Professional Documents
Culture Documents
Captulo 1 Introduccin
A. Introduccin
12
12
12
14
1. El examen de certificacin
2. Preparacin del examen
14
14
14
16
16
17
17
www.ediciones-eni.com
16
17
17
19
20
20
23
23
24
25
Ediciones ENI
1/13
25
26
E. El Sandbox
27
1. Configuracin necesaria
2. La instalacin de Windows Server 2012 R2
F. Talleres
27
27
28
28
29
1. Esquema de la maqueta
2. Mquina virtual AD1
a. Creacin y configuracin de la VM
b. Instalacin del sistema operativo
c. Configuracin post-instalacin
3. Mquina virtual SV1
4. Mquina virtual SV2
5. Mquina virtual SVCore
6. Mquina virtual CL8-01
7. Mquina virtual CL8-02
8. Creacin de puntos de control
32
33
33
37
39
43
43
43
43
44
44
45
47
www.ediciones-eni.com
Ediciones ENI
50
50
51
2/13
52
53
56
1. Mtodos de instalacin
2. Requisitos previos de hardware para Windows Server 2012 R2
D. Configuracin del sistema operativo despus de su instalacin
1. Configuracin del adaptador de red
2. Unirse a un dominio sin conexin
3. Configuracin de un servidor Core
E. Introduccin a PowerShell
56
57
57
57
65
65
66
1. Presentacin de PowerShell
2. Sintaxis de los cmdlets PowerShell
3. Presentacin de la consola PowerShell ISE
4. Instalar y configurar la caracterstica DSC (Desired State Configuration)
F. Talleres
66
66
67
68
68
68
75
81
85
88
90
92
94
www.ediciones-eni.com
98
Ediciones ENI
3/13
98
99
99
101
102
103
103
104
104
104
105
105
105
105
106
107
107
E. La papelera de reciclaje AD
108
108
G. Talleres
109
109
116
120
126
www.ediciones-eni.com
Ediciones ENI
4/13
A. Introduccin
132
132
133
133
134
137
139
139
140
141
141
143
F. Talleres
144
1. Implementar la delegacin
2. Administracin de cuentas de usuario
G. Validacin de conocimientos: preguntas/respuestas
144
147
157
160
160
www.ediciones-eni.com
160
161
Ediciones ENI
5/13
D. Taller
162
162
166
168
170
172
172
173
176
176
178
1. El direccionamiento IPv4
2. Direccionamiento privado/pblico
3. Conversin de binario a decimal
4. Las diferentes clases de direcciones
5. El CIDR
D. Establecimiento de subredes
182
182
182
184
1. El comando ipconfig
2. El comando ping
www.ediciones-eni.com
178
179
180
181
181
184
185
Ediciones ENI
6/13
3. El comando tracert
186
186
186
187
188
188
189
189
190
192
196
200
200
200
201
202
202
203
204
207
208
www.ediciones-eni.com
Ediciones ENI
208
208
209
7/13
212
212
213
F. IPAM
216
G. Talleres
218
218
219
227
228
246
250
B. Funcionamiento de DNS
250
251
252
253
253
254
www.ediciones-eni.com
254
254
255
256
Ediciones ENI
8/13
257
1. El comando nslookup
2. El comando dnslint
3. El comando ipconfig
4. El comando dnscmd
257
259
260
260
F. Talleres
261
261
268
273
276
B. El sistema de almacenamiento
276
280
www.ediciones-eni.com
276
277
278
279
Ediciones ENI
280
281
281
282
283
283
283
9/13
E. Talleres
284
284
292
294
303
311
316
316
316
318
320
322
323
323
324
326
326
326
327
327
F. Talleres
331
www.ediciones-eni.com
Ediciones ENI
331
10/13
2. Implementar instantneas
3. Creacin de un grupo de impresin
4. Gestin del servidor de impresin
5. Implantacin de la solucin Work Folders
G. Validacin de conocimientos: preguntas/respuestas
340
345
356
361
371
376
376
383
383
384
387
388
388
390
E. Talleres
www.ediciones-eni.com
376
377
378
378
379
381
390
391
393
393
395
Ediciones ENI
11/13
395
397
404
408
415
420
420
420
421
422
426
428
429
429
430
D. El Firewall de Windows
432
E. Talleres
433
433
440
444
451
455
468
477
www.ediciones-eni.com
Ediciones ENI
12/13
482
B. El Monitor de recursos
492
C. El Monitor de rendimiento
497
502
505
506
507
507
515
517
521
528
Tabla de objetivos
531
ndice
533
www.ediciones-eni.com
Ediciones ENI
13/13
WindowsServer2012R2
MCSA70410InstalacinyConfiguracin
Elexamen70410"InstalacinyConfiguracindeWindowsServer2012"eselprimerodetresexmenesobligatorios
para obtener lacertificacin MCSA Windows Server 2012. Este examen valida sus competencias y conocimientos
acerca de la puesta en marcha de una infraestructura Windows Server 2012 bsica en un entorno empresarial
existente.
Paraayudarleapreparareficazmenteelexamen,estelibrocubretodoslosobjetivosoficiales,tantodesdeunpunto
devistatericocomoprctico.Hasidoredactadoporunformadorprofesionalreconocido,tambinconsultor,certificado
tcnicaypedaggicamenteporMicrosoft.Deestaforma,susaberhacerpedaggicoytcnicoconducenaunenfoque
claroyvisual,deunaltoniveltcnico.
Captulotrascaptulo,podrvalidarsusconocimientostericos,empleandoungrannmerodepreguntasrespuestas
(154 en total) haciendo hincapi tanto en los fundamentos como las caractersticas especficas de los conceptos
abordados..
Cada captulo est terminado por los talleres (46 en total) tendr los medios para medir su autonoma. Estas
operaciones concretas, llegando ms all de los objetivos fijados para el examen, le permitirn forjar una primera
experiencia significativa y adquirir verdaderas competencias tcnicas en situaciones reales. Los scritps incluidos en el
libropuedendescargarseenestpgina.
A este dominio del producto y sus conceptos, se aade la preparacin especfica para la certificacin: en el sitio
www.edieni.com podr acceder de forma gratuita a 1 examen en lnea, destinado a entrenarle en condiciones
cercanasalasdelaprueba.Enestesitio,cadapreguntaestplanteadadentrodelespritudelacertificaciny,para
cadauna,seencuentranrespuestassuficientementecomentadasparacubriroidentificarsuslagunas.
Loscaptulosdellibro:
Descripcin Introduccin Instalacin de HyperV Despliegue y administracin de Windows Server 2012 R2
Introduccin a los servicios Active Directory Administracin de objetos AD Automatizar la administracin de Active
DirectoryImplementacindelprotocoloIPImplementacindeunservidorDHCPImplementacindeunservidorDNS
Gestin del espacio de almacenamiento local Administracin de los servidores de archivos Implementacin de
directivasdegrupoSecurizacindelservidorconGPOSupervisindeservidoresTabladeobjetivos
NicolasBONNET
NicolasBONNETesConsultoryformadorenlossistemasoperativosMicrosoftdesdehaceaos.EstcertificadoMCT
(MicrosoftCertifiedTrainer)ytransmiteallector,atravsdeestelibro,todasuexperienciaenlastecnologasservidor
ysuevolucin.Suscualidadespedaggicasconducenaunlibroverdaderamenteeficazparalapreparacinaeste
examenacercadeWindowsServer2012.R2.
- 1-
Introduccin
El examen 70410 "Instalacin y configuracin de Windows Server 2012 R2" es el primero de los tres
exmenes obligatoriosparaobtenerlacertificacinMCSAWindowsServer2012certification.Esteexamenvalida
sus competencias y conocimientos acerca de la puesta en marcha de una infraestructura Windows Server 2012 R2
bsicaenunentornoempresarialexistente.
Para ayudarle a preparar eficazmente el examen,este libro cubre todos los objetivos oficiales(seproporcionala
listaenelanexo)tantodesdeunpuntodevistatericocomoprctico.
Cadacaptuloestorganizadodelasiguienteforma:
Unapartede validacindeconocimientosquesepresentabajolaformadepreguntas/respuestas(154entotal).
Estas preguntas y sus respuestas comentadas destacan tanto los elementos fundamentales como las caractersticas
especficasdelosconceptostratados.
Los talleres (46 en total): permiten ilustrar con precisin ciertas partes del curso y le aportan los medios para
evaluar su autonoma. Estas operaciones, en particular, le permitirn forjar una primera experiencia significativa y
adquirir verdaderas competencias tcnicas sobre todo un conjunto de situaciones reales, ms all de los objetivos
fijadosparaelexamen.
A este dominio del producto y sus conceptos se aade la preparacin especfica para la certificacin: en el sitio
www.edieni.com podr acceder de forma gratuita a un examen en lnea, destinado a entrenarle en condiciones
similaresalasdelaprueba.Enestesitio,cadapreguntaestplanteadadentrodelespritudelacertificaciny,para
cadauna,seencuentranrespuestassuficientementecomentadasquelepermitirncubriroidentificarsuslagunas.
- 1-
Introduccin
El antiguo plan de certificacin permita obtener la certificacin MCITP (Microsoft Certified IT Professional). stas han
sidorebautizadasMCSA(MicrosoftCertifiedSolutionAssociate)yMCSE(MicrosoftCertifiedSolutionsExpert).
- 1-
Organizacindelascertificaciones
PlandeestudiosMCSA
ElplandeestudiosMCSAestcompuestoportresexmenes.Elexamen70410,quetratasobrelainstalacinyla
configuracindeWindowsServer2012.Serequiereaprobar,acontinuacin,elsegundoexamencuyonmeroes
el 70411. ste trata sobre la administracin de Windows Server 2012. Finalmente, para aprobar el plan de
estudios, es necesario aprobar el examen 70412. ste tiene por objeto laadministracin avanzada de Windows
Server2012.
Apartirdeahora,existenvariosplanesdeestudioMCSE(MicrosoftCertifiedSolutionsExpert).
MCSEServerInfrastructure
Se deben aprobar dos exmenes para obtener esta certificacin. Adems del plan de estudios MCSA, es necesario
aprobarelexamen70413.Finalmente,sedebeaprobarelexamen70414,Implementacindeunainfraestructura
deservidoravanzadaparavalidarelplandeestudios.
MCSEDesktopInfrastructure
Esteplandeestudiossecomponedetresexmenes.Sedebenaprobarlosexmenes70415, Implementacin de
unainfraestructuradepuestosdetrabajoyel70416,Implementacindeentornodeaplicacinofimtica.
MCSEPrivateCloud
ParaobtenerlacertificacinMCSEPrivateCloud,serequiereaprobarlosexmenes70246Monitorizacinyusode
un cloud privado con System Center 2012 y 70247 Configuracin y despliegue de un cloud privado con System
Center2012.
- 1-
Cmoestorganizadoestelibro?
Estelibrolepreparaparaelexamen70410InstalacinyconfiguracindeWindowsServer2012.Estelibroest
divididoencaptulosqueleproporcionanelconocimientotericoenelmomentopreciso.Lostalleressepresentana
loslectorespermitindolesunapuestaenprcticadelospuntostratadosenlaspartestericas.
Espreferibleseguirloscaptulosensuorden.Enefecto,estosconfierenlascompetenciasnecesariasparaaprobarel
examendeformaprogresivaallector.Alfinaldecadacaptulo,unaseriedepreguntasvalidarnelnivelquedebeser
alcanzado.Sisesupera,ellectorpodrpasaralsiguientecaptulo.
Elprimercaptulointroduceellibroypermiteunamejorcomprensindelaformaenlaqueellibroestconstruido.
Acontinuacin,seabordaeltemadeHyperV.Permitefamiliarizarseconsufuncionamiento.Lospuntostratadosson
losdiferentesdiscosdurosvirtualesylosconmutadoresderedqueesposibleutilizar.Seguidamenteseconstruye
una maqueta (Sandbox) para poder llevar a cabo los talleres de los mdulos siguientes. Se presentan, a
continuacin,lasdiferentesgeneracionesdemquinasvirtualesyseabordatambinelmododesesinextendido.
Lagestindelacalidad(QoS)aniveldealmacenamientofinalizaestecaptulo.
DespusdeHyperVsepresentaelcaptulosobreeldespliegueylaadministracindeWindowsServer2012.Trata
sobre los diferentes mtodos de instalacin, el servidor Core e incluye una introduccin a PowerShell. Los talleres
presentadosconsistenenlacreacindelbosqueActiveDirectory,laconfiguracindeunservidorenmodoCoreas
comolaadministracindeservidoresempleandolasherramientaspresentesenelsistemaoperativoo,simplemente,
medianteinstruccionesPowerShell.
Los tres captulos siguientes tratan sobre Active Directory. Los primeros puntos permiten obtener o revisar los
conceptosbsicosnecesariosparaActiveDirectory.Despusdehabervistolasdiferentesmanerasdepromoverun
servidoracontroladordedominio(promoverconIFM),seabordanlasdiferentescaractersticas(papeleradereciclaje,
directivadecontraseasmuyespecfica).Seabordan,asuvez,losobjetosActiveDirectory(usuario,equipo...)quees
posiblecrear.Lostallerespermitenimplementardelegaciones,lagestindecuentasdeusuariooelrestablecimiento
de un canal seguro. La parte Active Directory termina con el captulo de automatizacin de la administracin. Los
puntostratadossonlaadministracinporlneadecomandosymediantePowerShell.
Laseccinacercadelasredesseabordaposteriormenteaestoscaptulos.SeestudianlosprotocolosIPv4eIPv6.Se
abordan la conversin binario/decimal, las direcciones privadas/pblicas y el direccionamiento IPv4. Esta seccin se
complementa con la implantacin de subredes y los diferentes comandos (ping, tracert e ipconfig). Finalmente, la
seccinsobreIPv6(informacingeneraldelprotocoloylasdiferentes direcciones)completaycierraelcaptulo.
ElservicioDHCPtambinseabordaenestelibro,despusdehaberestudiadoelfuncionamientodelaasignacinde
una direccin IP, as como el uso de DHCP. Las caractersticas y la gestin de la base de datos se estudian a
continuacin.IPAMcomplementaycierraelcaptulosobreDHCP.
UnelementoesencialenundominioActiveDirectoryeselDNS.Selededicauncaptulo.Seestudiarnlainstalaciny
el soporte del servidor DNS antes que su funcionamiento y sus distintas zonas. El soporte incluye los diferentes
comandosnecesariosparalagestinyelmantenimientodelservidor(nslookup, dnslint,ipconfigydnscmd).
Losdoscaptulossiguientestratansobrelaadministracindelespaciodealmacenamientoyelservidordearchivos.
Enelprimercaptulo,seproporcionaunadefinicindeDAS(DirectAttachedStorage),NAS(NetworkAttachedStorage)y
SAN (Storage Area Network) para seguidamente estudiar la gestin de discos y volmenes (MBR, GPT, FAT, NTFS y
ReFS)yeldesplieguedeunespaciodealmacenamiento.Elcaptulosiguientepermitecomprenderlagestindelos
diferentescontroladores,lasinstantneas yABE(AccessBasedEnumeration).
Los siguientes dos captulos tratan sobre el despliegue de directivas de grupo y la securizacin de
servidores empleando GPO. Los diferentes componentes y el almacenamiento de una directiva de grupo, las
preferencias,ascomolasGPOdeiniciodancomienzoalcaptulodeImplementacindedirectivasdegrupo.stese
- 1-
completaconeltemadesutratamiento(gestindevnculos,ordendeaplicacinyfiltrosdeseguridad)ascomola
funcin del directorio central. El captulo Securizacin del servidor empleando GPO presenta las funcionalidades de
seguridadmediantelaconfiguracindelosparmetros,eldesplieguedeAppLockeryelfirewalldeWindows.
ElcaptulodecimocuartoyltimodellibrotratasobrelasherramientasdeanlisisincluidasenWindowsServer2012.
Seestudianelregistrodeeventos,elmonitorderendimientoyeladministradordetareas.
- 2-
Competenciasevaluadasenelexamen70410
Puedeencontrarlatablaconlascompetenciasevaluadasalfinaldellibro.
1.Elexamendecertificacin
El examen de certificacin est compuesto de varias preguntas. Para cada una, se ofrecen varias respuestas. Es
necesariomarcarunaovariasdeestasrespuestas.Senecesitaobtenerunanotade700paraaprobarelexamen.
El examen se presenta en un centro Prometric, sin embargo la inscripcin se debe hacer en el sitio
www.prometric.com. Existen varios sitios en la regin. Es necesario seleccionar la fecha y hora antes de elegir el
examendeseado(70410).
Eldaindicado,contarconvariashoraspararesponderalexamen.Nodudeentomarsetodoeltiemponecesario
paraleercorrectamentelaspreguntasytodaslasrespuestas.Esposiblemarcarlaspreguntasparaunarelectura
antesdeterminarelexamen.Elresultadoseemitealfinalizarelexamen.
2.Preparacindelexamen
Paraprepararelexamendeunaformaptimaesnecesario,enprimerlugar,leerlosdiferentescaptulosyluego
realizarlostalleres.
Laspreguntasalfinaldecadamdulolepermitenvalidarsusconocimientos.Nosesalteningncaptuloyreptalo
tantas veces como sea necesario. Se ofrece un examen de prueba con este libro que le permite evaluar sus
conocimientosantesdepresentarsealexamen.
- 1-
Mquinasvirtualesutilizadas
Pararealizarlostalleresyevitarmultiplicarelnmerodemquinas,seinstalaunsistemadevirtualizacin.Elcaptulo
permite la instalacin del Sandbox o maqueta. ste emplea el hipervisor de Microsoft HyperV. Puede utilizar, si lo
desea,supropiosistemadevirtualizacin.
Acontinuacin,seinstalanvariasmquinasvirtualesqueejecutanWindowsServer2012oWindows8.
Sepuededescargarlasversionesdeevaluacinenlossiguientesenlaces:
http://technet.microsoft.com/eses/evalcenter/hh699156.aspx
http://technet.microsoft.com/eses/evalcenter/dn205286.aspx
- 1-
Requisitospreviosyobjetivos
1.Requisitosprevios
Contarconnocionessobrelossistemasdevirtualizacin.
Poseerconocimientosdemicroinformtica.
2.Objetivos
PresentacindelasituacindevirtualizacinHyperV.
Creacinyconfiguracindeunamquinavirtual.
Gestindeconmutadoresderedydeinstantneas(snapshots).
CreacindelSandbox.
- 1-
Informacingeneraldelastecnologasdevirtualizacin
Las tecnologas de virtualizacin ofrecen desde ahora a los administradores la posibilidad de reducir el nmero de
servidores.Lavirtualizacinincluyelaparteservidorpero,tambin,losequiposclienteylasaplicaciones.Todoslos
modos de virtualizacin tienen como objetivo facilitar la administracin y reducir los costes de un sistema de
informacin. De esta forma, es muy fcil hacer funcionar uno o ms servidores en una mquina fsica. Empleando
variosservidoresfsicos,esmuyfrecuentenoutilizartodalapotenciadeestosvirtualizandovariosservidoressobre
una mquina anfitriona, los recursos de esta ltima se reparten entre todas las mquinas virtuales (VM), lo que
permiteunautilizacincompletadelosrecursos.Essencillorealizardeunasolucin,igualquelamigracindeuna
mquinavirtualentredistintosservidores.
Existenvariossistemasdevirtualizacin,cadaunoutilizaundiscovirtual(unarchivoenformatovhd,vhdx)ascomo
unaredvirtual(internaalequipooempleandolaredfsica).
1.Virtualizacindelpuestodetrabajo
Elprincipiodelavirtualizacindelpuestodetrabajoconsisteenutilizarunaovariasimgenesvirtualessobreunoo
msequiposenlared.Sepuedecompararestegnerodevirtualizacinconunstreamingdesistemaoperativo.
Estepuedeigualmentetomarlaformadeunavirtualizacincompletadelpuestodetrabajo,estatecnologa llamada
VDI (Virtual Desktop Initiative) permite la virtualizacin del sistema operativo pero tambin de las aplicaciones. El
puestopuede,entonces,serdetipoclienteligeroodetipoPC.
2.Virtualizacindeaplicaciones
La virtualizacin de aplicaciones engloba varios tipos de virtualizacin. Es posible realizar la virtualizacin de
aplicacionescentralizadas.Elusuarioejecutaunaaplicacinenunpuestodetrabajo,sinembargostarealmente
ejecutndoseenunservidorremoto(soloseejecutaelsistemaoperativoenelpuestodetrabajo).
Deigualmanerasepuedeencontrarelaislamientodeaplicacionesenformadeburbuja.Estaprcticaconsisteen
resolverunproblemadeincompatibilidadentreaplicacionesejecutandocadaunaenunaburbujaqueestaislada
delasotrasaplicaciones.Estaltimasolucinesmenosfrecuente.
3.HyperVenWindows8.1
EsposibleinstalarelrolHyperVenunequipoclienteapartirdeWindows8(soloenlasedicionesProyEnterprise).
LosrequisitospreviosaniveldeprocesadorsonidnticosaWindowsServer2012R2.Elprocesadordebesoportar
SLAT (Second Level Address Translation). Tambin es necesario un mnimo de 4 GB de RAM. Las caractersticas
llamadas"Enterprise"(Livemigration,etc.)soloestndisponiblessiHyperVseinstalaenunservidor.
- 1-
ImplementacindeHyperV
HyperV es un sistema de virtualizacin disponible en los sistemas operativos servidor a partir de Windows Server
2008.Estdisponibleactualmenteenversin3.Laventajadeestehipervisoreselaccesodirectoalhardwaredela
mquinahost(yporendeunmejortiempoderespuesta).ElrolHyperVpuedeinstalarseconWindowsServer2012
R2enmodoinstalacincompleta(conelinterfazgrficoinstalado)oenunainstalacinmnima(sininterfazgrfico).
1.RequisitospreviosdeHardware
Como muchos de los roles en Windows Server 2012 R2, HyperV tiene sus requisitos previos. Esto concierne al
hardwaredelequipo.
Elequipooservidorhostdebeposeerunprocesadorde64bitsysoportarSLAT(SecondLevelAddressTranslation).
La capacidad del procesador debe responder a las necesidades de las mquinas virtuales. Estas ltimas pueden
soportarcomomximo32procesadoresvirtuales.Lacantidaddememoriaenelservidorhostdebesersuperiorala
asignada a las mquinas virtuales. Durante la asignacin de la memoria a las mquinas virtuales, es necesario
reservarunaparteparaelfuncionamientodelamquinafsica.Sielequipoconstade32GBdeRAM,esaconsejable
reservarde1a2GBparaelfuncionamientodelservidorfsico(eltamaodelareservavaraenfuncindelosroles
instaladosenlamquinafsica).
2.LasmquinasvirtualesenHyperV
Unamquinavirtualemplealossiguientescomponentessinembargo,enfuncindelageneracindelasVM(ver
msabajoenestecaptulo),algunoscomponentesnoestarndisponibles.
BIOS:sesimulalaBIOSdeunordenadorfsico,esposibleconfigurarvariosfactores:
n
Elordendearranqueparalamquinavirtual(red,discoduro,DVD).
Elbloqueodigitalautomtico.
MemoriaRAM:seasignaunacantidaddememoriaRAMalamquinavirtual.Sepuedeasignarunmximode1TB.A
partirdeWindowsServer2008R2SP1,esposibleasignarlamemoriadinmicamente(tratadoenprofundidadeneste
captulo).
Procesador: al igual que la memoria, es posible asignar uno o ms procesadores (en funcin del nmero de
procesadoresyncleosdelamquinafsica).Sepuedeasignarunmximode32procesadoresaunamquina.
Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Mquina Virtual). Cada una posee dos
discoscomomximo.
ControladoraSCSI:aadeunacontroladoraSCSIalamquinavirtual.Deestaformaesposibleaadirdiscosduros
olectoresDVD.
Adaptadordered:pordefectonoseheredaeladaptadordereddelamquinavirtual,loquepermiteunmejortrfico
peroimpidequelamquinarealiceunarranquePXE(arranqueatravsdelaredcargandounaimagen).Parapoder
arrancardesdelared,esnecesarioagregarunadaptadorderedheredado.
Tarjetadevdeo3DRemoteFX:estetipodetarjetapermiteunmejorrendimientogrficohaciendousodeDirectX.
Seleccionando una mquina virtual y despus haciendo clic enConfiguracin, en el men Acciones, aparecer la
ventanadeconfiguracin.
- 1-
Configuracindeunamquinavirtualdegeneracin2
Todosloscomponentesdescritosarribapuedenconfigurarsedurantelacreacindelamquinavirtual(adaptador
dered,discoduro,unidadDVD)oaccediendoalaconfiguracindelequipovirtual.
3.LamemoriadinmicaconHyperV
Al publicarse Windows Server 2008, el sistema de virtualizacin HyperV permita solo asignar una cantidad de
memoriaesttica.Deestaformaelnmerodemquinasvirtualesestabalimitado.Siunservidorqueraasignar4
GBdeRAM,lacantidadreservadaeralamismainclusosinoexistaningunaactividadenlamquinavirtual.
La memoria dinmica permite asignar una cantidad mnima de memoria. Sin embargo, si la mquina virtual tiene
necesidaddemsmemoria,estautorizadaasolicitarunacantidadsuplementaria(estaltimanopuedeexcederla
cantidad mxima asignada). Esta caracterstica se introdujo en los sistemas operativos servidor posteriores a
WindowsServer2008R2SP1.
AdiferenciadeWindowsServer2008R2,unadministradorpuedeahoramodificarlosvaloresmnimosymximode
lamemoriaduranteelarranque.
La memoria bffer es una caracterstica que permite a la mquina virtual contar con una cantidad adicional de
memoriaRAMencasodenecesidad.
- 2-
Laponderacindememoriapermiteestablecerprioridadesparalamemoriadisponible.
4.Presentacindelasdiferentesgeneraciones
Durantelacreacindeunamquinavirtual,debemosseleccionarlageneracindeseada.staopcinesirreversible
yhayquevolveracrearlamquinaparapasaraotrageneracin.
VMdegeneracin1
EstetipodemquinavirtualproporcionalasmismasventajasquelasversionesanterioresdeHyperV.
VMdegeneracin2
ConestetipodeVM,aparecennuevasfuncionalidades:
ArranquedelaVMdesdeunaunidadSCSI(discodurooDVD):enlosucesivoesposiblearrancarlamquina
virtualdesdeunaunidadconectadaauncontroladorSCSI.
- 3-
Lasmquinasvirtualesdeestageneracinnopermitenutilizartarjetasderedheredadasounidadesconectadasa
uncontroladorIDE.Adicionalmente,soloestnsoportadoslossiguientessistemasoperativos:
WindowsServer2012
WindowsServer2012R2
Windows864bitssolamente
Windows8.164bitssolamente
5.Usodelmododesesinmejorada
En adelante es posible, en HyperV, redirigir los recursos locales a una mquina virtual. De esta forma, esta
funcionalidadproporcionafuncionessimilaresalaconexindeescritorioremoto.
En las versiones anteriores de HyperV solo la pantalla, el ratn y el teclado estaban redirigidos. Era entonces
necesarioestablecerunaconexinconelescritorioremotopararedirigirlaimpresorauotrosdispositivos.Windows
Server2012R2contieneahoraunaherramientadesesinmejorada,atravsdelmenVer,quepermitellevara
caboestaredireccinmedianteelbus(VMBus)delamquinavirtual.Yanoesnecesarioestablecerlaconexina
travsdelaredparaefectuarestaoperacin.
Esposibleredirigirlossiguientesrecursos:
Configuracindevista
Dispositivosdeaudio
Impresoras
Portapapeles
Tarjetasinteligentes
DispositivosUSB
Dispositivosplugandplaysoportados
Esprecisorespetarciertosrequisitospreviosparapoderutilizarestafuncionalidad.
- 4-
Habilitar la Directiva de modo de sesin mejorada en la configuracin de HyperV. Esta ltima est deshabilitada de
formapredeterminada.
Elserviciodeescritorioremotodebeestaractivadoenlamquinavirtual.Noesnecesario,sinembargo,procedera
unaposibleautorizacin.
Elusuarioquevaaefectuarlaredireccindebesermiembrodelgrupodeusuariosdelescritorioremoto odelgrupo
deadministradoreslocalesenelsistemainvitado.
Durante la conexin a una mquina virtual que soporte esta funcionalidad, se abre un cuadro de dilogo que
permiteconfigurarlavisualizacin.
- 5-
Tambinesposibleconfigurarlaredireccinderecursoslocales.
Sinembargosedebecontarconelcontroladordeldispositivoparapoderredirigirlo.
- 6-
Eldiscodurodelasmquinasvirtuales
UndiscodurovirtualesunarchivoutilizadoporHyperVpararepresentarlosdiscosdurosfsicos.Deestaforma,es
posiblealmacenarenarchivoselsistemaoperativoolosdatos.Sepuedecrearundiscoduroempleando:
LaconsoladeadministracindeHyperV.
Laconsoladeadministracindediscos.
ElcomandoDOSDISKPART.
ElcomandoPowerShellNewVHD.
ConlallegadadelanuevaversindeHyperV,incluidaenWindowsServer2012,seempleaunnuevoformatoVHDX.
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD (Virtual Hard Disk). Con
esteformato,eltamaodelosarchivosyanoestlimitadoa2TB,cadadiscodurovirtualpuedeteneruntamao
mximode64TB.ElformatoVHDXesmenossensiblealacorrupcindearchivosporuncierreinesperado(porun
corte de luz por ejemplo) del servidor. Es posible convertir los archivos VHD existentes en VHDX (este punto se
abordaenprofundidadenestecaptulo).
A partir de Windows Server 2012, el almacenamiento de discos duros virtuales puede realizarse en particiones de
archivos SMB 3. Del mismo modo, es posible especificar un recurso compartido local durante la creacin de una
mquinavirtualHyperV.
1.Losdiferentestiposdediscos
Aligualqueunservidorfsico,unamquinavirtualposeeundiscoduro.Losdatossealmacenanenunarchivoque
hacelasvecesdecontenedor.
Durantelacreacindeunnuevodiscodurovirtualesposiblecreardiferentestiposdediscos,incluyendodiscosde
tamao fijo, dinmico y de acceso directo passthrough. Al crear un disco virtual de tamao fijo se reserva el
tamaototaldelarchivoeneldisco.Deestaforma,sepuedelimitarlafragmentacin deldiscodurodelamquina
hostymejorarsurendimiento.Sinembargo,estetipodediscopresentaelinconvenientedeconsumirespacioen
discoinclusosielarchivoVHDnocontienedatos.
Undiscodetamaodinmico,poseeuntamaomximodearchivo,sinembargoeltamaodearchivoaumentaen
funcindelcontenidohastaalcanzarsutamaomximo.AlcrearunarchivoVHDdinmico,stetendruntamao
de260KB,encomparacinconlos4096KBparaunformatoVHDX.EsposiblecrearunarchivoVHDempleandoel
cmdletPowerShellNewVHDconelparmetroDynamic.
Eldiscovirtualdeaccesodirecto(passthrough)permiteaunamquinavirtualaccederdirectamenteaundisco
fsico.Elsistemaoperativodelamquinavirtualconsideraeldiscocomointerno.Estopuedesertilparaconectar
lamquinavirtualaunaLUN(LogicalUnitNumber)iSCSI.Sinembargo,estasolucinrequiereunaccesoexclusivode
lamquinavirtualaldiscofsicoempleado.EldiscodeberquedaroperativomediantelaconsoladeAdministracin
dediscosenelequipohost.
2.Administracindeundiscovirtual
SepuedenrealizarciertasoperacionesconlosarchivosVHD.Esposible,porejemplo,comprimirlosparareducirel
espacio utilizado o para convertir su formato de vhd a vhdx. Durante la conversin del disco duro virtual, el
contenidosecopiaralnuevoarchivo(conversindeunarchivodetamaofijoenunarchivodetamaodinmico,
porejemplo).Unavezsecopianlosdatosalnuevodisco,elarchivoantiguoseelimina.
- 1-
Sepuedenllevaracabootrasoperacionescomolareduccindeunarchivodinmico.Estaopcinpermitereducirel
tamaodeundiscosiesteltimonoempleatodoelespacioquelehasidoasignado.Paralosdiscosdetamao
fijo,eventualmentesernecesarioconvertirlosarchivosVHDenarchivosdetipodinmico.
EstasaccionessepuedenllevaracaboempleandoelAsistente para editar discos duros virtuales,opcinEditar
discoenelpanelAcciones.Laventanaproporcionaaccesoavariasopciones.
TambinesposibleutilizarloscmdletsPowerShell resizepartitionyresizevhdpararealizarlacompresindeun
discodurovirtualdinmico.
3.Losdiscosdediferenciacin
Un disco de diferenciacin permite reducir el tamao de almacenamiento necesario. De hecho, este tipo de disco
consisteencrearundiscocomnavariasmquinasyundiscoquecontienelasmodificacionesaportadasaldisco
raz,siendoesteltimoespecficodecadamquina.
Eltamaonecesarioparaelalmacenamientodelasmquinasvirtualesseveasreducido.Tengaencuentaquela
modificacindeundiscoprincipalcausarlaprdidadelosenlacesaldiscodurodediferenciacin. Serentonces
necesario volver a conectar los discos de diferenciacin utilizando la opcin Inspeccionar disco en el panel
Acciones.
EsposiblecrearundiscodediferenciacinutilizandoelcmdletPowerShellNewVHD.Elcomandosiguiente permite
crearundiscodediferenciacinllamadoDiferencial.vhd,esteltimoutilizaundiscorazllamadoRaiz.vhd.
- 2-
4.LospuntosdecontrolenHyperV
Un punto de control (o instantnea, en las anteriores versiones de HyperV) corresponde a una "foto" de la
mquinavirtualenelmomentoenqueserealiza.staestcontenidaenunarchivoconlaextensinavhdoavhdx,
en funcin del tipo de archivo del disco seleccionado. Esta operacin puede llevarse a cabo seleccionando la
mquinayhaciendoclicenlaopcinPuntodecontroldelpanelAcciones.
Cadamquinapuedetenervariospuntosdecontrol.Sielpuntodecontrolsecreacuandolamquinaestarran
cada,contendrelcontenidodelamemoriaRAM.Siseusaunpuntodecontrolpararevertiraunestadoanteriores
posible que la mquina virtual no pueda conectarse al dominio. En efecto, se realiza un intercambio entre un
controlador de dominio y una mquina unida al dominio. Al restaurar una mquina, este intercambio (contrasea)
tambinserestaura.Sinembargo,lacontrasearestauradanosiguesiendovlida,rompiendoelcanalseguro.Es
posible reinicializarlo efectuando nuevamente la operacin de unirse al dominio o utilizando el comando netdom
resetpwd.
Tengacuidado,estafuncionalidadnoreemplazaenningncasoalascopiasdeseguridad,yaquelosarchivosavhd
oavhdxsealmacenanenelmismovolumenquelamquinavirtual.Encasodefallodeldisco,todoslosarchivosse
perdernyserimposiblerestaurarlos.
Al utilizar discos de diferenciacin, cada uno contiene los datos agregados desde el ltimo punto de control
efectuado.
- 3-
Gestinderedesvirtuales
Se puede crear y utilizar varios tipos de redes en una mquina virtual. Esto con el fin de permitir a las diferentes
mquinascomunicarseentreellasoconequiposexternosalamquinahost(router,servidores).
Las mquinas estn conectadas a sus redes mediante conmutadores virtuales (vswitch). Un conmutador virtual se
correspondeconunconmutadorfsicocomoelquepodemosencontrarencualquierredinformtica.Conocidocomo
redvirtualenWindowsServer2008,ahoraenWindowsServer 2012R2hablamosdeconmutadorvirtual.Esposible
gestionarestosltimosempleandolaopcinAdministradordeconmutadoresvirtualesenelpanelAcciones.
Esposiblecreartrestiposdeconmutadores:
Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la mquina host desde la
mquina virtual. De esta forma, la ltima tiene una conexin a la red fsica, permitindole acceder a los equipos o
servidoresdelaredfsica.
Interno: permite la creacin de una red entre la mquina fsica y las mquinas virtuales. Es imposible para las
mquinasdelaredfsicacomunicarconlasmquinasvirtuales.
Privada: la comunicacin puede hacerse exclusivamente entre las mquinas virtuales, la mquina host no puede
contactarconningunadelasmquinasvirtuales.
Unavezcreado,esconvenientevinculareladaptadordereddelamquinavirtualconelconmutadordeseado.
- 1-
ElSandbox
ElSandbox consisteenlacreacindeunentornovirtualofsicodepruebasquepermitarealizarlaspruebassin
perturbarlasmquinasoservidoresdeproduccin.
Lavirtualizacinpermitedisminuirelnmerodemquinasfsicasnecesarias.Todaslasmquinasvirtualesfuncionan
enunamismamquinafsica.Sinembargo,sernecesariocontarconunacantidaddememoriayespacioendisco
suficientes.
1.Configuracinnecesaria
Sernecesariocontarconunamquinarobustaparahacerfuncionarlasmquinasvirtuales,comoporejemplouna
mquinaequipadaconunPentiumI53,20GHzcon6GBdeRAM.ElsistemaoperativoserWindowsServer2012
R2.
Si su configuracin es inferior a sta, bastar con arrancar solamente las mquinas necesarias. Es aconsejable
reservarunmnimode1GBparalamquinahost,dejando5GBparaelconjuntodelasmquinasvirtuales.
2.LainstalacindeWindowsServer2012R2
AntesdeprocederalainstalacindeWindowsServer2012R2enelequipofsicohayqueasegurarsedequese
respetanlosrequisitosmnimosdelsistemaoperativo.
Procesador:1,4GHzcomomnimoyarquitecturade64bits.
Memoria RAM: 512 MB como mnimo, sin embargo un servidor equipado con 1024 MB parece el mnimo
indispensable.
Espacioendisco:unainstalacinbasesinningnrolnecesitaunespacioendiscode15GB.Sernecesarioprever
unespaciomayoromenorenfuncindelosrolesdelservidor.
ApartirdeWindowsServer2008,sepresentandostiposdeinstalacin:
Una instalacin completa: se instala una interfaz grfica que permite administrar el servidor de forma grfica o por
lneadecomandos.
Una instalacin mnima: se instala el sistema operativo, sin embargo no est presente ninguna interfaz grfica. Solo
secuentaconunsmbolodesistema,lainstalacinderoles,caractersticasolaadministracin diariaserealizanpor
lneadecomando.EsposibleadministrarlosdiferentesrolesdeformaremotainstalandolosarchivosRSAT(Remote
ServerAdministrationTools)enunpuestoremoto.
Unavezterminadalainstalacindelservidor,serequiereconfigurarelnombredelservidorysuconfiguracinIP.
- 1-
Talleres
EstaseccinsigueconlaimplementacindelamaquetaconelobjetivodefamiliarizarleconHyperV.Deestaforma
podrcrearlasmquinasvirtualesparaprocederasuinstalacinyconfiguracin.
1.Configuracindelaredvirtual
Objetivo:elobjetivodeesteejercicioescrearconmutadoresvirtualesquepuedanutilizarse,acontinuacin,enla
maqueta.
ArranquelaconsolaAdministradordeHyperVmedientelainterfazModernUI.
EnelpanelAcciones,hagaclicenAdministradordeconmutadoresvirtuales.
HagaclicenNuevoconmutadorderedvirtualyluegoenInterno.
ValidelaopcinhaciendoclicenelbotnCrearconmutadorvirtual.
EnelcampoNombre,introduzcaInternoyluegohagaclicenAplicar.
Ahorapodemosutilizarelconmutadorvirtualparalasmquinasalojadasenesteservidor.
- 1-
Creacindelasmquinasvirtuales
Unavezinstaladoelsistemaoperativoenlamquinafsica,laetapasiguienteconsisteenlainstalacindelrolHyper
Vyluegolacreacin,instalacinyconfiguracindelasdiferentesmquinasvirtuales.
HagaclicenelprimericonoparaejecutarelAdministradordelservidor.
EnlaconsolaAdministradordelservidor,hagaclicenAgregarrolesycaractersticas.
Searrancaelasistente,hagaclicenSiguiente.
Al ser HyperV un rol, marque la opcin por defecto Instalacin basada en caractersticas o en roles y
luegohagaclicenSiguiente.
EnlaventanaSeleccionarservidordedestino,hagaclicenSiguiente.
MarquelacasillaHyperV,luegoenlaventanaquesemuestrahagaclicenAgregarcaractersticas.
- 1-
HagaclicenSiguienteenlaventanadeinstalacindecaractersticas.
Esnecesariocrearunconmutadorvirtual.Hagacliceneladaptadorderedparaestablecerunpuenteentre
laredfsicaylamquinavirtual.
Sinodeseautilizareladaptadorderedfsico,sernecesariocrearunconmutadorvirtualantesdevolveraarrancar
elservidor.
- 2-
HagaclictresvecesenSiguientey,acontinuacin,enInstalar.
Unavezterminadalainstalacin,vuelvaaarrancarelservidor.
HagaclicenelbotnInicioparamostrarlainterfazdeWindows.
AccedaalasHerramientasadministrativasparapoderiniciarHyperV.
1.Esquemadelamaqueta
Secrearnseismquinasvirtuales,lossistemasoperativossernWindowsServer2012R2yWindows 8.1.
Lamaquetacontienecuatroservidoresydospuestoscliente:
AD1,controladordedominiodeldominioformacion.local.
- 3-
SV1,servidormiembrodeldominioformacion.local.
SV2,servidormiembrodeldominioformacion.local.
SVCore,servidorenversinCore(instalacinmnima),nomiembrodeldominio.
CL801,puestoclienteconWindows8miembrodeldominioformacion.local.
CL802,puestoclienteconWindows8miembrodeldominioformacion.local.
EsposibledescargarelarchivoISOdelaversindeevaluacindeWindowsServer2012R2delsitiowebsiguiente:
http://technet.microsoft.com/eses/evalcenter/dn205286.aspx
2.MquinavirtualAD1
Elprocedimientodescritoacontinuacindeberrepetirseparalacreacindetodaslasmquinasvirtuales.
a.CreacinyconfiguracindelaVM
EnlaconsolaHyperV,hagaclicenNuevoenelmenAccionesyluegoenMquinavirtual.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
IntroduzcaAD1enelcampoNombre.
En nuestro ejemplo, los archivos de las mquinas virtuales se almacenarn en un segundo disco. Puede, si lo
desea,seleccionarlarutapordefecto.
- 4-
SeleccioneelbotnGeneracin2y,acontinuacin,hagaclicenSiguiente.
Introduzca2048enelcampoMemoriadeinicioyluegohagaclicenSiguiente.
En la ventana Configurar funciones de red, seleccione el adaptador de red deseado (interno o
tarjeta deredfsica)y,acontinuacin,hagaclicensiguiente.
- 5-
Introduzca60enelcampoTamaoyluegohagaclicenSiguiente.
ConectelamquinavirtualalarchivoISOoalDVDdeWindowsServer2012R2.
- 6-
Enlaventanaresumen,hagaclicenFinalizar.
Lanuevamquinaaparecerenlaventanacentraldelaconsola.
Eldiscodurodelamquinasecrea,peroenblanco,esnecesarioparticionarloeinstalarelsistemaoperativo.
b.Instalacindelsistemaoperativo
HagadobleclicenlamquinavirtualenlaconsolaHyperVyluegohagaclicenelbotnIniciar(botn
verde).
- 7-
LamquinaarrancayseinicialainstalacindeWindowsServer2012R2.
HagaclicenSiguienteenlaventanadeseleccindeidiomas(seseleccionaEspaolpordefecto).
HagaclicenInstalarahoraparaarrancarlainstalacin.
HagaclicenlaversinStandard(servidorconunaGUI).
AceptelalicenciayluegohagaclicenSiguiente.
SeleccionePersonalizada:instalarsoloWindows(avanzado).
- 8-
EmpleandolasOpcionesdeunidad(avanz.),creedosparticionesde30GB.
HagaclicenlaprimeraparticindisponibleyluegoenSiguiente.
Lainstalacinestenmarcha
- 9-
IntroduzcalacontraseaPa$$w0rdyluegoconfirme.
Lainstalacinhafinalizado,laetapasiguienteeslamodificacindelnombredelequipoylaconfiguracinIPdela
mquina.Seinstalarnlosrolesenlossiguientescaptulos.
c.Configuracinpostinstalacin
Para poder realizar un [Ctrl][Alt][Supr] en la mquina virtual recin instalada, puede usar la secuencia de teclas
[Ctrl][Alt][Fin]oelprimericonodelabarradeherramientas.
Abraunasesincomoadministrador,introduciendolacontraseaconfiguradaenlaseccinanterior.
EnelAdministradordelservidor,hagaclicenConfiguraresteservidorlocal.
Hagaclicenelnombredeequipoparaabrirlaspropiedadesdelsistema.
- 10 -
HagaclicenCambiary,acontinuacin,introduzcaelnombredelservidor(AD1).
HagaclicdosvecesenAceptaryluegoenCerrar.
Vuelvaainiciarlamquinavirtualparaconfirmarlasmodificaciones.
Faltaconfigurarladireccindelatarjetadered.
HagaunclicconelbotnderechodelratnenCentroderedesyrecursoscompartidosyluegohaga
clicenAbrir.
HagaclicenCambiarconfiguracindeladaptador.
Hagadobleclicenlatarjetadered,yluegoenPropiedades.
EnlaventanaPropiedades,hagadobleclicenProtocolodeInternetversin4(TCP/IPv4).
- 11 -
Configureeladaptadorderedsegnsemuestraabajo.
- 12 -
El procedimiento a seguir ser el mismo, siguiendo los parmetros detallados para las mquinas virtuales
siguientes.
LasmodificacionesarealizarsernelnombredelequipoylaconfiguracinIP.
3.MquinavirtualSV1
Esteservidoresunmiembrodeldominio,sellamaSV1.Lacantidaddememoriaasignadaesde2048 MB,eldisco
virtualde60GBparticionadoendosparticiones.
DireccinIP:192.168.1.11
Mscaradesubred:255.255.255.0
ServidorDNSPreferido:192.168.1.10
Contraseadeladministradorlocal:Pa$$w0rd
Lainstalacindelosrolesylaadhesinaldominioserealizarnenloscaptulossiguientes.
4.MquinavirtualSV2
Esteservidoresunsegundoservidormiembrodeldominio,sellamaSV2.Lacantidaddememoriaasignada esde
2048MB,eldiscovirtualde60GBparticionadoendosparticiones.
DireccinIP:192.168.1.12
Mscaradesubred:255.255.255.0
ServidorDNSPreferido:192.168.1.10
Contraseadeladministradorlocal:Pa$$w0rd
Lainstalacindelosrolesylaadhesinaldominioserealizarnenloscaptulossiguientes.
5.MquinavirtualSVCore
Este servidor se instala en modo sin interfaz de usuario (modo Core), todas las opciones se proporcionan en los
captulossiguientes.
Lacantidaddememoriaasignadaesde1024MB,eldiscovirtualde30GBparticionadoenunanicaparticin.
Contraseadeladministradorlocal:Pa$$w0rd
6.MquinavirtualCL801
PuestoclienteconWindows8.1,estamquinaesmiembrodeldominio(operacinquerealizaremosenloscaptulos
siguientes).LaconfiguracinIPserealizarmedianteDHCP.ConecteelarchivoISOdeWindows8.1alamquina
virtualparallevaracabolainstalacin.
Lacantidaddememoriaasignadaesde1024MB,eldiscovirtualde30GBparticionadoenunanicaparticin.
- 13 -
Nombredelpuesto:CL801
Contraseadeladministradorlocal:Pa$$w0rd
7.MquinavirtualCL802
Segundo puesto cliente con Windows 8.1, esta mquina es miembro del dominio. La configuracin IP se realizar
pormediodeDHCP.ConecteelarchivoISOdeWindows8.1alamquinavirtualparaprocederalainstalacin.
Lacantidaddememoriaasignadaesde1024MB,eldiscovirtualde30GBparticionadoenunanicaparticin.
Nombredelpuesto:CL802
Contraseadeladministradorlocal:Pa$$w0rd
8.Creacindepuntosdecontrol
Estafuncionalidadnospermitirenloscaptulossiguientesponerenprcticalostalleres(promocindeservidoresa
controladoresdedominio,puestaenmarchadeunRODC...).
AbralaconsolaAdministradordeHyperV.
HagaunclicconelbotnderechoenlamquinavirtualyluegoseleccionePuntodecontrol.
Apareceunanuevalneaenlaconsola.
- 14 -
Ahoraesposiblerestaurarelestadodelasmquinasvirtuales.
- 15 -
ConfiguracindelaQoSaniveldealmacenamiento
EstanuevacaractersticapermiteutilizarlaQoS(calidaddeservicio)paraelalmacenamientoenlaconfiguracinen
las mquinas virtuales. De esta forma, en lo sucesivo es posible definir el umbral mnimo para un funcionamiento
eficaz. Cuando se alcanzan los distintos umbrales (produciendo rendimientos poco satisfactorios), se advierte al
administrador.
Muytilparalascloudpblicas,lacaractersticapermitegarantizarquelamquinavirtualdeunclientenoimpactaen
elrendimientodelectura/escrituradeotrocliente.
Seproveenlassiguientesfuncionalidades:
Cada disco duro virtual puede tener un valor mximo IOPS (Input/output Operations Per Second operaciones de
escrituraporsegundo).
EmpleodelainterfazWMIoPowerShellparacontrolareinterrogarelvalorIOPSmximodefinidoparalosdiscosduros
virtuales.
LaQoSaniveldealmacenamientorequiereelrolHyperV.Durantelainstalacindelrol,lacaractersticasehabilita
automticamente.Sinembargonoesposibleemplearlacondiscosdurosvirtualescompartidos.
ParaconfigurarlaQoSaniveldediscosduros,realiceelprocedimientosiguiente:
En el Administrador de HyperV, haga clic con el botn derecho en la mquina virtual deseada y luego
seleccioneConfiguracin.
EnlacategoraControladoraSCSI,seleccioneeldiscodeseado.
- 1-
MarquelaopcinHabilitaradministracindecalidaddeservicioy,acontinuacin,configureloscampos
comodesee.
- 2-
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 Enquconsistelavirtualizacindeaplicaciones?
2 CulessonlosrequisitospreviosparalainstalacindeunservidorHyperV?
3 Queslamemoriadinmica?
4 Culeselformatoparaelarchivodeldiscovirtualdeunamquina?Culessonsusventajas?
5 QutiposdediscosdurosvirtualespuedencrearseconHyperV?
6 Qupermitehacerunpuntodecontrol?
7 Culessonlosconmutadoresvirtualesqueesposiblecrear?
8 Culessonlasmejorasaportadasporlasmquinasvirtualesdegeneracin2?
9 Culessonlossistemasoperativoscompatiblesconlasmquinasvirtualesdegeneracin2?
10 Qupermitehacerelmododesesinmejorada?
11 CuleslautilidaddelaQoSaniveldealmacenamientoenHyperV?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode8puntosparaaprobarelcaptulo.
3.Respuestas
1 Enquconsistelavirtualizacindeaplicaciones?
Lavirtualizacindeaplicacionesconsisteenejecutar,porpartedelusuario,aplicacionesquenoseencuentran enel
puestodetrabajosinoenunservidor.Estopermitefacilitarlaadministracindelasaplicaciones,lascualesestarn
agrupadasenunnicoequipo.
2 CulessonlosrequisitospreviosparalainstalacindeunservidorHyperV?
Lamquinahostdebeposeerunprocesadorde64bitsysoportarSLAT(SecondLevelAddress
Translation). Tambinesnecesarioquelacantidaddememoriaseasuperioralaasignadaalasmquinasvirtuales.
3 Queslamemoriadinmica?
LamemoriadinmicaesunacaractersticaaparecidaconelSP1deWindowsServer2008R2.stapermiteasignar
unacantidadmnimadememoriaaunamquinavirtual.stapuede,encasonecesario,solicitarmsmemoria
adicional,sinembargonopuedeexcederlacantidadmxima.
4 Culeselformatoparaelarchivodeldiscovirtualdeunamquina?Culessonsusventajas?
ConlallegadadeWindowsServer2012,HyperV3.0permitecrearunnuevotipodediscoduro.Elformato VHDX
proporcionaciertasventajas.Eltamaodelarchivopuede,ahora,teneruntamaomximode64 TByresuelveel
problemadelacorrupcindearchivostrasunerrornoesperado.
5 QutiposdediscosdurosvirtualespuedencrearseconHyperV?
Esposiblecreartrestiposdediscosdurosvirtuales:
Los discos de tamao fijo: el tamao total del archivo se reserva en el disco, este tipo de disco permite limitar la
fragmentacin del archivo. Tiene sin embargo el inconveniente de consumir el espacio en disco incluso si el archivo
- 1-
estvaco.
Losdiscosdinmicos:sedefineuntamaomximodurantesucreacin.Eltamaoaumentaenfuncindelcontenido.
Los discos de acceso directo "passthrough": permiten conectar un disco fsico directamente a la mquina virtual. El
accesoaldiscoporlaVMesexclusivo.
6 Qupermitehacerunpuntodecontrol?
Unpuntodecontrolpermitecapturarelestadodeunamquinavirtualenunmomentodado,conelfindepoder
restaurarelestadodelainstantnea.
7 Culessonlosconmutadoresvirtualesqueesposiblecrear?
SepuedecreartresconmutadoresenHyperV:
Externo:secreaunpuenteentrelainterfazdereddelamquinafsicaylainterfazderedvirtual.DeestaformalaVM
tienelaposibilidaddeaccederalaredfsica.
Interno:estetipodeconmutadorpermitealasmquinasvirtualescomunicarseconlamquinahost.Porelcontrario,
lesesimposibleaccederalaredfsica.
Privado:permiterealizarlacomunicacinsolamenteentrelasmquinasvirtuales,lamquinahostnopuedecontactar
conningunadelasVM.
8 Culessonlasmejorasaportadasporlasmquinasvirtualesdegeneracin2?
Lasmquinasvirtualesdegeneracin2aportanlaposibilidaddearrancardesdeunaunidadSCSIytambinde
realizarunarranquePXEdesdeunatarjetaderedestndar.
9 Culessonlossistemasoperativoscompatiblesconlasmquinasvirtualesdegeneracin2?
SololossistemasoperativosWindowsServer2012,WindowsServer2012R2,Windows8yWindows 8.1son
compatiblesconlasmquinasvirtualesdegeneracin2.Lossistemasoperativosanterioresdeberninstalarseen
unamquinavirtualdegeneracin1.
10 Qupermitehacerelmododesesinmejorada?
AntesdeWindowsServer2012R2eranecesarioutilizarelclientedeescritorioremoto(conunaconexindered)
pararedirigirlosdispositivosdetipoimpresoraaunpuestohostdesdelamquinavirtual.Estemododesesin
mejoradapermite,enlosucesivo,redirigirlosperifricossintenerquepasarporlaredyelclientedeescritorio
remoto.
11 CuleslautilidaddelaQoSaniveldealmacenamientoenHyperV?
LaQoSaniveldealmacenamientopermiteconfigurarunacalidaddeservicioaniveldelosdiscosdurosvirtualesde
lasVM.Seconfiguraunumbralmnimoymximodeoperacionesporsegundoparagarantizarelrendimientoanivel
deescrituraydelecturadelespaciodealmacenamiento.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
TenerconocimientosdedireccionamientoIP.
Poseercompetenciasparalainstalacinyconfiguracindeunsistemaoperativoclienteoservidor.
2.Objetivos
PresentacindeWindowsServer2012R2.
UtilizacindelaconsolaAdministradordelservidor.
Instalacinyconfiguracindelservidor.
IntroduccinallenguajePowerShell.
- 1-
InformacingeneraldeWindowsServer2012R2
WindowsServer2012R2,comosuantecesor,aportatodounconjuntodecaractersticasquepermiteofrecernuevos
servicios.
1.LasedicionesdeWindowsServer2012R2
PodemosencontrardiferentesedicionesdeWindowsServer2012R2.Ascadaempresatienelaposibilidad deelegir
laedicinenfuncindesusnecesidades.
Edicin Standard: esta edicin incluye todos los roles y caractersticas. Soporta hasta 4 TB de memoria RAM e
incluyedoslicenciasparadosmquinasvirtuales.
Edicin Datacenter: esta edicin incluye todos los roles y caractersticas. Permite instalar un nmero ilimitado de
mquinasvirtualesysoportaunprocesadorconhasta640ncleosy4TBdememoriaRAM.
EdicinEssentials:estaedicinreemplazaalasversionesSmallBusinessServer.Puedeactuarcomoservidorraz
enundominioperonopuedeposeerlosrolesHyperV,clsterdeconmutacinoservidorCore.Estaedicinlimitael
nmerodeusuariosa25,lacantidaddememoriaRAMnopuedeexceder64GB.
ElservidorCoreesunodelosmtodosdeinstalacindisponiblesapartirdeWindowsServer2008.Solosepuede
administrarunservidorinstaladoenmodoCoreempleandocomandosPowerShellocomandos DOS.Dehechoeste
tipo de instalacin est desprovisto de interfaz grfica, reduciendo de esta forma el nmero de actualizaciones
requeridas y los recursos hardware necesarios. La cantidad de memoria RAM o el espacio en disco son menores
comparados con una instalacin completa. A partir de Windows Server 2012 es posible pasar de un modo de
instalacinalotroeliminandooagregandolacaractersticaqueproporcionalainterfazgrfica(estaoperacinera
imposiblederealizarenlossistemasoperativosprecedentes).
Es posible agregar la caracterstica empleando la consola Administrador del servidor o mediante un cmdlet
PowerShell.
LassiguientesherramientaspuedenutilizarseenunservidorenmodoCore:
Cmd.exe:permitelaejecucindecomandosDOS(ping,ipconfig...).
