revocación de Certificados, 558-59 Por defecto de enrutamiento y acceso remoto de clase, 514
Negar el permiso, 335 ejercicio de la práctica, la instalación, 46
despliegue. Véase también Windows Server Update virtualización, 295
Services (WSUS) DHCPv6, 62-63, 86-88
la planificación de la aplicación, 235-36 Diagnóstico de la política de servicio (DPS), 173
La inscripción automática, 554-56 diagnóstico
escenario posible configurar la directiva de texto personalizado alerta, 172-73
Servicios de Certificate Server, 585 De diagnóstico de disco
SAN matriz, 585 Configurar el nivel de ejecución, 173
software para los equipos cliente, 260-61 informes, 238
WSUS despliegue, 507 System Center Essentials 2007 los informes, 238
Servidores de certificados, 545 acceso dial-up, 511-14
Replicación del sistema de archivos distribuido (DFSR), 372-73 dictado, entrada de voz, 212
Las matrices de respuesta en línea, 562 certificados digitales, 20, 269
sistemas operativos, 245, 248 las identidades digitales, 160-61
práctica Accesibilidad directa, 208-12
Servicios de Certificate Server, 566-71 notificación directa, registros de eventos, 411-12
De respuesta en línea, 566-71 Directory Server. Ver Active Directory Domain Services
RemoteApp, 307-11 (AD DS)
Windows Server Update Services (WSUS), 486-91 Servicio de directorio de los cambios de política, 135
de sólo lectura los controladores de dominio (RODC), 137 Dicho modo (DSRM),
redes de área de almacenamiento (SAN), 574-81 135, 141, 657-61
System Center Configuration Manager 2007, Desactivar rango de puertos, 599
216-19, 240-45 los usuarios con discapacidad, 208-12
System Center Essentials, 237-40 recuperación de desastres, 627, 663. Véase también Servicios de
TS del servidor de licencias, 272 directorio
actualizaciones, 247-48, 469-81 Modo de restauración (DSRM)
la implementación de Windows Server 2008, 1-2 Active Directory, 656-63
BitLocker, 17-21 Bare Metal Recovery, 653-55
requisitos mínimos, 3-4 de los casos, 672-73
multicast, de 42 años herramientas de racimo, 607-19
una sola vez las implementaciones, de 42 años contenedores, 135
implementación programada, 42-43 los controladores de dominio, 661-62
Windows Deployment Services (WDS), 39-41 Servicios de archivo, 321-22
de escritorio, 172, 174 Grupo de objetos de directiva de grupo (GPO), 661
Experiencia de escritorio, 172-77 Hyper-V, 663
Gestor de escritorio de Windows, 408 objetos, 135, 148
caché de destino, el 83 planes, 589-90
la práctica, la restauración de Windows Server 2008, 663-68
descargas 745
la virtualización de servidores, 296 actualizaciones, 107

Las instantáneas de carpetas compartidas, 629-31 virtual, 88, 139, 295
Sistema estatal, 656 Cliente DNS, 107
TS licencia de servicio, 271 El Administrador de DNS de MMC interfaz gráfica de usuario, 109
volúmenes, 652-53 Los espacios de nombres DNS
Windows Server Backup, 631-37, 650-57 la enumeración basada en acceso, 370
descubrir las imágenes, de 43 años características, 366-67
descubrimiento de los ámbitos, 268-69 basada en el dominio, 364-65
acceso discrecional lista de control (DACL), 375 modos, 365-67
De diagnóstico de disco la práctica, la migración, 384-87
Configurar texto de alerta personalizados, 172-73 carpeta compartida de planificación, 362-70
Configurar el nivel de ejecución, 173 independiente, 364
Longitud de la cola de disco, 428 objetivo prioritario, el establecimiento, 369-70
discos. Véase también partición, el disco duro, también de área depuesta a punto / optimización, 367-68
almacenamiento DNS nombres recursivos del servidor DHCPv6, 86-87
Redes (redes SAN) DNS Round Robin, 279, 587, 589-93, 596-601
Formato y crear particiones, 655 dnscmd comando, 86, 110, 117
repuesto de emergencia, 608 documento invocación, 223
requisitos, 4, 15-16 documentación, 91-93, 194, 208-12
Las instantáneas de carpetas compartidas, 629-31 centrada en el documento de flujo de trabajo, 204
Compartir y de gestión de almacenamiento, 323-30 Administradores de dominio de grupo, 134-35, 146
los informes de uso, 344 Los controladores de dominio (DC), 5. Véase también dominio de sólo
Virtual Disk Service (VDS), 575-76 lectura
testigo, 611 Los controladores (RODC)
Sistema de archivos distribuido (DFS), 153, 325, 330 la política de amplio registro, 176
Replicación del sistema de archivos distribuido (DFSR), 362 recuperación de servidor completo, 661-62
ADMX archivos, 181 localizar, 139
configuración, 370-73 Estado del sistema de recuperación de datos, 656-63
implementación, 372-73 135-37 escritura,
la replicación inicial, 373-74 aislamiento de dominio, 500
gestión, 374-77 basada en el dominio espacios de nombres, 364-65
nuevas características, 377-78 DomainDNSZones, 137-39
topología de replicación, 377 dominios
las transacciones distribuidas, 199, 203 infantil, 157
de distribución, software, 238-39, 245, 247 la creación, 27, 141
DNS, 5, 104-5 descubrimiento de los ámbitos, 268-69
la administración de DNS, 109-13 niveles funcionales, 141, 146, 151-53, 155-56
fondo de la zona de carga, 114-15 infraestructura, 183-84
copia de seguridad, 639-41 la práctica, elevar los niveles de función, 161-66
cumplimiento y apoyo, Windows Server 2008, el cambio de nombre, 155
105-8 notación decimal punteada, de 66 años
DNS Forwarders, 109, 120-21 descargas
Los registros DNS, 113 Admx, 181-82
funciones y mejoras, Windows Server 2008, 378 concurrentes,
114-17 Interrumpir la afinidad instrumento de política, 434
con copia a archivo, 106 licencias de máquinas virtuales, 301
promotor de la lista, 109, 117, 120-21 Microsoft Report Viewer, 470
Nombres de la zona DNS mundial, 116 ntbackup.exe, 632
planificación de infraestructuras, 117-21 System Center Configuration Manager 2007,
la instalación, 137-38 219
Compatibilidad con direcciones IPv6, 114 System Center Essentials 2007, 240
ejercicios de práctica, 121-23 System Center Operations Manager 2007, 420
de sólo lectura los controladores de dominio (RODC), 116, 139 software de máquina virtual, 22
registros, 113 Basado en la web los datos de configuración, 249
el apoyo a las direcciones IPv6, 117 Windows Automated Installation Kit, de 37 años
solución de problemas, 86 Windows Server 2003 Resource Kit, 339
746 DPM (System Center Data Protection Manager)
Windows Server 2008 Enterprise Edition, la evaluación Aplicación de cliente (CE), 532
versión, 2 Aplicación de servicio (ES), 534
Windows Server Update Services (WSUS), 469 Raíz de empresa certificado de la autoridad, 547-49
DPM (System Center Data Protection Manager), 643-44 Servicios Empresariales componentes, 202
DPS (Servicio de directivas de diagnóstico), 173 Autoridad de certificación subordinada de la empresa, 547-49
los conductores, 176-77, 239, 480-81 derechos de uso a, 160-61
Dsacls.exe, 447-48 Igual por la política de grupo de aplicaciones IIS, 437
dsadmin.exe, 662-63 Política de igualdad de proceso por, 437
Dsamain.exe, 147-48, 662 Equal_ Per_Session política, 282, 436
DSM (Módulo específico de dispositivo), 579 Equal_Per_User política, 282, 436-37
DSRM (Modo de restauración), ES (Cumplimiento de servicio), 534
135, 141, 657-61 Switches Ethernet, 532
doble pila, el método de transición, 73-74 EUI-64. Ver Extendido el identificador único de 64 bits (EUI-64)
DVD-ROM, 3 registros de eventos
Dynamic Host Configuration Protocol (DHCP). Dominio de Active Directory Service (AD DS), 150
Ver El servidor DHCP Las solicitudes y los registros de servicio, 408, 414-16
Menos cola dinámica política de profundidad, 580 archivo, 416-17
clase de objetos dinámicos, 155 auditoría, 495-97
protocolo de actualización dinámica, 107 de los casos, la gestión de eventos, 463
filtros / vistas personalizadas, 410, 413-14, 416
eventos reenviados, 494-95
Directiva de grupo, 185
gestión, 408-9
la práctica, la configuración de vistas personalizadas, 422-23
equipos remotos, 416
el estado del servidor, 221
E suscripciones, 412-14
EAP-MD5 CHAP (Extensible Authentication System Center Operations Manager 2007, 418-20
Protocolo Message Digest 5 Desafío tareas, adjuntando, 411-12, 422-23
Handshake Authentication Protocol), 515 wevtutil, 417-18
EAP-TLS (Extensible Authentication Protocol-Transporte Windows PowerShell, 417-18
Nivel de seguridad), 515, 517 los datos de seguimiento de eventos, 428
Centro de facilidad de acceso, 208-12 excepcionales objetos Configuración de contraseña (PSO), 146
CE (cliente de cumplimiento), 532 Exchange Server 2007, 5, 238, 283, 643
Solicitud de eco, de 84 años Excluir discos, 655
EFI (Extensible Firmware Interface), 402 OR exclusivo (XOR), 77
EFS. Ver Sistema de cifrado de archivos (EFS) archivos ejecutables, 215-16, 267
Plantilla de certificado EFS, 498 túneles explícitos, de 75 años
Certificados EFS, 551-53 Extendido el identificador único de 64 bits (EUI-64), de 67 años
criptografía de curva elíptica, 560 Protocolo de autenticación extensible-Message Digest 5
Servicios de Manejo de Emergencias (SME), 402-3 Protocolo de autenticación por desafío mutuo
Permiten la recuperación del sistema, 639 (EAP-MD5 CHAP), 515
Sistema de cifrado de archivos (EFS), 20, 376, 497-98, 551-53 Protocolo de autenticación extensible de nivel de transporte
cifrado Seguridad (EAP-TLS), 515, 517
BitLocker, 2, 17-21 Extensible Firmware Interface (EFI), 402
certificado de roaming, 551-53 extensiones, a la intimidad, de 67 años
replicación de archivos, 376 la política de amplio registro, 176
Acceso a Internet, 283 confianzas externas, 157
acceso a los datos fuera de línea, 379
la recuperación del servidor, 650
instantáneas, 148
Terminal Server, 272-74
Terminal Services Gateway, 283
red privada virtual (VPN), 515-18
BitLocker contra, 20
certificados de cifrado, 498
Nivel de cifrado, Servicios de Terminal Server, 272-74
Método de cifrado de la política, 20
La eliminación de cumplir Fondos de Escritorio remoto, 174
F
tejidos, 580
La política de Recuperación, 579-80
Administración del clúster de conmutación por error, 614,
616-19
topología de malla completa 747
Failover Clustering, 322, 329, 333, 590, 607 sincronización, 205

