s03 Presentacion

ADMINISTRACIÓN DE WINDOWS
SESIÓN 03
REDES CON
WINDOWS
SERVER 2019
• Grupos de trabajo (workgroup)
• Dominio
• Controladores de dominio con Active
Directory
ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

INTRODUCCIÓN
DE LA SESIÓN

+ INTRODUCCIÓN
En esta sesión veremos los tipos de esquemas de red con Windows

Server 2019 y diferenciaremos un grupo de trabajo de un dominio.
Aprenderemos los conceptos integrales de controladores de dominio

con Active Directory, su estructura, y la implementación de los
servicios de Active Directory.
Aprenderemos sobre la estructura de Active Directory, los

componentes físicos y lógicos, los elementos de un dominio, sus
niveles funcionales y las principales novedades en Windows Server
2019.

GRUPOS DE TRABAJO
(WORKGROUP)

+ GRUPOS DE TRABAJO (WORKGROUP)
• Los modelos arquitectónicos de redes en

Microsoft son manejados por dos conceptos
principales: “Grupo de Trabajo” y
“Dominios”.
• Ambos modelos tienen sus propias

particularidades, ventajas y desventajas. La
principal diferencia se encuentra en la forma
de ser administrados.
• En este capítulo veremos la red de tipo

“Grupo de Trabajo”

1. CARACTERÍSTICAS DE UNA RED BASADA EN “GRUPO DE TRABAJO” (WORKGROUP)

• Es un grupo “lógico” de computadoras en red que comparten recursos.
• Tiene un límite de 20 equipos.
• Todos los equipos que la conforman se encuentran en el mismo nivel, ninguno tiene el
control sobre el otro.
• También se le denomina red peer-to-peer debido a que los equipos comparten recursos
como iguales.

1. CARACTERÍSTICAS DE UNA RED BASADA EN

“GRUPO DE TRABAJO” (WORKGROUP)
• Cada computadora tiene una base de
datos de seguridad local “SAM” (Security
Account Manager) que contiene la lista
de cuentas de usuario y los recursos.
• Un usuario debe tener una cuenta en
cada computadora a la que quiera
acceder. Cualquier cambio en las cuentas
de usuario debe hacerse en cada una de
las máquinas del grupo de trabajo.

2. VENTAJAS DE UN “GRUPO DE TRABAJO” (WORKGROUP)

• Es una arquitectura de red suficiente para redes con pocas computadoras.
• Es fácil y rápido de configurar.
• Es más económico porque evitamos la compra de un servidor y la licencia de Windows
Server.
• Es más económico porque podemos trabajar con ediciones de bajo costo o que
generalmente vienen con el equipo como Windows Home.
• Hay un ahorro considerable en energía eléctrica al no tener uno o más servidores siempre
encendidos.
• Ahorramos el tener que pagar soporte para la gestión y administración de la
infraestructura puesto que es una red sencilla.

DOMINIO

+ DOMINIO
• Los modelos arquitectónicos de redes en

Microsoft son manejados por dos conceptos
principales: “Grupo de Trabajo” y
“Dominios”.
• Ambos modelos tienen sus propias

particularidades, ventajas y desventajas. La
principal diferencia se encuentra en la forma
de ser administrados.
• En este capítulo veremos la red de tipo

“Dominio”.

+ DOMINIO
1. CARACTERÍSTICAS DE UNA RED BASADA EN “DOMINIO”

• Un red de dominio es una agrupación de ordenadores bajo una administración común, que
comparte un directorio que contiene todas las cuentas de usuario, equipos, grupos etc.
• El directorio consiste en una base de datos central almacenado en un controlador de
dominio.
• Un dominio puede estar formado por uno o más servidores que son denominados
“controladores de dominio”.

+ DOMINIO
1. CARACTERÍSTICAS DE UNA RED BASADA EN

“DOMINIO”
• Un controlador de dominio es un
servidor que maneja todos los aspectos y
cuestiones de seguridad de los usuarios
centralizando la administración.
• Un dominio se refiere a un ámbito de
administración y no a una ubicación
específica.

