Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER

ADMINISTRACIN DE
WINDOWS 2000 SERV E R
Limitaciones de disco dinmico y volumen dinmico

TAREAS DE GESTIN DE DISCO
Trabajo con volmenes simples
Trabajo con volmenes distribuidos
Combinacin de espacio libre para crear un volumen
dsrbio
itiud
Extensin y borrado
Trabajo con volmenes seccionados
Agregado de discos
Instalacin de discos nuevos
Instalacin de un disco eliminado de otra computadora
Isaaind vro dso eiiao d or
ntlc e ais ics lmnds e ta
computadora
Cambio del tipo de almacenamiento
CLASE TERICA 13
SERVICIOS DE DIRECTORIO EN WINDOWS 2000
SERVER: ACTIVE DIRECTO RY
RBOLES Y BOSQUES
rboles
CREAR DOMINIOS O CREAR OU?

Razones para crear dominios
Razones para no crear dominios
Cundo crear unidades organizacionales
Cundo no crear Unidades organizacionales
UNIDADES ORGANIZACIONALES - OU
Efqe d l pltc
nou e a oia
Consideraciones de OU
INSTALACIN DE WINDOWS 2000 SERV E R

P
rogramas de Instalacin de Windows 2000 Serv r
e
Proceso de Instalacin
Fase Previa a la Copia
Modo Te t
xo
Modo GUI
INTRODUCCIN
Componentes de Active Directory
Dominios
PLANIFICACIN DE UNA INSTALACIN DE

WINDOWS 2000 SERVER
Para realizar una correcta instalacin e implementacin
de Windows 2000
Lista de Compatibilidad de Hardware (HCL)
Desconexin de dispositivos UPS
CLASE PRCTICA11
CLASE PRCTICA 12
WINDOWS 2000 SERVER

W indows 2000 Pro e s o a
fsinl
W indows 2000 Serv r
e
W indows 2000 Advanced Serv r
e
W indows 2000 Datacenter Serv r
e
El entorno de Windows 2000
Capacidad de Multitarea
Capacidades de varios subprocesos
Sistemas de Archivos
Seguridad
Compatibilidad
Sistema Operativo Modular
CLASE TERICA11
ndice
CLASE TERICA 12
CLASE PRCTICA 13
UBICACIN DE LOS SERVICIOS
UBICACIN DEL CONTROLADOR DE DOMINIO

(DC)
TIPOS DE PA RTICIONES (DISCOS BSICOS)

Particiones primarias
Particiones extendidas
SITIOS
BOSQUES
ADMINISTRACIN DE DISCOS EN WINDOWS
2000 SERVER
INTRODUCCIN
Almacenamiento, Part c o e y t p s d Volmenes
iins io e
Tipos de almacenamiento
Almacenamiento bsico
Almacenamiento dinmico
CLASE TERICA 14
ADMINISTRACIN DE ACTIVE DIRECTO RY EN

WINDOWS 2000 SERVER
CONSOLAS ADMINISTRATIVAS MICROSOFT
(MMC)
Complementos
TIPOS DE VOLMENES (DISCOS DINMICOS)

Volmenes simples
Volumen distribuido
Volumen con espejo
Volumen seccionado
Volumen RAID-5
SOPORTE PA R A CLIENTES NO WINS

Resolucin esttica
CONFIGURACIN DE UN AGENTE PROXY DE
WINS
Registro de nombres NetBIOS
Resolucin de nombres NetBIOS
CLASE TERICA 15
SERVIDORES DHCP EN WINDOWS 2000

SERVER
INTRODUCCIN
PUBLICACIN EN AD DE IMPRESORAS EN
SERVIDORES NO WINDOWS 2000
IMPLEMENTACIN DE UN SERVIDOR WINS
IMPRESORAS EN ACTIVE DIRECTO RY
RENOVACIN DE NOMBRES
LIBERACIN DE NOMBRES
Bsqueda de nombres
ADMINISTRACIN DE LAS IMPRESORAS DE RED

Grupos de impresoras
CONFIGURACIONES DE IMPRESIN
PLANIFICACIN DE UN SISTEMA DE IMPRESIN

EN RED
PROCESO DE RESOLUCIN DE NOMBRES

WINS
REGISTRO DE NOMBRES
Nombres ya registrados
Servidor WINS inaccesible
SERVIDORES DE NOMBRES DE INTERNET DE

WINDOWS (WINS)
INTRODUCCIN
COPIA DE SEGURIDAD Y RESTAURACIN DE LA

BASE DE DATOS DE DHCP
Copia de seguridad de la base de datos de DHCP
MBITOS DHCP
Configuraciones de un mbito
Rsrad cine
eev e let
Autorizacin del servidor DHCP
INSTALACIN Y CONFIGURACIN DE UN
SERVIDOR DHCP
Requisitos para el funcionamiento del servicio DHCP
e u s rvidor Windows 2000
n n e
Requisitos para ser un host cliente de DHCP
CLASE TERICA 16
ADMINISTRACIN DE IMPRESORAS EN
WINDOWS 2000 SERVER Y AD.
Impresin en Windows 2000
CLASE PRCTICA 14
R E N O VACIN Y LIBERACIN DE UN LEASING DE

I
P
Forzar una renovacin de leasing utilizando Ipconfig
Forzar la liberacin o trmino de un leasing
CLASE PRCTICA 15
MBITOS DE GRUPO
Grupos locales de dominio
Grupos Globales
Grupos Universales
Pertenencia de un Grupo
REINICIAR UNA CONTRASEA Y DESBLOQUEAR

U N A CUENTA DE USUARIO
Reestablecer una contrasea
Desbloqueo de cuentas
GRUPOS EN WINDOWS 2000
TIPOS DE GRUPO
COMPLEMENTO USUARIOS Y EQUIPOS DE

ACTIVE DIRECTORY
PERFILES DE USUARIO
Pri Mvl
efl i
Pri Olgtro
efl biaoi
CONSIDERACIONES PA R A LAS CUENTAS DE

USUARIO
Convenios de denominacin
Requisitos de contraseas
ADMINISTRADOR
Invitado
CUENTAS DE USUARIO EN WINDOWS 2000

Cuenta de Usuario de Dominio
Cuenta de Usuario Local
Cuentas de Usuario Predefinidas
CONFIGURACIN MANUALY AUTOMTICA DE

TCP/IP
Proceso de leasing de DHCP Server
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST
DHCPACK
Opciones de MMC
SERVIDORES DE NOMBRES DE DOMINIO (DNS)

INTRODUCCIN
Espacio de nombres de dominio
Dominio raz
Dominios del nivel superior

Dominios de segundo nivel
Servidores de Servicios de Informacin de Internet en

Windows 2000 Server (IIS 5.0)
INTRODUCCIN
CLASE PRCTICA 18
GESTIN DE LA PUBLICACIN W E B D AV
C i n e W ebDAV
lets
Seguridad Integrada
Creacin de un directorio de publicacin
Gestin de la seguridad W ebDAV
Control de Acceso
Denegacin de servicio
DIRECTIVA DE GRUPO (GPO)
DIRECTIVA DE SEGURIDAD LOCAL
DERECHOS DE USUARIO
Piieis
rvlgo
Derechos de inicio de sesin
MONITOR DE REFERENCIA DE SEGURIDAD

(SRM)
AUTORIDAD DE SEGURIDAD LOCAL (LSA)
INTRODUCCIN
INTRODUCCIN A L MODELO BSICO DE

SEGURIDAD DE WINDOWS 2000 SERVER
CLASE TERICA 19
COPIA DE SEGURIDAD Y RECUPERACIN DE IIS
MECANISMOS DE SEGURIDAD
Autenticacin
Certificados
Control de acceso
Auditoria
ADMINISTRACIN DE SITIOS
Iii ydtnind sto
nco eec e iis
Denominacin de sitios
Compresin HTTP
FTP y reinicio FTP
CLASE PRCTICA 17
REGISTRO DE EVENTOS
REGISTRO DE AUTENTICACIONES
CONEXIONES DE ACCESO REMOTO

Clientes de acceso remoto
Servidor de acceso remoto
El equipo de acceso remoto y la infraestructura W .A.N
Protocolos de acceso remoto
SEGURIDAD DE LOS ACCESOS REMOTOS
Autenticacin y autorizacin
Autenticacin de usuarios seguros
Autenticacin reciproca
Cifrado de datos
CallBack (devolucin de llamado)
Identificador de llamada
Bloqueo de cuentas de acceso remoto
SERVICIO DE ACCESO REMOTO (RAS)
SOPORTE PA R A IPX
SOPORTE IP MULTIDIFUSIN
Servicios de Ruteo y Acceso Remoto en W indows 2000

Server (RRAS)
INTRODUCCIN
SOPORTE IP UNIDIFUSIN
CLASE TERICA 17
CARACTERSTICAS DEL SERVICIO RRAS
CLASE PRCTICA 16
TIPOS DE ZONA

Bsqueda directa
Cach de servidores de nombres
Bsqueda inversa
SITIOS WEB Y FTP

Propiedades y herencia de propiedades
Grupo Operadores
Administracin remota de sitios
ZONAS DNS
Servidores de nombres
NORMAS PA R A LA DENOMINACIN DE
DOMINIOS
NOMBRES DE HOSTS
CLASE TERICA 18
CLASE PRCTICA 20
CLASE TERICA 21
344
POLTICAS DE GRUPO EN WINDOWS 2000 SEVER 344

CAPACIDADES DE POLTICAS DE GRUPO
34
4
BENEFICIOS DE LAS POLTICAS DE GRUPO
COMPLEMENTOS DE CONFIGURACIN DE
SEGURIDAD
Complemento de plantillas de seguridad
Complemento Configuracin y anlisis de seguridad
Extensin de configuraciones de seguridad al editor de
Directiva de grupos
Patla d sgrdd bssd dtsydrcia
lnils e euia, ae e ao
ietvs
Plantillas de seguridad
Plantillas de seguridad pre-definidas
Patla bscs
lnils ia
Plantillas incrementales
CLIENTES DE TERMINAL SERVER
HERRAMIENTAS DE CONFIGURACIN DE
SEGURIDAD
Eliminacin de carpetas temporales

Utilizacin de carpetas temporales por sesin
Licencia de conector de Internet
IMPLEMENTACIN DE LAS FUNCIONALIDADES DE

SEGURIDAD EN LOS SERVICIOS DEL SISTEMA
34
4
LAS POLTICAS DE GRUPO Y ACTIVE DIRECTO RY 35

4
35
4
36
4
37
4
38
4
39
4
31
5
345
DESCRIPCIN GENERAL DE LAS POLTICAS DE

GRUPO
32
5
CLASE PRCTICA 19
POLTICAS DE GRUPO Y GRUPOS DE SEGURIDAD
BASES DE DATOS DE SEGURIDAD
CLASE TERICA 20
REQUERIMIENTOS ADMINISTRATIVOS DE LAS

POLTICAS DE GRUPO
CONSIDERACIONES DE DISEO DE POLTICAS DE

GRUPO
32
5
Minimizar el uso de la funcin de herencia de polticas de
bloque
Minimizar el uso de la funcin de herencia de poltica de
fez
ura
Minimizar el nmero de objetos de polticas de grupo
asociados con usuarios en contenedores de Active
Directory
Anular las polticas de grupo basadas en usuarios con
polticas de grupo basadas en computadoras slo cuando
sea necesario
En lo posible no utilizar las asignaciones GPO a travs de
dominios.
CLASE PRCTICA 21
ADMINISTRACIN DE OBJETOS DE POLTICAS DE

GRUPO
34
5
ADMINISTRACIN DE TERMINAL SERVER

Buscar servidores en todos los dominios
Conectar a todos los servidores
Gestin de las conexiones
Desconexin de la sesin
Reestablecer una sesin
Cierre de una sesin
INSTALACIN DE PROGRAMAS EN SERVIDORES

TERMINAL SERVER
SCRIPTS
CONFIGURACIONES DE SEGURIDAD
POLTICAS DE SOFTWA R E
Administracin del software
DOCUMENTOS Y CONFIGURACIONES DEL

USUARIO
PLANIFICACIN DE LA INSTALACIN DE TERMINAL

SERVER
Consideraciones para la memoria RAM del Servidor
Consideraciones para la velocidad de CPU del servidor
Consideraciones para los requerimientos de red del servidor
Planificacin de la capacidad de trabajo del servidor
I s a a i n d Terminal Serv r
ntlc e
e
I s a a i n d Terminal Serv r d r n e l i s a a i n i i i l
ntlc e
e uat a ntlc nca
de Windows 2000
I s a a i n d Terminal Server en un equipo con Windows
ntlc e
2000 Server
PROPIEDADES DE LAS CONEXIONES TERMINAL

SERVER
Modo Terminal Serv r
e
GESTIN CENTRALIZADA
SERVICIOS DE TERMINAL SERVER EN WINDOWS 2000

SERVER
INTRODUCCIN
ACCESO REMOTO
CONFIGURACIONES DE LA COMPUTA D O R AY
CONFIGURACIN DEL USUARIO
36
5
CLASE TERICA 22
360
FUNCIONAMIENTO DE SMTP
32
8
Servidores de infraestructura de llave pblica en Windows

2000 Server
360
SMTP Y EL DNS
SERVIDORES DE CORREO POP (POST OFFICE
PROTOCOL)
33
8
34
8
INTRODUCCIN
360
DIRECCIONANDO BUZONES EN SERVIDORES
35
8
360
USANDO DNS PA R A DIRIGIR CORREO
35
8
CLASE PRCTICA 23
36
8
361
361
CLASE TERICA 24
32
9
AUTENTICACIN
FIRMAS DIGITALES
CRIPTOGRAFA DE CLAVES PBLICAS

Funcionalidad de claves pblicas
CONVENIO DE CLAVES SECRETAS A T R AVS DE UNA

CLAVE PBLICA
362
INTRODUCCIN
FUNCIONES PRINCIPALES DE INTELLIMIRROR
32
9
392
363
CERTIFICADOS
32
9
ENCRIPTACIN DE DATOS MASIVOS SIN CLAVES

SECRETAS COMPA RTIDAS ANTERIORES
362
PROTEGER Y CONFIAR CLAVES
CRIPTOGRFICAS
IntelliMirror en Windows 2000 Server
363
AUTORIDADES DE CERTIFICACIN
363
CONFIANZAY VALIDACIN
364
COMPONENTES WINDOWS 2000 PKI
365
JERARQUAS DE CERTIFICACIN
366
INSTALAR UNA CA EMPRESARIAL
367
USAR CLAVES Y CERTIFICADOS
369
RECUPERACIN
369
CLASE PRCTICA 22
CLASE TERICA 23
ROL DE LA POLTICA DE GRUPO EN

INTELLIMIRROR
33
9
M AYOR DISPONIBILIDAD DELAMBIENTE

PERSONAL
33
9
ADMINISTRACIN DE DATOS DEL USUARIO
34
9
INSTALACIN Y MANTENIMIENTO DEL SOFTWARE 395

ADMINISTRACIN DE CONFIGURACIONES DEL
USUARIO
36
9
ESCENARIO 1: NUEVA CONTRATACIN
37
9
TECNOLOGA UTILIZADA: POLTICA DE GRUPO
399
ESCENARIO 2: PRIMERA CONEXIN
399
370
TECNOLOGA UTILIZADA: POLTICA DE GRUPO Y

WINDOWS INSTALR
LE
39
9
376
ESCENARIO 3: LLEVAR UNA LAPTO P DENTRO O FUERA

DE CASA 400
Servicios de correo en Windows 2000
376
FUNCIONAMIENTO
376
EJEMPLO DE UNA COMUNICACIN SMTP
378
RESUMEN SIMPLE DEL FUNCIONAMIENTO DEL

PROTOCOLO SMTP
378
F O R M ATO DEL MENSAJE
380
SEGURIDAD Y S M
PA
380
ESPECIFICACIONES DEL PROTOCOLO SMTP
380
TECNOLOGA UTILIZADA: CARPETAS DE POLTICA DE

GRUPO Y FUERA DE LNEA
40
0
ESCENARIO 4: REGRESO A LA RED CON UNA
LAPTOP
Tecnologa utilizada: Configuraciones de los datos del
usuario
Escenario 5: Software de autorreparacin
TECNOLOGA UTILIZADA: POLTICA DE GRUPO Y
WINDOWS INSTALLER
Escenario 6: Reemplazo de una computadora
Tecnologa utilizada: Infraestructura IntelliMirror
CLASE PRCTICA 24
41
0
42
0
44
0
MDULO
Administracin de Windows 2000 Server
CLASE TERICA11
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
WINDOWS 2000 SERVER

W indows 2000 Pro e s o a
fsinl
e
W indows 2000 Advanced Serv r
e
W indows 2000 Datacenter Serv r
e
Seguridad
Compatibilidad
Este mdulo le permitir comenzar a recorrer el camino

de los sistemas para la administracin de redes basados en plataformas Windows, siendo Windows 2000
Server la plataforma de administracin de redes mas difundida a nivel corporativo mundialmente.
PLANIFICACIN DE UNA
INSTALACIN DE
WINDOWS 2000 SERVER
Para realizar una correcta instalacin e
implementacin de Windows 2000
Lista de Compatibilidad de Hardware
(HCL)
INSTALACIN DE WINDOWS 2000
SERVER
P
rogramas de Instalacin de Windows
2000 Server
Modo Te t
xo
Modo GUI
CLASE TERICA 12
ADMINISTRACIN DE DISCOS EN
WINDOWS
2000 SERVER
INTRODUCCIN
Almacenamiento, Particiones y tipos de
Volmenes
TIPOS DE PA RTICIONES (DISCOS
BSICOS)
Windows 2000 Server propone una gran cantidad de

servicios de valor agregado y fcil implementacin, lo que
permite el desarrollo de una infraestructura de red compea
lt.
Dominar completamente el funcionamiento de la plataforma Windows 2000 es una condicin imprescindible
de cualquier administrador de red, ya que esto lo habilitar para el desarrollo, implementacin y mantenimiento
de una estructura de red de caractersticas avanzadas.
Clase primarias
Particiones
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s

Volmenes simples
Volumen distribuido
Volumen con espejo
Volumen seccionado
Volumen RAID-5
Limitaciones de disco dinmico y volumen
dinmico
Combinacin de espacio libre para crear un
volumen distribuido
Extensin y borrado
Agregado de discos
Instalacin de un disco eliminado de otra
computadora
Isaaind vro dso eiiao d or
ntlc e ais ics lmnds e ta
computadora
CLASE TERICA 13
SERVICIOS DE DIRECTORIO EN WINDOWS
2000 SERVER: ACTIVE DIRECTO RY
INTRODUCCIN
Dominios
Efqe d l pltc
nou e a oia
RBOLES Y BOSQUES
rboles
ADMINISTRACIN DE ACTIVE DIRECTO RY EN

WINDOWS 2000 SERVER
CONSOLAS ADMINISTRATIVAS MICROSOFT
(MMC)
Complementos
Opciones de MMC
CUENTAS DE USUARIO EN WINDOWS 2000
ADMINISTRADOR
Invitado
CONSIDERACIONES PA R A LAS CUENTAS DE
USUARIO
COMPLEMENTO USUARIOS Y EQUIPOS DE
ACTIVE DIRECTORY
PERFILES DE USUARIO
Pri Mvl
efl i
Pri Olgtro
efl biaoi
REINICIAR UNA CONTRASEA Y DESBLOQUEAR UNA CUENTA DE USUARIO
TIPOS DE GRUPO
MBITOS DE GRUPO
Grupos Globales
Grupos Universales
ADMINISTRACIN DE IMPRESORAS EN
WINDOWS 2000 SERVER Y AD.
PLANIFICACIN DE UN SISTEMA DE IMPRESIN EN RED
ADMINISTRACIN DE LAS IMPRESORAS DE
RED
BOSQUES
SITIOS
UBICACIN DEL CONTROLADOR DE DOMINIO (DC)
CLASE TERICA 14

PUBLICACIN EN AD DE IMPRESORAS EN
SERVIDORES NO WINDOWS 2000
Clase
CLASE TERICA 15
SERVIDORES DHCP EN WINDOWS 2000

SERVER
INTRODUCCIN
CONFIGURACIN MANUALY AUTOMTICA DE
TCP/IP
DHCPDISCOVER
DHCPOFFER
DHCPREQUEST
DHCPACK
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
RENOVACIN Y LIBERACIN DE UN LEASING

DE
I
P
Forzar una renovacin de leasing utilizando
Icni
pofg
INSTALACIN Y CONFIGURACIN DE UN
SERVIDOR DHCP
Requisitos para el funcionamiento del servicio
DHCP
e u s rvidor Windows 2000
n n e
WINS
INTRODUCCIN
Dominio raz
NOMBRES DE HOSTS
NORMAS PA R A LA DENOMINACIN DE
DOMINIOS
ZONAS DNS
Bsqueda directa
Bsqueda inversa
TIPOS DE ZONA
CLASE TERICA 17
MBITOS DHCP
Rsrad cine
eev e let
COPIA DE SEGURIDAD Y RESTAURACIN DE
LA
BASE DE DATOS DE DHCP
Servicios de Ruteo y Acceso Remoto en W indows

2000 Server (RRAS)
INTRODUCCIN
CLASE TERICA 16
SERVIDORES DE NOMBRES DE INTERNET DE
WINDOWS (WINS)
INTRODUCCIN
WINS
REGISTRO DE NOMBRES
RENOVACIN DE NOMBRES
Bsqueda de nombres
Resolucin esttica
CONFIGURACIN DE UN AGENTE PROXY DE
SOPORTE PA R A IPX
SERVICIO DE ACCESO REMOTO (RAS)
El equipo de acceso remoto y la infraestructura
W .A.N
SEGURIDAD DE LOS ACCESOS REMOTOS
Cifrado de datos
Clase
REGISTRO DE EVENTOS
IMPLEMENTACIN DE LAS FUNCIONALIDADES

DE SEGURIDAD EN LOS SERVICIOS DEL SISTEMA
CLASE TERICA 18
Servidores de Servicios de Informacin de Internet
en Windows 2000 Server (IIS 5.0)
INTRODUCCIN
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
SITIOS WEB Y FTP

Grupo Operadores
Iii ydtnind sto
nco eec e iis
Compresin HTTP
FTP y reinicio FTP
HERRAMIENTAS DE CONFIGURACIN DE
SEGURIDAD
COMPLEMENTOS DE CONFIGURACIN DE
SEGURIDAD
Extensin de configuraciones de seguridad al
editor de Directiva de grupos
Patla d sgrdd bssd dtsydrcia
lnils e euia, ae e ao
ietvs
Patla bscs
lnils ia
Autenticacin
Certificados
Control de acceso
Auditoria
COPIA DE SEGURIDAD Y RECUPERACIN DE
IS
I
GESTIN DE LA PUBLICACIN W E B D AV
C i n e W ebDAV
lets
Seguridad Integrada
Gestin de la seguridad W ebDAV
Control de Acceso
CLASE TERICA 19
INTRODUCCIN A L MODELO BSICO DE
SEGURIDAD DE WINDOWS 2000 SERVER
INTRODUCCIN
CLASE TERICA 20
SERVICIOS DE TERMINAL SERVER EN
WINDOWS 2000 SERVER
INTRODUCCIN
ACCESO REMOTO
GESTIN CENTRALIZADA
PLANIFICACIN DE LA INSTALACIN DE
TERMINAL SERVER
Consideraciones para la velocidad de CPU del
srio
evdr
Consideraciones para los requerimientos de red del
srio
evdr
I s a a i n d Terminal Serv r
ntlc e
e
I s a a i n d Terminal Serv r d r n e l i s a a i n
ntlc e
e uat a ntlc
i i i l d Windows 2000
nca e
Instalacin de Terminal Server en un equipo con
e

MONITOR DE REFERENCIA DE SEGURIDAD
(SRM)
DERECHOS DE USUARIO
Piieis
rvlgo
INSTALACIN DE PROGRAMAS EN SERVIDORES TERMINAL SERVER

Cierre de una sesin
170
Windows 2000 Server
Clase terica 11
Windows 2000 Server
Windows 2000 es un sistema operativo con varios propsitos, con un soporte
integrado para redes servidor-cliente y de trabajo en grupo. La familia de
productos Windows 2000 se diseo teniendo en cuenta las necesidades de
aumentar la fiabilidad de los sistemas de servidores as como tambin para
proporcionar mayores niveles de disponibilidad del sistema y generar
dimensionalidad pasando desde una pequea red L.A.N a redes de gran escala
tipo W.A.N.
icoai
Dcinro
R A I D:
Sistema de hardware
o software mediante
el cual es posible
configurar varios
discos rgidos para
que el sistema
operativo pueda
reconocerlo como un
nico disco, y de esta
manera aumentar la
capacidad de
almacenamiento.
La plataforma Windows 2000 provee a los administradores de red mayor control

sobre las redes que controla e infraestructuras cliente-servidor, optimizando la
flexibilidad a la vez que se consigue un control centralizado tpicamente asociado
a un modelo de computadora central (mainframe).
Windows 2000 se comercializa en cuatro versiones, las cuales varan en cuanto
a las necesidades de administracin de una red.
Windows 2000 Professional

Windows 2000 Professional es el sistema operativo que est destinado a ser
un cliente de red seguro y una estacin de trabajo corporativa. Soporta hasta 2
procesadores y es til, como sistema operativo autnomo (stand alone), para
correr aplicaciones de alta performance, especialmente en diseo grfico.
Windows 2000 Server

Foult Tolerance:
Sistema de tolerancia
a fallos.
Data
Warehousing:
Almacenes de
datos tpicamente
utilizadas por
sistemas de bases
de datos de alta
densidad.
W indows 2000 Server: sucesor de NT Server, s p r hasta 4 procesadores y

o o ta
se encuentra preparado para trabajar como servidor de impresin, archivos,
aplicaciones e, incluso, Web de una pequea a mediana empresa.
W indows 2000 Advanced Server

W indows 2000 Advanced Server: sucesor de NT Server Enterprise Edition,
soporta hasta 8 procesadores y se encuentra preparado para trabajar como
servidor departamental de aplicaciones en empresas medianas a grandes,
con ms de un dominio y tareas de misin crtica. Entre otras prestaciones, se
incluye soporte para RAID y fault tolerance.
Windows 2000 Datacenter Server
Esta versin de Windows 2000 soporta hasta 16 procesadores y slo se
distribuye a pedido. Se encuentra preparado para trabajar en grandes empresas
que requieran data warehousing, anlisis economtricos, simulaciones a gran
escala cientficas y de ingeniera.
Clase terica 11
171

El entorno de Windows 2000 es el resultado directo de una evolucin mixta
entre Windows NT (Sistema operativo servidor, anterior de Microsoft y Windows
)
98 (Sistema operativo para computadoras personales) lo que trae aparejado
una gran cantidad de caractersticas nicas.
Windows 2000 es compatible con 2 tipos de multitarea:
Preemptiva: La multitarea preemptiva implica un sistema de

programacin del procesador en el que el sistema operativo mantiene
un fuerte control sobre el tiempo que un subproceso puede estar
utilizando de manera exclusiva el procesador. Este sistema de
programacin se denomina preemptivo porque el sistema operativo
puede decidir en cualquier momento alternar entre el subproceso en
ejecucin y otro con mayor prioridad que lo solicite. La terminacin del
proceso con menor prioridad se denomina derecho preferente.
Windows 2000 es compatible con mltiples subprocesos, lo que permite
que se distribuyan varias tareas entre mltiples procesadores. Las
aplicaciones nativas de Windows 2000 se encuentran preparadas para
aprovechar los subprocesos, pero existen aplicaciones de terceros
fabricantes que no poseen esta capacidad.
Cooperativa:La multitarea cooperativa es un sistema de programacin

del procesador en el que las aplicaciones individuales controlan el
procesador mientras as lo desean. Sin embargo, este tipo de multitarea
puede hacer que un sistema se bloquee si una aplicacin falla a la hora
de ceder el control que ejerce sobre el procesador. En la poca de
Windows 95 o 98, este se ejecuta sobre DOS, un sistema operativo
con un nico subproceso. Por el contrario, las aplicaciones nativas de
32bits de Windows 2000 no tienen esta limitacin.
El funcionamiento predeterminado de Windows 2000 es que todas las

aplicaciones de 16 bits de Windows se ejecuten en una nica mquina virtual
a la que Windows solo le concede acceso preemptivo al procesador.

El termino varios subprocesos hace referencia al cdigo diseado en el que
Qu es un sistema de RAID?
Unir con flechas segn corresponda:
Actividad
Windows 2000 Professional

Windows 2000 Server
W indows Advances Server
Windows Data center
8 Procesadores
4 Procesadores
2 Procesadores
16 Procesadores
172
Windows 2000 Server
las tareas individuales (subprocesos) dentro de un nico espacio de

procesamiento, puede funcionar de forma separada e independiente como
mdulos de ejecucin ligeros denominados subprocesos.
icoai
Dcinro
Proceso:
Objeto creado
durante la ejecucin
de un programa que
reside en un rea
reservada de
memoria asignada de
forma exclusiva a
este y uno o ms
subprocesos.
Subproceso:
Parte de cdigo en
ejecucin que
pertenece a un
proceso.
oa
Nt
Windows 2000 posee la
cpcddd taa
aaia e rtr
procesadores nicos de
doble ncleo como
procesadores separados
independientes.
Todos los subprocesos comparten los mismos recursos de memoria y de

sistema dentro de un proceso. En Windows 2000, se tarda unas 200 veces
ms en cambiar entre procesos de lo que se tarda en cambiar entre
subprocesos.
El procesamiento de subprocesos mltiples permite que un sistema operativo
ejecute al mismo tiempo mltiples subprocesos. Si la computadora donde se
ejecutan mltiples subprocesos incluye varios procesadores, entonces los
subprocesos se pueden ejecutar simultneamente, cada uno en un procesador
diferente. Incluso en una computadora con un nico procesador la utilizacin
de subprocesos acelera la ejecucin de aplicaciones. Los subprocesos crean
un entorno en el que se pueden activar mltiples tareas entre el primer y segundo
plano.
Windows 2000 es compatible con tres sistemas de archivos:
FAT:(ie Allocation Ta l - Tabla de Asignacin de Archivos) es el sistema de
Fl
be
archivos utilizado por DOS y Windows 3. x. Windows 2000 utiliza una
implementacin de FAT denominada VFAT ( r u l FAT), la cual incluye
Vi t a
compatibilidad con nombres largos de archivos y volmenes de disco de 4GB.
FAT32:Es una mejora de FAT que era parte de Windows 98. Windows 2000
incluye compatibilidad con FAT32 principalmente para obtener mejoras en el
tamao de volmenes de disco de 32GB.
N T F S: (New Technology File System - Sistema de Archivos de Nueva
Tecnologa) es un sistema de archivos de alto rendimiento, seguro y orientado
a o j t s Este sistema de archivos posee compatibilidad con el sistema EFS
beo.
(Encpripted File System - Sistema de Archivos Cifrado) el cual permite codificar
mediante un algoritmo matemtico cualquier dato guardado en un volumen
NTFS.
Seguridad
Windows 2000 incorpora varias caractersticas de seguridad mediante un
sistema de inicio de sesin de usuario seguro y obligatorio. Las caractersticas
de seguridad promueven el uso de controles de acceso, eficaces y fiables a
todos los recursos y activos de una red. Las caractersticas de seguridad de
Windows 2000 incluyen:
Proteccin de memoria
Auditoria de sistemas en todos los niveles de sucesos y actividades.
Controles precisos sobre el acceso a archivos y directorios.
Controles precisos en todos los niveles de limitaciones de acceso a la red.
Clase terica 11
173
Existen proveedores que amplan u ofrecen mejoras de seguridad para

Windows 2000, mediante la utilizacin de hardware orientado a la seguridad
como ser: Smartcards, sistemas de autenticacin biomtrica mediante lectores
de iris o de huellas dactilares.
oa
Nt
Compatibilidad
Cualquier aplicacin que

itne tnr acs
net ee ceo
directamente al hardware,
no funcionar en
W indows 2000. En el
momento en que una
alcc itna
piain net
acceder directamente al
h r w r ,e s s e a
adae l itm
oeaiodteee
prtv ein l
programa y finaliza todos
ss poeo. Et
u rcss sa
c r c e t c p o e ea
aatrsia rtg l
ssead psbe
itm e oils
ietbldds
nsaiiae.
Windows 2000 es compatible con una gran cantidad de aplicaciones, esta

compatibilidad se logra gracias a un sistema de aplicacin que emula el ambiente
nativo de cada tipo de aplicacin. Windows 2000 crea una mquina virtual que
emula el entorno nativo de las aplicaciones que lo requieren. Adems de las
aplicaciones Win32, Windows 2000 es compatible con los siguientes tipos de
aplicaciones:
DOS de 16bits
Nativas de 32bits
Basadas en caracteres de OS/2 1.x
Aplicaciones POSIX-1. La interfaz porttil del sistema operativo para UNIX
(POSIX Portable Operating System for UNIX) es una especificacin de
sistema operativo independiente de la plataforma.
Windows 3. x

W indows 2000 es un sistema operativo modular. No est creado como un
nico y gran programa, sino que se compone de muchos elementos pequeos
de software denominados mdulos que trabajan conjuntamente para
proporcionar las capacidades de red y de procesamiento del sistema.
Cada funcin, segmento de cdigo y control de sistema reside dentro de un
mdulo distinto, de forma que no hay dos mdulos que compartan el mismo
cdigo. Este mtodo de construccin permite una revisin, expansin y
aplicacin de cualquier reforma o mejora al sistema.
PLANIFICACIN DE UNA INSTALACIN DE WINDOWS 2000 SERV E R

Para realizar una correcta instalacin e implementacin de Windows 2000
Actividad
Qu es un proceso?
Qu es un subproceso?
De qu manera Windows 2000 garantiza compatibilidad

con aplicaciones?
174
Windows 2000 Server
Server es necesario como primera medida identificar los requisitos mnimos de

sistema.
Componente
Requerimientos de Windows
2000 Professional
Requerimientos de Windows 2000

Server.
Procesador
Pentium 2000-MHz o superiores (o equivalente compatible)

Windows 2000 Profesional soporta hasta 2 procesadores.
Windows 2000 Server soporta hasta 4 procesadores.
W indows 2000 Advanced Server soporta hasta 8 procesadores.
Windows 2000 Data Center sorporta hasta 16 procesadores.
Memoria
64 Megabytes (MB) mnimo recomendado.

Mayor cantidad de memoria mejora el
rendimiento.
Soporta un mximo de 4 Giga Bytes.
256 Megabytes (MB) mnimo recomendado. Aunque

soporta 128 MB.
Server= 4(GB) mximo soportado.
Advanced Server= 8 (GB) mximo soportado
Espacio de disco
2 (GB) con al menos 1 (GB) de espacio

lbe
ir.
2 (GB) con al menos 1 (GB) de espacio libre. Si la

instalacin se realiza por la red ser necesario
aumentar el espacio libre.
Video
Adaptador de video con resolucin VGA o superior
Accesorios
Teclado y mouse (u otro dispositivo con puntero o cursor)
Lista de Compatibilidad de Hardware (HCL)

La HCL proporciona una lista de todos los dispositivos de hardware compatibles
con Windows 2000 conocidos y sus controladores de dispositivo. Es muy
recomendable consultar la HCL antes de una instalacin ya que Windows 2000
es incompatible con algunos dispositivos de hardware. Independientemente de
esto, Windows 2000 al comenzar la instalacin comprueba automticamente el
hardware y software e informa sobre conflictos potenciales.
Windows 2000 controla directamente el hardware, al contrario de otros sistemas
operativos, Windows 2000 no necesita acceso al BIOS. Aunque esto permite
que Windows 2000 controlo el hardware en forma mas precisa, tambin significa
que solo reconocer hardware que posea controladores especficos para trabajar
sobre Windows 2000. Esto se cumple mayormente con los adaptadores SCSI,
placas de video y adaptadores de red.

Si existe un equipo UPS conectado a la computadora es necesario desconectar
el cable serie antes de ejecutar la instalacin de Windows 2000. El programa de
instalacin intenta detectar de manera automtica dispositivos conectados al
puerto serie y el dispositivo UPS puede causar conflictos con el sistema de
deteccin.
Clase terica 11
175
INSTALACIN DE WINDOWS 2000 SERV E R

Programas de Instalacin de Windows 2000 Server
Sin importar el mtodo de que se utilice pa a i s
r n talar Windows 2000 Server, s
e
debe ejecutar winnt.exe o winnt32.exe. Se puede utilizar el programa setup.exe
para iniciar winnt.exe o winnt32.exe.
Para una instalacin limpia sobre una computadora con MS-DOS o Windows 3.
x, se deber ejecutar winnt.exe desde la lnea de comandos.
Para una instalacin limpia o actualizacin desde Windows 95, 98 o NT se debe
ejecutar winnt32.exe.
Para una instalacin limpia en una computadora sin sistema operativo, solo se
deber configurar el BIOS para que arranque el sistema desde el CD de
isaain
ntlc.
Esquema de actualizacin desde una versin anterior a Windows 2000
icoai
Dcinro
Controladores de
GUI:
dominio
PDC o BDC Windows
Graphic User
Interfase - Interfaz
Grfica del Usuario,
subsistema por
medio del cual,
Windows 2000
presenta informacin
en pantalla al
usuario, en forma
grfica
Controlador de Dominio
NT 3.51 o 4.0
Windows 2000
Servidores
Miembro
Servidor miembro Windows
Servidor Miembro
Controlador de Dominio
NT 3.51 o 4.0
Windows 2000
Windows 2000
Windows NT 3.1 o 3.5
Windows 3.51 o 4.0
Windows 2000
Windows NT
El proceso de instalacin de Windows 2000 Server incluye tres fases o etapas:
Fase Previa a la Copia, el Modo Texto y el modo GUI.
Durante la fase previa a la copia, todos los archivos necesarios para la instalacin
Actividad
Cuntas fases intervienen en la instalacin de

Windows 2000?
Es necesario desconectar el UPS durante la instalacin

de Windows 2000?
176
Windows 2000 Server
se copian a directorios temporales en el disco rgido local.
Modo Texto
En la instalacin en modo texto, esta solicita informacin necesaria para completar
l i s a a i n Despus de aceptar la licencia, se especifica o crea una particin
a ntlc.
pa a l i s
r a n talacin y se elige el sistema de archivos. Todos los archivos necesarios
para la instalacin se copian desde el directorio temporal (creado en la fase
previa a la copia).
Contrato de licencia de Windows 2000 Server: El contrato de licencia de
W indows 2000 Server tiene varias pginas. Hay que utilizar la tecla Av.Pg. y
Re.Pg para moverse por el texto y pulsar F8 para aceptar la licencia.
Instalaciones Existentes: Si el programa de instalacin detecta instalaciones
de Windows 2000 preexistentes las visualiza en una lista. Se puede seleccionar
una instalacin anterior mediante el cursos y presionar R para repararla o Esc
para continuar.
Particiones: El programa de instalacin visualiza todas las particiones existentes
as como el espacio libre del sistema. Utilizando las teclas del cursor del teclado
se puede seleccionar donde se desea instalar Windows 2000 Server. En este
punto se pueden crear o borrar particiones.
Sistemas de
Archivos: El programa de instalacin proporciona la opcin de

mantener intacto el sistema de archivos actual o
permite convertirlo a NTFS. Si no se desea
cambiarlo hay que seleccionar la opcin Dejar el
sistema de archivos actual intacto, que es la
predeterminada.
El programa de instalacin tambin examina el
disco rgido y copia los archivos necesarios para la
instalacin desde el directorio temporal al directorio
de instalacin (WINNT es el directorio
predeterminado).
Modo GUI
Despus de completar la parte de modo texto del programa de instalacin, la
computadora se reinicia y comienza el modo GUI. Esta fase permite seleccionar
que componentes opcionales instalar y permite adems seleccionar la
contrasea de administrador.
El modo GUI consiste en tres etapas:
1 Recopilacin de informacin sobre la computadora
.
2 Instalacin de los componentes de red de Windows 2000 Server
.
3 Completar la Instalacin
.
Clase terica 11
177
1- Recopilacin de informacin sobre la computadora

.
El estado de recopilacin de informacin sobre la computadora consiste en
una serie de cuadros de dialogo que Windows 2000 Server utiliza para obtener
informacin de la configuracin para la instalacin del sistema. Durante esta
etapa, se instalan y configuran las caractersticas de seguridad y dispositivos.
Parmetros regionales: Windows 2000 visualiza los parmetros regionales
actuales (predeterminados). Se puede aadir soporte para lenguajes adicionales,
cambiar los parmetros de ubicacin del sistema y tambin configurar los
parmetros predeterminados de la cuenta de usuario.
icoai
Dcinro
DHCP:
Dynamic Host
Configuration
Protocol Protocolo
de Configuracin
Dinmico de Host,
este sistema permite
al adaptador de red
ser configurado por
un Servidor DHCP.
Personalizacin del software: Cuando se configura el sistema, se debe

introducir el nombre al cual esta registrado Windows 2000. Adems se puede
aadir el nombre de la organizacin, aunque esto es opcional.
Nombre de la computadora y contrasea del administrador: Cuando se
instala Windows 2000 se debe introducir un nombre para la computadora
(nombre NetBIOS de hasta 15 caracteres). El nombre introducido debe ser
diferente al nombre de otra computadora, grupo de trabajo o dominio.
Tambin se puede introducir una contrasea del administrador para la cuenta
usuario Administrador, la cual puede contener hasta 127 caracteres de longitud
o se puede dejar en blanco. Windows 2000 puede diferenciar entre maysculas
y minsculas en la contrasea del administrador.
Administrador de componentes opcionales: El administrador de
componentes opcionales permite aadir o eliminar componentes adicionales
despus de la instalacin.
Parmetros de fecha y hora: Durante el proceso de instalacin, se debe
seleccionar la zona horaria adecuada y ajustar la fecha y hora.
2- Instalacin de los componentes de red de Windows 2000 Server

.
Cuando el programa de instalacin completa la etapa de recopilacin de
informacin sobre la computadora se vuelve a la pantalla del programa de
instalacin de Windows 2000. El programa de instalacin examina la
computadora en bsqueda de adaptadores de red instalados. Esta etapa suele
llevar varios minutos.
Actividad
Qu es el modo de instalacin GUI?
La memoria Virtual es importante para el

funcionamiento de Windows?
178
Windows 2000 Server
Configuracin de red: La configuracin de red de Windows 2000 comienza

con un cuadro de dialogo ofreciendo una eleccin
entre configuracin Tpica (predeterminada) o
Personalizada. La configuracin tpica configura el
sistema con todas las opciones predeterminadas:
Cliente para Redes Microsoft Archivos e Impresoras
,
Compartidas para Redes Microsoft y el protocolo
TCP/IP configurado como cliente D H C P.
La configuracin personalizada permite la configuracin de los siguientes objetos:
Clientes: El cliente predeterminado es el cliente para redes Microsoft.

Se pueden aadir servicios de gateway y cliente para NetWa e
r.
Servicios: El servicio predeterminado es archivos e impresoras para

redes Microsoft. Se puede aadir el agente SAP y el Programador de
paquetes QoS.
Protocolos: El protocolo predeterminado el TCP/IP. Se pueden aadir

protocolos adicionales como NWLink IPX/SPX, NetBEUI, DLC, AppleTak
l,
el controlador del Monitor de Red, etc. Tambin es posible modificar la
configuracin de los protocolos.
3- Finalizacin del programa de instalacin

.
La etapa de finalizacin del programa de instalacin realiza las siguientes
acciones y no requiere de la interaccin con el usuario:
Clase terica 11
Tarea
Copia de archivos
179
Descripcin
El programa de instalacin copia cualquier archivo restante
necesario en el directorio de instalacin, tales como accesorios y
mapa de bits.
Configuracin final de la
computadora
El programa de instalacin crea un men de inicio, grupos de programa,

configura la cola de impresin, impresoras, servicios, la cuenta del
administrador, fuentes, archivo de memoria virtual y registra las
bibliotecas dinmicas (DLL - Dynamic Link Library).
Guardar la configuracin
El programa de instalacin guarda la configuracin en el registro, se

crea el directorio de reparacin y se reinicia Boot.ini
Eliminar archivos temporales
El programa de instalacin elimina los archivos temporales y directorios

creados y utilizados durante la instalacin y compacta las secciones
del sistema del registro.
icoai
Dcinro
Memoria Virtual:
Archivo de paginacin
que Windows crea en
el disco rgido para
guardar procesos
inactivos de memoria
hasta que son
requeridos y as
poder liberar
memoria RAM para el
sistema.
Registro:
Base de datos del
sistema que guarda
referencia de cada
objeto que compone
al sistema.
DLL:
Mantiene
funcionalidades o
recursos que utilizan
las aplicaciones, es
comn que varios
programas utilicen
una misma DLL.
Primer arranque de Windows 2000 Server, despus de la

instalacin.
180
Windows 2000 Server
Clase prctica 11
Mediante la realizacin de esta prctica usted ser capaz de realizar una correcta instalacion de
Windows 2000 Server en un equipo servidor, mediante la personalizacin de la instalacin del sistema y
la realizacin de ajustes post-instalacion.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos efectivamente en el
mbito laboral, permitindole resolver problemas de manera eficaz y concreta.
Configuracin TCP/IP y administracin de Discos

Para la siguiente prctica se asumir que el alumno dispone de un cd booteable de
Windows 2000 Server y que el disco del equipo se encuentra limpio (sin ninguna particin).
Instalacin del Servidor 1 (MGP-SRV01):
Ejercicio 1:
Iniciar la maquina desde el CD de arranque de Windows 2000 (estableciendo la secuencia
correcta de arranque en el setup)
Una vez iniciado el programa de instalacin proceder de la siguiente manera:
Presionar la tecla ENTER Instalar Windows 2000

Presionar la tecla C Continuar con la siguiente pantalla
Presionar la tecla F8 Aceptar el contrato de licencia
Presionar la tecla C para crear una nueva particin y establecer la siguiente
configuracin:
Tamao de la particin a crear (en MB): 2000
Presionar la tecla ENTER Volver al men anterior
Seleccionar la opcin C:
Nuevo (No formateado)
2000 MB
y presionar ENTER establece cual ser la particin de destino
Seleccionar la opcin Formatear la particin utilizando el formato de archivos FAT
y presionar ENTER establece el sistema de archivos a FAT, comienza el proceso
de formateo y copia de archivos de instalacin al disco.
Una vez finalizada la copia se procede a cargar el programa de instalacin con
interfaz grfica (segunda instancia de instalacin)
Hacer clic en el botn Siguiente comienza el proceso de deteccin de
dispositivos.
Hacer clic en el botn Personalizar en la seccin Configuracin regional
Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma
(ubicacin):
Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana
principal
Hacer clic en el botn Siguiente
Establecer la siguiente configuracin en la ventana de personalizacin de Software:
Nombre: Alumno
Organizacin: MegaPack
Seleccionar el licenciamiento Por Servidor. Numero de conexiones concurrentes y
establecer el valor a 70 Indica que las conexiones mximas al servidor sern de
70 simultaneas.
Clase prctica 11
181
Establecer la siguiente configuracin en la ventana de Nombre de equipo y

contrasea del administrador:
Nombre de equipo: MGP-SRV01
Contrasea de administrador: MgP393pDC
Confirmar contrasea: MgP393pDC
Hacer clic en el botn Siguiente en la ventana de seleccin de componentes a
instalar Selecciona la Instalacin bsica
Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado Zona
horaria
Seleccionar la opcin Configuracin Personalizada y hacer clic en el botn
Siguiente en la ventana de Configuracin de red.
Doble clic en Protocolo Internet (TCP/IP) Acceder a las propiedades del
protocolo
Seleccionar la opcin Usar la siguiente direccin IP y establecer la siguiente
configuracin (dejar los dems casilleros en blanco):
Direccin IP: 192.168.7.1
Mascara de subred: 255.255.255.0
Hacer clic en el botn Aceptar Guardar la configuracin
Hacer clic en el botn Siguiente dejar la configuracin del segundo adaptador
de red de manera predeterminada
Seleccionar la opcin No, este equipo no est en una red o est en una red sin
dominio y establecer MEGAPACK como nombre del Dominio o grupo de trabajo del
equipo
Hacer clic en el botn Siguiente comienza el proceso de instalacin de
componentes
Hacer clic en el botn Finalizar Finaliza la instalacin y reinicia el equipo
Una vez reiniciado el equipo presionar simultneamente las teclas ctrl.+alt+supr
Acceder a la interfaz de inicio de sesin
Colocar MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER
Iniciar sesin como Administrador.
Seleccionar la opcin Configurar este servidor mas tarde y hacer clic en el botn
Siguiente
Desmarcar la opcin Mostrar esta pantalla al iniciar y cerrar la ventana (hacer clic
en la X que se encuentra en el ngulo superior derecho de la ventana)
Desplegar el men contextual (clic con el botn derecho del Mouse) en cualquier
parte libre del escritorio y seleccionar la opcin Propiedades Acceder a las
propiedades de pantalla
Hacer clic en la solapa Configuracin y arrastrar el selector del Area de pantalla
hasta que indique 800 por 600 pixeles
Hacer clic en el botn Aceptar
182
Windows 2000 Server
Instalacin del Servidor 2 (MGP-SRV02):

Ejercicio 1:
Iniciar la maquina desde el CD de arranque de Windows 2000 (estableciendo la secuencia
correcta de arranque en el setup)
Una vez iniciado el programa de instalacin proceder de la siguiente manera:
Presionar la tecla ENTER Instalar Windows 2000
Presionar la tecla C Continuar con la siguiente pantalla
Presionar la tecla F8 Aceptar el contrato de licencia
Presionar la tecla C para crear una nueva particin y establecer la siguiente
configuracin:
Tamao de la particin a crear (en MB): 2000
Presionar la tecla ENTER Volver al men anterior
Seleccionar la opcin C:
Nuevo (No formateado)
2000
MB y presionar ENTER establece cual ser la particin de destino
dispositivos.
Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma (ubicacin):
Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana principal
Nombre: Alumno
70 simultaneas.
Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado
Zona horaria
Seleccionar la opcin Configuracin Personalizada y hacer clic en el botn
Siguiente en la ventana de Configuracin de red.
Doble clic en Protocolo Internet (TCP/IP) Acceder a las propiedades del
protocolo
Seleccionar la opcin Usar la siguiente direccin IP y establecer la siguiente
configuracin (dejar los dems casilleros en blanco):
Hacer clic en el botn Aceptar Guardar la configuracin
Clase prctica 11

Seleccionar la opcin No, este equipo no est en una red o est en una red sin
dominio y establecer MEGAPACK como nombre del Dominio o grupo de trabajo
del equipo
Hacer clic en el botn Siguiente comienza el proceso de instalacin de
componentes
Hacer clic en el botn Finalizar Finaliza la instalacin y reinicia el equipo
Una vez reiniciado el equipo presionar simultneamente las teclas ctrl.+alt+supr
Acceder a la interfaz de inicio de sesin
Colocar MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER
Iniciar sesin como Administrador.
Seleccionar la opcin Configurar este servidor mas tarde y hacer clic en el botn
Siguiente
Desmarcar la opcin Mostrar esta pantalla al iniciar y cerrar la ventana (hacer clic
en la X que se encuentra en el ngulo superior derecho de la ventana)
Desplegar el men contextual (clic con el botn derecho del Mouse) en cualquier
parte libre del escritorio y seleccionar la opcin Propiedades Acceder a las
propiedades de pantalla
Hacer clic en la solapa Configuracin y arrastrar el selector del Area de pantalla
hasta que indique 800 por 600 pixeles
Hacer clic en el botn Si indica que los cambios son aceptados
dispositivos.
Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma (ubicacin):
Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana principal
Nombre: Alumno
70 simultaneas.
Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado
Zona horaria
183
184
Administracin de Discos en Windows 2000 Server
Clase terica 12
INTRODUCCIN
Windows 2000 Server ofrece un sistema de administracin de discos verstil a
travs del sistema de almacenamiento de archivos. Con el almacenamiento
dinmico del sistema operativo Windows es compatible con discos de gran
capacidad y ofrece tolerancia a errores, control de acceso y alto rendimiento.
Estas caractersticas le permiten, tambin, mantener la compatibilidad con
configuraciones de discos anteriores adems de ser compatible con FAT32.
oa
Nt
Cuando se crean
priinse u dso
atcoe n n ic
bsc,e aosjbe
io s cneal
siempre dejar 1 MB de
e p c ol b ee e d s o
sai ir n l ic,
en caso que
posteriormente se desee
cnetreedsoe
ovri s ic n
dinmico, ya que su
estructura ocupa 1 MB.
Antes de que se puedan almacenar datos en un nuevo disco rgido, se debe

iniciar el disco con un tipo de almacenamiento, asignar particiones y darle formato.
Almacenamiento, Particiones y tipos de Volmenes

Windows 2000 soporta 2 tipos de almacenamiento de disco:
Almacenamiento Bsico
Almacenamiento Dinmico
Un disco de almacenamiento fsico debe ser, o bsico o dinmico; no se pueden
utilizar ambos tipos de almacenamiento en un disco.
La forma estndar de almacenamiento, es el almacenamiento bsico. Indica la
divisin de un disco rgido en particiones. Una particin es segmento del disco
que funciona como una unidad de almacenamiento fsicamente separada.
Windows 2000 reconoce particiones primarias y extendidas. Un disco que se
inicia para almacenamiento bsico se denomina: disco bsico.
Un disco bsico puede contener particiones primarias, particiones extendidas y
unidades lgicas.
Debido a que el almacenamiento bsico es la forma estndar, DOS y todas las
versiones de Windows soportan este tipo de almacenamiento. Por definicin,
todos los discos nuevos del sistema son bsicos hasta que se los convierte a
dinmicos.
Los discos dinmicos se dividen en volmenes, que pueden estar formados por
una parte o varias partes de uno o varios discos fsicos. Un disco dinmico
Clase terica 12
185
puede contener volmenes simples, volmenes distribuidos, volumen

seccionados (RAID-0), volmenes con espejo (RAID-1) y volmenes con paridad
(RAID-5). El disco dinmico se crea a partir de la actualizacin de un disco
bsico.
El almacenamiento dinmico no tiene las restricciones del almacenamiento
bsico, por ejemplo, se puede dar un tamao a un disco dinmico y posteriormente
cambiarlo sin tener que reiniciar el sistema.
oa
Nt
Ls dsoiio d
o ipstvs e
almacenamiento
etabe cninn
xrls otee
nicamente particiones
primarias y no pueden
s rm d f c d s
e oiiaa.
TIPOS DE PARTICIONES (DISCOS BSICOS)

Se puede dividir un disco bsico en particiones primarias extendidas. Las
particiones funcionan como unidades de almacenamiento fsicamente separadas.
Particiones primarias
Windows 2000 utiliza la particin primaria para iniciar la computadora marcndola
como activa (solo una particin puede encontrarse activa en un disco). Una
particin del tipo activa es donde el hardware busca los archivos de inicio para
arrancar el sistema operativo.
La particin de sistema de sistema de Windows 2000, es la particin activa que
contiene los archivos especficos para cargar el sistema operativo. La particin
de inicio de Windows es la particin primaria o unidad lgica donde se instalan
los archivos complementarios del sistema operativo, de esta manera la particin
del sistema queda asentada en la particin activa, mientras que la de inicio puede
estar en una particin primaria o extendida.
Una particin extendida se crea a partir de espacio libre, solamente puede existir
una particin extendida por disco fsico, por lo que es importante incluir en ella
todo el espa i l b e d s o i l . A diferencia de las particiones primarias, a las
co ir ipnbe
particiones extendidas no se les da formato ni se les asigna una letra de unidad.
Las particiones extendidas se segmentan y a cada segmento se lo reconoce
con el nombre de unidad lgica.
Las unidades lgicas si pueden ser identificadas con letras de unidad al mismo
tiempo que deben ser formateadas, Windows 2000 las reconoce como discos
Actividad
Un PenDrive (almacenamiento extraible) Qu

tp d priin pse
io e atc oe?
Almacenamiento
Bsico
Extra
Dinamico
Compleja
186
fsicos independientes.

Se puede actualizar de discos bsicos a almacenamiento dinmico y entonces
crear volmenes de Windows 2000. Hay que tener en cuenta que tipo de volumen
se ajusta mejor a las necesidades para un uso eficiente del espacio de disco,
rendimiento y tolerancia a fallos. En Windows 2000, los volumen RAID-1 y RAID5 son tolerantes a fallos.
Volmenes simples
Un volumen simple contiene espacio de disco de un nico disco y no es tolerante
a fallos. Los volmenes simples se pueden extender en varias regiones (hasta
32) del mismo disco. Estos son menos tolerantes a fallos que un disco no
extendido, ya que la extensin de un volumen simple aumenta la tasa de fallo en
e dso
l ic.
Volumen distribuido
Un volumen distribuido incluye espacio de disco de varios discos (hasta 32).
Windows 2000 escribe datos en un volumen distribuido en el primer disco, llena
por completo el espacio y contina esta secuencia en todos los discos que
conforman el volumen distribuido. Un volumen distribuido no es tolerante a fallos.
Si uno de los discos del volumen distribuido falla, la integridad total de los datos
del volumen queda comprometida y se pierden por completo.
Volumen con espejo

El volumen con espejo (RAID-1) consiste en 2 copias idnticas de un volumen
simple, cada una en un disco rgido separado. Los volmenes espejados
proporcionan tolerancia a fallos en el caso del fallo de uno de los integrantes del
espejo.
Si se produjera un fallo en un volumen espejado, se debe deshacer el espejo,
cambiar el disco rgido afectado y volver a generar el espejo.
Volumen seccionado
El volumen seccionado (RAID-0) combina reas de varios discos rgidos (hasta
32) en un volumen lgico. Este tipo de configuracin optimiza la velocidad de
copia y acceso a los datos, ya que la informacin se guarda al mismo tiempo en
todos los discos que conforman el volumen. De esta manera los volmenes
seccionados no son tolerantes a fallos, ya que si uno de los discos del volumen
falla toda, la integridad total de los datos del volumen queda comprometida y se
pierden por completo, al igual que en un volumen simple o distribuido.
Clase terica 12
187
Volumen RAID-5
Un volumen RAID-5 es un volumen seccionado pero con tolerancia a fallos.
Windows 2000 aade informacin de paridad de bandas a cada particin de disco
en el volumen, si alguno de los integrantes del volumen llegara a fallar, s u i i a
e tlz
la informacin de las bandas para reconstruir la informacin. Este tipo de
volmenes se construyen a partir de un mnimo de 3 discos.
icoai
Dcinro
MMC:
Microsoft
Management Console
- Consola
Administrativa de
Microsoft, esta
consola genrica
permite cargar
diferentes
complementos
administrativos del
sistema. Se ejecuta
escribiendo m m c en
la opcion ejecutar del
men inicio.
Limitaciones de disco dinmico y volumen dinmico

Los discos dinmicos, son menos tolerantes a fallos que los volmenes simples,
volmenes simples extendidos, volmenes distribuidos o volmenes
seccionados, y no pueden contener la particin de inicio ni la del sistema. Esta
caracterstica se introdujo en Windows 2000 con el fin de proporcionar una base
slida para tolerancia a fallos para particiones que contengan archivos del sistema
operativo. No se soportan volmenes dinmicos en computadoras porttiles,
tampoco se pueden crear las configuraciones de tolerancia a fallos RAID-1 y
RAID-5 localmente en computadoras con Windows 2000 Professional.