configuración, 614-18 344 no autorizado,
gestión, 618-19 filtros
la práctica, la validación de un nodo, 619-21 cluster del puerto reglas, 598-99
modelos de quórum, 611-13 Filtros personalizados, 348
estrategias de redundancia, 607-10 registros de eventos, 410
aplicaciones que se ejecutan, 609-10 paquetes, 513, 532-33
tipos de servidores, 613-14 contraseña, 146
Clusters conmutación por error, 5-6, 364-65, 372 impresora, 348
La política de conmutación por error, 579 archivos de replicación, 376-77
fracaso, de la red, 589-90 suscripción, 413-14
tolerancia a fallos, 613 Comando find, sitios y servicios,
Feature Packs, 480-81 143
Federal de Información del Proceso Standard (FIPS) 140-1, de grano fino, contraseñas, 143-47, 153, 161-66
274 FIPS 140-1 (Estándar Federal de Procesos de la Información),
administración de identidades federadas, 160-61 274
federados fideicomisos, 160-61 firewalls, 283, 404-6, 416, 499-501
Federación de servidores, 160 El flujo de campo Etiqueta, de 64 años
De canal de fibra carpetas
conexiones de cluster, 610 permisos de acceso, 336-39
Clusters conmutación por error, 579, 611-12 Conflictos y eliminaciones, 375
LUN, 329, 575 DfsrPrivatePreExisting, 374
El Explorador de almacenamiento, 580 indexación, 381-84
Storage Manager para redes SAN, 333, 577-79 acceso a los datos fuera de línea, 378-80
las asociaciones de archivos, Windows Installer, 213 la práctica, la restauración, 664-66
Servicio de replicación de archivos (FRS), 332 cuotas, 339-41
filtros de archivos, 343-44 replicación, 371, 374-77
Servidor de archivos de Resource Manager (FSRM), la restauración, 650-52
325-26, 331 Las instantáneas de carpetas compartidas, 629-31
Servidores de archivos, 139, 319, 321, 613 Compartir y de gestión de almacenamiento, 323-30
Servicios de archivo compartidas, 330, 362-70
control de acceso, 334-39 puesta en escena, 375
Sistema de archivos distribuido (DFS), 330 Todo el bosque de autenticación, 159
Failover Clustering, 333 ForestDNSZones, 137-39
File Server Resource Manager (FSRM), 331 los bosques
Network File System (NFS), 331-32 autenticación, 520
la planificación de la función de servidor, 321-22 creando, de 27 años
la práctica, la adición de servicios de función, 349-55 descubrimiento de los ámbitos, 268-69
Compartir y de gestión de almacenamiento, 323-30 de grano fino de la contraseña, 146
Storage Manager para redes SAN, 333 niveles funcionales, 141
Windows Search Service, 332, 381-84 la planificación, 151, 154-56
Windows Server 2003, 332-33 la práctica, elevar los niveles de función, 161-66
Windows Server Backup, 333 fideicomisos, 155-61
Uso compartido de archivos, 336 Formato y crear particiones en los discos, 655
archivos Prefijo de formato (FP), 68
permisos de acceso, 336-39 formas, 349
indexación, 332, 381-84 Zonas de búsqueda directa, 593
la práctica, la restauración, 664-66 Evento enviado registro de eventos, 409, 413-14
replicación, DFS, 330, 362, 376-77 transitarios, 109, 117, 120-21
la restauración, 650-52 FP (prefijo de formato), 68
pantallas, 343-44 FRS (Servicio de replicación de archivos), 332
Compartir y de gestión de almacenamiento, FSRM (File Server Resource Manager), 339-41
323-30, 378-80 cono lleno, 78-79
compartir, DFS, 330 topología de malla completa, 377
748 Aplicación genérica
G grupos
Todos los equipos, 476
Aplicación genérica, 617
Operadores de copia de seguridad, 641-42, 650
Secuencia de comandos genérica, 617
conversión, 153
Servicio genérico, 617
delegación de privilegios administrativos, 449, 451
Get-Eventlog cmdlet, 417-18
certificados de cifrado, 498
Mundial el puerto de catálogo, 147-48
globales de seguridad, 145
De catálogo global, el puerto SSL, 147-48
ID, asignando, de 72 años
los grupos de seguridad global, 135, 145-46
153 nidos,
global de direcciones unicast, 66-68
Usuarios del registro de rendimiento, 431
GlobalNames zona DNS, 114, 116
Usuarios de escritorio remoto, 403-4
GPO. Ver Los objetos de directiva de grupo (GPO)
replicación, 370-72
gpupdate comando, 186
sombra, 145
control granular, actualizaciones, 217
Equipos sin asignar, 476
Interfaz gráfica de usuario (GUI), 82
de administración de actualizaciones, 475-77
Grupo de Política
Administradores de WSUS, 470
ADMX archivos, 180
Reporteros WSUS, 470
aplicación de la resiliencia, 222-23
GUI (Graphical User Interface), 82
la asignación de grupos de equipos, 477
La inscripción automática, 554-56
BitLocker, 19-20
de los casos, la planificación y documentación
solución de problemas los procedimientos, 194
funciones y mejoras, 170-73
configuración del firewall, 499-501
Online Certificate Status Protocol (OCSP) ajustes, H
562-63 particiones del disco duro, 2
la planificación y gestión, 178 sistema activo, 23
la práctica, la instalación de GPMC, la creación de almacén central,
los archivos de respuesta, 36
186-89 directorio de la aplicación, 139
Servicios de Terminal Server, la configuración, 276-78 BitLocker, 13, 18-19
herramientas, 184-85 DNS, 137-38
solución de problemas, 183-86 Formato y crear particiones en los discos, 655
políticas de actualización, 477-79 Números de unidad lógica (LUN), 574-76
Group Policy Management Console (GPMC), Network Server (NPS) los datos de los registros, 522-23
180, 184-89 caja de arena, 296
Group Policy Management Editor, 174 hardware
Directiva de grupo Editor de objetos, 180, 222 cuellos de botella, 281-82
Los objetos de directiva de grupo (GPO) configuraciones de clúster, 610
de publicación de aplicaciones, 223 la gestión, 237
copias de seguridad, 640 vigilancia, 427
del lado del cliente objetivo, 477 informes de preparación, 240
comentarios, 179 puesta al día, 239
la creación, 178-79 máquinas virtuales, 295-96, 301-2
edición, 181 inventario de hardware, 235-38, 240-41, 245-46, 250
de grano fino, las políticas de contraseñas, 145-46 hardware de la interfaz del proveedor, 576
vincular a las unidades organizativas (OU), los requisitos de hardware
170-71 Datacenter Edition, Windows Server 2008, 6-7
la planificación, 178 IPv6 redes, 89-90
recuperación, 661 mínimo, la instalación de Windows Server 2008, 4
Arrancador GPO, 178-79 Server Core, 8.12
Grupo de registro de la Política Operacional, 185 Standard Edition, Windows Server 2008, 4-5
Grupo de Política de arranque GPO Editor de política, 174 System Center Configuration Manager 2007, 241-42
Terminal Server, 266-67
Windows Web Server 2008, 7
HBA (Host Bus Adapter) puertos, 577-78
HCAP (Credencial de Salud protocolo de autorización), 536
tamaño de la cabecera, las direcciones, de 63 años
interfaces de programación de aplicaciones 749
La salud de autorización de credenciales Protocolo (HCAP), 536 descubrir las imágenes, de 43 años
políticas de salud, 530 instalación, 42-43
Registro de la Autoridad de Salud, 532 gestionar, de 44 años
información sobre el estado de salud, 240, 283 ejercicio de la práctica, de 48 años
Cumplimiento NAP 802.1X, 532-33 reglas de entrada, 499-501
Certificado de la autoridad, 564-65 copias de seguridad incrementales, 636
DHCP cumplimiento NAP, 534 Opciones sobre índices, 382-84
Credencial de Salud Protocolo de autorización de Configuración del índice, 384
(HCAP), 536 indexación, 332, 381-84
Acceso a la red de protección de aplicación, 531-35 Servicio de Index Server, 332-33
remediación de los servidores, 535 InetOrgPerson cuentas, 450
Agentes del Sistema de Salud (SCS), 530 InetOrgPerson objeto, 153, 155
Sistema de validadores de la Salud (SHV), 530 herencia, permisos, 334
Terminal Services Gateway de cumplimiento NAP, 534-35 Tareas de configuración inicial de la ventana, 174
usuarios con problemas auditivos, 209 imágenes de instalación, 43
latidos del corazón y de convergencia, 594 medios de instalación, 43
Hewlett Packard HP-UX 11i versión, 331 la instalación de
Asistente para alta disponibilidad, 617-18 Active Directory (AD DS) de instalación
los trabajadores a domicilio, 205-6, 217-18. Véase también acceso Asistente, 139-41
remoto aplicaciones, 214, 245
adaptador de bus host (HBA) puertos, 577-78 Experiencia de escritorio, 173
Lista de acogida, 596 Del servicio Servidor DNS, 137-38
hosts, añadiendo a los clústeres de NLB, 594-95 práctica
Discos de repuesto, 608 GPMC, 186-89
HTTP, 202 De carga de red Administrador de equilibrio, 601-3
HTTPS (Secure Hypertext Transfer Protocol), Servidor de acceso remoto, 525-27
283, 517, 523 System Center Essentials 2007, 253-56
hub and spoke topología, 377 Servicios de Terminal Server, 283-91
el hombre de flujo de trabajo, 204 de sólo lectura los controladores de dominio (RODC), la delegación,
Hyper-V, 14, 263 141-42
virtualización de aplicaciones, 306-7 a distancia, de 39 años
la creación de máquinas virtuales, 296-300 38 desatendida,, 40
recuperación de desastres, 663 la instalación de Windows Server 2008, 1-2, 12-13
características, 295-97 escenarios, la migración a Windows Server 2008,
la práctica, el despliegue de RemoteApp / configuración, 307-11 56-57
servidor de administración, 300-2 selección de edición, 3
Enterprise Edition, 5-6
Sistemas basados en Itanium, 7-8
requisito mínimo, 3-4
ejercicios de práctica, 22-29
Server Core, 8.12
36 desatendida,, 38
Windows Web Server 2008, 7
Modo integrado, IIS, 207
Integration Services, 301-2
la integridad de comprobación, entorno de arranque, 17-21
Yo Intel Core 2 Duo, 7.8
IBM AIX 5L Versión 5.2, 331 Intel Itanium de 64 bits del procesador de la arquitectura,
ICMPv6 (Internet Control Message Protocol para IPv6), 7-8
64, 84 interfaz de configuraciones de adaptador, 111
de gestión de identidad, federadas, 160-61 interfaz de identidad (ID), 66, 68, 83-84
ID, grupo, de 72 años interfaces, identificación de la dirección, de 66 años
IEEE 802.11 Wireless Access Points, 532 interfaces de programación de aplicaciones, 576
IGMP (Internet Group Management Protocol), 598
IIS (Internet Information Services),
11, 238, 242, 456, 557, 590
IIS7 (Internet Information Services versión 7),
200-2, 207
datos de la imagen
los archivos de respuesta, 36
imágenes de arranque, 43
captura de imágenes, de 43 años
750 Internet
Internet Direcciones compatibles con IPv4, de 76 años

Online Certificate Status Protocol (OCSP), 559-63 Conversión de direcciones IPv4, de 77 años
servidor de administración a través de, 405-6 IPv6 (Internet Protocol version 6)
Terminal Services Gateway, 283 apoyo a la dirección, 114
las relaciones de confianza, 160-61 DNS la dirección de apoyo, 117
Inscripción Web, las solicitudes de certificados, 556-57 interfaces, configuración, 82-83
Internet Control Message Protocol para IPv6 (ICMPv6), la tabla de enrutamiento, 85-86
64, 84 Conexiones TCP, 86
Internet Explorer, 205, 556-57 la transición de IPv4, 73-78, 90-91
Internet Group Management Protocol (IGMP), 598 IPv6 de la red de conectividad
Servicios de Internet Information Server (IIS), 11-12, 238, 242, espacio de direccionamiento, 62-63
456, 557, 590 anycast direcciones, 72-73
Internet Information Services versión 7 (IIS7), requisitos de las aplicaciones, 90-91
200-2, 207 compatibilidad con IPv4, 76-78
Nombre de Internet, por grupos, 596-601 cono de NATS, 78-79
Internet de impresión, 345 Configuración de los clientes, DHCPv6, 86-88
Internet Protocol Security (IPsec), requiremetns documentación, 91-93
84-85, 90-91, 500 direcciones globales, 63, 67-68
Protocolo de Internet versión 6 (TCP/IPv6) gráfica de usuario los requisitos de hardware, 89-90
Interfaz de usuario (GUI), 82, 86 IPX direcciones, de 70 años
Internet Server Application Programming Interface direcciones locales del vínculo, 68-73
(ISAPI), 207 las direcciones de multidifusión, 70-72
Internet Nombre del servicio de almacenamiento (iSNS), 580 planificación de la red, 89-93
Basado en Internet de gestión de clientes, NSAP direcciones, de 70 años
217-18, 246-47 planificación, 89-93
Internetwork Packet Exchange (IPX), 67, 70 la práctica, la configuración de conectividad, 93-101
Interrupción de afinidad política de herramientas, 434-35 extensiones de la privacidad, la configuración de la dirección,
intranets, privadas, 68-70 67-69
Dentro del sitio Protocolo de direccionamiento automático de túnel agregación de rutas, 63-67
(ISATAP), 76, 79-80 sitio de las direcciones locales, 68-73
Prueba de inventario, 616 requisitos de software, 90-91
Redirección de direcciones IP, 279-80 nodo solicitado la dirección de multidifusión, de 72 años
Direcciones IP, 589-94, 596-601 direcciones especiales, 70
Filtros de paquetes IP, 532 herramientas, 80-86
Directivas de seguridad IP de Microsoft Management la transición de IPv4, 73-76
Console (MMC), 84 verificar, 83-86
ip6.arpa dominio del espacio de nombres, 117 Zona de búsqueda inversa IPv6, 117
comandos ipconfig, 80-81, 84, 86, 111 IPv6 herramientas, 80-81
ipconfig / displaydns, 111 IPX (Internetwork Packet Exchange), 67, 70
ipconfig / flushdns, 111 ISATAP (Intra-sitio de direccionamiento automático de túnel
ipconfig / registerdns, 111 Protocol), 76, 79-80
ipconfig / release, 111 iSCSI unidad de disco, 330
ipconfig/release6, 111 conexiones de cluster, 610
ipconfig / renew, 111 Clusters conmutación por error, 611-12
ipconfig/renew6, 111 LUN, 329, 575
IPSec (Internet Security Protocol), El Explorador de almacenamiento, 580
84-85, 90-91, 500 Storage Manager para redes SAN, 333, 577-79
IPsec Aplicación cliente (CE), 532 iSNS (Internet Storage Name Service), 580
IPsec cumplimiento NAP, 531-32 Emitir y administrar certificados permiso, 550
IPv4 (Internet Protocol version 4), de 59 años Entorno de TI de estado, 237-38
direcciones, 60-63, 67, 533-34 Servicios de TI, la gestión, 237
la transición a IPv6, 73-78, 90-91 Itaniam los sistemas basados en 07.08, 15
la gestión de 751
K seguridad de los, 136