+ DOMINIO
2. VENTAJAS DE UN “DOMINIO”
• Administración: la gestión es centralizada, es más eficiente y rápido a la hora de aplicar
cambios y/o modificaciones, los cuales se pueden aplicar a todos los ordenadores de la
empresa de forma automática (no yendo uno a uno).
• Autenticación: un único proceso de inicio de sesión de los usuarios para el acceso a los
recursos de red.
• Seguridad: permite controlar el comportamiento de los equipos, asignar permisos y aplicar
directivas de grupo (GPO) a los usuarios de forma general o personalizada desde el servidor.

+ DOMINIO
2. VENTAJAS DE UN “DOMINIO”
• Escalabilidad: Podemos tener miles de equipos trabajando bajo el gobierno de un
dominio. Se pueden crear y gestionar grandes redes.
• Replicación: Implementa características para la replicación de todos los datos entre
servidores del directorio activo.

+ DOMINIO
3. DIFERENCIA ENTRE UNA RED BASADA EN “DOMINIO” Y UN “GRUPO DE TRABAJO”
empresa1.com
empresa1
UNIRSE A UN DOMINIO UNIRSE A UN GRUPO DE TRABAJO
• Se requiere dominio existente. • Solo se requiere un nombre de grupo de trabajo

• Se requiere privilegios para agregar equipos al dominio. existente o uno nuevo.
• Número muy grande de equipos integrados al dominio. • Número de 20 equipos como máximo en grupo de
trabajo.

+ DOMINIO
3. DIFERENCIA ENTRE UNA RED BASADA EN “DOMINIO” Y UN “GRUPO DE TRABAJO”
Dominio Grupo de Trabajo

Las cuentas de usuario son administradas por el
Cada equipo posee sus propias cuentas de usuario.
Servidor Controlador de Dominio.
Puede haber miles de equipos conectados
Abarca redes de entre 2 a 20 equipos.
trabajando en dominio.
Pueden comunicarse por redes físicas o por medio Todos los equipos deben compartir la misma red física
de internet. local para comunicarse.
Uno o más equipos actúan en un nivel superior;
Todos los equipos tienen el mismo nivel.
ejemplo, como servidor GC.
En un dominio, la gestión y administración de los Cada usuario gestiona sus recursos locales de manera
recursos están centralizados. independiente.
La aplicación de directivas de seguridad se pueden La aplicación de directivas de seguridad se realiza en
aplicar de manera masiva, grupal o individual. cada equipo.

CONTROLADORES DE DOMINIO
CON ACTIVE DIRECTORY

+ CONTROLADORES DE DOMINIO CON ACTIVE DIRECTORY
1. ACTIVE DIRECTORY
• Ayuda a la centralización lógica de la infraestructura computacional de manera segura,
escalable y administrable, facilitando la administración de objetos (usuarios, equipos y otros).
• Proporciona una base de datos distribuida que almacena y administra la información acerca
de los recursos de la red y datos específicos de las aplicaciones con directorio habilitado.

1. ACTIVE DIRECTORY
• Brinda una estructura de contención jerárquica y a su vez ofrece compatibilidad con
aplicaciones de directorio habilitado como Microsoft Exchange Server.

1.1. Estructura de Active Directory

• El directorio de Active Directory puede
incluir uno o varios dominios.
• Cada uno de los dominios puede
contener uno o más controladores de
dominio.
• En un árbol de dominios se pueden
combinar múltiples dominios.
• En un bosque se pueden combinar
múltiples árboles. Controlador de Dominio

1.2. El Catálogo Global

• El catálogo global (GC) es un partición
que almacena información sobre cada
objeto en el bosque. Cuando un usuario
del Dominio B busca un objeto del
Dominio A, GC proporciona los
resultados de la consulta.
• Para optimizar la eficiencia del GC, este
no contiene cada atributo de cada
objeto en el bosque. En vez de ello,
contiene un subconjunto de atributos
que son útiles para la búsqueda a través
de los Dominios. Esto es porque al GC
también se le llama el conjunto de
atributos parciales (PAS).

1.2. El Catálogo Global

• Como soporte de búsqueda,
se puede pensar de un GC
como un tipo de índice para
el almacén de datos AD DS.
• Cuando se instala AD DS se
crea el catálogo global (GC)
de manera automática. Las
consultas realizadas al
directorio del GC son a
través del puerto 3268.