PowerShell:ejecutaunasesinPowerShellconelfindepoderejecutarloscomandos.
Sconfig.cmd:menporlneadecomandosquepermiteefectuarlastareasdeadministracinenelservidor.
Notepad.exe:permiteelinicioyejecucindelblocdenotas.
Regedt32.exe:proporcionaaccesoalabasededatosdelregistro.
TaskMgr.exe:inicioyadministracindetareas.
SepuedeadministrarunservidorCoredeformaremotainstalandoenunservidoropuestodetrabajolosarchivos
RSAT. Sin embargo, es necesario autorizar la administracin remota en el cortafuegos de Windows. Para esto,
empleeelcomandonetsh:
Elservidorpuedeahoraadministrarsedesdeotroservidor.
- 1-
2.Presentacindelosprincipalesroles
Los roles hicieron su aparicin con Windows Server 2008, permiten proporcionar a un servidor funciones
suplementarias(controladordedominio...).
Encontraremosdiferentesroles,cadaunorespondeaunanecesidadquepuedetenerunaempresa.
El rol AD DS (ActiveDirectoryDomainServices)proporcionaundirectorioActiveDirectory,quetieneporobjetivola
autenticacindelascuentasdeusuarioydeequipoenundominioActiveDirectory.
AD CS (Active Directory Certificate Services) permite instalar una entidad de certificacin, que tiene por objetivo
entregaryadministrarcertificadosdigitales.
AD FS (ActiveDirectoryFederationService)proporcionaunserviciofederadodegestindeidentidades. Identifica y
autentica a un usuario que desea acceder a una extranet. De esta forma dos empresas pueden compartir de forma
segurainformacindeidentidaddeActiveDirectoryparaunusuario.Variasfuncionesderolintegranesterol:
Serviciodefederacin:instalalainfraestructuraparaproporcionaraccesoalosrecursos.
AgenteWebADFS:permitevalidarlostokendeseguridadpresentadosyautorizaunaccesoautenticado aun
recursoweb.
Proxy FSP: permite recopilar informacin de autenticacin del usuario desde un navegador o una aplicacin
web.
Otrorolllamado ADRMSpermitelagestindelaccesoaunrecurso.Sedespliegaunmecanismodeproteccincontra
usos no autorizados. Los usuarios se identifican y se les asigna una licencia para la informacin protegida. De este
modoresultamssencilloprohibiraunusuariorealizarunacopiadeundocumentoenunallaveUSBoimprimirun
archivoconfidencial.Durantelainstalacindelrolesposibleinstalardosserviciosderol:
ActiveDirectoryRightsManagementServices:permiteprotegerunrecursofrenteaunusonoautorizado.
Compatibilidad con la federacin de identidades: se beneficia de las relaciones federadas entre dos
organizacionesparaestablecerlaidentidaddelusuarioyproporcionarleunaccesoaunrecursoprotegido.
.NETFramework4.5:procedealainstalacindelFramework.NET.
AccesoaredCOM+:utilizacindelprotocoloCOM+paracomunicacinremota.
UsocompartidodepuertosTCP:permiteavariasaplicacionesgestionarelmismopuerto.
PuestaenmarchadelservidorWeb(IIS):instalaelservicioWeb(IIS).
Transaccionesdistribuidas:agregalosserviciosquepermitenutilizartransaccionesenvariasbasesdedatos.
Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System) que permiten,
respectivamente, la distribucin de configuraciones de red a los equipos cliente y la resolucin de nombres en
direccionesIP(oviceversa).
ExistenotrosrolesdisponiblesenWindowsServer2012R2,loscualespuedenserinstaladosmediantelaconsola
AdministradordelservidoroempleandouncmdletPowerShell.
3.Presentacindelasprincipalescaractersticas
- 2-
Unacaractersticaaportaherramientasadicionalesalsistemaoperativo.Aligualqueparaunrol,unacaracterstica
puedeinstalarsedeformamanualoautomtica.
El cifradodeunidadBitLockerpermitecifrarcadavolumenparaevitarunafugadedatosencasodeprdidaorobo
del equipo. Se requiere la presencia de una tarjeta TPM en la mquina para una verificacin del sistema de
propagacin.
El clster de conmutacin por error permite a los servidores funcionar conjuntamente, para proporcionar alta
disponibilidad.Encasodefallodeunodelosservidores,losotrosgarantizanlacontinuidaddelservicio.
Elequilibriodecargaderedrealizaunadistribucindeltrficoparaevitarlasaturacindeunodelosservidores.
El servicio de administracin de direcciones IP instala una infraestructura que permite gestionar un espacio de
direccionesIPylosservidorescorrespondientes(DHCP). IPAMseencargadedescubrirlosservidoresenelbosque
ActiveDirectorydeformaautomtica.
Al igual que los roles, las caractersticas pueden instalarse con la consola Administrador del servidor o mediante
PowerShell.
- 3-
InformacingeneraldelaadministracindeWindowsServer2012
R2
Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de administracin. Es posible
arrancarlasdesdelaconsolaAdministradordelservidor.
LaconsolaAdministradordelservidorpermiteadministrarelconjuntodelservidor.PresentedesdeWindowsServer
2008yWindowsServer2008R2,hasufridounenormecambioenWindowsServer2012.
Permite aadir o eliminar roles e igualmente la gestin de PC remotos. Se pueden instalar roles y
caractersticas empleandoelprotocoloWinRM.Sepuedeconfigurarigualmenteungrupodeservidorespormediode
estaconsola,parapoderadministrarvariosservidoresdesdeunamismaconsola.
La gestin del servidor local se hace tambin mediante esta consola. Se puede modificar cierta informacin muy
rpidamente.Podemosencontrarelnombredelequipo,elgrupodetrabajooeldominioalquepertenecelamquina.
Tambinsepuedegestionarlaconfiguracindelescritorioremotoolaadministracinremota.
- 1-
Deigualforma,elpanelpermiteverificarrpidamentequenoexisteningnproblemaenelservidor.
- 2-
As, podemos ver en la pantalla que los roles HyperV y Servicios de archivo y de almacenamiento funcionan
correctamente. Servidor local y Todos los servidores (que por el momento solo incluye al Servidor local) estn
igualmentepresentes.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Si alguna de las categoras est
precedidaporunacifraeladministradorsabequeexisteneventospendientesdevisualizar.
Haciendoclicenlacategorasemuestraunaventanaquecontienelosdetallesdelevento.
- 3-
As,esposibleintervenirenunproblema(reiniciarunservicio...)muyrpidamente.Adicionalmente,elaspectovisual
proporcionaunavistainmediatadelestadodesaluddelservidoroservidores.
- 4-
InstalacindeWindowsServer2012R2
AntesderealizarlainstalacindeWindowsServer2012R2convieneverificarqueelhardwarerespetalosrequisitos
previosexigidosporelfabricante.Adicionalmente,sedebehacerunaeleccin:lainstalacincompletaqueincluyela
interfazgrficaounainstalacinmnimasininterfazgrfica.
1.Mtodosdeinstalacin
ParainstalarWindowsServer2012R2,puedenusarsevariosmtodos:
ElDVDtieneladesventajadenecesitarunaunidadDVDenelservidor.Estetipodeinstalacinesmuchomslarga
queelusodeunmedioUSBypresentaelinconvenientedenopodermodificarlaimagen(sincambiarelmedio).
ElsoporteUSBpresentalaventajadequepermiterealizarmodificaciones(agregarnuevosoftwareouncontrolador)
sin tener que volver a crear el medio. Se puede usar un archivo de respuestas para automatizar las etapas de la
instalacin.Estorequieresinembargopermisosdeadministracinparaalgunasetapas.
El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft Deployment Toolkit). De esta
formanoesnecesariotenerunsoporteUSBounlectorDVD.Estasolucinconsumemuchosrecursosdered.
Unavezseleccionadoelmtodo,debemosseleccionarlainstalacindeseada.
Unanuevainstalacinconsisteeninstalarelsistemaoperativoenundiscoovolumennuevo.
Una actualizacin permite conservar los archivos y aplicaciones. Esta operacin se puede realizar desde Windows
Server2008R2SP1oWindowsServer2012.Sinembargosedebetenercuidado,laedicindebeserequivalenteo
superior.
Lamigracin,queestilalpasardeWindowsServer2003oWindowsServer2003R2aWindowsServer2012R2.
2.RequisitospreviosdehardwareparaWindowsServer2012R2
Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware. Conviene respetarlos
para garantizar que el sistema operativo ejecuta en buenas condiciones. Evidentemente conviene adaptarlos en
funcindelosrolesinstalados,HyperVtiene,comoesnatural,requisitosmsexigentesparapoderhacerfuncionar
lasmquinasvirtuales.
Esnecesariogarantizarantesdelainstalacinquesetiene,comomnimo,unprocesadorconunaarquitectura de
64bits,elcualdebetenerunavelocidadmnimade1,4GHz.Elservidordebetener512 MBdememoria RAMy32GB
deespacioendisco.
EsmuyaconsejabletenerunacantidaddeespacioendiscoydememoriaRAMsuperiores.
- 1-
Configuracindelsistemaoperativodespusdesuinstalacin
ApartirdeWindowsServer2008,sehareducidoelnmerodeparmetrosaconfigurardurantelainstalacin.Yano
es posible configurar la red, el nombre del equipo o la adhesin a un dominio durante la instalacin. Es posible
automatizar la configuracin de estos parmetros utilizando un archivo de respuestas). El nico parmetro a
introducireslacontraseadelacuentadeladministradorlocaldelservidor.
Estas operaciones deben realizarse despus de la instalacin. Para ello hay que usar el nodoServidorlocal de la
consolaAdministradordelservidor.
1.Configuracindeladaptadordered
TodamquinaconectadaaunareddebetenerunaconfiguracinIP.statienecomomnimounadireccin IP,una
mscara de subred, la direccin IP de la puerta de enlace predeterminada y la del servidor DNS. La direccin IP
asignadaalamquinalepermiteseridentificadaycomunicarseconsuspares.
SepuedecontarconunservidorDHCPparaproporcionardireccionesdeformaautomtica.EstasconcesionesDHCP
tienenunaduracinlimitadaeneltiempoycontienentodalaconfiguracinIP(direccin IP,mscaradesubred,etc.)
necesaria para que la mquina se comunique en la red. Tambin es posible asignar a los puestos direcciones de
formamanual.Paraello,convieneutilizarlaconsolaAdministradordelservidor(nodoServidorlocal).
Tambin es posible realizar la configuracin por lnea de comando DOS. El comando netsh permite realizar esta
operacin.
ParaconfigurarladireccinIPdelservidorDNS,utiliceelcomandosiguiente:
Deberemplazar"Conexinaredlocal"conelnombredesuadaptadordered.
- 1-
FormacindeequiposdeNIC
La formacin de equipos de NIC permite aumentar la disponibilidad de los recursos de red. Esta caracterstica
permiteutilizarunadireccinIPenvariosadaptadoresdered,laconexinsemantienedeestaformainclusosiuna
de las tarjetas de red sufre algn problema. No es necesario, en ningn caso, contar con adaptadores de red
idnticosparainstalarlaformacindeequiposdeNIC.
ConecteelservidorSV1parapoderaadirunadaptadordered.
Unavezabiertalaconexinalamquinavirtual,hagaclicenArchivoyluegoenConfiguracin...
HagaclicenAgregarhardware,luegoenAdaptadorderedyfinalmenteenAgregar.
- 2-
Conecte el nuevo adaptador de red al mismo conmutador virtual (este ltimo debe ser de tipo
Externo) queeladaptadorderedyainstalado.
- 3-
HagaclicenAceptaryluegoenelbotnverdeenlabarradelamquinavirtualparainiciarla.
AbraunasesinenlamquinaSV1.
ArranqueelAdministradordelservidoryluegohagaclicenelnodoServidorlocal.
- 4-
HagaclicenelenlaceDeshabilitadoalladodeFormacindeequiposdeNIC.
EnADAPTADORESEINTERFACES,seleccionelosdosadaptadoresderedmanteniendopulsadalatecla
[Ctrl]delteclado.
Hagaclicconelbotnderechoyluego,enelmencontextual,seleccioneAgregaranuevoequipo.
EnelcampoNombredelequipo,introduzcaEquipo1.
DespliegueelmenPropiedadesadicionalesyseleccioneEthernetenAdaptadordemododeespera.
- 5-
LaformacindeequiposdeNICestahoraenservicio.
- 6-
SehaaadidounelementoenlaconsolaConexionesdered.
VerifiquelaconfiguracinIPparacomprobarqueeladaptadorderedtieneladireccinIP192.168.1.11.
InicieunsmbolodesistemaDOSeintroduzcaelcomandopingt192.168.1.11.
- 7-
Deshabilitelosdosadaptadoresdered.
Aldeshabilitarlos,desapareceEquipo1.
Enadelanteesimposibleefectuarunpingoutilizarlared.
Reactivelosadaptadoresdered,Equipo1vuelveaaparecer.
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz contina con la comunicacin.
Adicionalmente,elconjuntodeadaptadorescompartenlamismaconfiguracindered.
2.Unirseaundominiosinconexin
La unin a un dominio sin conexin permite a un equipo unirse a un dominio. Incluso sin que se
- 8-
encuentre conectado. Para realizar esta operacin es preciso utilizar el comando djoin.exe. En primer lugar ser
necesarioejecutar,enelcontroladordedominio,elcomandodjoinconlaopcin/provision.
ElarchivoUnion.txtcontienetodalainformacinnecesariaparaunirsealdominio.Puedecopiarloalequipo.Utilice,
unavezms,elcomandodjoinyelparmetro/requestODJ.
Porltimo,reinicieelequipoparaterminarlaoperacindeuninaldominio(enunentornodeproduccin,laltima
operacinsevalidardurantelaprximaconexindelequipoalaredempresarial).
3.ConfiguracindeunservidorCore
Un servidor Core no posee interfaz grfica, la configuracin debe hacerse por lnea de comandos. El comando
sconfig, presente en las instalaciones mnimas, evita a los administradores tener que escribir los diferentes
comandosempleadosparaconfigurarelnombredelservidorolaconfiguracinIP.
Sepuedenrealizarvariasoperaciones:
ConfiguracindelgrupodetrabajoouninaundominioActiveDirectory.
Editarelnombredelequipo.
Aadirunacuentadeadministradorlocal.
DescargareinstalaractualizacionesdeWindowsUpdate.
Configurarlafechayhora.
Desconexin,apagadoyreiniciodelservidor.
UnodelostallerespresentesenestecaptulotratasobrelaconfiguracindeunservidorCore.
- 9-
IntroduccinaPowerShell
PowerShellesunaplataformadelneadecomandosquepermiteautomatizarciertastareasdeadministracin.
1.PresentacindePowerShell
PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administracin de servidores y
redes informticas. Estos scripts permiten automatizar las tareas (creacin de usuarios, etc.). El lenguaje est
compuestoporcmdletsqueseejecutandesdeunsmbolodelsistemaPowerShell.MuchosproductosdeMicrosoft
utilizan scripts de PowerShell mediante interfaces grficas (por ejemplo: Microsoft Deployment Toolkit, MDT). Los
asistentesenMDT2010yMDT2012muestranelscriptPowerShellempleado.CiertosrolescomoHyperVpueden
gestionarseempleandocomandosPowerShell.
Las funciones bsicas pueden extenderse agregando mdulos (mdulo ActiveDirectory, etc.), lo que permite la
administracindelrolenlneadecomandos.
Laimportacindelmduloserealizarusandoelcomando:
Import-Module NombreModulo
2.SintaxisdeloscmdletsPowerShell
Uncmdletutilizaunnombreyunverbo,losnombrestienencadaunounacoleccindeverbosasociados.
Puedenusarsevariostiposdeverbosenfuncindelnombreseleccionado.
Get
New
Set
Restart
Resume
Remove
Add
Show
Cadanombreposeeunalistadeverbosutilizables.Paraverestalista,utiliceelcomando:
Paraconocerlosnombresdisponiblesparaunverbo,utiliceestavezelcomando:
Ejemplodecmdletutilizable
- 1-
ElcmdletServicepermiteadministrarserviciosmediantePowerShell.
GetService:permitemostrarlaspropiedadesdeunservicio.
RestartService:efectaelreiniciodeunservicioexistente.
SetService:configuralaspropiedadesdeunservicio.
StartService:iniciaunserviciodetenido.
StopService:detieneunservicioarrancado.
ElcmdletEventLoggestionaloseventosdeunservidorqueejecutaWindowsServer2012R2.
GetEventLog:muestraloseventosdeunregistrodeeventosespecificado.
ClearEventLog:eliminatodosloseventosdeunregistro.
LimitEventLog:defineuntamaoyuntiempolmiteparalosdiferenteseventos.
ElcmdletProcesspermitegestionarlosdiferentesprocesosdelservidor.
GetProcess:permiteobtenerinformacinsobreunproceso.
StartProcess:efectaeliniciodeunnuevoproceso.
StopProcess:detieneunproceso.
3.PresentacindelaconsolaPowerShellISE
La interfaz PowerShell ISE es un entorno que proporciona asistencia para la elaboracin de scripts PowerShell.
Permitevisualizarloscomandosylosparmetrosutilizadosporestoscomandosyaccederadiferentescmdlets.
EsperfectamenteposibleelaborarscriptssinutilizarlainterfazISE.Parafacilitarsumantenimiento,seempleaun
cdigodecoloresaligualqueenunaherramientadedepuracin.
Finalmente,sepuedenvisualizarlosdiferentescmdletspormdulo,estopermitesaberquemdulocargar.
- 2-
4.InstalaryconfigurarlacaractersticaDSC(DesiredStateConfiguration)
LacaractersticaDSCesunaextensindePowerShellquepermiteefectuaralgunasoperacionescomo:
Instalaroeliminarrolesycaractersticas.
Administrararchivosycarpetas.
Iniciar,detenerygestionarunprocesoounservicio.
Administrarlosgruposyusuarioslocales.
DSCproporcionaaPowerShellnuevoscmdletsascomorecursosquepermitenrealizarladefinicindeunentorno
deseado.Adicionalmente,esposibleefectuarlagestinyelmantenimientodelasconfiguracionesexistentes.
SehaincluidounanuevapalabraclaveConfigurationenPowerShell.Seutilizaparadefinirunbloquedentrodeun
script. Estar seguida por un identificador y corchetes, que permiten delimitar el bloque. ste contendr la
configuracindeseada.
Esnecesariodefinirenelscriptelequipo,ascomolosrecursospertinentes.
Para obtener ms informacin acerca de esta funcionalidad visite la pgina: http://technet.microsoft.com/en
us/library/dn249918.aspx
- 3-
Talleres
Estostallerespermitenponerenprcticalospuntostratadosenelcaptulo.
1.CreacindelbosqueFormacion.local
Objetivo:elobjetivodeesteejercicioespromoverelprimercontroladordedominiodelbosqueFormacion.local.Una
vezrealizadalaconfiguracin,habrquepromoverelservidor.
Mquinavirtualutilizada:AD1.
HagadobleclicenlamquinaAD1paraconectarseaella.
HagaclicenelprimericonoparaenviaralaVMunasecuenciadeteclas[Ctrl][Alt][Supr].
EnlaconsolaAdministradordelservidor,hagaclicenAgregarrolesycaractersticas.
Seiniciaelasistente,hagaclicenSiguiente.
HagaclicenInstalacinbasadaencaractersticasoenroles.
Enlaventanadeseleccindelservidordedestino,seleccionelaopcinpordefecto.
- 1-
MarquelaopcinServiciosdedominiodeActiveDirectory(ActiveDirectoryDomainServicesdirectorio
ActiveDirectory)yluegohagaclicenAgregarcaractersticas.
HagaclicdosvecesenSiguienteyluegoenInstalar.
- 2-
Lainstalacinestenmarcha
Unavezterminadalainstalacin,hagaclicenCerrar.
EnelAdministradordelservidor,hagaclicenlabanderaconelsignodeexclamacin.
HagaclicenPromoveresteservidoracontroladordedominio.
- 3-
HagaclicenSiguienteparavalidarsueleccin.
Seleccione el nivel funcional Windows Server 2012 R2, deje la casilla Servidor DNS marcada para
instalar yconfigurarelrol.
Introduzcalacontraseademododerestauracindeserviciosdedirectorio(DSRM):Pa$$w0rd.
- 4-
EnlaventanaOpcionesdeDNS,hagaclicenSiguiente.
Despus de algunas bsquedas, aparece el nombre de dominio NetBIOS, verifique que el nombre es
FORMACION.
HagaclicenSiguienteparavalidarlainformacin.
Dejelasrutasdeaccesopordefecto.
- 5-
HagaclicenSiguientedespusdehaberverificadolosparmetrosenlaventanaRevisaropciones.
Hagaclicen InstalarparainiciarlainstalacindeActiveDirectoryypromoverelservidor.Alterminarla
instalacin,elservidorreinicia.
2.ConfiguracindeunservidorenmododeinstalacinCore
Objetivo: configurar SVCore que ejecuta Windows Server 2012 R2 en modo instalacin mnima. El taller permite
efectuarlaconfiguracindelnombredelservidor,lafechayhoraaligualqueeladaptadordered.Seguidamente,el
servidorseagregaraldominioFormacion.local.
Mquinasvirtualesutilizadas:AD1ySVCore.
AbraunasesinenSVCorecomoadministradorlocal.
En
el
smbolo
del
sistema,
introduzca:
netdom
renamecomputer
computername%/newname:SVCore
IntroduzcaSy,acontinuacin,pulselatecla[Intro]pararealizarelcambiodenombre.
UtiliceelcomandoshutdownRt0parareiniciarelservidor.
Despus del reinicio, abra una sesin como administrador y verifique el nombre usando el comando
hostname.
- 6-
Introduzcasconfigyvalideconlatecla[Intro].
Introduzca9yvalideconlatecla[Intro].
VerifiquequelazonahorariaestbienconfiguradaUTC+01(Madrid).
SiesnecesariorealiceelcambioyhagaclicenAceptarparavalidarlaventanaFechayhora.
Enlaventanasconfig,seleccionelaopcin8)Configuracindered.
Introduzcaelndicedeladaptadordereddeseadoyluegopulselatecla[Intro].
- 7-
Seleccionelaopcin1paradefinirladireccindeladaptadordered.
Introduzcae(paraefectuarunaconfiguracinesttica)yvalidesueleccinempleandolatecla[Intro].
RespondaalasdiferentespreguntasparaconfigurarladireccinIPcomo192.168.1.13,lamscarade
subredcomo255.255.255.0yfinalmentelapuertadeenlacepredeterminadacomo192.168.1.254.
- 8-
Seleccionelaopcin2)EstablecerservidoresDNS.
EnlalneaEscribaunnuevoservidorDNS,introduzca192.168.1.10yvalidesuopcin.
HagaclicenAceptarenlaventanaConfiguracinderedyluegopulse[Intro]sinintroducirningnvalor
paravolveralmen.
Seleccionelaopcin4)Regresaralmenprincipal.
Salgadelmensconfigseleccionandolaopcin15)Saliralalneadecomandos.
Introduzca
el
comando
netdom
join
computername%/domain:Formacion.local/Userd:Formacion\administrador/PasswordD:*
Elsmbolo*introducidoenelparmetroPasswordDpermiteintroducirlacontraseadeformasegura.Dehecho,sta
nosemostrar.
- 9-
Silaoperacinhafuncionadobien,reinicieelservidorintroduciendoelcomandoshutdownRt0.
3.Administracindeservidores
Objetivo:eltallerconsisteencrearungrupodeservidores.Seinstalarunrolenunodelosservidoresdelgrupo.
Mquinasvirtualesutilizadas:AD1ySVCore.
AbraunasesinenAD1yluegoejecutelaconsolaAdministradordelservidor.
Enelpanel,hagaclicenCrearungrupodeservidores.
HagaclicenlapestaaActiveDirectoryyluegoenelbotnBuscarahora.
- 10 -
IntroduzcaGrupoFormacionenelcampoNombredegrupodeservidores.
AgreguelosservidoresAD1ySVCorealgrupo.
HagaclicenAceptarparavalidarlacreacindelgrupo.
- 11 -
EnelpaneldelaconsolaAdministradordelservidor,hagaclicenAgregarrolesycaractersticas.
HagaclicenSiguienteenlaventanaAntesdecomenzar.
DejeelvalorpredeterminadoenlaventanaSeleccionartipodeinstalacin.
SeleccioneSVCorecomoservidordedestinodelainstalacindelrolyluegohagaclicenSiguiente.
SeleccioneelrolServidorweb(IIS)yluegohagaclicenSiguiente.
- 12 -
EnlaventanaSeleccionarcaractersticas,hagaclicenSiguiente.
HagaclicdosvecesenSiguienteyluegoenInstalar.
Serealizalainstalacindelservidorremoto.
4.UtilizacindePowerShellparaadministrarlosservidores
Objetivo:obtenerinformacinacercadelosservidoresremotosmediantelainterfazPowerShell.
Mquinasvirtualesutilizadas:AD1ySVCore.
EnAD1,inicielaconsolaAdministradordelservidoryluegohagaclicenGrupoFormacion.
- 13 -
HagaclicconelbotnderechodelratnenSVCoreyluegoseleccioneWindowsPowerShell.
IntroduzcaImportModuleServerManagery,acontinuacin,valideconlatecla[Entrar].
UtiliceelcomandoGetWindowsFeatureparavisualizarlosrolesycaractersticas.
Podemosverigualmenteaquellosyainstalados.
- 14 -
Utiliceloscomandosgetprocessparaenumerarlosprocesosenejecucin.
IntroduzcaGetNetIPAddress|Formattable,paraobtenerunatablaconlasdireccionesIPv4eIPv6del
servidorconsultado.
IntroduzcaInstallWindowsFeatureWINSComputerNameSVCoreparainstalarlacaractersticaWINS
enSVCore.
Deestaformaesmuysencilloinstalarunrolounacaracterstica,ytambinrealizarlaadministracindeunservidor
localoremoto.
5.Unirseaundominiosinconexin
Objetivo:unirunservidorutilizandoelmtodosinconexin.Eltallerconsisteencrearelarchivonecesarioparaunir
unservidoraundominioyutilizarelcomandoDJoin.
Mquinasvirtualesutilizadas:AD1ySV1.
EnAD1,inicieunsmbolodelsistemaDOS.
Introduzca el comando Djoin /provision /domain formacion.local /machine SV1 /savefile
c:\union.txt.
- 15 -
AbraunasesinenSV1comoadministradorlocal.
Site el ratn en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz
Windows.HagaclicconelbotnderechoenlaminiaturayseleccioneEjecutar.
Introduzca\\192.168.1.10\c$yluegohagaclicenAceptar.
Autentquesecomoformacion\administrador.
Copieelarchivounion.txteneldiscodurolocaldelservidorSV1.
DesactivelosadaptadoresderedenSV1parasimularunequipooservidordesconectado.
Introduzca
el
comando
Djoin
/requestODJ
/loadfile
c:\union.txt
/windowspath
systemroot%/localosenSV1.
- 16 -
EfecteunreinicioenSV1.
Abraunasesin,elservidorestarahoraconectadoaldominio.
Activelosadaptadoresderedyluegoabraunasesincomoadministradordeldominio.
SV1sermiembrodeldominio,launinaldominiosinconexinhafuncionado.
6.Agregarcaractersticasaunaimagensinconexin
Objetivo: agregar caractersticas a una imagen de instalacin para que est disponible durante la instalacin del
servidor.
Mquinasvirtualesutilizadas:AD1.
- 17 -
EnAD1,conectelaISOdeWindowsServer2012R2yluegocopieelarchivoinstall.wimubicadoenel
directorioSourcesenc:\ImageWim(creelacarpetaenelrbol).
Abra un smbolo del sistema DOS y, a continuacin, introduzca el comando dism /get
imageinfo/imagefile:c:\imagewim\install.wim
Elcomandopermiteobtenerinformacindelarchivodeimagen.
Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim. Para ello, se
recuperalaimagendelaedicinDatacenterconinterfazgrfica.Elsiguientecomandoindicaquelaimagendeseada
tieneasignadoelnmero4.Elarchivoinstall.wimcontienecuatroarchivosinstall.wim (unoporedicin).
CreeunacarpetaMontarenc:\ImageWim.
Introduzca
el
comando
dism
/Mount
Image/ImageFile:c:\ImageWim\install.wim/Index:4/MountDir:c:\ImageWim\Montar.
No acceda a la carpeta Montar porque esto causar que la imagen no pueda ser desmontada (recomprimida en el
archivowim).
Active
la
caracterstica
TFTP
introduciendo
el
comando
Dism
/online
Feature/FeatureName:TFTP.
- 18 -
/Enable
EsposiblerecuperarlalistadecaractersticasmedianteelcomandoDism/online/GetFeatures.
Valide
las
modificaciones
introduciendo
el
comando
Dism
/Unmount
Image/MountDir:C:\ImageWim\Montage/Commit.
Deestaforma,durantelainstalacindelservidor,seinstalarlacaracterstica.
7.Agregar/eliminarunainterfazgrfica
Objetivo:eltallerconsisteenagregarunainterfazgrficaalservidorSVCore.
Mquinasvirtualesutilizadas:SVCore.
ElservidorCorenotienelosrecursosnecesariosparalainstalacindelainterfazgrfica,nosbasaremosenprimera
instanciaenelarchivoinstall.wimpresenteenelDVD.
AbraunasesinenSVCorecomoadministradoryluegoconectelaimagenISOdeWindowsServer2012
R2.
Introduzca los comandos mkdir c:\Sources y, a continuacin, copy D:\sources\install.wim
C:\Sources\install.wimparacrearunacarpetaquevaacontenerelarchivowimeiniciarunacopiadel
archivoinstall.wimeneldirectoriolocal.
SubstituyalaletradelaunidadD:porladesuunidaddeDVD.
- 19 -
EliminelapropiedadSololecturaintroduciendoelcomandoattrib.exerC:\Sources\install.wim.
Elservidorreiniciaalterminarlainstalacin.Ahoracuentaconunainterfazgrfica.Esposibleeliminarladesinstalando
lacaractersticaInfraestructuraeinterfacesdeusuario.
- 20 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CuleselprotocoloutilizadoporlaconsolaAdministradordelservidorparainstalarrolesdeformaremota?
2 CuleslaventajadelpaneldelaconsolaAdministradordelservidor?
3 CulessonlostiposdeinstalacinquepodemosencontrarenWindowsServer2012R2?
4 CuleslaventajadeinstalarunservidorenmodoCore?
5 NombrealgunosrolesycaractersticaspresentesenWindowsServer2012R2.
6 Culeselrolquedebeinstalarsideseadistribuircertificadosdigitales?
7 CuleselroldeunservidorActiveDirectoryDomainServices?
8 CuleslaventajadeunaformacindeequiposdeNIC?
9 Digaelnombredelejecutablequepermiteaunequipo(servidor,puestodetrabajo)unirseaundominiosin
conexin.
10 Qutipodearchivoseproporcionacomoargumentoalaconsoladjoinparaunirseaundominio?
11 QucomandoseutilizaenunservidorCoreparamostrarlainterfazdeconfiguracin?
12 CuleslaventajadelaconsolaPowerShellISE?
13 Culeselnombredelacaractersticaquepermiteagregar/eliminarlainterfazgrfica?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode10puntosparaaprobarelcaptulo.
3.Respuestas
1 CuleselprotocoloutilizadoporlaconsolaAdministradordelservidorparainstalarrolesdeformaremota?
LaconsolaAdministradordelservidorutilizaelprotocoloWinRMparainstalarrolesycaractersticadeformaremota.
2 CuleslaventajadelpaneldelaconsolaAdministradordelservidor?
Empleandouncdigodecolor(rojo,blanco)es,enadelante,muyfcildistinguirsiexisteunproblemaenel
servidor.Adicionalmente,elpanelproporcionalaposibilidaddeintentarresolverelproblema(porejemplo:iniciaro
detenerelservicioqueestdetenido).
3 CulessonlostiposdeinstalacinquepodemosencontrarenWindowsServer2012R2?
AligualqueconWindowsServer2008yWindowsServer2008R2,esposibleinstalarWindowsServer2012R2en
modocompleto(interfazgrficapresenteenelservidor)oenmodoinstalacinmnima(sininterfazgrfica).
4 CuleslaventajadeinstalarunservidorenmodoCore?
Conestetipodeinstalacin,esposibleutilizarunhardwaremsantiguo.Adicionalmente,menosserviciosWindows
seencuentranenfuncionamientoloquereducelasuperficiedeataqueparaunhacker,eigualmenteelnmerode
actualizacionesainstalar.ApartirdeWindowsServer2012,esposiblepasardeuntipodeinstalacinalotro.
5 NombrealgunosrolesycaractersticaspresentesenWindowsServer2012R2.
Losroles,aparecidosconWindowsServer2008,proporcionanfuncionessuplementariasalservidor.Podemos
- 1-
encontrarlossiguientesrolesServidordeaplicaciones,DNS(DomainNameSystem),DHCP(DynamicHost
ConfigurationProtocol),AD DS(ActiveDirectoryDomainServices),AD CS(ActiveDirectory CertificateServices),
AD FS(ActiveDirectoryFederationService),ADRMS(ActiveDirectoryRightsManagementServices)
Adicionalmente,esposibleinstalarcaractersticasqueaportanherramientassuplementarias.Encontraremosel
cifradodeunidadBitLocker,elclsterdeconmutacinporerror,elequilibradordecarga,IPAM(administracinde
direccionamientoIP)...
6 Culeselrolquedebeinstalarsideseadistribuircertificadosdigitales?
ElrolADCS(ActiveDirectoryCertificateServices)permiteinstalarunaentidadcertificadoraquetienecomofuncin
lagestindecertificadosdigitales.
7 CuleselroldeunservidorActiveDirectoryDomainServices?
ADDSpermitelainstalacindeundirectorioActiveDirectory.Estedirectoriopermiteautenticareidentificarobjetos
usuarioyequipo.
8 CuleslaventajadelaformacindeequiposdeNIC?
UnaformacindeequiposdeNICpermitehacerfuncionarvariosadaptadoresdered(doscomomnimo)conla
mismaconfiguracinIP.Estopermite,deformamuysimple,contarconunamayorredundanciaencasodefallode
unodelosadaptadores.
9 Digaelnombredelejecutablequepermiteaunequipo(servidor,puestodetrabajo)unirseaundominiosin
conexin.
Elejecutabledjoinpermiteaunamquinasinconexinunirseaundominio.Debeejecutarseconpermisos de
administradorenelcontroladordedominio,conelobjetivodepodercrearelarchivonecesario paralaoperacin.A
continuacin,seutilizarelejecutableenelequipoqueseuniraldominio.
10 Qutipodearchivoseproporcionacomoargumentoalaconsoladjoinparaunirseaundominio?
Elarchivoutilizadoporelcomandodjoinesdetipotxt,contienelainformacinnecesariaparaunirsealdominioAD.
11 QucomandoseutilizaenunservidorCoreparamostrarlainterfazdeconfiguracin?
UnservidorenmodoinstalacinCorepuedeadministrarseporlneadecomandos.Ciertoselementos(IP,etc.)
puedenconfigurarsemedianteunainterfazdeconfiguracin.Esposiblemostrarlautilizandoelcomandosconfig.
12 CuleslaventajadelaconsolaPowerShellISE?
EstaconsolafacilitalacreacindescriptsoelusodePowerShell.Permiteigualmentevisualizarlosdiferentes
mdulosysuscmdlets.
13 Culeselnombredelacaractersticaquepermiteagregar/eliminarlainterfazgrfica?
LacaractersticaInfraestructuraeinterfacesdeusuariopermiteinstalaroeliminarlainterfazgrfica.Sin
embargoestepasopuederealizarsedesdePowerShellempleandoelcmdletInstall WindowsFeature(til
bsicamenteenunservidorenmodoCore).
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
PoseerconocimientosdeActiveDirectory.
2.Objetivos
DefinicindeldirectorioActiveDirectory.
PresentacindelosrolesFSMO.
Promoverunservidormiembroacontroladordedominio.
GestindelapapeleraADydeunadirectivadecontraseamuyespecfica.
- 1-
Introduccin
ActiveDirectoryesundirectorioimplementadoenlossistemasoperativosMicrosoftapartirdeWindows2000Server.
Comolosotrosdirectorios,sebasaenlanormativaLDAP.Sehanaportadomuchasmejorasdesdeentonces.Abarca
generalmenteelconjuntodecuentasnecesariasparalaautenticacindelosequiposyusuariosdeunaempresa.
- 1-
InformacingeneraldeActiveDirectory
ElrolServiciosdedominiodeActiveDirectorycontieneloscomponentesfsicosylgicos.
LoscomponentesfsicosvanaenglobarvarioselementosclaveenundominioActiveDirectory.Estosltimospueden
serhardwareosoftware:
Elcontroladordedominio,quecontieneunacopiadelabasededatosActiveDirectory.
Labasededatosylacarpetasysvol,quecontendrnelconjuntodelainformacindeActiveDirectory(propiedadesde
lascuentasdeusuarios,equipos).CadacontroladordedominiodeldominioActiveDirectorycontieneunacopia.
Elservidordedirectorioglobal,quecontieneunacopiaparcialdelosatributos(nombre,nombredepila,direccindel
usuario) yobjetosdelbosque.Permiterealizarbsquedasrpidassobrelosatributosdealgnobjetodeundominio
diferentealdelbosque.
Todosloscomponentesfuncionanconcomponenteslgicos,loscualespermitenlapuestaenmarchadelaestructura
deActiveDirectorydeseada.
Deestaformapodemosencontrarlossiguientescomponentes:
Las particiones, que son selecciones de la base de datos de Active Directory. As, podremos encontrar la particin de
configuracin,laparticindedominio,laparticinDNS
El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden ser creados en Active
Directory.
Eldominio,quepermiteponerenmarchaunlmiteadministrativoparalosobjetosusuariosyequipos.
Unrboldedominio,contieneunconjuntodedominiosquecompartenunespaciodenombresDNScontiguo.
ElbosqueActiveDirectory,quecontieneelconjuntodedominiosActiveDirectory.
El sitio de Active Directory, que permite dividir un dominio en varias partes, para as limitar y controlar la replicacin
entredossitiosremotos.
Launidadorganizativa,quepermiteaplicarunadirectivadegrupoeigualmenteimplementarunadelegacin.
1.EldominioActiveDirectory
UndominioActiveDirectoryesunaagrupacinlgicadecuentasdeusuario,equiposogrupos.Losobjetoscreados
sealmacenanenunabasededatospresenteentodosloscontroladoresdedominioActiveDirectory.Estabasede
datospuedealmacenarvariostiposdeobjeto:
La cuenta de usuario, que permite efectuar una autenticacin y autorizar los accesos a los diferentes recursos
compartidos.Correspondeaunapersonafsicaounaaplicacin.
Lacuentadeequipo,quepermiteautenticarlamquinaenlaqueelusuarioiniciaunasesin.
Finalmentelosgrupos,quepermitenagruparlascuentasdeusuarioyequiposconelobjetivodeautorizar elaccesoa
unrecurso,implementarunadelegacin
2.Lasunidadesorganizativas
Las unidades organizativas (OU Organizational Unit) son objetos contenedores que permiten la agrupacin de
cuentasdeusuarioodeequipo.Lacreacindeestetipodeobjetoseutilizaconelfindeasignarunadirectivade
grupo al conjunto de objetos presentes en el contenedor. La segunda funcin es la puesta en marcha de una
- 1-
delegacinparapermitiraunapersonadiferentealadministradorgestionarobjetospresentesenelcontenedor.
DeestaformalasOUrepresentanunajerarqualgicaeneldominioActiveDirectory(selaspuedeanidar,entonces
hablamos de UO madres y UO hijas). Es, por ejemplo, posible crear una unidad organizativa por ciudad (Alicante,
Madrid...) o por tipo de objeto (usuario, equipo...). Durante la creacin del dominio se encuentran presentes las
carpetasdesistemayunidadesorganizativaspredeterminadas:
- 2-
CarpetaBuiltin:almacenalosgrupospredeterminados:Administradores,Operadoresdeimpresin
Carpeta Users:carpetapredeterminadaalcrearunnuevousuario.Contienedeformapredeterminadalacuentade
administradorylosdiferentesgruposadministradores(Administradoresdedominio,Administradoresdeempresas...).
CarpetaComputers:carpetapredeterminadadondeseubicanlascuentasdeequipoalagregarnuevosequipos.
Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas de los controladores
dedominio.EstaOUeslanicapresentealcreareldominio.LadirectivadegrupoDefaultDomainControllerPolicy
estubicadaenestaunidadorganizativa.
3.ElbosqueActiveDirectory
UnbosqueestformadoporunoomsdominiosActiveDirectory.Hablamosdedominiorazparaelprimerdominio
del bosque, adicionalmente este ltimo proporciona el nombre al bosque. En nuestra maqueta el dominio raz es
Formacion.local, el bosque tiene pues el nombre de este ltimo, es decir Formacion.local. En un bosque Active
Directory encontramos una sola configuracin y un solo esquema que son compartidos por el conjunto de los
controladores de dominio presentes en el bosque. Tiene asimismo como objetivo la puesta en prctica de una
fronteradeseguridad,losotrosbosquesnotienenningnpermisosobresteynosereplicaningndatofueradel
bosque.
Un bosque Active Directory est compuesto por un conjunto de dominios llamados a su vez arborescencia de
dominios, estos ltimos comparten un espacio de nombres contiguo. La relacin entre dominios de una misma
arborescenciaesdetipopadre/hijo.Undominioquedisponedeunespaciodenombresdiferenteformapartede
unaarborescenciadiferente.
- 3-
Eldominiorepresentaasuvezunlmitedeseguridadporqueelobjetousuarioquepermitelaautenticacindeuna
entidad(personafsicadelaempresa...)sedefineporcadadominio.Esteltimocontienealmenosuncontrolador
de dominio, siendo dos lo recomendable en trminos de alta disponibilidad. Este tipo de servidor tiene la
responsabilidaddeautenticarlosobjetosusuariosyequiposenundominioAD.
4.ElesquemadeActiveDirectory
El esquema de Active Directory es un componente que permite definir los objetos as como sus atributos, que es
posiblecrearenActiveDirectory.Alcrearunnuevoobjeto,seutilizaelesquemapararecuperarsusatributosysu
sintaxis(booleano,entero...).
- 4-
Deestaforma,alcrearelobjeto,eldirectorioActiveDirectoryconocecadaatributoyeltipodedatosaalmacenar.Al
migrar Active Directory o cuando se instalan ciertas aplicaciones (por ejemplo, Exchange, etc.) el esquema debe
estar actualizado. Esta operacin permite agregar los objetos y sus atributos que podrn crearse a continuacin
(por ejemplo, un buzn de correos). Esta operacin no puede realizarse en un controlador de dominio con el rol
miembro de esquema. El usuario que efecte esta operacin debe ser miembro del grupo Administradores de
esquema.Despusdeefectuarlamodificacin,estaltimasereplicaralconjuntodeloscontroladoresdedominio
delbosque.
El complemento software Esquema de Active Directory se encuentra oculto de forma predeterminada. Para poder
activarlo,esnecesarioescribirelcomandoregsvr32schmmgmt.dllenlaconsolaEjecutar.
Elcomplementosoftwarepuedeagregarse,ahora,aunaconsolaMMC.
5.LasparticionesdeActiveDirectory
Active Directory est compuesto de varias particiones. Son cuatro, y se comparten entre los controladores de
- 5-
dominio.
Particindedominio:contienelainformacindelosdiferentesobjetosquesehancreadoeneldominio (atributos
decuentasusuarioyequipo).
Particin de configuracin: en esta particin est descrita la topologa del directorio (lista completa de dominios,
arborescencias).
Particindeesquema:contienetodoslosatributosyclasesdetodoslosobjetosqueesposiblecrear.
ParticinDNS:enestaparticinsealmacenaelconjuntodezonasysusregistros.
Estasparticionessealmacenanenlabasededatos.Estaltimaseencuentraenlacarpeta%systemroot%\NTDS.
6.LosmaestrosdeoperacinFSMO
EnunbosqueActiveDirectorypodemosencontrarcincorolesFSMO(FlexibleSingleMasterOperation).Dosdeestos
seencuentransolamenteenunodeloscontroladoresdedominiodelbosque,losotrostresseencuentranencada
dominio.
Rolmaestrodeesquema:seatribuyeesterolaunnicoservidordelbosque.Esteltimoeselnicoquecuenta
conpermisosdeescrituraenelesquema.Sinembargo,paraefectuarestaoperacin,esnecesarioquelacuenta
empleada sea miembro del grupo Administradores de esquema. Los otros servidores solo tienen un acceso de
lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol se encuentra
nicamenteenunnicocontroladordedominiodelbosque.ElMaestrodenomenclaturadedominiosesnecesarioal
aadiroeliminarundominiodelbosque.Secontactaesteservidorparagarantizarlacoherenciadelosnombresde
dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC estn presentes en cada
dominiodelbosque.
MaestroRID:permiteasignarbloquesdeidentificadoresrelativos(RID)alosdiferentescontroladoresdedominio
de su dominio. Este identificador nico est asociado al SID del dominio para crear el SID (identificador de
seguridad)delobjeto.Esmedianteesteidentificadorcomosereconoceunobjeto.
Maestro de infraestructura: su rol es la vigilancia de objetos ajenos a su dominio, que estn presentes en los
gruposdeseguridadoenlasACL.Ejemplo:elobjetoJavierOLIVARESformapartedeldominioES.Formacion.local
peroesmiembrodelgrupoG_ContaUSR,queseencuentraeneldominioUS.Formacion.local.
MaestroemuladordePDC:garantizalacompatibilidaddeaplicaciones,emulandoaunservidorPDCNT4.Permite
tambinlamigracinentreWindows2000(usodelcontroladordedominioActiveDirectory)yWindowsNT4(usodel
servidorPDCyBDC).Susegundoroleslasincronizacindelrelojparaelconjuntodeldominio.
7.LossitiosActiveDirectoryylareplicacin
Los dominios Active Directory estn divididos en sitios AD que representan la topologa fsica de la empresa. Si
consideramoslaconectividaddereddeunsitiocomobuena,hablaremosdeunareplicacinintrasitio.Lareplicacin
intersitioserefierealarealizadaentredossitiosActiveDirectory.
Los sitios Active Directory permiten definir fronteras de replicacin, lo cual permite ahorrar ancho de banda en la
lneaqueconectadossitiosremotos.
- 6-
Cuando un usuario realiza un inicio de sesin, se utilizan los controladores de dominio Active Directory a los que
estconectado.Sinembargo,silaautenticacinnopuederealizarseenstos,laoperacinseejecutaenotrositio.
La replicacin intersitio permite garantizar la transmisin de una modificacin a uno o varios sitios. Para ello,
convieneutilizarunobjetodeconexindetipounidireccional(solodeentrada).Medianteestasrutasdereplicacin,
latopologasecrearautomticamente.Estaltimagarantizalaverificacindelacoherenciadelosdatos(KCC
KnowledgeConsistencyChecker).Deestaformagarantizamoslacontinuidaddeservicioaniveldereplicacinencaso
deunaaveraenunodeloscontroladoresdedominio.Sinembargo,esimposiblerealizarmsdetressaltosentre
doscontroladoresdedominio.
- 7-
Informacingeneraldeuncontroladordedominio
El controlador de dominio es uno de los servidores ms sensibles en un dominio Active Directory. Conviene tomar
precaucionesadecuadasalinstalarelservidor.
1.Loscontroladoresdedominio
UncontroladordedominiocontieneunacopiadelabasededatosActiveDirectory(archivoNTDS.dit)aligualquela
carpeta Sysvol. A partir de Windows 2000, el conjunto de controladores de dominio cuenta con un acceso de
lectura/escrituraalabasededatosylacarpetaSysvol.Es,sinembargo,posibleinstalaruncontroladordedominio
ensololectura(apartirdeWindowsServer2008).
La carpeta Sysvol contiene los scripts utilizados y los parmetros para las directivas de grupo. A diferencia de la
basededatos,lareplicacindelacarpetasysvolseefectautilizandoelserviciodereplicacindearchivos(FRS)o
ms recientemente mediante el sistema DFS (Distributed File System). En un dominio es necesario contar con al
menosunservidorquetengaelroldecatlogoglobalascomodoscontroladoresdedominiopordominio.Lossitios
remotos que cuenten con un nmero muy restringido de usuarios pueden utilizar un servidor RODC (Read Only
DomainControllerControladordedominiodesololectura).
2.Presentacindeloscatlogosglobales
Enunbosqueconunnicodominio,labasededatoscontieneelconjuntodelainformacindetodoslosobjetosdel
bosque.Sinembargosielbosqueestcompuestoporvariosdominios,lasituacinesmscompleja.Lainformacin
delosobjetosdelosdominiosslolaconoceelpropiodominio.Siseefectaunbsquedadeunobjetodeotro
dominio,elresultadosernulo.Debemosentoncesconfiguraruncontroladordedominiopordominioquecontenga
una copia del catlogo global. Este ltimo consiste en una base de datos que contiene la informacin acerca de
todoslosobjetosdetodoslosdominiosdelbosque.
El catlogo global no contiene el conjunto de atributos de los objetos, solo se encuentran aquellos que son
susceptiblesdeserutilizadosporlasbsquedasinterdominio(nombre,apellidos...).Enunbosquecompuestode
variosdominios,losservidoresconelroldeMaestrodeinfraestructuranodebensertambincatlogoglobal.
3.ProcesodeiniciodesesinconActiveDirectory
AliniciarunasesinenundominioActiveDirectory,elsistemabuscalosregistrosdetipoSRVenelDNSparapoder
encontrarelcontroladordedominiomscercano.Silaautenticacintienexito,laautoridaddeseguridadlocal(LSA
LocalSecurityAuthority)generauntokendeaccesoyseloatribuyealusuario.Estetokencontieneelidentificador
deseguridad(SID)delusuarioaligualqueelconjuntodelosgruposdelosqueesmiembro.Delmismomodo,el
controlador de dominio atribuir al usuario un ticket llamado TGT (TicketGrantingTicket). Al intentar acceder a un
recursodelared,elusuarioenvasuticketTGTalcontroladordedominio.Esteltimolerespondeconotroticket
queleautorizaelaccesoalrecurso.
- 1-
Promoveruncontroladordedominio
Promocionaruncontroladordedominioconsisteendarleelroldecontroladordedominioaunservidormiembro.La
operacinpuederealizarseporlneadecomandos(enunservidorCore)oempleandounainterfazgrfica.
1.Promoveruncontroladordedominiodeformagrfica
Lapromocindeunservidoracontroladordedominioserealizabamedianteelcomandodcpromoenlossistemas
anterioresaWindowsServer2012.Desdeesteltimo,elcomandoyanosepuedeutilizar.Alutilizarelcomando,
apareceunmensajeinvitandoaladministradorautilizarelAdministradordelservidor.
Como hemos visto en el taller del captulo precedente, es necesario instalar el rol Servicios de dominio de Active
Directory.
Elcomandodcpromosolopuedeutilizarseporlneadecomandos.Despusdehaberinstaladoelrolenunservidor
coninterfazgrfica,esnecesarioiniciarelasistenteparapromoverelservidor.Esteltimo ofrecelaposibilidadde
crearunnuevobosque,deagregarunnuevodominioodeagregaruncontroladordedominiosuplementario.
Lainstalacinnecesitaciertainformacin,quesolicitaelasistentealpromoverelservidor.Esnecesariointroducirel
nombrededominioDNS.Sedebeseleccionarelnivelfuncional(paraelbosqueyeldominio).Porltimo,tambines
preciso indicar la contrasea para acceder al modo de restauracin Active Directory (DSRM Directory Services
RestoreMode).
2.InstalacindeuncontroladordedominioenunservidorCore
LainstalacindeuncontroladordedominioenunservidorCorepuederealizarsedevariasmaneras:
UtilizandolaconsolaAdministradordelservidorparapromoverelservidordeformaremota.
- 1-
Ejecutandoelcomandodcpromo/unattendseguidodelasopcionesadecuadas.
Paraobtenermsinformacinsobrelasdiferentesopciones,puedeconsultarlapginaTechnetqueseencuentraen:
http://technet.microsoft.com/eses/library/cc732887(v=ws.10).aspx
3.ActualizacindeuncontroladordedominioaWindowsServer2012R2
Existen dos formas de realizar la actualizacin de un controlador de dominio. Actualizando el sistema operativo o
agregandounnuevoservidor.Tengaprecaucinconlaprimerasolucin,ciertossistemasoperativoscomoWindows
Server 2003 o Windows 2000 no permiten ser actualizados. Es necesario realizar primero la actualizacin de los
controladoresdedominioaWindowsServer2008.
Esaconsejablecontemplar,enlamedidadeloposible,laopcindeagregarunnuevocontroladordedominio,esto
permitir una nueva instalacin en un sistema operativo limpio. La primera operacin antes de promover un
controlador de dominio que ejecute Windows Server 2012 es extender el esquema de Active Directory. Esta
operacin,queconsisteenagregarlosobjetosnecesariosaligualquesusatributosalesquemaAD,serealizaba
antesmedianteelcomandoadprep(adprep/forestprep,adprep/domainprep/gpprep).
Estasetapasestnautomatizadasalpromoverunnuevocontroladordedominio.
4.PromoveruncontroladordedominioutilizandoIFM
Unpuntomuyimportante,enelcasodepromoveruncontroladordedominioenunequiporemoto,eselanchode
bandadelalneaqueconectaambosservidores.Enelcasodequelalneaproporcionepocacapacidad,laprimera
sincronizacin del controlador de dominio puede ser difcil de gestionar porque la lnea corre el riesgo de verse
rpidamentesaturada.Enestecaso,esconvenienteutilizarlaopcindepromoverelservidorempleandoelmtodo
IFM(InstallFromMedia).steconsisteencopiarelcontenidocompletodelabasededatosActiveDirectoryaligual
quelacarpetaSYSVOL.Alpromoverlarplicadelcontroladordedominio,elasistentedebeemplearelarchivode
medios creado previamente (y copiado en su soporte USB, por ejemplo). De esta forma la lnea WAN (Wide Area
Network) que comunica los dos sitios no se satura. Faltar que el nuevo controlador de dominio recupere los
cambiosrealizadosalosobjetosdespusdelacreacindelarchivodemediosrealizandounarplicaintersitio.
Paracreaelarchivodemedios,debenusarselossiguientescomandos:
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
SededicauntalleralapuestaenmarchadeuncontroladordedominioutilizandoIFM.
- 2-
LapapeleradereciclajeAD
No hay nada ms molesto que una eliminacin accidental de un objeto de Active Directory. Esto puede tener un
impactomsomenosimportanteenlaproduccin.EnlossistemasoperativosanterioresaWindowsServer2008R2,
sepodautilizareltombstoned.EstafuncionalidadpermitelarecuperacindeunacuentadondeelatributoisDeleted
sehaconfiguradocomoTrue.LaherramientaLDPpermiteefectuarestaoperacin.EliminaelatributoisDeleted,sin
embargo se pierden los atributos (pertenencia a grupo, etc.) del objeto. Se han desarrollado herramientas de
terceros,nooficiales,quepermitenefectuarestaoperacindeformagrficaymsrpida.
A partir de Windows Server 2008 R2 es posible utilizar una nueva caracterstica llamada papelera de reciclaje de
Active Directory. Esta ltima permite efectuar la restauracin de un objeto eliminado del directorio al igual que sus
atributos.
ParaprocederalaactivacindelapapeleradereciclajeActiveDirectoryesnecesariodisponerdeunnivelfuncional
WindowsServer2008R2comomnimo.Observeque,unavezactivada,esimposiblededesactivar.
Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y activar la
funcionalidaddesdeelCentrodeadministracindeActiveDirectory.Todaslasoperacionesserealizarn,enadelante,
empleandounainterfazgrficaenlugardePowerShell.
- 1-
Ladirectivadecontraseamuyespecficas
Undominioincluyeunadirectivadeseguridad(contraseasybloqueos).Puedesernecesarioimplantarunadirectiva
de contrasea diferente, ms o menos estricta en funcin de las cuentas afectadas (cuenta de servicio, cuenta de
administrador...).Paraesto,antesdeWindowsServer2008,eranecesarioimplantarvariasdirectivasdegrupo.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creacin de directivas de
contraseamuyespecficas.Estopermiteaunaempresadefinirvariasdirectivasdecontraseaodebloqueo.stas
se atribuyen, a continuacin, a un usuario o a un grupo de seguridad global. El sistema operativo utilizado en el
controlador de dominio deber ser por lo menos Windows Server 2008. El nivel funcional deber estar, a su vez,
configuradoanivelWindowsServer2008.Laoperacindeberealizarlaunadministradordedominio,sinembargoes
posibleimplementarunadelegacinparaunusuario.
ExistenapartirdeWindowsServer2008dosnuevasclasesdeobjetopresentesenelesquema:
Elcontenedordecontraseas(PSC PasswordSettingsContainer):estecontenedorsecreaenelcontenedor
del sistema del dominio. Se puede visualizar empleando la consola de Usuarios y equipos de Active Directory
(Caractersticasavanzadas,menVer).
El objeto PSO (Password Settings Object): ubicado en el contenedor PSC, posee los atributos de todos los
parmetrosdeunadirectivadedominiopredeterminada(sinparmetrosKerberos).
Losparmetrosincluidossonlossiguientes:
Histricodecontraseas.
Duracinmximadelacontrasea.
Duracinmnimadelacontrasea.
Longitudmnimadelacontrasea.
Cumplirlosrequisitosdecomplejidad.
Grabacinutilizandocifradoreversible.
Duracindebloqueodecuenta.
Umbraldebloqueodecuenta.
Reiniciodelcontadordebloqueodecuentadespusdeuntiempodefinidoporeladministrador.
