Professional Documents
Culture Documents
El plan de estudios MCSA está compuesto por tres exámenes. El examen 70-410, que trata
sobre laInstalación y configuración de Windows Server 2012. Se requiere aprobar, a
continuación, el segundo examen cuyo número es el 70-411. Éste trata sobre
la Administración de Windows Server 2012. Finalmente, para aprobar el plan de estudios,
es necesario aprobar el examen 70-412. Éste tiene por objeto la Administración avanzada
de Windows Server 2012.
A partir de ahora, existen tres planes de estudio MCSE (Microsoft Certified Solutions Expert).
Se deben aprobar dos exámenes para obtener esta certificación. Además del plan de estudios
MCSA, es necesario aprobar el examen 70-413. Finalmente, se debe aprobar el examen 70-
414, Implementación de una infraestructura de servidor avanzada para validar el plan de
estudios.
Este plan de estudios se compone de tres exámenes. Se deben aprobar los exámenes 70-415,
Implementación de una infraestructura de puestos de trabajo y el 70-416, Implementación de
entorno de aplicación ofimática.
Para obtener la certificación MCSE Private Cloud, se requiere aprobar los exámenes 70-246
Monitorización y uso de un cloud privado con System Center 2012 y 70-247 Configuración y
despliegue de un cloud privado con System Center 2012.
Es preferible seguir los capítulos en su orden. En efecto, estos confieren las competencias
necesarias para aprobar el examen de forma progresiva al lector. Al final de cada capítulo, una
serie de preguntas validarán el nivel que debe ser alcanzado. Si se supera, el lector podrá
pasar al siguiente capítulo.
El primer capítulo introduce el libro y permite una mejor comprensión de la forma en la que el
libro está construido.
Los tres capítulos siguientes tratan sobre Active Directory. Los primeros puntos permiten
obtener o revisar los conceptos básicos necesarios para Active Directory. Después de haber
visto las diferentes maneras de promover un servidor a controlador de dominio (promover con
IFM), se abordan las diferentes características (papelera de reciclaje, directiva de contraseñas
muy específica). Se abordan, a su vez, los objetos Active Directory (usuario, equipo...) que es
posible crear. Los talleres permiten implementar delegaciones, la gestión de cuentas de
usuario o el restablecimiento de un canal seguro. La parte Active Directory termina con el
capítulo de automatización de la administración. Los puntos tratados son la administración por
línea de comandos y mediante PowerShell.
La sección acerca de las redes se aborda posteriormente a estos capítulos. Se estudian los
protocolos IPv4 e IPv6. Se abordan la conversión binario/decimal, las direcciones
privadas/públicas y el direccionamiento IPv4. Esta sección se complementa con la implantación
de subredes y los diferentes comandos (ping, tracert e ipconfig). Finalmente, la sección sobre
IPv6 (información general del protocolo y las diferentes direcciones) completa y cierra el
capítulo.
Los dos capítulos siguientes tratan sobre la administración del espacio de almacenamiento y el
servidor de archivos. En el primer capítulo, se proporciona una definición de DAS (Direct
Attached Storage), NAS (Network Attached Storage) y SAN (Storage Area Network) para
seguidamente estudiar la gestión de discos y volúmenes (MBR, GPT, FAT, NTFS y ReFS) y el
despliegue de un espacio de almacenamiento. El capítulo siguiente permite comprender la
gestión de los diferentes controladores, las instantáneas y ABE (Access Based Enumération).
Los siguientes dos capítulos tratan sobre el despliegue de directivas de grupo y la securización
de servidores empleando GPO. Los diferentes componentes y el almacenamiento de una
directiva de grupo, las preferencias, así como las GPO de inicio dan comienzo al capítulo de
Implementación de directivas de grupo. Éste se completa con el tema de su tratamiento
(gestión de vínculos, orden de aplicación y filtros de seguridad) así como la función del
directorio central. El capítulo Securización del servidor empleando GPO presenta las
funcionalidades de seguridad mediante la configuración de los parámetros, el despliegue de
AppLocker y el firewall de Windows.
El capítulo decimocuarto y último del libro trata sobre las herramientas de análisis incluidas en
Windows Server 2012. Se estudian el registro de eventos, el monitor de rendimiento y el
administrador de tareas.
1. El examen de certificación
El examen de certificación está compuesto de varias preguntas. Para cada una, se ofrecen
varias respuestas. Es necesario marcar una o varias de estas respuestas. Se necesita obtener
una nota de 700 para aprobar el examen.
El día indicado, contará con varias horas para responder al examen. No dude en tomarse todo
el tiempo necesario para leer correctamente las preguntas y todas las respuestas. Es posible
marcar las preguntas para una relectura antes de terminar el examen. El resultado se emite al
finalizar el examen.
Para preparar el examen de una forma óptima es necesario, en primer lugar, leer los diferentes
capítulos y luego realizar los talleres.
Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte
ningún capítulo y repítalo tantas veces como sea necesario. Se ofrece un examen de prueba
con este libro que le permite evaluar sus conocimientos antes de presentarse al examen.
A continuación, se instalan varias máquinas virtuales que ejecutan Windows Server 2012 o
Windows 8.
http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
http://technet.microsoft.com/es-es/evalcenter/hh670538.aspx
2. Objetivos
Existen varios sistemas de virtualización, cada uno utiliza un disco virtual (un archivo en
formato vhd, vhdx…) así como una red virtual (interna al equipo o empleando la red física).
El principio de la virtualización del puesto de trabajo consiste en utilizar una o varias imágenes
virtuales sobre uno o más equipos en la red. Se puede comparar este género de virtualización
con un streaming de sistema operativo.
Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo,
esta tecnología llamada VDI (Virtual Desktop Initiative) permite la virtualización del sistema
operativo pero también de las aplicaciones. El puesto puede, entonces, ser de tipo cliente
ligero o de tipo PC.
2. Virtualización de aplicaciones
3. Hyper-V en Windows 8
Se puede instalar el rol Hyper-V en Windows 8 (solo en las ediciones Pro y Enterprise). Los
requisitos previos a nivel de procesador son idénticos a Windows Server 2012. El procesador
debe soportar SLAT (Second Level Address Translation). También es necesario un mínimo de 4
GB de RAM. Si se instala Hyper-V en Windows 8, no se contará con las características llamadas
”Enterprise” (live migration…) .
Implementación de Hyper-V
Hyper-V es un sistema de virtualización disponible en los sistemas operativos servidor a partir
de Windows Server 2008. Está disponible actualmente en versión 3. La ventaja de este
hipervisor es el acceso directo al hardware de la máquina host (y por ende un mejor tiempo de
respuesta). El rol Hyper-V puede instalarse con Windows Server 2012 en modo instalación
completa (con el interfaz gráfico instalado) o en una instalación mínima (sin interfaz gráfico).
Como muchos de los roles en Windows Server 2012, Hyper-V tiene sus requisitos previos. Esto
concierne al hardware del equipo.
El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). La capacidad del procesador debe responder a las necesidades de las
máquinas virtuales. Estas últimas pueden soportar como máximo 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la asignada a las máquinas
virtuales. Durante la asignación de la memoria a las máquinas virtuales, es necesario reservar
una parte para el funcionamiento de la máquina física. Si el equipo consta de 32 GB de RAM,
es aconsejable reservar de 1 a 2 GB para el funcionamiento del servidor físico (el tamaño de la
reserva varía en función de los roles instalados en la máquina física).
Todos los componentes descritos arriba pueden configurarse durante la creación de la máquina
virtual (adaptador de red, disco duro, unidad DVD) o accediendo a la configuración del equipo
virtual.
Al publicarse Windows Server 2008, el sistema de virtualización Hyper-V permitía solo asignar
una cantidad de memoria estática. De esta forma el número de máquinas virtuales estaba
limitado. Si un servidor quería asignar 4 GB de RAM, la cantidad reservada era la misma
incluso si no existía ninguna actividad en la máquina virtual.
La memoria dinámica permite asignar una cantidad mínima de memoria. Sin embargo, si la
máquina virtual tiene necesidad de más memoria, está autorizada a solicitar una cantidad
suplementaria (esta última no puede exceder la cantidad máxima asignada). Esta característica
se introdujo en los sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, un administrador puede ahora modificar los valores
mínimos y máximo de la memoria durante el arranque.
La memoria búffer es una característica que permite a la máquina virtual contar con una
cantidad adicional de memoria RAM en caso de necesidad.
Con la llegada de la nueva versión de Hyper-V, incluida en Windows Server 2012, se emplea
un nuevo formato (el vhdx).
Este nuevo formato ofrece muchas ventajas con respecto a su predecesor, el formato VHD
(Virtual Hard Disk). Con este formato, el tamaño de los archivos ya no está limitado a 2 TB,
cada disco duro virtual puede tener un tamaño máximo de 64 TB. El formato VHDX es menos
sensible a la corrupción de archivos por un cierre inesperado (por un corte de luz por ejemplo)
del servidor. Es posible convertir los archivos VHD existentes en VHDX (este punto se aborda
en profundidad en este capítulo).
Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de discos,
incluyendo discos de tamaño fijo, dinámico y de acceso directo ”pass-through”. Al crear un
disco virtual de tamaño fijo se reserva el tamaño total del archivo en el disco. De esta forma,
se puede limitar la fragmentación del disco duro de la máquina host y mejorar su rendimiento.
Sin embargo, este tipo de disco presenta el inconveniente de consumir espacio en disco incluso
si el archivo VHD no contiene datos.
El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder
directamente a un disco físico. El sistema operativo de la máquina virtual considera el disco
como interno. Esto puede ser útil para conectar la máquina virtual a una LUN (Logical Unit
Number) iSCSI. Sin embargo, esta solución requiere un acceso exclusivo de la máquina virtual
al disco físico empleado. El disco deberá quedar operativo mediante la consola de
Administración de discos.
Se pueden realizar ciertas operaciones con los archivos VHD. Es posible, por ejemplo,
comprimirlos para reducir el espacio utilizado o para convertir su formato de vhd a vhdx.
Durante la conversión del disco duro virtual, el contenido se copiará al nuevo archivo
(conversión de un archivo de tamaño fijo en un archivo de tamaño dinámico, por ejemplo).
Una vez se copian los datos al nuevo disco, el archivo antiguo se elimina.
Se pueden llevar a cabo otras operaciones como la reducción de un archivo dinámico. Esta
opción permite reducir el tamaño de un disco si este último no emplea todo el espacio que le
ha sido asignado. Para los discos de tamaño fijo, eventualmente será necesario convertir los
archivos VHD en archivos de tipo dinámico.
Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros
virtuales, opción Editar disco… en el panel Acciones. La ventana proporciona acceso a
varias opciones.
También es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar
la compresión de un disco duro virtual dinámico.
Cada máquina puede tener hasta 50 instantáneas. Si la instantánea se crea cuando la máquina
está arrancada, la instantánea contendrá el contenido de la memoria RAM. Si se usa una
instantánea para revertir a un estado anterior es posible que la máquina virtual no pueda
conectarse al dominio. En efecto, se realiza un intercambio entre un controlador de dominio y
una máquina unida al dominio. Al restaurar una máquina, este intercambio (contraseña)
también se restaura. Sin embargo, la contraseña restaurada no sigue siendo válida, rompiendo
el canal securizado. Es posible reinicializarlo efectuando nuevamente la operación de unirse al
dominio o utilizando el comando netdom resetpwd.
Tenga cuidado, las instantáneas no reemplazan en ningún caso a las copias de seguridad, ya
que los archivos avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En
caso de fallo del disco, todos los archivos se perderán y será imposible restaurarlos.
Al utilizar discos de diferenciación, cada uno contiene los datos agregados desde la última
instantánea realizada.
Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de
la máquina host desde la máquina virtual. De esta forma, la última tiene una conexión a
la red física, permitiéndole acceder a los equipos o servidores de la red física.
Interno: permite la creación de una red entre la máquina física y las máquinas
virtuales. Es imposible para las máquinas de la red física comunicar con las máquinas
virtuales.
Privado: la comunicación puede hacerse exclusivamente entre las máquinas virtuales,
la máquina host no puede contactar con ninguna de las máquinas virtuales.
Una vez creado, es conveniente vincular el adaptador de red de la máquina virtual con el
conmutador deseado.
Talleres
Esta sección precede a la puesta en marcha del ”Sandbox” que tendrá como objetivo
familiarizarle con Hyper-V.
Objetivo: el objetivo de este ejercicio es crear los conmutadores virtuales que podrán ser
utilizados en el ”Sandbox” (sección siguiente).
Ahora es posible utilizar los dos conmutadores virtuales para las máquinas hospedadas en este
servidor.
El Sandbox
El ”Sandbox” consiste en la creación de un entorno virtual o físico de pruebas que permita
realizar las pruebas sin perturbar las máquinas o servidores de producción.
1. Configuración necesaria
Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales,
como por ejemplo una máquina equipada con un Pentium I5 3,20 GHz con 6 GB de RAM. El
sistema operativo será Windows Server 2012.
Si su configuración es inferior a ésta, bastará con arrancar solamente las máquinas necesarias.
Es aconsejable reservar un mínimo de 1 GB para la máquina host, dejando 5 GB para el
conjunto de las máquinas virtuales.
Una instalación completa, se instala una interfaz gráfica que permite administrar el servidor de
forma gráfica o por línea de comandos.
Una instalación mínima, se instala el sistema operativo, sin embargo no está presente ninguna
interfaz gráfica. Solo se cuenta con un símbolo de sistema, la instalación de roles,
características o la administración diaria se realizan por línea de comando. Es posible
administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server
Administration Tools) en un puesto remoto.
Una vez terminada la instalación del servidor, se requiere configurar el nombre del servidor y
su configuración IP.
Marque la casilla Hyper-V, luego en la ventana que se muestra haga clic en Agregar
características.
Si no desea utilizar el adaptador de red físico, será necesario crear un conmutador virtual
antes de volver a arrancar el servidor.
1. Esquema de la maqueta
Se crearán cinco máquinas virtuales, los sistemas operativos serán Windows Server 2012 y
Windows 8.
Se puede descargar el archivo ISO de la versión de evaluación de Windows Server 2012 del
sitio web siguiente:
http://technet.microsoft.com/es-
es/evalcenter/hh670538.aspx?ocid=&wt.mc_id=TEC_108_1_33
a. Creación y configuración de la VM
En la consola Hyper-V, haga clic en Nuevo en el menú Acciones y luego en Máquina virtual.
Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por
defecto).
Haga clic en Instalar ahora para arrancar la instalación.
Haga clic en la versión Standard (servidor con una GUI).
Acepte la licencia y luego haga clic en Siguiente.
Seleccione Personalizada: instalar solo Windows (avanzado).
c. Configuración post-instalación
Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada, puede usar la
secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas.
Haga clic en el nombre de equipo para abrir las propiedad del sistema.
Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidosy
luego haga clic en Abrir.
Haga clic en Cambiar configuración del adaptador.
Haga doble clic en la tarjeta de red, y luego en Propiedades.
En la ventana Propiedades, haga doble clic en Protocolo de Internet versión 4
(TCP/IPv4).
El procedimiento a seguir será el mismo, siguiendo los parámetros detallados para las
máquinas virtuales siguientes.
Este servidor es un miembro del dominio, se llama SV1. La cantidad de memoria asignada es
de 1024 MB, el disco virtual de 60 GB particionado en dos particiones.
Este servidor es un segundo servidor miembro del dominio, se llama SV2. La cantidad de
memoria asignada es de 1024 MB, el disco virtual de 60 GB particionado en dos particiones.
Este servidor se instala en modo sin interfaz de usuario (modo core), todas las opciones se
proporcionan en los capítulos siguientes.
Puesto cliente con Windows 8, esta máquina es miembro del dominio. La configuración IP se
realizará por medio de DHCP. Conecte el archivo ISO de Windows 8 a la máquina virtual para
proceder a la instalación.
Segundo puesto cliente con Windows 8, esta máquina es miembro del dominio. La
configuración IP se realizará por medio de DHCP. Conecte el archivo ISO de Windows 8 a la
máquina virtual para proceder a la instalación.
8. Las instantáneas
Las instantáneas permiten guardar el estado de la máquina virtual. De esta forma es posible
revertir de forma sencilla a un estado anterior restableciendo la instantánea.
Esta funcionalidad nos permitirá en los capítulos siguientes poner en práctica los talleres
(promoción de servidores a controlador de dominio, puesta en marcha de un RODC...).
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
4¿Cuál es el nuevo formato para el archivo del disco virtual de una máquina? ¿Qué
novedades aporta?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para
aprobar el capítulo.
3. Respuestas
La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level
Address Translation). También es necesario que la cantidad de memoria sea superior a
la asignada a las máquinas virtuales.
4¿Cuál es el nuevo formato para el archivo del disco virtual de una máquina? ¿Qué
novedades aporta?
Con la llegada de Windows Server 2012, Hyper-V 3.0 permite crear un nuevo tipo de
disco duro. El formato vhdx proporciona novedades. El tamaño del archivo puede
ahora tener un tamaño máximo de 64 TB y resuelve el problema de la corrupción de
archivos después de un fallo inesperado.