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

• Los servicios de dominio de Active Directory (AD DS) es un servicio de directorio
propietario de Microsoft. Proporciona la funcionalidad de una solución de identidad y
acceso (IDA) para redes de empresas ejecutándose bajo Windows.
• Los servicios proporcionados por un directorio son:

a) Identificación unívoca de los objetos de red.
b) Acceso fácil y universal a todos los recursos de la red mediante un password.
c) Administración centralizada de toda la red desde cualquier punto.

2.1. Configuraciones de preinstalación de los servicios de Active

Directory
• Antes de realizar la instalación de los servicios de dominio de Active

Directory debemos asegurarnos de que el servidor esté preparado
para dar este paso. Para ello debemos corroborar que:
✔ Las actualizaciones del servidor se encuentren instaladas y

actualizadas.
✔ El servidor tenga un nombre adecuado.
✔ La configuración IP del servidor sea la adecuada. Es de carácter
obligatorio que el servidor cuente con una IP fija.

2.2. Instalación de los

servicios de Active Directory
a) La instalación la podemos
realizar desde el
administrador de servidor.
Tal como muestra la
imagen, en la sección de
Roles, seleccionamos:
“Servicios de dominio de
Active Directory”.


b) El asistente nos indica en

qué momento ha
finalizado la instalación de
los servicios de AD DS.
Véase como ejemplo la
siguiente imagen:


c) Ahora realizamos la
promoción del servidor a
controlador de dominio de
Active Directory. El aviso nos
lo indicará el mismo Server
manager en la parte
superior, como se muestra:


d) Damos por finalizada la

instalación de los servicios
de Active Directory. Véase
la siguiente imagen:

3. COMPONENTES LÓGICOS Y FÍSICOS
3.1. Componentes lógicos

• Los componentes lógicos de
Active Directory son:
✔ El dominio.
✔ El árbol.
✔ El bosque.
✔ La unidad organizativa.

✔ Dominio:
▪ Unidad básica de administración
que agrupa lógicamente a los
recursos de una unidad de
replicación.
▪ Conjunto de computadoras bajo
una administración común.

3.1. Componentes lógicos Árbol de dominios

Dominio1.com
✔ Árbol:
▪ Consiste en una
estructura jerárquica de Pe.Dominio1.com Co.Dominio1.com
dominios que se puede
crear añadiendo uno o
más dominios Lim.Pe.Dominio1.com Cal.Co.Dominio1.com
secundarios a un
dominio existente.


✔ Bosque:
▪ Consta de varios árboles de dominio.
▪ Los árboles de dominio de un bosque no constituyen un espacio contiguo de nombres.
Relación de confianza Relación de confianza
empresa1.com empresa2.com empresa3.pe
pe.empresa1.com pe.empresa2.com pe.empresa3.pe
rd.pe.empresa1.com rd.pe.empresa2.com rd.pe.empresa3.com


Domini
o
UO1
✔ Unidad Organizativa:
▪ A nivel administrativo podemos decir que
permite agrupar los objetos.
▪ Es una subunidad de administración y su
representación esquemática es mediante una
carpeta y sigue un árbol jerárquico. UO2

3.2. Componentes físicos

• Los componentes físicos de Active Directory son:
✔ Sitios.
✔ Controlador de dominio.


✔ Sitios
▪ Conjunto de redes IP adecuadamente interconectadas. Los clientes son asignados a un
sitio por su dirección IP.
▪ Permiten controlar el tráfico de la replicación y una autenticación rápida.
WAN
Intervalo de replicación: Cada 8

horas.
Horario de replicación: 12:00 pm a
6:00 am.


Windows Server
2019
✔ Controladores de Dominio DC
▪ Almacenan la base de datos NTDS.DIT de

Active Directory.
▪ Todo equipo con Windows Server 2016 puede
ser promovido a controlador de dominio. DC DC
▪ Un dominio puede contener varios
controladores de dominio.
Windows Server Windows Server
2016 2012 R2

4. ELEMENTOS DE UN DOMINIO
• Los elementos de un dominio son:
✔ Controladores de dominio: “DC” (Domain Controllers).

✔ Servidores Miembros: “MS” (Member Servers).
DC
✔ Clientes: “C” (Client).
MS

5. NIVELES FUNCIONALES DEL BOSQUE Y DOMINIO
5.1. Niveles Funcionales

• Los niveles funcionales son como parámetros que permiten nuevas
funcionalidades ofrecidas por cada versión de Windows Server.
• Los niveles funcionales determinan las versiones de Windows que puede utilizar
como controladores de dominio y la disponibilidad de las características de Active
Directory.
• Los niveles funcionales no afectan a los sistemas operativos que puedan
funcionar en el dominio o bosque si estos son servidores miembros que están
unidos al dominio o al bosque.