cambios a, 216-19
KCC (Comprobador de coherencia), 155
ligada al valor de reproducción, 155
Protocolo de autenticación Kerberos, 153, 157,
direcciones locales del vínculo, 68-73
160-61, 560
balanceo de carga, 279, 589-605
eventos clave, la solución de problemas, 240
políticas, 579-80
Servicios de administración de claves (KMS), 44
sistemas, 66, 279-81, 329-30, 333, 520
Repetir clave, 209
LOB. Ver de línea de negocio (LOB)
la entrada de teclado, 212
Configuración de seguridad local, 335
teclado en pantalla, 212
locales de enlace de las direcciones unicast, 66, 68-73
claves
Log Parser, 418
De inicio de BitLocker, 17-18
suscripciones de registro, 412-14
equipo de recuperación, 20
Números de unidad lógica (LUN), 327, 329, 574-79, 612
Servicios de administración de claves (KMS), 44
fecha y hora de inicio de sesión, 153
Clave de activación múltiple (MAK), de 44 años
Los inicios de sesión
texto plano, 21
auditoría, 495-96
551-52 privado,
ubicaciones de las sucursales, los retrasos, 139
producto, 12-13, 36
Tareas de configuración inicial de la ventana, 174
recuperación, 19-20
Inicio de sesión interactiva de última, 153
inicio, 17-18
Servidor de pantalla Manager, 174
KMS (Key Management Servicios), de 44 años
registros. Véase también registros de eventos
De coherencia Checker (KCC), 155
Data Collector Set de datos de registro, 430-31
Policy Network Server (NPS) los datos de contabilidad,
522-23
de políticas de retención, 409, 522
las direcciones de loopback, IPv6, de 70 años
LPD (Line Printer Daemon), 345
LPR (Line Printer Remote) los puertos, 346
LPT, 346
L LUN (Logical Unit Numbers), 327, 329, 574-79, 612
L2TP/IPsec (capa de protocolo de túnel en IPsec),
516-17
lenguaje de los usuarios con discapacidad, 210
independiente del idioma de recursos (. admx), 180, 182
lenguaje específico de los recursos (. adml archivos), 180, 182
Inicio de sesión interactiva de última, 153
Capa de protocolo de túnel en IPsec (L2TP/IPsec),
516-17
LDAP (Lightweight Directory Access Protocol), 147-48
Grupos de consulta LDAP, 155
ldifde comando, 144 M
ldp.exe, 147 MAC (Media Access Control), 64, 594, 597
concesión de licencias MAK (Multiple Activation Key), 44
disponibilidad de las aplicaciones, 206 La activación independiente de MAK, de 44 años
software de monitoreo de uso, 249 Activación MAK Proxy, de 44 años
máquinas virtuales, 298, 301 Administrar formularios, 349
Windows Server 2008, 9 Gestionar los archivos abiertos, 326
Grupo de licencias Política de nodo, 277 Administrar las sesiones, 326
Lightweight Directory Access Protocol (LDAP), 147-48 la gestión de
Line Printer Daemon (LPD), 345 Active Directory Rights Management Services
Line Printer Remote (LPR) los puertos, 346 (AD RMS), 160, 406
de línea de negocio (LOB), 199 aplicaciones, 204, 456
Application Server Foundation, 204 escenario posible
Servidor de aplicaciones de funciones de servidor, 199-203 gestión de clientes, 260-61
disponibilidad, la planificación, 204-8 gestión de eventos, 463
de los casos, la resistencia de planificación de aplicación, 260 los equipos cliente, 217, 245-50, 473
costumbre, la instalación, 214 configuración, 248
Clusters conmutación por error, 613 Consola de Administración de DFS, 362, 374-77
Servicios de Manejo de Emergencias (SME), 402-3
Administración del clúster de conmutación por error, 614, 616-19
752 copias de seguridad
manuales
administración de identidades federadas, 160 Active Directory (AD DS)

Group Policy Management Console (GPMC), 180, gestión, 139-41
184-89 Plantillas de certificado, 553-56
Group Policy Management Editor, 174 mejoras en, 135, 142-43
grupos, 451, 475-77 Equilibrio de carga de red (NLB), 594-95
IGMP (Internet Group Management Protocol), 598 Carpeta compartida complemento, 336
Basado en Internet de gestión de clientes, 217, 246 WSUS 3.0 consola de administración, 221
Las políticas de administración de Microsoft ipsecurity Microsoft Office, 238
Management Console (MMC), 84 Microsoft Office Outlook, 283
Servicios de administración de claves (KMS), 44 Microsoft Office SharePoint Server 2007, 160
Número de unidad lógica (LUN), 575-79 Microsoft Office Suite, 205
Microsoft Management Console (MMC), 135, 139-43, Microsoft Outlook, 205
221, 336, 397-99, 553-56, 594-95 Microsoft Report Viewer, 470
Microsoft System Management Server (SMS), 216 Microsoft Security Response Center (MSRC), 221
De respuesta en línea de gestión, 561 Microsoft Message Service Block (SMB) 2.0, 323
contraseñas, 147 Instalación del software Microsoft (MSI), 239
parches / actualizaciones, 205, 469-86 Microsoft System Center Operation Manager 2007,
la práctica, la administración remota de Windows Server 2008, 418-20
420-23 Microsoft System Management Server (SMS) 2003, 216
Imprimir la consola de administración, 344, 347-49 Sitio Web de Microsoft Update, 219, 471-73
Evento de gestión remota de registro, 416 la migración, 252, 299-300
Servidor de la consola de administración, 426-33 función mknod, 331
Compartir y de gestión de almacenamiento, 323-30, 378 dispositivos móviles, 246-50
Simple Network Management Protocol (SNMP), 240 Modificar los eventos, 150
almacenamiento, 327-30 modularidad, 201
Informes de Gestión de almacenamiento, 344, 642 monitoreo
System Management Server (SMS), 216 capacidad, 281-82
máquinas virtuales, 300-2 certificados, vigilancia de la salud, 564-65
copias de seguridad manuales, 635-36, 638, 644-46 configuración, 427
Master Boot Record, 17 los recursos de memoria, 281-82
MBSA (Microsoft Baseline Security Analyzer), 485 Monitorización del registro de seguridad, 494-95
los medios de comunicación, 3, 614 rendimiento / fiabilidad, 426-33, 463-64
Media Access Control (MAC), 64, 594, 597 procesadores, 281-82
huella de la memoria, 305-6 seguridad, 494-97
Sobrescribir la memoria política, 20 Auto-monitoreo, análisis y notificación
Páginas de la memoria / seg, 428 (SMART), 172-73
los recursos de memoria, control, 281-82 el uso del software, 245, 249
Mensaje Queing, 199-200, 202 Monitorización del registro de seguridad, 494-95
activación basada en mensajes, 202 punteros de mouse, la configuración, 212
sistemas de mensajería, de back-end, 614 Los acontecimientos se mueven, 150
metadatos, 247-48, 364-65 MPIO (Multipath I / O), 322, 329-30, 333, 579-80, 616
Microsoft. NET Framework, 199-200 MS DTC (Microsoft Distributed Transaction
Microsoft Application Virtualization, 306-7 Coordinador), 200
Microsoft Baseline Security Analyzer (MBSA), 485 MS-CHAPv2 (Handshake Microsoft Desafío
Desafío mutuo de Microsoft Protocolo de autenticación Protocolo de autenticación), 515
(MS-CHAPv2), 515 MSI (instalación de software de Microsoft), 239
Microsoft Distributed Transaction Coordinator MSRC (Microsoft Security Response Center), 221
(MS DTC) mstsc / admin comando, 404
Servidor de aplicaciones, 200 las direcciones de multidifusión, 66, 70-72, 597-98
Microsoft Exchange Server, 205 multicast de despliegue, de 42 años
Microsoft Internet Explorer, 205, 556-57 rango de direcciones IP multicast, de 41 años
Microsoft iSCSI Software Initiator, 575, 579 las transmisiones multicast, 39, 41-42
Microsoft Management Console (MMC), 397-99 multinetting, de 65 años
Nueva topología de Asistente 753
Multipath I / O (MPIO), 322, 329-30, 333, 579-80, 616 los clientes de roaming, las actualizaciones, 479-80
Clave de activación múltiple (MAK), de 44 años Agentes del Sistema de Salud / validadores, 530
Múltiples sistemas de filtrado, 599 Servicios de Terminal Server de aplicación de puerta de enlace, 534-
ejemplo de múltiples aplicaciones, 609 35
203 multiplexado, VPN de cumplimiento NAP, 533
red de acceso / conectividad. Véase también Active Directory
Certificado de Servicios, también de autenticación, también
Red de protección de acceso (NAP), también la red
Equilibrio de carga (NLB) grupos
N disponibilidad de las aplicaciones, la planificación, 205-6
NAC (Network Admission Control), 536 protocolos de autenticación, 515-18
de resolución de nombres, 104 de los casos, la estrategia de selección de la disponibilidad, 624-25
nombre del servidor (NS), 137-38 herramientas de racimo, 607-19
Canalizaciones con nombre, 202 configurar, 59-61
espacios de nombres planes de recuperación de desastres, 589-90
la enumeración basada en acceso, 370 DNS Round Robin, 589-93, 596-601
características, 366-67 IPv6 herramientas, 80-81
basada en el dominio, 364-65 Las matrices de respuesta en línea, 562
modos, 365-67 permisos, 326
la práctica, la migración, 384-87 la práctica, la configuración de IPv6, 93-101
carpeta compartida de planificación, 362-70 restricción, 240, 245, 250
independiente, 364 Servicios de Terminal Server, 274-76
objetivo prioritario, el establecimiento, 369-70 terceros computadoras, 501
puesta a punto / optimización, 367-68 verificar, 83-86
PAN. Ver Red de protección de acceso (NAP) Adaptador de red, Servicios de Terminal Server, 274-75
Narrador, 212 Network Address Translation (NAT) pasarelas, 283
NAT (Network Address Translation), 283 Network Admission Control (NAC), 536
ND (Neighbor Discovery), 64 Centro de redes y recursos compartidos, 336
caché de vecinos, 83 Network File System (NFS), 331-32
El descubrimiento de vecinos (ND), de 64 años Network Information Service (NIS), 176
Net.TCP Puerto servicio de uso compartido, 203 Tarjetas de red (NIC), 64
NetBIOS, 116, 141 a nivel de red de seguridad, 64
Netdom.exe, 153 Equilibrio de carga de red (NLB) clusters, 5, 7, 279, 587
máscara de red de pedidos, 591 planificación, 589-90
netsh (red shell) comandos, 80-81 configuración, 594-96
caché de destino, el 83 la gestión, 596
caché de vecinos, 83 parámetros, ajuste, 596-601
netsh interface ipv6 6to4, 79-80 la práctica, la configuración, 601-5
netsh interface ipv6 add dnsserver, 82, 86 Equilibrio de carga de red (NLB), 594-96,
netsh interface ipv6 isatap, de 79 años 601-3
netsh interface ipv6 dirección establecida, 80, 82 Red de Políticas y Servicios de Acceso, 511
netsh interface ipv6 set interface, de 82 años Network Server (NPS), 250, 518-23, 533
netsh interface ipv6 ruta establecida, el 86 puerto de red de la impresora, 346
netsh interface ipv6 dirección de mostrar, de 81 años Servicio de red de punto de acceso (NSAP), 67, 70
netsh interface ipv6 show dnsservers, 86 compartido de red, 38, 325
netsh interface ipv6 mostrar ruta, 85-86 Prueba de red, 616
netsh interface ipv6 show routes, de 84 años topología de la red, 240, 580
netshinterface ipv6 add v6v4tunnel, de 79 años Bytes Total Network / seg, 428
netstat comandos, 80, 85-86 Nuevo grupo de replicación asistente, 371-72
Red de protección de acceso (NAP), 218, 250, 283, 509 nuevos sistemas de tecnología de archivos (NTFS), 319-20, 498
802.1X, 532-33 permisos de acceso, 336
de los casos, el acceso remoto, 542 Clusters conmutación por error, 616
los métodos de ejecución, 531-35 permisos, 320, 323-26, 334
Red de servidor de políticas, 518-20 Nueva topología de Asistente, 377
la práctica, la configuración de DHCP con la aplicación, 536-38
754 Nuevo asistente de confianza
Nuevo asistente de confianza, 158-59 protección, 17-21