1. Requisitos previos
2. Objetivos
Podemos encontrar diferentes ediciones de Windows Server 2012. Así cada empresa tiene la
posibilidad de elegir la edición en función de sus necesidades.
Edición Standard: esta edición incluye todos los roles y características. Soporta hasta 4
TB de memoria RAM e incluye dos licencias para dos máquinas virtuales.
Edición Datacenter: esta edición incluye todos los roles y características. Permite
instalar un número ilimitado de máquinas virtuales y soporta un procesador con hasta
640 núcleos y 4 TB de memoria RAM.
Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios,
incluye un número limitado de roles y no puede unirse a un dominio. Soporta un
procesador con un solo núcleo y hasta 32 GB de memoria RAM.
Edición Essentials: esta edición reemplaza a las versiones Small Business Server.
Puede actuar como servidor raíz en un dominio pero no puede poseer los roles Hyper-V,
clúster de conmutación o servidor Core. Esta edición limita el número de usuarios a 25,
la cantidad de memoria RAM no puede exceder 64 GB.
El servidor Core es uno de los métodos de instalación disponibles a partir de Windows Server
2008. Solo se puede administrar un servidor instalado en modo Core empleando comandos
PowerShell o comandos DOS. De hecho este tipo de instalación está desprovisto de interfaz
gráfica, reduciendo de esta forma el número de actualizaciones requeridas y los recursos
hardware necesarios. La cantidad de memoria RAM o el espacio en disco son menores
comparados con una instalación completa. A partir de Windows Server 2012 es posible pasar
de un modo de instalación al otro eliminando o agregando la característica que proporciona la
interfaz gráfica (esta operación era imposible de realizar en los sistemas operativos
precedentes).
Los roles hicieron su aparición con Windows Server 2008, permiten proporcionar a un servidor
funciones suplementarias (controlador de dominio...).
Encontraremos diferentes roles, cada uno responde a una necesidad que puede tener una
empresa.
Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Se despliega un
mecanismo de protección contra usos no autorizados. Los usuarios se identifican y se les
asigna una licencia para la información protegida. De este modo resulta más sencillo
prohibir a un usuario realizar una copia de un documento en una llave USB o imprimir un
archivo confidencial. Durante la instalación del rol es posible instalar dos servicios de rol:
Existen otros roles disponibles en Windows Server 2012, los cuales pueden ser instalados
mediante la consola Administrador del servidor o empleando un cmdlet PowerShell.
Una característica aporta herramientas adicionales al sistema operativo. Al igual que para un
rol, una característica puede instalarse de forma manual o automática.
El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos
en caso de pérdida o robo del equipo. Se requiere la presencia de una tarjeta TPM en la
máquina para una verificación del sistema de propagación.
El clúster de conmutación por error permite a los servidores funcionar conjuntamente,
para proporcionar alta disponibilidad. En caso de fallo de uno de los servidores, los otros
garantizan la continuidad del servicio.
El equilibrio de carga de red realiza una distribución del tráfico para evitar la saturación
de uno de los servidores.
El servicio de administración de direcciones IP instala una infraestructura que permite
gestionar un espacio de direcciones IP y los servidores correspondientes (DHCP…). IPAM
se encarga de descubrir los servidores en el bosque Active Directory de forma
automática.
Al igual que los roles, las características pueden instalarse con la consola Administrador del
servidor o mediante PowerShell.
Permite añadir o eliminar roles e igualmente la gestión de PC remotos. Se pueden instalar roles
y características empleando el protocolo WinRM. Se puede configurar igualmente un grupo de
servidores por medio de esta consola.
La gestión del servidor local se hace también mediante esta consola. Se puede modificar cierta
información muy rápidamente. Podemos encontrar el nombre del equipo, el grupo de trabajo o
el dominio al que pertenece la máquina. También se puede gestionar la configuración del
escritorio remoto o la administración remota.
De igual forma, el panel permite verificar rápidamente que no existe ningún problema en el
servidor.
Así, podemos ver en la pantalla que los roles IIS y Servicios de archivo y de
almacenamiento funcionan correctamente. Servidor local y Todos los servidores (que por
el momento solo incluye al Servidor local) tienen algunos problemas.
Los elementos auditados son Eventos, Servicios, Rendimiento y Resultados BPA. Eventos está
precedido de la cifra 1 que indica al administrador que un evento está pendiente de visualizar.
Haciendo clic en Eventos, se muestra una ventana presentando los detalles del evento.
1. Métodos de instalación
El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Este tipo de
instalación es mucho más larga que el uso de un medio USB y presenta el inconveniente
de no poder modificar la imagen (sin cambiar el medio).
El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar
nuevo software o un controlador) sin tener que volver a crear el medio. Se puede usar
un archivo de respuestas para automatizar las etapas de la instalación. Esto requiere sin
embargo permisos de administración para algunas etapas.
El servidor de despliegue permite arrancar desde un servidor (Windows, Microsoft
Deployment Toolkit…). De esta forma no es necesario tener un soporte USB o un lector
DVD. Esta solución consume muchos recursos de red.
Como todo sistema operativo, Windows Server 2012 tiene requisitos previos de hardware.
Conviene respetarlos para garantizar que el sistema operativo ejecuta en buenas condiciones.
Evidentemente conviene adaptarlos en función de los roles instalados, Hyper-V tiene, como es
natural, requisitos más exigentes para poder hacer funcionar las máquinas virtuales.
Es necesario garantizar antes de la instalación que se tiene, como mínimo, un procesador con
una arquitectura de 64 bits, el cual debe tener una velocidad mínima de 1,4 GHz. El servidor
debe tener 512 MB de memoria RAM y 32 GB de espacio en disco.
Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores.
Es, por tanto, necesario realizar esas operaciones después de la instalación, para esto es
necesario usar el nodo Servidor local de la consola Administrador del servidor.
Toda máquina conectada a una red debe tener una configuración IP. Ésta tiene como mínimo
una dirección IP, una máscara de subred, la dirección IP de la puerta de enlace
predeterminada y la del servidor DNS. La dirección IP asignada a la máquina le permite ser
identificada y comunicarse con sus pares.
Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática.
Estos contratos DHCP tienen una duración limitada en el tiempo y contienen toda la
configuración IP necesaria para que la máquina se comunique en la red. También se puede
asignar a los puestos direcciones de forma manual. Para ello, conviene utilizar la consola
Administrador del servidor (nodo Servidor local).
También es posible realizar la configuración por línea de comando DOS. El comando netsh
permite realizar esta operación.
Conecte el nuevo adaptador de red al mismo conmutador virtual que el adaptador de red ya
instalado.
Haga clic en Aceptar y luego en el botón verde en la barra de la máquina virtual para iniciarla.
Abra una sesión en la máquina SV1.
Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local.
Haga clic con el botón derecho y luego, en el menú contextual, seleccione Agregar a nuevo
equipo.
En el campo Nombre del equipo, introduzca Equipo SV1.
La formación de equipos de NIC está ahora en servicio.
Desactive uno de los dos adaptadores de red desde la consola Conexiones de red.
El ping continúa…
De esta forma, si un adaptador de red sufre un fallo, la segunda interfaz continúa con la
comunicación. Adicionalmente, el conjunto de adaptadores comparten la misma configuración
de red.
La unión a un dominio sin conexión permite a un equipo unirse a un dominio. Con esta
característica, no es necesario que la máquina posea una conexión a la red de la empresa.
Para realizar esta operación, debe emplearse el comando djoin.exe. En primer lugar será
necesario ejecutar, en el controlador de dominio, el comando djoin con la opción /provision.
Un servidor Core no posee interfaz gráfica, la configuración debe hacerse por línea de
comandos. El comando sconfig, presente en las instalaciones mínimas, evita a los
administradores tener que escribir los diferentes comandos empleados para configurar el
nombre del servidor o la configuración IP.
Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor Core
Introducción a PowerShell
PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas de
administración.
1. Presentación de PowerShell
Import-Module NombreModulo
2. Sintaxis de los cmdlets PowerShell
Un cmdlet utiliza un nombre y un verbo, los nombres tienen cada uno una colección de verbos
asociados.
Get
New
Set
Restart
Resume
Remove
Add
Show
…
Cada nombre posee una lista de verbos utilizables. Para ver esta lista, utilice el comando:
Para conocer los nombres disponibles para un verbo, utilice esta vez el comando:
El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012.
Es perfectamente posible elaborar scripts PowerShell sin utilizar la interfaz ISE. Para facilitar el
mantenimiento del script, se emplea un código de colores al igual que en una herramienta de
depuración.
Finalmente, se pueden visualizar los diferentes cmdlets por módulo, esto permite saber que
módulo cargar.
Haga clic en Agregar características, para instalar las características necesarias para Active
Directory.
Haga clic en Siguiente después de haber verificado los parámetros en la ventana Revisar
opciones.
Haga clic en Instalar para iniciar la instalación de Active Directory y promover el servidor. Al
terminar la instalación, el servidor reinicia.
Objetivo: configurar SVCore que ejecuta Windows Server 2012 en modo instalación mínima.
El taller permite efectuar la configuración del nombre del servidor, la fecha y hora al igual que
el adaptador de red. Seguidamente, el servidor se agregará al dominio Formacion.local.
Introduzca S y luego pulse la tecla [Intro] del teclado para realizar el cambio de nombre.
Utilice el comando shutdown -R -t 0 para reiniciar el servidor.
Después del reinicio, abra una sesión como administrador y verifique el nombre usando el
comando hostname.
Introduzca e (para efectuar una configuración estática) y valide su elección empleando la tecla
[Intro].
Responda a las diferentes preguntas para configurar la dirección IP como 192.168.1.13, la
máscara de subred como 255.255.255.0 y finalmente la puerta de enlace predeterminada
como 192.168.1.254.
3. Administración de servidores
Objetivo: el taller consiste en crear un grupo de servidores. Se instalará un rol en uno de los
servidores del grupo.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Grupo-
Formacion.
Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows PowerShell.
Introduzca Import-Module ServerManager.
Utilice el comando Get-WindowsFeature para visualizar los roles y características.
De esta forma es muy sencillo instalar un rol o una característica, y también realizar la
administración de un servidor local o remoto.
Objetivo: unir un servidor utilizando el método sin conexión. El taller consiste en crear el
archivo necesario para unir un servidor a un dominio y utilizar el comando DJoin.
Active los adaptadores de red y luego abra una sesión como administrador del dominio.
SV1 será miembro del dominio, la unión al dominio sin conexión ha funcionado.
1. Preguntas
3¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server
2012?
9Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo)
unirse a un dominio sin conexión.
10¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse
a un dominio?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
1¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar
roles de forma remota?
La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y
característica de forma remota.
Empleando un código de color (rojo, blanco) es, en adelante, muy fácil distinguir si
existe un problema en el servidor. Adicionalmente, el panel proporciona la posibilidad
de intentar resolver el problema (por ejemplo: iniciar o detener el servicio que está
detenido).
3¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server
2012?
Al igual que con Windows Server 2008 y Windows Server 2008 R2, es posible instalar
Windows Server 2012 en modo completo (interfaz gráfica presente en el servidor) o en
modo instalación mínima (sin interfaz gráfica).
Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red
(dos como mínimo) con la misma configuración IP. Esto permite, de forma muy
simple, contar con una mayor redundancia en caso de fallo de uno de los adaptadores.
9Diga el nombre del ejecutable que permite a un equipo (servidor, puesto de trabajo)
unirse a un dominio sin conexión.
El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. Debe
ejecutarse con permisos de administrador en el controlador de dominio, con el objetivo
de poder crear el archivo necesario para la operación. A continuación, se utilizará el
ejecutable en el equipo que se unirá al dominio.
10¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse
a un dominio?
1. Requisitos previos
2. Objetivos
Introducción
Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de
Windows 2000 Server. Como los otros directorios, se basa en la normativa LDAP. Se han
aportado muchas mejoras desde entonces.
Los componentes físicos van a englobar varios elementos clave en un dominio Active Directory:
El controlador de dominio, que contiene una copia de la base de datos Active Directory.
La base de datos y la carpeta sysvol, que contendrán el conjunto de la información de
Active Directory, cada controlador de dominio del dominio Active Directory contiene una
copia.
El servidor de directorio global, que contiene una copia parcial de los atributos y objetos
del bosque. Permite realizar búsquedas rápidas sobre los atributos de algún objeto de un
dominio diferente al del bosque.
Todos los componentes funcionan con componentes lógicos, los cuales permiten la puesta en
marcha de la estructura de Active Directory deseada.
Las particiones, que son selecciones de la base de datos de Active Directory. Así,
podremos encontrar la partición de configuración, la partición de dominio, la partición
DNS…
El esquema de Active Directory, que contiene los atributos de todos los objetos que
pueden ser creados en Active Directory.
El dominio, que permite poner en marcha un límite administrativo para los objetos
usuarios y equipos.
Una arborescencia de dominio, contiene un conjunto de dominios que comparten un
espacio de nombres DNS contiguo.
El bosque Active Directory, que contiene el conjunto de dominios Active Directory.
El sitio de Active Directory, que permite dividir un dominio en varias partes, para así
limitar y controlar la replicación entre dos sitios remotos.
La unidad organizativa, que permite aplicar una directiva de grupo e igualmente
implementar una delegación.
Un dominio Active Directory es una agrupación lógica de cuentas de usuario, equipos o grupos.
Los objetos creados se almacenan en una base de datos presente en todos los controladores
de dominio Active Directory. Esta base de datos puede almacenar varios tipos de objeto:
La cuenta de usuario, que permite efectuar una autenticación y autorizar los accesos a
los diferentes recursos compartidos.
La cuenta de equipo, que permite autenticar la máquina en la que el usuario inicia una
sesión.
Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el
objetivo de autorizar el acceso a un recurso, una delegación…
Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que permiten
la agrupación de cuentas de usuario o de equipo. La creación de este tipo se utiliza con el fin
de asignar una directiva de grupo al conjunto de objetos presentes en el contenedor. La
segunda función de este tipo de objeto es la puesta en marcha de una delegación para permitir
a una persona diferente al administrador gestionar objetos presentes en el contenedor.
De esta forma las OU representan una jerarquía lógica en el dominio Active Directory. Es, por
ejemplo, posible crear una unidad organizativa por ciudad (Alicante, Madrid...) o por tipo de
objeto (usuario, equipo...). Durante la creación del dominio se encuentran presentes las
carpetas de sistema y unidades organizativas predeterminadas:
Un bosque está formado por uno o más dominios Active Directory. Hablamos de dominio raíz
para el primer dominio del bosque, adicionalmente este último proporciona el nombre al
bosque. En nuestra maqueta el dominio raíz es Formacion.local, el bosque tiene pues el
nombre de este último, es decir Formacion.local. En un bosque Active Directory encontramos
una sola configuración y un solo esquema que son compartidos por el conjunto de los
controladores de dominio presentes en el bosque. Tiene asimismo como objetivo la puesta en
práctica de una frontera de seguridad, los otros bosques no tienen ningún permiso sobre éste y
no se replica ningún dato fuera del bosque.
Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez
arborescencia de dominios, estos últimos comparten un espacio de nombres contiguo. La
relación entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que
dispone de un espacio de nombres diferente forma parte de una arborescencia diferente.
El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite la
autenticación de una entidad (persona física de la empresa...) se define por cada dominio. Este
último contiene al menos un controlador de dominio, siendo dos lo recomendable en términos
de alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos
usuarios y equipos en un dominio AD.
El esquema de Active Directory es un componente que permite definir los objetos y atributos
que pueden crearse en Active Directory. Al crear un nuevo objeto, se utiliza el esquema para
recuperar la definición apropiada para el objeto. Así, estas definiciones permiten controlar los
atributos del objeto y su sintaxis (booleano, entero...).
De esta forma, al crear el objeto, el directorio Active Directory conoce cada atributo y el tipo
de datos a almacenar. Al migrar Active Directory o cuando se instalan ciertas aplicaciones (por
ejemplo, exchange...) el esquema debe estar actualizado. Esta operación permite agregar los
objetos y sus atributos que podrán crearse a continuación (por ejemplo, un buzón de correos).
Esta operación no puede realizarse en un controlador de dominio con el rol miembro de
esquema. El usuario que efectúe esta operación debe ser miembro del grupo Administradores
de esquema. Después de efectuar la modificación, esta última se replicará al conjunto de los
controlador de dominio del bosque.
Active Directory está compuesto de varias particiones. Son cuatro, y se comparten entre los
controladores de dominio.
En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single Master
Operation). Dos de estos se encuentran solamente en uno de los controladores de dominio del
bosque, los otros tres se encuentran en cada dominio.
Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Este último es
el único que cuenta con permisos de escritura en el esquema. Sin embargo, para efectuar esta
operación, es necesario que la cuenta empleada sea miembro del grupo Administradores de
esquema. Los otros servidores solo tienen un acceso de lectura.