El complemento Administracin de discos proporciona una situacin central para
la informacin de disco y tareas de administracin, tales como creacin y borrado
de particiones y volmenes. Con los permisos adecuados se pueden gestionar
discos en forma local o desde hosts remotos. Se puede crear una M M C
personalizada y aadir el complemento Administracin de discos, este se
encuentra pre-configurado en el men
Herramientas administrativas.
El complemento Administracin de discos
proporciona mens de acceso directo que
muestran que tareas se pueden realizar en
el objeto seleccionado e incluye asistentes
gua para la creacin de particiones,
volmenes y actualizacin de los discos.

Un volumen simple contiene espacio de un nico disco. Se puede extender un
volumen para incluir espacio no asignado en el mismo disco. Un volumen simple
no es tolerante a fallas, sin embargo, se pueden configurar dos volmenes simples
de manera uno sea espejo del otro. Se puede dar formato a un volumen simple
188
con NTFS, FAT16 o FAT32, pero el volumen solo puede extenderse si esta
formateado en NTFS.
oa
Nt
Como regla general no se
puede extender un
volumen de sistema o de
iii.
nco
Un volumen distribuido consiste en espacio de disco de varios discos; los

volmenes distribuidos permiten la utilizacin de todo el espacio no asignado
sobre varios discos de manera ms efectiva. Se pueden crear volmenes
distribuidos solamente como discos dinmicos, y se necesitan al menos 2 discos
dinmicos para crear un volumen distribuido. Los volmenes distribuidos no
pueden ser parte de un volumen espejado o un volumen seccionado y no son
tlrne aflo.
oeats als
Combinacin de espacio libre para crear un volumen distribuido

Los volmenes distribuidos se crean a partir de la combinacin de reas de
espa i l b e d v r o tamaos, de 2 a 32 discos en un volumen lgico mayor.
co ir e ais
Las reas de espacio libre que configuran un volumen distribuido pueden ser de
tamaos diferentes.
Al borrar volmenes menores y combinarlos en un volumen distribuido se pueden
liberar letras de unidad para otros usos y crear un volumen grande para el uso
del sistema de archivos.
Extensin y borrado
Se pueden extender volmenes distribuidos existentes con formato NTFS
mediante la adicin de espa i l b e E Administrador de discos dar formato a
co ir. l
la nueva rea sin afectar a los archivos existentes en el volumen original, no se
puede utilizar volmenes con formato FAT16 y FAT32.
icoai
Dcinro
E/S:
Entrada y Salida de
datos de un
dispositivo o sistema.
Tambin se pueden extender volmenes distribuidos en discos dinmicos (hasta

32)., despus de extender un volumen sobre varios discos, estos no pueden ser
parte de un espejo o volumen seccionado. Despus de extender un volumen
distribuido no se puede borrar ninguna porcin de disco, sin borrar el volumen
distribuido entero.
Los volmenes seccionados ofrecen el mejor rendimiento de todas las estrategias
de gestin de discos. En un volumen seccionado los datos se escriben
equitativamente en todas las unidades de disco en unidades de 64 Kilobytes.
Debido a que todos los discos rgidos que pertenecen al volumen seleccionado
ejecutan las mismas funciones como un nico disco, se pude distribuir y procesar
de forma simultanea ordenes de E/S en todos los discos rgidos.
Se pueden crear volmenes seccionados mediante la combinacin de reas de
espacio libre de varios discos (2 a 32) en un volumen lgico. Con un volumen
seccionado los datos se escriben en varios discos, de manera similar a los
volmenes distribuidos. Sin embargo, en un volumen seccionado el sistema
Clase terica 12
189
operativo escribe los archivos en todos los discos de forma que los datos se
aaden a todos los discos a la misma velocidad. Al igual que los volmenes
distribuidos, los volmenes seccionados no proporcionan tolerancia a fallos. Si
un disco del volumen seccionado falla, los datos del volumen entero se pierden.
Se necesitan como mnimo 2 y un mximo de 32 discos dinmicos para crear
un volumen seccionado. Sin embargo un volumen seccionado no se puede
extender ni espejar.
Agregado de discos
icoai
Dcinro
Cuando se instalan discos nuevos en una computadora que trabaja con Windows
2000 Server, este los reconoce como discos bsicos.
HotPlug:
Norma que permite
agregar y quitar
discos con la
computadora
encendida.

Para aadir un disco nuevo, hay que instalar el disco fsico nuevo y desde el
Administrador de discos ejecutar la opcin Volver a examinar los discos en el
men Accin, este paso debe ejecutarse cada vez que se agreguen o quiten
discos de la computadora. Si se instalan discos que cumplen con la norma
HotPlug, no es necesario reiniciar el sistema, solo deber hacerse cuando se
instalen disco que no cumplen esta norma.
Instalacin de un disco eliminado de otra computadora
El proceso de eliminar un disco de una computadora con Windows 2000 Server
e instalarlo en otra, tambin, con Windows 2000 Server es diferente a instalar un
disco nuevo. Despus de eliminar el disco de la computadora original e instalarlo
en la computa o a d s i o h y q e u i i a e Administrador de discos para aadirlo
dr etn, a u tlzr l
correctamente. Para realizar esta operacin, hay que realizar clic con el botn
derecho del Mouse sobre el disco y elegir la opcion Agregar discos externos,
donde se ejecutar un asistente indicando los pasos a seguir.
Instalacin de varios discos eliminados de otra computadora

El proceso de instalacin de varios discos de otra computadora es similar a la
operacin anterior de un solo disco. Para instalar varios discos heredados de
otra computadora con Windows 2000 Server se deber ejecuta e Administrador
rl
de discos para especificar los discos del grupo que se desean aadir.
Actividad
Cuntos volumenes de disco dinamicos se pueden

utilizar como mximo para crear un volumen
seccionado?
Si se instalan discos que no cumplan la norma

HotPlug, es necesario reiniciar Windows 2000
Server?
190
Cuando se mueve un disco dinmico de una computadora a otra, se pueden

utilizar todos los volmenes de ese disco. Sin embargo si el volumen de disco a
instalar esta compuesto por mas de un disco fsico y no se traspasan todos los
d s o , e Administrador de discos no mostrar el volumen traspasado.
ics l
oa
Nt
Se recomienda siempre
r a i a u ac p ad
elzr n oi e
sgrdd d ls dts
euia e o ao
d ld s oaa t a i a
e ic
c u l z r.

Se puede actualizar un disco de almacenamiento bsico a almacenamiento
dinmico sin perdida de datos. Cuando se realiza la actualizacin, cualquier
particin existente en el disco se convierte en volumen simple.
Cualquier disco que se actualice debe contener al menos 1 Megabyte de espacio
no asignado (sin particionar) para que la actualizacin se realice correctamente.
Antes de actualizar un disco, hay que cerrar todos los programas que se encuentre
ejecutando desde la ubicacin a actualizar.
oa
Nt
La reconversin de un
disco dinmico a bsico,
g n r r l p r i at t l
eea a edd oa
d ls dts
e o ao.
Actualizacin de un disco de almacenamiento bsico a almacenamiento dinmico:
Organizacin Bsica del Disco
Organizacin Dinmica del Disco
Particin del sistema
Volumen simple (no se puede extender)
Particin de inicio
Volumen simple (no se puede extender)
Particin primaria
Volumen simple
Particin extendida
Volumen simple para cada unidad lgica

y cualquier espacio restante sin asignar.
Unidad lgica
Volumen simple
Conjunto de volmenes
Volumen distribuido
Conjunto de bandas
Volumen seccionado
Conjunto de espejos
Volumen espejado
Conjunto de bandas con paridad
Volumen RAID-5
Clase prctica 12
191
Clase prctica 12
Mediante la realizacin de esta prctica usted ser capaz de administrar los discos de almacenamiento
de datos e implementar sistemas de almacenamiento masivo como ser distintos tipos de RAID de discos
en Windows 2000 Server, as como realizar tareas de ampliacin y reduccin del tamao de las unidades
de almacenamiento y algunas tareas de mantenimiento.
Administrar Discos en Windows 2000 Server

En el servidor 1 (MGP-SRV01):
Ejercicio 1:
Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionando
simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de
sesin.
Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER
Una vez en el escritorio se proceder de la siguiente manera:
Icono Mis sitios de red (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Conexiones de red y de acceso
telefnico
Icono Conexin de rea local (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea
local
Protocolo Internet (TCP/IP) (doble clic) despliega la ventana de Propiedades de
Protocolo Internet (TCP/IP)
Marcar la opcin Usar la siguiente direccin IP:
Establecer la siguiente configuracin (dejar el resto de las opciones en blanco):
Botn Aceptar (clic) Guardar configuracin y salir
Botn Aceptar (clic) Activar la nueva configuracin y salir
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la
X que se encuentra en el ngulo superior derecho de la ventana.)
Una vez en el escritorio se proceder de la siguiente manera para verificar la nueva
configuracin:
Men Inicio (clic)
Ejecutar (clic)
Introducir cmd (sin las comillas) (presionar la tecla ENTER) Abrir una consola
de DOS
En la linea de comandos introducir lo siguiente:
Ipconfig (presionar la tecla ENER) Mostar la configuracin actual
del protocolo IP (si la informacin mostrada coincide con la ingresada
en los items anteriores, los cambios habrn sido actualizados
correctamente)
Exit (presionar la tecla ENTER) cerrar la consola de DOS
Ejercicio 2:
Una vez en el escritorio se proceder de la siguiente manera para convertir la unidad C al
192
sistema de archivos NTFS:

Men Inicio (clic)
Ejecutar (clic)
de DOS
Convert c: /fs:ntfs (presionar la tecla ENTER)
Responder de manera afirmativa a la pregunta de si se desea convertir la unidad la
proxima vez que se reinicie la maquina.
Exit (presionar la tecla ENTER) Cerrar la consola de DOS
Para reiniciar el equipo se proceder de la siguiente manera:
Men Inicio (clic)
Apagar (clic) despliega la ventana de seleccin de apagado
Seleccionar la opcin Reiniciar y presionar la tecla ENTER Reiniciar (al reiniciar
se proceder a iniciar el proceso de conversin del sistema de archivos que no
poda realizarse ya que Windows 2000 estaba utilizando archivos y estos no podan
ser modificados)
sesin.
Una vez en el escritorio se proceder de la siguiente manera para verificar el cambio de
sistema de archivos:
Icono Mi PC (doble clic)
Disco local (C:) (clic con el botn derecho del Mouse)
Propiedades (clic)
Verificar en la solapa General que en Sistema de archivos debe decir NTFS.
Cerrar la ventana de propiedades de disco local (c:)
Cerrar la ventana de Mi PC
Ejercicio 3:
Men Inicio (clic)
Programas (clic)
Herramientas Administrativas (clic)
Administracin de equipos (clic) Ejecuta el Administrador de equipos de Windows
2000
Administracin de discos (clic) Acceder al complemento de Administracin de
discos
En el panel de la derecha hacer clic sobre el Disco 0 y desplegar el men contextual (clic
con el botn derecho del Mouse)
Actualizar a Disco dinmico (clic) Convertir a disco dinmico
Botn Aceptar (clic)
Marcar las 2 opciones disponibles (Disco 0 y Disco 1) Indica que se desean
convertir los 2 discos.
Botn Aceptar (clic)
Botn Actualizar (clic) Comenzar el proceso de actualizacin
Responder de manera afirmativa a la pregunta de si esta seguro de que desea
realizar la actualizacin.
Responder de manera afirmativa a la pregunta de si se desea continuar con la
operacin
Botn Aceptar (clic) Reiniciar el equipo para completar el proceso.
Clase prctica 12
sesin.
Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER(en
caso de que vuelva a pedir reiniciar, responder de manera afirmativa para que los cambios se
tomen por completo)
Men Inicio (clic)
Programas (clic)
Administracin de equipos (clic) Ejecuta el Administrador de equipos de Windows
2000
discos
o
Del panel de la derecha seleccionar el volumen C: y desplegar el men

contextual (clic con el botn derecho del Mouse)
Agregar Espejo (clic) Agregar un espejo de la unidad C
Seleccionar la opcin Disco 1 y hacer clic en el botn Agregar espejo Crear el
espejo en el segundo disco
Hacer clic en el botn Aceptar comienza el proceso de replicacin del volumen
(se recomienda no reiniciar el equipo hasta que el proceso est completado al 100%)
Para crear un nuevo volumen se proceder de la siguiente manera:
Desplegar el men contextual sobre la zona de espacio No asignado del disco 0
Crear volumen (clic) Iniciar el Asistente para crear volmenes
Botn Siguiente (clic)
Volumen simple (clic) Indica que se desea crear un volumen simple
Introducir 500 en Tamao para el disco seleccionado define el tamao del
volumen en 500 MB
Seleccionar X: de la lista desplegable Asignar una letra de unidad signa la
letra de unidad X al volumen.
Establecer la siguiente configuracin en la ventana Formatear volumen:
Formatear este volumen como sigue:
Sistema de archivos a utilizar: NTFS
Tamao de la unidad de asignacin: Predeterminado
Etiqueta de volumen: Privado
Botn Finalizar (clic) Comenzar proceso de creacin del volumen
Desplegar el men contextual sobre el nuevo volumen creado (X:)
Extender volumen (clic) ejecutar Asistente para extender volmenes
Establecer 500 en Para todos los discos y hacer clic en el botn Siguiente
Botn Finalizar (clic) Comienza el proceso de extensin del volumen (el tamao
final del mismo ser de 1000 MB)
Desplegar el men contextual sobre el nuevo volumen creado (X:)
Cambiar letra y ruta de acceso a la unidad (clic)
Botn Quitar (clic) Quitar letra de unidad
Responder de manera afirmativa a la pregunta de si esta seguro que desea quitar la
letra de la unidad
Desplegar el men contextual sobre el nuevo volumen creado (Antes X:)
Cambiar letra y ruta de acceso a la unidad (clic)
Botn Agregar (clic) Indica que se desea agregar una nueva letra
Montar en esta carpeta NTFS (clic) Redireccionar una carpeta para que apunte
al volumen
Botn Examinar (clic)
193
194
Botn Nueva carpeta (clic) Crear una nueva carpeta

Introducir Privado (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER
Botn Aceptar (clic)
Botn Examinar (clic) Realizar los cambios
Verificar mediante Mi PC la existencia de la nueva carpeta Privado en la unidad C:
y observar que su icono es diferente al de las dems capetas.
En el servidor 2 (MGP-SRV02)
Ejercicio 1:
sesin.
Icono Mis sitios de red (clic con el boton derecho del Mouse)
Propiedades (clic) despliega la ventana de Conexiones de red y de acceso
telefnico
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea
local
Botn Aceptar (clic) Activar la nueva configuracion y salir
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la
X que se encuentra en el angulo superior derecho de la ventana.)
Una vez en el escritorio se proceder de la siguiente manera para verificar la nueva
configuracin:
Men Inicio (clic)
Ejecutar (clic)
de DOS
Ipconfig (presionar la tecla ENER) Mostar la configuracin actual
del protocolo IP (si la informacin mostrada coincide con la ingresada
en los items anteriores, los cambios habrn sido actualizados
correctamente)
Ejercicio 2:
Una vez en el escritorio se proceder de la siguiente manera para convertir la unidad C al
sistema de archivos NTFS:
Men Inicio (clic)
Clase prctica 12
Ejecutar (clic)
de DOS
Convert c: /fs:ntfs (presionar la tecla ENTER)
Responder de manera afirmativa a la pregunta de si se desea convertir la unidad la
proxima vez que se reinicie la maquina.
Exit (presionar la tecla ENTER) Cerrar la consola de DOS
Para reiniciar el equipo se proceder de la siguiente manera:
Men Inicio (clic)
Apagar (clic) despliega la ventana de seleccin de apagado
Seleccionar la opcin Reiniciar y presionar la tecla ENTER Reiniciar (al reiniciar
se procedera a iniciar el proceso de conversin del sistema de archivos que no
podia realizarse ya que Windows 2000 estaba utilizando archivos y estos no podian
ser modificados)
sesin.
Una vez en el escritorio se proceder de la siguiente manera para verificar el cambio de
sistema de archivos:
Disco local (C:) (clic con el botn derecho del Mouse)
Propiedades (clic)
Verificar en la solapa General que en Sistema de archivos debe decir NTFS.
Cerrar la ventana de propiedades de disco local (c:)
Ejercicio 3:
Men Inicio (clic)
Programas (clic)
Administracin de equipos (clic) Ejecuta el Administrador de equipos de
Windows 2000
discos
Para crear una nueva particin se proceder de la siguiente manera:
Crear particin (clic) Iniciar el Asistente para crear particiones
Particin primaria (clic) Indica que se desea crear una particin primaria
Introducir 1000 en Espacio en disco a utilizar define el tamao de la particin
en 1000 MB
Seleccionar S: de la lista desplegable Asignar una letra de unidad signa la
letra de unidad S a la particin
Establecer la siguiente configuracin en la ventana Formatear la particin:
Formatear esta particin con la siguiente configuracin:
195
196

Etiqueta de volumen: Unidad_S
Botn Finalizar (clic) Comenzar proceso de creacin de la particin
Crear particin (clic) Iniciar el Asistente para crear particiones
Particin primaria (clic) Indica que se desea crear una particin primaria
Introducir 1000 en Espacio en disco a utilizar define el tamao de la particin
en 1000 MB
Seleccionar T: de la lista desplegable Asignar una letra de unidad signa la
letra de unidad T a la particin
Establecer la siguiente configuracin en la ventana Formatear la particin:
Formatear esta particin con la siguiente configuracin:
Etiqueta de volumen: Unidad_T
Botn Finalizar (clic) Comenzar proceso de creacin de la particin
Cerrar el administrador de equipos haciendo clic en la X que se encuentra en el angulo
superior derecho de la ventana.
Icono Unidad_S (S:) (doble clic) Ingresar en la unidad S
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Documentos como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Documentos
Carpeta Documentos (doble clic) Ingresar en la carpeta Documentos
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Administracion como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Administracion
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Cobranzas como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Cobranzas
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Gerencia como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Gerencia
Icono Unidad_T (T:) (doble clic) Ingresar en la unidad T
Men Archivo (clic)
Nuevo (clic)
Clase prctica 12
Carpeta (clic)
Introducir Programas como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Programas
Carpeta Programas (doble clic) Ingresar en la carpeta Programas
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Instaladores como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Instaladores
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Sistema como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Sistema
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Backup como nombre de la carpeta y presionar la tecla ENTER
Crear una carpeta llamada Backup
197
198
Administracin de Active Directory en Windows 2000 Server
Clase terica 13
Servicios de directorio en Windows 2000 Server: Active
Directory
INTRODUCCIN
Un servicio de directorios es un servicio de red que identifica todos los recursos
en ella y los vuelve accesibles a los usuarios y a las aplicaciones. Active Directory
(AD) es el servicio de directorio incluido en Windows 2000 Server.
El elemento principa d AD es el directorio, que almacena informacin sobre los
l e
recursos de la red y los servicios que hacen disponible la informacin. Los recursos
almacenados en el directorio, como los datos del usuario, impresoras, servidores,
bases de datos, grupos, computadoras y polticas de sistema, se denominan
objetos.
Active Directory los organiza jerrquicamente en dominios. Un dominio es una
agrupacin lgica de servidores y otros recursos de red bajo un mismo nombre
de dominio.
Cada dominio incluye uno o mas controladores de dominio (domain controllers DC), que son mquinas que almacenan una rplica de un directorio de dominio.
Cada vez que se hace algn cambio en alguno de los controladores, el resto se
actualiza automticamente.
Un objeto es un conjunto de atributos particulares, bajo un nombre especifico,
que representa un recurso individual de la red. Los atributos se refieren a las
caractersticas del objeto. As, los atributos de una cuenta de usuario pueden ser
el nombre y direccin de mail, y los de una impresora, si es lser o si es color.
Algunos objetos funcionan tambin como contenedores: por ejemplo, un dominio.
Las agrupaciones lgicas de objetos son las clases. Una clase puede estar
constituida por todas las cuentas de usuario, las impresoras, los grupos, etc.
Las unidades organizacionales (organizational units - OU) son contenedores
que se usan para reunir objetos de un dominio en grupos administrativos lgicos.
Cada OU puede contener distintos objetos y cada dominio puede tener su propia
lgica de agrupacin en OUs.
La unidad central de la estructura lgica de AD es el dominio. Agrupando los
objetos en uno o ms dominios es posible representar la propia organizacin de
la empresa.
Todos los objetos de la red existen en un dominio, es posible albergar hasta 10
millones de objetos en Active Directory.

Existen diversos componentes dentro de Active Directory los cuales deben ser
comprendidos a fin de que se utilicen adecuadamente. Los Dominios y Unidades
organizacionales son las bases de Active Directory y definirn tanto la estructura
Clase terica 14
199
como la funcionalidad. Asimismo, tambin se establecer la manera en que se

organizan los dominios dentro de los rboles y Bosques segn la intencin de la
poltica administrativa e interoperabilidad entre diversas reas de una organizacin.
icoai
Dcinro
DNS
Dominios
D omain N a m e
S ervice - Servicio de
Nombre de Dominio.
Los dominios representan una particin lgica dentro de Active Directory tanto
para la duplicacin de seguridad como para la de directorio. Los dominios se
relacionan directamente al espacio de nombre DNS y pueden direccionarse a
travs de DNS.
ACL
A ccess C ontrol Li t s
Lista de Control de
Accesos
Todos los objetos de red que existen dentro del dominio, y cada dominio contiene
un grupo completo de sus objetos dentro del Catalogo Global (GC - Global
Catalog).
Tericamente, un directorio de dominio puede contener hasta 10 millones de
objetos.
Los dominios proporcionan un enlace para una seguridad y enfoque para la
duplicacin del GC de Dominio. Todas las polticas y configuraciones de seguridad,
como derechos administrativos, polticas de seguridad y Listas de control de
acceso (A C Ls), no se cruzan de un dominio a otro. El administrador de dominio
tiene derechos absolutos para establecer las polticas nicamente dentro del
mismo dominio.
El uso particular de los dominios se puede derivar de su funcin. Por lo regular,
los dominios se establecen ya sea para
proporcionar un enfoque a la autoridad
administrativa o para vincular la informacin
duplicada como parte del GC de Dominio.
Dominio
rbol
O U
Dominio
Dominio
Bosque
O U
O U
Dominio
rbol
Dominio
Objetos
Tener varios dominios incrementa en gran

medida el exceso de trabajo administrativo
asociado con la administracin de Active
Directory. Como un principio de diseo comn,
siempre debera haber alguien que comience con
el nmero mnimo de dominios y agregue
adicionales nicamente para cumplir con
criterios especficos.
Unidades organizacionales
Dominio
Actividad
Definir dominio:

OU
GC
AD
ACL
DC
Lista de control de accesos

Directorio activo
Unidad organizacional
Controlador de dominio
Catalogo global
Servicios de directorio en Windows 2000 Server: Active Directory
200
Las OU permiten la delegacin granular de tareas administrativas. Esto habilita
la aplicacin inteligente de control administrativo en varios niveles, con lo que se
permite a los usuarios, computadoras y dems objetos ser recopilados dentro
de una OU, y que la administracin de la misma sea delegada al administrador
adecuado.
Enfoque de la poltica
La Poltica de grupo se puede aplicar a los Sitios, Dominios y Unidades
organizacionales, y filtrarse con base en la membresa de grupo. De stos, las
OU son el depsito ms funcional que pueda aceptar la poltica.
Al tiempo que la particin de los Objetos de poltica de grupo se encuentra
realmente en el dominio, las OU tambin, pueden formar parte de las particiones
pr l pltc.
aa a oia
oa
Nt
Una OU puede mantener
otra OU dentro suyo,
et s db aqels
so e ee u a
OU son simples
almacenes de objetos en
AD. Podra hacerse un
p r l l s oc nl s
aaeim o a
crea d
apts e
almacenamiento de
acio e u dso
rhvs n n ic,
donde una carpeta puede
cnee or crea
otnr ta apt
(ucrea y et
sbapt) sa
cnee or
otnr ta
subcarpeta.
Las estructuras OU debern ser provechosas y tener un significado. Debido a

que la estructura de directorio queda expuesta a los usuarios, se debern evitar
las OU arbitrarias. En otras palabras, no se debe crear una estructura slo por la
estructura misma.
Asimismo, habr que recordar que la estructura OU dentro de un dominio es
independiente de cualquier otro dominio. P r l t n o cada dominio puede
o o at,
implementar su propia jerarqua OU.
Mientras no exista una restriccin inherente a fondo sobre las OU dentro de un
dominio, existirn algunas normas generales:
Las estructuras OU poco profundas se desempean mejor que las profundas.
No debern existir ms de 10 niveles de OU.
La aplicacin de una poltica degradar a fondo las estructuras OU.
Al considerar las estructuras OU, tambin se debe tomar en cuenta que el
propietario de una OU tiene total autoridad sobre ella y puede restringir a la
aplicacin de la poltica desde un depsito principa. A e tablecer la estructura
l l s
OU bsica, hay que considerar quin va a administrarla OU, as como tambin
quin podr visualizarla.
Estructuras OU
Las OUs dentro de Active Directory sirven para dos fines bsicos:
1) Como particiones para delegacin administrativa.
2) Como depsitos para la aplicacin de la poltica de seguridad.
Clase terica 13
201
La creacin de unidades organizacionales por cualquier otra razn fuera de las expuestas en E t u t r s
srcua
O U d b r s r j s i i a a
ee e utfcd.
tnin
Aec
Las Unidades organizacionales no debern establecerse nicamente para reflejar
la estructura de una compaa, ya que las OU no son pasivas por naturaleza.
Windows 2000 las analiza en cuanto a la poltica y permisos, con lo que se
produce la sobrecarga del procesador.A mayor profundidad de la estructura
OU, mayor lmite de rendimiento. Ya que Active Directory no permite de manera
natural la creacin de depsitos, trata de utilizar las OUs para este fin y en
algunos casos esto puede ser lo ms adecuado.
Existen varias posibilidades para la creacin de las OU, las cuales no infringen
lsrga dlfn
a els e i:
Para reflejar la estructura organizacional como departamento: En la mayora de
los casos, los departamentos (en el caso de una Empresa o Compaa) son de
hecho el primer nivel de la delegacin administrativa.
Funcin de negocios: En ocasiones, una organizacin de acuerdo con su funcin
de negocios se desempear por Grupos, por lo que pueden justificar las OUs
creadas por esta razn.
Basadas en objeto: Las OU representan grupos de objetos similares como
Usuarios, Computadoras, Impresoras, Routers, etc. Una vez ms dependiendo
de su estructura de directorio principal, esto puede no ser adecuado ya que el
nivel ms bajo de asignacin de poltica y delegacin puede ser la OU divisional.
Basadas en proyecto: Las OU temporales para organizar datos de proyecto
relacionados, personal, etc. Las OU ofrecen un mecanismo excelente para
recolectar objetos para administracin y poltica. Con frecuencia, los proyectos
tienen requerimientos especiales que necesitan dirigirse a travs de polticas
especficas y procedimientos administrativos.
Basadas en administracin: En ciertos momentos, ser necesario basar las
OUs en las necesidades administrativas. No obstante, esto deber estar bien
justificado ya que las OU estn expuestas a los usuarios.
Actividad
Definir OU:
En OU se recomienda
M sd 1 N v l s (
e 0 iee
Mnsd 1 uiae (
eo e 0 ndds
)
)
202
Estructura logica
Estructura fsica
Dominio
Buscar
Dominio
OU 1
OU1
Computadora 1
OU2
PC 1
Usuarios
Usuario 1
Impresora 1
PC 1
Usuario 1
Usuario 2
OU 2
Usuarios
Usuario 2
Impresoras
Impresora 1
icoai
Dcinro
La cuestin de si se deben utilizar Dominios o Unidades Organizacionales no

siempre es directa.
IT
(Information
Technologies
Tecnologas de la
Informacin ) Termino
utilizado para
denominar al rea de
informtica
(sistemas) en una
empresa.

Seguridad: El requerimiento para mantener las polticas de seguridad separadas
ser con frecuencia un factor decisivo en la creacin de un dominio. Este
requerimiento puede existir cuando se cuenta con unidades empresariales
autnomas con una estructura I d s r b i a
T itiud.
Duplicacin: Otra circunstancia comn y con frecuencia vlida para un ambiente
de dominios mltiples es controlar el enfoque de duplicacin basado en la regin
geogrfica. Mientras que los sitios proporcionan un mecanismo para realizar
una duplicacin eficiente, las condiciones de red pueden afectar la duplicacin
sin necesidad de datos a travs de los enlaces de red.
Migracin: En una infraestructura Windows NT ser necesario establecer desde
el principio un mapa de uno a uno entre los dominios Windows NT y Windows
2000.

Para reflejar la estructura organizacional: De ser posible, hay que evitar la
creacin de dominios basados en divisiones, departamentos o grupos. Un diseo
adecuado deber poder resistir a las reorganizaciones de la compaa sin
requerir la reestructura de su jerarqua de dominio.
Para reflejar la funcin de negocios: (tambin denominada polticas): La
reorganizacin de negocios es muy frecuente dentro de las compaas hoy en
d a Los dominios se basan en silos polticos que ofrecen muy pocos beneficios
.
Clase terica 13
203
funcionales.
Para controlar la administracin: Las OU actan como particiones para la
delegacin administrativa. El uso frecuente de OU, proporcionar el enfoque de
la administracin de recursos.
Para reemplazar los dominios de recurso Windows NT 4.0: En la mayora de los

casos, se pueden reemplazar los dominios de recursos Windows NT 4.0, uno
por uno con OU. Una vez que un dominio de recurso ha sido migrado a Windows
2000, es mas simple convertirlo en una OU.
Para enfocar la poltica administrativa: Las particiones de la delegacin poltica
y administrativa con frecuencia son sinnimos pero no debern definirse desde
un principio en el proceso de planeacin. El mtodo ms fcil de aplicacin de
poltica es mediante una OU, pero una OU creada estrictamente para la poltica
puede ser confusa.
Para reflejar la estructura organizacional: En la medida en que soporten la
administracin, las OU debern proporcionar algunos detalles como la estructura
organizacional de la compaa.

Para crear una estructura arbitraria: Las OU no debern utilizarse como grupos
de usuarios, y no debern crearse como contenedores de una estructura
apartada.
Por ejemplo: Una OU etiquetada como Gerencia General la cual contiene
varias OU menores denominadas para cada sub-gerencias debera ser
cuestionable a menos de que la delegacin de poltica o administrativa fuera
aplicada a la OU denominada Gerencia General.
RBOLES Y BOSQUES
Active Directory utiliza rboles y bosques para proporcionar enlaces lgicos y
formaciones que definirn la manera en la que se va a comunicar la extensin
de los dominios. Al igual que los dominios y unidades organizacionales, estos
Actividad
Defina 2 razones para crear dominios.
Defina 2 razones para crear OU.
204
componentes proporcionan una funcionalidad especfica y se establecen para

cumplir los requerimientos especficos.
oa
Nt
Un rbol tambin puede
consistir en un dominio
i o W indows 2000. Sin
nc
embargo, puede crear un
espacio de nombre ms
largo uniendo dominios
mltiples en una
etutr jrruc.
srcua eqia
rboles
Un rbol es una recopilacin jerrquica de los dominios ordenados en un espacio
de nombre contiguo.
Los dominios en un rbol se conjuntan de manera clara a travs de dos salidas:
Relaciones verdaderas.
Relaciones transitivas Kerberos.
icoai
Dcinro
Kerberos:
Kerberos es un
protocolo de
autenticacin de
redes de
computadoras que
permite a dos hosts
en una red insegura
demostrar su
identidad
mutuamente de
manera segura.
Una relacin transitiva Kerberos significa simplemente que el Dominio A c n

ofa
en el Dominio B y que el Dominio B confa en el Dominio C, despus el Dominio
A confa en el Dominio C. Por lo tanto, un dominio que une un rbol tiene de
inmediato relaciones verdaderas establecidas con cada dominio en el rbol. Estas
relaciones verdaderas hacen que todos los objetos que se encuentran en todos
los dominios del rbol estn disponibles para los dems dominios del mismo.
Todos los dominios dentro de un rbol nico comparten un espacio de nombre
comn y una estructura de denominacin jerrquica. Siguiendo con los estndares
DNS, el nombre del dominio de un dominio menor es el nombre relativo del dominio
menor que se adjunt al nombre del dominio mayor.
Todos los dominios que se encuentran dentro de un rbol nico comparten un
esquema comn, el cual contiene definiciones formales de todos los tipos de
objetos que se pueden almacenar en una implementacin de Active Directory.
Adems, todos los dominios que se encuentran dentro de un rbol nico
comparten un catlogo global comn, el cual es un depsito central de informacin
para los objetos que se encuentran en un rbol o bosque.
N eit u lmt epcfc d poudddpr u bl pr a iulqelsdmno,lsblstee

o xse n ie seio e rfnia aa n ro, eo l ga u o oiis o roe inn
el procesamiento asociado y las estructuras a fondo afectarn el rendimiento.
tnin
Aec
BOSQUES
Un bosque es una agrupacin de uno o ms rboles, los cuales participarn en
un sistema de comunicaciones comn.
Un bosque proporciona los vnculos para muchas de las funciones que existen
dentro de Active Directory como la seguridad, esquemas y el catlogo global.
Dentro de un bosque, existe un esquema de duplicacin nico, el cual es
controlado a travs de un servidor de esquema maestro en un dominio de raz.
Las confianzas Kerberos nunca son transitivas a travs de los bosques, los
cuales sern adecuados para las relaciones de confianza, donde tambin la
confianza real es limitada.
Clase terica 13
205
Bosque raz
de dominio
Bosque
Configuracin y esquema
Catalogo global
rbol
raz de
dominio
Escuela2.proet
rbol
Administradores globales y
administradores de esquema
Cob.escuela2.proet
Admin.escuela.proet
SITIOS
Un sitio es una o ms subredes IP bien conectadas. Los sitios consisten
nicamente en objetos de servidor y en objetos de configuracin que se utilizan
para la duplicacin.
No existe una regla general para determinar el enfoque correcto de los sitios,
sino a travs del entendimiento sobre la manera en que A t v D r c o y u i i a l
cie ietr tlz a
informacin del sitio para que se pueda tomar una decisin sobre cmo
implementarlos.
icoai
Dcinro
K C C:
(Knowledge
Consistency Checker
Verificador de
consistencia), es un
componente de
Windows 2000 que
automticamente
genera y mantiene
las topologas lgicas
de replicacin entre
sitios.
Active Directory utiliza los sitios en las siguientes cuatro maneras:

Cuando un cliente solicita una conexin a un controlador de dominio (por
ejemplo para conexin), el sitio habilita al cliente para conectarse a un DC
dentro del mismo sitio siempre que sea posible. Esto reduce la latencia y
conserva el ancho de banda de red.
Los sitios definen la topologa de duplicacin para los controladores de dominio
que forman parte de ese sitio. El Verificador de consistencia de conocimiento
( C C) tambin utiliza la informacin contenida dentro del sitio para agregarla
K
de manera automtica a servidores adicionales a la topologa de duplicacin.
Los mensajes de duplicacin entre los DC en un sitio no estn comprimidos,
por lo que utilizan menos ciclos CPU en los DC. Los mensajes de duplicacin
entre DC en diferentes sitios estn comprimidos, de manera que utilizan
menos ancho de banda de red.
Actividad
Definir Bosque:
Definir rbol:
206
icoai
Dcinro
La duplicacin entre los DC en un sitio se origina por la llegada de

actualizaciones, reduccin de la latencia de duplicacin dentro de un sitio. La
duplicacin entre los DC en diferentes sitios se realiza en un programa,
conservando el ancho de banda de red. La compresin en estos casos puede
ser tan grande como de 10 a 1.
Autenticacin:
Proceso por el cual el
usuario se identifica
de forma unvoca en
un servidor o host
local o de red, sin la
posibilidad de
rechazo.
Estructura fsica
Estructura logica
Replicacin
Sitio 1
10.0.0.10
Replicacin
Sitio 1
Sitio 2
10.0.1.1
10.0.1.2
Inter-Sitio
Inter-Sitio
Escuela.proet
Sitio 2
Escuela.proet
Los sitios no estn vinculados de ninguna manera al espacio de nombre de Active

Directory. El nombre de un objeto de directorio no refleja el sitio o sitios en los
que se almacena el objeto. Un sitio puede contener DC desde diversos dominios
y los DC de un dominio pueden representar varios sitios.
UBICACIN DEL CONTROLADOR DE DOMINIO (DC)

Cuando un usuario se conecta, la estacin de trabajo (host) tratar de ubicar un
controlador de dominio en su sitio local. Cuando no estn disponibles los
controladores de dominio en el sitio, la estacin de trabajo utilizar otro controlador
de dominio en la red.
La proximidad de los controladores de dominio para los clientes en la red tendr
un impacto evidente durante la autenticacin.
Al planear la ubicacin del controlador de dominio para los dominios, hay que
tomar en cuenta tener por lo menos un controlador de dominio por sitio. Esta
teora se basa en un modelo consulta del 99% y actualizacin de 1%. Esto
significa que el 99% del trfico de red Active Directory estar relacionado con las
consultas de usuarios, administradores e informacin de solicitud de aplicaciones
sobre otros objetos en la red y autenticacin. Las actualizaciones al directorio,
las cuales utilizan el trfico de duplicacin de directorio, se presentarn con menor
frecuencia.
Clase terica 13
207
Al colocar un controlador de dominio en cada sitio, todos los usuarios tendrn

una computadora local que puede dar servicio a las solicitudes de consulta sin
requerir trfico sobre un enlace lento. Se puede configurar los controladores de
dominio en sitios ms pequeos a fin de recibir las actualizaciones de duplicacin
de directorio nicamente en horas fuera de trabajo, a fin de optimizar el flujo de
tio
rfc.
Es necesario considerar las siguientes normas para colocar los controladores
de dominio Windows 2000 en una red con Active Directory:
oa
Nt
Es muy comn que la
delimitacin lgica de un
s t o( uc m e z y
ii s oino
fnl,sacnret
ia) e ogune
con el de la red LAN
donde se encuentra
i s a a o Ya q e e s t o
ntld.
u l ii
no es mas que una
segmentacin lgica
iaiai ete
mgnra nr
esquemas de replicacin
d Active Directory.
e
Un controlador de dominio debe poder responder a las solicitudes del cliente

a tiempo.
El mejor rendimiento de consultas se presenta cuando se coloca un
controlador de dominio en un sitio pequeo con un servidor de catlogo global,
permitiendo que el servidor llene por completo las consultas sobre los objetos
en todos los dominios de la red.
Los servidores de Catlogo global son controladores de dominio que tambin
mantienen informacin que se utiliza con frecuencia desde otros dominios. Esta
funcin puede parecer trivial, pero cada usuario que se conecta es procesado
por un servidor de Catlogo global para la pertenencia de Grupo universal.
Es necesario considerar las siguientes normas para colocar los servidores de
Catlogo global:
Un servidor de Catlogo global debe tener la capacidad de mantener todos
los objetos desde todos los dominios en el bosque.
Un servidor de Catlogo global debe poder responder a las consultas del
cliente y a las solicitudes de autenticacin de manera oportuna.
La disponibilidad es la clave para ubicar los controladores de dominio y servidores
de catlogo global. Mientras se puede ubicar el servidor de catlogo global en la
red (se da servicio a varios sitios), por lo menos un controlador de dominio deber
colocarse en cada ubicacin de sitio. El nmero de servidores de Catlogo global
tambin tendr un impacto en la cantidad de informacin duplicada a travs del
drcoi.
ietro
Actividad
Qu tasa de compresin puede tener una duplicacin

enre DCS:
Definir catalogo global:
208

El servidor de Catlogo global mantiene una duplicacin parcial de slo lectura
de la informacin que se accesa con frecuencia desde cada dominio en el
bosque. Tambin mantiene una duplicacin de lectura/escritura de esta
informacin para su propio dominio.
Lo que es ms importante, cada autenticacin de objeto pa a Active Directory
r
debe referirse al servidor de catlogo global. Esto significa que cada usuario que
se conecta, y cada computadora que se inicia, deber hacer referencia al catlogo
global para su pertenencia en grupos universales.
Esto no significa necesariamente que cada Controlador de dominio deber
etiquetarse como un catlogo global. Mientras que es verdad que el catlogo
global desempea un rol importante en el proceso de autenticacin, tambin es
verdad que mucho menos trfico y procesamiento de red se relaciona con el
catlogo global ms que con un Controlador de dominio.
Esto significa que menos servidores de catlogo global pueden servir a ms
cine.
lets
Es realmente el controlador de dominio de autenticacin (no el cliente) el que
contacta a un catlogo global para una pertenencia de Grupo universal.
Como lineamiento general, cada sitio debe tener por lo menos un servidor de
Catlogo global. Sin embargo, si se conectan bien varios sitios mediante enlaces
de red confiables, los servidores de Catlogo global pueden dar servicio a ms
d u sto
e n ii.
Clase prctica 13
209
Clase prctica 13
Mediante la realizacin de esta prctica usted ser capaz de comprender el funcionamiento de un
servicio de Directorios, como as tambin todos los elementos que conforman su estructura lgica y
fsica. Permitiendo de esta manera entender la funcin crtica que representa un servicio de Directorios
en una red.
Instalacin y configuracin de Active Directory
Ejercicio 1:
simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.
Una vez en el escritorio se proceder de la siguiente manera para promover al servidor a
controlador de dominio:
Men Inicio (clic)

Ejecutar (clic)
Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar el asistente de instalacin de Active Directory.
Controlador de dominio para un nuevo dominio (clic) Establece que se desea crear
un nuevo dominio y que la el equipo ser el primer controlador del dominio
Crear un nuevo rbol de dominios (clic) crear el dominio como un dominio independiente
de cualquier arbol existente
Crear un nuevo bosque de rboles de dominios (clic) Crear un arbol completamente
independiente de los dems
Colocar megapack.com.ar (sin las comillas) en el cuadro de textos Nombre DNS
completo del nuevo dominio:
establecer el nombre DNS del dominio a
megapack.com.ar
Colocar MEGAPACK (sin las comillas) en el cuadro de textos Nombre NetBIOS del
dominio: Establecer el nombre NetBIOS a MEGAPACK
Verificar que la configuracin sea como la siguiente:
Ubicacin de la base de datos: C:\WINNT\NTDS
Ubicacin del registro: C:\WINNT\NTDS
Verificar que la configuracin sea como la siguiente:
Ubicacin de la carpeta: C:\WINNT\SYSVOL
Botn Aceptar (clic) Continuar luego de la ventana de informacin de que no se
ha detectado el servidor DNS
Si, instalar y configurar DNS en este equipo (recomendado) (clic) Especifica que se
desea instalar el servidor DNS
Permisos compatibles con servidores pre-Windows 2000 (clic) Establece que se
dispondr de soporte para versiones anteriores a Windows 2000
210

Establecer la siguiente configuracin en la ventana Contrasea de administrador del
modo de restauracin de servicios de directorio:
Contrasea: MgP393pDC

Botn Siguiente (clic) Cerrar la ventana de resumen y comenzar el proceso de
instalacin.
Colocar el cd de Windows 2000 cuando sea requerido y hacer clic en el botn Aceptar
Instalar el servidor DNS requerido para Active Directory.
Botn Finalizar (clic) Finaliza el proceso
Botn Reiniciar Ahora (clic) Reiniciar el equipo para realizar los cambios
Verificar la diferencia en el tiempo que tarda en levantar los servicios una vez instalado
Active Directory
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
Herramientas administrativas (clic)
Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin
de usuarios y equipos de Active Directory
Megapack.com.ar (doble clic)
Megapack.com.ar (clic con el botn derecho del Mouse)
Nuevo (clic)
Unidad organizativa (clic) Crear una nueva Unidad Organizativa
Colocar Servidores (sin las comillas) en el cuadro de texto Nombre:
Botn Aceptar (clic) Crea la nueva unidad organizativa Servidores
Megapack.com.ar (clic con el botn derecho del Mouse)
Nuevo (clic)
Unidad organizativa (clic) Crear una nueva Unidad Organizativa
Colocar Ventas (sin las comillas) en el cuadro de texto Nombre:
Botn Aceptar (clic) Crea la nueva unidad organizativa Ventas
Domain Controllers (doble clic)
MGP-SRV01 (clic con el botn derecho del Mouse)
M over (clic) Mover el equipo a otra unidad organizativa
Servidores (clic)
Botn Aceptar (clic) Copiar el equipo a la unidad organizativa Servidores (se
deber hacer lo mismo una vez que se agregue a MGP-SRV02)
Ventas (clic con el botn derecho del mouse)
Nuevo (clic)
Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa
ventas
Establecer la siguiente configuracin para el grupo:
Clase prctica 13
Nombre de grupo: Administracion

Nombre de grupo (anterior a Windows 2000): Administracion
Ambito del grupo: Global
Tipo de grupo: Seguridad
Botn Aceptar (clic) crea el grupo administracin como un grupo global y de
seguridad
Nuevo (clic)
ventas
Nombre de grupo: Cobranzas
Nombre de grupo (anterior a Windows 2000): Cobranzas
Botn Aceptar (clic) crea el grupo Cobranzas como un grupo global y de seguridad
Nuevo (clic)
ventas
Nombre de grupo: Gerencia
Nombre de grupo (anterior a Windows 2000): Gerencia
Botn Aceptar (clic) crea el grupo Gerencia como un grupo global y de seguridad
Users (clic con el botn derecho del mouse)
Nuevo (clic)
Usuario (clic) Crear un nuevo usuario
Establecer la siguiente configuracin para el usuario:
Nombre: Administracin
Apellidos: 8 a 14
Nombre de inicio de sesin: adm8a14
Dejar la contrasea en blanco
Marcar las siguientes opciones:
El usuario debe cambiar la contrasea en el siguiente inicio de
sesin
Botn Finalizar (clic) Finaliza el proceso de creacin del usuario
Administracin 8 a 14 (doble clic) despliega la ventana de Propiedades de
Administracin 8 a 14
Solapa Miembro de (clic) Acceder a la configuracin de grupos a los que pertenece
el usuario
Botn Agregar (clic) Desplegar la ventana de seleccin de grupos disponibles
Item Administracin (doble clic) Selecciona el grupo Administracin
Botn Aceptar (clic) Agregar el usuario al grupo seleccionado
Solapa Cuenta (clic) Acceder a las propiedades de la cuenta
Botn Horas de inicio de sesin (clic) Establecer en que horario le est permitido
iniciar sesin al usuario
Establecer el horario de inicio de sesin permitido de 8 a 14 de lunes a viernes y
colocando como inicio de sesin denegado al resto de los horarios. Una vez finalizado
hacer clic en el botn Aceptar Establece el horario de inicio de sesin.
Botn Aceptar (clic) cerrar la ventana de propiedades y actualizar los cambios
211
212

Nuevo (clic)
Nombre: Administracin2
Apellidos: 14 a 20
Nombre de inicio de sesin: adm14a20
sesin
Administracin2 14 a 20 (doble clic) despliega la ventana de Propiedades de
Administracin2 14 a 20
el usuario
Item Administracin (doble clic) Selecciona el grupo Administracin
Nuevo (clic)
Nombre: Cobranzas
Apellidos: 8 a 14
Nombre de inicio de sesin: cob8a14
sesin
Cobranzas 8 a 14 (doble clic) despliega la ventana de Propiedades de Cobranzas 8 a
14
el usuario
Item Cobranzas (doble clic) Selecciona el grupo Administracin
Establecer el horario de inicio de sesin permitido de 8 a 14 de lunes a viernes y colocando
como inicio de sesin denegado al resto de los horarios. Una vez finalizado hacer clic en
Clase prctica 13
el botn Aceptar Establece el horario de inicio de sesin.

Nuevo (clic)
Nombre: Cobranzas2
Apellidos: 14 a 20
Nombre de inicio de sesin: cob14a20
El usuario debe cambiar la contrasea en el siguiente inicio de sesin
Cobranzas2 14 a 20 (doble clic) despliega la ventana de Propiedades de Cobranzas2
14 a 20
el usuario
Item Cobranzas (doble clic) Selecciona el grupo Administracin
Nuevo (clic)
Nombre: Gerencia
Apellidos: 11 a 19
Nombre de inicio de sesin: ger11a19
Gerencia 11 a 19 (doble clic) despliega la ventana de Propiedades de Cobranzas 11 a
19
el usuario
Item Gerencia (doble clic) Selecciona el grupo Administracin
213
214

Users (clic)
Administracin 8 a 14 (clic con el botn derecho del Mouse)
Copiar (clic) Utilizar al usuario seleccionado como plantilla para crear uno nuevo y
de esa manera no tener que especificar todos los parmetros cada vez
Nombre: Nicolas
Apellidos: Reali
Nombre de inicio de sesin: nicore
sesin (verificar que ya se encuentre marcada)
Nombre: Santiago
Apellidos: Martinez
Nombre de inicio de sesin: santy
Nombre: Veronica
Apellidos: Sanchez
Nombre de inicio de sesin: verosan
Administracin2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: Eduardo
Apellidos: Cabaas
Nombre de inicio de sesin: educab
Clase prctica 13

Nombre: David Federico
Apellidos: Muro
Nombre de inicio de sesin: murdav
Nombre: Roberto
Apellidos: Otero
Nombre de inicio de sesin: oterob
Cobranzas 8 a 14 (clic con el botn derecho del Mouse)
Nombre: Lucas Edmundo
Apellidos: Girardengo
Nombre de inicio de sesin: girluc
Nombre: Sergio Damin
Apellidos: Duarte
Nombre de inicio de sesin: duaser
215
216

El usuario debe cambiar la contrasea en el siguiente inicio
esa manera no tener que especificar todos los parmetros cada vez
Nombre: Gisela
Apellidos: Sullivan
Nombre de inicio de sesin: sulgis
Cobranzas2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: Emmanuel Nicols
Apellidos: Ibarra
Nombre de inicio de sesin: ibaemm
Nombre: Leonardo
Apellidos: Leon
Nombre de inicio de sesin: leoleo
Nombre: Emiliano Gastn
Apellidos: Pierresteguy
Nombre de inicio de sesin: pieemi
de
de
de
de
de
de
de
de
Clase prctica 13

(verificar que ya se encuentre marcada)
Gerencia 11 a 19 (clic con el botn derecho del Mouse)
Copiar (clic) Utilizar al usuario seleccionado como plantilla para crear uno nuevo y de
Nombre: Alejandra
Apellidos: Gallo
Nombre de inicio de sesin: galale
Nombre: Maria Graciela
Apellidos: Llanos
Nombre de inicio de sesin: llamar
Nombre: Nicols Hernan
Apellidos: Sturm
Nombre de inicio de sesin: sturmic
Cerrar la consola Usuarios y equipos de Active Directory (hacer clic el icono en forma de
X que se encuentra en la esquina superior derecha de la
217
218
En el Servidor 2 (MGP-SRV02)
Ejercicio 1:
Propiedades (clic) despliega la ventana de Conexiones de red y de acceso telefnico
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local
Servidor DNS preferido: 172.16.1.1
Botn Avanzada (clic) despliega la ventana de configuracin avanzada
Solapa DNS (clic) Acceder a la configuracin avanzada del cliente DNS
Desmarcar la opcin Anexar sufijos primarios del sufijo DNS principal (haciendo un clic
en la casilla de verificacin)
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X
que se encuentra en el ngulo superior derecho de la ventana.)
Una vez en el escritorio se proceder de la siguiente manera para promover al servidor
a controlador de dominio:
Men Inicio (clic)
Ejecutar (clic)
Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar el asistente de instalacin de Active Directory.
Controlador de dominio adicional para un dominio existente (clic)
Establecer la siguiente configuracin en la ventana Credenciales de red:
Nombre de usuario: Administrador
Dominio: megapack
Botn Siguiente (clic) Establece cuales son las credenciales que se utilizarn
para agregar el nuevo controlador al dominio
Introducir megapack.com.ar (sin las comillas) en el cuadro de texto Nombre de
dominio Indica a que dominio se desea agregar el nuevo controlador
Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la base
de datos y el registro de Active Directory (C:\WINNT\NTDS)
Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la
carpeta SYSVOL (C:\WINNT\SYSVOL)
Establecer la siguiente configuracin para la Contrasea del Modo de restauracin de
servicios de directorio:
Clase prctica 13

Botn Siguiente (clic) comienza el proceso de replicacin
Botn Finalizar (clic)
Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo A
l
reiniciar los cambios tendrn efecto
Una vez el equipo reinicie, verificar que estn instaladas las herramientas de sistema
correspondientes y el estado de la base de datos de Active Directory (usuarios, unidades
organizativas, etc.)
219
220
Clase terica 14
CONSOLAS ADMINISTRATIVAS MICROSOFT (MMC)
MMC es un marco de consola comn para la administracin de aplicaciones.
Estas consolas pueden ser ejecutadas en Windows 2000, NT 4.0, Me, 98 y 95.
En s misma, MMC, no proporciona la capacidad de administracin, pero
proporciona un entorno comn donde ejecutar los complementos, estos son
quienes proporcionan la capacidad administrativa a MMC sobre un objeto en
pa t c l r.
riua
oa
Nt
Las consolas de administracin permiten realizar las siguientes tareas:
No todos los
complementos estn
dsoilspr l
ipnbe aa a
administracin remotas,
de forma que W indows
2000 indica mediante
cuadros de dialogo
cuando se puede utilizar
el complemento para
administracin remota
Ejecutar en ella, los distintos complementos administrativos, produciendo

un ahorro en el trabajo del administrador del sistema.
Centralizar la administracin de la mayora de los complementos existentes
en el sistema.
Utilizar complementos para la administracin remota.
Generar consolas personalizadas conteniendo todo o parte de los
complementos de administracin, esto es importante a la hora de delegar
operaciones administrativas a otros usuarios.
La MMC versin 1.1 (pre-Windows 2000) solo soporta 1 complemento, mientras que la versin MMC 1.2
(Windows 2000) soporta varios complementos simultneamente.
tnin
Aec
Clase terica 14
221
Las consolas de administracin se guardan en archivos con extensin .msc.

Cada archivo de consola se representa como una ventana secundaria en la
interfaz MMC. Un archivo de la consola MMC contiene el rbol de consola, que
visualiza la organizacin jerrquica de varios complementos contenidos en el
a c i o Todos los parmetros para los complementos contenidos en la consola
rhv.
se guardan y se restauran cuando se abre el archivo, incluso si el archivo de la
consola se abre en una computadora distinta o desde un host de la red.
Complementos
Cada MMC consta de un grupo de herramientas menores denominadas
complementos. Los complementos son aplicaciones diseadas para interactuar
con MMC. Un complemento representa una unidad de funcionalidad administrativa,
un complemento es la unidad ms pequea de una extensin de consola, un
complemento extiende la consola MMC aadiendo y habilitando capacidades y
funcionalidades de administracin. Existen dos tipos de complementos:
Independientes: Los complementos independientes se utilizan para realizar
tareas administrativas de Windows 2000, cada uno de ellos proporciona
una funcin o un conjunto de funciones.
Extensiones: Estos proporcionan funcionalidad administrativa adicional a
otro complemento ya que estas se encuentran diseadas para funcionar
con uno o mas complementos independientes.
Opciones de MMC
Las opciones de consola determinan cmo opera una consola MMC, utilizando
estas opciones se pueden crear consolas MMC para otros administradores y
que estos puedan utilizarlas para realizar tareas especificas. El modo consola
determina la funcionalidad de la MMC para la persona que se encuentre utilizando
una MMC guardada. Existen 2 modos de consola disponibles:
Modo Autor: Cuando se guarda una MMC en modo autor, se permite a toda
su funcionalidad, lo que incluye modificarla.
Modo Usuario: Si es necesario distribuir una consola MMC a otros
administradores, se debe guardar la MMC en modo usuario, ya que de esta
manera los usuarios no pueden agregar o eliminar complementos de la
MMC o guardarla.
Actividad
Definir MMC:
Definir complemento:
222
C U E N TAS DE USUARIO EN WINDOWS 2000
oa
Nt
E W indows 2000 existen
n
cetspedfnds
una r-eiia,
uiiaa pr raia
tlzds aa elzr
tra amnsrtvso
aes diitaia
acdralsrcro d
cee
o euss e
l rd
a e.
oa
Nt
La cantidad de recursos
d rdalsqeua
e e
o u n
cuenta de usuario puede
acceder, e t s e p e
sa imr
l m t d al sp i i e i s
iiaa o rvlgo
amnsrtvsqeet
diitaio u sa
posea.
icoai
Dcinro
Una cuenta de usuario proporciona a la persona que la utiliza la posibilidad de

iniciar sesin en un dominio para acceder a los recursos de la red o iniciar la
sesin en una computadora para acceder a los recursos de esta ( o a e )
lcls.

Una cuenta de usuario de dominio permite iniciar una sesin en una red
administrada en forma de dominio y acceder a los recursos que esta disponga.
El usuario proporciona su contrasea y su UID de usuario al inicio de una sesin,
de esta manera Windows 2000 procede a la autenticacin del usuario mediante
la generacin de un token de acceso que contiene informacin del usuario y
parmetros de seguridad.
tnin
Aec
L s token d a c s i e t f c n a u u u r o e W indows 2000, sobre los cuales

o
e ceo dniia
n sai n
u u u r o i t n a t n r a c s a l s r c r o , e t k n p s e u T T L iulal
n sai net ee ceo o euss l oe oe n
ga a
drc d l ss.
uain e a ein
Se crea una cuenta de usuario de dominio en una unidad organizacional (OU), en

una rplica del almacn de Active Directory (AD), sobre un controlador de dominio
(DC). El DC replica la informacin de la cuenta del nuevo usuario a todos los DC
del dominio. Luego de que Windows 2000 replica la informacin de la cuenta del
nuevo usuario, todos los DC en el rbol de dominio autentican al usuario durante
el proceso de inicio de sesin.
UID
U ser I Dentification Identificacin de
usuario. El UID
generalmente se
corresponde con el
nombre que el
usuario utiliza para
ingresar a un
sistema.
tnin
Aec
Es posible que la replicacin de la informacin de una cuenta de usuario a todos

los DC del dominio tarde varios minutos, esto podra generar que una cuenta
recin creada no pueda ser utilizada para iniciar sesin inmediatamente. La
replicacin de informacin de AD entre los DC se realiza automticamente cada 5
minutos.
TTL
Time To Li - Tiempo
ve
de Vida. Hace
referencia al tiempo
en que un parmetro
es valido para ser
utilizado, en este
caso el Token.
Las cuentas de usuario locales, como su nombre lo indica, solo permite ingresar
a los recursos de la computadora donde se cre la cuenta Al crear esta cuenta
.
Windows 2000 solo la guarda en su base de datos de seguridad local, y no es
replicada a los demas DC de la red.