Nuevo Asistente Virtual Machine, 296-97 recuperación, 653-55
Siguiente Nivel Agregador (NLA), 67-68 Terminal implementación del servidor, 272
NFS (Network File System), 331-32 puesta al día, 239
NIC (Network Interface Cards), 64 Modo de operación, el grupo, 596-601
NIS (Network Information Service), 176 registros de operación de eventos, 415
NLA (agregador de Next Level), 67-68 medios ópticos, 3
NLB. Ver Equilibrio de carga de red (NLB) grupos Optimizado para el rendimiento, 380
No reiniciar automáticamente para actualizaciones automáticas unidades organizativas (OU), 145, 148,
programadas 170-71, 178
Instalaciones, 479 OSI (Open Systems Interconnection), 70
No Mayoría OU. Ver unidades organizativas (OU)
Sólo el disco de quórum (cluster), 612 las reglas de salida, 499-501
Nodo y el disco de quórum Mayoría (cluster), 611-12 Outlook Express, 205
Nodo y recursos compartidos de archivos de quórum Mayoría (cluster),
Outlook Web Access (OWA), 205
609, 612
Quórum de nodos mayoritario (cluster), 609, 611
nodos, frente a, 66, 68
restauración no autoritaria, 656-57
solicitudes nonce, 560
Los umbrales de notificación, 341
Novell Directory Services, 520 P
NPS (Servidor de Red Política), 250, 518-23, 533 paquetes, distribución de software, 247
NS (servidor de nombres), 137-38 filtros de paquetes, 513, 532-33
NSAP (Network Service Access Point), 67, 70 los archivos de paginación, 17-21
comandos nslookup, 86, 112-13 PAP (Protocolo de autenticación de contraseña), 516
herramienta nslookup, 158 partición, el disco duro, 2
ntbackup.exe, 631-32 sistema activo, 23
NTDSUTIL, 660 los archivos de respuesta, 36
NTFS (New Technology File System), 319-20, directorio de la aplicación, 139
498, 616 BitLocker, 13, 18-19
DNS, 137-38
Formato y crear particiones en los discos, 655
Números de unidad lógica (LUN), 574-76
Network Server (NPS) los datos de los registros, 522-23
caja de arena, 296
Protocolo de autenticación de contraseña (PAP), 516
Directiva de replicación de contraseña, 135-39, 141, 143
O Configuración de la contraseña, 143
Configuración de contraseña de contenedores (PSC), 143
propiedad de los objetos, 335
Configuración de contraseña objetos (PSO), 144-46, 161-66
objetos, 135, 148, 334-39, 496
sincronización de contraseñas, 176
oclist.exe, 11, 398
Servidores de sincronización de contraseñas, 175-76
Ocsetup.exe, 11, 398
contraseñas
OCSP (Online Certificate Status Protocol), 559-63
auditoría, 496
OEM apoyo, 6-7
autenticación, 516, 560
operaciones en línea, 135, 378-80
BitLocker, 17
fuera de las instalaciones de seguridad, 643
ubicaciones de las sucursales, 134-37
una sola vez las implementaciones, de 42 años
almacenamiento en caché, 138
de un solo sentido de confianza de bosque, 158
delegación de privilegios administrativos, 449
Online Certificate Status Protocol (OCSP), 559-63
Dicho modo (DSRM),
De respuesta en línea, 566-71
141, 659
Las matrices de respuesta en línea, 562
la política de amplio registro, 176
De respuesta en línea de gestión, 561-62
filtros, 146
Sólo restaurar discos del sistema, 655
143-47 grano fino, 153
teclado en pantalla, 212
longitud, 143
Interconexión de Sistemas Abiertos (OSI) de red, 70
las políticas de bloqueo, 135
los sistemas operativos
implementación, 240-42, 245, 248
los informes de diagnóstico, 238
mixto Windows / UNIX ambientes, 331-32
políticas 755
Directiva de replicación de contraseña, 135-36, 138-39, la nueva tecnología del sistema de archivos (NTFS),
141, 143 320, 323-26, 334, 336, 498
políticas de contraseñas de sincronización, 176 la práctica, la delegación de permisos administrativos,
la práctica, la configuración de grano fino, contraseñas, 161-66 456-59
recuperación, 20 de impresión, 334
acceso remoto, 524-25 Lea la Propiedad, 146
reintentos políticas, 175 leer, BitLocker y, 20
las políticas de la cuenta de servicio, 145 seguridad, 548-49
a nivel de usuario la política, 145 Carpetas compartidas, 498
de gestión de parches, 205 Windows PowerShell, 447-48
grupos de equipos, lanzamientos escalonados, 475-77 discapacidad física, los usuarios, 208-9
la configuración de servidores WSUS, 474-75 comando ping, 80, 83
la implementación de actualizaciones con WSUS, 469-74 PKI (infraestructura de clave pública), 217, 252, 549
estrategias de sincronización, 480-81 texto fundamental, el 21
herramientas, 485-86 planificación
actualización de la gestión y el cumplimiento, 482-85 la accesibilidad para discapacitados, 208-12
WSUS de configuración del cliente, 477-80 De dominio de Active Directory Services de auditoría, 148-50
comando pathping, 80 disponibilidad de las aplicaciones, 204-8
pathping comando-d, 84 implementación de aplicaciones, 235-36
peer-caching, 472-73 aplicación de la resiliencia, 213-24
rendimiento Servidor de aplicaciones de funciones de servidor, 199-203
de los casos, la supervisión del rendimiento, 463-64 las estrategias de copia de seguridad, 642-43
Internet Information Services versión 7 (IIS7), sucursales, 136
201 capacidad, 237-38, 279-81
control, 426-33 escenario posible
Multipath I / O (MPIO), 333 Grupo de Política de solución de problemas los procedimientos, 194
optimización, 221-22, 434-38 Actualización de Windows Server 2003, 193-94
práctica Certificado de los servicios de implementación, 545
la creación de informes, 439-41 minería de datos herramienta de uso, 147-48
la creación de sistema de Windows Resource Manager la funcionalidad de dominio, 151-53, 155-56
políticas, 441-44 Servicios de archivos de función de servidor, 321-22
Los datos conjuntos de recopiladores, 438-39 funcionalidad del bosque, 151, 154-56
servidores, 331 nivel de confianza de los bosques, 156-59
tendencias, el seguimiento, 430 Directiva de grupo, 178
solución de problemas, 240 IPv6 redes, 89-93
Los contadores de rendimiento de alerta, 429 la práctica, la actualización de Windows Server 2003, 391-92
Usuarios del registro de rendimiento del grupo, 431 Servicios de impresora función de servidor, 344-49
Registros y alertas de rendimiento, 426 de sólo lectura del controlador de dominio (RODC) la aplicación,
Monitor de rendimiento, 428 138-39
Actualizaciones periódicas de estado, 521 servidor de administración, 395
permisos carpeta compartida estructura, 362-70
control de acceso, 334-39 área de almacenamiento en red (SAN) de implementación, 574-81
auditoría, 497 System Center Configuration Manager 2007
sucursal, de sólo lectura controlador de dominio (RODC), despliegue, 244-45
141-42 Terminal de infraestructura de servidor, 265-67
Administrador de certificados, 553 Tipo de confianza / dirección, 157-58
participación conjunta y NTFS, 338-39 TS licencia de servidor de implementación, 267-72
configuración, 336-38 Punto a punto Protocolo de túnel (PPTP), 516
delegar, 447-49 Point-to-Point Protocol (PPP), 517
Negar, 335 políticas
herencia, 334-39 Bloqueo de cuentas, 143-47
Emitir y administrar certificados, 550 administrativa a nivel de las contraseñas, 145
acceso a la red, 326 Opciones de inicio avanzadas 19
756 Políticas elemento
permitir el arranque a distancia de programas no cotizan en bolsa,Plataforma TMP validación de perfil, 20

171 De sesiones de TS Broker equilibrio de carga, uso, 176
permitir la redirección de zona horaria, 172 actualizaciones, 477-79
auditoría, 148-50, 495-96 Windows System Resource Manager (WSRM),
autorización, 153 435-38
BitLocker, 20 Para las ventanas de sincronización de contraseñas NIS para los
Certificado de Servicio al Cliente, 552-53 usuarios migrados
certificados, 554-56, 562-63 Para los servidores de sincronización de contraseñas, Activar, 176
Redirección del Portapapeles, no permiten, 173 Políticas elemento, 183
autorización de conexión, 283 PolicyDefinitionResources elemento, 183
delegación, 447 PolicyDefinitions elemento, 182
Experiencia de escritorio, 173-77 PolicyNamespaces elemento, 182
Escritorio, Mostrar en conexión, 172 puerto de cono restringido, 78-79
Los cambios del servicio de directorio, 135 Reglas de puerto, 598-99
De diagnóstico de disco portabilidad, la virtualización de servidores, 296
Configurar texto de alerta personalizados, 172-73 puertos
Configurar el nivel de ejecución, 173 De catálogo global, 147-48
Dinámica Menor profundidad de cola, 580 De catálogo global-SSL, 147-48
Método de cifrado, configurar, 20 adaptador de bus host (HBA), 577-78
Equal_Per_Session, 282 Lightweight Directory Access Protocol (LDAP),
Equal_Per_User, 282 147-48
Un amplio registro de controladores de dominio que ejecutan Lightweight Directory Access Protocol (LDAP), SSL,
Servidor para NIS, Activar, 176 147-48
Un amplio registro para los servidores de sincronización de el puerto 3389, 404-5
contraseñas, Turn el puerto 443, 405-6
En, 176 el puerto 67, 39
Group Policy Management Editor, 174 uso compartido del puerto, 203
Directiva de grupo GPO Editor de inicio, 174 impresora, 346
Tareas de configuración inicial de Windows de forma automáticaCOM en estándar, 346
De inicio de sesión, no se muestran, 174 El puerto TCP 443, 517
balanceo de carga, 579-80 PowerShell, 10
retención de registros, 409 PPP (Point-to-Point Protocol), 517
Sobrescritura de memoria, 20 PPTP (Point to Point Tunneling Protocol), 516
red de protección de acceso (NAP), 218, 250 práctica
NIS subordinados servidores, intervalo de tiempo establecido para Servidor
la de aplicaciones de funciones de servidor, la instalación, 224-
actualización, 176 32
ningún ajuste de invalidación, 170-71 copias de seguridad de Windows Server 2008, 644-47
Online Certificate Status Protocol (OCSP), 562-63 BitLocker, la configuración, 29-32
Directiva de replicación de contraseña, 135-39, 141, 143 BitLocker, la implementación, de 22 años
Sincronización de contraseñas de servidores, 175 almacén central de los archivos de directiva de grupo, la creación,
contraseñas, de grano fino, 143-47, 153 186-89
práctica Servicios de Certificate Server, el despliegue, 566-71
la creación de la política de contraseñas, 161-66 la configuración de NAP con DHCP ejecución, 536-38
de aislamiento de servidor, 501-3 Instalación del servidor DHCP, de 46 años
De ejecución previo Environment (PXE) de respuesta, 41 DNS, la configuración, 121-22
Carpeta de recuperación, Configuración, 20 Clúster de conmutación, la validación de un nodo, 619-21
Opciones de recuperación, Configuración, 20 Servicios de archivo función de servidor, añadiendo servicios de
Redirigir sólo la impresora predeterminada del cliente, 175 función, 349-55
basada en el Registro, 180 los niveles de la función, los dominios / bosques, 161-66
Fondos de Escritorio remoto, Aplicar eliminación de, 174 GMPC, la instalación, 186-89
de seguridad, 135 archivos de imagen, agregando, de 48 años
Página del Administrador de servidores al iniciar la sesión, no sela migración de un espacio de nombres, 384-87
muestran, 174 Network Load Balancing, configurar, 601-5
complementos, 174 El despliegue de respuesta en línea, 566-71
sistema de salud, 530 Contraseña objetos de configuración (PSO), la creación, 161-66
Servicios de Terminal Server, 276-78, 524-25 informes de rendimiento, 439-41
Servidor de acceso remoto, instalar / configurar, 525-27
Servicios de Terminal Server controlador de impresión fácil Primero,
la utilización, 176-77
datos en tiempo real de entrega 757
administración remota de Windows Server 2008, 420-23 propiedades, recursos compartidos, 326
RemoteApp, el despliegue / configuración, 307-11 Provisión de una carpeta compartida asistente, 325-29, 336
la restauración de Windows Server 2008, 663-68 Provisión de almacenamiento Asistente, 575
búsqueda inversa de planificación de las zonas IPv6, 122-23 aprovisionamiento de datos, 360, 362-70
las políticas de aislamiento de servidor, 501-3 servidores proxy, 590, 614
System Center Essentials, la instalación, 253-56 PSC (Configuración de contraseña de contenedores), 143
Servicios de Terminal Server, el despliegue, 283-91 PSO (Password objetos de configuración), 144-46, 161-66
la creación de cuentas de usuario, 46 públicos certificados EFS, 497-98
Windows Deployment Services (WDS), la instalación / Compartir carpetas públicas, 336
configurar, 46-51 infraestructura de clave pública (PKI), 217-18, 252, 549
Windows Server 2008, la instalación, 22-29 la publicación de software, 222-23
Windows Server Update Services (WSUS) PXE (Entorno de ejecución de prearranque), 13, 39, 41, 43
despliegue, 486-91
Windows System Resource Manager políticas,
441-44
De ejecución de prearranque Environment (PXE), 13, 39, 41, 43
Elemento PresentationTable, 183
Q
Evitar sobrescritura de memoria respecto a la política Reiniciar, 20
dispositivos de impresión, 344-49 QFE (Quick Fix Engineering) que, 239
controladores de impresión, 176-77, 344-49 cuatro A (AAAA) de host de registro, 117
Imprimir la consola de administración, 344, 347-49 solución rápida de ingeniería (QFE) que, 239
cola de impresión, 346 modelos de quórum, Clusters de conmutación por error,
Servidores de impresión, 319, 321, 348, 613 611-13
Servicios de impresión de la función de servidor, 344-49, 355-57 cuotas, 339-41, 343, 375
servicio de cola de impresión, 346
filtros de impresora, 348
los objetos de impresora, 334
grupo de impresoras, 345 R
RADIUS (autenticación remota telefónica de usuario de servicios),
Redireccionamiento de las impresoras de directiva de grupo de nodos,
277 511, 514, 518-20
impresoras, 175-77, 344-49 RAID (matriz redundante de discos económicos),
extensiones de privacidad, de 67 años 574-75, 607-8
privacidad, servicios de certificados, 545 RAM
certificados EFS privado, 497-98 requisitos mínimos, 4
claves privadas, 551-52 RemoteApp, 304-6
redes privadas, 405-6 Los requisitos de Terminal Server, 266
privilegios, 449-51 máquinas virtuales, 301-2
reciclaje de procesos, 202 RAS (Remote Access Service), 511-14
procesamiento, 178, 185-86, 304 RCF 1123, 118
% De tiempo de procesador Procesador de 428 RCF 2181, 118
procesadores RD (Remote Desktop), 205-6, 403-6
AMD Turion, 7-8 RDC (Remote Desktop Connection), 172-73, 278-79
Intel Core Duo, 7.8 RDP (Remote Desktop Protocol), 8, 265, 523-25
Intel Itanium, 7-8, 15 RDP servidores, 534-35
requisitos mínimos, 4 Propiedades de RDP-TCP, 272-76
control, 281-82 permisos de lectura, 20
Los requisitos de Terminal Server, 266 Permisos de lectura de propiedad, 146
la actualización de Windows Server 2008, 14-15 de sólo lectura de base de datos de AD DS, 137
máquinas virtuales, 302 de sólo lectura los controladores de dominio (RODC),
clave del producto, 12-13, 36 114, 116, 134-35
Grupo de los perfiles de la política de nodo, 277 despliegue, 137, 155
Programas y Características, panel de control, 223 atributos con filtro, 137
programas, no cotizan en bolsa, 171 implementación, planificación, 138-39
la propagación de informe, 378 delegación de la instalación, 141-42
virtualización, 139
zona de planificación de tipo, 119-20
de sólo lectura de nombres de dominio (DNS) zonas, 137
confía reino, 157
datos en tiempo real de entrega, de 64 años
758 recuperación
recuperación, 627 Red Privada Virtual (VPN) protocolos, 515-18