Maestro de nomenclatura de dominios: al igual que para el maestro de esquema, este rol
se encuentra únicamente en un único controlador de dominio del bosque. El Maestro de
nomenclatura de dominios es necesario al añadir o eliminar un dominio del bosque. Se
contacta este servidor para garantizar la coherencia de los nombres de dominio.
Los siguientes roles maestro RID, maestro de infraestructura y maestro emulador PDC están
presentes en cada dominio del bosque.
Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID del
dominio para crear el SID (identificador de seguridad) del objeto.
Los dominios Active Directory están divididos en sitios AD que representan la topología física
de la empresa. Si consideramos la conectividad de red de un sitio como buena, hablaremos de
una replicación intra-sitio. La replicación inter-sitio se refiere a la realizada entre dos sitios
Active Directory.
Los sitios Active Directory permiten definir fronteras de replicación, lo cual permite ahorrar
ancho de banda en la línea que conecta dos sitios remotos.
Cuando un usuario realiza un inicio de sesión, se utilizan los controladores de dominio Active
Directory a los que está conectado. Sin embargo, si la autenticación no puede realizarse en
éstos, la operación se ejecuta en otro sitio.
Un controlador de dominio contiene una copia de la base de datos Active Directory (archivo
NTDS.dit) al igual que la carpeta Sysvol. A partir de Windows 2000, el conjunto de
controladores de dominio cuenta con un acceso de lectura/escritura a la base de datos y la
carpeta Sysvol. Es, sin embargo, posible instalar un controlador de dominio en solo lectura (a
partir de Windows Server 2008).
La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de grupo.
A diferencia de la base de datos, la replicación de la carpeta sysvol se efectúa utilizando el
servicio de replicación de archivos (FRS) o más recientemente mediante el sistema DFS
(Distributed File System). En un dominio es necesario contar con al menos un servidor que
tenga el rol de catálogo global. Es aconsejable contar con al menos dos controladores de
dominio por dominio. Los sitios remotos que cuenten con un número muy restringido de
usuarios pueden utilizar un servidor RODC (Read Only Domain Controller - Controlador de
dominio de solo lectura ).
Al iniciar una sesión en un dominio Active Directory, el sistema busca los registros de tipo SRV
en el DNS para poder encontrar el controlador de dominio más cercano. Si la autenticación
tiene éxito, la autoridad de seguridad local (LSA - Local Security Authority) genera un token de
acceso y se lo atribuye al usuario. Este token contiene el identificador de seguridad (SID) del
usuario al igual que el conjunto de los grupos de los que es miembro. Del mismo modo, el
controlador de dominio atribuirá al usuario un ticket llamado TGT (Ticket-Granting Ticket). Al
intentar acceder a un recurso de la red, el usuario envía su ticket TGT al controlador de
dominio. Este último le responde con otro ticket que le autoriza el acceso al recurso.
Como hemos visto en el taller del capítulo precedente, es necesario instalar el rol Servicios de
dominio de Active Directory.
El comando dcpromo solo puede utilizarse por línea de comandos. Después de haber instalado
el rol en un servidor con interfaz gráfica, es necesario iniciar el asistente para promover el
servidor. Este último ofrece la posibilidad de crear un nuevo bosque, de agregar un nuevo
dominio o de agregar un controlador de dominio suplementario.
Para obtener más información sobre las diferentes opciones, puede consultar la página Technet
que se encuentra en: http://technet.microsoft.com/es-es/library/cc732887(v=ws.10).aspx
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
La papelera de reciclaje AD
No hay nada más molesto que una eliminación accidental de un objeto de Active Directory.
Esto puede tener un impacto más o menos importante en la producción. En los sistemas
operativos anteriores a Windows Server 2008 R2, se podía utilizar el tombstoned. Esta
funcionalidad permite la recuperación de una cuenta donde el atributo isDeleted se ha
configurado como True. La herramienta LDP permite efectuar esta operación. Elimina el
atributo isDeleted, sin embargo se pierden los atributos (pertenencia a grupo, etc.) de este
objeto. Se han desarrollado herramientas de terceros, no oficiales, que permiten efectuar esta
operación de forma gráfica y más rápida.
A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada
papelera de reciclaje de Active Directory. Esta última permite efectuar la restauración de un
objeto eliminado del directorio al igual que los parámetros del objeto eliminado.
Windows Server 2012 aporta una novedad interesante ya que es posible realizar la
restauración de un objeto y la activación de la funcionalidad desde el Centro de administración
de Active Directory. Todas las operaciones se realizarán, en adelante, empleando una interfaz
gráfica.
Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la
creación de directivas de contraseña muy específicas. Esto permite a una empresa definir
varias directivas de contraseña o de bloqueo. Éstas se atribuyen, a continuación, a un usuario
o a un grupo de seguridad global. El sistema operativo utilizado en el controlador de dominio
deberá ser por lo menos Windows Server 2008. El nivel funcional deberá estar, a su vez,
configurado a nivel Windows Server 2008. La operación debe realizarla un administrador de
dominio, sin embargo es posible implementar una delegación para un usuario.
Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el
esquema:
Histórico de contraseñas.
Duración máxima de la contraseña.
Duración mínima de la contraseña.
Longitud mínima de la contraseña.
Cumplir los requisitos de complejidad.
Grabación utilizando cifrado reversible.
Duración de bloqueo de cuenta.
Umbral de bloqueo de cuenta.
Reinicio del contador de bloqueo de cuenta después de un tiempo definido por el
administrador.
Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra
vinculada esta directiva.
Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación de
varias PSO a un objeto.
Al igual que la papelera de reciclaje de Active Directory, Windows Server 2012 aporta una
novedad con la gestión y la creación de las directivas de contraseña muy específicas.
En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas directivas
pero, sobre todo, para visualizar las directivas creadas. Estas acciones se operan ahora desde
el Centro de administración de Active Directory. Esta consola permite en adelante la
visualización de la directiva resultante de un usuario.
Talleres: Promover un controlador de dominio
Los talleres siguientes le permitirán promover un controlador de dominio utilizando el método
IFM. Se tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas
de contraseña muy específicas.
Objetivo: este taller permite promover un controlador de dominio utilizando el método IFM.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil.
Al aparecer el símbolo de entrada, seleccione la instancia ntds utilizando el comando activate
instance ntds.
Finalmente, introduzca el comando create sysvol full c:\MediosIFM para iniciar la creación
del archivo de medios.
En el servidor SV1, inicie la consola Administrador del servidor y luego haga clic enAgregar
roles y características.
Haga clic en el botón Cambiar para proporcionar la información necesaria para promover el
servidor.
Introduzca administrador en el primer campo y luego la contraseña Pa$$w0rd en el segundo
campo.
Objetivo: este taller permite la puesta en marcha de la papelera de reciclaje Active Directory,
pero principalmente el uso de la interfaz gráfica, novedad en Windows Server 2012.
Verifique que el nivel funcional es Windows Server 2012 para el nivel de dominio y del
bosque.
La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno
son miembros del grupo Alumnos.
Objetivo: el taller permitirá implementar una directiva de contraseña muy específica llamada
"Fine Grained Password".
Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad
organizativaFormacion.
Haga clic en Alumno 1 y luego, en el panel Tareas, haga clic en Ver configuración de
contraseña resultante.
1. Preguntas
4Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es
necesario actualizar el esquema para la migración a Windows Server 2012?
8¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo
global?
13¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción
de esta solución.
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 13 puntos para
aprobar el capítulo.
3. Respuestas
El esquema contiene los objetos que pueden ser creados. Para poder actualizarlo
(extender el esquema), es necesario ejecutar el comando Adprep. Éste se ejecuta al
migrar un servidor o al instalar el primer servidor Exchange…
4Mi controlador de dominio ejecuta Windows Server 2008 R2, el nivel funcional está
configurado como Windows Server 2008 R2 (para el dominio y el bosque). ¿Es
necesario actualizar el esquema para la migración a Windows Server 2012?
No, con Windows Server 2012 ya no es necesario efectuar esta operación. La etapa de
actualización se realiza automáticamente (si es necesaria) al promover el nuevo
controlador de dominio.
Un servidor con el rol catálogo global posee una base de datos de todos los objetos
presentes en el bosque así como algunos de sus atributos. Este tipo de servidor facilita
la búsqueda de objetos.
8¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo
global?
No, es necesario mover el rol Maestro de infraestructura a otro servidor. Sin embargo,
si el dominio solo cuenta con un controlador de dominio, es posible (solo en este caso)
albergar el Maestro de infraestructura en el servidor con el catálogo global.
o Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el
bosque. Es el único poseedor de estos permisos.
o Maestro de nomenclatura de dominio: utilizado solamente al agregar, modificar o
eliminar el nombre de dominio.
o Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes
controladores de dominio de su dominio. Este identificador único está asociado al SID
del dominio para crear el SID (identificador de seguridad) del objeto.
o Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio,
que están presentes en los grupos de seguridad o en las ACL.
o Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones, emulando a un
servidor PDC NT4. Permite, de este modo, la migración entre Windows 2000 (uso del
controlador de dominio Active Directory) y Windows NT4 (uso del servidor PDC y BDC).
Su segundo rol es la sincronización del reloj para el conjunto del dominio.
11¿Cuál es la utilidad de un sitio de Active Directory?
Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de
ahorrar ancho de banda de la línea que conecta dos sitios remotos.
No, a partir de Windows Server 2012 este comando solo puede utilizarse por línea de
comandos. Para promover un controlador de dominio, es necesario instalar el rol
Servicios de directorio Active Directory.
13¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción
de esta solución.
El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores
remotos. El archivo de medios contiene todos los datos (objetos, carpeta sysvol...)
necesarios para promover un nuevo servidor, de esta forma este último no tiene más
que replicar los cambios de los objetos creados después de la creación del archivo de
medios. Esto permite evitar sobrecargar la línea de comunicación durante la primera
replicación.
Para esto es necesario utilizar la directiva de contraseña muy específica que permite
crear y asignar varias directivas de seguridad.
1. Requisitos previos
2. Objetivos
Introducción
La base de datos Active Directory contiene varios tipos de objetos diferentes, cada uno permite
autenticar las personas físicas y los equipos unidos al dominio.
Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así
como la topología de red. La gestión de las relaciones de confianza y del nivel funcional del
bosque se realiza mediante la consola Dominios y confianzas de Active Directory. Por
último, la consolaEsquema de Active Directory, que necesita el comando regsvr32.dll para
ser visualizada, permite administrar el esquema de Active Directory.
Es posible utilizar estas consolas desde un equipo cliente (Windows Vista, Windows 7 o
Windows 8) después de descargar e instalar el archivo RSAT (Remote Server Administration
Tools).
Es, también, posible realizar la administración de este servicio mediante comandos PowerShell.
Importando el módulo Active Directory es también posible realizar las mismas operaciones que
las realizadas con las diferentes consolas. Para llevar a cabo estas acciones, también se
pueden usar los comandos DOS:
Al crear una cuenta de usuario, ciertos atributos como el nombre de usuario y la contraseña
deben ser introducidos obligatoriamente. El nombre de usuario debe ser único en el dominio y
el bosque. Después de seleccionar la unidad organizativa que va a contener la cuenta de
usuario, es posible crearla.
A diferencia del SAMAccountName (nombre de inicio de sesión anterior a Windows 2000) que
estaba construido según la forma NombreDeDominioNetbios\NombreDeUsuario
(Formacion\nbonnet), el UPN (User Principal Name - campo nombre de inicio de sesión de
usuario) se construye según la forma NombreInicioDeSesión@dominio
(nbonnet@Formacion.local).
Existen otras opciones disponibles, que permiten prohibir el cambio de contraseña o configurar
una contraseña que no expira nunca (muy útil para las cuentas de sistema).
Después de crear el objeto, es posible configurar otros atributos opcionales (dirección, número
de teléfono...). Los atributos pueden estar clasificados en diferentes categorías.
Podemos ver, así, que el atributo givenName tiene por valor Alumno 4. Si modificamos el
Nombre de pila en la pestaña General:
Un perfil de usuario puede ser local o móvil. En el caso de un perfil local, se crea un directorio
en la carpeta Usuarios de cada máquina en la que el usuario abre una sesión.
Sin embargo, en ciertos casos es necesario que el usuario recupere sus datos (favoritos,
documentos, escritorio...) en todos los puestos a los que se conecta. En este caso, es
necesario emplear un perfil móvil. Éste se encuentra en una carpeta compartida en el servidor.
Al iniciar sesión, el perfil de usuario se copia del servidor al puesto de trabajo. Posteriormente,
durante el cierre de sesión, se realiza la copia en sentido inverso. Para instalar esta solución es
necesario configurar el atributo Ruta de acceso al perfil en la pestaña Perfil.
Es, también, posible configurar un script (en formato vbs o bat), este último se ejecuta cuando
el usuario abre una sesión. Si este se almacena en la carpeta SYSVOL, solo será necesario
introducir el nombre del archivo.
Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. Para ello será
necesario especificar la letra de la unidad.
Administración de grupos
Los grupos en Active Directory permiten facilitar la administración. Es más fácil agregar el
grupo a la ACL (Access Control List) de un recurso compartido en lugar de añadir a todos los
usuarios. Una vez ubicado el grupo, el administrador solo tendrá que agregar o eliminar los
objetos (cuenta de equipo, usuario o grupo) para gestionar el acceso al recurso. La
administración no se efectúa más a nivel de la ACL, sino al nivel de Active Directory (consola
Usuarios y equipos de Active Directory, Centro de administración de Active Directory o
directamente en PowerShell). Adicionalmente, un grupo se puede colocar en una lista de
control de acceso de varios recursos. Es posible crear grupos por perfiles (un grupo Conta que
agrupa las personas del departamento de contabilidad, RRHH...) o por recursos (G_Conta_r,
G_Conta_w...).
Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible. Sugerimos
nombrar los grupos de esta forma:
El ámbito, trataremos este punto más adelante en el capítulo (G para global, U para
universal o DL para dominio local).
El nombre del recurso (Conta, Fax, BALNicolas, RH…).
El derecho NTFS que será atribuido al grupo (w para escritura, m para modificación, r
para lectura...).
De esta forma, si un grupo se llama G_Conta_w, podrá deducir con seguridad que es un
grupo global ubicado en la carpeta compartida Conta y que proporciona derechos de escritura
a sus miembros.
Se puede crear dos grupos en Windows Server. La elección se realiza durante la creación del
grupo. El administrador podrá elegir entre un grupo de distribución y un grupo de seguridad.
Este grupo tiene los dos roles, muchas empresas se valen solamente de este tipo de grupo
para asignar permisos a sus usuarios o para crear listas de distribución de correo.
2. El ámbito de un grupo
El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así
como los objetos que pueden ser miembros.
Al unir un puesto de trabajo o un servidor al dominio, los grupos administradores del dominio y
usuarios del dominio son respectivamente miembros de los grupos locales Administradores y
usuarios del equipo.
Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos
del dominio, puede tener como miembros a los usuarios, equipos o grupos globales y
universales del bosque. Los grupos locales de miembros del dominio de este grupo
deben ser miembros del dominio. Este tipo de grupo puede asignarse únicamente a los
recursos de su dominio.
Global: a diferencia del ámbito del Dominio local, el grupo global puede contener
solamente a los usuarios, equipos y otros grupos globales del mismo dominio. Se puede
asignar a cualquier recurso del bosque.
Universal: puede contener usuarios, equipos y grupos globales y universales de un
dominio del bosque, puede ser miembro de un grupo de tipo Universal o Dominio local.
El grupo puede incluirse en las ACL de todos los recursos del bosque. Tenga cuidado de
no abusar de este tipo de grupo porque se replica en el catálogo global. Un gran número
de grupos universales sobrecargan la replicación del catálogo global.
Así, si un nuevo grupo llamado G_Tec_w debe tener acceso al recurso compartido denominado
informática, no será necesario acceder a la ACL. Agregando el grupo a DL_TEC_W (el cual
está, por supuesto asignado al recurso) se proporciona el acceso deseado.
1. El contenedor equipo
Al crear un dominio, se crea un contenedor de sistema llamado Computers para albergar las
cuentas de equipo de las máquinas unidas al dominio. No es una unidad organizativa, no es
posible añadir una directiva de grupo a este contenedor. Es, por tanto, necesario desplazar los
objetos equipo a la OU deseada.
En ciertos casos, puede ser necesario crear varias unidades organizativas (OU Servidores, OU
Puestos, OU Portátiles); para poder vincular las diferentes directivas de grupo o simplemente
para delegar en otras personas diferentes la gestión de los diversos objetos.
La gestión de los contenedores es propia de cada empresa y debe responder a sus necesidades
y limitaciones.
Para efectuar la unión al dominio, es necesario respetar ciertos requisitos previos. El objeto
equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. El usuario
que efectúe la unión debe ser necesariamente miembro del grupo de administradores locales
del equipo.
redircmp ou=Aix,DC=Formacion,dc=local
Un usuario (que no posea permisos de administración) tiene, por defecto, la posibilidad de unir
10 equipos al dominio. Al solicitar autenticación, deberá introducir su nombre de usuario y su
contraseña. A partir de Windows 2000 Server es posible modificar el número de equipos sobre
los cuales un usuario tiene permisos modificando el atributo LDAP.
