Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundamentos de Windows Serverpracticas
Fundamentos de Windows Serverpracticas
Lección 1 Lección 2
Visión General del Servidor 1 Windows Server 2008 R2 39
Términos Clave
• BIOS • Procesador • Instalación de actualización
• Instalación limpia • RAM • Servidor virtual
• Clonación de disco • Servidor • Activación de Windows
• Unidades • Núcleo de Servidor • Windows Deployment Services
• Firmware • Características de servidor (WDS)
• Motherboard • Rol de servidor • Actualizaciones de Windows
• Conexiones de red • Herramienta de preparación de
• Puertos sistema
• Suministro de energía • Instalación desatendida
Acaba de ser contratado en Acme Corporation, la compañía tiene varios Servidores Windows Server
2003 y Windows Server 2003 R2 y un Servidor Windows Server 2008. Mientras habla con su
equipo de administración, determina que necesita actualizar todos los servidores a Windows Server
2008 R2 y crear un centro de servidores que consiste en tres nuevos servidores web y un servidor
SQL back-end sencillo, que también opera Windows Server 2008 R2. Necesita averiguar la mejor
forma para lograr su meta.
2 Lección 1
Con la tecnología actual, cualquier computadora en la red puede proporcionar o solicitar servicios dependiendo de
cómo se confgura la red. Un servidor es una computadora que está destinada a ser un proveedor de servicio dedicado
y un cliente es una computadora que solicita servicios. Una red que está constituida por servidores dedicados y
clientes se conoce como una red cliente/servidor. Una red basada en servidor es la mejor para compartir recursos y
datos, mientras proporciona seguridad de red centralizada para tales recursos y datos. Las redes con Windows Server
2003 y Windows Server 2008 por lo general son redes cliente/servidor.
º Tome Nota Si ha estado usando Windows XP, Windows Vista o Windows 7 por un periodo
No olvide preparar signifcativo de tiempo, habrá observado que su computadora provee servicios y solicita
su servidor para servicios (aunque es más probable que solicite servicios más que proveerlos). Cuando tiene
un crecimiento. La acceso a una página web en Internet, a su correo electrónico, a un archivo de datos en otra
mayoría de ellos computadora o a una impresora que está conectada a la red, está solicitando servicios.
deberían ser diseñados Mientras que los servidores Windows están diseñados para proporcionar un amplio rango
para dar un servicio de servicios de red, Windows XP, Windows Vista y Windows 7 pueden proporcionar
de tres a cinco impresoras y archivos compartidos y páginas web (aunque está limitado por el número
años. Asegúrese de conexiones concurrentes, en especial comparado con los servidores Windows, y no está
de prever cómo se optimizado para acceso multiusuario). Por lo tanto, mientras estas versiones de Windows
verá su panorama están diseñadas como cliente, también se pueden utilizar para proporcionar servicios.
en este tiempo, lo
que le ayudará a Mientras que las computadoras con Windows Server 2003 y Windows Server 2008 están
evitar comprarlo y diseñadas para proveer servicios, también pueden solicitarlos desde otras computadoras.
reinstalarlo varios Por ejemplo, pueden tener acceso a un servidor web localmente o por Internet, acceso a un
meses después. almacén de software o imprimir en una impresora de red.
Considere que si
realiza una instalación Cuando esté determinando las necesidades de hardware y software, observe el rol que
muy básica de la computadora necesita cumplir y la carga que soportará. Entonces podrá comenzar a
su servidor la investigar el hardware (incluyendo el número de computadoras, número de procesadores,
consecuencia será un cantidad de RAM y cantidad de almacenamiento de disco) y los requerimientos de software
crecimiento limitado en para alcanzar tales metas. Recuerde que también necesitará considerar la recuperación en
el futuro caso de desastres incluyendo los pasos que necesitará tomar si falla un servidor o pierde
datos.
; Listo para la El rol del servidor es una tarea primaria que este realiza. Debería observar que un servidor
certificación puede tener roles múltiples. Algunos de sus roles más comunes son:
¿Puede enlistar • Servicios de archivo
y describir los • Servicios de impresión
roles básicos del
servidor?—2.1 • Servicios web
• Acceso remoto
• Servidores de aplicación
• Servidor de correo electrónico
• Servidor de base de datos
Visión General del Servidor 3
Un servidor de archivos permite localizar de forma centralizada los archivos a los que
acceden varios usuarios. Debido a su ubicación (asumiendo que están bien organizados),
resultará más sencillo respaldarlos. Cuando use Microsoft Windows para proporcionar
archivos compartidos, por lo general estará usando el Server Message Block (SMB) para
tener acceso a Microsoft Shares o carpetas compartidas. Los Servidores Windows también
pueden proporcionar NFS compartidos para usuarios Unix/Linux.
Varios usuarios pueden tener acceso a una impresora localizada centralmente, lo que
signifca que puede compartir una impresora costosa de servicio pesado o una rápida que
soporta opciones avanzadas tales como color. Se puede tener acceso a una impresora que
se encuentra en red o a una que esté en un servidor Microsoft Windows (de nuevo usando
el SMB).
Así como el internet se ha vuelto más importante en los negocios actuales, ha pasado lo
mismo con los otros servicios web. Los servidores web se usan para proveer servicios y así
los usuarios pueden tener acceso a páginas web usando sus navegadores. Estos servicios se
pueden usar para hacer investigación, proporcionar pistas para ventas, permitir que los
clientes compren bienes y servicios y proveer soporte al cliente por Internet. Los servicios
web también se pueden usar para proveer un método fácil para tener acceso a bases de datos,
informes de ejecución, rastrear pistas de ventas, proporcionar soporte al cliente e incluso
ayudarlo con la nómina y recursos humanos. Debido a que utiliza un navegador estándar
tal como Internet Explorer, estará usando el Protocolo de Transferencia de Hipertexto
(HTTP) o protocolos HTTP Seguro (HTTPS). Microsoft provee servicios web usando los
Servicios de Información de Internet (IIS).
Por último, el rol del servidor de aplicación proporciona un ambiente integrado para
desplegar y ejecutar aplicaciones de negocio basadas en servidor. En otras palabras, el
servidor entrega aplicaciones de red. Cuando tiene acceso a un archivo desde una carpeta
compartida, su computadora hace todo el trabajo; en este caso, el servidor también realizará
un poco de procesamiento.
Cuando se habla sobre servidores y aplicaciones de servidor, puede escuchar los términos
front-end y back-end. En las aplicaciones cliente/servidor, la parte del programa para el
cliente a menudo se llama el front-end; que es la interfaz que se provee a un usuario u otro
programa. Se puede tener acceso a éste por medio de una página web o una aplicación
personalizada que se ejecute en la computadora cliente. Mientras que el back-end es la
parte del servidor y a menudo contendrá una base de datos que se usa para almacenar,
organizar, encuestar y recuperar datos.
Dos ejemplos adicionales de servidores de aplicación son las aplicaciones de rastreo de ventas
o control de inventario. Tendría acceso a este tipo de servidor en su red de compañía por
medio del uso de un programa personalizado o usando su navegador. Entonces solicitaría
4 Lección 1
; Listo para la Estos son los sub-sistemas primarios que constituyen un servidor:
certificación
• Procesador
¿Qué sub-sistemas
• Memoria
afectan más el
desempeño del • Almacenamiento
servidor?—5.1 • Red
Si cualquiera de estos fallan, el sistema completo puede fallar. Además, si se pide que
cualquiera de estos haga más de lo que está diseñado, puede causar un cuello de botella
que puede afectar el desempeño del sistema completo.
Tome Nota
Incluso si se esfuerza por un tiempo en línea del 100%, es casi imposible conseguirlo por un
periodo prolongado de tiempo. Sin embargo si pudiera anticiparse, se podrían reducir las
oportunidades de falla y el impacto que esta tendría; agregando servidores, componentes
o tecnología adicionales que hará al sistema más tolerante a estas; y desarrollando buenos
planes de tal forma que pueda reaccionar rápidamente cuando ocurra una. Además,
necesitará gastar dinero para hacer un sistema más tolerante a las fallas, casi todas las
organizaciones tienen un límite sobre cuánto dinero pueden invertir en un servidor o servicio
de red.
Los sub-sistemas que se acaban de enumerar no son los únicos componentes que constituyen
el servidor, pero son los factores primarios que se examinan cuando se determina lo que
puede manejar. También pueden incluir tarjeta de sonido, pero por lo general, este no lo
proporciona a múltiples usuarios. En su lugar, los datos son enviados a través de la red a
un cliente individual y la tarjeta de sonido de quien lo produce. Lo mismo se aplica para el
video. No tendrá 20 monitores conectados a una computadora sencilla que provea gráfcos,
por lo tanto, generalmente no necesitará un sistema de video de alto desempeño para el
servidor.
El Procesador
comparación. Son estas reacciones lo que hacen que una computadora funcione. Por
supuesto, si un procesador opera a una velocidad mayor, se puede asumir con seguridad
que haría más en una menor cantidad de tiempo.
Aunque durante los últimos años, la velocidad no es el único factor que determina el
desempeño. La mayoría de los procesadores vendidos hoy en día son de núcleo múltiple,
que es como tener dos o más núcleos de procesamiento empacados como uno. Además,
usan otras tecnologías para mantenerlo funcionando en su efciencia más alta, tal como
usar un enfoque de línea de ensamble o tratar de anticipar qué necesidades se tienen que
hacer primero, de tal forma que siempre estén disponibles para nuevas tareas.
Tome Nota
Tener núcleos adicionales no siempre significa un incremento lineal en el desempeño. Por
ejemplo, tener dos núcleos no siempre significa que obtendrá el doble de desempeño. En
estos casos, el desempeño es limitado por qué el software también está optimizado para usar
ambos núcleos.
Otro factor es con cuántos datos puede trabajar un procesador. Hoy en día, los procesadores
más recientes son de 64 bits, que trabajan más rápido que los antiguos procesadores de
32 bits. Un procesador de 64 bits tiene un tamaño de palabra predeterminado de 64 bits
y un bus de datos externos de esta velocidad. La mayoría de las personas no se da cuenta
que los procesadores modernos ya pueden manejar cálculos de 64 bits. (Recuerde que
cada valor, números pequeños y grandes y números con puntos decimales, se separan en
0s y 1s o bits. La mayoría de los procesadores puede procesar 128, 256 y tal vez números
incluso mayores internamente. Pero uno de los principales benefcios de los procesadores
de 64 bits es que pueden procesar signifcativamente más memoria que los de 32 bits
(4 GB con un bus de dirección de 32 bits y 64 GB con un bus de dirección de 36 bits).
Técnicamente un procesador de 64 bits puede tener acceso hasta a 16.3 mil millones de
gigabytes (16 exabytes). La arquitectura AMD64 actualmente tiene un límite de 52 bits
en la memoria física (lo que soporta hasta 4 petabytes o 4048 terabytes) y sólo soporta un
espacio de dirección virtual de 48 bits (256 terabytes). Por lo general, alcanza el límite de
la motherboard o chips de memoria antes de alcanzar el límite del procesador.
Con más datos en la memoria, un procesador de 64 bits puede trabajar más rápido debido
a que puede tener acceso a mayores cantidades de RAM en lugar de cambiar datos una y
otra vez con los discos mucho más lentos. Además, con el mayor registro interno, puede
procesar mayores números sin dividirlos en varios números menores, e incluso puede
tomar varios números pequeños y hacer algunos cálculos matemáticos o la comparación de
estos números al mismo tiempo. Hoy en día, casi todos los procesadores de computadora
vendidos son de 64 bits.
Si un sistema operativo y los programas se escriben para usar los cálculos de 64 bits mayores
y usan la memoria accesible adicional, la potencia de procesamiento de una computadora
se puede incrementar signifcativamente. La mayoría de los programas diseñados para
una computadora que ejecuta una versión de 32 bits de Windows funcionará en una
computadora que ejecute versiones de 64 bits de Windows. Las excepciones perceptibles
son algunos programas antivirus y algunos controladores de hardware. El mayor problema
6 Lección 1
que puede se puede encontrar es hallar controladores de 64 bits para algunos de sus
dispositivos de hardware más viejos.
La RAM
La RAM, que signifca random- access memory (memoria de acceso aleatorio), es la memoria
a corto plazo y temporal de la computadora. Almacena instrucciones y datos a los que el
procesador accesa directamente. Si tiene más RAM, puede cargar más instrucciones y datos
desde los discos. Además, tener sufciente memoria de acceso aleatorio puede ser uno de
los principales factores en el desempeño general de su computadora. Desafortunadamente,
cuando se pierde la energía a la RAM, como cuando apaga su computadora, desaparece
el contenido. Ésta es la razón por la que se usan discos en lugar de la RAM para el
almacenamiento a largo plazo.
El Almacenamiento
La mayoría de los sistemas modernos tienen alguna forma de disco óptico. Los sistemas más
viejos tendrán drives de discos compactos, que usan de manera similar a un reproductor de
CD de música. Los sistemas más recientes tienen un drive de DVD o Blue-ray. En cualquier
caso, los discos ópticos almacenan información usando luz de láser. Tradicionalmente,
estos se consideraban como dispositivos de sólo lectura, pero ahora muchos sistemas tienen
capacidad de quemado que permiten al usuario escribir datos en discos ópticos especiales.
La Motherboard
El componente que conjunta estos cuatro sub-sistemas, es decir, que es una gran tarjeta de
circuito, es la motherboard o tarjeta de sistema y sirve para que el procesador se comunique
con el resto del sistema. Ésta permite que el procesador se ramifque y comunique con todos
los demás componentes de la computadora. Aunque todo se hace alrededor del procesador,
se considera que la motherboard es el sistema nervioso de la computadora. Sus capacidades
se han expandido ampliamente (la mayoría incluyen conectividad de sonido y red) y puede
expandir las capacidades del sistema instalando tarjetas de expansión, referidas a veces
como tarjetas secundarias. Vea la Figura 1-1.
Visión General del Servidor 7
Figura 1-1
Una motherboard
conectada al suministro
de energía y drives de
disco
que pueda descargar y aplicar a su sistema. El proceso de actualizarlo del sistema, se llama
actualización por fash del BIOS.
Por lo tanto, si es la primera vez que actualiza por fash un sistema, debería hacerlo un par
de veces con alguien que ya lo haya hecho antes. Además, debería entrar a su programa de
confguración de BIOS o CMOS y anotar todos los ajustes actuales en caso de tener que
restaurar los previos. Por último, asegúrese de revisar minuciosamente la documentación
del fabricante del sistema o la motherboard para determinar la versión BIOS de su sistema
y la versión correcta para descargar e instalar. Entonces puede descargar la imagen de BIOS
y el programa ejecutable para actualizarlo por fash.
Para entrar al programa de confguración de BIOS o CMOS, puede presionar una tecla
o combinación de teclas al principio antes de que cargue el sistema operativo. Las teclas
comunes por lo general son la tecla Del o la tecla F10. Para averiguar qué tecla o teclas,
debería observar la pantalla durante el inicio o leer el manual del servidor o motherboard.
¡Advertencia!
Asegúrese de no tener ningún contratiempo como fallas de energía o que alguien tropiece
con el cable de energía mientras está actualizando el BIOS. Recuerde que si el proceso se
detiene a la mitad, el sistema se puede volver inservible.
Un gabinete proporciona una envoltura que ayuda a proteger los componentes del sistema
que están dentro, como los suministros de energía y ventiladores adicionales que por lo
general se diseñan para proveer una cantidad adecuada de fujo de aire a través del sistema
para mantener el sistema frío. Típicamente si tiene artículos que estén diseñados para el
desempeño, ellos pueden producir una buena cantidad de calor y demasiado calor siempre
es malo para los dispositivos electrónicos y mecánicos.
Puertos
Los servidores son computadoras. Como cualquier equipo, necesita ser capaz de agregar
dispositivos externos al servidor. Los Puertos son receptores de enchufe que le permiten
conectar a su computadora un dispositivo externo, tal como una impresora, teclado, ratón
o drive externo. Por lo general puede identifcar estos puertos por la forma del receptor
de enchufe, el número de hileras de clavija y su orientación (macho o hembra), así como
cuantas hay. Estos son los puertos más populares:
Visión General del Servidor 9
Servidores y Workstations
º Tome Nota Cuando compra cualquier computadora, por lo general puede elegir entre una portátil, una
Mientras los servidores personal, una workstation o un servidor. Las computadoras portátiles no están diseñadas
por lo general son para ser servidores auto-soportados. La personal y las workstation están diseñadas para un
componentes de usuario sencillo. Las workstations por lo general contienen componentes para desempeño
alto desempeño, a más rápido sobre una computadora personal barata estándar de tal forma que pueden
menudo no tienen realizar gráfcas pesadas o costosos cálculos matemáticos, pero está diseñada para una sola
los componentes persona.
más recientes y más
rápidos. Un servidor, por otro lado, tiene dos objetivos. El primero; ya que los servidores están
En cambio, el servidor diseñados para soportar muchos usuarios, a menudo tienen una carga mayor en comparación
tiene componentes con una computadora de un usuario sencillo. El segundo; debido a que muchos usuarios
que se desempeñan tienen acceso al servidor, este necesita ser confable. Por lo tanto, los servidores a menudo
bien pero que han contienen componentes que son tolerantes a las fallas y confables (tales como suministros
sido probados de energía redundantes, discos duros redundantes y tarjetas de red redundantes). Por
minuciosamente y por lo tanto, los sistemas diseñados como servidores, generalmente contienen circuitos
tanto se consideran adicionales para detectar problemas con el sistema incluyendo condiciones como cuando el
confiables sistema se sobrecalienta, cuando falla un ventilador o incluso cuando se abre físicamente.
Por supuesto, cuando se abre el sistema es más una característica de seguridad que un
componente tolerante a falla.
colocan horizontalmente sobre un bastidor. Ya que estos servidores tienen el mismo ancho,
puede apilar de 10 a 20 dentro de un bastidor o jaula de servidor. El tamaño de una pieza
de equipo montado en bastidor frecuentemente se describe como un número en “U.” Por
ejemplo, una unidad de bastidor a menudo se refere como “1U,” 2 unidades de bastidor
como “2U,” y así sucesivamente. Una unidad de bastidor tiene 1.75 pulgadas (44.45 mm)
de alto.
Otros servidores se colocan verticales y por lo general no están hechos para ser apilados uno
encima de otro. Por supuesto, los servidores que se colocan verticalmente por lo general
ocupan más espacio que el servidor apilable, en especial cuando tiene múltiples servidores.
Windows NT (liberado por primera vez en 1993) es una familia de sistemas operativos
producidos por Microsoft. Desde entonces, Microsoft ha construido sobre la versión previa
y ha liberado Windows 2000 Server, Windows Server 2003, Windows Server 2003 R2,
Windows Server 2008 y Windows Server 2008 R2.
Similar a los Windows Servers previos, Windows Server 2008 R2 se liberará con seis
ediciones. Estas son las más comunes:
• Windows Server 2008 R2 Foundation es una tecnología rentable y comprobada
que proporciona una base para ejecutar la mayoría de las aplicaciones para
su negocio, diseñado para propietarios de negocios pequeños con menos de 15
usuarios. Foundation es una tecnología no costosa, fácil de desplegar, comprobada
y confable que proporciona a las organizaciones la cimentación para ejecutar
las aplicaciones de negocio más dominantes así como compartir información y
recursos.
• Windows Server 2008 R2 Standard es una plataforma de servidor avanzada que
provee soporte más rentable y confable para las cargas de trabajo de negocios. Ofrece
características innovadoras para virtualización, ahorro de energía y manejabilidad y
ayuda a hacer que los usuarios móviles tengan acceso a los recursos de la compañía.
• Windows Server 2008 R2 Enterprise es una plataforma de servidor avanzada que
provee soporte más rentable y confable para cargas de trabajo críticas de misión al
12 Lección 1
Cliente de X X X X
Impresión por
Internet
Puerto de X X X X X
Monitor LPR
Microsoft X X X X
Message
Queuing
(MSMQ)
Multipath I/O X X X X X
Protocolo de X X X X X
Resolución de
Nombre de
Pares
Experiencia X X X X
de Calidad de
Audio Video de
Windows
RAS Connection X X X X
Manager
Administrator Kit
RDC X X X X
Asistencia X X X X X
Remota
Compresión X X X X
Diferencial
Remota
Herramientas de X X X X X
Administración
de Servidor
Remoto
RPC sobre HTTP X X X X
Proxy
Servicios TCP/IP X X X X X
Simples
SMTP X X X X X
SNMP X X X X X
Administrador X X X X
de
Almacenamiento
SAN para SANS
Sub-sistema X X X X
para
Aplicaciones
basadas en Unix
(SUA)
Cliente Telnet X X X X X
Servidor Telnet X X X X X
Cliente TFTP X X X X
Windows X X X X X
Biometric
Framework
14 Lección 1
Windows X X X X X
Internal
Database
Windows X X X X
Internet Naming
Service (WINS)
Windows X X X X X
Network Load
Balancing
(WNLB)
Windows X X X X X
PowerShell
Integrated
Scripting
Environment
(ISE)
Windows X X X X X
PowerShell
Windows X X X X X
Process
Activation
Server
Windows Server X X X X X
Backup
Windows Server X X X X X
Backup Features
Herramientas X X X X
de Migración de
Windows Server
Windows X X X X X
System
Resource
Manager
(WSRM)
Windows TIFF X X X X X
IFilter
Servidor WINS X X X X
Cliente X X X X X
Inalámbrico
Servicio LAN X X X X X
Inalámbrico
Visualizador XPS X X X X X
Un servidor está diseñado para proporcionar servicios. Por lo tanto, Windows Server 2008
R2 ha organizado los más comunes en roles de servidor, mientras que uno de ellos describe
la función del servidor. Cuando defne un rol de servidor en Windows Server 2008 R2 (vea
la Tabla 1.2), está instalando y confgurando un juego de programas de software que le
permiten a una computadora realizar una función específca para usuarios múltiples u otras
computadoras dentro de una red.
Tabla 1-2 Nombre de rol Descripción
Roles disponibles en Servicios de Provee el servicio para crear y administrar certificados de
Windows Server 2008 R2 Certificado del clave pública usados en sistemas de seguridad de software
Directorio activo que emplean estas mismas tecnologías para comprobar la
identidad de una persona, dispositivo o servicio, que pueden
ser usadas por correo seguro, redes inalámbricas seguras,
redes privadas virtuales (VPN), Internet Protocol Security
(IPSec), Sistema de Archivo de Encriptación (EFS), registro de
tarjeta inteligente y otros. Para facilitar su uso, los certificados
digitales hacen interfaz con el Directorio activo de Microsoft.
Servicios de Dominio Para transformar un servidor en un controlador de dominio
del Directorio activo para proporcionar un servicio de directorio por medio
del Directorio activo (DA) de Microsoft, que almacena
la información sobre los usuarios, computadoras y otros
dispositivos en la red. El Directorio activo ayuda a los
administradores a gestionar de forma segura esta información
y facilita los recursos compartidos y colaboración entre
usuarios. Se requiere el Directorio activo para aplicaciones
de directorio activado tales como Microsoft Exchange
Server (servidor de correo electrónico) y para aplicar otras
tecnologías Windows Server tales como Directiva de Grupo.
Active Directory Active Directory Federation Services provee tecnologías de
Federation Services registro sencillo [single-sign-on (SSO)] web para autenticar un
usuario con múltiples aplicaciones web usando una cuenta de
uno solo.
Active Directory Se utiliza en aplicaciones que requieren un directorio para
Lightweight Directory almacenar datos de aplicación como almacén de datos sin
Services (ADLDS) instalar los servicios de dominio del Directorio activo. Ya
que se ejecuta en un servicio fuera del sistema operativo,
permite que múltiples instancias de ADLDS se ejecuten
concurrentemente en un servidor sencillo y que cada
instancia se pueda configurar independientemente para dar
servicio a múltiples aplicaciones.
Active Directory Tecnología que funciona con aplicaciones activas de
Rights Management Directorio activo RMS para ayudar a salvaguardar información
Service (AD RMS) digital contra el uso no autorizado al especificar quién puede
usar la información y qué pueden hacer con ella (abrir,
modificar, imprimir, reenviar y/o tomar otras acciones).
Servidor de Provee una solución completa para hosting y administración
aplicaciones de aplicaciones de negocio distribuidas de alto desempeño
construidas alrededor de Microsoft .NET Framework 3.0,
COM+, Message Queuing, Web services y Transacciones
Distribuidas.
16 Lección 1
Comenzando con Windows Server 2008, puede instalar Windows de uno o dos modos:
Versión completa o Server Core, ambos se proporcionan en el DVD de instalación.
La versión completa es la versión normal que esperaría de Windows con una interfaz GUI
completamente funcional.
Una máquina con Server Core se puede confgurar para los siguientes roles:
• Active Directory Lightweight Directory Services (ADLDS)
• Servidor DHCP
• Servidor DNS
• Controlador de dominio /Active Directory Domain Services
• Servicios de archivo (incluyendo DFSR y NFS)
• Servidor web IIS 7 (pero no incluye ASPNET, .Net Framework, IIS Management
Console, IIS Legacy Snap-In, e IIS FTP Management)
• Servicios de Impresión
• Servicios de Transmisión Multimedia
• Servicios de Terminal incluyendo Easy Print, Programas Remotos TS, y Gateway
TS
• Virtualización de Windows Server
Una máquina Server Core se puede confgurar para las siguientes características:
• Respaldo
• Encriptación de Bitlocker Drive
• Failover Clustering
• Multipath IO
• Balanceo de carga de red
• Almacenamiento removible
• Simple Network Management Protocol (SNMP)
• Sub-sistema para aplicaciones basadas en UNIX
• Cliente Telnet
• Windows Internet Name Service (WINS)
Antes de que pueda comenzar a usar, administrar o confgurar un sistema operativo, primero necesitará instalarlo.
; Listo para la Antes de instalar el software de Windows Server 2008 R2, debería observar los
Certificación requerimientos del sistema que se muestran en la Tabla 1-4. Por supuesto, los valores
¿Puede enumerar mostrados son los requerimientos mínimos y por lo general requerirán recursos adicionales
todos los métodos si desea un desempeño aceptable para la carga que debe manejar el servidor. Por lo tanto,
usados para instalar para un sistema de producción sencillo, no debería usar nada menor a procesadores dual-core
Windows?—1.3 y 2 GB de memoria. Para una carga más pesada, no sería insólito usar cuatro procesadores
físicos dual-core y 64 GB de memoria, en particular para instalaciones Microsoft Exchange
o Microsoft SQL Server grandes.
Visión General del Servidor 21
Tabla 1-4
Requerimientos del Componente Requerimientos
sistema para Windows Procesador Mínimo: 1.4 GHz (x64 procesador)
Server 2008 R2 Número máximo de receptores físicos: 1 (Foundation) 4 (Web
y Standard), 8 (Enterprise), 64 (Datacenter)
Memoria Mínimo: 512 MB RAM
Máximo: 8 GB (Foundation) o 32 GB (Web y Standard) o 2 TB
(Enterprise y Datacenter)
Requerimientos de Mínimo: 32 GB o mayor
º Tome Nota espacio en disco Nota: Las computadoras con más de 16 GB de RAM
Recuerde que la requerirán más espacio en disco para paginación,
cantidad de memoria hibernación y eliminación de archivos
RAM y el espacio en Display Súper VGA (800 × 600) o monitor de mayor resolución
disco no son puntos Otros DVD, teclado y ratón Microsoft (o dispositivo de puntero
en los que se deba compatible) y acceso a Internet
escatimar
f Instalaciones Limpias
Una instalación limpia es instalar el software desde el inicio en un drive nuevo o en un drive reformateado
recientemente. Muchas personas encuentran que hacer una instalación limpia de un sistema operativo es la mejor
manera de hacerlo, debido a que se empieza de cero. La desventaja es que se necesita reinstalar, parchar y confgurar
el sistema y todo su software, así como copiar los datos de nuevo, algo que puede tomar horas o incluso días.
PREPÁRESE. Para instalar Windows Server 2008 R2, deberá seguir los siguientes pasos:
1. Inserte el medio de instalación de Windows Server 2008 R2 adecuado en su unidad de
DVD.
2. Reinicie la computadora y arranque desde el medio de instalación.
3. Cuando se le solicite un idioma de instalación y otras opciones regionales, haga su
selección y presione Siguiente.
4. A continuación, presione Instalar Ahora.
5. Ingrese su ID de Producto en la siguiente ventana. Si desea que la computadora se active
automáticamente cuando se complete la instalación, seleccione la opción apropiada.
Haga clic en Siguiente. Si no tiene la ID de Producto disponible por el momento, puede
dejar la casilla vacía y hacer clic en Siguiente. Necesitará proporcionar la ID de Producto
más adelante, después que termine la instalación del servidor.
6. Seleccione la edición de Windows Server 2008 R2 que adquirió (vea la Figura 1-4) y haga
clic en el botón Siguiente.
22 Lección 1
Figura 1-4
Seleccione la edición
de Windows Server
2008 R2
7. Lea y acepte los términos de licencia haciendo clic para seleccionar la casilla de
verificación y presione Siguiente.
8. En la ventana “¿Qué tipo de instalación desea?”, haga clic en la única opción disponible:
Personalizada (avanzada). Vea la Figura 1-5.
Figura 1-5
Seleccione el tipo de
instalación
Visión General del Servidor 23
Figura 1-6
Dónde desea instalar
Windows
10. Cuando comience la instalación, primero se copiarán los archivos de configuración del
DVD al disco duro. Entonces se extraerán y descomprimirán los archivos para después
instalar Windows. Dependiendo de la velocidad de su sistema, esto puede tardar 20
minutos o más. Cuando la instalación esté completa, la computadora se reiniciará.
11. Cuando el servidor se reinicia el nuevo Windows Server 2008 R2 le solicitará que escriba
una pantalla de registro. Presione CTRL+ALT+DEL para registrarse.
12. Haga clic en Otro Usuario. El Administrador predeterminado está en blanco, tan sólo
escriba Administrador y presione la tecla Intro.
13. Se le solicitará que cambie la contraseña del usuario. En el cuadro de diálogo de cambio
de contraseña, deje la contraseña predeterminada en blanco e ingrese una contraseña
nueva y compleja que incluya por lo menos 7 caracteres de largo. Por supuesto,
asegúrese de recordar la contraseña.
14. Cuando se cambie la contraseña, haga clic en OK.
15. Cuando se complete el proceso de registro, aparecerá la casilla de configuración inicial
del servidor.
Cuando compra servidores de marca tales como HP, IBM, o Dell, a menudo los servidores
incluyen un disco (por lo general un CD o DVD) con controladores y un programa de
instalación guiado que confgura el hardware. Ya que el programa de instalación de
Windows puede no saber cómo tener acceso a algunos controladores SCSI o RAID, tendrá
que hacer clic en el disco Cargar Controlador durante la instalación para especifcar el
24 Lección 1
controlador. En otros casos, reiniciará el disco que viene con el servidor, ejecute el programa
relacionado en el disco, confgure el controlador RAID y las unidades relacionadas, divida
las unidades y especifque qué sistema operativo desea instalar. Entonces se copiaran los
drivers a una carpeta en la unidad e instalará el sistema operativo desde el disco o le pedirá
que inserte el disco de instalación del sistema operativo. Si no usa este disco, el sistema
operativo no cargará los controladores de disco apropiados, lo que causará que las unidades
no sean reconocidas.
Tabla 1-5
Si está ejecutando: Puede actualizar a esta edición:
Actualización a Windows Windows Server 2003 Edición Windows Server 2008 R2 Standard, Windows
Server 2008 R2
Standard con Service Pack 2 (SP2) Server 2008 R2 Enterprise
o Windows Server 2003 R2 Edición
Standard
Windows Server 2003 Edición Windows Server 2008 R2 Enterprise, Windows
Enterprise con SP2 o Windows Server 2008 R2 Datacenter
Server 2003 R2 Edición Enterprise
Windows Server 2003 Edición Windows Server 2008 R2 Datacenter
Datacenter con SP2 o Windows
Server 2003 R2 Edición Datacenter
Instalación de Server Core de Instalación de Server Core de Windows
Windows Server 2008 Standard con Server 2008 R2 Standard o Windows
o sin SP2 Server 2008 R2 Enterprise
Instalación de Server Core de Instalación de Server Core de Windows
Windows Server 2008 Enterprise con Server 2008 R2 Enterprise o Windows
o sin SP2 Server 2008 R2 Datacenter
Instalación de Server Core de Instalación de Server Core de Windows
Windows Server 2008 Datacenter Server 2008 R2 Datacenter
Instalación de Server Core de Instalación de Server Core de Windows
Windows Web Server 2008 con o sin Server 2008 R2 Standard o Windows Web
SP2 Server 2008 R2
Instalación completa de Windows Instalación completa de Windows
Server 2008 Standard con o sin SP2 Server 2008 R2 Standard o Windows
Server 2008 R2 Enterprise
Instalación completa de Windows Instalación completa de Windows
Server 2008 Enterprise con o sin SP2 Server 2008 R2 Enterprise o Windows
Server 2008 R2 Datacenter
Instalación completa de Windows Instalación completa de Windows
Server 2008 Datacenter con o sin SP2 Server 2008 R2 Datacenter
Instalación completa de Windows Instalación completa de Windows
Web Server 2008 con o sin SP2 Server 2008 R2 Standard o Windows Web
Server 2008 R2
Instalación de Server Core de Instalación de Server Core de Windows
Windows Server 2008 R2 Standard Server 2008 R2 Standard (reparación en sitio) o
Windows Server 2008 R2 Enterprise
Visión General del Servidor 25
Cuando desee actualizar a Windows Server 2008 R2, debería seguir estas directrices:
• Verifque que el servidor actual soporte Windows Server 2008 R2. Además,
asegúrese de tener los controladores adecuados antes de la instalación.
• Actualice su programa de antivirus, ejecútelo, y después desactívelo. Después de
instalar Windows, recuerde reactivar el programa de antivirus, o instale un nuevo
software antivirus que funcione con Windows Server 2008 R2.
• Respalde sus archivos. Puede respaldar los archivos en un disco duro externo, un
DVD o CD, o una carpeta de red.
• Conéctese al Internet. Asegúrese que su conexión a Internet esté funcionando
de tal forma que puede obtener las actualizaciones de instalación más recientes.
Estas actualizaciones incluyen actualizaciones de seguridad y actualizaciones del
controlador de hardware que pueden ayudar con la instalación. Si no tiene una
conexión a Internet, todavía puede actualizar o instalar Windows.
Si su sistema es un sistema de producción, verifque y/o pruebe todas las aplicaciones para
asegurarse que sean compatibles con Windows Server 2008 R2.
PREPÁRESE. Para actualizar Windows Server 2008 R2, deberá seguir los siguientes pasos:
1. Inicie la versión anterior de Windows que desea actualizar y regístrese usando una
cuenta con privilegios administrativos.
2. Inserte el DVD de instalación de Windows Server 2008 R2.
3. Haga clic en el botón Instalar Ahora y la computadora comenzarla la instalación. Vea la
Figura 1-7.
26 Lección 1
Figura 1-7
Inicio de proceso de
actualización
En el pasado, Microsoft ha provisto herramientas para verifcar si su sistema está listo para
el sistema operativo. En la actualidad, usaría el Kit de herramientas Microsoft Assessment
and Planning (MAP), que está diseñado para darle un conocimiento de infraestructura
esencial para planear su migración a Windows Server 2008 R2. El kit de herramientas
MAP toma un inventario de su entorno de servidor actual, determina la compatibilidad
de hardware y dispositivos y preparación y entonces genera reportes procesables de las
actualizaciones recomendadas para migración. Los benefcios de ahorro de energía se
calculan con la herramienta Power Savings Assessment del MAP, permitiéndolo determinar
rápidamente los ahorros potenciales con Windows Server 2008 R2 antes del despliegue.
Descarga
El kit de herramientas Microsoft Assessment and Planning (MAP) para Windows Server 2008
R2 está ubicada en:
http://technet.microsoft.com/en-us/solutionaccelerators/dd537573.aspx?ca=NOT&su=WINSV
R&sa=MAP&ct=WEBS&cn=MSCOMWEBS&au=BDM&go=MAPTN&dt=04012009
Visión General del Servidor 27
Si crea una copia clonada de Windows y la aplica a múltiples computadoras, cada una
de ellas y que use la misma imagen tiene los mismos parámetros, incluyendo el mismo
nombre de computadora e identifcador de seguridad (SID). Desafortunadamente, para
que estas operen adecuadamente sin conficto en una red, estos parámetros tienen que ser
únicos.