Active Directory, 656-63 Servidor de acceso remoto, 525-27
atributos, 148 Servicio de acceso remoto (RAS), 511-14
back-links, 148 administración remota, los ordenadores, 245, 249
Bare Metal Recovery, 653-55 acceso a la red, 266, 509
de los casos, la recuperación de desastres, 672-73 despliegue, 39-41
herramientas de racimo, 607-19 registros de eventos, 416
contenedores, 135 la práctica, las tareas de administración remota, 420-23
Dicho modo (DSRM), 141 tecnologías, 403-7
los controladores de dominio, 661-62 De autenticación remota telefónica de usuario (RADIUS),
Servicios de archivo, 321-22 511, 514, 518-20
Grupo de objetos de directiva de grupo (GPO), 661 copia de seguridad remota, 641-42
Hyper-V, 663 clientes remotos, 174, 514
objetos, 135, 148 conexiones remotas, 205-6
unidades de la organización, 148 Control remoto, Terminal Services, 274-75
planes, 589-90 Remote Desktop (RD), 205-6, 403-6
la práctica, la restauración de Windows Server 2008, 663-68 Cliente de Escritorio remoto, 403
virtualización de servidores, 296-97 Remote Desktop Connection (RDC), 172-73, 278-79
Las instantáneas de carpetas compartidas, 629-31 Remote Desktop Protocol (RDP), 8, 265, 523-25
Sistema estatal, 656 Usuarios de escritorio remoto, 305, 403-4
Terminal Server, 265 Compresión diferencial remota (RDC), 330, 370
TS del servidor de licencias, 271 Remote Log de eventos de gestión de excepciones, 416
volúmenes, 652-53 instalación remota, de 39 años
Windows Server Backup, 631-37, 650-57 invocación remota, 202
Política de recuperación de carpeta, 20 Llamada a procedimiento remoto (RPC) Async Pipes, 378
la recuperación de claves, 19-20 Herramientas de administración remota del servidor (RSAT), 399, 406,
Opciones de política de recuperación de 20 420-21
de recuperación de contraseñas, 20 Medio Ambiente a distancia Sesión del Grupo de Política de nodo, 277
Red Hat Linux versión 9, 331 arranque a control remoto, los programas no cotizan en bolsa, 171
Redirigir sólo la impresora predeterminada del cliente, 175 Sistemas de administración remota Herramientas, 641-42
redirección, el portapapeles, 173 RemoteApp, 263, 272-73, 304-11
redundancia, 44, 589-90, 600-1, 607-10 Programas RemoteApp, 171
Matriz redundante de discos económicos (RAID), los puntos de análisis, 376
549, 607-8 réplica modo, los servidores WSUS, 474-75
referencias, 369-70 replicación
actualización, la directiva de grupo, 186 La recuperación de Active Directory, 656-57
REG_MULTI-SZ, 214 configuración DFSR, 370-73
Registro, 181, 334, 434, 477 el despliegue de DFSR, 372-73
claves de registro, 216 Sistema de archivos distribuido (DFS), 330, 362
basada en el Registro configuración de la directiva, 180 373-74 inicial,
Confiabilidad y rendimiento, Consola de Administración, gestión, 374-77
426-33 topología, 377
Monitor de confiabilidad, 427 solución de problemas, 186
Fiabilidad, 201, 426-33 Informes de resumen para Downstream servidores WSUS, 485
remediación de los servidores, 532-33, 535 informes
cliente, 250-52
de acceso remoto. Véase también Red de protección de acceso (NAP)
contabilidad, 521-23 el uso de disco, 344
protocolos de autenticación, 515-18 flexible, 219
de los casos, 542 Group Policy Management Console, 184-85
gestión, 511-14 CAL por usuario, 270-71
Red de servidores de políticas, 518-20 rendimiento, 431-32
la práctica, la instalación y configuración, 525-27 la práctica, el rendimiento de alerta, 439-41
Terminal Services (TS) Gateway, 523-25 propagación, 378
seguridad 759
cuotas, 341 caja de arena, 296

almacenamiento, 344 SAN. Ver Redes de área de almacenamiento (SAN)
System Center Essentials 2007, 237-38 SAS (Almacenamiento conectado serialmente), 579, 610
actualizaciones, WSUS, 482-85 escalabilidad, 155
compatibilidad con la actualización, 15-16 copias de seguridad programadas, 633-34, 638
Reprogramar Horarios Actualizaciones automáticas implementación programada, 42-43
Instalaciones, 479 tareas programadas, 216
los bosques de los recursos, 158 los valores de campo de campo, 71-72
Recursos elemento (. Adml), 182-83 lectores de pantalla, 212
Información general sobre recursos, 426 scripting, 400-2
Responder matrices, 560, 562 SCSI conexiones, 610, 616
reiniciar las políticas, 479 buscar, 332, 381-84
restauración autoritaria, 657, 666-68 Protocolo de transferencia de hipertexto seguro (HTTPS), 283,
restaurar, no autoritaria, 656-57 517, 523
restauración de los datos. Ver recuperación Secure Socket Tunneling Protocol (SSTP), 516-18
Restringir a los usuarios a la lista de permisos explícitos Secure Sockets Layer (SSL), 217-18, 517-18
complementos seguridad, 485-86. Véase también Certificado de Active Directory
configuración, 174 Servicios; también BitLocker; también acceso a la red
cono restringido, 78-79 Protección (NAP), también la gestión de parches, también
Conjunto resultante de directivas, 450 Terminal Services Gateway
de políticas de retención, 409 control de acceso, 334-39
Zonas de búsqueda inversa DNS, 104 archivo de respuesta contraseña de administrador, 141
Certificados revocados, 557-59 implementación de aplicaciones, 236
RFC 3041, de 67 años superficie de ataque, 9
RFC 4941, de 67 años auditoría, 335
RFC 2044, 118 protocolos de autenticación, 515-18
clientes móviles, 479-80 ubicaciones de las sucursales, 134-37, 450-51
Copia de archivos robusto, 372 Servicios de Certificate Server, 545
RODC. Ver de sólo lectura los controladores de dominio (RODC) Espacio de nombres DNS, 118-19
autorización basada en roles, 155 actualizaciones dinámicas, 107
delegación basada, 456 Sistema de cifrado de archivos (EFS), 497-98
rollback, de 45 años cifrado BitLocker vs, 20
roll-forward, 652 registros de eventos, 150
Autoridades de certificación raíz (CA), 549 administración de identidades federadas, 160-61
Round-robin, 580, 587, 589-93, 596-601 grupos globales, 135, 145-46
agregación de rutas, 63-67 Acceso a Internet, 283
comando route, 80 Internet Information Services versión 7 (IIS7), 201
la ruta del comando de impresión, 84-86 Basado en Internet de gestión de clientes, 217, 246-47
routers, 42, 71-72, 240 de línea de negocio (LOB), 136
enrutamiento, 80-81 control, 494-97
Servicios de enrutamiento y acceso remoto (RRAS), 511-14 acceder a la red, lo que restringe, 250
la tabla de enrutamiento, 63, 85-86 a nivel de red, 64, 240
RPC (Llamada a procedimiento remoto), 378 acceso a los datos fuera de línea, 379-80
RRAS (enrutamiento y acceso remoto), 511-14 sistema operativo, 17-21
RSAT (Herramientas de administración remota del servidor), 399, 406,
la práctica, las políticas de aislamiento de servidor, 501-3
420-21 de sólo lectura los controladores de dominio (RODC), 116
ejecutar las claves de registro, 216 registro de seguridad, 408
de ejecución, una vez las claves de registro, 216 datos del servidor, 17-21
instantáneas, 148
software / requisitos de solicitud, 90
Telnet conexiones, 407
Servicios de Terminal Server, 272-76
Terminal Services Gateway, 283
S
SAC (consola de administración especial), 403
SACL (lista de control de acceso al sistema), 148, 496
SAML (Security Assertion Markup Language), 160
760 Aserción de seguridad Markup Language (SAML)
conexiones de red de área amplia (WAN), 136 aislamiento, configuración, 501-3