Sin embargo, un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo
ya existe en el dominio.
Al igual que para los usuarios, una cuenta de equipo posee un nombre de equipo
(sAMAccountName) y una contraseña. Se efectúa un cambio de contraseña cada 30 días. Estos
identificadores los utiliza el servicio NetLogon para iniciar una sesión y establecer un canal
seguro con su controlador de dominio. Ciertas casos impactan el canal seguro e impiden el
inicio de sesión (no se autoriza al equipo):
Restauración de la imagen del puesto: la contraseña de la cuenta de equipo al crear
la imagen es diferente de la que existe en el controlador de dominio. La restauración de
una imagen restaura el estado previo del puesto al igual que los identificadores de la
cuenta del equipo. Es, por tanto, necesario restaurar el canal seguro.
Restauración del controlador de dominio. Si el dominio solo contiene un controlador
de dominio y es preciso restaurarlo, la contraseña del controlador de dominio es
diferente de la del puesto de trabajo.
Cuando el canal seguro se rompe, es necesario reiniciar. Para ello, un administrador podrá unir
el equipo al grupo workgroup y luego volver a unirlo al dominio, lo que reinicia el canal. Al
volver a unirse al dominio, se genera un nuevo SID, la lista de grupos de los que era miembro
el equipo antes del problema del canal seguro se crean nuevamente de forma idéntica. Para
reiniciar el canal seguro es, también, posible efectuar otras operaciones:
1. Implementar la delegación
Objetivo: implementar una delegación para que un usuario pueda administrar la unidad
organizativa sobre la que se ha establecido la delegación.
En la lista de tareas a delegar, marque las casillas Crear, eliminar y administrar cuentas de
usuario y Crear, eliminar y administrar grupos.
Haga clic con el botón derecho en la unidad organizativa Formacion y luego en Propiedades.
Ahora es necesario instalar los archivos RSAT (Remote Server Administration Tool) en el
puesto del usuario para permitirle administrar su unidad organizativa desde el equipo cliente.
En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de seguridad para poder
abrir una sesión en el controlador de dominio. El usuario utilizado debe ser miembro del
grupo Formadores.
En la interfaz Windows, haga clic en el nombre del usuario y luego en el menú contextual,
seleccione Cerrar sesión.
Los iconos que permiten crear un usuario o un grupo están activos, sin embargo el usuario
no tiene la posibilidad de crear una OU.
Objetivo: el objetivo del taller es efectuar la creación de una cuenta plantilla a partir de un
perfil temporal.
En CL8-01, abra una sesión y luego abra el Centro de redes y recursos compartidos.
Haga clic en Cambiar configuración del adaptador y, a continuación, haga doble clic en el
adaptador de red y luego en el botón Propiedades.
En AD1, abra una sesión como administrador y luego inicie la consola Usuarios y equipos
de Active Directory.
Haga clic con el botón derecho del ratón en Nicolas BONNET y luego seleccione Copiar.
Toda cuenta de usuario en Active Directory puede servir de plantilla. La creación de un nuevo
objeto se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la
pestañaMiembro de…) se replican.
En la segunda partición del servidor AD1, cree una carpeta llamada Perfiles.
En las propiedades de la carpeta creada, seleccione la pestaña Compartir y luego haga clic
enUso compartido avanzado....
Marque la opción Compartir esta carpeta y luego haga clic en Permisos.
Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuación:
Haga clic en el botón Agregar y luego en el enlace Seleccione una entidad de seguridaden
la ventana Entrada de permiso para perfiles.
Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar.
1. Preguntas
2Enumere los atributos de una cuenta de usuario que son obligatorios durante su
creación.
4¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los
valores que contiene?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para
aprobar el capítulo.
3. Respuestas
2Enumere los atributos de una cuenta de usuario que son obligatorios durante su
creación.
Una cuenta de usuario posee varios atributos, sin embargo, al crearla, solo son
obligatorios un apellido o nombre de pila, un nombre de usuario y una contraseña .
4¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los
valores que contiene?
La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto
usuario seleccionado. Estos valores están, también, presentes en las diferentes
pestañas (apellido, nombre de pila, nombre de inicio de sesión). Es perfectamente
posible modificar el valor de un atributo.
o Local
o Global
o Dominio local
o Universal
Al realizar la unión al dominio de un equipo que no posee una cuenta, ésta se crea
automáticamente en la carpeta de sistema Computers. El comando redircmp permite
alojar la cuenta creada automáticamente en otro contenedor (por ejemplo, en una
unidad organizativa).
1. Requisitos previos
2. Objetivos
Introducción
Es posible utilizar comandos PowerShell para automatizar la administración de Active
Directory. Esto permite ganar tiempo y una mayor fiabilidad en comparación con una
administración manual.
CSVDE es una herramienta de línea de comandos que permite importar o exportar los objetos
del directorio Active Directory. Estas operaciones se efectúan desde o sobre un archivo en
formato csv (Comma-separated values). Este tipo de archivo puede utilizarlo de igual forma
una base de datos o visualizarse en una hoja de cálculo Excel. Sin embargo, esta herramienta
no puede modificar o importar un objeto existente.
Csvde -f ArchivoCsv
El archivo LDAP utilizado posee una linea de cabecera, compuesta por el nombre de los
atributos LDAP. Este comando no se puede utilizar para importar las contraseñas porque éstas
aparecen sin cifrar. Por lo tanto, la cuenta no posee contraseña y se deshabilita.
Al igual que CSVDE, LDIFDE es una herramienta por línea de comandos que permite efectuar
operaciones de exportación o creación de objetos. Permite, a diferencia del comando anterior,
modificar o eliminar objetos ya existentes. El archivo debe estar en formato LDAP Data
Interchange Format (LDIF).
Este tipo de archivo de texto contiene bloques de líneas, cada una permite efectuar una
operación. Cada linea del bloque contiene información sobre la operación a realizar, el atributo
afectado…
Cada operación a realizar se separa por una linea vacía. El atributo chagetype permite definir
la acción a realizar. Puede tener como valor add, modify o delete.
Muchas de las opciones del comando csvde las utiliza el comando ldifde.
Es necesario utilizar al menos la opción -f para la exportación, que indica el archivo a utilizar.
Ldifde -f ArchivoLDIF
La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando va a
realizar una importación y -k para ignorar los errores.
Ldifde -i -f ArchivoLDIF -k
Los cmdlets PowerShell permiten crear, modificar y eliminar una cuenta de usuario. Es posible
ejecutar las diferentes instrucciones directamente en la consola PowerShell o ejecutando un
script.
Las operaciones realizadas de manera gráfica pueden llevarse a cabo empleando instrucciones
PowerShell.
Se pueden usar diferentes cmdlets, cada uno con una función bien definida:
Al utilizar el cmdlet New-ADUser para crear un nuevo usuario, es posible indicar todas las
propiedades deseadas. Puede también incluirse la contraseña en este comando.
Tomemos un ejemplo concreto. El usuario Jean BAK es un nuevo formador. Es necesario crear
su cuenta.
Nombre: BAK
Nombre de pila: Jean
Nombre de inicio de sesión: jbak
Contraseña: Pa$$w0rd
Contenedor del objeto: OU Formacion
La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa.
El comando PowerShell que debe utilizar para realizar esta operación es el siguiente:
El nombre de inicio de sesión del usuario es, efectivamente, jbak, para el UPN (User Principal
Name) o el SamAccountName (nombre de inicio de sesión anterior a Windows 2000).
La opción que indica el cambio durante el inicio de sesión también está habilitada.
Al igual que para los usuarios, la creación y la gestión de los grupos puede hacerse empleando
comandos PowerShell.
Hemos creado al usuario Jean BAK, ahora es necesario agregarlo al grupo Formadores.
Seguidamente debemos crear un nuevo grupo llamado Alumnos.
Get-ADGroupMember Formadores
Ahora vamos a ocuparnos de la creación del grupo. Debemos utilizar el cmdlet New-ADGroup.
Lo componen varios parámetros que permiten configurar los diferentes atributos de un grupo.
De esta forma, para crear el grupo Alumnos (grupo de seguridad con un ámbito global),
debemos utilizar el comando siguiente:
Get-ADGroup Alumnos
El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto.
Es muy importante ejecutar la consola PowerShell como administrador. Sin esto, el comando
nos devolverá un error por permisos insuficientes.
Para realizar la creación de una cuenta de equipo, debe usarse el cmdlet New_ADComputer.
Éste tiene tres argumentos:
Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que
aplicaremos una directiva de grupo. También es posible implementar la delegación sobre este
tipo de objeto.
Set-ADOrganizationalUnit "OU=Formacion,DC=Formacion,DC=Local"
-ProtectedFromAccidentalDeletion $False
Ahora podemos pasar a la etapa de creación de una unidad organizativa. Como hemos visto
anteriormente, el cmdlet a utilizar para esta operación es New-ADOrganizationalUnit. Éste
tiene varios parámetros:
Todos los usuarios de la OU Formacion deberán cambiar la contraseña tras el próximo inicio de
sesión. La opción PasswordNeverExpires permite desactivar la opción La contraseña nunca
expira.
2¿Qué sintaxis es necesario utilizar para efectuar una exportación y una importación?
6¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 6 puntos para
aprobar el capítulo.
3. Respuestas
2¿Qué sintaxis es necesario utilizar para efectuar una exportación y una importación?
Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New-
ADUser.
6¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active
Directory?
El comando import-module ActiveDirectory importa el módulo que permite la
administración de los objetos Active Directory.
1. Requisitos previos
2. Objetivos
Establecimiento de subredes.
Introducción
El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet o en
redes locales.
Aplicación
Transporte
Internet
Interfaz de red
La capa de Aplicación
Esta capa permite a una aplicación acceder a los recursos de red. Contiene diferentes
protocolos de aplicación. Corresponde a las capas de aplicación, sesión y presentación del
modelo OSI (Open System Interconnection).
La capa de Transporte
El protocolo TCP permite establecer una conexión fiable. Garantiza antes de iniciar los
intercambios de datos que el receptor está listo para recibir las diferentes tramas,
adicionalmente cada intercambio es seguido de un acuse de recibo. De esta forma, se
garantiza la correcta recepción de cada paquete. El protocolo UDP proporciona una transmisión
de datos sin conexión. La entrega de paquetes se considera poco fiable, sin embargo la
transmisión es más rápida (no se envía acuse de recibo).
La capa Internet
Esta corresponde a la capa 3 del modelo OSI (red). Podemos encontrar en esta capa varios
protocolos, como:
Corresponden a las capas 1 (nivel físico) y 2 (nivel de datos) del modelo OSI. Permite el envío
en la red física de las diferentes tramas intercambiadas entre el emisor y el receptor. Esta capa
efectúa también la transformación de la señal de digital a analógica.
Para establecer una conexión con una aplicación o un equipo remoto, es necesario establecer
un socket TCP o UDP. Este último cuenta con tres parámetros:
1. El direccionamiento IPv4
Una dirección IPv4 tiene una longitud de 32 bits, o sea 4 bytes de 8 bits. Cada byte está
separado por puntos y escrito en forma decimal (de 0 a 255).
Una dirección IP es un identificador único que permite el reconocimiento del equipo en la red.
Esta dirección puede configurarse de forma manual o automática. Se le atribuye a cualquier
interfaz de red que lo solicite.
Una dirección posee un ID de red que identifica la red a la que está conectado el equipo. Luego
un ID de host que permite una identificación univoca del equipo en la red. En función de la
dirección utilizada (consulte la sección Las diferentes clases de direcciones más adelante en
este capítulo), se atribuyen uno o varios bytes a los diferentes ID. Antes del envío de una
trama, es necesario que el equipo emisor sepa si el destinatario está en una red diferente de la
suya.
Para efectuar esta verificación, el equipo utiliza la máscara de subred y efectúa un Y lógico
(para tener un resultado 1 los dos valores deberán ser iguales a 1).
En primer lugar, es necesario convertir de decimal a binario (este punto será tratado en
profundidad posteriormente en este capítulo).
Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos valores
son iguales a 1).
El ID de red se encuentra en el primer byte porque los otros son iguales a 0. Si el equipo
destino tiene un ID de red diferente, estará necesariamente en una red diferente. En ese caso,
el equipo emisor de la trama debe enviarla a la puerta de enlace especificada en su
configuración IP.
2. Direccionamiento privado/público
Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de
información.
Los equipos en una red local utilizan por su parte una dirección privada. Esta última no es
accesible desde Internet (ningún equipo en una red pública posee este tipo de dirección). Solo
es única en una red de área local. Dos empresas diferentes que no están conectadas entre sí
pueden tener las mismas direcciones.
Al crear esta norma, se reservaron conjuntos de direcciones IP públicas para las direcciones de
equipos en una red local. De esta forma cada clase posee su propio conjunto de direcciones
reservadas.
Clase A: 10.0.0.0 a 10.255.255.255
Como hemos podido ver, una dirección IP está compuesta por bytes cuyo valor se encuentra
en formato decimal. Sin embargo este número se calcula empleando cifras binarias (dos
estados posibles, 0 o 1).
Si descomponemos un byte, nos daremos cuenta de que éste posee 8 bits y cada uno tiene un
rango. El de menor valor, el de la derecha, tiene un rango 0, a diferencia del de mayor valor,
situado más a la izquierda, que tiene un rango 8. Para obtener el valor decimal de cada rango,
hace falta elevar 2 a la potencia del rango del bit.
De esta forma, el bit con el rango 0 tiene el valor decimal de 1 por 2 0=1, el del rango 1 tiene el
valor de 2 por 22=1…
Para efectuar la conversión de binario a decimal debemos añadir los valores decimales de los
bits con valor 1.
Si un byte tiene el valor binario 0100 1001, tiene por valor decimal 75:
Los bits con valor 1 son los de los rangos 0, 3 y 6. Entonces 1 + 8 + 64 es igual a 75.
Esta conversión es más compleja. Para explicarla tomemos un ejemplo: debemos convertir a
binario el valor 102.
Para efectuar la conversión, debemos comenzar por el bit de mayor valor, es decir, con rango
7.
El valor decimal del rango 7 es igual a 128, este valor es superior a 102. El valor binario del
rango 7 es entonces igual a 0.
El valor decimal del rango 6 es igual a 64, este valor es inferior a 102. El valor binario del
rango 6 es entonces igual a 1. Falta convertir el número 38 (102-64).
El valor decimal del rango 5 es igual a 32. Este valor es inferior a 38. El valor binario del rango
5 es entonces igual a 1. Falta convertir el número 6 (38-32).
El valor decimal del rango 4 es igual a 16. Este valor es superior a 6. El valor binario del rango
4 es entonces igual a 0.
El valor decimal del rango 3 es igual a 8. Este valor es superior a 6. El valor binario del rango 3
es entonces igual a 0.
El valor decimal del rango 2 es igual a 4. Este valor es inferior a 6. El valor binario del rango 2
es entonces igual a 1. Falta convertir el número 2 (6-4).
El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. El valor binario del rango 1 es
entonces igual a 1.
De esta forma hemos terminado de convertir el número 102. El valor binario del rango 0 es 0.
Todas las direcciones IP se organizan en clases de direcciones. Cada una permite direccionar
un número de hosts y de redes diferentes. Solo pueden utilizarse las tres primeras clases. Para
diferenciar las distintas clases, es necesario fijarse en el primer byte.
La clase A
El primer bit de todas las direcciones comienza por 0. El resto varía desde todos los bits en 0
para la dirección inicial hasta todos los bits en 1 para la dirección final. O sea:
Si estos valores se convierten a decimal, tendremos 0.0.0.0 a 127.0.0.0 siendo 0 y 127 valores
reservados. El conjunto de direcciones va desde 1.0.0.0 a 126.0.0.0.
La clase B
La clase B permite utilizar dos bytes para el ID del equipo. La máscara utilizada es
255.255.0.0. El rango de direcciones va desde 128.0.0.0 a 192.255.0.0.
La clase C
Esta es la clase que proporciona menor número de direcciones para los equipos. Tiene un único
byte disponible para los equipos. Su máscara es igual a 255.255.255.0. Posee un rango de
direcciones entre 192.0.0.0 y 223.255.255.0.
De esta forma, si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase A.
Si el valor se encuentra entre 128 y 191 la dirección es de clase B. Por último, si el valor se
encuentra entre 192 y 223 la dirección es de clase C.
5. El CIDR
Establecimiento de subredes
Una subred consiste en dividir una red informática en varias subredes. La máscara de subred
se utiliza para identificar la red en la que está conectado el equipo. Al igual que una dirección
IP, está compuesto de 4 bytes, donde los bits valen todos 1 (valor decimal 255) o 0 (valor
decimal 0). Los bits a 1 permiten identificar el ID de red, mientras que los puestos a 0
identifican el ID del host.
En redes de gran envergadura, se puede utilizar los bits del ID de host para crear subredes. El
primer byte y los bits de mayor valor (los primeros por la izquierda) se utilizan, lo que reduce
el numero de hosts direccionables.