Ademsdeestosparmetros,podemosencontrarigualmente:
VnculoPSO:esteatributopermiteindicaraquobjetos(usuarioyequipo)seencuentravinculadaestadirectiva.
Prioridad:nombrecompletoempleadopararesolverlosconflictosencasodeaplicacindevariasPSOaunobjeto.
Un objeto PSO posee el atributo msDSPSOAppliesTo. ste permite implementar un vnculo entre los objetos de
usuarioogrupoyelobjetoPSO.DeestaformaelobjetoquelarecibeveconfiguradosuatributomsDSPSOAppliced,
quepermiteelvnculoderetornoaladirectiva.
AligualquelapapeleradereciclajedeActiveDirectory,WindowsServer2012aportaunanovedadconlagestinyla
creacindelasdirectivasdecontraseamuyespecficas.
Enefectoseincluyeunainterfazdeusuarioparafacilitarlacreacindelasnuevasdirectivaspero,sobretodo,para
visualizar las directivas creadas. Estas acciones se operan ahora desde el Centro de administracin de Active
Directory.Estaconsolapermiteenadelantelavisualizacindeladirectivaresultantedeunusuario.
- 1-
Talleres
Los talleres siguientes le permitirn promover un controlador de dominio utilizando el mtodo IFM. Se tratan
igualmentelasnovedadesacercadelapapeleradereciclajeADylasdirectivasdecontraseamuyespecficas.
1.PromoverunservidorutilizandoIFM
Objetivo:estetallerpermitepromoveruncontroladordedominioutilizandoelmtodoIFM.
Mquinasvirtualesutilizadas:AD1ySV1.
EnAD1,inicieunsmbolodelsistemaDOSyluegointroduzcaelcomandontdsutil.
Al aparecer el smbolo de entrada, seleccione la instancia ntds utilizando el comando activate
instance ntds.
IntroduzcaifmparapodercrearunarchivodemediosIFM.
Finalmente,introduzcaelcomandocreatesysvolfullc:\MediosIFMparainiciarlacreacindelarchivo de
medios.
Losarchivosnecesariossecopianenc:\MediosIFM.
- 1-
AbraunasesinenSV1.
HagaclicconelbotnderechoenelbotnInicioy,acontinuacin,enelmencontextual,seleccionela
opcinEjecutar.
IntroduzcaenelmenEjecutarelcomando\\AD1\c$paraaccederaldiscoCdelservidorAD1.
SifueranecesarioautentquesecomoFormacion\administrador.
ElexploradordeWindowssedespliega,copielacarpetaMediosIFMeneldiscoCdelservidorSV1.
En el servidorSV1, inicie la consola Administrador del servidor y luego haga clic enAgregar roles y
caractersticas.
SeiniciaelasistentehagaclicenSiguiente.
En la ventana Seleccionar tipo de instalacin, deje la opcin predeterminada y luego haga clic en
Siguiente.
- 2-
EnlaventanaSeleccionarservidordedestino,hagaclicenSV1.Formacion.localyluegoenSiguiente.
MarqueServiciosdedominiodeActiveDirectoryparaefectuarlainstalacin.
EnlaventanaqueaparecehagaclicenAgregarcaractersticas.
HagaclicenSiguienteenlaventanaSeleccionarcaractersticas.
HagaclicdosvecesenSiguienteyluegoenInstalar.
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 3-
HagaclicenelbotnCambiarparaproporcionarlainformacinnecesariaparapromoverelservidor.
IntroduzcaadministradorenelprimercampoyluegolacontraseaPa$$w0rdenelsegundocampo.
- 4-
HagaclicenAceptaryluegoenSiguienteenlaventanaConfiguracindeimplementacin.
Introduzca Pa$$w0rd en el campo Escribir contrasea de modo de restauracin de servicios de
directorio(DSRM)yluegohagaclicenSiguiente.
HagaclicenSiguienteenlaventanaOpcionesdeDNS.
MarqueInstalardesdemediosyhagaclicenelbotn....
SeleccionelacarpetaC:\MediosIFMyhagaclicenAceptar.
- 5-
HagaclicenSiguienteparavalidarsueleccin.
DejelasrutaspordefectoyhagaclicenSiguiente.
HagaclicdosvecesenSiguienteyluegoenInstalar.
Elservidorreinicia,sehapromovidoacontroladordedominio.
2.UtilizacindelainterfazdelapapeleradereciclajeAD
Objetivo:estetallerpermiteponerenmarchalapapeleradereciclajeActiveDirectory,yprincipalmenteelusodela
interfazgrfica,aparecidaconWindowsServer2012.
Mquinavirtualutilizada:AD1
VerifiquequeelnivelfuncionalesWindowsServer2012R2paraelniveldedominioydelbosque.
InicielaconsolaCentrodeadministracindeActiveDirectorydesdelasHerramientasadministrativas
- 6-
ubicadasenlapantallaInicio.
Enelmendelaizquierda,hagadobleclicenFormacion(local).
HagaclicenHabilitarpapeleradereciclajeenelpanelTareas.
HagaclicAceptarparainiciarlaactivacin.
CreelaunidadorganizativaForm,losgruposFormadoresyAlumnosylosusuariosdeprueba (Nicolas
BONNET,Alumno1,Alumno2yAlumno3).
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno son miembros del
grupoAlumnos.
- 7-
Eliminelosgruposycuentasdeusuarioparaenviarlasalapapeleradereciclaje.
EnlaconsolaCentrodeadministracindeActiveDirectory,hagadobleclicenDeletedObjects.
ActualicelaconsolasinosemuestraDeletedObjects.
Aparecenlosobjetoseliminadospreviamente.
SeleccionetodoslosobjetospresentesyluegohagaclicenRestaurar.
LaopcinRestauraren...enelpanelTareaspermiterealizarlarestauracinenunentornodiferentedeloriginal.
Losatributosdelascuentashansidorestauradoscorrectamente.
- 8-
3.Implantacindeunadirectivadecontraseamuyespecfica
Objetivo: el taller permitir implementar una directiva de contrasea muy especfica llamada "Fine Grained
Password".
Mquinavirtualutilizada:AD1
DesdeelservidorAD1,inicielaconsolaCentrodeadministracindeActiveDirectory.
Enelpaneldeladerecha,hagadobleclicenlarazdeldominioFormacion(local).
- 9-
HagaclicenNuevoenelpanelTareasyluegoenConfiguracindecontrasea.
IntroduzcaPSOFormadoresenelcampoNombrey1enPrecedencia.
DejemarcadaExigirlongitudmnimadecontraseaseintroduzcaenelcampoelvalor5.
EnelcampoExigirhistorialdecontraseas,introduzca8.
Marque la casilla Exigir directiva de bloqueo de cuenta y luego introduzca3 en el campoNmero de
intentosdeiniciodesesinincorrectos.
HagaclicenelbotnAgregaryluegointroduzcaFormadoresenelcampo.
- 10 -
HagaclicenAceptarparavalidarlacreacindelaPSO.
HagaclicenNuevoenelpanelTareasyluegoenConfiguracindecontrasea.
IntroduzcaPSOAlumnosenelcampoNombrey1enPrecedencia.
DejemarcadaExigirlongitudmnimadecontraseaseintroduzcaenelcampoelvalor7.
EnelcampoExigirhistorialdecontraseas,introduzca24.
DesmarquelacasillaLascontraseasdebencumplirlosrequisitosdecomplejidad.
Modifiqueelvalordelavigenciamximadecontraseasparaqueseaiguala90das.
HagaclicenelbotnAgregaryluegointroduzcaAlumnosenelcampo.
HagaclicenAceptarparavalidarlacreacindelaPSO.
Lasdosdirectivasdecontraseamuyespecficaaparecenenlaconsola.
- 11 -
Laconsolapermitedeigualformaconocerlaconfiguracindecontrasearesultanteparaunusuario.
HagadobleclicenlarazdeldominioFormacion(local)yluegoenlaunidadorganizativaForm.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuracin de contrasea
resultante.
Semuestraladirectivadecontraseamuyespecficaqueselehaatribuido.
- 12 -
RepitalamismaoperacinseleccionandoestavezaNicolasBONNET.
LadirectivaaplicadaesPSOFormadores.
- 13 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 EnumereloscomponentesfsicosylgicosdeundominioActiveDirectory.
2 QuesundominioActiveDirectory?
3 CuleselcomandoquepermitelaactualizacindelesquemaAD?
4 MicontroladordedominioejecutaWindowsServer2008R2,elnivelfuncionalestconfiguradocomo
WindowsServer2008R2(paraeldominioyelbosque).Esnecesarioactualizarelesquemaparalamigracin
aWindowsServer2012R2?
5 QuesunbosqueActiveDirectory?
6 EnumerelasparticionesenActiveDirectory.
7 Culeslautilidaddeunservidordecatlogoglobal?
8 EsposibleubicarelrolMaestrodeinfraestructuraenunservidorconelrolcatlogoglobal?
9 QuoperacionesdeberealizarparapromoverunservidorCoreacontroladordedominio?
10 EnumereloscincorolesFSMOyluegoproporcionesusfunciones.
11 CuleslautilidaddeunsitiodeActiveDirectory?
12 Esposibleejecutarelcomandodcpromoutilizandolainterfazgrfica?
13 PorqupromoverunservidorutilizandoIFM?Proporcioneunabrevedescripcindeestasolucin.
14 CuleslaconsolaquepermitegestionarlapapeleradereciclajeADylasdirectivasdecontraseamuy
especficas?
15 CulesladiferenciaentreeltombstonedylapapeleradereciclajeAD?
16 Cmocreamoslasdosdirectivasdeseguridad(contraseaybloqueo)enundominioAD?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode13puntosparaaprobarelcaptulo.
3.Respuestas
1 EnumereloscomponentesfsicosylgicosdeundominioActiveDirectory.
VarioscomponentesfsicosconstituyenActiveDirectory,esposibleencontrarcontroladoresdedominio,basesde
datosylacarpetaSYSVOLaligualqueservidoresdecatlogoglobal.Estosltimosseapoyanencomponentes
lgicostalescomoparticiones,elesquemaAD,elbosqueoelsitioAD.
2 QuesundominioActiveDirectory?
UndominioActiveDirectoryesunaagrupacindeobjetos(usuarios,equiposogrupos...).Alsercreados,todos
estosobjetossealmacenanenunabasededatos.Permitenlaautenticacin(objetosusuarioyequipo)o
simplementelaagrupacindeunconjuntodeobjetos(grupo).Losgruposseutilizanparaproporcionarautorizacin
aunrecurso.
3 CuleselcomandoquepermitelaactualizacindelesquemaAD?
Elesquemacontienelosobjetosquepuedensercreados.Parapoderactualizarlo(extenderelesquema),es
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
necesarioejecutarelcomandoAdprep.steseejecutaalmigrarunservidoroalinstalarelprimerservidor
Exchange
4 MicontroladordedominioejecutaWindowsServer2008R2,elnivelfuncionalestconfiguradocomo
WindowsServer2008R2(paraeldominioyelbosque).Esnecesarioactualizarelesquemaparalamigracin
aWindowsServer2012R2?
No,apartirdeWindowsServer2012yanoesnecesarioefectuarestaoperacin.Laetapadeactualizacinse
realizaautomticamente(siesnecesaria)alpromoverelnuevocontroladordedominio.
5 QuesunbosqueActiveDirectory?
UnbosqueActiveDirectorysecomponedeunoovariosdominios.stosseagrupanenarborescenciasdedominios.
Deestaforma,cuandohablamosdeunbosque,setratasimplementedelconjuntodelosdominios.
6 EnumerelasparticionesenActiveDirectory.
LabasededatosActiveDirectorysecomponedevariasparticiones.Podemosencontrarlaparticindedominio,que
contieneelconjuntodeobjetoscreadoseneldominio,laparticindeconfiguracin,quecontienelatopologadel
directorio(listacompletadelosdominios,arborescenciasybosque).Encontramos deigualmaneralaparticindel
esquema,quecontienetodoslosatributosyclasesdeunobjeto.FinalmentelaparticinDNS,quecontieneel
conjuntodezonasDNSintegradasenActiveDirectory.
7 Culeslautilidaddeunservidordecatlogoglobal?
Unservidorconelrolcatlogoglobalposeeunabasededatosdetodoslosobjetospresentesenelbosqueascomo
algunosdesusatributos.Estetipodeservidorfacilitalabsquedadeobjetos.
8 EsposibleubicarelrolMaestrodeinfraestructuraenunservidorconelrolcatlogoglobal?
No,esnecesariomoverelrolMaestrodeinfraestructuraaotroservidor.Sinembargo,sieldominiosolocuentacon
uncontroladordedominio,esposible(soloenestecaso)albergarelMaestrodeinfraestructuraenelservidorconel
catlogoglobal.
9 QuoperacionesdeberealizarparapromoverunservidorCoreacontroladordedominio?
Existendosposibilidades:lainstalacinyconfiguracindelroldeformaremotaempleandolaconsolaAdministrador
delservidoroelempleodelcomandodcpromoenlocalenelservidor.Elcomandonecesita queseinformenlas
distintasopciones.Sepuedeutilizarunarchivoderespuestasparaautomatizarlaoperacin.
10 EnumereloscincorolesFSMOyluegoproporcionesusfunciones.
PodemosencontrarcincorolesFSMOenActiveDirectory:
Maestrodeesquema:elservidorqueposeeesterolcuentaconlospermisosparaelbosque.Eselnicoposeedorde
estospermisos.
Maestrodenomenclaturadedominio:utilizadosolamentealagregar,modificaroeliminarelnombrededominio.
MaestroRID:permiteasignarbloquesdeidentificadorrelativos(RID)alosdiferentescontroladoresdedominiodesu
dominio. Este identificador nico est asociado al SID del dominio para crear el SID (identificador de seguridad) del
objeto.
Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio, que estn presentes en los
gruposdeseguridadoenlasACL.
MaestroemuladordePDC:garantizalacompatibilidaddeaplicaciones,emulandoaunservidorPDCNT4.Permite,de
estemodo,lamigracinentreWindows2000(usodelcontroladordedominioActiveDirectory)yWindowsNT4(usodel
servidorPDCyBDC).Susegundoroleslasincronizacindelrelojparaelconjuntodeldominio.
11 CuleslautilidaddeunsitiodeActiveDirectory?
LossitiosActiveDirectorypermitendefinirfronterasdereplicacinconelobjetivodeahorraranchodebandadela
- 2-
lneaqueconectadossitiosremotos.
12 Esposibleejecutarelcomandodcpromoutilizandolainterfazgrfica?
No,apartirdeWindowsServer2012estecomandosolopuedeutilizarseporlneadecomandos.Parapromoverun
controladordedominio,esnecesarioinstalarelrolServiciosdedirectorioActiveDirectory.
13 PorqupromoverunservidorutilizandoIFM?Proporcioneunabrevedescripcindeestasolucin.
ElarchivodemediosIFMseutilizaparaahorraranchodebandaentredosservidoresremotos.Elarchivo demedios
contienetodoslosdatos(objetos,carpetaSYSVOL...)necesariosparapromoverunnuevoservidor,deestaforma
esteltimonotienemsquereplicarloscambiosdelosobjetoscreadosdespusdelacreacindelarchivode
medios.Estopermiteevitarsobrecargarlalneadecomunicacindurantelaprimerareplicacin.
14 CuleslaconsolaquepermitegestionarlapapeleradereciclajeADylasdirectivasdecontraseamuy
especficas?
AdiferenciadeWindowsServer2008R2,queutilizabaPowerShellylaconsolademodificacinADSIparagestionar
lapapeleradereciclajeyladirectivadecontraseamuyespecfica,apartirdeWindowsServer2012esposible
utilizarlaconsolaCentrodeadministracindeActiveDirectory.Laadministracindeestasdoscaractersticasse
realizaenadelantedeformagrfica.
15 CulesladiferenciaentreeltombstonedylapapeleradereciclajeAD?
EltombstonedpermitelarestauracindeunacuentaADperosepierdenelconjuntodeatributos,adiferenciadela
papeleradereciclajeADquerestauralosatributos.
16 Cmocreamoslasdosdirectivasdeseguridad(contraseaybloqueo)enundominioAD?
Paraestoesnecesarioutilizarladirectivadecontraseamuyespecficaquepermitecrearyasignarvarias
directivasdeseguridad.
- 3-
Requisitospreviosyobjetivos
1.Requisitosprevios
Tenerconocimientosdelacreacinyadministracindecuentasdeequipo.
Tenerconocimientosdelacreacinyadministracindecuentasdeusuario.
Tenerconocimientosdelacreacinyadministracindegrupos.
2.Objetivos
InformacingeneraldelasconsolasActiveDirectory.
CreacinyadministracindeobjetosdeActiveDirectory.
- 1-
Introduccin
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno permite autenticar las
personasfsicasylosequiposunidosaldominio.
- 1-
PresentacindelasconsolasActiveDirectory
Alpromoverunservidoracontroladordedominio,seagreganvariasconsolasalasherramientasdeadministracin.
LaconsolaUsuariosyequiposdeActiveDirectorypermitelagestindelascuentasdeusuario,equiposygrupos.
Desde esta consola es posible efectuar todas las operaciones (creacin, eliminacin, desactivacin...) en los
diferentesobjetos.
SitiosyserviciosdeActiveDirectorypermitegestionarlareplicacinentredossitiosascomolatopologadered.
LagestindelasrelacionesdeconfianzaydelnivelfuncionaldelbosqueserealizamediantelaconsolaDominiosy
confianzasdeActiveDirectory.Porltimo,laconsolaEsquemadeActiveDirectorypermiteadministrarelesquema
deActiveDirectory.Estaconsolasoloestdisponiblesisehaejecutadoelcomandoregsvr32schmmgmt.dllalmenos
unavez,ypermitedefinirlalibreraenelregistrodeWindows.
Es posible utilizar estas consolas desde un equipo cliente (Windows 7, Windows 8 o Windows 8.1) despus de
descargareinstalarelarchivoRSAT(RemoteServerAdministrationTools).
LaconsolaCentrodeadministracindeActiveDirectoryproporcionaotrasopcionesparalagestindelosobjetos.
Incluye una interfaz visual que se basa en comandos PowerShell. Es posible efectuar la creacin de objetos
(usuarios...), crear y administrar una unidad organizativa. Un administrador puede conectarse a otro dominio y
administrarlodesdelaconsola.
Es,tambin,posiblerealizarlaadministracindeesteserviciomediantecomandosPowerShell.Importandoelmdulo
Active Directory es tambin posible realizar las mismas operaciones que las realizadas con las diferentes consolas.
Parallevaracaboestasacciones,tambinsepuedenusarloscomandosDOS:
Dsadd:creaunnuevoobjeto.
Dsget:muestralaspropiedadesdeunobjeto.
Dsmove:efectaeldesplazamientodeunobjeto
Dsrm:eliminaunobjeto.
- 1-
Administracindelascuentasdeusuario
Comotodoobjeto,unacuentadeusuariocontienesuspropiedades,nombredelusuario,contraseayunalistade
gruposdeloscualesesmiembro.Deestaformaesposible,segneltipodecuenta:
Autorizarodenegareliniciodesesinenunequipo.
Autorizarelaccesoaunrecursocompartido.
1.Creacindeunacuentadeusuario
Alcrearunacuentadeusuario,ciertosatributoscomoelnombredeusuarioylacontraseadebenserintroducidos
obligatoriamente.Elnombredeusuariodebesernicoeneldominioyelbosque.Despusdeseleccionarlaunidad
organizativaquevaacontenerlacuentadeusuario,esposiblecrearla.
Seiniciaelasistenteyelusuariodebeobligatoriamenteintroducirelnombredeiniciodesesinylosapellidosoel
nombredepila.Despusdeintroducirlainformacinobligatoria,seactivaelbotnSiguiente.
El campo Nombrecompleto se construye empleando la informacin introducida en los campos Nombre de pila y
Apellidos.Porsupuestoesposiblecambiarelvalorcreadoautomticamenteporeldeseado.stedebesernicoen
elcontenedorolaunidadorganizativa.
A diferencia del SAMAccountName (nombre de inicio de sesin anterior a Windows 2000) que estaba construido
segn la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet), el UPN (User Principal Name
campo nombre de inicio de sesin de usuario) se construye segn la forma NombreInicioDeSesin@dominio
(nbonnet@Formacion.local).
Se pueden utilizar caracteres no alfanumricos para generar nombres de usuario nicos (ejemplo: n.bonnet, n
bonnet...).Observequeestopuedecausarproblemasconciertasaplicaciones.
Enadelante,esnecesarioproporcionarunacontraseatemporal.EsinteresantemarcarlaopcinElusuariodebe
- 1-
cambiarlacontraseaenelsiguienteiniciodesesin,estoobligaalusuarioacambiarsucontraseaensuprimer
iniciodesesin(estecambioesobligatorio).
Existenotrasopcionesdisponibles,quepermitenprohibirelcambiodecontraseaoconfigurarunacontraseaque
noexpiranunca(muytilparalascuentasdesistema).
2.Configuracindelosatributosdeunacuentadeusuario
Despusdecrearelobjeto,esposibleconfigurarotrosatributosopcionales(direccin,nmerodetelfono...). Los
atributospuedenestarclasificadosendiferentescategoras.
Losatributosdecuenta:incluidosenlapestaaCuenta,podemosencontrarinformacinincluyendoelnombrede
usuario,lacontrasea
Lainformacinpersonal:informacinpersonaldelusuario(direccin,nmerodetelfono). Losatributospueden
modificarse mediante la pestaa General que contiene la informacin introducida durante la creacin de la cuenta
(Nombredepila,Apellidos,Nombrecompleto),ytambinenlaspestaasDireccin,TelfonosyOrganizacin.
Lagestindecuentasdeusuario:agrupalosatributosencontradosenlapestaa Perfil,esposibleconfigurarla
rutadelperfilolosscriptsdeiniciodesesin.
Adicionalmente es posible ver el conjunto de atributos empleando la pestaa Editor de atributos. Esta pestaa
requiere mostrar las caractersticas avanzadas (men Ver). De esta forma se muestran todos los atributos,
adicionalmenteelbotnFiltropermitevisualizarunmayornmerodeatributos.
SepuedecambiarelatributodesdelapestaaespecficaodesdelapestaaEditordeatributos.
- 2-
ElatributogivenNametienecomovalorinicialAlumno4.SimodificamoselnombredepilaenlapestaaGeneral...
- 3-
...podemosverqueelatributoseactualizacorrectamente:
- 4-
3.Creacindeunperfildeusuariomvil
Unperfildeusuariopuedeserlocalomvil.Enelcasodeunperfillocal,secreaundirectorioenlacarpetaUsuarios
decadamquinaenlaqueelusuarioabreunasesin.
Sinembargo,enciertoscasosesnecesarioqueelusuariorecuperesusdatos(favoritos,documentos,escritorio...)
entodoslospuestosalosqueseconecta.Enestecaso,esnecesarioemplearunperfilmvil.steseencuentraen
unacarpetacompartidaenelservidor.
Aliniciarsesin,elperfildeusuariosecopiadelservidoralpuestodetrabajo.Posteriormente,duranteelcierrede
sesin,serealizalacopiaensentidoinverso.ParainstalarestasolucinesnecesarioconfigurarelatributoRutade
accesoalperfilenlapestaaPerfil.
- 5-
La variable %username% se reemplaza por el nombre de inicio de sesin del usuario despus de hacer clic en
Aplicar.
Es,tambin,posibleconfigurarunscript(enformatovbsobat),esteltimoseejecutacuandoelusuarioabreuna
sesin.SiestesealmacenaenlacarpetaSYSVOL,solosernecesariointroducirelnombredelarchivo.
PuedeutilizarseunaunidadderedempleandolapropiedadCarpetaparticular.Paraellosernecesarioespecificar
laletradelaunidad.
- 6-
Administracindegrupos
Los grupos en Active Directory permiten facilitar la administracin. Es ms fcil agregar el grupo a la ACL (Access
Control List lista que permite proporcionar permisos) de un recurso compartido en lugar de aadir a todos los
usuarios. Una vez ubicado el grupo, el administrador solo tendr que agregar o eliminar los objetos (cuenta de
equipo,usuarioogrupo)paragestionarelaccesoalrecurso.LaadministracinnoseefectamsaniveldelaACL,
sinoalniveldeActiveDirectory(consolaUsuariosyequiposdeActiveDirectory,CentrodeadministracindeActive
DirectoryodirectamenteenPowerShell). Adicionalmente,ungruposepuedecolocar enunalistadecontroldeacceso
devariosrecursos.Esposiblecreargruposporperfiles(ungrupoContaqueagrupalaspersonasdeldepartamento
decontabilidad,RRHH...)oporrecursos(G_Conta_r,G_Conta_w...).
Espreferibleutilizarunnombreparaelgrupoquesealomsdescriptivoposible.Sugerimosnombrarlosgruposde
estaforma:
Elmbito(Gparaglobal,UparauniversaloDLparadominiolocal).
Elnombredelrecurso(Conta,Fax,BALNicolas,RH).
ElpermisoNTFSqueseatribuyealgrupo(wparaescritura,mparamodificacin,rparalectura...).
Deestaforma,siungruposellamaG_Conta_w,podrdeducirconseguridadqueesungrupoglobalubicadoenla
carpetacompartidaContayqueproporcionaderechosdeescrituraasusmiembros.
1.Diferenciaentregruposdeseguridadydedistribucin
Se puede crear dos grupos en Windows Server. La eleccin se realiza durante la creacin del grupo. El
administradorpodrelegirentreungrupodedistribucinyungrupodeseguridad.
Tambinesposibleconvertirelmbitodelgrupodespusdesucreacin.
Elgrupodedistribucinloutilizanlosservidoresdemensajera(Exchangeporejemplo).NoseatribuyeunSIDal
grupo,porloqueesimposibleincluirloenlalistadecontroldeaccesodeunrecurso.Elenviaruncorreoelectrnico
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
algrupo,elconjuntodemiembrosrecibenelcorreo.
ElgrupodeseguridadposeeunSID(SecurityIDentifier),estoproporcionalaposibilidaddeincluirloenunaACL.As,
seotorgaalosmiembrosdeestegrupopermisosdeaccesoalrecurso.Susegundafuncinesladeservirdegrupo
dedistribucinparaunsoftwaredemensajera.
Estegrupotienelosdosroles,muchasempresassevalensolamentedeestetipodegrupoparaasignar permisosa
sususuariosoparacrearlistasdedistribucindecorreo.
2.Elmbitodeungrupo
Elmbitodelgrupopermitedeterminarelrecursosobreelquepuedeasignarseelgrupoascomolosobjetosque
puedensermiembros.
Local:presentesolamenteenunservidormiembroopuestodetrabajo,ungrupoconestembitonopuedeutilizarse
en un controlador de dominio (el cual no contiene inicialmente las cuentas locales). Este grupo puede utilizarse para
proporcionarpermisosalosusuarioslocalesodelbosqueActiveDirectory.
Alunirunpuestodetrabajoounservidoraldominio,losgruposadministradoresdeldominioyusuariosdeldominio
sonrespectivamentemiembrosdelosgruposlocalesAdministradoresyusuariosdelequipo.
Dominiolocal:seempleaparaadministrarlasautorizacionesdeaccesoalosrecursosdeldominio,ungrupodeeste
mbito puede tener como miembros a los usuarios, equipos o grupos globales y universales del bosque. Los grupos
localesdemiembrosdeldominiodeestegrupodebensermiembrosdeldominio.Estetipodegrupopuedeasignarse
nicamentealosrecursosdesudominio.
Global:adiferenciadelmbitodelDominiolocal,ungrupoglobalpuedecontenersolamentealosusuarios,equiposy
otrosgruposglobalesdelmismodominio.Sepuedeasignaracualquierrecursodelbosque.
Universal:ungrupodeestembitopuedecontenerusuarios,equiposygruposglobalesyuniversalesdeundominio
delbosque,puedesermiembrodeungrupodetipouniversalodominiolocal.ElgrupopuedeincluirseenlasACLde
todos los recursos del bosque. Tenga cuidado de no abusar de este tipo de grupo porque se replica en el catlogo
global.Ungrannmerodegruposuniversalessobrecarganlareplicacindelcatlogoglobal.
Microsofthadefinidounaestrategiadeadministracindegrupos(IGDLA).staconsisteenagregarlasIdentidades
(usuarios y equipos) en un grupo Global. ste es miembro de un grupo Dominio Local (permite proporcionar el
accesoalrecurso).ElgrupoDominiolocalseincluyeenunaACL.
As,siunnuevogrupollamadoG_Tec_Wdebeteneraccesoalrecursocompartidodenominadoinformtica,noser
necesario acceder a la ACL. Agregndolo al grupo DL_TEC_W (el cual est, por supuesto asignado al recurso) se
proporcionaelaccesodeseado.
- 2-
Administracindelascuentasdeequipo
Al unir el equipo al dominio se crea una cuenta de equipo. sta permite autenticar la mquina al iniciar sesin, y
tambinasignardirectivasdegrupo.
1.Elcontenedorequipo
Alcrearundominio,secreauncontenedordesistemallamadoComputersparaalbergarlascuentasdeequipode
lasmquinasunidasaldominio.Noesunaunidadorganizativa,noesposibleaadirunadirectivadegrupoaeste
contenedor.Es,portanto,necesariodesplazarlosobjetosequipoalaOUdeseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU Puestos, OU
Porttiles) para poder vincular las diferentes directivas de grupo o simplemente para delegar en otras personas
diferenteslagestindelosdiversosobjetos.
Lagestindeloscontenedoresespropiadecadaempresaydeberesponderasusnecesidadesylimitaciones.
Paraefectuarunauninaldominio,esnecesariorespetarciertosrequisitosprevios.Elobjetoequipodebecrearse
previamente o el usuario debe poseer los permisos adecuados. El usuario que efecte la unin debe ser
necesariamentemiembrodelgrupodeadministradoreslocalesdelequipo.
SielservidorDNSconfiguradoenlaconfiguracinIPdelequiponoescorrecta,entonceselequiponoseintegrar
nuncaeneldominio.
Tambinesposiblemodificarelcontenedorpredeterminado.Estaoperacinpermitecrearlacuentadeequipoenla
unidadorganizativadeseada.Paraello,sedeberutilizarelcomandoDOSredircmp.
- 1-
Lasintaxisdelcomandoeslasiguiente:
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administracin) tiene, por defecto, la posibilidad de unir 10 equipos al
dominio. Al solicitar autenticacin, deber introducir su nombre de usuario y su contrasea. A partir de Windows
2000Serveresposiblemodificarelnmerodeequipossobreloscualesunusuariotienepermisosmodificandoel
atributoLDAP.
Para ello, es necesario modificar el atributo msDSMachineAccountQuota ubicado en la raz del dominio (la
pestaaEditordeatributosaparecesiseactivanlascaractersticasavanzadas).
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya existe en el
dominio.
2.Reiniciodelcanalseguro
Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo (sAMAccountName) y una
contrasea.Seefectauncambiodecontraseacada30das.EstosidentificadoreslosutilizaelservicioNetLogon
parainiciarunasesinyestableceruncanalseguroconsucontroladordedominio.Ciertoscasosimpactanelcanal
seguroeimpideneliniciodesesin(noseautorizaalequipo):
Restauracin de la imagen del puesto unido a un dominio: la contrasea de la cuenta de equipo al crear la
imagenesdiferentedelaqueexisteenelcontroladordedominio.Larestauracindeunaimagenrestauraelestado
previo del puesto al igual que los identificadores de la cuenta del equipo. Es, por tanto, necesario restaurar el canal
seguro. Es aconsejable realizar un sysprep antes de la creacin de la imagen, para poder eliminar todos los
parmetrosespecficosdeunequipo(nombre,etc.).
- 2-
Restauracin del controlador de dominio. Si el dominio solo contiene un controlador de dominio y es preciso
restaurarlo,lacontraseadelcontroladordedominioesdiferentedeladelpuestodetrabajo.
Siserompeelcanalseguro,apareceunmensajeduranteeliniciodesesin.Seincluyeuneventoasuvezenel
registro.TendrcomofuenteaNETLOGONyunID3210.
Cuandoelcanalseguroserompe,esnecesarioreiniciar.Paraello,unadministradorpodrunirelequipoalgrupo
workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al volver a unirse al dominio, se genera un
nuevo SID, la lista de grupos de los que era miembro el equipo antes del problema del canal seguro se crean
nuevamentedeformaidntica.Parareiniciarelcanalseguroes,tambin,posibleefectuarotrasoperaciones:
Consola Usuarios y equipos de Active Directory: la operacin consiste en usar la opcin Restablecer la
cuentaquepermiterestablecertodalainformacinvinculadaalpuesto.
Comando DOS: tambin es posible utilizar comandos DOS para restablecer la contrasea en el controlador de
dominioyelpuestocliente.Esposibleutilizarloscomandosdsmod,netdomonltest.
Sintaxisdeloscomandos
dsmodcomputerComputerDNreset
netdomresetMachineName/domainDomainName/UserOUserName/PasswordO{Password|*}
NLTEST/SERVER:SERVERNAME/SC_RESET:DOMAIN\DOMAINCONTROLLER
- 3-
Talleres
LostallereslepermitirnponerenprcticalaadministracindecuentasActiveDirectory.
1.Implementarladelegacin
Objetivo:implementarunadelegacinparaqueunusuariopuedaadministrarlaunidadorganizativasobrelaquese
haestablecidoladelegacin.
Mquinavirtualutilizada:AD1.
EnelservidorAD1,inicielaconsolaUsuariosyequiposdeActiveDirectory.
Enelrbol,seleccionelaunidadorganizativaForm.
Haga clic con el botn derecho en la OU Form y luego en el men contextual seleccione Delegar
control....
HagaclicenSiguienteenlaprimeraventanadelasistente.
EnlaventanaUsuariosogrupos,hagaclicenAgregar.
IntroduzcaFormadoresyluegohagaclicenelbotnComprobarnombresenlanuevaventanaquese
muestra.
- 1-
HagaclicenAceptarparavalidarelcampoyluegoenSiguiente.
Enlalistadetareasadelegar,marquelascasillasCrear,eliminaryadministrarcuentasdeusuarioy
Crear,eliminaryadministrargrupos.
HagaclicenSiguienteyluegoenFinalizar.
EnlabarrademensdelaconsolaUsuariosyequiposdeActiveDirectory,hagaclicenVeryluegoen
Caractersticasavanzadas.
HagaclicconelbotnderechoenlaunidadorganizativaFormyluegoenPropiedades.
HagaclicenlapestaaSeguridadyluegoenelbotnOpcionesavanzadas.
ElgrupoFormadorestienelospermisosenlaunidadorganizativa.
- 2-
HagaclicenAceptarparacerrarlaventana.
Parapermitiralusuarioadministrarlaunidadorganizativa,esposibleinstalarensuequipolosarchivosRSAT(Remote
Server Administration Tool).Deestaformacontarconaccesoalaconsolaconlospermisosadecuados.Ennuestro
ejemplovamosautilizarelgrupoOperadoresdecopiadeseguridadparapoderabrirunasesinenelcontrolador
dedominio.ElusuarioutilizadodebesermiembrodelgrupoFormadores.
2.Administracindecuentasdeusuario
Objetivo:elobjetivodeltalleresefectuarlacreacindeunacuentaplantillaapartirdeunperfiltemporal.
Mquinasvirtualesutilizadas:AD1yCL801.
EnCL801,abraunasesinyluegoabraelCentroderedesyrecursoscompartidos.
- 3-
HagaclicenCambiarconfiguracindeladaptadory,acontinuacin,hagadoblecliceneladaptadorde
redyluegoenelbotnPropiedades.
EnlaspropiedadesdelProtocolodeInternetversin4(TCP/IPv4)configureeladaptadorderedcomo
seindicaacontinuacin:
n
DireccinIP:192.168.1.15
Mscaradesubred:255.255.255.0
Puertadeenlacepredeterminada:192.168.1.254
ServidorDNSpreferido:192.168.1.10
ServidorDNSalternativo:192.168.1.11
AlnoexistirningnservidorDHCPenlared,esnecesarioconfigurareladaptadordereddeformaesttica.
- 4-
HagaclicenAceptaryluegoefectelauninaldominioFormacion.local.
En AD1, abra una sesin como administrador y luego inicie la consola Usuarios y equipos de
Active Directory.
HagaclicenlaunidadorganizativaFormyluegomuestrelaspropiedadesdelacuentaNicolas BONNET.
En el campo Descripcin de la pestaa General introduzca Formador y consultor IT luego
www.nibonnet.frenelcampoPginaweb.
- 5-
HagaclicenlapestaaDireccineintroduzcalainformacinqueseindicaacontinuacin:
- 6-
Calle:3200ruedelatours
Ciudad:Velaux
Estadooprovincia:13
Cdigopostal:13880
SeleccionelapestaaPerfilyluegoenelcampoRutadeaccesoalperfil,introduzca\\AD1\Perfiles\
%username%.
ElrecursocompartidoPerfilessecrearposteriormente.
- 7-
HagaclicconelbotnderechodelratnenNicolasBONNETyluegoseleccioneCopiar.
Enlaventanaquesemuestra,introduzcaPaulenelcampoNombredepilayluegoMendezenelcampo
Apellidos.Porltimo,introduzcapmendezenelcampoNombredeiniciodesesindeusuario.
- 8-
HagaclicenSiguienteeintroduzcaunacontrasea.
ValidelacreacinhaciendoclicSiguienteyFinalizar.
LaspropiedadesdelapestaaGeneralsehancopiado.
- 9-
EnlapestaaDireccin,nicamentenosehacopiadoelcampoDireccin.
- 10 -
Finalmente,laspestaasPerfilyMiembrodesehancopiado.
TodacuentadeusuarioenActiveDirectorypuedeservirdeplantilla.Lacreacindeunnuevoobjetosevefacilitada
porqueelconjuntodepropiedadescomunes(listasdegruposenlapestaaMiembrode)sereplican.
HagaclicenAceptarenlaspropiedadesdelacuenta.
EnelservidorAD1,creeunacarpetallamadaPerfiles.
Sinohacreadolasegundaparticin,esposiblerealizarlaoperacinenlaparticindelsistema.
En las propiedades de la carpeta creada, seleccione la pestaa Compartir y luego haga clic en Uso
compartidoavanzado....
- 11 -
MarquelaopcinCompartirestacarpetayluegohagaclicenPermisos.
ElimineelgrupoTodosyluegoconfigurelospermisostalycomosemuestraacontinuacin:
- 12 -
Admins.deldominio:Controltotal
Formadores:Cambiar
ValideloscambioshaciendoclicdosvecesenAceptar.
SeleccionelapestaaSeguridadyluegohagaclicenOpcionesavanzadas.
En la ventanaConfiguracin de seguridad avanzada para Perfiles,hagaclicenelbotnDeshabilitar
herencia.
HagaclicenQuitartodoslospermisosheredadosdeesteobjeto.
HagaclicenelbotnAgregaryluegoenelenlaceSeleccionarunaentidaddeseguridadenlaventana
EntradadepermisoparaPerfiles.
Escriba Formadores y luego haga clic en Comprobar nombres. Valide la informacin haciendo clic en
Aceptar.
AsignealgrupoelpermisoModificaryluegohagaclicdosvecesenAceptar.
- 13 -
Cierretodaslasventanasactivas.
EnCL801,abraunasesincomopmendez.
ElperfilmvilsehacreadocorrectamenteenelrecursocompartidoPerfilesenelservidorAD1.
- 14 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 EnqulenguajesebasalaconsolaCentrodeadministracindeActiveDirectory?
2 Enumerelosatributosdeunacuentadeusuarioquesonobligatoriosdurantesucreacin.
3 EscribalaUPNparaelusuarionbonnetdeldominioFormacion.local.
4 QupodemosverenlapestaaEditordeatributos?Esposiblemodificarlosvaloresquecontiene?
5 Cmofuncionaunperfilmvil?
6 Enumerelostiposdembitodegrupoquepodemosencontrar.
7 Culesladiferenciaentreungrupodeseguridadyungrupodedistribucin?
8 Culeslautilidaddelcomandoredircmp?
9 Quesuncanalseguro?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode6puntosparaaprobarelcaptulo.
3.Respuestas
1 EnqulenguajesebasalaconsolaCentrodeadministracindeActiveDirectory?
Cuandoeladministradorejecutaunaaccin,laconsolallamaacomandosPowerShell.Estaconsolapermiterealizar
operacionestalescomolaactivacinolaadministracindelapapeleradereciclajeActive Directory,ypuedetambin
realizaroperacionesmselementalescomolacreacindeunobjeto.
2 Enumerelosatributosdeunacuentadeusuarioquesonobligatoriosdurantesucreacin.
Unacuentadeusuarioposeevariosatributos,sinembargo,alcrearla,solosonobligatoriosunapellidoonombrede
pila,unnombredeusuarioyunacontrasea.
3 EscribalaUPNparaelusuarionbonnetdeldominioFormacion.local.
LaformadelaUPNesnbonnet@formation.local.
4 QupodemosverenlapestaaEditordeatributos?Esposiblemodificarlosvaloresquecontiene?
LapestaaEditordeatributospermitevisualizartodoslosatributosLDAPdelobjetousuarioseleccionado.Estos
valoresestn,tambin,presentesenlasdiferentespestaas(apellido,nombredepila,nombredeiniciodesesin).
Esperfectamenteposiblemodificarelvalordeunatributo.
5 Cmofuncionaunperfilmvil?
Conunperfilmvilelusuariorecuperalapersonalizacindesuequipo(Mtodosabreviados,favoritos...)desde
cualquierpuestodetrabajoalqueseconecte.Enefecto,elperfilnosealmacenadeformalocalsinoenunrecurso
compartidoderedenunservidor.Aliniciarsesin,elperfildelusuariosecopiaalequipo,paracopiarseensentido
inversohaciaelservidorduranteladesconexin.
6 Enumerelostiposdembitodegrupoquepodemosencontrar.
Podemosencontrarcuatrotiposdembitodegrupo:
Local
- 1-
Global
Dominiolocal
Universal
7 Culesladiferenciaentreungrupodeseguridadyungrupodedistribucin?
LadiferenciaestribaaniveldelSID,elgrupodeseguridadposeeesteidentificadornico.Puedeentoncesutilizarse
enunaACLotenerlafuncindelistadedistribucindecorreo.Alcontrarioqueesteltimo,ungrupode
distribucinnocuentaconesteidentificadorysolopuedeutilizarsecomolistadedistribucin.
8 Culeslautilidaddelcomandoredircmp?
Alrealizarlauninaldominiodeunequipoquenoposeeunacuenta,stasecreaautomticamenteenlacarpeta
desistemaComputers.Elcomandoredircmppermitealojarlacuentacreadaautomticamenteenotrocontenedor
(porejemplo,enunaunidadorganizativa).
9 Quesuncanalseguro?
Uncanalseguroesunarelacindeaprobacinentreuncontroladordedominioyuncliente(puestodetrabajo...).
Sielcanalseguroserompeesimposibleautenticarelequipo.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
ConocerlalneadecomandosDOS.
2.Objetivos
Utilizacindeloscomandoscsvdeyldifde.
AdministracindeActiveDirectoryempleandocmdletsPowerShell.
- 1-
Introduccin
Es posible utilizar comandos PowerShell para automatizar la administracin de Active Directory. Esto permite ganar
tiempoyunamayorfiabilidadencomparacinconunaadministracinmanual.
- 1-
Administracinmediantelneasdecomandos
WindowsServer2012R2incluyevariasherramientasquepermitenefectuarlaadministracinporlneadecomandos.
As,esposiblecrearscriptsparaautomatizartodalagestinolacreacindeobjetosActiveDirectory.
Al gestionar el directorio por lnea de comandos, un administrador puede rpidamente implementar
varias operaciones (se ejecuta la 1 operacin de forma automtica, luego la 2, la 3 ...). Adems, es posible
actualizar aplicaciones desarrolladas por el equipo tcnico que se basen en estos scripts. Tomemos un ejemplo
concreto:puededesarrollarunaaplicacinparaeldepartamentodeRecursosHumanos,estaaplicacinseutilizaal
llegarunnuevoempleado.Eldirectorderecursoshumanosintroduce lainformacin(suapellido,nombredepila...)en
laaplicaciny,alvalidarlo,elscriptrecuperalainformacinycrealacuentadeActiveDirectory.
1.UtilizacindelcomandoCSVDE
CSVDEesunaherramientaporlneadecomandosquepermiteimportaroexportarlosobjetosdeldirectorio Active
Directory(cuentasdeusuario...).Estasoperacionesseefectandesdeosobreunarchivo enformatoCSV(Comma
SeparatedValues).Estetipodearchivopuedeutilizarlodeigualformaunabasededatosovisualizarseenunahoja
declculoExcel.Sinembargo,estaherramientanopuedemodificaroimportarunobjetoexistente.
Elcomandocsvdeincluyevariasopcionescomo:
dRootDN:indicaelnombredelcontenedordesdeelquecomenzarlabsqueda.
p scope: permite especificar el mbito de la bsqueda. Cada opcin cuenta con diferentes posibilidades: Base
permite indicar nicamente una bsqueda del objeto, onelevel para la bsqueda de un objeto solamente en el
contenedorindicadoysubtreeparalanzarunabsquedaenelcontenedorysubcontenedores.
rfilter:permiteincluirunfiltro.EstaltimautilizaunasolicitudenformatoLDAP.
l ListOfAttributes: especifica los atributos que deben exportarse. Cada atributo debe seleccionarse mediante su
nombreLDAPysepararseporunacoma.
Sintaxisparaefectuarunaexportacin
Csvde -f ArchivoCsv
Laopcinfpermiteindicarelarchivoautilizar.
Esposibleutilizarotrasopcionesparaunaoperacindeimportacin.
i:permiterealizarunaimportacin.
fArchivoCsv:indicaelarchivoautilizarpararealizarlaoperacin.
k:seignoranloserrores,loquepermitequeelcomandoseejecutesininterrupcin.
ElarchivoLDAPutilizadoposeeunalneadecabecera,compuestaporelnombredelosatributosLDAP(nombre...).
Estecomandonosepuedeutilizarparaimportarlascontraseasporquestasaparecensincifrar. Porlotanto,la
cuentanoposeecontraseaysedeshabilita.
2.UtilizacindelcomandoLDIFDE
- 1-
Al igual que CSVDE, LDIFDE es una herramienta por lnea de comandos que permite efectuar operaciones de
exportacin o creacin de objetos. Permite, a diferencia del comando anterior, modificar o eliminar objetos ya
existentes.ElarchivodebeestarenformatoLDAPDataInterchangeFormat(LDIF).
Estetipodearchivodetextocontienebloquesdelneas,cadaunapermiteefectuarunaoperacin.Cadalneadel
bloquecontieneinformacinsobrelaoperacinarealizar,ascomoelatributoafectado.
Cadaoperacinarealizarseseparaporunalneavaca.Elatributochangetypepermitedefinirlaaccinarealizar.
Puedetenercomovaloradd,modifyodelete.
Muchasdelasopcionesdelcomandocsvdelasutilizaelcomandoldifde.
Sintaxisdelcomando
Esnecesarioutilizaralmenoslaopcinfparalaexportacin,queindicaelarchivoautilizar.
Ldifde -f ArchivoLDIF
La importacin utilizar al menos dos opciones adicionales: i para indicar que el comando va a realizar una
importacinykparaignorarloserrores.
Ldifde -i -f ArchivoLDIF -k
Siseencuentraunerror,laejecucinnosedetiene,alemplearlaopcink.
- 2-
AdministracindelrolADDSempleandoPowerShell
LaplataformaPowerShellesunlenguajedescriptingmuysimpledeusar.Incluyecmdletsnecesariosparalagestin
deldirectorioActiveDirectory.
1.AdministracindecuentasdeusuarioconPowerShell
LoscmdletsPowerShellpermitencrear,modificaryeliminarunacuentadeusuario.Esposibleejecutarlasdiferentes
instruccionesdirectamenteenlaconsolaPowerShelloejecutandounscript.
LasoperacionesrealizadasdemaneragrficapuedenllevarseacaboempleandoinstruccionesPowerShell.
Sepuedenusardiferentescmdlets,cadaunoconunafuncinbiendefinida:
Creacindeunacuentadeusuario:NewADUser
Modificarunapropiedaddelacuenta:SetADUser
Eliminarunusuario:RemoveADUser
Modificarunacontrasea:SetADAccountPassword
Modificarlafechadeexpiracin:SetADAccountExpiration
Desbloquearunacuentadeusuario:UnlockADAccount
Activarunacuentadeusuario:EnableADAccount
Desactivarunacuentadeusuario:DisableADAccount
AccountExpirationDate:permitedefinirlafechadeexpiracindeunacuentadeusuario.
AccountPassword:proporcionalacontraseaparaelusuario.
ChangePasswordAtLogon:activalaopcinqueobligaelcambiodecontraseatraselprimeriniciodesesin.
Enabled:permitedefinirsilacuentaestactivaoeliminada.
HomeDrive:definelaletraquedebeutilizar,ascomolarutaalacarpetaparticulardelusuario.
GivenName:utilizadaporelatributoNombredepiladelacuenta.
Surname:parmetroquepermiteconfigurarelapellidodelusuario.
Path:rutadondesecreaelusuario.
- 1-
Tomemosunejemploconcreto.ElusuarioJeanBAKesunnuevoformador.Esnecesariocrearsucuenta.
Aqutenemoslaspropiedadesdelacuenta:
Nombre:BAK
Nombredepila:Jean
Nombredeiniciodesesin:jbak
Contrasea:Pa$$w0rd
Contenedordelobjeto:OUForm
Lacontraseadebercambiarsetraselprimeriniciodesesinylacuentaestaractiva.
SinohaimportadoelmduloActiveDirectory,introduzcaImportModuleActiveDirectory.Estopermite utilizarlos
diferentescmdletsdeActiveDirectory.
ElcomandoPowerShellquedebeutilizarpararealizarestaoperacineselsiguiente:
PuededescargarlosscriptsenlapginaInformacin.
- 2-
Eshoradeverificarelresultadodelcomando.LacuentaestpresenteenlaunidadorganizativaForm yelnombre
paramostrarJeanBAK.
El nombre de inicio de sesin del usuario es, efectivamente, jbak, para el UPN (User Principal Name) o el
SamAccountName(nombredeiniciodesesinanterioraWindows2000).
Laopcinqueindicaelcambioduranteeliniciodesesintambinesthabilitada.
- 3-
LoscamposApellidosyNombredepilatambinestncorrectamenteconfigurados.
- 4-
Sehantenidoencuentatodoslosparmetrosdelscript.
2.AdministracindegruposconPowerShell
Al igual que para los usuarios, la creacin y la gestin de los grupos puede hacerse empleando comandos
PowerShell.
Podemosencontrarvarioscmdletsparagestionarlosgrupos:
Creacindeunanuevogrupo:NewADGroup
Modificarlaspropiedades:SetADGroup
Verlaspropiedades:GetADGroup
Eliminarungrupo:RemoveADGroup
Agregarunmiembro:AddADGroupMember
Mostrarlosmiembrosdeungrupo:GetADGroupMember
Eliminarunmiembro:RemoveADGroupMember
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores. Seguidamente debemos
crearunnuevogrupollamadoAlumnos.
- 5-
Comprobemos, a continuacin, que se ha aadido correctamente. Para ello, es necesario utilizar Get
ADGroupMember.
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creacin del grupo. Para ello, debemos utilizar el cmdlet NewADGroup. Lo
componenvariosparmetrosquepermitenconfigurarlosdiferentesatributosdeungrupo.
Name:indicaelnombredelgrupoquevamosausar.
GroupScope:defineelmbitodelgrupo(DominioLocal,GlobaloUniversal).Esteparmetroesobligatorio.
ManagedBy:indicaelusuariooelgrupoquelopuedeadministrar.
Path:proporcionaelcontenedorquevaaalmacenaralobjeto.
SamAccountName:especificaelnombredegrupoanterioraWindows2000.
Deestaforma,paracrearelgrupoAlumnos(grupodeseguridadconunmbitoglobal),debemosutilizarelcomando
siguiente:
- 6-
Comprobemos,acontinuacin,elresultado.Esposiblevisualizarlodeformagrficaoporlneadecomandos.
Get-ADGroup Alumnos
ElcomandodevuelveasuvezelSIDdelgrupo.
SepuededescargarlosscriptsenlapginaInformacin.
3.AdministracindecuentasdeequipoconPowerShell
Existencmdletspararealizarlaadministracindelascuentasdeequipo.
Creacindeunacuentadeequipo:NewADComputer
Modificacindepropiedades:SetADComputer
Mostrarlaspropiedadesdelacuenta:GetADComputer
Eliminacindecuentas:RemoveADComputer
Vamosarestableceruncanalsegurorotoycrearunnuevoequipoempleandolosdiferentescmdlets.
LaprimeraoperacinarealizaresreiniciarlacuentadeequipoCL801.Elcanalseguroseencuentraroto.
- 7-
Esnecesarioconectarsecomoadministradorlocalparapoderresolverelproblema.
ElusodelcmdletTestComputerSecureChannelnosconfirmaqueelcanalseguroestroto.
Esmomentoderepararlarelacindeconfianzaentreelpuestodetrabajoysucontroladordedominio.
EsmuyimportanteejecutarlaconsolaPowerShellcomoadministrador.Sinesto,elcomandonosdevolver unerror
porpermisosinsuficientes.
ElparmetroServerpermiteindicarqucontroladordedominiohemosdecontactar.Credentialindicaelnombredel
usuarioquetienelospermisosdeadministracinenlacuentadeequipo.
Esprecisoindicarlacontraseadelacuentautilizadaparavalidarlaautenticacin.
- 8-
Elpuestoclientepuedeahoraserautenticadoporsucontroladordedominio.
Para realizar la creacin de una cuenta de equipo, debe usarse el cmdlet New_ADComputer. ste tiene tres
argumentos:
Name:nombredecuenta.
Path:rutadelcontenedorquealbergalacuenta.
Enabled:configuraelestadodelequipo(ActivooInactivo).
Lacuentaseactivaysegeneraunacontraseaaleatoriadeformapredeterminada.
Siseejecutaelsiguientecomandoenelcontroladordedominio,secrealacuentallamada CL803.
LacuentadeequiposehacreadocorrectamenteenlacarpetadesistemaComputers.
SepuededescargarlosscriptsenlapginaInformacin.
4.AdministracindeunidadesorganizativasconPowerShell
Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que aplicaremos una
directivadegrupo.Tambinesposibleimplementarladelegacinsobreestetipodeobjeto.
Podemosutilizarcuatrocmdlets:
- 9-
NewADOrganizationalUnit:realizalacreacindeunaunidadorganizativa.
SetADOrganizationalUnit:modificalasdiferentespropiedadesquetieneelobjeto.
GetADOrganizationalUnit:muestralaspropiedadesdelaunidadorganizativa.
RemoveADOrganizationalUnit:permiteeliminarunaOU.
Para poner en prctica la administracin de las unidades organizativas, vamos a eliminar la proteccin contra la
eliminacinaccidentalempleandoPowerShellycrearemosunnuevocontenedorllamadoEquipos.
ApartirdeWindowsServer2008esposibleactivarlaproteccincontralaeliminacinaccidental.staseencuentra
activadeformapredeterminadadurantelacreacindecualquierobjeto.
PodemosdesactivarestaopcinempleandoelsiguientecomandoPowerShell:
Set-ADOrganizationalUnit "OU=Form,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Laopcinestahoradesactivada.
Ahora podemos pasar a la etapa de creacin de una unidad organizativa. Como hemos visto anteriormente, el
cmdletautilizarparaestaoperacinesNewADOrganizationalUnit.stetienevariosparmetros:
Name:defineelnombreautilizar.
Path:rutadondesealmacenaelnuevoobjeto.
ProtectedFromAccidentalDeletion:defineelestadodelatributodeproteccincontralaeliminacin.
LaunidadorganizativaEquiposesuncontenedorhijodelaunidadorganizativaForm.Elsiguientecomandopermite
realizarestaoperacin:
- 10 -
LaunidadorganizativaseencuentraenlaOUForm.
SepuededescargarlosscritpsenlapginaInformacin.
- 11 -
Taller
Elcaptulosecomponedeoperaciones(creacindeusuario,unidadorganizativa...)quepuedereproducir.Laparte
prcticasereduceaunsolotaller.
1.ModificacindevariosusuariosenPowerShell
Objetivo:modificarvariosusuariosempleandouncomandoPowerShell.
Mquinavirtualutilizada:AD1.
EnelservidorAD1,inicielaconsolaWindowsPowerShell.
Introduzca el comando GetADUser Filter * SearchBase ou=Form,dc=Formacion,dc=local |
FormatWideDistinguishedName
SepuededescargarelscriptenlapginaInformacin.
ElcomandodevuelvesolamentelosusuariosdelaunidadorganizativaForm.
Todos los usuarios de la OU Formacion debern cambiar la contrasea tras el prximo inicio de sesin. La opcin
PasswordNeverExpirespermitedesactivarlaopcinLacontraseanuncaexpira.
Deestaformaesmuysencilloimplementarunfiltroymodificarunapropiedad.
- 1-
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 Qutipodearchivoexplotaelcomandocsvde?
2 Qucomandosesprecisoutilizarparaefectuarunaexportacinyunaimportacin?
3 CuleselcomandoaemplearparautilizarunarchivoLDIF?
4 Qucomandodebemosutilizarsitenemosqueefectuarunaoperacindemodificacinodeeliminacin?
5 Qucmdletdebeusarseparacrearunacuentadeusuario?
6 CuleselcomandoPowerShellquehayqueejecutarparaimportarelmduloActiveDirectory?
7 Seharotolarelacindeconfianzaentreunequipoysucontroladordedominio.Qucomandoesnecesario
ejecutarparavolveracrearla?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode6puntosparaaprobarelcaptulo.