Firewall de Windows con seguridad avanzada, 499-501 Lightweight Directory Access Protocol (LDAP),
Aserción de seguridad Markup Language (SAML), 160-61 147-48
Registro de eventos de seguridad, 150 la gestión, 237, 300-2, 395
Grupos de seguridad, 334, 498 rendimiento, 331
identificador de seguridad (SID), 153 la práctica, las políticas de aislamiento de servidor, 501-3
Seguridad de la capa, Terminal Services, 272-73 De impresión, 613
Registro de seguridad, 335, 408 Servicios de impresión, 344-49
De seguridad del nodo, la directiva de grupo, 277 proxy, 590, 614
Actualizaciones de seguridad, 480-81 RDP (Remote Desktop Protocol), 534-35
Autenticación selectiva, 159 remediación, 532-33, 535
Auto-monitoreo, análisis y generación de informes de Tecnología réplica modo, 474-75
(SMART), 172-73 topología de replicación, 377
certificados con firma personal, 498 restauración con Hyper-V, 663
Puerto serie de redirección de consola (SPCR), 402 papeles, lista de, 11
Almacenamiento conectado en serie (SAS), 579, 611-12 control de la seguridad, 494-97
servidor de administración Las instantáneas de carpetas compartidas, 629-31
copias de seguridad de funciones de servidor, 639-41 La edición estándar de Windows Server 2008 los roles, 5
Configurar el aislamiento de servidor, 501 medios de transmisión, 614
controlador de dominio de recuperación, 661-62 System Center Configuration Manager 2007,
recuperación completa, 653-55 implementación, 240-42
de gestión de parches, 469-86 Terminal Server (TS), 171
la práctica, las políticas de aislamiento de servidor, 501-3 Servicios de Terminal Server del servidor, 172
a distancia, 403-7 virtualización, 139, 294-300, 316
restauración con Hyper-V, 663 WDS / DHCP conflictos, de 39 años
control de la seguridad, 494-97 Los servidores Web, 7-8
Server Core, 7, 397-98, 401, 638 Windows Server Backup, 650-57
Servidor para NIS (SNIS), 176 las cuentas de servicio, 145
Servidor de la consola de administración, 426-33 acuerdos de nivel de servicio (SLAs), 217
Administrador de servidores, 174, 323, 397-98, 614-18 Message Service Block (SMB), 323
Server Performance Advisor, 426 paquetes de servicio, 213, 480-81
Compruebe el servidor de Acciones, 339 aplicaciones orientadas a servicios, 204
Servicios para Network File System (NFS), 325-26,
aplicaciones basadas en servidor, la planificación de disponibilidad,
204-6 331-32, 337
servermanagercmd.exe, 398 Límites de tiempo Sesión del Grupo de Política de nodo, 277
servidores. Véase también Servidor DHCP, DNS Round Robin también; sesiones, el control, 281-82
Además, la red equilibrio de carga (NLB) grupos, también Establecer el número de reintentos de contraseña
servidor de administración Sincronización de servidores, 175
herramientas de administración, 397-401 configuración, 172, 174, 180
aplicación, 5, 11-12, 436 registro de la instalación, 409
modo autónomo, 474-75 opciones de configuración, de 36 años
disponibilidad, 295-96 SHA (Agentes del Sistema de Salud), 530
de los casos, la consolidación, 316 SHA-256 criptografía, 560
complejas jerarquías, 222 instantáneas, 321-22
base de datos, 613 Las instantáneas de carpetas compartidas, 629-31
centro de datos de clase, 6-7 grupos de sombra, 145
Espacio de nombres DFS, 362-70 acción, 629-31
Servidor DNS, 5 Compartir y de gestión de almacenamiento, 323-30, 378-80
controlador de dominio de recuperación, 661-62 compartir impresoras, 345
Clusters conmutación por error y, 613-14 el uso de acciones, 341
Federación, 160 los archivos compartidos, 20, 376-84
con copia a archivo de DNS, 106 Carpetas compartidas, 498
recuperación completa, 653-55 carpetas compartidas, 362-70, 378-80
niveles funcionales y, 151
máscara de subred, grupo 761
recursos compartidos, 323-30, 334-39, 378-84 requisitos de software

SharePoint Server, 238 IPv6 redes, 90-91
Protocolo de autenticación de contraseña de Shiva (SPAP), 516 System Center Configuration Manager 2007, 241-42
confianzas de acceso directo, 157 Terminal Server, 267
atajos, 213-14, 305, 363 nodo solicitado la dirección de multidifusión, de 72 años
paradas, inesperado, 377, 402-3 Límite de espacio, 341
SHV (validadores del Sistema de Salud), 530 SPAP (protocolo de autenticación de contraseña de Shiva), 516
SID (identificador de seguridad), 153 SPCR (redirección de consola serie de puertos), 402
silos, 306-7 Consola de administración especial (SAC), 403
Simple Network Management Protocol (SNMP), 240 direcciones especiales unicast, 67, 70
Único host, filtrado, 599 SQL Server, 238, 300
instancia única de aplicaciones, 608-9 contabilidad los registros, 521
etiqueta de un solo nombre, 114 copia de seguridad, 643
identificación del sitio, de 81 años Enterprise Edition, 5
Sitio agregador (SLA), 67-68 Network Server (NPS), que representan los datos de los registros, 523
sitio del modo de configuración, 252 System Center Essentials 2007, 237
estado de sitio, 250 Windows Server Update Services (WSUS), 470-71
direcciones locales del sitio, 66, 68-70 SSL (Secure Sockets Layer), 217, 517-18
de sitio a sitio de túneles, 518 Los certificados SSL, 273
SKUs (Stock Keeping unidades), 14 SSO (Web single-sign-on), 160-61
SLA (Agregador de nivel de sitio), 67-68 SSTP (Protocolo de túnel de sockets seguros), 516-18
SLA (acuerdos de nivel de servicio), 217 el despliegue escalonado, actualizaciones, 475-76
barra de notación, de 65 años carpetas provisionales, 375
Teclas lentas, 209 Autoridades independiente certificado, 547-49
SMART (Self-Monitoring, Analysis, y presentación de informes puertos COM estándar, 346
Tecnología), 172-73 Menú de inicio, accesos directos, 214
tarjetas inteligentes, 517, 524-25 Arrancador GPO, 178-79
inteligentes aplicaciones de cliente, 204 claves de inicio, BitLocker, 17-18
SMB (Bloque de Microsoft Message Service), 323 inicio, la auditoría, 497
SMS (System Management Server), 216 de estado de configuración de la dirección, 62-63, 68, 90
fotos, datos, 135 configuración de direcciones sin estado, 62-63, 67, 90
La recuperación de Active Directory, 662 StickyKeys, 209
planificación, 147-48 Stock Keeping Units (SKUs), 14
Las instantáneas de carpetas compartidas, 629-31 Dejar de compartir, 326
máquinas virtuales, 300-2 almacenamiento
SNIS (Servidor para NIS), 176 Multipath I / O (MPIO), 579-80
SNMP (Simple Network Management Protocol), 240 aprovisionamiento, 327-30
Soft Red, 306 informes, 344
software Redes de área de almacenamiento (SAN), 545
anti-spyware, 265, 283, 535 de los casos, el despliegue de las matrices, 585
anti-virus, 265, 283, 372, 535 grupos, 607
asignar / editorial, 222-23 implementación, 574-81, 585
despliegue, 237-38 Servicios de archivo, 322
acceso de los usuarios con discapacidad, 208-12 Hyper-V, 296-97
de distribución, 247 LUN, 329
instalación / distribución, 245 El Explorador de almacenamiento, 580-81
inventario, 235-38, 240-41, 245-46, 250 Storage Manager para redes SAN, 322, 329, 333, 576-79
la gestión, 237 Informes de Gestión de almacenamiento, 344, 642-43
actualizaciones, 245 Almacenamiento de pruebas, 616
uso, control, 245, 249 los servidores con los medios de comunicación, 614
de desarrollo de software, 204, 298 Elemento StringTable, 183
instalación de software (. msi), 223 las zonas de rutas, 106-7
software de interfaz del proveedor, 576 máscara de subred, por grupos, 596-601
762 subred-router anycast dirección
subred-router anycast dirección, de 73 años Haga clic aquí para artículos

Las autoridades subordinadas de certificados (CA), 549 De 32 bits de montaje de VHD, 663
suscripciones, registros de eventos, 412-14, 494-95 802.1X aplicación, 533
Sun Microsystems Solaris versión 9, 331 las políticas de bloqueo de cuentas, 147
apoyo, OEM, 6-7 Active Directory
SupportedOn elemento, 182 restauración autoritaria, 661
interruptores, 240, 518, 532 copia de seguridad, 641
sincronización, 205, 332, 379-80 autoritaria restaura, 657
Resultados de sincronización, 484 Servicios de Active Directory Certificate Server, 549
Sistema de listas de control de acceso (SACL), 148, 496 Active Directory Federation Services, 161
System Center Configuration Manager 2007, De servicios de Active Directory Lightweight Directory
240-42, 486 (AD LDS), 135
aplicación de la resiliencia, 216-19 Filtrado de la plantilla administrativa, 179
informes de cliente, 250-52 ADMX elementos de archivo, 183
despliegue, 235-36, 243-45 grupos de aplicaciones, gestión, 208
requisitos previos, 241-43 Servidor de aplicaciones de funciones de servidor, 203
System Center Data Protection Manager (DPM), auditoría, 497
643-44 La inscripción automática, la configuración, 556
System Center Essentials 2007, 219, 485 De revocación de certificados, 559
implementación de aplicaciones, 237-40 Servicios de certificados de administración basada en funciones,
inventario de activos, 235-36 551
descarga, 240 grupo de validación, 616
la práctica, la instalación, 253-56 aplicaciones en cluster, 619
presentación de informes, 237-38 las credenciales móviles, 553
System Center Operations Manager 2007, 253, 418-20 costumbre de base ADMX archivos, 182
System Center Virtual Machine Manager 2007, 253, Data Protection Manager (DPM), 644
296-97, 299-300 DHCP de aplicación, 534
sistema de información de configuración, 428 controlador de dominio, la recuperación completa del servidor,
Sistema de configuración de la prueba, 616 662
Agentes del Sistema de Salud (SCS), 530 funcional de dominio de nivel, 152
Sistema de Salud Validator (SHV), 250, 530 aislamiento de dominio, 500
registro del sistema, 409 Dsamain.exe, 662
System Management Server (SMS) 2003, 216 Servicios de Manejo de Emergencias (SME), 403
Monitor del sistema, Terminal Services, 281, 426 Sistema de cifrado de archivos, 498
los objetos del sistema, 334 PKI de empresa, vigilancia de la salud, 565
Desempeño del Sistema Conjunto de recopiladores de datos, 432 Failover Clustering, 333
servicios del sistema, 216 copia de seguridad, 619
Sistema estatal, 638-41, 646-47, 656 la instalación, 614
sistemas de gestión de flujo de trabajo, 204 quórum modelos, 612
SYSVOL, 153, 179, 378 servicios, 618
Clusters conmutación por error, crear / añadir a 617 ya existentes,
Servicio de replicación de archivos (FRS), 332
de grano fino, las políticas de contraseñas, 147
Get-EventLog cmdlet, 418
GPO comentarios, 179
IIS6 proceso de trabajo de modo de aislamiento, 207
IPsec Aplicación, 532
L2TP/IPsec, 517
Log Parser, 418
la gestión de imágenes, de 44 años
Microsoft Application Virtualization, 307
la migración de clientes a modo nativo, 252
T Multipath I / O (MPIO), 329
adquisición, el negocio, 156 PAN y de enlace de TS, 535
despliegue dirigido, actualizaciones, 475-76
objetivos, 369-70, 578
Tarea Performance Manager, 427, 433
Tasklist.exe, 433
tareas, registros de eventos, 411-12, 422-23, 494-95
TCP (Transmission Control Protocol), 64, 86, 116, 202
El puerto TCP 3389, 404-5
El puerto TCP 443, 517
TCP / IP (NetBT), 116
Servicios de Terminal Server de la consola de 763
configuración
Network Information Service (NIS) / Servidor Firewall de Windows con seguridad avanzada, 500
Para NIS, 176 Windows Server Update Services (WSUS), 217, 220
NLB grupos Ventanas de Agentes del Sistema de Salud, 530
la adición de hosts, 594-95 teleconferencias, de 41 años
la gestión, 596 Telnet, 86, 407
parámetros, la configuración, 599 plantillas
NPS y clientes RADIUS, 519 certificado, 548-49, 557
NPS como proxy RADIUS, 520 Plantillas de certificado, 553-56
propiedad de los objetos, 335 Los datos conjuntos de recopiladores, 429
Online Certificate Status Protocol (OCSP), 563 Plantilla de certificado EFS, 498
recuperación del sistema operativo, 655 Grupo de objetos de directiva de grupo (GPO), 178-80
Contraseña objetos de configuración (PSO), la creación de, 144 OCSP certificados de Firma de respuesta, 561
la gestión de parches herramienta de comparación, 486 cuotas, 339-41, 343
Rendimiento y fiabilidad guía, 433 archivos temporales, 376
la publicación y la asignación de software, 224 Carpetas de grupo temporal Política nodo, 278
de sólo lectura los controladores de dominio (RODC), 137 Teredo, 76-78
restaurar las aplicaciones, 652 Terminal Server
soluciones de recuperación, 653 configuración, 272-78
la restauración de archivos y carpetas, 652 La política de igualdad por sesión, 436
Restringir a los usuarios a la lista de permisos explícitos Clusters conmutación por error, 614
Complementos de la política, 174 granjas, 266, 279-81, 305
Autenticación selectiva, 159 los requisitos de hardware, 266-67
de aislamiento de servidor, 501 planificación de infraestructuras, 265-67
Manager Server Console, 398 Acceso a Internet, 523
El Explorador de almacenamiento, 580 control, 281-82
Gerente de almacenamiento para redes SAN, 578 requisitos de software, 267
System Center Configuration Manager 2007, 219 Servicios de Terminal Server, 171, 263
la implementación del cliente, 244 de los casos, la planificación, 317
modos de sitio, 247 de los casos, la consolidación de servidores, 316
solución de problemas, 250 licencias de acceso de cliente (CAL TS), 267-72
System Center Operations Manager 2007, 253 redirección del portapapeles, 173
System Center Virtual Machine Manager 2007, el despliegue de la práctica, 283-91
253, 300 RemoteApp, 304-6
Terminal Services (TS) de puerta de enlace, 283, 406, 524 servidor, 172
Terminal Services (TS) Agente de sesiones, 281 mostrar escritorio política, 172
Servicios de Terminal Server y de recursos del sistema de Monitor del sistema, 426
Windows TS granjas, 176
Manager, 282 TS Session Broker, 176
Servicios de Terminal Server licencias de acceso de cliente, 271
Terminal Services (TS) de puerta de enlace, 263, 283, 405-6,
Terminal Services RemoteApp, 172, 306 523-25, 534-35
Servicios de Terminal Server función de servidor, 172 Terminal Services (TS) del servidor de licencias, 267-72
Reanimación de desechos, 663 Terminal Services (TS) Administrador de licencias, 270-71
TS granjas, 176 Terminal Services (TS) de equilibrio de carga, 279
TS Session Broker, 176 Terminal Services (TS) la herramienta Administrador de RemoteApp,
Herramienta de migración de estado de usuario (USMT), 248 171-72
Virtual Disk Service (VDS), 576 Terminal Services (TS) Agente de sesiones, 176, 263,
Virtual Server Migration Toolkit (VSMT), 299 279-81, 305
recuperación de volúmenes, 653 Terminal Services (TS) testigos de sesión Broker de enrutamiento,
VPN de aplicación, 533 279-80
Wake On LAN, 250 Terminal Services (TS) reuniones, 281
wbadmin opciones, 639 Terminal Services (TS) Web Access, 272-73, 278-79,
Inscripción Web, 557 289-91, 305
Basado en la web los datos de configuración, 249 Servicios de Terminal Server de la consola de configuración, 272-76
wevtutil, 417
764 Servicios de terminal de conexión a las políticas de autorización (TS-CAP)
Servicios de Terminal Server políticas de autorización de conexiones