Automticamente al instalar Windows 2000, se crean una serie de cuentas
predefinidas del sistema en modo local. Cuando se insta a AD en una
l
computadora con Windows 2000, estas cuentas predefinidas extienden su
Clase terica 14
223
utilizacin al dominio.
Dos cuentas predefinidas que se crean automticamente por el sistema, entre
otras, son las de Administrador e Invitado.
oa
Nt
Las cuentas predefinidas
no pueden ser borradas,
pero si renombradas. La
cuenta de administrador
puede ser renombrada
pr n dsaiiaa
eo o ehbltd,
mientras que las dems
cetspeeiia s
una rdfnds i
pueden ser
dsaiiaa.
ehbltds
ADMINISTRADOR
Esta cuenta es utilizada para administrar todos los recursos de la computadora
con Windows 2000 as como los recursos de red de dominio si se encuentra
is
n talado A D, Es recomendable que el administrador del dominio no utilice la
cuenta de administrador, sino que cree una cuenta con menos privilegios para
realizar tareas administrativas de bajo nivel y utilice la cuenta administrador para
realizar tareas administrativas especificas de alto nivel.
Es posible iniciar sesin en Windows 2000 con una cuenta de bajos privilegios y
al momento de realizar una tarea que requiera altos privilegios, utilizar un comando
para ejecutar especficamente la tarea como administrador desde el men ejecuta
r,
utilizando la siguiente sintaxis de consola:
Sintaxis genrica
runas /user: nombre_de_dominio \ cuenta_de_administrador aplicacin
Sintaxis ejemplo
runas /user:proet\Administrador mmc
Es posible que el sistema requiera la contrasea de Administrador para ejecuta

r
un comando o programa, en este caso Windows 2000 la solicitar
automticamente.
Invitado
La cuenta predefinida Invitado, solo se aconseja utilizar para dar a los usuarios
ocasionales la posibilidad de iniciar sesin en el dominio o computadora local y
utilizar solo los recursos permitidos para esta cuenta. El administrador puede
otorgar o quitar privilegios de acceso a la cuenta Invitado.
tnin
Aec
L cet Ivtd s ecetadsaiiaaprdfco s e ncsras uiiain e amnsrdrdb

a una niao e nunr ehbltd o eet, i s eeai u tlzc, l diitao ee
hbltra
aiial
Actividad
Qu comando se utiliza para ejecutar una

aplicacin como administrador?
Diferencia entre cuenta de usuario local y de

dominio:
224
CONSIDERACIONES PA R A LAS CUENTAS DE USUARIO

Existen recomendaciones a la hora de administrar cuentas de usuario en Windows
2000, que permiten organizar y planificar su posterior administracin, estas normas
son:
Convenios de denominacin para las cuentas de usuario
Requisitos para la generacin y uso de contraseas
Opciones de cuenta
Estos establecen la forma en que los usuarios se identifican en el dominio, ls
o
convenios ms comunes son:
Nombre de inicio de sesin

nico
Los nombres de inicio de sesin para

usuarios de dominio deben ser nicos
en Active Directory.
20 caracteres mximo
Los nombres de inicio de sesin pueden

contener un mximo de 20 caracteres.
Caracteres no vlidos
No se distingue maysculas de
minsculas
Los caracteres l / \ [ ] : ; = , + * ? < >

no son validos en un nombre de inicio
de sesin.
Windows 2000 no distingue entre
maysculas y minsculas para un
nombre de usuario.
Para proteger el acceso al dominio o a una computadora, cada cuenta de usuario debe
poseer una contrasea, es imprescindible seguir los lineamientos siguientes:
La cuenta de administrador siempre debe poseer contrasea, para evitar la utilizacin
no permitida de la cuenta.
Se deber determinar si el administrador o el usuario controla la contrasea de inicio
de sesin.
No utilizar contraseas dbiles, como ser nombre de amigos, familiares o fechas.
Utilizar contraseas fuertes, con un mnimo de 8 caracteres y utilizacin de
combinaciones alfanumricas (salvo por los mencionados en la tabla anterior, l s c a e
o uls
tampoco se permiten en contraseas).
Clase terica 14
225
Computadoras desde las cuales se puede iniciar sesin, se debe determinar

de que computadoras del dominio los usuarios pueden iniciar sesin. Por
razones de seguridad es necesario que los usuarios nicamente puedan
iniciar sesin en el dominio desde sus propios hosts y no desde cualquiera,
ya que de esta manera se evita que usuarios accedan a informacin
almacenada en otros hosts.
tnin
Aec
Si se deshabilita el protocolo NetBIOS sobre TCP/IP,W indows no puede determinar desde que computadora
u u u r o i i i s s , y q e W indows restringe el inicio de sesin basndose en el nombre NetBIOS de un
n sai nca ein a u
hs.
ot
C O M P L E M E N TO USUARIOS Y EQUIPOS DE ACTIVE DIRECTO RY

Este complemento de Windows 2000 permite realizar cualquier tarea
administrativa sobre los usuarios locales o del dominio. A dems posee una
serie de objetos predefinidos que se crean automticamente al instalar Windows
2000 y otros que pueden crearse mediante este complemento, estos son:
Descripcin de objetos de Active Directory
Icono
Carpeta
Dominio
Computadoras
Descipcin
El nodo de raz del el anap-in representa el dominio que se
est administrando.
Contiene todas las computadoras Windows NT y Windows
2000 que unen un dominio. Esto incluye computadoras
que se ejecutan con Windows NT versiones 3.51 y 4.0
adems de alas que ejecutan Windows 2000. Si se escala
desde una versin anterior. Active Directory cambia la
cuenta de la mquina a su carpeta. Se pueden mover
estos objetos.
Sistema
Contiene sistemas de Active Directory e informacin de

servicios como RPC. WinSock, y adems informacin.
Usuario
Contiene todos los usuarios en el dominio. En una escala,

cambiarn todos los usuarios del dominio anterior. Al igual
que las computadoras, se pueden mover los objetos del
usuario.
Actividad
Cules son los caracteres prohibidos en una cuenta

de usuario?
Definir convenio de denominacin:
226
Se puede utilizar Active Directory para crear los siguientes objetos

Icono
Objeto
Descipcin
Usuario
Un objeto de usuario es un objeto que tiene seguridad

principal en el directorio. Un usuario puede conectarse
a la red con estas credenciales, y se le otorgan los
permisos para acceder.
Contacto
Un objeto de contacto es una cuenta que no tiene

permisos de seguridad, no se puede conectar a la red
como contacto.
Los contactos se utilizan de manera tpica con el fin de
representar a los usuarios esternos para el e-mail.
Computadora
Un objeto que representa una computadora en la red.

Para estaciones de trabajo y servidores Windows NT,
esta es la cuenta de la mquina.
Unidad organizacional
Las unidades organizacionales se utilizan como

contenedores para organizar de manera lgica objetos
de directorio como: usuarios, grupos y computadoras,
de la misma manera que las carpetas se utilizan para
organizar archivos en el disco duro.
Grupo
Los grupos pueden contener usuarios, computadoras y

dems grupos. Estos simplifican la administracin de
nmeros grandes de objetos.
Carpeta compartida
Una carpeta compartida es compartir una red que se ha

publicado en el directorio.
Impresora compartida
Una impresora compartida es una impresora de red que

se ha publicado en el directorio.
PERFILES DE USUARIO
Un perfil de usuario es una coleccin de carpetas y datos que almacenan
caractersticas del usuario como configuracin del escritorio, configuracin de
aplicaciones y datos personales. Un perfil de usuario, tambin almacena todas
las conexiones de red permitidas al usuario como ser las unidades de red.
Cuando un usuario inicia sesin en Windows 2000 por primera vez,
automticamente este, crea un perfil local para el usuario que luego al cerrar
sesin se guarda hasta que el usuario inicie sesin nuevamente.
Windows 2000 soporta 2 tipos de perfil: mvil y obligatorio.
Perfil Mvil
Un perfil de usuario mvil posee la caracterstica de estar configurado en el
servidor permitiendo de esta manera que el perfil se encuentre disponible al usuario
sin importar desde que host se inicie la sesin. Cuando Windows 2000 detecta
que un usuario con perfil mvil inicia sesin en el dominio, copia el perfil desde el
servidor de red hasta el host donde el usuario inicio la sesin, de esta manera el
Clase terica 14
227
usuario siempre encuentra un entorno coherente (igual) sin importar desde que
host ingrese a la red.
Cuando un usuario con perfil mvil asignado inicia sesin por primera vez en un
host del dominio, Windows 2000 copia todos los archivos del perfil mvil al host,
una vez que el usuario termina sus tareas y cierra sesin, Windows 2000 copia
todos los cambios realizados por el usuario en el host al servidor, d e ta manera
e s
el usuario siempre puede encontrar su entorno de trabajo en las mismas
condiciones.
Si un usuario con un perfil mvil asignado inicia sesin desde un host en el que ya
haba iniciado sesin alguna vez, Windows 2000 compara el perfil que quedo
guardado en ese host la ltima vez que el usuario lo utiliz y solo copia desde el
servidor los archivos que hayan cambiado, de esta manera el perfil mvil solo se
actualiza.
Perfil Obligatorio
oa
Nt
Pr dvle u pri
aa eovr n efl
mvil a un usuario con
pri olgtro bsa
efl biaoi, atr
con que el administrador
v e v am d f c rl
ula oiia a
extensin del archivo
nue mna.a e l
t s r. a
dt n a
c r e ad p r i d
apt e efl e
uuroe e srio
s a i n l e v d r.
Un perfil obligatorio puede definirse como un perfil mvil de solo lectura, ya que
Windows 2000 copia el perfil desde el servidor en el host donde el usuario, con
p r i o l g t r o i i i l s s . La diferencia bsica con el perfil mvil, es que
efl biaoi, nc a ein
cuando el usuario cierra la sesin en el host, los cambios realizados sobre el
perfil no se copian al servidor. De esta manera Windows 2000 siempre presenta
el mismo perfil a un usuario que tiene designado un perfil obligatorio.
Cada usuario posee un archivo denominado ntuser.dat en su carpeta d p r i
e efl
mvil en el servidor, cuando se desea que un usuario posea un perfil obligatorio
se debe cambiar la extensin de ntuser.dat a ntuser.man. A cada usuario que
posea perfil mvil y el administrador renombre el archivo ntuser.dat de su carpeta
de perfil en el servidor a extensin .man, automticamente pasar a tener un
pri olgtro
efl biaoi.
REINICIAR UNA C O N T R A S E A Y DESBLOQUEAR UNA CUENTA DE

USUARIO
Si un usuario no puede iniciar sesin en un dominio o computadora local, es
posible que sea necesario reiniciar la contrasea o desbloquear la cuenta de
usuario. Para realizar estas tareas es necesario iniciar sesin con privilegios
administrativos suficientes, como, por ejemplo, con el usuario Administrador.
Actividad
Definir perfil de usuario:
Diferencias entre perfil Mvil y obligatorio:
228

Si una contrasea de usuario expira antes de haberla modificado o si el usuario
olvido su contrasea es posible que un usuario con privilegios administrativos
altos pueda reestablecerla sin necesidad de conocer la anterior, ya que solamente
se reemplaza por una nueva. Esta tarea se realiza desde el cono que representa
al usuario especfico, con un clic derecho sobre l y seleccionando la opcin
Reestablecer contrasea.
Windows 2000, por una cuestin de seguridad, posee una directiva que bloquea
una cuenta al realizar un nmero especfico (configurable por el administrador)
de intentos errneos de inicio de sesin.Al bloquearse automticamente una
cuenta, Windows enva un mensaje de error. El desbloqueo de la cuenta debe
ser realizado por un usuario que posea los privilegios administrativos suficientes
para la tarea.

Un grupo se define como un contenedor de cuentas de usuario,estos simplifican
la administracin de los usuarios permitiendo asignar permisos y derechos a
grupos de usuarios y no a usuarios individualmente. Por regla un usuario puede
pertenecer a ms de un grupo al mismo tiempo y por ende sumar los privilegios
(permisos y derechos) que los distintos grupos hereden al usuario.
Permiso de usuario
Un permiso brinda al usuario que lo posee,

la capacidad de acceder o no a recursos
especficos y se define el tipo de acceso que
tee.
inn
Ej. Permiso de lectura de un archivo.
Derecho de usuario
Un derecho permite al usuario realizar tareas

vinculadas al sistema.
Ej. Iniciar sesin en Windows 2000.
TIPOS DE GRUPO
El tipo de grupo determina cual es el fin de este, existen 2 tipos de grupos y
ambos estn contenidos en el almacn de Active Directory:
Clase terica 14
229
Grupo de Seguridad: Windows 2000 solo utiliza grupos de seguridad, los cuales
se utilizan para asignar permisos para acceder a los recursos.
oa
Nt
Algunas aplicaciones
p e e u i i a al s
udn tlzr o
grupos de seguridad
como si fueran de
dsrbc yeva
itiuin nir
mensajes a los usuarios
cneio e ets
otnds n so.
Grupo de Distribucin: El caso de estos es diferente ya que no son utilizados por

Windows 2000 para asignar permisos, sino que es utilizado por diferentes
aplicaciones que pueden acceder a los usuarios almacenados en Active Directory,
como por ejemplo programas de correo electrnico. De esta manera se pueden
enviar mensajes a un gran grupo de usuarios al mismo tiempo.
MBITOS DE GRUPO
El mbito permite determinar donde se puede utilizar el grupo en la red, los tres
mbitos de grupo son locales, globales y universales.

Los grupos locales de dominio se utilizan para asignar permisos a los recursos y
poseen las siguientes caractersticas:
Pertenencia abierta. Se pueden aadir miembros desde cualquier dominio.
Acceso a recursos en un dominio. Se puede utilizar un grupo local de
dominio para asignar permisos para acceder solamente a los recursos que
se ubican en el mismo dominio donde se ha creado el grupo local de dominio.
Grupos Globales
Los grupos globales se utilizan frecuentemente para organizar los usuarios que
comparten requisitos de acceso similares a la red, estos poseen las siguientes
caractersticas:
Pertenencia limitada. Se pueden aadir miembros solamente desde el
dominio en el cual se ha creado el grupo global.
Acceso a recursos en cualquier dominio. Se puede asignar un grupo global
para asignar permisos para acceder a los recursos que estn ubicados en
otro dominio con el cual exista una relacin de confianza.
Actividad
Diferencia entre permiso y derecho:
Definir mbito:
230
Grupos Universales
icoai
Dcinro
Modo Mixto
Se denomina de esta
forma a los dominios
donde conviven
controladores de
dominio Windows
2000 2003 Server
con controladores de
dominio NT 4.0.
Modo Nativo
As se denomina a
los dominios donde
conviven solamente
controladores de
dominio que ejecutan
Windows 2000
2003 Server.
Los grupos universales se utilizan para asignar permisos a recursos relacionados

con varios dominios, los grupos de seguridad universales poseen las siguientes
caractersticas:
Pertenencia abierta. Se pueden aadir miembros desde cualquier dominio.
Acceder a recursos en cualquier dominio. Se puede utilizar un grupo
universal para asignar permisos para acceder a recursos que estn situados
en otros dominios del rbol de AD.
Posibilidad de modo Nativo solamente. Los grupos de seguridad
universales no se encuentran disponibles en modo mixto, s l l s d
oo o e
distribucin universal.
El mbito de un grupo determina su pertenencia, esto define que objetos de A D
puede contener un grupo a demas de su visibilidad en el bosque.
Carpeta
Icono
Descipcin
Dominio Local
Dominio
Usuarios, grupos
globales o universales.
Global
rbol
Usuarios o grupos
globales.
Universal
Bosque
Usuarios, grupos
globales o universales.
ADMINISTRACIN DE IMPRESORAS EN WINDOWS 2000 SERVER Y AD.

Windows 2000 Server est diseado para la impresin en red. Utilizando varias
plataformas, las aplicaciones envan los trabajos de impresin a las impresoras
conectadas a un servidor de impresin de Windows 2000 o conectadas a la red
mediante adaptadores de red internos, adaptadores de red externos ( i p s t v s
dsoiio
servidores de impresin) u otro servidor. Utilizando una computadora que est
ejecutando Windows 2000 Server como el servidor de impresin de red, se puede
imprimir desde cualquier sistema operativo soportado que utilicen las
computadoras en red.
PLANIFICACIN DE UN SISTEMA DE IMPRESIN EN RED

Antes de establecer la impresin en red, se desarrolla una estrategia de impresin
en la red pare conocer las necesidades de impresin de los usuarios sin repeticin
Clase terica 14
231
innecesaria de recursos o retrasos en la impresin.

Los siguientes indicadores proporcionan algunas normas pare desarrollar una
estrategia de impresin de red:
Determinar los requisitos de impresin de los usuarios.Se debe determinar el
nmero de usuarios que imprimen y la carga de trabajo de impresin. Por ejemplo,
15 personas en un departamento de facturacin que imprimen facturas
continuamente tendrn una carga de trabajo de impresin mayor y podran requerir
ms impresoras, ms dispositivos de impresin y probablemente ms servidores
de impresin que 15 creadores de software que hacen todo su trabajo
interactivamente.
Determinar los requisitos de impresin de la compaa. Se debe determinar las
necesidades de impresin de la compaa. Esto incluye el nmero y tipos de
dispositivos de impresin requeridos. Adems, se considera el tipo de cantidad
de trabajo que cada dispositivo de impresin va a manipular. No se debe utilizar
un dispositivo de impresin personal pare la impresin en red.
Determinar el nmero de servidores de impresin requeridos. Se debe determinar
el nmero de servidores de impresin que requiere la red pare manipular el
nmero y tipo de impresoras que va a tener la red.
Determinar dnde localizar los dispositivos de impresin. Se debe determinar
dnde se van a localizar los dispositivos de impresin. En una red interconectada
por routers, hay que considerar instalar los servidores de impresin y los
dispositivos de impresin en la misma red que los hosts clientes que los vayan a
uiia Adicionalmente, debera ser fcil pare los usuarios recoger los documentos
tlzr.
impresos.
Con Windows 2000 son posibles varias configuraciones de clientes, servidores
y dispositivos de impresin, dependiendo de si el dispositivo de impresin es
remoto o no.A un dispositivo de impresin remoto se accede mediante un servidor
de impresin.
Un dispositivo de impresin no remoto recibe los datos directamente desde la
computadora. La combinacin de clientes, servidores y dispositivos de impresin
Actividad
Definir modo mixto:
Definir modo nativo:
232
oa
Nt
Crear una impresora
s g i i ai s a a e
infc ntlr l
dispositivo de impresin o
bien directamente en un
servidor de impresin o
b e e l r d yl e os
in n a e, ug e
c n i u ae s f w r d l
ofgr l otae e a
impresora que controla el
dispositivo de impresin en
e srio d ipein
l evdr e mrs.
Hay que ejecutar el
Asistente para agregar
impresoras y pulsar en la
opcin Impresora local. Se
debe dar nombre a la
ipeoa isaa e
mrsr, ntlr l
controlador de la impresora
yepcfcru pet.
seiia n uro
oa
Nt
Conectarse a una impresora
s g i i ac n c a s al
infc oetre a
unidad compartida en la
computadora que cre la
impresora. Para conectarse
a un i p e o a s e e u a
a mrsr, e jct
e Asistente para agregar
l
ipeoa ys plae l
mrsrs e us n a
opcin Impresora de red. Si
e c n r l d rd l
l otoao e a
impresora para la
p a a o m d lc i n ee i t
ltfra e let xse
e e srio d ipein
n l evdr e mrs,
n e ncsras
o s eeai u
instalacin porque
Windows 2000 lo carga
automticamente. Esto
incluye los controladores de
impresin para Windows
95, Windows 98 y todas las
v r i n s d W indows NT.
esoe e
D n sra s cnutr
e o e s, e osla
s s d s ai s a a e
i e ee ntlr l
software de la impresora.
tambin depende de si el dispositivo de impresin est en la red o directamente

conectado a la computadora.
Las cuatro configuraciones de impresin bsicas, son:
Un dispositivo de impresin local no remoto: El dispositivo de impresin est
conectado al puerto paralelo o USB de la computadora que ejecuta la aplicacin.
El controlador de la impresora y la cola de trabajos estn en esa computadora,
que enva los datos de impresin directamente al dispositivo de impresin.
Un pequeo grupo de equipos que comparten un dispositivo de impresin en
red: Cada computadora tiene igual acceso al dispositivo de impresin y no hay
un control central de impresin o de seguridad. Cada computadora tiene su propia
cola de trabajos y no puede ver los documentos en la cola en el dispositivo de
impresin por otras computadoras. Si la impresin se detiene, el mensaje de
error no aparece en todos los clientes.
Una configuracin de red utilizando un servidor central de impresin: Muchos
clientes comparten el acceso al dispositivo de impresin a travs del servidor,
que est conectado localmente al dispositivo de impresin. La cola de trabajos
se encuentra en el servidor y es visible para cada cliente. Cuando un cliente se
conecta a una cola de impresin de red, el host cliente busca nuevos controladores
de impresora en el servidor de impresin y actualiza los controladores de
impresora ms viejos en el cliente.
Varios clientes que comparten un dispositivo de impresin en un dominio
administrado por una computadora que est ejecutando Windows 2000 Server:
El dispositivo de impresin se conecta al servidor a travs de la red, permitiendo
que un servidor de impresin administre varios dispositivos de impresin. Para
crear y compa t r i p e o a , s u i i a e Asistente para agregar impresoras en
ri mrsrs e tlz l
el servidor de impresin. Independientemente de dnde estn localizados los
dispositivos de impresin, el software de la impresora debe estar ubicado en el
servidor de impresin. Si el dispositivo de impresin est directamente conectado,
el asistente lo detecta y entonces intenta configurar el software de la impresora.
Si el dispositivo de impresin est conectado en otra parte de la red, se debe
crear un puerto pare l cuando se configure el software de impresora. Tambin
se puede utilizar el Asistente para agregar impresoras para conectarse a
dispositivos de impresin remotos.
ADMINISTRACIN DE LAS IMPRESORAS DE RED

Se puede acceder a las impresoras para su administracin utilizando la ventana
Impresoras del men Inicio o la funcin Buscar en el complemento Usuarios y
equipos de Active Directory. La ventana Impresoras permite realizar todas las
tareas administrativas; sin embargo, no se pueden realizar algunas tareas desde
el complemento Usuarios y equipos de Active Directory. Por ejemplo, no se puede
utilizar el complemento pare dejar una impresora sin conexin a la red. Para
dejar una impresora sin conexin a la red se debe acceder a la impresora
especfica a travs de la ventana Impresoras.
Clase terica 14
233
Windows 2000 permite controlar el uso de la impresora y la administracin

asignando permisos a travs de la ficha Seguridad del cuadro de dilogo
Propiedades de la impresora. Con el uso de los permisos de la impresora, se
puede controlar quin puede utilizar una impresora. Tambin se pueden asignar
los permisos de la impresora pare controlar quin puede administrar una impresora
y el nivel de administracin, el cual puede incluir la gestin de impresoras y la
gestin de documentos.
Por razones de seguridad podra ser necesario limitar el acceso de usuarios a
c e tas impresoras. Tambin se pueden utilizar los permisos de las impresoras
ir
para delegar responsabilidades para determinadas impresoras a usuarios que
no son administradores.
Windows 2000 proporciona tres niveles de permisos de impresora:
Imprimir
Administracin de documentos
Administrar impresoras
Se pueden permitir o denegar los permisos de la impresora. Como con los
permisos NTFS, los permisos denegados siempre anulan los permisos
permitidos. Por ejemplo, si se selecciona el grupo de sistema Todos y luego se
pulsa el cuadro de comprobacin Denegar, prximo a Administracin de
documentos, nadie puede administrar documentos, incluso si se concede este
permiso a otra cuenta de usuario o grupo. Esto se debe a que todas las cuentas
de usuario son miembros del grupo de sistema Todos.
De manera predeterminada, Windows 2000 asigna los permisos de Imprimir para
cada impresora al grupo de sistema Todos, permitiendo a todos los usuarios
enviar documentos a la impresora. Tambin se pueden asignar los permisos de
impresora a usuarios o grupos. Se puede cambiar los permisos predeterminados
que asigna Windows 2000 a las impresoras.
Un grupo de impresoras es una impresora que est conectada a mltiples
dispositivos de impresin a travs de mltiples puertos de un servidor de
impresin. Los dispositivos de impresin pueden ser dispositivos de impresiones
Actividad
Definir crear impresora:
Definir conectarse a una impresora:
234
locales o de red. Los dispositivos de impresin deberan ser idnticos; sin

embargo, se pueden utilizar dispositivos de impresin que no son idnticos pero
que utilizan el mismo controlador de impresora.
Cuando se crea un grupo de impresoras, los usuarios pueden imprimir
documentos sin tener que averiguar qu dispositivo de impresin est disponible;
la impresora busca un puerto disponible. La agrupacin de impresoras se configura
desde la solapa Puertos del cuadro de dilogo Propiedades de la impresora. Una
vez all, se seleccionan o se crean los puertos que contengan los dispositivos de
impresin que formarn parte del grupo y luego se marca el cuadro de
comprobacin habilitar la cola de la impresora al final de la pgina.
Cuando se instala un grupo de impresoras, los dispositivos de impresin deberan
situarse en la misma rea fsica para que los usuarios puedan localizar fcilmente
sus documentos. Si no se sitan los dispositivos fsicos en la misma rea, el
inconveniente es que los usuarios no sabrn exactamente dnde se han impreso
sus trabajos de impresin.
Un grupo de impresoras tiene las siguientes ventajas:
En una red con un alto volumen de impresin, disminuye el tiempo que esperan
los documentos en el servidor de impresin.
Simplifica la administracin porque se pueden administrar mltiples
dispositivos de impresin desde una sola impresora.
Antes de crear un grupo de impresoras, hay que asegurarse de que se conectan
los dispositivos de impresin al servidor de impresin o a la red.

En Windows 2000, el subsistema de impresin est estrechamente integrado
con los servicios de Active Directory, haciendo posible buscar impresoras en
distintas ubicaciones a travs de un dominio.
Los servicios de Active Directory son una base de datos distribuida compa t d
ria
por los controladores del dominio en la red. La informacin sobre las colas de
impresora, sitios, nombres y direcciones se guarda en el almacn de Active
Directory. E ta informacin se debe enviar mediante servidores de impresin
s
individuales, razn por la que es importante mantener al da la informacin de
impresora contenida en el almacn de Active Directory.
Las caractersticas referidas a la relacin entre los servidores de impresin y los
servicios de Active Directory incluyen lo siguiente:
Cada servidor de impresin es responsable de la publicacin de sus propias
impresoras en el almacn de Active Directory.
El servidor de impresin no tiene afinidad con ningn controlador de dominio
Clase terica 14
235
especfico. Encuentra dinmicamente un controlador de dominio en el dominio

adecuado.
icoai
Dcinro
PrintQueue
Los objetos
printQueue
publicados contienen
un subconjunto de la
informacin
almacenada en el
servidor de impresin
para una impresora.
Cuando se actualiza una impresora en el servidor de impresin, los cambios

se propagan automticamente a travs de los servicios de Active Directory al
almacn de Active Directory.
Las impresoras se publican en el almacn de Active Directory como objetos
printQueue.
De manera predeterminada, la impresin est integrada con los servicios de Active
Directory para trabajar sin intervencin administrativa. Slo es necesario realizar
cambios si el comportamiento predeterminado no es aceptable.
El comportamiento predeterminado incluye lo siguiente:
Cualquier impresora compartida por un servidor de impresin se publica en
los servicios de Active Directory.Todava se requiere el acceso administrativo
a la computadora anfitriona para instalar y compartir una impresora.
El objeto printQueue est situado en el objeto computadora del servidor de
impresin en el almacn de Active Directory. La impresora no aparece debajo
del objeto equipo en el complemento Usuarios y equipos de Active Directory.
En cambio, utilizando el comando Buscar en el complemento Usuarios y
equipos de Active Directory, e r s l
l e u tado visualizar la impresora asociada a
un servidor.
Cuando se produce cualquier cambio en la configuracin de la impresora, se
actualiza el objeto de Active Directory.Toda la informacin de configuracin
se reenva al almacn de Active Directory incluso si parte de ella ha
permanecido sin cambios.
Si un servidor de impresin desaparece de la red, sus impresoras se eliminan
de los servicios de Active Directory.
PUBLICACIN EN AD DE IMPRESORAS EN SERVIDORES NO WINDOWS

2000
Las impresoras que se encuentran en los servidores de impresin ejecutando
Windows NT 4.0 Windows NT 3.51 u otro sistema operativo con soporte para
sistema de directorio, se pueden publicar en los servicios de Active Directory
Actividad
Marcar con x donde corresponda:

La informacin de la cola de impresin se guarda en
e amcnd Atv Drcoy( )
l lae e cie ietr
La informacin de la cola le impresin se guarda en
l ipeoa( )
a mrsr
Definir PrintQueue:
236
utilizando el complemento Usuarios y equipos de Active Directory.
icoai
Dcinro
UNC
Universal Naming
Convention - Norma
universal de
denominacin. El
formato UNC consiste
en el nombre de la
computadora y el
nombre a compartir
para la carpeta
compartida.
Una vez en el complemento, se crea un objeto impresora en una unidad

organizativa (OU), contenedor o nodo de dominio del mismo modo que se crea
un objeto de usuario o de grupo. Alternativamente, se puede usar el script
Pubprn.vbs, que se proporciona en la carpeta System32.
Pubprn.vbs es un archivo de Windows Script Host (WSH) y requiere dos
parmetros:
El primer parmetro es el nombre de la computadora del servidor de
impresin o nombre U N C
(\\<nombre_computadora>\<nombre_unidad_compartida>).
El segundo parmetro es la ruta en el que se quiere publicar la informacin
en el directorio. Se pueden publicar todas las impresoras de un servidor o
especificar impresoras nicas pare que sean publicadas.
Por ejemplo, para publicar una nica impresora compartida en \\Servidor1\MX
que se est ejecutando en Windows 2000 Server para la OU Admin en el dominio
de proet.mx utilizando Pubprn.vbs, se abre una interfaz de comandos y se
escribe:
cscript %systemroot%\system32\pubprn.vbs \\Servidor1\MX
OU=Admin,DC=Proet,DC=mxl
LDAP://
No se puede utilizar este comando pare publicar impresoras que funcionan en

un servidor de impresin de Windows 2000.
Clase prctica 14
237
Clase prctica 14
Mediante la realizacin de esta prctica usted aprender a realizar todas las tareas administrativas
disponibles en el servicio de directorios de Windows 2000, permitiendo de esta manera lograr una
implementacin slida de Active Directory mediante el trabajo con Usuarios, Grupos, OUs.
Tambin publicar servicios de impresin en Active Directoy para hacerlo disponible a los usuarios de una
red.
Administracin de usuarios (Servidor01) y administracin de impresin (servido02)

Ejercicio 1:
Men Inicio (clic)

Programas (clic)
Usuarios y equipos de Active Directory (clic) Ejecutar la consola de administracin
megapack.com.ar (clic con el botn derecho del Mouse)
Propiedades (clic) Desplegar la ventana de propiedades del dominio
Solapa Directiva de grupo (clic)
Default Domain Policy (clic)
Botn Modificar (clic) desplegar la consola de Directiva de grupo para realizar
modificaciones sobre la poltica de dominio predeterminada.
Configuracin de Windows (la rama que se encuentra en Configuracin de equipo)
(doble clic)
Configuracin de Seguridad (doble clic)
Directivas locales (doble clic)
Opciones de seguridad (clic) configurar distintos aspectos referentes a la seguridad
del dominio
Del panel de la derecha opcin Cambiar el nombre de la cuenta del administrador
(doble clic)
Definir esta configuracin de directiva (clic) Especifica que se desea activar la
directiva
Colocar Supervisor (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
Establece Supervisor como nuevo nombre de la cuenta del administrador
Del panel de la derecha opcin No mostrar el ltimo nombre de usuario en la pantalla
de inicio de sesin (doble clic)
directiva
Habilitada (clic)
Botn Aceptar (clic) Especifica que no se desea mostrar el ltimo usuario que
inici sesin (por motivos de seguridad no es conveniente dejar visible el nombre de un
usuario)
Del panel de la derecha opcin Texto del mensaje para los usuarios que
intentan conectarse (doble clic)
238

directiva
Colocar El uso no autorizado de este equipo es una violacin a las normas de seguridad.
Durante el tiempo que dure su sesin en este equipo, todas sus acciones sern registradas.
(sin las comillas) en el cuadro de texto y presionar la tecla ENTER Establece un texto
informativo que ser visualizado cuando un usuario quiera iniciar sesin
Del panel de la derecha opcin Ttulo del mensaje para los usuarios que intentan
conectarse (doble clic)
directiva
Colocar Advertencia de Seguridad (sin las comillas) en el cuadro de texto y presionar
la tecla ENTER Establece un Ttulo informativo que ser visualizado cuando un usuario
quiera iniciar sesin
Cerrar todas las ventanas abiertas
Una vez en el escritorio proceder de la siguiente manera:
Men Inicio (clic)
Apagar (clic)
De la lista desplegable seleccionar la opcin Reiniciar y presionar la tecla ENTER
Reiniciar el equipo para que tengan efecto los cambios
Ejercicio 1:
En este punto se deber verificar lo siguiente:
Al presionar simultneamente las teclas ctrl.+alt+supr aparece una ventana (banner)

con el titulo y el texto que se especific para la directiva de seguridad del dominio
El cuadro de texto Nombre de usuario: aparece en blanco
No es posible iniciar sesin con la cuenta Administrador
A partir de este momento la cuenta del administrador ser Supervisor (sin las comillas)
Men Inicio (clic)
Programas (clic)
Usuarios y equipos de Active Directory (clic) Ejecutar la consola de administracin
megapack.com.ar (doble clic)
Users (clic)
Nombre: Supervision
Apellidos: Administracion
Nombre de inicio de sesin: supadm
Clase prctica 14
239

Users (clic)
Nombre: Supervision
Apellidos: Cobranzas
Nombre de inicio de sesin: supcob
Cerrar la consola de administracin de usuarios y equipos de Active Directory
Men Inicio (clic)
Programas (clic)
Directiva de seguridad del dominio (clic) Carga la consola de administracin de la
directiva de seguridad de dominio
Configuracin de seguridad (doble clic)
Asignacin de derechos de usuario (clic)
Del panel de la derecha hacer doble clic en la opcin Inicio de sesin local
Definir esta configuracin de directiva: (clic) Especifica que se desea configurar la
directiva
Botn Agregar (clic)
Grupo Administradores (doble clic) Seleccionar el grupo Administradores
Usuario Supervisor administracion (supadm@megapack.com.ar) (doble clic) Seleccionar
el usuario supadm
Usuario Supervisor cobranzas (supcob@megapack.com.ar) (doble clic) Seleccionar el
usuario supcob
Botn Aceptar (clic)
Botn Aceptar (clic) Agrega los usuarios y el grupo especificados
Botn Aceptar (clic) Se le permite iniciar sesin localmente a los Administradores,
supadm y supcob
Cerrar la consola de administracin de directiva de seguridad de dominio
Men Inicio (clic)
Programas (clic)
Directiva de seguridad del controlador de dominio (clic) Carga la consola de administracin
de la directiva de seguridad del dominio
240

directiva
Botn Agregar (clic)
el usuario supadm
usuario supcob
Botn Aceptar (clic)
Botn Aceptar (clic)
Cerrar la consola de administracin de directiva de seguridad del controlador de dominio
Men Inicio (clic)
Programas (clic)
Directiva de seguridad local (clic) Carga la consola de administracin de la directiva de
seguridad local
directiva
Botn Agregar (clic)
el usuario supadm
usuario supcob
Botn Aceptar (clic)
Cerrar la consola de administracin de directiva de seguridad local
Men Inicio (clic)
Apagar (clic)
Seleccionar la opcin Cerrar sesin Supervisor de la lista desplegable
Botn Aceptar (clic) Cerrar la sesin de Supervisor
Una vez iniciado el sistema se proceder a iniciar sesin como Supervisor presionando

Disco local (C:) (doble clic)
Men Archivo (clic)
Clase prctica 14
Nuevo (clic)
Carpeta (clic)
Colocar Perfiles (sin las comillas) como nombre de la nueva carpeta y presionar la tecla
ENTER Crear una nueva carpeta llamada Perfiles
Perfiles (clic con el botn derecho del Mouse)
Compartir (clic) Acceder a las opciones de compartir recurso
Compartir esta carpeta (clic)
Botn Aceptar (clic) Crear el nuevo recurso compartido
Perfiles (doble clic)
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Administracion (sin las comillas) como nombre de la nueva carpeta y presionar
la tecla ENTER Crear una nueva carpeta llamada Administracion
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Cobranzas (sin las comillas) como nombre de la nueva carpeta y presionar la
tecla ENTER Crear una nueva carpeta llamada Cobranzas
Cerrar la ventana del explorador (haciendo clic en el icono con forma de X que se
encuentra en la esquina superior derecha de la ventana)
Ejercicio 2:
Para el siguiente ejercicio se supondr que el equipo no dispone de una impresora pero que mas
adelante ser instalada una impresora del tipo EPSON LX-810.
Men Inicio (clic)

Configuracin (clic)
Impresoras (clic) desplegar la carpeta de impresoras
Agregar impresora (doble clic) Ejecutar asistente para agregar impresoras
Impresora local (clic) Especifica que se desea instalar una impresora local
Botn Siguiente (clic) Especifica que se desea utilizar el puerto por defecto (en
este caso LPT1)
Establecer la siguiente configuracin:
Fabricantes: Epson
Impresoras: Epson LX-810
Botn Siguiente (clic) Especifica el fabricante y el modelo de impresora
Colocar Impresora (sin las comillas) como nombre de la impresora
Compartir como: (clic)
Colocar Impresora (sin las comillas) como nombre de la impresora
Botn Siguiente (clic) No se desean colocar ni ubicacin ni comentarios
No (clic)
Botn Siguiente (clic) Especifica que no se desea imprimir una pgina de prueba
241
242
Botn Finalizar (clic) Finaliza el proceso de instalacin de la impresora

Impresora (clic con el botn derecho del Mouse)
Propiedades (clic) Despliega la ventana de propiedades de Impresora
Solapa Avanzadas (clic)
Disponible desde (clic)
Disponible desde: 09:00 a.m. hasta 08:00 p.m.
Iniciar la impresin cuando la ltima pgina haya entrado en la cola (clic)
Solapa Seguridad (clic)
Botn Agregar (clic) Agregar usuario o grupo
Grupo Gerencia (doble clic)
Botn Aceptar (clic) Agregar al grupo Gerencia
Gerencia (MEGAPACK\Gerencia) (clic)
Hacer clic en el casillero Denegar para las siguientes opciones del grupo Gerencia:
Imprimir
Administrar impresoras
Administracin de documentos
Botn Aceptar (clic) Se le niega el permiso de impresin y administracin de documentos
al grupo Gerencia
Cerrar la carpeta Impresoras
Ejercicio 3:
Men Inicio (clic)

Ejecutar (clic)
Colocar mmc (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar la consola de administracin
Men Consola (clic)
Agregar o quitar complemento (clic) Despliega la ventana para agregar o quitar
complementos a la consola
Botn Agregar (clic)
Carpetas compartidas (doble clic) Especifica que se desea agregar el complemento
para administracin de carpetas compartidas
Botn Finalizar (clic) Establece que se desea dejar la configuracin por defecto
(administracin del equipo local y se visualizaran los recursos compartidos, archivos
abiertos y las sesiones)
Botn Cerrar (clic) Cerrar la ventana de agregar complemento
Botn Aceptar (clic)
Carpetas compartidas (locales) (doble clic)
Recursos compartidos (clic) Acceder a la carpeta de recursos compartidos
Recursos compartidos (clic con el botn derecho del mouse)
Nuevo recurso compartido de archivo (clic) Crear nuevo recurso compartido
Carpeta a compartir: S:\Documentos\Administracin
Nombre del recurso: Administracin
Descripcin del recurso: Documentos de Administracin
Personalizar permisos de recurso compartido y carpeta (clic)
Botn Personalizar (clic)
Botn Agregar (clic) Agregar usuario o grupo a los permisos
Grupo Administradores (doble clic)
Clase prctica 14
243
Grupo Administracin (doble clic)

Botn Aceptar (clic) Agregar los grupos Administradores y Administracin a los
permisos
Administracion (MEGAPACK\Administracion) (clic)
Control total (clic en la casilla de verificacin Permitir) Establece que el grupo
Administracin tendr control total sobre el recurso
Administradores (MEGAPACK\Administradores) (clic)
Administradores tendr control total sobre el recurso
Todos (clic)
Botn Quitar (clic) Quitar el grupo Todos de los permisos para dejar acceso solo a los
administradores y al grupo administracin
Botn Aceptar (clic)
Botn Finalizar (clic) Finaliza el proceso de creacin de recurso compartido
Botn Si (clic) Especifica que se desea crear otro recurso compartido
Carpeta a compartir: S:\Documentos\Cobranzas
Nombre del recurso: Cobranzas
Descripcin del recurso: Documentos de Cobranzas
Grupo Cobranzas (doble clic)
Grupo Gerencia (clic)
permisos
Cobranzas (MEGAPACK\Cobranzas) (clic)
Control total (clic en la casilla de verificacin Permitir) Establece que el grupo Cobranzas
tendr control total sobre el recurso
Todos (clic)
Botn Quitar (clic) Quitar el grupo Todos de los permisos para dejar acceso solo a los
administradores y al grupo cobranzas (control total) y al grupo gerencia (solo lectura)
Botn Aceptar (clic)
Carpeta a compartir: S:\Documentos\Gerencia
Nombre del recurso: Gerencia
Descripcin del recurso: Documentos de Gerencia
permisos
Control total (clic en la casilla de verificacin Permitir) Establece que el grupo Gerencia
tendr control total sobre el recurso
244

Todos (clic)
Botn Quitar (clic) Quitar el grupo Todos de los permisos para dejar acceso solo a
los administradores y al grupo administracin
Botn Aceptar (clic)
Carpeta a compartir: S:\Programas\Instaladores
Nombre del recurso: Instaladores
Descripcin del recurso: Instaladores de Soft
Los Administradores tienen control total; otros usuarios tienen acceso slo de lectura
Carpeta a compartir: S:\Programas\Sistema
Nombre del recurso: Sistema
Descripcin del recurso: Programa Administrativo
Grupo Administracin (doble clic)
Grupo Cobranzas (doble clic)
Botn Aceptar (clic) Agregar los grupos Administradores, Administracin, Cobranzas
y Gerencia a los permisos
Administracion (MEGAPACK\Administracion) (clic)
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo Administracin
podr realizar cambios sobre el recurso
Cobranzas (MEGAPACK\Cobranzas) (clic)
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo Cobranzas
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo Gerencia
Todos (clic)
Botn Quitar (clic) Quitar el grupo Todos de los permisos
Botn Aceptar (clic)
Carpeta a compartir: S:\Programas\Backup
Nombre del recurso: Backup
Descripcin del recurso: Backup del Sistema
Los Administradores tienen control total; otros usuarios no tienen acceso (clic)
Botn No (clic) Especifica que no se desean crear mas recursos compartidos
Clase prctica 14
Instaladores (doble clic) acceder a las propiedades del recurso

Permitir (clic)
Establecer el valor en 6 usuarios
Botn Aceptar (clic) La cantidad mxima de conexiones simultaneas ser de 6
Botn Aceptar (clic)
Gerencia (doble clic) acceder a las propiedades del recurso
Solapa Seguridad (clic)
Hacer posible que los permisos heredables de un objeto primario se propaguen a este
objeto (clic) Establece que no se desea que el recurso herede los permisos de la
carpeta principal
Botn Quitar (clic) quita todos los permisos
Botn Avanzadas (clic)
Botn Agregar (clic) Agregar grupo o usuario a los permisos
Grupo Administradores (doble clic) Agrega al grupo Administradores
Establecer la siguiente configuracin (haciendo clic en la casilla de verificacin Permitir):
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Atributos de lectura
Atributos de escritura
Eliminar subcarpetas y archivos
Permisos de lectura
Botn Aceptar (clic) Establece los permisos para el grupo
Botn Agregar (clic) Agregar grupo o usuario a los permisos
Grupo Gerencia (doble clic) Agrega al grupo Gerencia
Establecer la siguiente configuracin (haciendo clic en la casilla de verificacin Permitir):
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Atributos de lectura
Atributos de escritura
Eliminar subcarpetas y archivos
Permisos de lectura
Botn Aceptar (clic) Establece los permisos para el grupo
Botn Aceptar (clic)
Botn Aceptar (clic) Finaliza la configuracin del recurso compartido
Cerrar la consola (hacer clic en el icono con forma de X que se encuentra en la esquina
superior derecha de la ventana)
Botn Si (clic) Especifica que se desea guardar la nueva consola
Colocar Recursos Compartidos en el cuadro de texto Nombre de archivo: y presionar la
tecla ENTER Guardar la consola con el nombre Recursos compartidos
Ejercicio 3:
Presionar simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de

inicio de sesin
Botn Aceptar (clic) Pasar el banner de inicio de sesin
Introducir supadm (sin las comillas) como Nombre de usuario:
Botn Aceptar (clic) Iniciar sesin como el usuario supadm
Botn Aceptar (clic)
Establecer la siguiente configuracin en la ventana Cambiar contrasea:
245
246
Contrasea anterior: (dejar en blanco)

Nueva contrasea: AdM933sUP
Confirmar nueva contrasea: AdM933sUP
Botn Aceptar (clic) Confirma el cambio de contrasea
Botn Aceptar (clic) cerrar dialogo de confirmacin de cambio de contrasea
Presionar simultneamente las teclas Windows (la de la banderita)+F Abrir la interfaz de
busqueda de archivos
Buscar archivos o carpetas con el nombre: *.jpg
Buscar en: Discos duros locales (C:)
Botn Buscar ahora (clic) Comenzar la busqueda de archivos de imagen con extensin
.jpg en la unidad c:
Del panel de la derecha seleccionar el archivo Windows 2000 (clic)
Presionar simultneamente las teclas ctrl.+c Copiar
En la barra de direcciones colocar Mis documentos (sin las comillas) y presionar la tecla
ENTER Ingresar a la carpeta Mis documentos
Panel de la derecha (clic)
Presionar simultneamente las teclas ctrl.+v Pegar el archivo copiado anteriormente
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Supervisin (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER Crear una nueva carpeta llamada supervisin
Cerrar la ventana del explorador
Clic con el botn derecho del mouse en cualquier lugar libre del escritorio
Propiedades (clic) Despliega las propiedades de pantalla
Botn Examinar (clic) Especificar una ruta diferente para localizar imgenes
Botn Mis documentos (clic) Buscar dentro de Mis documentos
Archivo Windows 2000 (doble clic) Seleccionar la imagen
Especificar la siguiente configuracin:
Presentacin de imgenes: Expandir
Solapa Apariencia (clic)
Seleccionar la opcin Da lluvioso de la lista desplegable Combinacin
Botn Aceptar (clic) Activa los cambios a la interfaz grfica
Nuevo (clic)
Acceso directo (clic)
Colocar calc (sin las comillas) en el cuadro de texto Escriba la ubicacin del elemento:
y presionar la tecla ENTER Crear un acceso directo a la calculadora
Icono Conectar a Internet (clic)
Presionar la tecla supr Eliminar el acceso directo
Botn Si (clic) confirma que se desea enviar el acceso directo a la papelera
Icono Internet Explorer (clic)
Men Inicio (clic)
Apagar (clic)
Seleccionar la opcin Cerrar sesin supadm de la lista desplegable
Botn Aceptar (clic) Cerrar la sesin del usuario supadm
inicio de sesin
Clase prctica 14

Introducir Supervisor (sin las comillas) como Nombre de usuario:
Introducir MgP393pDC (sin las comillas) como Contrasea:
Botn Aceptar (clic) Iniciar sesin como el usuario Supervisor
Icono Mi PC (clic con el botn derecho del mouse)
Propiedades (clic) despliega las propiedades de Mi PC
Solapa perfiles de usuario (clic) Acceder a la configuracin de perfiles de usuario
MEGAPACK\supadm (clic) Seleccionar el perfil de supadm
Botn Copiar a (clic)
Copiar perfil en: \\mgp-srv02\perfiles\administracion
Botn Aceptar (clic) Indica en que equipo se almacenar el perfil
Responder de manera afirmativa a la pregunta de si se desea continuar
Botn Aceptar (clic) Cerrar la ventana de propiedades de Mi PC
Men Inicio (clic)
Apagar (clic)
Botn Aceptar (clic) Cerrar la sesin del usuario Supervisor
inicio de sesin
Introducir supcob (sin las comillas) como Nombre de usuario:
Botn Aceptar (clic) Iniciar sesin como el usuario supcob
Botn Aceptar (clic)
Establecer la siguiente configuracin en la ventana Cambiar contrasea:
Contrasea anterior: (dejar en blanco)
Nueva contrasea: CoB546sUP
Confirmar nueva contrasea: CoB546sUP
Botn Aceptar (clic) Confirma el cambio de contrasea
Botn Aceptar (clic) cerrar dialogo de confirmacin de cambio de contrasea
Presionar simultneamente las teclas Windows (la de la banderita)+F Abrir la interfaz
de busqueda de archivos
Buscar archivos o carpetas con el nombre: *.jpg
Buscar en: Discos duros locales (C:)
Botn Buscar ahora (clic)
Comenzar la busqueda de archivos de imagen con
extensin .jpg en la unidad c:
Del panel de la derecha seleccionar el archivo Ola de mar (clic)
Presionar simultneamente las teclas ctrl.+c Copiar
En la barra de direcciones colocar Mis documentos (sin las comillas) y presionar la
tecla ENTER Ingresar a la carpeta Mis documentos
Panel de la derecha (clic)
Presionar simultneamente las teclas ctrl.+v Pegar el archivo copiado anteriormente
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Supervisin (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER Crear una nueva carpeta llamada supervisin
Propiedades (clic) Despliega las propiedades de pantalla
Botn Examinar (clic) Especificar una ruta diferente para localizar imgenes
247
248
Botn Mis documentos (clic) Buscar dentro de Mis documentos

Archivo Ola de mar (doble clic) Seleccionar la imagen
Especificar la siguiente configuracin:
Presentacin de imgenes: Expandir
Solapa Apariencia (clic)
Seleccionar la opcin Rosa de la lista desplegable Combinacin
Botn Aceptar (clic) Activa los cambios a la interfaz grfica
Nuevo (clic)
Acceso directo (clic)
Colocar calc (sin las comillas) en el cuadro de texto Escriba la ubicacin del elemento:
y presionar la tecla ENTER Crear un acceso directo a la calculadora
Icono Conectar a Internet (clic)
Icono Internet Explorer (clic)
Men Inicio (clic)
Apagar (clic)
Seleccionar la opcin Cerrar sesin supcob de la lista desplegable
Botn Aceptar (clic) Cerrar la sesin del usuario supcob
inicio de sesin
Propiedades (clic) despliega las propiedades de Mi PC
Solapa perfiles de usuario (clic) Acceder a la configuracin de perfiles de usuario
MEGAPACK\supcob (clic) Seleccionar el perfil de supadm
Botn Copiar a (clic)
Copiar perfil en: \\mgp-srv02\perfiles\cobranzas
Botn Aceptar (clic) Indica en que equipo se almacenar el perfil
Botn Aceptar (clic) Cerrar la ventana de propiedades de Mi PC
Ejercicio 4:
Men Inicio (clic)

Programas (clic)
Usuarios y equipos de Active Directory (clic) Ejecutar la consola de administracin de
usuarios y equipos de Active Directory
megapack.com.ar (doble clic)
users (clic)
Supervisin Administracin (doble clic) despliega la ventana de propiedades de
Clase prctica 14
Supervisin Administracin
Solapa Perfil (clic)
Establecer la siguiente configuracin y dejar las dems opciones en blanco:
Ruta de acceso al perfil: \\mgp-srv02\perfiles\administracion\
Botn Aceptar (clic) establece de donde debe ser descargado el perfil movil del
usuario
Supervisin Cobranzas (doble clic) despliega la ventana de propiedades de Supervisin
Cobranzas
Solapa Perfil (clic)
Establecer la siguiente configuracin y dejar las dems opciones en blanco:
Ruta de acceso al perfil: \\mgp-srv02\perfiles\cobranzas\
Botn Aceptar (clic) establece de donde debe ser descargado el perfil mvil del
usuario
Cerrar la consola de administracin de usuarios y equipos de Active Directory
En el Workstation (MGP-WST01)
Ejercicio 1:
En este punto se deber verificar lo siguiente:
Al presionar simultneamente las teclas ctrl.+alt+supr aparece una ventana (banner)

con el titulo y el texto que se especific para la directiva de seguridad del dominio
El cuadro de texto Nombre de usuario: aparece en blanco
No es posible iniciar sesin con la cuenta Administrador
A partir de este momento la cuenta del administrador ser Supervisor (sin las comillas)
Men Inicio (clic)
Apagar (clic)
Botn Aceptar (clic) Cerrar la sesin del Supervisor
Ejercicio 2:
Presionar simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de
sesin

Introducir supadm (sin las comillas) como Nombre de usuario:
Introducir AdM933sUP (sin las comillas) como Contrasea:
Botn Aceptar (clic) Iniciar sesin como el usuario supadm
Verificar los colores de Windows, accesos directos, papel tapiz y la carpeta Mis
documentos Estos deben ser idnticos a los que se configuraron en el servidor 1
249
250
(MGP-SRV01)
Men Inicio (clic)

Apagar (clic)
Seleccionar la opcin Cerrar sesin Supadm de la lista desplegable
Ejercicio 2:
Presionar simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio
de sesin

Introducir supcob (sin las comillas) como Nombre de usuario:
Introducir CoB546sUP (sin las comillas) como Contrasea:
Botn Aceptar (clic) Iniciar sesin como el usuario supcob
Verificar los colores de Windows, accesos directos, papel tapiz y la carpeta Mis
documentos Estos deben ser identicos a los que se configuraron en el servidor 1
(MGP-SRV01)
Men Inicio (clic)

Apagar (clic)
Seleccionar la opcin Cerrar sesin Supadm de la lista desplegable
Clase prctica 14
251
252
Servidores DHCP en Windows 2000 Server
Clase terica 15
INTRODUCCIN
El servicio DHCP (Dynamic Host Configuration Protocol - Protocolo
configuracin dinmica de host) en Windows 2000 centraliza y gestiona
asignacin de informacin de configuracin TCP/IP mediante la asignacin
direcciones IP y otras configuraciones automticamente a los host que
configuran como clientes DHCP.
de
la
de
se
La implementacin del servicio DHCP permite reducir drsticamente el trabajo

administrativo sobre grandes redes y eliminar casi por completo el factor de error
al momento de configurar las direcciones IP sobre los host.
D H C P es un estndar de TCP/IP pa a f c l tar la gestin de configuracin de IP.
r aii
DHCP es una extensin del protocolo de inicio BOOTP (Bootstrap Protocol), el
cual se basa en el protocolo de data grama de usuario UDP/IP. BOOTP permite a
un host que est arrancando configurarse a s mismo dinmicamente.
Cada vez que inicia un cliente DHCP, e t l s l c ta la informacin de
se e oii
direccionamiento IP a un servidor DHCP. La informacin enviada puede esta
r
conformada por:
Una direccin IP
Una mascara de subred
Valores opcionales, como la direccin del gateway predeterminado de la red,
la direccin de un servidor DNS o WINS.
tnin
Aec
Cuando un servidor DHCP r c b u a p t c d u a d r c i n I s l c i n l i f r a i n d

e i e n e i i n e n i e c P, e e c o a a n o m c e
direccionamiento IP de un conjunto de direcciones definidas en su base de datos y ofrece la informacin de
direccionamiento IP al cliente DHCP. S e c i n e a e t l o e t d l s r i o este concede la informacin de
i l l e t c p a a f r a e e v d r,
direccionamiento IP al cliente por un periodo de tiempo especfico.
CONFIGURACIN MANUAL Y A U TOMTICA DE TCP/IP