Para instalar el Windows SIM, primero necesitará descargar e instalar el Kit de Instalación
Automática de Windows (AIK) para Windows 7 del sitio web de Microsoft (http://
www.microsoft.com/downloads/details.aspx?FamilyID=696dd665-9f76-4177-a811-
39c26d3b3b34&displaylang=en). Para iniciar el Windows SIM, haga clic en el botón de
Inicio, seleccione Microsoft Windows AIK, y después seleccione Windows System Image
Manager (vea la Figura 1-9).
Figura 1-9
Windows Server Image
Manager
El Windows Deployment Services usa los archivos WIM para instalar Windows. Si se
confguran adecuadamente, necesitará reiniciar una computadora con Windows PE 2.0
o 3.0 o realizar un reinicio PXE. El Windows Preinstallation Environment (Windows
PE) 2.0 es el sistema operativo Win32 con servicios limitados, construido en el núcleo
de Windows. Se usa para preparar una computadora para la instalación de Windows, para
copiar imágenes de disco desde un servidor de archivo en red, y para iniciar la Confguración
de Windows.
Entonces, se conectará al servidor WDS e instalará Windows desde una imagen confgurada.
Se ejecutará un script de confguración que verifcará la confguración de la computadora
y los requerimientos de hardware. También se puede usar para ejecutar la herramienta
Diskpart para particionar y formatear el disco. Si es necesario, el script puede respaldar los
datos del usuario en una carpeta compartida en alguna otra computadora. Eventualmente,
el script se conecta a una carpeta compartida que contiene los archivos de Confguración
de Windows y ejecuta el programa de Confguración de Windows para instalar el sistema
operativo completamente desatendido.
Más Información
Para mayor información sobre Windows Deployment Services, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/library/cc733011.aspx.
Se le otorga una licencia de software a partir de una compañía como Microsoft que le da
permiso de usar un paquete específco y por lo general vienen con muchas restricciones.
La mayoría de las licencias de compañías como Microsoft funcionan más como un
arrendamiento en lugar de una compra del software real. La restricción típica lo limita
a usar sólo una copia del software por licencia y le prohíbe distribuir o copiar la licencia
de cualquier manera (excepto para propósitos de respaldo). Las licencias para software de
servidor clase empresa (tales como Microsoft Exchange o Microsoft SQL) también podrían
requerir una Licencia de Acceso de Cliente (CAL) para cada usuario que va a tener acceso
al software del servidor.
30 Lección 1
La licencia más barata que puede obtener es la licencia OEM (Fabricante Original de
Equipo), que sólo se puede adquirir con una computadora nueva a partir de un fabricante
de sistemas tal como HP o IBM. Desafortunadamente, estas licencias están restringidas a
una máquina específca y no se pueden transferir después a una máquina nueva. El OEM
por lo general es responsable del soporte técnico sobre el software que compró.
Por último, Microsoft tiene varios programas de licencia por volumen disponibles
para organizar sus licencias y mantenerlo actualizado con el software más reciente a un
precio de descuento. La licencia Abierta está dirigida para negocios con por lo menos
5 computadoras, y los Select License y Enterprise Agreement Plans son programas de
licencia diseñados para compañías con por lo menos 250 computadoras. Cada uno de
estos programas puede tener benefcios adicionales tales como licencias para llevar a casa
y capacitación gratuitas.
La licencia por volumen se puede dividir aún más en clave de activación múltiple (MAK) y
Servicio de Administración de claves (KMS). Con la MAK, cada clave tiene que registrarse
y activarse individualmente, mientras que con el Servicio de Administración de claves
se usa un servidor KMS para conectarse automáticamente al almacén de licencias de
Microsoft y activar la clave.
f Activación de Windows
La activación de producto de Microsoft, incluyendo Activación de Windows, es una tecnología antipiratería diseñada
para verifcar que los productos de software tengan una licencia legítima. La meta de la activación del producto es
reducir la piratería de software por medio de la copia casual y clonación del disco duro. La familia Windows Server
2008 R2 de productos minoristas contienen tecnología de activación, que requiere que active su copia de licencia
minorista o por volumen de Windows Server 2008 R2.
Si no ha activado Windows Server 2008 R2, se le recordará cada vez que inicie sesión y
en intervalos comunes hasta el periodo de gracia de activación de 30 días. Si no activa
Windows Server 2008 R2 durante el periodo de gracia, el sistema estará sin licencia. Se le
avisará con notifcaciones persistentes sobre la necesidad de activar su software. Mientras
está en la condición de notifcación, podrá iniciar y terminar sesión y el sistema funcionará
normalmente. Sin embargo, el fondo del escritorio cambiará a negro y Windows Update
sólo instalará actualizaciones críticas. Las notifcaciones continuarán hasta que active el
sistema operativo.
Figura 1-10
Estado de Activación
f Actualizaciones de Windows
Después de instalar Windows, verifque si Microsoft tiene cualquier actualización de Windows incluyendo arreglos,
parches, service packs y drivers de dispositivo, y aplíquelos al sistema. Al agregar arreglos y parches, mantendrá
Windows estable y seguro. Si hay muchos arreglos o parches, Microsoft los liberará juntos en un service pack o un
paquete acumulativo.
; Listo para la Para actualizar Windows Server 2008 R2, Internet Explorer y otros programas que
Certificación acompañan a Windows, vaya a Windows Update en el Tablero de Control o haga clic
¿Por qué es importante en el botón de Inicio y seleccione Todos los Programas y después seleccione Windows
mantener Windows Update. Entonces en el panel izquierdo, haga clic en Buscar actualizaciones. Vea la Figura
actualizado?—6.3 1-11. Windows revisará su sistema para determinar qué actualizaciones y arreglos necesita
todavía su sistema. Entonces tendrá la oportunidad de seleccionar, descargar e instalar cada
actualización.
32 Lección 1
Figura 1-11
Ejecución de Windows
Update
Microsoft por rutina libera actualizaciones de seguridad el segundo martes de cada mes
en lo que se conoce como “Patch Tuesday.” La mayoría de las demás actualizaciones se
liberan conforme se necesitan, lo que se conoce como actualizaciones “out of band”. Ya
que los servidores a menudo se usan como sistemas de producción, debería probar las
actualizaciones para asegurarse que no le causen problemas. Aunque Microsoft hace
pruebas extensas, ocasionalmente ocurren problemas ya sea como un bug o un problema
de compatibilidad con algún software de terceros.
Para entornos pequeños, puede confgurar su sistema para realizar Auto Updates para
asegurarse que las actualizaciones críticas, de seguridad y compatibilidad estén disponibles
para instalación automáticamente sin afectar signifcativamente su uso regular de Internet.
Auto Update funciona en segundo plano cuando está conectado a Internet para identifcar
cuándo hay nuevas actualizaciones disponibles y para descargarlas a su computadora.
Cuando se completa la descarga, se le avisará y solicitará que instale la actualización.
Entonces puede instalarla, obtener más detalles sobre lo que incluye la actualización, o
dejar que Windows le recuerde más tarde. Algunas instalaciones pueden requerir que
reinicie, pero otras no.
Para cambiar los ajustes de Windows Update, haga clic en la opción Cambiar confguración
en el panel izquierdo de la ventana de Windows Update. Vea la Figura 1-12. Las opciones
le permiten especifcar si desea descargar o le permiten especifcar cuáles instalar,
especifque qué actualizaciones instalará y después descárguelas, o sólo desactívelas todas
las actualizaciones de Windows juntas. También puede especifcar si Windows Update
revisará productos de Microsoft diferentes al sistema operativo y también instalar el
software que recomienda Microsoft.
Visión General del Servidor 33
Figura 1-12
Elija cómo instalará
Windows las
actualizaciones
Si Windows update falla en obtener actualizaciones, debería revisar sus ajustes de proxy en
Internet Explorer para determinar si puede pasar a través de su servidor proxy (si existe) o
cortafuegos. También debería revisar si puede tener acceso a Internet intentando entrar a
http://www.microsoft.com.
Para ver todas las actualizaciones que se han instalado, haga clic en el enlace Ver historial
de actualizaciones en el panel izquierdo. Si sospecha algún problema con una actualización
específca, puede hacer clic entonces en Actualizaciones Instaladas en la parte superior de
la pantalla para abrir los Programas del Panel de Control. A partir de ahí, puede ver todos
los programas y actualizaciones instalados. Si la opción está disponible, entonces puede
eliminar la actualización.
Resumen de Habilidades
En esta lección aprendió:
• Un servidor es una computadora que está diseñada para ser un proveedor de servicio
dedicado, un cliente es una computadora que solicita servicios.
• Antes de seleccionar los componentes de hardware y software de un servidor,
tendrá que identifcar los roles y los servicios de red que este necesitará proveer y
cuántas personas tendrán acceso a él al mismo tiempo para ayudar a determinar la
carga que necesita cumplir.
• Los sub-sistemas primarios que constituyen un servidor son el procesador, memoria,
almacenamiento y red.
• La computadora, incluyendo los servidores, está construida alrededor de uno o más
chips integrados llamados procesador. Se considera el cerebro de la computadora
debido a que todas las instrucciones que realiza son cálculos matemáticos y
comparaciones lógicas.
• Un procesador de 64 bits es un procesador con un tamaño de palabra determinado
de 64 bits y un bus de datos externo de esta cantidad, que le permite tener acceso
a mucho más RAM que un procesador de 32 bits.
34 Lección 1
» Evaluación de Conocimientos
Opción Múltiple
3. ¿Cuál es el programa que debería usar para crear o validar un archivo de respuesta
usado para instalar Windows?
a. IAS
b. Server Core
c. SIM
d. WDS
4. ¿Cuál es la cantidad máxima de memoria que requiere Windows Server 2008 R2
Standard Edition?
a. 2 GB
b. 4 GB
c. 32 GB
d. 64 GB
5. ¿Cuántos días de periodo de gracia tiene para que puede activar Windows Server
2008 R2?
a. 3 días
b. 10 días
c. 15 días
d. 30 días
6. ¿Cuál de los siguientes no es un sub-sistema primario que se encuentra en un
servidor?
a. Procesador
b. Memoria
c. Sonido
d. Almacenamiento
7. ¿Qué tipo de instalación puede usar para comenzar desde cero?
a. Una actualización limpia
b. Una instalación limpia
c. Una instalación de formateo
d. Una instalación de respaldo
8. ¿Qué comando usaría para preparar la instalación de Windows para copiar la imagen
que borrará la SID y el nombre de la computadora?
a. Sys
b. Sysprep
c. SIDPrep
d. WDSPrep
9. ¿Qué utiliza Microsoft para combatir copias piratas de Windows?
a. WDS
b. IAS
c. Sysprep
d. Activación
10. ¿Qué edición de Windows Server 2008 R2 le da el mayor acceso a los procesadores y
la memoria?
a. Foundation
Visión General del Servidor 37
b. Standard
c. Enterprise
d. Datacenter
Verdadero / Falso
» Evaluación de Competencias
Está diseñando una nueva red para Acme Corporation. Espera tener muchas ventas por
Internet. ¿Cuántos servidores cree que necesitará, que requerimientos de hardware debería
usar, y qué rol asignaría a cada servidor? Pista: cuando compra algo por Internet, ¿a qué
tipo de servidor tiene acceso para comprar algo? ¿Entonces qué tipo de servidor cree que
necesitará en segundo plano que mantendrá el rastro de tales ventas?
Vea la parte posterior de su computadora y dibuje un diagrama que muestre todos los
puertos y el propósito de cada puerto.
» Evaluación de Habilidad
A continuación, si tiene un servidor similar, intente comparar su carga actual con la carga
predicha en su nuevo servidor. También puede observar el desempeño del procesador, disco
y red.
Habilidades/Conceptos Descripción del Dominio del Número del Dominio del objetivo
objetivo
Uso de dispositivos y controladores Entender los controladores de 1.1
de dispositivos dispositivos.
Gestión de Servicios Entender los servicios. 1.2
Uso del Panel del Control Entender el acceso remoto. 2.3
Términos clave
• Herramientas administrativas • Tareas de Confguración Inicial • Asistencia para el Uso del Servidor
• Consola para la Administración de • Consola para la Administración de • Escritorio Seguro
Equipos Microsoft (Microsoft Management • Servicios
• Panel de Control Console, MMC) • Controlador frmado (Driver
• Controladores de Dispositivos • Plug and Play (PnP) frmado)
(Drivers) • Registro (Registry) • Grupo de trabajo
• Administrador de Dispositivos • Asistencia Remota
• Dominio • Escritorio Remoto
Acaba de instalar varios equipos para Acme Corporation. Ahora tiene que conectar cada servidor
a la red y añadir cada equipo al dominio. Después necesita instalar los servicios de red que cada
servidor va a albergar.
40 Lección 2
Debido a que la confguración de los servidores de Windows puede consumir mucho tiempo, Windows Server 2008
y Windows Server 2008 R2 incluyen Tareas de Configuración Inicial que se ejecutan automáticamente cuando
inicia sesión por primera vez en Windows después de una instalación. Con las Tareas de Confguración Inicial
puede activar Windows, fjar la zona horaria, confgurar las redes, proporcionar un nombre al equipo y un dominio,
actualizar Windows, añadir accesorios y funciones, habilitar Escritorio Remoto y confgurar el Firewall de Windows.
Aunque se puede entrar a las Tareas de Confguración Inicial dentro del Panel de Control,
éste se ejecuta automáticamente y actúa como recordatorio y como un método rápido para
entrar a las Opciones de Accesibilidad, a fn de que tenga su Windows Server optimizado
de una manera rápida y ejecutándose con un mínimo esfuerzo. Vea la fgura 2-1. Las Tareas
de Confguración Inicial aparecerán cada vez que inicie sesión, hasta que seleccione la
opción No mostrar esta ventana al iniciar sesión, que se encuentra en la parte inferior de
la ventana.
Figura 2-1
Tareas de Configuración
Inicial
Windows Server 2008 R2 41
Como sucede con la versión anterior de Windows, el Panel de Control es la principal herramienta gráfca para
confgurar el entorno de Windows y los dispositivos del hardware.
Para entrar al Panel de Control, puede dar clic en el botón de Inicio de la barra de tareas
y seleccionar Panel de Control. Vea la fgura 2-2. De las 8 categorías que están enlistadas,
cada una incluye un link de máximo nivel y bajo este se encuentran varias de las tareas
que se llevan a cabo con más frecuencia. Si damos clic en el enlace de una categoría, nos
proporciona una lista de herramientas. Cada herramienta enlistada dentro de una categoría
incluye un enlace para abrir dicha herramienta y en ese enlace se encuentran varias de las
tareas para esa herramienta que se llevan a cabo con más frecuencia.
Figura 2-2
Windows Server 2008 R2
Panel de Control en Vista
por Categoría
Figura 2-3
Windows Server 2008 R2
Panel de Control en Vista
de Iconos Grandes
Como usuario estándar puede hacer lo siguiente en Windows Server 2008 R2 sin la
necesidad de permisos o derechos del administrador:
• Instalar actualizaciones desde Windows Update.
• Instalar controladores desde Windows Update o aquellos que van incluidos con el
sistema operativo.
• Ver las confguraciones de Windows.
• Conectar dispositivos Bluetooth en la computadora.
• Reiniciar el adaptador de red, realizar otro diagnóstico de red y reparar tareas.
Cuando una aplicación pide elevación o su ejecución como administrador, el UAC pedirá
confrmación y si se da el consentimiento, entonces permitirá el acceso como administrador.
PREPÁRESE. Para habilitar o deshabilitar el UAC para una cuenta de usuario en particular,
siga estos pasos:
1. En Panel de Control, haga clic en Cuentas de Usuario.
2. En la página de Cuentas de Usuario, haga clic en Cuentas de Usuario.
3. Haga clic en las Configuraciones de Control y luego en Cambiar Cuenta de Usuario. Vea la
figura 2-4.
4. Luego deslice la barra de desplazamiento hasta el nivel de la opción apropiada como se
muestra en la tabla 2-1.
5. Cuando se le pida reiniciar la computadora, haga clic en Reiniciar Ahora o Reiniciar Más
Tarde para que los cambios surtan efecto de una manera adecuada.
Figura 2-4
Configuraciones del UAC
44 Lección 2
Tabla 2-1
Configuraciones del UAC Configuración Descripción Impacto de Seguridad
Notificarme Se le notificará antes de que Esta es la configuración más
siempre los programas hagan cambios segura.
en su computadora o en las
configuraciones de Windows Cuando reciba una
que requieran el permiso de un notificación, debe leer con
administrador. cuidado el contenido de
cada cuadro de diálogo
Cuando se le notifique, su antes de permitir que se
computadora de escritorio se hagan cambios en su
verá con poca luz y tendrá que equipo.
aprobar o rechazar la solicitud
en el cuadro de dialogo del
UAC antes de que pueda hacer
algo más en ella.
A la disminución de la
luminosidad en su computadora
se le llama Escritorio Seguro
porque otros programas no
pueden ejecutarse mientras
esté atenuada.
Notificarme Se le notificará antes de que Por lo general es
únicamente los programas que requieran seguro permitir que
cuando los el permiso de un administrador se hagan cambios en
programas traten hagan cambios en su equipo. las configuraciones de
de hacer cambios Windows sin ser notificado.
en mi equipo. Se le notificará si intenta hacer Sin embargo, ciertos
cambios en las configuraciones programas que vienen con
de Windows que requieran del Windows pueden solicitar
permiso de un administrador. que se les transfieran
Se le notificará si un programa comandos o datos y el
fuera de Windows intenta software malicioso puede
hacer cambios en las tomar ventaja de esto
configuraciones de Windows. utilizando estos programas
para instalar archivos o
configuraciones de cambio
en su equipo. Siempre debe
de tener cuidado con los
programas que permite que
se ejecuten en su equipo.
Windows Server 2008 R2 45
Para entrar a la confguración del sistema, puede realizar alguna de las siguientes opciones:
• Si se encuentra en vista por Categoría, dé clic en Sistema y Seguridad y seleccione
el Sistema o en Ver la cantidad de memoria RAM y la velocidad del procesador.
• En la vista clásica, dé doble clic en el applet Sistema.
• Dé clic derecho en Equipo y seleccione Propiedades.
En Windows, con frecuencia existen diferentes maneras de hacer lo mismo.
Cada equipo debe tener un nombre único asignado a la red. Si dos computadoras tienen el
mismo nombre, una de ellas o ambas tendrán problemas para comunicarse en la red. Para
cambiar el nombre del equipo, abra Sistema en el Panel de Control, dé clic en la opción
Cambiar Confguración en Confguración de nombre, dominio y grupo de trabajo. Cuando
aparece el cuadro de Propiedades del Sistema con la fcha Nombre de Equipo seleccionada,
entonces dé clic en Cambiar. Vea la fgura 2-6. Para cualquier cambio hecho al nombre del
equipo o nombre del grupo de trabajo/dominio será necesario reiniciar la computadora.
Windows Server 2008 R2 47
Figura 2-6
Propiedades del Sistema
en el Panel de Control
Un dominio es una unidad lógica que defne una barrera de seguridad y que generalmente
se asocia con el Directorio activo de Microsoft. La seguridad del dominio generalmente
está centralizada y controlada por los servidores de Windows, los cuales actúan como
controladores del dominio. Como resultado, puede manejar la seguridad de manera más
fácil para varias computadoras al mismo tiempo que proporciona una mejor seguridad.
Si se añade una computadora a un dominio, se crea una cuenta para representarla. Además,
la información almacenada en el equipo se usa solamente para identifcarlo. Cuando estos
elementos coinciden, prueba que el equipo es quien dice ser, lo que contribuye a tener un
ambiente de trabajo más seguro.
Para añadirla al dominio, abra Propiedades del Sistema y dé clic en Cambiar. Seleccione
la opción Dominio y escriba el nombre del mismo. Después, de clic en OK. Se le pedirá
que inicie sesión con una cuenta de dominio que tiene la capacidad de añadir varias
computadoras al mismo, el cual es generalmente un administrador de dominio o de
cuentas. Después de haber registrado las credenciales (nombre de usuario y password),
aparece un cuadro de diálogo de Bienvenida; dé clic en OK para cerrarlo. Cuando cierre el
cuadro de diálogo de Propiedades del Sistema, se le pedirá que reinicie.
Para quitar una de un dominio, únase a un grupo de trabajo existente o cree un grupo
de trabajo nuevo, seleccione la opción grupo de trabajo y escriba el nombre del mismo
o dé clic en OK. Si está quitando su propia computadora del dominio, se le pedirán sus
credenciales administrativas a fn de poder borrar la cuenta del Directorio activo. Si no
especifca las referencias administrativas, aún así la quitará del dominio, pero la cuenta de
ésta permanecerá en el Directorio activo.
48 Lección 2
; Listo para Con Asistencia Remota y Escritorio Remoto, puede tener acceso a un equipo que ejecute
Certificación Windows con otro equipo conectado a la misma red o a través de Internet, como si estuviera
sentado frente al servidor. Podrá usar su mouse y teclado para entrar a la computadora de
¿Cómo administra escritorio, a la barra de tareas y al menú de Inicio y también podrá ejecutar programas y
un servidor desde su
entrar a todas las herramientas de confguración.
escritorio?—2.3
La Asistencia Remota está diseñada para ayudar al personal a conectarse a una sesión de
ingreso activa o resolver un problema. A diferencia del Escritorio Remoto, la Asistencia
Remota permite a los usuarios interactuar con la sesión actual, lo cual incluye ver la misma
pantalla. Si decide compartir el control de su equipo con su usuario remoto, ambos podrán
controlar el cursor del mouse.
º Tome Nota Para mantener el sistema seguro y asegurarse de que quiere la opción disponible, primero
Antes de que pueda debe instalar el Asistente Remoto como función. La fcha Remoto del cuadro de diálogo de
usar Asistencia Propiedades del Sistema debe habilitarse también. Después, necesitará invitar a la persona
Remota con Windows mediante un correo electrónico o un mensaje instantáneo, también puede rehusar una
Server 2008 R2, debe invitación que haya enviado antes. Después de que la persona acepte la invitación, se creará
instalarla. una conexión encriptada de dos vías.
Para iniciar una sesión de Asistencia Remota y crear una invitación, abra el Menú de
Inicio, dé clic en Todos los Programas, Seleccione Mantenimiento y después Asistencia
Remota de Windows. Vea la fgura 2-7.
Figura 2-7
Asistencia Remota de
Windows
Escritorio Remoto permite que un usuario que esté ejecutando el programa Escritorio
Remoto entre al servidor de manera remota. De manera predeterminada, Windows
Server 2008 R2 comprueba dos conexiones de escritorio remoto (tres si también cuenta
la modalidad de consola, que es una conexión activa como si realmente estuviera sentado
frente al teclado y al monitor del servidor).
Windows Server 2008 R2 49
Para entrar a la confguración de fecha y hora, realice uno de los siguientes pasos:
• Dé clic en Reloj, Idioma y Región en el Panel de Control si se encuentra en vista
por categoría y seleccione Confgurar la hora y la fecha.
• Dé doble clic en Fecha y Hora si se encuentra en vista por iconos.
• Si la fecha y la hora se muestran en el área de Notifcación, dé doble clic en la fecha
y hora.
Æ Configurar el Reloj
Figura 2-8
Cambiar la fecha y la hora
Para cambiar la zona horaria, dé clic en Cambiar la zona horaria y elija su zona horaria
actual recorriendo la lista hacia abajo. Después dé clic en OK.
Si es parte de un dominio, el servidor debe sincronizarse con los controladores del mismo.
Si tiene un servidor independiente, puede sincronizarlo con un servidor con horario de
Internet dando clic en la fcha Hora de Internet y seleccionando el cuadro de verifcación
junto a Sincronizar con un Servidor horario de Internet. Después seleccione un servidor
horario y dé clic en OK.
Para que un servidor dé servicio a otros clientes, será necesario conectarse y comunicarse a través de la red, por lo que
necesita saber cómo conectar el servidor y confgurar las propiedades de TCP/IP.
Aunque los servidores pueden usar tarjetas inalámbricas para conectarse a la red, la
mayoría usa conexiones alámbricas para comunicarse, pues las conexiones con cable son
más rápidas, confables y seguras. En cualquier caso, necesita confgurar lo siguiente en
cualquier equipo que ejecute Windows Server 2008 R2:
• La dirección IP y su máscara de subred correspondiente (identifca de manera única
el quipo usando una dirección lógica).
• Puerta de Enlace Predeterminada (enrutador más cercano que se conecta a otras
redes o a Internet).
• Uno o más servidores para el sistema de nombres de dominio (DNS, por sus siglas
en inglés) proporciona resolución de nombre (dominio/nombre del host hacia la
dirección IP).
La dirección IP, máscara de subred y servidores DNS pueden confgurarse de manera
manual o automática mediante un servidor de Protocolo de Confguración Dinámica de
Host (DHCP, por sus siglas en inglés). Ya que los servidores prestan servicio a varios
clientes, las direcciones de la red se asignan manualmente y no cambian mucho.
Windows Server 2008 R2 51
Æ Configurar el IP
Figura 2-10
Configuración de IPv4
Referencia Cruzada Antes de pasar a la siguiente sección, debe comprender cómo afectan los servidores proxy
Para mayor su acceso a la red o a Internet. Un servidor proxy es un servidor usado para traducir entre
información sobre redes públicas y privadas usando la Traducción de Direcciones de Red (NAT, por sus siglas
Configuración del en inglés) que generalmente se coloca al fnal de una red corporativa. Con NAT, puede
IP, ver al Anexo B tener una sola dirección pública y varias direcciones privadas. Un servidor proxy oculta las
Comprensión de TCP/ direcciones internas y le permite tener una gran variedad de direcciones privadas.
IP.
Cuando compra un enrutador inalámbrico para su hogar, conecta su cable o módem DSL
al enrutador inalámbrico, al cual se asignará una dirección pública externa. Entonces
puede conectar varias computadoras o hosts dentro de su hogar, las cuales tienen asignadas
direcciones privadas. Entonces el enrutador traducirá entre las direcciones públicas y las
privadas.
Para cambiar la confguración del proxy para el Explorador de Windows (el cual es también
usado por otras aplicaciones), puede realizar una de las siguientes opciones:
• Iniciar el Explorador de Windows, seleccionar la fcha Conexiones y dar clic en
Confguración de LAN.
• Si se encuentra en Vista por Categorías, dé clic en Redes e Internet y después
en Opciones de Internet. Después seleccione la fcha Conexiones y dé clic en
Confguración de LAN.
• Si se encuentra en Vista por Iconos, dé doble clic en Opciones de Internet, después
seleccione la fcha Conexiones y dé clic en Confguración de LAN.
La mayoría de las compañías deben tener servidores que confguren las operaciones del
proxy automáticamente teniendo habilitada la opción Detectar automáticamente. Sin
embargo, si necesita usar un servidor proxy diferente, será necesario que deseleccione la
opción Detectar automáticamente y seleccione la opción Usar un servidor proxy para la
LAN. Deberá especifcar una dirección y número de puerto para su servidor proxy. Los
puertos comunes son 80, 8080 y 3128. Ya que no desea pasar a través del servidor proxy
para llegar a sus servidores internos, debe seleccionar el cuadro No usar servidor proxy para
direcciones locales. Vea la fgura 2-12.
54 Lección 2
Figura 2-12
Configuración del proxy
en el Explorador de
Internet
Debido a que un equipo que ejecuta Windows Server 2008 R2 puede tener una amplia variedad de dispositivos, en
ocasiones puede ser un reto hacer que todos los dispositivos operen correctamente, en especial porque con frecuencia
los servidores tienen un hardware no estándar que tal vez requiera una instalación manual o una actualización de los
controladores.
; Listo para Los Controladores de Dispositivos son programas que controlan un dispositivo. Pueden
Certificación considerarse como un traductor entre el dispositivo, el sistema operativo y programas que
utilizan el dispositivo. Los programadores escriben un código que da acceso a comandos
¿Cómo maneja los
genéricos como lo es enviar un sonido y el controlador de dispositivo traducirá esos
controladores de
comandos genéricos a comandos específcos entendidos por el dispositivo; por ejemplo,
dispositivos en
una tarjeta de sonido específca. Aunque Windows Server 2008 R2 incluye muchos
Windows?—1.1
controladores (integrados o incluidos en el DVD de instalación), algunos controladores
vienen con el dispositivo. Debido a que estos controladores son software, habrá veces en las
que será necesario acudir al sitio Web del fabricante para extraer controladores más nuevos
(a pesar de que en ocasiones los controladores más antiguos trabajan mejor que los más
nuevos) o descargarlos por medio de las actualizaciones de Microsoft.
Con el fn de evitar que tenga que insertar constantemente el DVD de instalación, Windows
Server 2008 R2 incluye un Driver Store con una extensa biblioteca de controladores de
dispositivos. Estos también se ubican en C:\Windows\System32\DriverStore. En la carpeta
de Driver Store encontrará subcarpetas con la información del controlador localizado, por
ejemplo en US para inglés estadounidense, las cuales tendrá cientos de controladores
diferentes. Cuando añade un dispositivo hardware, Windows puede revisar el Driver Store
para encontrar el controlador correcto.
Windows Server 2008 R2 55
Intel y Microsoft liberaron los PnP’s en 1983. Así como un técnico en equipos de cómputo,
los PnP’s nos hicieron la vida mucho más fácil porque no teníamos que preocuparnos por
instalar interruptores DIP y puentes en la tarjeta. Ahora, la mayoría de los dispositivos son
de este tipo y se han desarrollado más que las tarjetas de expansión como los dispositivos
USB, IEEE 1394 (también se les conoce como Firewire) y SCSI. Hoy en día, si utiliza un
hardware PnP combinado con un sistema operativo como lo es Windows, puede conectar
el hardware y Windows reconocerá automáticamente el dispositivo, cargará el controlador
apropiado y lo confgurará para trabajar sin interferir con otros dispositivos.
Como parte del proceso de confguración, Windows asigna los siguientes recursos del
sistema al dispositivo que está instalando para que el dispositivo pueda operar al mismo
tiempo junto con otras tarjetas de expansión:
• Números de Líneas de Petición de Interrupción (IRQ por sus siglas en
inglés): Señal enviada por un dispositivo para atraer la atención del procesador
cuando el dispositivo está listo para aceptar o enviar información. Cada dispositivo
debe estar asignado a un número de IRQ único.
• Canales de Acceso Directo a Memoria (DMA por sus siglas en inglés): Acceso
a la memoria que no involucra al procesador.
• Direcciones de Puerto Entrada/Salida (I/O por sus siglas en inglés): Canal por
el cual se transferen datos entre un dispositivo y el procesador. El Puerto aparece
en el procesador como una o más direcciones de memoria y éste puede utilizarse
para enviar o recibir datos.
• Rango de Dirección de Memoria: Porción de la memoria del equipo que puede
ser asignada a un dispositivo y utilizada por un programa o por el sistema operativo.
Por lo general, a los dispositivos se les asigna un rango de direcciones de memoria.
56 Lección 2
f Controladores Certificados
Windows fue diseñado para trabajar con una amplia selección de dispositivos. Por desgracia, en el pasado, hubo
ocasiones en las que al añadir un dispositivo y cargar un controlador, éste último causaba problemas a Windows.
Como resultado, Microsoft comenzó a utilizar Controladores Certificados para luchar contra los controladores que
fallaban. Aunque estos no reparan un controlador defectuoso, se aseguran de que el editor sea identifcado, que
no haya sido alterado y que haya sido probado a fondo para que no presente fallas y así no cause un problema de
seguridad.
f Dispositivos e Impresoras
Empezando con Windows Server 2008 y Windows Vista, Windows incluye una carpeta de Controladores e
Impresoras que permite a los usuarios ver de manera rápida todos los dispositivos conectados a la computadora, así
como confgurar y solucionar los problemas de estos dispositivos. Además, le permite ver información sobre la marca,
el modelo y el fabricante y le da información detallada sobre las capacidades de sincronización de un teléfono celular
o de otros dispositivos móviles.
Figura 2-13
Dispositivos e impresoras
Para abrir Dispositivos e Impresoras, abra el Panel de Control y haga clic en Impresoras
y otro Hardware estando en Vista por Categorías o haga doble clic en Dispositivos e
Impresoras en Vista en Iconos. Además puede abrir Impresoras y otros Dispositivos al dar
clic en el botón de Inicio y luego en Impresoras y otros dispositivos.
f Administrador de Dispositivos
El Administrador de Dispositivos le proporciona una vista gráfca del hardware (interna y externa) que está
instalado en su equipo y le proporciona una manera de controlar y confgurar sus dispositivos. Con el Administrador
de Dispositivos puede determinar si Windows reconoce un dispositivo y si éste funciona apropiadamente; también
puede habilitar, deshabilitar o desinstalar el dispositivo, regresar a la versión anterior del controlador e identifcar el
controlador de dispositivos, incluyendo su versión y cambiar las opciones de confguración del hardware.
Para abrir Control de Dispositivos puede seguir uno de los siguientes pasos:
• Abrir el Panel de Control en Vista por Categorías, hacer clic en Hardware y después
en Administrador de Dispositivos.
• Abrir el Panel de Control en Vista por Iconos y luego doble clic en Administrador
de Dispositivos.
• Abrir Propiedades del Sistema y dar clic en Administrador de Dispositivos.
• Abrir la consola de Administración de equipos y dar clic en Administración de
Dispositivos.
58 Lección 2
Las fchas adicionales como Avanzado, Recursos, (Rango de Memoria, Rango del I/O, IRQ
y DMA) y Control de Energía pueden mostrarse dependiendo del tipo de dispositivo.
Ver fgura 2-15.Si existe un problema con sus recursos, puede intentar usar el Control
de Dispositivo para cambiar el rango de la memoria, el rango del I/O, el IRQ o el DMA
del dispositivo. Además, si da clic derecho en un dispositivo en Control de Dispositivos,
puede actualizar el software del controlador, deshabilitar el dispositivo, desinstalar el
dispositivo o buscar los cambios del hardware.
Figura 2-15
Propiedades del
dispositivo
Cuando utilice el Control de Dispositivos que viene con el Windows Vista, Windows 7 y
Windows Server 2008, debe tomar en cuenta lo siguiente:
• Cuando aparece una fecha negra hacia abajo indica que un dispositivo está
deshabilitado. Este se nota porque está presente físicamente en la computadora y
porque está consumiendo recursos pero no tiene cargado un controlador.
• Un signo de exclamación negro en un campo amarillo indica que el dispositivo
tiene un problema.
• También necesita verifcar si cualquiera de los dispositivos está enlistado en
Otros Dispositivos o si tiene un nombre genérico como Controlador de Ethernet
o Controlador Simple de Comunicaciones PCI, el cual indica que el controlador
adecuado no está cargado.
La Consola de Administración de Microsoft (MMC por sus siglas en inglés) es una de las herramientas administrativas
primordiales que se utiliza para administrar Windows y muchos de los servicios de red que proporciona Windows.
Ésta proporciona el método estándar para crear, guardar y abrir las diferentes herramientas administrativas que
proporciona Windows. Cuando abre las Herramientas Administrativas, la mayoría de estos programas son MMC.
Para iniciar una MMC vacía, vaya al prompt de comando, inicie la opción de Búsqueda
o Ejecutar, escriba mmc o mmc.exe. Cada MMC tiene un árbol de consola que muestra
la organización por jerarquía de los complementos o de los módulos que se enchufan
y extensiones (un complemento que requiere de un complemento primario). Los
60 Lección 2
Algunas de las herramientas administrativas comunes en esta carpeta son las siguientes:
• Servicios de Componentes: Confgure y administre los componentes del Modelo
de Componentes (COM por sus siglas en inglés). Los Servicios de Componentes
están diseñados para ser usados por programadores y administradores.
• Administración de Equipos: Administre equipos locales o remotos utilizando
una sola herramienta de escritorio consolidada. Al utilizar el Administrador de
Equipos puede realizar muchas tareas, como monitorear los sucesos del sistema,
confgurar los discos duros y administrar la ejecución del sistema.
• Orígenes de Datos (ODBC): Utilice la Conectividad Abierta de Base de Datos
(ODBC por sus siglas en inglés) para mover los datos de un tipo de base de datos
(origen de base de datos) a otra.
• Visor de Sucesos: Vea la información de un suceso importante, por ejemplo cuando
un programa inicia o se detiene o los errores de seguridad que están grabados en
el registro de sucesos.
• Iniciador iSCSI: Confgure las conexiones avanzadas entre dispositivos de
almacenamiento en una red.
• Directiva de Seguridad Local: Vea y edite las confguraciones de seguridad de la
Directiva de Grupo.
• Monitoreo del funcionamiento: Vea la información avanzada del sistema del
procesador, la memoria, el disco duro y el funcionamiento de red.
• Administración de Impresión: Administre las impresoras y los servidores de
impresión en una red y realice otras tareas administrativas.
Windows Server 2008 R2 61
Figura 2-17
Consola de
Administración de Equipos
Las Herramientas de Administración Remota del Servidor incluyen herramientas para las
siguientes funciones:
• Herramientas de Servicios del Directorio activo.