La ventaja de una subred es la posibilidad de realizar una división lógica de la red física. Esto
permite impedir que las máquinas físicas se vean entre si, con el objetivo de crear redes
distintas.
Empleando subredes, cada sitio remoto puede también tener su propia dirección manteniendo
el mismo ID de red. La división lógica permite reducir el trafico de red y las tramas de tipo
broadcast que un router debe transferir entre las diferentes redes.
También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de
producción no puede acceder a la red de administración). De esta forma garantizamos la
seguridad de los datos. Sin embargo esta operación necesita un cortafuegos.
La empresa ABC posee una dirección 192.168.1.0 y una máscara de subred igual a
255.255.255.0. Esta empresa quiere crear tres subredes.
La primera operación es calcular el número de bits que necesitamos reservar para identificar la
subred. Si se quieren crear tres subredes entonces el número de bits a reservar es de 2, pues
22=4 > 3.
Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las
subredes.
Para encontrar las direcciones de subred, es preciso variar el o los bits de subred. En este
caso, podemos crear una cuarta subred.
Para comprobar que el cálculo es correcto, debemos verificar el paso de una subred a la otra.
De esta forma podemos confirmar que es igual a 64, de hecho si sumamos 64 a la dirección de
la subred 1, entonces el resultado es la dirección de la subred 2. Esta comprobación debe ser
cierta para el conjunto de subredes.
Hemos reservado dos bits para las direcciones de subred. Debemos reservar el mismo número
para la máscara de subred. A diferencia de las direcciones, estos bits no variarán y tendrán el
valor 1. La dirección empleada es una clase C. La máscara será 255.255.255.0.
Descomponiendo una vez más el último byte, los bits de subred deberán estar en 1:
Subred 1:
192.168.1.0 a 192.168.1.63
Subred 2:
192.168.1.64 a 192.168.1.127
Subred 3:
192.168.1.128 a 192.168.1.191
a. El comando ipconfig
b. El comando ping
Este comando permite comprobar la comunicación entre dos equipos. De esta forma se pueden
reparar rápidamente problemas de comunicación en un equipo o servidor. El comando cuenta
con opciones y luego el nombre o dirección IP del equipo a verificar.
Ejecutado sin opciones solo se envían cuatro tramas. Si el puesto está encendido y conectado a
la red se recibe una respuesta. En caso contrario, se recibe una respuesta negativa.
-t: a diferencia de -n, se efectúa el envío de tramas hasta que se solicita la interrupción.
Ping es un comando que se basa en el protocolo ICMP. Es, por tanto, posible interrogar a un
host remoto. Sin embargo, este tipo de solicitudes pueden estar bloqueadas por un
cortafuegos.
c. El comando tracert
El comando tracert es un comando DOS que identifica todos los routers empleados para
alcanzar un destino. La trama es de tipo ICMP. Es inútil utilizar este comando si el destino se
encuentra en la misma red de área local. De hecho, el comando reenvía el nombre o la
dirección IP del router que devuelve la trama echo.
Este comando es muy útil para conocer qué router tiene un problema.
Una dirección IPv6 es cuatro veces mayor que una dirección IPv4, es decir 128 bits para la
versión 6 y 32 bits para la versión 4. Este protocolo ofrece un rango de direcciones casi
ilimitado.
Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada, que se trata de una
extensión del protocolo anterior. Los periféricos de red cuentan con la posibilidad de
determinar el ancho de banda deseado para la gestión del paquete. Es posible administrar la
prioridad del tráfico. Ciertos paquetes (difusión de vídeo continuo...) son prioritarios. Los
periféricos de la red se percatan de esto mediante el empleo del campo QoS.
Las dos versiones del protocolo IP poseen cada uno sus propiedades.
El direccionamiento IPv6
Cada dirección está compuesta por 128 bits. Se utiliza un prefijo para indicar el número de bits
utilizado por el ID de red. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4.
Si un prefijo de 64 bits se asigna a la dirección, que es la mitad de los bits para identificar la
red, los restantes 64 permiten una identificación única del host (identificador de interfaz). Éste
puede ser generado de manera aleatoria y asignado por DHCP o basado en el control de acceso
o soporte (MAC).
Equivalencia IPv4/IPv6
IPv4 IPv6
a.
Dirección no especificada 0.0.0.0 :: Direc
Dirección de bucle invertido 127.0.0.1 ::1
cione
s
Dirección APIPA 169.254.0.0/16 FE80::/64 local
Dirección de broadcast 255.255.255.255 Utilización de tramas multicast es
única
Dirección de multicast 224.0.0.0/4 FF00::/8
s
Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC 1918).
Este tipo de dirección puede encaminarse solamente hacia el interior de una organización. Para
evitar los problemas de duplicación que podían ocurrir en IPv4 al interconectar varias redes, la
dirección está compuesta por un prefijo de 40 bits. Ésta tiene la ventaja de ser aleatoria, lo
que proporciona una probabilidad muy pequeña de tener dos prefijos idénticos.
Este tipo corresponde a las direcciones IPv4 públicas. Permiten designar un equipo en la red
Internet.
Caracterizadas por el prefijo 2000::/3, es posible reservarlas desde 1999. Ciertos bloques
están reservados para implementar túneles 6to4 (por ejemplo el bloque 2002::/16).
Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar con la
red local. Este tipo de dirección se genera automáticamente y no se puede encaminar. Son
homólogos a las direcciones IPv4 correspondientes a las direcciones APIPA(169.254.x.x).
El prefijo utilizado por este tipo de dirección es FE80::/64. Los 64 bits restantes permiten
identificar la interfaz.
192
224
1110 0111
192.168.1.102
0011 1100
1001 1100
Solución:
192
El valor decimal del rango 7 es igual a 128, este valor es inferior a 192. El valor binario del
rango 7 es entonces igual a 1. Falta convertir el número 64 (192-128).
El valor binario del rango 6 es igual a 64. El valor binario del rango 6 es entonces igual a 1.
224
El valor decimal del rango 7 es igual a 128, este valor es inferior a 224. El valor binario del
rango 7 es entonces igual a 1. Falta convertir el número 96 (224-128).
El valor decimal del rango 6 es igual a 64, este valor es inferior a 96. El valor binario del rango
6 es entonces igual a 1. Falta convertir el número 32 (96-64).
El valor binario del rango 5 es igual a 32. El valor binario del rango 5 es entonces igual a 1.
1110 0111
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+26+25+22+21+20 = 128+64+32+4+2+1
Si vamos a convertir el valor binario 1110 0111, obtenemos el valor decimal 231.
192.168.1.102
1: 0000 0001
0011 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
25+24+23+22= 32+16+8+4
Si vamos a convertir el valor binario 0011 1100, obtenemos el valor decimal 60.
1001 1100
Para encontrar el valor decimal, debemos sumar los valores de los bits en 1, o sea:
27+24+23+22= 128+16+8+4
Si vamos a convertir el valor binario 1001 1100, obtenemos el valor decimal 156.
Debemos dividir la red con la dirección 172.16.0.0 en 8 subredes. Proporcione, para cada una,
la dirección de subred, la dirección de la máscara de subred y los rangos de dirección que
pueden ser distribuidos.
Solución:
Máscara de subred:
Subred 1:
Dirección de subred 2:
Dirección de subred 3:
Dirección de subred 4:
Dirección de subred 5:
Dirección de subred 6:
Dirección de subred 7:
Dirección de subred 8:
Objetivo: configurar los servidores AD1 y SV1 para que puedan usar el protocolo IPv6 para
comunicarse.
En AD1, inicie la consola Administrador del servidor y luego haga clic en Servidor local.
Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red.
El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del comando.
El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del comando.
6¿De qué byte hay que utilizar bits para definir diferentes subredes?
8¿Cuáles son los comandos y opciones necesarios par ver la caché DNS?
9¿Cuáles son los comandos y opciones para enviar un número definido de tramas
echo?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 5 puntos para
aprobar el capítulo.
3. Respuestas
La clase A posee un rango de direcciones desde 1 hasta 126, la clase B cuenta con
direcciones desde 128 hasta 191. Finalmente, la clase C cuenta con direcciones desde
192 hasta 223. El valor del primer byte permite determinar a qué clase pertenece la
dirección.
Permite efectuar una división de la red física de forma lógica. Es también más fácil
limitar el número de equipos en la red o garantizar la seguridad de los datos.
6¿De qué byte hay que utilizar bits para definir diferentes subredes?
Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns.
8¿Cuáles son los comandos y opciones necesarios par ver la caché DNS?
Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /flushdns.
9¿Cuáles son los comandos y opciones para enviar un número definido de tramas
echo?
El comando ping envía por defecto cuatro tramas echo. Para enviar un número mayor
de tramas, debemos usar la opción -n seguida del número deseado.
1. Requisitos previos
2. Objetivos
Introducción
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en una
arquitectura de red. Su función es la distribución de la configuración IP, lo que permite a los
equipos conectados comunicarse entre ellos.
Un configuración IP incluye una dirección IP, una máscara de subred y una puerta de enlace.
De esta forma es posible evitar errores humanos y asimismo garantizar una configuración
adecuada para cada equipo. Muy útil para los usuarios itinerantes, a éstos se les asigna una
configuración sin intervención del administrador. A partir de Windows Server 2008, es posible
vincular el servidor DHCP y NAP (Network Address Protection) para distribuir las concesiones
DHCP en función del estado de salud del equipo (antivirus actualizado, cortafuegos activado…).
Este rol puede instalarse en un servidor en modo Core para limitar la superficie de ataque.
Se provee una asignación a un adaptador de red por una duración limitada a varias horas, días
o simplemente ilimitada. Las tramas utilizadas son de tipo broadcast. Éstas no pueden
atravesar los routers.
Para obtener una asignación DHCP, el cliente y el servidor realizan un intercambio de tramas:
Al utilizar tramas de tipo broadcast, éstas no pueden atravesar los routers. Esto implica la
necesidad de un servidor para cada subred IP. La necesidad de muchos servidores puede
conllevar un coste excesivo para la empresa. Para remediar este problema, es posible
implementar un relay DHCP. Éste permite transferir las solicitudes de asignación a un servidor
ubicado en otra subred.
El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP
hechas en la subred IP. Transfiere a continuación las diferentes solicitudes que recibe al
servidor DHCP presente en la red B.
Debemos sin embargo verificar el ancho de banda de la línea y los tiempo de respuesta.
El ámbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Está limitado a
una subred IP.
Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de direcciones
entre 172.16.0.1 y 172.16.0.254. Cuando un equipo presente en la red 172.16.0.0 solicita
una asignación DHCP recibe una dirección del ámbito configurado para la red 172.16.0.0. El
resultado es idéntico si el servidor posee ámbitos para redes diferentes.
A partir de Windows Server 2008, es posible añadir un ámbito para el protocolo IPv6. Al igual
que para IPv4, las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud.
Para ciertos equipos (impresora de red...), es necesario asignar una configuración IP. Ésta no
debe sufrir ninguna modificación, lo que obligaría a una reconfiguración en los puestos de
trabajo.
Para evitar esto, debemos configurar manualmente el adaptador de red, o implementar una
reserva en DHCP. Ésta permite garantizar la recepción de la misma configuración IP para cada
cliente.
Después de su creación, la reserva tiene el estado inactiva, y pasa a activa cuando el cliente
efectúa una nueva solicitud (renovación o nueva concesión).
La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all,
y aparece también en el nodo Concesiones de direcciones (campo ID exclusivo).
Opciones de ámbito: incluidas en cada ámbito, se aplican a sus clientes. Cada ámbito
puede tener opciones diferentes o las mismas con otros valores.
Opciones de clase: existen diferentes clases (clase de proveedores, de usuarios…) al
implantar un servidor NAP (Network Access Protection), pueden emplearse estas
opciones de clase.
Opciones de reserva: al implantar una reserva, se aplican las opciones del ámbito.
Es posible configurar, para una reserva, opciones diferentes. Haciendo clic con el botón
derecho en la reserva deseada, el menú contextual nos proporciona un acceso a la ventana
que permite efectuar la selección de la configuración y sus opciones.
El icono es diferente, lo que permite de forma sencilla saber a qué nivel se aplica la opción.
4. Implementación de filtros
La implementación de filtros permite crear listas verdes y listas de exclusión. Cada una tiene
un uso bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesión
DHCP.
De esta forma, todos los adaptadores de red cuya dirección MAC se encuentre en la lista verde
tienen la posibilidad de recibir una concesión. Está representada en la consola por el
nodoPermitir. La lista de exclusión permite anotar los adaptadores de red que no recibirán
respuesta del servidor. La lista de exclusión se puede configurar por medio del nodo Denegar.
Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro), en
el caso contrario el servidor no responderá a las solicitudes del cliente.
La base de datos almacena un número de registros ilimitado. El tamaño del archivo depende
del número de equipos presentes en la red. Por defecto, la base de datos se almacena en la
carpeta Windows\System32\dhcp.
dhcp.mdb: base de datos del servicio DHCP. Posee un motor de formato Exchange
Server JET.
dhcp.tmp: este archivo se emplea como archivo de intercambio durante el
mantenimiento de los índices de la base.
j50.log: permite registrar las transacciones.
j50.chk: archivo con puntos de control.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Paramet
ers
La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad
asíncrona) o automática (copia de seguridad sincrónica).
A continuación, se detienen los servicios DHCP y se restaura la base de datos. Al igual que
para la copia de seguridad, la operación debe realizarse con permisos de administrador.
Ejemplo
Es posible iniciar esta operación en todos los ámbitos seleccionando Reconciliar todos los
ámbitos... en el menú contextual del nodo IPv4.
Primera solución: se ha creado una cantidad de reservas han sido creadas y se han
implementado, a su vez, exclusiones de direcciones IP. No es concebible crear un nuevo
ámbito en el nuevo servidor DHCP y luego efectuar la etapa de creación de las reservas y
exclusiones. Es tedioso y puede causar errores más o menos perjudiciales para el sistema de
información. Es entonces necesario hacer copia de seguridad del antiguo servidor y luego
restaurarlo en el nuevo o desplazar la base de datos a otro volumen.
Para efectuar el desplazamiento, se debe acceder a las propiedades del servidor (clic derecho
en el servidor y luego Propiedades en el menú contextual).
Si, durante el reinicio del servicio, el ámbito no está presente, copie todos los archivos
contenidos en Widnows\System32\dhcp a la nueva carpeta. El servicio debe estar detenido
para luego reiniciar al terminar la copia.
Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). A
continuación, en la pestaña Avanzadas, bastará con configurar el número de intentos de
detección de conflictos que el servidor debe efectuar.
La obtención de una concesión permite el acceso a la red. De esta forma, una persona
malintencionada puede fácilmente intentar corromper los datos o simplemente obtener datos
confidenciales. Es necesario poner en práctica un esquema de seguridad adecuado. En primer
lugar es posible reducir el acceso físico activando en el conmutador solamente los puertos
utilizados. Es posible realizar una auditoria para ver un historial de accesos validos. Sin
embargo, es preferible implantar una solución de autenticación robusta. Esta última puede
implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In User
Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe
ser, a su vez, compatible con la norma 802.1x.
Las estadísticas proporcionan información sobre la actividad y utilización del servidor. Es muy
fácil detectar un posible problema. Un número elevado de acuses de recibo negativos indica
una mala configuración del ámbito (dos ámbitos que proporcionan las mismas direcciones IP).
A diferencia de las estadísticas del servidor, que proporcionan información sobre su estado, las
estadísticas del ámbito proporcionan solamente el número de direcciones presentes en el rango
permitido y el número de direcciones utilizadas y disponibles.
Como complemento a las estadísticas, es posible utilizar el registro de auditoría, que permite el
seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y
también a aquellas que han sido rechazadas.
IPAM
IPAM (IP Address Management) es una característica integrada a partir del sistema operativo
Windows Server 2012. Permite descubrir, supervisar y auditar un grupo de direcciones IP. La
administración y seguimiento de servidores DHCP (Dynamic Host Configuration Protocol) y
DNS (Domain Name Service) puede realizarse desde IPAM.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS y
DHCP para servidores que están dentro del alcance del área de descubrimiento especificada.
Para poder ser gestionados por IPAM y autorizar su acceso, se deben configurar los parámetros
de seguridad y los puertos del servidor.
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active
Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar
Windows Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos
de red (WINS - Windows Internet Name Service, proxy…) no están contemplados por el
servidor IPAM. Solo se actualizan las bases de datos internas de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150
zonas DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo,
el administrador debe hacerlo manualmente.
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la información
de descubrimiento de servidores, al igual que la relativa al rango de direcciones y la
gestión del servidor. El acceso a la información de seguimiento de direcciones IP les está
prohibido.
Administradores IPAM MSM (Multi-Server Management): tienen permisos de
usuario IPAM, también tienen la posibilidad de efectuar tareas de administración del
servidor y tareas de administración corrientes IPAM.
Administradores IPAM ASM (Addess Space Management): además de los permisos
del usuario IPAM, también tienen la posibilidad de efectuar las tareas relacionadas con el
espacio de direcciones y tareas de gestión habitual de IPAM.