Existen diferentes panoramas a la hora de establecer un mecanismo de
configuracin de hosts en un dominio, este ya sea manual o automtico. En gran
medida la razn principal a la hora de definir un mtodo, es el tamao de la red.
En grandes redes es factible utilizar un medio como DHCP, mientras que en
pequeas redes es recomendable un mtodo de configuracin manual.
Configuracin manual de TCP/IP
Configuracin automtica de TCP/IP
Los usuarios pueden intentar seleccionar una

direccin IP de manera aleatoria antes de obtener
una direccin IP vlida otorgada por el
administrador. El uso de direcciones no vlidas
puede provocar problemas que pueden ser
complicados a la hora de descubrir la fuente.
Los usuarios no necesitan conocer ni obtener la

direccin IP de un administrador para configurar TCP/
IP. El servicio DHCP proporciona toda la informacin
de la configuracin necesaria para trabajar en la red.
Clase terica 15
253
Escribir la direccin IP, la mscara de subred y la

puerta de enlace predeterminada puede llevar
a problemas que varan desde dificultad de
comunicacin, si la puerta de enlace
predeterminada o la mscara de subred son
incorrectas, a problemas asociados a direcciones
IP duplicadas.
La informacin de direccionamiento IP vlida asegura

una correcta configuracin, que elimina gran cantidad
de problemas difciles de rastrear, sobre todos en
grandes redes.
Se genera sobrecarga administrativa en las redes

si se mueven los hosts de una subred a otra. Por
ejemplo, se debe cambiar la direccin IP y la
puerta de enlace para que un host pueda
comunicarse desde una ubicacin nueva.
Poseer servidores DHCP en cada subred elimina la

sobrecarga administrativa asociada a tener que
reconfigurar en forma manual las direcciones IP,
mascara de subred y puertas de enlace cuando se
mueven host de una subred a otra.
oa
Nt
Un nico servidor DHCP
peespra l
ud ootr a
configuracin de hosts
e dfrne sbee.
n ieets urds
El servicio DHCP asigna la informacin de direccionamiento a los hosts clientes,

la asignacin de la informacin de direccionamiento, se denomina leasing
(rs
p tamo) DHCP. El proceso de Ieasing da comienzo cuando alguno de estos
acontecimientos se presenta:
S i i i l z TCP/IP por primera vez en un cliente DHCP.
e ncaia
Un cliente pide una direccin IP especfica y se la deniega, posiblemente debido
a que el servidor DHCP elimino el leasing.
oa
Nt
DHCP utiliza un proceso
d car eaa pr e
e uto tps aa l
otorgamiento de
configuraciones TCP/IP
alshsscine.
o ot lets
Ets eaa sn
sa tps o:
DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPA C K
Un cliente al que previamente se le a otorgado un leasing de IP, pero que deja

la direccin anterior y solicita una nueva (muy comn en los servicios de
ADSL o Internet por cable). Un leasing DHCP puede ser liberado de forma
manual escribiendo la sintaxis: ipconfig /release , desde el modo consola o
en el men ejecuta
r.
DHCPDISCOVER
El primer paso en el proceso de leasing de un DHCP es DHCPDISCOVER.
Para comenzar el proceso de leasing, un host cliente inicializa una versin
limitada de TCP/IP y difunde un mensaje de DHCPDISCOVER (descubrir DHCP),
q e s l c ta la localizacin de un servidor DCHP y de la informacin de IP. Debido
u oii
a que el cliente no sabe la direccin IP del servidor DHCP, e h s c i n e u i i a
l ot let tlz
0.0.0.0 como IP origen y 255.255.255.255 como IP de destino. El mensaje de
Actividad
Definir DHCP:
Definir Leasing:
254
DHCPDISCOVER contiene la direccin M.A.C del cliente y el nombre del host, de

modo que el servidor DHCP pueda identificar al host que inicio la comunicacin.
DHCPOFFER
icoai
Dcinro
Mtrica
Nmero utilizado
para indicar el costo
de una ruta en la
tabla de
enrutamiento IP que
permite seleccionar
la mejor ruta entre
varias posibles al
mismo destino. La
mtrica ms baja se
le otorga a la interfaz
ms rpida, mientras
que la mtrica ms
alta a la interfaz ms
lenta.
El segundo paso en el proceso de leasing de DHCP, es DHCPOFFER. Todos los

servidores DHCP que reciben una peticin de leasing de IP y tengan una
configuracin de host vlida, difunden un mensaje de DHCPOFFER que incluye
la siguiente informacin:
La direccin M.A.C del host cliente.
Una direccin IP ofrecida.
Una mascara de subred.
L mtrica d l i t r a .
a
e a nefz
El tiempo que durar el leasing.
Un identificador de servidor (la direccin IP del servidor ofertante)
El servidor DHCP enva un mensaje de broadcast (difusin) porque el host cliente
aun no tiene una direccin IP, el cliente selecciona la direccin IP de la primera
o e ta que recibe del servidor. El servidor DHCP que emite la direccin IP reserva
fr
la direccin para que no pueda ofrecerse a otro host cliente.
DHCPREQUEST
oa
Nt
Cuando el host cliente
recibe el reconocimiento
de un DHCP,s i i i l z
e ncaia
totalmente TCP/IP y el
cines cnieau
let e osdr n
cliente DHCP ligado. Una
v zr a i a oe t ,e
e elzd so l
hs ciney pee
ot let a ud
uiia l cniuain
tlzr a ofgrc,
TCP/IP recibida del
servidor DHCP,p r
aa
comunicarse en la red.
El tercer paso para el proceso de otorgamiento de un leasing de DHCP comienza

luego del que el host cliente recibe un DCHPOFFER de por lo menos un servidor
D H C P y selecciona una IP.El cliente enva un broadcast DHCPREQUEST a todos
los servidores DHCP en la subred, indicando que ha aceptado una oferta de leasing.
El mensaje DHCPREQUEST incluye el identificador del servidor (direccin IP)
del servidor cuyo leasing es aceptado. El resto de los servidores DHCP detiene
sus DHCPOFFER.
D H C PA C K
El ltimo paso para lograr un proceso de leasing exitoso ocurre cuando el servidor
DHCP que emiti el leasing aceptado, enva un broadcast de reconocimiento
afirmativo al host cliente en forma de un mensaje DHCPACK (D H C P Acknowledge
- reconocimiento DHCP). Este mensaje contiene un leasing vlido para una
direccin IP y otras configuraciones para el host cliente.
Clase terica 15
tnin
Aec
255
Si DHCPREQUEST no tiene xito, el servidor DHCP enva un broadcast de reconocimiento negativo,

DHCPNACK (D H C P N o Acknowledge). Los servidores DHCP solo envan un DHCPNACK si se cumple
agn d lssgine cniins
lua e a iuets odcoe:
E h s c i n ei t n ar a i a u l a i gc ns I atro p r e t y n s e c e t a d s o i l .
l o t l e t n e t e l z r n e s n o u P n e i r, e o s a a o e n u n r i p n b e
L drcinI n e vld,dbd aqee hs cinefemvd aor sbe.
a iec P o s aia eio u l ot let u oio ta urd
Cuando un host cliente recibe un mensaje de DHCPNACK, vuelve a iniciar el proceso de leasing desde el
picpo
rnii.
R E N O VACIN Y LIBERACIN DE UN LEASING DE IP

Todos los clientes DHCP i t n
n e tan renovar su IP cuando ha transcurrido el 50%
del tiempo de leasing establecido. Para renovar su leasing, un cliente DHCP enva
un broadcast de DHCPREQUEST directamente al servidor DCHP del cual obtuvo
el leasing de la IP. Si el servidor DHCP se encuentra disponible, renueva el leasing
y enva al host cliente u mensaje DHCPACK con una renovacin en el tiempo de
leasing y cualquier otro parmetro que se haya actualizado. El cliente realiza su
actualizacin cuando haya recibido este mensaje.
Si un cliente DHCP no puede renovar su leasing con el servidor original que se lo
otorgo al terminarse el 50% del tiempo estipulado de leasing, este enva un
broadcast DHCPREQUEST a cualquier servidor DHCP disponible cuando haya
expirado el 87,5% del tiempo del leasing. Cualquier servidor DHCP puede
responder con un broadcast DHCPACK renovando el leasing o un mensaje
DHCPNACK que fuerza al cliente a realizar un nuevo proceso de leasing desde el
principio con una direccin IP diferente.
En el caso de que el leasing del cliente expire o reciba un broadcast DCHPNACK,
el cliente DHCP debe suspender automticamente el uso de la direccin IP que
posee. De esta manera el cliente comienza nuevamente el proceso de solicitar
un leasing de direccin IP a un servidor DHCP.
Forzar una renovacin de leasing utilizando Ipconfig

Para forzar la renovacin de un leasing se debe utilizar el comando: Ipconfig /
renew desde el modo consola o desde el men ejecuta d e ta manera el host
r, e s
cliente enva un broadcast DHCPREQUEST al servidor DHCP para recibir las
opciones y el tiempo de leasing actualizado. Si el servidor DHCP no se encuentra
Actividad
Enumerar proceso de Leasing
Definir mtrica:
256
disponible, el cliente contina utilizando la configuracin proporcionada por el

servidor DHCP originalmente.
Para forzar la liberacin de un leasing se debe utilizar el comando: Ipconfig /
release desde el modo consola o desde el men ejecuta inmediatamente el
r,
host cliente enva un broadcast DHCPRELEASE al servidor DHCP para que
termine el leasing.
Esto es til cunado un cliente es traspasado a otra subred, donde no necesita el
leasing anterior o el servidor DHCP es otro, automticamente las comunicaciones
TCP/IP con el cliente son terminadas.
INSTALACIN Y CONFIGURACIN DE UN SERVIDOR DHCP

Para implementar un servidor DHCP en una red, se debe ejecutar la instalacin
del servicio DHCP en modo servidor en un equipo que poseer Windows 2000
Server. Este servidor puede ser un DC o un servidor miembro. Es necesario
t
ambin para asegurar el correcto funcionamiento del servidor, e tablecer los
s
paramentos de comunicacin TCP/IP manualmente e ingresar los parmetros
en el servicio DHCP Server para que pueda configurar dinmicamente a los
clientes DHCP que soliciten su servicio.
oa
Nt
Un servidor DHCP no
peesrcined or
ud e let e to
servidor DHCP.
oa
Nt
Un mbito es un rango
d drcinsI qes
e iecoe P u e
encuentran disponibles
p r e l a i g a c e re
aa l esn, l ra l
mbito se debe activar.
Requisitos para el funcionamiento del servicio DHCP en un servidor

Windows 2000
El servicio DHCP en modo servidor, n c s ta de un servidor Windows 2000 con
eei
las siguientes configuraciones:
Una direccin IP esttica, una mascara de subred y una puerta de enlace
predeterminada (solo si es necesaria).
El servicio de DHCP.
Un mbito DHCP activado.
Que el servicio se encuentre autorizado.
oa
Nt
El servidor DHCP debe
etratrzd cnls
sa uoiao o o
s r i i s d Active
evco e
D r c o y.
ietr
Para poder ser un host cliente DHCP es necesario activar la configuracin

automtica por DHCP y correr sobre alguno de los siguientes sistemas operativos:
Windows XP Home y Professional.
Windows 2000 Server y Professional
Clase terica 15
257
W indows NT Server y Wo k tation 3.51 o superior.

rs
W indows Me, 98, 95, 3.11
Linux (configurado para emular la conexin cliente DHCP)
MBITOS DHCP
El mbito de un servidor DHCP se debe crear antes de que este pueda comenzar
a prestar servicios como servidor DHCP en una red, un mbito es un conjunto de
direcciones IP validas disponibles para realizar leasings a los hosts clientes DHCP.
oa
Nt
S e ncsro
i s eeai
rcniua l
eofgrr a
informacin de un
mbito, como la mascara
de subred o un nuevo
rango de direcciones IP,
s r n c s r ob r a e
e eeai orr l
b t yv l e ac e r
mio ovr ra
uno nuevo.
Al crear un mbito de DHCP es necesario conocer las siguientes normas:

Se debe crear al menos un mbito para cada servidor DHCP.
Se deben descartar del mbito las direcciones IP estticas de la red. Por
ejemplo, las utilizadas por los Controladores de Dominio.
Se pueden crear varios mbitos en un servidor DHCP para centralizar la
administracin y asignar direcciones IP especficas para subredes. Solo se
puede asignar un mbito por red o subred especifica.
Los servidores DHCP no comparten informacin de sus mbitos, por lo que
al configurar varios servidores DHCP hay que asegurarse crear mbitos con
rangos IP diferentes para evitar conflictos de direcciones IP duplicadas en la
rd
e.
Una vez creado el mbito, debe activarse para comenzar a brindar servicios de
leasing a los diferentes clientes DHCP.
Una vez creado el mbito DHCP, se pueden se pueden determinar las opciones
para los host clientes del DHCP, existen tres niveles de opciones para el mbito:
Opciones del servidor: las opciones del servidor se encuentran disponibles para
todos los clientes de DHCP, hay que utilizarlas cuando todos los clientes en todas
las subredes requieran la misma informacin de configuracin. Las opciones del
Actividad
Marcar con x segn corresponda:

Un servidor DHCP puede ser cliente de un DHCP
()
Un servidor DHCP no puede ser cliente de un DHCP
()
Definir mbito DHCP:
258
servidor se utilizan siempre a menos que se configuren las opciones del mbito o
d lc i n e
e let.
Opciones del mbito: las opciones de mbito solo se encuentran disponibles para
los clientes que poseen un leasing del mbito especfico. Las opciones de mbito
reemplazan a las opciones del servidor.
Opciones del cliente: las opciones del cliente son exclusivas para los clientes
D H C P que poseen un leasing reservado de direccin IP. Las opciones del cliente
se utilizan siempre antes que las opciones del mbito o del servidor.
Reserva de cliente
Para algunos clientes DHCP es importante que se asigne siempre la misma
direccin IP cuando expira su leasing. Por ejemplo, los host cliente que ejecuten
servicios del servidor TCP/IP pueden confiar en la configuracin de una direccin
IP esttica para ser identificados por otros clientes de la red. Para los host clientes
que ejecutan servicios del servidor se puede configurar el servicio DHCP de
manera que siempre se les asigne la misma direccin IP, esto se denomina reserva
d cine
e let.
tnin
Aec
Cuando se crea una reserva de cliente es muy importante conocer e ingresar bien la M.A.C address del
aatdrd rddlcineqercbr l I rsraa y qes et e mligeaa a mmnod raia
dpao e e e let u eii a P eevd, a u i sa s a nrsd, l oet e elzr
el leasing de la IP reservada el servidor DHCP no reconocer la M.A.C address y le otorgar una IP del mbito.

Es necesario autorizar el servidor DHCP en los servicios de Active Directory antes
de que se pueda otorgar direcciones IP. E ta autorizacin es una medida de
s
seguridad que establece que solo un servidor DHCP autorizado puede realizar
procesos de leasing en una red con Active Directory.
icoai
Dcinro
%systemroot%
COPIA DE SEGURIDAD Y RESTAURACIN DE LA BASE DE DATOS DE DHCP

Este hace referencia
a la unidad en la que
se encuentra
almacenado
Windows.
Es posible editar el registro de Windows 2000 de manera tal que se pueda

especificar el intervalo de tiempo en que se realizan las copias de seguridad de la
base de datos de un servidor DHCP.Tambin es posible forzar una restauracin
de la base de datos modificando ciertos valores del registro.

Windows 2000 realiza automticamente una copia de seguridad de la base de
datos del servidor DHCP cada 1 hora de manera predeterminada, estas copias
de seguridad se almacenan en:
%systemroot%\System32\Dhcp\Backup\Jet\new
Clase terica 15
259
Adicionalmente se puede cambiar el tiempo predeterminado en que se realizan

copias de seguridad de la base de datos del servidor DHCP. Para realizar este
cambio es necesario modificar un valor en una cadena del registro de Windows
2000.
oa
Nt
A r i i i re s r i i
l enca l evco
DHCP, automticamente
s rsar l bs d
e etua a ae e
dtsye vlrd
ao
l ao e
RestoreFlag v e v a 0
ule .
La entrada a modificar es BackupInterval, esta posee un valor numrico el cual

es posible modificar para cambiar el intervalo de tiempo entre backups. La entrada
BackupInterval se encuentra bajo la cadena de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DHCPServer\Parameters
Restauracin de la base de datos DHCP

Windows 2000 realiza de manera predeterminada la restauracin de una base de
datos DHCP corrupta cuando el servicio se reinicia. Es posible, tambin, forzar la
restauracin de la base de datos DHCP modificando la entrada de registro
RestoreFlag colocando su valor en 1 (por defecto se encuentra en 0), de la siguiente
cadena de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
DHCPServer\Parameters
La restauracin manual del archivo que contiene la base de datos del servidor
DHCP tambin puede restaurarse manualmente, para esto es necesario copiar
el contenido de la carpeta %systemroot%\System32\Dhcp\Backup\Jet a l
a
carpeta %systemroot%\System32\Dhcp\Jet y reiniciando el servidor DHCP.
E d r c o i %systemroot%\System32\Dhcp almacena los siguientes archivos,
l ietro
los cuales son de suma importancia para su funcionamiento:
Archivo
Funcin
dhcp.mdb
El archivo de la base de datos del servidor DHCP.
tmp.edb
Archivo temporal que crea el servicio DHCP para la

informacin temporal de la base de datos mientras
que el servicio de DHCP se est ejecutando.
J50.log y j50*.log
Archivos de registro que incluyen todas las

transacciones realizadas con la base de datos. El
servicio de DHCP usa estos archivos para recuperar
los datos en caso de necesidad.
Actividad
Indicar la ruta donde un servidor DHCP almacena la

Base de datos:
Definir autorizacin DHCP:
260
Clase prctica 15
Mediante la realizacin de esta prctica usted aprender a realizar configuraciones TCP/IP dinmicas a
t
ravs del servicio DHCP, mediante la configuracin de mbitos DHCP y reservas.
Instalacin y configuracin del servidor DHCP (en servidor01)

Ejercicio 1:
simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin
(Iniciar como usuario Supervisor).
Men Inicio (clic)

Configuracin (clic)
Panel de control (clic) Abrir panel de control
Icono Agregar o quitar programas (doble clic) Despliega la ventana de Agregar o
quitar programas
Botn Agregar o quitar componentes de Windows (clic) Despliega la ventana de
componentes de Windows
Servicios de Red (doble clic) Despliega la ventana de servicios de red
Marcar la opcin Protocolo de configuracin dinmica de host (DHCP) haciendo clic
en el casillero en blanco Selecciona para instalar el servidor DHCP
Botn Aceptar (clic)
Botn Siguiente (clic) Comenzar proceso de instalacin
Botn Finalizar (clic) Cerrar la ventana
Botn Cerrar (clic) Cerrar Agregar o quitar programas
Cerrar el panel de control (hacer clic en el cono en forma de X en la esquina superior
derecha de la ventana
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
DHCP (clic) Ejecutar el administrador DHCP
Mgp-srv01.megapack.com.ar [172.16.1.1] (doble clic)
Mgp-srv01.megapack.com.ar [172.16.1.1] (clic con el botn derecho del Mouse]
Autorizar (clic) Autorizar el servidor DHCP en Active Directory
Presionar la tecla F5 para actualizar la informacin de pantalla
Mgp-srv01.megapack.com.ar [172.16.1.1] (clic con el botn derecho del Mouse]
Clase prctica 15
mbito Nuevo (clic) ejecutar el Asistente para crear un mbito

Nombre: mbito de MegaPack
Descripcin: Servidor DHCP
Iniciar direccin IP: 172.16.1.1
Fin de direccin IP: 172.16.1.160
Longitud: 16
Iniciar direccin IP:172.16.1.1
Botn Agregar (clic) Excluir a las direcciones IP especificadas de la
asignacin
Iniciar direccin IP:172.16.1.3
Botn Agregar (clic) Excluir a las direcciones IP especificadas de la
asignacin
Establecer la duracin de la concesin como se indica a continuacin:
999 das, 0 horas, 0 minutos Indica que la concesin de las direcciones
tiene un periodo de caducidad de 999 das
Configurar estas opciones ahora (clic)
Establecer la siguiente configuracin de Enrutador:
Botn Agregar (clic) Agregar la puerta de enlace
Establecer la siguiente configuracin de dominio y DNS:
Dominio primario: megapack.com.ar
Botn Agregar (clic)
Botn Siguiente (clic) Agregar el dominio y servidor DNS
Establecer la siguiente configuracin de WINS:
Botn Agregar (clic)
Botn Siguiente (clic) Agregar el servidor WINS
Activar el mbito ahora (clic) Especifica que se desea activar el mbito inmediatamente
Botn Finalizar (clic) Finaliza el proceso
Cerrar la consola de administracin DHCP (Clic en el icono con forma de X en la esquina
superior derecha de la ventana)
Ejercicio 3:

Men Archivo (clic)
Nuevo (clic)
Carpeta (clic) Crear una nueva carpeta
261
262
Colocar DHCPBackup (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER Asignar el nombre DHCPBackup a la nueva carpeta
Carpeta DHCPBackup (clic con el botn derecho del Mouse)
Compartir (clic)
Botn Aceptar (clic) Crea un nuevo recurso compartido a partir de la carpeta
DHCPBackup
Men Inicio (clic)
Ejecutar (clic)
Regedit (presionar la tecla ENTER) Ejecuta el editor del registro de Windows
HKEY_LOCAL_MACHINE (doble clic)
SYSTEM (doble clic)
CurrentControlSet (doble clic)
Services (doble clic)
DHCPServer (doble clic)
Parameters (clic) Acceder a la configuracin del servidor DHCP de la mquina
En el panel de la derecha localizar el valor alfanumrico BackupDatabasePath y hacer
doble clic sobre el mismo Localizar la ruta donde se almacenan las copias de seguridad
de la base de datos del servidor DHCP
Informacin del valor: c:\DHCPBackup
Botn Aceptar (clic) Establecer DHCPBackup como la nueva ruta para la copia de
seguridad de la base de datos.
En el panel de la derecha localizar el valor dword BackupInterval y hacer doble clic
sobre el mismo Localizar el intervalo de creacin de las copias de seguridad de la base
de datos del servidor DHCP
Informacin del valor: 5 (en Decimal)
Botn Aceptar (clic) Establecer el intervalo de creacin de la copia de seguridad en
5 minutos.
Cerrar el editor del registro (hacer clic en el icono en forma de X que se encuentra en
la esquina superior derecha de la ventana
Ejercicio 4:
Men Inicio (clic)

Programas (clic)
Sistema de archivos distribuido (clic) Ejecutar la consola de administracin de Sistema
de archivos distribuido (DFS)
Sistema de archivos distribuido (clic con el botn derecho de Mouse)
Nueva raz DFS (clic) Ejecuta el Asistente para crear nueva raz DFS
Crear una raz DFS de dominio (clic) Utilizar Active Directory para almacenar la
configuracin DFS
Botn Siguiente (clic) Dejar el dominio host por defecto para la raz DFS (en este
caso megapack.com.ar)
Botn Siguiente (clic) Dejar por defecto el servidor host para la raz DFS (en este
Clase prctica 15
caso mgp-srv01.megapack.com.ar)
Crear un recurso compartido nuevo (clic) Especifica que se desea crear un nuevo
recurso compartido que ser utilizado como raz DFS
Ruta de acceso al recurso compartido: c:\Raiz DFS
Nombre del recurso compartido: Raz
Botn Si (clic) Especifica que se desea crear la carpeta Raz DFS
Establecer la siguiente configuracin para el nombre de la raz DFS:
Nombre de la raz DFS: Raz
Comentario: Raz del Sistema de archivos distribuido de MegaPack
Botn Finalizar (clic) Finalizar asistente y crear raz DFS
\\megapack.com.ar\Raiz (clic con el botn derecho del Mouse)
Nuevo vnculo DFS (clic)
Nombre de vnculo: Backup DHCP
Enviar el usuario a esta carpeta compartida:\\Mgp-srv01\DHCPBackup
Comentario: Copia de Seguridad del base de datos del servidor DHCP
Los clientes mantienen en cach esta referencia durante: 300 segundos
Botn Aceptar (clic) Establece las propiedades del vnculo
Backup DHCP (clic con el botn derecho del Mouse)
Nueva rplica (clic) Crear una nueva rplica
Enviar el usuario a la siguiente carpeta compartida: \\Mgp-srv02\SYSVOL
Replicacin automtica
Botn Aceptar (clic) Finalizar la creacin de la nueva rplica
Manteniendo presionada la tecla ctrl hacer clic en \\Mgp-srv01\DHCPBackup y en
\\Mgp-srv02\SYSVOL para seleccionarlos
Botn Habilitar (clic) habilita la replicacin automtica
Botn Aceptar (clic) Finalizar la configuracin
Cerrar la consola de administracin del Sistema de archivos distribuido
En Workstation 1 (MGP-WST01) con Windows 98 o Me

Ejercicio 1:
Una vez iniciado el sistema proceder de la siguiente manera:
cono Entorno de red (clic con el botn derecho del Mouse)

Propiedades (clic) Despliega la ventana de propiedades de red
TCP/IP -> Nombre del adaptador de red (doble clic) desplegar las propiedades del
protocolo TCP/IP del adaptador de red (verificar que sea un adaptador de tipo Ethernet
ya que el Adaptador de acceso telefnico a redes hace referencia al MODEM)
Obtener una direccin IP automticamente (clic) Especifica que se utilizar un
servidor DHCP para la asignacin de la direccin IP
Botn Aceptar (clic) Cerrar las propiedades de TCP/IP y volver al men principal
Cliente para redes Microsoft (doble clic) Desplegar la ventana de propiedades Cliente
para redes Microsoft
Iniciar sesin en dominio de Windows NT (clic) Especifica que el equipo pertenece a
un dominio
Dominio de Windows NT: MEGAPA C K
Conexin rpida (clic)
especifica que no se restaurarn las unidades
263
264
mapeadas al iniciar la sesin

Botn Aceptar (clic) guardar la configuracin y volver a la ventana principal
Solapa identificacin (clic)
Nombre de PC: MGP-WST01
Grupo de trabajo: MegaPack
Descripcin de su PC: Cliente a actualizar
Botn Aceptar (clic) guardar la nueva configuracin
Responder de manera afirmativa a la pregunta de si se desea reiniciar e equipo
Una vez iniciado el equipo ingresar lo siguiente:
Nombre de usuario: Supervisor
Dominio: MEGAPACK
Botn Aceptar (Clic) Iniciar la sesin en el dominio como Administrador
Men Inicio (clic)
Ejecutar (clic)
Ingresar lo siguiente en el cuadro de texto:
Winipcfg (presionar la tecla ENTER) Ejecutar el programa para la
verificacin de la configuracin IP
Verificar la asignacin IP, la creacin de la copia de la base de datos y la replicacin de la misma.
Clase prctica 15
265
Servidores de Nombres de Internet de Windows (WINS)
266
Clase terica 16
INTRODUCCIN
icoai
Dcinro
WINS
W indows Internet
N ame S ervices Servicio de Nombres
de Internet de
Windows.
En un entorno de red de dominio mixto, los host de bajo nivel que ejecutan sistemas
operativos como Windows 9x y NT, utilizan el sistema NetBIOS para comunicarse
entre s. En redes de dominio donde se trabaja con servidores Windows 2000 y
host de bajo nivel, es necesario ejecutar un servicio que permita realizar
resoluciones de NetBIOS a direcciones IP. WINS es un servicio mejorado de
nombres de NetBIOS que registra los nombres de host de NetBIOS y los resuelve
a las direcciones IP, e t tambin proporciona una base de datos dinmica que
se
mantiene una relacin entre los nombres del host y las direcciones IP.
PROCESO DE RESOLUCIN DE NOMBRES WINS
El proceso de resolucin de nombres WINS permite a los host clientes de WINS
registrar su nombre y direccin IP, estos pueden consultar los servidores WINS
para localizar y comunicarse con otros recursos de la red.
Los siguientes pasos muestran la manera en que WINS realiza una resolucin
de nombres:
1
.
2
.
3
.
Cada vez que un cliente WINS inicia sesin, registra su nombre NetBIOS y
direccin IP con el servidor WINS designado.
Cuando un host cliente inicia un comando de NetBIOS para comunicarse
con otro recurso de red, enva directamente una peticin de consulta de
nombre al servidor WINS en vez de enviar un mensaje de broadcast a la
rd
e.
El servidor WINS localiza en su base de datos una entrada con la
informacin de nombre NetBIOS e IP y se la enva al host cliente solicitante.
REGISTRO DE NOMBRES
Cada cliente WINS se configura con la direccin IP de un servidor WINS primario
y, opcionalmente, con uno secundario. Cuando un cliente inicia sesin, registra
su nombre de NetBIOS y su IP enviando una peticin de registro directamente al
servidor WINS.
Si el servidor WINS se encuentra disponible y ningn otro cliente a registrado el
nombre, el servidor enva un mensaje de registro exitoso al cliente. Este mensaje
incluye la cantidad de tiempo que el nombre NetBIOS registra al cliente,
especificado como el tiempo de vida (TTL), adems, el servidor WINS almacena
el nombre NetBIOS e IP del host cliente en su base de datos.
Cuando un nombre ya se encuentra registrado en la base de datos del servidor
Clase terica 16
icoai
Dcinro
b-nodo
Broadcast, enviado
para encontrar un
nombre NetBIOS por
medio de un servidor
D H C P.
267
WINS, este enva una peticin de consulta de nombre al actual propietario

registrado del nombre. El servidor WINS enva esta peticin al cliente tres veces
con intervalos de 500 milisegundos. Si el host cliente registrado responde con
xito la consulta al servidor WINS, el servidor WINS enviar una respuesta negativa
a la peticin del cliente que intentaba registrar el nombre. Si el host cliente
registrado no responde la consulta al servidor WINS, el servidor enva una
respuesta de registro de nombre exitosa al cliente que intentaba registrar el
nombre.

Un host cliente realiza tres intentos de encontrar un servidor WINS, si el cliente
falla luego del tercer intento, entonces enva una peticin de registro de nombre al
servidor WINS secundario (solo si se encuentra configurado en el cliente). Si aun
no consigue respuesta de un servidor WINS, el cliente enva un mensaje de
broadcast b-nodo a la red, si el nombre NetBIOS se encuentra, se resuelve a
una direccin IP.
R E N O VACIN DE NOMBRES
oa
Nt
Todas la comunicaciones
de WINS con los clientes
s raia evao
e elzn nid
datagramas sobre el
puerto UDP 137.
Los servidores WINS registran todos los nombres NetBIOS sobre una base
temporal de modo que otros hosts puedan utilizar el mismo nombre ms adelante
s e h s p o i t r o o i i a d j d u i i a l , debido a que la concesin de un
i l ot rpeai rgnl ea e tlzro
nombre es temporal, los hosts clientes deben renovar la concesin para que no
expire. Si la concesin de un nombre no es renovada y esta expira,
automticamente el servidor WINS dispone de esta para otorgarla a cualquier
or cineqel slct.
to let u a oiie
Cuando el nombre de un host cliente no se utiliza ms, el cliente enva un mensaje
al servidor WINS para liberar el nombre. Cuando un cliente WINS cierra su sesin
en la red, el cliente enva una peticin de liberacin de nombre directamente al
servidor WINS, incluyendo la direccin IP del cliente y el nombre NetBIOS. Una
vez recibida la peticin de liberacin de nombre por parte de un cliente, el servidor
busca en su base de datos el nombre y enva al cliente un mensaje incluyendo el
nombre NetBIOS y un TTL con valor cero.
Bsqueda de nombres
Luego de que un host cliente WINS haya registrado su nombre de NetBIOS y su
Actividad
Definir Wins:
Sobre qu puerto se cealizan las comunicaciones

Wins:
268
IP con un servidor WINS, podr realizar comunicaciones con otros hosts. De

manera predeterminada un cliente WINS intentara resolver la direccin de otro
cliente de la siguiente manera:
1
.
2
.
3
.
4
.
5
.
El cliente comprueba su cach de nombres NetBIOS en busca del nombre

NetBIOS e IP del Host destino.
Si el cliente no puede resolver la direccin desde su propio cach, enva
una peticin de bsqueda de nombre al servidor WINS primario.
Si el servidor WINS primario no se encuentra accesible, el cliente intentara
comunicarse 2 veces ms antes de dirigir la peticin de resolucin al servidor
WINS secundario.
Si un servidor WINS, ya sea primario o secundario atiende esta peticin,
devolver la respuesta requerida al cliente.
Si ningn servidor WINS se encuentra accesible, el cliente recibe una
respuesta negativa indicando que el nombre buscado no existe, en este
punto el cliente enva un mensaje de broadcast a la red tratando de identificar
al host destino.

Al momento de implementar un servidor WINS en un dominio, es necesario instalar
este servicio en modo servidor sobre una computadora que posea Windows
2000 Server, pero que no sea en modo controlador de dominio. Es necesario
adems configurar una direccin IP esttica y mscara de subred para este
servidor, as como una puerta de enlace predeterminada.
Tambin es posible incluir en un servidor WINS, las siguientes configuraciones:
Resolucin esttica para todos los clientes sin WINS, para permitir la
comunicacin con los clientes WINS en redes remotas.
Soporte de WINS a travs de DHCP.

En una red con soporte WINS, se puede proporcionar resolucin esttica
configurando un agente Proxy WINS.
Resolucin esttica
En un dominio que posee soporte WINS se puede configurar resolucin esttica
de nombres NetBIOS para clientes no WINS y de esta manera permitir que los
clientes WINS puedan resolver los nombres de los clientes no WINS.
Cuando se crea una resolucin esttica, se puede especificar un mbito NetBIOS
para generar una extensin opcional al nombre del host que se utiliza para agrupar
los host en una red.
Existen cinco tipos de resolucin esttica que se pueden agregar a la hora de
Clase terica 16
269
aadir nuevas resoluciones estticas, las cuales son:

Resolucin nica
Resolucin Grupo
Resolucin Nombre de Dominio
Resolucin Grupo Internet
Resolucin Host Mltiple
CONFIGURACIN DE UN AGENTE PROXY DE WINS

Un agente proxy WINS ampla las capacidades de resolucin de nombres del
servidor WINS a los clientes que no son WINS escuchando en busca de registros
de nombre mediante broadcast y peticiones de resolucin por broadcast,
reenvindolas a un servidor WINS.
Para configurar un agente proxy, s e i el registro en un cliente con WINS
e d ta
activado, fijando en 1 el valor de la entrada EnableProxy d l r g s r y r i i i n o
e eito encad
la computadora. La entrada EnableProxy se encuentra en la subclave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Cuando un cliente que no es WINS difunde una peticin de registro de nombre, el
agente proxy de WINS transmite la peticin al servidor WINS para verificar que
ningn otro cliente de WINS haya registrado ese nombre. El nombre NetBIOS no
se registra, solo es verificado.

Cuando un agente proxy de WINS detecta una difusin de una resolucin de
nombres, comprueba su cach e intenta resolver el nombre. Si el nombre no se
encuentra en el cach, la peticin se enva a un servidor WINS, el servidor WINS
enva al agente proxy la direccin IP para el nombre de NetBIOS solicitado y por
ultimo el agente proxy enva la resolucin al cliente no WINS.
Actividad
Definir resolucin esttica:
Definir Proxy Wins:
Servidores de Nombres de Dominio (DNS)
270

INTRODUCCIN
El sistema D N S se compone de una base de datos distribuida que se utiliza en
las redes TCP/IP para traducir los nombres de host a direcciones IP. Este sistema
de resolucin de nombres de dominio es el estndar mas aceptado y utilizado,
para la resolucin de nombres de hosts.
DNS se asocia ms comnmente a Internet, sin embargo, las redes privadas
utilizan DNS de forma extensiva para la resolucin de nombres de host y para
localizar computadoras dentro de sus redes privadas o Internet. La resolucin de
nombres que provee DNS es diferente a la brindada por WINS, ya que este ltimo
resuelve los nombres NetBIOS a direcciones IP, mientras que DNS resuelve los
nombres IP de los host a direcciones IP.
Cuando se utiliza DNS como autoridad para resolucin de nombres se obtienen

las siguientes ventajas:
oa
Nt
E t r i od m n o e e
l emn oii, n l
contexto DNS, posee un
s g i i a od f r n ea
infcd ieet l
u i i a o e W indows
tlzd n
2000.Un dominio en
W indows 2000 es un
grupo de computadoras
y dsoiio qe s
ipstvs u e
administran como una
unidad. En DNS, un
dominio es un nodo que
rpeet uapriin
ersna n atc
de la base de datos DNS.
Los nombres IP de los host son intuitivos para los usuarios, ya que es mucho
mas simple de recordad que las direcciones IP.
El nombre IP de un host se mantiene mas tiempo que una direccin IP, y q e
u
la direccin IP de un host puede cambiar pero no su nombre.
Los nombres IP de un host permite que los usuarios puedan conectarse a
ellos utilizando la misma convencin de nombres que en Internet.

El espacio de nombres de dominio es el esquema de denominacin que
proporciona la estructura jerrquica a la base de datos de DNS. Cada nodo
representa una particin de la base de datos de DNS y se los denomina dominios.
La base de datos de DNS se encuentra ordenada por nombre, por lo tanto, cada
dominio debe tener un nombre. Cuando se aaden dominios a la jerarqua, el
nombre de dominio padre se agrega al nombre de dominio hijo (sub-dominio). De
esta manera un nombre de dominio determina su posicin en la jerarqua.
.
Dominio Raz
com
m x
gov
org
edu
Dominio de nivel superior
universidad
proet
salud
Dominio de segundo nivel
administracion.proet.mx
administracion
pc1
pc1.administracion.proet.mx
La estructura jerrquica
del espacio de nombres
de dominio esta formada
por un dominio raz, los
dominios de nivel
superior, los dominios de
segundo nivel y los
nombres de host.
Clase terica 16
271
Dominio raz
El dominio raz se encuentra en el punto mas alto de la jerarqua y se representa
como un punto ( ), el dominio raz de Internet es gestionado por varias
.
organizaciones.

Los dominios del nivel superior slo son cdigos de nombres de dos o tres
caracteres, estos dominios se clasifican por categoras como el tipo de
organizacin o la ubicacin geogrfica.
Dominio
Funcin
.gov
.com
El nombre de host no
tiene que ser el mismo
que el nombre de la
computadora. De manera
predeterminada TCP/IP
usa el nombre de la
computadora para el
nombre de host,
substituyendo los
caracteres ilegales como
por ejemplo: guin bajo
( p r g i n m d o (_) o u e i .
)
icoai
Dcinro
FQDN
Fully Qualified
Domain Name Nombre completo
calificado de dominio.
Instituciones culturales.
.org
Organizaciones no comerciales.
.mx
Cdigo de pas de Mxico.
Los dominios de nivel superior pueden contener dominios de segundo nivel y

nombres de host.
Existen distintos tipos de organizaciones que controlan, asignan y registran los
dominios de segundo nivel a individuos u organizaciones. Un dominio de segundo
nivel puede contener sub-dominios y hosts.
NOMBRES DE HOSTS
Los nombres de host se refieren a computadoras especficas de Internet o de
una red privada, este es el nombre ms a la izquierda de un nombre de dominio
c l f c d (F Q D N), que describe la posicin exacta de un host dentro de la
aiiao
jerarqua DNS. DNS utiliza el FQDN de un host para resolver un nombre a una
direccin IP.
Defina DNS:
Actividad
Organizaciones comerciales.
.edu
oa
Nt
Organizaciones gubernamentales.
Defina FQDN:
272
NORMAS PA R A LA DENOMINACIN DE DOMINIOS

Cuando se crea un espacio de nombres de dominio, se deben tener en
consideracin las siguientes normas y convenios estndar de denominacin:
Limitar el nmero de niveles de dominio: Normalmente las entradas de host de
DNS deberan tener una profundidad de tres o cuatro niveles en la jerarqua de
DNS y no ms de cinco.
Utilizar nombres nicos: Cada sub-dominio debe tener un nombre nico dentro
del dominio del padre para asegurarse que el nombre es nico en el espacio de
nombres DNS.
Utilizar nombres simples: Los nombres de dominio simple y preciso son ms
fciles de recordar para los usuarios y permite que estos puedan buscar de
manera intuitiva y localizar sitios Web u otros host en la red interna o Internet.
icoai
Dcinro
ASCII
A merican S tandard
C ode for Information
Exchange - Cdigo
Americano
Normalizado para el
Intercambio de
Informacin.
Evitar nombres de dominio largos: Los nombres de dominio pueden tener hasta
63 caracteres, incluyendo puntos. La longitud total de un FQDN no puede exceder
los 255 caracteres. No se distinguen maysculas de minsculas.
Utilizar caracteres estndares de DNS y Unicode:
W indows 2000 soporta los siguientes caracteres estndar de DNS: de la A a
l Z (maysculas y minsculas), del 0 a 9 y el guin medio (- segn se
a
l
),
define en la RFC 1035.
El servidor DNS tambin soporta el juego de caracteres Unicode se necesita
para idiomas como el francs, alemn y espaol. Unicode incluye caracteres
adicionales que no se encuentran en ASCII.
ZONAS DNS
Una zona representa una porcin discreta del espacio de nombres de dominio.
Las zonas proporcionan la forma de repartir el espacio de nombres de dominio
en secciones manejables.
m x
Archivo base
de datos Z1
Archivo base
de datos Z2
Proet
Administracin
ZONA
Dto-alumno
ZONA
Clase terica 16
273
Varias zonas en un espacio de nombres de dominio se utilizan pa a d s r b i

r itiur
tareas administrativas a diferentes grupos. Por ejemplo, en la figura anterior se
representa el espacio de nombres de dominio de proet.mx dividido en dos zonas.
Las dos zonas permiten que un administrador gestiones los dominios proet y
administracin y que otro administrador gestione el dominio dto-alumnos.
Una zona debe abarcar un espacio de nombres de dominio contiguo. Por ejemplo,
como en la figura anterior se puede crear una zona para administracion.proet.mx
y el dominio padre proet.mx porque estas son zonas contiguas. Sin embargo, no
se puede crear una zona que est formada solo por el dominio
administracion.proet.mx y el dominio dto-alumnos.proet.mx debido a que estos
dos dominios no son contiguos.
Las correspondencias de nombre de host a direccin IP se guardan en el archivo
de base de datos de la zona. Cada zona esta sujeta a un dominio especifico,
denominado: dominio raz de la zona. El archivo de la base de datos de la zona
no contiene necesariamente la informacin para todos los sub-dominios del
dominio raz de la zona, sino solamente aquellos sub-dominios dentro de la zona.
En la figura de ejemplo anterior, el domino raz para la Zona1 es proet.mx y s
u
archivo de zona contiene las correspondencias de nombre de host a direccin IP
para los dominios proet y administracion.
El dominio raz para Zona2 es dto-alumnos y su archivo de zona contiene las
correspondencias entre nombre de host y direccin IP, solamente para el dominio
dto-alumnos. El archivo de zona para la zona1 no contiene las correspondencias
de nombre de host a direccin IP para el dominio dto-alumnos, aunque d o
talumnos es un sub-dominio del dominio proet.
Un servidor de nombres almacena el archivo de base de datos de la zona. Los
servidores de nombres pueden almacenar los datos de una o varias zonas. Un
servidor tiene autoridad en el espacio de nombres de dominio que abarca la zona.
Debe existir por lo menos un servidor de nombres para cada zona, sin embargo,
una zona puede contener varios servidores de nombres. Uno de estos servidores
posee el archivo maestro de la base de datos de la zona, que tambin se denomina
como el archivo principal de la base de datos de la zona, para esa zona. Los
cambios en una zona, tal como el agrado de dominios o hosts, se realizan en el
servidor que contiene el archivo principal de la base de datos de la zona. Cualquier
Actividad

Una zona debe abarcan un espacio de nombres de
dmnocniu ( )
oii otgo
Una zona no debe abarcar un espacio de nombres de
dmnocniu ( )
oii otgo
Definir zona DNS:
274
otro servidor de nombres asociado a la zona acta como copia de seguridad del
servidor de nombres que contiene el archivo principal de la base de datos de la
zona. Estos servidores poseen tambin un archivo secundario de la base de datos
de la zona.
Los servidores de nombre mltiples proporcionan algunas ventajas:
Realizacin de transferencia de zona: Los servidores de nombres adicionales
obtienen una copia del archivo de la base de datos de la zona del servidor de
nombres que contiene el archivo principal de la base de datos de la zona. Esto se
denomina transferencia de zona. Estos servidores de nombres consultan de forma
peridica al servidor de nombres que contiene el archivo principal de la base de
datos de la zona en busca de datos actualizados de la zona.
Proporcionar redundancia: Si el servidor de nombres que contiene el archivo
principal de la base de datos de la zona falla, los servidores de nombres adicionales
pueden proporcionar el servicio
Mejora de la velocidad de acceso para las ubicaciones remotas: Si un nmero de
clientes estn en ubicaciones remotas, se utilizan los servidores de nombre
adicionales para reducir el trfico de consulta a travs de conexiones W.A.N.
Reduccin de carga: Los servidores de nombres adicionales reducen la carga en
el servidor de nombres que contiene el archivo principal de la base de datos de la
zona. Windows 2000 tambin soporta almacenamiento de zonas integradas en
directorio utilizando la base de datos de Active Directory. Las zonas almacenadas
de esta forma estn situadas en el rbol de Active Directory bajo el contenedor del
objeto de dominio. Cada zona integrada en el directorio se almacena en un objeto
contenedor de zona de DNS identificado por el nombre que se elige para la zona
cuando se crea.
La resolucin de nombres es el proceso de resolver los nombres de la direcciones
I Los servidores de nombres de DNS resuelven consultas de bsqueda directa
P.
e inversas. Una consulta de bsqueda directa resuelve un nombre a una direccin
I mientras que una bsqueda inversa resuelve una direccin IP a un nombre de
P,
host. Un servidor de nombres solo puede resolver una consulta en una zona para
la cual este autorizado. Si un servidor de nombres no puede resolver la consulta,
pasa la consulta a otros servidores que puedan resolverla. El servidor de nombres
toma los resultados de la consulta para evitar trfico DNS excesivo en la red.
Bsqueda directa
El servicio DNS se basa en el modelo Cliente-Servidor para la resolucin de
nombres, ya que para resolver una consulta de bsqueda directa, un cliente pasa
una consulta a un servidor de nombres local, el servidor de nombres local resuelve
la consulta o consulta a otro servidor de nombres para resolverla.
Clase terica 16
275

Cuando un servidor de nombres procesa una consulta, puede ser necesario enviar
varias consultas hasta encontrar la respuesta. Con cada consulta, el servidor de
nombres descubre otros servidores de nombres que tienen autoridad para una
porcin del espacio de nombres del dominio. Es servidor de nombres guarda en
su cach los resultados de la consulta para reducir el trfico en la red.
Cuando el servidor recibe el resultado de la consulta realiza las siguientes acciones:
oa
Nt
Los valores de TTL que
s uiia sn
e tlzn o
pequeos, ya que de
esta manera es posible
mantener un registro
a t a i a od l s
culzd e a
cnutsraiaa a
osla elzds
ors epco d
to sais e
nombres de dominio.
1 El servidor de nombres guarda en el cach el resultado de la consulta

.
durante un periodo de tiempo especifico, designado como TTL. El TTL se
configura utilizando el complemento DNS. De manera predeterminada el
TTL se encuentra fijado en 60 minutos.
2 Una vez que el servidor de nombres guarda en el cach el resultado de la
.
consulta, el TTL comienza a disminuir desde su valor inicial.
3 Cuando expira el TTL, el servidor de nombres elimina el resultado de la
.
consulta de su cach.
Al guardar los resultados de las consultas en su cach, permite al servidor de
nombres resolver rpidamente otras consultas al mismo espacio de nombres de
dominio.
Bsqueda inversa
Debido a que la base de datos distribuida de DNS esta ordenada por nombre de
host y no por direccin IP, una bsqueda inversa necesitar realizar una bsqueda
exhaustiva de cada nombre de domino. Para solucionar este problema, se cre
un dominio especial de segundo nivel denominado: in-addr. r
a pa.
El dominio in-addr. r sigue el mismo esquema jerrquico de denominacin
a pa
que el resto de los espacios de nombre de dominio, sin embargo, se basa en
direcciones IP y no en nombres de dominio, de la siguiente manera:
Los sub-dominios se nombran despus de los nmeros en la representacin
decimal separada por puntos en las direcciones IP.
Se invierte el orden de los octetos de las direcciones IP.
Se administran los sub-dominios de del dominio in-addr. r basndose en
a pa
las direcciones IP asignadas y en la mscara de subred.
Actividad
Definir bsqueda directa:
Definir bsqueda inversa:
276
TIPOS DE ZONA
Existen tres tipos de zona a configurar en un servidor de nombres DNS:
Integrada con Active Directory: Una zona integrada con AD es la copia maestra de
una zona nueva. La zona utiliza los servicios de Active Directory para almacenar y
replicar archivos de una zona. Esta opcion proporciona actualizaciones seguras y
almacenaje integrado. Las transferencias estndares de la zona no ocurren en
las zonas integradas con Active Directory. En su lugar, se replica el archivo de la
base de datos de la zona cuando ocurre la rplica del almacn de Active Directory.
Estndar principal: Una zona estndar principal es la copia maestra de una nueva
zona y se almacena en un archivo estndar de texto. Se administra y mantiene
una zona principal en el servidor en la cual se crea la zona. Esta opcion facilita el
intercambio de datos DNS con otros servidores de DNS que utilizan mtodos de
almacenamiento basados en texto.
Estndar secundaria: Una zona estndar secundaria es una rplica de una zona
existente. Las zonas secundarias son de solo lectura y se almacenan en archivos
estndares de texto. Se debe configurar una zona primaria para crear una
secundaria.
Al crear una zona secundaria, se debe especificar el servidor DNS maestro, que
transfiere la informacin de la zona al servidor de nombres que contiene la zona
secundaria estndar. Se crea una zona secundaria para proporcionar redundancia
y para reducir la carga en el servidor de nombres que contiene el archivo de base
de datos de la zona principal.
Clase prctica 16
277
Clase prctica 16
Mediante la realizacin de esta prctica usted comprender el funcionamiento de la resolucin de
nombres de red mediante los servicios de WINS y DNS, adems de las estructuras lgicas de resolucin
y las tareas administrativas propias de estos servicios.
Servidores WINS y DNS (En el servidor01)

Para esta prctica se deber disponer del servidor MGP-SRV01 ejecutando los servicios de Active
Directory (con todos los usuarios, grupos y perfiles) y el servidor DHCP correctamente configurado
como en la prctica anterior
Ejercicio 1:
(Iniciar como Supervisor).
Men Inicio (clic)

Configuracin (clic)
quitar programas
Servicios de Red (doble clic) Despliega la ventana de servicios de red
Marcar la opcin Servicio WINS haciendo clic en el casillero en blanco Selecciona
para instalar el servidor WINS
Botn Aceptar (clic)
Botn Siguiente (clic) Comenzar proceso de instalacin (es posible que pida el CD
con los archivos de instalacin de Windows 2000)
Cerrar el panel de control (hacer clic en el icono en forma de X en la esquina superior
Ejercicio 2:

Men Archivo (clic)
Nuevo (clic)
Colocar WINSBackup (sin las comillas) como nombre de la carpeta y presionar la
278
tecla ENTER Asignar el nombre WINSBackup a la nueva carpeta

Carpeta WINSBackup (clic con el botn derecho del Mouse)
Compartir (clic)
Botn Aceptar (clic) Crea un nuevo recurso compartido a partir de la carpeta
WINSBackup
Men Inicio (clic)

Programas (clic)
WINS (clic) Ejecutar la consola de administracin WINS
MGP-SRV01 [172.16.1.1] (podra llegar a ser [192.168.0.1]) (clic con el botn derecho
del mouse)
Propiedades (clic)
Ruta predeterminada de la copia de seguridad predeterminada:
c:\winsbackup Establece donde se localizar la copia de seguridad
predeterminada
Hacer copia de la base de datos con el servidor inactivo (clic en el
casillero de verificacin
Cerrar la consola de administracin WINS
Men Inicio (clic)

Ejecutar (clic)
Introducir cmd (sin las comillas) (presionar la tecla ENTER) Abrir una consola de
DOS
En la lnea de comandos introducir lo siguiente:
Net stop wins (presionar la tecla ENTER) Detener el servicio WINS ya que
de lo contrario no se podra trabajar sobre el archivo de la base de datos
Del c:\winnt\system32\wins\*.mdb (presionar la tecla ENTER) Eliminar la

base de datos de WINS
Net Start wins (presionar la tecla ENTER) Iniciar el servicio WINS
Verificar el error que se produce
Botn Aceptar (clic) Cerrar la ventana de informacin del error
Del c:\winnt\system32\wins\*.* (presionar la tecla ENTER)
Responder de manera afirmativa a la pregunta de si esta seguro que desea

eliminar los archivos Eliminar el resto de los archivos ya que podran llegar a
causar conflictos si no son reemplazados
Copy c:\winsbackup\wins_bak\new\*.* c:\winnt\
system32\wins (presionar la tecla ENTER) Restaurar de manera manual la

copia de seguridad de la base de datos WINS
Net Start wins (presionar la tecla ENTER) Iniciar el servicio WINS
Esta vez el servicio debe iniciarse sin ningn problema
Clase prctica 16
Ejercicio 1:
Botn Avanzada (clic) Acceder a la configuracin avanzada
Solapa WINS (clic) Configurar opciones WINS
Botn Agregar (clic) Agregar la direccin de un nuevo servidor WINS
Introducir 172.16.1.1 (sin las comillas) en el cuadro de texto Servidor WINS: y
presionar la tecla ENTER
Desmarcar la opcin Habilitar la bsqueda de LMHOSTS Especifica que no se
desea utilizar el archivo LMHOSTS para la resolucin de nombres
Una vez en el escritorio se proceder de la siguiente manera para verificar la nueva configuracin:
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping mgp-srv01 (presionar la tecla ENTER) al no hacer una referencia
a una direccin IP el sistema consultar al servidor WINS para obtener la
IP correspondiente al nombre NetBIOS Introducido. En caso de obtener
una respuesta del tipo Haciendo ping a mgp-srv01.megapack.com.ar
[172.16.1.1] , significara que el nombre no fue resuelto por el servidor
WINS sino por el servidor DNS (de ah la aparicin del
.megapack.com.ar). En este caso se deber desactivar el cliente DNS
en esta mquina.
Ejercicio 1:
Una vez iniciado el equipo, se deber presionar simultneamente las teclas ctrl.+alt+supr para
poder acceder a la interfaz de inicio de sesin
279
280

Una vez en el escritorio se proceder de la siguiente manera para verificar la asignacin WINS a
travs del servidor DHCP:
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping mgp-srv01 (presionar la tecla ENTER) al no hacer una referencia a

una direccin IP el sistema consultar al servidor WINS para obtener la IP
correspondiente al nombre NetBIOS Introducido. En caso de obtener una
respuesta del tipo Haciendo ping a mgp-srv01.megapack.com.ar
[172.16.1.1] , significara que el nombre no fue resuelto por el servidor
WINS sino por el servidor DNS (de ah la aparicin del .megapack.com.ar).
En este caso se deber desactivar el cliente DNS en esta mquina.
Ejercicio 1:
Men Inicio (clic)

Programas (clic)
DNS (clic) Ejecutar la consola de administracin WINS
MGP-SRV01 [172.16.1.1] (doble clic)
Zonas de bsqueda directa (doble clic)
megapack.com.ar (clic con el botn derecho del mouse)
Dominio nuevo (clic)
colocar administracion en el cuadro de texto Escriba el nombre del nuevo
dominio: y
presionar la tecla ENTER Crea un sub-dominio llamado administracin
colocar cobranzas en el cuadro de texto Escriba el nombre del nuevo dominio:
y presionar la tecla ENTER Crea un sub-dominio llamado cobranzas
colocar gerencia en el cuadro de texto Escriba el nombre del nuevo dominio: y
presionar la tecla ENTER Crea un sub-dominio llamado gerencia
administracion (clic con el botn derecho del mouse)
Host nuevo (clic) Crear un nuevo host para el sub-dominio administracin
Nombre: maq1
Clase prctica 16

(marcar la opcin Crear registro del puntero (PTR) asociado)
Botn Aceptar (clic)
Botn Realizado (clic) cerrar la ventana para agregar nuevo host
cobranzas (clic con el botn derecho del mouse)
Nombre: maq1
Botn Aceptar (clic)
gerencia (clic con el botn derecho del mouse)
Nombre: maq1
Direccin IP: 172.16.1.2 (marcar la opcin Crear registro del puntero (PTR)
asociado)
Botn Aceptar (clic)
Host nuevo (clic) Crear un nuevo host para el dominio megapack.com.ar
Nombre: www
Direccin IP: 192.168.0.254 (marcar la opcin Crear registro del puntero (PTR)
asociado)
Botn Aceptar (clic)
Cerrar la consola de administracin DNS
Men Inicio (clic)

Ejecutar (clic)
DOS

Ping www.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor
DNS para obtener la IP de la mquina con nombre www que pertenece al domi
nio megapack.com.ar (el resultado debera ser 192.168.0.254)
Exit (cierra la consola de DOS)
Ejercicio 2:
281
282
Men Inicio (clic)

Ejecutar (clic)
Introducir cmd (sin las comillas) (presionar la tecla ENTER) Abrir una consola de DOS
Ping maq1.administracion.megapack.com.ar (presionar la tecla ENTER) Consulta al

servidor DNS para obtener la IP de la mquina con nombre maq1 que pertenece al subdominio administracin del dominio megapack.com.ar
Exit (cierra la consola de DOS)
Ejercicio 2:
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping maq1.cobranzas.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor

DNS para obtener la IP de la mquina con nombre maq1 que pertenece al sub-dominio
cobranzas del dominio megapack.com.ar
Ping maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor
DNS para obtener la IP de la mquina con nombre maq1 que pertenece al sub-dominio
gerencia del dominio megapack.com.ar
Nslookup (presionar la tecla ENTER) Ejecutar el cliente de resolucin de nombres
Name www.megapack.com.ar (presionar la tecla ENTER) consultar la ip de www (el
resultado debera ser 192.168.0.254)
Exit (presionar la tecla ENTER) Salir de nslookup
Exit (presionar la tecla ENTER) cierra la consola de DOS
Clase prctica 16
283
Servicios de Ruteo y Acceso Remoto en Windows 2000 Server (RRAS)
284
Clase terica 17
icoai
Dcinro
RRAS
Routing and Remote
Access Service Servicio de ruteo y
acceso remoto.
RIP
R outing Internet
P rotocol - Protocolo de
Ruteo de Internet.
OSPF
O pen S hortest P ath
First - Abrir Primero la
Ruta ms Corta
Servicios de Ruteo y Acceso Remoto en Windows

2000 Server (RRAS)
INTRODUCCIN
R R A S permite que un host en el cual se encuentra instalado Windows 2000
Server, trabaje como ruteador multiprotocolo, ruteador de llamada bajo demanda
y servidor de acceso remoto. RRAS utiliza el protocolo PPP para negociar las
conexiones punto a punto para los clientes de acceso remoto. El protocolo PPP
proporciona la negociacin de los parmetros de enlace, intercambio de
credenciales de autenticacin y negociacin del protocolo de capa de red.
El servicio RRAS de Windows 2000 ofrece soporte a las siguientes
caractersticas:
Version 2 del protocolo RIP para IP.
Prococolo O S P F para IP.
ICMP
Ruteo bajo demanda, que consiste en ruteo bajo conexiones W.A.N continuas
Internet C ontrol
M essage P rotocol Protocolo de Control
de Mensajes de
Internet.
RADIUS
R emote A uthentication
D il
a -In U ser S ervice Servicio de usuario de
acceso telefnico con
autenticacin remota.
GUI
o bajo demanda como las lneas de telfono analgicas.

Bsqueda de routers de protocolo ICMP.
Cliente del servicio de usuario de acceso telefnico con autenticacin remota
para beneficiarse de los servicios suministrados por RADIUS.
Servidor RADIUS que proporciona autenticacin centralizada, autorizacin,
cuentas y directivas de acceso remoto para clientes de acceso telefnico y
de acceso remoto a VPN.
Filtrado de paquetes IP e IPX, para seguridad a nivel de protocolo.
Complemento de Administracin con GUI.
G raphical U ser
i
nterface - Interfaz
Grfica del Usuario.
Protocolo IGMP y soporte para fronteras de multidifusin.

Servicio NAT para simplificar las conexiones de pequeas redes a Internet.
IGMP
Internet G roup
M anagement P rotocol Protocolo para la
Administracin de
Grupos de Internet.
NAT
N etwork A ddress
T ranslation Traduccin de
Direcciones de Red.
IPSec
Internet P rotocol
S e curity - Protocolo de
Internet Seguro.
Ruteo con AppleTalk integrado.

Soporte para conexiones VPN con protocolo L2TP sobre IPSec.
RRAS trabaja con una amplia variedad de plataformas y hardware de red, lo cual
permite mantener un servicio de ruteo de bajo costo frente a dispositivos routers
de alta gama. Estas caractersticas permiten a Windows 2000 Server trabajar
como un router multiprotocolo, de llamada bajo demanda y servidor de acceso
remoto.