• Servicios de Dominio del Directorio activo (AD DS) y Herramientas de Servicios
de Directorio Jerarquizado y Directorio activo (AD LDS).
• Herramientas de Servicios de Administración de Derechos del Directorio activo
(AD RMS).
• Herramientas del Servidor DHCP.
• Herramientas del Servidor DNS.
• Herramientas del Servidor de Fax.
• Herramientas de Servicios de Archivos.
• Herramientas Hyper-V.
• Herramientas de Servicios de Acceso y Políticas de Red.
• Herramientas de Servicios de Documentos e Impresión.
• Herramientas de Servicios de Escritorio Remoto.
• Herramientas de Servidor del Web Server (IIS).
• Herramientas de Servicios de Despliegue de Windows.
Las Herramientas del Servidor Remoto incluyen herramientas para las siguientes
características:
• Utilidades de Administración del BitLocker Drive Encryption.
• Herramientas de Extensiones del Servidor BITS.
• Herramientas de Failover Clustering.
• Herramientas de Network Load Balancing.
• Herramientas del Servidor SMTP.
• Herramientas del Servidor WINS.
64 Lección 2
Muchas de los roles y funciones que se encuentran disponibles de manera automática en Windows Server 2008 deben
ser instaladas o habilitadas antes de su uso. Esto con el fn de reducir la superfcie de ataque que utilizan los hackers
o softwares maliciosos. Si no necesita un servicio o no necesita ejecutar un programa, entonces no es recomendable
que lo instale o que lo habilite cuando esté administrando los servidores.
f Administración de Programas
Windows Server 2008 R2 incluye muchas funciones y características para proporcionar una amplia variedad de
servicios de red; sin embargo, con frecuencia tendrá que instalar programas. Algunos de estos programas, por
ejemplo el SQL Server o Exchange, provienen de Microsoft, mientras que muchos otros programas no. Por lo tanto
tendrá que averiguar cómo instalar y desinstalar estas aplicaciones.
PREPÁRESE. Para desinstalar un programa o cambiarlo en Windows Server 2008 R2, haga lo
siguiente:
1. Abra el Panel de Control.
2. Si está en Vista por Categorías, haga clic en Programas y después en Programas y
Funciones. Si está en Vista por Iconos, haga doble clic en Programas y Funciones.
3. Seleccione un programa y luego dé clic en Desinstalar. Vea la figura 2-19.
Windows Server 2008 R2 65
Figura 2-19
Programas y funciones
Una función del servidor es un conjunto de programas del software, que cuando son
instalados y confgurados de manera apropiada, permiten que un equipo desempeñe una
función específca para múltiples usuarios o equipos dentro de una red. Muchas de estos
roles se encuentran enlistados en la Lección 1.
Los servicios de roles son programas del software que proporcionan el funcionamiento de
un rol o de un servicio. Cuando instala un rol, puede escoger qué servicios proporciona
a otros usuarios y equipos en su empresa. Algunos, como el Servidor DNS, poseen una
sola función y no tienen servicios de roles disponibles. Otros roles, como los Servicios
de Escritorio Remoto, poseen varios servicios que pueden instalarse, dependiendo de las
necesidades informáticas remotas de su compañía.
Para añadir roles, abra el Administrador de Servidores, dé clic en Roles en el panel del
lado izquierdo y dé clic en Añadir Roles. Vea la fgura 2-20. También se pueden añadir
utilizando la ventana de Tareas de Confguración Inicial. Para quitar un rol, haga clic en
Quitar Roles. Para administrar uno específco que ya ha sido instalado, puede desplazarse
hacia abajo hasta llegar al servicio o dé clic en el enlace dentro de Resumen de Roles. Si se
presenta algún problema con alguno de ellos, verá círculos en rojo con una X o círculos en
rojo con signos de exclamación.
66 Lección 2
Figura 2-20
Administración de Roles
Administración de Servicios
È EN RESUMEN
Un servicio es un programa, una rutina o un proceso que desempeña una función del sistema específco para asistir
a otros programas o para dar servicios de red. Un servicio se ejecuta en el segundo plano del sistema sin una interfaz
de usuario. Como ejemplos están las soluciones Web, los registros de sucesos y soluciones de archivos.
; Listo para
Certificación
Para administrar los servicios, utilice la consola de servicios ubicada en Herramientas
Administrativas. El complemento de servicios también está incluido en las consolas del
¿Cómo opera Administrador de Servidores y en la de Administración de Equipos. También puede
un servicio en ejecutar mmc services.mmc desde un comando prompt, el Cuadro Iniciar Búsqueda o el
Windows?—1.2 cuadro Ejecutar. Vea la fgura 2-22.
Figura 2-22
La Consola de Servicios
Para iniciar, detener, hacer pausa, reanudar o reiniciar servicios, haga clic derecho en el
servicio y después en la opción deseada. En el lado izquierdo del nombre del servicio se
encuentra una descripción. Para confgurarlo, dé clic derecho en el servicio y después en
Propiedades o doble clic en el mismo. Vea la fgura 2-23. En la fcha General en Iniciar,
escriba la opción desplegar y establezca lo siguiente:
• Automático: Especifca que el servicio debe iniciarse automáticamente cuando el
sistema inicie.
• Automático (Inicio Retardado): Especifca que el servicio debe iniciarse
automáticamente después de que se los servicios marcados como automático han
iniciado (lo cual es aproximadamente en 2 minutos).
• Manual: Especifca que un usuario o un servicio dependiente puede iniciar
el servicio. Los servicios confgurados en iniciar de modo manual no se inician
automáticamente cuando el sistema inicia.
• Desactivación: Evita que el servicio sea iniciado por el sistema, por un usuario o
por cualquier servicio independiente.
68 Lección 2
Figura 2-23
Administración de un
servicio individual
Si le agrada realizar cosas con el comando prompt o tiene la necesidad de usar un script
para iniciar o detener un servicio, es mejor usar el comando sc para comunicarse con los
Servicios y con el Administrador de Control de Servicios. El comando scconfg se usa para
modifcar una entrada a un servicio en el registro y la Base de Datos del Servicio. Además,
puede usar los comandos net start y net stop para iniciar y detener los servicios.
Como regla general debe utilizar la cuenta con los permisos y derechos mínimos para
llevar a cabo el servicio. Además de usar cuentas de servicio diferentes para cada uno.
Por lo que si instala Exchange y SQL en un servidor, deberá tener una cuenta de servicio
para Exchange y otra diferente para SQL. Para colocarlos en el mismo servidor, se debe
considerar que se trata de una compañía pequeña con pocos empleados.
Entender el Registry
È EN RESUMEN
El registry es una base de datos central y segura en la que Windows almacena la información de confguración del
hardware y software, así como las políticas de seguridad del sistema. Los componentes que usan el registro incluyen
Windows kernel, los controladores de dispositivos, los programas de confguración, los perfles de hardware y los
perfles de usuario.
La mayoría del tiempo no será necesario que entre al registro, ya que los programas y
aplicaciones generalmente hacen todos los cambios necesarios de manera automática.
Por ejemplo, cuando cambia su fondo de escritorio o cambia el color predeterminado
de Windows, entra a la opción de Apariencia y Personalización en el Panel de Control y
guarda los cambios en el registry.
Si necesita tener acceso al registry para hacer cambios, debe seguir detenidamente las
instrucciones de una fuente confable, pues un cambio incorrecto en el registry de su
computadora puede hacer su equipo inoperable. Sin embargo, puede haber un momento
en el que necesite hacer cambios en él porque no hay interfaz o programa para hacer el
cambio. Para visualizarlo y cambiarlo manualmente, debe usar el Editor (Regedit.exe), el
cual puede ejecutarse desde el prompt de comandos, cuadro Iniciar Búsqueda o cuadro de
Ejecutar. Vea la fgura 2-24.
70 Lección 2
Figura 2-24
El Editor del Registry
El registry se divide en varias secciones lógicas a las que con frecuencia se les llama hives
y cuyo nombre es generalmente asignado por sus defniciones de Windows API. Los hives
comienzan con HKEY y a menudo se presentan como una abreviación de tres o cuatro
letras; por ejemplo, HKCU es HKEY_CURRENT_USER y HKLM es HKEY_LOCAL_
MACHINE. Windows Server 2008 R2 tiene cinco Claves Raíz/HKEYs:
• HKEY_CLASSES_ROOT: Almacena información sobre aplicaciones registradas,
como la asociación de archivos que indica qué programa predeterminado abre un
archivo con cierta extensión.
• HKEY_CURRENT_USER: Almacena opciones específcas para el usuario que se
encuentra actualmente en sesión. Cuando el usuario fnaliza su sesión, el HKEY_
CURRENT_USER se guarda en HKEY_USERS.
• HKEY_LOCAL_MACHINE: Almacena opciones específcas para el equipo local.
• HKEY_USERS: Contiene subclaves que corresponden a las claves HKEY_
CURRENT_USER para cada perfl de usuario activamente cargado en la máquina.
• HKEY_CURRENT_CONFIG: Contiene información reunida durante la
ejecución. La información almacenada en esta clave no se almacena de manera
permanente en el disco, sino que más bien se genera al momento del arranque.
Las claves de registry son similares a las carpetas, las cuales pueden contener valores o
subclaves. Las claves en el registro siguen una sintaxis similar a la de la ruta para carpetas
o archivos de Windows, usando diagonales inversas para separar cada nivel. Por ejemplo:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
Los valores de registry incluyen un nombre y un valor y existen varios tipos de valores.
Algunos Tipos comunes de claves se muestran en la Tabla 2-2.
Windows Server 2008 R2 71
Tabla 2-2
Tipos comunes de claves
de registry Nombre Tipo de datos Descripción
Valor binario REG_BINARY Datos binarios sin procesar. La mayoría
de la información de los componentes
hardware se almacena como información
binaria y se muestra en el Editor del
Registry en un formato hexadecimal.
Valor DWORD REG_DWORD Datos representados por un número con
una longitud de 4 bits (un tipo de dato
entero de 32 bits). Muchos parámetros
para controladores de dispositivos y
servicios son de este tipo y se muestran
en el Editor del Registry en formato
binario, hexadecimal o decimal.
Valor de cadena REG_EXPAND_SZ Una cadena de datos de longitud variable.
expandible Este tipo de datos incluye variables que
se resuelven cuando un programa o
servicio usa los datos.
Valor de cadenas REG_MULTI_SZ Una cadena múltiple. Los valores que
múltiples contienen listas o valores múltiples en
una forma que la gente puede leer son
generalmente de este tipo. Las entradas
se separan mediante espacios, comas u
otras marcas.
Valor de cadena REG_SZ Una cadena de texto de longitud fija.
Valor QWORD REG_QWORD Datos representados por un número
que es un tipo de dato entero de 64 bits.
Estos datos se muestran en el Editor
del Registry como valor binario y se
introdujeron en Windows 2000.
Los Archivos Reg (también conocidos como Entradas al registry) son archivos de texto
usados para almacenar partes del registry y terminan con la extensión de nombre de
registro .reg. Si da doble clic en archivo reg, este añadirá las entradas al registro en el
registro. Puede exportar cualquier subclave de registro dando clic derecho en la subclave y
eligiendo Exportar. Puede respaldar todo su registro en un archivo reg dando clic derecho
en Equipo en la parte superior de Editar reg y seleccionando Exportar o puede respaldar el
estado del sistema con Windows Backup.
72 Lección 2
Como se mencionó en la Lección 1, la instalación de un Servidor Core proporciona un ambiente mínimo sin la línea
de comandos de Windows Explorer para ejecutar funciones específcas del servidor y sin botón de Inicio. Cabe señalar
que mientras generalmente usaría comandos para administrar el servidor core, estos comandos también trabajarán
con una instalación completa de Windows.
Para descubrir las funciones del servidor disponibles, abra un prompt de comando y
escriba lo siguiente:
oclist
Para apagar o reiniciar el Servidor Core de Windows Server 2008, necesita usar el archivo
shutdown.exe. Para apagar la computadora, use el siguiente comando:
shutdown /s
shutdown /r /t 0 ó shutdown /r
shutdown /l
controltimedate.cpl
controlintl.cpl
Para cambiar el nombre del equipo, primero debe conocer el nombre actual de la misma.
Para encontrar el nombre actual, puede usar el nombre del sistema central o el comando
ipconfg. Después use el siguiente comando para cambiar el nombre del equipo:
netdomrenamecomputer<ComputerName> /NewName:<NewComputerName>
ipconfg /all
Cuando vea el resultado de su comando netsh, necesita anotar los números que se muestran
en la columna Idx para su adaptador de red.
Para confgurar una dirección IP estática y una puerta de enlace predeterminada, debe usar
el siguiente comando:
netsh interface ipv4 add dnsserver name=<name of primary DNS server> address=<IP
address of the primary DNS server> index=1
Para cada servidor DNS que quiera confgurar, incremente en número en índice= número
cada vez. Así, el número de índice del primer servidor DNS sería 1. Para el segundo
servidor DNS el número de índice sería 2.
Además de ejecutar estos comandos, existen algunos programas sencillos, pero esenciales,
disponibles, incluyendo:
• Bloc de notas (notepad.exe)
• Comando del Administrador de Tareas (taskmgr.exe) o presionando las teclas
Ctrl+Alt+Del.
• Editor del Registro (regedit.exe)
• Información del Sistema (msinfo32.exe)
Puede usar cscript.exe para ejecutar scripts. Por ejemplo, para revisar las confguraciones
automáticas actuales, ejecute el siguiente comando:
Figura 2-25
Entrar a un equipo remoto
usando la consola de
Administración de Equipos
» Evaluación de Conocimientos
Opción Múltiple
d. Panel de Control
2. Si se conectó a la red interna, ¿Qué debe revisar si no puede conectarse a los
servidores web en la Internet?
a. UAC
b. Derechos Administrativos
c. Confguraciones Proxy
d. Permisos NTFS
3. ¿Qué tecnología confgura automáticamente los canales IRQs, DMA, las direcciones
de Puerto I/O y los rangos de dirección de memoria para una tarjeta de expansión?
a. Administrador de Registros de Usuario
b. Controladores Firmados
c. Administrador de Servicios
d. Plug and Play
4. ¿Qué cuenta de complemento ofrece acceso total al sistema del equipo?
a. Sistema Local
b. Servicio Local
c. Servicio de Red
d. Usuario Local
5. ¿Qué es una base de datos de seguridad central que almacena toda la información
de confguración del hardware, del software y las políticas de confguración de
seguridad?
a. Administrador de Registros de Usuario
b. El Registry
c. Administrador del Servidor
d. Administración del Equipo
6. Cuando se instalan los controladores en una versión 64-bits de Windows Server 2008
R2, debe _______________.
a. Instalar únicamente controladores frmados
b. Instalar el controlador con el Administrador de Dispositivos
c. Primero deshabilitar la UAC
d. Habilitar el servicio de Instalador de Windows
7. Para instalar una función de red, usaría _______________.
a. La consola de Administración de Equipos
b. La consola del Administrador de Servidores
c. El Administrador de Dispositivos
d. La consola de Servicios
8. ¿Qué programa usaría para asignar un IRQ a un dispositivo?
a. Administrador de Registros de Usuario
b. Administrador de Dispositivos
c. Editor del Registro
78 Lección 2
d. UAC
9. ¿Cuál de los siguientes no es un tipo de Inicio para un servicio?
a. Automático
b. Manual
c. Opción de Deshabilitar
d. Autoconfguración
10. Qué clave de Registro posee las confguraciones específcas de un equipo local?
a. HKEY_CLASSES_ROOT
b. HKEY_CURRENT_USER
c. HKEY_LOCAL_MACHINE
d. HKEY_USERS
Verdadero / Falso
» Evaluación de competencias
Acaba de instalar el Servidor Core de Windows Server 2008 R2 para que actúe como
servidor de la web. Ahora necesita confgurar el servidor. ¿Cuáles son todas esas diferentes
herramientas que puede usar?
Está instalando un nuevo programa de red, el cual instala un servicio de red. Necesita
escoger con qué tipo de cuenta desea que se ejecute el servicio. ¿Cuáles son los pasos a
seguir para escoger la cuenta?
Windows Server 2008 R2 79
» Prueba de aptitud
Instalar el servidor normalmente es una tarea sencilla. El verdadero trabajo viene cuando
hay que hacerle arreglos a Windows, como instalar roles, funciones o aplicaciones,
confgurar Windows y las propias aplicaciones. También se lleva tiempo añadir usuarios
o carpetas y conceder permisos a los equipos. Los respaldos le permiten recobrar datos
irremplazables y datos que se lleva horas volver a crear. También le permite restaurar un
servidor que tomó muchas horas instalar y confgurar si tiene que reemplazar o reconstruir
el servidor.
Lección 3
Administración de Almacenamiento
Términos claves
• Tabla de asignación de archivos, small computing system interfaz, • Conjunto redundante de discos
(FAT) ISCSI) independientes, (redundant array
• FAT32 • Número de unidad lógica, (logical of independent disks, RAID)
• Canal de fbra unit number, LUN) • SCSI (small computer system
• Controlador de host (Adaptador de • Almacenamiento conectado a red, interfaz)
Bus del host, HBA) (network attached storage, NAS) • Serial ata standard (SATA)
• Disco de reserva (hot spare) • Sistema de archivos nt (new • Red de área de almacenamiento
• Integrated drive electronics (IDE) technology fle system, NTFS) (SAN)
• Interfaz Estándar de equipos • Partición • Clonación de volumen
pequeños de internet (Internet • Esquemas de particionamiento
Acaba de instalar muchos servidores nuevos que ejecutan Windows Server 2008 para Acme
Corporation y estos han sido conectados a su red. Ahora, necesita expandir varios de estos servidores
para añadirles dispositivos y confgurar mediante los RAID de modo que las unidades toleren
fallos. Además, necesita conectarlos a un SAN de tal manera que varios servidores se conecten a un
dispositivo de almacenamiento centralizado.
82 Lección 3
Necesita sufciente poder de procesamiento y una cantidad sufciente de RAM, también podría necesitar una mayor
cantidad de almacenamiento. Aunque los servidores más simples normalmente requieren instalar un Windows
Server en un puerto local IDE (Paralelo o serial) o un disco duro SCSI, los sistemas más complejos usan arreglos de
disco RAID o dispositivos de almacenamiento remotos como SAN o NAS.
; Listo para la Los dispositivos IDE están diseñados para ser rápidos y de bajo costo. Tradicionalmente estos
Certificación se basaron en la norma ATA paralelo la cual usa cable plano de 40 u 80 hilos. Actualmente
¿Qué recomienda en estos dispositivos utilizan un serial ATA (SATA), que usa un conector de cuatro cables y un
un servidor, IDE O conector de poder más pequeño. Y aunque usa menos cables y conectores, este proporciona
SCSI? un rendimiento más rápido que los dispositivos IDE con ATA paralelo.
– 4.1
Al confgurar dispositivos IDE en paralelo, los puede conectar con el mismo cable plano.
Para eso necesita confgurarlos con un jumper para que uno sea el dispositivo maestro y
el otro esclavo. También se puede ocupar un cable que automáticamente confgure las
unidades. Actualmente si un sistema tiene dispositivos IDE, la motherboard tendrá dos
conectores IDE, permitiendo cuatro dispositivos IDE. Debido a que sólo se puede conectar
un dispositivo serial ATA a un cable, no es necesario que los confgure.
Existen varios niveles de RAID disponibles para su uso, basados en sus necesidades
particulares. RAID 0 distribuye los datos a través de todas las unidades. Con una repartición
de datos (striping), en donde todos los discos duros disponibles se combinan en un único
gran sistema de archivos virtual, con los bloques del sistema de archivos dispuestos para
Administración de Almacenamiento 83
que se distribuyan de forma equilibrada en todas las unidades. Por ejemplo, si se tienen tres
unidades de disco duro de 500 GB, RAID 0 prevé 1,5 TB de disco duro virtual. Cuando
se almacenan archivos, estos se escriben en las tres unidades. Dado lo anterior, cuando se
escribe un archivo de gran tamaño, una parte de él se puede grabar en la primera unidad,
otra en la segunda unidad y otra más en la tercera y quizás otra parte de nuevo se escribe en
la primera unidad para iniciar la secuencia una vez más. Desafortunadamente, con RAID
0, no hay control de paridad o tolerancia a fallos, por lo tanto, no es una verdadera forma
de RAID, pues si un disco falla, se perderían todos los datos del conjunto. Sin embargo,
RAID 0 tiene varias ventajas, pues ofrece un mayor rendimiento a través de un equilibrio
de cargas.
RAID 1, es otro RAID común que se utiliza en las computadoras conectadas en red y
servidores. Es conocido a veces como un refejo de disco (mirroring). Los discos refejos
copian una partición en un segundo disco duro. En concreto, la información se escribe en
ambos discos duros simultáneamente. Esto signifca que si una de las unidades de disco
duro falla, el equipo seguirá funcionando debido a que puede acceder al otro. Por ende, los
datos se copian sin las fallas a la nueva unidad y posteriormente el disco dañado se puede
remplazar.
Sin embargo, otro RAID que es común es el RAID 5, esté también distribuye datos,
excepto que el espacio, equivalente a una de las unidades de disco duro, se utiliza para
la paridad (corrección de errores) y es tolerante a fallos. Para aumentar el rendimiento, la
función de corrección de error se propaga a través de todos los discos duros de la matriz
para evitar que una sola unidad de disco haga todo el trabajo en el cálculo de los bits de
paridad. Por lo tanto, si un disco falla, se puede seguir trabajando, porque los cálculos de
paridad se completan con los datos de las demás unidades. Más tarde, cuando la unidad
se sustituye, la información faltante será reconstruida. Sin embargo, si llegaran a fallar
dos unidades, se perderán todos los datos del conjunto. En términos generales, RAID 5
ofrece mejor desempeño que el RAID 1. Pero el RAID 5 requiere al menos tres unidades o
preferiblemente más de tres. En el caso de que se tuvieran 3 unidades de 500GB, solamente
se tendrán 2 unidades de 500 GB o 1,000 GB de espacio en disco debido a que una de las
tres unidades se debe utilizar para la paridad. Del mismo modo, si se tienen 6 unidades
de 500 GB, se tendrían 5 unidades de500 GB o 2,500 GB de espacio disponible en disco.
Existen dos niveles RAID que es necesario mencionar, considerados híbridos o anidados:
• RAID 1+0 es un conjunto de datos espejo (RAID 1), con repartición de disco
(RAID 0). Un RAID 1+0 requiere un mínimo de cuatro unidades: dos duplicadas
para hacer un espejo de las unidades con repartición, además de otras dos duplicadas
para la otra mitad de los datos. El conjunto de datos seguirá funcionando si una o
más unidades espejo del mismo conjunto falla, pero si ambos discos fallan en los
dos lados del espejo, todos los datos en el sistema RAID se perderán.
• RAID 0+1 es un conjunto de repartición de datos (RAID 0), que se encuentra en
espejo (RAID 1). Al igual que en RAID 1+0, RAID 0+1 requiere un mínimo
de cuatro unidades: dos para contener los datos de la repartición, además de otras
dos para hacer espejo en el primer par. El conjunto seguirá funcionando si una
o más unidades fallan dentro de los datos de repartición. Si algunas fallan en la
repartición de datos, estos se perderán.
RAID se puede implementar usando hardware mediante un controlador especial integrado
en la tarjeta madre o con una tarjeta de expansión. Los Servidores más caros suelen utilizar
hardware RAID debido a que este software requiere procesamiento en el ordenador,
mientras que el controlador se encarga del hardware. Una desventaja del hardware RAID
es que por lo general requiere de más tiempo para arrancar.
84 Lección 3
No olvide que la mayoría de los discos duros son dispositivos mitad electrónicos y
mitad mecánicos. Los dispositivos mecánicos fallan mucho, ya que frecuentemente
sufren desperfectos más a menudo que los dispositivos electrónicos, razón por la cual los
servidores utilizan algún tipo de RAID con tolerancia a fallos.
Para tener una idea acerca de la tolerancia a fallos, un disco de reserva es un dispositivo
extra en un RAID que está inactivo hasta que uno activo falla. Cuando esto sucede,
el sistema reemplaza el disco que ha fallado con el de reserva y vuelve a generar el
conjunto con el repuesto. (Cada vez que se tiene que reconstruir un conjunto, puede durar
varias horas, especialmente en los sistemas con mucha carga de trabajo.) Un disco de
reserva puede ser compartido por múltiples conjuntos RAID.
Para las grandes empresas, los servidores pueden conectarse a dispositivos centrales los cuales tienen gran capacidad
de almacenamiento. Estos ofrecen un mejor rendimiento, una mayor tolerancia a fallos, así como una rápida
recuperación.
Red de área de almacenamiento (storage area network, SAN) es una arquitectura utilizada
en los arreglos de discos, librerías de cintas y máquinas de discos ópticos que aparecen
como unidades conectadas localmente a un servidor.
Administración de Almacenamiento 85
SAN siempre utiliza algún tipo de RAID y otras tecnologías para que el sistema sea
redundante contra fallas y ofrecer un alto rendimiento. SAN también suele contener
discos de reserva. Para proporcionar un alto nivel de rendimiento de datos, utiliza el
protocolo SCSI y una interfaz ISCSI o canal de fbra.
Aunque SAN ofrece rendimiento y redundancia de redes, también hay otras ventajas a
considerar. Por ejemplo, debido a que se designan zonas de almacenamiento dentro de
la SAN y estas se asignan a servidores, si tiene problemas con un servidor en particular,
puede rápidamente y fácilmente mover las áreas de almacenamiento a otro servidor.
Algunos SAN también ofrecen una copia instantánea de volumen (snapshotting). Cuando
tenga que instalar o actualizar un componente dentro de un servidor, primero se puede
tomar una copia instantánea (snapshot), que es una imagen temporal del momento en que
se realizó la instantánea. A continuación, puede realizar cambios o actualizaciones en el
servidor. Si más adelante tiene un problema, puede retroceder la instantánea y continuar
con las cosas como estaban antes de hacer los cambios. Retroceder a su estado anterior
puede durar unos minutos.
Número de unidad lógica (normalmente denominado LUN del inglés logical unit
number) permite a una SAN romper su almacenamiento en piezas manejables, que
luego son asignados a uno o más servidores en la red. Es una referencia lógica que puede
abarcar un disco, una sección de un disco, un conjunto de discos enteros, o una sección
de un conjunto de discos. LUN sirve como un identifcador lógico que permiten asignar
privilegios de acceso y control. Si un LUN no está asignado a un determinado servidor, ese
no lo podrá ver ni tener acceso al mismo. Sólo necesita identifcar el servidor o el clúster
que tendrá acceso al LUN y seleccionar los puertos HBA, identifcados en la SAN por su
nombre a nivel mundial (World Wide name) en el servidor o clúster, que se utilizará para
el tráfco del LUN.
El Canal de fbra (FC del inglés fbre channel) es una tecnología con una velocidad de un
gigabyte que se utiliza principalmente para la creación de redes de almacenamiento. Usa
un protocolo de canal de fbra (FCP) como su protocolo de transporte, que permite
comandos SCSI que serán transmitidos a través de dicho canal.
86 Lección 3
Cada dispositivo incluido en el controlador de host de bus se le llama nodo. Al igual que
una MAC address utilizada en tarjetas de interfaz de red, cada nodo tiene un arreglo de 64
bits de nombre a nivel mundial (WWN) asignado por el fabricante y registrado en la IEEE
para asegurarse de que es la única a nivel mundial. También similar a un servidor, cada
nodo puede tener varios puertos, cada uno con un nombre de puerto único de 64 bits y un
identifcador de 24 bits.
f Introducción a iSCSI
Internet Small Computing System Interface o iSCSI es un Protocolo de Internet para el almacenamiento en red
basado en el estándar IP, que enlaza servicios de almacenamiento de datos. El iSCSI permite a los clientes enviar
comandos SCSI sobre una red TCP /IP usando el puerto TCP 3260. Al igual que el canal de fbra, iSCSI puede
comunicarse usando Gigabit Ethernet o fbra y conectar una SAN para múltiples servidores a distancia.
Administración de Almacenamiento 87
Después de que SAN permite acceso, iSCSI emula una sesión de un disco duro para que el
servidor LUN lo trate como cualquier otro. Al igual que un canal de fbra, puede defnir
qué servidores se comunican entre LUN y qué tipo de comunicación es permitida.
El iniciador iSCSI encuentra dispositivos de almacenamiento a través del uso del Internet
Storage Name Service (iSNS). Este protocolo proporciona tanto nombres y servicios de
detección de recursos para cada dispositivos de almacenamiento en la red IP. En particular,
iSCSI utiliza la siguiente información para conectarse a la SAN:
• Nombre de host o dirección IP
• Número de puerto (por defecto es el 3260)
• Nombre iSCSI (por ejemplo, “iqn.2003-01.com.ibm: 00.fcd0ab21.shark128”)
• Contraseña opcional CHAP
El nombre iSCSI seguirá uno de los siguientes formatos:
• Nombre Calificado iSCSI (IQN): IQN sigue el formato iqn.yyyy- mm {nombre
de dominio invertido} formato. (Por ejemplo, iqn.2001-04.com.acme:storage.
tape.sys1.xyz) direcciones IQN son el formato más común.
• Identificación único extendido (EUI): EUI sigue el formato eui {dirección EUI de
64 bits}. (Por ejemplo, eui.02004567A425678D.) La Autoridad de Registro de la
IEEE proporciona la EUI de conformidad con el estándar EUI-64.
• T11 Autoridad de direcciones de red (NAA): NAA sigue el naa {ANA 64 o
128 bits} identifcador. (Por ejemplo, naa.52004567BA64678D.) NAA es
parte OUI, que es proporcionada por la Autoridad de Registro de IEEE. Los
formatos de nombre NAA se agregaron a iSCSI en el RFC 3980 para proporcionar
compatibilidad con las convenciones de nomenclatura utilizada en canal de fbra y
las tecnologías de almacenamiento SAS.
Microsoft Windows Server 2008 incluye dos interfaces del software iSCSI Iniciator
para conectar una conjunto de almacenamiento iSCSI o el volumen de un conjunto
de almacenamiento a un servidor y montar el conjunto como un volumen local. Estas
interfaces son las siguientes:
• iSCSI Initiator ( localizado en Herramientas Administrativas dentro del Panel de
Control)
• Comando de interfaz iSCSICLI
Al abrir el programa iSCSI Initiator, podrá ver las seis fchas siguientes:
• Destinos: Especifca a qué dispositivos de almacenamiento tiene acceso el
servidor y le permite conectarse a los mismos.
• Descubrimiento: Especifca la ubicación de la SAN y servidores de Internet
Storage Name Service (iSNS)
88 Lección 3
iSCSICLI
La estructura de disco
È EN RESUMEN
Antes de utilizar un disco, lo debe preparar para su uso mediante la creación de particiones o volúmenes y el formato
del disco.
Windows Server 2008 admite dos tipos de estilos de partición del disco:
• Master Boot Record (MBR): Este es el estilo de partición tradicional que ha
existido desde DOS, así como para todas las versiones de Windows. MBR soporta
particiones de hasta 2 terabytes (TB) y permite hasta 4 particiones primarias por
disco. Cada partición puede contener un sistema operativo booteable. Aunque
no se utiliza tanto como en el pasado, también se pueden crear tres particiones
primarias y una partición extendida. La partición extendida puede abarcar un
número ilimitado de unidades lógicas.
• Tabla de particiones GUID (GPT): Este es un estilo de partición más reciente que
soporta hasta 18 exabtyes (EB) o 18 mil millones de gygabytes y puede almacenar
hasta 128 particiones en cada disco. Además, esta modalidad es más tolerante a
errores, ya que almacena un duplicado de las tablas de particiones.
Administración de Almacenamiento 91
En Windows Server 2008, un disco básico es del mismo tipo que se encuentra en las
; Listo para la
versiones anteriores de Windows. Cuando se utilizaba el MBR, los básicos daban cuatro
certificación
particiones primarias o tres particiones primarias y una extendida. La tabla de particiones
¿Cuáles son las y el registro de arranque maestro se encuentran en el primer sector de cada disco duro.
diferencias entre
discos básicos y Los discos dinámicos fueron creados para aumentar la fexibilidad. En lugar de una tabla
dinámicos? –4.3 de particiones que se encuentran en un disco básico, uno dinámico utiliza de base de
datos del Logical Disk Manager (LDR) para almacenar información sobre el disco básico.
Debido a que utiliza LRD, se puede dividir en dos mil volúmenes separados. Sin embargo,
debe limitar el número de volúmenes a 32 para permitir que el sistema reinicie en un
plazo razonable de tiempo.
Los discos dinámicos están destinados a eso missmo, lo que signifca que pueden ampliar
o reducir el tamaño del disco sin tener que reiniciar el sistema. Además, por ser dinámicos
soportan cinco tipos de volúmenes:
• Volumen simple: Consta de un espacio en un solo disco físico. Esta puede ser un
área única de un disco o de varias regiones del mismo disco.
• Volumen distribuido: Consta de espacio en disco de más de un disco físico.
Puede agregar más espacio a un volumen distribuido, extendiéndolo en cualquier
momento. También puede crear volúmenes distribuidos, pero necesita al menos dos
discos dinámicos para hacer un volumen distribuido. Puede extender un volumen
distribuido en un máximo de 32 discos dinámicos, sin embargo, los volúmenes
distribuidos no se pueden hacer dinámicos o refejados y no son tolerantes a fallos.
• Volumen seccionado: (RAID 0) almacena los datos en secciones de dos o más
discos físicos. Los datos en el volumen seccionado se asignan de forma alternativa
y equitativa (en secciones) entre cada uno de los discos contenidos en el volumen
seccionado. Estos pueden mejorar sustancialmente la velocidad de acceso a datos.
Sin embargo, no son tolerantes a fallos. Necesita al menos dos discos físicos
dinámicos para crear un volumen seccionado, y se puede extender a un máximo
de 32 discos. Si necesita hacer un volumen seccionado mayor mediante la adición
de otro disco, primero debe eliminar el volumen y a continuación volver a crearlo.
• Volumen refejado: Utiliza volúmenes almacenados en dos discos físicos separados
para “refejar” (escritura) los datos en ambos discos simultáneamente y de forma
redundante. Esta confguración se conoce como RAID 1. Si uno de los discos en
la confguración refejada falla, Windows Server 2008 escribirá un evento en el
registro del sistema del Visor de Eventos. El sistema seguirá funcionando con
normalidad hasta que el disco se sustituya.
• Volumen RAID-5: Un volumen RAID-5 es una forma de RAID (creación de
bandas con paridad) que utiliza un mínimo de tres discos (y un máximo de 32
discos) para crear una unidad con tolerancia a errores entre ellas. Aquí, si falla una,
el sistema seguirá trabajando normalmente hasta que se sustituya.
Puede crear volúmenes refejados y RAID-5 sólo en discos dinámicos que se ejecutan en
Windows Server 2008, Windows Server 2003 o Windows Server 2000. Los Volúmenes
refejados y RAID-5 se consideran tolerantes a fallos debido a que estas confguraciones
pueden soportar un desperfecto de un solo disco y seguir funcionando normalmente. Los
volúmenes refejados y RAID-5 requieren la misma cantidad de espacio en disco disponible
en cada uno que sea parte de estos volúmenes. Como se mencionó anteriormente, en un
92 Lección 3
volumen refejado se deben usar dos discos físicos, y un volumen RAID-5 debe utilizar al
menos tres, pero no más de 32 discos duros físicos.
FAT32 fue liberado con la segunda versión de Windows 95. Aunque este sistema de
archivos puede soportar discos más grandes, las versiones actuales de Windows soportan
volúmenes de hasta 32 GB. FAT32 también es compatible con nombres largos de archivo.
La herramienta principal de Administración de Discos en Windows Server 2008 es el complemento MMC (snapins)
llamado Administración de Discos, que también forma parte de la consola de Administración y mi Equipo. Además,
puede utilizar diskpart.exe y el comando Format para particionar y dar formato a una unidad, así como el Explorador
de Windows.
Administración de discos es una utilidad de sistema para gestionar discos duros y los
volúmenes o particiones que contienen. Con Administración de discos, puede inicializar
discos, crear volúmenes y formatearlos con los sistemas de archivos FAT16, FAT32 o
NTFS. Vea la fgura 3-3.
Figura 3-3
Administración de Discos
snap-in
Cada vez que se agrega un nuevo disco (ya sea un disco duro o una unidad virtual, como
por ejemplo un SAN) a un sistema de servidor de Windows 2008, es necesario abrir
Administración de Discos e inicializar el disco.