TS-RAP (Servicios de Terminal Server autorización de recursos
(TS-CAP), 524-25 políticas), 525
Servicios de Terminal Server políticas de recursos autorización TS-RemoteApp, 523
(TS-PAR), 525 TTL (Time-To-Live), 600
El bosque, el alcance de descubrimiento, 268-69 parámetros de ajuste, 434
las aplicaciones de terceros, 214, 216-19, 239, 530 proveedores de túneles, de 75 años
terceros computadoras, 501 74-75 túneles, 515-18. Véase también Dentro del sitio automático
Este dominio, el descubrimiento de alcance, 268-69 Protocolo de direccionamiento de túnel (ISATAP)
Este grupo de trabajo, el alcance de descubrimiento, 268-69 Activar el registro extensivo para los controladores de dominio
sello de tiempo, de inicio de sesión, 153 Servidor que ejecuta NIS, 176
tiempo de configuración de la zona, 172 Activar el registro extenso de contraseña
Time-To-Live (TTL), 600 Sincronización de servidores, 176
TLA (Agregador de nivel superior), 67-68 A su vez en las ventanas para NIS de sincronización de contraseñas
Tlntadmn.exe, 407 para
Plataforma de validación TMP perfil de política, 20 Para los usuarios migrados Contraseña Servidores Sync, 176
reanimación de desechos característica de, 148, 657, 663 confianzas bidireccionales, 158
Herramientas, 480-81 Tipo de Servicio (TOS), 64
Agregador de nivel superior (TLA), 67-68
topología, 377, 580
TPM (Trusted Platform Module), 17, 19, 21
rastro comando-d, 84
tracert comando, 80
transacciones, 199 U
la transición de IPv4 a IPv6, 73-78
UDP (User Datagram Protocol), 41, 64
Transmission Control Protocol (TCP), 64, 86,
UDP, de 41 años
116, 202
Equipos no asignados del grupo, 476
transmisiones, 39, 41-42
instalaciones desatendidas, 36, 38
solución de problemas
Instalación desatendida de Windows Referencia, de 38 años
Certificado de la autoridad, 564-65
archivos no autorizados, 344
informes de cliente, 250-52
Undelete eventos, 150
configuración, 81
cierres inesperados, 377
conectividad, 81, 84-86
direcciones unicast, 66-67, 597
los temas centrales de procesamiento, 185-86
transmisiones unicast, de 39 años
Directiva de grupo, 183-86
UNIX
solución de problemas a distancia, 245
autenticación, 520
los problemas de replicación, 143
las confianzas de bosque, 157
System Center Configuration Manager 2007, 250
de impresión, 345
System Center Essentials 2007, 240
Servicios para sistemas de archivos de red (NFS), 331-32
Monitor del sistema, Terminal Services, 281
Windows para sincronizar contraseñas NIS, 176
WDS / DHCP conflictos servidor, de 39 años
Unix Network Integration Service (NIS), 87
Trusted Platform Module (TPM), 17, 19, 21
los programas no cotizan en bolsa, a partir de, 171
Entidades emisoras de certificados raíz, 549
no programado solo copias de seguridad, 635-36, 638
los bosques de confianza, 158
direcciones no específicas, IPv6, el 70
fideicomisos. Véase también Active Directory Federation Services
Actualización del estado detallada, 484
(AD FS)
Paquetes acumulativos de actualizaciones, 480-81
listas de certificados de confianza, 548-49
Update Services (WSUS 3.0 Consola de Administración),
derechos de uso a, 160-61
219, 476, 480-81
externa, 157
Estado de actualización Resumen del informe, 482-83
Nuevo asistente de confianza, 158-59
Actualización de tabla de estado, 484
planificación, 156-59
actualizaciones
TS. Ver Servicios de Terminal Server
aplicación de la resiliencia, 213
TS granjas, 176
de los casos, la implementación de WSUS, 507
TS-CAP (Servicios de Terminal Server de autorización de conexión
cliente, 137-38, 250, 477-80
políticas), 524-25
cumplimiento, 237-38
implementación, 247-48, 475-77
dinámico, 107
instalación / distribución, 245
Basado en Internet de gestión de clientes, 246-47
Copia de seguridad de VSS 765
gestión y cumplimiento, 482-85 virtual de los servidores DNS, el 88

Microsoft Baseline Security Analyzer (MBSA), 485 los derechos de imagen virtual, 6
Estado periódicas, 521 Red de Área Local Virtual (VLAN), 532
remediación de los servidores, 535 software de máquina virtual, 22
estrategias de sincronización, 480-81 máquinas virtuales (VM), 296-302
System Center Configuration Manager 2007, 216-19, Virtual PC, de 22 años
240-42, 486 redes privadas virtuales (VPNs), 205, 283, 509
System Center Essentials 2007, 238-39, 485 protocolos de autenticación, 515-18
mediante Terminal Server, 265 Clusters conmutación por error, 614
Windows Server Update Services (WSUS), balanceo de carga, 614
469-75 filtros de paquetes, 513
mejora Los clientes de RADIUS, 518
de los casos, Windows Server 2003 y 2008, servidores de acceso remoto, 511-14
193-94 Virtual del procesador, 302
los informes de compatibilidad, 15-16 Virtual Server 2005 R2, 295, 663
a partir de Windows Server 2003, 13-16 Virtual Server Migration Toolkit (VSMT), 299-300
la práctica, Windows Server 2003, 391-92 virtualización, 7-8
Server Core, 11-12 aplicación, 294, 306-7
URL de respuesta en línea, 561 de los casos, la consolidación de servidores, 316
informes de uso, 270-71, 341, 344-45 la creación de máquinas virtuales, 296-97
Dispositivos de memoria USB, 17-18, 38 los servidores existentes, 299-300
Uso de Servicios de Terminal controlador de impresión fáciles primero,
Hyper-V, 295-97
176-77 rollback, de 45 años
El uso de Servicios de actualización de la consola, 476 servidores, 139, 294, 298-99
Use Broker de sesión de TS para el equilibrio de carga, 176 Terminal Server, 266
las cuentas de usuario Virtualizados Management Console, 296-97
auditoría, 496 software de protección contra virus, 265, 283, 372, 535
certificado de roaming, 551-53 alertas visuales, 212
autenticación delegada, 454 usuarios con discapacidad visual, 209-10
delegación de privilegios administrativos, 449 VLAN (Red de área local virtual), 532
políticas de contraseñas, 135, 145 VM (máquinas virtuales), 296-302
permisos, 320 la entrada de voz, 212
ejercicio de la práctica, de 46 años salida de voz, 209-10
las solicitudes de autenticación de usuarios, 521 volumen de instantáneas, 296-97
User Datagram Protocol (UDP), 41, 64 Volume Shadow Copy Service (VSS), 147-48,
Definido por el usuario del conjunto de datos Collector, 432 635-36, 640
interfaz de usuario (UI) de flujo de la página, 204 volúmenes
los objetos de usuario, 146 permisos de acceso, 336, 338-39
Los objetos de usuario, 155 activación, de 44 años
derechos de los usuarios, 334-39 configuración, 18-19
Herramienta de migración de estado de usuario (USMT), 248 indexación, 381-84
atributo userPassword, 153 la práctica, la copia de seguridad con WBADMIN.EXE, 646-47
los usuarios, 208-12, 334 cuotas, 339-41
Contenedores Usuarios y equipos, 153 recuperación, 652-53
USMT (estado de los usuarios la herramienta de migración), 248 Las instantáneas de carpetas compartidas, 629-31
Compartir y de gestión de almacenamiento, 323-30
cuotas de uso, 341
VPN. Ver redes privadas virtuales (VPNs)
VPN de cumplimiento NAP, 533
VSMT (Virtual Server Migration Toolkit),
299-300
VSS (Volume Shadow Copy Service), 147-49,
635-36, 640
Copia de seguridad de VSS, 635-36
V
validación, 20, 614-16, 619-21
VDS. Ver Virtual Disk Service (VDS)
Tarjeta gráfica VGA, 3
663 VHD,
videocasting, de 41 años
Virtual Disk Service (VDS), 327-29, 575-76
766 Copia de seguridad
completa de VSS
Copia de seguridad completa de VSS, Firewall de Windows con seguridad avanzada, 84, 404-6,
635-36 416, 499-501
evaluación de la vulnerabilidad, 217 Windows Installer, 213-16, 235-36
Windows Installer Application Program Interface (API),
215
W Cargador de Windows, 17
WAIK (Windows Automated Installation Kit), 36-38 Windows Media Player, 173
Wake On LAN, 218, 250 Windows NT 4.0, 154, 157
fondos de escritorio, de escritorio remoto, 174 Windows PE, 13
WAN (red de área amplia de conexiones), 136, 157, Windows PowerShell, 299, 400, 417-18, 447-48
221-22, 330 Entorno de preinstalación de Windows (Windows PE),
WAP (puntos de acceso inalámbrico), 240, 518, 532 3, 13
WS, 202 Windows Presentation Foundation (WPF), 201, 204
wbadmin herramienta línea de comandos, 637-39, 646-47, 656 Proceso de activación de Windows Service, 202, 278-79
WBADMIN.EXE, 632-33, 637-39 Windows Script Host, 10
WCF (Windows Communication Foundation), Windows Search Service, 332, 381-84
200-2, 204 Windows Server 2000, 151-52, 154-56, 272, 365-67
WDS. Ver Windows Deployment Services (WDS) Windows Server 2003
Wdsutil.exe utilidad de línea de comando, 39 Los inicios de sesión de las sucursales, 136
Aplicaciones Web, 160-61, 205-7, 614 de los casos, la actualización, 193-94
Navegadores web, 201, 205 las credenciales móviles, 552-53
Web Distributed Authoring y control de versiones Datacenter Edition, de actualización, 13-14
(WebDAV), 242 funcional de dominio de los niveles, 151-52
Inscripción Web, 556-57 cifrado, 273
Web Server, 201, 278-79, 456 Enterprise Edition, de actualización, 13-14
Los servidores Web, 7-8 Servicios de archivo, 332-33
Servicios web, 199-201 los niveles funcionales de bosque, 154-56
Web Services Federation (WS-Federation) Itanium Enterprise Edition, de actualización, 13-14
especificaciones, 160-61 modos de espacio de nombres, 365-67
Web single-sign-on (SSO), 160-61 la práctica, la actualización, 391-92
Sitios web, 614 Kit de recursos de 339
Basado en la web los datos de configuración, 249 Teredo direcciones, de 77 años
La política de camino ponderado, 580 Terminal Server, 272
wevtutil, 417-18 Terminal Server Load Balancing, 279
WF (Windows Workflow Foundation), 201, 204 Terminal Services Web Access, 278-79
conexiones de red de área amplia (WAN), 136, 157, la actualización a Windows Server 2008, 13-16
221-22, 330 Web Edition, de actualización, 13-14
Windows 2008 Servidor DNS, 109, 113 Windows PowerShell, 400
Kit de instalación automatizada (AIK de Windows), Windows Server Update Services (WSUS), 469-70
36-38 Windows Server 2003 Servicios de archivo, 332-33
Windows BitLocker Drive Encryption y (BitLocker). Windows Server 2003 Resource Kit, 339
Ver BitLocker Windows Server 2008
Windows Communication Foundation (WCF), Active Directory (AD DS), 134-35
200-2, 204 Sitios y servicios en el complemento, 142-43
De implementación de Windows Server, 7 AD DS Asistente para la instalación, 139-41
Windows Deployment Services (WDS), 3, 7-8, la administración de DNS, 109-11
11-12, 39-41 herramientas de administración, 397-401
utilidad de captura, de 43 años los archivos de respuesta, 36-38
Asistente de configuración, de 39 años imágenes de arranque, 43
ejercicios de práctica, instalar / configurar, 46-51 de los casos, la actualización de Windows Server 2003,
la activación del producto, 44 193-94
PXE solicita, de 41 años Referencia de comandos de línea, 9
los conflictos de servidor, de 39 años la configuración de direcciones IPv6, de 82 años
Windows Deployment Services imágenes, 43
Consola de administración de WSUS 3.0 767
las credenciales móviles, 552-53 la práctica, la implementación, 486-91