RRAS para Windows 2000 incluye una amplia variedad de caractersticas que
soportan ruteo IP unidifusin y multidifusin, ruteo IPX, ruteo AppleTalk, acceso
Clase terica 17
285
remoto y soporte VPN.
Windows 2000 proporciona un soporte extenso para el ruteo IP unidifusin
utilizando los protocolos de ruteo IP unidifusin y las funciones de router de
Windows 2000. La unidifusin ocurre cuando dos hosts establecen una conexin
punto a punto de dos direcciones para la transferencia de datos.
El ruteo IP unidifusin se produce cuando uno o varios routers envan paquetes a
travs de una conexin punto a punto de dos direcciones. La implementacin del
ruteo unidifusin puede ser simple o compleja despendiendo del tamao de la
red, del uso de DHCP para asignar espacio a la configuracin de direcciones IP,
la conectividad a Internet, la presencia de host no Windows o heredados en la red
y otros factores.
El siguiente cuadro describe los diferentes componentes del ruteo IP unidifusin:
Componente
Descripcin
Ruteo IP esttico
Con esta funcin inherente de Windows 2000 se pueden administrar routers estticos
utilizando el complemento Enrutamiento y acceso remoto.
Versin 2 de RIP
Un protocolo de ruteo de vectores de distancia que se utiliza comnmente en redes pequeas

y medianas.
OSPF
Protocolo de ruteo del estado de la conexin que se utiliza normalmente en redes medianas
a grandes. Este protocolo es significativamente ms eficiente que RIP debido a que utiliza
unos algoritmos ms sofisticados para encontrar la mejor ruta entre dos puntos.
Agente de
retransmisin DHCP
Un agente que regula los mensajes DHCP y los servidores DHCP en diferentes segmentos
de una red, esto permite a un servidor DHCP brindar servicios en una o varias subredes.
Traduccin de
direcciones de red
(NAT)
Un componente traductor de direcciones de red que crea una conexin traducida entre
redes con direcciones IP privadas e Internet. Esto permite el direccionamiento en una red
interna con direcciones que no son legales en Internet. NAT necesita de al menos un IP
vlida en Internet para realizar la traduccin a una red privada.
Filtrado de
paquetes IP
La capacidad de definir qu trfico se permite de entrada o salida para interfaz de red

basado en filtros que se definen por los valores de la direccin IP del origen y del destino,
los nmeros de puertos TCP y UDP, los tipos y cdigos de ICMP los nmeros de protocolo
IP. Esta es una caracterstica importante de seguridad.
Bsqueda de
routers ICMP
La capacidad para anunciar y responder peridicamente las solicitudes del host router para
dar soporte al descubrimiento de routers ICMP mediante los hosts de un segmento de la
red.
Actividad
Definir RRAS
Definir soporte IP unidifusion:
286
Windows 2000 permite el envo, recepcin y el re-envo del trfico de una IP
multidifusin. El trfico multidifusin se enva a un nico host, pero es procesado
por mltiples hosts que escuchan este tipo de trfico destinado a un nico host.
Este procedimiento se utiliza comnmente para distribuir datos en tiempo real
entre mltiples usuarios. Los componentes de IP multidifusin de RRAS permite
que se pueda enviar y recibir trfico IP multidifusin de clientes de acceso remoto
y porciones de multidifusin activas de Internet o una red privada.
El siguiente cuadro describe los diferentes componentes del ruteo IP multidifusin:
Descripcin
Componente
Re-envo
multidifusin
Con esta funcin del protocolo TCP/IP de Windows 2000, se puede ver la tabla de reenvos multidifusin utilizando el complemento Enrutamiento y acceso remoto.
Versiones 1 y 2 de
IGMP
Usa el protocolo TCP/IP para realizar el seguimiento de miembros de un grupo de

multidifusin en segmentos de red conectados.
Re-envo y ruteo
especifico
Cuando se usa el protocolo de ruteo IGMP y se configuran interfaces para el modo Router
IGMP y el modo proxy IGMP, el router de Windows 2000 puede utilizar re-envo y ruteo
multidifusin para configuraciones especficas.
Lmites de la
multidifusin
Los lmites de la multidifusin (barreras al re-envo de trfico IP de multidifusin) pueden

estar basados en las direcciones de grupo de multidifusin, en el TTL de la cabecera IP o en
la mxima cantidad de trfico multidifusin en Kilobytes por segundo.
SOPORTE PA R A IPX
El router de Windows 2000 Server es un ruteador IPX completamente funcional
que soporta RIP para IPX, el principal protocolo de ruteo utilizado en las redes
IPX es SAP para IPX y NetBIOS sobre re-envo de difusiones IPX.
SAP es un protocolo para la recopilacin y distribucin de nombres de servicio y
direcciones.
El siguiente cuadro describe los diferentes componentes del ruteo IPX:
Componente
Descripcin
Filtrado de
paquetes IPX
La capacidad de definir que trfico se permite de entrada o salida para cada interfaz
basada en filtros definidos por los valores de origen y destino de la red IPX, el nodo, el
nmero de socket y el tipo de paquete.
RIP para IPX
Un protocolo de ruteo basado en basado en un vector de distancia que se utiliza en las

redes IPX. RRAS tambin permite configurar rutas estticas IPX y filtros de ruta RIP.
SAP para IPX
SAP es un protocolo de anuncios basado en un vector de distancia que se utiliza comnmente

en las redes IPX para anunciar servicios y su ubicacin. RRAS tambin suministra la
capacidad para configurar servicios SAP estticos y filtros de servicios SAP. Los filtros de
servicios SAP reducen el trfico SAP innecesario que se enva a la conexin RRAS.
NetBIOS sobre IPX
NetBIOS sobre IPX se utiliza por los componentes de red Windows para soportar componentes
compartidos de archivos e impresoras. RRAS tambin puede reenviar broadcast NetBIOS
sobre IPX y configurar nombres NetBIOS estticos.
Clase terica 17
287
S E RVICIO DE ACCESO REMOTO (RAS)
icoai
Dcinro
Socket
Identificador para un
servicio particular en
un host particular de
una red. El socket se
compone de una
direccin de host y
un nmero de
puerto, que identifica
el servicio. Por
ejemplo, el puerto 80
de un host de
Internet indica un
servidor Web.
En el servicio RAS de Windows 2000, los clientes de acceso remoto se conectan

solamente a los recursos del servidor de acceso remoto o se conectan a los
recursos del servidor RAS y a los recursos de la red a la que esta conectado el
servidor RAS. Este ltimo permite a los clientes de acceso remoto acceder a los
recursos de la red como si trabajara desde un host local de la red.
Un servidor de acceso remoto en Windows 2000 permite dos mtodos de conexin
remota:
Acceso remoto por medio de telfono: Con el acceso remoto por medio del acceso
telefnico a redes, un cliente de acceso remoto utiliza la infraestructura de telefona
pblica para crear un circuito fsico temporal o un circuito virtual a un puerto de un
servidor de RAS. Una vez creado el circuito fsico o virtual, se puede negociar el
resto de los parmetros de acceso.
Acceso remoto por medio de VPN: Con el acceso remoto por medio de VPN, un
cliente VPN utiliza una red no segura a travs de la cual crear una conexin punto
a punto virtual con el servidor RAS que acta como servidor VPN. Una vez creada
la conexin punto a punto virtual, se puede negociar el resto de los paramentos
de acceso.

Una conexin de acceso remoto se encuentra formada por un cliente de acceso
remoto, un servidor de acceso remoto y una infraestructura W.A.N a travs de la
cual llegar al servidor, como ser la red de telefona pblica o Internet.

Los clientes de acceso remoto como Windows 2000, XP, NT, 9x pueden
conectarse a un servidor RAS de Windows 2000, adems de clientes de terceros
como Linux, UNIX y Mac, siempre que utilicen el protocolo de conexin PPP.
Definir RAS

Wi9
n5
Actividad
Wi9
n8
Cliente de acceso remoto
Linux
Nvl
oel
Unix
OS/2
288

El servidor de acceso remoto de Windows 2000 acepta las conexiones mediante
acceso telefnico a redes y enva los paquetes entre los clientes de acceso remoto
y la red a la que est conectado el servidor RAS.
El equipo de acceso remoto y la infraestructura W.A.N

Las conexiones fsicas y lgicas entre el servidor de acceso remoto y el cliente de
acceso remoto se simplifican mediante el mecanismo de acceso telefnico
instalado en el cliente de acceso remoto, el servidor de acceso remoto y la
infraestructura de telecomunicaciones.
Entre las vas de transmisin se pueden identificar las siguientes:
Red telefnica conmutada pblica
Enlaces digitales y V. 0
9
Red digital de servicios integrados (RDSI)
ATM sobre ADSL
icoai
Dcinro
AsyBEUI
Asynchronous
NetBEUI - NetBEUI
asncrono.
Los protocolos de acceso remoto controlan el establecimiento de la conexin y

transmisin de datos sobre los enlaces W. . . El sistema operativo y los protocolos
AN
de L.A.N que se utilizan en los clientes y servidores de acceso remoto fijan el
protocolo de acceso remoto que los clientes pueden utilizar.
El servicio de acceso remoto en Windows 2000 soporta tres tipos de protocolos
de acceso remoto:
El protocolo PPP.
oa
Nt
E p o o o o AsyBEUI
l rtcl
es un protocolo de
acceso remoto utilizado
prlscine d
o o lets e
acceso remoto
heredados que ejecutan
un sistema operativo
atro alsvrins
neir a esoe
W indows 9x.
El protocolo SLIP.
El protocolo AsyBEUI.
SEGURIDAD DE LOS ACCESOS REMOTO S
El servicio RAS ofrece una buena variedad de funciones de seguridad, entre las
que incluye la autenticacin de usuarios seguros, la autenticacin reciproca, el
cifrado de datos, el sistema callback, el identificador de llamada y el cierre de
cuenta de acceso remoto.
La correcta distincin entre autenticacin y autorizacin permite comprender como
son denegados o aceptados los intentos de conexin con RAS.
Clase terica 17
oa
Nt
Es posible que un
intento de conexin sea
autenticado pero no
atrzd,e et cs
uoiao n se ao
la conexin se deniega
prpredlsrio
o at e evdr
RAS.
289
Autenticacin: la autenticacin es la verificacin de las credenciales del intento

de conexin. Este proceso consiste en el envi de las credenciales desde el
cliente RAS al servidor RAS ya sea mediante texto plano o un formulario cifrado
que utiliza un protocolo de autentificacin.
Autorizacin: la autorizacin es la verificacin de que el intento de conexin se
permite, este proceso ocurre luego de un proceso de autentificacin satisfactorio
para el servidor RAS.
Para que un intento de conexin se acepte, la conexin debe ser autenticada y
autorizada.

La autenticacin de usuarios seguros se logra a travs del intercambio cifrado de
credenciales de usuario. Esto es posible gracias al uso del protocolo de acceso
remoto PPP junto con alguno de los siguientes protocolos de autenticacin:
Protocolo de autenticacin extensible (EAP).
oa
Nt
S e c i n ed a c s
i l let e ceo
remoto no puede realizar
l atniainsgr
a uetcc eua
e i i ap re s r i o
xgd o l evdr
RAS, la conexin se
dnea
eig.
El protocolo de autenticacin de desafo muto de Microsoft (MS-CHAP v1 y

v)
2.
El protocolo de autenticacin de acuerdo mutuo de desafo (CHAP).
El protocolo de autenticacin de contraseas de Shiva (SPAP).
El servidor RAS puede ser configurado para exigir un mtodo de autenticacin
seguro.
icoai
Dcinro
EAP-TLS
EAP-Transport Leve
l
Security - EAPSeguridad de nivel
de transporte.
La autenticacin reciproca se obtiene autenticando ambos extremos de la conexin

a travs del intercambio cifrado de las credenciales del usuario. Esto es posible
gracias al uso de PPP j n o c n EAP-TLS o la versin 2 MS-CHAP. Durante la
ut o
autenticacin recproca, el cliente de acceso remoto se autentica asimismo en el
servidor RAS y el servidor RAS se autentica asimismo con el cliente de acceso
remoto.
Actividad
D f n r AsyBEUI:
eii
Explique la direccin entre Autrnticacin y

autorizacin:
290
Cifrado de datos
El cifrado de datos cifra los datos que se envan entre el cliente de acceso remoto
y el servidor RAS. El cifrado de datos solo ofrece cifrado para las comunicaciones
entre el cliente y el servidor RAS, si es necesario cifrar completamente las
comunicaciones de extremo a extremo hay que utilizar IPSec.
El cifrado de datos en una conexin de acceso remoto se basa en el conocimiento
de la parte del servidor RAS y del cliente de acceso remoto de una clave secreta
de cifrado. Esta clave secreta de cifrado compartida se genera durante el proceso
de autenticacin del usuario.

Con CallBack, el servidor RAS llama al cliente de acceso remoto despus de que
se han verificado las credenciales del usuario. Callback puede configurarse en el
servidor para llamar al cliente de acceso remoto a un nmero especificado por el
usuario del cliente de acceso remoto durante la duracin de llamada. Esto permite
a un usuario mvil llamar y obtener desde el servidor RAS la llamada al cliente a
la ubicacin actual, de esta manera ahorrando el valor monetario de la conexin.
Es posible configurar el sistema callback para que siempre llame a un usuario
mvil de acceso remoto a un mismo nmero de telfono.
La identificacin de llamada, puede utilizarse para verificar que la llamada entrante
proviene de un nmero especfico. Si el nmero telefnico desde el cual se desea
lograr la conexin entrante de acceso remoto no coincide con la configurada para
el usuario, automticamente la conexin se deniega.
El identificador de llamada, necesita que la lnea telefnica soporte el servicio de
identificacin de llamada, ya que sino ser imposible verificar el numero desde el
cual ingresa una conexin entrante de acceso remoto. Si se encuentra habilitada
en el servidor RAS la opcion de Identificador de llamada, pero la lnea telefnica
no soporta o no tiene habilitada la identificacin de nmeros entrantes, el servidor
RAS rechazar las conexiones entrantes.

La funcin del bloqueo de cuentas de acceso remoto se utiliza para especificar
cuantas veces puede fallar la autenticacin de acceso remoto en una cuenta de
usuario vlida antes de que se deniegue el acceso remoto al usuario. El bloqueo
de cuentas de acceso remoto es especialmente importante en conexiones VPN.
Usuarios mal intencionados pueden intentar acceder a la intranet detrs del servidor
RAS, brindado credenciales falsas, por medio de programas de ataque de
diccionario durante el intento de autenticacin.
Clase terica 17
291
Como el servidor RAS no puede distinguir de usuarios mal intencionados que

tratan de ganar acceso de usuarios que han olvidado su contrasea, se debe
activar la funcin bloqueo de cuentas de acceso remoto.
Existen dos variables a la hora de configurar el bloqueo de cuentas:
El numero de intentos fallidos antes de que se deniegue los nuevos intentos:
despus de cada intento fallido, se incrementa un contador de intentos fallidos
para la cuenta del usuario. Si el contador alcanza el mximo configurado, se
deniegan los nuevos intentos por conectarse. Una autenticacin exitosa reinicia
e cn
l o tador.
Con que frecuencia se reinicia el contador de intentos fallidos: s d b r i i i r
e ee enca
el contador de intentos fallidos cada cierto tiempo para evitar bloqueos
accidentales debido a fallos normales de los usuarios que han olvidado o
introducido mal su clave en varias ocasiones.
oa
Nt
Prcd itnod
o aa net e
atniain
uetcc,
automticamente se
guarda el nombre de la
drciad acs
ietv e ceo
remoto que acepta o
rcaae itnod
ehz l net e
conexin.
RRAS permite el registro de la informacin de autenticaciones y recuento para

los intentos de conexin basados en PPP cuando se encuentra activa la
autenticacin o recuento de Windows. Este registro se encuentra separado de
los eventos guardados en el sistema por el registro de sucesos de Windows
2000. Es posible utilizar la informacin registrada para rastrear el uso del acceso
remoto y los intentos de autenticacin, este registro es til a la hora de resolver
problemas en las directivas de acceso remoto.
REGISTRO DE EVENTOS
oa
Nt
Se puede configurar el
tp d atvdda
io e ciia
rgsrre u srio
eita n n evdr
RAS y las propiedades
d la c i od r g s r .
e rhv e eito
El servicio de RRAS de Windows 2000 realiza extensos registros de errores en el

registro de eventos del sistema. Se puede utilizar la informacin del registro de
eventos para solucionar problemas de los procesos de ruteo o acceso remoto.
Existen cuatro niveles de actividades a registrar:
Slo registrar errores.
Registrar errores y avisos.
Actividad
Explicar bloqueo de cuentas:
Definir CallBack:
292
Registrar la mxima cantidad de informacin.
oa
Nt
Cad s rgsr l
uno e eita a
mxima cantidad de
ifrain l
nomc, a
i f r a i nd lr g s r
nomc e eito
puede ser compleja y
muy detallada.
Desactivar el registro de eventos.

El registro consume recursos del sistema y debe ser utilizado con moderacin
para ayudar a identificar los problemas de la red. Una vez que se ha registrado el
evento o se ha identificado el problema, se debe reestablecer el registro a slo
rgsrr errs
eita roe.
Clase prctica 17
293
Clase prctica 17
Mediante la realizacin de esta prctica usted comprender el funcionamiento de los servicios de Ruteo
y Acceso Remoto de Windows 2000 Server, adems de realizar tareas administrativas y de configuracin
de los servicios de RRAS.
Enrutamiento y Acceso remoto (RRAS)

Para la siguiente prctica se deber disponer del servidor MGP-SRV01 configurado con las siguientes
direcciones IP (una en cada adaptador de red):192.168.0.1 y 172.16.1.1
Adems, debern estar instalados y funcionando los servicios de DHCP, WINS y DNS as como
tambin el Active Directory con sus correspondientes grupos, usuarios, polticas y perfiles.
Ejercicio 1:
Icono Conexin de rea local 2 (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local 2

Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X que
se encuentra en el ngulo superior derecho de la ventana.)
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
Enrutamiento y acceso remoto (clic)
enrutamiento y acceso remoto
desplegar la consola de administracin de
294
MGP-SRV01 (local) (clic con el botn derecho del mouse)

Configurar y habilitar el enrutamiento y el acceso remoto (clic) Ejecutar el asistente
para la instalacin del servidor de enrutamiento y acceso remoto
Enrutador de red (clic) Establece que se quiere utilizar el equipo para la comunicacin
con otras redes
Verificar que en la lista Protocolos: se encuentre el protocolo TCP/IP
Si, todos los protocolos disponibles estn en la lista (clic)
Botn Siguiente (clic) Especifica que se desea trabajar solo con el protocolo TCP/IP
No (clic) Especifica que no se desea usar conexiones de marcado a peticin para tener
acceso a redes remotas
Botn Finalizar (clic) Cerrar el asistente y activar el servicio
Cerrar la consola de administracin de enrutamiento y acceso remoto
Ejercicio 1:

Puerta de enlace predeterminada: 172.16.1.1
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X que
se encuentra en el ngulo superior derecho de la ventana.)
Ejercicio 1:
Clase prctica 17
Direccin IP: 192.168.0.254

Puerta de enlace predeterminada: 192.168.0.1
Servidor DNS preferido: 192.168.0.1
Ejercicio 2:
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor

DNS para obtener la IP de la maquina con nombre maq1 que pertenece al sub-dominio
gerencia del dominio megapack.com.ar
Tr
acert maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) genera un
seguimiento de todos los saltos en la ruta que se utiliza para llegar hasta
maq1.gerencia.megapack.com.ar
Observar que para llegar al destino, primero se pasa por MGP-SRV01 ya que es la mquina que
fue configurada como puerta de enlace y es la encargada de rutear los paquetes de datos.
Ejercicio 2:
295
296
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping www.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor DNS para
obtener la IP de la mquina con nombre www que pertenece al dominio megapack.com.ar
Tracert www.megapack.com.ar (presionar la tecla ENTER) genera un seguimiento de
todos los saltos en la ruta que se utiliza para llegar hasta www.megapack.com.ar
Ejercicio 1:
Men Inicio (clic)

Ejecutar (clic)
DOS
Ping www.megapack.com.ar (presionar la tecla ENTER) Consulta al servidor DNS para

obtener la IP de la maquina con nombre www que pertenece al dominio megapack.com.ar
(en la prctica 16 se le haba asignado a esta mquina la IP del servidor MGP-SRV03)
Tracert www.megapack.com.ar (presionar la tecla ENTER) genera un seguimiento de
todos los saltos en la ruta que se utiliza para llegar hasta www.megapack.com.ar
Debido a que este equipo utiliza la configuracin dinmica ofrecida por el servidor DHCP donde
previamente se haban establecido los valores para dominio, servidor WINS, servidor DNS y
puerta de enlace, no es necesario realizar ningn tipo de modificacin a las configuraciones.
Clase prctica 17
297
Servidores de Servicios de Informacin de Internet en Windows 2000 Server (IIS 5.0)
298
Clase terica 18
Servidores de Servicios de Informacin de Internet en
Windows 2000 Server (IIS 5.0)
INTRODUCCIN
icoai
Dcinro
I S 5 0 es el servidor Web y de transferencia de archivos (FTP) que se provee

I .
con Windows 2000 Server.
IIS
Internet Information
S ervices - Servicios
de Informacin de
Internet.
FTP
Fie Transfer P rotocol
l
- Protocolo de
transferencia de
archivos.
HTML
H yperText M arkup
Laguage - Lenguaje
de marcas de texto
enriquecido.
HTTP
H yperText Transfer
P rotocol - Protocolo
de transferencia de
texto enriquecido.
WebDAV
W e b D istributed
V ersioning and
A uthoring - Autores y
versiones Web
distribuidas.
oa
Nt
S s ce uaga
i e ra n rn
cnia d sto e u
atdd e iis n n
mismo host con IIS, es
ncsrocniea ls
eeai osdrr a
limitaciones del hardware
y ampliarlo segn sea
ncsro
eeai.
La funcin del servidor Web es aceptar la entrada de los navegadores Web y

proporcionarles contenidos, como ser: pginas H T M L, imgenes, sonidos, y
archivos ejecutables, al igual que contenidos activos preparados para ejecutarse
en un navegador Web.
Este contenido puede derivarse de archivos estticos o de la ejecucin de archivos
de comandos ejecutados por IIS y de la ejecucin de programas normales. Los
servidores Web implementan el protocolo de transferencia de texto enriquecido
(
HTTP) y se los conoce como servidores HTTP.
I S 5 0 tambin implementa W ebDAV para HTTP v1.1 que permite a los
I .
navegadores Web tratar los recursos Web como sistemas de archivos. Los
usuarios pueden cargar, modifica o eliminar con este mecanismo archivos en el
servidor Web.
La funcin del servidor FTP del IIS es simplemente permitir a los clientes FTP la
carga y descarga de archivos.
SITIOS WEB Y FTP

En un principio, cada nombre de dominio de Internet, como www.sitio-ejmplo.com,
representaba un equipo individual. Con IIS es posible mantener varios sitios Web
o FTP simultneamente en un host donde se ejecute Windows 2000. Cada sitio
Web puede tomar uno o ms nombres de dominio, ya que cada sitio imita a un
hs idvda.
ot niiul
Independientemente de si IIS se encuentra en una intranet o Internet, se pueden
crear mltiples sitios Web y FTP en un solo host mediante alguna de las siguientes
opciones:
Adjuntar nmeros de puerto a la direccin IP.
Utilizar mltiples direcciones IP, cada una con su propio adaptador de red.
Asignar mltiples nombres de dominio y direcciones IP a un adaptador de
red utilizando nombres de cabecera de host.
Durante la instalacin de IIS, se asignan valores predeterminados a las distintas
propiedades. Es posible utilizar las configuraciones predeterminadas de IIS o se
Clase terica 18
icoai
Dcinro
URL
U niform R esource
Locator - Localizador
uniforme de
recursos.
Proporciona los
enlaces de texto
enriquecido entre
documentos en la
W orld Wide Web
(W W W), Cada
recurso de Internet
tiene su propio
identificador de
ubicacin o URL.
299
pueden personalizar las configuraciones para satisfacer diferentes necesidades

a la hora de publicar una We . Al realizar configuraciones personalizadas se
b
pueden conseguir mejores resultados, mejor rendimiento y seguridad en una
publicacin Web.
Las propiedades pueden configurarse a nivel de sitio, nivel de directorio o a nivel
de archivo. Las configuraciones de niveles superiores, como de sitio, se utilizan
automticamente, o se heredan a los niveles inferiores, pero pueden modificarse
individualmente en niveles inferiores.
Cuando se realiza un cambio en las propiedades de un sitio, directorio o archivo,
los cambios posteriores a los valores predeterminados principales no omitirn
automticamente la configuracin individual, en vez de eso se recibir un mensaje
preguntando si se desea cambiar la configuracin para que se ajuste a los nuevos
valores predeterminados.
Algunas propiedades tienen un valor que toma la forma de una lista, por ejemplo
el valor de un documento predeterminado puede ser una lista de documentos
que se cargar cuando el usuario no especifica un archivo en una U R L.
MIME
(Multi-Purpose
Internet Mail
Extensions Extensiones de
correo Internet
multipropsito), son
una serie de
convenciones o
especificaciones
dirigidas a que se
puedan intercambiar
a travs de Internet
todo tipo de archivos
(texto, audio, vdeo,
etc.) de forma
transparente para el
usuario.
Hosting
Nombre con que se
describe la accin de
albergar sitios Web
Los mensajes de error personalizados, el control de acceso TCP/IP, l s

a
correspondencias de secuencias de comando y las asignaciones MIME son
otros ejemplos de propiedades almacenadas en forma de lista Aunque estas
.
listas posean mltiples entradas, IIS trata a la lista entera como una sola propiedad,
si se modifica una lista en un directorio y se hace un cambio global a nivel de
sitio, la lista a nivel de directorio se reemplaza completamente con la nueva lista
de sitio; las listas no se mezclan. Los valores de lista no se muestran si son los
predeterminados heredados.
Grupo Operadores
Operadores es un grupo especial de usuarios en Windows 2000 que tienen
privilegios administrativos limitados sobre sitios Web individuales. Los miembros
del grupo Operadores pueden administrar propiedades que solo afecten a sus
respectivos sitios, y no tienen acceso a propiedades que afecten a IIS, el host
que ejecuta IIS o la red.
Es normal que un servicio de hosting de pginas Web, albergue varios sitios
Web en un solo servidor y otorgue permisos de grupo Operadores para que cada
administrador de sitio Web. Es mtodo de administracin distribuida de servidores
IIS, presenta las siguientes ventajas:
D f n rI S
eii I:
Actividad
ISpeedjrvro sto (
I ud ea ais iis
ISn peedjrvro sto (

I o ud ea ais iis
300
Cada miembro del grupo operadores puede actuar como el administrador

del sitio y puede cambiar o reconfigurar el sitio Web segn sea necesario.
Al operador de un sitio Web no se le permite cambiar la identificacin de los
sitios Web, configurar el nombre o contrasea del usuario annimo, regular
el ancho de banda para el sitio, crear directorios virtuales o cambiar sus
rutas de acceso.
Dado que los miembros del grupo operadores tienen privilegios ms limitados
que los administradores del sitio Web, no se encuentran autorizados para
explorar de manera remota el sistema de archivos, por lo que no podrn fijar
propiedades de directorio y archivos a menos que utilicen una ruta de acceso
UNC.

Debido a que no siempre se recomienda realizar tareas administrativas en el
equipo que ejecute IIS, hay disponible una opcion de administracin remota. S l
ia
conexin se realiza desde Internet o la intranet, se puede utilizar el Administrador
de Servicios Internet en formato HTML, para cambiar las propiedades del sitio.
E Administrador de Servicios Internet, utiliza un sitio Web administrativo para
l
acceder a las propiedades de IIS. Cuando se instala IIS, se selecciona y asigna
aleatoriamente un nmero de puerto entre 2000 y 9999 a este sitio Web. Este
sitio administrativo, responde a las peticiones del explorador Web para todos los
nombres de dominio instalados el equipo, siempre que se adjunte el nmero de
puerto a la direccin.
Sintaxis de ejemplo
http://www.sitio-ejemplo.com :4585/iis.asp
Si se utiliza autenticacin bsica, se le pedir al administrador un nombre de

usuario y una contrasea al conectarse al sitio, solo los miembros del grupo
Administradores y Operadores podrn utilizar este sitio administrativo de IIS.
El proceso de administrar sitios incluye varias tareas, como iniciar y detener
sto,argrsto,nmrrsto yriiirIS
iis gea iis oba iis enca I.
Inicio y detencin de sitios

De forma predeterminada los sitios se inician automticamente cunado se reinicia
el equipo.
Detener un sitio, detiene los servicios Internet y descarga los servicios Internet
de la memoria del equipo.
Poner en pausa un sitio, evita que los servicios Internet acepten nuevas peticiones
Clase terica 18
301
pero no afecta a las peticiones que ya se estn procesado.

Iniciar un sitio reinicia o reanuda los servicios Internet.
oa
Nt
S u s t op r
i n ii aa
repentinamente, el
complemento Servicios
de Internet Information
Server podra no indicar
correctamente el estado
d l s r i o Antes de
e e v d r.
r i i i rh yq e
enca a u
detenerlo y luego
iniciarlo nuevamente.
Cada sitio Web (servidor virtual) tiene un nombre descriptivo y puede soportar
uno o ms nombres de cabecera de host. Los nombres de cabecera de host
hacen posible alojar mltiples nombres de dominio en un solo equipo. Algunos
exploradores Web antiguos no son compatibles con el uso de nombres de
cabecera de host.
Si un visitante intenta conectar al sitio con un explorador antiguo que no es
compatible con cabeceras de host, automticamente se le redirige al sitio Web
predeterminado asignado a esa direccin IP, que no tiene por qu ser
necesariamente el sitio pedido. Tambin, si se recibe una peticin de cualquier
explorador para un sitio que se encuentra detenido, el visitante recibe el sitio Web
predeterminado en su lugar.
Es necesario determinar cuidadosamente lo que muestra el sitio Web
predeterminado, normalmente, los ISP muestran su propia pgina de inicio como
predeterminada, y no uno de los sitios Web de sus clientes ya que esto evita que
las peticiones de conexin para un sitio detenido, lleguen al lugar equivocado o
muestren un mensaje de error.
Compresin HTTP
oa
Nt
Et crcetc sl
sa aatrsia oo
e spraa pr cine
s ootd o lets
qetaae cne
u rbjn o l
p o o o od r i i i d
rtcl e enco e
FTP
La compresin HTTP permite la transmisin ms rpida de pginas entre un

servidor IIS y un cliente Web. Esto es til en situaciones donde el ancho de banda
se encuentra limitado, dependiendo del contenido que se est albergando, el
espacio de almacenamiento y la velocidad de conexin del visitante del sitio Web,
la compresin HTTP puede proporcionar una transmisin ms rpida de pginas
entre el servidor Web y exploradores con compresin HTTP activada.
FTP y reinicio FTP

El servicio FTP, es un protocolo estndar utilizado para publicar informacin en
un servidor We . En IIS el protocolo de reinicio FTP, se encuentra soportado por
b
Windows 2000 y permite una manera rpida y dinmica de cargar y descargar
Actividad
Definir cabecera de host:
Definir compresin HTTP:
302
informacin desde una intranet o Internet.

Si ocurre una interrupcin en durante la transferencia de datos de un sitio FTP,l
a
descarga puede reanudarse desde donde se interrumpi sin necesidad de subir
o bajar nuevamente el archivo completo.
IIS utiliza cinco mecanismos bsicos de seguridad: Autenticacin, certificados,
control de acceso, cifrado de datos y auditora.
Autenticacin
La autenticacin permite confirmar la identidad de cualquiera que pida acceso a
los sitios Web, IIS soporta los siguientes tipos de autenticacin para HTTP y
FTP:
Autenticacin HTTP y FTP annima.
Autenticacin HTTP y FTP bsica.
Autenticacin de texto implcita para dominios Windows 2000.
Autenticacin de Windows integrada.
Certificados
Para completar el proceso de autenticacin, se necesita un mecanismo para
verificar la identidad de un usuario. Los certificados son documentos de
identificacin digital que permiten tanto al servidor como al cliente autenticarse
uno con otro.
Para que pueda enviarse informacin cifrada entre un servidor Web y un cliente,
es necesario establecer un mecanismo de conexin SSL.
Control de acceso
Tras verificar la identidad de un usuario, IIS controlara el acceso a sus recursos,
para esto se utilizan dos capas de control de acceso, permisos Web y permisos
NTFS.
Los permisos Web se aplican a todos los clientes HTTP y definen el acceso
a los recursos del servidor.
Los permisos NTFS definen qu nivel de acceso tienen las cuentas de usuario
en carpetas y archivos del servidor.
Auditoria
El ltimo paso para garantizar la seguridad es supervisar regularmente la
Clase terica 18
303
utilizacin del sitio. Los administradores pueden utilizar tcnicas de auditoria de

seguridad para verificar una amplia variedad de actividades de seguridad del
usuario y servidor IIS.
La auditoria consiste en la creacin de polticas de auditoria para acceso a
carpetas, archivos o sucesos de servidor, y la verificacin de registros de
seguridad para detectar cualquier intento de acceso por parte de usuarios no
autorizados.
COPIA DE SEGURIDAD Y RECUPERACIN DE IIS

Se puede realizar una copia de seguridad de la configuracin de IIS, para que
sea ms simple volver a un estado anterior. Los pasos para restaurar una
configuracin son diferentes dependiendo de si se ha quitado y reinstalado IIS o
n.
o
Se puede utilizar el complemento Servicios de Internet Information Server para
hacer una copia de seguridad de la configuracin de IIS. Al realizar una copia de
seguridad solo se logra proporcionar una forma de restaurar las configuraciones
de IIS y no los archivos de contenido. Adems esto no sirve si se reinsta a e
l l
sistema operativo, ya que los archivos de backup no pueden utilizarse en otros
equipos con Windows 2000.
tnin
Aec
Se puede realizar una copia de seguridad de IIS utilizando la administracin remota de IIS, pero hay que utilizar
el complemento Servicios de Internet Information Server para restaurar una copia de seguridad de la
c n i u a i nd I S
ofgrc e I.
GESTIN DE LA PUBLICACIN WEBDAV

W ebDAV ampla el protocolo HTTP v . para permitir a los clientes publicar,
11
bloquear y gestionar recursos en Web. Integrado a IIS, WebDAV permite a los
clientes realizar las siguientes tareas:
Manipular los recursos de un directorio de publicacin WebDAV del servidor.
Por ejemplo, con esta caracterstica los usuarios con permisos apropiados
pueden copiar y mover archivos que se encuentran en un directorio WebDAV.
Modificar propiedades asociadas a ciertos recursos. Por ejemplo, un usuario
puede escribir y recuperar la informacin de propiedades de un archivo.
Actividad
Enumerar metodos de autenticacin:
D f n r W ebDav:
eii
304
Bloquear y desbloquear recursos de manera que mltiples usuarios puedan

leer un archivo concurrentemente, pero slo una persona puede modificarlo
en un momento dado.
Buscar contenido y propiedades de los archivos en un directorio WebDAV.
Configurar un directorio de publicacin WebDAV en el servidor es semejante a
configurar un directorio virtual. Una vez que se ha fijado el directorio de publicacin,
los usuarios que tengan los permisos adecuados pueden publicar documentos
en el servidor y manipular archivos en el directorio.
Clientes WebDAV
Se puede acceder a un directorio de publicacin WebDAV a travs de cualquier
cliente que sea compatible con el protocolo estndar WebDAV.
oa
Nt
O f c c e ,p b i a e i a
fie ra ulc, dt
y guarda documentos
directamente en un
d r c o i W ebDAV a
ietro
ta d caqir
rvs e ulue
alcc d Ofc
piain e fie
versin 2000 en adelante.
W indows 2000 se conecta a un servidor WebDAV a travs del asistente para

agregar sitios de red y muestra los contenidos de un directorio WebDAV como si
fuesen parte del sistema de archivos del host local, una vez establecida la
conexin se pueden arrastrar y soltar archivos, recuperar y modificar las
propiedades de los archivos y otras tareas de sistemas de archivo.
Internet Explorer se conecta a un servidor WebDAV y permite realizar las mismas
tareas de sistema de archivos que pueden realizarse a travs de Windows 2000.
hay que tener habilitado el permiso Examinar directorios en las propiedades
d ld r c o i v r u l
e ietro ita.
Seguridad Integrada
icoai
Dcinro
Ya que WebDAV se encuentra integrado a Windows 2000 y a IIS, toma las

caractersticas de seguridad que ambos ofrecen. Estas caractersticas incluyen
los permisos IIS y las D A C L del sistema de archivos NTFS.
DACL
Discretionary Access
Control List - Lista de
control de accesos
discrecional.
Debido a que los clientes con los permisos correctos pueden escribir es un
directorio WebDAV, es preciso controlar quin accede al directorio en cada
momento. Para ayudar al control de acceso, IIS refuerza la Autenticacin de
Windows integrada mediante la incorporacin de compatibilidad con el protocolo
de autenticacin Kerberos v5.
Seleccionando la autenticacin de Windows integrada se asegura de que slo
los clientes con los permisos correctos puedan acceder y escribir en el directorio
W ebDAV de la red.
Adems IIS incluye una forma de autenticacin denominada Autenticacin de
Te t I p i
x o m l c ta, creada para los servidores de dominio Windows, en este tipo de
autenticacin ofrece una seguridad mas estricta para las contraseas y para la
transmisin de datos a travs de la red.
Clase terica 18
305
icoai
Dcinro
Para crear un directorio de publicacin hay que crear un directorio fsico bajo la
carpeta Inetpub. Por ejemplo, si el nombre de la carpeta a crear fuera EjemploW ebDAV,l rta podra ser:
au
Inetpub
Esta carpeta se crea
automticamente al
instalar IIS en un
host, dentro de ella
se guardan todos los
sitios Web y FTP de
manera
predeterminada,
como ser wwwroot
(para sitios Web) o
ftproot (para sitios
FTP).
%systemroot%\Inetpub\Ejemplo-WebDAV
En realidad puede colocarse esta carpeta en cualquier lugar, excepto bajo la
carpeta wwwroot, ya que es una excepcin porque sus DACL predeterminadas
son diferentes a las de otros directorios.
En el complemento Servicios de Internet Information Services, crear un nuevo
sitio Web o utilizar uno existente y a continuacin crear un directorio virtual bajo
de este, colocar el nombre mas conveniente como alias de este directorio virtual
y enlazarlo a la carpeta fsica que acaba de ser creada. Conceder permisos de
acceso de Lectura, Escritura y Examinar directorios para el directorio virtual.
De esta manera se esta concediendo a los usuarios el derecho de publicar
documentos en este directorio virtual y visualizar una lista de los archivos que
contiene.
Gestin de la seguridad WebDAV

Para proteger el servidor y a su contenido, se deben coordinar tres aspectos
diferentes de seguridad en un todo integrado: Autenticacin de clientes, control
de accesos y denegacin de servicio.
IIS proporciona los siguientes niveles de autenticacin:
Annimo (Anonymous): El acceso annimo concede a cualquiera el acceso
a d r c o i y,p rl tanto, debera deshabilitarse para un directorio WebDAV.
l ietro
o o
Si no se controla quien tiene acceso, el directorio podra ser destruido por
clientes desconocidos.
Bsica (Basic): la autenticacin bsica enva las contraseas para conexin
como texto plano sin cifrar. Como el texto plano es fcilmente descifrable es
necesario utilizar SSL para trabajar con autenticacin bsica.
De Windows Integrada (Windows Integrated): La autenticacin de Windows
integrada trabaja de manera ptima cuando se configure un directorio WebDAV
en una intranet.
Actividad
Definir InetPub:
Enumerar cliente W ebDav:
306
De Texto Implcita (Digest): la autenticacin de texto implcita es la mejor

eleccin para la publicacin de informacin en Internet.
La mejor manera de configurar un directorio WebDAV depende del tipo de
publicacin que se desee realizar.Al crear un directorio virtual mediante IIS se
activan predeterminadamente los mtodos de autenticacin Acceso Annimo
y Autenticacin de Windows Integrada.
Aunque esta configuracin predeterminada funcin bien para clientes que se
conectan al servidor (leen contenidos de una pagina Web y ejecutan archivos
de comando), no funciona bien con clientes que publiquen en un directorio y
manipulen archivos de ese directorio.
Control de Acceso
Es posible controlar el acceso al directorio WebDAV coordinando IIS con los
permisos de Windows 2000. La manera de configurar los permisos Web se basa
en el propsito del material que se publique.
oa
Nt
Al colocar el parmetro
dsciaoe e
eatvd n l
permiso Examinar
Drcois s dneae
ietro, e eig l
acceso a exploradores
W e qe itne
b u netn
cncas cne
oetre o l
d r c o i W ebDAV
ietro
Combinaciones de permisos:
Lectura,
permisos
(excepto
recursos
Escritura y Examinar Directorios (activados): la activacin de estos

permite que los clientes vean una lista de recursos, los modifiquen
por los recursos sin permisos de Escritura), publiquen sus propios
y manipulen archivos.
Escritura (activado), Lectura y Examinar Directorios (desactivados): si se desea

que los clientes publiquen informacin privada en el directorio, pero que los demas
clientes no puedan visualizarla, solo hay fijar el permiso de Escritura (activado),
pero no los permisos de Lectura y Examinar Directorios que deben estar
desactivados.
Lectura, Escritura (activados) y Examinar Directorios (desactivado): h y q e f j r
a u ia
esta configuracin si se quiere confiar en la ocultacin de los nombres de archivo
como mtodo de seguridad. Sin embargo, hay que tener en cuenta que la seguridad
por ocultacin es un mtodo preventivo muy dbil, ya es posible encontrar el
nombre del archivo.
Indizar este recurso (activado): hay que asegurarse de habilitar el Servicio de
Index Server si se tiene previsto permitir a los clientes buscar en los recursos de
drcoi.
ietro
Si se arrastran y sueltan archivos muy grandes en el directorio WebDAV, e p s b e
s oil
que se ocupe una cantidad excesiva del espacio en el disco. Para limitar esta
cantidad hay que considerar la posibilidad de establecer cuotas de disco para los
usuarios.
Clase prctica 18
307
Clase prctica 18
Mediante la realizacin de esta prctica usted comprender el funcionamiento de los servicios de
publicacin Web de Windows 2000 Server, mediante la utilizacin y configuracin de IIS 5.0
Instalacin y configuracin de Internet Information Server

(en el Servidor Independiente)
Para esta prctica se necesitar al servidor MGP-SRV01 (configurado con todos los servicios de
las prcticas anteriores), el servidor MGP-SRV03 y el equipo MGP-WST01
Ejercicio 1:
Men Inicio (clic)

Configuracin (clic)
quitar programas
Servicios de Internet Information Server (IIS) (doble clic) Despliega la ventana de
servicios de Internet Information Server
Marcar las opciones que se indican a continuacin haciendo clic en el casillero en
blanco (el resto de las opciones dejarlas desmarcadas): Selecciona los subcomponentes a instalar de IIS
Archivos comunes Archivos necesarios para varios componentes
Complemento de Servicios de Internet Information Server
Interfaz
administrativa de IIS
Documentacin
Extensiones de servidor de FrontPage 2000 permite la edicin y administracin
con FrontPage y VisualInterDev
Servidor de Protocolo de transferencia de archivos (FTP) habilita la
compatibilidad con el protocolo de transferencia de archivos
Servidor World Wide Web habilita el servidor Web
Botn Aceptar (clic)
308
Ejercicio 2:
Para este ejercicio se supondr que el alumno tiene los conocimientos necesarios como para
realizar una copia de archivos de un diskette a una carpeta.

Carpeta Inetpub (doble clic) Ingresar a la carpeta asociada a los servicios de
Internet
Carpeta wwwroot (doble clic) Ingresar a la raz de servicios Web
Men Archivo (clic)
Nuevo (clic)
Colocar MegaPack (sin las comillas) como nombre de la nueva carpeta y presionar la
tecla ENTER Establece MegaPack como nombre de la nueva carpeta
En este momento deber copiar en la carpeta MegaPack los archivos de la aplicacin de
demostracin que el Instructor le entregar.
Ejercicio 3:

Propiedades (clic) Acceder a las propiedades de Mi PC
Solapa Identificacin de red (clic)
Botn Propiedades (clic) Acceder a las propiedades de Identificacin de red
Dominio: (clic)
Colocar megapack en el cuadro de texto Dominio: y presionar la tecla ENTER
Agregar el equipo al dominio megapack
Nombre: Supervisor
Botn Aceptar (clic) Usar las credenciales del supervisor para agregar el equipo al
dominio
Botn Aceptar (clic) Cerrar la ventana de bienvenida al dominio
Botn Aceptar (clic) Cerrar la ventana de Informacin
Botn Aceptar (clic) Cerrar la ventana de propiedades del sistema
Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo Es
necesario reiniciar para que se tengan en cuenta los cambios
Ejercicio 4:
(Iniciar sesin como Supervisor).
Clase prctica 18
Men Inicio (clic)

Programas (clic)
Administrador de servicios de Internet (clic) Ejecuta la consola de
Administracin de servicios de Internet
mgp-srv03 (doble clic)
mgp-srv03 (clic con el botn derecho del mouse)
Nuevo (clic)
Sitio Web (clic) Ejecuta el asistente para crear un sitio Web
Colocar Web MegaPack (sin las comillas) en el cuadro de texto Descripcin:

Escriba la direccin IP para este sitio Web: 192.168.0.254
Puerto TCP que debera usar este sitio Web: 80
Encabezado del host para este sitio:

Colocar C:\inetpub\wwwroot\megapack (sin las comillas) en el cuadro de texto
Ruta de acceso: Especifica cual ser el directorio principal del nuevo sitio
W eb
Desmarcar la opcin Permitir accesos annimos a este sitio Web Solo se le
permitir el acceso a los usuarios del dominio
Botn Siguiente (clic) Establece que se utilizarn los permisos por defecto
(Lectura, Ejecutar secuencias de comandos)
Botn Finalizar (clic) Cerrar el asistente
Sitio Web predeterminado (clic con el botn derecho del mouse)
Detener (clic) Detener el sitio Web predeterminado para que no genere con
flictos con el creado anteriormente
W eb MegaPack (clic con el botn derecho del mouse)
Solapa Documentos (clic)
Botn Agregar (clic) Agregar un nuevo nombre de documento
predeterminado (que se utilizar para mostrar cuando no se especifique ninguna
pgina en la url)
Colocar MegaPack_Login.htm (sin las comillas) en el cuadro de texto Nombre
del documento predeterminado: y presionar la tecla ENTER
Botn con flecha hacia arriba (clic 2 veces de manera que MegaPack_Login.htm
quede en primer lugar)
Botn Aceptar (clic) Guardar configuracin
Cerrar la consola de administracin de servicios de Internet
Men Inicio (clic)

Ejecutar (clic)
Colocar www.megapack.com.ar (sin las comillas) y presionar la tecla ENTER Accede
al servidor Web localmente
Debido a que se especific que no se permitan conexiones annimas, aparecer una
ventana que requerir credenciales para poder acceder al sitio Web:
Nombre de usuario: supadm
Contrasea: AdM933sUP
Dominio: megapack.com.ar
Botn Aceptar (clic) enva las credenciales para la autenticacin
Cerrar el explorador de Internet
309
310
Ejercicio 1:
Men Inicio (clic)

Ejecutar (clic)
Colocar www.megapack.com.ar (sin las comillas) y presionar la tecla ENTER
Accede al servidor Web
Debido a que se especific que no se permitan conexiones annimas, aparecer una
Nombre de usuario: supcob
Contrasea: CoB546sUP
Dominio: megapack.com.ar
Ejercicio 5:
Men Inicio (clic)

Programas (clic)
Administrador de servicios de Internet (clic) Ejecuta la consola de
Administracin de servicios de Internet
mgp-srv03 (doble clic)
mgp-srv03 (clic con el botn derecho del mouse)
Nuevo (clic)
Sitio FTP (clic) Ejecuta el asistente para crear un sitio FTP
Colocar FTP MegaPack (sin las comillas) en el cuadro de texto Descripcin:

Escriba la direccin IP para este sitio FTP: 192.168.0.254
Puerto TCP: 21

Colocar C:\inetpub\wwwroot\megapack (sin las comillas) en el cuadro de texto
Ruta de acceso: Especifica cual ser el directorio principal del nuevo sitio
W eb
Escritura (clic en el casillero en blanco para marcarlo)
Botn Siguiente (clic) Establece que se utilizarn los permisos por defecto
Clase prctica 18
(Lectura, Escritura)
Sitio FTP predeterminado (clic con el botn derecho del mouse)
Detener (clic) Detener el sitio Web predeterminado para que no genere
conflictos con el creado anteriormente
FTP MegaPack (clic con el botn derecho del mouse)
Propiedades (clic)
Solapa Mensajes (clic) Configurar mensajes de bienvenida del servidor FTP

Bienvenida: Bienvenido/a al servidor FTP de MegaPack. Este servicio est pensado para la
administracin Web, el uso indebido del mismo ser registrado.
Salida: Gracias por usar el servicio FTP de MegaPack
Solapa Cuentas de seguridad (clic)

Permitir conexiones annimas (clic para desmarcar)
Botn Aceptar (clic) Guardar la nueva configuracin
Cerrar la consola de administracin de servicios de Internet
Ejercicio 6:
Men Inicio (clic)

Ejecutar (clic)
Colocar ftp://mgp-srv03.megapack.com.ar (sin las comillas) y presionar la tecla ENTER
Accede al servidor FTP localmente
Debido a que se especific que nos e permitan conexiones annimas, aparecer una
Nombre de usuario: supcob
Contrasea: CoB546sUP
Prestar atencin a que no se puede iniciar sesin con el usuario supcob ya que por motivos de
seguridad solo se le permite la modificacin del sitio Web a los Administradores
A continuacin introducir las siguientes credenciales:
Ejercicio 2:
Men Inicio (clic)

Ejecutar (clic)
311
312
Colocar ftp://www.megapack.com.ar (sin las comillas) y presionar la tecla ENTER

Accede al servidor FTP
Debido a que se especific que nos e permitan conexiones annimas, aparecer una
Botn Aceptar (clic) envia las credenciales para la autenticacin
Prestar atencin a que no se puede iniciar sesin con el usuario supadm ya que por motivos de
seguridad solo se le permite la modificacin del sitio Web a los Administradores
A continuacin introducir las siguientes credenciales:
Clase prctica 18
313
Introduccin al modelo bsico de seguridad de Windows 2000 Server
314
Clase terica 19
INTRODUCCIN
El subsistema de seguridad de Windows 2000 est compuesto por un conjunto
de componentes de seguridad que garantizan que los usuarios y aplicaciones no
puedan acceder a los recursos sin una identificacin adecuada.
El subsistema de seguridad realiza el seguimiento de las directivas de seguridad
y las cuentas que se mantienen en cualquier sistema dado.
Las directivas y las cuentas guardadas en un controlador de dominio donde se
encuentra instalado Active Directory, son las directivas y cuentas efectivas para
un dominio particular donde est localizado el controlador de dominio. Estas
directivas y cuentas se encuentran almacenadas en Active Directory.
icoai
Dcinro
LSA
Local S ecurity
A uthority - Autoridad
de seguridad local.
SRM
S ecurity R eference
M onitor - Monitor de
referencia de
seguridad

La autoridad de seguridad local es uno de los componentes centrales del
subsistema de seguridad. El LSA es responsable de la validacin de todos los
inicios de sesin de usuarios locales y remotos, generando los testigos de acceso
de seguridad y administrando la directiva local de seguridad, incluyendo el control
de la directiva de auditoria.
El LSA es tambin responsable de la escritura en el registro de eventos de los
mensajes de auditoria que produce el Monitor de referencia de seguridad.
MONITOR DE REFERENCIA DE SEGURIDAD (SRM)
El monitor de referencia de seguridad, que se ejecuta en el ncleo de Windows
2000, es responsable de forzar todas las validaciones de acceso y directivas de
auditora en la directiva local de seguridad. De esta manera, se evita el acceso
directo a los objetos por cualquier usuario o proceso, garantizando que cualquier
proteccin se proporcione de manera uniforme a los objetos del sistema.
El SRM trabaja en conjunto con el Administrador de objetos para validar el acceso
a los objetos y generar los mensajes de auditora que se requieren.
Cuando se requiere el acceso a un objeto, el SRM compara el contenido del ACL
de los objetos con los contenidos del testigo de acceso del usuario. Si se permite
el acceso al objeto, el SRM asigna un identificador al proceso y este identificador
se utiliza para todas las peticiones similares de acceso, evitando la necesidad
de comprobaciones de acceso futuras.
DERECHOS DE USUARIO
Los derechos de usuario permiten a los usuarios realizar acciones especficas,
como puede ser la realizacin de copias de seguridad de la informacin de los
equipos. Los administradores asignan derechos especficos a las cuentas de
Clase terica 19
315
grupo y a las cuentas de usuario individuales.

Los derechos de usuario y los derechos de acceso difieren en que los derechos
de usuario se aplican a los derechos designados de forma local a las cuentas de
usuario, mientras que los derechos de acceso se aplican para asegurar objetos.
Es mejor administrar derechos de usuario basndose en las cuentas de grupo,
ya que de esta manera se simplifica la tarea de administrar las cuentas de usuario
y garantiza que el usuario hereda de forma automtica los derechos asociados a
un grupo pa t c l r.
riua
Existen dos tipos de derechos de usuario: privilegios y derechos de inicio de
sesin.
Privilegios
Un privilegio es el derecho de un usuario o cuenta de grupo para realizar una
variedad de operaciones relativas al sistema en un host local, como puede ser la
carga de controladores de dispositivos.
Los administradores del sistema pueden utilizar las herramientas administrativas,
como el complemento Directiva de seguridad local bajo Directivas locales,
para agregar, modificar o eliminar privilegios para cuentas de usuario y grupos.
Los privilegios y los derechos de acceso difieren en un par de formas:
Los derechos de acceso controlan en acceso a objetos asegurados, como
claves de registro.
Los privilegios controlan el acceso a recursos del sistema y tareas del sistema.
Mientras que un administrador de sistema asigna privilegios a usuarios y cuentas
de grupo, los derechos de acceso se otorgan o deniegan a objetos asegurados.
Una base de datos de cuentas se encuentra guardada en la LSA local en cada
sistema Windows 2000 que contiene los privilegios que mantienen las cuentas
de usuario y grupo para ese equipo.
Cuando un usuario nuevo inicia sesin, el sistema produce un testigo de acceso,
el cual contiene una lista de privilegios de usuario, incluyendo privilegios otorgados
a los grupos a los que pertenece el usuario. Estos privilegios se aplican solamente
al host local. Los administradores de dominio, pueden otorgar privilegios a las
Actividad
Definir LSA:
Definir SRM:
316
cuentas de dominio en equipos diferentes en todo el dominio.

Cuando un usuario intenta realizar una operacin privilegiada en el host local, el
sistema comprueba el paso de testigo del usuario a fin de identificar si posee los
privilegios necesarios. Si el testigo de acceso muestra los privilegios necesarios,
el sistema se asegura de que los privilegios estn permitidos.
Un derecho de inicio de sesin es un derecho de usuario que determina la forma
de iniciar la sesin de un usuario en el sistema. Los administradores de sistema
pueden utilizar el complemento Directivas de seguridad local para administrar
estos derechos.
Los derechos de inicio de sesin son los siguientes:
Acceder a este equipo desde la red: Este derecho permite al usuario iniciar la
sesin en un host a travs de la red. Los grupos Administradores, Todos y los
Usuarios avanzados poseen este permiso de manera predeterminada.
Iniciar sesin como un trabajo por lotes: De manera predeterminada, este
derecho permite a los Administradores utilizando la facilidad de cola por lotes.
Iniciar sesin como un servicio: Este derecho permite a un principal de
seguridad iniciar la sesin en el host como un servicio para establecer un
contexto de seguridad. De manera predeterminada nadie tiene este derecho.
Iniciar sesin localmente: Este derecho permite a los usuarios iniciar la sesin
de manera local en el teclado del host. Este permiso est otorgado de forma
predeterminada al grupo Administradores, Operadores de cuenta, Operadores
de copia de seguridad, Operadores de impresin y Operadores de servidor.

La informacin de directiva local est guardada por el LSA en un conjunto de
objetos de directiva interna LSA. La directiva local de seguridad un nmero de
objetos:
Cuentas que tienen asignados privilegios.
El tipo de auditoria de seguridad a realizar en el sistema.
Las cuentas que tienen permitido el acceso al sistema y los derechos de
acceso permitidos, como puede ser iniciar la sesin como un servicio.
Las cuotas predeterminadas de memoria.