Figura 3-4
Inicialización de un disco
Si el disco que desea inicializar no aparece, es posible que tenga que hacer clic derecho
en Administración de Discos y seleccionar Actualizar o Volver a examinar los discos. Si
el disco sigue sin aparecer, es preciso asegurarse de que está correctamente conectado y
funcionando.
Los discos nuevos se iniciarán automáticamente como discos básicos. Para convertir uno
básico en uno dinámico, debe haber por lo menos 1 MB de espacio sin asignarlo. La
Administración de Discos reserva automáticamente este espacio al crear particiones o
volúmenes en un disco.
Figura 3-5
Convertir un disco básico
en un disco dinámico
Al convertir un disco básico en uno dinámico, las particiones existentes o las unidades
lógicas del disco básico se convierten en volúmenes simples en el disco dinámico.
PREPÁRESE. Para crear o eliminar una partición o unidad lógica, haga lo siguiente:
1. Abra la consola Administración de Discos.
2. Realice una de las siguientes opciones:
• Haga clic en una región sin asignar un disco básico y después en Nueva Partición.
• Haga clic en un área de espacio libre en una partición extendida y haga clic en Unidad
Lógica Nueva.
• Haga clic en una partición o unidad lógica y seleccione Eliminar Partición para
borrarla. Haga clic en Sí para confirmar la eliminación.
3. Cuando elije crear una nueva partición o unidad lógica, aparecerá el Asistente para
Partición Nueva. Haga clic en Siguiente para continuar.
4. Especifique el tamaño del volumen y haga clic en Siguiente. Vea la figura 3-6.
96 Lección 3
Figura 3-6
Especificación del tamaño
de un volumen
5. Asigne una letra a la unidad o monte el volumen en una carpeta NTFS vacía y haga clic en
Siguiente. Vea la Figura 3-7.
Figura 3-7
Asignación de una letra
de unidad a un nuevo
volumen
Figura 3-8
Formatear un volumen
Para los discos básicos, primero debe crear una partición extendida antes de poder crear
una unidad lógica nueva, si no hay una partición extendida existente.
Si elige eliminar una partición o unidad lógica, se perderán a menos que previamente haya
realizado una copia de seguridad. Además, no puede eliminar la partición del sistema, de
arranque o cualquier partición que contenga un archivo de paginación activa. Windows
Server 2008 requiere que elimine todas las unidades lógicas y cualquier otra partición a
la que no se les ha asignado una letra de unidad dentro de una partición extendida antes
de eliminarla.
PREPÁRESE. Para extender un volumen simple o distribuido, realice los siguientes pasos:
1. Abra Administración de Discos.
2. Haga clic con el botón derecho en el volumen simple o distribuido que desea extender, y
luego seleccione Extender Volumen.
3. Especifique el disco disponible y el tamaño al que desea extender. Haga clic en Siguiente.
Vea la figura 3-9.
98 Lección 3
Figura 3-9
Extensión de un volumen
PREPÁRESE. Para crear un nuevo volumen reflejado vacío con espacio no asignado, siga
estos pasos:
1. Abra Administración de Discos.
2. Haga clic derecho en un espacio de área sin espacio asignado en un disco dinámico y
seleccione Nuevo Volumen.
3. Haga clic en Siguiente en la ventana de bienvenida para el Asistente de Nuevo Volumen.
4. Haga clic en Reflejado como la opción de tipo de volumen y después en Siguiente.
5. Seleccione uno de los discos dinámicos disponibles y haga clic en Agregar.
6. Ingrese la cantidad de espacio de almacenamiento que será utilizado (en MB) para este
volumen reflejado, tiene hasta un máximo de espacio disponible en el primer disco que ha
seleccionado y a continuación haga clic en Siguiente.
7. Asigne al nuevo volumen una letra de unidad, monte el volumen en una carpeta vacía
NTFS, o puede optar por no asignar una letra de unidad o ruta de acceso, haga clic en
Siguiente.
8. Seleccione si desea formatear el nuevo volumen reflejado. Si elige formatear el nuevo
volumen, debe hacer lo siguiente:
• Especificar el sistema de archivos. (NTFS es la única opción para volúmenes
dinámicos en la consola Administración de Discos.)
• Especifique el tamaño de la unidad de asignación.
• Especifique la etiqueta de volumen.
• Marque la casilla de verificación para Realizar Un Formateo Rápido (si se desea).
• Marque la casilla de verificación Habilitar Compresión De Archivos Y Carpetas (si se
desea).
Administración de Almacenamiento 99
PREPÁRESE. Para crear un volumen reflejado desde uno de arranque o de sistema, o para
crear un volumen reflejado en uno existente que ya contiene datos, realice los siguientes
pasos:
1. Abra Administración de Discos.
2. Haga clic derecho en un volumen dinámico existente y seleccione Agregar espejo.
3. Seleccione uno de los discos dinámicos disponibles en los que desea crear el volumen
redundante y haga clic en Agregar Espejo.
Si desea destruir por completo uno de los volúmenes refejados y dejar sólo uno intacto,
es necesario realizar un procedimiento de remoción en lugar de simplemente romper el
volumen refejado.
PREPÁRESE. Para crear un volumen seccionado desde el espacio no asignado, siga estos
pasos:
1. Haga clic derecho en un área de espacio no asignado y seleccione Nuevo Volumen
Seccionado.
2. Cuando aparezca la pantalla de Bienvenida, haga clic en Siguiente.
3. Seleccione el disco restante y haga clic en Agregar. A continuación haga clic en
Siguiente.
4. Asigne la unidad F y haga clic en Siguiente.
5. Cuando se le pregunte si desea formatear el volumen, haga clic en Siguiente.
6. Cuando el asistente haya finalizado haga clic en Finalizar.
PREPÁRESE. Para crear un volumen RAID-5 usando la Administración de Discos, realice los
siguientes pasos:
1. Abra la Administración de Discos. Asegúrese de que el equipo tiene tres o más discos
dinámicos, cada uno con espacio no asignado.
2. Haga clic derecho en un área de espacio no asignado en uno de los discos dinámicos que
desea utilizar para el volumen RAID-5 a continuación, seleccione Nuevo Volumen.
3. Haga clic en Siguiente en la ventana de bienvenida Asistente para Nuevo Volumen.
4. Seleccione RAID-5 en el botón de opción y haga clic en Siguiente.
5. Seleccione cada disco disponible que desee utilizar como volumen RAID-5 dentro
del cuadro de lista disponible y haga clic en Agregar para cada uno de ellos. Debe
seleccionar al menos tres discos y no más de 32.
6. Seleccione los discos que no desea utilizar como parte del Volumen RAID-5 en el cuadro
de la lista seleccionado y haga clic en Quitar.
7. Ingrese la capacidad de almacenamiento que desee para el volumen RAID-5 en el cuadro
Seleccione La Cantidad De Espacio, a continuación, haga clic en Siguiente para continuar.
8. Asigne una letra de unidad al volumen, para montarlo en una carpeta NTFS vacía, o para
no asignar una letra de unidad o ruta de acceso al nuevo volumen RAID-5 y haga clic en
Siguiente.
9. Seleccione si desea formatear el nuevo volumen RAID-5. Si elige formatear el volumen,
debe hacer lo siguiente:
• Especificar el sistema de archivos. (NTFS es la única opción para volúmenes
dinámicos en la consola Administración de discos).
• Especifique el tamaño de la unidad de asignación.
• Especifique la etiqueta de volumen.
• Marque la casilla de verificación para realizar un formateo rápido (si se desea).
• Marque la casilla de verificación Habilitar Compresión de Archivos y Carpetas (si se
desea).
Administración de Almacenamiento 101
Al preparar un volumen en Windows, puede asignar una letra de unidad al nuevo volumen,
o puede crear un punto de montaje como una carpeta NTFS vacía. La letras disponibles
para las unidades van desde la unidad C hasta la unidad Z (es decir, hay 24 letras de
unidades diferentes). Las unidades A y B están reservadas para unidades de disquete. Para
asignar o cambiar una letra de unidad para un volumen, haga clic derecho en el volumen
en la consola Administración de discos y seleccione Cambiar letras de unidad y ruta de
acceso. A continuación, haga clic en el botón Agregar o Cambiar.
Mediante el uso de puntos de montaje de volumen, puede insertar o montar una partición
de destino en una carpeta en otra unidad. El montaje se maneja de forma transparente
para el usuario y aplicaciones. Con las características de montado de un volumen NTFS, se
puede superar la limitación de 26 letras de unidad.
PREPÁRESE. Para asignar una Ruta de Carpeta de punto de montaje a una unidad utilizando la
interfaz de Windows, siga estos pasos:
1. En Administración de discos, haga clic derecho en la partición o en el volumen que desee
de punto de montaje en la ruta de la carpeta, a continuación, seleccione Cambiar la letra y
rutas de acceso de unidad.
2. Para asignar una ruta de carpeta de punto de montaje, elija Agregar. Haga clic en Montar
en las siguientes carpetas vacías NTFS, escriba la ruta de una carpeta vacía en un
volumen NTFS o seleccione Examinar para buscar la carpeta.
102 Lección 3
Resumen de Habilidades
• Cuando se utiliza el MBR, los discos básicos dan cuatro particiones primarias o
sólo tres de estas más una extendida.
• Los discos dinámicos ofrecen una mayor fexibilidad, incluyendo más de 2,000
volúmenes y la posibilidad de ampliar o reducir el tamaño del disco sin necesidad
de reiniciar.
• Los discos dinámicos soportan cinco tipos de volúmenes: simples, distribuidos,
seccionados, refejados y volúmenes RAID-5.
• Un sistema de archivos es un método de almacenamiento y organización de
archivos de computadora y los datos que ellos contienen, de manera que sea fácil de
encontrar y acceder a esta información. Un sistema de archivos también mantiene
la ubicación física de los archivos, para que se pueda encontrar y acceder a los en
el futuro.
• En la actualidad, NTFS es el sistema de archivos preferido, en parte porque admite
discos duros más grandes (hasta 16 exabytes) y nombres de archivo largos.
• NTFS utiliza un registro (journaling) para asegurarse de que las operaciones de
disco están escritas correctamente antes de que puedan ser reconocidas.
• NTFS ofrece mejor seguridad a través de los permisos y la encriptación.
• La herramienta principal usada para la administración de discos en Windows Server
2008 es el complemento MMC llamada Administración de discos, que también
forma parte de la consola Administración y de equipos.
• Al preparar un volumen en Windows, puede asignar una letra de unidad a uno
nuevo, o puede crear un punto de montaje para este como una carpeta NTFS vacía.
Opción múltiple
c. Plug-in iSCSI
d. Complemento iSCSI
8. ¿Qué topología de Canal De Fibra proporciona una conexión optimizada cuando
aislamos puertos con fallas?
a. FC-P2P
b. FC-AL
c. FC-SW
d. FC-SNP
9. ¿Qué unidades utilizadas en SAN se pueden asignar a un servidor?
a. HBA
b. Snapshots
c. LUN
d. ANSIs
10. 10. ¿Qué tipo de volumen no admiten los discos dinámicos?
a. Volumen simple
b. Volumen seccionado
c. Volumen seccionado en espejo
d. Volumen RAID-5
Verdadero / Falso
» Evaluación de Competencias
Está confgurando un equipo que ejecuta Windows Server 2008 R2 y quiere ejecutar
Microsoft Exchange 2010. Hasta ahora, tiene una sola unidad de 80 GB con Windows
ejecutándose en ella. ¿Qué unidades y confguración de la unidad debe agregar el servidor
para que admita Microsoft Exchange si se requiere de 100 GB de buzones de correo?
106 Lección 3
Cada día, los discos son más rápidos y tienen más capacidad. En adición, los discos están
empezando la transición de discos magnéticos mecánicos a discos de estado sólido. Haga una
búsqueda en Internet, encuentre el mejor disco disponible actualmente, e investigue sus
características. Enliste el dispositivo, sus puntos fuertes, y donde encontró la información.
» Evaluación de Competencias
Usando el espacio libre en disco del primer dispositivo y el espacio en el segundo disco,
para crear un volumen seccionado.
Términos Clave
• Clúster activo-pasivo • Information Technology • Consola de recuperación
• Opciones Avanzadas de Reinicio Infrastructure Library (ITIL) • Monitor de Recurso
• Respaldo • Base de Conocimiento • Modo seguro
• Datos de confguración de inicio • Última confguración correcta • Copias sombra (Shadow copy)
(Boot Confguration Data, BCD) conocida • Información del Sistema
• Archivo boot.ini • Registro de arranque maestro • Administrador de Tareas
• Clúster (Master boot record, MBR) • Trabajo en equipo
• Respaldo diferencial • Microsoft TechNet • Suministro de energía
• Visor de Eventos • Balanceo de carga de red (Network ininterrumpible (UPS)
• Failover cluster (Clúster en caso load balancing, NLB) • Memoria virtual
de falla) • Archivo de paginación • Volume boot record (VBR)
• Respaldo completo • Monitor de Desempeño • Windows Preinstallation
• Grandfather-father-son (GFS) • Prueba automática de encendido Environment (Windows PE)
• Respaldo incremental (Power-On Self Test, POST)
Tiene ya varios meses en Acme Corporation. Desde entonces, ha actualizado e instalado varios
servidores; también ha realizado el inventario de los mismos así como de sus servicios de
administración. Cuando su jefe le pregunta, “Si tuviéramos un desastre, ¿cómo lo enfrentaría?”,
no le da respuesta minuciosa. Unas semanas después, uno de los servidores falla y ya no arranca.
108 Lección 4
Para la mayoría de las compañías, el departamento de Tecnología de Información (TI) puede ser muy complejo.
Con todos los servicios y aplicaciones que están disponibles, las compañías más grandes por lo general necesitan
contar con un equipo de personas especializadas debido a la gran carga de trabajo. Para ayudar a administrar este
departamento, se han creado normas a seguir.
º Tome Nota Cuando esté administrando sistemas complicados de los que depende su compañía,
Recuerde que el necesitará tener procesos bien establecidos para planear, diseñar, implementar, monitorear
departamento de y retirar servidores, servicios y aplicaciones; para asegurar que su tiempo y dinero estén
TI está ahí para dar correctamente administrados y que se cumplan las necesidades de su organización.
servicio al resto de la
organización, no por el La Information Technology Infrastructure Library (ITIL) es un juego de conceptos
contrario y prácticas para administrar sistemas de Tecnología de Información (TI),
Administración de Servicio de TI (ITSM), desarrollo y operaciones de TI. La ITIL da
descripciones detalladas de una gran cantidad de prácticas de TI importantes y provee
listas de verifcación, tareas y procedimientos comprehensivos; que cualquier organización
de TI puede diseñar conforme a sus necesidades. La ITIL se publica en una serie de libros,
cada uno de los cuales cubre un tema de administración de TI.
Más Información
Para mayor información sobre la ITIL, visite los siguientes sitios Web:
http://www.itil-officialsite.com
http://en.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
Por ejemplo, si trabaja con registros médicos, tiene ciertas normas que necesita seguir para
mantener los datos seguros, tales como el Health Insurance Portability and Accountability
Act (HIPAA). En una compañía que cotice en la bolsa, tiene que seguir ciertos requisitos
fnancieros, incluyendo el archivo de datos. Por último, su organización puede establecer
sus propias normas.
Cuando requiere usar un servidor, servicio o aplicación, debe implementar ciertos pasos
adecuadamente. Los cuales son:
• Recolección de requerimientos
• Diseño y planeación
• Implementación
• Administración y monitoreo inquirir
Mediante la recopilación de necesidades, defna lo que hará el servidor, si será un
servicio o una aplicación, incluyendo su carga de trabajo. Sin un examen adecuado de
los requerimientos podría no seleccionar el hardware o software correcto que favorecerá
sus objetivos. Debe por lo tanto planear y diseñar el servidor, servicio o aplicación para
garantizar que haga lo que debe hacer sin interferir con otros servidores, servicios o
aplicaciones. A continuación instalará el servidor, servicio o aplicación, incluyendo su
confguración. Por último, necesita administrarlo y monitorearlo para asegurarse que haga
sus funciones que los usuarios y servicios apropiados puedan tener acceso a éste. Si ocurre
un problema, necesitará solucionarlo. Conforme monitoree el sistema, deberá observar el
desempeño del mismo de tal forma que sepa cuándo debe reemplazar su servidor, servicio
o aplicación. También deberá identifcar los problemas potenciales antes de que afecten su
servidor, servicio o aplicación; para evitar su deterioro o que llegue al punto en que no
se pueda usar.
Dentro de estos documentos y sitios Web, siempre debe poner atención a las secciones de
las Mejores Prácticas. Al seguir estas directrices, el sistema o aplicación funcionarán con
mayor efciencia y confanza, estarán más seguros y serán más escalables. Algunos de los
componentes de software más complejos incluyen Microsoft Exchange y Microsoft SQL
Server incluyen el software Best Practices Analyzer, que analizará automáticamente el
servidor y proporcionará recomendaciones.
Al administrar sus servidores, puede tomar uno de dos enfoques: proactivo o reactivo.
Ser proactivo signifca que planea, con anticipación y previendo los problemas antes que
sucedan y dañen su servidor, servicio o aplicación. Ser reactivo signifca que está esperando
a que ocurran los problemas antes de atenderlos. La mejor opción es ser proactivo de
tal forma que pueda evitar problemas que ocasionen que el sistema quede inactivo. Por
supuesto, debe dedicar tiempo y esfuerzo así como invertir en hardware y software adicional
para ayudarlo a monitorear efcientemente sus servidores, servicios y aplicaciones. Por
último, recuerde que aunque se esfuerce por ser proactivo, tarde o temprano tendrá que
tratar con problemas imprevistos e inesperados.
110 Lección 4
Como técnico de computadoras, administrador de servidor o de red, tarde o temprano tendrá que enfrentar ciertos
problemas. Algunos de ellos tendrán soluciones obvias y fáciles de arreglar. Otros tantos necesitarán ser encontrados,
siguiendo una metodología de solución de problemas para resolverlos efcazmente.
; Listo para la La principal razón para usar una metodología de solución de problemas efectiva es porque
Certificación reduce la cantidad de trabajo necesario para solucionar problemas y arreglarlos de manera
oportuna.
¿Qué pasos utilizará
para solucionar algún
Los ingenieros de Servicios de Soporte del Producto Microsoft, usan el “método de
problema?
—6.4
detección”, que consiste en los siguientes pasos:
1. Descubrir el problema: Identifcar y documentar los síntomas del problema, así
como buscar los recursos de información técnica, incluyendo la investigación en
los artículos de Microsoft Knowledge Base (KB) para determinar si el problema
es una situación conocida.
2. Evaluar la confguración del sistema: Preguntar al cliente y revisar la
documentación del sistema para determinar si se ha hecho algún cambio de
hardware, software o red; incluyendo cualquier adición reciente. También
verifcar los registros disponibles incluyendo el Visor de Eventos.
3. Enumerar o rastrear las posibles soluciones e intentar aislar el problema
retirando o desactivando los componentes de hardware o software:
También puede considerar recurrir a programas de diagnóstico de registro
o ejecución adicionales para reunir más información y probar con otros
componentes.
4. Ejecutar un plan: Probar potenciales soluciones y tener un plan de contingencia
si estas no funcionan o tienen un impacto negativo en la computadora. Por
supuesto, no desea empeorar el problema, si es posible, respalde cualquier archivo
de sistema o aplicación crítica.
5. Revisar los resultados: Si el problema no tiene arreglo, regrese para rastrear
posibles soluciones.
6. Tomar un enfoque proactivo: Documente los cambios que realizó en la
solución del problema. Avise al cliente y registre los síntomas internos del
problema. En caso de que esta información sea necesario en problemas similares
que sucedan posteriormente o de que los cambios que arreglaron el problema
afecten otras áreas.
Cuando solucione problemas, tiene varias herramientas que pueden ayudar a aislar y
arreglar las fallas. Como el Administrador de Dispositivo que ya se discutió en la Lección
2. Otras herramientas son:
• Información del Sistema
• Visor de Eventos
• Administrador de Tareas
• Monitor de Recursos
• Monitor de Desempeño
• Confguración del Sistema
Monitoreo y Solución de Problemas de Servidores 111
Microsoft Corporation cuenta con una Base de Conocimientos (Knowledge Base) y varios
foros en línea (http://social.microsoft.com/forums y http://social.technet.microsoft.com/
Forums) foros en línea, en los que puede encontrar ayuda para solución de una amplia
gama de problemas, así también le permiten dejar mensajes para que otras personas los
contesten. La Knowledge Base de Microsoft es el depósito de miles de artículos que están
disponibles para el público y que cuenta con información sobre los problemas encontrados
por los usuarios de los productos de Microsoft. Cada artículo tiene un número de ID y por
lo general se referen con respecto a su ID de la Base de Conocimiento (KB), al ingresar las
palabras clave o la ID en http://support.microsoft.com/search/.
Información del Sistema (también conocido como msinfo32.exe) muestra detalles sobre
la confguración de hardware, componentes y software de su computadora, así como de
los controladores. Se incluyó originalmente con Windows, para ayudar a las personas de
soporte de Microsoft a determinar lo qué contiene una máquina en particular, en especial
cuando hablan con los usuarios fnales.
La Información del Sistema enumera categorías en el panel izquierdo y detalles sobre cada
categoría en el panel derecho. Vea la fgura 4-1. Las categorías son:
• Resumen de Sistema: Muestra la información general sobre su computadora y el
sistema operativo, tal como el nombre de la misma y fabricante; el tipo de sistema
básico de entrada/salida (BIOS) que usa su computadora y la cantidad de memoria
instalada.
• Recursos de Hardware: Muestra detalles avanzados respecto al hardware de su
computadora y está diseñado para profesionales de TI.
• Componentes: Muestra la información sobre las unidades de disco, dispositivos de
sonido, módems y otros componentes instalados en su computadora.
• Ambiente de Software: Muestra información respecto a los controladores,
conexiones de red y otros detalles relacionados con programas.
112 Lección 4
Figura 4-1
Información del Sistema
Para encontrar un detalle específco en la Información del Sistema, escriba lo que busca
en la casilla Buscar esto en la parte inferior de la ventana. Por ejemplo, para encontrar la
dirección de protocolo de Internet (IP) de la computadora, escriba “dirección IP” en la
casilla Buscar esto y en seguida haga clic en Buscar.
f Visor de Eventos
Una de las herramientas de solución de problemas más útil, es el complemento Visor de eventos MMC, que
esencialmente es un visor de registro. Cada vez que tenga problemas, debe buscar en el Visor de eventos para
encontrar cualquier error o advertencia que le pueda revelar cuál es el problema.
Figura 4-2
Visor de Eventos de
Windows
El Visor de eventos le permite ver sucesos en un equipo remoto. Sin embargo, solucionar
un problema podría requerir que examine un juego de eventos guardados en registros
múltiples en varios equipos.
El Visor de eventos actual se puede usar para recolectar copias de eventos desde múltiples
computadoras remotas y guardarlas localmente. Para especifcar qué eventos se van a
recolectar, debe crear una subscripción de eventos. Entre otros detalles, la subscripción
especifca exactamente los eventos que se recolectarán y en qué registros se guardarán
localmente. Una vez que la subscripción esté activa y los eventos se recolecten, puede
observar y manipular estos eventos reenviados como lo haría con cualquier otro evento
guardado localmente.
Monitoreo y Solución de Problemas de Servidores 115
Uno de los problemas más frustrantes en la solución de difcultades, es cuando Windows no arranca y no se puede
iniciar sesión. Para superar estos problemas, necesita entender cómo arranca la computadora y familiarizarse con las
herramientas disponibles durante el arranque.
; Listo para la Cada vez que enciende una computadora, pasa a través de la Power-On Self Test o prueba
Certificación automática de Encendido (POST), que inicializa el hardware y encuentra el sistema operativo
Si su servidor para cargarlo, e incluye los siguientes pasos:
falla en arrancar
1. La computadora realiza una verifcación rápida de energía para asegurarse que
adecuadamente, ¿sabe
tenga la sufciente energía para suministrar al sistema.
cómo aislar el punto en
el que falla? 2. Cuando el procesador recibe una buena señal de energía, se inicializa y prueba los
—6.1 componentes esenciales de la computadora como se especifca en el ROM BIOS
del Sistema.
3. Si encuentra un problema, la computadora lo identifca con una serie de bips
basados en el ROM BIOS del sistema.
4. El procesador entonces inicializa la tarjeta de video y envía información al
monitor. A continuación, el sistema inicializa los componentes adicionales. Si se
descubre un problema, muestra el mensaje para indicarlo.
5. El sistema buscará un dispositivo de arranque (tal como el disco duro, disco
óptico o unidad USB) a partir del que arrancará.
6. El sistema leerá el registro de arranque maestro en el dispositivo de arranque para
determinar los archivos de arranque del sistema.
Si el sistema ejecuta Windows XP o Windows Server 2003, pasará a través de los siguientes
pasos:
1. Se cargará NT loader (NTLDR), que lee el archivo boot.ini para desplegar el
menú de arranque o para arrancar desde una partición o volumen.
2. NTDetect.com reúne información sobre el hardware de la computadora como lo
reporta el BIOS.
3. NTOSKRNL.EXE es la parte principal de Windows, responsable de varios
servicios y procesos del sistema y la administración de la memoria.
4. HAL.DLL implementa una serie de funciones de diferentes maneras por varias
plataformas de hardware en base al procesador y al chipset.
Si el sistema ejecuta Windows Vista, Windows 7 o Windows Server 2008, hará como
sigue:
1. Se carga BOOTMGR que accesa a Boot Confguration Data Store para desplegar
el menú de arranque o para arrancar desde una partición o volumen.
2. WINLoad es el cargador de arranque del sistema operativo, que carga el resto del
sistema operativo.
3. NTOSKRNL.EXE es la parte principal de Windows, responsable de varios
servicios y procesos del sistema así como de la administración de la memoria.
116 Lección 4
La partición activa, es el volumen que está marcado como la partición a partir del que se
va a arrancar. La partición activa o volumen activo que contiene el archivo de arranque
(NTLDR o BOOTMGR) se conoce como la partición/volumen del sistema. El área que
contiene los archivos del sistema operativo de Windows (por lo general Windows o la
carpeta WINNT) se llama partición de arranque. Es común que los sistemas tengan una
unidad y una partición/volumen que constituyen la partición, la partición del sistema y la
partición de arranque.
La variable %SystemRoot% es una variable de ambiente a lo largo del sistema especial, que
se encuentra en los sistemas de Microsoft Windows. Su valor es la ubicación de la carpeta
del sistema, incluyendo la unidad y la ruta. De manera determinada, en una instalación
limpia de Windows, la variable %SystemRoot% es C:\Windows.
f Qué es Boot.ini
El NTLDR de Windows XP y Windows Server 2003 leerá el archivo boot.ini para determinar qué sistema operativo
va a cargar, incluso si su unidad tiene sólo un sistema operativo. Si su equipo cuenta con múltiples sistemas operativos,
el archivo boot.ini puede desplegar un menú de arranque, de tal forma que puede elegir qué sistema operativo cargar
y seleccionar automáticamente uno predeterminado si no se selecciona durante el arranque.
Las opciones de menú se guardan en boot.ini, que se ubica en la raíz del mismo disco como
NTLDR. Éste es un archivo de sistema oculto de sólo lectura.
[cargador de arranque]
Tiempo=30
Predeterminado=multi(0)disco(0)ridsk(0)partición(1)\Windows
[sistemas operativos]
La ruta ARC se usa para especifcar la ubicación del sistema operativo. Sigue el formato:
multi(x)disk(y)rdisk(z)partition(a)
scsi(x)disk(y)rdisk(x)partition(a)
SCSI se usa para un disco con su BIOS desactivado. Multi se usa para discos diferentes
o un SCSI con su BIOS activado. La cantidad después de Multi es el número ordinal del
adaptador del hardware que comienza con 0. El número después de Disk es el número de
bus SCSI y siempre será 0 para un disco diferente o para un disco de estos con su BIOS
activado. El número después de Rdisk es el número ordinal del disco que comienza desde
0. El número después de la partición, es el número ordinal de la partición que comienza en
1. Después de la partición, especifca entonces la carpeta que contiene la carpeta Windows.
Ésta por lo general es \Windows o \Winnt.
Hay varias opciones que se pueden usar en la sección del [sistema operativo]. Algunos de
los ajustes populares son:
/3GB: Fuerza a los sistemas basados en x86 a incrementar el espacio de dirección virtual
asignado por programas de usuario a 3 GB, y disminuye a 1 GB asignado al kernel y
componentes de ejecución. Algunas confguraciones de Windows Server 2003 que
ejecutan aplicaciones intensivas de memoria virtual, tales como servidores de base de
datos o Microsoft Exchange Server 2003 pueden requerir este interruptor para un mejor
desempeño.
/PAE: Activa el soporte de Extensión de Dirección Física (PAE), que permite que el
sistema vea más de 4 GB de memoria. Nota: En el modo seguro, la computadora arranca
usando los kernels normales, incluso si se especifca /PAE.
buffer, con una entrada de programa inesperada para ejecutar un código arbitrario. La
opción /NOEXECUTE sólo está disponible con versiones de 32 bits de Windows que se
ejecutan en procesadores que soportan DEP y siempre está activa en versiones de 64 bits de
Windows. Para desactivar la DEP, debería incluir /NOEXECUTE=ALWAYSOFF.
f Qué es BCDEdit
Los Datos de Configuración de Arranque (BCD) son una base de datos independiente del frmware, para datos de
confguración de tiempo de arranque, que usa Windows Boot Manager de Microsoft, que se encuentra con Windows
Vista, Windows 7, y Windows Server 2008. Para editar la Confguración de Arranque, usa por lo general Bcdedit.
exe.
A diferencia de las versiones previas de Windows que usaban el archivo boot.ini para
designar la confguración de arranque, las versiones más recientes de Windows guardan
la confguración en \Boot\bcd en el volumen de sistema, en máquinas que usan frmware
compatible con PCs IBM. Para editar las Opciones de Menú de Arranque de Windows, se
usa el Editor de Datos de Confguración de Arranque (Bcdedit).
Se puede usar la línea de comando Bcdedit.exe para agregar, eliminar y editar entradas en
el almacenamiento BCD, que contiene objetos. Cada objeto se identifca por un GUID
(Identifcador Único Global). Cada unidad o partición en el sistema tendrá su propio
GUID y puede ser
• {legacy}: Describe una unidad o partición en un sistema operativo previo a
Windows Vista,
• {default}: Describe la unidad o partición que contiene el sistema operativo
predeterminado actual, o
• {current}: Describe la unidad o partición actual a partir de la que se arranca.
Monitoreo y Solución de Problemas de Servidores 119
bcdedit /timeout 5
Más Información
Para mayor información sobre Bcdedit, visite los siguientes sitios Web:
http://technet.microsoft.com/en-us/library/cc709667(WS.10).aspx
http://www.windows7home.net/how-to-use-bcdedit-in-windows-7
120 Lección 4
Cuando usa Windows Vista, Windows 7 y Windows Server 2008, puede modifcar el
sistema operativo predeterminado y la cantidad de tiempo que aparece la lista de sistemas
operativos haciendo clic derecho en Equipo, seleccionando Propiedades, haciendo clic en
Ajustes avanzados de sistema, eligiendo la fcha Avanzado y oprimiendo Ajustes en la
sección de Arranque y Recuperación. También puede especifcar el tipo de descarga que
ocurre durante una falla de sistema.
Figura 4-4
Opciones Avanzadas de
Arranque
El modo seguro y sus derivados, activar registro de arranque, activar baja resolución,
última confguración correcta conocida y modo de restauración de servicios de directorio,
han existido desde hace varios años.
También es útil para solucionar problemas con programas y controladores que podrían no
arrancar correctamente o que podrían evitar que Windows lo haga. Si el problema ya no
aparece cuando arranque en modo seguro, puede eliminar los ajustes predeterminados y
los controladores de dispositivos básicos como causas posibles. Si un programa, dispositivo
o controlador recién instalado evita que Windows funcione correctamente, puede arrancar
su computadora en modo seguro y después retirar el programa que está causando el
problema.
Mientras está en modo seguro, abra el Panel de Control para tener acceso al Administrador
de Dispositivo, Visor de Eventos, Información del Sistema, avisos de comando y Editor
de Registro.
Comprender el Desempeño
È EN RESUMEN
El desempeño es la efcacia general que muestra cómo se mueven los datos a través del sistema. Por supuesto, es
importante seleccionar el hardware adecuado (procesador, memoria, sistema de disco y red) para satisfacer las metas
de desempeño esperadas. Sin el hardware adecuado, los embotellamientos del mismo pueden limitar la efectividad
del software.
; Listo para la Cuando un componente limita el desempeño, se conoce como embotellamiento. Lo que
Certificación haga para solucionar algún embotellamiento puede causar otros. Por ejemplo, uno de los
más comunes es la cantidad de memoria que tiene un sistema. Al incrementar la memoria,
Cuando su sistema
está lento, ¿qué para
a menudo puede incrementar el desempeño general de un sistema (hasta un punto).
saber la razón?
Sin embargo, cuando agrega más RAM, ella necesita alimentarse de más datos desde el
—5.2 disco, por lo tanto el disco podría convertirse en el embotellamiento o el procesador no
puede mantener el ritmo con los datos adicionales. Sobre todo, el sistema se puede volver
más rápido, pero si su desempeño todavía no es lo que desea, entonces necesita prever la
posibilidad de otro embotellamiento.
Existen varias herramientas disponibles en Windows para que analice el desempeño. Estas
son:
• Administrador de Tarea
• Monitor de Desempeño
• Monitor de Recurso
Los incrementos de tamaño por lo general no requieren un reinicio para que los cambios
tengan efecto, pero si disminuye el tamaño, necesitará reiniciar su comunicación. Se
recomienda que no desactive o elimine el archivo de paginación.
El tamaño de archivo de paginación predeterminado es igual a 1.5 veces la RAM total. Sin
embargo, esta confguración predeterminada puede no ser óptima en todos los casos, en
particular con servidores que contienen bases de datos grandes. Por lo tanto, a menos que
tenga una aplicación que use un archivo de paginación mayor (por lo general si su sistema
utiliza más de 1.5 veces su memoria RAM), deberá considerar agregar más capacidad de
RAM a su sistema. Además, si tiene unidades físicas múltiples, puede mover el archivo de
paginación desde el volumen de arranque a otro volumen.
Monitoreo y Solución de Problemas de Servidores 127
El Administrador de Tareas es uno de los programas más útiles que puede usar para dar
una mirada rápida al desempeño y poder ver los programas que están usando la mayoría
de los recursos del sistema en su computadora. Puede observar el estado de los programas
en operación y los que han dejado de responder, además de detener un programa que se
ejecute en la memoria, usando el Administrador de Tareas.
Para iniciar el Administrador de Tareas, haga clic derecho en el espacio vacío de la barra
de tareas y seleccione Administrador de Tareas o abra el menú de seguridad presionando
las teclas Ctrl+Alt+Del y seleccione Iniciar el Administrador de Tareas. Cuando inicie por
primera vez el monitor de desempeño en una computadora que ejecute Windows Server
2008 R2, verá seis pestañas en el Administrador de Tareas:
• Aplicaciones: Muestra el estado de los programas activos en ejecución y programas
que han dejado de responder. Puede terminar, cambiar o iniciar un programa
incluyendo Windows Explorer (explorer.exe) si se detiene inesperadamente.
• Procesos: Muestra todos los procesos que se ejecutan en la memoria y qué tanto
procesamiento y memoria usa cada uno. Para ver los procesos que son propiedad
de otros usuarios, necesita seleccionar mostrar procesos de todos los usuarios. Para
detener un proceso, haga clic derecho del proceso y seleccione Terminar Proceso.
• Servicios: Muestra todos los servicios en ejecución.
• Desempeño: Muestra la cantidad de memoria física, uso de CPU y uso de archivo
de paginación.
• Conexión de red: Muestra cómo se están usando las interfaces de red.
• Usuarios: Muestra los usuarios que están registrados actualmente y le da la
capacidad de terminar la sesión de otros usuarios.
La fcha Desempeño incluye cuatro gráfcas. Las dos gráfcas superiores muestran qué tanto
CPU se está usando al momento o minutos antes. (Si la gráfca de Historia de Uso de
CPU parece dividida, su computadora tiene múltiples CPUs, un CPU dual-core sencillo o
ambos.) Un alto porcentaje, signifca que los programas o procesos requieren de mayores
recursos de CPU, que pueden alentar su equipo. Si el porcentaje parece congelado en o
cerca de 100%, entonces algún programa podría no estar respondiendo. Vea la fgura 4-9.