Administradores de auditoría IPAM IP: los miembros de este grupo pueden efectuar
las tareas de gestión habitual de IPAM y, además, ver la información de seguimiento de
direcciones IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos
IPAM y pueden realizar cualquier tarea.
Las tareas IPAM se inician regularmente en función de una periodicidad dada. Se encuentran
en el administrador de tareas (Microsoft/Windows/IPAM).
En AD1, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
En Seleccionar servidor de destino, deje AD1 seleccionado y luego haga clic en Siguiente.
Marque la casilla Servidor DHCP y luego haga clic en Agregar características en la ventana
que se muestra.
Objetivo: una ves instalado, este taller tiene por objetivo realizar la configuración del
servidor.
En la consola Administrador del servidor, haga clic en el icono con forme de bandera.
Haga clic en el enlace Completar configuración de DHCP.
Marque la opción 006 Servidores DNS y luego introduzca el valor 192.168.1.10. Haga clic
enAgregar para validar la ventana.
Despliegue Filtros y luego haga clic con el botón derecho en el nodo Permitir. En el menú
contextual, seleccione Habilitar. Realice la misma operación para Denegar.
Haga clic en Concesiones de direcciones y, a continuación, haga clic con el botón derecho en
la concesión de CL8-02. En el menú contextual seleccione Agregar a filtro y, a
continuación,Denegar.
Elimine la concesión asignada a CL8-02 y, a continuación, verifique que se encuentra en la
listaDenegar.
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar
una restauración.
Despliegue el servidor ad1.formacion.local y luego haga clic con el botón derecho. Seleccione
la opción Copia de seguridad.
En la ventana Buscar carpeta, haga clic en Disco local (C:) y luego haga clic en Crear
nueva carpeta.
Haga clic con el botón derecho en el ámbito presente en DHCP y, en el menú contextual,
seleccione la opción Eliminar.
4. Implementación de IPAM
Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar
una restauración.
En SV2, inicie la consola Administrador del servidor y luego haga clic en Agregar roles y
características.
IPAM no debe instalarse en un controlador de dominio, utilizaremos SV2 para albergar esta
función.
El o los servidores mostrarán su estado como Bloqueado en Estado de acceso IPAM y Sin
especificar en Estado de manejabilidad.
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (al lado del identificador de
notificación).
Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Se utilizan los
objetos de directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host
Configuration Protocol) y DNS (Domain Name System).
En la consola de configuración de IPAM, haga clic con el botón derecho en la línea AD1 y luego
seleccione Editar servidor.
Haga clic con el botón derecho en el rango de direcciones IP y luego, en el menú contextual,
haga clic en Buscar y asignar dirección IP disponible.
Después de unos minutos, se presenta una dirección IP y luego se realizan las pruebas.
Haga clic con el botón derecho en la entrada creada previamente y luego seleccione Crear
reserva DHCP.
1. Preguntas
12¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos
posibilidades que se me presentan?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 12 puntos para
aprobar el capítulo.
3. Respuestas
Cuando un cliente emite una trama para solicitar una configuración IP, ésta se envía a
todos los equipos de la red. Esta trama está basada en un tipo broadcast. Estas tramas
no pueden atravesar los enrutadores. Para evitar costes excesivos por la proliferación
de servidores DHCP, debemos implantar relay DHCP cuya función es la retransmisión
de las diferentes solicitudes a los servidores DHCP.
Si, es posible configurar varios ámbitos en un servidor DHCP. Cada uno posee un
rango de direcciones diferente.
Un ámbito posee varias propiedades, entre las que se encuentran una nombre y una
descripción. Encontramos, también, un conjunto de direcciones IP que pueden
distribuirse, así como la máscara de subred y las listas de exclusión. Estas opciones
pueden, a su vez, configurarse.
Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a
distribuir direcciones a los equipos incluidos en esta lista. La lista negra permite
prohibir la concesión a los equipos incluidos.
12¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP?
13Quiero migrar el rol de servidor DHCP a otro servidor. ¿Cuáles son las dos
posibilidades que se me presentan?
1. Requisitos previos
2. Objetivos
Introducción
Para acceder a un puesto de trabajo en la red, es posible utilizar su dirección IP o su nombre.
Para esto último, se ha implantado un mecanismo de resolución de nombre en direcciones IP y
viceversa.
Funcionamiento de DNS
El servicio DNS permite la resolución de nombres de host o de FQDN (Fully Qualified Domain
Name) en direcciones IP. Este servicio se incluye en todos los sistemas operativos servidor que
permiten a los usuarios utilizar los recursos de red (acceso a un servidor...).
De esta forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer
su dirección IP para acceder a él. Introduciendo la dirección URL, se efectúa una resolución
DNS para poder traducir el nombre a su dirección IP.
Se utiliza una base de datos para almacenar los registros. Ésta puede almacenarse en un
archivo o en el directorio Active Directory. Contiene los nombres de equipo y sus direcciones IP
para poder efectuar las operaciones de resolución necesarias.
El cliente DNS, presente en los sistemas operativos cliente y servidor, efectúa las consultas y
actualizaciones en la base de datos.
Ejemplo
Un usuario intenta acceder al servidor de archivos. Se envía una consulta al servidor DNS para
resolver el nombre File.Formacion.local. Si el servidor cuenta con un registro, se envía la
dirección IP al cliente que ha realizado la solicitud.
El empleo de un nombre, a diferencia de una dirección IP, permite realizar la resolución incluso
si la dirección ha cambiado.
DNS está construido sobre un sistema jerárquico. Los servidores en la parte superior de la
jerarquía, se llaman servidores raíz, se representan por un punto. Permiten la redirección de
las consultas a los servidores DNS de primer nivel (org, net...).
Situados debajo de los servidores raíz, los servidores con autoridad sobre los dominios de
primer nivel permiten la gestión de las zonas es, net... Cada uno de los dominios es gestionado
por un organismo (ESNIC...).
En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los
particulares (nibonnet, ediciones-eni). Estos nombres de dominio se reservan en un proveedor
de acceso, que puede hospedar un servidor web o solamente proporcionar un nombre de
dominio.
Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre
su zona (el servidor raíz contiene solamente el nombre de los servidores de primer nivel, y es
el mismo para todos los servidores de cada nivel).
Es posible para una empresa o particular añadir registros o subdominios para el nombre de
dominio que ha reservado (por ejemplo, mail.nibonnet.fr que me permite transferir todo mi
tráfico de correo electrónico a mi router, en concreto a la dirección de mi IP pública).
Cada servidor DNS puede resolver solamente los registros de su zona, el servidor de la zona
FR puede resolver el registro nibonnet, pero no podrá resolver el nombre de dominio
shop.nibonnet.fr.
Al intentar resolver un nombre, el servidor DNS puede utilizar dos tipos de consultas para
intentar realizar la resolución de los nombres que no se encuentran en la base de datos.
Con las consultas iterativas, el equipo cliente envía a su servidor DNS una consulta para
resolver el nombre www.nibonnet.fr. El servidor consulta al servidor raíz. Éste le redirige al
servidor que tiene la autoridad sobre la zona FR. También conoce la dirección IP del servidor
DNS que tiene la autoridad sobre la zona nibonnet. La consulta a este último permite resolver
el nombre www.nibonnet.fr. El servidor DNS interno responde a la consulta que recibió
previamente de su cliente.
Con las consultas recursivas, el cliente puede resolver el nombre www.nibonnet.fr. Envía la
petición a su servidor DNS. Al no tener autoridad sobre la zona nibonnet.fr, el servidor necesita
un servidor externo para efectuar la resolución. La petición se transmite al reenviador
configurado por el administrador (el servidor DNS del ISP que posee una caché mayor, por
ejemplo). Si la respuesta no se encuentra en su caché, el servidor DNS del ISP efectúa una
consulta iterativa y luego transmite la respuesta al servidor que ha realizado la petición. Éste
puede, ahora, responder a su cliente.
Para todas las peticiones en las que el servidor carece de autoridad, se emplea el reenviador.
En ciertos casos (aprobación de bosque AD...), es necesario que la solicitud de resolución que
se va a reenviar a otro servidor DNS sea redirigida en función del nombre de dominio (para el
dominio eni.fr enviar la petición a, por ejemplo, el servidor SRVDNS1). El reenviador
condicional permite efectuar esta modificación y redirigir las consultas al servidor correcto si la
consulta (nombre de dominio) es válida.
Es posible crear tres tipos de zonas en un servidor DNS, una zona primaria, una zona
secundaria y una zona de rutas internas.
La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que
contiene. Este tipo de zona puede integrarse en Active Directory o simplemente estar
contenido en un archivo de texto. En el caso de que la zona no esté integrada en Active
Directory, es necesario configurar la transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir en este
tipo de zona. Solo se autoriza la lectura. Es imposible de integrar en Active Directory. Una
transferencia de zona es obligatoria.
Una zona de rutas internas es una copia de una zona, sin embargo esta última contiene
solamente los registros necesarios para la identificación del servidor DNS que cuenta con
autoridad sobre la zona que se ha añadido.
La creación de una zona de rutas internas se realiza para poder resolver los registros del
dominio nibonnet.local.
Una vez que el servidor AD1 recibe una solicitud de resolución para el dominio nibonnet.local,
la solicitud se redirige a los servidores DNS configurados en la zona de rutas internas. De esta
forma se podrá efectuar la resolución.
La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres
NetBIOS). Estos últimos pueden resolverse mediante un servidor DNS. En ciertos casos puede
ser necesario implantar un servidor WINS. Más antiguo que DNS, emplea NetBIOS sobre
TCP/IP (NetBT). WINS y NetBT no tienen en cuenta IPv6. Están llamados a desaparecer en
unos años.
Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la
migración en el servidor DNS para la resolución de nombres cortos. Para esto, se debe utilizar
una zona llamada GlobalNames. Esta zona contiene los registros estáticos que contienen los
nombres.
Éstos se refieren a los equipos, siendo la configuración de IP estática y administrada por WINS.
La resolución de nombres de registros inscritos de forma dinámica no puede realizarse
mediante esta funcionalidad.
El rol del servidor DNS no se instala por defecto, es preciso agregarlo manualmente. Para ello,
elAsistente para agregar roles y características presente en la consola Administrador
del servidor permite efectuar esta operación.
2. La actualización dinámica
La actualización dinámica consiste en una actualización del servidor DNS en tiempo real. Esta
función es muy importante. Permite, de hecho, actualizar un registro cuando el cliente cambia
de dirección IP. La operación de actualización se efectúa en varios momentos:
Es posible crear varios tipos de registros en el servidor DNS. Estos registros permiten resolver
un nombre de equipo, una dirección IP o simplemente a un equipo encontrar un controlador de
dominio, un servidor de nombres o un servidor de correo electrónico.
1. El comando nslookup
Ejecutado sin argumentos, la consola DOS muestra el nombre y la dirección IP del servidor de
nombres primario. Posteriormente, es posible interrogar al servidor.
Para evaluar la resolución de un nombre de equipo por un servidor DNS, bastará con introducir
el nombre deseado después del comando nslookup.
La opción set permite indicar el tipo de registro que debe enviar el servidor.
Set type=mx, esta opción devuelve información acerca del servidor de correo electrónico.
Este comando puede usarse para los registros de tipo público, que se encuentran en un
servidor DNS público, o para los registros de tipo privado, ubicados en una red local.
2. El comando dnslint
Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS
(Domain Name System). Se crea un informe en formato HTML para poder ver los resultados.
Las opciones /d, /ad y /ql no pueden utilizarse conjuntamente. Al utilizar la opción /ad, debe
emplearse una dirección IP. No es posible emplear un nombre de equipo.
3. El comando ipconfig
ipconfig es un comando DOS que permite visualizar la configuración IP del adaptador de red.
Es posible realizar otras acciones (renovación de la concesión...) empleando diferentes
opciones.
Varias opciones pueden acompañar al comando, cada una con una función especifíca.
4. El comando dnscmd
La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts.
Empleando esta herramienta pueden automatizarse tareas de administración del servicio DNS.
Este comando permite de igual manera la instalación desatendida y la configuración de nuevos
servidores.
Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar
características.
Haga clic tres veces en Siguiente y luego en Instalar.
Cierre la ventana al terminar la operación.
En el Administrador del servidor, haga clic en el icono de notificaciones y luego en el
enlacePromover este servidor a controlador de dominio.
Haga clic con el botón derecho en el nodo Formintra.msft y luego en el menú contextual
seleccione Host nuevo (A o AAAA)…
Introduzca www en el campo Nombre y luego 192.168.1.12 en Dirección IP.
Objetivo: utilización de la zona GlobalNames con el fin de resolver con DNS los nombres
cortos. El nombre SQL debe estar asociado a AD1 y éste debe responder con su información
cuando se utiliza el nombre corto.
Seleccione el botón de opción Para todos los servidores DNS que se ejecutan en
controladores de dominio en este bosque: Formacion.local y luego haga clic enSiguiente.
Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo (CNAME).
Introduzca SQL en el campo Nombre de alias y luego introduzca AD1.Formation.local en el
campo Nombre de dominio completo.
1. Preguntas
6¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
La base de datos del servicio DNS se almacena en dos entornos. Puede estar
almacenada en un archivo o en el directorio Active Directory (solamente para las zonas
integradas en AD).
El cliente DNS tiene como función el envío de las consultas al servidor DNS para pedir
la resolución de un nombre. Su segunda función es la actualización de los registros (si
está activada la actualización dinámica).
El sistema DNS utiliza una base de datos distribuida, cada servidor hospeda una zona
y solo tiene autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz,
dominio de primer nivel...), cada uno tiene su función específica.
Cuando un servidor efectúa una consulta iterativa, envía una consulta a los servidores
DNS de diferentes niveles (raíz, dominio de primer nivel...). Su objetivo es responder a
la consulta que ha recibido.
Se pueden crear tres tipos de zonas en un servidor DNS. Podemos crear zonas
primarias, secundarias o zonas de rutas internas.
6¿Cuáles son las principales diferencias entre una zona primaria y una secundaria?
Una zona de rutas internas es una copia de una zona, donde solo existen los registros
que permiten la identificación de los servidores DNS.
Un servidor DNS no puede resolver un nombre corto del tipo SQL, www, ... La zona
GlobalNames permite crear registros estáticos del tipo CNAME para que el servidor
pueda resolver los nombres.
1. Requisitos previos
2. Objetivos
Introducción
La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Las diferentes
aplicaciones tienen una necesidad creciente de espacio de almacenamiento. Por lo tanto, es
necesario gestionar el espacio de almacenamiento cuidadosamente.
El sistema de almacenamiento
Durante la implantación de un servidor en un sistema de información, es necesario evaluar la
solución de almacenamiento (discos locales, cabina de almacenamiento...) que será
desplegada. Puede ser necesaria la tolerancia a fallos y el número de discos a emplear variará
en función de la solución escogida.
Existen varios tipos de discos. Cada uno posee un rendimiento diferente y proporciona una
capacidad de almacenamiento a los servidores o puestos de trabajo.
EIDE (Enhanced Integrated Drive Electronics) - ATA: Esta tecnología se basa en las
normas creadas en 1986. Permite a una interfaz IDE (integrated Drive Electronics)
soportar las normas Advanced Technology Attachment 2 (ATA-2) y Advanced
Technology Attachment Packet Interface (ATAPI).
SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la
conexión de discos duros o unidades ópticas a la placa base. La tecnología SATA tiene
por objetivo reemplazar al estándar ATA. Presentada en 2003, la norma lleva tres
revisiones: SATA 1 con una velocidad de transmisión de 1,5 GB por segundo, SATA 2
con una velocidad de transmisión de 3 GB por segundo, y finalmente SATA 3 con una
velocidad de 6 GB por segundo. Este tipo de disco tiene un menor coste que otras
tecnologías aunque posee igualmente un rendimiento menor. Es posible seleccionar este
tipo de tecnología si se requiere gran cantidad de espacio en disco sin muchas
restricciones de rendimiento.
SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar
la conexión física y la transferencia de datos entre ordenadores y periféricos. Introducida
en 1978, esta interfaz permite una ejecución de transacciones a alta velocidad.
Estandarizada en 1986, SCSI ha sido creada para la utilización de cables de tipo
paralelo; posteriormente, se han utilizado otros soportes con esta norma. Con el uso de
cables paralelos, las transferencias no pueden superar los 5 MB por segundo. A partir de
2003, Ultra 640 SCSI (o Ultra 5) permite velocidades de transferencia de 640 MB por
segundo. Este tipo de disco ofrece un rendimiento mayor que un disco SATA, sin
embargo tiene un coste más elevado.
SAS (Serial Attached SCSI): SAS se diseñó para paliar los problemas de fiabilidad o de
transmisión que podían traer otros formatos. Este tipo de discos utilizan dos técnicas; la
transmisión en serie de datos y SCSI. Cada disco utiliza un caudal de 3 GB/s para cada
periférico, SCSI efectúa la división del ancho de banda empleando 2,56 GB/s para el
conjunto de los periféricos del controlador. A diferencia de la norma SATA que solo
puede procesar un comando a la vez, el controlador SAS puede enviar dos comandos
simultáneamente. Los discos SAS pueden encadenarse, a diferencia de los discos SATA
que necesitan un puerto por cada disco. Durante la normalización de SATA 6 GB/s,
apareció una nueva versión de SAS. Presentada en su versión 2.0, posee las novedades
de SATA 3 con un caudal de datos equivalente.