Hay que utilizar las directivas de grupo para especificar el entorno de usuario,
para despus dejar a Windows 2000 la labor de forzar el cumplimiento de estas.
Un objeto de directiva de grupo no es un perfil, ya que no es una configuracin de
entorno que un usuario pueda cambiar. L s Administradores, administran y
o
Clase terica 19
317
mantienen las Directivas de grupo a travs del complemento de edicin de

directivas de grupo o a travs de la del complemento de Usuarios y Equipos de
Active Directory.
icoai
Dcinro
GPO
Group Policie Objet Objeto de directiva
de grupo
Cuando se configura las directivas de grupo en un sito u OU, todos sus usuarios
y equipos se ven afectados. Las directivas de grupo no afectan a ningn objeto
en el sitio, dominio u OU, especialmente en los grupos de seguridad.
IMPLEMENTACIN DE LAS FUNCIONALIDADES DE SEGURIDAD EN LOS

SERVICIOS DEL SISTEMA
Un servicio es un programa, rutina o proceso que se ejecuta en segundo plano
en un entorno Windows 2000 y realiza una funcin especfica del sistema para
apoyar a otros programas.
Los administradores pueden publicar los servicios en Active Directory cuando se
proporcionan a travs de una red, con lo que se simplifica la administracin y la
uiiaindlsrii.
tlzc e evco
Los servicios se ejecutan tpicamente en la cuenta del sistema, pero se pueden
ejecutar tambin en una cuenta definida de usuario. Debe asegurarse de que los
servicios se administran apropiadamente y que no representan riesgos de
seguridad.
Para administrar servicios, se debe ser miembro del grupo de Administradores o de Operadores de Servidor.
tnin
Aec
Los servicios poseen tres opciones de inicio, se pueden iniciar automticamente
cuando el sistema inicia, pueden ser iniciados manualmente y parados por el
administrador o los operadores de servidor, o pueden ser deshabilitados.
oa
Nt
L ss r i i sc i o
o evco rtcs
siempre deben estar
cniuao pr iiir
ofgrds aa nca
automticamente cuando
iii e srio
n c a l e v d r.
La lista de servicios incluye de manera predeterminada, los siguientes servicios

relativos a seguridad:
Servicio de certificado: Este servicio revoca y proporciona certificados X.509
para cifrado de clave pblica. Requiere el servicio de Almacenamiento
protegido.
Almacenamiento protegido: Este servicio evita el acceso por usuarios no
Actividad
Definir directiva de seguridad local:
Definir servicio de sistema:
318
autorizados, procesos o servicios, proporcionando almacenamiento protegido

para datos sensibles. Requiere el servicio Llamada a procedimiento remoto
(RPC).
Registro de sucesos: Este servicio guarda los sucesos de seguridad que
puede ver el visor de sucesos.
Servicio de autenticacin de Internet: Este servicio permite la autenticacin,
autorizacin y auditoria de usuarios VPN y de acceso telefnico (RRAS).
Requiere el servicio RPC.
Agente de directiva IPSec: Este servicio inicia el controlador de seguridad IP
y administra la directiva de seguridad de IP. Requiere el servicio RPC.
Centro de distribucin de claves Kerberos: Proporciona autenticacin cliente/
servidor al generar claves de sesin y otorgar los ticket de servicio. Requiere
del servicio RPC.
Netlogon: El servicio NetLogon localiza los controladores de dominio y realiza
otras funciones de servicio de directorio, como ser la actualizacin de registros
de recursos de DNS para los controladores de dominio.
Proveedor de soporte de seguridad NTLM: Este servicio es necesario en la
mayora de los casos porque proporciona la seguridad para las aplicaciones
de RPC que utilizan otros transportes diferentes a canalizaciones con
nombres.
Llamada a procedimiento remoto (RPC): Este servicio proporciona un nmero
de servicios, incluyendo asignacin de puntos terminales. El almacenamiento
protegido, el servicio de autenticacin de Internet, el agente de directivas IPSec
y el centro de distribucin de claves kerberos son slo algunos de los servicios
que dependen de RPC.
Servicio RunAs: Este proceso trabaja conjuntamente con el programa Runas
y permite a los usuarios iniciar procesos con credenciales alternativas.
Administrador de seguridad de cuentas: Este es el servicio que almacena la
informacin de seguridad para las cuentas locales de usuario.
HERRAMIENTAS DE CONFIGURACIN DE SEGURIDAD

El conjunto de herramientas de configuracin de seguridad permite el anlisis de
las siguientes reas de seguridad:
Directivas de cuenta: Esto incluye la directiva de contraseas, la directiva de
bloqueo la directiva de dominio kerberos.
Directivas locales: Incluye la directiva de auditoria, la asignacin de derechos
de usuario y numerosos parmetros relevantes de operacin.
Registro de eventos: Permite la configuracin de los registros de eventos.
Clase terica 19
319
Grupos restringidos: Controlan los miembros de grupos especficos que tienen

capacidades importantes asignadas a los mismos.
Servicios del sistema: Permite la configuracin de la seguridad en diferentes
servicios que han sido instalados, incluyendo las opciones de inicio y el control
de acceso de esos servicios.
Almacenamiento del sistema de archivos: Permite la configuracin de la
seguridad para los volmenes de archivo del sistema local y los rboles de
drcoi.
ietro
Las configuraciones de seguridad se guardan en archivos de planilla de texto con
extensin .n la configuracin del conjunto de herramientas permite analizar la
if,
informacin que contienen.
Esta arquitectura es compatible con la creacin de nuevas secciones, permitiendo
especificar y analizar nuevas reas de seguridad a medida que evoluciona el
sistema. Las planillas de seguridad predefinidas se incluyen como punto de partida
para las directivas de seguridad personalizadas.
COMPLEMENTOS DE CONFIGURACIN DE SEGURIDAD

Los complementos de configuracin de seguridad, componen el ncleo de las
herramientas de configuracin de seguridad, que funciona en cada sistema
Windows 2000 y se utilizan para establecer todas las configuraciones de
seguridad y los anlisis de funcionalidad.
Este complemento de MMC permite crear, ei
dtar y guardar las configuraciones
de seguridad en una plantilla de seguridad.
La plantilla de seguridad puede ser importada mas tarde en el complemento
Configuracin y anlisis de seguridad.

Este complemento de MMC permite importar una o ms plantillas de seguridad
en la base de datos. Puede aplicar esta base de datos al equipo o utilizarla para
analizar la configuracin del sistema contra la configuracin compuesta que esta
guardada en la base de datos.
Actividad
Definir servicio Netlogon:
En qu formato se guarda la planilla de seguridad?
320
Extensin de configuraciones de seguridad al editor de Directiva de grupos

Este complemento extiende el editor de Directiva de grupo (el complemento
Directiva de grupo) y permite definir las configuraciones de seguridad como parte
de un GPO. Puede asignar despus estas GPO a equipos especficos, dominios
u otras OU cuyo mbito describe Active Directory, de manera que los cambios
se puedan propagar a todos los equipos dentro del mbito.
Estas mquinas importan entonces la directiva de la base de datos de directivas
del equipo local. La propagacin de directiva se realiza de manera peridica para
garantizar que el sistema se una a la directiva asignada.
Plantillas de seguridad, bases de datos y directivas
El servicio de configuracin de seguridad confa en la presencia de
configuraciones de seguridad, bases de datos de seguridad y plantillas de
seguridad para definir la seguridad del sistema y de la OU.
Las plantillas de seguridad son archivos de texto que incluyen configuraciones
de seguridad para cualquiera de las reas de seguridad que se listan a
continuacin:
Directivas de seguridad: Estas directivas cubren reas de seguridad de
usuarios y sus cuentas. Los controladores de dominio reciben sus directivas
de grupo de la directiva de grupo predeterminada incluso si hay directivas de
grupo especificas para los controladores de dominio de la OU. Esto se debe
a que un dominio puede tener una sola directiva de cuenta para todas las
cuentas de dominio y esa directiva de dominio se fuerza por parte de los
controladores de dominio en el dominio. Las directivas de dominio incluyen
las siguientes reas:
Directiva de contrasea: Esta directiva incluye las restricciones
sobre la longitud de las contraseas. Se puede modificar esta
directiva para que cumpla los requerimientos de una organizacin.
Se Puede tambin configurar estos requerimientos para que los
usuarios utilicen contraseas complejas que puedan evitar que
las vuelvan a utilizar o variantes de contraseas simples.
Directiva de bloqueo de cuenta: Esta directiva proporciona las
reglas de bloqueo de cuentas, incluyendo la duracin,
reinicializacin por tiempo o por el administrador. Es posible
configurar las cuentas de usuario para que se bloqueen despus
de un determinado nmero de intentos fallidos de inicio de sesin,
adems se puede especificar la duracin del bloqueo.
Directiva de kerberos: Esta directiva gobierna las configuraciones
de seguridad para la autenticacin kerberos, tales como las
configuraciones para los tiempos de vida del ticket kerberos. Las
configuraciones de kerberos se aplican a todo el dominio y se
fuerzan por parte de los controladores de dominio. Las
Clase terica 19
321
configuraciones de kerberos se define en el GPO del

controlador de dominio.
Directivas Locales: Estas directivas incluyen las siguientes reas de
seguridad sobre el host local donde se configuran:
Directiva de auditoria: Windows 2000 puede guardar una
variedad de eventos de seguridad que van desde eventos del
sistema a acceso a archivos locales. Esta rea contiene todas
las configuraciones de la directiva de auditoria. Las
configuraciones de auditoria especfica se configuran en otras
reas.
Asignacin de derechos de usuario: Es posible especificar
derechos especficos para cuentas de usuario y grupos de
seguridad con estas configuraciones, incluyendo los derechos
para usuarios y grupos para realizar una variedad de tareas
relativas a seguridad.
Opciones de seguridad: Una amplio rango de opciones de
seguridad se controlan a travs de claves especficas de registro
y gobiernan aspectos diversos como pueden ser el mensaje de
bienvenida, el mensaje de bloqueo del servidor y el derecho de
expulsar dispositivos con formato NTFS.
Registro de eventos: Maneja la configuracin de los registros de eventos,
incluyendo las configuraciones del tipo de tamao mximo del registro o
directiva de sobrescritura del registro.
Grupos restringidos: Permite controlar a los administradores quien debe
pertenecer o no a un grupo determinado. Cuando se aplica una directiva de
restriccin de grupo a un host, solo los grupos restringidos que son locales
al host se configurarn.
Registro: Permite configurar los permisos otorgados a las claves de registro.
Se puede especificar tambin las clases de acceso para las que se requiere
que haya auditoria.
Sistema de archivos: Permite la configuracin de los permisos otorgados a
los objetos del sistema de archivos (carpetas, sub-carpetas y archivos), puede
tambin especificar las clases de acceso para las que se quiere realizar
adtra
uioi.
Actividad
Definir directivas de seguridad:
Dfnrdrcia lcls
eii ietvs oae:
322
oa
Nt
Nos recomienda la
alcc d patla
piain e lnils
de seguridad en un
equipo con un rol
importante en el dominio,
s na t sv r f c re
i ne eiia l
funcionamiento de la
patlad sgrdde
lnil e euia n
un entorno de pruebas.
Windows 2000 incluye plantillas de seguridad pre-definidas. Estas se dividen en

dos categoras: Plantillas bsicas e incrementales.
Plantillas bsicas
Las plantillas bsicas especifican configuraciones predeterminadas de seguridad
de Windows 2000 para todas las reas de seguridad con la excepcin de los
derechos de usuario y de grupos, y se encuentran diseadas para invertir los
cambios de la seguridad del sistema en el caso de que se alcancen
comportamientos no deseados al aplicarlas.
Plantilla
Equipo destino
Basicwk.inf
Basicsv.inf
Para controladores de dominio con Windows 2000 Server.
OCFiless.inf
Para servidor miembro o independiente, no controladores de dominio.
OCFilesw.inf
No todos los archivos

epcfcdse ls
seiiao n a
patla OFls
lnils Cie
pee eitre u
udn xsi n n
sistema dado, puede
recibir numerosos
mensajes de aviso en el
aciod rgsr qe
rhv e eito u
s gnr e l
e eea n a
configuracin. Esto
idc qee acion
nia u l rhv o
eit yqel sgrdd
xse u a euia
no se pudo configurar en
el mismo.
Para equipos con Windows 2000 Server.
Basicdc.inf
oa
Nt
Para equipos con Windows 2000 Professional o XP Professional.
Para equipos con Windows 2000 Professional o XP Professinal.
La modificacin de derechos de usuario y grupos no se encuentra afectada y se

modifica a menudo por parte de aplicaciones para permitir la ejecucin satisfactoria
de las aplicaciones por niveles diferentes de usuarios. No es el objeto de las
plantillas bsicas invertir esos cambios.
Las plantillas OCFiles contienen las configuraciones predeterminadas de
seguridad para todos los archivos de componentes opcionales que pueden o no
instalarse durante o despus de la instalacin.
Windows 2000 incluye tambin plantillas para modificar las configuraciones
predeterminadas de seguridad. Esto significa que estas plantillas estn pensadas
para equipos que ya estn funcionando con configuraciones de seguridad
predeterminadas. No incluyen las configuraciones predeterminadas ms las
modificaciones.
Compatws.inf
Esta plantilla es para estaciones de trabajo y servidores. Los permisos de acceso
predeterminados de Windows 2000 estn asignados para tres grupos principales:
Usuarios, Usuarios Avanzados y Administradores.
Los permisos predeterminados para el grupo Usuarios han sido basados
Clase terica 19
323
estrechamente a versiones anteriores de Windows, adaptndolos a un entorno

de sistema operativo mas seguro. Sin embargo, esto puede provocar que
aplicaciones no certificadas no funcionen correctamente. Para ejecutar la mayora
de las aplicaciones no certificadas en Windows 2000, los usuarios necesitaran
ser miembros del grupo Usuarios Avanzados.
Esta planilla disminuye los permisos para el grupo Usuarios de una manera
consistente con los requerimientos de la mayora de las aplicaciones propietarias.
Se proporciona para aquellos clientes que no quieren que sus usuarios finales
sean miembros del grupo Usuarios Avanzados.
tnin
Aec
Las aplicaciones certificadas se precisa que se ejecuten correctamente en un contexto de usuario y, p r l

o o
tno prie alscine aeua ssssea snsciia l cmaiiia d ssalccoe.
at, emtn o lets sgrr u itms i arfcr a optbldd e u piains
Securews.inf y Securedc.inf
Securews.inf (para estaciones de trabajo y servidores) y Securedc.inf (para
controladores de dominio), proporcionan mayor seguridad para reas del sistema
operativo que no estn cubiertas por los permisos de acceso predeterminados,
incluyendo las configuraciones de incremento de seguridad para las directivas de
Cuenta Auditoria y algunas claves de registro bien conocidas por su relevancia
,
en seguridad.
oa
Nt
E t p a t l ad a t
sa lnil e la
seguridad tambin
cambia los permisos de
acceso para que el grupo
Usuarios Avanzados sea
equivalente al grupo
Usuarios. Esto hace
esencialmente que
c a q i ru u r of n l
ulue sai ia
pueda ser Usuario o
Administrador
Las listas de control de acceso (ACL) no se modifican por la configuracin de

seguridad, ya que asumen que las configuraciones de seguridad predeterminadas
de Windows 2000 estn en su lugar, por lo que las configuraciones seguras
eliminan todos los miembros del grupo Usuarios Avanzados.
Hisecws.inf y Hisecdc.inf
Hisecws.inf (para estaciones de trabajo y servidores) y Hisecdc.inf (para
controladores de dominio), proporcionan incrementos de seguridad sobre una
configuracin segura, fundamentalmente para los parmetros que afectan a los
protocolos de comunicacin de red. P r l t n o s d b r a u i i a e t p a t l a
o o at, e ee tlzr sa lnil
en entornos exclusivos de Windows 2000 nada ms, y debera ser aplicada en
todos los host de dominio de este tipo.
Actividad
Dfnrpail bsc:
eii lnla ia
Definir planilla incremental:
324

El motor de configuracin de seguridad utiliza bases de datos. No es conciente
de la existencia de planillas de seguridad, por lo tanto debe importar informacin
de las planillas en la base de datos antes de que el Motor de configuracin de
seguridad pueda configurar o analizar un sistema.
oa
Nt
El complemento Configuracin y anlisis de la seguridad, permite crear una

base de datos e importar cualquier nmero de plantillas en la misma antes de
realizar cualquier configuracin o anlisis.
Las directivas se guardan en una base de datos

especial que se encuentra ubicada en
%windir%\security\database\secedit.sdb
Clase prctica 19
325
Clase prctica 19
Mediante la realizacin de esta prctica usted podr adentrarse en los conceptos bsicos de seguridad
disponibles en Windows 2000 Server, as como tambin realizar tareas relativas a la seguridad en un
dominio mediante la configuracin de permisos y derechos a objetos de Active Directory.
Instalacin de Service Packs y Seguridad bsica del Sistema

Para esta prctica se supondr que el alumno dispone de un cd-rom conteniendo el Service Pack
4 para Windows 2000.
En el Servidor 1 (MGP-SRV01):
Ejercicio 1:

(D:) (doble clic) Acceder a la unidad de CD-ROM (la letra de unidad puede variar)
Icono w2ksp4_es (doble clic) Ejecutar el programa de instalacin del Service Pack
4 para Windows 2000 en espaol (proceder a descomprimir los archivos necesarios)
Acepto (clic) Aceptar el contrato de licencia
No guardar archivos (clic) Especifica que no se desea hacer copia de seguridad de los
archivos de sistema existentes
Botn Siguiente (clic) Mientras se instala el SP4 buscar en la unidad C: una carpeta
del tipo 92f1a08 (o similar), ingresar en ella y copiar la carpeta I386 al directorio raz
de la unidad C: (de esta manera ya se dispone de los archivos del SP4 descomprimidos
para poder utilizarlos sobre la red)
Botn Finalizar (clic) Cerrar asistente y reiniciar el equipo
Una vez en el escritorio se proceder de la siguiente manera para verificar la actualizacin:
Propiedades (clic)
Verificar que en el apartado Sistema: diga lo siguiente
Microsoft Windows 2000
5.00.2195
Service Pack 4
Botn Aceptar (clic) Cerrar propiedades de Mi PC
326
Ejercicio 2:
Men Inicio (clic)

Ejecutar (clic)
Colocar mmc (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
Ejecuta una consola
Men Consola(clic)
Agregar o quitar complemento (clic) Desplegar la ventana para agregar o quitar
complementos de consola
Botn Agregar (clic)
Directiva de grupo (doble clic) Seleccionar el complemento Directiva de grupo
Botn Cerrar (clic) Cerrar la ventana Agregar o quitar complemento independiente
Botn Aceptar (clic) Volver a la consola
Directiva Equipo local (doble clic)
Configuracin de usuario (clic)
Plantillas administrativas (doble clic)
Componentes de Windows (doble clic)
Internet Explorer (doble clic)
Del panel de la derecha seleccionar la opcin Deshabilitar el cambio de configuracin
de las restricciones y hacerle doble clic
Habilitada (clic) Impide a los usuarios cambiar las clasificaciones que ayudan a
controlar el tipo de contenido de Internet que se puede ver
Botn Aceptar (clic)
Panel de control de Internet (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Seguridad y hacerle
doble clic
Habilitada (clic) Quita la ficha Seguridad de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Contenido y hacerle
doble clic
Habilitada (clic) Quita la ficha Contenido de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Conexiones y hacerle
doble clic
Habilitada (clic) Quita la ficha Conexiones de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Programas y hacerle
doble clic
Habilitada (clic) Quita la ficha Programas de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Mens del explorador (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar la opcin Guardar este
programa en disco y hacerle doble clic
Habilitada (clic) Impide a los usuarios guardar un programa o un archivo de Internet
Explorer al disco rgido
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar el men contextual y
hacerle doble clic
Habilitada (clic) Impide que aparezca el men contextual cuando los usuarios hacen
clic con el botn derecho mientras utilizan Internet Explorer
Clase prctica 19
Botn Aceptar (clic)

Explorador de Windows (doble clic)
Del panel de la derecha seleccionar la opcin Ocultar estas unidades especficas en Mi
PC y hacerle doble clic
Habilitada (clic)
Seleccionar la opcin Restringir slo las unidades A y B de la lista desplegable Elegir
una de las siguientes combinaciones
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Quitar Conectar a unidad de red y
Desconectar de unidad de red y hacerle doble clic
Habilitada (clic) Impide a los usuarios conectarse o otros equipos o cerrar conexiones
abiertas
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Oculta el elemento Administrar del men
contextual del Explorador de Windows y hacerle doble clic
Habilitada (clic) Oculta el elemento Administrar del men contextual que aparece
cuando se hace clic con el botn derecho del mouse sobre el icono Mi PC
Botn Aceptar (clic)
Microsoft Management Console (doble clic)
Complementos restringidos/permitidos (clic)
Del panel de la derecha seleccionar la opcin Usuarios y equipos de Active Directory y
hacerle doble clic
Deshabilitada (clic) Prohbe que se utilice este complemento
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Dominios y confianzas de Active Directory
y hacerle doble clic
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administracin de equipos y hacerle
doble clic
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administrador de dispositivos y hacerle
doble clic
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administracin de discos y hacerle doble
ci
lc
Botn Aceptar (clic)
Men Inicio y barra de tareas (clic)
Del panel de la derecha seleccionar la opcin Quitar el men Buscar del men Inicio y
hacerle doble clic
Habilitada (clic) Quita el elemento buscar del men Inicio y deshabilita algunos
elementos de bsqueda del Explorador de Windows
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Agregar cierre de sesin al men Inicio y
hacerle doble clic
Habilitada (clic) Agrega un elemento para cerrar sesin en el men Inicio
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar mens contextuales para la
barra de tareas y hacerle doble clic
Habilitada (clic) Deshabilita el men contextual que aparece cuando se hace clic con
el botn derecho sobre la barra de tareas
Botn Aceptar (clic)
Cerrar la consola (hacer clic en el icono con forma de X que se encuentra en la
327
328
esquina superior derecha de la ventana)

Botn Si (clic)
Colocar Directivas (sin las comillas) como nombre de la nueva consola y presionar la
tecla ENTER
Reiniciar el equipo para verificar los cambios al Internet Explorer, Men inicio y Explorador de
Windows
Ejercicio 1:
Men Inicio (clic)

Ejecutar (clic)
Colocar \\mgp-srv01\c$\i386\update\update.exe (sin las comillas) y presionar la tecla
ENTER Ejecuta el asistente de instalacin del SP4 que se copi en el ejercicio
anterior sobre el servidor MGP-SRV01
No guardar archivos (clic) Especifica que no se desea hacer copia de seguridad de
los archivos de sistema existentes

Propiedades (clic)
Verificar que en el apartado Sistema: diga lo siguiente:
5.00.2195
Service Pack 4
Ejercicio 1:
Clase prctica 19
Men Inicio (clic)

Ejecutar (clic)
Colocar \\mgp-srv01\c$\i386\update\update.exe (sin las comillas) y presionar la tecla
ENTER Ejecuta el asistente de instalacin del SP4 que se copi en el ejercicio
anterior sobre el servidor MGP-SRV01
No guardar archivos (clic) Especifica que no se desea hacer copia de seguridad de
los archivos de sistema existentes

Propiedades (clic)
Verificar que en el apartado Sistema: diga lo siguiente:
5.00.2195
Service Pack 4
329
Servicios de Terminal Server en Windows 2000 Server
330
Clase terica 20
SERVICIOS DE TERMINAL SERVER EN WINDOWS 2000 SERVER
INTRODUCCIN
Servicios de Terminal Server de Windows se introdujo para Microsoft Windows
N T 4 Server con la edicin independiente Terminal Server Edition, pero en
Windows 2000 es un componente integrado en todos los servidores de Windows
2000.
oa
Nt
El usuario no depende de
l v l c d dd l
a eoia e a
etc d taao sn
sain e rbj, io
qe e raia,
u, n eldd
comparte el procesador,
la RAM y los discos
r g d sd ls r i o
i o e e v d r.
Servicios de Terminal Server de Windows se puede utilizar como mecanismo

para la gestin y el control de los servidores desde cualquier ubicacin remota o
aprovechar su capacidad como servidor de aplicaciones para simplificar
enormemente la implantacin y el mantenimiento de un amplio rango de
aplicaciones para una poblacin de usuarios heterognea.
Terminal Server es un concepto nuevo para muchos administradores de sistemas
que esperan que los sistemas sean, bsicamente, de un solo usuario. Aporta a
Windows capacidad multiusuario verdadera. Los sistemas UNIX han sido, de
manera tradicional, principalmente sistemas multiusuario, con un nico servidor
de gran tamao que atiende a muchas terminales.
Cada usuario que se conecta a un servidor de Windows 2000 mediante Terminal
Server, utiliza en realidad los recursos del servidor, n l s d l e tacin de
o o e a s
trabajo concreta en la que se halla trabajando.
Cada usuario obtiene su propia sesin de Terminal Server, y cada sesin est
completamente aislada de las dems sesiones del mismo servidor. Un programa
que falle en una sesin puede hacer que el usuario de esa sesin tenga un
problema, pero ello no afecta a los dems usuarios.
Cada usuario que se conecta a un servidor mediante Terminal Server, a t a
c
realmente como una terminal de ese servidor.Terminal Server soporta como
terminales una amplia variedad de sistemas operativos: desde hosts con pantalla
pero sin disco, que ejecutan Windows CE completamente en la memoria, hasta
estaciones de trabajo de Microsoft Windows 95/98 o servidores de Windows
2000.
La terminal slo es responsable de las funciones de la consola real: es decir,e
l
teclado, el mouse y la pa tal. Todo lo dems reside en el servidor y es pa t d l
n la
re e
mismo.
ACCESO REMOTO
Terminal Server ofrece la solucin ideal para el usuario mvil que necesita poder
ejecutar aplicaciones que hacen un uso intensivo de la red o del procesador
incluso a travs de conexiones de acceso telefnico. Como el host local slo es
responsable de la consola real, los requisitos de respuesta y de ancho de banda
son sustancialmente menores que a la hora de intentar ejecutar las aplicaciones
a travs de la lnea telefnica.
Clase terica 20
331
GESTIN CENTRALIZADA
oa
Nt
Terminal Server provee
uaetninals
n xes
a
capacidades
amnsrtvsd ls
diitaia e o
administradores, como
por ejemplo la activacin
dlcnrldrcod
e oto iet e
tds ls srioe sn
oo o evdrs i
necesidad de abandonar
e hs ata d taao
l ot cul e rbj.
Como todas las aplicaciones de una sesin de Terminal Server se ejecutan en el

servidor, la gestin de las sesiones y de las aplicaciones se simplifica
enormemente. Slo hay que llevar a cabo una vez los cambios en las aplicaciones
o en las configuraciones, y todas las sesiones de Terminal Server los ven.
Adems, permite a los administradores ver lo que sucede en las sesiones de los
usuarios o, incluso, controlarlas directamente. Se puede ver realmente lo que ve
el usuario, sin necesidad de desplazarse.
Al configurarse en el modo de administracin remota, puede utilizarse tambin
como herramienta de gestin. Al activarse en este modo, los administradores
pueden iniciar directamente una sesin en servidor desde sus host para llevar a
cabo el mantenimiento normal del sistema sin tener que desplazarse hasta la
consola del servidor.
PLANIFICACIN DE LA INSTALACIN DE TERMINAL SERV E R
oa
Nt
Los usuarios avanzados
p e e l e a au i i a
udn lgr tlzr
f c l e t e d b ed
imne l ol e
memoria, mientras que
lsdsroldrsy
o earlaoe
otros usuarios extremos
pueden necesitar todava
ms.
Terminal Server puede instalarse en cualquier mquina que soporte Windows

2000 Server. Necesita aproximadamente 14 MB de espacio adicional en el disco
para albergar los archivos de instalacin del cliente, pero no necesita ningn
espacio adicional para el sistema operativo. No obstante, los requisitos reales
son sustancialmente ms elevados para las mquinas que se vayan a utilizar
con Terminal Server en modo servidor de aplicaciones. Dado que cada usuario
ejecutar sus programas en el servidor, hay que determinar exactamente el modo
en que trabajarn los usuarios y sus necesidades reales.
Cada instalacin ser diferente, pero se pueden facilitar algunas directrices para
ayudar a dimensionar adecuadamente el servidor.

Cada sesin del servidor de Terminal Server utiliza un mnimo de unos 20 MB de
RAM slo para el inicio de sesin. A esto hay que aadirle la RAM necesaria para
ejecutar los programas que cada sesin inicie. Un usuario normal que utilice
Microsoft Outlook, Microsoft Word y Microsoft Excel mientras se conecta a Internet
utilizar aproximadamente 40 MB de RAM, es decir, unos 20 MB ms de lo que
necesita la propia sesin.
Actividad
Definir terminal server:

Qu cantidad de memoria RAM utiliza un inicio de
ss d tria sre e e srio?
ein e emnl evr n l evdr
2 M (
0 B
4 M (
0 B
6 M (
0 B
8M (
B
332
Consideraciones para la velocidad de CPU del servidor

La prediccin exacta de la potencia de CPU que se necesitar por usuario es
difcil, dado que cada usuario tiene un conjunto de aplicaciones diferente. Pero
un procesador Pentium III a 800 MHz debera poder soportar entre quince y treinta
usuarios, en funcin del tipo de usuario y suponiendo que se dispone de suficiente
RAM como para evitar un exceso de paginacin.
Consideraciones para los requerimientos de red del servidor

El uso tpico de la red depende del tipo de cliente y de la cantidad de grficos que
se transmitan (hace falta mucha menos ancho de banda para soportar una
conexin de 800x600 que para soportar una conexin de 1280x1024), pero el
ancho de banda promedio por usuario se encuentra entre los 2 y los 6 Kbps.

Las cifras recin mencionadas deberan ofrecer un punto de partida para la
planificacin de la implementacin de Terminal Server, pero la capacidad final
que requiere la implementacin depende de la situacin concreta.
Estas cifras slo deben utilizarse como punto de partida para la planificacin. Se
debe crear un entorno de prueba que simule la implementacin definitiva a menor
escala con usuarios y aplicaciones reales para obtener los datos necesarios.
Algunos de los factores que desempean un papel importante en los requisitos
de la implementacin de Terminal Server son los siguientes:
Las aplicaciones que vayan a ejecutar los usuarios, es decir, s u i i a u a
i tlzn n
nica aplicacin dedicada o una amplia variedad de aplicaciones.
Si los usuarios realizan una nica tarea rutinaria o son usuarios que utilizan
los hosts como herramienta principal.
Si los usuarios estn conectados mediante LAN o constituyen una mezcla
de usuarios de WAN, LAN y computadoras porttiles.
Instalacin de Terminal Server

Para insta a Terminal Server hay que seleccionar la opcin Servicios de Terminal
lr
Server en el cuadro de dilogo Instalacin de Windows 2000 Server durante la
is
n talacin inicial de Windows 2000 Server, o aadir el servicio despus de que
l is
a n talacin de Windows 2000 Server est completa u i i a d e Asistente
, tlzno l
para componentes de Windows.
Si se decide aadir Servicios de Terminal Server despus de la insta a i n i i i l
lc nca,
no obstante, debe hacerse antes de instalar ninguna aplicacin en el servidor si
se piensa utilizar el servidor como servidor de aplicaciones. Si slo se instala
Terminal Server en modo administrativo, el momento de la instalacin es menos
importante, pero sigue siendo ms conveniente aadir Servicios de Terminal
Clase terica 20
333
Server inmediatamente despus de la instalacin inicial.

Instalacin de Terminal Server durante la instalacin inicial de Windows
2000
oa
Nt
Si la mquina en la que
s v aisaa Sriis
e a ntlr evco
d Terminal Server va a
e
ser tambin controlador
de dominio se puede
i s a a L c n i sd
ntlr ieca e
S r i i s d Terminal
evco e
Sre
e v r.
Para insta a Terminal Server durante la instalacin inicial de Windows 2000

lr
Server, hay que realizar una instalacin que no suponga una actualizacin, a
menos que se actualice una instalacin de Windows NT 4 0 Terminal Server
.
Eiin
dto.
Si se realiza una instalacin nueva se tiene la posibilidad de cambiar los
componentes de Windows que se instalarn, hay que seleccionar Servicios de
Terminal Server en la lista de componentes.
El componente Servicios de Terminal Server de Windows 2000 Server necesita
aproximadamente 14 MB de espacio en disco, pero esto es slo para los archivos
creadores de la instalacin cliente.
Terminal Server en s no necesita espacio adicional para el sistema operativo.
Sin embargo, cada usuario que se conecte mediante Servicios de Terminal Server
necesitar un mnimo de 400 KB de espacio en el disco para su perfil y el espacio
de almacenamiento que utilice en el servidor.
Instalacin de Terminal Server en un equipo con Windows 2000 Server

Terminal Server puede agregarse despus de la instalacin inicial de Windows
2000 Server. S p e e u i i a e Asistente para configurar el servidor si se desea
e ud tlzr l
o, sencillamente, abrir Agregar o quitar programas en el Panel de Control. En
cualquier caso, se debe instalar Servicios de Terminal Server cuando resulte
prctico tras la instalacin de Windows 2000.
INSTALACIN DE PROGRAMAS EN SERVIDORES TERMINAL SERV E R

L is
a n talacin de programas en los servidores de Windows 2000 con Terminal
Server instalado en modo de administracin remota no se diferencia de la
is
n talacin en servidores sin Terminal Server.
No se necesitan procedimientos especiales, modificaciones en el proceso de
instalacin ni secuencias de comandos especiales para compatibilidad. Si la
Actividad
Qu ancho de banda promedio utiliza una conexin

de usuario?
Cunto ocupa un perfil de usuario en terminal server?
Ete 2 y 6 Kp (
nr
bs
Ete 4 y 1 Kp (
nr
0 bs
Ete 8 y 1 Kp (
nr
4 bs
40 K (
0 b
80 K (
0 b
1M (
b
2M (
b
334
aplicacin se va a instalar y a ejecutar en Windows 2000, se debe instalar y

ejecutar con Terminal Server instalado en modo de administracin remota
.
oa
Nt
No todas las
alccoe s isaa
piains e ntln
c n i o y, d e t e l s
o xt
e nr a
aplicaciones soportadas
yqes isaa cn
u e ntln o
io agnsncstn
xt, lua eeia
procedimientos
epcae ol eeuin
seils a jcc
de secuencias de
comandos de
compatibilidad. Se debe
cnutrl
osla a
documentacin de cada
alcc.
piain
Por otra parte, la instalacin de programas en servidores de Windows 2000 con

Terminal Server instalado en modo de servidor de aplicaciones es un tema distinto.
Cuando se activa el modo servidor de aplicaciones, Windows 2000 sabe que
debe prepararse para tratar con varios usuarios que tendrn acceso a la misma
aplicacin que se ejecutar simultneamente en espacios de memoria diferentes
sin interferencias ni cruces.
Hay que seguir con precaucin el procedimiento necesario para asegurar que la
aplicacin se instale correctamente y que funcione adecuadamente como
aplicacin multiusuario.

Terminal Server puede administrarse de manera centralizada y configurarse en
el dominio desde una sola consola.
Se utilizan cuatro complementos principales para administrar los servidores y
los clientes de Terminal Server:
Administrador de Servicios de Terminal Server: Muestra y controla las
conexiones de todos los servidores de Terminal Server de la red.
Configuracin de Servicios de Terminal Server: Slo se ejecuta de manera
local en cada servidor de terminales; es un complemento de MMC que permite
modificar la configuracin del servidor local de Terminal Server.
Creador de clientes de Terminal Server: Crea discos de Cliente de Terminal
Server
Licencias de Servicios de Terminal Server: Gestiona las licencias de acceso
c i n e pa a Terminal Server en el dominio o en el grupo de trabajo.
let
r
El complemento Administrador de Servicios de Terminal Server (Tsadmin.exe)
es el principal mecanismo para la gestin de las diferentes conexiones con los
servidores. Desde este complemento no slo pueden verse los servidores de
terminales disponibles en la red, sino tambin los usuarios conectados a ellos,
las sesiones que estn activas y los protocolos que se estn utilizando.
El complemento Administrador de Servicios de Terminal Server muestra todos
los servidores del dominio. De manera predeterminada slo se conecta a un
servidor a la vez, aunque se puede optar por conectarse con todos los servidores
disponibles de manera simultnea.
Los conos para la conexin activa actual, el servidor y el dominio se muestran
en un color diferente (de manera predeterminada, verde). Tambin se pueden
ver y gestionar los usuarios, las sesiones y los procesos agrupados por red,
dominio, servidor o conexin, lo que ofrece una visin global de la informacin
c i a para la implantacin de Terminal Server.
rtc
Clase terica 20
335

Se puede utilizar el complemento Administrador de Servicios de Terminal
Server para identificar todos los servidores de la red que se hallan activos o
todos los servidores de un dominio concreto.
Para encontrar todos los servidores de un dominio, hay que pulsar con el botn
derecho del mouse el nombre del dominio en el panel izquierdo del complemento
Administrador de Servicios de Terminal Server y seleccionar Buscar servidores
en el dominio.
Para encontrar todos los servidores de la red, hay que pulsar con el botn derecho
del mouse Todos los servidores listados y seleccionar Buscar servidores en
todos los dominios.

Para gestionar los procesos, las sesiones y los usuarios conectados a un servidor,
hay que conectar en primer lugar al servidor.
Para conectar con un servidor, hay que pulsar su icono con el botn derecho del
mouse en el panel izquierdo del complemento Administrador de Servicios de
Terminal Server y seleccionar Conecta
r.
Para conectar con todos los servidores de un dominio, hay que pulsar el nombre
del dominio con el botn derecho del mouse en el panel izquierdo del complemento
Administrador de Servicios de Terminal Server y seleccionar Conectar a todos
los servidores del dominio.
Para conectar con todos los servidores de la red, hay que pulsar el icono Todos
los servidores listados con el botn derecho del mouse y seleccionar Conectar a
todos los servidores.

Terminal Server permite examinar y gestionar cada una de las conexiones con
los servidores de terminales, incluidas las conexiones con inicio de sesin local
que aparecen como sesiones de consola.
Desde cualquier sesin, que no sea de consola, que tenga los permisos
Actividad
Describa los pasos para buscar todos los servidores

de un dominio:
Qu complemento se utiliza para administrar terminal

server?
336
suficientes se puede obligar a desconectar una sesin, restablecer

completamente una sesin, cerrar una sesin, ver el estado de la conexin,
gestionar las sesiones de los usuarios, enviar mensajes a la pantalla de la
conexin, utilizar el control remoto para asumir el control de una sesin en la
conexin y conectar con cualquier otra sesin. Tambin se puede utilizar el
complemento Administrador de Servicios de Terminal Server para ver diversa
informacin sobre los procesos y sobre el estado de las conexiones con un
servidor e, incluso, finalizar un proceso bloqueado.
Cuando se desconecta una sesin continan ejecutndose todos los programas
de esa sesin, pero se dejan de transmitir a la terminal remota las entradas y
salidas de datos de la sesin. La desconexin de una sesin deja en su estado
normal los programas y los datos del usuario, lo que los protege de la prdida de
datos. La desconexin de una sesin no libera memoria ni otros recursos del
servidor, y la sesin sigue contabilizndose como sesin con licencia.

Se puede restablecer una sesin si es la propia o se dispone del privilegio de
control total para las sesiones. Cuando se restablece una sesin, se pierde todo
el trabajo de esa sesin, los programas dejan de ejecutarse y se libera la memoria.
Cierre de una sesin

Se puede cerrar la sesin propia o la de otro usuario si se dispone del privilegio
d c n r l t t l El cierre de una sesin libera los recursos que utilizaba y los
e oto oa.
devuelve para su uso por otras conexiones
PROPIEDADES DE LAS CONEXIONES TERMINAL SERVER

Se puede utilizar el complemento Configuracin de Servicios de Terminal
Server para cambiar los valores de configuracin de todas las conexiones de
un servidor concreto.
Modo Terminal Server

Terminal Server puede distribuirse en el servidor en modo de administracin
remota o en modo de servidor de aplicaciones.
Como servidor de aplicaciones, el programa permite usar el escritorio de Windows
2000 y las aplicaciones basadas en Windows ms recientes a equipos que
normalmente no podran ejecutar Windows.
Clase terica 20
337
S s u i i a para la administracin remota Terminal Server proporciona acceso

i e tlz
,
remoto para administrar el servidor desde prcticamente cualquier ubicacin de
l rd
a e.
Eliminacin de carpetas temporales

Cuando se encuentra Habilitado, elimina de manera automtica las carpetas
temporales creadas en el servidor cuando el usuario cierra la sesin.
Utilizacin de carpetas temporales por sesin

De manera predeterminada, un servidor Terminal Server crea una carpeta temporal
independiente para cada sesin nueva en el servidor, lo que permite a los usuarios
almacenar archivos temporales individuales.
Para ahorrar espacio de disco, estas carpetas temporales se eliminan
automticamente cuando el usuario cierra la sesin.
Licencia de conector de Internet

Esta licencia, que se adquiere por separado como licencia de complemento a
Terminal Server, permite la conexin annima simultnea de un mximo de 200
usuarios a un servidor Terminal Server a travs de Internet.
Resulta de utilidad en organizaciones que desean demostrar software basado
en Windows a usuarios de Internet sin volver a escribir aplicaciones basadas en
Windows como aplicaciones basadas en Web.
CLIENTES DE TERMINAL SERVER

Se puede insta a y e e u
l r j c tar el Cliente de Servicios de Terminal Server en cualquier
computadora que ejecute Windows XP, Windows 2000, Windows NT 4, Windows
95/98 o Windows para trabajo en grupo 3.11
.
Tambin se dispone de clientes especiales para otros sistemas operativos,
incluidos Windows CE y MS-DOS, as como para cualquier cliente que pueda
Actividad

Terminal serv r c
e rea una carpeta temporal para
cd uuro( )
aa sai
Terminal serv r n c
e o rea una carpeta temporal para
uuro( )
sai
Definir licencia de conector de Internet:
338
ejecutar Java. Algunos de estos clientes, no obstante, necesitan el uso del

protocolo ICA de Citrix MetaFrame.
Hay disponibles clientes reducidos especiales basados en Windows CE de varios
fabricantes que permiten conectarse con servidores Terminal Server de Windows
2000 sin necesidad de disco rgido: el sistema operativo base y el Cliente de
Servicios de Terminal Server se cargan en RAM.
Clase prctica 20
339
Clase prctica 20
Terminal Server, adems realizar las tareas previas a la implementacin del servicio, tales como: instalar,
configurar y administrar los servicios de Terminales.
Instalacin y configuracin de Terminal Services

Para esta prctica se asume que el alumno cuenta con el cd-rom de instalacin mltiple de
Windows 2000 (Server, Advanced Server y Professional), adems del servidor MGP-SRV01
configurado con DNS, WINS y DHCP como en las prcticas anteriores. Adems deber estar
instalado office 2000, XP o 2003 (Al menos Word y Excel)
En el servidor 1 (MGP-SRV01):
Ejercicio 1:
Men Inicio (clic)

Ejecutar (clic)
Colocar appwiz.cpl (sin las comillas) y presionar la tecla ENTER Ejecuta el mdulo
Agregar o quitar programas del Panel de Control
Botn Agregar o quitar componentes de Windows (clic)
Servicios de Terminal Server (clic en el casillero en blanco) Selecciona los servicios
de Terminal Server para ser instalados
Modo de administracin remoto (clic) Solo se permitir a los administradores acceder
remotamente al servidor
Botn Si (clic) Reiniciar el equipo para que los cambios tengan efecto
Ejercicio 1:
Men Inicio (clic)

Ejecutar (clic)
340
Colocar \\mgp-srv01\c$\archivos de programa\terminal services client\conman.exe

(sin las comillas) y presionar la tecla ENTER Ejecuta el Administrador de conexiones
de Terminal Server
Men Archivo (clic)
Conexin nueva (clic) Ejecutar el Asistente para Connection Manager de cliente
Nombre de la conexin: Conexin a MGP-SRV01

Nombre de servidor o direccin IP: 172.16.1.1
Botn Siguiente (clic) Establece que no se desea iniciar sesin automticamente
(por motivos de seguridad)
800x600 (clic)
Pantalla completa (clic)
Botn Siguiente (clic) Establece que se desea una resolucin de pantalla de
800x600 y que se muestre en pantalla completa
Habilitar compresin de datos (clic) Comprimir los datos para que la transmisin sea
mas rpida
Botn Siguiente (clic) Establece que no se desea ejecutar ningn programa al
iniciar sesin en el equipo remoto
Botn Siguiente (clic) Establece las opciones por defecto para el icono y el grupo
de programas al que ser asignada la conexin
Icono Conexin a MGP-SRV01 (doble clic) Iniciar una sesin de Terminal Server
con MGP-SRV01 (aparecer en pantalla completa la interfaz de inicio de sesin de MGPSRV01)
Iniciar como Supervisor (sin las comillas)

Men Inicio (clic)
Apagar (clic)
Seleccionar la opcin Reiniciar de la lista desplegable
Botn Aceptar (clic) Reiniciar el equipo
En este momento se reiniciar el servidor MGP-SRV01. En este caso solo se opt por reiniciar el
equipo pero se podra haber realizado cualquier tarea administrativa como por ejemplo agregar
equipos, usuarios, crear, modificar o eliminar carpetas, etc.
A continuacin se deber verificar que es lo que ocurre al intentar iniciar sesin con cualquier
otro usuario que no pertenezca al grupo Administradores (por ejemplo supadm)
Ejercicio 3:
Clase prctica 20
Men Inicio (clic)

Ejecutar (clic)
Licencias de Servicios de Terminal Server (clic en el casillero en blanco) Selecciona
las licencias de servicios de Terminal Server para ser instaladas
Modo de servidor de aplicaciones (clic) Permite a los usuarios ejecutar remotamente
una o mas aplicaciones
Permisos compatibles con los usuarios de servicios de Terminal Serve ( l c mayor
r ci)
compatibilidad con aplicaciones (de lo contrario se aplicarian las restricciones para los
usuarios de Windows 2000)
El dominio o grupo de trabajo (clic) establece que la licencia de Terminal Services
estar disponible para todo el dominio
Botn Si (clic) Reiniciar el equipo para que los cambios tengan efecto
Ejercicio 2:
Men Inicio (clic)

Ejecutar (clic)
de Terminal Server
Men Archivo (clic)
Nombre de la conexin: Conexin 2 a MGP-SRV01

Botn Siguiente (clic) Establece que no se desea iniciar sesin
automticamente (por motivos de seguridad)
800x600 (clic)
Botn Siguiente (clic) Establece que se desea una resolucin de
341
342
pantalla de 800x600 y que se muestre en pantalla completa

Habilitar compresin de datos (clic) Comprimir los datos para que la transmisin
sea mas rpida
Iniciar el programa siguiente (clic)
Nombre de archivo y ruta de acceso al programa: c:\archivos de

programa\microsoft office\office11\excel.exe
Iniciar en: c:\archivos de programa\microsoft office\office11
Botn Siguiente (clic) Establece que se desea ejecutar Excel al iniciar sesin en el
equipo remoto
Botn Siguiente (clic) Establece las opciones por defecto para el icono y el grupo
de programas al que ser asignada la conexin
Icono Conexin 2 a MGP-SRV01 (doble clic) Iniciar una sesin de Terminal Server
con MGP-SRV01 (aparecer en pantalla completa la interfaz de inicio de sesin de MGPSRV01)
Iniciar como supadm (sin las comillas)
Introducir AdM933sUP (sin las comillas) como contrasea y presionar la tecla ENTER
Observar que ya no aparece el escritorio de Windows sino directamente Excel y, al cerrar el
programa automticamente se cierra la sesin
Ejercicio 3:
Men Inicio (clic)

Ejecutar (clic)
de Terminal Server
Men Archivo (clic)
Nombre de la conexin: Conexin 3 a MGP-SRV01

Botn Siguiente (clic) Establece que no se desea iniciar sesin
automticamente (por motivos de seguridad)
800x600 (clic)
Botn Siguiente (clic) Establece que se desea una resolucin de pantalla
de 800x600 y que se muestre en pantalla completa
Habilitar compresin de datos (clic) Comprimir los datos para que la transmisin
sea ms rpida
Clase prctica 20
Iniciar el programa siguiente (clic)
Nombre de archivo y ruta de acceso al programa: c:\archivos de

programa\microsoft office\office11\winword.exe
Iniciar en: c:\archivos de programa\microsoft office\office11
Botn Siguiente (clic) Establece que se desea ejecutar Excel al iniciar

sesin en el equipo remoto
Botn Siguiente (clic) Establece las opciones por defecto para el icono
y el grupo de programas al que ser asignada la conexin
Icono Conexin 3 a MGP-SRV01 (doble clic) Iniciar una sesin de

Terminal Server con MGP-SRV01 (aparecer en pantalla completa la interfaz
de inicio de sesin de MGP-SRV01)
Iniciar como supcob (sin las comillas)

Introducir CoB546sUP (sin las comillas) como contrasea y presionar la tecla ENTER
Observar que ya no aparece el escritorio de Windows sino directamente Word, y al cerrar el

programa automticamente se cierra la sesin
343
Polticas de grupo en Windows 2000 Server
344
Clase terica 21
Polticas de grupo en Windows 2000 Sever
Las polticas de grupo definen las configuraciones para usuarios y computadoras,
para grupos de usuarios y computadoras. Se puede crear una configuracin
especfica de escritorio para cualquier grupo particular de usuarios y computadoras
al implementar el complemento del editor de polticas de grupo Management
Console (MMC). Estas configuraciones de polticas de grupo al crearlas se
encuentran en el Objeto de polticas de grupo (GPO) que a su vez est asociado
con objetos seleccionados de Active Directory (AD) tales como sitios, dominios o
unidades organizacionales.
C A PACIDADES DE POLTICAS DE GRUPO

El editor de polticas de grupo y sus extensiones es utilizado para definir opciones
de polticas de grupo para configuraciones de escritorios administradas para
computadoras de usuarios. Con el editor de polticas de grupo es posible
especificar configuraciones para:
oa
Nt
Cne uod ls
o l s e a
pltcsd guo
oia e rp,
peedfnree etd
ud eiis l sao
del ambiente d t a a o
e rbj
d lsuuro uasl
e o sais n oa
vez y depender del
sseapr qet
itm aa u se
alqelspltcsqe
piu a oia u
utd dfn.
se eie
Polticas de software. Se utilizan Polticas de software para controlar

configuraciones de registro en el escritorio, incluyendo los componentes y
aplicaciones del sistema operativo.
Scripts (tales como el iniciar y apagar la computadora y conectarse y
desconectarse).
Opciones de administracin de software (por ejemplo, las aplicaciones
disponibles para usuarios y aquellas que aparecen en sus escritorios).
Documentos y configuraciones de usuario (para implementacin de
archivos y redireccionamiento de carpetas especiales).
Configuraciones de seguridad (por ejemplo para computadoras locales,
dominios y configuraciones de seguridad de red).
BENEFICIOS DE LAS POLTICAS DE GRUPO

Las polticas de grupo proporcionan las siguientes ventajas:
Capitalizan los servicios de Windows 2000 Active Directory: Las polticas de grupo
permiten una administracin centralizada o descentralizada de las opciones de
pltcs
oia.
Ofrece flexibilidad y escalabilidad: Las polticas de grupo manejan una amplia
gama de escenarios de implementacin que pueden ser aplicados tanto a negocios
pequeos como a empresas grandes.
Proporciona una herramienta simple e integrada para administrar las
p l t c s El editor de polticas de grupo es un complemento MMC que ampla
oia:
otras herramientas administrativas de Active Directory como el administrador de
Active Directory y el administrador de sitio y servicios de Active Directory, adems
de complemento de administracin de computadoras.
Clase terica 21
345
Los administradores pueden delegar el control de los objetos de Polticas de grupo.

Cuenta con una interfaz clara y fcil de usar. Proporciona una deteccin de vnculos
lentos y una retroalimentacin directa y sin obstrucciones. Proporciona confiabilidad
y seguridad
LAS POLTICAS DE GRUPO Y ACTIVE DIRECTO RY

Las Polticas de grupo amplan y aprovechan Active Directory. Las configuraciones
de las Polticas de grupo se encuentran en los objetos de Polticas de grupo que
a su vez estn asociados con estos contenedores de Active Directory: Sitios,
dominios o unidades organizacionales.
POLTICAS DE GRUPO Y GRUPOS DE SEGURIDAD
icoai
Dcinro
ACL
Access Control Lists Las Listas de Control
de Acceso. Permiten
controlar el flujo del
trfico en equipos de
redes.
Es posible filtrar las Polticas de grupo al usar la membresa en los grupos de

seguridad y al configurar los permisos de la Lista de control de acceso (A C L) A
.l
hacerlo, permite procesamiento rpido de los objetos de Polticas de grupo y
permite que las Polticas de grupo se apliquen a grupos de seguridad. A u i i a
l tlzr
l s ACLs y los grupos de seguridad, puede modificar el alcance de los objetos de
a
Polticas de grupo.
DESCRIPCIN GENERAL DE LAS POLTICAS DE GRUPO

Windows 2000 introduce el editor de Polticas de grupo como una herramienta
que ampla la funcionalidad del editor de Polticas de sistema y proporciona
capacidades mejoradas para establecer configuraciones de los usuarios y las
computadoras para grupos de computadoras de usuarios. El editor de Polticas
de grupo es un complemento de Microsoft Management Console que incluye
funciones incorporadas para configurar las Polticas de grupo. Las Polticas de
grupo definen los diferentes componentes del ambiente de los usuarios que los
administradores del sistema necesitan manejar e incluye configuraciones de
software, opciones de implementacin de aplicaciones, scrips, configuraciones
de usuarios adems de opciones de documentos y configuraciones de seguridad.
Las configuraciones de la Poltica de grupo que especifique se encuentran en un
objeto de Polticas de grupo que est asociado a su vez con objetos seleccionados
d Active Directory (sitio, dominio o unidades organizacionales).
e
Las Polticas de grupo aprovechan al mximo los contenedores de Windows 2000
Active Directory y los grupos de seguridad. De manera preestablecida, las Polticas
Actividad
Definir Poltica de Grupo:
Cul de las siguientes no es un beneficio de las

polticas de grupo?
C p t l z r ActiveDirectory
aiaia
F e i i i a yE c l b l d d
lxbldd saaiia
Administracin Desentralizada
346
de grupo afectan a todas las computadoras y usuarios en un contenedor

seleccionado de Active Directory. Sin embargo, es posible filtrar los efectos de
la Poltica de grupo al basarse en la membresa de usuarios o computadoras en
un grupo de seguridad Windows 2000.
La siguiente grfica ilustra un escenario de Polticas de grupo y de Active Directory:
GPOs
A1
Dominio
A2
- Los sitios se describen por

direcciones de subred y
pueden cruzar fronteras de
dominio; normalmente no lo
haran.
- GPOs son por dominio.
A3
- Se pueden asociar varios
GPOs con un solo sitio,
dominio, OU
Sitio
A1
A4
A2
A5
OUs
- Varios sitios, dominios u

OUs pueden utilizar un slo
GPO
Las Polticas de grupo
B1
- Se puede asociar cualquier

sitio, dominio, OU con
cualquier GPO, inclusive a
travs de dominios (el
proceso puede ser muy
lento).
B2
- Se puede filtrar el efecto

de un GPO bsandose en la
membresia del grupo de
seguridad y las ACLs.
no se heredan entre
GPOs
dominio
Dominio
B1
B2
B3
CONFIGURACIONES DE LA COMPUTA D O R A Y CONFIGURACIN DEL

USUARIO
En la raz del espacio para el nombre del editor de Polticas de grupo hay dos
nodos principales: Configuracin de la computadora y configuracin del usuario.
Estas son las carpetas principales que utiliza para configurar ambientes de
escritorio especficos y para aplicar las Polticas de grupo en las computadoras
y usuarios en la red.
Las configuraciones de la computadora incluyen polticas que especifican el
comportamiento del sistema operativo, la apariencia del escritorio, la
configuracin de las aplicaciones, las aplicaciones asignadas, las opciones de
implementacin de archivo, las configuraciones de seguridad y los scripts de
iniciar y apagar la computadora. Las Polticas de grupo relacionadas con la
computadora se aplican cuando se inicia el sistema operativo.
Las configuraciones del usuario incluyen toda la informacin especfica del usuario
tal como el comportamiento del sistema operativo, las configuraciones de
escritorio, las configuraciones de aplicaciones, aplicaciones asignadas y
publicadas, opciones de implementacin de archivos, configuraciones de
seguridad y scripts de conexin y desconexin de usuarios. Se aplican las Polticas
de grupo relacionadas con los usuarios cuando estos se conectan a la
computadora.
Clase terica 21
347
POLTICAS DE SOFTWA R E
oa
Nt
E p s b ee p c f c r
s oil seiia
qelsPltcsd
u a oia e
grupo se apliquen a
tds ls uuro d
oo o sais e
computadoras
epcfcs Et e i
seia. so s tl
en ambientes de
computacin pblica
tlscm bbitcso
ae oo iloea
e c e a ,p re e p o
suls o jml,
donde desea
proporcionar una
configuracin especfica
d e c i o i s ni p r a
e srtro i motr
qu usuario se conecte a
la computadora. Para
etbee ls
salcr a
configuraciones del
usuario por computadora
s u i i ae n d d
e tlz l oo e
P l t c sd s f w r e
oia e otae n
configuraciones de la
computadora.
El nodo de Polticas de software del editor de Polticas de grupo incluye toda la

informacin de Polticas de grupo basada en registros, eso es lo que controlaban
las Polticas del sistema de Windows NT 4.0. Las configuraciones de las Polticas
de software incluyen las Polticas de grupo para el sistema operativo Windows
2000 y sus componentes, y para las aplicaciones. Estas configuraciones se
escriben ya sea en el usuario o en la parte local del equipo de la base de datos
de registro.
Las configuraciones de poltica que son especficas a un usuario que se conecta
a una estacin de trabajo o servidor se escriben al registro bajo
HKEY_CURRENT_USER (HKCU) y las configuraciones especficas de la
computadora se escriben bajo HKEY_LOCAL_MACHINE (HKLM).
Para generar el espacio de nombre bajo el nodo de Polticas de software del
editor de Polticas de grupo, usted puede utilizar ya sean las plantillas
administrativas personalizables (archivos .adm) o un complemento de extensin
de MMC en el editor de Polticas de grupo. Para obtener mayor informacin sobre
plantillas administrativas, consulte el Apndice A
.
Administracin del software

Windows 2000 cuenta con la extensin del editor de implementacin de
aplicaciones para administrar de manera central la distribucin de software en
su empresa. Puede insta a asignar, p b i a a t a i a r parar y eliminar
l r,
u l c r, c u l z r, e
software de grupos de usuarios y computadoras.
Es posible asignar aplicaciones a grupos de usuarios para que todos los usuarios
que requieran las aplicaciones automticamente cuenten con ellas en sus
escritorios, sin requerir que el administrador o personal tcnico instale la
aplicacin en cada escritorio. Al asignar una aplicacin a un grupo de usuarios,
est realmente anunciando la aplicacin en todos los escritorios de los usuarios.
Esto significa que aparece un acceso rpido a la aplicacin en el men Inicio y
se actualiza el registro con informacin acerca de la aplicacin, incluyendo la
ubicacin del paquete de la aplicacin y la ubicacin de archivos fuente para la
instalacin. Con esta informacin de publicidad en la computadora del usuario,
se instala la aplicacin la primera vez que el usuario la activa.
Actividad
Las polticas de grupo se representan como:
348
Cuando el usuario selecciona la aplicacin desde el men Inicio por primera

vez, se instala automticamente y despus se abre.
Tambin existe la posibilidad publicar aplicaciones a grupos de usuarios y ellos
pueden decidir si desean o no instalar dichas aplicaciones. Al publicar una
aplicacin, no aparecen accesos rpidos a la aplicacin en los escritorios de
los usuarios y no se realizan registros locales. En otras palabras, la aplicacin
no est presente en el escritorio del usuario. Las aplicaciones publicadas guardan
su informacin de publicidad en Active Directory.
Para instalar una aplicacin publicada, los usuarios pueden usar la herramienta
Agregar/eliminar programas, que incluye una lista de todas las aplicaciones
publicadas que se encuentran disponibles para su uso. Los usuarios tambin
pueden abrir un archivo de documento asociado con una aplicacin publicada
(por ejemplo, un archivo .xls para instalar Microsoft Excel).
DOCUMENTOS Y CONFIGURACIONES DEL USUARIO