128 Lección 4
Figura 4-9
Ficha de Rendimiento de
Administrador de Tareas
Las dos gráfcas inferiores muestran la cantidad de memoria RAM o física, que se está
usando en megabytes (MB) tanto en el momento actual como minutos antes. Si tiene
Windows 7 o Windows Server 2008, también puede iniciar el Monitor de Recursos
haciendo clic en Monitor de Recursos. El porcentaje de memoria que se usa, se indica
en la parte inferior de la ventana del Administrador de Tareas. Si el uso de memoria
parece consistentemente alto o el desempeño de su computadora es perceptiblemente bajo,
intente reducir el número de programas que tiene abiertos al mismo tiempo o instale más
RAM.
Para ver el uso de memoria para procesos individuales en su equipo, haga clic en la fcha
Procesos. Vea la fgura 4-10. Para ver todos los procesos que se ejecutan actualmente en
la computadora, haga clic en Mostrar procesos de todos los usuarios. Para fnalizar un
proceso, dé clic en un proceso y posteriormente en Finalizar Proceso.
Monitoreo y Solución de Problemas de Servidores 129
Figura 4-10
Ficha Procesos del
Administrador de Tareas
f Monitor de Desempeño
El Monitor de Desempeño de Windows es un complemento de la Consola de Administración Microsoft (MMC)
que provee herramientas para analizar el desempeño del sistema. Se incluye en las consolas de Administración de
computadoras y Administrador de Servidor y se puede ejecutar usando perfmon. Desde una consola sencilla, puede
monitorear el desempeño de aplicación y hardware en tiempo real, especifcar qué datos desea recolectar en los
registros, defnir umbrales para alertas y acciones automáticas, generar reportes y ver datos de desempeño pasado en
una variedad de formas.
Figura 4-12
Contadores de Monitor de
Desempeño
f Monitor de Recursos
El Monitor de Recursos de Windows es una herramienta de sistema que le permite ver información sobre el uso del
hardware (CPU, memoria, disco y red) y recursos de software (manejadores y módulos de archivo) en tiempo real.
Puede fltrar los resultados de acuerdo con procesos o servicios específcos que desee monitorear. Además, puede
usar el Monitor de Recursos para arrancar, parar, suspender y reanudar procesos y servicios como para solucionar
problemas cuando una aplicación no responda como se espera.
El Monitor de Recursos tiene cinco fchas: Revisión, CPU, Memoria, Disco y Red. La fcha
Revisión despliega la información de uso básico de recursos del sistema; las otras muestran
la información sobre cada recurso específco. Cada fcha en el Monitor de Recursos incluye
múltiples tablas que proporcionan información detallada sobre el recurso presentado en
ella.
Cuando se descompone un servidor, es muy probable que su compañía pierda dinero. Si su red contiene un sitio
Web externo o base de datos que controla sus ventas, pedidos, inventario o producción, el tiempo de inactividad del
servidor puede ser perjudicial para las necesidades de negocio. Si es un servidor interno, no permite que sus usuarios
realicen sus trabajos. En cualquier caso, su compañía está perdiendo dinero, ya sea porque no hay ingresos o por no
haber productividad.
; Listo para la Como administrador de servidor, necesita minimizar el tiempo de inactividad al identifcar
Certificación fallas potenciales y tomar pasos para evitarlas reduciendo así sus efectos.
Si falla el servidor,
¿sabe cómo podría High availability es un protocolo de diseño de sistema e implementación relacionado,
haber prevenido la que asegura cierto grado de continuidad operativa durante un periodo de medición
falla? determinado. Por lo general, el término tiempo de inactividad se usa para referirse a los
—6.2 periodos en los que un sistema no está disponible. La disponibilidad, por lo general, se
expresa como porcentaje de tiempo de actividad en un año determinado, como se muestra
en la Tabla 4-2.
134 Lección 4
Tabla 4-2
Directrices de
disponibilidad
Tiempo de Inactividad Tiempo de Inactividad por
por Año Mes
99% 3.65 días 7.20 horas
99.9% (“tres nueves”) 8.76 horas 43.2 minutos
99.99% (“cuatro nueves”) 52.6 minutos 4.32 minutos
99.999% (“cinco nueves”) 5.26 minutos 25.9 segundos
99.9999% (“seis nueves”) 31.5 segundos 2.59 segundos
Cuando se diseñan los servidores y los servicios que estos proporcionan, a menudo se les
asignan acuerdos de nivel de servicio (SLA), que mencionan el nivel de disponibilidad que
deben mantener tales servidores o servicios. Por supuesto, tener un diseño de servidor que
pueda soportar cinco o seis nueves es mucho más costoso que soportar una disponibilidad
de 99%.
Se ha mencionado en este libro que los dispositivos mecánicos frecuentemente fallan más
que los dispositivos eléctricos. Un suministro de energía es un dispositivo mecánico que
convierte energía CA en energía CD limpia y posee ventiladores para enfriamiento. Para
sistemas que no se pueden tener inactivos, estos deben contar con suministros de energía
redundantes.
El teaming de NIC es el proceso de agrupar dos o más NIC físicas en una sola NIC lógica,
que se pueden usar para tolerancia a falla de red y un incremento de ancho de banda por
medio de balanceo de carga. Para hacer un sistema tolerante a fallas, también necesita
tener interruptores redundantes, donde una tarjeta de red de un equipo se conecte a un
interruptor y la otra tarjeta de red se conecta a otro. De esta forma, si el interruptor falla,
todavía se puede comunicar por medio de la red.
Monitoreo y Solución de Problemas de Servidores 135
f Qué es el Clúster
El clúster de la computadora es un grupo de equipos enlazados que trabajan juntos, como uno solo. En base a la
tecnología usada, los clústers pueden proporcionar tolerancia a fallas (a menudo referidos como disponibilidad),
balanceo de carga o ambos. Si el sistema falla, incluyendo el procesador, la memoria o la motherboard; un clúster que
proporciona tolerancia todavía puede atender solicitudes.
Las dos formas más populares de clústers, son los de caso de falla y los de balanceo de carga.
Un uso común de los clústers incluye:
• Un clúster en caso de falla para servidores de extremo trasero, tal como una base de
datos (como SQL Server) o servidor de correo (tal como Exchange Server).
• Un clúster de balanceo de carga para el extremo frontal que proporcione la interfaz
de web para los servidores de extremo posterior.
El clúster a prueba de falla más común es el clúster activo-pasivo, en este, ambos servidores
se confguran para trabajar como uno, pero sólo uno a la vez (aunque únicamente uno es
el que da servicios). El nodo activo proporciona los servicios de red mientras que el pasivo
espera alguna falla del otro al grado de que no pueda proporcionar servicios de red. Si el
nodo activo sale de servicio, el pasivo se vuelve el activo y continúa proporcionando los
servicios de red.
Otro tipo de clúster en caso de falla, es el nodo activo-activo que está diseñado para
proporcionar tolerancia a fallas y balanceo de carga. Los servicios de red se dividen en
dos grupos. Un nodo del clúster ejecuta un juego de servicios de red mientras que el otro
ejecuta otro juego de servicios. Ambos nodos están activos. Si uno falla, el nodo óptimo
restante absorberá el trabajo encargándose de proporcionar todos los servicios de red.
Para crear un failover usando Windows Server 2008, necesitará dos servidores que sean
compatibles con Windows Server 2008 y que tengan componentes de hardware idénticos.
Además, deben ejecutar el mismo Windows Server 2008 Enterprise o Windows Server
2008 Datacenter incluyendo la misma versión de hardware, de 32 o 64 bits y requieren
tener las mismas actualizaciones de software y service packs. Además, tienen que ser parte
del mismo dominio.
Los nodos de clúster se mantienen alertas respecto al estado de los otros nodos y servicios
a través del usuario, usando latidos que se envían a través de una tarjeta de red dedicada.
136 Lección 4
Por lo tanto, necesitará tener por lo menos dos adaptadores de red; uno para el latido y
otro para enlazar el tráfco normal. Ya que los servidores proporcionan acceso a los mismos
archivos o bases de datos, regularmente utilizarán el mismo almacenamiento central tal
como un SAN.
Para crear un clúster en Windows Server 2008, primero debería instalar la característica
Failover Cluster (Clúster en Caso de Falla). En seguida valide la confguración de su
hardware y posteriormente elabore un clúster usando el Administrador de Clúster en Caso
de Falla.
Cada nodo en el clúster NLB tiene asignado un juego único de direcciones IP de clúster,
de forma tal que los usuarios puedan tener acceso al mismo y las solicitudes se distribuyen
entre los varios nodos. Además, cada nodo tiene sus propias direcciones IP dedicadas para
cada host. Para aplicaciones balanceadas de carga, cuando un host falla y sale de línea,
la carga se redistribuye automáticamente entre las computadoras que todavía están en
operación.
Para que cada nodo mantenga el monitoreo del estado de cada uno, el clúster NLB
intercambia mensajes de latido. De manera determinada, cuando un host falla en enviar
mensajes de latido dentro de cinco segundos, es porque tiene falla. Cuando el host falla,
los restantes en el clúster convergen para determinar cuáles todavía son miembros activos;
eligen el host con mayor prioridad como el nuevo host predeterminado y asegurar que se
manejen todas las solicitudes nuevas de cliente por medio de los hosts sobrevivientes. La
convergencia comúnmente sólo toma unos cuantos segundos, así que la interrupción en
el servicio del cliente por parte del clúster es mínima. Durante la convergencia, los hosts
que todavía están activos continúan manejando las solicitudes de clientes sin afectar las
conexiones existentes. La convergencia termina cuando todos los hosts reportan una vista
consistente de la membresía del clúster y el mapa de distribución durante varios periodos
de latido.
f Qué es la Energía
Sin electricidad, no funcionará el servidor. Incluso si tiene suministros de energía redundantes, no puede protegerlo
contra un apagón u otras formas de fuctuaciones de energía. En estas situaciones, su compañía debe buscar
suministros de energía ininterrumpibles y generadores para proporcionar energía cuando no esté disponible desde
la compañía eléctrica.
de baterías o dispositivos UPS. Para despliegues menores, puede tener un UPS sencillo
conectado a un servidor individual o computadora esencial. También necesita que el UPS
proteja otros sistemas y dispositivos clave, como los routers primarios, interruptores y
dispositivos de telecomunicación.
Lo que la mayoría de las personas nuevas en TI ignoran es que las UPSs no están
diseñadas para proporcionar energía por periodos prolongados de tiempo. Generalmente
fueron diseñadas para proporcionar energía por corto tiempo en situación de apagones
momentáneos y permitir el tiempo adecuado para realizar un paro en un servidor o cambiar
al generador de energía.
Los datos almacenados en una computadora o en la red, son vitales para los usuarios y la organización. Representan
horas de trabajo y pueden ser irremplazables. Uno de los componentes más esenciales de cualquier diseño de servidor
es el proceso de respaldo. No importa qué tanto esfuerzo, hardware y software ponga en su sistema; en cualquier
momento puede experimentar una falla. En ocasiones cuando ocurre el tiempo de inactividad, puede suceder una
pérdida de datos.
º Tome Nota Un respaldo o el proceso de respaldar se refere a hacer copias de los datos, de tal forma
¡El mejor método para que estas se puedan usar para restaurar los originales, después de un evento de pérdida
la recuperación de de datos. Se pueden usar para restaurar sistemas completos después de un desastre o para
datos es respaldar, restaurar pequeños juegos de archivos que se eliminaron accidentalmente o corrompieron.
respaldar, respaldar!
Cuando planee sus respaldos, también necesita decidir dónde va a almacenarlos archivos.
Es muy difícil respaldar todos los archivos, si los tiene almacenados en toda su corporación,
incluso si permite a los usuarios conservar los archivos en sus máquinas locales. Seguramente
necesitará usar alguna forma de tecnología que mantenga sus archivos dentro de un
número limitado de ubicaciones. Por ejemplo, puede usar la redirección de archivo para el
Escritorio y Mis Documentos para almacenar en un servidor de archivos al confgurar los
perfles de usuario.
Existen múltiples tecnologías disponibles para ayudar a concentrar sus datos. Microsoft
ofrece el Sistema Distribuido de Archivos (DFS), que se puede usar para replicar carpetas
compartidas a otros servidores. Además, tanto Microsoft SQL Server como Microsoft
Exchange Server tienen tecnología para replicar bases de datos a otros servidores, incluso
en otras ubicaciones.
138 Lección 4
Tradicionalmente, las cintas magnéticas han sido el medio usado más común para
almacenamiento, respaldo, y archivo de datos en volumen. La cinta es un medio de acceso
de secuencia, así que aunque los tiempos de acceso pueden ser defcientes, la velocidad para
escribir o leer datos continuamente puede ser en realidad muy rápida. Para organizaciones
mayores, puede usar múltiples unidades de cinta conectadas entre sí, con una biblioteca de
cinta que puede cambiar y administrar las cintas automáticamente.
Recientemente, debido al incremento de capacidad de menor costo, los discos duros se han
convertido en una opción viable para los respaldos. Los discos duros se pueden incluir en
la SAN, NAS, discos duros internos y externos. Algunos sistemas de respaldo basados en
disco, tal como las bibliotecas de cinta virtual, soportan la des-duplicación de datos, que
puede reducir considerablemente la cantidad de almacenamiento de disco, consumida por
los datos de respaldo diario y semanal.
Por lo general cuando se usan discos duros para respaldos, los mismos se emplean para
proporcionar un respaldo de datos recientes, estos se copian a una cinta y se retiran del sitio
para almacenamiento y archivado a largo plazo. Si ocurriese una falla, se puede restaurar
rápidamente desde los discos. Si necesita recuperar o leer datos pasados, entonces tendrá
que recuperar las cintas del lugar, fuera del sitio y leerlas.
Otro medio que se está volviendo más muy popular para los respaldos, son los discos
ópticos grabables, tales como CDs, DVDs e incluso Blue-ray. Desafortunadamente, los
formatos más recientes son más caros, lo que puede prohibir su uso para los respaldos.
También existe preocupación respecto al periodo de vida del disco óptico seleccionado, ya
que algunos se degradan y pierden los datos dentro de un par de años.
Cuando planee respaldos, debe aislar sus archivos de programa y de datos. Los archivos
de programa por lo general no cambian, así que no se tienen que respaldar a menudo. Los
archivos de datos cambian a menudo por lo tanto se deben respaldar con mayor frecuencia.
Si los aísla en áreas diferentes, puede crear diferentes políticas de respaldo para cada área.
Las bases de datos consisten en uno o más archivos de base de datos y uno o más archivos de
registro. El archivo primario de datos es el punto de inicio y apunta a los demás archivos.
Cada base de datos tiene uno o más archivos primarios. La extensión del nombre de archivo
recomendada para los archivos primarios de datos es .mdf.
Monitoreo y Solución de Problemas de Servidores 139
Los archivos de registro conservan toda la información que se usa para recuperar la base de
datos. Por ejemplo, puede restaurarla completa tal como está o sólo hasta cierto punto en
el tiempo, si tiene los archivos de registro completos. La extensión de nombre de archivo
recomendada para los archivos de registro es .ldf.
Otro artículo que se debe cubrir es el estado del sistema, que es la recolección de los
componentes del sistema, que no están contenidos en un archivo simple, pero que se
pueden respaldar fácilmente. Estos son:
• Archivos de arranque (boot.ini, NTLDR, NTDetect.com)
• Carpeta DLLScache
• Registro (incluyendo los ajustes COM)
• SYSVOL (Directiva de Grupo y scripts de registro)
• Directorio activo NTDS.DIT (controladores de dominio)
• Almacenamiento de Certifcado (si el servicio está instalado)
• Perfles de usuario
• Información COM+ y WMI
• Metabase IIS
El respaldo de Windows y los paquetes de software de respaldo más comerciales, permiten
almacenar el estado de sistema de Windows.
Si desea realizar una restauración completa del sistema que ejecuta, necesitará respaldar
todos los archivos del disco y del estado del sistema.
f Métodos de respaldo
Cuando planee o implemente respaldos, necesitará determinar cuándo y qué tan a menudo los va a hacer; qué
hardware y software va a usar, así como dónde y por cuánto tiempo los almacenará.
Los respaldos completos con respaldo incrementales comienzan con uno completo seguido
por varios de incremento. Por ejemplo, una vez a la semana, realiza un respaldo completo
la noche del viernes, que desactiva el atributo del archivo el cual indica que los archivos
fueron protegidos. Entonces, cualquier archivo nuevo o con cambio tendría el atributo de
archivo activado. Así realizaría un respaldo de incremento en la noche del lunes, martes,
miércoles y jueves, que sólo respalda los archivos nuevos y con cambios y desactiva el
atributo de archivo. Cuando hace una restauración, sustituye el último respaldo completo
y después cada uno desde el más viejo al más nuevo y ofrecen una restauración más rápida.
El respaldo completo con respaldo diferencial comienza con el primero seguido por varios
de los segundos. Por ejemplo, una vez a la semana, realizaría un respaldo completo en la
noche del viernes, que desactiva el atributo de archivo e indica que los mismos fueron
respaldados. Entonces, cualquier archivo nuevo o con cambios, tendrían el atributo de
uno activado. Así realizaría un respaldo diferencial la noche del lunes, martes, miércoles
y jueves, que sólo respalda los archivos nuevos o con cambios desde el último respaldo
completo, pero no desactiva el atributo de archivo. Cuando realice una restauración,
restaure el último respaldo completo y el último respaldo diferencial.
Otro tipo de respaldo que está disponible y que contiene el software de respaldo de
Microsoft, es el de copia. Un respaldo de copia resguarda los archivos designados, pero no
desactiva el atributo de archivo. Éste se usa para respaldos improvisados, tal como antes
de hacer un cambio al sistema o aplicación. Ya que no modifca el atributo de archivo y no
interferirá con sus programas de respaldo normales.
Algo que se debe preguntar es: “¿Qué tan a menudo debo hacer un respaldo?” La respuesta
variará con base en sus necesidades. Primero debe considerar qué tan importantes son sus
datos y qué tanto esfuerzo se requiere para restaurarlos. También debe considerar cuanto
afectaría a su compañía si perdiera su información. Los datos importantes o críticos se
deben respaldar cada noche. Los datos que no cambian demasiado se pueden respaldar cada
semana y los que no sufren cambios mensualmente.
La siguiente pregunta debería ser “¿Con qué frecuencia debo guardar mis respaldos?” La
respuesta no es tan fácil de contestar debido a que en realidad está basada en las necesidades
de su organización incluyendo los requerimientos legales que debe seguir la misma.
Monitoreo y Solución de Problemas de Servidores 141
Otra consideración que debería tener en mente, es que los respaldos también fallan de vez
en cuando. Por lo tanto, los debe probar periódicamente haciendo una restauración para
asegurarse que el respaldo esté funcionando y que está respaldando los archivos necesarios.
Segundo, debe tener algún tipo de rotación.
Para tener acceso a las herramientas de respaldo y recuperación para Windows Server 2008,
debe instalar las Herramientas de línea de Comando de Respaldo de Windows Server y
los artículos de Windows PowerShell, que están disponibles en el Asistente de Agregar
Características en el Administrador de Servidor. Para ejecutar el Respaldo de Windows
Server, debe ser miembro del grupo de Operadores o Administradores de Respaldo.
Figura 4-14
Selección de
Configuración de
Respaldo
5. En la página Especificar Hora de Respaldo (Vea la figura 4-15), haga clic en Una vez al
día o en Más de una vez al día. En seguida ingrese la hora u horas para comenzar los
respaldos. Cuando lo complete, dé clic en Siguiente.
Figura 4-15
Especificar Hora de
Respaldo
Monitoreo y Solución de Problemas de Servidores 143
Windows Server Backup almacena los detalles sobre sus respaldos en un archivo llamado
catálogo de respaldo. Este se almacena en el mismo lugar que sus respaldos. Ya que el
catálogo especifca lo que está dentro de un respaldo, necesita el catálogo de respaldo para
usar un archivo de respaldo de Windows.
Una vez completada la recuperación del catálogo o que lo haya eliminado, debe cerrar y
después volver a abrir Windows Server Backup para actualizar la vista.
Las Instantáneas permiten a los usuarios recuperar versiones previas de archivos y carpetas
por sí mismos, sin requerir que el personal de TI restaure los archivos o carpetas desde el
medio de respaldo. Por supuesto, necesita tener sufciente espacio en disco para almacenar
las instantáneas, por lo menos 100 MB de espacio libre.
Figura 4-16
Activación de
Instantáneas
Una vez que active las Instantáneas de Carpetas Compartidas y comience a crear
instantáneas, puede usar la característica de Versiones Previas para recuperar las versiones
previas de los archivos y carpetas o archivos, así como carpetas que se han renombrado o
fueron eliminados.
Figura 4-17
Restauración de Versión
Previa
Restaurar a una versión previa eliminará la versión actual. Si elije restaurar una versión
previa de una carpeta, la carpeta se restaurará en su estado en la fecha y hora de la versión
que seleccionó. Perderá cualquier cambio que haya hecho a los archivos en la carpeta desde
esa ocasión. En su lugar, si no desea eliminar la versión actual de un archivo o carpeta, haga
clic en Copiar para copiar la versión previa a una ubicación diferente.
Cuando un servidor no arranca, existen varias herramientas que están disponibles para ayudarlo. Algunas de ellas ya
se han discutido, tales como el arranque de la computadora en modo seguro o usar la herramienta de Confguración
del Sistema. Se incluyen otras herramientas con el disco de instalación de Windows.
Para computadoras que ejecutan Windows Server 2003, puede usar la Consola de
Recuperación, que es una herramienta de línea de comando que puede usar para reparar
Windows si la computadora no arranca correctamente. Puede iniciar la Consola de
Recuperación desde el CD de Windows Server 2003, o durante el arranque por medio del
menú de arranque si instaló anteriormente la Consola de Reparación.
Monitoreo y Solución de Problemas de Servidores 147
drive:\i386\winnt32.exe /cmdcons
4. Para instalar la Consola de Recuperación como opción de arranque para Windows Server
2003 edición x64, escriba la siguiente línea:
drive:\amd64\winnt32.exe /cmdcons
5. Haga clic en Sí cuando aparezca el mensaje, para instalar la Consola de Recuperación.
6. Cuando reciba el mensaje que menciona que la Consola de Reparación se instaló
exitosamente, haga clic en OK.
7. Para usar la Consola de Recuperación, reinicie el equipo y entonces use las teclas de
flecha para seleccionar la Consola de Recuperación de Microsoft Windows en la lista Por
favor seleccione el sistema operativo para arrancar.
Más Información
Para mayor información sobre Windows PE y sus herramientas, visite los siguientes sitios
Web:
http://technet.microsoft.com/en-us/library/cc749538(WS.10).aspx
http://technet.microsoft.com/en-us/library/cc749055(WS.10).aspx
http://download.microsoft.com/download/5/b/5/5b5bec17-ea71-4653-9539-204a672f11cf/
WindowsPE_tech.doc
150 Lección 4
PREPÁRESE. Puede reparar una instalación de Windows Server 2003 dañada ejecutando la
Configuración de Windows desde el CD de Windows. Para reparar su instalación, siga estos
pasos:
1. Inserte el CD de Windows Server 2003 en la unidad de CD-ROM o DVD-ROM y arranque
desde el disco de instalación de Windows.
2. Después que comience la Configuración, presione Intro para continuar con el proceso de
configuración.
3. Presione Intro para seleccionar la opción Para configurar Windows y nuevamente dé clic
en Intro. No seleccione la opción de la Consola de Recuperación.
4. Presione F8 para aceptar el acuerdo de licencia.
5. La configuración busca instalaciones previas de Windows. Si la Configuración no
encuentra una instalación previa de Windows Server 2003, podría tener una falla del
hardware. Si la Configuración la encuentra, puede recibir el siguiente mensaje: Si una
de las siguientes instalaciones de Windows Server 2003 está dañada, la configuración
intentará repararla. Utilice las flechas arriba y abajo para seleccionar una instalación.
Para reparar la instalación seleccionada, presione R. Para continuar sin reparar, presione
Esc.
6. Siga las instrucciones en la pantalla para reparar la instalación.
Después de reparar su Windows Server 2003, se le puede requerir que reactive su copia.
PREPÁRESE. Si todo lo demás falla, tendrá que recuperar su sistema operativo usando el
disco de Configuración de Windows y un respaldo:
1. Inserte el disco de Configuración de Windows en la unidad de CD o DVD y encienda la
computadora. Si se necesita, presione la tecla requerida para arrancar desde el disco.
Debería aparecer el Asistente de Instalación de Windows.
2. Especifique los ajustes de idioma y después haga clic en Siguiente.
3. Haga clic en Reparar su computadora. Vea la figura 4-20.
Figura 4-20
Reparación de Windows
2008 R2
Figura 4-21
Opciones de
Recuperación de Sistema
Windows 2008
Resumen de Habilidades
• Un respaldo o proceso de respaldo se refere a hacer copias de los datos de tal forma
que se puedan usar estas copias adicionales para se pueden usar para restaurar el
original después de un evento de pérdida de datos.
• El mejor método para la recuperación de datos es respaldar, respaldar, y respaldar.
• El estado del sistema Windows es una recolección de componentes del sistema
que no están contenidos en un archivo simple que se pueda respaldar fácilmente.
Incluye los archivos de arranque y el registro.
• Los respaldos completos respaldan todos los archivos u datos designados.
• Los respaldos completos con respaldos en incremento arrancan con uno completo
seguido por varios incrementales. Cuando realiza una restauración, repone el
último completo y entonces restaura cada uno en incremento desde el más viejo
al más reciente. Los respaldos completos con respaldos en incremento ofrecen la
manera más rápida de resguardar datos.
• El respaldo completo con respaldo diferencial comienza con uno completo seguido
por varios diferenciales. Cuando realiza una restauración, repone el último respaldo
completo y el último diferencial.
• Las instantáneas, cuando están confguradas, crean copias de respaldo
automáticamente de los datos almacenados en las carpetas compartidas en
volúmenes de unidad NTFS específcos en momentos programados.
» Evaluación de Conocimiento
Opción Múltiple
8. ___________ es hacer copias de los datos de tal forma que estas copias adicionales se
puedan usar para restaurar los originales después de un evento de pérdida de datos.
a. DFS
b. RAID
c. Respaldo
d. EMS
9. ¿Qué tipo de respaldo, respalda todos los archivos designados y desactiva el atributo
de archivo?
a. Completo
b. Diferencial
c. En incremento
d. Copia
10. ¿Qué tipo de respaldo toma más tiempo para la restauración?
a. Completo
b. Diferencial
c. Incremental
d. Copia
Verdadero / Falso
» Evaluación de Competencia
Su computadora no arranca, no tiene luces y no escucha sonidos de bip. ¿Cuáles serían los
pasos para solucionar este problema?
Tiene varios servidores que incluyen datos importantes que cambian a menudo.
Desafortunadamente, cuando intenta respaldar estos servidores, toma aproximadamente
30 horas en completarse. ¿Qué recomendaría como estrategia de respaldo?
» Evaluación de Destreza
Está experimentando algunos problemas en un servidor que ejecuta Windows Server 2008
R2.Inicia sesión y abre la consola de Administración de Servidor y decide ver los registros
del Sistema en el Visor de Eventos. Desafortunadamente, ve muchos errores y advertencias.
¿Qué debió hacer antes de tener problemas para tomar ventaja del Visor de Eventos?
Por lo tanto, debería invertir en algún tipo de software de monitoreo tal como el
Administrador de Operaciones de Centro de Sistema Microsoft (SCOM), que asegurará
que el servidor esté en funcionamiento constantemente poniéndose en contacto con el
agente que opera el servidor. También verifcará constantemente el Visor de Eventos
respecto a errores. Por último, dependiendo de los papeles que el servidor tiene y los
paquetes de administración cargados en el servidor SCOM, puede probar constantemente
los componentes clave para asegurarse que estén activos y en funcionamiento.
Lección 5
Servicios Esenciales
Términos clave
• Directorio active (Active • Roles FSMO • Objetos
Directory) • Bosque • Unidad organizativa
• Grupo predefnido (Built-in group) • Fully qualifed domain name • Permisos
• Cuentas de computadora (FQDN) • Derecho
• Servicio de directorio • Nivel funcional • Grupos de seguridad
• Grupo de distribución • Catálogo global • Sitio
• Controlador de dominio • Grupo global • Árbol
• Grupo de dominio local • Grupo • Relación de Confanza
• Servicio de nombres de dominio • Directivas de grupo • Grupo Universal
(Domain Name System, DNS) • Archivo de host • Cuenta de usuario
• Protocolo de confguración • Lightweight Directory Access • Windows Internet Name Service
dinámica de host (Dynamic Host Protocol (LDAP) (WINS)
Confguration Protocol, DHCP) • Servidor Miembro
Está construyendo una nueva red y necesita que todo comience ya. Se da cuenta que el mejor lugar
para empezar es creando servidores que puedan hospedar servicios esenciales, incluyendo DHCP y
DNS. Cuando estos servidores están ubicados, puede crear controladores de dominio, a los cuales les
puede establecer usuarios y cuentas de equipo y además asignarles derechos y permisos.
160 Lección 5
Resolución de Nombres
È EN RESUMEN
En las redes de la actualidad, se puede asignar direcciones lógicas como direcciones IP. Desafortunadamente, estas
pueden ser difíciles de recordar, especialmente en el caso de las nuevas versiones de IP tales como las direcciones
IPv6. Por lo tanto, necesita utilizar alguna forma para nombrar los servicios y que le permita traducir nombres
lógicos, ya que son fáciles de recordar. El método más común para nombrar servicios es el Domain Name System
o DNS.
Hay dos tipos de nombres para traducir. El primer tipo consiste en nombres de los host,
que residen en el Domain Name System y son los mismos utilizados en Internet. Cuando
escribe el nombre de una página Web o de un servidor que se encuentra en Internet, como
www.microsoft.com o www.cnn.com esta especifcando un dominio/nombre del host. El
segundo tipo de nombre es el de su computadora, también conocido como NetBIOS. Si se
encuentra en una red corporativa o en la de su hogar, el nombre del host es generalmente
el de la computadora. De hecho, para muchos equipos, el nombre del host y el NetBIOS
es el mismo.
Aunque el host y el archivo lmhosts sean considerados métodos de legado para nombrar una
resolución, ellos siguen siendo útiles para solucionar problemas o pruebas. Por ejemplo,
digamos que acaba de instalar un nuevo servidor pero no puede dejarlo disponible para
cualquier usuario. En esta situación, puede agregar una entrada en el archivo local de
hosts, así cuando la computadora determine un cierto nombre, deberá de determinarlo
con la dirección IP del nuevo servidor. Esto evita cambiar la entrada del DNS, lo cual sólo
afectaría a todos los usuarios en la red de su organización, hasta que esté listo.
Servicios Esenciales 161
Figure 5-1
Ejemplo de archivo host
Explorar el DNS
DNS (Domain Name System) es un sistema de administración jerárquico/basado en servidor de bases de datos
distribuidos que traduce el dominio/nombre de hosts a direcciones IP. En otras palabras, su organización
probablemente tenga uno o más servidores DNS que pueden proveer resolución de nombres para su compañía. En
su casa, su ISP provee un servidor de este tipo y así cuando escribe una URL o trata de conectarse a un servidor
sobre el Internet, su computadora puede encontrar los que hospedan las direcciones IP. Lo que hace que un DNS sea
poderoso y escalable, es el hecho de que todos estos en Internet, se encuentran enlazados para proveer mundialmente
la resolución de nombres, mientras le permite manejar el DNS de su organización y como los proporcionan, en
algunas ocasiones son denominados servidores de nombres.
La parte superior de un árbol es conocido como la ruta del dominio. Debajo de esta, puede
encontrar dominios de primer nivel, como son .com, .edu, .org y .net, así como el código
de país de dos letras, como .mx, .es o .us. Debajo del dominio del primer nivel, puede
encontrar el nombre de la variable registrada que corresponde a una organización o un
nombre registrado. El segundo nivel para dominio de nombres puede ser registrado por
un distribuidor autorizado, como puede ser www.networksolutions.com o www.godaddy.
com.
Cuando defne las zonas DNS, crea una zona de búsqueda directa o una de búsqueda
inversa. La de búsqueda directa (como technet.microsoft.com o microsoft.com) tiene la
mayoría de los registros de recursos, incluyendo registros A y CNAME, mientras que la de
búsqueda inversa tiene registros PTR y está defnida por el formato de búsqueda inversa.
Por ejemplo, si tiene una subnet 172.24.1.x, se mostrará como 1.24.172.
Los servidores DNS usan un mecanismo llamado round-robin para compartir y distribuir
cargas para un recurso de la red. Este mecanismo rota el orden de los registros de los
recursos con el mismo nombre para que apunten a una dirección IP diferente.
Los Sistemas Unix y Linux usan implementaciones BIND de DNS, que soportan dos tipos
de zonas: una zona primaria estándar y una secundaria estándar. La primera es una copia
maestra de una nueva zona que es copiada a las otras. Por lo tanto, si se necesita hacer un
cambio, este se puede realizar en la primaria para que pueda ser copiado a la secundaria.
Desde el lanzamiento de Windows Server 2000, también lo ha sido de una zona integrada
del Directorio activo que es almacenada en éste último en lugar de un archivo. Con estas
zonas integradas, cada servidor actúa en par con el servidor primario, esto signifca que
puede actualizar cualquiera ejecutando las zonas integradas en el Directorio activo y los
cambios se irán copiando como parte de la replicación a otros servidores DNS. Utilizando
las zonas integradas del Directorio activo, éstas deben incrementar la tolerancia a fallos
(asumiendo que tiene dos o más servidores DNS con las mismas características), ya que
tiene un mínimo de tráfco por la zona de replicación y son más seguros.
Las consultas y las transferencias de DNS entre las zonas primarias y secundarias pueden
ocurrir sobre TCP/UDP en el Puerto 53. Por lo tanto si tuviera algún cortafuegos entre
los servidores (incluyendo los que se ejecutan en los servidores), necesitaría abrir el puerto
que se señala.
f WINS
Windows Internet Name Service (WINS) es el servicio de nombres que traducen del NetBIOS (nombre de la
computadora) para especifcar los recursos de la red. El servidor WINS contiene una base de datos de direcciones
IP y nombres NetBIOS que se actualizan dinámicamente. Desafortunadamente, WINS no es un sistema jerárquico
como el DNS, así que es bueno únicamente para su organización; además, funciona sólo para el sistema operativo
Windows. Típicamente, otros dispositivos de red y servicios no se pueden registrar con un servidor WINS. Por lo
tanto, tiene que añadir entradas estáticas para estos dispositivos si es que quiere una resolución de nombre utilizando
WINS.
03h messenger
El nombre NetBIOS puede ser de 15 caracteres máximo, sin contar los valores
hexadecimales.
Figure 5-3
Servidores WINS
Para proveer tolerancia a fallos, debe tener más de un servidor WINS con la misma base
de datos. Se puede añadir Un replication partner y este puede ser confgurado ya sea
como un pull partner, un push partner o un push/pull partner. Un pull partner es un
servidor WINS que puede solicitar nuevas entradas de base de datos desde su partner
en un intervalo de tiempo normal. Un push partner es un servidor WINS que manda
mensajes de notifcación actualizados basados en un número de cambios a la base de datos
WINS. Un push/pull partner hace un push update basado en el número de cambios y el
pull partner actualiza en un intervalo normal de tiempo.
Si confgura WINS y los clientes usan un broadcast (conocido como b-node) para encontrar
un servidor WINS, necesita confgurar un agente proxy similar para escuchar en subnets
remotos donde un servidor de estos no existe y enviar aquellas solicitudes directamente.
Los proxies WINS no siempre son necesarios para todas las redes, ya que la mayoría de
los clientes están confgurados con nodos pares (conocidos como p-node), que enviaran
paquetes directamente a los servidores WINS en lugar de un broadcast.
Servicios Esenciales 165
La mayoría de las veces, cuando especifca un FQDN, sólo necesita señalar un nombre
del host y cada cliente tendrá una búsqueda de lista en los sufjos DNS que los añade al
nombre del host. Por lo tanto, cuando desee conectarse al servidor01, el cliente anexará el
dominio de búsqueda del sufjo DNS tales como acme.com para crear server01.acme.com.
Una ventaja del WINS es que utiliza un nombre en una sola etiqueta en lugar de FQDNs
que requieren de un nombre completo, incluyendo el dominio. Desafortunadamente,
nombres del NetBIOS /nombres en una sola etiqueta no son soportados en IPv6.
Para ayudar a que una organización retire WINS, Windows Server 2008 brinda una zona
especialmente nombrada GlobalNames, que le permite defnir registros estáticos globales
con un nombre de una sola etiqueta sin soportarse en ella. Estas entradas deben ser usadas
normalmente por servidores que tienen direcciones estáticas y que están manejados por un
administrador de red.