3.Respuestas
1 Qutipodearchivoexplotaelcomandocsvde?
ElcomandocsvdeutilizaarchivosconextensinCSV(CommaSeparatedValues).
2 Qucomandosesprecisoutilizarparaefectuarunaexportacinyunaimportacin?
Pararealizarunaexportacindebemosutilizarelcomandocsvde fNombreDeArchivo.Laopcin fpermite
indicarelarchivoautilizar.Laimportacinnecesitarmsparmetros,lainstruccinaejecutaresdelaforma
csvde i fArchivoCSV k.Laopcin iindicaquevamosarealizarunaimportacin, kpermitecontinuarla
ejecucinaunqueseproduzcaalgnerror.
3 CuleselcomandoaemplearparautilizarunarchivoLDIF?
ElarchivoLDIFpuedeutilizarsemedianteelcomandoldifde.
4 Qucomandodebemosutilizarsitenemosqueefectuarunaoperacindemodificacinodeeliminacin?
Noesposibleefectuarmodificacionesoeliminacionesconelcomandocsvde.Enestecasotendremosqueutilizarel
comandoldifde.
5 Qucmdletdebeusarseparacrearunacuentadeusuario?
ParacrearunacuentadeusuarioenPowerShelldebemosutilizarelcmdletNew ADUser.
6 CuleselcomandoPowerShellquehayqueejecutarparaimportarelmduloActiveDirectory?
Elcomandoimport moduleActiveDirectoryimportaelmduloquepermitelaadministracindelosobjetos
ActiveDirectory.
7 Seharotolarelacindeconfianzaentreunequipoysucontroladordedominio.Qucomandoesnecesario
ejecutarparavolveracrearla?
Sielcanalseguroserompeesimposibleautenticarelequipo.Serentoncesnecesarioemplearelcomando Reset
ComputerMachinePassword.
- 1-
Requisitospreviosyobjetivos
1.Requisitosprevios
TenerconocimientosdedireccionamientoIP.
PoseernocionessobrelapilaTCP/IPysusprotocolos.
2.Objetivos
AnlisisdelprotocoloTCP/IP.
PresentacindeldireccionamientoIPv4ysusdiferentestiposdedirecciones.
Establecimientodesubredes.
GestinymantenimientodelprotocoloIPv4.
ImplementacindelprotocoloIPv6.
- 1-
Introduccin
ElprotocoloInternetProtocolVersion4(IPv4)esunprotocoloderedutilizadoenInternetoenredeslocales.
- 1-
InformacingeneraldelprotocoloTCP/IP
TCP/IP(TransmissionControlProtocol/InternetProtocol)esunconjuntodeprotocolosquepermitenlacomunicacinde
redesheterogneas.CadaprotocolocontenidoenTCP/IPserepartelasdiferentestareasaefectuar.Elconjuntode
protocolossecomponedevariascapas(conteniendocadaunavariosprotocolos)cadaunaposeeunafuncinbien
definida.
Existencuatrocapas:
Aplicacin
Transporte
Internet
Interfazdered
LacapadeAplicacin
Esta capa permite a una aplicacin acceder a los recursos de red. Contiene diferentes protocolos de aplicacin.
Correspondealascapasdeaplicacin,sesinypresentacindelmodeloOSI(OpenSystemInterconnection).
LacapadeTransporte
Garantizaelcontrolylafiabilidaddelastransferenciasdedatosenlared.Correspondealacapadetransportedel
modeloOSI.EncontramosaqulosprotocolosTCP(TransmissionControlProtocol)yUDP(UserDatagramProtocol).
El protocolo TCP permite establecer una conexin fiable entre dos entidades (equipos, etc.). Garantiza, antes de
iniciarlosintercambiosdedatos,queelreceptorestlistopararecibirlasdiferentestramas. Cadaintercambioest
seguidodeunacusederecibo,quegarantizalacorrectarecepcindecadapaquete.ElprotocoloUDPproporciona
una transmisin de datos sin conexin, el emisor y el receptor intercambian tramas de sincronizacin y, a
continuacin, comienzan la transferencia. La entrega de paquetes se considera poco fiable, sin embargo se estima
msrpida(alnoenviaracusederecibo).
LacapaInternet
Estacorrespondealacapa3delmodeloOSI(red).Podemosencontrarenestacapavariosprotocolos,como:
ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access Control) del
destinatario.Lastramasutilizadassondetipobroadcast.stasnopuedenfranquearlosrouters.
ICMP(InternetControlMessageProtocol):permitentransportarmensajesdecontroldeerrores(mquina noaccesible,
- 1-
porejemplo).
Lacapadeinterfazdered
Correspondenalascapas1(nivelfsico)y2(niveldedatos)delmodeloOSI.Permiteelenvoenlaredfsicadelas
diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa efecta tambin la transformacin de la
sealdedigitalaanalgica.
Paraestablecerunaconexinconunaaplicacinounequiporemoto,esnecesarioestablecerunsocket TCPoUDP.
Esteltimocuentacontresparmetros:
Elprotocolodetransporte(TCPoUDP).
Elnmerodepuertoutilizado.
LadireccinIPv4oIPv6delosequiposorigenydestino.
Lacombinacindelostrespermitelacreacindeunsocket.
Elnmerodepuertosquepuedenutilizarseesde65536,sinembargolosprimeros1024seencuentranreservados
para aplicaciones especficas. La reserva de estos puertos permite a las aplicaciones cliente una comunicacin ms
fcilconelservidor.
Aqupuedeencontrarunalistadelosprincipalespuertosutilizados:
- 2-
TCP80:HTTP
TCP443:HTTPS
TCP110:POP3
TCP25:SMTP
UDP53:DNS(peticionesDNS)
TCP53:DNS(transferenciadezonas)
TCP20y21:FTP
EntendereldireccionamientoIPv4
Duranteaos,elprotocoloIPv4hasidoutilizadoenlasredesparadireccionarlosequiposconectados.Esteprotocolo
permiteasuvezalosdiferentesequiposcomunicarseentreellos.
1.EldireccionamientoIPv4
UnadireccinIPv4tieneunalongitudde32bits,osea4bytesde8bits.Cadabyteestseparadoporpuntosy
escritoenformadecimal(de0a255).
Una direccin IP es un identificador nico que permite reconocer el equipo en la red (igual que un nmero de
seguridad social identifica a un hombre o una mujer). Esta direccin puede configurarse de forma manual o
automtica.Seleatribuyeacualquierinterfazderedquelasolicite.
UnadireccinposeeunIDderedqueidentificalaredalaqueestconectadoelequipo.LuegounIDdehostque
permiteunaidentificacinunivocadelequipoenlared.Enfuncindeladireccinutilizada(consultelaseccinLas
diferentesclasesdedireccionesmsadelanteenestecaptulo),seatribuyenunoovariosbytesalosdiferentesID.
Antesdelenvodeunatrama,esnecesarioqueelequipoemisorsepasieldestinatarioestenunareddiferente
delasuya.
Paraefectuarestaverificacin,elequipoutilizalamscaradesubredyefectaunYlgico(paratenerunresultado
1losdosvaloresdebernserigualesa1).
TomemoselejemplodeunequipocondireccinIP10.0.0.2yunamscaradesubred255.0.0.0.
Conversindedecimalabinario
Enprimerlugar,esnecesarioconvertirdedecimalabinario(estepuntosertratadoenprofundidadposteriormente
enestecaptulo).
10.0.0.2=00001010.00000000.00000000.00000010
255.0.0.0=11111111.00000000.00000000.00000000
OperacinYlgicoentredosvaloresbinarios
AhoraefectuamosunYlgicoentrelosdosvalores(Elresultadoesiguala1silosdosvaloressonigualesa1).
00001010.00000000.00000000.00000010
11111111.00000000.00000000.00000000
00001010.00000000.00000000.00000000
Conversindebinarioadecimal
Ahoraconvertimoselresultadodebinarioadecimal.
00001010.00000000.00000000.00000000=10.0.0.0
ElIDderedseencuentraenelprimerbyteporquelosotrossonigualesa0.SielequipodestinotieneunIDdered
- 1-
diferente,estarnecesariamenteenunareddiferente.Enesecaso,elequipoemisordelatramadebeenviarlaala
puertadeenlaceespecificadaensuconfiguracinIP.
El objetivo de la puerta de enlace, generalmente un router, es la transmisin de los paquetes a otra red
(Internet...).Latramaseredirigeaotrosroutersempleandolastablasdeenrutamiento,hastaeldestinatario.Es
porestomuyimportanteenunareddeproduccinelconfigurarunapuertadeenlacevlida.
2.Direccionamientoprivado/pblico
LagrandemandadedireccionesIPdebidaalapopularizacindelamicroinformticahaobligadoalacreacinde
unanuevanormativa.LaRFC1918(odireccionamientoprivado)havistolaluzparapaliarelriesgodecarenciade
direccionesIPv4.Estacarenciasehaconvertidoenrealidadysehadesarrollado unnuevoprotocoloIP(IPv6).
Lasdireccionesprivadasypblicastienencadaunadiferentescometidosenunsistemadeinformacin.
LasdireccionesIPpblicasseencuentranenlaredInternet.DichadireccinIPesnicaenelmundoyladistribuyen
organismosespeciales.LosequiposqueposeenestetipodedireccinIPsonaccesiblesenInternet.Todaempresa
oparticularutilizaunrouteromodemrouter(livebox...)paraaccederaInternet.EsteequipoposeeunadireccinIP
quelehasidoasignadaporelproveedordeacceso.
Losequiposenunaredlocalutilizanporsuparteunadireccinprivada.EstaltimanoesaccesibledesdeInternet
(ningn equipo en una red pblica posee este tipo de direccin). Solo es nica en una red de rea local. Dos
empresasdiferentesquenoestnconectadasentrespuedentenerlasmismasdirecciones.
Alcrearestanorma,sereservaronconjuntosdedireccionesIPpblicasparalasdireccionesdeequiposenunared
local.Deestaformacadaclaseposeesupropioconjuntodedireccionesreservadas.
ClaseA:10.0.0.0a10.255.255.255
ClaseB:172.16.0.0a172.31.255.255
ClaseC:192.168.0.0a192.168.255.255.
3.Conversindebinarioadecimal
Comohemospodidover,unadireccinIPestcompuestaporbytescuyovalorseencuentraenformato decimal.Sin
embargoestenmerosecalculaempleandocifrasbinarias(dosestadosposibles,0o1).
Conversindebinarioadecimal
Sidescomponemosunbyte,nosdaremoscuentadequesteposee8bitsycadaunotieneunrango.Eldemenor
valor,eldeladerecha,tieneunrango0(vermsabajo).Eldemayorvalor,situadomsalaizquierda,tieneun
rango8.Paraobtenerelvalordecimaldecadarango,hacefaltaelevar2alapotenciadelrangodelbit.
Deestaforma,elbitconelrango0tieneelvalordecimalde1por20 =1,eldelrango1tieneelvalorde2por21 =2
Paraefectuarlaconversindebinarioadecimaldebemosaadirlosvaloresdecimalesdelosbitsconvalor 1.
- 2-
Siunbytetieneelvalorbinario01001001,tieneporvalordecimal73:
Losbitsconvalor1sonlosdelosrangos0,3y6.Entonces1+8+64esiguala73.
Conversindedecimalabinario
Estaconversinesmscompleja.Paraexplicarlatomemosunejemplo:debemosconvertirabinarioelvalor102.
Paraefectuarlaconversin,debemoscomenzarporelbitdemayorvalor,esdecir,conrango7.
Elvalordecimaldelrango7esiguala128,estevaloressuperiora102.Elvalorbinariodelrango7esentonces
iguala0.
Elvalordecimaldelrango6esiguala64,estevaloresinferiora102.Elvalorbinariodelrango6esentoncesigual
a1.Faltaconvertirelnmero38(10264).
Elvalordecimaldelrango5esiguala32.Estevaloresinferiora38.Elvalorbinariodelrango5esentoncesiguala
1.Faltaconvertirelnmero6(3832).
Elvalordecimaldelrango4esiguala16.Estevaloressuperiora6.Elvalorbinariodelrango4esentoncesiguala
0.
Elvalordecimaldelrango3esiguala8.Estevaloressuperiora6.Elvalorbinariodelrango3esentonces iguala
0.
Elvalordecimaldelrango2esiguala4.Estevaloresinferiora6.Elvalorbinariodelrango2esentonces iguala1.
Faltaconvertirelnmero2(64).
Elvalordecimaldelrango1esiguala2.Estevaloresiguala2.Elvalorbinariodelrango1esentoncesiguala1.
Deestaformahemosterminadodeconvertirelnmero102.Elvalorbinariodelrango0es0.
Hemosconvertidoelvalordecimal102alnmerobinario01100110.
4.Lasdiferentesclasesdedirecciones
TodaslasdireccionesIPseorganizanenclasesdedirecciones.Cadaunapermitedireccionarunnmero dehostsy
de redes diferentes. Solo pueden utilizarse las tres primeras clases. Para diferenciar las distintas clases, es
necesariofijarseenelprimerbyte.
LaclaseA
Lasdireccionescontenidasenestaclasepermitendireccionar224 equipos.Enefecto,sereservantresbytesparala
direccindelIDdelequipoyunosoloparaelIDdelared.
ElconjuntodedireccionescontenidasenlaclaseAvadesde1.0.0.0a126.0.0.0.Lamscaradesubredesiguala
255.0.0.0.
Elprimerbitdetodaslasdireccionescomienzapor0.Elrestovaradesdetodoslosbitsen0paraladireccininicial
hastatodoslosbitsen1paraladireccinfinal.Osea:
0.0000000.0.00paraladireccindeinicio.
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 3-
01111111.0.0.0paraladireccinfinal.
Lossiguientesvaloressonnmerosbinarios.
Siestosvaloresseconviertenadecimal,tendremos0.0.0.0a127.0.0.0.Losvalores0y127estnreservados, yel
mbitovadesde1.0.0.0hasta126.0.0.0.
LaclaseB
La clase B permite utilizar dos bytes para el ID del equipo. La mscara utilizada es 255.255.0.0. El rango de
direccionesvadesde128.0.0.0a192.255.0.0.
Elprimerbitdetodaslasdireccionescomienzapor10,osea:
10000000.0.00paraladireccindeinicio(128.0.0.0endecimal).
10111111.255.0.0paraladireccinfinal(191.0.0.0endecimal).
Lossiguientesvaloressonnmerosbinarios.
LaclaseC
Estaeslaclasequeproporcionamenornmerodedireccionesparalosequipos.Tieneunnicobytedisponiblepara
losequipos.Sumscaraesiguala255.255.255.0.Poseeunrangodedireccionesentre192.0.0.0y223.255.255.0.
Elprimerbitdetodaslasdireccionescomienzapor110,osea:
11000000.0.00paraladireccindeinicio(128.0.0.0endecimal).
11011111.255.255.0paraladireccinfinal(223.255.255.0endecimal).
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la direccin es de clase A. Si el valor se
encuentraentre128y191ladireccinesdeclaseB.Porltimo,sielvalorseencuentraentre192y223ladireccin
esdeclaseC.
5.ElCIDR
La notacin CIDR (Classless InterDomain Routing) permite escribir de forma sinttica la mscara de subred. Si
tomamoslamscaradeclaseA(255.0.0.0),stapuedeescribirse/8.Lacifraprovienedelnmerodebitsen1.
LamscaradelaclaseBpuedeescribirseenlaforma/16,mientrasqueladelaclaseCseescribe/24.
- 4-
Establecimientodesubredes
Unasubredconsisteendividirunaredinformticaenvariassubredes.Lamscaradesubredseutilizaparaidentificar
laredenlaqueestconectadoelequipo.AligualqueunadireccinIP,estcompuestode4bytesdondelosbitsde
IDderedvalentodos1(valordecimal255)o0paraelIDdelhost(valordecimal0).
Enredesdegranenvergadura,sepuedeutilizarlosbitsdelIDdehostparacrearsubredes.Elprimerbyteylosbits
demayorvalor(losprimerosporlaizquierda)seutilizan,loquereduceelnumerodehostsdireccionables.
1.Laventajadelassubredes
Laventajadeunasubredeslaposibilidadderealizarunadivisinlgicadelaredfsica.Estopermiteimpedirque
lasmquinasfsicasseveanentres,conelobjetivodecrearredesdiferentes.
Esposibleutilizarsubredesenlossitiosremotos,cadasitiopuedetambintenersupropiadireccinmanteniendoel
mismo ID de red. La divisin lgica permite reducir el trfico de red y las tramas de tipo broadcast que un router
debetransferirentrelasdistintasredes.
Tambinesposibleprohibirelaccesoaunareddeuntercero(porejemplolareddeproduccinnopuedeaccedera
la red de administracin). De esta forma garantizamos la seguridad de los datos. Sin embargo esta operacin
necesitauncortafuegos.
2.Calcularunasubred
Parasimplificarlacomprensin,vamosatomarunejemplo.LaempresaABCposeeunadireccin192.168.1.0yuna
mscaradesubrediguala255.255.255.0.Estaempresanecesitacreartressubredes.
Clculodedireccionesdesubredes
Laprimeraoperacinescalcularelnmerodebitsquenecesitamosreservarparaidentificarlasubred.Sisequieren
creartressubredesentonceselnmerodebitsareservaresde2,pues2 2 =4>3.
DebemosdescomponerelprimerbytedelIDdelhostparaencontrarlasdireccionesdelassubredes.
Direccindelasubred1:192.168.1.00000000o192.168.1.0
Direccindelasubred2:192.168.1.01000000o192.168.1.64
Direccindelasubred3:192.168.1.10000000o192.168.1.128
Paraencontrarlasdireccionesdesubred,esprecisovariarelolosbitsdesubred.Enestecaso,podemoscrearuna
cuartasubred.
Para comprobar que el clculo es correcto, debemos verificar el paso de una subred a la otra. De esta forma
podemosconfirmarqueesiguala64.Dehecho,sisumamos64aladireccindelasubred1,entonceselresultado
es la direccin de la subred 2 (192.168.1.64 + 64 = 192.168.1.128). Esta comprobacin debe ser cierta para el
conjuntodesubredes.
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
Clculodelamscaradesubred
Acontinuacindebemoscalcularlamscaradesubredautilizar.Estadebeconfigurarseentodaslasmquinaspara
quepertenezcanalasubredcorrecta.
Hemosreservadodosbitsparalasdireccionesdesubred.Debemosreservarelmismonmeroparalamscarade
subred. A diferencia de las direcciones, estos bits no variarn y tendrn el valor 1. La direccin empleada es una
direccindeclaseC.Lamscaraser255.255.255.0.
Una vez ms, el primer paso a realizar es la descomposicin del primer byte del ID del host, los bits de subred
debernvaler1:
255.255.255.11000000o192.168.1.192
Lamscaraautilizares255.255.255.192.
ClculodelrangodedireccionesIPdistribuibles
Paraconocerelrangodedireccionesqueesposibledistribuiralosequipos,debemoshacervariarelIDdehost,(de
todoslosbitsa0atodoslosbitsa1,esdecir:
Subred1:
192.168.1.00000000a192.168.1.00111111
192.168.1.0a192.168.1.63
Ladireccin192.168.1.0esladireccinderedy192.168.1.63esladebroadcast.Elrangodedireccionesvadesde
192.168.1.1hasta192.168.1.62.
Subred2:
192.168.1.01000000a192.168.1.01111111
192.168.1.64a192.168.1.127
La direccin 192.168.1.64 es la direccin de red y 192.168.1.127 es la de broadcast. El rango de direcciones va
desde192.168.1.65hasta192.168.1.126.
Subred3:
192.168.1.10000000a192.168.1.10111111
192.168.1.128a192.168.1.191
La direccin 192.168.1.128 es la direccin de red y 192.168.1.191 es la de broadcast. El rango de direcciones va
desde192.168.1.129hasta192.168.1.190.
Elrangoentrelaprimeradireccinylaltimaesde63(de192.168.1.1a192.168.1.163),eselmismo paralasotras
subredes.
- 2-
ConfigurarymantenerIPv4
UnamalaconfiguracinIPpuedetenerunimpactomsomenosimportante.Enunservidor,variosserviciospueden
sufrir fallos parciales o dejar de funcionar. Es muy importante verificar la configuracin que ha sido introducida o
asignadaautomticamenteaunequipo.
LoscomandosDOSpuedenserutilizadosparalaadministracinymantenimientodiariodeunared.
Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente diagnosticar un
problemadered.
1.Elcomandoipconfig
ElcomandoipconfigpermitemostrarlaconfiguracinIPdelosadaptadoresdered.
Utilizandolasdistintasopciones,esposiblerealizaroperacionesuobtenerdiferentesdatos.
ipconfig/all:muestralaconfiguracincompletadelosadaptadoresderedpresentesenelequipo.
ipconfig/release:liberalaconfiguracinIPdistribuidaporelservidorDHCP.
ipconfig/renew:solicitaunanuevaconfiguracinalservidorDHCP.
ipconfig/displaydns:muestralasentradasenlacachDNS.
ipconfig/flushdns:permitelimpiarlacachDNS.
ipconfig/registerdns:obligaalequipoaregistrarseensuservidorDNS.
2.Elcomandoping
Estecomandopermitecomprobarlacomunicacinentredosequipos.Deestaformasepuedenrepararrpidamente
problemasdecomunicacinenunequipooservidor.Elcomandocuentaconopcionesyluegoelnombreodireccin
IPdelequipoaverificar.
- 1-
Ejecutadosinopciones,soloseenvancuatrotramasdetipoecho.Sielpuestoestencendidoyconectadoalared
serecibeunarespuesta.Encasocontrario,seemiteunarespuestanegativa.
Sepuedenaplicarvariasopcionesaestecomando:
nnmero:laopcinnpermiteenviarxsolicitudesantesdedetenerse,siendoxelnmeroproporcionadodespus
den.
t:adiferenciaden,seefectaelenvodetramashastaquesesolicitalainterrupcin.
a:permitelaresolucindeladireccinIPaunnombre.
4:fuerzaelusodeIPv4.
6:fuerzaelusodeIPv6.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un host remoto. Sin
embargo,estetipodesolicitudespuedenestarbloqueadasporuncortafuegos.
3.Elcomandotracert
El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un destino. La
tramaesdetipoICMP.Esintilutilizarestecomandosieldestinoseencuentraenlamismaredderealocal.De
- 2-
hecho,elcomandoreenvaelnombreoladireccinIPdelrouterquedevuelvelatramaecho.
Estecomandoesmuytilparaconocerquroutertieneunproblema.
Esposibleusarotroscomandos,comonslookup.EsteltimopermiteverificarlaresolucinDNS.
- 3-
ImplementacindelprotocoloIPv6
Desde hace muchos aos, se contina con la implementacin de IPv6. Los sistemas operativos cliente o servidor
tienenlaposibilidaddeseraccedidosvaIPv6.
1.InformacingeneraldelprotocoloIPv6
UnadireccinIPv6escuatrovecesmayorqueunadireccinIPv4,esdecir128bitsparalaversin6y32bitsparala
versin4.Esteprotocoloofreceunrangodedireccionescasiilimitado.
Adicionalmente,alcontrarioqueunadireccinIPv4,esposiblerealizarunconfiguracinautomticasinnecesidadde
un servidor DHCP (Dynamic Host Configuration Protocol). El router presente en la red proporciona al cliente la
informacin sobre la subred y el prefijo. Esto permite a los clientes configurarse automticamente. Hablamos
entonces de configuracin automtica de direcciones sin estado (RFC 2462). La configuracin de direcciones sin
estadonecesitalapresenciadeunservidorDHCPv6(WindowsServer2008comomnimo).
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una extensin del
protocoloanterior.Losperifricosderedcuentanconlaposibilidaddedeterminarelanchodebanda deseadopara
lagestindelpaquete.Esposibleigualmenteadministrarlaprioridaddeltrfico.Ciertospaquetes (difusindevdeo
continuo...)sonprioritarios.LosperifricosdelaredsepercatandeestomedianteelempleodelcampoQoS.
DiferenciasentreIPv4yIPv6
LasdosversionesdelprotocoloIPposeencadaunosuspropiedades.
Fragmentacin
ProtocoloARP
Registro
DNS
en
el
IPv4
IPv6
emisor.
emisor.
Utilizacindetramasbroadcast.
Utilizacindetramasmulticast.
Registrodehost(A)enlazonadebsqueda
inversa(INADDR.ARPA).
bsquedainversa(IP6.ARPA).
Los formatos de las direcciones son, a su vez, diferentes. La versin anterior utiliza un formato decimal
(192.168.1.2) mientras que las direcciones se escriben en formato hexadecimal con la versin 6
(2001:DA8:0:2C3B:22A:FF:FE28:9D6B).Serecomiendaelusodenombresdehostenlugardedirecciones IPv6.
EldireccionamientoIPv6
Cadadireccinestcompuestapor128bits.SeutilizaunprefijoparaindicarelnmerodebitsutilizadoporelIDde
red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. Si un prefijo de 64 bits se asigna a la
direccin, que es la mitad de los bits para identificar la red, los restantes 64 permiten una identificacin nica del
host(identificadordeinterfaz).stepuedesergeneradodemanera aleatoriayasignadoporDHCPobasadoenel
controldeaccesoosoporte(MAC).
EquivalenciaIPv4/IPv6
IPv4
Direccinnoespecificada
0.0.0.0
IPv6
::
- 1-
Direccindebucleinvertido
127.0.0.1
::1
DireccinAPIPA
169.254.0.0/16
FE80::/64
Direccindebroadcast
255.255.255.255
Utilizacindetramasmulticast
Direccindemulticast
224.0.0.0/4
FF00::/8
a.Direccioneslocalesnicas
LasdireccioneslocalesnicascorrespondenalasdireccionesprivadasenIPv4(RFC1918).Estetipodedireccin
puede encaminarse solamente hacia el interior de una empresa. Para evitar los problemas de duplicacin que
podanocurrirenIPv4alinterconectarvariasredes,ladireccinestcompuestaporunprefijode40bits.
sta tiene la ventaja de ser aleatoria, lo que proporciona una probabilidad muy pequea de tener dos prefijos
idnticos.
1111110
Identificadordeorganizacin
Identificadordesubred
Identificadordeinterfaz
Lossieteprimerosbitsposeenunvalorfijoiguala1111110.Elprefijodeladireccinesigualafc00::/7.
Elidentificadordeorganizacin de40bitspermiteevitarproblemasdurantelaconexinentreredes.Elidentificador
segeneraautomticamente.
Laidentificacindesubredpermitelacreacindesubredes.
Losltimos64bitsseutilizanpararepresentarelidentificadordelainterfaz.
b.Direccionesglobalesunicast
EstetipocorrespondealasdireccionesIPv4pblicas.PermitendesignarunequipoenlaredInternet.
Caracterizadasporelprefijo2000::/3,esposiblereservarlasdesde1999.Ciertosbloquesestnreservadospara
implementartneles6to4(porejemploelbloque2002::/16).
Estadireccinestcompuestadevariosbloques:
001
Prefijodeencaminamientoglobal
Identificadordesubred
Identificadordeinterfaz
Lostresprimerosbits(001)aligualqueelprefijodeenrutamientoglobal(45bits)permitenformarunprimerbloque
de48bits.steloasignaelproveedordeacceso.
Elidentificadordesubred,codificadoen16bits,permitecrearsubredesenunaorganizacin.
El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo especfico en una subred. Este
bloquesegeneraaleatoriamenteoloasignaunservidorDHCPv6.
c.Direccindeenlacelocal
Seasignaunadireccindeenlacelocalaunadaptadorderedparapermitirlecomunicarconlaredlocal.Estetipo
de direccin se genera automticamente y no se puede encaminar. Son homlogos a las direcciones IPv4
correspondientesalasdireccionesAPIPA(169.254.x.x).
ElprefijoutilizadoporestetipodedireccinesFE80::/64.Los64bitsrestantespermitenidentificarlainterfaz.
- 2-
1111111010
Continuacindeceros(54bits)
Identificadordeinterfaz
Los10primerosbits(111111010)aligualquelossiguientescerosformanelprefijode64bits(FE80::).
El identificador de interfaz utiliza los 64 bits restantes. Permite identificar un equipo especfico en una subred. Este
bloquesegeneraaleatoriamenteoloasignaunservidorDHCPv6.
- 3-
Talleres
Losdosprimerostalleressontericos.Noesnecesariorealizarningunaoperacin.
1.Conversindedecimalabinario
Objetivo:convertirunnmerobinarioodireccinbinariaadecimalyviceversa.
192
224
11100111
192.168.1.102
00111100
10011100
Solucin:
192
Elvalordecimaldelrango7esiguala128,estevaloresinferiora192.Elvalorbinariodelrango7esentoncesigual
a1.Faltaconvertirelnmero64(192128).
Elvalorbinariodelrango6esiguala64.Elvalorbinariodelrango6esentoncesiguala1.
Elvalorbinariodelosotrosrangosesten0.
Laconversinde192abinarioes11000000.
224
Elvalordecimaldelrango7esiguala128,estevaloresinferiora224.Elvalorbinariodelrango7esentoncesigual
a1.Faltaconvertirelnmero96(224128).
Elvalordecimaldelrango6esiguala64,estevaloresinferiora96.Elvalorbinariodelrango6esentoncesiguala
1.Faltaconvertirelnmero32(9664).
Elvalorbinariodelrango5esiguala32.Elvalorbinariodelrango5esentoncesiguala1.
Elvalorbinariodelosotrosrangosesten0.
Laconversinde224abinarioes11100000.
11100111
Paraencontrarelvalordecimal,debemossumarlosvaloresdelosbitsen1,osea:
- 1-
192.168.1.102
Primeroconvertimoscadabyte:
192:11000000
168:10101000
1:00000001
102:01100110
LadireccinIP192.168.1.102enbinarionosda:
11000000.10101000.00000001.01100110
00111100
Paraencontrarelvalordecimal,debemossumarlosvaloresdelosbitsen1,osea:
10011100
Paraencontrarelvalordecimal,debemossumarlosvaloresdelosbitsen1,osea:
2.Clculodedireccionesdesubredes
Objetivo:calcularlasdireccionesdediferentessubredes.
Debemosdividirlaredconladireccin172.16.0.0en8subredes.Proporcione,paracadauna,ladireccin desubred,
ladireccindelamscaradesubredylosrangosdedireccinquepuedenserdistribuidos.
Solucin:
Paradireccionar8subredes,debemosreservar3bits(2 3 =8).
Mscaradesubred:
255.255.1110000.0oseaunamscaradesubrediguala255.255.224.0
Subred1:
172.16.00000000.0osealadireccindered172.16.0.0
- 2-
Rangodedireccionesparatodosloshosts:
172.16. 000 0 0000.0 a 172.16.000 1 1111.255 o sea un rango de direcciones desde 172.16.0.0 hasta
172.16.31.255. En este rango, debemos incluir la direccin de red 172.16.0.0 y la direccin de broadcast
172.16.31.255.Tenemospuesunrangoefectivodesde172.16.0.1hasta172.16.31.254.
Direccindesubred2:
172.16.00100000.0osealadireccindered172.16.32.0
Rangodedireccionesparatodosloshosts:
172.16. 001 0 0000.0 a 172.16.001 1 1111.255 o sea un rango de direcciones desde 172.16.32.0 hasta
172.16.63.255.Tenemospuesunrangoefectivodesde172.16.32.1hasta172.16.63.254.
Direccindesubred3:
172.16.01000000.0osealadireccindered172.16.64.0
Rangodedireccionesparatodosloshosts:
172.16. 010 0 0000.0 a 172.16.010 1 1111.255 o sea un rango de direcciones desde 172.16.64.0 hasta
172.16.95.255.Tenemospuesunrangoefectivodesde172.16.64.1hasta172.16.95.254.
Direccindesubred4:
172.16.01100000.0osealadireccindered172.16.96.0
Rangodedireccionesparatodosloshosts:
172.16. 011 0 0000.0 a 172.16.011 1 1111.255 o sea un rango de direcciones desde 172.16.96.0 hasta
172.16.127.255.Tendremosunrangoefectivodesde172.16.96.1hasta172.16.127.254.
Direccindesubred5:
172.16.10000000.0osealadireccindered172.16.128.0
Rangodedireccionesparatodosloshosts:
172.16. 100 0 0000.0 a 172.16.100 1 1111.255 o sea un rango de direcciones desde 172.16.128.0
hasta 172.16.159.255.Tenemospuesunrangoefectivodesde172.16.128.1hasta172.16.159.254.
Direccindesubred6:
172.16.10100000.0osealadireccindered172.16.160.0
Rangodedireccionesparatodosloshosts:
172.16. 101 0 0000.0 a 172.16.101 1 1111.255 o sea un rango de direcciones desde 172.16.160.0
hasta 172.16.191.255.Tenemospuesunrangoefectivodesde172.16.160.1hasta172.16.191.254.
- 3-
Direccindesubred7:
172.16.11000000.0osealadireccindered172.16.192.0
Rangodedireccionesparatodosloshosts:
172.16. 110 0 0000.0 a 172.16.110 1 1111.255 o sea un rango de direcciones desde 172.16.192.0
hasta 172.16.223.255.Tenemospuesunrangoefectivodesde172.16.192.1hasta172.16.223.254.
Direccindesubred8:
172.16.11100000.0osealadireccindered172.16.224.0
Rangodedireccionesparatodosloshosts:
172.16. 111 0 0000.0 a 172.16.111 1 1111.255 o sea un rango de direcciones desde 172.16.224.0
hasta 172.16.255.255.Tenemospuesunrangoefectivodesde172.16.224.1hasta172.16.255.254.
3.ImplementacindelprotocoloIPv6
Objetivo:configurarlosservidoresAD1ySV1paraquepuedanusarelprotocoloIPv6paracomunicarse.
Mquinasvirtualesutilizadas:AD1ySV1.
EnAD1,inicielaconsolaAdministradordelservidoryluegohagaclicenServidorlocal.
HagaclicenladireccinIP(campoEthernet)paraabrirlaventanaConexionesdered.
- 4-
HagadoblecliceneladaptadorderedEthernetyluegoenelbotnPropiedades.
SeleccioneProtocolodeInternetversin6(TCP/IPv6)yhagaclicenPropiedades.
MarquelaopcinUsarlasiguientedireccinIPv6.
EnelcampoDireccinIPv6,introduzcaFD00:AAAA:BBBB:CCCC::AyluegoenLongituddelprefijode
subredintroduzca64.
Introduzca::1enelcampoServidorDNSpreferido.
- 5-
HagaclicenAceptary,acontinuacin,cierrelasdiferentesventanas.
RepitalaoperacinsiguienteparaconfigurarSV1.
- 6-
DireccinIPv6:FD00:AAAA:BBBB:CCCC::15
Longituddelprefijodesubred:64
ServidorDNSpreferido:FD00:AAAA:BBBB:CCCC::A
EnSV1,inicieunsmbolodelsistemaDOS.
Introduzcaelcomandoping6ad1.
Elcomandoping6permitegarantizarelusodelapilaIPv6paralaejecucindelcomando.
Introduzcaelcomandoping4ad1.
Elcomandoping4permitegarantizarelusodelapilaIPv4paralaejecucindelcomando.
AD1respondeempleandosudireccinIPv4oIPv6.
- 7-
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CulessonlascapaspresentesenelprotocoloTCP/IP?
2 Culeslautilidaddeldireccionamientoprivadoyeldireccionamientopblico?
3 Nombrelosrangosdedireccionesincluidosencadaclase.
4 Paracadaclase,citeelrangodedireccionesIPprivadas.
5 Culeselobjetivodeunasubred?
6 Dequbytehayqueutilizarbitsparadefinirdiferentessubredes?
7 CmoforzamosaunequipoaregistrarseensuservidorDNS?
8 CulessonloscomandosyopcionesnecesariosparaverlacachDNS?
9 Culessonloscomandosyopcionesparaenviarunnmerodefinidodetramasecho?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode5puntosparaaprobarelcaptulo.
3.Respuestas
1 CulessonlascapaspresentesenelprotocoloTCP/IP?
SoncuatroyllevanlosnombresInterfazdered,Internet,TransporteyAplicacin.Cadaunatienesupropia
funcin.LosdiferentesprotocolosquecomprendenlasuiteTCP/IPestnorganizadosenlasdiferentescapas.
2 Culeslautilidaddeldireccionamientoprivadoyeldireccionamientopblico?
EldireccionamientoprivadonormalizadoenlaRFC1918permiteproporcionardireccionesaequiposenunaredlocal.
Estetipodedireccionesnosonenrutables.LosequiposconestasdireccionesIPnopuedenteneraccesodirectoa
Internet.Estetipodedireccionessenormalizaronparaevitarelriesgodeescasezdedirecciones.El
direccionamientopblicopermitealosdiferentesequipos(servidorweb...)unaccesodirectoaInternet.Para
accederdesdelaredpblicasedebeposeerunadireccinIPpblica.Estasdireccioneslasdistribuyeunorganismo
especial.
3 Nombrelosrangosdedireccionesincluidosencadaclase.
LaclaseAposeeunrangodedireccionesdesde1hasta126,laclaseBcuentacondireccionesdesde128hasta
191.Finalmente,laclaseCcuentacondireccionesdesde192hasta223.Elvalordelprimerbytepermite
determinaraquclaseperteneceladireccin.
4 Paracadaclase,citeelrangodedireccionesIPprivadas.
Encadaclase,sehareservadounrangodedireccionesparalospuestosdetrabajo.Elrango10.0.0.0a
10.255.255.255estreservadoalaclaseA.ConlaclaseBesposibleutilizarlasdireccionesentre172.16.0.0y
172.31.255.255.Finalmentelasdireccionesentre192.168.0.0y192.168.255.255estnreservadasparalaclase
C.
5 Culeselobjetivodeunasubred?
Permiteefectuarunadivisindelaredfsicadeformalgica.Estambinmsfcillimitarelnmerodeequiposen
laredogarantizarlaseguridaddelosdatos.
- 1-
6 Dequbytehayqueutilizarbitsparadefinirdiferentessubredes?
LosbitsdesubredseencuentranenelprimerbytedelIDdelhost.
7 CmoforzamosaunequipoaregistrarseensuservidorDNS?
ParaefectuarestaoperacindebemosusarelcomandoDOSipconfig/registerdns.
8 CulessonloscomandosyopcionesnecesariosparaverlacachDNS?
ParaverlacachDNSdeunequiposedebeemplearelcomandoipconfig/displaydns.
9 Culessonloscomandosyopcionesparaenviarunnmerodefinidodetramasecho?
Elcomandopingenvapordefectocuatrotramasecho.Paraenviarunnmeromayordetramas,debemos usarla
opcinnseguidadelnmerodeseado.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
TenerconocimientosdedireccionamientoIP.
Tenernocionessobreelfuncionamientodeundireccionamientodinmico.
2.Objetivos
DefinicindelrolDHCP.
Presentacindelasfuncionalidadesofrecidasporelservicio.
Gestindelabasededatos.
PuestaenmarchadelmantenimientodelservidorDHCP.
InstalacinyconfiguracindelafuncionalidadIPAM.
- 1-
Introduccin
Elservidor DHCP(DynamicHostConfigurationProtocol) es un rol de vital importancia en una arquitectura de red. Su
funcinesladistribucindelaconfiguracinIP,loquepermitealosequiposconectadoscomunicarseentreellos.
- 1-
RoldeservicioDHCP
DHCP permite automatizar la configuracin de los adaptadores de red. Sin ste, es preciso efectuar la operacin
manualmente.
UnaconfiguracinIPincluyeunadireccinIP,unamscaradesubredyunapuertadeenlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuracin adecuada para cada
equipo. Muy til para los usuarios itinerantes, a stos se les asigna una configuracin sin intervencin del
administrador. A partir de Windows Server 2008, es posible vincular el servidor DHCP y NAP (Network Address
Protection) para distribuir las concesiones DHCP en funcin del estado de salud del equipo (antivirus actualizado,
cortafuegosactivado).EsterolpuedeinstalarseenunservidorenmodoCoreparalimitarlasuperficiedeataque.
1.AsignacindeunadireccinIP
Se provee una asignacin a un adaptador de red por una duracin limitada a varias horas, das o simplemente
ilimitada.Lastramasutilizadassondetipobroadcast.stasnopuedenatravesarlosrouters.
ParaobtenerunaasignacinDHCP,elclienteyelservidorrealizanunintercambiodetramas:
Elclienteenvaunbroadcast(DHCPDISCOVER)atodoslosequiposdelasubred.
Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. Mediante esta trama, se ofrece
unaconfiguracinIP.Deestemodo,elclientepuederecibirunatramadelmismotipodevariosservidores.Elcliente
seleccionaelservidorquehayasidomsrpido.
ElclienteenvaunatramadetipoDHCPREQUESTalservidorquehaseleccionado.Permiteinformaralservidorqueha
aceptadolaoferta.
LadireccinIPseleccionadasegrabaahoraenlabasededatosdeservidor,elcualvalidalatransaccinenviandoun
DHCPACKalequipocliente.
Laoperacinderenovacindelaasignacinseejecutacuandosehacumplidoel50%deladuracintranscurrida.
Si no logra renovar la asignacin, se vuelve a intentar al 87,5% de la concesin y luego en el momento de su
expiracin.
LarenovacinseefectaenviandounatramabroadcastDHCPREQUESTelservidorrespondeconunmensajede
tipoDHCPACK.
2.UtilizacindeunrelayDHCP
Alutilizartramasdetipobroadcast,stasnopuedenatravesarlosrouters.Estoimplicalanecesidaddeunservidor
paracadasubredIP.Lanecesidaddemuchosservidorespuedeconllevaruncosteexcesivo paralaempresa.Para
remediaresteproblema,esposibleimplementarunrelayDHCP.stepermitetransferirlassolicitudesdeasignacin
aunservidorubicadoenotrasubred.
ElrelayDHCPseinstalaenlaredAyseencargaderecuperartodaslassolicitudesDHCPhechasenlasubredIP.
TransfiereacontinuacinlasdiferentessolicitudesquerecibealservidorDHCPpresenteenlaredB.
- 1-
Debemossinembargoverificarelanchodebandadelalneaylostiemposderespuesta.
- 2-
FuncionalidaddelservidorDHCP
Despusdeinstalarelservidor,esnecesarioconfigurarelmbito.
1.ElmbitodelservidorDHCP
ElmbitocontieneunconjuntodedireccionesIPquepuedenserdistribuidas.Estlimitadoaunasubred IP.
Tomemos por ejemplo un servidor DHCP que posee un mbito con un conjunto de direcciones entre 172.16.0.1 y
172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita una asignacin DHCP recibe una direccin
del mbito configurado para la red 172.16.0.0. El resultado es idntico si el servidor posee mbitos para redes
diferentes.
Laconfiguracindelmbitorequierelaconfiguracindevariaspropiedades:
Nombreydescripcin:permiteidentificarelmbitoporunnombreounadescripcin.
IntervalodedireccionesIP:configuraelgrupodedireccionesIPqueesposibledistribuir.
Mscaradesubred:mscaraderedquedebenutilizartodoslosclientesquerecibenunaconcesinDHCP.
Exclusiones:definelasdireccionesIPquedebenexcluirsedelintervalodedireccionesquesepuedendistribuir.
Retraso:permitedefinireltiempotranscurridoantesdeproponerunaconcesinDHCPalcliente(DHCPOFFER).
Opciones:configuracindelasopcionescomplementariasquesedistribuirnconladireccinIP.Puedenconfigurarse
diferentesopcionestalescomoelnombredeldominioDNS,ladireccindelrouter, etc.
A partir de Windows Server 2008, es posible aadir un mbito para el protocolo IPv6. Al igual que para IPv4, las
direccionesIPsedistribuyenaaquellosequiposquehanhecholasolicitud.
2.ReservadeconcesionesDHCP
Para ciertos equipos (impresoras de red, etc.), es necesario asignar una configuracin IP. sta no debe
sufrir ningunamodificacin,loqueobligaraaunareconfiguracinenlospuestosdetrabajo.
Paraevitaresto,debemosconfigurarmanualmenteeladaptadordered,oimplementarunareservaenDHCP.sta
permitegarantizarlarecepcindelamismaconfiguracinIPparacadacliente.
- 1-
Unareservanecesitaqueseinformenvariosdatos:
Elnombredelareserva:estecampoessimplementeelnombrequedaremosalareserva.Esaconsejableutilizar
unnombrequeindiqueeldestinatario(nombredelequipoodelaimpresora...).
LadireccinIP:direccinIPqueseasignaralpuestoclientecadavezquelosolicite.
LadireccinMAC:direccinfsicadeladaptadorderedalaqueseasignalaconcesin.
Despusdesucreacin,lareservatieneelestadoinactiva,ypasaaactivacuandoelclienteefectaunanueva
solicitud(renovacinonuevaconcesin).
LadireccinMACdeladaptadorderedpuedeobtenerseempleandoelcomandoipconfig/all,yaparecetambinen
elnodoConcesionesdedirecciones(campoIDexclusivo).
ElequiposervisiblesolamentedespusderecuperarlaconcesinDHCP.
3.LasopcionesdeDHCP
DespusdeconfigurarunmbitoDHCP,esposibleaadiropciones.Distribuidasalmismotiempoquelaconcesin,
permiten completar la configuracin proporcionada (direccin IP, mscara de subred). Al configurar el mbito, es
posible configurar la direccin de la puerta de enlace (opcin 003 Enrutador) s como la del servidor DNS (006
ServidoresDNS).
- 2-
Sinembargo,esposibleaadirotrasopciones:
Opcin004:Servidorhorario
Opcin015:NombrededominioDNS
Opcin042:ServidoresNTP
Opcin044:ServidoresWINS/NBNS
Opcin069:ServidoresSMTP
Opcin070:ServidoresPOP3
Loscdigos(003,etc.)estnnormalizados,esposibleencontrarlalistacompletaenladocumentacindelaRFC.
Estasopcionespuedenagregarseenvariosnivelesdiferentes:
Opciones de servidor: se aplican al conjunto de clientes que efectan una solicitud de una concesin al servidor
DHCP.SilamismaopcinseencuentraconfiguradaenelnodoOpcionesdembito,seconservaestaltima.
Laopcin003Enrutadorseencuentraconfiguradaenlasopcionesdeservidor,ladireccinIP
- 3-
introducida es192.168.1.1.
LamismaopcinseencuentraenOpcionesdembito.Adicionalmente,podemosverladiferenciaen
losdosiconos.
Opciones de mbito: incluidas en cada mbito, se aplican a sus clientes. Cada mbito puede tener opciones
diferentesolasmismasconotrosvalores.
Opciones de clase: existen diferentes clases (clase de proveedores, de usuarios) al implantar un servidor NAP
(NetworkAccessProtection),puedenemplearseestasopcionesdeclase.
Opcionesdereserva:alimplantarunareserva,seaplicanlasopcionesdelmbito.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botn derecho en la reserva
deseada, el men contextual nos proporciona un acceso a la ventana que permite efectuar la seleccin de la
configuracinysusopciones.
- 4-
Lasopcionesdereservareemplazanalasopcionesconfiguradasaniveldembito.
Eliconoesdiferente,loquepermitedeformasencillasaberaqunivelseaplicalaopcin.
4.Implementacindefiltros
La implementacin de filtros permite crear listas verdes y listas de exclusin. Cada una tiene un uso bien
diferenciadoypermiteindicaralservidorDHCPsidebeonoasignarunaconcesinDHCP.
Deestaforma,todoslosadaptadoresderedcuyadireccinMACseencuentreenlalistaverdetienenlaposibilidad
derecibirunaconcesin.EstrepresentadaenlaconsolaporelnodoPermitir.Lalistadeexclusinpermiteanotar
losadaptadoresderedquenorecibirnrespuestadelservidor.Lalistadeexclusinsepuedeconfigurarpormedio
delnodoDenegar.
- 5-
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en el caso contrario el
servidornoresponderalassolicitudesdelcliente.
Es posible desplazar un filtro de la lista verde a la lista de exclusin y viceversa. Esta caracterstica permite
garantizarquesololospuestosautorizadosrecibirnunaconfiguracinIP.Sinembargo,alaadirunnuevoequipo,
esnecesariocrearunnuevofiltro.Estaoperacinpuedesermuysencilladerealizarperosevuelvemuyrestrictiva
encasodecontarconunnmeromuyelevadodeequipos.
- 6-
BasededatosDHCP
LabasededatosdeDCHPpermiteregistrardeinformacin(direccionesMAC...)aldistribuirunanuevaconcesin.
1.PresentacindelabasededatosDHCP
Labasededatosalmacenaunnmeroderegistrosilimitado.Eltamaodelarchivodependedelnmero deequipos
presentesenlared.Pordefecto,labasededatossealmacenaenlacarpetaWindows\System32\dhcp.
Estacarpetacontienevariosarchivos:
dhcp.mdb:basededatosdelservicioDHCP.PoseeunmotordeformatoExchangeServerJET.
dhcp.tmp:estearchivoseempleacomoarchivodeintercambioduranteelmantenimientodelosndices delabase.
j50.log:permiteregistrarlastransacciones.
j50.chk:archivoconpuntosdecontrol.
Paracadaoperacin(nuevasolicitud,renovacinoliberacindelaconcesin),seactualizalabasededatosyse
creaunaentradaenlosregistros.
Lainformacinenlabasederegistrospuedeencontrarseaccediendoalregistro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
2.Copiadeseguridadyrestauracindelabasededatos
La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad asncrona) o
automtica(copiadeseguridadsincrnica).
La copia de seguridad sincrnica se realiza de forma predeterminada en la carpeta Windows\System32
\dhcp\backup. Es recomendable ubicar esta carpeta en otro volumen para evitar su borrado en caso de una
reinstalacin. La copia de seguridad asncrona se realiza manualmente en el momento deseado. Esta operacin
requieresinembargodepermisosdeadministradorounusuariomiembrodelgrupoAdministradoresdeDHCP.
Durantelaoperacindecopiadeseguridad(sincrnicaoasncrona)todosloselementosvinculadosalservidorse
incluyenenlacopia.Encontraremoslossiguienteselementos:
Todoslosmbitospresentesenelservidor.
Lasreservasquehayansidocreadas.
Lasconcesionesdistribuidas.
Lasopcionesconfiguradas.
Lasclavesdelregistroeinformacindeconfiguracin.
Alejecutarlaoperacinderestauracin(clicderechoenelservidoryluego Restaurarenelmencontextual),se
debeseleccionarlacarpetadelacopiadeseguridad.
- 1-
A continuacin, se detienen los servicios DHCP y se restaura la base de datos. Al igual que para la copia de
seguridad,laoperacindeberealizarseconpermisosdeadministrador.
3.Reconciliacinydesplazamientodelabasededatos
La operacin de reconciliacin permite resolver ciertos problemas de coherencia, principalmente tras restaurar la
basededatos.Enefecto,lasconcesionesDHCPseregistranendoslugares:
Enlabasededatosdeformadetallada.
Enelregistrodeformaresumida.
Alrealizarunaoperacindereconciliacin,lasentradascontenidasenlabasededatosyelregistrosecomparan.
Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que no estn presentes en el
registroyviceversa).
Ejemplo
Enelregistro,ladireccinIP192.168.1.250hasidoasignadayaqueaparecacomodisponibleenlabasededatos.
Alefectuarlareconciliacin,laentradasecreaenlabasededatos.
SeleccionandoReconciliar...enelmencontextualdelmbito(clicderechoenelmbitodeseado),semuestrauna
ventana.BastarconhacerclicenelbotnComprobarparainiciarlaverificacin.
- 2-
Seguidamente,unaventanamuestraelresultadodelaoperacin.
Es posible iniciar esta operacin en todos los mbitos seleccionandoReconciliar todos los mbitos...enelmen
contextualdelnodoIPv4.
Comohemosvistoanteriormente,eldesplazamientodelabasededatosaotrovolumenpermiteunareinstalacin
delservidorsinperderlabasededatos.EncasodemigracindelservidorDHCP,esposible utilizardossoluciones.
Primera solucin: se ha creado una cantidad de reservas han sido creadas y se han implementado, a su vez,
exclusionesdedireccionesIP.NoesconcebiblecrearunnuevombitoenelnuevoservidorDHCPyluegoefectuarla
etapadecreacindelasreservasyexclusiones.Estediosoypuedecausarerroresmsomenosperjudicialespara
elsistemadeinformacin.Esentoncesnecesariohacercopiadeseguridaddelantiguoservidoryluegorestaurarlo
enelnuevoodesplazarlabasededatosaotrovolumen.
Paraefectuareldesplazamiento,sedebeaccederalaspropiedadesdelservidor(clicderechoenelservidoryluego
Propiedadesenelmencontextual).
- 3-
Si, durante el reinicio del servicio, el mbito no est presente, copie todos los archivos contenidos en
Windows\System32\dhcpalanuevacarpeta.Elserviciodebeestardetenidoparaluegoreiniciaralterminarlacopia.
Segundasolucin:nosehancreadoreservasenelservidor,osehacreadounnmeromuyreducido.Enestecaso
se puede considerar la opcin de crear un nuevo mbito. Sin embargo, si esta solucin se implementa
errneamente,puedecausargravesproblemas.Dehecho,sielnuevoservidorcarecedeinformacinacercadelas
concesiones DHCP que se han distribuido antes de la creacin, se corre el riesgo de distribuir direcciones ya
asignadasaequiposcliente.Espreciso,enestecaso,solicitaralservidorDHCPquerealiceunapruebaantesde
asignarunadireccin.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A continuacin, en la pestaa
Avanzadas,bastarconconfigurarelnmerodeintentosdedeteccindeconflictosqueelservidordebeefectuar.
- 4-
LasnuevasconcesionessedistribuirnsinriesgodeconflictoIP.
- 5-
SecurizacinymantenimientodeDHCP
ElprotocoloDHCPnopermiteimplementarunasolucindeautenticacin,porlotantocualquierequipopuederecibir
unaconcesinDHCP.Lasolicitudresultarenunaasignacinaunqueelequiponoestautorizadopararecibirla.
1.SecurizarladistribucindeconcesionesDHCP
La obtencin de una concesin permite el acceso a la red. De esta forma, una persona malintencionada puede
fcilmenteintentarcorromperlosdatososimplementeobtenerdatosconfidenciales.Esnecesarioponerenprctica
unesquemadeseguridadadecuado.Enprimerlugaresposiblereducirelacceso fsicoactivandoenelconmutador
solamente los puertos utilizados. Es posible realizar una auditora para ver un historial de accesos vlidos. Sin
embargo,espreferibleimplantarunasolucindeautenticacinrobusta.
Estaltimapuedeimplementarsesiguiendolanorma802.1x(RADIUS Remote Authentication DialInUserService),
empleadaanivelempresarialparaautenticaryautorizarelaccesoaunequipo(conmutador,puntodeaccesoWi
Fi).SunombreesclienteRADIUS.Elequipamientodebeser,asuvez,compatibleconlanorma802.1x.
EnunpuntodeaccesoWiFi,seempleanlosprotocolosWPA Enterprise(WiFiProtectedAccessEnterprise) yWPA2
Enterprise (WiFi Protected Access 2Enterprise) para la autenticacin RADIUS. Por ltimo, es posible implantar un
servidor NAP (Network Access Protection). Este ltimo autoriza el acceso al servidor DHCP para los clientes que
cumplanconlapolticadeseguridad(antivirusactualizado,cortafuegosactivado).
2.Utilizacindelasestadsticasyregistrosdeauditora
Las estadsticas proporcionan informacin sobre la actividad y utilizacin del servidor. Es muy fcil detectar un
posibleproblema.Unnmeroelevadodeacusesderecibonegativosindicaunamalaconfiguracindelmbito(dos
mbitosqueproporcionanlasmismasdireccionesIP).
Es posible definir los intervalos de actualizacin modificando el parmetro en las propiedades del campo IPv4
(pestaaGeneral).Estaopcinestdeshabilitadapordefecto.
- 1-
A diferencia de las estadsticas del servidor, que proporcionan informacin sobre su estado, las estadsticas del
mbito proporcionan solamente el nmero de direcciones presentes en el rango permitido y el nmero de
direccionesutilizadasydisponibles.
Como complemento a las estadsticas, es posible utilizar el registro de auditora, que permite el seguimiento de
cualquier actividad. Hace referencia a todas las concesiones distribuidas y tambin a aquellas que han sido
rechazadas.
Se encuentra en la carpeta Windows\System32\dhcp y es posible visualizarlo mediante el bloc de notas de
Windows.Elnombredearchivocontieneeldaenquehasidocreado.
- 2-
PodemosverelarchivoDhcpSrvLogVieenlacarpeta.Elprincipiodelnombredearchivo(DhcpSrvLog) escomna
todoslosarchivos,solovaraelnombredelda.
Elarchivocontienevarioscampos:
ID:correspondealnmerodeevento(elenunciadodelosdiferentesIDseencuentraalprincipiodelarchivo).
Fecha:algrabareleventoenelregistro,seincluyelafecha.
Hora:horaalaquesehaproducidoelevento.
Descripcin:informacinsobrelaoperacinefectuada.
DireccinIP:direccinIPdelclienteDHCP.
- 3-
Nombredelequipo:nombredelequipo.
DireccinMAC:direccinMACdelclienteDHCP.
Enesteregistroexistenotrosdatos(IDdetransaccin,resultado...).
- 4-
IPAM
IPAM(IP Address Management)esunacaractersticaintegradaapartirdelsistemaoperativoWindowsServer2012.
Permite descubrir, supervisar y auditar un grupo de direcciones IP. La administracin y seguimiento de servidores
DHCP(DynamicHostConfigurationProtocol)yDNS(DomainNameService) puederealizarsedesdeIPAM.
Lossiguientescomponentesseincluyenenlafuncin:
Ver, crear informes personalizados y administracin del espacio de direcciones IP: muestra los datos
detalladosdeseguimientoyusodelasdireccionesIP.LosespaciosdedireccionesIPv4eIPv6seorganizanenbloques
dedireccionesIP,enrangosdedireccionesIPyendireccionesIPindividuales.