Se puede utilizar la extensin de documentos y configuraciones del usuario para
agregar archivos, accesos rpidos o carpetas especiales que representan el
escritorio del usuario.
Las carpetas especiales son aquellas que se encuentran bajo la carpeta
%Windir%\perfiles (donde %Windir% es la carpeta de Windows 2000) y stas
incluyen carpetas tales como Mis documentos, Men de inicio, Escritorio,
Favoritos y otros.
Al especificar un archivo se manda al escritorio del usuario ya sea al inicio del
equipo (si se especifica en las configuraciones de la computadora) o cuando el
usuario se conecte (si est especificado en las configuraciones del usuario).
Los archivos que se coloquen en el nodo de las configuraciones de la
computadora estarn disponibles para todos los usuarios de esa computadora.
Los archivos que se coloquen en el nodo de configuraciones del usuario estarn
disponibles slo al usuario especfico, sin importar a qu computadora se conecte
la persona.
Se puede colocar cualquier archivo en la carpeta de Favoritos; sin embargo, el
men Favoritos slo presentar archivos que son accesos rpidos, en otras
palabras, tipos de archivos que estn marcados en el registro como IsShortcut
e l laePoI.Et icue.r,.n,.i yors
n a lv rgD so nly ul lk pf to.
Se puede utilizar la extensin de documentos y configuraciones del usuario para
realizar las siguientes tareas:
Redireccionar cualquiera de las carpetas especiales en un perfil de usuario
a una ubicacin alterna (tal como el destino de red). Por ejemplo,
redireccionar la carpeta Mis documentos de un usuario a
\\server\share\%username%. Al redireccionar la carpeta Mis documentos,
puede proporcionar las siguientes ventajas:
Clase terica 21
349
Asegurar que estn disponibles todos los documentos de los usuarios

cuando pasean de una computadora a otra.
Reducir el tiempo que se requiere para conectarse y desconectarse de la
rd
e.
Guardar los datos de los usuarios en la red (en lugar de en una computadora
lcl.
oa)
El departamento de informtica administra y protege los datos.
Hacer que la carpeta Mis documentos basada en la red de los usuarios
est disponible a los usuarios cuando se desconecten de la red corporativa
al utilizar las tecnologas de cach del extremo del cliente.
Publicar accesos rpidos o archivos en cualquier carpeta especial. Por
ejemplo, puede utilizar esta funcin de las siguientes maneras:
Se puede colocar un acceso rpido URL a la pgina Web de soporte tcnico
en el escritorio de todo mundo o entre sus Favoritos de Microsoft Internet
Explorer.
Un asistente de grupo puede colocar un documento Bienvenido a
Windows 2000 en los escritorios de los usuarios.
CONFIGURACIONES DE SEGURIDAD
Se puede utilizar la extensin de configuraciones de seguridad para definir
configuracin de seguridad para computadoras dentro de un Objeto de polticas
de grupo. Una configuracin de seguridad consiste en configuraciones aplicadas
a cada rea de seguridad soportada por Windows 2000 Professional o Windows
2000 Server. E ta configuracin se incluye dentro de un Objeto de polticas de
s
grupo. Se aplica entonces esta configuracin de seguridad a las computadoras
como parte de la vigencia de las Polticas de grupo.
La extensin de configuraciones de seguridad ha sido diseada para
complementar las herramientas de seguridad existentes del sistema tales como
e Eio d ls
l d t r e i tas de control de acceso, el Administrador de usuarios locales y el
Administrador de servidores.
La extensin de configuraciones de seguridad define un motor que puede
interpretar una configuracin estndar de seguridad y ejecutar automticamente
Actividad
Qu es %Windir%?
Definir Configuraciones de seguridad:
350
las operaciones requeridas en el fondo. Puede continuar utilizando las

herramientas existentes para cambiar las configuraciones especficas cuando
sea necesario.
Las reas de seguridad que se pueden configurar para computadoras incluyen:
Polticas de cuenta: Este trmino se refiere a configuraciones de
seguridad de computadoras para polticas de contrasea, polticas de
bloqueo y polticas Kerberos en dominios Windows NT.
Polticas locales: Estas incluyen configuraciones de seguridad para
polticas de auditoria, asignacin de derechos a usuarios y acciones de
seguridad. La poltica local le permite configurar quin tiene acceso local
desde la red a la computadora y si se auditan o no y cmo los eventos
locales.
Registro de eventos: Se controlan las configuraciones de seguridad
para aplicacin, seguridad y registros de evento del sistema.
Grupos restringidos: Esto se refiere a las configuraciones de seguridad
de la computadora para grupos incorporados que cuentan con ciertas
habilidades predefinidas. Las polticas restringidas de grupo afectan la
membresa de estos grupos. Algunos ejemplos de los grupos restringidos
son los grupos locales (tales como administradores, usuarios con poder,
operadores de impresin y operadores de servidores), as como grupos
globales (tales como administradores de dominio).
Windows 2000 permite agregar categoras que considere sensibles o
p i i e i d s a l l s de Administracin de grupos restringidos, con su
rvlgaa
a i ta
informacin de membresa, y entonces puede rastrear y administrarlas.
Adems de la membresa de grupo, las polticas restringidas de grupo
rastrean y controlan la membresa hacia atrs de cada grupo restringido,
los grupos a los cuales pertenece un grupo seleccionado. Se puede utilizar
la membresa en reversa para controlar exactamente a qu grupos pueden
incorporarse sus miembros restringidos o limitar una categora seleccionada
de usuarios
a un grupo de membresa y prevenirles que se registren en otras.
Servicios del sistema: Estos controlan las configuraciones de control y
opciones de seguridad (ACLs) a los servicios de sistema tales como
servicios de red, servicios de archivo e impresin, servicios de telefona y
fax y servicios Internet/intranet y as sucesivamente. Las extensiones de
configuraciones de seguridad dan soporte directamente a las
configuraciones generales para cada servicio del sistema. Esto incluye
modalidad de inicio y seguridad sobre el servicio. Note que el nombre del
servicio debe de ser el mismo que el que utiliz el Administrador de control
de servicio.
Registro: Este se utiliza para configurar y analizar configuraciones para
descriptores de seguridad (incluyendo objetos de propiedad), el ACL e
informacin de auditora para cada llave de registro.
Clase terica 21
351
Cuando aplica seguridad en llaves de registro, la extensin de configuraciones

de seguridad sigue el mismo modelo de herencia que utilizaron las tres jerarquas
estructuradas en Windows 2000 (tales como Active Directory y NTFS). Microsoft
recomienda la utilizacin de herencia para especificar la seguridad slo en objetos
de nivel superior y redefinir seguridad slo para aquellos objetos hijo que lo
requieran. Este enfoque simplifica ampliamente su estructura de seguridad y
reducir el gasto administrativo que resultara de una estructura innecesaria de
control de acceso complejo.
Sistema de archivos: Se utiliza para configurar y analizar las
configuraciones para descriptores de seguridad (incluyendo objetos de
propiedad), el ACL y la informacin de auditoria para cada objeto (volumen,
directorio o archivo) en el sistema de archivo local.
Windows proporciona el siguiente conjunto de archivos predefinidos de
configuracin para escenarios comunes de seguridad:
Configuraciones para estacin de trabajo tpica (ideal ws.inf)
Configuraciones para estacin de trabajo segura (securews.inf)
Configuraciones para controlador de dominio seguro (securedc.inf)
Configuraciones para estacin de trabajo muestra (sample.inf)
Configuraciones para el controlador de dominio muestra
(sampledc.inf)
Por predeterminacin, se guardan estos archivos de configuracin de seguridad
en
\%systemroot%\security\templates. Puede utilizar estos o cualquier otra
configuracin de seguridad como la base de sus configuraciones de seguridad,
y despus editar las configuraciones de acuerdo a sus necesidades.
Se guardan las configuraciones de seguridad como archivos .inf en formato de
t x o Al crear y asignar una configuracin de seguridad o editar una configuracin
et.
de seguridad existente, la extensin de configuraciones de seguridad procesa el
archivo de configuracin y realiza los cambios correspondientes a las
computadoras asociadas como parte de las Polticas de grupo.
SCRIPTS
Con las extensiones de Scripts es posible asignar scripts para ejecutarse cuando
la computadora se inicia o se apaga o cuando los usuarios se conectan o
Actividad
Definir Grupo Restringido:
Definir Poltica de Cuenta:
352
desconectan de sus computadoras.
icoai
Dcinro
VBScript
Visual Basic Script
Edition. Es un
lenguaje interpretado
por el Windows
Scripting Host de
Microsoft. Su sintaxis
refleja su origen
como variacin del
lenguaje de
programacin Visual
Basic.
Jscript
JScript es la
implementacin de
Microsoft de
ECMAScript. Est
disponible mediante
Internet Explorer y el
Windows Scripting
Host.
Perl
Practical Extraction
and Report
Language. Lenguaje
de programacin
basado en scripts
portable a casi
cualquier plataforma.
Es muy utilizado para
escribir CGIs. Uno de
sus elementos ms
potentes son las
expresiones
regulares, que a
partir de su versin
en Perl han sido
adoptadas por otros
lenguajes y
plataformas como
.NET o Javascript.
Windows 2000 incluye Windows Scripting Host, un host de scripting independiente

del lenguaje para plataformas Windows de 32 bits que incluye los motores de
s r p i g VBScript y Jscript. Microsoft anticipa que otras compaas de software
citn
proporcionaran motores de scripting de ActiveX para otros lenguajes tales como
Perl y Python. Windows Scripting Host tambin proporcionar soporte a esos
lenguajes.
Los nombres de los scripts y sus lneas de comando (en forma de llaves de
registro y valores) se encuentran guardados en el archivo Registry. o ,
pl
REQUERIMIENTOS ADMINISTRATIVOS DE LAS POLTICAS DE GRUPO

Para establecer las Polticas de grupo para un objeto AD seleccionado, se debe
tener instalado el controlador de dominio Windows NT y debe contar con permiso
de leer/escribir para acceder al volumen del sistema de controladores de dominio
(carpeta Sysvol) y modificar los derechos en el objeto de directorio actualmente
seleccionado.
Se crea automticamente la carpeta de Volumen de sistema cuando insta a e
l l
controlador de dominio de Windows 2000 (o promueve un servidor a un
controlador de dominio).
CONSIDERACIONES DE DISEO DE POLTICAS DE GRUPO

Estructura de Active Directory e implementacin de polticas de grupo
Al planear y disear una estructura de Active Directory, es necesario considerar
cmo se desea implementar las polticas de grupo para su empresa. Esto es
muy importante ya que como se aplican las polticas de grupo depende en la
estructura de Active Directory que se defina. Al construir cuidadosamente el diseo
d Active Directory tomando en cuenta las polticas de grupo, entonces se podr
e
aprovechar al mximo la estructura de Active Directory y simplificar su
implementacin y administracin de polticas de grupo.
Se aplica la poltica de grupo a los objetos de polticas de grupo que a su vez
estn asociados con contenedores especficos de Active Directory. L p l t c
a oia
de grupo se procesa de manera jerrquica en el siguiente orden: sitio, dominio y
OU; el contenedor de Active Directory ms cerca de la computadora o usuario
anula la configuracin de la poltica de grupo en un contenedor de Active Directory
de nivel ms alto. De manera predeterminada, las configuraciones que defina
para la poltica de grupo son acumulativas y son heredadas desde los
contenedores padre de Active Directory. Para un control adicional, se pueden
utilizar una o ms membresas de computadoras o usuarios en grupos de
seguridad para filtrar el efecto de un GPO. Esto se realiza modificando las ACLs
para un GPO de tal manera que slo los miembros de ciertos grupos de seguridad
se vean afectados por un GPO.
El uso de las capacidades de las polticas de grupo en varias combinaciones
hace muy flexibles las polticas de grupo, permitindole cumplir con una variedad
de requerimientos de negocios. El punto de cuidado ms importante es utilizar la
Clase terica 21
353
combinacin ms simple de estas capacidades y planear cuidadosamente su

uso.
icoai
Dcinro
La siguiente seccin enumera ejemplos especficos de reas a considerar al

realizar la planeacin de polticas de grupo.
Python
Python es un
lenguaje
interpretado, lo que
ahorra un tiempo
considerable en el
desarrollo del
programa, pues no
es necesario
compilar ni enlazar.
Minimizar el uso de la funcin de herencia de polticas de bloque

Ei
v tar que las configuraciones de polticas de grupo de contenedores Active
Directory (AD) padres afecten a usuarios y computadoras en contenedores de
nivel ms bajo. Esto es una funcin til y poderosa que debe usar slo cuando
usa situacin particular lo requiera. El bloqueo de la herencia de poltica por
parte de contenedores AD padre puede complicar la poltica de solucin de
problemas.
ActiveX
Los controles
ActiveX se
desarrollan con
entornos de
Microsoft para la
creacin de
aplicaciones
Windows, como
pueden ser Visual
Basic Script o Visual
C.
Minimizar el uso de la funcin de herencia de poltica de fuerza

Las configuraciones de polticas que especifique en un objeto dado de polticas
de grupo en un contenedor AD de nivel ms alto se refuerce en contenedores
AD de nivel ms bajo. Slo utilizar esta funcin poderosa y de ayuda cuando las
circunstancias lo requieran. El sobre uso de sta funcin con otras funciones
relacionadas tales como la herencia de poltica de bloqueo puede complicar la
poltica de solucin de problemas.
Minimizar el nmero de objetos de polticas de grupo asociados con
usuarios en contenedores de Active Directory
Es posible asignar ms de un objeto de polticas de grupo a un contenedor A D
particular si su situacin lo requiere; sin embargo, el nmero de objetos de polticas
de grupo que se asigne pueden afectar el tiempo de proceso de conexin.
Durante el tiempo de conexin, cada objeto de polticas de grupo asociado con
un contenedor AD (y que el usuario o la computadora tenga que aplicar acceso
de aplicacin ACE de poltica de grupos) se procesa, as que entre ms sean los
objetos de polticas de grupo asociados, mayor ser el tiempo de conexin que
se requiera para procesarlos.
Una manera de minimizar el nmero de objetos de polticas de grupo que afectan
a los usuarios es utilizar grupos de seguridad como una manera de filtrar GPOs.
Si se aplica polticas desde varios objetos de polticas de grupo a un contenedor
d Active Directory y se utiliza filtros de polticas de grupo, haciendo que algunas
e
Actividad
D f n rP r :
eii el
Definir VBScript:
354
polticas sean invisibles a algunos usuarios, se mejorar significativamente el

rendimiento.
Esto se debe a que se procesarn un nmero menor de objetos de polticas de
grupo.
Si su situacin requiere es posible utilizar filtros basados en grupos de seguridad,
se debe asegurar que los usuarios a los que se pretende que reciban polticas
desde un objeto particular de polticas de grupo tengan acceso de aplicacin
Access Control Entry) de poltica de grupos a ese GPO. Si los usuarios no
ACE (
tienen acceso de aplicacin de polticas de grupo a ese GPO, no obtendrn
esas polticas.
Anular las polticas de grupo basadas en usuarios con polticas de grupo
basadas en computadoras slo cuando sea necesario
Se puede establecer las configuraciones del usuario por computadora y por lo
tanto anular las polticas especficas del usuario con polticas especficas de
computadora. Esto es til cuando se desea proporcionar una configuracin de
escritorio especfica sin importar que usuario se conecte a la computadora. Para
establecer configuraciones de usuario por computadora, se debe utilizar el nodo
de polticas de software en las configuraciones de computadoras en la consola
del Editor de polticas de grupo.
En lo posible no utilizar las asignaciones GPO a travs de dominios
Aunque se puede asignar objetos de polticas de grupo desde diferentes dominios
a un solo contenedor AD si una situacin particular lo requiere, dichos casos
sera mucho ms lento el procesamiento de polticas de grupo. Esto se debe a
que se cruzan las fronteras de dominio.
ADMINISTRACIN DE OBJETOS DE POLTICAS DE GRUPO

La delegacin de autoridad, separacin de tareas administrativas, la
administracin central contra la distribuida y la flexibilidad en el diseo son factores
importantes que son necesarios considerar al disear polticas de grupo y al
seleccionar qu escenarios se utilizar para una determinada empresa.
Si se implementa o no polticas de grupo de manera modular (por ejemplo,
creando un objeto de polticas de grupo especfico para opciones de
administracin de software, un objeto de polticas de grupo especfico para
opciones de configuracin de seguridad y as sucesivamente) ser determinado
por los requerimientos administrativos y los roles en su empresa. Por ejemplo,
si los administradores estn organizados de acuerdo con sus tareas (tales como
administradores de gestin de software, administradores de seguridad,
administradores de conexin, etc.), puede resultarle til definir polticas en los
mdulos de polticas de grupo.
La delegacin o autoridad depender en gran parte en si utiliza administracin
centralizada o distribuida en la empresa. Basndose en los requerimientos
particulares de la empresa, los administradores de red pueden utilizar los
Clase terica 21
355
permisos ACL para determinar qu grupos y administradores pueden modificar

polticas en los objetos de polticas de grupo. Los administradores de redes
pueden definir grupos de administradores (por ejemplo, administradores de
gestin de software) y despus proporcionarles acceso lectura/escritura para
seleccionar objetos de polticas de grupo, permitindoles a los administradores
de red delegar el control de las polticas de objeto de polticas de grupo. Los
administradores que cuentan con acceso lectura/escritura a un objeto de polticas
de grupo pueden controlar todos los aspectos de ese objeto de polticas de
grupo. Si es un administrador de red que utiliza administracin centralizada,
puede escoger entre otorgarles a otros administradores acceso de slo lectura
a objetos de polticas de grupo. La realizacin de esto les permitira a aquellos
administradores ver los objetos de polticas de grupo, pero no podran cambiarlos.
356
Clase prctica 21
Mediante la realizacin de esta prctica usted comprender la funcin y la correcta manera de
implementacin de polticas de grupo, ya sea como medio para asegurar los entornos administrativos
de los usuarios y equipos o para la implementacin de distribucin de software.
GPO de distribucin de software

Para esta prctica se asume que el alumno cuenta con el cd de instalacin de Office 2000, XP
o 2003, adems del servidor MGP-SRV01 configurado con DNS, WINS y DHCP como en las
practicas anteriores.
Ejercicio 1:
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin.

Icono Disco local (C:) (doble clic) Ingresar en la unidad C
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir DistSoft como nombre de la carpeta y presionar la tecla ENTER Crear
una carpeta llamada DistSoft
Carpeta DistSoft (clic con el botn derecho del mouse)
Compartir (clic) Establece que se desea compartir el recurso
Botn Permisos (clic) Cambiar los permisos de acceso
Botn Agregar (clic) Agregar usuarios o grupos
Grupo Administradores (doble clic) Agrega al grupo Administradores
Botn Aceptar (clic)
Grupo Administradores (MEGAPACK\Administradores) (clic) Selecciona el grupo
administradores
Control total (clic para marcar) Establece que los administradores tendrn control
total sobre este recurso
Grupo Todos (clic) Selecciona el grupo todos (que hace referencia a todos los
usuarios)
Control total (clic para desmarcar) Establece que los usuarios no tendrn control
total sobre este recurso
Cambiar (clic para desmarcar) Establece que los usuarios no podrn modificar o
eliminar archivos sobre este recurso
Botn Aceptar (clic) Establece los nuevos permisos
Botn Aceptar (clic) Cerrar la ventana compartir
Carpeta DistSoft (doble clic) ingresar a la carpeta DistSoft
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Clase prctica 21
Introducir Office como nombre de la carpeta y presionar la tecla ENTER Crear una
carpeta llamada Office
Colocar en la unidad de CD-ROM el CD de instalacin de Office
en la barra de direcciones del explorador de Windows colocar z: (sin las comillas) (o
la letra de unidad que corresponda a la lector de CD) y presionar la tecla ENTER
seleccionar simultneamente los elementos office1.cab y pro.msi (manteniendo
presionada la tecla ctrl. Y haciendo clic en los iconos correspondiente)
presionar simultneamente las teclas ctrl + C Copiar los archivos anteriormente
seleccionados
en la barra de direcciones del explorador de Windows colocar c:\distsoft\office (sin
las comillas) y presionar la tecla ENTER acceder a la carpeta office que se
encuentra dentro de la carpeta distsoft
presionar simultneamente las teclas ctrl + V Pegar los archivos anteriormente
copiados
Cerrar el explorador de Windows
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin
Megapack.com.ar (doble clic)
Users (clic)
Usuario Supervisor Administracin (clic con el botn derecho del mouse)
M over (clic) Mover el usuario supadm a otro contenedor
Ventas (clic)
Botn Aceptar (clic) Mover el usuario a la unidad organizativa ventas
Propiedades (clic) despliega las propiedades de la UO
Solapa Poltica de grupo (clic)
Botn Nueva (clic) Crear una nueva poltica de grupo
Colocar Poltica Ventas (sin las comillas) como nombre de la poltica y presionar la
tecla ENTER
Poltica Ventas (doble clic) Editar la poltica de grupo
Configuracin de usuario (clic)
Configuracin de software (doble clic) despliega la rama de configuracin de
software de usuario
Instalacin de software (clic con el botn derecho del mouse)
Nuevo (clic)
Paquete (clic) Establece que se desea agregar un nuevo paquete de instalacin
Colocar \\mgp-srv01\distsoft\office\pro.msi (sin las comillas) en el cuadro de texto
Nombre del archivo: y presionar la tecla ENTER
Asignada (clic) Establece que el paquete ser asignado para la instalacin en lugar
de ser publicado para la instalacin
Botn Aceptar (clic) El nuevo paquete ser agregado a la GPO para su instalacin
Cerrar la consola de configuracin de directiva de grupo
Botn Aceptar (clic) Cerrar las propiedades de Ventas
Cerrar el complemento usuarios y equipos de Active Directory
357
358
Ejercicio 1:
En el Worstation 1 (MGP-WST01)
Una vez iniciado el sistema se proceder a iniciar sesin como supadm presionando
Introducir supadm (sin las comillas) como usuario y AdM933sUP (sin las comillas) como
contrasea y presionar la tecla ENTER
Men Inicio (clic)

Ejecutar (clic)
Colocar appwiz.cpl en el cuadro de texto y presionar la tecla ENTER Acceder al
complemento Agregar o quitar programas del panel de control
Verificar que ya se encuentra instalado el paquete de Microsoft Office
Botn Cerrar (clic) Cerrar la ventana de Agregar o quitar programas
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
Observar que ya se encuentran todos los accesos directos a los programas del paquete
office (Word, Excel, Access, etc.)
Microsoft Access (clic) Ejecutar el programa Microsoft Access. Al ser esta la
primer ve que se ejecuta comenzar el proceso de instalacin del mismo.
Una vez finalizado el proceso cerrar todas las ventanas abiertas
Clase prctica 21
359
360
Servidores de infraestructura de llave pblica en Windows 2000 Server
Clase terica 22
Servidores de infraestructura de llave pblica en Windows 2000
Server
INTRODUCCIN
Windows 2000 introduce una infraestructura de claves pblicas (PKI) completa
para la plataforma Windows. Esta infraestructura ampla los servicios criptogrficos
de claves pblicas (PK) basados en Windows que fueron introducidos durante
los ltimos aos, proporcionando un conjunto integrado de servicios y
herramientas administrativas para crear, i s
n talar y administrar aplicaciones
basadas en PK. Esto permite que los desarrolladores de aplicaciones aprovechen
los mecanismos de seguridad de confidencialidad compartida o el mecanismo
de seguridad basado en PK, segn sea necesario.
CRIPTOGRAFA DE CLAVES PBLICAS

La criptografa es la ciencia de proteger datos. Los algoritmos criptogrficos
combinan matemticamente datos de texto simple de entrada y una clave de
encriptacin para generar datos encriptados (texto cifrado). Con un buen algoritmo
criptogrfico, no es posible computacionalmente invertir el proceso de encriptacin
y derivar los datos de texto simple, empezando nicamente con el texto cifrado;
una clave de desencriptacin, son necesarios para llevar a cabo la transformacin.
En la criptografa tradicional de claves secretas (o simtricas), las claves de
encriptacin y desencriptacin son idnticas y, p r l tanto, comparten datos
o o
importantes. Las partes que desean comunicarse con criptografa de claves
secretas deben intercambiar en forma segura sus claves de encriptacin y
desencriptacin antes de que puedan intercambiar datos encriptados.
La propiedad fundamental de la criptografa de claves pblicas (PK) es que las
claves de encriptacin y desencriptacin son diferentes. La encriptacin con una
clave de encriptacin de claves pblicas es una funcin unidireccional; el texto
simple se convierte en texto cifrado, pero la clave de encriptacin es irrelevante
para el proceso de desencriptacin.
Una clave de desencriptacin diferente (relacionada, pero no idntica, con la clave
de encriptacin) es necesaria para convertir el texto cifrado otra vez en texto
simple.
Para la criptografa PK, cada usuario tiene un par de claves que constan de una
clave pblica y de otra privada. Al hacer que la clave pblica est disponible, es
posible permitir que otros le enven datos encriptados que slo pueden
desencriptarse utilizando su clave privada.
Funcionalidad de claves pblicas

La separacin entre claves pblicas y privadas en la criptografa PK ha permitido
la creacin de varias nuevas tecnologas. Las ms importantes de stas son las
firmas digitales, la autenticacin distribuida, convenio de claves secretas a travs
de claves pblicas y sin claves secretas compartidas anteriores.
Clase terica 22
361
Existen varios algoritmos criptogrficos PK bien conocidos. Algunos, como el

Rivest-Shamir-Adleman (RSA) y la Criptografa de curva elptica (ECC), son de
fines generales, pueden soportar todas las operaciones anteriores. Otros
soportan
nicamente un subconjunto de estas capacidades.
Se describir brevemente los usos principales de la criptografa PK.
Estas operaciones se describen en trminos de dos usuarios, Ezequiel y Nicols.
Se asume que los dos pueden intercambiar informacin sin ninguna clave
secreta compartida arreglada previamente entre ellos.
FIRMAS DIGITALES
Uno de los aspectos ms importantes de la criptografa de claves pblicas es
crear y validar firmas digitales. Esto se basa en una transformacin matemtica
que combina la clave privada con los datos que se van a firmar en tal forma que:
Slo la persona que posee la clave privada pudo haber creado la
firma digital.
Cualquiera con acceso a la clave pblica correspondiente puede
verificar la firma digital.
Cualquier modificacin de los datos firmados (incluso cambiar
nicamente un slo bit en un archivo grande) invalida la firma digital.
Las firmas digitales son en s nicamente datos, por lo que pueden transportarse
junto con los datos firmados a los que protegen.
Por ejemplo, Ezequiel puede crear un mensaje de correo electrnico firmado
para Nicols y enviar la firma junto con el texto del mensaje, proporcionando a
Nicols la informacin que se requiere para verificar el origen del mensaje.
Adems, las firmas digitales brindan una forma para verificar que los datos no
hayan sido alterados (ya sea accidental o intencionalmente) mientras se
encuentran en trnsito desde el origen al destino.
AUTENTICACIN
La criptografa PK proporciona servicios robustos de autenticacin distribuidos.
La autenticacin de entidades garantiza que el transmisor de datos sea la entidad
que el receptor piensa que es.
Actividad
Definir Criptografia:
Definir Firma Digital:
362
Si Nicols recibe datos de Ezequiel y despus le enva un intercambio de seales

encriptado con la clave pblica de Ezequiel, ste decodifica entonces este
intercambio de seales y lo enva de nuevo a Nicols, probando que tiene acceso
a la clave privada asociada con la clave pblica que Nicols utiliz para emitir el
intercambio de seales. Asimismo, Nicols puede enviar un intercambio de
seales de texto simple a Ezequiel. Despus, Ezequiel combina el intercambio
de seales con otra informacin, que est firmada digitalmente. A continuacin,
Nicols utiliza la clave pblica de Ezequiel para verificar la firma y probar que
ste tiene la clave privada asociada. El intercambio de seales hace que este
mensaje sea nico y evita ataques de reproduccin por parte de una tercera
parte hostil. En cualquier caso, esto se conoce como un protocolo de prueba de
posesin porque el transmisor prueba que tiene acceso a la clave privada
pa t c l r.
riua
CONVENIO DE CLAVES SECRETAS A TRAVS DE UNA CLAVE PBLICA
Otra funcin de la criptografa PK es que permite que dos partes acuerden una
clave secreta compartida, utilizando redes de comunicaciones pblicas y no
seguras. Bsicamente, Ezequiel y Nicols generan un nmero aleatorio que
forma la mitad de la clave secreta compartida. Entonces, Ezequiel enva a Nicols
su mitad de la clave secreta encriptada, utilizando la clave pblica de ella. Nicols
enva a Ezequiel su mitad encriptada con la clave pblica de l. Despus, cada
lado puede desencriptar el mensaje recibido de la otra parte, extraer la mitad de
la clave secreta compartida que fue generada por el otro y combinar las dos
mitades para crear la clave secreta compartida. Una vez que el protocolo
termina, la clave secreta compartida puede utilizarse para asegurar otras
comunicaciones.
ENCRIPTACIN DE DATOS
C O M PARTIDAS ANTERIORES
MASIVOS
SIN
CLAV E S
S E C R E TA S
La cuarta tecnologa principal habilitada por la criptografa PK es la capacidad

de
Encriptar datos masivos sin establecer claves secretas compartidas anteriores.
Los algoritmos PK existentes tienen un alto nivel computacional con relacin a
los algoritmos de claves secretas. Esto los hace adecuados para la encriptacin
de grandes cantidades de datos. Para obtener las ventajas de la criptografa PK
junto con la encriptacin eficaz masiva, normalmente se combinan las
tecnologas PK y de claves secretas.
Esto se logra seleccionando primero un algoritmo de encriptacin de claves
secretas y generando una clave de sesin aleatoria para usarla con la
encriptacin de datos. Si Ezequiel est enviando el mensaje, primero encripta
esta clave de sesin utilizando la clave pblica de Nicols. La clave de texto
cifrado resultante se enva entonces a Nicols junto con los datos encriptados.
Nicols puede recuperar la clave de sesin utilizando su propia clave privada y
despus utilizar la clave de sesin para desencriptar los datos.
Clase terica 22
363
PROTEGER Y CONFIAR CLAVES CRIPTOGRFICAS

En la criptografa de claves secretas, Nicols y Ezequiel confan en su clave
secreta compartida porque la acordaron mutuamente o la intercambiaron en
una manera segura, y cada uno convino guardarla en forma segura para evitar
el acceso de una tercera parte mal intencionada. En contraste, al utilizar la
criptografa PK, Nicols slo necesita proteger su clave privada y Ezequiel la
suya. La nica informacin que necesitan compartir es sus claves pblicas.
Necesitan poder identificar la clave pblica del otro en forma positiva, pero no
necesitan mantenerla en secreto. Esta capacidad de confiar la asociacin de
una clave pblica con una entidad conocida es crtica para el uso de la criptografa
PK. Nicols puede confiar en la clave pblica de Ezequiel porque ste se la
entreg directamente en una forma segura, pero esto presupone que Nicols y
Ezequiel han tenido alguna forma de comunicacin segura anterior. Ms
probablemente, Nicols ha obtenido la clave pblica de Ezequiel a travs de un
mecanismo no seguro (por ejemplo, de un directorio pblico), por lo que se
necesita algn otro mecanismo para proporcionar a Nicols confianza de que la
clave pblica que el sostiene es de Ezequiel, es realmente la clave pblica de
l. Un mecanismo as se basa en los certificados emitidos por una autoridad de
certificacin (CA).
CERTIFICADOS
Los certificados proporcionan un mecanismo para lograr confianza en la relacin
entre una clave pblica y la entidad propietaria de la clave privada correspondiente.
Un certificado es una declaracin firmada digitalmente que trata con una clave
pblica de sujeto pa t c l r, y es firmado por su emisor (que tiene otro par de
riua
claves privadas y pblicas). Normalmente, los certificados tambin contienen
otra informacin relacionada con la clave pblica de sujeto, como informacin
de identidad sobre la identidad que tiene acceso a la clave privada
correspondiente.
Por lo tanto, al emitir un certificado, el emisor da testimonio de la validez de la
unin entre la clave pblica de sujeto y la informacin de identidad de sujeto.
AUTORIDADES DE CERTIFICACIN
Una autoridad de certificacin (CA) es una entidad o servicio que emite
certificados.
Una CA acta como un garante de la unin entre la clave pblica de sujeto y la
informacin de identidad de sujeto que est contenida en los certificados que
emite.
Actividad
Definir Certificado:
Definir Entidad de Cirtificacin:
364
Diferentes CAs pueden elegir verificar esa unin a travs de medios diferentes,
por lo que es importante comprender las polticas y procedimientos de la
autoridad antes de confiar en esa autoridad para verificar claves pblicas.
CONFIANZA Y VALIDACIN
La cuestin esencial a la que se enfrenta Nicols cuando recibe un mensaje
firmado es si debe confiar en que la firma es vlida y fue generada por quien
afirma haberla hecho. Nicols puede confirmar que la firma es matemticamente
vlida; es decir, puede verificar la integridad de la firma utilizando una clave
pblica conocida. Sin embargo, debe determinar todava si la clave pblica
utilizada para verificar la firma pertenece, de hecho, a la entidad que afirma
haber hecho la firma en primer lugar.
Si Nicols no confa implcitamente en que la clave pblica es la de Ezequiel,
necesita reunir evidencia slida de que la clave pertenece a Ezequiel.
Si Nicols puede localizar un certificado, que fue emitido por una CA en la que
Nicols confa implcitamente, para la clave pblica de Ezequiel, Nicols puede
confiar en que la clave pblica de Ezequiel realmente pertenece a l. Es decir,
probablemente Nicols confiar en que el realmente tiene la clave pblica de
Ezequiel si encuentra un certificado que:
Tenga una firma vlida criptogrficamente de su emisor.
Atestige una unin entre el nombre Ezequiel y la clave pblica del
mismo.
Haya sido emitido por un emisor en el que Nicols confa.
Suponiendo que Nicols encuentra dicho certificado para la clave pblica de
Ezequiel, entonces puede verificar su autenticidad utilizando la clave pblica de
la CA emisora Eduardo. Sin embargo, ahora Nicols se enfrenta al mismo dilema.
Cmo sabe que la clave pblica realmente pertenece a Eduardo? Necesita
encontrar un certificado que atestige la identidad de Eduardo y la unin entre
Eduardo y la clave pblica del mismo.
Finalmente, Nicols termina construyendo una cadena de certificados
empezando con Ezequiel y la clave pblica de l y pasando por una serie de
CAs para terminar en un certificado emitido para alguien en quien Nicols confa
implcitamente. Dicho certificado se denomina un certificado de raz confiable
porque forma la raz (nodo superior) a partir de una jerarqua de claves pblicas/
uniones de identidad que Nicols acepta como autnticas.
Cuando Nicols opta por confiar explcitamente en un certificado de raz confiable
pa t c l r, entonces est confiando implcitamente en todos los certificados
riua
emitidos por esa raz confiable, as como en todos los certificados emitidos por
cualquier CA subordinada certificada por la raz confiable.
El conjunto de certificados de raz confiable en los que Nicols confa
explcitamente es la nica informacin que ella debe adquirir en forma segura.
Ese conjunto de certificados asegura el sistema de confianza de Nicols y su
creencia en la infraestructura de claves pblicas.
Clase terica 22
365
COMPONENTES WINDOWS 2000 PKI

La figura a continuacin presenta una vista de nivel superior de los componentes
que conforman Windows 2000 PKI. Es una vista lgica y no implica requerimientos
fsicos para servidores separados; de hecho, muchas funciones pueden
combinarse en un sistema de un slo servidor. Un elemento clave en la PKI es
Microsoft Certificate Services. Esto le permite instalar una o ms CAs
empresariales. Estas CAs soportan la emisin y revocacin de certificados.
Estn integradas con Active Directory, lo que proporciona informacin de
ubicacin CA y polticas CA, y permite que la informacin de certificados y
revocacin sea publicada.
PKI no reemplaza los mecanismos existentes de confianza y autorizacin de
dominios de Windows basados en el controlador de dominio (DC) y en el Centro
de distribucin de claves Kerberos (KDC). En lugar de ello, PKI trabaja con estos
servicios y proporciona mejoras que permiten que las aplicaciones escalen
fcilmente para cumplir los requerimientos de extranet e Internet. En pa t c l r,
riua
PKI satisface la necesidad de identificacin, autenticacin, integridad y
confidencialidad distribuidas y con capacidad de escalacin.
Servicios de certificacin
Active Directory
Admin de dominio
Poltica de seguridad
Presentacin
de certificado y
revocacin
DC/KDC
Distribucin de
polticas, publicacin
de certificados,
etc.
Conexin a
dominio
Mquina cliente de dominio

Componentes de la infraestructura de claves pblicas de Windows 2000
El soporte para crear, is

ntalar y administrar aplicaciones basadas en PK se
proporciona uniformemente en las estaciones de trabajo y servidores que
ejecutan Windows 2000 Windows NT, as como en estaciones de trabajo que
ejecutan los sistemas operativos Windows 95 y Windows 98.
Actividad
Definir Confianza:
Definir Validacin:
366
JERARQUAS DE CERTIFICACIN
Windows 2000 PKI supone un modelo CA jerrquico. Este fue elegido por su
capacidad de escalacin, facilidad de administracin y consistencia con un
creciente nmero de productos CA comerciales y de terceros. En su forma
ms simple, una jerarqua CA consta de una sola CA, a pesar de que en general
una jerarqua contiene mltiples CAs con relaciones principales y secundarias
claramente definidas, como se muestra en la figura (Jerarquas de autoridades
de certificacin). Como se puede ver, puede haber varias jerarquas de inters
sin conecta No existe un requerimiento de que todas las CAs compatan una
r.
r
CA principal comn de nivel superior (o raz).
En este modelo, los componentes secundarios son certificados por certificados
emitidos por una CA principal, que une una clave pblica de CA a su identidad y
a otros atributos manejados por polticas. La CA en la parte superior de una
jerarqua se conoce generalmente como una raz CA. Las CAs subordinadas
se conocen a menudo como CAs intermedias o emisoras. En este documento,
una CA que emite certificados de entidad final se denomina una CA emisora.
Una CA intermedia se refiere a una CA que no es una CA raz, sino que slo
certifica a otras CAs.
CA raz 1
CA raz 2
CA intermedia - C
CA emisora - A
CA emisora - B
CA emisora - D
Jerarquas de autoridades de certificacin
La ventaja esencial de este modelo es que la verificacin de certificados requiere

confianza slo en un nmero relativamente pequeo de CAs raz. Al mismo
tiempo, proporciona flexibilidad en el nmero de CAs emisoras. Existen varias
razones prcticas para soportar mltiples CAs emisoras. Estas incluyen:
Uso: Los certificados pueden emitirse para varios fines (por ejemplo, correo
electrnico seguro, autenticacin de red y dems). La poltica de emisin
para estos usos puede ser distinta si la separacin proporciona una base
para administrar estas polticas.
Divisiones organizacionales: Pueden haber diferentes polticas para
emitir certificados, dependiendo del rol de una entidad en la organizacin.
De nuevo, pueden crearse CAs emisoras para separar y administrar estas
pltcs
oia.
Divisiones geogrficas: Las organizaciones pueden tener entidades en
varios sitios fsicos. La conectividad de red entre estos sitios puede dictar
que las mltiples CAs emisoras cumplan requerimientos de uso.
Dicha jerarqua CA tambin proporciona beneficios administrativos, incluyendo:
Clase terica 22
367
Configuracin flexible de ambiente de seguridad CA (fortaleza de claves,

proteccin fsica, proteccin contra ataques a la red y dems) para ajustar
el equilibrio entre la seguridad y el uso. Por ejemplo, no brinda la posibilidad
de emplear hardware criptogrfico de fines especiales en una CA raz,
operarlo en un rea segura fsicamente o manejarlo fuera de lnea. Estas
opciones pueden ser inaceptables para CAs emisoras, debido al costo o
a las consideraciones de uso.
Uso de actualizaciones muy frecuentes para emitir claves CA y/o
certificados, que son los que ms pueden comprometerse, sin requerir
un cambio a las relaciones de confianza establecidas.
Capacidad de desactivar una parte especfica de la jerarqua CA sin afectar
las relaciones de confianza establecidas.
En general, las jerarquas CA tienden a ser estticas, a pesar de que esto no es
un requerimiento. Es posible agregar o eliminar con mucha facilidad CAs
emisoras bajo una CA raz determinada. Asimismo, es posible fusionar jerarquas
CA existentes al emitir un certificado de una de las CAs raz que certifique la
otra raz como una CA intermedia. Sin embargo, antes de hacer esto, se debe
considerar cuidadosamente las inconsistencias de polticas que esto podra
generar y el impacto de las limitaciones profundas que pueden codificarse en
los certificados existentes.
INSTALAR UNA CA EMPRESARIAL

La instalacin de Microsoft Certificate Services es una operacin muy directa.
Es recomendado establecer el dominio antes de crear una CA. Despus
establecer una CA o CAs raz. El proceso de instalacin de Certificate Services
gua al administrador a travs del procedimiento. Los elementos clave en este
proceso incluyen:
Seleccionar el servidor host: El CA raz puede ejecutarse en cualquier
pa
l taforma de Windows 2000 Server, incluyendo un controlador de dominio.
Denominacin: Los nombres CA estn unidos a sus certificados y, p r
o
l tanto, no pueden cambiarse.
o
Generacin de claves: El par de claves pblicas de CA se genera
durante el proceso de instalacin y es nico para esta CA.
Actividad
Definir Jerarquia de Certificacin:
Unir con una flecha segn corresponda:
Jrruc
eaqia
Ettc
saia
Dinamica
368
Certificado CA: Para una CA raz, el proceso de instalacin genera

automticamente un certificado CA auto-firmado, utilizando el par de
clave pblica o privada de CA. Para una CA secundaria, puede
generarse una solicitud de certificado que tal vez sea presentada a
una CA intermedia o raz.
Integracin con Active Directory: La informacin concerniente a la
C A se escribe en un objeto CA e Active Directory durante la
n
instalacin. Esto proporciona informacin a los clientes de dominio
sobre CAs disponibles y los tipos de certificados que emiten.
Polticas de emisin: La configuracin de CA empresarial instala y
configura automticamente el Mdulo de polticas empresariales
proporcionado por Microsoft para la CA. Un administrador autorizado
puede modificar las polticas, a pesar de que en la mayora de los
casos esto no es necesario.
Despus de que se ha establecido una CA raz, es posible instalar CAs
intermedias o emisoras que sean subordinadas de esta CA raz. La nica
diferencia importante en la poltica de instalacin es que una solicitud de certificado
que se genera para presentarla a una CA raz o intermedia.
Existe una relacin obvia entre las CAs empresariales y el modelo de confianza
de dominio de Windows 2000, pero esto no implica una correlacin directa entre
las relaciones de confianza CA y las relaciones de confianza de dominio. Nada
evita una sola CA de entidades de servicio en dominios mltiples o incluso
entidades fuera de los lmites del dominio. En forma similar, un dominio puede
tener mltiples CAs empresariales.
Las CAs son recursos de alto valor y a menudo es necesario proporcionarlas
con un alto nivel de proteccin.
Las acciones especficas que deben considerarse incluyen:
Proteccin fsica: Este requerimiento depende del valor inherente
de la certificacin realizada por la CA. El aislamiento fsico del servidor
CA, en instalaciones accesibles slo por administradores de
seguridad, puedereducir enormemente la posibilidad de dichos
ataques.
Administracin de claves: Los mdulos de hardware criptogrficos
(accesibles a los Servicios de certificado a travs de un CSP de
CryptoAPI) pueden proporcionar almacenamiento de claves resistente
a alteracin y aislar las operaciones criptogrficas de otro software
que se est ejecutando en el servidor. Esto reduce significativamente
la probabilidad de que una clave CA se comprometa.
Restablecimiento: Los Servicios de certificado soportan el respaldo
de una instancia CA para que pueda restablecerse despus. Esto es
una parte importante del proceso general de administracin de CAs.
Clase terica 22
369
USAR CLAVES Y CERTIFICADOS

Dentro de Microsoft PKI, las claves criptogrficas y los certificados asociados
son almacenados y administrados por el subsistema CryptoAPI. Como ya se
mencion, las claves son administradas por CSPs y los certificados por los
almacenes de certificados CryptoAPI. Los almacenes de certificados son
recipientes para los mismos y sus propiedades asociadas. Por convencin,
PKI define cinco almacenes de certificados estndar:
1. MY: Este almacn se utiliza para albergar los certificados de un usuario o
computadora para los cuales est disponible la clave privada asociada.
2. CA: Este almacn se utiliza para albergar certificados de CA emisora o
intermedia a fin de utilizarlos en la creacin de cadenas de verificacin de
criiao.
etfcds
3. TRUST: Este almacn se utiliza para albergar Listas de confianza de
certificados (CTL). Son un mecanismo alterno que permite que un administrador
especifique un conjunto de CAs confiables. Una ventaja es que pueden
transmitirse a travs de enlaces no seguros, porque estn digitalmente firmadas.
4. ROOT: Este almacn alberga slo certificados CA auto-firmados para CAs
raz confiables.
5. UserDS: Este almacn proporciona una visualizacin lgica de un recipiente
de certificado que est almacenado en Active Directory. Su objetivo es simplificar
el acceso a estos recipientes externos.
Estos son almacenes lgicos que pueden presentar una visualizacin consistente
de todo el sistema de los certificados disponibles que pueden residir en varios
almacenes fsicos (disco duro, ta j tas inteligentes y dems). A u i i a e t s
re
l tlzr so
servicios, las aplicaciones pueden compartir certificados y tener la confianza
en una operacin consistente bajo la poltica administrativa.
RECUPERACIN
Los pares de claves pblicas y certificados tienden a tener un alto valor. S s
i e
pierden debido a una falla del sistema, su reemplazo puede ser lento y costoso.
Por esta razn, Windows 2000 PKI soporta la capacidad de respaldar y restablecer
los certificados y los pares de claves asociados a travs de herramientas
administrativas de manejo de certificados. Cuando se exporta un certificado,
Actividad
Definir Almacen Trust:
Definir Almacen CA:
370
utilizando el administrador de certificados, el usuario debe especificar si deben

exportarse tambin el par de claves asociadas. Si se selecciona esta opcin, la
informacin se exporta como un mensaje encriptado (basado en una contrasea
proporcionada por el usuario). Esto puede importarse despus al sistema, o a
otro sistema, para restablecer el certificado y las claves. Esta operacin supone
que el par de claves puede ser exportado por CSP. Esto es cierto para los CSPs
base de Microsoft, si el indicador con capacidad de exportacin fue establecido
al generar las claves. Los CSPs de terceros pueden soportar o no la exportacin
de claves privadas. Por ejemplo, los CSPs de tarjetas inteligentes generalmente
no soportan esta operacin. Para CSPs de software con claves sin capacidad
de exportacin, la alternativa es mantener un respaldo completo con imagen del
sistema, incluyendo toda la informacin de registro.
Clase prctica 22
371
Clase prctica 22
infraestructura de llave pblica, mediante la implementacin y configuracin de entidades emisoras de
certificados de autenticacin.
Servidor de Infraestructura de llave pblica (CA Server)

Para esta prctica se asume que el alumno cuenta con el cd de instalacin mltiple de
Windows 2000 (Server, Advanced Server y Professional), adems del servidor MGP-SRV01
configurado con DNS, WINS y DHCP como en las prcticas anteriores.
Ejercicio 1:
Men Inicio (clic)

Configuracin (clic)
quitar programas
Servicios de Internet Information Server (IIS) (doble clic) Despliega la ventana de
servicios de Internet Information Server
Marcar las opciones que se indican a continuacin haciendo clic en el casillero en
blanco (el resto de las opciones dejarlas desmarcadas): Selecciona los
subcomponentes a instalar de IIS
Archivos comunes Archivos necesarios para varios componentes
Complemento de Servicios de Internet Information Server Interfaz
administrativa de IIS
Documentacin
Extensiones de servidor de FrontPage 2000 permite la edicin y administracin
con FrontPage y VisualInterDev
Servidor de Protocolo de transferencia de archivos (FTP) habilita la
compatibilidad con el protocolo de transferencia de archivos
Servidor World Wide Web habilita el servidor web
Botn Aceptar (clic)
372
Ejercicio 2:
Men Inicio (clic)

Configuracin (clic)
quitar programas
Servicios de Certificate Server (clic para marcar) Selecciona el paquete de Servicios
de Certificate Server de Microsoft.
Botn Si (clic) Aceptar la ventana de informacin que indica que luego de
instalarse el servicio mencionado no ser posible cambiar el nombre al servidor ni
agregarlo o quitarlo de un dominio.
Botn Siguiente (clic) Establece que se desea comenzar la instalacin del
componente seleccionado.
Entidad emisora raz de la empresa (clic) Establece que el servidor funcionar como
una entidad emisora raz.
Opciones avanzadas (clic para seleccionar) Establece que se desea configurar el
servidor de una manera mas personalizada.
Botn Siguiente (clic) Establece que se desea utilizar las opciones por defecto.
Nombre de la entidad Emisora: CA de la Empresa
Unidad organizativa: Servidores
Ciudad: La Plata
Estado o provincia: Buenos Aires
Pas o regin: AR
Correo electrnico: ca-servidores@megapack.com.ar
Descripcin de la entidad emisora: CA raz de MegaPack
Vlido durante: 3 aos
Botn Siguiente (clic) Establece los datos de la entidad emisora y una validez de
certificado de 3 aos.
Botn Aceptar (clic( Detener el servidor IIS
Botn Siguiente (clic) Establece que se desea utilizar las opciones por defecto.
En este punto es probable que pida el CD de instalacin de Windows 2000.
Botn Finalizar (clic) Finaliza el proceso de instalacin y cierra la ventana
Botn Cerrar (clic) Cerrar la ventana Agregar o quitar programas
Ejercicio 2:
Men Inicio (clic)

Programas (clic)
Entidad emisora de certificados (clic) ejecuta el snap-in de administracin de la
entidad emisora de certificados
CA de la Empresa (doble clic para expandir)
Clase prctica 21
Certificados emitidos (clic)

Minimizar el snap-in Entidad emisora de certificados
Men Inicio (clic)

Ejecutar (clic)
Colocar http://localhost/certsrv (sin las comillas) en el cuadro de texto y presio
nar la tecla ENTER Acceder a la interfaz web de herramientas de inscripcin
de certificado
Solicitar un certificado (clic para marcar) Establece que se desea solicitar un
certificado a la entidad
Solicitud de certificado de usuario (clic para marcar) Establece que tipo de
solicitud se desea realizar.
Botn Ms opciones (clic) Desplegar las opciones adicionales.
Botn Enviar (clic) Enva la solicitud
Botn Si (clic) Aceptar la ventana de informacin y cerrarla.
Link Instalar este certificado (clic) Instalar el certificado
Botn Si (clic) Indica que se desea instalar el certificado
Cerrar el Internet Explorer
Maximizar el snap-in Entidad emisora de certificados
Presionar la tecla F5 para actualizar los datos (Deber aparecer el nuevo certifi
cado emitido recientemente)
Doble clic en el certificado para acceder a sus propiedades
Solapa Detalles (clic) Observar los detalles del certificado
Botn Aceptar (clic) Cerrar la ventana de propiedades del certificado
Cerrar el snap-in Entidad emisora de certificados
Ejercicio 1:
Introducir supadm (sin las comillas) como nombre de usuario y AdM933sUP (sin las
comillas) como contrasea y presionar la tecla ENTER
Men Inicio (clic)

Ejecutar (clic)
Colocar http://mgp-srv01.megapack.com.ar/certsrv (sin las comillas) en el
cuadro de texto y presionar la tecla ENTER Acceder a la interfaz web de herra
mientas de inscripcin de certificado
Establecer la siguiente configuracin el el cuadro de dialogo de autenticacin:
Dominio: megapack
Botn Aceptar (clic) Enviar las credenciales al servidor
373
374

Solicitud de certificado de usuario (clic para marcar) Establece que tipo de solicitud
se desea realizar.
Botn Ms opciones (clic) Desplegar las opciones adicionales.
Ejercicio 2:
Men Inicio (clic)
Ejecutar (clic)
Colocar http://mgp-srv01.megapack.com.ar/certsrv (sin las comillas) en el cuadro de

texto y presionar la tecla ENTER Acceder a la interfaz web de herramientas de inscripcin
de certificado
Establecer la siguiente configuracin el el cuadro de dialogo de autenticacin:

Dominio: megapack
Botn Aceptar (clic) Enviar las credenciales al servidor

Solicitud avanzada (clic para marcar) Establece que tipo de solicitud se desea
realizar.
Enviar solicitud de certificado CA usando forma (clic para marcar) Establece que se
realizar una solicitud por medio de un formulario
Seleccionar Servidor Web de la lista desplegable Plantilla de Certificados y establecer
la siguiente configuracin:
Nombre: Web Server MegaPack
Correo electrnico: webserver@megapack.com.ar
Compaa: MegaPack
Departamento: Servidores
Ciudad: La Plata
Estado: Buenos Aires
Pas/regin: AR
Clase prctica 21
Ejercicio 4:
Men Inicio (clic)

Programas (clic)
Entidad emisora de certificados (clic) ejecuta el snap-in de administracin de la
entidad emisora de certificados
CA de la Empresa (doble clic para expandir)
Certificados emitidos (clic)
Observar que los 2 certificados con ID ms altos (son los emitidos recientemente
para supadm y para el webserver a nombre de Supervisor)
Certificado de supadm (MEGAPACK\supadm) (clic con el botn derecho del mouse)
Todas las tareas (clic)
Revocar certificado (clic) Establece que se desea revocar el certificado seleccionado
Seleccionar Compromiso clave de la lista desplegable Cdigo de motivo: establece
cual es el motivo por el cual se decide revocar el certificado
Botn Si (clic) Acepta los parmetros y cierra la ventana
375
376
Clase terica 23
icoai
Dcinro
STD:
Representa una
especificacin tcnica
estndar de
Internet, compuesta
por una o mas RFC
(pedido de
comentario) con una
clasificacin normal
RFC:
Request For
C o m m e n t s. Conjunto
de notas tcnicas y
organizativas donde
se describen los
estndares o
recomendaciones de
Internet.
El protocolo simple de transferencia de correo electrnico (Simple Mail

Transfer Protocol o SMTP), es un protocolo de red basado en texto utilizado
para el intercambio de mensajes de correo electrnico entre computadoras o
distintos dispositivos (PDA Celulares, etc).
s,
El correo electrnico (E-mail) es probablemente la aplicacin TCP/IP ms usada.
Los protocolos de correo bsicos de correo proporcionan intercambio de correo
y mensajes entre hosts TCP/IP; se han aadido servicios para la transmisin
de datos que no se pueden representar con texto ASCII de 7 bits
.
Hay tres protocolos estndares que se aplican a este tipo de correo. Todos son
recomendados. El trmino SMTP se emplea con frecuencia para referirse a la
combinacin de los tres protocolos, por su estrecha interrelacin, pero
estrictamente hablando, SMTP es slo uno de los tres. Normalmente, el contexto
hace evidente de cul de los tres se est hablando. Cuando haya ambigedad,
se emplearn los nmeros S T D o R F C. Los tres estndares son:
Un estndar para el intercambio de correo entre dos ordenadores (STD
10/RFC 821), que especifica el protocolo usado para enviar correo entre
hosts TCP/IP. Este estndar es SMTP.
Un estndar (STD 11 para el formato de los mensajes de correo, contenido
)
en dos RFCs. El RFC 822 describe la sintaxis de las cabeceras y su
interpretacin. El RFC 1049 describe como un conjunto de documentos
de tipos diferentes del texto ASCII plano se pueden usar en el cuerpo del
correo. El nombre oficial del protocolo para este estndar es MAIL.
Un estndar para el encaminamiento de correo usando el DNS, descrito
en el RFC 974. El nombre oficial del protocolo para este estndar es
DNS-MX.
El STD 10/RFC 821 establece que los datos enviados por SMTP s n ASCII de
o
7-bis, con el bit de orden superior a cero. Esto es adecuado para mensajes en
ingls, pero no para otros lenguajes o datos que no sean texto. Hay dos
estrategias para superar estas limitaciones:
MIME (Multipurpose Internet Mail Extensions): definido en los RFCs 1521
y 1522, que especifica un mecanismo para codificar texto y datos binarios
e ASCII de 7 bits en el mensaje RFC 822.
n
SMTPSE (SMTP Service Extensions): que define un mecanismo para
extender las posibilidades de SMTP ms all de las limitaciones impuestas
por RFC 821. Actualmente hay tres RFCs que lo describen:
Un estndar para que un receptor SMTP informe al emisor que extensiones
de servicio soporta (SMTPSE) soporta (RFC 1651). El RFC 1651 modifica
el 821 para permitir que un cliente agente SMTP solicite al servidor una
lista de las extensiones de servicio que soporta el inicio de una sesin
Clase terica 23
oa
Nt
Las extensiones limitan
especficamente el uso
d c r c e e n ASCII
e aatrs o
(qelscnvlr
aulo o ao
d c m ls p r o a1 7 a
eia ueir 2) l
cuerpo de los mensajes no estn permitidos en
las cabeceras RFC 822.
377
S M T P. Si el servidor no soporta este RFC, responder con un error y el

cliente podr terminar la sesin o intentar iniciar una sesin segn las
reglas RFC 821. Si lo soporta, puede responder con una lista de las
extensiones que soporta. IANA ( n e n t Assigned Numbers Authority)
Itre
mantiene un registro de servicios: la lista inicial del RFC 1651 contiene los
comandos listados en el RFC 1123 - Requerimientos para hosts de Internet
-Aplicacin y soporte como opcionales en servidores SMTP. Se han
definido otras extensiones con RFCs del modo habitual.
Los dos siguientes RFCs definen extensiones especficas:
Un protocolo para transmisin de texto de 8 bits(RFC 1652) que permite a
un servidor SMTP indicar que puede aceptar datos formados por bytes de
8 bits. Un servidor que informa que dispone de esta extensin no debe
modificar el bit de orden superior de los bytes recibidos en un mensaje
SMTP si el cliente as se lo pide.
Las extensiones de MIME y SMTP son estrategias que se complementan
ms que competir entre s. En pa t c l r, el RFC 1652 se titula SMTPSE
riua
para transporte MIME en codificacin 8bit, ya que MIME permite declarar
mensajes con bytes de 8 bits, en vez de 7. Tales mensajes no se pueden
transmitir con agentes SMTP que sigan estrictamente el RFC 821, pero
se pueden transmitir cuando tanto el cliente como el servidor siguen los
RFCs 1651 y 1652. Siempre que un cliente intenta enviar datos de 8 bits a
un servidor que no soporta esta extensin, el cliente SMTP debe codificar
el mensaje a 7 bits segn el estndar MIME o devolver un mensaje de
error permanente al usuario. Esta extensin no permite el envo de datos
binarios arbitrarios porque el RFC 821 fija la longitud mxima de las lneas
aceptadas por un servidor SMTP a 1000 caracteres.
Un protocolo para la declaracin del tamao del mensaje (RFC 1653) que permite
a un servidor informar al cliente del tamao mximo de mensaje que puede
acepta S n e ta extensin, un cliente slo puede ser informado de que un
r. i s
mensaje ha excedido el tamao mximo (sea fijo o temporal, por falta de espacio
en el servidor) tras transmitir todo el mensaje. Cuando esto sucede, el servidor
desecha el mensaje. Con ella, el cliente puede declarar el tamao estimado del
mensaje y el servidor devolver un error si es demasiado grande.
FUNCIONAMIENTO
S M T P se basa en el modelo cliente-servidor, donde un cliente enva un mensaje
a uno o varios receptores.
Actividad
Definir SMTP:
Definir RFC:
378
En el conjunto de protocolos TCP/IP, el SMTP va por encima del T C P, usando

normalmente el puerto 25 en el servidor para establecer la conexin.
EJEMPLO DE UNA COMUNICACIN SMTP