Datacenter Edition, 6-7, 13-14, 266, 301, 365-67 informes, 482-85
delegación, 395 clientes móviles, 479-80
DNS de cumplimiento y de apoyo, 105-8 Inscripción Web, 557
funcional de dominio de los niveles, 151-52 Virtualización de Windows Server, 263. Véase también Hyper-V
aislamiento de dominio, 500 Ventanas inteligentes aplicaciones de cliente, 204
Centro de facilidad de acceso, 208-12 Windows System Image Manager (Windows SIM),
Autoridad de Certificación de la empresa, 498 36-38
Enterprise Edition, 2, 5-6, 13-14, 22-29, 266, 301, Windows System Resource Manager (WSRM), 266-67,
365-67 281-82, 435-38, 441-44
Servicios de archivos, planificación, 321-22 Windows para sincronizar contraseñas NIS, 176
los niveles funcionales de bosque, 154-56 Windows Vista
los requisitos de hardware, 4 ADMX archivos, 180
Registro de la Autoridad de Salud, 532 imágenes de arranque, 43
imagen, de 36 años almacenamiento en caché, 380
Ipsec6 herramienta, 85 la configuración de direcciones IPv6, de 82 años
Las direcciones IPv6, 117 las credenciales móviles, 552-53
ISATAP direcciones, de 79 años características de escritorio, 173
Sistemas basados en Itanium, 7-8, 13-15 aislamiento de dominio, 500
licencias, 9 cifrado, 273
gestión, 395 IPv6, de 59 años
vigilancia, 395 Red de protección de acceso (NAP), 532-34
modos de espacio de nombres, 365-67 peer-caching, 472-73
Red de protección de acceso (NAP), 532-34 copia de seguridad remota, 641-42
Online Certificate Status Protocol (OCSP), 559-63 despliegue remoto, 39-41
estrategias de gestión de parches, 469-86 Los validadores del sistema de salud, 530
la práctica, la administración remota, 420-23 Teredo direcciones, 77-78
la práctica, la restauración, 663-68 Servicios de Terminal conexiones, 272-73
Standard Edition, 4-5, 13-14 Terminal Services Web Access, 278-79
Storage Manager para redes SAN, 577-79 Windows Web Server 2008, 7, 13-14, 397-98
Teredo direcciones, 77-78 Windows Workflow Foundation (WF), 201, 204
Terminal Server, 272 Windows XP
Terminal Server Load Balancing, 279 las credenciales móviles, 552-53
Terminal Services Web Access, 278-79 cifrado, 273
actualización, 1-4 Red de protección de acceso (NAP), 532-34
VPN protocolos, 516-18 Los validadores del sistema de salud, 530
VPN remoto de servidores de acceso, 511 Teredo direcciones, de 77 años
Windows Deployment Services (WDS), 39-41 Servicios de Terminal conexiones, 272-73
Windows Installer, 213-16 Terminal Services Web Access, 278-79
versiones de 64, 295, 557 WINS, 116
Windows Server Backup, 322, 333, 631-37, 640-42, puntos de acceso inalámbrico (WAP), 240, 518, 532
644-46, 650-57 disco testigo, 611
Copia de seguridad de Windows Server Console, 636-37 compartir los testigos, 611
Windows Server Core, 7, 11-12, 397-98, 401, 638 WMI, 10
configuración, 7-12 flujo de trabajo de las aplicaciones habilitadas, 204
los requisitos de hardware, 8-12 flujos de trabajo, el administrador, 244-45
la instalación, 8-12 grupos de trabajo, el descubrimiento de los ámbitos, 268-69
actualizaciones, 469 WPF (Windows Presentation Foundation), 201, 204
Windows Server Update Services (WSUS), 205, 217, Los controladores de dominio de escritura, 135-37
219-22 WSRM (Windows Manager de recursos del sistema), 435-38,
de los casos, la implementación de WSUS, 507 441-44
configuración del cliente, 477-79 WSUS. Ver Windows Server Update Services (WSUS)
la implementación de actualizaciones, 469-74 Consola de administración de WSUS 3.0, 219
768 Administradores de WSUS grupo
Administradores de WSUS grupo, 470 Enterprise Edition, 6

Reporteros WSUS, 470 Windows Web Server 2008, 7
WSUS Reporteros grupo de seguridad, 221 XML ADMX archivos, 180
XML archivos de respuesta, 36
Declaración XML, 182-83
XOR (OR exclusivo), de 77 años
X
x64 Edition, el software, 4-5
Datacenter Edition, 6, 266
Enterprise Edition, 6, 266
Sistemas basados en Itanium, 7-8
Z
Windows Web Server 2008, 7 datos de la zona, 114-15
Edición x86, software, 4-5 zona de ID, de 84 años
Datacenter Edition, 6 replicación de zona, 108
tipo de zona, la planificación, 119-20
Requisitos del sistema
Le recomendamos que utilice una estación de trabajo de prueba, servidor de prueba, puesta en
escena o el servidor para completar
los ejercicios en cada laboratorio. Los siguientes son los requisitos del sistema mínimos
ordenador debe cumplir para completar los ejercicios de práctica en este libro. Para más
información, consulte la introducción.
Requisitos de hardware
Puede completar casi todos los ejercicios de práctica en este libro con las máquinas virtuales
en lugar de hardware del servidor real. El hardware es requerida para completar la
ejercicios de laboratorio:
■ Computadora personal con un mínimo de 1 GHz (x86) o de 1,4 GHz (x64)

(2 GHz o más rápido recomendado)
■ 512 MB de RAM o más (se recomiendan 2 GB, 4 GB te permite alojar todos los
máquinas virtuales especificado para todos los ejercicios prácticos del libro.)
■ 15 GB de espacio libre en disco duro (40 GB recomendado; 60 GB te permite alojar todos
los
las máquinas virtuales especificado para todos los ejercicios prácticos del libro.)
■ CD-ROM o DVD-ROM
■ Super VGA (1024 x 768) o adaptador de vídeo de resolución y seguimiento de
■ Teclado y ratón Microsoft o dispositivo señalador compatible
Requisitos de software
El siguiente software es necesario para completar los ejercicios:
■ Windows Server 2008 Enterprise Edition. Una edición de evaluación está disponible en
el Centro de Evaluación de TechNet http://technet.microsoft.com/en-us/evalcenter/
cc137123.aspx.
■ Para realizar los ejercicios opcionales en el Capítulo 4, "servidores de aplicaciones y

Servicios ", que necesita un servidor adicional de Windows Server 2003 miembros. (Este
puede ser una máquina virtual.) Puede descargar una versión de evaluación de Windows
Server 2003 en la siguiente dirección: http://technet.microsoft.com/en-us/
windowsserver/bb430831.aspx.
■ Para realizar los ejercicios opcionales en el capítulo 11, "Clustering y alta disponibilidad",
que necesita un servidor adicional de Windows 2008 Enterprise servidor miembro. (Esto
puede
ser una máquina virtual.)
Para minimizar el tiempo y los gastos de la configuración de equipos físicos, se recomienda
que utilice las máquinas virtuales. Para ejecutar los ordenadores como máquinas virtuales
dentro de Windows,
puede utilizar uno de los siguientes
■ Microsoft Virtual PC 2007. Puede descargar Virtual PC 2007 de forma gratuita en
http://www.microsoft.com/windows/downloads/virtualpc/default.mspx.
■ Virtual Server 2005 R2 SP1. Puede descargar una versión de evaluación gratuita de
http://www.microsoft.com/technet/virtualserver/evaluation/default.mspx.

70 646 Traducido

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

70 646 Traducido

Cargado por

Copyright:

Formatos disponibles

Este libro está dedicado a los gatos de mi hija, Bonnie y Clyde, cuya contribución

Por la grande y noble Thomas Joanie

1 Instalación, actualización e implementación de Windows Server 2008. . . . . . . . . . 1

¿Qué piensa usted de este libro? Queremos saber de usted!

Windows Deployment Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

El examen de nuevas características y mejoras de DNS. . . . . . . . . . . . . . . . . . . . . . 114

3 Active Directory y Group Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Revisión del capítulo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Prácticas sugeridas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Escenario 2: Gestión de clientes y despliegue del software. . . . . . . . . . . . . 260

5 Servicios de Terminal Server y de aplicaciones y virtualización de servidores. . . . . . . . 263

Aplicaciones disposición. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Configuración de una estructura de DFSR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Lección 1: Estrategias de Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459

Caso Escenario 3: La delegación de los Derechos de los Usuarios de confianza en Wingtip

Plan de administración delegada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

9 Acceso remoto y Network Access Protection. . . . . . . . . . . . . . . . . . . 509

10 Servicios de Certificate Server y Storage Area Networks. . . . . . . . . . . . . . . . . . . 545

Configuración de inscripción automática. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Resumen de la lección. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571

Prácticas sugeridas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

Configuración de red de Windows Load Balancing. . . . . . . . . . . . . . . . . . . . . . . . 594

12 Backup y recuperación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

Lección 2: Recuperación de desastres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650

¿Qué piensa usted de este libro? Queremos saber de usted!

■ Uno de Windows Server 2008 Enterprise servidor configurado como controlador de

Tabla 1 Windows Server 2008 Requisitos mínimos de hardware

Los componentes de hardware Requisitos mínimos Recomendado

Procesador 1 GHz (x86), 1,4 GHz (x64) 2 GHz o más rápido

La preparación del equipo con Windows Vista

Compruebe los requisitos de funcionamiento la versión del

El nombre del equipo

1. En Panel de control, haga clic en configurar el uso compartido de archivos. En el Centro de

Cómo instalar la práctica de pruebas

1. Inserte el CD en la unidad de CD y acepte el contrato de licencia.

2. Haga clic en Pruebas de la práctica y siga las instrucciones en la pantalla.

Cómo utilizar la práctica de pruebas

Opciones de revisión de la lección

■ Certificación deSe parece mucho a la experiencia de tomar una certificación

En todos los modos de la interfaz de usuario cuando se está tomando la prueba es

hacer clic en Resultados de pruebas para la calificación de su examen de práctica completo,

Cómo desinstalar la práctica de pruebas

Microsoft Certified Professional Program

No se requiere configuración adicional para este capítulo.

La gran mayoría de las organizaciones que implementar Windows Server 2008 no se

Lección 1: Planificación de Windows Server 2008 la instalación y

Después de esta lección, usted será capaz de:

Selección de la edición correcta de Windows Server 2008

Tabla 1-1 Windows Server 2008 Requisitos mínimos de hardware

Los componentes de hardware Requisitos mínimos Recomendado

Procesador 1 GHz (x86), 1,4 GHz (x64) 2 GHz o más rápido

Al planear la implementación de servidores, es probable que se seleccione la edición estándar

Windows Server 2008 Enterprise Edition

■ El de 32 bits (x86) versión es compatible con un máximo de 64 GB de memoria RAM y

Windows Web Server 2008

Windows Server 2008 Server Core

Figura 1-1 Servidor central de escritorio

■ Menores requerimientosDebido a que tanto se ha despojado de la

Figura 1-3 Regedit y el Bloc de notas están disponibles en Server Core.

Figura 1-4 Viendo las funciones y características disponibles en Server Core

NOTA Siempre verifique

2. Un mejor rendimiento y superficie de ataque reducida.