\\computername\sharednamed\optionalpathname
\\servidor1\data
Sin embargo, ahora que el DNS se ha vuelto más popular, puede además utilizar nombres
de host con la UNC. Por ejemplo, puede escribir:
\\servidor1.microsoft.com\data
166 Lección 5
Servicios DHCP
È EN RESUMEN
Como se explicó anteriormente, tomaría horas confgurar de todas las IP de cada host, incluyendo las direcciones IP,
direcciones de DNS y servidores WINS o algún otro parámetro. Por tal motivo, la mayoría de las organizaciones
utilizan servicios Dynamic Host Confguration Protocol (DHCP) para asignar automáticamente direcciones IP y
parámetros relacionados (incluyendo mascaras de subnet, gateway por default y duración del contrato) para que un
host pueda comunicarse inmediatamente con una red IP cuando esta comience.
Un servidor DHCP mantiene una lista de direcciones IP llamada pool. Cuando un cliente
de DHCP inicia y necesita una dirección IP asignada para él, transmite a éste servidor
solicitándole una dirección prestada. El cliente envía el mensaje al UDP en el Puerto 67 y
el servidor envía el mensaje al UDP en el puerto 68.
PREPÁRESE. Para instalar el rol de servicio DHCP, realice los siguientes pasos:
1. Iniciar Server Manager.
2. En Resumen de Roles, dé clic en Agregar Roles, después en Siguiente y seleccione el
servidor DHCP. Haga clic nuevamente en Siguiente.
3. Seleccione el servidor DHCP y dé clic en Siguiente.
4. Cuando se muestre la introducción a la página del servidor DHCP, dé clic en Siguiente.
5. Cuando la página Conexión a enlaces de red se muestre, escoja el adaptador de red/
direcciones IP que será utilizado para repartir las direcciones IP, dé clic en Siguiente.
6. En la página de la especificación de configuración del servidor DNS IPv4, se necesita
especificar un dominio padre y dos direcciones IP en un servidor DNS, dé clic en
Siguiente.
7. En la página especificaciones de la configuración para servidores WINS IPv4, defina la
dirección de los servidores WINS (si es necesario) y posteriormente haga clic en Página
Siguiente.
8. Cuando la página para añadir o editar el Alcance de DHCP aparezcan, dé clic en Agregar.
Especifique el nombre del Alcance, la dirección IP de inicio, la dirección IP final, el tipo
de subnet, una máscara de subnet y el gateway por default. Además se debe seleccionar
Activar el Alcance. Haga clic en OK para cerrar el cuadro de dialogo Agregar Alcance.
Seleccione Siguiente.
9. En la página de configuración del DHCPv6 stateless mode, dé clic en Habilitado DHCPv6
stateless mode para este servidor (si fuera necesario). Si no fuera necesario, oprimir
Deshabilitado DHCPv6 stateless mode para este servidor. De clic en Siguiente.
10. Si seleccionó Habilitado DHCPv6 stateless mode para este servidor, especificar el dominio
padre y más de dos servidores IPv6 DNS. Dé clic en Siguiente.
11. Para trabajar en una red con entorno Windows, el servidor DHCP debe ser autorizado
dentro del Directorio activo. Por lo tanto, especifique una cuenta que tenga permisos
administrativos para el Directorio activo y dé clic en siguiente.
12. Cuando aparezca la página de confirmación para la instalación, dé clic en Instalar.
Servicios Esenciales 167
Antes de que su servidor DHCP pueda proveer las asignaciones de direcciones IP, debe
defnir un alcance que incluya un rango de direcciones IP que pueden ser distribuidos. Vea
la fgura 5-4. Un alcance debe defnir una sola subred física para los servicios DHCP que se
ofrecen. Para los servidores DHCP que repartan direcciones a las subredes, necesitan estar
físicamente conectados a la subred o será necesario que instale un agente relay DHCP en
una subred que pueda transmitir el relay de las peticiones DHCP a los servidores DHCP.
El agente relay DHCP puede ser un Windows server o una estación de trabajo, también
puede ser implementado dentro de un router o un conmutador.
Figure 5-4
Consola DHCP en
Windows Server 2008 R2
El servidor DHCP puede tener un solo alcance por subred para cada servidor DHCP.
Sin embargo, puede asignar el rango de las direcciones y excluirlas dentro del él, para
todas las que están manualmente asignadas a los servidores u otros dispositivos de red.
Después de crear un alcance debe activarlo y que esté disponible para las asignaciones de
arrendamiento. Para activar el alcance en una consola DHCP, dé clic en el botón derecho
en la consola y seleccione Activar.
Si tiene un cliente que siempre utiliza la misma dirección, debe reservar la dirección
utilizando un cliente reservado. Con este, la dirección es asignada a un host específco y no
lo será más para otros hosts. Si existen servidores múltiples DHCP manejando la entrega
de direcciones, debe de reservar las mismas direcciones a cada servidor DHCP.
168 Lección 5
Un servicio de directorio almacena, organiza y provee el acceso a la información en un directorio, además de que
es utilizado para localizar, manejar, administrar y organizar artículos en común y recursos en la red, tales como
volúmenes, folders, archivos, impresoras, usuarios, grupos, dispositivos, números de teléfono y otros objetos. Un
servicio de directorio popularmente utilizado por muchas organizaciones es Microsoft Active Directory.
; Listo para la El Directorio activo (Active Directory) es una tecnología creada por Microsoft que
Certificación proporciona una variedad de servicios en la red, incluyendo los siguientes:
¿Cómo se utiliza • LDAP
un dominio para
• Base de Kerberos en una sola autenticación sign-on.
administrar los
recursos de red? • Nombrado basado en DNS y otra información de la red.
—3.3 • Una ubicación central para la administración de la red y delegación de autoridad.
El lightweight Directory Access Protocol o LDAP es un protocolo de aplicación que
consulta y modifca datos utilizando servicios de directorio que se ejecuta sobre TCP/IP.
Dentro del directorio, los conjuntos de objetos son organizados en forma de jerarquía
lógica, de modo que puede fácilmente buscarlos y manejarlos. La estructura puede refejar
límites organizacionales o geográfcos, aunque tiende a usar nombres DNS para estructurar
el más alto nivel de la jerarquía. Internamente en el directorio, puede haber entradas
representando personas, unidades organizacionales, impresores, documentos, grupo de
personas o cualquier otra cosa que represente un árbol de entrada (o múltiples entradas).
LDAP utilizan TCP puerto 389.
El Single sign-on (SSO) permite iniciar la sesión una vez que accede a varios sistemas de
software relacionado pero independiente, sin tener que conectarse de nuevo. Mientras se
encuentra autentifcado en Windows utilizando Directorio activo, se le asigna un token,
este se utiliza para que pueda entrar a otros sistemas automáticamente.
; Listo para la Como mencionamos anteriormente, el dominio de Windows es una unidad lógica para
Certificación computadoras y recursos de red que defnen un límite de seguridad. El domino utiliza
¿Por qué razón podría una sola base de datos de Directorio activo para compartir los criterios de seguridad más
utilizar OUs en su comunes y su información de cuentas de usuarios de todas las computadoras incluyendo, el
dominio? dominio y permitiendo la administración central para todos los usuarios, grupos y recursos
—3.2 de la red.
Ventas.microsoft.com
Los dominios Desarrolladores y Ventas pueden ser hijos del nombre de dominio microsoft.
com.
Un bosque esta hecho por uno o más árboles (aunque la mayoría de las personas considera
que un bosque es de dos o tres arboles). Un bosque difere de un árbol porque utiliza un
nombre inconexo con espacios entre los árboles. Por ejemplo, en el bosque, puede tener
microsoft.com como una raíz de otro árbol. Ambos árboles puede ser combinados dentro
de un bosque, sin embargo, cada identidad de árbol se puede guardar por separado.
Para permitir usuarios en uno o más dominios para acceder a los recursos en otro dominio,
el Directorio activo utiliza trust relationship. Como ya se ha mencionado, algunos
dominios con un árbol o bosque son automáticamente creados en un carácter de confanza
transitiva de dos lados. Una confanza transitiva está basada en los siguientes conceptos:
Sin embargo, si tiene una asociación con otra compañía y necesita usuarios de un dominio
dentro de una organización que puedan acceder a recursos de otro dominio, puede
confgurar una confanza no transitiva explícita para que pueda ser de una u otra manera.
170 Lección 5
Un sitio es una o más subredes de IP que son conectadas por un enlace de alta velocidad,
típicamente defnidos por una ubicación geográfca. Por ejemplo, se puede decir que puede
tener una ofcina de cuatro pisos. Aunque el edifcio incluya varias subredes, todas las
computadoras dentro del edifcio utilizan capa 2 y 3 en los conmutadores para comunicarse
entre sí. Si tiene múltiples sitios, cada uno está conectado a otros mucho más lentos que
los links WAN (por lo menos más lentos que la velocidad de la LAN que podría encontrar
en un sitio individual). Va a poder limitar varios patrones de tráfco de red basados en la
manera como son defnidos.
Cuando un usuario se autentifca, los clientes del Directorio activo localizan el servidor
(utilizando los registros de recursos DNS SRV) conocidos como controladores de
dominio en el mismo sitio como los equipos. Cada dominio tiene su propio conjunto de
controladores de dominio que proporciona accesos a los recursos de dominios, como los
usuarios y equipos.
Para tolerar fallos, el sitio debe tener dos o más controladores de dominio. De esta
manera, si falta uno, el otro puede seguir dando el servicio a los clientes. Hay que tener
en cuenta que cada vez que un objeto se modifque (tales como usuario o contraseña), este
automáticamente aplicará a otros controladores de dominio.
Figure 5-5
Sitios del Directorio activo
y consolas de servicios
Dentro del Directorio activo, necesita defnir cada subred. Una vez que pueda hacer esto,
el Directorio activo puede averiguar la mejor manera de replicar la información localmente
y entre sitios.
Para minimizar el tráfco que se genera en el enlace WAN, los servidores que hacen
bridgehead realizan una replicación de directorio entre dos sitios, mientras sólo dos de
ellos son designados como controladores de dominio y se comunican entre sí. Cuando tiene
controladores de dominio de múltiples dominios, debe de utilizar servidores bridgehead
para cada uno.
también utiliza roles de Flexible Single Master Operations (FSMO), también conocido
como roles de operaciones maestras. Vea la tabla 5-1 y la fgura 5-6.
Tabla 5-1
Roles FSMO Nombre del Rol Scope (Alcance) Descripción
Esquema Maestro 1 por bosque Controla y gestiona las
actualizaciones o modificaciones al
esquema del Directorio activo.
nombres de dominio 1 por bosque Controla la adición y la eliminación
Maestro de los dominios del bosque si está
presente en el dominio raíz.
Emulador de PDC 1 por dominio PDC es la abreviatura de
controlador de dominio principal,
este era el controlador de dominio
principal que se utilizaba con
Windows NT. El emulador de PDC
proporciona compatibilidad con
versiones anteriores a clientes
NT4. También actúa como servidor
principal de los cambios de
contraseña y como el servidor de
tiempo maestro dentro del dominio.
RID Maestro 1 por dominio Asigna pools de identificadores
únicos a los controladores de
dominio para poder utilizarse al
crear objetos.
Infraestructura 1 por dominio Sincroniza entre dominios cambios
Maestra de configuración entre grupos
de miembros. La Infraestructura
maestra no se puede ejecutar en
un servidor de catálogo global a
menos que todos los DCs también
sean GC.
Figura 5-6
Roles de FMSO a Nivel de
dominio
Servicios Esenciales 173
Debido a que el controlador de dominio sólo tiene información para éste y no almacena
una copia de los objetos de otros, todavía necesita una manera de encontrar y acceder a
objetos en otros dominios dentro de su árbol y bosque. Un Catálogo global replica la
información de cada objeto en un árbol y el bosque. Sin embargo, en vez de almacenar
todo el objeto, almacena sólo los atributos que con más frecuencia son utilizados en las
operaciones de búsqueda, tales como nombre y apellido del usuario, nombre de equipo y
así sucesivamente. De forma predeterminada, un catálogo global se crea automáticamente
en el primer controlador de dominio en el bosque, pero cualquier controlador de dominio
se puede hacer en un catálogo global. Vea la fgura 5-7.
Figura 5-7
Configuración de un
controlador de dominio
como un catálogo global
Más allá de ser usado para encontrar objetos en un bosque, los catálogos globales también
son utilizados durante la autenticación de usuario de la siguiente manera:
• En Windows 2000 en modo nativo y por encima de los niveles funcionales
de dominio, los controladores de dominio deben solicitar la enumeración de
membresía a grupos universales de un servidor de catálogo global.
• Cuando un user principal name (UPN) se utiliza en el inicio y el bosque tiene más
de un dominio, es necesario un servidor de catálogo global para resolver el nombre.
Un UPN sigue el mismo formato que una dirección de correo electrónico (es decir,
username@domainname.ext).
Por último, un catálogo global es necesario para el almacenamiento en caché de la
membresía de grupos universales. En un bosque que cuenta con más de un dominio y en los
sitios que tienen los usuarios del dominio, pero no hay ningún servidor de catálogo global,
el almacenamiento en caché de la membresía de grupos universales se puede utilizar para
activar la caché de credenciales de inicio de sesión, para que el catálogo global no tenga
qué ser contactado para un usuario posteriormente autentifcado en el inicio de sesión.
Esta característica elimina la necesidad de recuperar la membresía de grupos universales
a través de un enlace WAN desde un servidor de catálogo global en un sitio diferente.
Además de tener un catálogo global en cada sitio geográfco, es una buena práctica para
activar la caché de la membresía de grupos universales en cada sitio geográfco.
174 Lección 5
Los seis niveles funcionales de dominio disponibles en el momento de escribir estas líneas
son:
• Windows 2000 mixto (predeterminado en Windows Server 2003)
• Windows 2000 nativo
• Windows Server 2003 provisional
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
Ajustar el nivel funcional para el dominio, permite que las características afecten
únicamente a este en su totalidad. Si todos los controladores de dominio se encuentran
ejecutándose en un dominio con ambiente Windows Server 2008 R2 y el nivel funcional
se establece en Windows Server 2008 R2, todas las características del dominio estarán
disponibles.
Los cinco niveles funcionales de bosque disponible en el momento de escribir estas líneas
son:
• Windows 2000 (predeterminado en Windows Server 2003 y Windows Server
2008)
• Windows Server 2003 provisional
• Windows Server 2003 (el valor predeterminado en Windows Server 2008 R2)
• Windows Server 2008
• Windows Server 2008 R2
Al establecer el nivel funcional para un bosque permite funciones en todos los dominios en
el mismo. Además, si todos los controladores de dominio de un bosque ejecutan Windows
Server 2008 R2 y el nivel funcional se establece en Windows Server 2008 R2, todas las
características del bosque se encontrarán disponibles.
Por ejemplo, aunque Windows 2000 se encuentre en modo mixto puede ser compatible con
los controladores del respaldo de Windows NT 4.0, si se actualiza a Windows 2000 nativo,
puede utilizar grupos de seguridad universales, el anidamiento de grupos (grupos dentro
de otros grupos) y el security identifer (SID) con sus capacidades históricas. Windows
Server 2003 a nivel funcional de dominio admite el atributo LastLogonTimestamp, que se
actualiza con el tiempo de inicio de la última sesión de usuario o de equipo. Este atributo
se replica dentro del dominio. Al ejecutarse el Windows Server 2008 R2 en el nivel de
dominio funcional, el Directorio activo se hace compatible con una papelera de reciclaje
para recuperar objetos eliminados.
Servicios Esenciales 175
Más información
Para obtener una lista de funciones disponibles en cada dominio y en el nivel funcional del
bosque, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels
(WS.10). aspx
; Listo para la Para ayudar a organizar los objetos dentro de un dominio y reducir al mínimo el número de
Certificación dominios requeridos, puede utilizar unidades organizacionales, Conocidos comúnmente
¿Cuál es la mejor como OUs (organizational units). Las OUs pueden ser usadas para soportar a los
manera de asignar usuarios, grupos, equipos y otras unidades organizativas. Vea la fgura 5-8. Una unidad
usuarios para organizacional sólo puede contener objetos que se encuentran en un dominio. Aunque
gestionar otros no hay restricciones respecto al número de OUs anidadas (una OU dentro de otra OU)
usuarios y equipos en que pueda tener, debe tratar de diseñar una jerarquía de poca profundidad para un mejor
el Directorio activo? rendimiento.
—3.2
Figura 5-8
Unidad organizacional del
Directorio activo
La primera vez que instala el Directorio activo, hay varias unidades de la organización que
ya han sido creadas. Estas incluyen los equipos, los usuarios, los controladores de dominio
y la construcción de las OUs; a diferencia de las que se crean, estas no permiten delegar o
asignar permisos de directivas de grupo para ellos. (Las directivas de grupo se explicarán
más adelante.) Vale la pena mencionar que las OU son los controladores de dominio, que
poseen el dominio predeterminado de controladores de políticas.
176 Lección 5
Los contenedores son objetos que pueden almacenar o mantener otros objetos. Estos
incluyen el bosque, árbol, dominio y unidad organizativa. Para ayudar a administrar
los objetos, puede delegar autoridad a un contenedor, en particular al dominio o unidad
organizativa.
Por ejemplo, digamos que tiene su dominio dividido por ubicaciones físicas. Se puede
asignar un control de administrador autorizado del sitio a la OU que representa un lugar
físico, para que el usuario sólo tenga el control administrativo de los objetos dentro de esa
OU. También puede estructurar sus OUs por su función o áreas de gestión. Por ejemplo,
podría crear una OU de ventas para mantener a todos los usuarios de ventas. También
puede crear unas impresoras OU para contener todos los objetos de impresora y asignar un
administrador de impresora.
Æ Delegar control
PREPÁRESE. Para delegar el control de una unidad organizacional, siga estos pasos:
1. Abra Usuarios y equipos del Directorio activo.
2. En el árbol de la consola, haga clic en la unidad organizacional para la que desea delegar
el control.
3. Haga clic en Delegar control para iniciar el Asistente para delegación de control y luego
siga las instrucciones en pantalla.
; Listo para la Cuando se trabaja con objetos, los administradores utilizan los nombres de los objetos,
Certificación tales como nombres de usuario. Sin embargo, a los objetos del Directorio activo se les
¿Por qué es importante asigna un número único de 128 bits llamado globally unique identifer (GUID), a veces
definir los usuarios del referido como un security identifer (SID), para identifcar un objeto. Por lo tanto, si un
Active Directory? usuario cambia su nombre, lo puede hacer mientras siga accediendo a todos los objetos y
—3.1 tendrá todos los derechos que tenía anteriormente, ya que estos se asignan a los GUID.
a todos los objetos y los derechos del anterior. Por lo tanto, si decide despedir a alguien
dentro de su organización; pero lo va a sustituir, puede deshabilitar la cuenta, contratar a la
nueva persona, cambiar el nombre de la cuenta de usuario, así como la contraseña y volver
a habilitar la cuenta para que el nuevo empleado pueda tener acceso a todos los recursos y
todos los derechos que el usuario anterior tenía.
El esquema del Directorio activo defne el formato de cada objeto y los atributos o campos
dentro de cada objeto. El esquema predeterminado contiene defniciones de objetos de uso
común, tales como cuentas de usuario, equipos, impresoras y los grupos. Por ejemplo, el
esquema defne que una cuenta de usuario debe tener su nombre, los apellidos y el número
de teléfono.
Para permitir que sea fexible para que pueda soportar otras aplicaciones, puede ampliar
el esquema para incluir atributos adicionales. Por ejemplo, puede agregar su número de
placa o número de identifcación del empleado al objeto del usuario. De hecho, al instalar
algunas aplicaciones, como Microsoft Exchange, extenderá el esquema mediante la adición
de los atributos o campos adicionales para que el esquema pueda apoyar la solicitud.
Una cuenta de usuario permite iniciar sesión en un equipo y al dominio. Como resultado,
puede ser utilizada para probar su identidad y esta información se puede utilizar para
determinar a lo que el usuario puede acceder y qué tipo de autorización tiene. También se
puede usar para una auditoría, de manera que si hay algún problema de seguridad por algo
a lo que se accedió o eliminó, se pueda determinar quién lo hizo.
Al crear una cuenta de usuario de dominio, debe proporcionar un nombre y apellido, así
como el nombre de inicio de sesión de usuario. El nombre de inicio debe ser único en
el dominio. Vea la fgura 5-9. Después de que la cuenta de usuario se crea, puede abrir
las propiedades de cuenta de usuario y confgurar el nombre de usuario de una persona,
las horas de inicio de sesión, números de teléfono y direcciones; los equipos en los que
el usuario puede iniciar sesión, en qué grupos es miembro, etcétera. También puede
178 Lección 5
Figura 5-10
Ficha de Perfil
Servicios Esenciales 179
El perfl de usuario está asociado a una cuenta, esta es una colección de carpetas, los datos
que almacenan son del entorno del usuario actual del escritorio y la confguración de
la aplicación. Un perfl de usuario también registra todas las conexiones de red que se
establecen, de modo que cuando un usuario inicia sesión en un equipo, recordará las
unidades asignadas a las carpetas compartidas, y así recibirá el mismo entorno de escritorio
que previamente tenía en el equipo.
Al igual que las cuentas de usuario, las cuentas de equipo de Windows proporcionan
un medio para autenticar y auditar el acceso de un ordenador a una red de Windows y el
acceso a los recursos del dominio. Cada equipo con el ambiente Windows a los que desea
conceder acceso, debe tener una cuenta única. Vea la fgura 5-12. Una cuenta de equipo
también se puede utilizar para fnes de auditoría, lo cual especifcará el sistema utilizado
cuando se accedió a algo.
Figura 5-12
Cuenta de Equipo
Introducción a Grupos
; Listo para la Un grupo es una colección o una lista de cuentas de usuario o cuentas de equipo. A
Certificación diferencia de un contenedor, un grupo no almacena usuarios o información de la
¿De qué manera los computadora, sino sólo la enlista. La ventaja de utilizar grupos, es que simplifcan la
grupos simplifican la administración, especialmente en la asignación de derechos y permisos.
seguridad?
—3.1 Un grupo se utiliza para agrupar usuarios y equipos, así que cuando se asignan derechos
y permisos, se les asigna a todo el grupo en lugar de a cada usuario de manera individual.
Los usuarios y equipos pueden ser miembros de varios grupos y en algunos casos, un grupo
puede ser asignado a otro grupo.
Figura 5-13
Grupo del Directorio
activo
Grupos de Alcance
Tabla 5-2
Grupo de Alcance Alcance El Grupo puede tener El Grupo puede El Grupo de
entre sus miembros ... tener diferentes Alcance puede
permisos en ... ser convertido
en ...
Universal Cuentas de cualquier Cualquier dominio Dominio local
dominio en el bosque o bosque Global (siempre
en el que reside el y cuando
grupo universal; grupos no existen
globales de cualquier otros grupos
dominio en el bosque universales
en el que reside el como miembros)
grupo universal; grupos
universales de cualquier
dominio en el bosque en
el que reside el grupo
universal.
Global Cuentas del mismo Cualquier dominio Universal
dominio que el grupo (siempre y
padre global; grupos cuando no sea
globales del mismo miembro de
dominio que el grupo ningún grupo
padre global. global de otro
tipo)
Dominio local Cuentas de cualquier Sólo el mismo Universal
dominio, grupos globales dominio que el (siempre y
de cualquier dominio, los grupo de dominio cuando no de
grupos universales de local de padres dominio de otros
cualquier dominio, los grupos locales
grupos de dominio local, que existan
pero sólo desde el mismo como miembros)
dominio que el grupo de
dominio padre local.
Cuando se asignen derechos y permisos, siempre debe tratar de organizar a los usuarios en
grupos y asignar los derechos y permisos para el grupo, en lugar de usuarios individuales.
Esto se utiliza para gestionar efcazmente el uso de grupos en la asignación de acceso a un
recurso de red utilizando los grupos globales y grupos locales de dominio, recuerde la regla
mnemotécnica AGDLP (Accounts, Global, Domain Local, Permissions):
• Agregar la cuenta de usuario (A) en el grupo global (G) en el dominio en el que
el usuario existe.
• Agregue el grupo global (G) del dominio del usuario en el grupo de dominio local
(DL) en el dominio de recursos.
• Asignar permisos (P) en el recurso al grupo de dominio local (DL) en su dominio.
Si está utilizando grupos universales, la tecla de acceso se amplía a AGUDLP:
• Agregar la cuenta de usuario (A) en el grupo global (G) en el dominio en el que
el usuario existe.
• Añadir grupos globales (G) del dominio del usuario en el grupo universal (U).
• Añadir grupo universal (U) para el grupo de dominio local (DL).
• Asignar permisos (P) en el recurso al grupo de dominio local (DL) en su dominio.
Servicios Esenciales 183
Más información
Para obtener más información sobre los grupos disponibles, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/library/cc756898 (WS.10). aspx
Listo para la Literalmente hay miles de opciones que pueden utilizarse para restringir ciertas acciones,
Certifcación hacer un sistema más seguro o estandarizar un ambiente de trabajo. Una confguración
¿Qué es la directiva de puede controlar un registro de la computadora, la seguridad NTFS, la auditoría y la política
grupo, y cómo ayuda a de seguridad; instalación de software, la redirección de carpetas aunque estas no tengan
administrar su red? conexión o iniciar y cerrar la sesión en las secuencias de comandos. La Directiva de grupo
—3.4 es una de las características más potentes del Directorio activo que controla el entorno
de trabajo para las cuentas de usuario y cuentas de equipo. La directiva de grupo (Vea la
fgura 5-14) proporciona la gestión centralizada y la confguración de sistemas operativos,
aplicaciones y confguraciones de usuario en un entorno del Directorio activo. A medida
que cada versión de servidor se libera, Microsoft suele añadir parámetros adicionales.
Los Objetos de Directivas de Grupo (GPO) son recopilaciones de confguraciones tanto del
usuario como de la computadora, como las siguientes:
• Configuración del sistema: Confguración de las aplicaciones, la apariencia del
escritorio y el comportamiento de los servicios del sistema.
• Configuraciones de seguridad: Equipo local, dominio y la confguración de
seguridad en la red.
184 Lección 5
Figura 5-15
Consola de
Administración para
Políticas de Grupo
PREPÁRESE. Puede abrir el Editor de directivas de grupo local utilizando gpedit.msc en una
línea de comando o utilizando el Microsoft Management Console (MMC). Para abrir el Editor
de directivas de grupo local desde la línea de comando, realice los siguientes pasos:
1. Abra el MMC. (Haga clic en Inicio, después haga clic en el cuadro de Iniciar búsqueda,
escriba mmc y a continuación, presione Intro.)
2. En el menú de Archivo, haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo de la opción Agregar o quitar complemento, haga clic en el Editor
de Objeto de Directivas de Grupo y, a continuación haga clic en Agregar.
4. En el cuadro de diálogo Seleccione Objeto de Directivas de Grupo, y haga clic en
Examinar.
5. Haga clic en Este equipo para editar el Objeto de Directivas de Grupo Local, o en Usuarios
para editar el administrador o no administrador o por usuario de Objetos de Directivas de
Grupo Local.
6. Haga clic en Finalizar.
Un permiso defne el tipo de acceso que se concede a un objeto (un objeto puede ser
reconocido con un identifcador de seguridad) o a un atributo del mismo. Los objetos
más comunes a los que se asignan permisos son los archivos y carpetas NTFS, impresoras
y objetos del Directorio activo, los cuales son registrados en la Lista de Control de
Acceso (ACL) y así los usuarios que pueden acceder a un objeto y a las acciones que están
autorizados a realizar. El NTFS y los permisos de impresión se discutirán en la próxima
lección.
Servicios Esenciales 187
Resumen de Habilidades
» Examen de Conocimiento
Opción múltiple
8. ¿Qué se puede utilizar para especifcar cuántas veces un usuario puede entrar e iniciar
sesión con una contraseña incorrecta antes de que la cuenta sea deshabilitada?
a. Perfl de usuario
b. Directiva de Grupo
c. Directiva de Software
d. Colección de cuentas de usuario
9. ¿A cuál de las siguientes no puede ser aplicada una directiva de grupo directamente?
a. Grupo
b. Sitio
c. Dominio
d. OU
10. ¿Qué es lo que autoriza a un usuario realizar determinadas acciones en un equipo?
a. Permiso
b. UNC
c. Derecho
d. Tarea
Verdadero / Falso
» Evaluación de Competencias
Tiene diez sitios en todo el país y cinco departamentos principales. ¿Cómo va a diseñar la
estructura del Directorio activo?
¿Cómo se puede definir que los controladores de dominio copien información a otros
controladores de dominio?
Servicios Esenciales 191
» Evaluación de la Habilidad
A continuación, debe crear tres usuarios en cada OU. A continuación, debe crear un grupo
en cada OU que albergue a los miembros de la OU. Crear un usuario llamado JSmith en
la Ingeniería OU. Añadir al usuario JSmith al grupo de Ingenieros.
Términos clave
• Acciones administrativas • Permiso explícito • Trabajos de impresión
• Auditoría • Permiso heredado • Impresora
• Permisos efectivos • Impresión en Internet • Permisos de impresora
• Sistema de archivos encriptados • Permisos NTFS • Permiso compartido
(EFS) • Propietario • Carpeta compartida
• Encriptación • Dispositivo de impresión
Supongamos que tiene varios servidores que ejecutan Windows Server 2008 R2. Desea centralizar
el almacenamiento de documentos e impresión para que los usuarios puedan acceder fácilmente a
los archivos mientras proporcionan una manera efcaz de realizar las copias de seguridad de datos.
Además, quiere comprar dos impresoras a color grandes y rápidas que serán situadas en el centro
para manejar varios trabajos grandes de impresión.
194 Lección 6
Introducción a NTFS
È EN RESUMEN
En la lección 3, aprendió que NTFS es el sistema de archivos preferido, en parte, porque apoya a discos duros mucho
más grandes y con un mayor nivel de confanza. Además, NTFS ofrece mejor seguridad a través de los permisos y el
encriptado.
; Listo para la
Certificación
En esta lección, el permiso se defne cómo el tipo de acceso que se concede a un objeto,
como a los archivos y carpetas NTFS. Cuando los archivos y carpetas se crean en la unidad
¿Por qué NTFS es el NTFS, es creada una lista de seguridad conocida como Access Control List (ACL). Esta
sistema de archivos lista incluye información que controla qué usuarios y grupos pueden tener acceso al archivo
preferido? o carpeta, así como el tipo de acceso se concede a determinados usuarios y grupos. Cada
—2.4 asignación de permisos es representado como un Access Control Entry (ACE).
º Tome Nota
Los permisos NTFS se
administran mediante
el Explorador de
Windows (explorer.
exe)
Por lo general, cuando se asignan los permisos NTFS, podrá asignar los siguientes criterios
para éstos:
• Control total: Este es un permiso para leer, escribir, modifcar y ejecutar archivos
en una carpeta, cambiar los atributos y permisos; y hacer uso de ella o de los
archivos que se encuentran ahí.
• Modificar: Este es un permiso para leer, escribir, modifcar y ejecutar archivos en
una carpeta, así como cambiar sus atributos o los archivos dentro de ella.
• Leer y ejecutar: Este es un permiso para sólo mostrar el contenido de una carpeta;
mostrar los datos, atributos, propietario y permisos para los archivos que se
encuentran dentro de ella.
• Lista del contenido de la carpeta: Este es un permiso para sólo mostrar el
contenido de una carpeta; así como los datos, atributos, propietario y permisos
para los archivos, y ejecutar los que se encuentran dentro de ella.
• Leer: Este es un permiso para sólo mostrar los datos de un archivo, atributos,
propietario y permisos.
• Escribir: Este es un permiso para escribir en un archivo, adjuntarlo y leer o cambiar
sus atributos.
Tome Nota
Mientras el permiso de Lista del contenido de la carpeta y el permiso Leer y ejecutar parecen
tener los mismos permisos especiales, estos permisos se heredan de forma diferente. La Lista
de carpetas de contenido es heredado por carpetas, pero no los archivos, mientras que Leer y
ejecutar lo heredan tanto los archivos y carpetas.
Servicios de archivo e impresión 195
Para administrar los permisos de NTFS, puede hacer clic derecho en una unidad, carpeta
o archivo y seleccionar Propiedades y, a continuación seleccionar la fcha Seguridad. Vea
la fgura 6-1, deberá ver el grupo y los usuarios que tienen permisos de NTFS y sus
respectivos permisos estándar. Para cambiar los permisos, debe hacer clic en Editar.
Figura 6-1
Permisos NTFS
Cada uno de los permisos estándar consiste en un grupo lógico de permisos especiales, los
cuales son los siguientes:
• Recorrer la carpeta / Ejecutar archivo: Recorrer la carpeta permite o niega el
movimiento a través de estas para llegar a otros archivos o carpetas, incluso si
el usuario no tiene permisos para recorrerlas. Por defecto, el grupo Todos se les
concede el derecho de usuario para omitir la comprobación del recorrido. (Esto
se aplica sólo a las carpetas.) Ejecutar archivo permite o niega la ejecución de
archivos de programa. (Esto se aplica sólo a los archivos.) Al establecer el permiso
de Recorrer la carpeta, no se establece automáticamente el permiso de Ejecutar el
archivo en todos los documentos dentro de la misma.
• Mostrar carpeta / Leer datos: Mostrar carpeta permite o niega la visualización
de los nombres de archivos y los nombres de la subcarpetas. También afecta el
contenido de esa carpeta solamente y no afecta si esta tiene establecido el permiso
que se le está asignando a la lista. (Esto se aplica sólo a las carpetas.) Leer los datos
permite o niega la vista de los datos en los archivos. (Esto se aplica sólo a los
archivos.)
• Leer atributos: Permite o niega la vista de los atributos de un archivo o carpeta,
como sólo lectura y oculto.
• Leer atributos extendidos: Este permiso permite o niega la vista de los atributos
extendidos de un archivo o carpeta. Los atributos extendidos están defnidos por los
programas y pueden variar según el programa.
• Crear archivos / Escribir datos: Crear archivos permite o niega la creación de
archivos dentro de una carpeta. (Esto se aplica sólo a las carpetas.) Escribir datos
permite o impide realizar cambios en un archivo y sobreescribir el contenido
existente. (Esto se aplica sólo a los archivos.)
• Crear carpetas / Anexar datos: Crear carpetas permite o niega la creación de estas
dentro de otra. (Esto se aplica sólo a las carpetas.) Anexar datos permite o impide
196 Lección 6
Tabla 6-1
Permisos NTFS Permisos Control Modificar Leer y Lista de Leer Escribir
especiales total ejecutar contenido
de la
carpeta
(sólo
carpetas)
Recorrer x x x x
carpeta /
Ejecutar
archivo
Lista de x x x x x
carpetas /
Leer datos
Leer x x x x x
atributos
Leer x x x x x
atributos
extendidos
Crear x x x
archivos
/ Escribir
datos
Crear x x x
carpetas
/ Anexar
datos
Escribir x x x
atributos
Escribir x x x
atributos
extendidos
Eliminar x
subcarpetas
y archivos
Eliminar x x
Permisos de x x x x x x
lectura
Permisos de x
Cambio
Tomar x
posesión
Sincronizar x x x x x x
198 Lección 6
Figura 6-2
Configuración avanzada
de seguridad
Los grupos o usuarios a los que se le concede el permiso de Control total sobre una carpeta
pueden eliminar cualquier archivo en esa independientemente de los permisos de proteger
el archivo. Además, la función de mostrar el contenido de la carpeta es heredada por las
carpetas pero no por los archivos y sólo deberá constar al ver los permisos. En Windows
Server 2008, el grupo Todos no incluye el grupo de Inicio de sesión anónimo de forma
predeterminada, por lo que los permisos que se aplican para el grupo Todos no afectan al
grupo Inicio de sesión anónimo.
De forma predeterminada, los objetos dentro de una carpeta heredan los permisos de esa
carpeta cuando se crean (Tabla 6-2). Sin embargo, los permisos explícitos tienen prioridad
sobre los permisos heredados (Tabla 6-3). Así que, si concede diferentes permisos a un
nivel inferior, el menor nivel tiene prioridad.
Por ejemplo, supongamos que tiene una carpeta llamada Datos. Dentro de ésta, tiene la
Carpeta1, y dentro tiene la Carpeta2. Si concede Permitir el control total a una cuenta de
usuario, el permiso Permitir control total se pasará a las subcarpetas y archivos dentro de
la carpeta de Datos.
Tabla 6-2
Permisos heredados Objeto Permisos NTFS
Datos Permite Permiso de Control Total (explícito)
Carpeta 1 Permite Control Total (heredado)
Carpeta 2 Permite Control Total (heredado)
Archivo 1 Permite Control Total (heredado)
Por lo tanto, si concede Permitir Control Total en la carpeta Datos para una cuenta de
usuario, el Permiso de Control Total normalmente afectará a la Carpeta 1. Sin embargo,
si concede Permiso de Lectura a la carpeta 1 en la misma cuenta de usuario, el permiso
Permitir leer sobrescribirá el permiso heredado y también se transmitirá a la carpeta 2 y
al archivo 1.