• Los niveles funcionales de Active
Directory son:
✔ Nivel funcional del Dominio.

✔ Nivel Funcional del Bosque.


❑ Nivel funcional del Dominio
▪ El nivel funcional del dominio afecta a las características disponibles de
Active Directory dentro del dominio y determina las versiones de Windows
Server que son soportadas por los controladores de dominio dentro de un
dominio.


• Los niveles funcionales del dominio en Windows Server 2019 no han
cambiado en esta nueva versión, tenemos a:
✔ Windows Server 2008.

✔ Windows Server 2008 R2.
✔ Windows Server 2012 R2.


• Para elevar el nivel
funcional del
Dominio
realizamos la
siguiente
operación:


❑ Nivel funcional del Bosque
• Tal como los niveles funcionales del dominio le permiten cierta
funcionalidad en un dominio amplio y determina las versiones de Windows
Server que son soportadas por los controladores de dominio en el dominio,
los niveles funcionales del bosque le permiten la funcionalidad en un
bosque amplio y determina los sistemas operativos soportados por los
controladores de dominio en el bosque completo.


• Los niveles funcionales del bosque en Windows Server 2019 son:
✔Windows Server 2008.

✔Windows Server 2008 R2.
✔Windows Server 2012 R2.


• Para elevar el nivel funcional del Bosque realizamos la siguiente operación:

6. NOVEDADES EN LOS SERVICIOS DE FEDERACIÓN DE ACTIVE DIRECTORY PARA

WINDOWS SERVER 2019
6.1. Inicios de sesión protegidos
• Proveedores de autenticación externos como principal.
• Autenticación de contraseña como autenticación adicional.
• Módulo de evaluación de riesgos enchufable.
• Mejoras de ESL.
6.2. Mejoras de seguridad adicionales

• Powershell remoto (PSH) mediante el inicio de sesión con tarjeta inteligente.
• Personalización de encabezados HTTP.


WINDOWS SERVER 2019
6.3. Capacidades de autenticación / política
• Especificar el método de autenticación para autenticación adicional por RP.
• Restrinja la autenticación de dispositivos basada en TLS solo a las
aplicaciones que lo requieran.
• Compatibilidad con la actualización de MFA.
6.4. Mejoras en el inicio de sesión único

• UX paginada con tema centrado.
• Corrección de errores: Estado de SSO persistente para dispositivos Win10 al
realizar autenticación de PRT.


WINDOWS SERVER 2019
6.5. Soporte para la creación de aplicaciones de línea de negocio modernas
• Flujo / perfil de dispositivo de OAuth.
• Eliminación del parámetro “Recurso”.
• Encabezados CORS en respuestas de AD FS.
• Compatibilidad con PKCE.
• Corrección de errores: envíe x5t y reclamo para niños.
6.6. Mejoras de Compatibilidad:
• Enviar detalles de error a los administradores de AD FS.


WINDOWS SERVER 2019
6.7. Actualizaciones de implementación
• Nivel de comportamiento de la granja 2019.
6.8. Actualizaciones SAML

• Corrección de errores: corregir errores en la federación agregada.


WINDOWS SERVER 2019
6.9. Especificación de recursos de estilo de Azure AD en el parámetro de alcance
• Anteriormente, AD FS requería que el recurso y el alcance deseados estuvieran
en un parámetro separado en cualquier solicitud de autenticación. Con AD FS
en Server 2019, ahora se puede pasar el valor del recurso incrustado en el
parámetro de alcance. Esto también es coherente con la forma en que se
puede realizar la autenticación contra Azure AD.