En primer lugar se ha de establecer una conexin entre el emisor (cliente) y el
receptor (servidor). Esto puede hacerse automticamente con un programa
cliente de correo o mediante un cliente telnet.
En el siguiente ejemplo se muestra una conexin tpica. Se nombra con la letra
C al cliente y con S al servidor.
S:
C:
S:
C:
S:
C:
S:
C:
S:
C:
C:
C:
C:
C:
C:
C:
C:
S:
C:
S:
220 Servidor ESMTP

HELO
250 Hello, please meet you
MAIL FROM: yo@midominio.com
250 Ok
RCPT TO: destinatario@sudominio.com
250 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Campo de asunto
From: yo@midominio.com
To: destinatario@sudominio.com
Hola,
Esto es una prueba.
Adios.
.
250 Ok: queued as 12345
quit
221 Bye
RESUMEN SIMPLE DEL FUNCIONAMIENTO DEL PROTOCOLO SMTP:

En el protocolo SMTP todas las rdenes, rplicas o datos son lneas de texto,
d l m tadas por el carcter <CRLF>. Todas las rplicas tienen un cdigo numrico
eii
al comienzo de la lnea.
Cuando un cliente establece una conexin con el servidor SMTP, espera a
que ste enve un mensaje 220 Service ready o 421 Service non
avaialable
Se enva un HELO desde el cliente. Con ello el servidor se identifica. Esto
puede usarse para comprobar si se conect con el servidor SMTP
correcto.
El cliente comienza la transaccin del correo con la orden MAIL. Como
argumento de esta orden se puede pasar la direccin de correo al que el
servidor notificar cualquier fallo en el envo del correo. El servidor responde
250 OK.
Ya le hemos dicho al servidor que queremos mandar un correo, ahora
hay que comunicarle a quien. La orden para esto es RCPT
Clase terica 23
379
TO:<destino@host>. Se pueden mandar tantas rdenes RCPT como

destinatarios del correo queramos. Por cada destinatario, el servidor
contestar 250 OK o bien 550 No such user here, si no encuentra al
destinatario.
Una vez enviados todos los RCPT, el cliente enva una orden DATA para
indicar que a continuacin se envan los contenidos del mensaje. El
servidor responde 354 St mail input, end with <CLRF>.<CLRF> Esto
art
indica al cliente como ha de notificar el fin del mensaje.
Ahora el cliente enva el cuerpo del mensaje, lnea a lnea. Una vez
finalizado, se termina con un <CLRF>.<CLRF> (la ltima lnea ser un
punto), a lo que el servidor contestar 250 OK, o un mensaje de error
apropiado.
Tras el envo, el cliente, si no tiene que enviar ms correos, con la orden
QUIT c r la conexin. Tambin puede usar la orden TURN, con lo que el
o ta
c i n e pasa a ser el servidor, y el servidor se convierte en cliente.
let
Finalmente, si tiene ms menajes que enviar, repite el proceso hasta
completarlos.
Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651,
en este caso, la orden HELO puede ser sustituida por la orden EHLO, con lo
que el servidor contestar con una lista de las extensiones admitidas. Si el
servidor no soporta las extensiones, contestar con un mensaje 500 Syntax
e r r, command unrecognized.
ro
En el ejemplo pueden verse las rdenes bsicas de SMTP:

HELO, para abrir una sesin con el servidor
MAIL FROM, para indicar quien enva el mensaje
RCPT TO, para indicar el destinatario del mensaje
D ATA para indicar el comienzo del mensaje, ste finalizar cuando haya
,
una lnea nicamente con un punto.
QUIT,para cerrar la sesin
Las respuestas que da el servidor pueden ser de varias clases:
Actividad
Cul de los siguientes no es una orden SMTP?
( ) Hl
eo
( ) Dt
aa
( ) Mi t
al o
380
2XX, para una respuesta afirmativa

3XX, para una respuesta temporal afirmativa
4XX, para una respuesta de error, pero se espera a que se repita l
a
instruccin
5XX, para una respuesta de error
Una vez que el servidor recibe el mensaje finalizado con un punto puede bien
almacenarlo si es para un destinatario que pertenece a su dominio, o bien
retransmitirlo a otro servidor para que finalmente llegue a un servidor del dominio
del receptor.
F O R M ATO DEL MENSAJE

Como se muestra en el ejemplo anterior, el mensaje es enviado por el cliente
despus de que ste mande la orden DATA a s r i o El mensaje est
l e v d r.
compuesto por dos partes:
Cabecera: en el ejemplo las tres primeras lneas del mensaje son la
cabecera. En ellas se usan unas palabras clave para definir los
campos del mensaje. stos campos ayudan a los clientes de correo a
organizarlos y mostrarlos. Los ms tpicos son subject (asunto), from
(emisor) y to (receptor). stos dos ltimos campos no hay que confundirlos
con las rdenes MAIL FROM y RCPT TO, que pertenecen al protocolo,
pero no al formato del mensaje.
Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP bsico
est compuesto nicamente por texto, y finalizado con una lnea en la que
el nico carcter es un punto.
SEGURIDAD Y SPA M
Una de las limitaciones del SMTP original es que no facilita mtodos de
autenticacin a los emisores, as que se defini la extensin SMTP-AUTH.
A pesar de esto, el spam es an el mayor problema. No se cree que las
extensiones sean una forma prctica para prevenirlo. Internet Mail 2000 es una
de las propuestas para reemplazarlo.
ESPECIFICACIONES DEL PROTOCOLO SMTP

El protocolo SMTP aparece descrito en la RFC-891 (SDT 10). Especificaremos
el formato de las rdenes que el proceso cliente de la mquina origen utiliza
para transmitir el correo al proceso servidor en la mquina destino, as como
las respuestas que esta devuelve tras realizar las operaciones solicitadas.
Clase terica 23
381
La comunicacin entre el cliente y el servidor consiste en lneas de texto legible

(caracteres ASCII de 7 bits) con una rgida sinta i . E tamao mximo permitido
xs l
para estas lneas es de 1000 caracteres.
Las lneas enviadas por el cliente, denominadas comandos, consisten en un
cdigo identificador de la operacin, formado por cuatro letras, mas una serie
de argumentos, como se muestra en la siguiente tabla.
Comando Descripcin HELO Identifica al servidor frente al cliente. MAIL Enva
la direccin de origen del mensaje. RCPT Enva la direccin del buzn de destino
del mensaje DATA Indica el inicio de la transmisin del mensaje. RSET Aborda
la transaccin en curso y borra todos los registros. SEND* Inicia una transaccin
en la cual el mensaje se entrega a una terminal. SOML* El mensaje se entrega
a un terminal o a un buzn. SAML* El mensaje se entrega a un terminal y a un
buzn. VRFY Solicita al servidor la verificacin del argumento. EXPN* Solicita al
servidor la confirmacin del argumento. HELP* Permite solicitar informacin
sobre un comando. NOOP Se emplea para reiniciar los temporizadores. QUIT
Solicita al servidor que cierre la conexin. TURN* Solicita al servidor que
intercambien los paquetes.
La respuesta del servidor consta de un cdigo numrico de tres dgitos (que se
transmite contres caracteres alfanumricos), seguido de un texto explicativo.
El nmero va dirigido a un procesado automtico de la respuesta por autmata,
mientras que el texto permite que un humano interprete la respuesta.
De los tres dgitos del cdigo numrico, el primero indica la categora de la
respuesta:
respuesta de finalizacin alternativa (2xx): la operacin solicitada mediante el
comando anterior a sido concluida con xito; respuestas intermedias positivas
(3xx): la orden ha sido aceptada, pero el servidor esta pendiente de que el cliente
le enve nuevos datos para terminar la operacin; repuesta de finalizacin negativa
transitoria (4xx): la accin demandada no puede realizarse por un error de
carcter secundario, si bien es posible solicitar ms tarde; repuesta de finalizacin
negativa permanente (5xx): la orden no acepto. Ejemplo de transferencia de
mensajes SMTP
Las lneas precedidas de <<C:>> corresponden a comandos emitidos por el
cliente y las comienzan con <<S:>> son las consiguientes respuestas que
devuelve el servidor.
Actividad
Definir Cabecera:
Definir Cuerpo del mensaje:
382
S: <en espera de conexin TCP en el puerto 25>

c: <abre la conexin con el servidor>
s:220 beta.gov Simple Mail Transfer Service ready
c:HELO
<alpha.edu>
s:250 beta.gov
c:MAIL from : <smith@alpha.edu>
s:250 OK
c:RCPT TO: <jones@beta.edu>
s:250 OK
c:RCPT TO: <green@beta.edu>
s:550 No such user here
c:DATA
s:354 Start mail input; end with <CRLF>.<CRLF>
c:.... se enva el contenido del mensaje (cabecera y cuerpo)...
s:<CRLF>.<CRLF>
s:250 OK
c:QUIT
s:221 beta.gov Service closing transmition channel
FUNCIONAMIENTO DE SMTP
1. Conexin al inicio del protocolo

Cuando se emplea el protocolo TCP el servidor SMTP escucha permanentemente
al puerto 25, en espera de algn cliente que desea enviarlo. El protocolo de
aplicacin SMTP inicia el comando HELO, seguido de la identificacin del cliente,
el servidor lo acepta con un cdigo <<250 OK>>.
2. Envo de mensajes
Una vez iniciado el protocolo, se realiza el envo de mensajes desde el cliente al
servidor, mediante el siguiente proceso.
2.1. Envo del sobre
En primer lugar se transmite la direccin del buzn del origen del mensaje, el
comando es el MAIL FROM y si el servidor acepta enva el mensaje 250 OK.
Luego se trasmite la direccin de destino, mediante el comando RCPT TO y el
servidor confirma con 250 OK , pero si el destinatario se enva 550 Failure.
Clase terica 23
383
2.2. Envo del contenido del mensaje

El cliente informa al servidor de que va a enviar el mensaje mediante el comando
D ATA s e s r i o e ta dispuesto enva 354, todas las lneas que el cliente
, i l evdr s
enva a partir de este momento se considera parte del contenido del mensaje, al
final del mensaje se considera enviando el <<.>>, cuando el servidor recibe el fin
del mensaje confirma con 250 OK.
3. Cierre de la conexin
Una vez enviado todos los mensajes, el cliente puede cerrar la conexin mediante
el comando QUIT, caso contrario la mquina que recibi los mensaje sea quien
las enve con el comando TURN, el servidor confirma con 250 OK, dando una
seccin que se inicia con el comando HELO.
SMTP Y EL DNS
Si la red usa el concepto de dominio, un SMTP no puede entregar simplemente
correo a test.argentina.educacion abriendo una conexin TCP con
test.argentina.educacion. Primero debe consultar al servidor de nombres para
hallar a que host (en un nombre de dominio) debera entregar el mensaje.
Para la entrega de mensajes, el servidor de nombres almacena los RRs
(resource records) denominados MX RRs. Mapean un nombre de dominio a
dos valores:
Un valor de preferencia. Como pueden existir mltiples RRs MX para el
mismo nombre de dominio, se les asigna una prioridad. El valor de prioridad
ms bajo corresponde al registro de mayor preferencia. Esto es til siempre
que el host de mayor preferencia sea inalcanzable; el emisor SMTP intenta
conectar con el siguiente host en orden de prioridad.
Un nombre de host.
Tambin es posible que el servidor de nombres responda con una lista vaca de
RRs MX. Esto significa que el nombre de dominio se halla bajo la autoridad del
servidor, pero no tiene ningn MX asignado. En este caso, el emisor SMTP puede
intentar establecer la conexin con el mismo nombre del host.
El RFC 974 da una recomendacin importante. Recomienda que tras obtener
los registros MX, el emisor SMTP debera consultar los registros WKS (Well-
Actividad
La conexin SMTP se cierra con:
( )Q i
ur
( )E i
xt
( )B e
y
384
Known Services) del host, y chequear que el host referenciado tiene como
entrada WKS a SMTP.
oa
Nt
Esto es slo una opcin
del protocolo, aunque
aparece en numerosas
implementaciones.
Ejemplo de RRs MX:

fsc5.stn.mlv.fr.
IN
IN
IN
IN
MX 0
MX 2
MX 4
WKS
fsc5.stn.mlv.fr.
psfred.stn.mlv.fr.
mvs.stn.mlv.fr.
152.9.250.150 TCP (SMTP)
En el ejemplo anterior, e c r e para fsc5.stn.mlv.fr debera, por prioridad, ser

l oro
entregado al propio host, pero en caso de que el host sea inalcanzable, el correo
t
ambin podra ser entregado a psfred.stn.mlv.fr o a mvs.stn.mlv.r (i
f s
psfred.stn.mlv.fr no se pudiera alcanzar tampoco).
SERVIDORES DE CORREO POP (POST OFFICE PROTOCOL)

Debido a que un receptor de correo SMTP es un servidor, y SMTP es una
aplicacin punto-a-punto ms que de retransmisin, es necesario que el servidor
est disponible cuando un cliente desea enviarle correo. Si el servidor SMTP
reside en una estacin de trabajo o en un PC, ese host debe estar ejecutando
el cuando el cliente quiera transmitir. Esto no suele ser un problema en sistemas
multiusuario porque estn disponibles la mayor parte del tiempo. En sistemas
monousuario, sin embargo, este no es el caso, y se requiere un mtodo para
asegurar que el usuario tiene un buzn disponible en otro servidor. Hay varias
razones por las que es deseable descargar a la estacin de trabajo de las
funciones del servidor de correo, entre ellas la falta de recursos en estaciones
de trabajo pequeas, la falta o encarecimiento de la conectividad T C P,e c
t.
La estrategia ms simple es, por supuesto, usar un sistema multiusuario para
las funciones de correo, pero esto no suele ser deseable quiz el usuario no
lo va a usar para nada ms, o quiere tener acceso a Alternativamente, el usuario
final puede ejecutar un cliente que comunique con un programa servidor en un
host. Este servidor acta tanto como emisor como receptor. Recibe y enva el
correo del usuario.
Un mtodo intermedio es descargar la funcin de servidor SMTP de la estacin
de trabajo del usuario final, pero no la funcin de cliente. Es decir, e u u r o
l sai
enva correo directamente desde la estacin, pero tiene un buzn en un servidor.
El usuario debe conectar con el servidor para recoger su correo.
El POP describe cmo un programa que se ejecuta en una estacin de trabajo
final puede recibir correo almacenado en sistema servidor de correo. POP usa
el trmino maildrop para referirse a un buzn gestionado por un servidor
P O P. POP 3 es un borrador y su status es electivo. La versin es un protocolo
histrico con status no recomendado.
Clase terica 23
385
DIRECCIONANDO BUZONES EN SERVIDORES

Cuando un usuario emplea un servidor para las funciones de correo, la direccin
del buzn que ven otros usuarios SMTP se refiere exclusivamente al servidor.
Por ejemplo, si dos sistemas se llaman:
eze.arg.redes.educacion y
servidor.arg.redes.educacion
Usndose el primero como cliente y el segundo como servidor, la direccin de
correo podra ser:
ezequiel@servidor.arg.redes.educacion
Esta direccin de buzn aparecera en el campo From: de la cabecera de
todo el correo saliente y en los comandos SMTP a servidores remotos lanzados
por el servidor.
Sin embargo, cuando el usuarios emplea un servidor POP, la direccin de correo
contiene el nombre de host de la estacin de trabajo (por ejemplo
nicolas@ Eze.arg.redes.educacion). En este caso, el emisor debera incluir un
campo Reply-To: en la cabecera para indicar que las rplicas no se deberan
enviar al emisor. Por ejemplo, la cabecera podra tener este aspecto:
Date: Fri, 10 Feb 95 15:38:23
From: nicolas@eze.arg.redes.educacion
To: ezequiel dario <ezedario@yahoo.com>
Reply-To: ezequiel@server.arg.redes.educacion
Subject: Test Reply-To: header field
Se espera que el agente de correo enve las respuestas a la direccin
Reply-To: y no a From:.
USANDO DNS PA R A DIRIGIR CORREO

Una alternativa al uso del campo Reply-To: es usar el DNS pa a d r g r e
r iii l
correo al buzn correcto. El administrador del DNS con autoridad para el dominio
que contiene la estacin del usuario y el servidor de nombres pueden aadir
registros MX al DNS para dirigir el correo. Por ejemplo, los siguientes registros
MX indican a los clientes SMTP que, si el servidor SMTP en
Eze.arg.redes.educacion no est disponible, hay un servidor de correo en
Server.arg.redes.educacion (10.24.104.180) que se debera usar en su lugar.
Server.arg.redes.educacion.
Eze.arg.redes.educacion.
IN
WKS
IN
IN
10.24.104.180 TCP (SMTP)
MX 0 eze.arg.redes.educacion
MX 1 server.arg.redes.educacion
386
Clase prctica 23
Mediante la realizacin de esta prctica usted podr conocer la funcin que cumple el protocolo SMTP
as como su correcta instalacin y configuracin, adems de su relacin directa con servidores de
correo.
Servidor SMTP y POP3 en Windows 2000

Para esta prctica se asume que el alumno cuenta con el cd de instalacin mltiple de
Windows 2000 (Server, Advanced Server y Professional), y el software EmailArchitec. Adems
del servidor MGP-SRV01 configurado con DNS, WINS y DHCP como en las prcticas anteriores.
Ejercicio 1:
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin
Men Inicio (clic)

Ejecutar (clic)
Servicios de Internet Information Server (IIS) (clic para marcar)
Botn Detalles (clic) Acceder a la lista de paquetes que se instalarn de IIS
Verificar que se encuentre marcada la casilla Servicio SMTP (de no ser as, marcarla
y presionar el botn Siguiente hasta finalizar la instalacin
Cerrar el mdulo Agregar o quitar programas.
Ejercicio 2:
Para este ejercicio se deber solicitar al instructor que le facilite el programa Email Architect.
Este programa es el servidor POP3 que se usar para obtener los correos ya que por defecto
Windows 2000 no trae incorporado un servidor POP3.
Suponiendo que el instalador de EmailAchitect ya fue copiado al escritorio se deber proceder
de la siguiente manera:
Icono EASetup (doble clic) Ejecuta el programa de instalacin

Botn Next (clic) Pasar la pantalla de presentacin
Botn I Agree (clic) Aceptar el contrato de licencia
Botn Install (clic) Indica que se desea instalar el programa en la ruta
predeterminada.
Botn Finish (clic) Finalizar el proceso de instalacin y ejecutar automticamente
el programa de administracin
Clase prctica 23
Ejercicio 2:
Una vez en la pantalla principal del programa se proceder de la siguiente manera:
Men System Password (clic)

Enlace Set the password of System account (clic) Crear una contrasea para
la cuenta del sistema
New password: MgP393pDC
Retype password: MgP393pDC
Botn OK (clic) Cambiar la contrasea
Botn Aceptar(clic) Cerrar el dialogo de informacin que indica que la contrasea
ha sido cambiada
Men Web Access (clic)
Enlace Click here to logon Web Access (clic)
User ID: system
Password: MgP393pDC
Botn Continue ( l c Enva las credenciales al servidor

ci)
Men Domains (clic)
New Domain (clic) Crear un nuevo dominio
Domain: megapack.com.ar
Active: (clic para marcar)
Domain type: Local
Max users: 250
Quotas for Each User: 10 MB
Botn OK ( l c Guardar la nueva configuracin

ci)
User Management (clic) Acceder a la administracin de usuarios
New User (clic)
User: administracin
First Name: Supervisor
Last Name: Administracin
Department: Ventas
Password: AdM933sUP
Retype Password: AdM933sUP
Maximum Size of Single Email: 4096
Quota Size: 10
User can change password (clic para marcar)
Enable Forgot Password (clic para marcar)
Anti-Spam Level: Low obvious junk email is caught
Botn OK ( l c Crea el nuevo usuario

ci)
User Management (clic) Acceder a la administracin de usuarios
New User (clic)
User: sistemas
First Name: Eduardo
Last Name: Cabaas
Department: Sistemas
387
388
Password: EdU266cAB
Retype Password: EdU266cAB
Maximum Size of Single Email: 4096
Quota Size: 10
Domain Administrator (clic para marcar)
User can change password (clic para marcar)
Enable Forgot Password (clic para marcar)
Anti-Spam Level: Low obvious junk email is caught
Botn OK ( l c Crea el nuevo usuario

ci)
Cerrar todas las ventanas que se encuentren abiertas
Ejercicio 3:
Men Inicio (clic)

Programas (clic)
DNS (clic) Ejecutar la consola de administracin WINS
MGP-SRV01 [172.16.1.1] (doble clic)
Zonas de bsqueda directa (doble clic)
Nombre: webmail
Botn Aceptar (clic)
Nombre: smtp
Botn Aceptar (clic)
Nombre: pop3
Botn Aceptar (clic)
Cerrar la consola de administracin DNS
Clase prctica 23
En el Worstation 1 (MGP-WST01)
Ejercicio 1:
Una vez iniciado el sistema se proceder a iniciar sesin como supadm presionando
Introducir supadm (sin las comillas) como usuario y AdM933sUP (sin las comillas) como
contrasea y presionar la tecla ENTER
Men Inicio (clic)
Ejecutar (clic)
Colocar http://webmail.megapack.com.ar/emailarchitect/ en el cuadro de texto y
presionar la tecla ENTER Acceder al servicio de Webmail
Colocar administracin@megapack.com.ar (sin las comillas) como User ID: y

AdM933sUP (sin las comillas) como Password
Botn Continue ( l c Enviar las credenciales y acceder a la interfaz webmail

ci)
Create Mail (clic) Redactar un nuevo correo

o
To administracion@megapack.com.ar
:
o
Cc: sistemas@megapack.com.ar
o
Subject: Prueba de correo
o
Colocar Probando la cuenta de correo desde la interfaz WebMail. En el cuerpo del
mail.
Botn Send ( l c Enviar el correo
ci)
Botn OK (clic) Guarda las direcciones de los 2 nuevos contactos en la libreta
de direcciones.
Inbox(1) (clic) Ir a la bandeja de entrada
Observar que efectivamente ha llegado el correo
Cerrar todas las ventanas
Men Inicio (clic)
Apagar (clic)
Seleccionar la opcin Cerrar sesin supadm de la lista desplegable y presionar la
tecla ENTER
Ejercicio 2:
sesin.
Introducir Supervisor (sin las comillas) como usuario y MgP393pDC (sin las comillas)
como contrasea y presionar la tecla ENTER
Icono de Outlook Express (El sobre que se encuentra en la barra de tareas) (clic)
Ejecutar Microsoft Outlook Express
Deseo configurar manualmente mi conexin a Internet (clic) Establece que se
desea configurar la conexin de manera personalizada
Tengo acceso a Internet por medio de una red de rea local (LAN) (clic)
Botn Siguiente (clic) Establece la configuracin predeterminada
Si, deseo configurar una cuenta ahora. (clic) Establece que se desea crear una
389
390
cuenta de correo
Colocar Eduardo Cabaas (sin las comillas) en el cuadro de texto Nombre para
mostrar:
Colocar sistemas@megapack.com.ar (sin las comillas) en el cuadro de texto Direccin
de correo electrnico:
o Servidor de correo entrante (POP3, IMAP o HTTP): pop3.megapack.com.ar
o Servidor de correo saliente (SMTP): smtp.megpack.com.ar
o
Nombre de cuenta: sistemas@megapack.com.ar
o
Contrasea: EdU266cAB
o
Recordar contrasea (clic para marcar)
Botn Finalizar (clic) Finaliza el asistente y ejecuta Outlook Express
Bandeja de entrada (clic) Acceder a la bandeja de entrada (donde podremos
observar, si todo fue bien, que tenemos un correo de Supervisor Administracin con
el asunto Prueba de correo
Prueba de correo (doble clic) Leer el correo
Botn Responder (clic) Responder al remitente
Colocar sistemas@megapack.com.ar (sin las comillas) en el cuadro de texto Cc:
Colocar El correo lleg satisfactoriamente. Respondiendo desde Outlook Express (sin

las comillas) En el cuerpo del correo y presionar el botn Enviar
Botn Enviar y Recibir (clic) Revisar los servidores en busca de nuevos correos
Verificar que en la bandeja de entrada est el correo de respuesta al supervisor de

administracin que enviamos con copia a sistemas.
Si se desea tambin se puede verificar que efectivamente le haya llegado el correo al

supervisor administracin (por webmail o configurando su cuenta en Outlook)
Clase prctica 23
391
392
Clase terica 24
INTRODUCCIN
IntelliMirror proporciona la funcionalidad sgueme para el entorno de computacin
personal. La siguiente figura muestra la implementacin de las tecnologas de
administracin IntelliMirror en la plataforma Windows 2000. Las tecnologas de
administracin IntelliMirror funcionan en segundo plano para administrar el
software, la configuracin y los datos de los usuarios de forma eficaz y ahorrando
tiempo. Esta solucin para la computacin empresarial ayuda a los usuarios de
Windows 2000 a realizar sus tareas basadas en Windows de forma mas eficaz
y reduciendo los costos de computacin de las empresas.
Caractersticas
Instalacin remota del sistema operativo
Instalacin de software
IntelliMirror
Administracin de la configuracin del usuario
Administracin de los documentos de usuario
Tecnologas de administracin de IntelliMirror
FUNCIONES PRINCIPALES DE INTELLIMIRROR

1 Administracin de datos del usuario: Esta funcin proporciona opciones de
.
configuracin de directiva para definir las propiedades y ubicaciones de archivos,
documentos, cuadernos de trabajo y dems informacin, de forma que los datos
del usuario estn disponibles en cualquier equipo tanto con conexin como sin
el.
la
2 Instalacin y mantenimiento del software: Esta funcin proporciona opciones
.
de configuracin de directiva para definir la instalacin, configuracin, reparacin
y eliminacin de aplicaciones, Service Packs y actualizaciones de software.
3 Administracin de configuraciones del usuario: Esta funcin proporciona
.
configuraciones de directivas para definir tanto opciones de personalizacin como
cualquier restriccin aplicable al sistema operativo, entorno de escritorio y
aplicaciones para casa usuario. Esto incluye configuracin del idioma, diccionarios
personalizados, configuraciones de escritorio y otras preferencias y restricciones
del usuario.
Clase terica 24
oa
Nt
Las funciones de
I t l i i r rs n
nelMro o
componentes integrados
del sistema operativo
W indows 2000. Para una
organizacin de
cualquier tamao,
I t l i i r rp r i eu
nelMro emt n
ambiente ms disponible
ycnrld.
otoao
393
Aunque la mayora de las funciones de IntelliMirror se pueden aplicar a travs

de la Poltica de grupo y Active Directory, e tas tecnologas no son necesarias
s
para todas las funciones de IntelliMirror. La mayora de las funciones se pueden
e tablecer a nivel local o a travs de las polticas locales. Algunas funciones
s
I t l i i r r, como las carpetas fuera de lnea, no requieren polticas locales para
nelMro
ser establecidas y nicamente requieren que el cliente Windows 2000
Professional tenga acceso al servidor que soporta el protocolo Server Message
Block (SMB).
Esto significa que el uso de IntelliMirror en una organizacin se realiza con base
en las necesidades de la misma. Cuando se planea utilizar IntelliMirror, una
organizacin debe evaluar cules funciones de IntelliMirror son necesarias, y
despus implementar la tecnologa requerida para cumplir dichas necesidades.
ROL DE LA POLTICA DE GRUPO EN INTELLIMIRROR

IntelliMirror proporciona la administracin de cambio y configuracin a travs de
la administracin basada en polticas. La administracin basada en polticas se
refiere al uso de la poltica local o de la Poltica de grupo para definir las
configuraciones y capacidades de un usuario o computadora. La poltica local
se establece en una computadora local, donde la Poltica de grupo se configura
y a e ta los grupos de usuarios o computadoras a travs de Active Directory.
fc
Por medio del uso de la Poltica de grupo, IntelliMirror puede ayudar en la
centralizacin y simplificacin de la administracin de cambio y configuracin.
La Poltica de grupo se puede utilizar para aplicar requerimientos de negocios y
estndares de la compaa de manera central en grupos de usuarios y
computadoras. Los grupos son considerados como una recopilacin de los
objetos del usuario y de la computadora que estn almacenados en Active
Directory. La capacidad de administrar centralmente usuarios y computadoras
mltiples disminuye en gran medida el tiempo y el esfuerzo que un administrador
debe emplear en la administracin. Una vez que la Poltica de grupo se aplica, el
sistema mantiene ese estado sin necesidad de intervencin posterior.
M AYOR DISPONIBILIDAD DEL AMBIENTE PERSONAL

Las personas utilizan las computadoras en un estado autnomo, as como en
un estado conectado a la red. Asimismo, las personas cambian con frecuencia
entre estos estados durante la realizacin de sus trabajos. IntelliMirror permite
obtener el mayor provecho de una computadora personal, ya que los datos y
configuraciones siguen al usuario, sin importar en qu estado de conectividad
Actividad
D f n rI t l i i r r
eii nelmro:
Definir Administracin Basada en Polticas:
394
se encuentre. El aumento de disponibilidad de los datos y del ambiente personal

del usuario es el resultado de almacenar informacin en los servidores de red,
as como en ubicaciones fuera de lnea sincronizadas en la unidad de disco duro
local. La facilidad de uso proviene de la transferencia de esta funcin para el
usuario. Los usuarios se pueden conectar a cualquier computadora y tener
acceso a sus propios datos y documentos, sus propias preferencias y
aplicaciones, sin tener que comprender lo que est sucediendo en un segundo
plano.
ADMINISTRACIN DE DATOS DEL USUARIO

La administracin de datos de usuario de IntelliMirror puede beneficiar de forma
extraordinaria la administracin de la red y proteger el trabajo crtico. IntelliMirror
consigue esto reflejando los datos de los clientes que se conectan a la red.
Adems de proteger completamente los datos, se puede tener acceso a estos
desde cualquier parte de la red. Es posible seguir trabajando incluso cuando no
se tiene acceso a la red. Se puede sincronizar los archivos con la red cuando
se vuelva a conecta de forma que siempre tenga la ltima versin de sus
r,
documentos. Si se lleva el trabajo a casa o esta fuera de la ofician, siempre
tendr acceso a sus documentos.
Las caractersticas de la administracin de datos de usuario de IntelliMirror utilizan
las siguientes tecnologas:
Active Directory es el servicio de directorio que utiliza Windows 2000
Server.
Almacena informacin acerca de los objetos de una red y hace que esta
informacin este disponible para los usuarios y administradores de la red.
Directiva de grupo define los distintos componentes del entorno de
escritorio del usuario que tiene que administrar un administrador del
sistema. Por ejemplo, los programas que se encuentran disponibles para
los usuarios, los programas que aparecen en el escritorio del usuario y
las opciones del men inicio, se definen mediante Directiva de grupo.
Los archivos si conexin permite seguir trabajando con archivos y
programas de red aunque no este conectado a la red. Si pierde su conexin
con la red o desconecta el equipo porttil, la vista compartida de los
elementos de red que esta disponible sin conexin permanece justo como
cuando estaba conectado. Puede seguir trabajando con ellos como lo
hace normalmente.
El administrador de sincronizacin permite controlar cuando se
sincroniza los archivos sin conexin con los archivos de red. Esto asegura
tener la ltima informacin de la red o de Internet cuando se necesite,
mientras que se minimiza el tiempo de inactividad en su equipo.
Las cuotas de disco realizan un seguimiento y controlan el uso del espacio
de disco de los volmenes.
Los perfiles de usuario mviles permiten el acceso a los perfiles
personales de usuario desde conexiones remotas.
Los datos de los usuarios pueden acompaar a estos cuando estn conectados
y utilizando la red o sin conexin de forma independiente, ya que intelliMirror
puede almacenar los datos en ubicaciones de red especificas mientras hace
Clase terica 24
395
que los datos aparezcan como locales para el usuario. Un administrador puede
organizar los daos del usuario para que sigan a estos mediante:
Configurndolos manualmente en funcin de cada usuario o en funcin de la
directiva de grupo.
Redireccionando carpetas de datos de usuario especificas (igual q Mis
documentos o cualquier otra carpeta) a una ubicacin de red y configurando
esta ubicacin para que este disponible para utilizarla sin conexin. Cuando un
usuario guarda un archivo en la carpeta especificada, Windows 2000 lo guarda
en la red y vuelve a sincronizar el archivo con el equipo local. Esta sincronizacin
se produce en segundo plano y resulta invisible para el usuario.
El usuario funciona de igual forma tanto si esta conectado como si no. Las
cadas de red temporales no afectan al usuario. Cuando un usuario trabaja sin
conexin, por que lo ha decidido as o por un error de red, todas las modificaciones
y cambios realizados en cualquier dato del usuario se realizan en la copia local.
Cada cierto tiempo, cuando el equipo vuelve a conectarse con la red, Windows
2000 sincroniza la copia local , el administrador de sincronizacin solicita al
usuario si guarda las dos copias o sincroniza una frente a la otra.
INSTALACIN Y MANTENIMIENTO DEL SOFTWA R E

Las aplicaciones pueden seguir a los usuarios o computadoras de la misma
forma.
Esto permite que algunas aplicaciones estn disponibles en cualquier
computadora a la que se conecte el usuario. Desde el punto de vista del usuario,
no existe necesariamente un proceso de instalacin o configuracin al instalar
el software, siempre est disponible y funcional, utilizando la instalacin justo a
tiempo y, de ser necesario, la reparacin del software.
Para las aplicaciones que han sido asignadas al usuario segn la Poltica de
grupo, la computadora del usuario se configura con un acceso rpido del men
de Inicio, y de esta forma se crean en el registro las asociaciones de archivo
correspondientes.
Para el usuario aparece como si la aplicacin ya estuviera presente. Sin embargo,
la aplicacin no est totalmente instalada, sino hasta que el usuario la necesita
o la desea.
Esto significa que, cuando un usuario intenta abrir la aplicacin o un archivo
asociado con la misma, un servicio de segundo plano de Windows, denominado
W indows Insta l r, realiza verificaciones para asegurarse de que todos los
le
Actividad
Definir Administrador de Sincronizacin:
Definir Archivo sin Conexin:
396
archivos y parmetros de la aplicacin estn presentes, para que esta aplicacin

se ejecute de manera adecuada. De no estar presentes, el servicio Windows
Installer las recupera y las instala desde un punto de distribucin predeterminado.
Una vez que se encuentran en su lugar, la aplicacin se abre.
A diferencia de los mecanismos de instalacin anteriores, por ejemplo algunos
archivos tradicionales Setup.exe, la instalacin de la aplicacin es eficiente, debido
a la forma en que las aplicaciones estn creadas para utilizar el servicio Windows
I s le
n talr.
De manera opcional, las aplicaciones tambin se pueden publicar por la Poltica
de grupo. Las aplicaciones que se publican aparecen en Agregar/Eliminar
programas en el Panel de control. La instalacin de las aplicaciones publicadas
se realiza a discrecin del usuario. De igual forma, la instalacin sucede cuando
un usuario o aplicacin intenta abrir un archivo que requiere una aplicacin
publicada especfica.
Esto se conoce como solicitud de documento.
La reparacin de la aplicacin sigue la misma lgica que la de la instalacin
justo a tiempo. En cualquier momento en que se solicite una aplicacin originada
por Windows Insta l r, el servicio Windows Installer realiza verificaciones para
le
asegurar que los archivos correspondientes estn disponibles. La reparacin
de archivos y configuraciones faltantes es, por lo tanto, automtica; por ejemplo,
si un usuario elimina una .dll necesario, o incluso el archivo relacionado .exe
necesario para utilizar la aplicacin. Cuando el usuario abre la aplicacin, en
lugar de cerrarla, Windows Installer vuelve a instalar de manera automtica estos
archivos desde un punto de distribucin predeterminado, de manera que la
aplicacin funcione adecuadamente.
ADMINISTRACIN DE CONFIGURACIONES DEL USUARIO
Las configuraciones del usuario, como los datos del usuario, pueden seguir al
usuario sin importar dnde se conecte ste, ya que IntelliMirror utiliza la Poltica
de grupo y Active Directory para almacenar todas las configuraciones importantes
del usuario.
Los administradores utilizan las configuraciones para personalizar y controlar
los ambientes computacionales del usuario y otorgar o denegar a los usuarios
la capacidad de personalizar sus propios ambientes de computacin. Esta
configuracin se puede aplicar a usuarios y computadoras. Cuando los usuarios
cuentan con autorizacin, con frecuencia personalizan las configuraciones de
estilo y predeterminacin de su ambiente computacional de acuerdo con sus
necesidades y hbitos de trabajo. Las configuraciones contienen tres tipos bsicos
de informacin: informacin del usuario y administrativa, informacin temporal y
datos especficos de la computadora local. Por ejemplo:
Las configuraciones del usuario incluyen elementos como favoritos
d I , vnculos rpidos, cookies y la libreta de direcciones del Web personal
e E
de Outlook Express o bitmap de segundo plano.
Las configuraciones administrativas incluyen las configuraciones seguras
tpicas, por ejemplo, el comando de ejecucin oculto, no permitir escrituras
Clase terica 24
397
a las carpetas del sistema y configurar elementos que el usuario puede ver
en el Panel de control.
La informacin temporal incluye elementos como cach de Internet Explorer
(IE) personal del usuario.
Un ejemplo de configuraciones de computadora local sera las carpetas/
archivos que estn marcados para uso fuera de lnea.
Cuando IntelliMirror administra las configuraciones del usuario, la Poltica de
grupo asegura que nicamente se mantendr informacin vital del usuario y las
configuraciones administrativas, al tiempo que las configuraciones temporales
y de computadora local se regeneran de manera dinmica y adecuada, segn
se requiera. Esto disminuye la cantidad de informacin que se debe almacenar
y transferir a travs de la red, mientras permite a los usuarios tener una
experiencia similar en cualquier computadora a la que se conecten.
Ejemplos donde se muestran algunos de los usos prcticos de IntelliMirror.
Cada uno de los ejemplos se ajusta a todo el panorama, o se puede ver como
un evento separado, y muestra la manera en que IntelliMirror beneficia a toda la
organizacin mediante la reduccin del tiempo y del esfuerzo relacionados con
el mantenimiento del ambiente computacional.
Los Escenarios que se presentan analizan los siguientes eventos:

Escenario 1: Nueva contratacin
Escenario 2: Primera conexin
Escenario 3: Llevar una laptop dentro o fuera de casa
Escenario 4: Regreso a la red con una laptop
Escenario 5: Software de autorreparacin
Escenario 6: Reemplazo de una computadora
ESCENARIO 1: NUEVA CONTRATACIN

Una de las tareas ms importantes de los profesionales de informtica, y que
les requiere ms tiempo es la configuracin de una nueva contratacin en una
computadora. En una organizacin que utiliza IntelliMirror, e r c c n r tado
l ein ota
Actividad
Definir Solicitud de Documento:
Qu beneficios aporta Inellimirror a una

organizacin?
398
icoai
Dcinro
se conecta a una nueva computadora y encuentra documentos y accesos

rpidos que ya se encuentran en el escritorio. Estos accesos rpidos se vinculan
a los archivos comunes, U R Ls y datos que son tiles para todos los empleados
(por ejemplo, el cuaderno del empleado, un acceso rpido a la intranet y un
acceso rpido a los lineamientos y procedimientos departamentales del usuario).
URL
Uniform Resource
Locator - Localizador
Uniforme de Recurso.
Es una secuencia de
caracteres, de
acuerdo a un formato
estndar, que se usa
para nombrar
recursos, como
documentos e
imgenes en
Internet, por su
localizacin.
TECNOLOGA UTILIZADA: POLTICA DE GRUPO

En este escenario, el usuario recibe un escritorio pre-configurado que contiene
documentos y accesos rpidos, que son considerados esenciales en la
empresa.
Este escritorio pre-configurado se configur antes de que la persona recin
contratada se conectara a la red, con base en los procesos empresariales
necesarios dentro de la organizacin. Esto es posible mediante la Poltica de
grupo.
La Poltica de grupo es un conjunto de objetos y reglas que definen los recursos
de la computadora disponibles para un grupo determinado. La Poltica de grupo
no se establece a nivel del usuario local ni de la computadora; se establece con
base en las agrupaciones y permisos de Active Directory, incluyendo Grupos de
seguridad.
Estos pueden definir varias computadoras y usuarios, que van desde una sola
computadora o usuario, hasta varios millones.
Los objetos de la Poltica de grupo (GPOs) pueden definir las diversas facetas
del ambiente de escritorio que un administrador necesita controlar, como el
software asignado, la capacidad de instalar aplicaciones adicionales, y tambin
modificar las configuraciones de la computadora local.
Los GPOs se crean de manera acumulativa, desde la agrupacin ms grande
(el dominio) hasta la ms pequea (el usuario o computadora individual). No
todas las configuraciones de Poltica de grupo tienen dichos efectos evidentes
en la experiencia del usuario.
Muchas de las polticas que se pueden aplicar habilitan la seguridad o control
sobre lo que un usuario puede hacer en una computadora. Un usuario no percibe
que dicha poltica est siendo aplicada, o incluso no sabe que ha sido aplicada
alguna vez.
En el escenario anterior, durante la conexin, se realiza una asociacin entre el
usuario y la poltica del lado del servidor. En este momento, los datos y la
informacin se proporcionan de manera inmediata a la computadora, sin que un
administrador tenga que tocarla. En este caso, el escritorio se configur con
anterioridad mediante el redireccionamiento de la carpeta de escritorio a la
ubicacin de la red. Esto permite que la informacin y las configuraciones se
establezcan automticamente y para varios usuarios, con base en una
configuracin administrativa nica en la Poltica de grupo. En este escenario, el
escritorio ya cuenta con los elementos que puede requerir la persona recin
contratada. Cuando sta se conecta, los elementos del escritorio se copian al
directorio del escritorio local como parte del mismo. Esto significa que ahora el
usuario cuenta con elementos locales y puede utilizarlos sin tener que colocar
n n l m t e l r d Adems, a medida que el usuario comienza a personalizar
ign ie n a e.
Clase terica 24
399
sus configuraciones y elementos de escritorio, el escritorio del usuario se

almacena en una ubicacin predeterminada en la red, y estas configuraciones
se guardan como el escritorio de usuario. Esencialmente, al redireccionar el
escritorio, el administrador permite que al usuario se le presente la informacin
empresarial requerida de manera exacta, cuando sea necesario.
ESCENARIO 2: PRIMERA CONEXIN

La persona recin contratada se conecta por primera vez y se da cuenta de que
el software, como Microsoft Word, est presente en el men de Inicio. Cuando
el usuario selecciona Word desde el men de Inicio, se instala de manera
automtica.
En caso de que el usuario haga doble clic a la libreta del empleado para abrirla,
Word se instala de manera automtica y la libreta del empleado aparece en la
pantalla del usuario.
TECNOLOGA UTILIZADA: POLTICA DE GRUPO Y WINDOWS INSTALLER

La instalacin y mantenimiento del software, administrado a travs de la Poltica
de grupo y del servicio Windows Insta l r, h b l ta las tecnologas en este
le aii
escenario.
Con base en la membresa Active Directory del usuario y en la Poltica de grupo
aplicada con base en la ubicacin del usuario en Active Directory, al usuario se
le asign Word como una de las aplicaciones relacionadas con su puesto.
Cuando el usuario se conecta, se aplica el grupo de polticas resultante de todas
sus membresas Active Directory. Cuando un usuario solicita una aplicacin o
abre un documento, el servicio Windows Installer realiza el resto del trabajo. De
esta manera, IntelliMirror asegura que los elementos necesarios y correctos
que se le asignaron al usuario aparezcan en el men de Inicio.
Al utilizar la Poltica de grupo, el administrador puede asignar o publicar diferentes
versiones configuradas de la misma aplicacin para diferentes recopilaciones
de usuarios. Cuando se solicita una aplicacin, el servicio Windows Installer
instala o repara la aplicacin. Esto se lleva a cabo mediante una referencia a la
base de datos interna para toda la informacin necesaria sobre cmo se instala
la aplicacin, dnde se encuentra la fuente de la aplicacin y cmo se va a
configurar
la misma.
Actividad
Definir URL:
Cul de las siguientes no es una tecnologa

uiiaaprItliirr
tlzd o nelmro:
( )P l t c d G u o
oia e rp
( )W n o sI s a l r
idw ntle
( ) Windows MSI
400
icoai
Dcinro
Roaming
Roaming es un
concepto utilizado en
comunicaciones
inalmbricas que
est relacionado con
la capacidad de un
dispositivo para
moverse de una
zona de cobertura a
otra
IntelliMirror utiliza el servicio Windows Installer para proporcionar distribucin

del software justo a tiempo en las computadoras cliente. Cuando el usuario
lanza Word o abre la libreta del empleado por primera vez, el servicio Windows
Installer verifica para ver si la aplicacin est instalada en la computadora local.
De no ser as, Windows Installer descarga e instala los archivos necesarios
para que se ejecute Word y para establecer las configuraciones necesarias
para el usuario local
y la computadora. Aunque Windows Installer contina verificando cada vez que
se solicita la aplicacin, no trata de reinstalar o reparar la aplicacin, a menos
que los archivos necesarios no se encuentren.
Asimismo, IntelliMirror puede desinsta a r s
l r, e tablecer y actualizar software. A
l
desinstalar software, todas las partes se eliminan de manera correcta; en el
restablecimiento, se aplican nuevos elementos y actualizaciones a las
aplicaciones ya instaladas; en la actualizacin de aplicaciones, se elimina la
aplicacin especfica y se instala la nueva en la computadora del usuario. Esto
permite la capacidad de administrar todo el ciclo de vida de trabajo del software.
ESCENARIO 3: LLEVAR UNA LAPTO P DENTRO O FUERA DE CASA

El usuario de una laptop que trabaja en la oficina crea varios documentos y los
guarda en Mis documentos. Despus de guardar su documento en Mis
documentos, el usuario se sale del sistema, se desconecta de la red y se lleva
su laptop a casa. Mientras est en casa y fuera de la red, el usuario sigue editando
los documentos guardados anteriormente en Mis documentos.
TECNOLOGA UTILIZADA: CARPETAS DE POLTICA DE GRUPO Y FUERA

DE LNEA
En este escenario, los documentos se guardan realmente en una ubicacin de
la red en un proceso que es transparente para el usuario, y despus se guardan
en el directorio de respaldo de Mis documentos en la computadora local del
usuario.
Esto se realiza sin percibir disminucin en el rendimiento. Todas estas acciones
se realizaron al redireccionar la carpeta Mis documentos a una ubicacin de la
rd
e.
Inmediatamente despus de que el usuario guarde el documento en la carpeta
de la red, el documento se guarda en la carpeta Mis documentos local de manera
transparente. Esta accin se lleva a cabo debido a que la carpeta de la red est
configurada para estar disponible fuera de lnea. Esta configuracin crea una
copia del contenido de la carpeta de la red dentro de la carpeta Mis documentos
en la computadora local. En esta forma, IntelliMirror permite que el usuario acceda
a los datos cuando se encuentre fuera de lnea.
Al redireccionar las carpetas se obtienen varios beneficios, incluyendo el respaldo
centralizado y la administracin de datos del usuario, el acceso a datos del
usuario mediante usuarios roaming desde cualquier computadora en la red, y
proteccin de los datos contra fallas (o prdida) de una computadora del usuario.
Clase terica 24
401
ESCENARIO 4: REGRESO A LA RED CON UNA LAPTO P
icoai
Dcinro
DLL
Dynamic Linking
Library - Bibliotecas
de Enlace Dinmico,
Este es un trmino
con el que se refiere
a los archivos con
cdigo ejecutable
que se cargan bajo
demanda del
programa por parte
del sistema operativo
El usuario de una laptop en el Escenario 3 regresa a la oficina y se conecta a la

red. Debido a que el usuario ha realizado algo de trabajo fuera de lnea, aparece
un cuadro de dilogo que le advierte que los datos que aparecen en la carpeta
Mis documentos han cambiado y que han sido sincronizados con la copia de la
rd
e.
TECNOLOGA UTILIZADA: CONFIGURACIONES DE LOS DATOS DEL

USUARIO
Tan pronto como el usuario se vuelve a conecta a l r d I t l i i r r t a de
r a e , n e l M r o r ta
reconectarlo a la ubicacin de la red de las carpetas redirigidas. Cuando
IntelliMirror se vuelve a conecta verifica si hay diferencias en los datos que
r,
existen entre la copia local de la carpeta y la copia de la red. En este escenario,
el usuario ha realizado modificaciones a un documento en la computadora local.
IntelliMirror identifica este cambio y actualiza la versin guardada en la red.
IntelliMirror no pretende ser la base de una herramienta de colaboracin de
usuarios mltiples; sin embargo, IntelliMirror puede soportar casos en los que la
copia fuera de lnea y la de la red de un archivo de datos del usuario estn
modificadas. Si esto ocurre, es posible que un compaero haya actualizado la
copia de la red mientras el usuario se encontraba fuera de lnea, el IntelliMirror le
indica al usuario sobre esta situacin. En este caso, la resolucin es manual. A
l
usuario se le pregunta si desea mantener ambas copias, o cul de las dos
versiones se debe sobre escribir. Si van a guardar ambas copias, se le pide al
usuario que defina un nuevo nombre de archivo para almacenar una de las
versiones, de manera que se mantenga la individualidad.
ESCENARIO 5: SOFTWARE DE A U TO R R E PARACIN

Un usuario decide explorar la computadora y trata de eliminar los archivos
innecesarios. Este usuario elimina .dl
ls, archivos de ayuda, as como otros
archivos que son importantes para Microsoft Office. Posteriormente, cuando el
usuario abre un documento en Word, en lugar de que se presente una falla,
Office se repara automticamente y trabaja de manera normal.
Actividad
Definir Roaming:
Definir DLL:
402
TECNOLOGA UTILIZADA: POLTICA DE GRUPO Y WINDOWS INSTALLER

El servicio Windows Installer proporciona mucho ms que la capacidad de instalar
aplicaciones. Esta tecnologa tambin protege la integridad de la aplicacin contra
sucesos inadvertidos con los archivos locales. En este escenario, cuando el
usuario intenta abrir Word, el servicio Windows Installer identifica que faltan
algunos archivos esenciales. Los archivos faltantes se vuelven a instalar de
manera inmediata desde la fuente de la red especificada para Windows Installer
cuando la aplicacin se instal por primera vez. El usuario observa brevemente
un cuadro de dilogo con una barra de progreso y despus Word se abre como
si nada malo hubiera sucedido.
ESCENARIO 6: REEMPLAZO DE UNA COMPUTA D O R A

La computadora en la que est trabajando el usuario se detiene repentinamente
con una falla completa en el hardware. El usuario llama a la lnea de soporte y
aproximadamente 20 minutos despus se le lleva una computadora nueva,
cargada nicamente con el sistema operativo Windows 2000 Professional. Sin
tener que esperar asistencia tcnica, el usuario conecta su nueva computadora,
se conecta a la red y la inicia. La computadora permite que el usuario se conecte
a la red corporativa y el usuario encuentra que el escritorio ha tomado la misma
apariencia que la de la computadora original que le fue reemplazada. Ti n e
ee l
mismo esquema de color, la imagen de segundo plano que instal el usuario se
encuentra en el protector de pantalla, as como todos los iconos de las
aplicaciones, accesos rpidos y favoritos. Lo que es ms importante, todos los
archivos de datos del usuario han sido restablecidos.
TECNOLOGA UTILIZADA: INFRAESTRUCTURA INTELLIMIRROR

En un escenario de recuperacin de desastre, IntelliMirror ayuda a obtener el
respaldo del usuario y a ejecutar en el menor tiempo posible con el mnimo de
soporte. Las funciones de IntelliMirror permiten que el usuario y los datos y
configuraciones del mismo sean independientes a los de cualquier computadora
especfica.
Toda la configuracin se instala a travs de la Poltica de grupo. Las
configuraciones de la Poltica de grupo siguen al usuario y se aplican en cualquier
lugar en donde el usuario se conecte a la red. Esto da la apariencia de que los
datos siguen al usuario, ya que la ubicacin de los mismos se configura a travs
de la Poltica de grupo. Esto significa que en el momento en que el usuario se
conecta, la recuperacin de los contenidos aparece disponible desde la
computadora local.
En este escenario, la solucin no se limita a dar al usuario una nueva
computadora.
El usuario tambin pudo haberse trasladado a otra estacin de trabajo, ya que
todos los datos, configuraciones y ambientes se reflejan en la red. Las funciones
de IntelliMirror se pueden utilizar de manera separada o combinada para abordar
Clase terica 24
403
el rango de las necesidades, desde los cambios y actualizaciones menores de

configuracin y actualizaciones, hasta una completa recuperacin de desastre.
En conjunto, aumentan en gran medida la disponibilidad de escritorio y reducen
el costo total de propiedad.
Este escenario abarca nicamente las funciones IntelliMirror; por lo tanto, en
este caso el departamento de soporte envi una computadora cargada
previamente con Windows 2000 Professional. Sin embargo, al hacer uso de la
instalacin del sistema operativo remoto Windows 2000, tambin sera posible
enviar el hardware de computadora en cualquier estado. Sin pre-cargar ni
configurar el sistema operativo correcto, la instalacin del sistema operativo
remoto puede instalar
Windows 2000 Professional una vez que la computadora se encuentra en su
l g r.
ua
404
Clase prctica 24
Esta prctica tiene como objetivo evaluar las habilidades prcticas que usted ha adquirido a lo largo del
segundo mdulo del curso: Administracin Avanzada de Windows 2000 Server.
Cada uno de los 2 ejercicios tiene un valor de 5 puntos si es realizado correctamente o variar si el
ejercicio es realizado parcialmente. En cualquier momento el alumno puede solicitar ayuda al instructor,
lo cual implicar una reduccin de 1 punto inmediatamente.
Examen Prctico Administrador de Windows 2000

Para el siguiente examen se deber disponer de 3 maquinas, una de las cuales deber poseer 2 placas de
red
Estructura de la red:
PC1: (2 placas de red)
Nombre: mgp-srv01
IP (placa 1): 192.168.100.254
IP (placa 2): 172.16.100.254
Esta mquina ser controlador de dominio (Active Directory): dominio
megapack.com.ar
Servidor DHCP:
o mbito: 192.168.100.100 192.168.100.200
o Puerta de enlace: 192.168.100.254
o Servidor WINS: 192.168.100.254
o Servidor DNS: 192.168.100.254
o Dominio: megapack.com.ar
Servidor W I N S (instalar y configurar)
Servidor DNS:
o Dentro de la zona directa megapack.com.ar crear un nuevo
host llamado WWW con la IP 172.16.100.1
Servidor Terminal Server: Instalar y configurar como Administracin remota
Active Directory:
o Crear 3 unidades organizativas (Maquinas, Ventas,
Administracin)
o Crear 3 grupos (Administracin, Gerencia, Cobranzas)
o Crear 3 usuarios (Administrativo, Gerente, Gestor) y asignar
1 a cada grupo
Actualizar el disco a dinmico y crear 1 volumen de 1 GB, asignarle una carpeta
y eliminarle la letra de unidad (permitir el acceso a la carpeta solo a los
administradores)
PC3:
Nombre: mgp-srv03
Ip:172.16.100.1
Puerta de enlace:172.16.100.254
Servidor WINS:172.16.100.254
Servidor DNS: 172.16.100.254
Servicios de Internet Information Server: Instalar y configurar un directorio
virtual
Terminal Services: Instalar y configurar como Administracin remota
Clase prctica 24
405

Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER

Uploaded by

Copyright:

Available Formats

ADMINISTRACIN DE

WINDOWS 2000 SERV E R

Limitaciones de disco dinmico y volumen dinmico

CREAR DOMINIOS O CREAR OU?

INSTALACIN DE WINDOWS 2000 SERV E R

PLANIFICACIN DE UNA INSTALACIN DE

WINDOWS 2000 SERVER

UBICACIN DE LOS SERVICIOS

UBICACIN DEL CONTROLADOR DE DOMINIO

TIPOS DE PA RTICIONES (DISCOS BSICOS)

ADMINISTRACIN DE ACTIVE DIRECTO RY EN

TIPOS DE VOLMENES (DISCOS DINMICOS)

SOPORTE PA R A CLIENTES NO WINS

SERVIDORES DHCP EN WINDOWS 2000

IMPLEMENTACIN DE UN SERVIDOR WINS

IMPRESORAS EN ACTIVE DIRECTO RY

ADMINISTRACIN DE LAS IMPRESORAS DE RED

PLANIFICACIN DE UN SISTEMA DE IMPRESIN

PROCESO DE RESOLUCIN DE NOMBRES

SERVIDORES DE NOMBRES DE INTERNET DE

COPIA DE SEGURIDAD Y RESTAURACIN DE LA

R E N O VACIN Y LIBERACIN DE UN LEASING DE

REINICIAR UNA CONTRASEA Y DESBLOQUEAR

COMPLEMENTO USUARIOS Y EQUIPOS DE

CONSIDERACIONES PA R A LAS CUENTAS DE

CUENTAS DE USUARIO EN WINDOWS 2000

CONFIGURACIN MANUALY AUTOMTICA DE

SERVIDORES DE NOMBRES DE DOMINIO (DNS)

Dominios del nivel superior

Servidores de Servicios de Informacin de Internet en

DIRECTIVA DE GRUPO (GPO)

DIRECTIVA DE SEGURIDAD LOCAL

MONITOR DE REFERENCIA DE SEGURIDAD

AUTORIDAD DE SEGURIDAD LOCAL (LSA)

INTRODUCCIN A L MODELO BSICO DE

COPIA DE SEGURIDAD Y RECUPERACIN DE IIS

CONEXIONES DE ACCESO REMOTO

SERVICIO DE ACCESO REMOTO (RAS)

Servicios de Ruteo y Acceso Remoto en W indows 2000

CARACTERSTICAS DEL SERVICIO RRAS

PROCESO DE RESOLUCIN DE NOMBRES

SITIOS WEB Y FTP

POLTICAS DE GRUPO EN WINDOWS 2000 SEVER 344

BENEFICIOS DE LAS POLTICAS DE GRUPO

CLIENTES DE TERMINAL SERVER

Eliminacin de carpetas temporales

IMPLEMENTACIN DE LAS FUNCIONALIDADES DE

LAS POLTICAS DE GRUPO Y ACTIVE DIRECTO RY 35

DESCRIPCIN GENERAL DE LAS POLTICAS DE

POLTICAS DE GRUPO Y GRUPOS DE SEGURIDAD

BASES DE DATOS DE SEGURIDAD

REQUERIMIENTOS ADMINISTRATIVOS DE LAS

CONSIDERACIONES DE DISEO DE POLTICAS DE

ADMINISTRACIN DE OBJETOS DE POLTICAS DE

ADMINISTRACIN DE TERMINAL SERVER

INSTALACIN DE PROGRAMAS EN SERVIDORES

DOCUMENTOS Y CONFIGURACIONES DEL

PLANIFICACIN DE LA INSTALACIN DE TERMINAL

PROPIEDADES DE LAS CONEXIONES TERMINAL

SERVICIOS DE TERMINAL SERVER EN WINDOWS 2000

Servidores de infraestructura de llave pblica en Windows

DIRECCIONANDO BUZONES EN SERVIDORES

USANDO DNS PA R A DIRIGIR CORREO

CRIPTOGRAFA DE CLAVES PBLICAS