Tabla 6-3
Permisos explícitos para Objeto Permisos NTFS
sobrescribir los permisos
heredados
Datos Permite Permiso de Control Total (explícito)
Carpeta 1 Permitir la lectura (explícito)
Carpeta 2 Permitir la lectura (heredado)
Archivo 1 Permitir la lectura (heredado)
3. Denegación Heredada
4. Permitir Heredado
Debido a que los usuarios pueden ser miembros de varios grupos, es posible que tengan
varios conjuntos de permisos explícitos para una carpeta o archivo. Cuando esto ocurre,
los permisos se combinan para formar los permisos efectivos, que son los permisos reales
al iniciar sesión y acceder a un archivo o carpeta. Se componen de los permisos explícitos
más cualquier permiso heredado.
Al calcular los permisos efectivos, debe calcular en primer lugar los permisos explícitos
y heredados para un individuo o grupo y en seguida, combinarlos. Cuando se combinan
permisos de usuario y de grupo para la seguridad NTFS, el efectivo es el permiso
acumulativo. La única excepción es que siempre se aplica Denegar permisos.
Por ejemplo, supongamos que tiene una carpeta llamada Datos. Dentro de ésta tienes una
Carpeta 1 y dentro, tienes una Carpeta 2. Imaginemos también que el Usuario 1 es un
miembro del Grupo 1 y del Grupo 2. Si asigna el permiso Permitir escritura a la Carpeta
Datos para el Usuario 1, el Permitir lectura a la Carpeta 1 del Grupo 1 y el permiso
Permitir modifcar a la Carpeta 2 para el Grupo 2, entonces los permisos efectivos del
Usuario 1 sería como se muestra en la Tabla 6-4.
Tabla 6-4
Cálculo de los permisos
efectivos
Objeto Permisos de NTFS Permisos de Permisos de Permisos
de usuario 1 grupo 1 grupo 2 efectivos
Datos Permiso de Permiso
Permitir escritura de permitir
(Explicito) escritura
Carpeta 1 Permiso de Permiso Permiso
Permitir escritura de Permitir de Permitir
(heredado) lectura lectura y
(Explícito) escritura
Carpeta 2 Permiso de Permiso Permiso Permiso
Permitir escritura de Permitir de Permitir de Permitir
(heredado) lectura modificar modificar
(heredado) (Explícito)
Ahora, supongamos que tiene una carpeta llamada Datos. Dentro de ésta, tiene la Carpeta
1 y dentro la Carpeta 2. El Usuario 1 es un miembro del Grupo 1 y del grupo 2. Asigna
el permiso Permitir escritura a la carpeta Datos del Usuario 1, el permiso Permitir lectura
a la Carpeta 1 del Grupo 1 y el permiso Denegar modifcar a la Carpeta 2 para el grupo 2.
Los permisos efectivos del Usuario 1 serían como se muestra en la Tabla 6-5.
Servicios de archivo e impresión 201
Tabla 6-5
Permisos efectivos
Objeto Permisos de Permisos de Permisos de Permisos
afectados por los
permisos de Denegar NTFS de usuario grupo 1 grupo 2 efectivos
1
Datos Permiso de Permiso
Permitir escritura de Permitir
(Explicito) escritura
Carpeta 1 Permiso de Permiso Permiso de
Permitir escritura de Permitir Permitir lectura
(heredado) lectura y escritura
(Explicito)
Carpeta 2 Permiso de Permiso Permiso de Permiso de
Permitir escritura de Permitir Denegar Denegar
(heredado) lectura modificación modificación
(heredado) (Explicito)
Archivo 1 Permiso de Permiso Permiso de Permiso de
Permitir escritura de Permitir Denegar Denegar
(heredado) lectura modificación modificación
(heredado) (heredado)
PREPÁRESE. Para ver los permisos efectivos de NTFS concedidos a un usuario de un archivo
o carpeta, realice los pasos siguientes:
1. Haga clic derecho en el archivo o carpeta y seleccione Propiedades.
2. Seleccione la ficha Seguridad.
3. Haga clic en Opciones avanzadas.
4. Haga clic en la ficha Permisos Efectivos (Vea la figura 6-3).
Figura 6-3
Ficha Permisos efectivos
de NTFS
5. Haga clic en Seleccionar y escriba el nombre del usuario o grupo que desee ver. Haga clic
en Aceptar.
202 Lección 6
PREPÁRESE. Para hacer uso de un archivo o carpeta, realice los siguientes pasos:
1. Abra el Explorador de Windows y busque el archivo o la carpeta de los que desea usar.
2. Haga clic derecho en el archivo o carpeta, después en Propiedades y a continuación
seleccione la ficha Seguridad.
3. Haga clic en Propiedades Avanzadas y a continuación seleccione la ficha Propietario.
4. Haga clic en Editar y a continuación realice una de las siguientes acciones:
• Para cambiar el propietario a un usuario o grupo que no aparece, haga clic en Otros
usuarios y grupos y en Escribir el nombre de objeto a seleccionar (ejemplos) escriba el
nombre de usuario o grupo. Dé clic en Aceptar.
• Para cambiar el propietario a un usuario o grupo que aparece, haga clic en el nombre
del nuevo propietario en el cuadro de Cambiar propietario.
5. Para cambiar el propietario de todos los contenedores secundarios y objetos dentro
del árbol, selecciona la casilla de verificación Reemplazar propietario en objetos y
subcontenedores.
Servicios de archivo e impresión 203
Si un disco duro fuera robado de un sistema, el ladrón podría instalar el disco duro en un
sistema Windows para que él o ella se convierta en un administrador. Como administrador,
el ladrón podría asumir como propietario y tener el acceso a cada archivo y carpeta en el
disco. Esta es una razón por la que los servidores deben tener una seguridad física. Para
ayudar a proteger sus datos en situaciones como ésta, puede utilizar la encriptación.
Tome Nota
El encriptado también se puede utilizar para proteger los datos en laptops, que tienen una
probabilidad mucho mayor de ser robadas, ya que son dispositivos móviles. En Windows 7, se
puede utilizar EFS para encriptar archivos o carpetas individuales y BitLocker para encriptar
la unidad completa.
PREPÁRESE. Para encriptar una carpeta o archivo, realice las siguientes acciones:
1. Haga clic derecho en la carpeta o archivo que desee encriptar y a continuación
seleccione Propiedades.
2. Haga clic en la ficha General. A continuación, haga clic en Opciones avanzadas.
3. Seleccione la casilla Encriptar contenido para proteger datos, haga clic en Aceptar y
nuevamente presione Aceptar. Vea la figura 6-4.
204 Lección 6
Figura 6-4
Encriptar contenido
utilizando EFS
º Tome Nota
No puede encriptar
un archivo con EFS,
mientras comprime un
archivo con NTFS. Sólo
puede hacer una cosa
o la otra
PREPÁRESE. Para desencriptar una carpeta o archivo, realice las siguientes acciones:
1. Haga clic derecho en la carpeta o archivo que desea desencriptar, y luego elija
Propiedades.
2. Haga clic en la ficha General. A continuación, seleccione Opciones avanzadas.
3. Desactive la casilla Encriptar contenido para proteger datos, haga clic en Aceptar y a
continuación oprima Aceptar de nuevo.
La primera vez que encripta una carpeta o archivo, un certifcado de encriptado se creará
automáticamente. Si su certifcado y la clave se han perdido o dañado y no tiene una copia
de seguridad, no podrá utilizar los archivos que se han encriptado. Por lo tanto, debe hacer
una copia de seguridad del certifcado del encriptado.
PREPÁRESE. Para realizar una copia de seguridad del certificado EFS, realiza las siguientes
acciones:
1. Ejecute el comando certmgr.msc. Si se le pide una contraseña de administrador o una
confirmación, escriba su contraseña o proporcione la confirmación.
2. En el panel izquierdo, haga doble clic en Personal.
3. Haga clic en Certificados.
4. En el panel principal, haga clic en el certificado que enlista el Encrypting File System
con los fines previstos. Si hay más de un certificado de EFS, deberá hacer una copia de
seguridad de todos ellos.
5. Haga clic en el menú Acción, seleccione Todas las tareas y en seguida, haga clic en
Exportar.
Servicios de archivo e impresión 205
La mayoría de los usuarios no van a iniciar una sesión en un servidor directamente para acceder a sus archivos de
datos. En lugar de eso será compartida una unidad o carpeta (conocida como una carpeta compartida), y accederá a
los archivos de datos en la red. Para ayudar a proteger contra el acceso no autorizado a dichas carpetas, se van a usar
permisos de recursos compartidos junto con los permisos de NTFS (suponiendo que la carpeta compartida está en
un volumen NTFS). Entonces, cuando los usuarios necesiten tener acceso a un recurso compartido de red, usarán la
UNC, que es \\nombredelservidor\nombrecompartido.
; Listo para la
Certificación Æ Compartir una carpeta
¿Cómo haría una
carpeta disponible PREPÁRESE. Para compartir una unidad o carpeta, siga estos pasos:
para otros usuarios
a través de una red? 1. En Windows Server 2003, haga clic en la unidad o carpeta deseada y seleccione
—2.4 Compartir y seguridad. En Windows Server 2008, haga clic derecho en la unidad o carpeta,
seleccione Propiedades y seleccione la ficha Compartir y elija Opciones avanzadas. A
continuación, siga estos pasos:
2. Seleccione Compartir esta carpeta.
3. Escriba el nombre de la carpeta compartida.
4. Si es necesario, especifique el número máximo de personas que pueden acceder a la
carpeta compartida al mismo tiempo.
5. Haga clic en Permisos.
6. De manera predeterminada, a todos se les da el permiso de lectura compartida. A
continuación, puede eliminar a todos y/o ampliar el permiso de lectura compartida, o
incluir más personas.
7. Después de que los usuarios y grupos se han añadido con los permisos adecuados, haga
clic en Aceptar para cerrar el cuadro de diálogo de Permisos. Vea la figura 6-5.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo de Propiedades.
206 Lección 6
Figura 6-5
Compartir una carpeta
Los permisos del recurso compartido que están disponibles son los siguientes:
• Control total: Son usuarios a quienes les permiten usar el permiso de Lectura y
Cambio, así como las capacidades adicionales para cambiar los permisos de archivos
y carpetas y tomar posesión de archivos y carpetas.
• Cambiar: Son usuarios a quienes les permiten usar el permiso de Lectura y la
capacidad adicional para crear archivos y subcarpetas, modifcar archivos, cambiar
atributos y eliminarlos.
• Leer: Los usuarios con este permiso pueden ver los nombres de archivos y
subcarpetas, acceder a las subcarpetas de la carpeta compartida, leer datos de
archivos y atributos y ejecutar archivos de programa.
Al igual que con NTFS, puede permitir o negar el permiso de cada acción. Para simplifcar
la administración de permisos de recursos compartidos y NTFS, Microsoft recomienda que
se conceda el control total de todo el nivel de compartir, después se necesita controlar el
acceso mediante permisos NTFS. Además, debido a que un usuario puede ser miembro de
varios grupos, es posible que un usuario en particular tenga varios conjuntos de permisos
en una unidad compartida o carpeta. Los permisos de recursos compartidos se basan en una
combinación de los permisos de usuario y los permisos de todos los grupos de los cuales
el usuario es miembro.
Cuando una persona inicia sesión en el servidor y los archivos de acceso y carpetas no usan
la UNC, sólo se aplican los permisos NTFS y no los permisos del recurso compartido.
Cuando una persona accede a una carpeta compartida utilizando la UNC, debe combinar
NTFS y los permisos del recurso compartido para ver lo que un usuario puede hacer. Para
calcular el acceso general, primero hay que calcular los permisos NTFS efectivos. Entonces
se determinan los permisos efectivos para compartir. Por último aplique los permisos más
restrictivos entre el NTFS y los compartidos.
Cuando utilice servidores, sólo debe permitir aquellos servicios que necesita para reducir
el uso del servidor, lo cual reduce la capacidad de explotar vulnerabilidades. Por lo tanto,
para proveer servicios en una red, el servidor debe ser visible en la red.
Figura 6-6
Detección de redes
Los servicios de red confgurables que pueden existir en la confguración de Uso Compartido
Avanzado son los siguientes:
• Detección de redes: Permite a una computadora ver otros equipos y dispositivos de
red y ser visible para las computadoras de la red.
• Compartir impresoras y archivos: Permite a los usuarios de la red tener acceso a
los archivos e impresoras que ha compartido en este equipo.
• Uso compartido de la carpeta pública: Permite a los usuarios de la red obtener
acceso a los archivos en la carpeta pública.
• Transmisión por secuencias de multimedia: Permite a los usuarios y dispositivos
de la red tener acceso a fotos, música y videos en la computadora. Además, esto
permite que la computadora también pueda encontrar multimedia en la red.
• Uso compartido con protección por contraseña: Permite que sólo los usuarios
con una cuenta y contraseña en este equipo puedan obtener acceso a los archivos
compartidos, a las impresoras conectadas a este equipo y las carpetas públicas.
Para dar acceso a otros usuarios, es necesario desactivar el uso compartido con
protección por contraseña.
208 Lección 6
Además de las partes compartidas administrativas de cada unidad, también cuenta con los
siguientes recursos compartidos especiales:
• ADMIN$: Es un recurso utilizado por el sistema durante la administración remota
de una computadora. La ruta de acceso de este recurso siempre es el camino a la
raíz del sistema de Windows 2008 (el directorio en el cual está instalado Windows
2008, por ejemplo, C:\Windows).
• IPC$: Es un recurso que comparte los “Named pipes” que son esenciales para la
comunicación entre programas. Se utiliza durante la administración remota de una
computadora y al visualizar los recursos compartidos de un equipo.
• PRINT$: Es un recurso que se utiliza durante la administración remota de
impresoras.
• NETLOGON: Es un recurso utilizado por el servicio Net Logon de un equipo de
Windows Server 2008, mientras se procesan las solicitudes de inicio de sesión de
dominio.
Uno de los servicios de red básicos es la impresión en red, en la que varios usuarios pueden compartir la misma
impresora. Esta es una solución rentable cuando se tienen varios empleados en diferentes lugares.
; Listo para la Como administrador, puede instalar dos tipos de impresoras: locales y de red. Hoy en día,
Certificación la mayoría de las impresoras locales se conectan mediante puertos USB, aunque algunas
¿Cómo se puede limitar antiguas pueden utilizar los puertos paralelos o en serie. Las impresoras de red pueden
la impresión en las compartir impresoras locales o impresoras que se conectan directamente a una red por
impresoras costosas? medio de las tarjetas de red o las tarjetas expandibles jet-direct.
—2.4
Al instalar una impresora física, a la cual Microsoft se refere como un dispositivo de
impresión, primero debe conectar la impresora y luego encenderla. Después, necesita crear
una impresora lógica (Microsoft se refere a esto como la impresora), que proporcionará
una interfaz de software entre el dispositivo de impresión y las aplicaciones. Cuando
Servicios de archivo e impresión 209
se crea, también carga un controlador de impresión que actúa como un traductor para
Windows y los programas que ejecuta, por lo que no tiene que preocuparse de los detalles
específcos del hardware y el idioma de la misma.
f Instalar Impresoras
Si tiene los permisos correctos para añadir una impresora local o una compartida remota, puede utilizar el Asistente
para agregar impresoras e instalarla. Después de que la impresora está instalada, aparecerá en la carpeta de Dispositivos
e impresoras, así como en el Administrador de dispositivos.
PREPÁRESE. Para añadir una impresora local en Windows Server 2008, lleve a cabo las
siguientes acciones:
1. Haga clic en Inicio y después seleccione Panel de control.
2. En Hardware y Sonido haga clic en Ver dispositivos e impresoras.
3. Para iniciar el Asistente para agregar impresoras haga clic en Agregar una impresora.
4. Seleccione Agregar una impresora local.
5. Cuando el cuadro de diálogo Agregar impresora aparezca, especifique el puerto al que
está conectada la impresora. Vea la figura 6-7. Si el puerto ya existe, tal como LPT1 o
un puerto de red especificada por una dirección IP, seleccione el puerto de la opción
de Utilizar de una lista de puertos existentes. Si el puerto no existe, haga clic en Crear
nuevo puerto, seleccione el estándar TCP / IP Port y seleccione Siguiente. Por el tipo
de dispositivo, puede seleccionar cualquiera de detección automática, TCP / IP del
dispositivo, o un dispositivo de servicios Web. A continuación especifique la dirección
IP o el nombre DNS de la impresora y el nombre del puerto. Si escribe la dirección en
el nombre de host o dirección IP, se llenará la dirección IP en el nombre del puerto. A
continuación, tratará de comunicarse con la impresora utilizando la dirección que ha
especificado.
210 Lección 6
Figura 6-7
Agregar una impresora
local
PREPÁRESE. Para agregar una impresora de red en Windows Server 2008, siga estos pasos:
1. Haga clic en Inicio y seleccione Panel de control.
2. En Hardware y Sonido haga clic en Ver dispositivos e impresoras.
3. Para iniciar el Asistente para agregar impresoras haga clic en Agregar una impresora.
4. Seleccione Agregar una impresora de red, Inalámbrica o Bluetooth.
5. Si la impresora no se encuentran de manera automática seleccione la impresora que
desea no aparece la lista de opción.
Servicios de archivo e impresión 211
º Tome Nota 6. Si tiene una impresora publicada en el Directorio activo (asumiendo que son parte de
El puerto TCP / IP de un dominio), seleccione Buscar una impresora en el directorio, basado en la ubicación
la impresora utiliza o característica. Si conoce la UNC, elija Seleccionar una impresora compartida por su
el puerto 9100 para nombre. Si conoce la dirección TCP / IP, elija la última opción. Haga clic en Siguiente.
comunicarse 7. En el cuadro de diálogo Escriba un nombre de impresora, especifique el nombre de la
impresora. Si desea que esta sea la predeterminada, seleccione la opción Establecer
como impresora predeterminada. Haga clic en Siguiente.
8. Cuando la impresora se ha agregado correctamente, puede imprimir la página estándar de
prueba de Windows, seleccionando Imprimir página de prueba. Haga clic en Finalizar.
Figura 6-8
Asistente para agregar
controlador de impresora
7. Seleccione los controladores adecuados del procesador y del sistema operativo y haga
clic en Siguiente.
8. Si es necesario, proporcione una ruta para el controlador de la impresora y haga clic en
Aceptar.
9. Cuando el asistente haya finalizado, haga clic en Finalizar.
º Tome Nota Las impresoras de red suelen ser utilizadas por más de un usuario. Si tiene un gran volumen
También puede utilizar de trabajos de impresión, la impresora puede congestionarse y los usuarios tendrán que
las políticas del esperar a que los documentos se impriman. Aunque cualquiera puede comprar una
grupo para instalar y impresora más rápida o puede crear un grupo de impresoras llamado grupo de impresora
configurar impresoras que funciona como una virtual con una cola de impresión. Los usuarios imprimen en una
sola máquina, y los trabajos de impresión se distribuyen entre las impresoras dentro del
grupo.
Para crear un conjunto de impresoras, debe tener dos o más impresoras del mismo modelo
y utilizar el mismo controlador de impresora. Ellos pueden usar el mismo tipo de puertos
o diferentes. Ya que no sabe qué trabajo de impresión va a dirigirse a cual impresora, se
recomienda que coloque las coloque todas agrupadas en una misma ubicación física.
4. Repita los pasos 2 y 3 para cada impresora adicional que desee incluir en el grupo de
impresoras.
Si desea asegurarse que los documentos se envían primero a la impresora más rápida,
agregue las impresoras más rápidas del grupo primero y las impresoras más lentas después.
Los trabajos de impresión se envían en el orden en que se crean los puertos.
Al abrir Propiedades de la Impresora (Vea la fgura 6-9), encontrará las siguientes opciones:
• Ficha General: Le permite confgurar el nombre de la impresora, la ubicación
y los comentarios y para imprimir una página de prueba. Además, si hace clic
en Preferencias de impresión en la fcha General podrá seleccionar, el tamaño
predeterminado de papel, bandeja de papel, calidad de impresión y resolución,
páginas por hoja, el orden de impresión (por ejemplo, de adelante hacia atrás o de
atrás hacia adelante), y el número de copias que mostrará. Las opciones actuales que
estén disponibles pueden variar dependiendo de su impresora.
• Ficha Compartir: Le permite compartir una impresora. También puede publicarla
en Directorio activo si eligió la lista en la opción de directorio. Debido a que una
impresora en un servidor puede ser utilizada por otros clientes conectados a la red,
puede agregar controladores adicionales, haga clic en Controladores adicionales.
• Ficha Puertos: Le permite especifcar qué puerto (físico o TCP / IP) utilizará la
impresora, así como también para crear nuevos puertos TCP / IP.
• Ficha Opciones avanzadas: Le permite confgurar el controlador para utilizar con
la impresora así como la prioridad de la misma, indica cuando esta está disponible,
y cómo se ponen en cola los trabajos de impresión.
• Ficha Seguridad: Sirve para especifcar los permisos para la impresora.
• Ficha Configuración del dispositivo: Le permite confgurar las bandejas, la
sustitución de fuentes y otras confguraciones de hardware.
214 Lección 6
Figura 6-9
Propiedades de la
impresora
Figura 6-10
Permisos de la impresora
3. Para ver la cola de impresión, haga clic en la impresora: documento listo o # (s) de
documentos en la cola. Vea la figura 6-11.
Figura 6-11
Viendo la cola de
impresión
Por defecto, todos los usuarios pueden pausar, reanudar, reiniciar y cancelar sus propios
documentos. Para administrar los documentos que se imprimen por otros usuarios, debe
tener los permisos de Administrar Documentos.
PREPÁRATE. Para cambiar la ubicación de la carpeta de cola en Windows Server 2008 R2,
siga estos pasos:
1. Abra la carpeta Dispositivos e Impresoras.
2. Haga clic en la impresora y seleccione las propiedades del servidor de impresión.
Servicios de archivo e impresión 217
Para instalar el Cliente de impresión en Internet en Windows Server 2008, haga clic
en Agregar funciones en el Administrador de Servidores, seleccione la casilla Cliente de
Impresión en Internet y a continuación, haga clic en Aceptar. Para administrar un servidor
utilizando el sitio Web creado por la impresión en Internet, abrir un navegador web y vaya
a http://servername/printers.
Habilitar la Auditoría
È EN RESUMEN
La seguridad puede ser dividida en tres áreas. La autenticación se utiliza para probar la identidad de un usuario.
La Autorización da acceso al usuario que ha sido autentifcado. Para completar el panorama de seguridad, necesita
habilitar Auditoría para que pueda tener un registro de los usuarios que han iniciado sesión y lo que el usuario
accede o intenta acceder.
; Listo para la Es importante que proteja su información y recursos de los servicios de personas que no
Certificación deberían tener acceso a ellos, y al mismo tiempo hacer que los recursos disponibles para los
¿Cuáles son los usuarios autorizados. Junto con la autenticación y autorización, también puede habilitar la
pasos para habilitar auditoría para que pueda tener un registro de:
la auditoría de una
carpeta NTFS? ¿Quién ha ingresado con éxito?
—2.4
• ¿Quién ha intentado iniciar sesión, pero no ha podido?
• ¿Quién ha cambiado las cuentas en el Directorio activo?
• ¿Quién tiene acceso o cambiar ciertos archivos?
• ¿Quién ha utilizado una impresora determinada?
• ¿Quién ha reiniciado el sistema?
• ¿Quién ha hecho algunos cambios en el sistema?
La auditoría no está activada por defecto. Para habilitar la auditoría, debe especifcar qué
tipos de eventos del sistema se van a auditar usando la Directiva de Grupo o la Directiva de
Seguridad Local (En Confguración de seguridad seleccione Directiva local y haga clic en
218 Lección 6
Directiva de auditoría). Vea la fgura 6-12. La Tabla 6-6 muestra las actividades básicas de
auditoría que están disponibles en Windows Server 2003 y 2008. Windows Server 2008
tiene opciones adicionales para un control más granular. Después de habilitar el registro,
a continuación abra el Visor de sucesos de seguridad de registros para ver los eventos de
seguridad.
Figura 6-12
Auditoría de los
acontecimientos en la
política de seguridad local
Tabla 6-6
Auditoría de eventos Evento Explicación
Inicio de sesión de cuenta Determina las auditorías de sistema operativo cada vez
que el equipo valida las credenciales de una cuenta, tales
como acceso a la cuenta.
Administración de Determina si se debe auditar cada caso de la
cuentas administración de cuentas en un equipo incluyendo el
cambio de contraseñas y crear o eliminar cuentas de
usuario.
Acceso del Servicio de Determina si se deben hacer las auditorías de usuario del
Directorio sistema operativo, con los intentos de acceso a objetos
de Directorio activo.
Eventos Inicio de sesión Determina las auditorías del sistema operativo de cada
instancia cuando un usuario intenta iniciar o cerrar la
sesión en su equipo.
Acceso a objetos Determina las auditorías del sistema operativo cuando
el usuario intenta tener acceso a objetos que no son de
Directorio activo incluyendo archivos NTFS y carpetas e
impresoras.
Servicios de archivo e impresión 219
Para auditar los archivos NTFS, las carpetas NTFS e impresoras es un proceso de dos
pasos. En primer lugar, debe permitir el acceso de objetos usando la Política del Grupo. A
continuación, debe especifcar los objetos que desee auditar.
¡Atención!
Habilitar la auditoría de eventos exitosos puede afectar el rendimiento del servidor, en
particular para carpetas muy utilizadas.
Figura 6-13
Auditoría de una carpeta
NTFS
7. En el cuadro Aplicar en, haga clic en la ubicación donde desea que se realice la auditoría.
8. En el cuadro Acceso, indique las acciones que desee auditar seleccionando las casillas
correspondientes:
• Para auditar los eventos de éxito, active la casilla de verificación Con éxito.
• Para detener la auditoría de los eventos con éxito, desactive la casilla de verificación
Con éxito.
• Para auditar los eventos sin éxito, active la casilla de verificación Error.
• Para detener la auditoría de los eventos sin éxito, desactive la casilla de verificación
Error.
• Para detener la auditoría de todos los eventos, haga clic en Borrar todo.
9. Si desea evitar que los archivos y subcarpetas del objeto original hereden estas entradas
de auditoría, seleccione la casilla de Aplicar estos valores de auditoría a los objetos y / o
contenedores dentro de este contenedor.
10. Haga clic en Aceptar para cerrar la seguridad avanzada del cuadro de diálogo de
Configuración.
11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
Æ Auditoría de impresión
PREPÁRATE. Para la auditoría de impresión en Windows Server 2008, siga estos pasos:
1. Haga clic derecho en la impresora en la carpeta de Dispositivos e impresoras y seleccione
la opción Propiedades de Impresora.
2. Seleccione la ficha Seguridad y haga clic en Opciones avanzadas.
3. Seleccione la ficha Auditoría.
4. Haga clic en Agregar y
• Para configurar la auditoría de un nuevo usuario o grupo, haga clic en Agregar. En
Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo que
desee; en seguida dé clic en Aceptar.
Servicios de archivo e impresión 221
Debido a que el registro de seguridad tiene un tamaño limitado, seleccione sólo aquellos
objetos que necesita para la auditoría y considere la cantidad de espacio en disco que va a
necesitar el registro de seguridad. El tamaño máximo del registro de seguridad se defne en
el Visor de sucesos dando clic derecho en registro de seguridad y seleccionando la opción
Propiedades.
Resumen de Habilidades
5. Los ______________ son los permisos reales cuando un usuario ingresa y accede a
un archivo o carpeta.
6. La tecnología de encriptado incluido en NTFS es ______________.
7. Para que Windows Server 2008 pueda ser visto en la red, debe habilitar
___________________.
8. Un (a) _______________ compartido no se ve cuando se navega.
9. Cuando alguien ha quitado todos los usuarios de una carpeta, puede ____________
de la carpeta.
10. La ubicación predeterminada de la carpeta de cola es ________________________.
Opción múltiple
6. ¿Qué símbolo hace que una parte administrativa no se vea cuando se busca?
a. #
b. *
c. !
d. $
7. Cuando se habilita la Impresión en Internet, es necesario instalar ___________.
a. DFS
b. IIS
c. GPO Manager
d. Administrador de tareas
8. ¿Cuál es el permiso de compartir mínimo que le permite cambiar los permisos de
archivos y carpetas?
a. Control total
b. Cambiar
c. Leer
d. Administrar
9. Cuando copia archivos de una carpeta a otra carpeta dentro de la misma unidad, se
obtienen ____________.
a. Los mismos permisos que la fuente
b. Los mismos permisos que el objetivo
c. No se establecen permisos
d. Todas tienen permiso completo
10. Es un administrador en un equipo. Por desgracia, hay una carpeta a la cual no puede
tener acceso debido a que no tiene permisos para la carpeta. ¿Qué puede hacer?
a. Tomar posesión de la carpeta.
b. Eliminar la carpeta y volver a crearla.
c. Deshabilitar el atributo de denegar.
d. Otorgar el permiso completo a cualquiera.
Verdadero / Falso
» Evaluación de Competencias
Tiene una carpeta de Datos que tiene que compartir para que todos los Administradores
tengan acceso y puedan hacer cambios, pero nadie más deberá acceder a ella. ¿Qué debe
hacer para confgurar esta carpeta en un nivel más alto?
Acaba de crear una carpeta de Datos para sus Administradores y lo que necesita es verifcar
que no se está permitiendo el acceso a cualquier usuario, que no deba tener acceso a los
archivos y si alguien elimina o hace cambios en el sistema. ¿Qué debería hacer?
» Evaluación de habilidad
El Sistema de Archivos Distribuido (Distributed File Systems DFS) es una extensión de los
servicios de archivo. Los espacios de nombres DFS le permiten crear un recurso compartido
de otro recurso compartido. Le permiten tomar múltiples carpetas compartidas y colocarlas
en una única carpeta compartida, incluso si existen carpetas compartidas entre varios
servidores, lo cual facilita a los usuarios encontrar y acceder a esos recursos compartidos.
Términos clave
• Aplicación • Servicios de Información en • Instantánea (Memoria interna)
• Grupos de aplicaciones (application Internet (IIS) • Directorio virtual
pool) • Conversión física a virtual (P2V) • Máquina virtual (VM)
• Certifcado digital • Asistencia Remota • Red privada virtual (VPN)
• Protocolo de Transferencia de • Servicios de Escritorio Remoto • Servidor web
Archivos (File Transfer Protocol • Capa de sockets seguros (Secure • World Wide Web (WWW)
FTP) Sockets Layer SSL)
• Lenguaje de Marcado de • Protocolo Simple de Transferencia
Hipertexto (HTML) de Correo (SMTP)
• Hypervisor
Ha instalado varios servidores que ejecutan Windows Server 2008 R2 para formar una nueva
red y ha confgurado el Directorio activo y DNS. Ahora tiene que instalar un servidor web que
soportará HR forms. Por lo tanto, está listo para tomar uno de los equipos que ejecutan Windows
Server 2008 R2 y confgurarlo como un servidor web. También necesita un servidor FTP para
proporcionar archivos a los usuarios a través de su empresa. Sin embargo, desea mantener los dos
servidores aislados y reducir al mínimo el costo. Por lo que, decide instalar Hyper-V para crear un
servidor virtual para el servidor web y otro virtual para el servidor FTP.
228 Lección 7
El Internet es una WAN mundial que consiste en redes interconectadas que utilizan Internet Protocol Suite (TCP /
IP). Es una red de redes que se compone por millones de computadoras, incluyendo las del hogar, empresa, público,
académico y computadoras del gobierno. El Internet permite a los usuarios acceder a una amplia gama de recursos
de información y servicios; incluidos los servidores web que conforman la World Wide Web (WWW) y soporte para
enviar y recibir correo electrónico. También ha cambiado la industria editorial periodística; conforme los sitios web,
blogs y vínculos Web han crecido en popularidad y la circulación de periódicos ha disminuido. Y por último, los
medios de transmisión de Voz sobre Protocolo de Internet (VoIP) como el Protocolo de Televisión para IP (IPTV) se
han convertido en algo muy común.
; Listo para la La World Wide Web es un sistema de documentos de hipertexto interconectados, conocidos
Certificación como páginas web que pueden ser vistos con un navegador web como Internet Explorer. Las
¿Cómo crear un páginas web pueden contener texto, imágenes, vídeos y otros archivos multimedia, entre
servidor web en un los que se puede navegar utilizando hipervínculos localizables generalmente mediante el
servidor Windows? uso de un motor de búsqueda como Google o Bing.
—2.2
HTML, siglas de HyperText Markup Language, es el lenguaje de marcado predominante
interpretado por los navegadores de páginas web. Incluye texto, encabezados, párrafos,
listas e hipervínculos. También puede contener objetos incrustados, como imágenes y
videos. Es lo sufcientemente fexible ya que puede admitir scripts y otros lenguajes como
JavaScript.
º Tome Nota
Las páginas web tradicionales consistían en páginas estáticas que no cambiaban de
Debido a que los
contenido a menos que se hiciera manualmente. Páginas Active Server (ASP) es una
sitios Web que usan
tecnología que le permite hacer páginas web dinámicas e interactivas. En lugar de utilizar.
HTML se han vuelto
htm o html., las páginas ASP utilizan la extensión. asp. El lenguaje de scripts por defecto
comunes en Internet
utilizado para escribir ASP es VBScript, aunque se pueden utilizar otros lenguajes de
y son fácilmente
accesibles en
script como JScript (la versión de Microsoft de JavaScript).
cualquier computadora
con un navegador, esta Al ver las páginas Web, se conecta a un servidor web a través del puerto TCP 80. Sin
tecnología se utiliza a embargo, el contenido no está encriptado y podría ser leído por cualquier persona que
menudo dentro de una acceda al fujo de datos. Dado que la información personal puede ser enviada a través de
empresa para acceder Internet, incluyendo números de tarjeta de crédito, se desarrolló un protocolo adicional
a las aplicaciones llamado SSL. Esta es la abreviatura de Capa de sockets seguros (Secure Sockets Layer), el
internas cual usa el puerto TCP 443, que utiliza un certifcado digital que encripta el paquete para
que no pueda ser leído por nadie más, excepto por la fuente y destino. Cuando se utiliza
SSL, el URL del navegador empieza por https (por ejemplo, https://www.acme.com).
Para que los mensajes de correo electrónico viajen a través de Internet, servidores de correo
electrónico (o cualquier servidor o cliente que envía un correo electrónico directamente)
usan Simple Mail Transfer Protocol (SMTP) como un transporte de correo saliente.
SMTP utiliza el puerto TCP 25.
Servicios de Red y Aplicaciones Populares en Windows 229
Figura 7-1
Administrador IIS
Cuando se instala IIS, el servidor sólo tiene un sitio Web predeterminado. IIS fue diseñado
para administrar múltiples sitios Web. Por lo tanto, si su empresa representa a varias
subsidiarias, cada una con su propio sitio Web o es una empresa que aloja los servicios web
para otras empresas, entonces puede crear múltiples sitios dentro de IIS.
230 Lección 7
Para soportar múltiples sitios Web, puede asignar direcciones IP adicionales y asignar un
sitio Web para cada dirección IP. También puede un puerto diferente en vez del
puerto 80 o 443. Cuando un usuario intenta acceder a http://acme.com, realmente están
accediendo a http://acme.com:80. El: 80 el puerto 80. Si desea crear un sitio web
para responder al puerto 8080, deberá accesar al sitio web mediante la de
http://acme.com:8080.
Figura 7-2
Creando un Sitio
Cuando se crea un sitio Web, se una carpeta que representa la raíz del sitio Web.
Dentro de esa carpeta, puede crear subcarpetas. Por ejemplo, tiene un sitio Web para
acme.com. Cuando accede a http://acme.com, éste va a la raíz de la carpeta para acceder
a las páginas web por defecto. A continuación, puede crear una subcarpeta denominada
ventas. Escriba una dirección URL similar a http://acme.com/ventas o haga clic en un
hipervínculo en la página principal que apunta a la carpeta http://acme.com/ventas y
ejecute una página web predeterminada en la carpeta de ventas.
Una aplicación es una agrupación de los contenidos de un sitio Web, que se defne a nivel
de la raíz o en una carpeta separada que tiene propiedades específcas, tales como el grupo
de aplicaciones en las que se ejecuta la aplicación y los permisos que se conceden en ella.
Cada sitio debe tener al menos una aplicación denominada la raíz de la aplicación o la
aplicación por defecto.
Si tiene una aplicación problemática y no puede corregir fácilmente el código que causa
los problemas, puede limitar el alcance de estos problemas al reciclar periódicamente el
proceso de trabajo que proporciona servicio a la aplicación.