AuditarloscambiosdeconfiguracindelservidoryseguimientodelusodelasdireccionesIP:permitever
loseventosoperativosrelacionadosconlosservidoresIPAMyDHCPadministrados.Asuvez,serealizaunseguimiento
de las direcciones IP, ID de cliente, nombre de host o nombre de usuario y una captura de eventos de concesiones
DHCP y se registran los eventos de inicio de sesin de usuario en los servidores NPS (Network Policy Server), en los
controladoresdedominioylosservidoresDHCP.
AntesdedesplegarlacaractersticaIPAMesnecesariotenerencuentaelmtododedespliegueseleccionado. Senos
presentandosposibilidadesdedespliegue:elmtododistribuido,conunservidorIPAMencadasitiodelaempresa,o
elmtodocentralizado,conunservidorparaelconjuntodelaempresa.
IPAMrealizaintentosperidicosparalocalizarcontroladoresdedominio,servidoresDNSyDHCPparaservidoresque
estndentrodelalcancedelreadedescubrimientoespecificada.Parapodersergestionados porIPAMyautorizar
suacceso,sedebenconfigurarlosparmetrosdeseguridadylospuertosdelservidor.
LacomunicacinentreelservidorIPAMylosservidoresadministradosseefectamedianteWMIoRPC.
Aligualqueotrosroles,IPAMcuentaconespecificaciones.
El mbito de descubrimiento para los servidores IPAM est limitado a un nico bosque Active Directory. Entre los
servidoressoportadosencontramosNPS,DNSyDHCP.DebenejecutarWindowsServer2008oversionesposteriores
y estar unidos a un dominio. Ciertos elementos de red (WINS Windows Internet Name Service, proxy) no estn
contemplados por el servidor IPAM. Con Windows Server 2012 R2 aparecen nuevas caractersticas, incluyendo la
posibilidaddeutilizarunabasededatosSQL.Lasanterioresversionessolopodanemplearlabasededatosinterna
deWindows.
Unservidorpuedeabarcar150servidoresDHCPy500servidoresDNS(6.000mbitosy150zonasDNS).
Nohayimplementadaningunaestrategiaparavaciarlabasededatosdespusdeuntiempo,eladministradordebe
hacerlomanualmente.
ConlainstalacindeIPAM,seinstalantambinlassiguientesfuncionalidades:
Herramientas de administracin remota del servidor: instalacin de las herramientas DHCP, DNS y el cliente
IPAMquepermitenadministrardemaneraremotalosservidoresDHCP,DNSeIPAM.
Base de datos interna de Windows: base de datos interna que puede ser instalada por los roles y caractersticas
internos.
ServiciodeactivacindeprocesosWindows:eliminaladependenciadelprotocoloHTTPgeneralizandoelmodelo
deprocesosIIS.
Administracindedirectivasdegrupo:instalalaconsolaMMCquepermiteadministrarlasdirectivasdegrupo.
- 1-
.NETFramework:instalacindelacaracterstica.NETFramework4.5.
Durantelainstalacindelacaracterstica,secreanlossiguientesgruposlocales:
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la informacin de descubrimiento de
servidores, al igual que la relativa al rango de direcciones y la gestin del servidor. El acceso a la informacin de
seguimientodedireccionesIPlesestprohibido.
Administradores IPAM MSM (MultiServer Management): tienen permisos de usuario IPAM, tambin tienen la
posibilidaddeefectuartareasdeadministracindelservidorytareasdeadministracincorrientesIPAM.
Administradores IPAM ASM (Address Space Management): adems de los permisos del usuario IPAM, tambin
tienen la posibilidad de efectuar las tareas relacionadas con el espacio de direcciones y tareas de gestin habitual de
IPAM.
AdministradoresdeauditoraIPAMIP:losmiembrosdeestegrupopuedenefectuarlastareasdegestinhabitual
deIPAMy,adems,verlainformacindeseguimientodedireccionesIP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y pueden realizar cualquier
tarea.
LastareasIPAMseinicianregularmenteenfuncindeunaperiodicidaddada.Seencuentraneneladministrador de
tareas(Microsoft/Windows/IPAM):
Discovery:permiteeldescubrimientoautomticodelosservidoresDC,DHCPyDNS.
AddressUtilizationCollection:efectalarecogidadedatosdeutilizacindelrangodedireccionesparalosservidores
DHCP.
Audit: se recopila la informacin de auditora de los servidores DHCP, IPAM, NPS y DC as como de las concesiones
DHCP.
Configuration:serecopilalainformacindeconfiguracindelosservidoresDHCP,DNSparaASMyMSM.
ServerAvailability:serecuperaelestadodeserviciodelosservidoresDHCPyDNS.
LainstalacinyconfiguracindelacaractersticaIPAMserealizaenlostalleres.
- 2-
Talleres
LostalleresconsistenenlainstalacindelservidorDHCPylafuncionalidadIPAMysuconfiguracin.
1.AgregarelrolDHCP
Objetivo:efectuarlainstalacindelrolDHCP.
Mquinavirtualutilizada:AD1.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
MarquelacasillaInstalacinbasadaencaractersticasoenrolesyluegohagaclicenSiguiente.
EnSeleccionarservidordedestino,dejeAD1seleccionadoyluegohagaclicenSiguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar caractersticas en la ventana que se
muestra.
HagaclicenSiguienteenlaventanaSeleccionarcaractersticas.
HagaclicenSiguienteyluegoenInstalar.
EsperealfindelainstalacinyluegohagaclicenCerrar.
2.Configurarunnuevombitoyagregaropciones
Objetivo:unavezinstalado,estetallertieneporobjetivorealizarlaconfiguracindelservidor.
Mquinasvirtualesutilizadas:AD1,CL801yCL802.
- 1-
EnlaconsolaAdministradordelservidorenAD1,hagacliceneliconoconformadebandera.
HagaclicenelenlaceCompletarconfiguracindeDHCP.
Seiniciaelasistente,hagaclicenSiguiente.
En la ventana Autorizacin, verifique que se est utilizando la cuenta FORMACION\Administrador y
luegohagaclicenConfirmar.
HagaclicenCerrarparacerrarelasistente.
- 2-
AccedaalapantallaInicio.
AbralaconsolaDHCPincluidaenlasherramientasadministrativas.
Desplieguead1.formacion.localenelpaneldenavegacinyluegorealicelamismaoperacinconIPv4.
Haga clic con el botn derecho en IPv4 y a continuacin, en el men contextual, haga clic en mbito
nuevo....
HagaclicenSiguienteenlaventanadelAsistente.
EnelcampoNombre,introduzcambitoFormacion.localyluegohagaclicenSiguiente.
- 3-
EnlasventanasAgregarexclusionesyretrasoyDuracindelaconcesin,hagaclicenSiguiente.
MarquelaopcinConfigurarestasopcionesmstardeyhagaclicenSiguiente.
HagaclicenFinalizarparacerrarelasistente.
- 4-
Haga clic con el botn derecho en Opciones de mbito y a continuacin, en el men contextual,
seleccioneConfiguraropciones.
Marque la opcin 003 Enrutador y el valor 192.168.1.254 en el campo Direccin IP. Haga clic en
Agregarparavalidarelvalor.
Marquelaopcin006ServidoresDNSyluegointroduzcaelvalor192.168.1.10.HagaclicenAgregar
paravalidarelvalor.
HagaclicenAceptarparaprocederacrearlasopciones.
- 5-
Elmbitoseencuentradesactivado.Hagaunclicderechoenmbito[192.168.1.0]yluegoenelmen
contextual,hagaclicenActivar.
Verifique en los equipos CL801 y CL802 que la direccin est configurada para Obtener una
direccin IPautomticamente.
Utiliceelcomandoipconfigparaverificarlaconfiguracinactual.
- 6-
Si la direccin configurada es una direccin APIPA (169.254.x.x), efecte una nueva solicitud de concesin
empleandoelcomandoipconfig/renew.
Lasconcesionessehanasignadocorrectamentealasdosmquinascliente.
Despliegue Filtros y luego haga clic con el botn derecho en el nodo Permitir. En el men contextual,
seleccioneHabilitar.RealicelamismaoperacinparaDenegar.
Haga clic en Concesiones de direcciones y, a continuacin, haga clic con el botn derecho en la
concesindeCL802.EnelmencontextualseleccioneAgregarafiltroy,acontinuacin,Denegar.
Elimine la concesin asignada a CL802 y, a continuacin, verifique que se encuentra en la lista
Denegar.
- 7-
EnCL802,inicieunsmbolodelsistemaeintroduzcaipconfig/release.
Introduzcaipconfig/renewparasolicitarunanuevaconcesin.
ElclientenoreciberespuestayaqueestenlalistaDenegar.
DesactivelalistaPermitiryDenegaryvuelvaaintroducirelcomandoipconfig/renewenCL802.
IncluyaelequipoCL802eneldominioFormacion.local.
3.Copiadeseguridadyrestauracindelabasededatos
Objetivo:realizarunacopiadeseguridaddelabasededatosdelservidoryluegoefectuarunarestauracin.
Mquinavirtualutilizada:AD1.
EnAD1,abralaconsolaDHCP.
Despliegueelservidorad1.formacion.localyluegohagaclicconelbotnderecho.Seleccionelaopcin
Copiadeseguridad.
EnlaventanaBuscarcarpeta,seleccioneelDiscolocal(C:)yluegohagaclicenCrearnuevacarpeta.
- 8-
LlamealanuevacarpetaCopiaSeguridadDHCPyhagaclicenAceptar.
Hagaclicconelbotnderechoenelmbitopresenteen DHCPy,enelmencontextual,seleccionela
opcinEliminar.
Noexisteahoraningnmbitopresenteenelservidor.
Hagaclicconelbotnderechoenelservidorad1.formacion.localyseleccionelaopcinRestaurar...en
elmencontextual.
En la ventana Buscar carpeta, haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic en
Aceptar.
- 9-
HagaclicenSparareiniciarlosservicios.
HagaclicenAceptarenelmensajedevalidacindelaoperacin.
Serestauraelmbitoyelconjuntodelaconfiguracin.
4.ImplementacindeIPAM
Objetivo:realizarunacopiadeseguridaddelabasededatosdelservidoryluegoefectuarunarestauracin.
Mquinasvirtualesutilizadas:AD1,SV2yCL802.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
caractersticas.
IPAMnodebeinstalarseenuncontroladordedominio,utilizaremosSV2paraalbergarestafuncin.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
DejelaopcinpordefectoenlaventanaSeleccionartipodeinstalacinyluegohagaclicenSiguiente.
- 10 -
VerifiquelaseleccindeSV2.Formacion.localyluegohagaclicenSiguiente.
En la ventana de seleccin de caractersticas, marque la caracterstica Servidor de administracin de
direccionesIP(IPAM).
Haga clic en el botn Agregar caractersticas en la ventana que se muestra y luego en el botn
Siguiente.
InicielainstalacinhaciendoclicenInstalar.
- 11 -
EnelAdministradordelservidor,hagaclicenIPAMparamostrarlapginainicial.
Actualicelaconsolasifueranecesario.
HagaclicenelvnculoAprovisionarelservidorIPAM.
EnlaventanaConfigurarbasededatos,dejeelvalorpordefectoyhagaclicenSiguiente.
HagaclicenSiguienteenlaventanaAprovisionarIPAM.
- 12 -
SeleccioneunmtododeaprovisionamientoBasadoenladirectivadegrupo.
EnlazonaPrefijodelnombredelGPO,introduzcaSRVIPAM.
ValidelaopcinhaciendoclicenAplicar.
Elaprovisionamientoestenmarcha
Alterminarlaoperacin,verifiquequeapareceelmensajeEl aprovisionamiento de IPAM se complet
correctamenteyluegohagaclicenCerrar.
HagaclicenConfigurardeteccindeservidores.
- 13 -
HagaclicenAgregarparaincluirFormacion.localenelmbito.
Configurelosrolesadetectardesmarcandoaquellosnodeseados.
HagaclicenAceptar.
EnlaventanaINFORMACINGENERAL,hagaclicenIniciardeteccindeservidores.
HagaclicenMsenlabandaamarillaparatenermsdetalles.
- 14 -
Espereaqueterminelaejecucin.
CuandoelcampoFasetengaelvalorCompletado,cierrelaventanaDetallesdetareadeOverview.
- 15 -
ElolosservidoresmostrarnsuestadocomoBloqueadoenEstadodeaccesoIPAMySinespecificarenEstadode
manejabilidad.
Sinosemuestraningnservidor,hagaclicenActualizarIPv4(alaizquierdadelidentificadordenotificacin).
AhorahayquedaraSV2elpermisodegestindelosdiferentesservidores.Seutilizanlosobjetosdedirectivade
grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name
System).
InicielaconsolaPowerShellcomoadministradorenSV2.
Introduzcaelsiguientecomandoyluegopulseen[Entrar]:
Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName
SRVIPAM -IpamServerFqdn sv2.formacion.local
SepuededescargarelscriptenlapginaInformacin.
- 16 -
PulselateclaSyluegovalideempleandolatecla[Intro].
LasnuevasdirectivasdegruposeencuentranenlaconsolaAdministracindedirectivasdegrupo.
LadirectivaSRVIPAM_DHCPtienelossiguientesparmetros:
- 17 -
Las directivas se encuentran vinculadas a la raz del dominio de forma predeterminada. Es posible desplazarlas si
fueranecesario.
En la consola de configuracin de IPAM, haga clic con el botn derecho en la lnea AD1 y luego
seleccione Editarservidor.
EnlalistadesplegableEstadodecapacidaddeadministracin,seleccioneAdministrado.
- 18 -
HagaclicenAceptar.
EnelservidorAD1,abraunsmbolodelsistemaDOSyluegointroduzcaelcomandogpupdate/force.
EstopermiteaplicarlasdirectivasdegrupopreviamentecreadasconelcomandoPowerShell.
En la consola IPAM, haga clic con el botn derecho en AD1 y luego, en el men contextual,
seleccione Actualizarestadodeaccesodelservidor.ElcampoEstadodeaccesoIPAMmuestraahorael
estadoDesbloqueado.
Puedenhacerfaltavariosminutosparalaaplicacindeladirectiva.Siestonofunciona,actualicelaconsola.
- 19 -
EnelpanelINFORMACINGENERAL,hagaclicenRecuperardatosdeservidoresadministrados.
Espereaqueterminelarecuperacin(concesionesactuales...).
EnelpaneldenavegacinIPAM,hagaclicenBloquesdedireccionesIP.
VisualiceelcontenidodelapestaaDetallesdeconfiguracin,examinelainformacinmostrada.
- 20 -
SeharecuperadocorrectamentelainformacindelservidorDHCP.
HagaclicconelbotnderechoenelrangodedireccionesIPyluego,enelmencontextual,hagaclicen
BuscaryasignardireccinIPdisponible.
Despusdeunosminutos,sepresentaunadireccinIPyluegoserealizanlaspruebas.
- 21 -
Ladireccinestdisponible.
Haga clic en Configuraciones bsicas en el men izquierdo y luego en el campo Direccin MAC
introduzcaladireccinMACdeCL802.
SeleccioneReservadoenelcampoEstadodedireccinyluegoCL802enPropietario.
- 22 -
SeleccioneelmenReservadeDHCP.
EnlalistadesplegableNombredelservidordereserva,seleccioneAD1.Formacion.local.
IntroduzcaCL802enelcampoId.declienteyluegomarqueAsociarMACaidentificadordecliente.
LadireccinMACseasocia.
SeleccioneAmbosenlalistadesplegableTipodereserva.
Al mismo tiempo es posible informar el campo Nombre de reserva, esto permitir recuperar ms fcilmente la
reserva.
- 23 -
HagaclicenelbotnAplicaryluegoenAceptar.
EnlalistadesplegableVistaactual,seleccioneDireccionesIP.
- 24 -
Haga clic con el botn derecho en la entrada creada previamente y luego seleccione Crear reserva
DHCP.
LareservasehacreadocorrectamenteenlaconsolaDHCP.
EnelequipoCL802,renuevelaconcesinDHCPintroduciendoloscomandosipconfig/releaseyluego
ipconfig/renew.
Lareservasehaactualizadocorrectamente.
- 25 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CuleselroldeunservidorDHCP?
2 Proporcionedeformaporcentualelmomentoenqueseefectuarlasolicitudderenovacindelaconcesin
DHCP.
3 CuleslaraznparainstalarunrelayDHCP?
4 Dndesealmacenanlosconjuntosdedirecciones?
5 EsposibleconfigurarvariosmbitosenunservidorDHCP?
6 Qupropiedadestieneunmbito?
7 Qudatoshacefaltaimplementarparaunareserva?
8 CuleselobjetivodelasopcionesdeDHCP?
9 CulessonlosotrostiposdeopcionesquesepuedenconfigurarenunservidorDHCP?
10 Culeslafuncindelosfiltros?
11 Alasignarunaconcesin,dndesealmacenalainformacindeestaltima?
12 EnqucarpetapredeterminadasealmacenalabasededatosdelservidorDHCP?
13 QuieromigrarelroldeservidorDHCPaotroservidor.Culessonlasdosposibilidadesqueseme
presentan?
14 CuleslautilidaddeIPAM?
15 Culessonlosservidoresquepuedensergestionados?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode12puntosparaaprobarelcaptulo.
3.Respuestas
1 CuleselroldeunservidorDHCP?
ElservidorDHCPtieneporobjetoladistribucindeconfiguracionesIPalosequiposquelasolicitan.Esteservicio
permiteevitarladistribucindelamismaconfiguracinadosequiposdiferentes.
2 Proporcionedeformaporcentualelmomentoenqueseefectuarlasolicitudderenovacindelaconcesin
DHCP.
Laoperacinderenovacindeunaconcesinseefectacuandoladuracindelamismallegaal50%y,ms
adelante,alalcanzarel87,5%.Finalmenteserealizaunltimointentoderenovacincuandosealcanzael100%
delaconcesin.
3 CuleslaraznparainstalarunrelayDHCP?
CuandounclienteemiteunatramaparasolicitarunaconfiguracinIP,staseenvaatodoslosequiposdelared.
Estatramaestbasadaenuntipobroadcast.Estastramasnopuedenatravesarlosenrutadores. Paraevitar
costesexcesivosporlaproliferacindeservidoresDHCP,debemosimplantarrelayDHCPcuyafuncinesla
retransmisindelasdiferentessolicitudesalosservidoresDHCP.
- 1-
4 Dndesealmacenanlosconjuntosdedirecciones?
Unconjuntodedireccionessealmacenaenunmbito.
5 EsposibleconfigurarvariosmbitosenunservidorDHCP?
S,esposibleconfigurarvariosmbitosenunservidorDHCP.Cadambitoposeeunrangodedireccionesdiferente.
6 Qupropiedadestieneunmbito?
Unmbitoposeevariaspropiedades,entrelasqueseencuentranunanombreyunadescripcin.
Encontramos, tambin,unconjuntodedireccionesIPquepuedendistribuirse,ascomolamscaradesubredylas
listasdeexclusin.Estasopcionespueden,asuvez,configurarse.
7 Qudatoshacenfaltaparaimplementarunareserva?
ParaimplementarunareservanecesitamosintroducirladireccinMACyladireccindeseada.
8 CuleselobjetivodelasopcionesdeDHCP?
UnaopcinDHCPpermitecomplementarlaconfiguracinIPdistribuida.Deestaformaesposibledistribuir la
direccindelservidorDNS(opcin044).Adicionalmente,lapuertadeenlaceconfiguradaconelasistentede
creacindelmbitoeslaopcinnmero003enrutador.Esposibledistribuirotrasopciones(opcin069:servidor
SMTP,opcin070:servidorPOP3).
9 CulessonlosotrostiposdeopcionesquesepuedenconfigurarenunservidorDHCP?
Esposibleconfigurarvariostiposdeopciones.Podemosconfiguraropcionesdeservidor,declaseodereserva.
10 Culeslafuncindelosfiltros?
LosfiltrospermitenimplementarlistasverdesqueautorizanalservidorDHCPadistribuirdireccionesalosequipos
incluidosenestalista.Lalistanegrapermiteprohibirlaconcesinalosequiposincluidos.
11 Alasignarunaconcesin,dndesealmacenalainformacindeestaltima?
Lainformacindelaconcesinasignadasealmacenaenelregistroy,tambin,enlabasededatosdelservidor
DHCP.
12 EnqucarpetapredeterminadasealmacenalabasededatosdelservidorDHCP?
LabasededatossealmacenadeformapredeterminadaenlacarpetaC:\Windows\System32\dhcp.
13 QuieromigrarelroldeservidorDHCPaotroservidor.Culessonlasdosposibilidadesqueseme
presentan?
Siexistenreservasconfiguradas,espreferiblehacerunacopiadeseguridaddelabasededatosyluego restaurarla
enotroservidor.Deestaforma,lasconcesionesyadistribuidasporelantiguoservidorseconocenenelnuevo.En
elcasoqueelnmerodereservassealimitado,podemosrecrearelmbito. Enesteltimocaso,debemos
configurarelservidorDHCPparaqueverifiquesiladireccinseencuentrayaatribuidaaunequipoantesde
asignarlaaladaptadorderedquelahasolicitado.
14 CuleslautilidaddeIPAM?
IPAM(IPAddressManagement)permiterealizareldescubrimiento,supervisinyauditoradeunadireccin IP.
TambinesposiblesupervisaryadministrarlosservidoresDHCPyDNS.
15 Culessonlosservidoresquepuedensergestionados?
EsposiblegestionarservidoresdetipoDNS,DHCPoNPS.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
Poseernocionessobrelosdiferentestiposdenombres(DNSyNetBIOS).
Tenerconocimientossobreelmecanismoderesolucindenombres.
2.Objetivos
AnalizarelfuncionamientodeDNS.
Definicindelasdiferenteszonasconfigurables.
InstalacindelrolServidorDNS.
Implantacindelaactualizacindinmica.
SoportedelservidorDNS.
- 1-
Introduccin
Paraaccederaunpuestodetrabajoenlared,esposibleutilizarsudireccinIPosunombre.Paraestoltimo,seha
implantadounmecanismoderesolucindenombreendireccionesIPyviceversa.
- 1-
FuncionamientodeDNS
ElservicioDNSpermitelaresolucindenombresdehostodeFQDN(FullyQualifiedDomainName)endireccionesIP.
Esteservicioseincluyeentodoslossistemasoperativosservidorquepermitenalosusuariosutilizarlosrecursosde
red(accesoaunservidor...).
Deesta,formaunapersonaquedeseeaccederaunsitiowebnotienelanecesidaddeconocerladireccin IPdel
servidor.IntroduciendoladireccinURL,seefectaunaresolucinDNSparapodertraducirelnombreasudireccin
IP.
Seutilizaunabasededatosparaalmacenarlosregistros.stapuedealmacenarseenunarchivooeneldirectorio
Active Directory. Contiene los nombres de equipo y sus direcciones IP para poder efectuar las operaciones de
resolucinnecesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efecta las consultas y actualizaciones en la
basededatos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se enva una consulta al servidor DNS para resolver el nombre
File.Formacion.local. Si el servidor cuenta con un registro, se enva la direccin IP al cliente que ha realizado la
solicitud, en caso contrario se ponen en marcha otros mecanismos (peticiones recursivas o iterativas) que
comentaremosmsadelante.
El uso de un nombre, a diferencia de una direccin IP, permite realizar la resolucin incluso en caso de cambio de
direccin.
1.Basededatosdistribuida
DNS est construido sobre un sistema jerrquico. Los servidores en la parte superior de la jerarqua, se llaman
servidores raz, se representan por un punto. Permiten la redireccin de las consultas a los servidores DNS de
primernivel(org,net,fr,com...).
Situadosdebajodelosservidoresraz,losservidoresconautoridadsobrelosdominiosdeprimernivelpermitenla
gestindelaszonases,net...Cadaunodelosdominiosesgestionadoporunorganismo(ESNIC...).
Enelsegundonivelseencuentranlosnombresdedominioquereservanlasempresasolosparticulares(nibonnet,
edicioneseni).Estosnombresdedominiosereservanenunproveedordeacceso,quepuedehospedarunservidor
webosolamenteproporcionarunnombrededominio.
CadanivelestcompuestoporservidoresDNSdiferentesquetienencadaunoautoridadsobresuzona(elservidor
raz contiene solamente el nombre de los servidores de primer nivel, y es el mismo para todos los servidores de
cadanivel).
Es posible para una empresa o particular aadir registros o subdominios para el nombre de dominio que ha
reservado(porejemplo,mail.nibonnet.frquemepermitetransferirtodomitrficodecorreoelectrnicoamirouter,
enconcretoaladireccindemiIPpblica).
- 1-
CadaservidorDNSpuederesolversolamentelosregistrosdesuzona,elservidordelazonaFRpuederesolverel
registronibonnet,peronopodrresolverelnombrededominioshop.nibonnet.fr.
2.Consultasiterativasyrecursivas
Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para intentar realizar la
resolucindelosnombresquenoseencuentranenlabasededatos.
Con las consultas iterativas, el equipo cliente enva a su servidor DNS una consulta para resolver el nombre
www.nibonnet.fr. El servidor consulta al servidor raz. ste le redirige al servidor que tiene la autoridad sobre la
zona FR. La consulta a este ltimo permite conocer la direccin IP del servidor DNS con autoridad sobre la zona
nibonnet. La consulta al servidor DNS con autoridad sobre la zona nibonnet permite resolver el nombre
www.nibonnet.fr.ElservidorDNSinternorespondealaconsultaquerecibipreviamentedesucliente.
Conlasconsultasrecursivas,elclientepuederesolverelnombrewww.nibonnet.fr.Envalapeticinasuservidor
DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita un servidor externo para efectuar la
resolucin. La peticin se transmite al reenviador configurado por el administrador (el servidor DNS del ISP que
poseeunacachmayor,porejemplo).Silarespuestanoseencuentraensucach,elservidorDNSdelISPefecta
una consulta iterativa y luego transmite la respuesta al servidor que ha realizado la peticin. ste puede, ahora,
responderasucliente.
- 2-
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador. En ciertos casos
(aprobacindebosqueAD...),esnecesarioquelasolicitudderesolucinquesevaareenviaraotroservidorDNS
searedirigidaenfuncindelnombrededominio(paraeldominioeni.frenviarlapeticina,porejemplo,elservidor
SRVDNS1).Elreenviadorcondicionalpermiteefectuarestamodificacinyredirigirlasconsultasalservidorcorrectosi
laconsulta(nombrededominio)esvlida.
- 3-
ZonasyservidoresDNS
UnazonaDNSesunaporcindelnombrededominiodondeelresponsableeselservidorDNS.Podemosdecirque
stetieneautoridadsobrelazona.ElservidorDNSgestionalazonaaligualquelosdiferentesregistrosqueposee.
1.Losdiferentestiposdezona
Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona secundaria y una zona de
rutasinternas.
Lazonaprimariaposeepermisosdelecturayescrituraenelconjuntodelosregistrosquecontiene.Estetipode
zonapuedeintegrarseenActiveDirectoryosimplementeestarcontenidaenunarchivodetexto.Enelcasodeque
lazonanoestintegradaeneldirectorio,esnecesarioconfigurarlatransferenciadezona.
Lazonasecundariaesunasimplecopiadeunazonaprimaria.Esimposibleescribirenestetipodezona.Solose
autorizalalectura.EsimposibledeintegrarenActiveDirectory.Unatransferenciadezonaesobligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta ltima contiene solamente los registros
necesariosparalaidentificacindelservidorDNSquecuentaconautoridadsobrelazonaquesehaaadido.
Tomemosunejemplo:elservidorAD1cuentaconlaautoridadenlazonaFormacion.local:elservidorSV1tienepara
lautoridadsobrelazonaFormacion.localynibonnet.local.
Lacreacindeunazonaderutasinternasserealizaparapoderresolverlosregistrosdeotrodominio.
Ejemplo:unavezqueelservidorAD1recibeunasolicitudderesolucinparaeldominionibonnet.local,lasolicitud
se redirige a los servidores DNS configurados en la zona de rutas internas. De esta forma se podr efectuar la
resolucin.
LaintegracindelazonaenActiveDirectoryrequierelainstalacindelrolDNSenuncontroladordedominio.Este
tipodezonaaportaciertasventajasalagestindelrolDNS:
Actualizacinmultimaestro:adiferenciadelosservidoresquehospedanzonasprimariasysecundarias,laszonas
integradasenActiveDirectorytienenlaposibilidaddesermodificadasparaelconjuntodelosservidores.Sisetrata
deunsitioremoto,esposibleactualizarlosregistrossinnecesidaddecontactaralservidorremoto.
- 1-
Replicacin de la zona DNS: la replicacin de zona integrada en Active Directory afecta solamente al atributo
modificado. Es posible emplear dos tipos de replicacin diferentes. Se realiza una transferencia de zona con las
zonasestndar,mientrasquelaszonasintegradasenActiveDirectorysereplicanconelcontroladordedominio.
Actualizacin dinmica: la integracin en Active Directory garantiza una mejor seguridad impidiendo una
modificacinfraudulentadelosregistros.
2.LazonaGlobalNames
La resolucin de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres NetBIOS). Estos
ltimospuedenresolversemedianteunservidorDNS.Enciertoscasospuedesernecesarioimplantarunservidor
WINS.MsantiguoqueDNS,empleaNetBIOSsobreTCP/IP(NetBT).WINSyNetBTnotienenencuentaIPv6.Estn
llamadosadesaparecerenunosaos.
MicrosofthaimplementadoconWindowsServer2008unafuncionalidadquepermitelamigracinenelservidorDNS
para la resolucin de nombres cortos. Para esto, se debe utilizar una zona llamada GlobalNames. Esta zona
contienelosregistrosestticosquecontienenlosnombres.
stosserefierenalosequipos,siendolaconfiguracindeIPestticayadministradaporWINS(fundamentalmente
servidores, solo si los equipos cliente cuentan con direcciones estticas). La resolucin de nombres de registros
inscritosdeformadinmicanopuederealizarsemedianteestafuncionalidad.
El despliegue de una zona GlobalNames se efecta en varias etapas. La primera es la creacin de la zona. A
continuacin,esprecisohabilitarlaactualizacindelazonaGlobalNames,paraelloesprecisoejecutarelsiguiente
comando:
dnscmd<ServerName>/config/enableglobalnamessupport1
Acontinuacinesposiblecrearlosdiferentesregistros.
Sepresentamsadelanteenestecaptulountallersobreestafuncionalidad.
- 2-
Instalacinyadministracindelservidor
El servicio DNS es un rol muy importante en un dominio Active Directory. Una mala gestin puede impactar en los
equiposytambinenlaproductividaddelosusuarios.
1.Instalacindelrol
El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para ello, elAsistente para
agregarrolesycaractersticaspresenteenlaconsolaAdministradordelservidordebeserutilizado.
Alpromoverunservidormiembroacontroladordedominio,esposibleefectuartambinlainstalacindelrolDNS.La
consola que se agrega tras la instalacin en las herramientas de administracin o la consola Administrador del
servidorpermitenadministraresteservicio.
Elcomandodnsmgmt.mscpermiteasuvezabrirestaconsola.
Adicionalmente,seaadeelcomandoDOSdnscmd.exe,elcualpermitecrearunscriptyautomatizarlaconfiguracin
DNS.
2.Laactualizacindinmica
LaactualizacindinmicaconsisteenunaactualizacindelservidorDNSentiemporeal.Estacaractersticaesmuy
importante. Permite, de hecho, tener un registro al da cuando el cliente cambia de direccin IP. La operacin de
actualizacinseefectaenvariosmomentos:
CuandoelclienteyelservicioDHCPestnarrancados.
- 1-
DurantelamodificacindeladireccinIP.
Durantelaejecucindelcomandoipconfig/registerdns.
Elprocesodeactualizacinconstadevariasetapasaefectuar.
Identificacindelservidordenombresyenvodelaactualizacin.Lazonahospedadaenelservidordebeserdetipo
primaria.
Elservidorrespondealosclienteseinformasicuentaconlaposibilidaddeefectuarlaoperacin.
El cliente enva una primera actualizacin dinmica no segura. Si la zona no permite las actualizaciones seguras, se
rechazalamodificacin.
Elclienteenvaalservidorunaactualizacindinmicaseguraquetramitalasolicitud.
3.Losdiferentesregistros
Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten resolver un nombre de
equipo,unadireccinIPosimplementeaunequipoencontraruncontroladordedominio,unservidordenombreso
unservidordecorreoelectrnico.
Lasiguientelistapresentalosregistrosmscorrientes:
- 2-
RegistrosAyAAAA(AddressRecord):permitenhacercorresponderunnombredeequipoyunadireccinIPv4.
ElregistroAAAApermitelaresolucindeunnombredeequipoenunadireccinIPv6.
CNAME(CanonicalName):secreaunaliasparaelnombredeotroequipo.Elequipoesaccesibleconsunombreal
igualqueconelalias.
MX(MailExchange):definelosservidoresdecorreoparaeldominio.
NS(NameServer):definelosservidoresdenombresdeldominio.
SRV:permitedefinirunservidorespecficoparaunaaplicacin,enparticularparaelequilibriodecarga.
PTR (Pointer Record): asocia una direccin IP a un nombre, es lo contrario a un registro de tipo A. La zona de
bsquedainversacontieneestetipoderegistro.
SOA (Start Of Authority): el registro proporciona informacin general de la zona (servidor principal, correo de
contacto,tiempodeexpiracin).
- 3-
SoportedelservidorDNS
AdemsdelosdiferentesdirectoriosincluidosenWindowsServer2012R2,esposibleutilizarinstruccionesporlnea
decomandospararealizarelmantenimientodelservidor.
1.Elcomandonslookup
nslookupesuncomandoquepermitelabsquedaderegistrosenelservicioDNS.
Ejecutado sin argumentos, la consola DOS muestra el nombre y la direccin IP del servidor de nombres primario.
Posteriormente,esposibleinterrogaralservidor.
Introduciendounnombrededominio,seefectalaresolucinyseproporcionaunnombre.
ParaevaluarlaresolucindeunnombredeequipoporunservidorDNS,bastarconintroducirelnombredeseado
despusdelcomandonslookup.
- 1-
Laopcinsetpermiteindicareltipoderegistroquedebeenviarelservidor.
Settype=mx,estaopcindevuelveinformacinacercadelservidordecorreoelectrnico.
Puedenusarseotrosregistros:
Settype=ns:informacinacercadelosservidoresdenombresdedominio.
Settype=a:elcomandoresuelveelnombreymuestraladireccinIP.
Settype=soa:semuestratodalainformacincontenidaenelregistroSOA(StartOfAuthority).
Este comando puede usarse para los registros de tipo pblico, que se encuentran en un servidor DNS pblico, o
paralosregistrosdetipoprivado,ubicadosenunaredlocal.
2.Elcomandodnslint
Elcomandodnslintesuncomandoexterno,antesdepoderejecutarlosedebedescargarelarchivo.
Esposibledescargarelarchivoaccediendoalsitiowebhttp://support.microsoft.com/kb/321045/es
EstaherramientapresentatresfuncionesquepermitenlaverificacindelosregistrosDNS(DomainNameSystem).
SecreauninformeenformatoHTMLparapoderverlosresultados.
- 2-
Diagnsticosdeproblemascomoerroresdedelegacin.Debeemplearselaopcin/dparaefectuarestaoperacin.
VerificacinderegistrosDNSdefinidosporunusuarioenunservidorDNS.Esprecisoutilizarlaopcin /ql.
VerificacinderegistrosusadosparalareplicacindeActiveDirectory.Sedebeusarlaopcin/ad.
Sintaxisdelcomandodnslint
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opcin /ad, debe emplearse una
direccinIP.Noesposibleemplearunnombredeequipo.
3.Elcomandoipconfig
ipconfig es un comando DOS que permite visualizar la configuracin IP del adaptador de red. Es posible realizar
otrasacciones(renovacindelaconcesin...)empleandodiferentesopciones.
Sintaxisdelcomando
- 3-
Variasopcionespuedenacompaaralcomando,cadaunaconunafuncinespecifca.
All:muestralaconfiguracinIPcompleta(servidoresDNS,fechadeiniciodelaconcesin,fechadefinalizacindela
concesin).
Release:liberalaconcesinDHCPdeladaptadordered.
Renew:renuevalaconcesinDHCP.
Flushdns:eliminalacachDNScontenidaenelpuesto.
ipconfig/registerdns:obligaalequipoaregistrarseensuservidorDNS.
Displaydns:muestraelcontenidodelacachDNS.
4.Elcomandodnscmd
Laherramientaporlneadecomandosdnscmdesmuytilparatrabajarconscripts.Empleandoestaherramienta
pueden automatizarse tareas de administracin del servicio DNS. Este comando permite de igual manera la
instalacindesatendidaylaconfiguracindenuevosservidores.
Sintaxisdelcomando
- 4-
El parmetro <NombreServidor> permite especificar el nombre del servidor destinatario de la accin. Es posible
utilizarlossiguientescomandos:
DscCmd/clearcache:permiteeliminarlacachenelDNS.
DnsCmd/config:reinicializalaconfiguracinrealizadaenelservidorolazona.
DnsCmd/enumdirectorypartitions:enumeralasparticionesdeldirectoriodeaplicacinDNSenunservidor.
- 5-
Talleres
LostallerespermitenlainstalacindeunservidorDNS,lacreacindeunhostydeunredirector,ascomolacreacin
deunazonaGlobalNames.
1.Configuracindeunredirectorcondicional
Objetivo: creacin de un redirector con el objeto de redirigir las consultas del dominio Formintra.msft al dominio
SV2.
Mquinasvirtualesutilizadas:AD1,SV2yCL801.
EnSV2,abraunasesincomoadministradordeldominio.
InicielaconsolaCentrodeconexionesderedyrecursoscompartidos.
HagaclicenCambiarconfiguracindeladaptador.
Haga clic con el botn derecho en el adaptador de red y luego seleccione la opcinPropiedades en el
mencontextual.
HagadobleclicenProtocolodeInternetversin4(TCP/IPv4).
Modifique la configuracin IP de la mquina para que tenga su direccin IP en el campo ServidorDNS
preferido.
HagaclicenAceptar.
InicielaconsolaAdministradordelservidoryhagaclicenelvnculoAgregarrolesycaractersticas.
Seiniciaunasistente,hagaclicenSiguiente.
- 1-
En las ventanas Seleccionar tipo de instalacin y Seleccionar servidor de destino, haga clic en
Siguientedejandoelvalorpredeterminado.
MarqueelrolServiciosdedominioActiveDirectoryyluegohagaclicenAgregarcaractersticas.
HagaclictresvecesenSiguienteyluegoenInstalar.
Cierrelaventanaalterminarlaoperacin.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el enlace
Promover esteservidoracontroladordedominio.
Seleccione la opcin Agregar un nuevo bosque, en el campo Nombre de dominio raz introduzca
Formintra.msfty,porltimohagaclicenSiguiente.
- 2-
Introduzcalacontraseademododerestauracindeserviciosdedirectorio(DSRM)deseadayluego
confrmela.
HagaclicenSiguienteenlaventanaOpcionesdeDNS.
ValideelnombreNetBIOSyluegohagaclicenSiguiente.
HagaclicdosvecesenSiguienteyluegoenInstalar.
- 3-
Alterminarlainstalacin,elservidorreinicia.
EnSV2,inicielaconsolaDNSdesdelainterfazWindows.
DespliegueZonasdebsquedadirectayluegoFormintra.msft.
HagaclicconelbotnderechoenelnodoFormintra.msftyluegoenelmencontextualseleccioneHost
nuevo (AoAAAA).
IntroduzcawwwenelcampoNombreyluego192.168.1.12enDireccinIP.
HagaclicenAgregarhost.
EnAD1,inicielaconsolaDNSdesdelainterfazWindows.
Haga clic con el botn derecho en el nodo Reenviadores condicionales y, a continuacin, seleccione
- 4-
Nuevoreenviadorcondicional...enelmencontextual.
IntroduzcaFormintra.msftenelcampoDominioDNSy,acontinuacin,192.168.1.12enelcampoIP
(pulse[Intro]paravalidar).
MarquelaopcinAlmacenarestereenviadorcondicionalenActiveDirectoryyreplicarlocomosiguey
hagaclicenAceptar.
Silonecesita,eliminelosregistrosdeSV2presentesenelservidorDNS.
ElreenviadorseencuentraenelservidorAD1.
- 5-
AbraunsmbolodelsistemaenelequipoCL801.
Introduzcapingwww.formintra.msftyvalidepulsandolatecla[Intro].
Seobtieneunarespuestayserealizalaresolucin.
EnAD1,elimineelreenviadorcreadoanteriormente.
HagaclicenSparaeliminarlo,tambin,deActiveDirectory.
HagaclicconelbotnderechoenelservidorAD1yseleccioneBorrarcachenelmencontextual.
EnCL801,introduzcaipconfig/flushdnsenelsmbolodelsistemaDOS.
- 6-
Verifiquelaconectividaddewww.formintra.msftutilizandoelcomandopingwww.formintra.msft.
Estavezlaresolucinnoesposible.
2.CreacindeunazonaGlobalNames
Objetivo:utilizacindelazonaGlobalNamesconelfinderesolverconDNSlosnombrescortos.ElnombreSQLdebe
estarasociadoaAD1ystedeberesponderconsuinformacincuandoseutilizaelnombrecorto.
Mquinasvirtualesutilizadas:AD1yCL801.
EnAD1,abralaconsolaDNS.
DespliegueAD1yluegoZonasdebsquedadirecta.
HagaclicconelbotnderechoenlacarpetaZonasdebsquedadirectayseleccioneZonanueva.
LazonacreadaesunazonaprincipalintegradaenActiveDirectory.Dejeelvalorpredeterminadoenla
ventanaTipodezona.
- 7-
Seleccione el botn de opcin Para todos los servidores DNS que se ejecutan en controladores de
dominioenestebosque:Formacion.localyluegohagaclicenSiguiente.
IntroduzcaGlobalNamesenelcampoNombredezona.
- 8-
Losregistrosloscreaeladministrador,noesnecesariaactualizacindinmicaalguna.
SeleccioneelbotncorrespondientealaopcinNoadmitiractualizacionesdinmicas.
LazonaGlobalNamesseencuentraahorapresenteenlaconsolaDNS.
- 9-
AhoradebemosactivarlaactualizacindelazonaGlobalNames.
AbraunsmbolodelsistemaDOS.
IntroduzcaelcomandodnscmdAD1/config/enableglobalnamessupport1.
La zona GlobalNames no estar disponible para la resolucin de nombres mientras que la actualizacin no est
activadadeformaexplcitaconelcomandoanteriorencadaservidorDNSdelbosque.
HagaclicconelbotnderechoenlazonaGlobalNamesyluegoenAliasnuevo(CNAME).
Introduzca SQL en el campo Nombre de alias y luego introduzca ad1.formacion.local en el campo
Nombrededominiocompleto.
- 10 -
HagaclicenAceptarparaprocederalacreacin.
EnelequipoCL801,inicieunsmbolodelsistemaDOSyluegointroduzcapingSQL.
Elservidorad1.formacion.localresponde,laresolucinhafuncionado.
- 11 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 DndepuedealmacenarselabasededatosdelservicioDNS?
2 CuleslautilidaddelclienteDNS?
3 Porquhablamosdeunabasededatosdistribuida?
4 Quesunaconsultaiterativa?
5 QutipodezonasepuedecrearenunservidorDNS?
6 Culessonlasprincipalesdiferenciasentreunazonaprimariayunasecundaria?
7 Quesunazonaderutasinternas?
8 CuleslautilidaddelazonaGlobalNames?
9 Queslaactualizacindinmica?
10 CuleslautilidaddelosregistrosSRVyCNAME?
11 Qupermitehacerelcomandonslookup?
12 Paraqusirveelcomandodnslint?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode10puntosparaaprobarelcaptulo.
3.Respuestas
1 DndepuedealmacenarselabasededatosdelservicioDNS?
LabasededatosdelservicioDNSpuedeestaralmacenadaendosentornos:enunarchivooeneldirectorioActive
Directory(solamenteparalaszonasintegradasenAD).
2 CuleslautilidaddelclienteDNS?
ElclienteDNStienecomofuncinelenvodelasconsultasalservidorDNSparapedirlaresolucindeunnombre.
Susegundafuncineslaactualizacindelosregistros(siestactivadalaactualizacindinmica).
3 Porquhablamosdeunabasededatosdistribuida?
ElsistemaDNSutilizaunabasededatosdistribuida,cadaservidorhospedaunazonaysolotieneautoridadsobre
suzona.Enlajerarquaencontramosvariosniveles(raz,dominiodeprimernivel...),cadaunotienesufuncin
especfica.
4 Quesunaconsultaiterativa?
Cuandounservidorefectaunaconsultaiterativa,envaunaconsultaalosservidoresDNSdediferentesniveles
(raz,dominiodeprimernivel...).Elobjetivodelservidoresresponderalaconsultaqueharecibido.
5 QutipodezonasepuedecrearenunservidorDNS?
SepuedencreartrestiposdezonaenunservidorDNS.Podemoscrearzonasprimarias,secundariasozonasde
rutasinternas.
6 Culessonlasprincipalesdiferenciasentreunazonaprimariayunasecundaria?
- 1-
Unazonaprimariaesdetipolectura/escritura.SielrolservidorDNSseencuentrainstaladoenuncontroladorde
dominioesposibleintegrarlasenActiveDirectory.Laszonassecundariassondesololecturaynopuedenser
integradasenAD.
7 Quesunazonaderutasinternas?
Unazonaderutasinternasesunacopiadeunazona,dondesoloexistenlosregistrosquepermitenlaidentificacin
delosservidoresDNS.
8 CuleslautilidaddelazonaGlobalNames?
UnservidorDNSnopuederesolverunnombrecortodeltipoSQL,www,...LazonaGlobalNamespermitecrear
registrosestticosdeltipoCNAMEparaqueelservidorpuedaresolverlosnombres.
9 Queslaactualizacindinmica?
LaactualizacindinmicapermitegarantizarqueunequipoquehacambiadodedireccinIP(nuevaconcesin...)
puedamodificarelregistrosinintervencindeladministrador.IntegrandolazonaenActive Directory,seasegurala
actualizacindinmica.
10 CuleslautilidaddelosregistrosSRVyCNAME?
UnregistroSRVpermitedefinirunservidorespecficoparaunaaplicacin,especialmenteparaelbalanceo decarga.
UnregistrodetipoCNAMEpermitelacreacindeunaliasenelnombredeotroequipo.Elequipoesaccesibleconsu
nombreyelalias.
11 Qupermitehacerelcomandonslookup?
ElcomandonslookuppermiteverificarlaresolucindeunservidorDNSointerrogardirectamentealservidor.Este
comandopermiteverificarelusodelprotocoloDNSperonodelprotocoloNetBIOS.
12 Paraqusirveelcomandodnslint?
Elcomandodnslintesuncomandoexterno.Permitediagnosticarproblemastalescomoerroresdedelegacin y
tambincrearregistroscomolosdefinidosporelusuarioolosnecesariosparalareplicacinActiveDirectory.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
Poseerconocimientossobrelagestindediscos(particionado,sistemasdearchivos...).
Conocimientodelosdiferentestiposdediscos(bsicosydinmicos).
2.Objetivos
VistadelasdiferenciasentreDAS,NASySAN.
Gestindelosformatosdeparticinysistemadearchivos.
Implementacindeunespaciodealmacenamiento.
- 1-
Introduccin
Lacantidaddealmacenamientonecesariaesunaspectoquenosedebeobviar.Lasdiferentesaplicacionestienen
una necesidad creciente de espacio de almacenamiento. Por lo tanto, es necesario gestionar el espacio de
almacenamientocuidadosamente.
- 1-
Elsistemadealmacenamiento
Durante la implantacin de un servidor en un sistema de informacin, es necesario evaluar la solucin de
almacenamiento(discoslocales,cabinadealmacenamiento...)queserdesplegada.Puedesernecesarialatolerancia
afallosyelnmerodediscosaemplearvariarenfuncindelasolucinescogida.
1.Losdiferentesdiscosysurendimiento
Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una capacidad de
almacenamientoalosservidoresopuestosdetrabajo.
EIDE(EnhancedIntegratedDriveElectronics)ATA:Estatecnologasebasaenlasnormascreadasen1986.Permite
aunainterfaz IDE (IntegratedDriveElectronics)soportarlasnormas AdvancedTechnologyAttachment2(ATA2) y
AdvancedTechnologyAttachmentPacketInterface(ATAPI).
SATA (SerialAdvancedTechnologyAttachment):interfazdebusquepermitelaconexindediscosdurosounidades
pticas a la placa base. La tecnologa SATA tiene por objetivo reemplazar al estndar ATA. Presentada en 2003, la
norma lleva tres revisiones: SATA 1 con una velocidad de transmisin de 1,5 GB por segundo, SATA 2 con una
velocidaddetransmisinde3GBporsegundo,yfinalmenteSATA3conunavelocidadde6GBporsegundo.Estetipo
de disco tiene un menor coste que otras tecnologas aunque posee igualmente un rendimiento menor. Es posible
seleccionar este tipo de tecnologa si se requiere gran cantidad de espacio en disco sin muchas restricciones de
rendimiento.
SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la conexin fsica y la
transferencia de datos entre ordenadores y perifricos. Introducida en 1978, esta interfaz permite una ejecucin de
transacciones a alta velocidad. Estandarizada en 1986, SCSI ha sido creada para la utilizacin de cables de tipo
paralelo posteriormente, se han utilizado otros soportes con esta norma. Con el uso de cables paralelos, las
transferencias no pueden superar los 5 MB por segundo. A partir de 2003, Ultra 640 SCSI (o Ultra 5) permite
velocidades de transferencia de 640 MB por segundo. Este tipo de disco ofrece un rendimiento mayor que un disco
SATA,sinembargotieneuncostemselevado.
SAS (SerialAttachedSCSI):SASsediseparapaliarlosproblemasdefiabilidadodetransmisinquepodantraer
otrosformatos.EstetipodediscosutilizandostcnicaslatransmisinenseriededatosySCSI.Cadadiscoutilizaun
caudal de 3 GB/s para cada perifrico, SCSI efecta la divisin del ancho de banda empleando 2,56 GB/s para el
conjuntodelosperifricosdelcontrolador.AdiferenciadelanormaSATAquesolopuedeprocesaruncomandoala
vez, el controlador SAS puede enviar dos comandos simultneamente. Los discos SAS pueden encadenarse, a
diferencia de los discos SATA que necesitan un puerto por cada disco. Durante la normalizacin de SATA 6 GB/s,
apareciunanuevaversindeSAS.Presentadaensuversin2.0,poseelasnovedadesdeSATA3conuncaudalde
datosequivalente.
SSD(SolidStateDrive):estetipodediscoempleamemoriaflashparaelalmacenamientodelosdatos,adiferenciade
los discos clsicos que emplean un soporte magntico. Los accesos a disco son netamente superiores con un menor
consumodeenerga.EstetipodediscoempleageneralmenteunainterfazSATA,sinembargoelcosteesmayorque
eldeundiscotradicional.
2.DiferenciaentreDASyNAS
El espacio de almacenamiento presenta dos soluciones diferentes,DAS (Direct Attached Storage) y NAS (Network
AttachedStorage).DASconsisteenlaconexindirectaalservidordeunasolucindealmacenamiento.Estasolucin
incluyelosdiscosinternosdeunservidoroundiscoduroexternoconectado medianteUSB.
Encasodeparadadelservidor(mantenimiento,paradaporfallo,reinicio...),losarchivosycarpetascontenidosno
estarnaccesibles.LosdiscosdetipoSATA,SASoSSDpuedenutilizarseconestasolucin, presentandocadauno
susventajaseinconvenientes(velocidad,rendimiento...).
VentajasdeDAS
- 1-
UnsistemaDASesunasolucinquecontienevariosdiscosconectadosaunservidoruotroequipopormediodeun
adaptador de bus host (HBA). No puede existir ningn equipo de red de tipo hub, repetidor, conmutador o
enrutadorentreelDASyelservidor.Elmantenimientoyeldesplieguedeestasolucinesmuysencillo,bastacon
conectarelperifricoyverificarqueelsistemaoperativoloreconoce.Tratndosedeunasolucinmseconmica,
existendiscosdisponiblesdediferentesvelocidadesytamaos.Estopermiteunamejoradaptacinalasdiferentes
soluciones que pueden implementarse. La administracin y la configuracin se realizan mediante la consola
Administracindediscos.
InconvenientesdeDAS
Estasolucinnopermitecentralizarlosdatos,queseencuentranrepartidosentrevariosservidores.Adicionalmente
a la administracin, la copia de seguridad y el acceso a los diferentes recursos es tambin difcil de gestionar.
Adems,elrendimientodelservidor(velocidaddelprocesador,memoria)impactaenelaccesoalDAS.
NAS es un espacio de almacenamiento accesible desde la red. A diferencia de DAS, esta solucin no necesita la
conexindirectaalservidoryproporcionaaccesoaunconjuntodeservidores.Estasolucinesfrecuentementeun
"appliance" sin interfaz para teclado, monitor, etc. La configuracin se efecta a travs de la red, sin embargo el
equipo debe contar con una configuracin IP. En caso de implementar un recurso compartido de red, es preciso
utilizarelnombredelaNAS(osudireccinIP)enlugardelnombredeservidor.Deestaforma,todoslosusuarios
puedenaccederalosdiferentesrecursoscompartidosdelequipoyaquecuentaconunaconfiguracinIP.Unamejor
opcinconsisteenimplementarunasolucinSAN(StorageAreaNetwork).Sinembargo,estaltimaesmuycostosay
necesitaunaarquitecturaunpocomspesada.
VentajasdeNAS
Comohemosvisto,lasolucinNASofrecelaventajadeproporcionaraccesoavariosclientesconunaccesodirecto
desde la red. Es frecuente tener un equipo de tipo "appliance", que permite evitar cualquier problema de
rendimientovinculadoalservidor,estandoelequiporeservadoexclusivamentealapresentacindelosarchivosy
carpetas.Alestarlosrecursosalmacenadosenunpuntocentral,laadministracinylacopiadeseguridadsonmuy
sencillasderealizar.Adicionalmente,lasolucinesindependientedelaversindelsistemaoperativo.
InconvenientesdeNAS
UnaNASesunatecnologamuchomslentaqueunaSAN(tratamosestetemaenelpuntosiguiente),dadoquese
accedemedianteunenlaceEthernet.Estasolucinestbasadaenred.Noesaconsejablealmacenaraquarchivos
deaplicacionestalescomoSQLServeroMicrosoftExchange.
3.InformacingeneraldeunaSAN
Es ms frecuente encontrar en las empresas espacios de almacenamiento de tipo SAN (Storage Area Network). A
diferenciadeNAS,alqueaccedemosmediantelared,laSANofreceaccesodirectoalacabina.Deestaformacada
servidorveelespacioendiscodelacabinaquelehasidoasignadocomosupropiodisco.Paraevitarelaccesoalos
mismos recursos por parte de un servidor que ejecuta Windows y otro que ejecuta Linux, es preciso realizar
distintas operaciones para implementar la LUN (Logical Unit Number). Estas operaciones configuran diversos
nmerosquepermitenidentificarelespacio dealmacenamientoasignadoaunservidor.
LasSANpuedenutilizarfibrapticaoiSCSI.Esteltimotipodeinterfazpermitelatransmisindecomandos SCSIa
travsdelprotocoloIP.
VentajasdeSAN
- 2-
Una de las ventajas de SAN es la posibilidad de cambiar el nmero de discos, y por ende la cantidad total de
almacenamiento.Esposibleagregarundiscoounacabinadeformamuysencillaencomparacinconunasolucin
dealmacenamientodetipoDAS.Lacentralizacindelalmacenamientopermiteunamejorgestinyadministracin
de los recursos albergados. Los rendimientos en lectura y escritura son ms elevados en este tipo de
almacenamiento, adicionalmente es posible configurar una redundancia a nivel de ciertos componentes
(alimentacin,discoduro).
InconvenientesdeSAN
La configuracin, administracin y mantenimiento de una solucin SAN pueden presentar un inconveniente en
ciertos casos, dado que estas operaciones necesitan competencias tcnicas que es preferible adquirir antes de
implantar la solucin. A diferencia de DAS y de NAS que pueden desplegarse sin poseer un presupuesto
considerable,estasolucinesmuycostosa.Laadministracinseefectafrecuentementeporlneadecomandos.Es
necesariotenerconocimientossobrelaconfiguracindelasLUN,ascomotodounconjuntodediversosfactores.
4.UtilizacindelatecnologaRAID
LatecnologaRAIDpuedeemplearseparaproporcionaraunaempresaunasolucindealtadisponibilidadodealto
rendimiento.Elconceptosebasaenlautilizacindevariosdiscosenunanicaunidadlgica.Variarenfuncindel
nivelRAIDseleccionado,elnmerodediscosutilizadosolaposibilidaddetenerunfallodedisco.
Enlaactualidad,estatecnologaestmuyextendidaenlasempresasporquegarantiza(enfuncindelnivelRAID
seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los servidores (generalmente
contamosconunaredundanciaaniveldealimentacin,discosytarjetadered).
FuncionamientodeRAID
Seempleandosopcionesparaaumentarlatoleranciaaerrores.
Discoenespejo:seempleandosdiscos,alescribirunbitenundisco,elmismobitseescribeeneldiscoespejo.En
casodefallodeundisco,losdatosestntodavadisponiblesmedianteelsegundodisco.