WINDOWS SERVER 2019
6.10. Actualizaciones de implementación
• Los clientes públicos de OAuth que utilizan la concesión del código de autorización son
susceptibles al ataque de interceptación del código de autorización. El ataque está bien
descrito en RFC 7636. Para mitigar este ataque, AD FS en Server 2019 admite Proof Key for
Code Exchange (PKCE) para el flujo de concesión de código de autorización OAuth.
docs.microsoft.com
Más detalles:
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/overview/whats-new-active-directo
ry-federation-services-windows-server#whats-new-in-active-directory-federation-services-for-window
s-server-2019

CONCLUSIONES
MÁS REFERENCIAS

+ CONCLUSIONES
Los modelos arquitectónicos en redes Microsoft están basados en

dos conceptos: Grupo de Trabajo y Dominios.
Un dominio es un conjunto de computadoras bajo una

administración común y que comparten un directorio centralizado
que contiene todas las cuentas de usuario y la información de
seguridad del dominio.
Los servicios de dominio de Active Directory proporcionan una

base de datos que almacena y administra la infraestructura lógica,
centralizándola de manera segura y escalable.
Los componentes lógicos de Active Directory son: el dominio, el

árbol, el bosque y la unidad organizativa.
Las novedades de Active Directory con Windows Server 2019 las

encontramos en los servicios de federación, siendo
principalmente cinco.

BIBLIOGRAFÍA
MÁS REFERENCIAS

+ BIBLIOGRAFÍA
Krause, Jordan. (2021). Mastering Windows Server 2019.

(Third Edition). Editorial PACKT.
Henderson, Mark & Krause, Jordan (2020). Windows Server 2019

Cookbook (Second Edition). Editorial PACKT.
Eckert, Jason W. (2020). Hands-On Microsoft Windows Server 2019.

(Third Edition). Editorial CENGAGE.
Dauti, Bekinm. (2019). Windows Server 2019 Administration

Fundamentals. (Second Edition). Editorial PACKT.
Krause, Jordan. (2019). Mastering Windows Server 2019.

(Second Edition). Editorial PACKT.
Schied, Jorg. (2019). Windows Server 2019: Praxiseinstieg.

(First Edition). Editorial MITP Verlags GmbH.


s03 Presentacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

s03 Presentacion

Cargado por

Copyright:

Formatos disponibles

ADMINISTRACIÓN DE WINDOWS

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

En esta sesión veremos los tipos de esquemas de red con Windows

Aprenderemos los conceptos integrales de controladores de dominio

Aprenderemos sobre la estructura de Active Directory, los

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

• Los modelos arquitectónicos de redes en

• Ambos modelos tienen sus propias

• En este capítulo veremos la red de tipo

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1. CARACTERÍSTICAS DE UNA RED BASADA EN “GRUPO DE TRABAJO” (WORKGROUP)

• Tiene un límite de 20 equipos.

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1. CARACTERÍSTICAS DE UNA RED BASADA EN

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. VENTAJAS DE UN “GRUPO DE TRABAJO” (WORKGROUP)

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

• Los modelos arquitectónicos de redes en

• Ambos modelos tienen sus propias

• En este capítulo veremos la red de tipo

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1. CARACTERÍSTICAS DE UNA RED BASADA EN “DOMINIO”

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1. CARACTERÍSTICAS DE UNA RED BASADA EN

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

3. DIFERENCIA ENTRE UNA RED BASADA EN “DOMINIO” Y UN “GRUPO DE TRABAJO”

UNIRSE A UN DOMINIO UNIRSE A UN GRUPO DE TRABAJO

• Se requiere dominio existente. • Solo se requiere un nombre de grupo de trabajo

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

3. DIFERENCIA ENTRE UNA RED BASADA EN “DOMINIO” Y UN “GRUPO DE TRABAJO”

Dominio Grupo de Trabajo

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1.1. Estructura de Active Directory

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1.2. El Catálogo Global

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

1.2. El Catálogo Global

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

• Los servicios proporcionados por un directorio son:

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

2.1. Configuraciones de preinstalación de los servicios de Active

• Antes de realizar la instalación de los servicios de dominio de Active

✔ Las actualizaciones del servidor se encuentren instaladas y

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

2.2. Instalación de los

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

2.2. Instalación de los

b) El asistente nos indica en

ADMINISTRACIÓN DE WINDOWS • SESIÓN 03 © ISIL. Todos los derechos reservados

2. SERVICIOS DE DOMINIO DE ACTIVE DIRECTORY

2.2. Instalación de los