PREPÁRESE. Para configurar un grupo de aplicaciones que sean recicladas a una hora
programada.
1. Abra el Administrador de IIS.
2. En el panel Conexiones, expanda el nodo del servidor y haga clic en Grupos de
Aplicaciones.
3. En la página Grupos de Aplicaciones, seleccione un grupo de aplicaciones y haga clic en
Reciclaje en el panel Acciones.
4. Seleccione el (los) tiempo(s) específico (s) y en el cuadro correspondiente escriba la hora
en la que desea que el grupo de aplicaciones sea diariamente reciclado. Por ejemplo,
escriba 11:30 o 11:30 PM. También puede especificar intervalos de tiempo, como cada 60
minutos.
5. Haga clic en Siguiente, seleccione los eventos que se deban registrar cuando un grupo de
aplicaciones se recicla y seleccione Finalizar.
4. Index.html
5. Isstart.htm
6. Default.aspx
En algunos casos, es posible que sólo desee proporcionar una lista de directorios de
archivos, de manera que los usuarios los puedan descargar rápidamente. Utilice la página
de la función Directorio de Navegación para modifcar la confguración de contenido y
navegar por un directorio en el servidor web. Al confgurar la exploración de directorios,
todos los subdirectorios utilizan la misma confguración, a menos que los invalide a un
nivel inferior.
Seguridad de IIS
Puesto que los sitios web están diseñados para proporcionar información y en algunos
casos la información puede ser vulnerable, habrá ocasiones en las que tenga que proteger
esos datos. Lo puede hacer mediante la limitación de acceso al sitio Web, la forma en que
los usuarios se autentifcan, y/o cifrando el contenido cuando se realiza una solicitud.
PREPÁRESE. Para ver las reglas URL de autorización usando el administrador de IIS:
1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar.
2. En Vista de Características, haga doble clic en Reglas de Autorización.
PREPÁRESE. Para crear una nueva regla de autorización mediante el Administrador IIS:
1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar.
2. En Vista de Características, haga doble clic en Reglas de Autorización.
3. En el panel Acciones, haga clic en Agregar Regla de Autorización.
236 Lección 7
Para crear una Regla de Denegación, seleccione Agregar Regla de Denegación en lugar de
seleccionar Agregar Regla de Autorización.
PREPÁRESE. Para limitar acceso al Sitio Web por dirección IPv4 y dominio:
1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar.
2. En Vista de Características, haga doble clic en Direcciones IPv4 y Restricciones de
Dominio.
3. En el panel Acciones, haga clic en Agregar Permitir la Entrada.
4. En el cuadro de diálogo Agregar Permitir Regla de Restricción, seleccione la dirección
IPv4 Específica, rango de direcciones IPv4 o el nombre de dominio, agregue la dirección
IPv4, la gama, la máscara o nombre de dominio y haga clic en Aceptar.
Utilice el menú Edición IP y Restricciones de Dominio del cuadro de diálogo, para defnir
las restricciones de acceso para clientes no especifcados o para permitir a las restricciones
de nombres de dominio para todas las reglas.
Cuando utiliza SSL para encriptar el tráfco de Internet, está utilizando el encriptado
asimétrico, que consiste en una clave privada y una pública. La clave pública es proporcionada
a cualquier persona que quiera acceder al servidor web y la privada es mantenida en secreto,
por lo general por el servidor web que está tratando de proteger. La clave pública se utiliza
para encriptar los datos, que sólo la clave privada puede desencriptar.
Para habilitar SSL, debe obtener e instalar un certifcado válido de servidor en el servidor
web de una entidad de certifcación reconocida (CA) o utilizar un certifcado con frma
personal. Este puede ser su dominio interno de Windows o un tercero público de
confanza, tales como Entrust o Verisign. Mientras que el certifcado auto-frmado no es
un certifcado de confanza, no obstante se puede utilizar para solucionar problemas, hacer
pruebas o desarrollar aplicaciones.
Cuando visita un sitio Web SSL mediante Internet Explorer, verá un icono de candado en
la parte superior de la ventana de IE. Para ver el certificado digital, haga clic en el candado
y seleccione Ver Certifcados. El tipo más común de certifcado digital es el certifcado
digital X.509. Vea la fgura 7-3.
238 Lección 7
Figura 7-3
Certificado Digital
f. En el cuadro de texto País/ región, escriba el nombre del país o región donde se
encuentra su organización o unidad organizativa.
5. En la página de Propiedades del Proveedor del Servicio Encriptado, seleccione
Microsoft RSA SChannel Cryptographic Provider o Microsoft DH SChannel Cryptographic
Provider de la lista desplegable de proveedores de servicios criptográficos. De forma
predeterminada, IIS 7 utiliza el Proveedor Criptográfico Microsoft RSA SChannel.
6. En la lista desplegable de la longitud de bits, seleccione una longitud en bits que pueden
ser utilizados por el proveedor. De forma predeterminada, el proveedor de RSA SChannel
utiliza una longitud de 1024 bits. El proveedor de DH SChannel utiliza una longitud de 512
bits. Una longitud de bit más larga es más segura, pero puede afectar el rendimiento.
7. Haga clic en Siguiente.
8. En la página Nombre de Archivo, escriba un nombre de archivo en el cuadro, especifique
un nombre de archivo para el cuadro de texto de solicitud de certificado o haga clic en
Examinar (...) para buscar un archivo y haga clic en Finalizar.
9. Enviar la solicitud de certificado a una CA pública.
De vez en cuando, es posible que deba importar y exportar certifcados digitales. Los
formatos más comunes, utilizados en la actualidad son:
• X509 format (extensiones de archivos .cer y.crt para Windows): Un certifcado
digital respaldado ampliamente que representa al certifcado individual.
• Cryptographic Message Syntax—PKCS #7 Format (extensión de archivo .p7b
para Windows): Se utiliza para la exportación de la cadena completa de certifcados
digitales.
• Personal Information Exchange Syntax—PKCS #12 Format (extensión de
archivo .pfx y .p12 para Windows): Se utiliza para exportar el par de claves
públicas/ privadas.
• Certificate Signing Request (CSR) Syntax—PKCS #10 Format: Se utiliza en
la generación de solicitudes frmadas para autoridades de certifcación y confanza
frmantes.
Si tiene una “Granja” que consta de varios servidores web, es necesario instalar el certifcado
digital del primer servidor y a continuación exportar el certifcado digital a un formato
pfx. Para copiar la clave pública y privada a los otros servidores. Por lo tanto, tendrá que
exportar la clave del primer servidor e importarla a los otros servidores.
Æ Instalar FTP
Æ Configurar FTP
Actualmente, es muy común que una empresa utilice un servidor de acceso remoto (RAS). Esto permite a los usuarios
conectarse remotamente a una red utilizando diferentes protocolos y tipos de conexión. Mediante la conexión a la
RAS a través de Internet, los usuarios pueden conectarse a la red de su empresa para que puedan acceder a los
archivos de datos, leer correo electrónico y acceder a otras aplicaciones como si estuvieran en el lugar de trabajo.
; Listo para Las redes privadas virtuales (VPNs) conectan dos ordenadores a través de una red de área
Certificación amplia, tal como el Internet. Para mantener la conexión segura, los datos enviados entre
¿Cómo podría los dos equipos son encapsulados y encriptados. En un escenario, un cliente se conecta al
conectarse a los servidor RAS para acceder a los recursos internos desde fuera. Otro escenario sería para
servidores estando en conectar dos sitios remotos, junto con la creación de un túnel VPN entre un servidor RAS
casa? situado en cada sitio.
—2.2
Los tres tipos de protocolos de túnel que se utiliza con un servidor VPN/RAS que se
ejecuta en Windows Server 2008 son:
• Point-to-Point Tunneling Protocol (PPTP): Un protocolo VPN basado en el
legado de protocolo punto a punto se utiliza con los módems. Por desgracia, PPTP
es fácil de confgurar, pero utiliza tecnología de encriptado débil.
• Layer 2 Tunneling Protocol (L2TP): Se utiliza con IPSec para proporcionar
seguridad. L2TP es el estándar de la industria al establecer túneles seguros.
• Secure Socket Tunneling Protocol (SSTP): Se Introdujo con Windows Server
2008, para que los usuarios del protocolo HTTPS a través del puerto TCP 443
pudieran pasar a través de frewalls y proxies web que podrían bloquear PPTP y
L2TP/IPSec.
Cuando se usan VPNs, en Windows 7 y Windows Server 2008 estos soportan las siguientes
formas de autenticación:
• Password Authentication Protocol (PAP): Utiliza texto sin encriptar (contraseñas
no encriptadas). PAP es la autenticación menos segura y no se recomienda.
• Challenge Handshake Authentication Protocol (CHAP): Es una autenticación
challenge-response que utiliza el esquema de hash estándar md5 de la industria
para encriptar la respuesta. CHAP fue el estándar de la industria durante años y
sigue siendo muy popular.
• Microsoft CHAP version 2 (MS-CHAP v2): Proporciona dos vías de autenticación
(autenticación mutua). MS-CHAP v2 proporciona una mayor seguridad que
CHAP.
• Extensible Authentication Protocol (EAP-MS-CHAPv2): Un marco de
autenticación universal que permite a los proveedores de terceros desarrollar
esquemas de autenticación personalizados, incluyendo escáner de retina,
reconocimiento de voz, identifcación de huellas digitales, tarjetas inteligentes,
Kerberos y certifcados digitales. También proporciona un método de autenticación
mutua que soporta la autenticación del usuario basada en contraseñas o de equipos.
Servicios de Red y Aplicaciones Populares en Windows 243
PREPÁRESE. Para hacer que una computadora que ejecuta Windows Server 2008 cargue el
Acceso Remoto y el Enrutamiento:
1. Inicie el Asistente para Agregar Funciones, utilizando el Administrador de Servidores o la
ventana Tareas de Configuración Inicial.
2. En la página Antes de Comenzar, haga clic en Siguiente.
3. En la página Seleccionar Funciones de Servidor, elija la Directiva de Redes y Servicios de
Acceso y haga clic en Siguiente dos veces.
4. En la página Seleccionar Servicios de Función, elija Servicios de Enrutamiento y Acceso
Remoto.
5. En la página Confirmar Selecciones de Instalación, haga clic en Instalar.
6. En la página Resultados de la Instalación, revise la situación y haga clic en Cerrar.
PREPÁRESE. Para crear un túnel VPN en un equipo que ejecuta Windows 7 para que pueda
conectarse a un servidor de acceso remoto:
1. Desde el Panel de control, seleccione conexiones de Red e Internet para tener acceso al
Centro de Redes y Recursos Compartidos.
2. Desde el Centro de Redes y Recursos Compartidos, seleccione Crear una nueva conexión
o asistente.
3. En la página Configurar una Conexión o Página de Red, seleccione Conectar a un Lugar de
Trabajo.
4. En la página Conectar a un Lugar de Trabajo, responda a la pregunta “¿Desea utilizar una
conexión que ya tiene?” Elija para crear una nueva conexión o seleccione una conexión
existente.
5. En la siguiente página, seleccione Usar mi conexión a Internet (VPN).
6. En la siguiente pantalla, seleccione la conexión VPN o especificar la Dirección de Internet
del servidor VPN y un Nombre de Destino. También puede especificar las opciones para
utilizar una tarjeta inteligente para la autenticación; Permitir que otras personas usen esta
conexión o No se conecte ahora, solo configurar para poderme conectar más tarde.
Es posible que tenga que hacer una confguración adicional para la conexión VPN, por
ejemplo, especifcar el tipo de protocolo, protocolo de autenticación y el tipo de encriptado.
Para conectarse a través de la VPN una vez que la conexión VPN es creada y confgurada,
abra el Network and Sharing Center y haga clic en Administrar conexiones de red. A
continuación, haga clic derecho en su conexión VPN y luego en Conectar. Vea la fgura
7-4.
Servicios de Red y Aplicaciones Populares en Windows 245
Figura 7-4
Conexión VPN
Puede ser mucho trabajo confgurar múltiples clientes para que se conecten a un servidor
de acceso remoto y puede ser demasiado complicado para un principiante.
246 Lección 7
Si tiene que confgurar múltiples clientes para que se conecten a un servidor remoto,
esto puede ser demasiado trabajo y fácilmente podría cometer algún error. Para ayudar a
simplifcar la administración del cliente VPN en un dispositivo ejecutable fácil de instalar,
puede utilizar el Kit de Administración de Administrador de Conexión (CMAK), que
también se puede instalar como una característica de Windows Server 2008.
Con las primeras redes, los usuarios utilizaron terminales tontas (sistemas que consisten en un monitor y un teclado
sin procesador) para conectarse a una computadora central. Posteriormente, los equipos usarían telnet para conectarse
a un servidor y ejecutar comandos en el símbolo del sistema. Remote Desktop Services, anteriormente conocido
como Servicios de Terminal, es uno de los componentes de Microsoft Windows que permite a un usuario acceder a
aplicaciones y datos en una computadora remota a través de una red.
; Listo para la De forma predeterminada, los servidores de Windows están confgurados para utilizar
Certificación el Escritorio Remoto para el modo de administración de licencia, que soporta hasta dos
¿Puede hacer una sesiones remotas (tres si contamos la sesión de consola, que es la que se utiliza cuando
lista y describir se conecta directamente a la computadora) y se usa principalmente para conectarse a
varias maneras de un servidor y administrarlo. Sin embargo, si desea ejecutar aplicaciones que requieren
administración remota más que el estándar de dos sesiones remotas, primero tendrá que cargar y confgurar el
de un servidor? equipo que ejecuta Windows Server 2008 R2 como un rol de servidor de host de Sesión de
—2.2 Escritorio Remoto. También necesitará un administrador de licencias de RD para realizar
un seguimiento de las licencias utilizadas y tendrá que comprarlas e instalarlas.
Para acceder a un equipo que ejecuta Servicios de Escritorio remoto, deberá utilizar
Conexión a Escritorio Remoto, para acceder a la interfaz de una computadora gráfca de
usuario incluyendo el escritorio, menú de inicio y programas como si estuviera sentado
frente a la computadora. Vea la fgura 7-5. Dos tecnologías que le permiten acceder
de forma remota a una computadora de escritorio son: Escritorio Remoto y Asistencia
Remota a través del puerto TCP 1389.
Servicios de Red y Aplicaciones Populares en Windows 247
Figura 7-5
Conexión a Computadora
de Escritorio Remoto
PREPÁRESE. Para iniciar un Escritorio Remoto en la computadora desde la que desea trabajar:
1. Abra Conexión a Escritorio Remoto haciendo clic en Inicio, seleccione Accesorios y en
seguida Conexión a Escritorio Remoto. También puede ejecutar el comando mstsc.exe.
2. Escriba el nombre de la computadora a la que desea conectarse y haga clic en Conectar.
(También puede escribir la dirección IP en lugar del nombre de la computadora si lo
desea.)
Para obtener más opciones avanzadas antes de la conexión, haga clic en Opciones. Vea la
fgura 7-6.
Figura 7-6
Configuración de
Conexiones a Escritorio
Remoto
Servicios de Red y Aplicaciones Populares en Windows 249
La virtualización se ha vuelto muy popular en los últimos años. Mediante el uso de tecnología de máquina virtual,
puede ejecutar varios sistemas operativos simultáneamente en una sola máquina, lo que permite la separación de los
servicios, manteniendo los costos al mínimo. También se puede utilizar para crear sistemas de prueba de Windows,
en un entorno seguro y autónomo. Microsoft Hyper-V es un sistema de virtualización, basada en hipervisor de 64
equipos a partir de Windows Server 2008. El hipervisor se instala entre el hardware y el sistema operativo y es el
principal componente que administra las computadoras virtuales.
; Listo para la Para ejecutar varias máquinas virtuales en una sola computadora, necesita tener sufciente
Certificación poder de procesamiento, así como memoria para manejar la carga. Sin embargo, dado
que la mayoría de servidores a menudo permanecen inactivos, la virtualización utiliza el
¿Cuáles son las
hardware del servidor de manera más efciente.
ventajas de utilizar
servidores virtuales?
Para mantener a cada servidor virtual seguro y confable, cada servidor se coloca en su
—2.5
propia partición. Una partición es una unidad lógica de almacenamiento en los sistemas
operativos que ejecutan. Cada máquina virtual tiene acceso al hipervisor, que se ocupa de
las interrupciones al procesador y las re-direcciona a la partición respectiva.
En Hyper-V, cada máquina virtual utiliza un máximo de procesador, sin embargo, puede
compartir el procesador que utiliza con otras máquinas virtuales, en función del número de
procesadores en el equipo físico y el número de máquinas virtuales en ejecución. Además,
cada máquina virtual requiere de sufciente memoria para ejecutar el sistema operativo y
las aplicaciones, como también de aproximadamente 32 MB para la memoria RAM de
vídeo emulado y la memoria de código caché. También son necesarios una placa base y
BIOS que soporten la virtualización.
De forma predeterminada, Hyper-V almacena todos los archivos que componen una
máquina virtual en una carpeta con el mismo nombre, que el servidor virtual para una
administración sencilla y portabilidad. Cambiar el nombre de una máquina virtual no
cambia el nombre de la carpeta de esta. De forma predeterminada, estas carpetas se
encuentran en la carpeta Shared Virtual Machines, que se encuentra en Documents and
Settings \ All Users \ Documentos \ Shared Virtual Machines.
250 Lección 7
Æ Instalar Hyper-V
f Máquinas Virtuales
Después de la instalación de Hyper-V, está listo para crear algunas máquinas virtuales e instalar el sistema operativo
en cada máquina virtual que creó.
Ahora está listo para confgurar y administrar el servidor virtual como si estuviera
trabajando en un servidor físico. Esto incluye la confguración de la IP, lo que permite
el escritorio remoto, la instalación de las funciones y características correspondientes, la
instalación de software adicional y así sucesivamente.
En muchas empresas, es posible que necesiten consolidar varios servidores físicos a una
máquina que ejecuta múltiples servidores virtuales. Microsoft System Center Virtual
Machine Manager (VMM) le permite convertir las computadoras físicas en máquinas
virtuales a través de un proceso conocido como conversión física a virtual (P2V). VMM
simplifca el P2V proporcionando un asistente basado en tareas para automatizar gran
parte del proceso de conversión. Dado que el proceso P2V es totalmente programable,
puede iniciar conversiones P2V a gran escala a través de la línea de comandos de Windows
PowerShell.
Administración de Discos
Cuando se crea una unidad de disco duro virtual, puede defnir los discos duros virtuales
como:
• Discos duros virtuales de tamaño fijo: Ocupan la cantidad total de espacio de
disco cuando son creados, aun cuando no haya datos utilizando sus piezas.
• Discos duros de expansión dinámica: Se expanden a medida que necesitan espacio
hasta llegar a su capacidad total.
Uno de los puntos fuertes de los servidores virtuales es la capacidad de tomar instantáneas.
Una instantánea es una imagen en algún punto en el tiempo de una máquina virtual a la cual
puede regresar. Por lo tanto, si hace un cambio al sistema, tal como cargar un componente
o instalar una actualización, que causa problemas, puede utilizar la instantánea para volver
rápidamente al punto anterior al momento en que se hizo el cambio.
• Los archivos de instantánea consisten en:
• Una copia de la confguración de la VM. xml.
• Los archivos de estado guardado.
Un disco de diferenciación (. avhd) es el nuevo disco de trabajo para todas las escrituras y
es descendiente del disco de trabajo antes de la instantánea.
Las redes virtuales consisten en una o más máquinas virtuales confguradas para poder
acceder a recursos de red local o externa. La red virtual está confgurada para utilizar un
adaptador en la computadora física.
5. Haga clic en Aceptar para guardar los cambios y cierre el Administrador de Red Virtual o
haga clic en Aplicar para guardar los cambios y seguirlo utilizando.
Resumen de Habilidades
» Evaluación de Conocimientos
Opción Múltiple
c. 80
d. 443
4. Un(a) ___________ defne un conjunto de recursos utilizados por un sitio Web o
aplicación que defne los límites de memoria de un sitio Web.
a. Directorio virtual
b. Directorio de raíz
c. Agrupación de aplicación
d. Port forwarder
5. ¿Cuál autenticación envía el nombre de usuario y la contraseña sin encriptar?
a. Anónimo
b. Autenticación básica
c. Autenticación digerida
d. Autenticación Windows
6. Cuando confgura VPN, L2TP, usa ______ para el encriptado.
a. SSTP
b. PPTP
c. MPE
d. IPSec
7. ¿Qué método de autenticación utilizado con los clientes VPN puede ser utilizado con
un scanner de retina e identifcaciones de huella digital?
a. PAP
b. CHAP
c. MS-CHAPv2
d. EAP-MS-CHAPv2
8. Mediante el uso de la tecnología de _____________, puede ejecutar múltiples
sistemas operativos simultáneamente en una sola máquina.
a. Máquina virtual
b. Directorio virtual
c. Terminal Server
d. Acceso remoto
9. Después de crear un servidor virtual en Hyper-V e instalar el sistema operativo,
a continuación, es necesario instalar _____________ para que el servidor virtual
pueda funcionar con más efciencia.
a. Herramientas de cliente VMWare
b. Herramientas de escritorio remoto
c. El programa de instalación de Integration Services
d. Herramientas de disco P2V
10. ¿Qué protocolo se utiliza para enviar correo electrónico?
a. POP2
b. IMAP
c. HTTP
d. SMTP
Servicios de Red y Aplicaciones Populares en Windows 259
Verdadero / Falso
» Evaluación de Competencias
Tiene dos aplicaciones de red (una red de aplicación de contabilidad y una red de
aplicación HR) que no necesitan de procesador. Ambas aplicaciones deben mantenerse
totalmente aisladas y ambas tendrán acceso a un servidor centralizado de base de datos.
¿Qué recomendaría?
» Evaluación de Habilidades
Esta lección cubrió las aplicaciones de red y servicios más populares que se incluyen
con Windows Server 2008 R2. Sin embargo, Microsoft y muchas otras compañías han
creado otras aplicaciones o servicios que utilizan o dependen de las aplicaciones y servicios
que vienen con Windows Server 2008 R2. Por ejemplo, Microsoft Exchange depende
del Directorio activo para la autenticación, autorización y la resolución de nombres para
los buzones. También utiliza IIS para permitir el acceso a las versiones basadas en la
web de Microsoft Outlook y permitir que los dispositivos móviles tales como teléfonos
inteligentes, se sincronicen al correo electrónico y a los elementos de calendario y tareas.
SQL Server también utiliza el Directorio activo y IIS para acceder y ejecutar reportes. A
medida que se profundice más en ser un administrador de sistemas, podrá ver que apenas
está comenzando.
Apéndice A
Qué es TCP/IP
TCP/IP
È EN RESUMEN
De la misma forma que el Internet se ha vuelto popular, ha sucedido lo mismo con el protocolo TCP/IP en el que
se ejecuta el Internet. Uno de los dos principales protocolos es el responsable de dirigir y enrutar los paquetes entre
los hosts. Tal como cuando se envía una carta por medio de su ofcina postal a una dirección ubicada dentro de
una ciudad o un código postal, cada host debe tener su dirección IP única de tal forma que pueda enviar y recibir
paquetes de datos.
Un host es cualquier dispositivo que se conecta directamente a una red. Aunque la mayoría
de los host son computadoras, pueden incluir impresoras de red, routers, conmutadores de
capa 3, conmutadores administrados, y cualquier otro dispositivo que tenga una tarjeta o
interfaz de red.
Una dirección de Protocolo de Internet (IP) es una dirección lógica y etiqueta numérica
que se asigna al dispositivo conectado a una red de computadora. Aunque se tienen que
seguir ciertos criterios basados en el protocolo TCP/IP, al fnal son direcciones lógicas que
se asignan conforme se necesiten.
f Redes IPv4
En la actualidad, la mayoría de las redes serán redes IPv4. Aunque la IPv4 permite 232 o 4,294,867,296 direcciones,
la IPv4 ha madurado a través de los años y han sido inventadas varias técnicas para utilizar las direcciones con mayor
efciencia.
Como se mencionó antes, las direcciones IPv4 están basadas en 32-bits. Cuando se expresa
una dirección IPv4, se expresa en notación de punto decimal que consiste en cuatro
números (a.b.c.d.), cada uno variando de 0 a 255. Cada número es llamado octeto debido
a que se basa en 8 bits. Ejemplos de direcciones IPv4 son:
192.168.1.1
16.23.212.214
127.0.0.1
262 Lección 7
Las primeras direcciones IPv4 se basaron en un diseño de red Classful donde los tres
primeros bits del primer octeto defnirían la clase: clase A, B y C. Al observar la Tabla B-1,
puede crear 128 redes clase A, 16,384 redes clase B, y 2,097,151 redes clase C. Aunque
una red de clase A sencilla puede tener más de 16 millones de hosts, una clase C puede
tener sólo 254 hosts. Por supuesto, para que pueda generar todas estas redes, debe de
tener una extensa red propia que no sea compartida con el Internet. La mayoría de estas
direcciones ya está en uso.
Tabla B-1
Red IPv4 de Clase
Clase Rango del Máscara ID de Red ID de Host Número de Número de
Primer de Subred Redes Direcciones
Octeto Predeterminada por Red
A 0–127 255.0.0.0 a b.c.d 128 16,777,214
B 128–191 255.255.0.0 a.b c.d 16,384 65,534
C 192–223 255.255.255.0 a.b.c d 2,097,151 254
Las máscaras de subred especifcan qué bits son de red y cuales son de host. Cuando se
tiene una máscara de subred de 255.0.0.0, signifca que los primeros 8 bits se usan para
describir los bits de red, mientras que los últimos 24 se usan para los bits de host. Por lo
tanto, si tiene una dirección 12.212.34.5 con una máscara de subred de 255.0.0.0, tiene
entonces una dirección de red 12.0.00 y una dirección de host 0.212.34.5.
Las direcciones Clase A, B, y C son conocidas como direcciones unicast que especifcan un
dispositivo de red sencillo. Los paquetes enviados a una dirección unicast se entregan al
nodo sencillo que contiene la interfaz identifcada por la dirección.
Cuando se usa una dirección de red Classful se puede conocer automáticamente cuáles bits
se asignan para defnir la red y cuáles defnen el host en la red. Por ejemplo, si tiene una
dirección 130.34.34.2, la máscara de subred predeterminada es 255.255.0.0. Por lo tanto,
para una red Classful la dirección de red sería el 130.34.0.0 y la dirección de host 0.0.34.2.
Por ejemplo, podría tomar una red clase B (130.5.0.0), que se podría asignar a una
compañía grande. Cada host dentro de la compañía debe empezar con 130.5.0.0. Entonces
asigna una dirección de red 130.5.1.0 a la primera subred o sitio y 130.5.2.0 a la segunda
subred o sitio. Cada dirección ubicada en la primera subred debe comenzar con 130.5.1.
La notación CIDR usa una sintaxis para especifcar la dirección IP seguida por una diagonal
seguida por el número de bits enmascarados. Por ejemplo, si tiene una dirección IPv4 de
12.23.52.120 con una máscara de subred de 255.255.0.0, escribiría la dirección como
12.23.52.120/16.
Servicios de Red y Aplicaciones Populares en Windows 263
La NAT permite que la red de área local (LAN) use un juego de direcciones IP para tráfco
interno y un segundo juego de direcciones para tráfco externo. La casilla NAT por lo
general es un router (que incluye routers hechos para conexiones de Internet para casa y
ofcinas pequeñas) o un servidor proxy. Como resultado, la NAT sirve para dos propósitos
principales:
• Provee un tipo de cortafuegos al esconder las direcciones IP internas.
• Permite que una compañía use más direcciones IP internas.
Las direcciones privadas son direcciones reservadas no asignadas a ninguna organización
específca. Ya que estas direcciones privadas no se pueden asignar a direcciones globales
usadas en Internet y no se pueden enrutar a Internet, debe usar un gateway NAT o servidor
proxy para convertir las direcciones privadas y públicas. Las direcciones de red privadas
como se expresan en RFC 1918 son:
• 10.0.0.0–10.255.255.255
• 172.16.0.0–172.31.255.255
• 192.168.0.0–192.168.255.255
La NAT obscurece una estructura de red interna al hacer que todo el tráfco parezca
originado desde el dispositivo NAT o del servidor proxy. Para lograr esto, el dispositivo
NAT o servidor proxy usan tablas de traducción con control de estado para mapear las
direcciones “escondidas” en una dirección sencilla y luego reescribe los paquetes de datos
de Protocolo de Internet (IP) salientes mientras salen de tal forma que parezcan que se
originan desde el router. Conforme los paquetes de datos son regresados desde Internet,
los paquetes de datos de respuesta se mapean de regreso a la dirección IP de origen usando
las entradas almacenadas en las tablas de traducción.
f Redes IPv6
Como se mencionó antes, el número de direcciones IPv4 públicas están agotándose. Para superar este problema así
como otros tantos, se desarrolló el IPv6 como la siguiente generación de la versión del Protocolo de Internet.
IPv6 provee una cantidad de benefcios para la conectividad en red basada en TCP/IP,
incluyendo:
• Utiliza un espacio de dirección de 128-bits para proporcionar direcciones para cada
dispositivo en el Internet con una dirección única global.
• Permite un enrutamiento más efciente que IPv4.
• Soporta confguración automática.
• Ofrece seguridad avanzada para proteger contra ataques de rastreo de dirección y
puertos, utilizando un IPSec para proteger el tráfco IPv6.
264 Lección 7
Dado que el IPv6 usa 128 bits, las direcciones por lo general se dividen en grupos de 16
bits, escritos como 4 dígitos hexadecimales. Los dígitos Hexadecimales incluyen 0, 1, 2,
3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, y F. Dos puntos (:) separan los grupos. Un ejemplo de
una dirección sería:
FE80:0000:0000:0000:02C3:B2DF:FEA5:E4F1
De manera similar a las direcciones IPv4, las IPv6 se dividen en bits de red y dirección
de host. Sin embargo, los primeros 64 bits defnen la dirección de red, y los siguientes
64 bits defnen la dirección de host. Por lo tanto, en nuestra dirección de ejemplo,
FE80:0000:0000:0000 defne los bits de red y 02C3:B2DF:FEA5:E4F1 defne los bits de
host. Los bits de red también se dividen de manera adicional donde se usan 48 bits para el
prefjo de red y los siguientes 16 bits se usan para la subred.
Con el IPv6, todavía tendrá asignación de dirección unicast y multicast. Sin embargo, la
asignación de dirección unicast se puede dividir en:
• Dirección unicast global: Direcciones públicas que se pueden enrutar y alcanzar
globalmente en la porción IPv6 de Internet.
• Direcciones locales de enlace: Direcciones privadas no enrutables confnadas en
una subred sencilla. Los hosts las usan cuando se comunican con hosts vecinos en
el mismo enlace pero también se pueden usar para crear redes temporales, para
conferencias o reuniones, o para la instalación permanente de una LAN pequeña.
Los routers procesarán los paquetes destinados a una dirección local de enlace, pero
no los reenviarán a otros enlaces.
• Direcciones locales únicas: Diseñadas para la asignación de direcciones privadas,
además de ser únicas, de tal forma que al unir dos subredes no se causan colisiones
de dirección.
También puede tener una dirección anycast, que es una dirección que se asigna a
computadoras múltiples. Cuando el IPv6 dirige comunicaciones a una dirección anycast,
sólo responde el host más cercano. Por lo general se usa esto para localizar servicios o el
router más cercano.
f Gateway Predeterminado
Un gateway predeterminado es un dispositivo, por lo general un router, que conecta la red local con otras redes.
Cuando necesita comunicarse con un host en otra subred, envía todos los paquetes al gateway predeterminado.
El gateway predeterminado permite que un host se comunique con hosts remotos. Cada
vez que un host necesita enviar paquetes, primero determinará si es local (misma subred) o
si es remoto, teniendo que pasar a través de un router para llegar al host remoto. El router
entonces determinará la mejor manera de llegar a la subred remota y reenvía los paquetes
de nuevo hacia la misma.
Para determinar si la dirección de destino es local o remota, buscará en los bits de red
tanto del host de envío y de destino. Si los bits de red son los mismos, asumirá que el
host de destino es local y envía los paquetes directamente al host local. Si los bits de red
son diferentes, asumirá que el host de destino es remoto y envía los paquetes al gateway
determinado.
Servicios de Red y Aplicaciones Populares en Windows 265
Al aislar la dirección de red para el host, tiene 10.10.57.0. Al aislar la dirección de red
para la dirección de host de destino, tiene 10.10.89.0. Ya que son diferentes, el paquete se
enviará al gateway predeterminado y el router determinará la mejor manera de llegar ahí.
Resolución de Nombre
En las redes actuales, asigna direcciones lógicas tales como la asignación de dirección IP. Desafortunadamente, estas
direcciones tienden a ser difíciles de recordar, en especial con las direcciones IPv6 más complicadas y recientes. Por
lo tanto, necesita usar alguna forma de nombrar el servicio que le permitirá traducir nombres lógicos, que sean
direcciones lógicas más fáciles de recordar.
Existen dos tipos de nombres para traducir. Los primeros son los nombres de host, que
residen en el Sistema de Nombre de Dominio (DNS) y son los mismos usados con el
Internet. Cuando escribe un nombre de una página o servidor de Internet, tal como www.
microsoft.com o cnn.com, está un nombre de dominio/host. El otro nombre
es el nombre de su computadora, también conocido como el nombre NetBIOS. Si está en
una red corporativa o su red de casa, el nombre de host por lo general es el nombre de la
computadora.
Las primeras redes TCP/IP usaban archivos hosts (usados con el DNS asociado a los
nombres de dominio/host) y lmhosts (usados con los nombres de NetBIOS/Computadora
relacionados con WINS), que eran archivos de texto que listarían un nombre y su
dirección IP relacionada. Sin embargo, cada vez que necesitaba agregar o un
nombre y dirección, tendría que el archivo de texto en cada computadora de la
que necesitara conocer la dirección. Para organizaciones grandes, esto era muy
debido a que podría incluir no cientos si no miles de computadoras y los archivos de texto
se podían volver muy grandes.
Aunque los archivos hosts y lmhosts se consideran métodos de legado para resolución de
asignación de nombres, todavía pueden ser útiles cuando se solucionan problemas o se
hacen pruebas debido a que la resolución del nombre estos dos archivos antes de
ponerse en contacto con los servidores de asignación de nombres. Por ejemplo, acaba de
instalar un nuevo servidor pero no desea que esté disponible para nadie más. Puede agregar
una entrada en su archivo hosts local de tal forma que cuando su computadora resuelve
266 Lección 7
un cierto nombre lo resolverá a la dirección IP del nuevo servidor. Esto le evita cambiar
el ingreso del DNS, que afectaría a todos los usuarios en la red de su organización hasta
que esté listo.
Figura B-1
Muestra del Archivo host
La parte superior del árbol es conocido como el dominio raíz. Debajo del dominio raíz,
encontrará los dominios de nivel superior tales como.com, .edu, .org, y .net y códigos
de país de dos letras tales como.es, .mx, y .us. Debajo de los dominios de nivel superior,
encontrará el nombre variable registrado que corresponde a su organización u otro nombre
registrado. El nombre de dominio de segundo nivel se debe registrar por un tercero
autorizado tal como networksolutions.com o godaddy.com.
Por ejemplo, microsoft.com está registrado para Microsoft Corporation. Cuando lo busca,
primero entrará en contacto con los servidores DNS.com para determinar el servidor
de nombre para microsoft.com. Entonces se tendrá contacto con los servidores DNS de
microsoft.com para determinar la dirección que está asignada para microsoft.com. Las
grandes organizaciones pueden subdividir su espacio de nombre DNS en sub-dominios,
tales como technet.microsoft.com, msdn.microsoft.com, o social.microsoft.com.
Servicios de Red y Aplicaciones Populares en Windows 267
www.microsoft.com
technet.microsoft.com
server1.sales.microsoft.com
Un servidor WINS contiene una base de datos de direcciones IP y nombres NetBIOS que
se actualizan dinámicamente. Desafortunadamente, WINS no es un sistema de jerarquía
como el DNS así que sólo es bueno para su organización y fue diseñado únicamente para
sistemas operativos Windows. Por lo general, no se pueden registrar otros dispositivos y
servicios de red con un servidor WINS. Por lo tanto, tendría que agregar entradas estáticas
para estos dispositivos si desea una resolución de nombre usando WINS.
\\nombredelacomputadora\nombre compartido\rutaopcional
Por ejemplo para tener acceso al directorio compartido en una computadora llamada
server1, tendría que escribir el siguiente nombre:
\\server1\data
Sin embargo como el DNS se ha vuelto más popular, también puede usar nombres de host
con UNC. Por ejemplo, podría usar:
\\Server1.microsoft.com\data