Informacin de paridad: empleado en caso de fallo de un disco, la informacin de paridad permite recuperar los
datosqueseencuentraneneldiscofueradeservicio.Lainformacindeparidadsecalculaparacadadatoescritoen
eldisco,estaoperacinlarealizaelservidorolacontroladoraRAID.Encasodeerror,lainformacindeparidadse
asociaalosdatosquesiguendisponiblesenlosotrosdiscospararecuperarlainformacinfaltante.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y configurndola mediante
diferentesherramientas.Estaconfiguracinnoestdisponibleparaelsistemaoperativo.stesolopuedeefectuar
lacreacindevolmenes.ElRAIDporsoftwareesunpocodiferenteporquelaconfiguracinRAIDserealizaesta
vez en el sistema operativo. Se emplea la consola Administracin de discos para la gestin de los diferentes
nivelesdeRAID.
NivelesdeRAID
HaydisponiblesvariosnivelesdeRAID.Cadaunotieneventajaseinconvenientes.
RAID0
RAID0o"stripping",permiteunamejoranetadelrendimientoaniveldelaccesoalosdiscos.Losndiscospresentes
enelRAIDtrabajanenparalelo,loquepermiteunamejoraenelaccesodelecturaydeescritura.Estaconfiguracin
- 3-
posee, sin embargo, un inconveniente en el tamao de los discos. En efecto, la capacidad del volumen se
corresponde con el tamao del disco ms pequeo multiplicado por el nmero de los discos que componen el
clster.
Ejemplo
Si mi RAID 0 se compone de dos discos, el primero tiene una capacidad de 1 TB y el segundo de 2 TB. La capacidad del
volumenesde2TB(tamaodeldiscomspequeo*nmerodediscos=1TB*2osea2TB).
Estoseexplicaporelhechodequeenlasbandasdelsistemadeagregacin(RAID0)noseescribendatoscuando
eldiscomspequeoestlleno.Esmuyaconsejableutilizardiscosdeigualtamao.
NoseofreceningunatoleranciaafallosenestetipodeRAID.Siunodelosdiscosfalla,sepierdeelconjuntodelos
datos.
RAID1
AligualqueparaRAID0,seempleanvariosdiscos,cadaunoposeeenelmomentotlosmismosdatos.Hablamosde
espejoo"mirroring"eningls.Lacapacidaddelvolumenesigualalmenordelosdiscospresentesenelclster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamao. Este tipo de RAID ofrece una buena
proteccindedatos.Encasodefallodeunodelosdiscos,lacontroladoraRAIDlodesactivasinqueelusuariose
percate. Al reemplazarlo, la controladora reconstruye el espejo. Una vez terminada la operacin, se garantizan
nuevamentelaredundanciaylaaltadisponibilidad.
Durantelaescrituradedatosenelvolumen,laoperacinserealizaenelconjuntodediscosdelclster.
Silosdosdiscossealteran,losdatossepierden.
RAID5
RAID5esunasolucinquefusionaelstripping(RAID0)conunmecanismodeparidad.Deestaformalosdatosno
seescribennuncadelamismaformaenlosdiferentesdiscos.Estopermitetenerencadadiscolainformacinde
paridadylosdatos.EstasolucingarantizalareconstruccindelRAIDcombinandolosbitsdeparidadylosdatos.
Sinembargo,encasodeprdidademsdeundiscolosdatosnopodrnserrecuperados.
Esta solucin RAID aporta un buen acceso de lectura, sin embargo el clculo de la paridad implica tiempos de
escrituramuchomslargos.
- 4-
Gestindediscosyvolmenes
Desde las primeras versiones de los sistemas operativos servidor, la gestin de discos y volmenes es un punto
esencial.
1.TablasdeparticinMBRyGPT
Desde1980,losordenadoresyservidoresutilizanparticionesdetipoMBR(MasterBootRecord)ensusdiscosduros.
Estetipodetabladeparticionesposeeciertascaractersticas.Undisconopuedetenermsde4particionesycada
unapuedeteneruntamaomximode2TB.EsrecomendableemplearunatabladeparticionesdetipoGPT(GUID
PartitionTable)paralosdiscosdetamao&enspsuperior.
Introducida con Windows Server 2003 y Windows XP de 64 bits, la tabla de particiones de formato GPT permite
rebasarloslmitesimpuestosporelformatoMBR.Sesoportanunmximode128particionespordiscoenGPT.El
tamaodeunaparticinalcanzalos8zetabytes(10 21 ),sinembargoesnecesarioquelaBIOSsoporteGPTpara
poderrealizarunarranquedesdeestetipodeparticin.
2.Losdiferentestiposdediscos
WindowsServer2012R2permiteelusodedosdiscosdiferentes(losdiscosbsicosylosdiscosdinmicos).
Losdiscosbsicos,utilizadosentodaslasversionesdelsistemaoperativoWindows,utilizantablasdeparticiones
detipoMBRoGPT.Undiscobsicocontieneparticionesprincipalesoparticionesextendidas.Estasltimasestarn
divididasenunidadeslgicas.Alinstalarundisco,laopcinpordefectoeseldiscobsico.Sinembargo,esposible
realizarlaoperacinparaconfigurarundiscodinmico,sintenerimpactosobrelosdatospresentes.
Elpasodediscodinmicoadiscobsicoscausa,porsuparte,laprdidadelconjuntodedatoscontenidosenel
disco.
LosdiscosdinmicosseimplementaronporprimeravezconWindowsServer2000.Estosnoaportanrendimientos
superiores adicionalmente, algunas aplicaciones no pueden tratar los datos incluidos. La nocin de volumen hizo
assuaparicinconestetipodediscos.Enefecto,yanohablamosdeparticionessinodevolmenesdinmicos.Se
tratadeunidadesdealmacenamientoqueseextiendensobreunoomsdiscos.
Aligualqueparalosdiscosbsicos,losvolmenespuedenformatearseconelsistemadearchivosdeseadoyseles
puede asignar una letra de unidad. Estn disponibles varios tipos de volumen, los volmenes simplesutilizan un
solodiscoyposeenlasmismascaractersticasqueunaparticinprincipal.Noexisteningnlmite(salvoelespacio
en disco) en el nmero de volmenes simples por disco, a diferencia de las particiones principales que estn
limitadas a 4 por disco. Elvolumen distribuido se crea utilizando el espacio en disco libre en varios discos. Este
volumen puede extenderse a un mximo de 32 discos. No puede ponerse en espejo, no se proporciona ninguna
tolerancia a errores. Al igual que para el volumen distribuido, el volumen seccionado emplea varios discos (como
mnimo dos). Los datos se escriben de forma alternativa en los diferentes discos que componen el volumen.
Conocido bajo el nombre de RAID 0 o stripping, esta solucin no ofrece tolerancia a errores. Los volmenes
reflejados,msconocidos comoRAID1,permitenimplementarunvolumencontoleranciaaerrores.Empleandodos
discos,losdatosescritosenunosereplican,automticamente,enelotro.
La prdida de un disco no impacta en ningn caso a la produccin, sin embargo es preferible de cambiar
rpidamente el disco que ha fallado. Por ltimo, encontramos el volumen RAID 5, que ofrece tolerancia a fallos,
pero al contrario que RAID 1 que emplea un sistema de espejo, ste opta por una solucin basada en bit de
paridad. Con un mnimo de tres discos, el bit de paridad se reparte entre el conjunto de discos. Esta solucin
permitelaprdidadeundisco,elsistemasereconstruyeasociandolosdatosylainformacindeparidadpresente
enlosdiscosenfuncionamiento.
- 1-
3.SistemasdearchivoFAT,NTFSyReFS
EnWindowsServer2012puedenusarsevariossistemasdearchivos,seencuentrandisponibleslossistemasFAT,
NTFSoReFS(ResilientFileSystem).
FAT
FAT(FileAllocationTable)eselmsrudimentariodelostressistemasquesepuedenusarconWindowsServer2012
R2.AlformatearundiscoconunsistemadearchivosFAT,serealizaunadivisinenclster(grupodesectores).La
versin original de FAT no permita tener particiones de ms de 2 GB, a causa de la limitacin en el tamao de la
tabladeasignacindearchivos.DesarrolladoporMicrosoft,estetipodeparticionesadmitenuntamaomximode
2TB.Noseimplementaseguridadalgunaaniveldearchivos.Noesrecomendable utilizarestetipodesistemaen
lasparticionesinternasdeunservidorqueejecuteWindows Server2012R2.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema proporciona
caractersticas muy tiles que el sistema FAT no tiene. Implementa ACL (Access Control Lists) para los archivos y
carpetas. Esta funcionalidad, que consiste en proporcionar autorizaciones de acceso a los archivos, carpetas o
cualquier recurso compartido permite obtener una mejor seguridad en un sistema de informacin. Los sistemas
operativos que emplean este sistema cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es
posibleimplementarlacompresindearchivosycuotasporvolumen.Sepuederealizarconversindeunaparticin
FAT a una de tipo NTFS sin prdida de datos empleando el comando convert. El tamao de las particiones
formateadasconestetipodesistemadearchivosnopuedenexcederlos16Exabytes(tamaoterico).
ReFS
IntroducidoconWindowsServer2012,mejoraelsistemaNTFSpermitiendounmayortamaodearchivo,carpetao
particin.Sehanmejoradoasuvezlacorreccindeerroresylaverificacindedatos.Esprecisoutilizarestetipode
sistemapararebasarloslmitesimpuestosporNTFS.Sehanmejoradolaintegridaddedatos,ascomolaproteccin
contralacorrupcin.EstanovedadheredafuncionalidadespresentesenelsistemaNTFStalescomolaencriptacin
BitLocker o la implementacin de la seguridad mediante el despliegue de ACL. Esto permite garantizar la
compatibilidad hacia atrs con el sistema NTFS. Si el disco se formatea con este sistema, no se reconocer si se
conectaaunsistemaoperativoanterioraWindowsServer2012.AdiferenciadeNTFSquepermitelamodificacin
deltamaodelosclsters,conReFScadaclstertieneuntamaode64KB.ElsistemaEFS(EncryptedFileSystem)
noescompatibleconReFS.
4.ExtenderoreducirunaparticinenWindowsServer2012R2
En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para los clientes, la
reduccin o ampliacin de una particin deba efectuarse empleando software adicional. En adelante, la consola
Administracin de discos permite realizar estas operaciones. Sin embargo, solo es posible redimensionar las
particionesNTFS.LasparticionesformateadasenFATnopuedenserniextendidasnireducidas,mientrasquelos
volmenes ReFS solo pueden ser extendidos. No obstante, la opcin que permite extender los datos solo puede
utilizarsesiexisteunespacionoasignadoacontinuacindelaparticinsobrelaqueserealizalaaccin.Encaso
de utilizar un volumen dinmico, es posible extender el volumen con espacio no asignado de otro disco (volumen
agregado).Recuerdequelosvolmenesagregadosnoaplicanlatoleranciaafallosadems,noesposibleutilizar
estetipodevolumenparaunaparticindelsistema.
Unclsterdefectuosopuedecausarlaimposibilidaddereducirlaparticinadicionalmente,aquellosarchivosqueno
- 2-
se pueden mover (pagefile.sys...) no se desplazan. Esto obligar al administrador a eliminar o desplazar estos
archivosantesderealizarlaoperacin.TambinesposibleutilizarelcmdletResizePartition.
- 3-
Implementacindeunespaciodealmacenamiento
La implementacin de un espacio de almacenamiento puede ser costosa en funcin de la solucin que haya que
desplegar.ApartirdeWindowsServer2012,seproporcionaunanuevafuncionalidadparapoderimplementareste
tipodesolucin.
1.LacaractersticaEspaciodealmacenamiento
Integrada en Windows Server 2012 R2, esta funcionalidad proporciona redundancia y un almacenamiento comn
paralosdiscosinternosyexternos.Estosltimospuedenserdediferentestamaosyutilizardiferentesinterfaces.
Tambinesposiblecreardiscosdurosvirtualesconaltadisponibilidad.Lacreacindeestosdiscosdurosvirtuales
requiere contar con volmenes accesibles desde el sistema operativo, agrupados en uno o ms grupos de
almacenamiento.
A continuacin, es posible crear discos duros virtuales (no confundir con los archivos VHD). Mucho ms flexibles,
ofrecenfuncionalidadesidnticasalasdeundiscofsico(resiliencia...).
Lasolucinnecesitaungrupodealmacenamientoqueagrupelosdiferentesdiscosfsicos.stospueden serdetipo
SATAoSAS.Antesdepoderagregarundiscofsicoaungrupo,esnecesarioqueeldiscocumplaciertosrequisitos
mnimos.
Enprimerlugar,necesitamostenerundiscoparacrearungrupodealmacenamiento.Necesitamosdosdiscospara
implementarundiscovirtualenespejo.Finalmente,losdiscosquepuedenusarunainterfaz iSCSI,SAS,SATA,USB...
debenestarvacosysinformatear.
2.Opcionesdeconfiguracindediscosdurosvirtuales
Sivariosdiscoscomponenungrupodealmacenamiento,esposiblecreardiscosvirtualesredundantes.Lacreacin
se realiza empleando la consola Administrador del servidor o mediante comandos PowerShell. Antes que nada,
debemostenerencuentaelnmerodediscos.
Existentresopciones:
Un espacio simple permite obtener los mejores rendimientos mediante RAID 0. No se despliega ninguna
redundancia,encasodefallolosdatossepierden.
El Espejo permite la redundancia de datos garantizando la duplicacin de los datos en varios discos. Esta solucin
proporciona gran capacidad con una latencia de acceso relativamente baja. Adicionalmente se garantiza una
toleranciaaerrores.
Finalmente laParidadessimilaralRAID5.Losdatos,ascomolosbitsdeparidad,serepartenentrevariosdiscos.
Estaltimasolucinrequieretresdiscosfsicos.Aligualqueparaelespejo,estasolucinincluyetoleranciaafallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
GetStoragePool
Enumeralosgruposdealmacenamiento.
GetVirtualDisk
Enumeralosdiscosvirtuales.
RepairVirtualDisk
Reparalosdiscosvirtuales.
ResetPhysicalDisk
Eliminaundiscofsicodeungrupodealmacenamiento.
GetVirtualDisk|GetPhysicalDisk
Enumeralosdiscosfsicosqueseutilizanparaundiscovirtual.
- 1-
- 2-
Talleres
Lostallerespermiteninstalaryadministrarunespaciodealmacenamiento.
1.ImplementarunsistemaGPT
Objetivo:aadirdiscosdurosalservidorSV1ydesplegarunsistemaGPT.
Mquinasvirtualesutilizadas:AD1,SV1.
AbraunasesincomoadministradorenSV1.
EnlaconsoladelamquinavirtualSV1,hagaclicenelmenArchivoyluegoenConfiguracin.
Si la mquina virtual est arrancada, resulta imposible agregar un disco IDE. En este caso, puede agregar discos
durosdetipoSCSI.
En la ventana Configuracin para SV1 en SRVHYPERV, haga clic en Controladora SCSI y luego en
Unidaddediscoduro.
HagaclicenelbotnAgregary,acontinuacin,enelbotnNuevo.Seagregaunnuevodiscoduroala
mquina.
Seiniciaunasistente,hagaclicenSiguienteenlapginaAntesdecomenzar.
- 1-
DejeelvalorpredeterminadoenElegirtipodediscoyluegohagaclicenSiguiente.
Introduzca10enelcampoTamaoyluegohagaclicenSiguiente.
- 2-
HagaclicenFinalizarparavalidarlacreacindelarchivovhdx.
HagaclicenAplicaryluegorepitalospasosparacreardosdiscosdurosadicionales.
Elnombredelarchivovhdxdebemodificarse,losdemsparmetrossonidnticos.
- 3-
HagaclicenAceptar,luegoenlamquinavirtualSV1,abralaconsolaAdministradordelservidor.
HagaclicenHerramientasyluego,enelmencontextual,seleccioneAdministracindeequipos.
EnelnodoAlmacenamiento,hagaclicenAdministracindediscos.
Aparecenlostresdiscosperonoestninicializados.
HagaclicconelbotnderechoenDisco1yluegoseleccionelaopcinEnlnea.
El nmero de disco puede variar en funcin del nmero de lectores incluidos en la mquina virtual. Si la opcin En
lnea no aparece, significa que no se ha hecho clic en el lugar adecuado. La operacin debe hacerse en el texto
encimadelenlaceAyuda.
Repitalaoperacin,peroestavezseleccionelaopcinInicializardisco.
En la ventanaInicializar disco, seleccione la opcin GPT (Tabla de particiones GUID) y haga clic en
Aceptar.
- 4-
Hagaclicconelbotnderechoenelespacionoasignado(barranegra)yluegoenelmencontextual
seleccioneNuevovolumensimple.
Seiniciaunasistente,hagaclicenSiguiente.
EnelcampoTamaodelvolumensimpleenMB,introduzca1000yluegohagaclicenSiguiente.
EnlaventanaAsignarletradeunidadorutadeacceso,hagaclicenSiguiente.
IntroduzcaVolumenSimpleenelcampoEtiquetadelvolumenyluegohagaclicenSiguiente.
- 5-
HagaclicenTerminarparaprocederalacreacindelvolumen.
La creacin de un volumen con un sistema MBR y GPT es idntica. Solo difieren el tamao y el nombre de las
particiones.
2.Reduccindeunaparticin
Objetivo:elobjetivodeestetalleresefectuarlareduccinolaextensindeunaparticindelsistema.
- 6-
Mquinasvirtualesutilizadas:AD1,SV1.
EnlamquinavirtualSV1,abralaconsolaAdministradordelservidor.
HagaclicenHerramientasyluego,enelmencontextual,seleccioneAdministracindeequipos.
EnelnodoAlmacenamiento,hagaclicenAdministracindediscos.
Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic en Reducir
volumen.
LaventanaindicaelTamaototalantesdelareduccin,enMBaligualqueelEspaciodisponible
paralareduccin,enMBesteltimodatoindicaeltamaomximoqueesposiblerecuperar
reduciendolaparticin.
EnelcampoTamaodelespacioquedeseareducir,enMB,introduzca200.
HagaclicenelbotnReducir.
Despusdeunosminutos,aparecedisponibleunespaciosinasignarde200MB.
- 7-
EsteespaciosinasignarnopuedeasignarsealaparticinDporqueestubicadoantesqueella.
Haga clic con el botn derecho en la particin C: y luego, en el men contextual, haga clic en
Extender volumen.
EnlapginaBienvenidadelasistente,hagaclicenSiguiente.
EnelcampoSeleccionelacantidaddeespacio(MB),dejeelvalorpredeterminadoyluegohagaclicen
Siguiente.
Estecampoindicaalsistemaoperativoelvalorqueseagregaralaparticinaextender.
HagaclicenTerminar.Despusdevariossegundoslaparticinseextiende.
Laparticindelsistemapuedereducirseoextendersemientraselsistemaoperativoestcargado.
3.Desplieguedediferentesvolmenes
Objetivo: crear los diferentes volmenes que se pueden crear desde la consola Administracin de discos y luego
simularunerrordesconectandoundisco.
Mquinasvirtualesutilizadas:AD1,SV1.
EnlamquinavirtualSV1,abralaconsolaAdministradordelservidor.
HagaclicenHerramientasyluego,enelmencontextual,seleccioneAdministracindeequipos.
EnelnodoAlmacenamiento,hagaclicenAdministracindediscos.
HagaclicconelbotnderechoenDisco2yluegoseleccionelaopcinEnlnea.
Eldisco2correspondealprimerdiscodesconectado.
- 8-
HagadenuevoclicconelbotnderechoyseleccioneestavezInicializardisco.
MarquelaopcinGPT(TabladeparticionesGUID)yluegohagaclicenelbotnAceptar.
EfecteelmismoprocedimientoparaconectareinicializarelDisco3.
HagaclicconelbotnderechoenelespaciosinasignardelDisco1yluego,enelmencontextual,haga
clicenNuevovolumendistribuido.
EnlaventanaAsistenteparanuevovolumendistribuido,hagaclicenSiguiente.
SeleccioneDisco2enlaventanaSeleccionardiscosyluegohagaclicenelbotnAgregar.
RepitalamismaoperacinconelDisco3.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la
cantidad deespacio(MB).
- 9-
HagaclicenSiguienteyluegoenFinalizar.
- 10 -
Enelmensajedeadvertencia,hagaclicenSparaquelosdiscosseconviertanadiscosdinmicos.
Elvolumendistribuidosehacreadocorrectamente.
HagaclicconelbotnderechoenelespaciosinasignardelDisco1yluego,enelmencontextual,haga
clicenNuevovolumenseccionado.
EnlaventanaAsistenteparanuevovolumenseccionado,hagaclicenSiguiente.
SeleccioneDisco2enlaventanaSeleccionardiscosyluegohagaclicenelbotnAgregar.
RepitalamismaoperacinconelDisco3.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione la
cantidad deespacio(MB).
- 11 -
Elvalorseaplicaalosdiscos2y3.Dehecho,noesposibletenertamaosdiferentesparacadadisco.
HagaclicdosvecesenSiguienteyluegoenlaventanaFormatearvolumen,introduzcaSeccionadoen
elcampoEtiquetadelvolumen.
HagaclicenSiguienteyluegoenFinalizar.
Serealizalacreacindelvolumen.
- 12 -
HagaclicconelbotnderechoenelespaciosinasignardelDisco1yluego,enelmencontextual,haga
clicenNuevovolumenreflejado.
EnlaventanaAsistenteparanuevovolumenreflejado,hagaclicenSiguiente.
SeleccioneDisco2enlaventanaSeleccionardiscosyluegohagaclicenelbotnAgregar.
EnelcampoSeleccionados,hagaclicenDisco1eintroduzca300enelcampoSeleccionelacantidad
deespacio(MB).
Elvalorseaplicaautomticamentealdisco2.
HagaclicdosvecesenSiguienteyluegoenlaventanaFormatearvolumen,introduzcaReflejadoenel
campoEtiquetadelvolumen.
- 13 -
HagaclicenSiguienteyluegoenFinalizar.
HagaclicconelbotnderechoenelespaciosinasignardelDisco1yluego,enelmencontextual,haga
clicenNuevovolumenRAID5.
EnlaventanaAsistenteparanuevovolumenRAID5,hagaclicenSiguiente.
SeleccioneDisco2enlaventanaSeleccionardiscosyluegohagaclicenelbotnAgregar.
RepitalamismaoperacinconelDisco3.
EnelcampoSeleccionados,hagaclicenDisco1eintroduzca500enelcampoSeleccionelacantidad
deespacio(MB).
- 14 -
Elvalorseaplicaautomticamentealosdiscos2y3.
Haga clic dos veces enSiguiente y luego en la ventana Formatear volumen,introduzca RAID5 en el
campoEtiquetadelvolumen.
HagaclicenSiguienteyluegoenFinalizar.
- 15 -
Creeunarchivollamadoprueba.txtquecontengaeltexto"test"encadavolumen.
EnlaconsolaAdministracindediscos,hagaclicconelbotnderechoenDisco2yluego,enelmen
contextual,hagaclicenSinconexin.
- 16 -
Losvolmenesqueempleansistemassintoleranciaaerrores(volumendistribuidoyvolumenseccionado)noestn
accesibles.
HagaclicconelbotnderechoenDisco2yluego,enelmencontextual,seleccioneEnlnea.
Repitalaoperacin,peroestavezseleccionelaopcinReactivardisco.
LosvolmenesvuelvenaestardisponiblesenlaconsolaEquipo.
4.Implementarunespaciodealmacenamientoredundante
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 17 -
Objetivo:implementarunespaciodealmacenamientoredundanteenelservidorSV1.
Mquinasvirtualesutilizadas:AD1,SV1.
EmpleandolaconsolaAdministracindediscos,eliminelosvolmenescreadoseneltalleranterior.
Inicie la consola Administrador del servidor y haga clic en el vnculo Servicios de archivos y
almacenamiento.
Seleccione la pestaa Grupos de almacenamiento y luego empleando el botn TAREAS, haga clic en
Nuevogrupodealmacenamiento.
Seiniciaunasistente.EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
IntroduzcaGrupoServidor1enelcampoNombreyluegohagaclicenSiguiente.
- 18 -
En la ventana Seleccionar discos fsicos para el grupo de almacenamiento, marque los tres
discos disponibles.
HagaclicenSiguienteyluegoenCrear.
Seponeenmarchalacreacindelgrupodealmacenamiento.
HagaclicenCerraralterminarlacreacin.
NosehaefectuadoningncambioenEquipo.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento.Porltimo,hagaclicenGruposdealmacenamiento.
SeleccioneelbotnTAREASenDISCOSVIRTUALESyluegohagaclicenNuevodiscovirtual.
HagaclicenSiguienteenlasventanasAntesdecomenzarySeleccionarelgrupodealmacenamiento.
- 19 -
IntroduzcaGrupoEspejoenelcampoNombreyluegohagaclicenSiguiente.
SeleccionelaopcinMirrorenlaventanaSeleccionarladistribucindealmacenamientoyhagaclicen
Siguiente.
SeleccioneFijoenlaventanaEspecificareltipodeaprovisionamientoyhagaclicenSiguiente.
- 20 -
En la ventana Especificar el tamao del disco virtual, introduzca 2 en el campo para crear un disco
virtualde2 GB.
HagaclicenSiguienteyluegoenCrear.
Seiniciaelasistentedecreacindeunnuevovolumen.
HagaclicenSiguienteenlasventanasAntesdecomenzarySeleccionarelservidoryeldisco.
DejeeltamaopordefectoyvalideempleandoelbotnSiguiente.
- 21 -
AsignelaletraFalnuevovolumenyhagaclicenSiguiente.
IntroduzcaVolumenVirtualenelcampoEtiquetadelvolumenyluegohagaclicenSiguiente.
HagaclicenCrearparavalidarlacreacindelvolumen.
- 22 -
Yanoaparecenlosdiscosfsicosdelamquina.
Laadministracindevolmenesserealizarenadelantedesdeelgrupodealmacenamiento(consolaAdministrador
delservidor).
- 23 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 Qutiposdediscosepuedeninstalarenunservidor?
2 CulesladiferenciaentreunaNASyunaDAS?
3 CiteunaventajayuninconvenientedeunaSAN.
4 QuesiSCSI?
5 CundoutilizarunRAID0?
6 CulessonlasinterfacesutilizadasparaaccederaunaSAN?
7 CulessonlasinterfacesutilizadasparaaccederaunaNAS?
8 CulesladiferenciaentreRAID1yRAID5?
9 PorquemplearunatabladeparticionesGPT?
10 PorquutilizarunsistemadearchivosReFS?
11 Desdequconsolaesposibledesplegarunespaciodealmacenamiento?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode9puntosparaaprobarelcaptulo.
3.Respuestas
1 Qutiposdediscosepuedeninstalarenunservidor?
Sepuedeninstalarvariostiposdediscoenunservidor:losdiscosSATA,SASoSCSI.
2 CulesladiferenciaentreunaNASyunaDAS?
UnaDAS(DirectAttachedStorage)esundiscoconectadofsicamenteaunservidoradiferenciadeunaNAS
(NetworkAttachedStorage)alaqueseaccedemedianteunainterfazIP.
3 CiteunaventajayuninconvenientedeunaSAN.
UnaSANposeevariasventajasencuantoalaescalabilidaddelacantidaddediscos,lacentralizacindel
almacenamientoolosrendimientosdelecturayescritura.Elniveltcniconecesarioparaelmantenimientodiariode
unaSANesuninconveniente.
4 QuesiSCSI?
iSCSIesunprotocoloquepermiteelenvodecomandosSCSIatravsdelprotocoloIP.
5 CundoutilizarunRAID0?
RAID0ostrippingpermiteobtenermejoresrendimientos,sinembargonosegarantizalatoleranciaafallos.En
casodefallodeundisco,losdatossepierden.
6 CulessonlasinterfacesutilizadasparaaccederaunaSAN?
UnaSANpuedeutilizardostiposdeinterfaces:fibrapticaoiSCSI.
7 CulessonlasinterfacesutilizadasparaaccederaunaNAS?
- 1-
UnaNASdebeestarconectadaaunaredEthernet.AccedemosaellaempleandosudireccinIP.
8 CulesladiferenciaentreRAID1yRAID5?
Ademsdelnmerodediscos(dosparaRAID1ytresparaRAID5),elfuncionamientodelosdosRAIDesdiferente.
RAID1empleaunsistemadeespejo:alescribirunbitenundisco,seescribeelmismoenelsegundodisco.RAID
5empleaunsistemadeparidad:cuandoseescribendatoseneldisco,secalculaunbitdeparidadyseescribeen
eltercerdisco.Encasodefallodeundisco,lapartedelosdatosrestanteseasociaalbitdeparidadpararecuperar
elvalororiginal.
9 PorquemplearunatabladeparticionesGPT?
ElMBR(MasterBootRecord)imponelimitaciones(tamaodelasparticiones,etc.).Pararebasarestoslmites,
debemosutilizarunatabladeparticionesGPT(GUIDPartitionTable)parapodercrearmsdecuatroparticiones
principales
10 PorquutilizarunsistemadearchivosReFS?
ReFSpermitemejorarelsistemaNTFS.Enefecto,eltamaomximodelosarchivoshasidoaumentado.Este
sistemaaportaotrasmejoras.
11 Desdequconsolaesposibledesplegarunespaciodealmacenamiento?
LaconsolaAdministradordelservidorpermiteeldesplieguedeunespaciodealmacenamiento.Unavezactivada
estafuncionalidad,losdiscosempleadosnosonvisiblesenlaconsolaAdministracindediscos.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
PoseernocionesacercadelospermisosNTFS.
2.Objetivos
ImplementacindepermisosNTFSycompartirunacarpeta.
Creacinyusodeinstantneas.
Informacingeneraldelasimpresorasdered.
Utilizacindecontroladoresdetiposv3yv4.
Presentacindelosgruposdeimpresoras.
- 1-
Introduccin
Todaslasempresasutilizanalmenosunservidordearchivosydeimpresin.Laimplementacindeestosrolesesun
aspectoesencialquedebeabordarseconmuchocuidado.
- 1-
Seguridaddecarpetasyarchivos
Los archivos y carpetas almacenados en un servidor de archivos pueden contener informacin confidencial. Es
necesariogarantizarlaseguridaddelaccesoparaasegurarlaconfidencialidaddelosdatos.
1.LospermisosNTFS
LospermisosNTFSseasignanalosarchivosocarpetasalmacenadosenunaparticinNTFS.Permitenautorizaro
denegarelaccesoaunacuentaogrupodeusuariosoequipos.
Lassubcarpetas(carpetashijo)puedenheredarlasautorizacionesqueposeenlascarpetasqueseencuentranpor
encimadeellas(carpetaspadre).Pordefecto,laherenciaseencuentraactivaalcrearunanuevacarpetaoarchivo.
Estosltimosheredandesuspadres.
Sepuedenconfigurardostiposdepermisos:lospermisosestndarylospermisosavanzados.
Los permisos estndar son los ms utilizados en un archivo o carpeta. El permiso Control total proporciona al
objetoafectado(usuario,equipoogrupo)permisoscompletos.Estoincluyelaposibilidaddemodificarlospermisos
oconvertirseenpropietario.ElpermisoModificarpermiteleer,escribiryeliminarunarchivoounacarpeta.Concede
alobjetoafectadopermisosparaejecutarunarchivooefectuarsucreacin.
AtribuyendoelpermisoLecturayejecucinesposibleleerunarchivoyejecutarunprograma.ElpermisoEscritura
proporciona permisos de escritura sobre un archivo. Por ltimo, al atribuir a un objeto el permiso Mostrar el
contenido de la carpetaesposibleenumerarlascarpetasyarchivoscontenidosenunacarpetaperosintenerla
posibilidaddeabriryleerelcontenidodeunarchivo.
Lospermisosavanzadospermitenimplementarautorizacionesmuchomsgranulares.
Atravesarcarpeta/ejecutar
archivo
Esto permite, por ejemplo, acceder a un archivo en una subcarpeta sin poder
leer los archivo de la carpeta compartida o de otras subcarpetas. La
autorizacin ejecutar archivo permite autorizar o denegar la ejecucin de
programas.
Mostrarcarpeta/leerdatos
Leeratributos
Este permiso permite leer los atributos bsicos de un archivo o carpeta (solo
lectura,mostrarelcontenido...).
Creararchivos/escribirdatos
Crearcarpetas/anexardatos
Crearcarpetasproporcionalaautorizacinparacrearcarpetasenelinteriorde
la carpeta en la que se sita el permiso de acceso. Anexar datos permite
agregardatosalfinaldelarchivo,elusuarionopodrmodificarnieliminarlos
datosexistentes.
Escribiratributos
Eliminarsubcarpetasyarchivos
Eliminar
Permisosdelectura
Autorizaalobjetoquerecibeestepermisoaleerlospermisosasignados aun
- 1-
recurso.
Cambiarpermisos
Tomarposesin
2.Definicindeunacarpetacompartida
Lascarpetascompartidasofrecenunaccesodirectoaunrecursoalmacenadoenunservidor.Paralimitarelacceso,
con el objetivo de garantizar la confidencialidad, es necesario implementar autorizaciones de seguridad. stas
puedenasignarseaunacarpetaounarchivo.
El acceso se efecta empleando una ruta UNC (Universal Naming Convention). sta se compone del nombre del
servidor que contiene el recurso seguido del nombre del recurso compartido (por ejemplo: \\dc1\Datos). Los
recursoscompartidosadministrativosseutilizandesdehaceaos.Permitenponerdisponibleunrecursoenlared
sinqueelusuariopuedaverlo.Paraacceder,esnecesariointroducirlarutaUNC.Losrecursoscomoc$,admin$se
crean durante la instalacin de un sistema operativo cliente o servidor. Para ocultar un recurso compartido y
transformarloenunrecursoadministrativo,debemos aadirun$alfinaldelrecurso(\\dc1\Data$).
Pordefecto,elsistemaNTFSutilizalaherenciaparatransmitirlospermisosdeacceso.Alcrearunarchivo ocarpeta,
este ltimo recupera automticamente los permisos de seguridad aplicados a su padre. En ciertas ocasiones, se
puedellegaralcasodequelospermisosheredadoscontradicenalospermisosexplcitos.Hablamosentoncesde
conflictos. En este caso, los permisos declarados explcitamente por el administrador tienen prioridad sobre los
permisosheredados.Losltimospuedenserdeshabilitadosbloqueandolaherenciaenlacarpetaoelarchivo.Esta
operacin se efecta en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades
pestaaSeguridad Opcionesavanzadas).
Despusdebloquearlaherencia,lasmodificacionesalospermisosdelpadrenoseaplicarnmsalhijo.Aveceses
necesariorestablecerlospermisosencadanododelrbolremplazandolospermisosdelpadrealhijo.Paraesto,se
debe usar la opcin Reemplazar todas las entradas de permisos de objetos secundarios por entradas de
- 2-
permisos heredables de este objeto. La operacin consiste en propagar los permisos del padre a todas las
subcarpetas.
Una autorizacin efectiva es un permiso final otorgado a un objeto de Active Directory (usuario, grupo o equipo).
Puede ser complicado conocer esta autorizacin, se puede obtener un resultado diferente del deseado si hay
muchos grupos implicados y el usuario est incluido en diferentes grupos. Desde hace algunos aos, existe una
herramienta que permite calcular esta autorizacin final disponible en los sistemas operativos de Microsoft. Muy
prcticaenarquitecturascomplejas,permitesaberenpocosclicselpermisootorgadoaunusuarioogrupo.
Laprimeraetapaconsisteenseleccionarelusuarioogrupodeseado.
HaciendoclicenVeraccesoefectivo,podemosvisualizarlasautorizacionesqueelusuariotienesobreelrecurso.
- 3-
LasiguientepantallamuestraqueelusuarioNicolasBonnetposeepermisossobrelacarpeta.
3.Visualizarrecursoscompartidosenfuncindelospermisosdeacceso
Laenumeracinbasadaenelacceso(ABEAccessBasedEnumeration)consisteenmostrarsolamentelascarpetas
contenidasenunrecursocompartidoalasqueelusuariotienepermitidoelacceso.Deestaforma,sesimplificael
acceso a los recursos compartidos y a los archivos. La activacin de esta funcin se realiza desde la consola
Administradordelservidor.
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de almacenamiento y luego
Recursoscompartidos.
- 4-
- 5-
Laopcindebeactivarseencadarecursocompartido.
4.PresentacindelacaractersticaWorkFolders
Hoyenda,lastabletasysmartphoneshandemocratizadoalasempresas.Losempleadostienenlaposibilidadde
emplear dispositivos personales para acceder a los recursos de la empresa. sta puede implantar una poltica
BYOD(BringYourOwnDevice)teniendoencuentalasconsideracionessiguientes:
Losdatosdebenestarsecurizadosparaevitarqueseanaccesiblesparasulecturaencasodeprdidadeldispositivo.
Losdatosdebenestaralmacenadoslocalmente,estoeliminalaposibilidadderealizarcopiasdeseguridad.
Nodebealmacenarseningndatoenunproveedorcloudnovalidadoporeldepartamentodesistemas.
LacaractersticaWorkFolderspermiteresolverestosproblemas.Permiteaccederalosdatosempresarialesdesde
cualquier ubicacin donde se conecten los empleados. Adicionalmente, los administradores mantienen el control a
nivel de la gestin de los datos y las conexiones. Ellos tienen la posibilidad de implantar un cifrado de datos as
como los parmetros de seguridad en los dispositivos que emplean esta caracterstica. No es necesario que los
clientesqueaccedenalosdatosseanmiembrosdeldominio.
LosWorkFolderspuedenpublicarseenInternetutilizandolacaractersticaWeb Application Proxy.Losusuarios
pueden,deestemodo,sincronizarlosdatosconectadosaInternet.
El servidor de archivos que alberga los datos y gestiona los procesos de sincronizacin debe ejecutar Windows
Server2012R2.LasparticionesdebernestarformateadasensistemaNTFS.
Paralosaccesosdesdeelexteriordelsistemadeinformacinhayquerespetarvariosrequisitosprevios:
UncertificadodeservidorencadaservidordearchivosqueempleelosWorkFolders.
Uncertificadodeservidorenelservidorproxy.
Elcertificadodebeseremitidoporunaautoridaddecertificacinaprobadaporelusuario.
ImplementarlasreglasdetrficoypublicacinparapoderaccederalosservidoresdesdeInternet.
ElusodeunnombrededominiopblicoylaposibilidaddecrearlosregistrosDNSadecuados.
LosequiposdebenejecutarunodelossistemasoperativosWindows8.1oWindowsRT 8.1.Adicionalmente,elequipo
olatabletadeberposeersuficienteespacioendiscoparaalbergarlosdatosdelusuario.Demanerapredeterminada,
laubicacinempleadaes%USERPROFILE%\WorkFolders.
Esposiblemodificarlaubicacindurantelainstalacin(empleodeunaunidadUSB,etc.).
Noexisteningunalimitacinconfiguradaparaelalmacenamientodelosusuarios,sinembargoeltamaomximode
losarchivosindividualesesde10GB.
- 6-
Utilizacindeinstantneas
Lasinstantneaspermitenimplantarunapolticaderecuperacindearchivosocarpetasdeunaformasencilla.
1.Presentacinyplanificacindelasinstantneas
Una instantnea es una imagen esttica. Contiene los archivos y carpetas que estn compartidos en el servidor.
Esta funcionalidad proporciona al usuario o al administrador la posibilidad de restaurar de forma sencilla un
documentoeliminadoporerror,oquehasufridounamodificacinerrnea.
Lainstantneasealmacenaenlamismaunidadqueelarchivooriginal,sinembargoesposiblecambiarellugarde
almacenamiento. El espacio asignado a la funcionalidad puede, tambin, configurarse permitiendo as evitar la
saturacindelosdiscos.Unavezalcanzadalacuota,lasinstantneasmsantiguasseeliminanenbeneficiodelas
nuevas, creando as un ciclo que permite respetar el tamao lmite configurado. Observe sin embargo que las
instantneas no pueden considerarse como una alternativa a las copias de seguridad. Los datos se perdern en
casodeunfallodedisco.Escasiimposiblerestaurarporestemtodociertosarchivoscomplejosdetipobasede
datos...Conelriesgodecorromperelarchivodebasededatosycausarunfallototaldelaaplicacin.
Pordefecto,lacreacindelasinstantneasseefectadelunesaviernesalas7:00ylas12:00.Evidentementees
posiblecrearnuevosrangos,sinembargoesnecesarioasegurarsedetenerelespacioendiscorequerido.
La creacin de una instantnea se efecta accediendo a las propiedades de la unidad. La pestaa
Instantneas crearygestionarlasinstantneas.
Laactivacinsepuedeefectuarenunaomsunidades,elbotnConfiguracinlepermiterealizarlaoperacin.
- 1-
El Tamao mximo, la Programacin, as como el rea de almacenamiento son parmetros que es posible
configurar.
2.Restauracindedatosempleandoinstantneas
Los administradores y usuarios pueden restaurar versiones anteriores de los archivos. El administrador puede
realizarlarestauracindirectamenteenelservidorquecontieneelarchivomientrasqueelusuario lohacedesdeel
recurso compartido. Esta accin se realiza directamente mediante el men Propiedades del recurso compartido
(pestaaVersionesanteriores).
- 2-
Accediendo a una instantnea podemos recuperar uno o varios archivos. La opcin Abrir permite este acceso,
bastarconabrirelarchivodeseado.LaopcinRestaurarefectalarestauracincompletadelrecursocompartido
enlacarpetaoriginal.Encasodequererrestaurarenunaubicacindiferente(paracompararlosdosarchivos,por
ejemplo),debemosusarlaopcinCopiarparaevitarsobrescribirelarchivooriginal.
LafuncionalidadVersionesanterioresestimplementadaapartirdeWindowsXPSP2.
Enelsiguienteejemplo,sehaneliminadodoscarpetasdelacarpetaMedioslFM:
Accediendoalasinstantneas(opcinAbrir),podemosabrirloyrestaurarlosiesnecesario.
- 3-
Estafuncionalidadevitaalosadministradorestenerquerestaurarunarchivoocarpetapormediodecintaocopia
deseguridaddedisco.Estaoperacinesperfectamenteposibleperodemandamuchotiempo:adems,lacopiade
seguridadseefectanormalmenteunavezalda,adiferenciadelasinstantneasqueseejecutandosveces.
- 4-
Configuracindelaimpresoradered
ElrolServicios de impresin y documentospermiteimplantarunaimpresoracompartida,ascomoadministraruna
impresoradered.Esposiblesupervisarlascolasdeimpresindesdeestaconsola.
1.Lasventajasdelaimpresoradered
Agregandolasimpresorasderedaunservidordeimpresinlosclientestienenlaposibilidaddeenviarsustrabajos
de impresin a un servidor. ste enviar a la impresora correspondiente el trabajo de impresin solicitado por el
usuario.
Estasolucinpermiterealizarlagestindelaimpresinytambindistribuirlasimpresoras(empleandounaGPO)a
losequiposclientedesdeunpuntocentral.Deestaformasimplificamostambinelsoportetcnico.Lapublicacin
enActiveDirectoryfacilitalainstalacinyeldesplieguedelasimpresorasaunusuario.
2.Loscontroladoresv3yv4paralasimpresoras
ApartirdeWindowsServer2000,loscontroladoresutilizadosparalasimpresorassondeversin3.Conestetipo
decontrolador,losfabricantescreabanuncontroladorparacadatipodedispositivo.Sielparqueinformticoest
compuesto por varios tipos de dispositivos diferentes, los administradores debern gestionar diferentes
controladores.Adems,ambostiposdeplataforma,32y64bits,utilizancontroladoresdiferentes,loquecomplica
unavezmslagestindeloscontroladores.
WindowsServer2012yWindows8permitenutilizarcontroladoresdetipov4(versin4).Conestenuevomodelo,
losfabricantespuedencrearunaclasedecontroladordeimpresoraquegestionaloslenguajesdeimpresinpara
una amplia gama de dispositivos. Los lenguajes incluyen XML Paper Specification (XPS), Printer Control
Language (PCL) Este tipo de controladores se distribuyen mediante Windows Update o Windows Software
UpdateServices(WSUS).
Loscontroladoresv4aportanmuchasventajas:
Uncontroladorpuedeserutilizadoporvariostiposdeperifricosdiferentes.
Eltamaoreducidodelarchivopermiteunainstalacinmsrpida.
3.Presentacindelosgruposdeimpresoras
Crearungrupodeimpresorasconsisteenlacreacindeunaunidadlgica,lacualestconectadalgicamente a
variosdispositivosfsicos.Losclientesvernelgrupodeimpresorascomoundispositivofsico.Alenviaruntrabajo
de impresin, todas las impresoras disponibles y conectadas al grupo tienen la posibilidad de efectuar el trabajo.
Estafuncionalidadpermitealusuariotenersiempreunaimpresoradisponible.Encasodeproblemaconunadelas
impresoras(atascodepapel...)lostrabajosdeimpresinseenvanalasotrasimpresorasintegrantesdelgrupo.La
creacin del grupo se efecta en el servidor de impresin y consiste en asignar a esta impresora lgica varios
puertosdedestinodelosdispositivofsicos.Enlamayoradeloscasos,losenlacesapuntanadireccionesIP.
Requisitospreviosparaungrupodeimpresoras
Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos. En la mayora de los
- 1-
casos,ungrupoestcompuestodedispositivosdelmismomodelo.
l
Por comodidad, es preferible que las impresoras estn en un entorno cercano al usuario. La impresin puede
realizarlacualquieradelasimpresorascontenidasenelgrupo.Elusuariodeberhacerelrecorridoporlasimpresoras
pararecuperarsudocumentoimpreso,esimposiblesaberenculdelosdispositivossehahecholaimpresin.
- 2-
Administracindeunservidornounidoaldominio
LaconsolaAdministracindeservidorespermiteadministrardemaneraremotavariosservidorescreandoungrupo,
sinembargostosdebensermiembrosdeldominio.ConWindowsServer 2012R2ylasherramientas RSAT(Remote
ServerAdministrationTools)esposibleadministrarservidoresquenoformanpartedeldominio.
AntesdeinstalarlasherramientasRSAT,sedebeejecutaruncomandoPowerShelldesdeelequipoWindows 8.1.
RecuerdeiniciarlaconsolacomoadministradorparanotenerproblemasdepermisosconUAC.
El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o empleando un
archivohosts).SehaagregadounredirectorcondicionalenAD1parapoderresolverelnombreSV2.Formintra.msft.
Loscomandospingynslookuppermitenverificarlaconectividadylaresolucin.Acontinuacindebemos ejecutarel
comandoPowerShell:
Elargumento<YourtargetServernameHere>debereemplazarseporelnombredelservidor.
- 1-
LainstalacindelasherramientasRSATenelequipopermitecontarconlaconsolaAdministradordelservidorenel
equipoconWindows8.1.
A continuacin, es posible aadir el servidor haciendo clic con el botn derecho en Todos los servidores y
seleccionando,enelmencontextual,Agregarservidores.
AhorabastaconefectuarunabsquedamedianteDNS.
TrasaadirelservidoryvalidarconAceptar,apareceunerror.Esteocurrealnopoderautenticarlaconsola.
- 2-
Haciendo clic con el botn derecho en el servidor, el men contextual proporciona acceso a la opcin Administrar
como.
Sedebeintroducirunnombredeusuarioyunacontraseaenlaventanaparaobtenerelaccesoadecuadoparala
consola.MarquelaopcinRecordarmiscredencialesparanotenerquevolveraintroducirlascredencialescadavez.
Enlosucesivoesposiblegestionarelservidordemaneraremota.
- 3-
Talleres
Lostallerespermitenconfigurarlacomparticindearchivosydeinstantneas,aligualquelagestindeimpresoras
medianteungrupodeimpresoras.Elcuartotallermuestraelusodelaconsoladeadministracin deunserviciode
impresin. Por ltimo, esta parte prctica concluye con un taller sobre Work Folders y la gestin de un servidor no
unidoaldominio.
1.CreacindeunrecursocompartidoyusodeABE
Objetivo: desplegar una estructura de carpetas compartidas desde el explorador y la consola Administrador del
servidor.
Mquinasvirtualesutilizadas:AD1,SV1,CL801.
EnelequipoSV1,inicieelexploradordeWindows.
HagaclicenelnodoEquipoyluegohagadobleclicenlaparticinF:.
Laparticinpuedetenerunaletradiferente.Sitienesolounaparticin,tomelaparticindelsistema.
EnlabandaInicio,hagaclicenelbotnNuevacarpeta.
LlameaestacarpetaData.
RepitalaoperacinanteriorparacrearlascarpetasInformtica,VentasyContabilidad.
InicielaconsolaAdministradordelservidorenSV1.
Enelpanelderecho,hagaclicenServiciosdearchivosydealmacenamiento.
SeleccioneelnodoRecursoscompartidos.
- 1-
HagaclicconelbotnderechoenelpanelcentralyseleccionelaopcinNuevorecursocompartido.
Elclicderechonodebehacersesobreunodelosrecursoscompartidossinoenunespaciovacodelpanelcentral.
Varios Perfiles para recursos compartidos se encuentran en la lista, seleccione Recurso compartido
SMBRpidoyhagaclicenSiguiente.
En el campo Ubicacin del recurso compartido, seleccione el botn Escriba una ruta de acceso
personalizadayluegohagaclicenExaminar.
SeleccionelacarpetacontabilidadyluegohagaclicenelbotnSeleccionarcarpeta.
- 2-
En el campo Nombre de recurso compartido, verifique que se encuentra el nombre y haga clic en
Siguiente.
EnlaventanaParmetrosdeconfiguracinderecursocompartido,hagaclicenSiguiente.
- 3-
Haga clic en el botn Personalizar permisos... en la ventana Especificar permisos para controlar el
acceso.
LaACLdebecontenersolamentelaentradaAdministradores(grupodedominioFormacion.local)yUsuarios(grupo
de dominio Formacion.local). El grupo Administradores recibe permisos de Control total mientras que el grupo
UsuariosautentificadostienepermisosdeLecturayejecucin.
- 4-
Unavezmodificada,hagaclicenAceptaryluegoenSiguiente.
Haga clic en Crear para iniciar la creacin del recurso compartido y luego en Cerrar para detener el
asistente.
Lacarpetayelrecursocompartidosecrean.
Empleando la consola Administrador del servidor, comparta de la misma manera las carpetas
data, informticayventas.
EnSV1,creeenlacarpetacontabilidadlasubcarpetanbonnet.
- 5-
HagaclicconelbotnderechoennbonnetyluegoseleccionePropiedades.
EnlapestaaSeguridad,hagaclicenelbotnOpcionesavanzadas.
HagaclicenelbotnDeshabilitarherenciaenlaventana Configuracindeseguridadavanzadapara
nbonnet.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explcitos enesteobjeto.
AgregueelusuarionbonnetyasigneelpermisoModificar.
EliminelasentradasAdministradoresyUsuariosdelalistaACL.
HagaclicdosvecesenAceptar.
- 6-
En la consola Administrador del servidor, haga clic con el botn derecho en el recurso compartido
contabilidadyseleccionelaopcinPropiedadesenelmencontextual.
Actualicelaconsolasifueranecesario.
- 7-
HagaclicenAgregar.
InicieelequipoCL801yabraunasesincomoAlumno1.
InicieelexploradordeWindowsyluego,enlabarradenavegacin,introduzca\\SV1.
Validepulsandolatecla[Intro].
La carpeta nbonnet no se muestra porque el usuario conectado al equipo (Alumno 1) no tiene permisos y ABE
(AccessBasedEnumeration)esthabilitado.
2.Implementarinstantneas
- 8-
Objetivo:configurarlasinstantneasparapermitiraunusuariorestaurarunarchivo.
Mquinasvirtualesutilizadas:AD1,SV1,CL801.
EnSV1,abraelexploradordeWindows,hagaclicconelbotnderechoenlaparticinquecontienelos
datos,yacontinuacin,enelmencontextual,hagaclicenPropiedades.
HagaclicenlapestaaInstantneas.
HagaclicenelbotnConfiguracinparapoderconfigurarlosparmetrosdelasinstantneas.
- 9-
Estaventanapermiteconfigurareltamaomximoquepuedenutilizarlasinstantneas.Esposibleconfigurarasu
vezelvolumenenelquesealmacenarnlasinstantneas.
HagaclicenelbotnProgramacin.
Estaventanapermiteconfigurarelmomentoenquesecreanlasinstantneas.Deformapredeterminadalaoperacin
seefectaalas7:00y12:00deLunesaViernes.
ElbotnNuevopermitecrearunanuevaprogramacinmientrasqueEliminareliminalaprogramacinseleccionada.
HagaclicdosvecesenAceptar.
Empleando el Explorador de Windows, cree un archivo de texto llamado Compra2013 en la carpeta
Data.
EscribaeltextoTabletaparadepartamentoITenelarchivoqueacabamosdecrear.
- 10 -
GrabeyluegocierreelarchivoCompra2013.
Enlaspropiedadesdelaparticinquecontieneelarchivopreviamentecreado(Fenesteejemplo)haga
clicenlapestaaInstantneas.
Verifiquequelasinstantneasestnactivadasy,acontinuacin,hagaclicenCrearahora.
AbraunasesincomoadministradordedominioenCL801.
InicieelExploradordeWindowsyluego,enlabarradenavegacin,introduzca\\SV1.
Hagadobleclicenelrecursocompartidodatayluegoelimineelarchivopresente.
Hagaclicconelbotnderechoenelrecursocompartidodatayluegoenelmencontextualseleccione
Propiedades.
SeleccionelapestaaVersionesanterioressemuestralainstantnea.
- 11 -
HagaclicenelbotnAbrir.
Elcontenidodelainstantneasemuestrayesposibleabrirelarchivoparaversucontenido.
LaopcinAbrirpermiteexplorarlainstantneay,tambin,copiar/pegarsolamenteunarchivoocarpeta deseada.
EnlaventanaPropiedades:data,hagaclicenCopiar.
- 12 -
SeleccionelaunidadC:yluegohagaclicenAceptarenlaventanaCopiarelementos.
Estaopcinpermitecopiarelcontenidodelainstantneaenundestinodiferentedeloriginal.
HagaclicenelbotnCopiar.
Elarchivosecopiacorrectamente.
- 13 -
SeleccioneestavezlaopcinRestaurarenlasPropiedades:Data(\\SV1).
HagaclicenRestaurarenlaventanaquesemuestra.
Semuestraunmensajeinformativo,hagaclicenAceptar.
ElarchivoseencuentracorrectamenteenelrecursocompartidodatadelservidorSV1.
3.Creacindeungrupodeimpresin
Objetivo:creacinyconfiguracindeungrupodeimpresoras.
Mquinasvirtualesutilizadas:AD1yCL801.
EnAD1,inicielaconsolaAdministradordelservidor.
HagaclicenAgregarrolesycaractersticasenlapestaaPanel.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
DejelaopcinpordefectoenlaventanaSeleccionartipodeinstalacinyluegohagaclicenSiguiente.
- 14 -
HagaclicenSiguienteenlaventanaSeleccionarservidordedestino.
EnlaventanaSeleccionarrolesdeservidor,marqueServiciosdeimpresinydocumentos.
HagaclicenAgregarcaractersticasenlaventanaquesemuestra.
HagaclicenSiguienteenlaventanaSeleccionarcaractersticas.
En la ventana Seleccionar servicios de rol, deje la opcin predeterminada y luego haga clic en
Siguiente.
- 15 -
HagaclicenSiguienteyluegoenInstalar.
Cierrelaventanayesperealfinaldelainstalacin.
En la interfaz Windows, haga clic en Herramientas administrativas y luego abra la consola
Administracindeimpresin.
DesplieguelosnodosServidoresdeimpresinyAD1(local).
Haga clic con el botn derecho en el nodo Impresoras y luego, en el men contextual haga clic en
Agregarimpresora.
Seiniciaelasistenteparalainstalacindeimpresorasdered.
Marque el botn Agregar una impresora TCP/IP o de servicios web escribiendo la direccin IP o
nombredehostyluegohagaclicenSiguiente.
- 16 -
DesmarquelaopcinDetectarautomticamentequcontroladordeimpresorasedebeusar.
- 17 -
HagaclicenSiguienteparavalidarlasmodificaciones.
EnlaventanaSerequiereinformacinadicionalacercadepuertos,hagaclicenSiguiente.
DejemarcadoelbotnInstalarunnuevocontroladoryhagaclicenSiguiente.
En la lista Fabricante, seleccione Genrica y luego Generic Color XPS Class Driver (A) en la lista
Impresoras.
- 18 -
HagaclicenSiguienteparavalidarlaseleccin.
Introduzca Impresora Sala 1 en el campo Nombre de impresora, introduzca IMPSal1 en el campo
Recursocompartido,yporltimoSala1enelcampoUbicacin.
HagaclicdosvecesenSiguienteyluegoenFinalizar.
SemuestralaimpresoraenelnodoImpresoras.
- 19 -
HagaclicconelbotnderechoenImpresoraSala1yacontinuacin,enelmencontextual,seleccione
Propiedades.
SeleccionelapestaaCompartiryluegomarquelaopcinMostrarlistaeneldirectorio.
HagaclicenAplicaryluegoenAceptar.
EnlaconsolaAdministracin de impresin,hagaclicconelbotnderechoenelnodoPuertosyluego
hagaclicenAgregarpuerto.
SeleccioneStandardTCP/IPPortyluegohagaclicenPuertonuevo.
- 20 -
Seiniciaunasistente,hagaclicenSiguienteenlapginadelAsistente.
Introduzca 192.168.1.153 en el campo Nombre o direccin IP de impresora y luego haga clic en
Siguiente.
EnlaventanaSerequiereinformacinadicionalacercadepuertos,hagaclicenSiguiente.
HagaclicenFinalizarparacerrarelasistente.
AccedaalnodoImpresorasyluegoalaspropiedadesdeImpresoraSala1.
SeleccionelapestaaPuertosyluegomarquelacasillaHabilitaragrupacindeimpresoras.
Seleccioneelpuerto192.168.1.153yluegohagaclicenAplicaryAceptar.
- 21 -
AbraunasesincomojbakenCL801.
Acceda alPanel de control y, a continuacin, haga clic en el enlace Ver dispositivos e impresoras en
Hardwareysonido.
EnlaventanaDispositivoseimpresoras,hagaclicenelbotnAgregarunaimpresora.
Semuestralaimpresoraylaubicacinescorrecta.
- 22 -
HagaclicenSiguienteparaprocederalainstalacin.
Enlaventanaquesemuestra,hagaclicenSiguienteyluegoenFinalizar.
Laimpresorasepresentacorrectamenteenlaconsola.
LaimpresoracuentaconlosdospuertosTCP/IPseleccionados.
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 23 -
4.Gestindelservidordeimpresin
Objetivo:administrarelservidordeimpresindesdelaconsola Administracindeimpresin instalada en el taller
anterior.
Mquinavirtualutilizada:AD1.
En AD1, inicie la consola Administracin de impresin y luego haga clic en el nodo Filtros
personalizados.
Los filtros personalizados permiten mostrar informacin acerca de las impresoras. Esto permite visualizar de forma
sencillaelconjuntodeimpresorasycontroladoresascomoaquellasimpresorascontrabajos (quetienenalmenosun
trabajo en curso) o no preparadas (conjunto de impresoras que no tienen estado de preparadas). Puede crear su
propiofiltroparaobtenerlainformacindeseada.
HagaclicconelbotnderechoenelnodoFiltrospersonalizadosyluegoseleccioneAgregarnuevofiltro
deimpresora.
IntroduzcaVisualizacindetrabajosencursoenelcampoNombre.
MarquelacasillaMostrarelnmerototaldeelementosjuntoalnombredelfiltroyluegohagaclicen
Siguiente.
- 24 -
EnlaventanaDefinirunfiltro,seleccioneTrabajosencolaenlalistadesplegableCampoyluegonoes
exactamenteenlalistadesplegableCondicin.
Introduzca0enelcampoValor.
- 25 -
HagaclicenSiguienteyluegoenFinalizar.
Apareceelnuevofiltroenlaconsola.
SeleccioneelnodoImpresorasyluegohagaclicconelbotnderechoenlaimpresoraImpresoraSala1.
Enelmencontextual,seleccioneImplementarcondirectivadegrupo.
EnlaventanaImplementarcondirectivadegrupo,hagaclicenelbotnExaminar.
LaventanapresentaelconjuntodedirectivasdegrupoyacreadasaniveldeOU(unidadorganizativa),dominiosy
sitiosdeActiveDirectory.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que permite la
creacindeunanuevaGPO.
LlamealanuevadirectivaImplementarimpresorasyluegohagaclicenAceptar.
- 26 -
MarquelaopcinLosequiposalosqueseaplicaestaGPO.
HagaclicenelbotnAgregaryluegoenAplicar.
Valide el mensaje de informacin haciendo clic en Aceptar y luego haga clic en Aceptar en la ventana
Implementarcondirectivadegrupo.
HagaclicenelnodoImpresorasimplementadas.
Laconfiguracinefectuadasemuestracorrectamente.
- 27 -
Ladirectivadegrupohasidoconfiguradadelasiguienteforma.
TraslaprximaaplicacindelasGPO,laimpresoraseinstalarentodoslosequiposyservidores.Paralimitaresta
instalacin, tendremos que filtrar empleando un grupo de seguridad o posicionando la directiva de grupo en un
contenedordiferente.
5.ImplantacindelasolucinWorkFolders
Objetivo: implantar la caracterstica Work Folders para permitir a un usuario del dominio acceder desde su equipo
personalalosrecursosdelaempresa.
Mquinasvirtualesutilizadas:AD1,SV1,CL802.
En SV1, inicie la consola PowerShell y luego introduzca el comando AddWindowsFeature FS
SyncShareService.
EstecomandotienecomoobjetivoinstalarlacaractersticaWorkFolders.
- 28 -
Acontinuacin,debemoscrearlacarpetaquecontendrlosdatosdelosusuarios.EnlaparticinC,vamosacrear
mediantelalneadecomandoslacarpetaDocTcnica,lacualsercompartidaconelnombreDocumentacin.Los
miembrosdelgrupoFormadorestendrnaccesoalacarpeta.
En la consola PowerShell, introduzca el comando NewSyncShare Documentacin path C:\Doc
TcnicaUserFormacion\FormadoresRequireEncryption$trueRequirePasswordAutoLock$true.
EsposibledescargarelscriptenlapginaInformacin.
Podemosverenlaconsola Administradordelservidorquelacaractersticasehainstaladocorrectamenteyseha
configuradoelrecursocompartido.
- 29 -
Accediendo a las propiedades del recurso compartido (haciendo clic con el botn derecho en el recurso
Propiedades),esposibleverificarlaconfiguracindelacategoraGeneral.
LacategoraAccesoasincronizacinpermitedefinirlaspersonasogruposdepersonasautorizadospararealizarla
sincronizacin.
- 30 -
Porltimo,lacategoraDirectivasdedispositivospermiteconfigurarladirectivaaplicada.
- 31 -
Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos, as como un
bloqueo automticodelapantallaylaintroduccindeunacontrasea.
Acontinuacin,debemosconfigurarelequipocliente.
Verifiqueque CL802seencuentraenWorkgroup(grupodetrabajo)ynoesmiembrodeldominio.En
casocontrario,retireelequipodeldominio.Deestaforma,tantolagestindelequipocomolaseguridad
sonlocalesalequipoynosegestionandesdeunservidor(controladordedominio).
Vamos, en este taller, a efectuar las conexiones en HTTP para evitar la gestin de certificados digitales necesarios
paraelusodelprotocoloHTTPS.
Para
configurar
el
uso
del
protocolo
HTTP,
introduzca
el
comando
Reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders
AllowUnsecureConnection/tREG_DWORD/d1
EsposibledescargarelscriptdesdelapginaInformacin.
AccedaalPaneldecontrolyluego,enSistemayseguridad,hagaclicenCarpetasdetrabajo.
- 32 -
add
/v
HagaclicenConfigurarcarpetasdetrabajo.
EnlaventanaEscribasudireccindecorreoelectrnicodetrabajo,hagaclicenelvnculoIndicaruna
URLdeCarpetasdetrabajo.
- 33 -
En el campo URL de carpetas de trabajo, introduzca la URL que permite acceder al servidor. En
produccin,sernecesarioemplearelprotocoloHTTPSascomounnombrepblico.
ValidelosdatosmedianteelbotnSiguientey,acontinuacin,autentquesecomonbonnet.
- 34 -
EnlaventanaIntroduciendolascarpetasdetrabajo,hagaclicenSiguiente.
Esposiblemodificarlarutadedestinosilodesea.
Marque la opcin Acepto estas directivas es mi equipo y, a continuacin, haga clic en el botn
Configurarcarpetasdetrabajo.
- 35 -
HagaclicenCerrarparafinalizarelasistente.
Seaadeunanuevabiblioteca.Agregue,alamisma,elarchivoWindows.txt.
Elcifradoestcorrectamenteactivado,estandoelnombredelarchivoencolorverde.Delladodelservidorlacarpeta
delusuarioseencuentrapresente.
- 36 -
Elusuarioaccedecorrectamentealosdatosdelaempresautilizandounequipoquenoformapartedeldominio.
- 37 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CulesladiferenciaentreunpermisoNTFSestndaryunpermisoNTFSavanzado?
2 ExpliquelanocindepermisoNTFSheredado.
3 CulesladiferenciaentreunpermisoNTFSheredadoyunoexplcito?
4 LaparticinDcontienelacarpetaContabilidadqueestcompartidaconelnombreContabilidad.Los
miembrosdelosgruposG_Conta_Wposeenpermisosdeescritura,eladministradortienepermisosdecontrol
total.Secreandossubcarpetas:IVA2012eIVA2013.
ElusuarionbonnetdebepoderaccederalacarpetaIVA2013sinpoderleerelcontenidodelosarchivos
presentesenIVA2012yaquellosalmacenadosenlarazdelacarpetaContabilidad.
Culessonlosmecanismosaimplementarparapermitiralusuarionbonnetaccederalrecurso?
5 Esposibleverlaautorizacinefectivadelusuario?
6 Culeslafuncionalidadqueconsisteenocultarlascarpetascontenidasenunrecursocompartidodondeel
usuariocarecedepermisosdeacceso?
7 Quconsolaempleamosparaconfigurarlafuncionalidaddelapreguntaanterior?
8 Cundoseejecutalacreacindeunainstantneadeformapredeterminada?
9 Quocurrecuandosealcanzaeltamaomximoconfiguradoparalasinstantneas?
10 Quinpuederestaurarunainstantnea?
11 Culessonlasventajasdeloscontroladoresdetipov4?
12 Enquconsistenlosgruposdeimpresin?
13 QupermitehacerlacaractersticaWorkFolders?
14 Cmopodemosdotardeseguridadalosdatospresentesenlacarpetadesincronizacinconfiguradaconla
caractersticaWorkFolders?
15 MencionealgunosrequisitospreviosarespetarparapoderactivarlacaractersticaWorkFolders.
16 Enumerelospasosnecesariosparaadministrarunservidorquenoestunidoaldominio.
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode12puntosparaaprobarelcaptulo.
3.Respuestas
1 CulesladiferenciaentreunpermisoNTFSestndaryunpermisoNTFSavanzado?
Noexistediferencia,losdossonpermisosNTFS.SinembargolospermisosNTFSavanzadospermitenserms
precisoconlospermisosasignadosaunobjetoActiveDirectory.
2 ExpliquelanocindepermisoNTFSheredado.
CuandoseasignaunpermisoenlaACLdeunrecurso(carpeta...),losobjetospresentesenese
recurso (subcarpeta,archivo...)recibenigualmenteestepermiso.Hablamosdepadre(elrecurso)ydehijo(todo
objetopresenteenelinteriordeesterecurso).
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
3 CulesladiferenciaentreunpermisoNTFSheredadoyunoexplcito?
UnpermisoexplcitoeselpermisoNTFSquehaasignadounadministradorenlaACLdelrecurso.Adiferenciadelos
permisosexplcitos,lospermisosheredadosseasignanautomticamentealobjetohijotransmitidosporelpadre.
4 LaparticinDcontienelacarpetaContabilidadqueestcompartidaconelnombreContabilidad.Los
miembrosdelosgruposG_Conta_Wposeenpermisosdeescritura,eladministradortienepermisosdecontrol
total.Secreandossubcarpetas:IVA2012eIVA2013.
ElusuarionbonnetdebepoderaccederalacarpetaIVA2013sinpoderleerelcontenidodelosarchivos
presentesenIVA2012yaquellosalmacenadosenlarazdelacarpetaContabilidad.
Culessonlosmecanismosaimplementarparapermitiralusuarionbonnetaccederalrecurso?
Paraestoexistendosposibilidades.PodemoscompartirlacarpetaIVA2013loquepermitiralusuarioacceder
directamentealacarpetadeseada.
Lasegundasolucinrequiereunpocomsdeadministracin.ConsisteenagregarenlaACLdela
carpeta Contabilidadalusuarionbonnet.sterecibirelpermisoMostrarelcontenidodelacarpeta.Enlacarpeta
IVA2013esprecisobloquearlaherenciayelpermisoModificarasignadoanbonnet.Elusuariopodrasrecorrer
lasdiferentescarpetassintenerelpermisodelecturadelosarchivoscontenidos.
5 Esposibleverlaautorizacinefectivadelusuario?
LospermisosNTFSsonacumulativosdeformatalqueesposibleteneralfinalunaautorizacinefectivadiferentede
ladeseadaporeladministrador.Paragarantizarqueatribuimosalusuariolospermisoscorrectos,podemosutilizar
lapestaaAccesoefectivoenlaconfiguracindeseguridadavanzada.
6 Culeslafuncionalidadqueconsisteenocultarlascarpetascontenidasenunrecursocompartidodondeel
usuariocarecedepermisosdeacceso?
EstafuncionalidadtieneelnombredeABE(AccessBasedEnumeration)yconsisteenmostraralusuariosolamente
lascarpetasyarchivosubicadosenunrecursocompartidodondeelusuariotieneacceso.
7 Quconsolaempleamosparaconfigurarlafuncionalidaddelapreguntaanterior?
LafuncionalidadABEseconfiguraempleandolaconsolaAdministradordelservidor.
8 Cundoseejecutalacreacindeunainstantneadeformapredeterminada?
Unainstantneasecreadelunesaviernesalas7:00y12:00.Es,porsupuesto,posiblemodificaresta
programacin.
9 Quocurrecuandosealcanzaeltamaomximoconfiguradoparalasinstantneas?
Serealizaunarotacin.Deestaforma,cuandosealcanzaeltamaomximo,lasinstantneasconfechams
antiguaseeliminanenbeneficiodelasmsrecientes.
10 Quinpuederestaurarunainstantnea?
LosusuariospuedenrestaurarunainstantneapormediodelaopcinVersionesanterioresenlaspropiedadesdel
recursocompartido.Eladministradortienelaopcindehacerlodesdeelservidor.
11 Culessonlasventajasdeloscontroladoresdetipov4?
Estosnuevoscontroladoresevitanefectuarlaconfiguracindeloscontroladoresenfuncindelaarquitectura del
cliente.Adicionalmente,eltamaodelarchivoesmsreducido,loqueimplicaunainstalacin msrpida.
12 Enquconsistenlosgruposdeimpresin?
Losgruposdeimpresinconsistenenhacerfuncionarvariasimpresorassobreunaimpresoralgica.Estopermite
continuarimprimiendoencasodequeunaimpresoranoestdisponible.
13 QupermitehacerlacaractersticaWorkFolders?
- 2-
LacaractersticaWorkFolderspermiteconfigurarunacarpetaquemsadelantepodrsincronizarunusuario.El
usuariopodrsincronizardichacarpetautilizandosuconexinalaredempresarialodesdeelexterior.Asuvez,
cuentaconlaposibilidaddeutilizarsuequipootabletapersonal.
14 Cmopodemosdotardeseguridadalosdatospresentesenlacarpetadesincronizacinconfiguradaconla
caractersticaWorkFolders?
Esposibledotardeseguridadaestosdatosdediferentesformas.Lafuncionalidadpermitecifrarlosdatos.
Adicionalmente,esposibleautorizaronoelaccesoalacarpetadesincronizacin.Porltimo,elequipoconectado
puedesersometidoalapolticadebloqueo(conpeticindecontrasea),inclusosiseutilizaunequipopersonal.
15 MencionealgunosrequisitospreviosarespetarparapoderactivarlacaractersticaWorkFolders.
Esnecesariorespetarvariosrequisitosprevios:
ServidordearchivosejecutandoWindowsServer2012R2yelequipoenWindows8.1.
Usodecertificadosdeservidorencadaservidor.
ParticinformateadaenNTFS.
EsprecisocrearlosregistrosenelDNS.
16 Enumerelospasosnecesariosparaadministrarunservidorquenoestunidoaldominio.
ParapodergestionarunservidornoconectadoaldominiodesdeunequipoWindows8.1debemosinstalar las
herramientasRSATyverificarelfuncionamientodelaresolucindenombres.Acontinuacin,debeejecutarseun
comandoPowerShell.LaltimaetapaconsisteenaadirelservidoralaconsolaAdministradordelServidory
proporcionarlascredenciales.
- 3-
Requisitospreviosyobjetivos
1.Requisitosprevios
Tenerconocimientossobreelfuncionamientodeunadirectivadegrupo.
2.Objetivos
Analizarloscomponentesdeunadirectivadegrupo.
ImplementarpreferenciasyGPOdeinicio.
Usodedelegacionesaniveldedirectivasdegrupo.
TratamientoyfiltradoaniveldeGPO.
Implementarunalmacncentral.
- 1-
Introduccin
Unadirectivadegrupopermiteimplemantarparmetrosdeconfiguracinparaunconjuntodeequiposodeusuarios.
Lagestinserealizadeformacentralizadaenelcontroladordedominio.
- 1-
Informacingeneraldelasdirectivasdegrupo
Paracontrolarelentornodelospuestosdetrabajo,eladministradorpuedeimplementardirectivasdegrupo.
1.Loscomponentesdeunadirectivadegrupo
Una GPO(Group Policy Object Directiva de grupo) contiene uno o ms parmetros para los usuarios y equipos.
Estas directivas se almacenan en SYSVOL y se gestionan mediante la consola Administracin de directivas de
grupo (GPMC). La consola Editor de administracin de directivas de grupo permite modificar los diferentes
parmetros. Las GPO estn vinculadas a un contenedor de Active Directory (unidad organizativa, UO), para que
cada objeto contenido en la OU reciba la directiva de grupo. Es posible configurar varios miles de parmetros,
aunque cada nueva versin aporta un lote de parmetros. Observe, sin embargo, que muchos de ellos no son
compatibles con las versiones ms antiguas. En este caso, el equipo que recibe la directiva de grupo ignora el
parmetro.SiunadministradorvinculaaunequipoconsistemaoperativoWindowsXPunadirectivadegrupoque
contienedichas preferencias,stasnoseaplicansilasCSE(ClientSideExtensionsExtensionesdelladocliente)no
estn instaladas. Estos componentes se encuentran en el sistema operativo Microsoft y tienen la responsabilidad
de aplicar los parmetros recibidos por una directiva de grupo. Existen tantas extensiones del lado cliente como
tiposdeparmetros.
Unadirectivadegrupocontienedostiposdeconfiguracin:
Configuracindeusuario:modificacindelaclaveHKEY_Current_User.
Configuracindelequipo:modificacindelaclaveHKEY_Local_Machine.
Enestosdostiposdeconfiguracin,sepuedeempleartrescategorasdeparmetros:
Configuracindesoftware:contienelainformacinacercadelsoftwarequesepuedeimplementar.
ConfiguracindeWindows:podemosconfigurarlosparmetrosdeseguridadyscriptsparalosusuariosyequipos.
Plantillasadministrativas:seincluyenmilesdeparmetros.Estospermitenconfigurarelregistroparapersonalizar
el entorno del usuario (bloquear algunos mens, etc.). Pueden crearse y utilizarse plantillas personalizadas,
adicionalmenteesposibledescargardesdeInternetpaquetesdeplantillas(porejemplo,deOffice).
Elnodo Preferencias de la consola proporciona los parmetros suplementarios para la configuracin del entorno.
Estepuntoseabordacondetallemsadelante.
- 1-
2.Directivadegrupolocalmltiple
Con los sistemas operativos anteriores a Windows Vista, solo es posible configurar una directiva de grupo local.
staseaplicaalconjuntodeusuariosqueseconectanalequipoenlocal.Estacaractersticasehamejoradocon
Windows Vista y permite en adelante la creacin de varias directivas de grupo locales. Es ms fcil aplicar
configuracionesdiferentesavariosusuarios.
Esposiblecreartrestiposdedirectivas:
Equipolocal:contienelosparmetrosdeusuariosyequipos.
Usuarioespecfico:ladirectivaseaplicasolamentealusuarioseleccionado.
EltratamientodeladirectivadegrupolocalpuededeshabilitarseempleandounaGPOdedominio.
3.AlmacenamientodelosdiferentescomponentesdeunaGPO
Lasdirectivasdegruposealmacenanendoscontenedores:
El GPT (Group Policy Template) contiene los parmetros de seguridad, los scripts y los parmetros vinculados al
registro.Soportalosarchivosadmoadmx.EstecontenedorseencuentraenlacarpetaSysvol.
ElGPC(GroupPolicyContainer)sealmacenaenlabasededatosdeActiveDirectory.Cadacontenedorseidentifica
medianteunGUID.EsteltimoidentificadeformaunvocaalobjetoenADDS.ElGPCdefineatributostalescomoel
vnculo o el nmero de versin. Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes
controladoresdedominio.
Durante la actualizacin de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del lado cliente
(CSE)recuperanlosparmetrosylosaplicansihahabidounamodificacin.Elnmerodeversinpermiteidentificar
- 2-
4.Laspreferenciasenlasdirectivasdegrupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir ms de 20 extensiones de directiva de
grupo.Estafuncionalidadpermitelareduccindelosscriptsempleadosporeliniciodesesin (conexindeunidad
dered...).
ParautilizarlaspreferenciasenWindowsXPesprecisodescargareinstalarlasextensionesdelladocliente.
Laspreferenciasseaplicanaunusuariooequipo,ademsdichosparmetrosnosonobligatorios,unusuariopuede
modificarelparmetroconfiguradoporlaspreferencias(desactivarelusodelproxy,etc.).
Al igual que para las directivas, la aplicacin de las preferencias se efecta al arrancar, al apagar el equipo o a
intervalosdeentre90y120minutos.Pordefectolosparmetrosconfiguradosenlaspreferenciasnoseeliminan
del equipo cuando la directiva ya no se aplica al equipo o al usuario. La eliminacin puede operarse indicndolo
explcitamente.
Laasignacindelaspreferenciasalospuestoscliente(quepermiteimplantarloscriteriosarespetarparaaplicar
losparmetros,porejemplosermiembrodeungrupooejecutarunsistemaoperativoenparticular)seefectade
unaformamsfinaqueusandounadirectivadegrupo.Enefecto,podemosatribuirlaspreferenciasalosequipos
enfuncindelsistemaoperativo...Estafuncionalidadesconfigurablesolamenteenlasdirectivasdedominio.
Entrelosparmetrosconfigurablesenlaspreferencias,podemosencontrar:
Asignacindeunaunidadderedodeunaimpresora
Creacindeunaccesodirecto
Configuracindeopcionesdealimentacin
ConfiguracindeopcionesdeInternetExplorer
5.NocionesdelasGPOdeinicio
Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva GPO, sta puede
crearseapartirdeunobjetoGPOdeinicio.Deestaformalanuevadirectivarecuperaelconjuntodeparmetros
configurados.Estacaractersticapermitelamismaconfiguracinbsicaparaelconjuntodelasdirectivasdegrupo.
Los nicos parmetros que pueden estar contenidos en este tipo de objeto son los contenidos en las plantillas
administrativasdeusuarioyequipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensin cab (archivo Cabinet). De esta forma se
facilitaladistribucinycargadeestosarchivosenotrositio.Estaoperacindedistribucinesposibleporqueestos
archivossonindependientesdelbosqueodominioenelquesecrean.
Estacaractersticapuedeemplearseenvarioscasos:
LosparmetrosdeInternetExplorerdebensercomunesentodaslasreasdelaempresa.
Unoovariosparmetrosdebenaplicarseatodoslosporttilesdexsitiosdelaempresa.
- 3-
Aunque la base es comn a todas las directivas o todas las reas de la empresa, es posible aadir parmetros
adicionalesenladirectiva.Estopermiteresponderporejemploaunaproblemticaespecficadeunadelasreas.
LacreacinseefectadesdelaconsolaAdministracindedirectivasdegrupo(GPMC).Esposiblecrearlacarpeta
deobjetosGPOdeinicio,quecontieneunconjuntodedirectivaspredefinidas.
Podemosmodificarestasdirectivasocrearnuevas.
Despusdecrearlacarpeta,lasnuevasdirectivasseencuentranenlacarpetaSYSVOL.
- 4-
Aligualqueparaconlasdemsdirectivas,unapartesealmacenaenelGPC,ylaotraenelGPT.
6.ImplementacindeunadelegacinaniveldeGPO
Todoslosadministradorestienenlaposibilidaddeimplementardelegaciones.Estaaccinproveealosusuariosla
posibilidad de administrar las directivas de grupo. La gestin y creacin de directivas, la creacin de filtros WMI...
sontambinaccionesquepuederealizarunusuarioalquesehadelegadolaadministracin.
Lossiguientesusuariosygruposposeenpordefectopermisoscompletosparaadministrarlasdiferentes directivas
degrupo:
Administradoresdedominio
Administradoresdeempresas
CREATOROWNER
- 5-
Sistemalocal
LosmiembrosdelgrupoUsuariosautentificadosposeenporsupartepermisosdelecturayaplicacindeladirectiva
degrupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio, empresa) tienen la
posibilidaddecreardirectivasdegrupo.Paradelegarestepermisoenunusuario,debemosagregarloenlapestaa
DelegacindelcontenedorObjetosdedirectivadegrupo.
ParavincularunaGPOauncontenedor,elusuariooelgrupodebeposeerlospermisosadecuadosenelcontenedor
deseado.
- 6-
Esnecesariautilizararchivos RSAT,porqueelusuarionotienelaautorizacindeconectarseauncontroladorde
dominio.Laadministracindebehacersedesdesuequipo.
- 7-
Tratamientodedirectivasdegrupo
Lasdirectivasdegruposevinculanauncontenedor,apartirdeentonceslaaplicacinserealizaenunordenestricto.
1.Losvnculosdeunadirectivadegrupo
Despusdelaetapadecreacinydeprueba(enunentornodeprueba),debemosefectuarlapuestaenproduccin
yunirladirectivaasucontenedordefinitivo.EstauninconsisteenestablecerunvnculoentrelaGPOyunooms
contenedores.Trestiposdecontenedorespuedenrecibirdirectivasdegrupo:
Sitios
Dominios
Unidadesorganizativas
La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores. Podemos limitar la
aplicacin de la configuracin a un nmero restringido de usuario o de equipos, reemplazando el grupoUsuarios
autentificadosporungrupodeseguridadcreadopreviamente.
Esposible,acontinuacin,deshabilitarelvnculo.Estaoperacinimplicaeliminarlasmodificacionesaportadasporla
directivadegrupo.Elentornodelusuariopuedeversemodificado,locualpuedeimpactarenlaproductividad.
Esimposibleaplicarunvnculodirectamenteaunusuario,grupooequipo.Launidadorganizativaeselltimoobjeto
alquesepuedeefectuarunvnculo.
2.Laaplicacindeunadirectivadegrupo
Los parmetros contenidos en la Configuracin del equipo se aplican al iniciar el equipo y luego siguiendo un
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
intervalodetiempodeentre90y120minutos.Losscriptsdeinicioseejecutansolamentealarrancarelequipo.Los
controladoresdedominioejecutanunaactualizacindesuconfiguracincada5 minutos.
Adiferenciadelosparmetrosdelequipo,losparmetrosdelaparteusuarioseaplicanduranteeliniciodesesin
delusuario.Elintervalodetiempoes,sinembargo,idntico.Losscriptsseejecutanduranteeliniciodesesin.
Enciertoscasos(redireccindecarpeta...),laaplicacindelparmetrosoloseejecutaduranteelprimeriniciode
sesin. El usuario est obligado a cerrar y reiniciar la sesin. Esto se debe a que se utilizan los identificadores
puestos en cach para abrir la sesin ms rpidamente. Los parmetros se vuelven a aplicar mientras el usuario
cuente con una sesin abierta. Es posible modificar el intervalo de configuracin, para ello debemos modificar el
parmetro presente en el nodo Configuracin del equipo Directivas Plantillas administrativas Sistema
Directivadegrupo.
Encontramos los mismos parmetros en la parte de usuario. Sin embargo existe una excepcin relativa a los
parmetrosdeseguridad.Estosltimosseaplicancada16horasseacualseaelintervaloconfigurado.
Paraforzarelrefresco,debemosutilizarelcomandogpupdate/forceoelcmdletInvokeGpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la consola GPMC.
Haciendo clic con el botn derecho en una unidad organizativa, un administrador tiene acceso a la opcin
Actualizacindedirectivadegrupo.
- 2-
Lascuentasdeequipodebenestarpresente,encasocontrariosemuestraunmensajedeerror.
Seabreunaventanaquemuestraaladministradorelresultadodelaoperacin.
- 3-
Al realizar esta operacin, la mayora de los equipos estaban desconectados, esto explica el gran nmero de
errores.
3.Ordendeaplicacindeunadirectivadegrupo
Lasdirectivasdegruposeaplicanalequipoenfuncindeunordenestricto.Laprimeradirectivaqueseaplicaal
puesto es la directiva local (si existe una directiva presente). A continuacin, se recuperan y aplican las GPO de
dominio, siendo la primera la GPO del sitio AD. Se recuperan entonces Default Domain Policy y cualquier otra
directivaubicadaenlarazdeldominio,porltimoseaplicanlasubicadasenunaOUosubOU.
El vnculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario), se debe vinculara un
- 4-
contenedor(OU,dominio...).Encasodeconflictoentreunparmetrodedosdirectivasdiferentes,tieneprecedencia
la ltima aplicada. Para modificar este orden de prioridad, es posible bloquear la herencia o aplicar (forzar) una
directiva. Esta ltima opcin no est libre de consecuencias, porque vuelve prioritaria a cualquier GPO que reciba
estaopcinypuedeanularelbloqueodelaherencia.Laaplicacinseactivahaciendoclicconelbotnderechoen
ladirectivadegrupoespecficayluegoseleccionandolaopcinAplicar.
4.Lasdirectivaspredeterminadas
Durante la creacin de un dominio Active Directory, se crean automticamente dos directivas: la Default Domain
PolicyylaDefaultDomainControllersPolicy.
La Default Domain Policy esta vinculada a la raz del dominio, lo que permite aplicarla al conjunto de usuario y
equiposdeldominioporherencia.Ellacontienelapolticadeseguridadpredeterminada(parmetrosdecontrasea,
bloqueo...).Sisedebenaplicarotrosparmetrosalconjuntodeobjetosdeldominio,espreferiblecrearunanueva
directivayluegovincularlaalarazdeldominio.
LaDefault Domain Controllers Policy est vinculada a la unidad organizativaDomain Controllers,demodoque
solamente la reciben los controladores de dominio. sta permite configurar el sistema de auditora y asignar
permisossuplementarios(abrirunasesinenuncontroladordedominio...).
5.Losfiltrosdeseguridad
UnaGPOseaplicadeformapredeterminadaalconjuntodeusuariosyequiposdelcontenedorysubcontenedores.
Ciertas directivas (instalacin de software...) necesitan, sin embargo, que se implemente un filtro un poco ms
estricto. Para ello, es preciso modificar el filtro de seguridad para contener solamente el grupo autorizado. Dicho
grupocontendrsolamentelosusuariosoequiposafectados.
ElpermisodeaccesopordefectoesUsuariosautentificados,quepermiteasegurarqueelconjuntodeusuariosy
equiposautentificadosporuncontroladordedominiopuedenleeryaplicarlaGPO.
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 5-
SepuedenconfigurarpermisosmsgranularesconfigurandolaACL(AccessControlList).Estohacequeseamucho
msfcilfiltraralaspersonasquepuedenrecibiryaplicarlaconfiguracin.Paraacceder aestalistadecontrolde
acceso,hagaclicenelbotnOpcionesavanzadasenlapestaaDelegacin.
Semuestralalistadecontroldeacceso,quepermitedesplegarautorizacionesmuchomsgranulares.
TengacuidadodenoabusardelpermisoDenegar,queesprioritario.
- 6-
Desplieguedeunalmacncentral
Las plantillas administrativas contenidas en la consola Editor de administracin de directivas de grupo estn
contenidasenlacarpetaPolicyDefinitionsdecadaservidor.
Parautilizarunacarpetanicaparatodoslosservidores,debemosdesplegarunalmacncentral.
1.Presentacindelalmacncentral
ElalmacncentralpermitealosdiferentescontroladoresdedominiobasarseenarchivosADMX/ADMLcontenidos
enunpuntocentral,llamadoalmacncentral.Estafuncionalidadconsisteendesplazarelconjuntodelosarchivos
utilizadosporlasplantillasadministrativasalacarpetaSYSVOL.
El almacn central se detecta, automticamente, al abrir la consola Editor de administracin de directivas de
grupo.Deestaforma,seacualsealaversindelsistemaoperativo,losarchivosutilizadossonsiempreidnticos.
Adicionalmente esta funcionalidad hace que el uso de las plantillas administrativas sea ms fcil, pues ya no es
necesariocopiarlosarchivosADMXyADMLpersonalizados.LacopiaenlacarpetaSYSVOLpermiteunareplicacin
atodosloscontroladoresdedominio.
Para crear el almacn central, bastar con desplazar la carpeta PolicyDefinitions a la carpeta
C:\Windows\SYSVOL\sysvol\{DomainName}\Policies\.
- 1-
LosarchivosADMLdebencopiarse,tambin,alacarpeta,lapantallapreviamuestralosarchivos ADMXascomo
losarchivosdeidiomaalmacenadosenlacarpetaesES.
2.Lasplantillasadministrativas
LasplantillasadministrativassebasanenarchivosXML.ElarchivoADMXcontienelaclaveamodificaryelvalora
configurar para los estados Habilitado o Deshabilitado. Este tipo de archivo es neutro a nivel de idioma, puede
utilizarseensistemasoperativoseningls,espaol
El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarn. A diferencia del
formatoADM,lacreacindeunarchivopersonalizadoesmuysimple,sinembargoesnecesarioestarfamiliarizado
conellenguajeXML.
LosdiferentesparmetrosseescribenenlabasedelregistroaniveldelasclavesHKEY_LOCAL_MACHINEparala
configuracindelequipoyHKEY_CURRENT_USERparalaconfiguracindelusuario.
EjemplodeunarchivoADMX
- 2-
SeasociaunarchivoADMLaestearchivoADMX.
EjemplodeunarchivoADML
Lasplantillasadministrativaspermitenresponderalamayoradelasnecesidadesdepersonalizacindelentornode
usuario.CadaparmetrocontenidoenelarchivoADMXestvinculadoaunparmetroenelregistro.
3.Parmetrosadministradosynoadministrados
Existendostiposdeparmetrosenunadirectivadegrupo:losparmetrosadministradosylosnoadministrados. La
mayoradelosparmetrostienenestadoadministrado.As,cuandolacuentadeusuariooequiponosigaformando
partedelmbitodeladirectivadegrupo(desplazamientoaotraOU,porejemplo),losparmetroscontenidosenla
- 3-
misma sern eliminados. El valor predeterminado configurado por el sistema operativo tomar el lugar del
parmetroconfiguradoenlaGPO.Deformainversa,losparmetrosnoadministradosmodificanelregistroynose
eliminanaunquelacuentadejedeformarpartedelmbitodeladirectivadegrupo.
Parainvertirlaconfiguracin,hayquemodificarladirectivaparaindicarloopuestoaloqueestconfigurado.Ciertos
parmetroscontenidosenlaspreferenciassonparmetrosnoadministrados.
Con los parmetros administrados, el usuario no tiene la posibilidad de modificar los parmetros. Los cambios se
realizanenzonasespecficasdelregistro,dondesololosadministradorestienenacceso:
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
4.Utilizacindelosfiltrosenlasplantillasadministrativas
Las plantillas administrativas contienen multitud de parmetros configurables. Para facilitar la bsqueda, Microsoft
haimplementadoapartirdeWindowsServer2008unafuncionalidaddefiltrado.
Esposiblebuscarlosparmetrosquecorrespondenaunapalabraclaveomostrarsolamenteaquellosconfigurados.
EstafuncionalidadseactivadesdelaconsolaEditordeadministracindedirectivasdegrupo.Elmencontextual
delasplantillasadministrativas(accesiblehaciendoclicconelbotnderecho) permiteaccederalaopcinOpciones
defiltro.
- 4-
Laventanacontienevariaszonas.Laprimeradeellasestcompuestaportreslistasdesplegables:
Administrado:permitedeterminarsielparmetrofiltradoesunparmetroadministradoonoadministrado.
Configurado:permitemostrarsololosparmetrosqueestnconfiguradosenladirectivadegrupo.
Comentado:esteparmetroesidnticoalanterior,filtrasinembargoporloscomentariosdejadosenladirectiva.
Lasegundazonapermitefiltrarporpalabrasclavemientrasquelatercerayltimafiltraporaplicacinoplataforma
(WindowsServer2003,InternetExplorer10).
Marcando la casillaHabilitarfiltrosdepalabraclave e introduciendoEjecutarenelcampo,solosemuestranlos
parmetrosquecontenganlapalabraEjecutar.
- 5-
Labsquedadelosparmetrosesasmssimpleyrpida.
- 6-
Talleres
Lostallerespermitenponerenprcticalasdiferentesfuncionalidadesestudiadas(GPOdeinicio,preferencias...).
1.Implementarunalmacncentral
Objetivo:puestaenmarchadelafuncionalidadalmacncentralparaeldominioFormacion.local.
Mquinavirtualutilizada:AD1.
InicieelexploradordeWindows,hagaclicenEquipoyluegohagadobleclicenDiscolocal(C:).
HagadobleclicenWindowsyluegocopielacarpetaPolicyDefinitions.
HagadobleclicenlacarpetaSYSVOLubicadaenlacarpetaWindows.
AbralascarpetasdomainyPoliciesyluegopeguelacarpetaPolicyDefinitions.
- 1-
InicielaconsolaAdministracindedirectivasdegrupo.
DesplieguelosnodosBosque,DominiosyluegoFormacion.local.
HagaclicconelbotnderechoenDefautDomainPolicyyseleccioneEditar.
HagadobleclicenDirectivas.
Lasplantillasadministrativassehanrecuperadocorrectamentedelalmacncentral.
LosarchivosADMXyADMLsereplicarn,ahora,enelconjuntodecontroladoresdedominio.
2.Creacindeunadirectivadegrupo
Objetivo:implementarunadirectivadegrupoparaconfigurarunequipoclientequeejecutaWindows8.
Mquinasvirtualesutilizadas:AD1,CL801.
ArranqueelequipoAD1yabraunasesincomoadministrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local,DominiosyfinalmenteFormacion.local.
- 2-
HagaclicconelbotnderechoenObjetosdedirectivadegrupoyluego,enelmencontextual,haga
clicenNuevo.
EnelcampoNombre,introduzcaParmetrosdepuestoclienteyluegohagaclicenAceptar.
Aparecelanuevadirectiva,peronoestvinculada.
- 3-
HagaclicconelbotnderechoenEditar.
EnlaconsolaEditordeadministracindedirectivasdegrupo,desplieguelosnodosConfiguracinde
usuario,DirectivasyluegoPlantillasadministrativas.
DespliegueelnodoComponentesdeWindowsyluegohagaclicenInternetExplorer.
HagaclicenelparmetroDeshabilitarlaconfiguracindelapginaOpcionesavanzadas.
MarqueelbotnHabilitadayluegohagaclicenAceptar.
- 4-
EstavezhagadobleclicenelparmetroImpediradministracindelfiltroSmartScreen.
Marque la opcin Habilitada y, a continuacin, en la lista desplegable Seleccionar modo de filtro
SmartScreenseleccioneActivado.
- 5-
HagaclicenAceptaryluegocierrelaventanaEditordeadministracindedirectivasdegrupo.
HagaclicconelbotnderechoenlaunidadorganizativaFormyluego,enelmencontextual,seleccione
VincularunaGPOexistente.
SeleccioneParmetrosdePuestoclienteyluegohagaclicenAceptar.
- 6-
LadirectivadegrupoestahoravinculadaalaOU.
VerifiquelapresenciadelacuentadelequipoCL801ydelusuarioAlumno1enlaOUForm.
InicieelequipoCL801yabraunasesincomoAlumno1.
Sielequipoyaestarrancado,ejecuteelcomandogpupdate/force.
InicieInternetExplorer,yluegopulselatecla[Alt]paramostrarelmen.
Haga clic en Herramientasyluegoen FiltroSmartScreen, verifique que la opcin Desactivar el filtro
SmartScreenestdeshabilitada.
EnelmenHerramientas,hagaclicenOpcionesInternetyluegoenlapestaaOpcionesavanzadas.
Todoslosparmetrosdebenestardeshabilitados.
- 7-
Ladirectivadegruposehaaplicadocorrectamente.
3.CreacindeunaGPOdeinicio
Objetivo:crearunaGPOdeinicioquepodrutilizarsecomobaseparatodaslasdemsdirectivas.
Mquinavirtualutilizada:AD1.
ArranqueelequipoAD1yabraunasesincomoadministrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local,DominiosyfinalmenteFormacion.local.
EnlacarpetaGPOdeinicio,hagaclicenelbotnCrearlacarpetadeGPOdeinicioparaprocederala
creacin de la carpeta (panel derecho), a continuacin haga clic con el botn derecho en el nodoGPO
Inicioy,enelmencontextual,hagaclicenNuevo.
EnelcampoNombre,introduzcaEjemploGPOdeinicioyluegohagaclicenAceptar.
- 8-
HagaclicconelbotnderechoenelobjetoqueseacabadecrearyluegohagaclicenEditar.
Soloestnpresenteslasplantillasadministrativas.
DesplieguelosnodosConfiguracindelequipo,Plantillasadministrativas,ComponentesdeWindows
yluegoAgregarcaractersticasaWindows8.1.
HagadobleclicenelparmetroImpedirqueelasistenteseejecute.
MarquelaopcinHabilitadayluegohagaclicenAceptar.
- 9-
CierreelEditordeobjetosdedirectivadegrupoyluego,enlaconsolaAdministracindedirectivasde
grupo,hagaclicenObjetosdedirectivadegrupo.
Hagaclicconelbotnderechoenelcontenedory,acontinuacin,hagaclicenNuevo.
Introduzca Prueba GPO inicio en el campoNombre y luego, en la lista desplegableGPO de inicio de
origen,seleccioneladirectivaqueacabamosdecrear.
- 10 -
HagaclicenAceptaryseleccioneladirectivaPruebaGPOinicio.
Empleando la pestaa mbito, podemos ver que el campoUbicacin est vaco. La directiva no est de momento
vinculadaaningncontenedor.
HagaclicenlapestaaConfiguracin.
- 11 -
SeencuentrantodoslosparmetrosconfiguradosparaelobjetoGPOdeinicio.
4.Implementacindepreferencias
Objetivo:creacindeunaGPOquecontengalaspreferenciasysuaplicacinenelequipo.
Mquinasvirtualesutilizadas:AD1yCL801.
ArranqueelequipoAD1yabraunasesincomoadministrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos Bosque:
Formacion.local,DominiosyfinalmenteFormacion.local.
HagaclicconelbotnderechoenObjetosdedirectivadegrupo,acontinuacin,enelmencontextual,
hagaclicenNuevo.
EnelcampoNombre,introduzcaConfiguracinpreferenciasyluegohagaclicenAceptar.
HagaclicconelbotnderechoenelobjetoqueseacabadecrearyluegohagaclicenEditar.
Despliegue el nodo Configuracin de usuario, Preferencias y luego haga clic en Configuracin de
Windows.
Haga doble clic en Carpetas y a continuacin, en el panel central, haga clic con el botn derecho y
seleccioneNuevoyluegoCarpeta.
EnlalistadesplegableAccin,seleccioneCrearyluegointroduzcaC:\Conta2013enRutadeacceso.
- 12 -
SeleccionelapestaaComunesyluegomarqueDestinatariosdeniveldeelemento.
HagaclicenelbotnDestinatarios.
- 13 -
EnlalistaNuevoelemento,seleccioneSistemaoperativo.
EnlalistadesplegableProducto,seleccioneWindows8.1.
Sedespliegaunfiltro,ladirectivaseaplicasolamentealosequiposqueejecutanWindows8.1.
HagaclicdosvecesenAceptarparavalidarlasmodificaciones.
HagaclicenConfiguracindelPaneldecontrolyluegohagaclicconelbotnderechoenConfiguracin
- 14 -
deInternet.
Enelmencontextual,seleccioneNuevoyluegoInternetExplorer10.
EnPginaprincipal,introduzcawww.nibonnet.fryluegopulse[F6]paravalidarlamodificacin.
Lalneaenelcamposetornaverde.Sinlavalidacindelatecla[F6],elparmetronoestaractualizado.
MarquelaopcinEliminarelhistorialdeexploracinalsalir.
HagaclicenlapestaaConexionesyluegoenelbotnConfiguracindeLAN.
Marque la casillaUsar servidor proxy para la LANyluegointroduzcaladireccin192.168.1.200 y el
puerto8080enloscamposadecuados.
Recuerdevalidarconlatecla[F6].
- 15 -
Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administracin de directivas de
grupo.
HagaclicconelbotnderechoenlaunidadorganizativaFormyluego,enelmencontextual,seleccione
VincularunGPOexistente.
SeleccioneParmetrosdePuestoclienteyluegohagaclicenAceptar.
EnelequipoCL801,abraunasesincomoAlumno1yluegoinicieunsmbolodelsistemaeintroduzca
elcomandogpupdate/force.
Inicie el Explorador de Windows y luego acceda a la particin C:. La carpeta se ha creado
correctamente.
InicieInternetExploreryluegoaccedaalasOpcionesdeInternet.
Lapginaprincipalsehaconfiguradocorrectamente,ascomolaopcinEliminarelhistorialdeexploracin alsalir.
- 16 -
SeleccionelapestaaConexionesyluegohagaclicenelbotnConfiguracindeLAN.
Laconfiguracinsehaefectuadocorrectamente.
- 17 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CuntasdirectivasdegrupolocalespodemosimplantarenunpuestoWindows8?
2 Cmosellamanlasdosconsolasutilizadasparaadministrarlasdirectivasdegrupo?
3 QuclavesdelregistrosemodificanalutilizarlaConfiguracindeusuarioylaConfiguracindelequipo?
4 DndesealmacenanlosdiferentescomponentesdelaGPOycmosereplican?
5 Quesunaextensindeladodelcliente?
6 EsposibleaplicarlaspreferenciasdedirectivasdegrupoenunequipoconWindowsXP?
7 CuleselobjetivodeunaGPOdeinicio?
8 CuleselordendeaplicacindeunaGPO?
9 Enqumomentoseaplicaunadirectivadegrupo?
10 EsposibleforzarunaactualizacindesdelaconsolaGPMC?
11 Culessonlasdirectivasdegrupopredeterminadas?
12 Enquconsisteelfiltradodeseguridad?
13 Cmocreamosunalmacncentral?
14 Cmoestcompuestaunaplantillaadministrativa?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode11puntosparaaprobarelcaptulo.
3.Respuestas
1 CuntasdirectivasdegrupolocalespodemosimplantarenunpuestoWindows8?
AdiferenciadelossistemasoperativosanterioresaWindowsVistaquepermitanlacreacindeunanicadirectiva
degrupolocal,ahoraesposiblecrearvariasdirectivasdegrupo:paraelequipolocal,paraelgrupoAdministradores,
paraelgrupoNoAdministradoresoparaunusuarioespecfico.
2 Cmosellamanlasdosconsolasutilizadasparaadministrarlasdirectivasdegrupo?
Paraadministrarlasdiferentesdirectivasdegrupo,debemosutilizarlaconsolaAdministracindedirectivas de
grupo(GPMC)yelEditordeadministracindedirectivasdegrupo(GPME).
3 QuclavesdelregistrosemodificanalutilizarlaConfiguracindeusuarioylaConfiguracindelequipo?
LosparmetroscontenidosenlaparteConfigurcindelusuariomodificanlaclaveHKEY_Current_User,mientras
queseemplealaclaveHKEY_Local_MachineparalaConfiguracinelequipo.
4 DndesealmacenanlosdiferentescomponentesdelaGPOycmosereplican?
Ladirectivadegrupoestcompuestadedospartes,laGPC(GroupPolicyContainer)ylaGPT(GroupPolicy
Template).LaGPC,quecontieneelIDyelnmerodeversin,sereplicaconActiveDirectorymientrasquelaGPT,
quecontienelosdiferentesparmetros,sereplicaconelsistemadereplicacindelacarpetaSYSVOL.LaGPTse
almacenaenSYSVOL.
- 1-
5 Quesunaextensindeladodelcliente?
UnaCSEoextensindelladoclienteseencuentraenelsistemaoperativo.Tienecomoobjetivorecuperarla
configuracinyaplicarla.Existentantasextensionesdelladoclientecomotiposdeparmetros.
6 EsposibleaplicarlaspreferenciasdedirectivasdegrupoenunequipoconWindowsXP?
ParapoderaplicarlaspreferenciasenunpuestoWindowsXPesnecesario,enprimerlugar,instalarlasextensiones
adecuadasenelladocliente.
7 CuleselobjetivodeunaGPOdeinicio?
UnaGPOdeiniciopermitecrearplantillasdeconfiguracinenlasplantillasadministrativas.Durantesucreacin,los
administradorestienenlaposibilidaddecrearladirectivabasndoseenlaplantilla(losparmetrosseagregarn,
tambin,alasnuevasdirectivas).
8 CuleselordendeaplicacindeunaGPO?
Unadirectivadegruposeaplicaenunordenestricto.Antesdeaplicarunaposibledirectivalocal,seaplicala
directivadesitioAD.Acontinuacin,seaplicaladirectivadedominioy,porltimo,serecuperanyaplicanenel
equipolasdirectivasasociadasalasdiferentesunidadesorganizativas.
9 Enqumomentoseaplicaunadirectivadegrupo?
Unadirectivadegruposeaplicacada90a120minutos.Adicionalmenteestaoperacinseefectaalarrancarel
equipootrasiniciarsesin.Larecuperacindeladirectivasoloseefectasihahabidounamodificacin.La
directivaqueseatribuyeauncontroladordedominioserecuperacada5minutos.Porltimo,losparmetrosde
seguridadseaplicancada16horasinclusosinohaocurridoningunamodificacin.
10 EsposibleforzarunaactualizacindesdelaconsolaGPMC?
Si,estoesunanovedaddeWindowsServer2012.Consisteenforzarunaactualizacindelasdiferentesdirectivas
enelequipoclienteoenelservidor.Estafuncionalidadevitatenerqueejecutarelcomando gpupdate/forceenel
equipolocal.
11 Culessonlasdirectivasdegrupopredeterminadas?
Alpromoverunservidor,secreandosdirectivasdegrupo.Ubicadaenlarazdeldominio,ladirectivaDefault
DomainPlocycontienelosparmetrosdeseguridad.Seaplicaalconjuntodeobjetosdeldominio. Ladirectiva
DefaultDomainControllersPolicysevinculaalaunidadorganizativaDomainControllers.Permiteporsuparte
configurarlosregistrosdeauditoraenloscontroladoresdedominiooproporcionarderechossuplementariosalos
usuarios(abrirunasesinenuncontroladordedominio,etc.).
12 Enquconsisteelfiltradodeseguridad?
Estetipodefiltradopermitelimitarlarecuperacindeunadirectivaalosmiembrosdelgrupoqueestconfigurado
enelFiltradodeseguridad.
13 Cmocreamosunalmacncentral?
SepuedecrearunalmacncentralsimplementecopiandolacarpetaPolicyDefinitionsen
C:\Windows\SYSVOL\sysvol\{DomainName}\Policies\.
14 Cmoestcompuestaunaplantillaadministrativa?
UnaplantillaadministrativaestcompuestaporunarchivoADMX,quecontienelasclavesamodificaryasuvezel
nombredelvalorDWORD...yeldesuclave.ElarchivoADMLvieneacompletaralarchivoanterior.Porsuparte
contienelostextosdeayuda.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
TenerconocimientosacercadelfuncionamientodelaUAC.
Poseernocionessobrelosparmetrosdeseguridad(plantilladeseguridad,etc.).
TenernocionesacercadelFirewalldeWindows.
2.Objetivos
Creacindelaplantilladeseguridadeimplantacindelosderechosdeusuario.
ConfiguracindelaUACeimplantacindeunapolticadeauditora.
Usodelosgruposrestringidos.
Implantacindeunapolticaderestriccindesoftware.
ConfiguracindelFirewall.
- 1-
Introduccin
La proteccin de la infraestructura de sistema y de red debe ser una prioridad para todos los administradores. Se
debendesplegarsolucionesdeseguridadparaevitarlaprdidadedatos.
- 1-
Configuracindelosparmetrosdeseguridad
Para simplificar el despliegue de una solucin de seguridad, podemos emplear directivas de grupo. Esto permite
aplicarlasolucinaunmximodeusuariosyequipos.
1.Creacindeunaplantilladeseguridad
Una plantilla de seguridad se presenta en forma de archivo. ste permite la gestin y la configuracin de los
parmetrosdeseguridad.Podemosconfigurarlosparmetrosenlassiguientessecciones:
Polticadecontrasea,bloqueoyKerberos.
Auditorayderechosdeusuario.
Registrosdeeventosdeaplicacin,sistemayseguridad.
Miembrodegruposrestringidos.
Lasplantillascreadaspuedenutilizarseparaaplicarunadirectivadeseguridadenunoomsequipos.Sepueden
utilizarvariasherramientasparaefectuarestaoperacin.
Secedit.exe: esta herramienta por lnea de comandos permite configurar y analizar la seguridad. Se efecta una
comparacinentrelaplantilladeseguridadylosparmetrosencurso.
ElcomponentePlantillasdeseguridadpermitecrearunaplantillaquecontienediferentesparmetrosdeseguridad.
Configuracinyanlisisdelaseguridadtienecomoobjetivoanalizarlaconfiguracindelservidorycompararla
conunaplantilla.Encasodedetectardiferencias,esposiblevolveraaplicarlaplantilla.
2.Configuracindelosderechosdeusuario
Losderechosdeusuariopermitenasignaraunusuariopermisossuplementarios.stospermitenrealizaracciones
especficasnormalmenteprohibidasaunacuentaquenoposeepermisosdeadministrador.
Podemosdividirlospermisosendostipos:
Los privilegios que permiten el acceso a un equipo o un recurso del dominio que proporcionan al usuario
permisospararealizarunaaccin(porejemplo:permisoparaguardararchivosycarpetas).
Losderechosdeiniciodesesinqueatribuyenlospermisosdeiniciodesesin(porejemplo:conexinlocalpara
elusuarioauncontroladordedominio).
Noexistenpermisosconfiguradosdeformapredeterminadaparalasdirectivasdegrupo.Laconfiguracinsepuede
efectuaraccediendoalnodoAsignacindederechosdeusuario.
Este nodo est accesible desplegando los nodos Configuracin del equipo Directivas Configuracin de
WindowsConfiguracindeseguridadDirectivaslocales.
- 1-
Estosparmetrospuedenemplearseparaefectuarvariasoperaciones:
Aadirunequipoaldominio.
Autorizarlaconexinenlocal.
AutorizarsesionesTerminalServer.
Hacercopiadeseguridaddearchivosycarpetas.
Cambiarlahora.
3.ConfiguracindelaUAC(UserAccountControl)
Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos que ofrecen al
usuario que inicie sesin con ellas (modificar el Registro, cambiar la configuracin de Windows...). Es preferible
protegerestascuentasparagarantizarunbuenfuncionamientodelsistemaoperativoylaintegridaddelosdatos.
La UAC (User Account Control) hizo su aparicin con Windows Vista y Windows Server 2008. Esta funcionalidad
permite asegurar el uso de las cuentas sensibles solicitando al usuario una confirmacin cuando un proceso
necesitapermisosdeadministracin.Silapersonaconectadanoesunadministrador,sesolicitanlosidentificadores
deunacuentadeadministrador.
Deestaforma,losusuariosestndarylosadministradoresseencuentranpordefectoconlosmismosderechosen
elequipo,losdeunacuentadeusuario.Siexistelanecesidaddeutilizarpermisosmselevados,laUACefecta
una elevacin de privilegios. De esta forma, solo el proceso que solicita la elevacin funciona con permisos de
administrador.Sonposiblesdosacciones:
- 2-
Elusuarioesadministrador:laUACsolicitaalapersonaconectadalaautorizacinparacontinuarlaejecucindel
procesoquenecesitapermisosdeadministracin.
El usuario es un usuario estndar: es necesario informar credenciales de una cuenta con permisos de
administracin.
ElcomponentedelaUACpuedeconfigurarseparaajustarlafrecuenciadelanotificacin.
Esta funcionalidad puede configurarse accediendo al nodoConfiguracin del equipo Directivas Configuracin
deWindowsConfiguracindeseguridadDirectivaslocalesOpcionesdeseguridad.
Medianteestalistadeparmetros,podemosencontrar:
Controldecuentasdeusuario:comportamientodelapeticindeelevacinparalosadministradoresen
Modo de aprobacin de administrador: permite controlar el comportamiento de la peticin de elevacin. Este
parmetroseaplicasolamentealacuentaAdministrador.Existenvariasopciones:
n
Elevar sin preguntar: las operaciones que necesiten la elevacin de privilegios se realizan sin solicitar al
usuariolaautorizacindeelevarelprivilegio.
Pedir consentimiento en el escritorio seguro: cuando se ejecuta un proceso que requiere permisos de
administracin, se pide al usuario que autorice o deniegue esta elevacin de privilegios. En caso de aceptacin,
seasignanlosmximospermisosdelusuarioparaejecutarelproceso.
- 3-
Controldecuentasdeusuario: comportamientodelapeticindeelevacinparalosusuariosestndar:
permite gestionar el comportamiento de la peticin de elevacin para las cuentas que no cuentan con permisos de
administracin.Existenvariasopcionesdisponibles:
n
Pedir credenciales: se pide al usuario que introduzca un nombre de usuario y una contrasea cuando debe
realizarselaelevacindeprivilegios.
- 4-
Pedir credenciales en el escritorio seguro: al intentar elevar los privilegios, la introduccin de las
credencialesseefectaenelescritorioseguro.
Habilitada:semuestralaventanadeelevacindeprivilegiosdurantelainstalacindeunaaplicacin.
Deshabilitada:nosepideelevacindeprivilegios.Seleccioneestaopcinconlainstalacinautomtica deuna
aplicacin(GPSI,SCCM...).
- 5-
Pordefecto,laUACnoesthabilitadaenunservidorinstaladoenmodoCore.
4.Implantacindeunadirectivadeauditora
Ladirectivadeauditoraesunpuntomuyimportante.Permiteseguirlaactividaddelosusuarios(iniciodesesin,
acceso a un recurso...). Esta funcionalidad no est concebida para espiar a los usuarios sino para detectar un
intentodeaccesonoautorizadoaunrecurso.Estasauditorasseimplementanenvarios servidoresypuedenincluir
accesoscorrectosoerrneos.Todosestoseventosseregistranenelregistrodeeventosdeseguridad.
Sepuedenauditarvarioseventosenunadirectivadeseguridad:
LasmodificacioneshechasporelgrupoAdministradores.
Losaccesosaunacarpetacompartidaefectuadosporunusuarioogrupo.
Losintentosdeconexinaunservidoroequipoconcreto.
TodosestoparmetrossepuedenconfiguraraccediendoalnodoDirectivadeauditoraubicadoenConfiguracin
delequipoDirectivasConfiguracindeWindowsConfiguracindeseguridad DirectivaslocalesDirectiva
deauditora.
- 6-
Esposibleactivarvariostiposdeparmetros:
Auditarelaccesoalserviciodedirectorio:permiteauditarlosintentosdeaccesoalobjetodeActive Directory.
EsprecisoconfigurarlaSACL(SystemAccessControlList).
Auditareventosdeiniciodesesin:permitealsistemaoperativoauditarlosintentosdeconexinydesconexin
delequipo.
Auditareventosdeiniciodesesindecuenta:indicaalsistemaoperativoquedebeauditarcadavalidacinde
credencialesdecuenta.
Podemos acceder a los parmetros avanzados del sistema de auditora desde Configuracin del equipo
Directivas ConfiguracindeWindows Configuracin de seguridad Configuracin de directiva de auditora
avanzadaDirectivasdeauditora.
- 7-
Laactivacindelaauditorasobrelasaccionescorrectaspuedegenerarungrannmerodeeventosenelregistro
Seguridad.
5.Utilizacindelosgruposrestringidos
Losgruposrestringidospermitengestionarlosmiembrosdealgunosgrupos.Paraagregarunalistadeusuariosal
grupo de Administradores locales de cada equipo, debemos utilizar los grupos restringidos para automatizar esta
operacin.Sinembargo,estaoperacinpuedeenalgunoscasosborrarcompletamentelalistadelosmiembrosdel
grupo. La lista se reemplaza por aquella configurada en el grupo restringido. Estos parmetros pueden utilizarse
paraconfigurarlascuentaslocalescomohemosvistoanteriormente,osimplementelosgruposdeldominio.
Los grupos restringidos pueden configurarse empleando el nodo Configuracin del equipo Directivas
ConfiguracindeWindowsConfiguracindeseguridadGruposrestringidos.
- 8-
Implantacindeunarestriccindesoftware
Esta funcionalidad no permite evitar la instalacin de un software pero si su ejecucin. Esto permite prohibir la
ejecucindeunaaplicacinnoautorizadaporeldepartamentodeTI.
1.Ladirectivaderestriccindesoftware
Esta funcionalidad aparece con Windows XP y 2003 Server. Proporciona a los administradores las
herramientas necesarias para identificar y autorizar o prohibir la ejecucin de la aplicacin. Los parmetros se
despliegan empleando una directiva de grupo. An presente por razones de compatibilidad, la restriccin de
softwareestcompuestaporreglasynivelesdeseguridad.
Lasreglas
Permitenindicarsilaejecucindeunaaplicacinestautorizada.Lasreglasestnbasadasenunoovarioscriterios
queseaplicanaunarchivoejecutable:
Hash:firmadelarchivo.
Certificado:certificadodigitalemitidoporelfabricantedelejecutable.
Rutadeacceso:rutalocaloUNCquecontienelosejecutablesabloquear.
Zona:zonaInternet.
Nivelesdeseguridad
Cada regla obtendr un nivel de seguridad. Este nivel indica el comportamiento del sistema operativo durante la
ejecucindelsoftwaredefinidoenlaregla.Existentresnivelesdeseguridad:
Nopermitido:laaplicacinidentificadaenlareglanofunciona,inclusoparalascuentasdeadministradores.
Usuariobsico:laaplicacinseejecutaconpermisosdeusuarioexclusivamente.
Ilimitado:lospermisosdeaccesodelusuariopermitendeterminarlaejecucinonodelaaplicacin.
Las restricciones de software pueden configurarse empleando el nodo Configuracin del equipo Directivas
ConfiguracindeWindowsConfiguracindeseguridadDirectivasderestriccindesoftware.
- 1-
La funcionalidad AppLocker apareci con Windows Server 2008 y permite, a su vez, implementar restricciones de
software.
2.UtilizacindeAppLocker
AppLockerapareceapartirdelossistemasoperativosWindowsServer2008yWindowsVista.Aligualqueparala
restriccin de software, es posible controlar la ejecucin de una aplicacin. Esta funcionalidad permite a los
administradoresimplementarreglasdemanerasencillaysebasaasuvezeneldesplieguededirectivasdegrupo.
LareglaseaplicaaunusuarioogrupodeseguridaddeActiveDirectory.
Podemosaplicarunareglaparagestionarsuejecucinoutilizarlaauditoraparapoderprobarlasreglasantesde
su implantacin. Los administradores pueden prohibir, por ejemplo, aplicaciones cuyas licencias no hayan sido
compradas.Soloelsoftwarevalidadoporeldepartamentodeinformticaestarautorizadoaejecutarse.
Segestionantrestiposdearchivo:
Ejecutables
Scripts
WindowsInstaller(msi)
LasreglasdeAppLockerpermitenimpedirelusodeunaaplicacinypuedenutilizarseenvarioscasos:
Aplicacinprohibidaenlaempresa(MSN,etc.).
Softwarereemplazadoporunanuevaversinuotromsutilizado.
Aplicacinreservadaaundepartamentoespecfico.
Esta funcionalidad puede configurarse en el nodo Configuracin del equipo Directivas Configuracin de
- 2-
WindowsConfiguracindeseguridadDirectivasdecontroldeaplicaciones.
SeutilizaelservicioIdentidaddeaplicacinparaelfuncionamientodeAppLocker.Sielservicioestdetenido,nose
aplicanlasreglas.
Lasreglasempleanvarioscriteriosparaidentificarlaaplicacin:
Editor:sebasaenlafirmadigitaldeleditor.
Rutadeacceso:autorizaobloqueatodoslosejecutablescontenidosenlarutadeaccesoproporcionada.
Hashdearchivo:seutilizaelhashparaidentificarlaaplicacinygestionarsuejecucin.
Tambinesposiblecrearreglaspredeterminadasquegaranticenelcorrectofuncionamientodelsistemaoperativo.
stascontienenunaaccin(PermitiroDenegar)querigeelfuncionamientodelaaplicacin:
Losadministradorestienenpermisosparaejecutarlosarchivosejecutablespresentesencualquierentorno.
TodostienenpermisosparaejecutarlosarchivosejecutablespresentesenlosdirectoriosProgramFilesyWindows.
Utilizando el editor de reglas podemos filtrar segn el nmero de versin, el nombre de producto... Este tipo de
reglaofrecelaposibilidaddecrearunfiltromuypersonalizado.
- 3-
ElFirewalldeWindows
ApartirdeWindowsServer2008yWindowsVista,elFirewalldeWindowsfiltraeltrficoentranteysaliente.
La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall (creacin de
reglas,activacin/desactivacindelFirewall...).Paraaccederalaconsola,enelmenInicio,introduzcaFirewall.En
elmendeladerecha,hagaclicenFirewalldeWindowsconseguridadavanzada.
Lasreglasdeentradaseutilizancuandolosequiposefectanunintercambiodetramascondestinoalservidor.Todo
el trfico entrante est bloqueado de manera predeterminada, con la excepcin del que est explcitamente
autorizadoporeladministrador.Lasreglasdesalidalasinicialamquinahostyestndestinadasalosotrosequipos
delaredoalexterior.Eltrficosalienteestautorizadopordefecto.Sinembargoesposiblebloquearlocreandouna
regla.
SepuedeconfigurarIPsecempleandoreglasdeseguridaddeconexin.Laoperacinseefectamediantelaconsola
FirewalldeWindowsconseguridadavanzada.Estetipodereglaspermitensecurizarunacomunicacinentredos
equipos.
Tambinesposiblefiltrardesdelaconsola(porperfil,estadooporgrupo)eimportaroexportarlasreglascreadas.
Laconfiguracinpuederealizarsedeformamanualencadaequipoodeformaautomticautilizando ladirectivade
grupo(ConfiguracindelequipoDirectivasConfiguracindeWindows ConfiguracindeseguridadFirewall
deWindowsconseguridadavanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. Tambin es posible indicar si el firewall
estactivooinactivoporperfil.
Resulta,ahora,muchomssencillodarunjuegodeconfiguracinparacadared(privada,dominioopblica).Estos
juegoscontienenlasdiferentesreglasyelestado(HabilitadooDeshabilitado)delFirewall.
- 1-
Talleres
Lostallerespresentadospermitenimplementardiferentessolucionesdeseguridaddelequipo.
1.Creacindeunaplantilladeseguridad
Objetivo: efectuar la creacin de una plantilla de seguridad y luego importarla en la directiva de grupo. A
continuacin,semodificarlaconfiguracinysellevaracabounaauditoramedianteelcomponenteConfiguracin
yanlisisdelaseguridad.
Mquinavirtualutilizada:AD1.
EnAD1,abralaconsolaMMC.
HagaclicenArchivoAgregaroquitarcomplementosyluegohagaclicenPlantillasdeseguridad.
HagaclicenAgregaryluegoenAceptar.
DespliegueelnodoPlantillasdeseguridadyluegohagaclicconelbotnderechoenlacarpeta.
Enelmencontextual,hagaclicenNuevaplantilla.
EnelcampoNombredeplantilla,introduzcaPlantillaAdmins.yluegohagaclicenAceptar.
- 1-
DespliegueelnodoPlantillaAdmins.
Laconsolapresentalosdiferentesparmetros.
DespliegueDirectivasdecuentayluegoDirectivadecontraseas.
Configurelosparmetroscomoseindicaacontinuacin:
n
Exigirhistorialdecontraseas:16contraseas
Vigenciamnimadelacontrasea:0das
Vigenciamximadelacontrasea:90das
Almacenarcontraseasconcifradoreversible:Deshabilitada
Lacontraseadebecumplirlosrequisitosdecomplejidad:Habilitada
Longitudmnimadelacontrasea:12
HagaclicconelbotnderechoenPlantillaAdmins.yluego,enelmencontextual,hagaclicenGuardar.
InicielaconsolaAdministracindedirectivasdegrupo,desplieguelosnodosBosqueyDominios.
HagaclicconelbotnderechoenDefautDomainPolicyyluegohagaclicenEditar.
- 2-
DesplieguelosnodosConfiguracindelequipo,DirectivasyConfiguracindeWindows.
HagaclicconelbotnderechoenConfiguracindeseguridadyluegohagaclicenImportardirectiva.
HagadobleclicenelarchivoPlantillaAdmins.
LosparmetrosseimportanenladirectivaDefaultDomainPolicy.
- 3-
ModifiqueladirectivadegrupoDefaultDomainPolicycomoseindicaacontinuacin:
n
Exigirhistorialdecontraseas:1contrasea
Vigenciamnimadelacontrasea:0das
Vigenciamximadelacontrasea:200das
Almacenarcontraseasconcifradoreversible:Deshabilitada
Lacontraseadebecumplirlosrequisitosdecomplejidad:Deshabilitada
Longitudmnimadelacontrasea:12
EnlaconsolaMMC,seleccioneRaizdeconsola.
HagaclicenArchivoAgregaroquitarcomplementoyluegohagaclicenConfiguracinyanlisisde
seguridad.
HagaclicenelbotnAgregaryluegoenAceptar.
HagaclicconelbotnderechoenConfiguracinyanlisisdeseguridadyluegoseleccioneAbrirbase
dedatosenelmencontextual.
IntroduzcaBDDAdminsenelcampoNombreyluegohagaclicenAbrir.
- 4-
Enlaventanaimportarplantilla,hagaclicenPlantillaAdminsyluegoenAbrir.
HagaclicconelbotnderechoenConfiguracinyanlisisdeseguridadyluegoseleccioneAnalizarel
equipoahoraenelmencontextual.
EnlaventanaRealizaranlisis,dejelarutapredeterminadayluegohagaclicenAceptar.
DesplieguelosnodosDirectivasdecuentayluegoDirectivadecontraseas.
Laconsolacentralpresentalasdiferentesopcionesyunposibleconflicto(verde:ok,rojo:conflictoentrelaplantilla
deseguridadylaGPO).
Debemosvolveraaplicarlaplantilladeseguridad.
HagaclicconelbotnderechoenConfiguracinyanlisisdeseguridadyluegoenelmencontextual
seleccioneConfigurarelequipoahora.
EnlaventanaConfigurarelsistema,dejelarutapredeterminadayluegohagaclicenAceptar.
- 5-
Los parmetros de la directiva de grupo Default Domain Policy han sido modificados por los parmetros de la
plantilla.stapermiteactualizarelconjuntodeparmetrosdeformamuysencilla.
2.Utilizacindegruposrestringidos
Objetivo:crearunadirectivavinculadaalaOUServidorquepermitaconfigurarlosgruposrestringidos.
Mquinasvirtualesutilizadas:AD1,CL802.
EnAD1,inicielaconsolaUsuariosyequiposdeActiveDirectory.
HagaclicconelbotnderechoenFormacion.local y luego, en el men contextual, seleccioneNuevo y
Unidadorganizativa.
EnelcampoNombre,introduzcaClienteyluegohagaclicenAceptar.
MuevalacuentadeequipodeCL802alaOUrecincreada.
Inicie la consola Administracin de directivas de grupo, despliegue los nodos Bosque, Dominios y
Formacion.local.
HagaclicconelbotnderechoenObjetosdedirectivadegrupoyluegohagaclicenNuevo.
IntroduzcaGruporestringidoenelcampoNombreyluegohagaclicenAceptar.
Ladirectivaapareceenlaconsola,hagaclicconelbotnderechoenellayluego,enelmencontextual,
hagaclicenEditar.
- 6-
EnlaconsolaEditordeadministracindedirectivasdegrupo,desplieguelosnodosConfiguracindel
equipoDirectivasConfiguracindeWindowsConfiguracindeseguridadGrupos restringidos.
Haga clic con el botn derecho en Grupos restringidos y luego, en el men contextual, haga clic en
Agregargrupo.
IntroduzcaAdministradoresenelcampoGrupo.
Noutiliceelbotn Examinarquepermiteseleccionarungrupodeldominio,elobjetivoesagregarusuariosalgrupo
Administradoreslocalesdecadaequipo.
EnelcampoMiembrosdeestegrupo,agreguealusuarioNicolasBONNET.
Lalistadelosmiembrossevacayreemplazaporlaconfiguracinsiguiente.
- 7-
HagaclicenAceptarycierreelEditordeadministracindedirectivasdegrupo.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la unidad
organizativaCliente.
Enelmencontextual,hagaclicenVincularunGPOexistente.
SeleccioneGruporestringidoyluegohagaclicenAceptar.
Ladirectivaestahoravinculadaalaunidadorganizativa.
AbraunasesincomoadministradorenCL802.
CL802debesermiembrodeldominio.
InicieunsmbolodesistemaDOSeintroduzcaelcomandogpupdate/force.
LacuentaAdmins.deldominiohasidoeliminada.
- 8-
DebemosagregarelgrupoAdmins.deldominioenelgruporestringido.
Actualizandoladirectivadegrupo,seactualizaelgrupodeadministradoreslocales.
3.Auditoradeunsistemadearchivos
Objetivo:implementarunaauditorapararecopilareventossobrelosintentosfallidos.
Mquinasvirtualesutilizadas:AD1yCL801
- 9-
EnAD1,creeunacarpetallamadaInformticaenlaparticinC.
AccedaalasPropiedadesdelacarpetayluegohagaclicenlapestaaCompartir.
HagaclicenelbotnUsocompartidoavanzado.
EnlaventanaUsocompartidoavanzado,marquelaopcinCompartirestacarpeta.
HagaclicenelbotnPermisos,yluegoeliminelaentradaTodos.
AgreguelacuentaAdmins.deldominioyluegoasgneleelpermisoControltotal.
HagaclicenAplicaryluegoenAceptaryCerrar.
EnlaventanadepropiedadesdelacarpetaInformtica,hagaclicenlapestaaSeguridad.
HagaclicenelbotnOpcionesavanzadasyluegoenDeshabilitarherencia.
- 10 -
HagaclicenQuitartodoslospermisosheredadosdeesteobjeto.
HagaclicenAgregaryluegoenelvnculoSeleccionarunaentidaddeseguridad.
- 11 -
Enlaventanadeseleccin,introduzcaAdmins.deldominioyluegohagaclicenComprobarnombres.
HagaclicenAceptaryluegoproporcionealusuarioelpermisoControltotal.
HagaclicenAceptaryluegoenAplicar.
EnlapestaaAuditora,hagaclicenAgregar.
HagaclicenelvnculoSeleccionarunaentidaddeseguridadyluegointroduzcaAlumno1enlaventana
quesemuestra.
HagaclicenComprobarnombresyluegoenAceptar.
EnlalistadesplegableTipo,seleccioneErroryluegoactiveelpermisoControltotal.
- 12 -
HagaclictresvecesenAceptar.
EnAD1,inicielaconsolaAdministracindedirectivasdegrupoyluegohagaclicconelbotnderecho
enObjetosdedirectivadegrupo.
Enelmencontextual,seleccionelaopcinNuevo.
IntroduzcaAuditoracarpetaInformticaenelcampoNombreyluegohagaclicenAceptar.
HagaclicconelbotnderechoenladirectivayseleccionelaopcinEditar.
SeabrelaconsolaEditordeadministracindedirectivasdegrupo.
Despliegue los nodos Configuracin del equipo Directivas Configuracin de Windows
ConfiguracindeseguridadDirectivaslocalesyDirectivadeauditora.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuracin de directiva y
seleccionelacasillaError.
- 13 -
HagaclicenAplicaryluegoenAceptar.
CierrelaconsolaAdministracindedirectivasdegrupo.
VinculeladirectivaAuditoracarpetaInformticaalaunidadorganizativaDomainControllers.
AbraunsmbolodelsistemaDOSyejecuteelcomandogpupdate/forceenAD1.
AbraunasesincomoAlumno1(contraseaPa$$w0rd)enCL801.
IntenteaccederalacarpetacompartidaInformticaenelequipoSV1.
Unmensajedeavisoindicaunaccesodenegado.
En AD1, inicie la consola Administracin de equipos y despliegue los nodos Visor eventos y luego
RegistrosdeWindows.
VisualiceelregistrodeeventosSeguridad.
AbraeleventoquehacereferenciaalintentodeaccesodeAlumno1(ID4656).
- 14 -
ParacadaintentodeAlumno1,secreauneventoenesteregistro.
4.Auditorademodificacioneseneldirectorio
Objetivo:implementarunaauditorapararecopilareventossobrelosintentosfallidos.
Mquinasvirtualesutilizadas:AD1yCL801
EnAD1,inicielaconsolaUsuariosyequiposdeActiveDirectory.
DespliegueeldominioFormacion.localyhagaclicenelcontenedorUsers.
HagaclicconelbotnderechoenelgrupoAdmins.deldominio,yluegohagaclicenPropiedades.
AbralapestaaSeguridadyluegohagaclicenelbotnOpcionesavanzadas.
SinovelapestaaSeguridad,cierreelcuadrodedilogo.Hagaclicenelmen VerdelaconsolaMMCyverifique
quelaopcinOpcionesavanzadasestseleccionada.
- 15 -
Abra la pestaa Auditora y luego seleccione la primera entrada de auditora para la que la columna
AccesoseaEspecial,luegohagaclicenEditar.
Esto va a permitir auditar los intentos de modificacin denegados en las propiedades del grupo, tales como la
modificacindelpropietario
- 16 -
HagaclicenControltotalyluegotresvecesenAceptarparavalidartodaslasventanas.
InicielaconsolaAdministracindedirectivasdegrupo.
Despliegue los nodos Bosque: Formacion.local, Dominios y Formacion.local y luego haga clic en la
unidadorganizativaDomainControllers.
HagaclicconelbotnderechoenDefautDomainControllersPolicyyseleccioneEditar.
EnlaconsolaEditordeadministracindedirectivasdegrupo,desplieguelosnodosConfiguracindel
equipo Directivas Configuracin de Windows Configuracin de seguridad Configuracin de
directivadeauditoraavanzada.
- 17 -
EnDirectivasdeauditora,hagaclicenAccesoDS.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los
siguientes eventosdeauditorayCorrecto.
HagaclicenAplicaryluegoenAceptar.
EnAD1,inicieunsmbolodelsistemaDOSyluegointroduzcaelcomandogpupdate/force.
Laactualizacindelparmetrodeauditoratomaalgunossegundos.
AgreguelacuentanbonnetenelgrupoAdmins.deldominio.
InicielaconsolaAdministracindeequiposdelcontroladordedominio.
Despliegue los nodos Visor de eventos, Registro de Windows y luego haga clic en el registro
Seguridad.
- 18 -
5.CreacindereglasconAppLocker
Objetivo:crearlasreglasdeAppLockerquepermitanbloquearlaejecucindeunprograma.
Mquinasvirtualesutilizadas:AD1yCL802
En AD1, inicie la consola Administracin de directivas de grupo, despliegue los nodos
Bosque:Formacion.local,DominiosyluegoFormacion.local.
HagaclicconelbotnderechoenObjetosdedirectivadegrupoyluegohagaclicenNuevoenelmen
contextual.
EnelcampoNombre,introduzcaAppLockeryluegohagaclicenAceptar.
EnlaconsolaGPMC,hagaclicconelbotnderechoenAppLockeryluego,enelmencontextual,haga
clicenEditar.
SeinicialaconsolaEditordeadministracindedirectivasdegrupo.
- 19 -
HagaclicconelbotnderechoenReglasejecutablesyluegoseleccioneCrearreglaspredeterminadas.
Aparecentresreglas:
AutorizaralgrupoTodosejecutarlosarchivosejecutablesenlacarpetaProgramFiles.
AutorizaralgrupoTodosejecutarlosarchivosejecutablesenlacarpetaWindows.
AutorizaralosmiembrosdelgrupoAdministradoresaejecutarlosarchivosejecutablesencualquiercarpeta.
Haga de nuevo clic con el botn derecho en Reglasejecutables y seleccione esta vez la opcinCrear
nuevaregla.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
MarqueelbotnDenegaryluegohagaclicenSiguiente.
- 20 -
EnlaventanaCondiciones,dejemarcadalaopcinEditoryluegohagaclicenSiguiente.
Ahoradebemosseleccionarlaaplicacincuyaejecucinserdenegada.
Haga clic en el botn Examinar y luego seleccione el archivo wab.exe ubicado en C:\Program
Files\WindowsMail.
- 21 -
Esposiblemoverelcursorhaciaarribaohaciaabajoparapersonalizarloquesedeseabloquear.Situndolo encima
de Nombre de producto, se bloquean todas las versiones de WAB. Haciendo clic enUsar valores personalizados,
podemosmodificartodosloscamposyseleccionarelvalordeseadodelalistadesplegable.
HagaclicenSiguienteparavalidarsueleccin.
Enlaventanadecreacindeexcepciones,hagaclicenSiguiente.
Creandounaexcepcinpodemosautorizarunadelasversionesbloqueadas,versin6.3.0.0(uotra).
EnelcampoNombre,introduzcaReglaBloquearWabyluegohagaclicenelbotnCrear.
- 22 -
Sehacreadolareglacorrectamente.
Haga de nuevo clic con el botn derecho en Reglasejecutables y seleccione esta vez la opcinCrear
nuevaregla.
EnlaventanaAntesdecomenzar,hagaclicenSiguiente.
MarquelaopcinDenegaryluegohagaclicenSiguiente.
EnlaventanaCondiciones,seleccioneRutadeaccesoyluegohagaclicenSiguiente.
Podemosbloquearunejecutableenparticularotodoslosejecutablespresentesenunacarpeta.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada en
- 23 -
Program Files(x86)\InternetExplorer.Acontinuacin,hagaclicenSiguiente.
Nodebecrearseningunaexcepcin,hagaclicenSiguiente.
EnelcampoNombreintroduzcaReglaBloquearIEyluegohagaclicenelbotnCrear.
Lasdosreglasestnahoracreadas.
HagaclicconelbotnderechoenAppLockeryluegohagaclicenPropiedades.
EnReglasdeejecutables,marquelacasillaConfiguradoyluegoenlalistadesplegableseleccioneSolo
auditora.
- 24 -
HagaclicenAplicaryluegoenAceptar.
En la consola Administracin de directivas de grupo,vinculeladirectivadegrupo AppLockeralaOU
Cliente.
VerifiquelapresenciadelacuentadeequipoCL802enlaOUCliente.
AbraunasesincomoadministradorenelequipoCL802.
EnlaconsolaServicios,hagadobleclicenIdentidaddeaplicacin.
EnlalistadesplegableTipodeinicio,seleccioneAutomticoyluegoinicieelservicio.
- 25 -
HagaclicenAplicaryluegoenAceptar.
InicieunsmbolodesistemaDOSyluegointroduzcaelcomandogpupdate/force.
Reinicieelequipoparapodergarantizarlaaplicacindeladirectivadegrupo.
AppLockerpuedetardarvariosminutosdespusdelinicioparafuncionar.
EjecuteInternetExplorerubicadoenlazonadeiniciorpido.
SecreauneventoenelregistroAppLocker(registroubicadoenRegistrodeaplicacionesMicrosoft Windows).
- 26 -
HagaclicconelbotnderechoenelmenInicioyseleccioneEjecutar.
Introduzcawaby,acontinuacin,hagaclicenAceptar.
SemuestralaventanaContactos.Semuestraunnuevoeventoenlaconsola.
- 27 -
SilaconsolaAdministracindeequiposyaestiniciada,considereactualizarlaconsolaparaverelnuevoelemento.
EnAD1,editeladirectivadegrupoAppLocker.
Despliegue los nodos Configuracin del equipo Directivas Configuracin de Windows
ConfiguracindeseguridadDirectivasdecontroldeaplicacionesAppLocker.
HagaclicconelbotnderechoenAppLockeryluego,enelmencontextual,seleccionePropiedades.
EnlalistadesplegabledelasReglasdeejecutables,reemplaceSoloauditoraporAplicarreglas.
- 28 -
ValidelamodificacinhaciendoclicenelbotnAceptar.
EnCL802,inicieunsmbolodelsistemaDOSyluegointroduzcaelcomandogpupdte/force.
EjecuteInternetExplorer,semuestraunmensajeinformandoqueelprogramaestbloqueado.
ElprogramaWABesttambinbloqueado.
6.ConfiguracindelFirewalldeWindows
Objetivo:desplegarlasreglasdelFirewall.Seempleanlosperfilesderedparaaplicaronounaregla.
Mquinasvirtualesutilizadas:AD1yCL802.
EnelequipoCL802,abraunasesincomoAdministradordedominio.
- 29 -
EnlainterfazdelmenInicio,escribaFirewallyseleccioneConfiguracin.
HagaclicenFirewalldeWindowsparainiciarlaconsola.
En el men, haga clic en Configuracin avanzada para iniciar la consola Firewall de Windows y, a
continuacin,hagaclicenConfiguracinavanzada.
HagaclicenReglasdesalidayluegoenNuevareglaenelpanelAcciones.
- 30 -
EnlaventanaTipoderegla,seleccionelaopcinPersonalizadayluegohagaclicenSiguiente.
La regla se debe aplicar a todos los programas, deje la opcin por defecto en la ventana Programay
hagaclicenSiguiente.
- 31 -
ElobjetivoesbloquearlasrespuestasdelequipoalaejecucindeunPing.
EnlalistadesplegableTipodeprotocolo,seleccioneelprotocoloICMPv4yluegohagaclicenSiguiente.
- 32 -
Enlaventanambito,hagaclicenSiguiente.
Seleccionelaaccindeseada,Bloquearlaconexin,yvalidesuopcinhaciendoclicenSiguiente.
- 33 -
Lareglaseaplicademomentoalostresperfiles,dejelaopcinpordefectoyhagaclicenSiguiente.
IntroduzcaBloquearPingenelcampoNombreyluegohagaclicenFinalizar.
- 34 -
EnCL802,inicieunsmbolodesistemaDOSeintroduzcaelcomandoping4ad1.
Laopcin4permiteefectuarelpingutilizandoelprotocoloIPv4.
Elfirewallbloquealastramasycausaunerrorgeneral.
EnlaconsolaFirewalldeWindowsconseguridadavanzada,hagadobleclicenlareglaBloquearPing
queacabamosdecrear.
SeleccionelapestaaOpcionesavanzadasyluegodesmarqueelperfilDominio.
- 35 -
Vuelvaaejecutarelcomandoping4ad1.
Elequipoesmiembrodeldominio,porloqueestconfiguradoenelperfilDominio.LareglaBloquearPingnoest
activaenelperfil,elfirewallpermitequelastramassalgan.
- 36 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 Quesunaplantilladeseguridadyenquformasepresenta?
2 CuleslautilidaddelnodoAsignacindederechosdeusuario?
3 DescribabrevementeelfuncionamientodelaUAC.
4 Describabrevementelasetapasdelaimplantacindeunsistemadeauditora.
5 Aquinsirvelaauditora?
6 Qupermitenauditarloseventosdeiniciodesesin?
7 Cundodebeutilizarlosgruposrestringidos?
8 QutipodearchivospuedegestionarAppLocker?
9 CmosellamaelservicioquesedebearrancarparautilizarAppLocker?
10 CulessonlosdosmodosdefuncionamientodeAppLocker?
11 QuconsolapermitecrearreglasdeFirewall?
12 Durantelarecepcindeunatrama,elfirewallverificalasreglasentrantesysalientes.Quocurresino
existeunareglaparaestatrama?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode10puntosparaaprobarelcaptulo.
3.Respuestas
1 Quesunaplantilladeseguridadyenquformasepresenta?
Unaplantilladeseguridadsepresentaenformadearchivo.Permiteaunadministradordefinirlosparmetrosde
contrasea,bloqueoaligualqueotrosparmetrosdeseguridad.Estaplantillapuedeimportarse,acontinuacin,en
unadirectivadegrupo.
2 CuleslautilidaddelnodoAsignacindederechosdeusuario?
Esteparmetropermitedefiniryasignaraunoovariosusuariospermisossuplementarios.Estospermisos pueden
concederlaposibilidaddeabrirunasesinenuncontroladordedominiooelcambiodelazonahoraria
3 DescribabrevementeelfuncionamientodelaUAC.
LaUACoUserAccountControlpermitesimplementegarantizarlaseguridaddelequipoasegurandoquelos
procesosdeusuario(Word,InternetExplorer)seejecutanconpermisosdeusuario.Siesteltimoesun
administrador,eltokendeaccesosedivideendos(untokendeusuarioparaelusocotidiano yuntokende
administradorparacontarconpermisosdeadministracin).Cuandounprocesorequierepermisosde
administrador,solicitaunaelevacindeprivilegios.Despusdelaaceptacindelusuario,elprocesoquerealizala
solicitudobtendrpermisoparautilizareltokendeadministrador.Sinembargo,sielusuarioesunacuenta
estndarsinpermisosdeadministracin,serequierequeseindiquelainformacindeiniciodesesindeun
administradorparaefectuarlaelevacin.
4 Describabrevementelasetapasdelaimplantacindeunsistemadeauditora.
Paraimplantarunsistemadeauditora,debemoscrearunadirectivadeauditorayluegovincularlaunidad
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
organizativaolarazdeldominio.Deacuerdoconlosobjetos,debemosconfigurarlaSACL.
5 Aquinsirvelaauditora?
Laauditorapermitetenerunregistrodeloseventosqueocurrenenunobjeto(grupoAD,carpeta...).Las
auditoraspuedenreferirseamodificaciones,accesos,etc.Estaoperacinseconfigurapararecuperartodoslos
eventoscorrectosofallidos.
6 Qupermitenauditarloseventosdeiniciodesesin?
Loseventosdeiniciodesesinpermitenalsistemaoperativoauditarlosintentosdeconexinydesconexindel
equipo.
7 Cundodebeutilizarlosgruposrestringidos?
Elgruporestringidopuedeutilizarsecuandoesprecisoagregarunusuarioaungrupodedominiooungrupolocal.
Enelltimocaso,estoevitaqueeladministradortengaqueconfigurarelconjuntodeequipos.
8 QutipodearchivospuedegestionarAppLocker?
AppLockerescapazdebloquearscriptsaligualquearchivosejecutablesyMSI.
9 CmosellamaelservicioquesedebearrancarparautilizarAppLocker?
ElservicioIdentidaddeaplicacindebeestariniciadoencadaequipo.Estopermiteaplicarlasreglasconfiguradas.
10 CulessonlosdosmodosdefuncionamientodeAppLocker?
SepuedeconfigurarAppLockerenmodoauditora,encasoquedebamosprobarlasreglas.Durantelaejecucinde
laaplicacingestionadaporAppLocker,unmensajedeavisoinformaaladministradordelresultado(bloqueado).El
modoAplicadopermiteimplementarreglasyelposiblebloqueodelosdiferentesprogramas.
11 QuconsolapermitecrearreglasdeFirewall?
LaconsolaFirewalldeWindowsconseguridadavanzadapermitelacreacindelasreglasentrantes,salientesolas
reglasdeconexin.
12 Durantelarecepcindeunatrama,elfirewallverificalasreglasentrantesysalientes.Quocurresino
existeunareglaparaestatrama?
Enelcasodequenoexistaningunareglaparavalidarlatramarecibidaporelfirewall,seaplicalaregla
predeterminada.Estaltimaautorizaeltrficosalienteyprohbetodoeltrficoentrante,salvoqueexista unaregla
creadaespecficamente.
- 2-
Requisitospreviosyobjetivos
1.Requisitosprevios
Tenerconocimientosdemicroinformtica.
PoseernocionessobrelasherramientasdemantenimientopresentesenWindows.
2.Objetivos
UtilizacindelAdministradordetareasyelMonitorderecursos.
VerificacindelrendimientoempleandoelMonitorderendimiento.
Utilizacindelregistrodeeventos.
Creacindeunavistapersonalizada.
Implementacindeunasuscripcin.
- 1-
ElAdministradordetareas
A partir de Windows Server 2012 existe una nueva consola Administrador de tareas. sta ofrece varias
funcionalidades (operar en un servicio, cerrar una aplicacin...). Se ha optimizado para responder mejor a las
necesidadesdelosadministradores.Sepuedenrealizarvariasoperaciones:
Detener un proceso de forma rpida y eficaz: se ha modificado toda la interfaz de la consola. Los diferentes
procesosdeusuario(procesosactivos)semuestranahoradeunaformamsclara.Adicionalmente,sehasimplificado
la operacin que permite detener una aplicacin. Haciendo clic en el botn Finalizar tarea es posible detener un
proceso.
PuedeactivarseunavistamsdetalladaempleandoelbotnMsdetalles.
Diagnosticar un problema de rendimiento: la vista Ms detalles permite acceder a las novedades del
Administrador de tareas. El usuario avanzado o el administrador tienen una mayor facilidad para diagnosticar un
problema de rendimiento. Se ha facilitado el acceso a los porcentajes de uso de los diferentes recursos del equipo
(memoria,procesador).Adicionalmente,sepresentauntotaldelusodelosdiferentesrecursos.Esinteresantemiraren
detallecadaproceso.
- 1-
Laspequeasflechaspresentesalladodecadaprocesopermitenvisualizarlasaplicacionesquedeldependen.Si
abrimosExploradordeWindowssemuestralacarpetaCE14queestactualmenteabierta.
- 2-
Haciendo clic con el botn derecho enCE14 se accede a un men contextual. ste presenta varias opciones tales
comominimizaromaximizarlaconsola,traeralfrenteosimplementefinalizarlatarea.
HaciendoclicestavezenExploradordeWindows,hayotrasopcionesdisponibles.
- 3-
LaopcinBuscarenlneapuedesermuytil.Permiteobtenerinformacinacercadelprocesoencuestin.Laopcin
ValoresdelrecursopermitecambiarlasunidadesdelacolumnaMemoriaparamostrarlosporcentajesenlugarde
valoresyviceversa.
Elejecutablepuedeencontrarseencualquiercarpetadesusistemadearchivos.Parapoderaccederalacarpetaque
contieneelejecutabledeunprocesosintenerquerealizarunabsqueda,seleccionelaopcinAbrirubicacindel
archivo.Acontinuacin,semuestralacarpetaquecontieneelarchivo.
En ciertos casos es necesario tener ms informacin sobre un proceso. Para ello haga clic en Ir a detalles. Se
muestralapestaaDetallesyelprocesoencuestinapareceseleccionado.
- 4-
Esta vista proporciona acceso al nombre del archivo ejecutable, as como al ID del proceso (PID). Se muestran
tambinelestado,nombredelacuentaquehainiciadoelprocesoyelusodeprocesadorymemoria.
LapestaaRendimientopermitevisualizardeformagrficatreselementosesenciales:
LaCPU:acompaadosporlacurvadeporcentajedeutilizacin,diferentescamposdaninformacincomoelporcentaje
deutilizacin,elnmerodeprocesos.
- 5-
- 6-
La memoria: al igual que para el procesador, se muestran y actualizan automticamente los datos vinculados a la
memoria.Resulta,deestemodo,muysencilloverlacantidaddememoriautilizadaylaqueestlibre.
- 7-
Haciendoclicconelbotnderechoenlaconsolaaccedemosaunmencontextualcontresopciones:
- 8-
Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres grficos. Desmarque la
opcinparavolveralformatoinicial.
Mostrar grficos reemplaza los botones de colores por los grficos en curso. Seleccione Ocultar grficos en el
mencontextualparaocultarlosgrficos.
Copiarcopialosdatospresentesenlosgrficosenelportapapeles.
La pestaa Usuarios facilita la gestin de los usuarios conectados. Siempre es posible desconectar la sesin de
usuario, pero ahora es incluso ms sencillo. En efecto, desplegando la lnea fila del usuario correspondiente es
posible ver, fcilmente, qu procesos le pertenecen. Adicionalmente, es posible conocer el uso de procesador y
memoriadecadauno.
- 9-
Porltimo,laltimapestaaServiciosproporcionaaccesoalagestindeservicios.Esposibleconocersuestadoas
comodistintosparmetros(PID...).PodemosaccederalaconsolaServices.mschaciendo clicconelbotnderechoy
seleccionandoAbrirserviciosenelmencontextual.
- 10 -
ElMonitorderecursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta herramienta
permiteefectuarlasupervisindelprocesadorylosprocesos,lamemoriaRAMascomolaactividaddelosdiscosyla
red.
Laconsolasecomponedevariaspestaas.LapestaaInformacingeneralpermitetenerunavistadeconjuntode
loscomponentes.Estopermiteevitarcuellosdebotella.AdemsdeloscomponentesMemoria,Red,CPUyDisco,se
muestrangrficosactualizadosentiemporeal.
La pestaa CPU presenta diferentes datos de cada procesador. Seleccionando un proceso, se muestran los
diferentes servicios y los descriptores asociados. Podemos, del mismo modo, ver un grfico que representa la
actividaddecadaprocesadorocadancleodeunprocesador.
- 1-
Es posible visualizar el reparto del uso de memoria del servidor empleando la pestaa Memoria.Semuestrantres
grficosconlamemoriafsicautilizada,lacargadeasignacinyloserroresdepgina.
La pestaa Disco presenta los procesos que realizan una operacin en el disco, una vez ms es posible filtrar un
- 2-
procesoparaaislarlo.Losgrficosmuestranunacurvaquerepresentalaactividadeneldisco.
Porltimo,lapestaaRedpresentalosdiferentesprocesosconactividaddered,laherramientatambin resultatil
para ver las conexiones TCP y los puertos en que escuchan. La herramienta permite analizar los diferentes
componentesyproporcionarunaexplicacinparaunadegradacinderendimientoenunequipo.
- 3-
Losdiferentesgrficospermitenobtenerinformacinacercadelosdiferentescomponentesdelservidor.
- 4-
ElMonitorderendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La operacin puede llevarse a
cabomedianteungrficoeinformes.Elanlisissepuedehacerentiemporeal,loqueobligaaladministradoraestar
presente.Adicionalmentelalecturadedatosnoesptima.Lasegundaformaconsisteenejecutarunrecopiladorde
datos,quepermiteregistrarlosdatosrecuperadosporlosdiferentes contadores.
Esposibleagregarvarioscontadoresparaobtenerunanlisismuygranularyunresultadoptimo.
Procesador
ElobjetoderendimientoProcesadorpermiteobtenerinformacinsobrelaactividaddelprocesador.Estaesunade
laspiezascentralesdeunservidor.Siexistenvariosprocesadores,esposibleanalizartodosounoenparticular.
- 1-
Discoduro
Los discos duros almacenan los archivos de los usuarios as como los archivos necesarios para los programas. En
casodefallo,lostiemposdelecturayescriturapuedenverseafectados.
Puedesernecesarioauditarlosrendimientosdelosdiscosparapoderdetectaruncuellodebotella.
Aligualqueparaelprocesador,existenvarioscontadoresdisponibles.Cadaunoproporcionaundatoespecfico.
- 2-
MemoriaRAM
Los contadores de rendimiento de Memoria permiten obtener informacin sobre la memoria fsica y virtual del
ordenador. La memoria fsica se refiere a la memoria RAM del equipo, mientras que la memoria virtual concierne al
espaciodememoriafsicayendisco.
- 3-
Red
Lapartederedincluyeungrannmerodecontadores.PodemosencontraraquellosparalosprotocolosTCP,UDPo
ICMP.LosprotocolosIPv4eIPv6poseen,tambin,suscontadores.
- 4-
Es posible realizar el anlisis de forma manual o automtica. El mtodo manual es en tiempo real. Esto implica la
presenciafsicafrentealordenadorparapoderanalizarlosdatosantesdesuborrado.
Paraevitarestarfrentealapantalladurantehoras,esposibleiniciarunregistro.Sealmacenaunarchivo contodos
losvaloresenlacarpetaPerfLogsubicadaenlaparticindelsistema.
Sinembargo,eltamaodelarchivocrecerrpidamente,loquepuedeimpactarelservidorylosrolesinstaladosen
l.
- 5-
Losregistrosdeeventos
El Visor de eventos contiene varios registros tiles para diagnosticar un fallo o incoherencia en el sistema. Est
compuestoporvariosregistros,comoAplicacin,SistemaySeguridad.ElregistroAplicacinofrecelaposibilidada
los desarrolladores de escribir los eventos devueltos por sus aplicaciones. El registro Sistema permite obtener los
datos enviados por el sistema (problema DHCP). El registro Seguridad permite visualizar el resultado de las
auditorasconfiguradas.
Los diferentes registros, que poseen una extensin evtx, se encuentran en la carpeta C:\Windows\System32
\winevt\Logs.
PodemosconsultarlosdiferentesregistrosenlaconsolaAdministracindeequipos.
- 1-
Podemosencontrarenunregistrovariosnivelesdeadvertencia:
Informacin
Advertencia
Error
Crtico
Adicionalmente,uneventocontienevariosdatosimportantestalescomoEvento(nmerodeIDdelevento),origeny
elmensaje.
- 2-
Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre, ruta del registro...) as como
configurar su tamao actual y mximo. El registro puede vaciarse empleando el botn Vaciar registro. Se puede
accederaestaventanahaciendoclicconelbotnderechoenelregistrodeseadoyluegoseleccionandoPropiedades
enelmencontextual.
Alalcanzareltamaomximodelregistropodemostomartresacciones:
Sobrescribireventossiesnecesario:sesuprimenloseventosmsantiguos.
Archivarelregistrocuandoestllenonosobrescribireventos:seefectaunarchivadoautomtico.
Nosobrescribireventos:debehacerseunalimpiezamanual.
1.Creacindeunavistapersonalizada
El registro puede rpidamente contener un importante nmero de eventos, lo que complica la bsqueda de un
evento concreto. A partir de Windows Server 2008, es posible crear una vista para configurar un filtro en uno o
variosregistros.
La creacin y uso de un filtro se efectan empleando el nodo Vistas personalizadas. Se encuentra una carpeta
llamadaRolesdeservidorquecontienelosfiltroscreadosdurantelainstalacindeunrol.
- 3-
PodemoscrearunnuevofiltrohaciendoclicconelbotnderechoenVistaspersonalizadasyseleccionandoCrear
vistapersonalizada.Elfiltrosecomponedevarioscriterios:
LalistadesplegableRegistradopermitedaralossistemasunaconstantedetiempoparatenerencuentaenelfiltro.
ElNiveldeleventopermiteseleccionarelniveldeloseventosdeseados.
LalistadesplegableRegistrosdeeventospermiteseleccionarlosregistrosalosqueseaplicaelfiltro.
SepuedeigualmentefiltrarpororigenmarcandolaopcinPororigenyseleccionandoenlalistadesplegable unoo
msorgenes.Tambinesposiblefiltrarenfuncindeun nombredeequipo,deusuario,de palabras claveode
nmerodeID.
- 4-
Elfiltrodevuelvesolamenteloseventosquecorrespondenalascategorasseleccionadas.
2.Suscripcin
Para facilitar la supervisin de los servidores de una red informtica, podemos desplegar una suscripcin. sta
permiterecuperarloseventosdelosservidoresdedestino.Loseventosrecuperadosdebenresponderacriterios
definidos por el administrador empleando una vista personalizada. Para esta funcionalidad se emplean dos
servicios:
WinRM(WindowsRemoteManagement)
Wecsvc(WindowsEventCollectorService)
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo recolectado para
Wecsvc.
- 5-
Talleres
Losdiferentestallerespresentadospermitenelusodelasherramientasencargadasdelanlisisymantenimientodel
servidor.
1.UtilizacindelMonitorderendimiento
Objetivo:utilizarelMonitorderendimientoylosrecopiladoresdedatos.
Mquinavirtualutilizada:AD1.
InicielaconsolaAdministradordelservidorenAD1.
HagaclicenHerramientasyluego,enelmencontextual,seleccioneAdministracindeequipos.
DesplieguelosnodosRendimientoyluegoHerramientasdesupervisin.
HagaclicenMonitorderendimientoy,acontinuacin,enlacruzverdeparaaadirloscontadores.
DespliegueProcesoyluegohagaclicen<Todaslasinstancias>.
HagaclicenAgregaryluegoenAceptar.
- 1-
Aparecenlascurvasquepresentanlosdiferentesparmetrosrecuperados.
- 2-
En la barra de herramientas, haga clic en el botn Cambiar tipo de grfico (tercer botn) y luego
seleccioneenelmencontextualBarradehistograma.
Elgrficoseverenformadehistograma.
Eltipodegrficopuede,asuvez,presentarseenformadeinforme.
EnlaconsolaAdministracindeequipos,despliegueelnodoConjuntosderecopiladoresdedatos.
- 3-
Losrecopiladoressecreanenfuncindelosrolespresentesenelequipoanalizado.Esteejemploesthechosobre
un controlador de dominio, el contador para el diagnstico de Active Directory se encuentra en el sistema. El
contenedordefinidoporelusuariopermitecreardenuevosrecopiladoresdedatos.
Haga clic con el botn derecho en Definido por el usuario y luego en el men contextual seleccione
NuevoyConjuntoderecopiladoresdedatos.
Introduzca Recopilador Procesos en el campo Nombre, marque el botn Crear manualmente
(avanzado).Acontinuacin,hagaclicenSiguiente.
Enlaventanaparaseleccionareltipodedatos,marqueContadorderendimientoyluegohagaclicen
Siguiente.
- 4-
Enlaventanadeseleccindecontadores,hagaclicenAgregar.
DespliegueProcesoyluegohagaclicen<Todaslasinstancias>.
HagaclicenelbotnAgregaryluegoenAceptar.
ConfigureelIntervalodemuestraen2segundos.
- 5-
HagaclicdosvecesenSiguienteyluegoenFinalizar.
Elrecopiladoraparece,ahora,enlaconsola.
HagaclicconelbotnderechoenRecopiladorProcesosyluegoseleccioneIniciar.
Dejeelrecopiladorenelestadoiniciadoduranteunossegundospararecogerunmnimodeinformacin.
HagaclicconelbotnderechoenRecopiladorProcesosyluegoseleccioneDetener.
Aliniciarelrecopilador,secreauninformeparapresentarlosdatosrecolectados.
DesplieguelosnodosInformesyluegoDefinidoporelusuario.
Apareceuncontenedorconelmismonombrequeelrecopiladordedatos.
DespliegueRecopiladorProcesosyluegohagaclicenelinforme.
- 6-
AligualqueparaelMonitorderendimiento,esposiblesubrayarlacurvadelcontadorseleccionadoocambiareltipo
degrfico.
2.Creacindeunavistapersonalizada
Objetivo:crearunavistapersonalizadapararecuperarsolamenteloseventosdeseados.
Mquinavirtualutilizada:AD1.
En la consola Administracin de equipos, despliegue Visor de eventos y luego el nodo Vistas
personalizadas.
HagaclicconelbotnderechoenVistaspersonalizadasyseleccioneCrearvistapersonalizada.
DejeelvalorEncualquiermomentoenlalistadesplegableRegistrado.
MarqueError,AdvertenciayCrticoparalimitarlosregistrosfiltradosaestosniveles.
EnlalistadesplegableRegistrosdeeventos,seleccionelosregistrosSistemayAplicacin.
- 7-
HagaclicenAceptaryluegoenelcampoNombre,introduzcaBsquedaregistroApp.Sys.
ConfirmehaciendoclicenAceptar.
Elfiltroseaplicaalconjuntoderegistrosseleccionados.
- 8-
Ahoraesmsfcilencontrarinformacinenunregistro.
3.Asociarunatareaaunevento
Objetivo:ejecutarunscriptcuandouneventoapareceenelregistro.
Mquinavirtualutilizada:AD1.
EnAD1,abralainterfazMenInicio,hagaclicenHerramientasadministrativasyluegoabralaconsolaDHCP.
Despliegueelnodoad1.formacion.localyluegohagaclicconelbotnderechoenl.
EnelmencontextualseleccioneTodaslastareasyluegoDetener.
CreeyejecuteelarchivoScriptEvento.cmd.
SepuededescargarelscriptenlapginaInformacin
EnelregistroSistema,seleccioneelavisoquesehacreado.
- 9-
HagaclicconelbotnderechoenelavisoyluegoseleccioneAdjuntartareaaesteevento.Estaopcin
seencuentratambindisponibleenelpanelAcciones.
HagaclicenSiguienteenlaventanadelAsistenteparacreartareasbsicasydejelosparmetrospor
defecto.
Los camposRegistro, Origene Id del evento aparecen en gris. Haga clic enSiguiente para validar la
ventanaAlregistrarunevento.
Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje que no ver,
necesariamente,eladministrador.
MarqueelbotnIniciarunprogramayluegohagaclicenSiguiente.
- 10 -
CreeelscriptResetServicios.cmd.
EsposibledescargarelarchivoenlapginaInformacin.
HagaclicenExaminaryluegoseleccioneelscript,finalmentevalideempleandoelbotnSiguiente.
- 11 -
HagaclicenFinalizaryluegoenAceptarenelmensajedeinformacin.
SecreaunanuevaentradaenelProgramadordetareas.
VuelvaaejecutarelarchivoScriptEvento.cmd.
SecreaunanuevaentradaenelregistroSistemayseejecutaelscriptResetServicios.
ElservicioDHCParrancacorrectamente.
- 12 -
Deestaformaalgunasaccionespuedenserfcilmenteautomatizadas.
4.Implantacinyusodeunasuscripcin
Objetivo:recuperarelregistrodeeventosdeAD1desdeSV1.
Mquinasvirtualesutilizadas:AD1ySV1.
InicieunsmbolodelsistemaDOSenelequipoAD1.
Introduzcaelcomandowinrmquickconfigyluegopulselatecla[Intro].
Paraefectuarlasmodificaciones,introduzcalaletrayyluegopulselatecla[Intro].
InicielaconsolaUsuariosyequiposdeActiveDirectory.
DespliegueelnodoFormacion.localyluegohagaclicenBuiltin.
HagadobleclicenelgrupoLectoresdelregistrodeeventos.
- 13 -
HagaclicenlapestaaMiembrosyluegoenelbotnAgregar.
Debemosincluirlascuentasdeequipoeneltipodeobjetodebsqueda.
HagaclicenTiposdeobjetoyluegomarqueEquipos.
HagaclicenAceptaryluegointroduzcaSV1enelcampo.
HagaclicenComprobarnombresyluegohagaclicdosvecesenAceptar.
- 14 -
EstaoperacinautorizaalequipoSV1aleerlosregistrosdeeventos.
EnelequipoSV1,inicieunsmbolodelsistemaeintroduzcawecutilqc.
Pulselaletrasyluegopulselatecla[Intro].
En SV1, abra la consola Administracin de equipos y, a continuacin, despliegue el nodo Visor de
eventos.
HagaclicconelbotnderechoenlacarpetaSuscripcionesyluegohagaclicenCrearsuscripcin.
EnelcampoNombredesuscripcin,introduzcaRecopiladorAD1.
- 15 -
El registro de destino predeterminado es Eventos reenviados, es posible modificarlo usando la lista desplegable
Registrodedestino.Latransferenciapuedeseriniciadaporelequipodestinatario(opcin iniciadaporelrecopilador)
oporelequipoorigen.
HagaclicenSeleccionarequiposyluegoAgregarequiposdedominio.
IntroduzcaAD1enelcampoyluegohagaclicenComprobarnombresyAceptar.
ValideempleandoelbotnAceptar.
Noesnecesariorecogertodosloseventos.Debemosaplicarunfiltro.
- 16 -
HagaclicenSeleccionareventos.
LoseventosquedebensertransferidossonlosdenivelInformacin,Advertencia,ErroryCrtico.Elfiltronoesmuy
restrictivo,porquelasmquinassehaninstaladorecientementeynocontienenunagrancantidaddeeventosdetipo
advertenciaoerror.
MarquelossiguientesnivelesenlaventanaFiltrodeconsulta.
SeleccionelosregistrosSistemayAplicacin.
HagaclicdosvecesenAceptar.Seadjuntaunanuevalneaalaconsola.
- 17 -
HagaclicconelbotnderechoenRecopiladorAD1,luegoseleccioneEstadoentiempodeejecucin.
Verifiquequeelsistemanoenvaningnerror.Sinosedevuelveningnerror,espere,porquela
transferenciaestenprogreso.
Trasuntiempomsomenoslargo,loseventosaparecenenelregistroEventosreenviados.
- 18 -
Sinosetransfiereningneventoylasuscripcinnopresenta ningnerror,verifiqueelfiltroyreinicieelorigenyel
recopilador.Antesdereiniciar,esperealgunossegundosparaverificarquelasuscripcinnopresentaningnerror.
- 19 -
Validacindeconocimientos:preguntas/respuestas
1.Preguntas
Puedevalidarlosconocimientosadquiridosrespondiendoalassiguientespreguntas.
1 CuleslautilidaddelAdministradordetareas?
2 CuleslautilidaddelaconsolaMonitorderecursos?
3 QutipodegrficosesposibleutilizarenelMonitorderendimiento?
4 Culeslautilidaddelconjuntoderecopiladoresdedatos?
5 Dndesealmacenanlosarchivoscreadosporelconjuntoderecopiladoresdedatos?
6 CuleselformatodelosarchivosdelVisordeeventos?Dndesealmacenanlosregistros?
7 Culessonlosnivelesdeadvertenciaquepuedetenerunevento?
8 Qupermitecrearunavistapersonalizada?
9 Culessonlosdosserviciosutilizadosporunasuscripcin?
2.Resultados
Paracadarespuestaacertada,contabiliceunpunto,esnecesariounmnimode7puntosparaaprobarelcaptulo.
3.Respuestas
1 CuleslautilidaddelAdministradordetareas?
Eladministradordetareaspermitegestionarlosprocesosylosdistintosservicios.Laconsolapermiteasuvez
diagnosticarlosproblemasderendimiento.
2 CuleslautilidaddelaconsolaMonitorderecursos?
Losprincipalescomponentesdeunequipo(procesador,memoria,adaptadordered...)seencuentranenlaconsola
Monitorderecursos.stapermiteseguirsuutilizacinydetectarunposibleproblemaenalgunodesusrecursos.
3 QutipodegrficosesposibleutilizarenelMonitorderendimiento?
SepuedenutilizartrestiposdegrficosenelMonitorderendimiento:curvas,histogramadebarraseinformes.
4 Culeslautilidaddelconjuntoderecopiladoresdedatos?
AdiferenciadelMonitorderendimientoqueefectaunanlisisentiemporeal,unconjuntoderecopiladoresde
datospermiterealizarunanlisisdelosdatosrecuperadosencualquiermomento.
5 Dndesealmacenanlosarchivoscreadosporelconjuntoderecopiladoresdedatos?
LosgrficosconlosdatosrecuperadosseencuentranenlacarpetaPerfLogs.Estacarpetaestubicadaenla
particindelsistema.
6 CuleselformatodelosarchivosdelVisordeeventos?Dndesealmacenanlosregistros?
Losdiferentesregistros,queposeenunaextensinevtx,seencuentranenlacarpetac:\Windows\System32
\winevt\Logs.
7 Culessonlosnivelesdeadvertenciaquepuedetenerunevento?
Loscuatronivelesdeadvertenciasoninformacin,advertencia,errorycrtico.
8 Qupermitecrearunavistapersonalizada?
Editions ENI Tous droits rservs Copie personnelle de Andrs Florido
- 1-
Losregistrosdeeventospuedencontenervarioscientosdeeventos.Paranoperderseentretodosloseventos
debemosaplicarunfiltroalregistro.Estacaractersticaseofrecemediantelasvistaspersonalizadas.
9 Culessonlosdosserviciosutilizadosporunasuscripcin?
Lasuscripcinutilizadosservicios:winrm(WindowsRemoteManagemet)paralafuenteywecsvc(WindowsEvent
CollectorService)eneldestino.
- 2-