SSD (Solid State Drive): este tipo de disco emplea memoria flash para el
almacenamiento de los datos, a diferencia de los discos clásicos que emplean un soporte
magnético. Los accesos a disco son netamente superiores con un menor consumo de
energía. Este tipo de disco emplea generalmente una interfaz SATA, sin embargo el
coste es mayor que el de un disco tradicional.
En caso de parada del servidor (mantenimiento, parada por fallo, reinicio...), los archivos y
carpetas contenidos no estarán accesibles. Los discos de tipo SATA, SAS o SSD pueden
utilizarse con esta solución, presentando cada uno sus ventajas e inconvenientes (velocidad,
rendimiento...).
Ventajas de DAS
Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro
equipo por medio de un adaptador de bus host (HBA). No puede existir ningún equipo de
red de tipo hub, conmutador o enrutador entre el DAS y el servidor. El mantenimiento y el
despliegue de esta solución es muy sencillo, basta con conectar el periférico y verificar que el
sistema operativo lo reconoce. Tratándose de una solución más económica, existen discos
disponibles de diferentes velocidades y tamaños. Esto permite una mejor adaptación a las
diferentes soluciones que pueden implementarse. La administración y la configuración se
realizan mediante la consolaAdministración de discos.
Inconvenientes de DAS
Esta solución no permite centralizar los datos, que se encuentran repartidos entre varios
servidores. Adicionalmente a la administración, la copia de seguridad y el acceso a los
diferentes recursos es también difícil de gestionar. Además, el rendimiento del servidor
(velocidad del procesador, memoria) impacta en el acceso al DAS.
Ventajas de NAS
Como hemos visto, la solución NAS ofrece la ventaja de proporcionar acceso a varios clientes
con un acceso directo desde la red. Es frecuente tener un equipo de tipo "appliance", que
permite evitar cualquier problema de rendimiento vinculado al servidor, estando el equipo
reservado exclusivamente a la presentación de los archivos y carpetas. Al estar los recursos
almacenados en un punto central, la administración y la copia de seguridad son muy sencillas
de realizar. Adicionalmente, la solución es independiente de la versión del sistema operativo.
Inconvenientes de NAS
Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto
siguiente), dado que se accede mediante un enlace Ethernet. Esta solución está basada en red.
No es aconsejable almacenar aquí archivos de aplicaciones tales como SQL Server o Microsoft
Exchange.
Las SAN pueden utilizar fibra óptica o iSCSI. Este último tipo de interfaz permite la transmisión
de comandos SCSI a través del protocolo IP.
Ventajas de SAN
Una de las ventajas de SAN es la posibilidad de cambiar el número de discos, y por ende la
cantidad total de almacenamiento. Es posible agregar un disco o una cabina de forma muy
sencilla en comparación con una solución de almacenamiento de tipo DAS. La centralización del
almacenamiento permite una mejor gestión y administración de los recursos albergados. Los
rendimientos en lectura y escritura son más elevados en este tipo de almacenamiento,
adicionalmente es posible configurar una redundancia a nivel de ciertos componentes
(alimentación, disco duro).
Inconvenientes de SAN
La tecnología RAID puede emplearse para proporcionar a una empresa una solución de alta
disponibilidad o de alto rendimiento. El concepto se basa en la utilización de varios discos en
una única unidad lógica. Variará en función del nivel RAID seleccionado, el número de discos
utilizados o la posibilidad de tener un fallo de disco.
En la actualidad, esta tecnología está muy extendida en las empresas porque garantiza (en
función del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de
indisponibilidad de los servidores (generalmente contamos con una redundancia a nivel de
alimentación, discos y tarjeta de red).
Funcionamiento de RAID
Disco en espejo: se emplean dos discos, al escribir un bit en un disco, el mismo bit se
escribe en el disco espejo. En caso de fallo de un disco, los datos están todavía
disponibles mediante el segundo disco.
Información de paridad: empleado en caso de fallo de un disco, la información de
paridad permite recuperar los datos que se encuentran en el disco fuera de servicio. La
información de paridad se calcula para cada dato escrito en el disco, esta operación la
realiza el servidor o la controladora RAID. En caso de error, la información de paridad se
asocia a los datos que siguen disponibles en los otros discos para recuperar la
información faltante.
El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y
configurándola mediante diferentes herramientas. Esta configuración no está disponible para el
sistema operativo. Éste solo puede efectuar la creación de volúmenes. El RAID por software es
un poco diferente porque la configuración RAID se realiza esta vez en el sistema operativo. Se
emplea la consola Administración de discos para la gestión de los diferentes niveles de
RAID.
Niveles de RAID
Hay disponibles varios niveles de RAID. Cada uno tiene ventajas e inconvenientes.
RAID 0
RAID 0 o "stripping", permite una mejora neta del rendimiento a nivel del acceso a los discos.
Los n discos presentes en el RAID trabajan en paralelo, lo que permite una mejora en el acceso
de lectura y de escritura. Esta configuración posee, sin embargo, un inconveniente en el
tamaño de los discos. En efecto, la capacidad del volumen es igual al tamaño del disco más
pequeño multiplicado por el número de los discos que componen el clúster.
Ejemplo
Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se
escriben datos cuando el disco más pequeño está lleno. Es muy aconsejable utilizar discos de
igual tamaño.
No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Si uno de los discos falla, se
pierde el conjunto de los datos.
RAID 1
Al igual que para RAID 0, se emplean varios discos, cada uno posee en el momento t los
mismos datos. Hablamos de espejo o "mirroring" en inglés. La capacidad del volumen es igual
al menor de los discos presentes en el clúster.
Al igual que para RAID 0, es aconsejable emplear discos de igual tamaño. Este tipo de RAID
ofrece una buena protección de datos. En caso de fallo de uno de los discos, la controladora
RAID lo desactiva sin que el usuario se percate. Al reemplazarlo, la controladora reconstruye el
espejo. Una vez reconstruido, se garantizan nuevamente la redundancia y la alta
disponibilidad.
RAID 5
RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad. De
esta forma los datos no se escriben nunca de la misma forma en los diferentes discos. Esto
permite tener en cada disco la información de paridad y los datos. Esta solución garantiza la
reconstrucción del RAID combinando los bits de paridad y los datos. Sin embargo, en caso de
pérdida de más de un disco los datos no podrán ser recuperados.
Esta solución RAID aporta un buen acceso de lectura, sin embargo el cálculo de la paridad
implica tiempos de escritura mucho más largos.
Desde 1980, los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot
Record) en sus discos duros. Este tipo de tabla de particiones posee ciertas características. Un
disco no puede tener más de 4 particiones y cada una puede tener un tamaño máximo de 2
TB. Es recomendable emplear una tabla de particiones de tipo GPT (GUID Partition Table) para
los discos de más de 2 TB.
Windows Server 2012 permite el uso de dos discos diferentes (los discos básicos y los
discosdinámicos).
Los discos básicos, utilizados en todas las versiones del sistema operativo Windows, utilizan
tablas de particiones de tipo MBR o GPT. Un disco básico contiene particiones principales o
particiones extendidas. Estas últimas estarán divididas en unidades lógicas. Al instalar un
disco, la opción por defecto es el disco básico. Sin embargo, se puede realizar la conversión a
un disco dinámico. Esta conversión no tiene impacto sobre los datos presentes.
No obstante, el paso de disco dinámico a disco básico causa la pérdida del conjunto de datos
contenidos en el disco. Los discos dinámicos no aportan rendimientos superiores,
adicionalmente algunas aplicaciones no pueden tratar los datos en este tipo de discos.
Los discos dinámicos aparecieron con Windows Server 2000. La noción de volumen hizo su
aparición con este tipo de discos. En efecto, ya no hablamos de particiones sino de volúmenes
dinámicos. Estos son unidades de almacenamiento que se extienden sobre uno o más discos.
Al igual que para los discos básicos, los volúmenes pueden formatearse con el sistema de
archivos deseado y se les puede asignar una letra de unidad. Están disponibles varios tipos de
volumen, los volúmenes simples utilizan un solo disco y poseen las mismas características
que una partición principal. No existe ningún límite (salvo el espacio en disco) en el número de
volúmenes simples por disco, a diferencia de las particiones principales que están limitadas a 4
por disco. El volumen distribuido se crea utilizando el espacio en disco libre en varios discos.
Este volumen puede extenderse a un máximo de 32 discos. No puede ponerse en espejo, no se
proporciona ninguna tolerancia a errores. Al igual que para el volumen distribuido, el volumen
seccionado emplea varios discos (como mínimo dos). Los datos se escriben de forma
alternativa en los diferentes discos que componen el volumen. Conocido bajo el nombre de
RAID 0 o stripping, esta solución no ofrece tolerancia a errores. Los volúmenes reflejados,
más conocidos como RAID 1, permiten implementar un volumen con tolerancia a errores.
Empleando dos discos, los datos escritos en uno se replican, automáticamente, en el otro.
FAT
FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar con
Windows Server 2012. Al formatear un disco con un sistema de archivos FAT, se realiza una
división en clúster (grupo de sectores). La versión original de FAT no permitía tener particiones
de más de 2 GB, a causa de la limitación en el tamaño de la tabla de asignación de archivos. El
sistema FAT32 fue desarrollado por Microsoft para permitir la creación de particiones de un
tamaño máximo de 2 TB. Sin embargo, no se implementa seguridad para los archivos en
ninguna de las dos versiones. No es recomendable utilizar este tipo de sistema en las
particiones internas de un servidor que ejecute Windows Server 2012.
NTFS
NTFS (New Technology File System) puede utilizarse a partir de Windows NT4.0. Este sistema
proporciona características muy útiles que el sistema FAT no tiene. Implementa ACL (Access
Control Lists) para los archivos y carpetas. Esta funcionalidad, que consiste en proporcionar
autorizaciones de acceso a los archivos, carpetas o cualquier recurso compartido permite
obtener una mejor seguridad en un sistema de información. Los sistemas operativos que
emplean este sistema cuentan a su vez con cifrado empleando el protocolo EFS. Finalmente, es
posible implementar la compresión de archivos y cuotas por volumen. Se puede realizar
conversión de una partición FAT a una de tipo NTFS sin pérdida de datos empleando el
comando convert. El tamaño de las particiones formateadas con este tipo de sistema de
archivos no pueden exceder los 16 Exabytes (tamaño teórico).
ReFS
Introducido con Windows Server 2012, mejora el sistema NTFS permitiendo un mayor tamaño
de archivo, carpeta o partición. Se han mejorado a su vez la corrección de errores y la
verificación de datos. Es preciso utilizar este tipo de sistema para rebasar los límites impuestos
por NTFS. Se han mejorado la integridad de datos, así como la protección contra la corrupción.
Esta novedad hereda funcionalidades presentes en el sistema NTFS tales como la encriptación
BitLocker o la implementación de la seguridad mediante el despliegue de ACL. Esto permite
garantizar la compatibilidad hacia atrás con el sistema NTFS. Si el disco se formatea con este
sistema, no se reconocerá si se conecta a un sistema operativo anterior a Windows Server
2012. A diferencia de NTFS que permite la modificación del tamaño de los clústers, con ReFS
cada clúster tiene un tamaño de 64 KB. El sistema EFS (Encrypted File System) no es
compatible con ReFS.
En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para
los clientes, la reducción o ampliación de una partición debía efectuarse empleando software
adicional. En adelante, la consola Administración de discos permite realizar esta operación.
Sin embargo, solo es posible redimensionar las particiones NTFS. Las particiones formateadas
en FAT no pueden ser ni extendidas ni reducidas, mientras que los volúmenes ReFS solo
pueden ser extendidos. No obstante, la opción que permite extender los datos solo puede
utilizarse si un espacio no asignado es adyacente a la partición que sufre la acción. En caso de
utilizar un volumen dinámico, es posible extender el volumen con espacio no asignado de otro
disco (volumen agregado). Recuerde que los volúmenes agregados no aplican la tolerancia a
fallos, además no es posible utilizar este tipo de volumen para una partición del sistema. Un
clúster defectuoso puede causar la imposibilidad de reducir la partición. Al reducir una
partición, aquellos archivos que no se pueden mover (pagefile.sys...) no se desplazan. Esto
obligará al administrador a eliminar o desplazar estos archivos que no se pueden mover antes
de realizar la operación de reducción. También es posible utilizar el cmdlet Resize-Partition.
Existen tres opciones. Un espacio simple permite obtener los mejores rendimientos mediante
RAID 0. No se despliega ninguna redundancia, en caso de fallo los datos se pierden.
El Espejopermite la redundancia de datos garantizando la duplicación de los datos en varios
discos. Esta solución proporciona gran capacidad con una latencia de acceso relativamente
baja. Adicionalmente se garantiza una tolerancia a errores. Finalmente la Paridad es similar al
RAID 5. Los datos, así como los bits de paridad, se reparten entre varios discos. Esta última
solución requiere tres discos físicos. Al igual que para el espejo, esta solución incluye tolerancia
a fallos.
Para gestionar el grupo de almacenamiento y los diferentes discos virtuales, es posible utilizar
instrucciones PowerShell.
Get-VirtualDisk | Get-PhysicalDisk Enumera los discos físicos que se utilizan para un disco virtual.
La máquina virtual está arrancada, resulta imposible agregar un disco IDE. Vamos a agregar
discos duros de tipo SCSI.
En la ventana Configuración para SV1 en SRVHYPER1, haga clic en Controladora SCSI y
luego en Unidad de disco duro.
Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.
El nombre del archivo vhdx debe modificarse, los demás parámetros son idénticos.
Haga clic en Aceptar, luego en la máquina virtual SV1, abra la consola Administrador del
servidor.
Haga clic en Herramientas y luego,en el menú contextual, seleccione Administración de
equipos.
En el nodo Almacenamiento, haga clic en Administración de discos.
Haga clic con el botón derecho en Disco 1 y luego seleccione la opción En línea.
El número de disco puede variar en función del número de lectores incluidos en la máquina
virtual. Si la opción En línea no aparece, significa que no se ha hecho clic en el lugar
adecuado. La operación debe hacerse en el texto encima del enlace Ayuda.
Haga clic con el botón derecho en el espacio no asignado (barra negra) y luego en el menú
contextual seleccione Nuevo volumen simple.
Se inicia un asistente, haga clic en Siguiente.
En el campo Tamaño de volumen simple en MB, introduzca 1000 y luego haga clic
enSiguiente.
La creación de un volumen con un sistema MBR y GPT es idéntica. Solo difieren el tamaño y el
nombre del las particiones.
Objetivo: el objetivo de este taller es efectuar la reducción o la extensión de una partición del
sistema.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enReducir volumen.
En el campo Tamaño del espacio que desea reducir, en MB, introduzca 200.
Después de unos minutos, aparece disponible un espacio sin asignar de 200 MB.
Este espacio sin asignar no puede asignarse a la partición D porque está ubicado antes que
ella.
Haga clic con el botón derecho en la partición C: y luego, en el menú contextual, haga clic
enExtender volumen.
En la página Bienvenida del asistente, haga clic en Siguiente.
En el campo Seleccione la cantidad de espacio (MB), deje el valor predeterminado y luego
haga clic en Siguiente.
Este campo indica al sistema operativo el valor que se agregará a la partición a extender.
La partición del sistema puede reducirse o extenderse mientras el sistema operativo está
cargado.
Haga de nuevo clic con el botón derecho y seleccione esta vez Inicializar disco.
Marque la opción GPT (Tabla de Partición GUID) y luego haga clic en el botón Aceptar.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen seccionado.
En la ventana Asistente para nuevo volumen seccionado, haga clic en Siguiente.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
Repita la misma operación con el Disco 3.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 200 en el campo Seleccione
la cantidad de espacio (MB).
El valor se aplica a los discos 2 y 3. De hecho, no es posible tener tamaños diferentes para
cada disco.
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen reflejado.
En la ventana Asistente para nuevo volumen reflejado, haga clic en Siguiente.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 300 en el campo Seleccione
la cantidad de espacio (MB).
Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego, en el menú
contextual, haga clic en Nuevo volumen RAID-5.
En la ventana Asistente para nuevo volumen RAID-5, haga clic en Siguiente.
Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar.
Repita la misma operación con el Disco 3.
En el campo Seleccionados, haga clic en Disco 1 e introduzca 500 en el campo Seleccione
la cantidad de espacio (MB).
Cree un archivo llamado prueba.txt que contenga el texto "test" en cada volumen.
En la consola Administración de discos, haga clic con el botón derecho en Disco 2 y luego,
en el menú contextual, haga clic en Sin conexión.
Los volúmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen
seccionado) no están accesibles.
Haga clic con el botón derecho en Disco 2 y luego, en el menú contextual, seleccione En línea.
Repita la operación, pero esta vez seleccione la opción Reactivar disco.
Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y
almacenamiento. Por último, haga clic en Grupos de almacenamiento.
Seleccione el botón TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco
virtual.
Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el grupo de
almacenamiento.
Introduzca GrupoEspejo en el campo Nombre y luego haga clic en Siguiente.
En el campo Tamaño de disco virtual, especifique 2 para crear un disco virtual de 2 GB.
1. Preguntas
4¿Qué es iSCSI?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 9 puntos para
aprobar el capítulo.
3. Respuestas
Se pueden instalar varios tipos de disco en un servidor, los discos SATA, SAS o SCSI.
4¿Qué es iSCSI?
iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo
IP.
Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI.
Además del número de discos, dos para RAID 1 y tres para RAID 5, el funcionamiento
de los dos RAID es diferente. RAID 1 emplea un sistema de espejo, al escribir un bit en
un disco se escribe el mismo en el segundo disco. RAID 5 emplea un sistema de
paridad, cuando se escriben datos en el disco, se calcula un bit de paridad y se escribe
en el tercer disco. En caso de fallo de un disco, la parte de los datos restante se asocia
al bit de paridad para recuperar el valor original.
El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones, etc.).
Para rebasar estos límites, debemos utilizar una tabla de particiones GPT (GUID
Partition Table) para poder crear más de 4 particiones principales…
ReFS permite mejorar el sistema NTFS. En efecto, el tamaño máximo de los archivos
ha sido aumentado. Este sistema aporta otras mejoras.
1. Requisitos previos
2. Objetivos
Introducción
Todas las empresas utilizan al menos un servidor de archivos y de impresión. La
implementación de estos servidores es un aspecto esencial que debe abordarse con mucho
cuidado.
Seguridad de carpetas y archivos
Los archivos y carpetas almacenados en un servidor de archivos pueden contener información
confidencial. Es necesario garantizar la seguridad del acceso para asegurar la confidencialidad
de los datos.
Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición NTFS.
Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que
se encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra
activa al crear una nueva carpeta o archivo. Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos
avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos sobre un
archivo o una carpeta, lo que incluye la posibilidad de modificar los permisos o convertirse en
propietario. El permiso Modificar permite leer, escribir y eliminar un archivo o una carpeta. Se
concede al objeto afectado permisos para ejecutar un archivo o efectuar su creación.
Atribuyendo el permisoLectura y ejecución, es posible leer un archivo y ejecutar un
programa. A diferencia del permisoLectura y ejecución, Lectura solo permite ver el
contenido de un archivo o de una carpeta. El permiso Escritura proporciona permisos de
escritura sobre un archivo. Por último, al atribuir a un objeto el permiso Mostrar el contenido
de la carpeta, es posible enumerar las carpetas y archivos contenidos en una carpeta pero sin
tener la posibilidad de abrir y leer el contenido de un archivo.
Leer atributos Este permiso permite leer los atributos básicos de un archivo o carpeta (solo
lectura, mostrar el contenido...).
El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se
compone del nombre del servidor que contiene el recurso seguido del nombre del recurso
compartido (por ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan
desde hace años. Permiten poner disponible un recurso en la red sin que el usuario pueda
verlo. Para acceder, es necesario introducir la ruta UNC. Los recursos como c$, admin$ se
crean durante la instalación de un sistema operativo cliente o servidor. Para ocultar un recurso
compartido y transformarlo en un recurso administrativo, debemos añadir un $ al final del
recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear
un archivo o carpeta, este último recupera automáticamente los permisos de seguridad
aplicados a su padre. En ciertas ocasiones, se puede llegar al caso de que los permisos
heredados contradicen a los permisos explícitos. Hablamos entonces de conflictos. En este
caso, los permisos declarados explícitamente por el administrador tienen prioridad sobre los
permisos heredados de la carpeta padre. Los últimos pueden ser deshabilitados bloqueando la
herencia en la carpeta o el archivo. Esta operación se efectúa en las opciones avanzadas del
archivo o carpeta (clic derecho en la carpeta, Propiedades - pestaña Seguridad - Opciones
avanzadas).
Después de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarán
más al hijo. A veces es necesario restablecer los permisos en cada nodo del árbol remplazando
los permisos del padre al hijo. Para esto, se debe usar la opción Remplazar todas las
entradas de permisos de objetos secundarios por entradas de permisos heredables
de este objeto. La operación consiste en propagar los permisos del padre a todas las
subcarpetas.
Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory
(usuario, grupo o equipo). Puede ser complicado conocer esta autorización, se puede obtener
un resultado diferente del deseado si hay muchos grupos implicados y el usuario está incluido
en diferentes grupos. Desde hace algunos años, existe una herramienta que permite calcular
esta autorización final disponible en los sistemas operativos de Microsoft. Muy práctica en
arquitecturas complejas, permite saber en pocos clics el permiso otorgado a un usuario o
grupo.
Haciendo clic en Ver el acceso efectivo, podemos visualizar las autorizaciones que el usuario
tiene sobre el recurso.
La siguiente pantalla muestra que los miembros del grupo Formadores no poseen ningún
permiso sobre la carpeta.
Utilización de instantáneas
Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de
una forma sencilla.
Una instantánea es una imagen estática. Contiene los archivos y carpetas que están
compartidos en el servidor. Esta funcionalidad proporciona al usuario o al administrador la
posibilidad de restaurar de forma sencilla un documento eliminado por error, o que ha sufrido
una modificación errónea.
La instantánea se almacena en la misma unidad que el archivo original, sin embargo es posible
cambiar el lugar de almacenamiento. El espacio asignado a la funcionalidad puede, también,
configurarse permitiendo así evitar la saturación de los discos. Una vez alcanzada la cuota, las
instantáneas más antiguas se eliminan en beneficio de las nuevas, creando así un ciclo que
permite respetar el tamaño límite configurado. Observe sin embargo que las instantáneas no
pueden considerarse como una alternativa a las copias de seguridad. Los datos se perderán en
caso de un fallo de disco. Es casi imposible restaurar por este método ciertos archivos
complejos de tipo base de datos... Con el riesgo de corromper el archivo de base de datos y
causar un fallo total de la aplicación.
Por defecto, la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las
12:00. Evidentemente es posible crear nuevos rangos, sin embargo es necesario asegurarse de
tener el espacio en disco requerido.
Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por
medio de cinta o copia de seguridad de disco. Esta operación es perfectamente posible pero
demanda mucho tiempo: además, la copia de seguridad se efectúa normalmente una vez al
día, a diferencia de las instantáneas que se ejecutan dos veces.
Agregando las impresoras de red a un servidor de impresión los clientes tienen la posibilidad
de enviar sus trabajos de impresión a un servidor. Éste enviará a la impresora correspondiente
el trabajo de impresión solicitado por el usuario.
Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras
(empleando una GPO) a los equipos cliente desde un punto central. De esta forma
simplificamos también el soporte técnico. La publicación en Active Directory facilita la
instalación y el despliegue de las impresoras a un usuario.
A partir de Windows Server 2000, los controladores utilizados para las impresoras son de
versión 3. Con este tipo de controlador, los fabricantes creaban un controlador para cada tipo
de dispositivo. Si el parque informático está compuesto por varios tipos de dispositivos
diferentes, los administradores deberán gestionar diferentes controladores. Además, ambos
tipos de plataforma, 32 y 64 bits, utilizan controladores diferentes, lo que complica una vez
más la gestión de los controladores.
Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4). Con
este nuevo modelo, los fabricantes pueden crear una clase de controlador de impresora que
gestiona los lenguajes de impresión para una amplia gama de dispositivos. Los lenguajes
incluyen XML Paper Specification (XPS), Printer Control Language (PCL)… Este tipo de
controladores se distribuyen mediante Windows Update o Windows Software Update
Services (WSUS).
Un grupo de impresoras consiste en la creación de una unidad lógica, la cual está conectada de
forma lógica a varios dispositivos físicos. Los clientes verán el grupo de impresoras como un
dispositivo físico. Al enviar un trabajo de impresión, todas las impresoras disponibles y
conectadas al grupo tienen la posibilidad de efectuar el trabajo. Esta funcionalidad permite al
usuario tener siempre una impresora disponible. En caso de problema con una de las
impresoras (atasco de papel...) los trabajos de impresión se envían a las otras impresoras
integrantes del grupo. La creación del grupo se efectúa en el servidor de impresión y consiste
en asignar a esta impresora lógica varios puertos de destino de los dispositivo físicos. En la
mayoría de los casos, los enlaces apuntan a direcciones IP.
Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos
formatos. En la mayoría de los casos, un grupo está compuesto de dispositivos del
mismo modelo.
Por comodidad, es preferible que las impresoras estén en un entorno cercano al usuario.
La impresión puede realizarla cualquiera de las impresoras contenidas en el grupo. El
usuario deberá hacer el recorrido por las impresoras para recuperar su documento
impreso, es imposible saber en cuál de los dispositivos se ha hecho la impresión.
La partición puede tener una letra diferente. Si tiene solo una partición, tome la partición del
sistema.
Haga clic con el botón derecho en el panel central y seleccione la opción Nuevo recurso
compartido.
El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vacío
del panel central.
En el campo Ubicación del recurso compartido, seleccione el botón Escriba una ruta de
acceso personalizada y luego haga clic en Examinar.
Empleando la ventana Seleccionar carpeta, haga clic en D: y luego en el botón Seleccionar
carpeta.
En la ventana del mensaje de aviso, haga clic en Aceptar para crear la carpeta.
En la ventana Parámetros de configuración de recurso compartido, haga clic
enSiguiente.
En la ventana que se muestra, haga clic en Convertir los permisos heredados en permisos
explícitos en este objeto.
Agregue el usuario nbonnet y asigne el permiso Modificar.
Elimine las entradas Administradores y Usuarios de la lista ACL.
2. Implementar instantáneas
En SV1, inicie el explorador de Windows, haga clic con el botón en la partición D: y luego, en
el menú contextual, haga clic en Propiedades.
Es preciso habilitar las instantáneas en la partición que contiene las carpetas creadas en el
taller anterior. Acceda a las propiedades de la partición que contiene estos datos.
Haga clic en el botón Configuración para poder configurar los parámetros de las instantáneas.
Esta ventana permite configurar el tamaño máximo que pueden utilizar las instantáneas. Es
posible configurar a su vez el volumen en el que se almacenarán las instantáneas.
Esta ventana permite configurar el momento en que se crean las instantáneas. De forma
predeterminada la operación se efectúa a las 7:00 y 12:00 de Lunes a Viernes.
El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la
programación seleccionada.
Haga doble clic en el recurso compartido data y luego elimine el archivo presente.
Haga clic con el botón derecho en el recurso compartido data y luego en el menú contextual
seleccione Propiedades.
Seleccione la pestaña Versiones anteriores; se muestra la instantánea.
Esta opción permite copiar el contenido de la instantánea en un destino diferente del original.
Haga clic con el botón derecho en el nodo Impresoras y luego, en el menú contextual, haga
clic en Agregar impresora.
Haga clic con el botón derecho en Impresora Sala 1 y a continuación, en el menú contextual,
seleccione Propiedades.
Seleccione la pestaña Compartir y luego marque la opción Mostrar lista en el directorio.
Haga clic en Aplicar y luego en Aceptar.
En la consola Administración de impresión, haga clic con el botón derecho en el
nodoPuertos y luego haga clic en Agregar puerto.
Seleccione Standard TCP/IP Port y luego haga clic en Puerto nuevo.
En AD1, inicie la consola Administración de impresión y luego haga clic en el nodo Filtros
personalizados.
Los filtros personalizados permiten mostrar información acerca de las impresoras. Esto permite
visualizar de forma sencilla el conjunto de impresoras y controladores así como aquellas
impresoras con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto
de impresoras que no tienen estado de preparadas). Puede crear su propio filtro para obtener
la información deseada.
Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione Agregar
nuevo filtro de impresora.
Introduzca Visualización de trabajos en curso en el campo Nombre.
Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y luego
haga clic en Siguiente.
Haga clic en el botón que permite Crear nuevo objeto de directiva de grupo.
En la ventana Buscar un objeto de directiva de grupo, haga clic en el segundo icono que
permite la creación de una nueva GPO.
Llame a la nueva directiva Implementar impresoras y luego haga clic en Aceptar.
1. Preguntas
4La partición D contiene la carpeta Contabilidad que está compartida con el nombre
Conta. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e
IVA 2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el
contenido de los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de
la carpeta Conta.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder
al recurso?
9¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
4La partición D contiene la carpeta Contabilidad que está compartida con el nombre
Conta. Los miembros de los grupos G_Conta_W poseen permisos de escritura, el
administrador tiene permisos de control total. Se crean dos subcarpetas: IVA 2012 e
IVA 2013.
El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el
contenido de los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de
la carpeta Conta.
¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder
al recurso?
Para esto existen dos posibilidades. Podemos compartir la carpeta IVA 2013 lo que
permitirá al usuario acceder directamente a la carpeta deseada.
Los permisos NTFS son acumulativos de forma tal que es posible tener al final una
autorización efectiva diferente de la deseada por el administrador. Para garantizar que
atribuimos al usuario los permisos correctos, podemos utilizar la pestaña Acceso
efectivo en la configuración de seguridad avanzada.
Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. Es, por supuesto,
posible modificar esta programación.
9¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas?
Se realiza una rotación. De esta forma, cuando se alcanza el tamaño máximo, las
instantáneas con fecha más antigua se eliminan en beneficio de las más recientes.
Los usuarios pueden restaurar una instantánea por medio de la opción Versiones
anteriores en las propiedades del recurso compartido. El administrador tiene la opción
de hacerlo desde el servidor.
Los grupos de impresión consisten en hacer funcionar varias impresoras sobre una
impresora lógica. Esto permite continuar imprimiendo en caso de que una impresora
no esté disponible.
1. Requisitos previos
2. Objetivos
Introducción
Una directiva de grupo permite implantar parámetros de configuración en un conjunto de
equipos. La gestión se realiza de forma centralizada en el controlador de dominio.
Una GPO (Group Policy Object - Directiva de grupo) contiene uno o más parámetros para los
usuarios y equipos del dominio o puesto local. Estas directivas se almacenan en SYSVOL y se
gestionan mediante la consola Administración de directivas de grupo (GPMC). La
consolaEditor de administración de directivas de grupo permite editar la directiva y
modificar los diferentes parámetros. Las GPO están vinculadas a un contenedor de Active
Directory (Unidad organizativa, UO), para que cada objeto contenido en esta OU reciba la
directiva de grupo. Es posible configurar varios miles de parámetros, sin embargo cada nueva
versión aporta un lote de parámetros. A diferencia de cierto número de parámetros, muchos de
ellos no son compatibles con las versiones más antiguas. En este caso, el equipo que recibe la
directiva de grupo ignora el parámetro. Si un administrador vincula a un equipo con sistema
operativo Windows. XP una directiva de grupo que contiene estas preferencias, estas no se
aplican si las CSE (Extensiones del lado cliente) no están instaladas. Estas CSE se encuentran
en el sistema operativo Microsoft y tienen la responsabilidad de aplicar los parámetros
recibidos por una directiva de grupo. Existen tantas extensiones del lado cliente como tipos de
parámetros.
Con los sistemas operativos anteriores a Windows Vista, solo era posible configurar una
directiva de grupo local. Ésta se aplica al conjunto de usuarios que se conectan al equipo en
local. Esta característica se ha mejorado con Windows Vista y permite en adelante la creación
de varias directiva de grupo locales. Es más fácil aplicar configuraciones diferentes a varios
usuarios.
El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los
parámetros vinculados al registro. Soporta los archivos adm o admx. Este contenedor se
encuentra en la carpeta Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este último identifica de forma unívoca al objeto
en AD DS. El GPC define atributos tales como el vínculo o el número de versión. Podemos
encontrar el mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20 extensiones
de directiva de grupo. Esta funcionalidad permite la reducción de los scripts empleados por el
inicio de sesión (conexión de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones del
lado cliente.
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al
apagar el equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parámetros
configurados en las preferencias no se eliminan del equipo cuando la directiva ya no se aplica
al equipo o al usuario. Sin embargo se puede modificar este comportamiento.
La asignación de las preferencias a los puestos cliente se efectúa de una forma más fina que
usando una directiva de grupo. En efecto, podemos atribuir las preferencias a los equipos en
función del sistema operativo... Esta funcionalidad es configurable solamente en las directivas
de dominio.
Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva
GPO, ésta puede crearse a partir de un objeto GPO de inicio. De esta forma la nueva directiva
recupera el conjunto de parámetros configurados. Esta característica permite la misma
configuración básica para el conjunto de las directivas de grupo.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos
en las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo Cabinet).
De esta forma realizamos la distribución y carga de estos archivos en otro sitio. Esta operación
de distribución es posible porque estos archivos son independientes del bosque o dominio en el
que se crean.
Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la
empresa.
Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible
añadir parámetros adicionales en la directiva. Esto permite responder por ejemplo a una
problemática específica de una de las áreas.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las
diferentes directivas de grupo:
Administradores de dominio
Administradores de empresas
CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicación de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio,
empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un
usuario, debemos agregarlo en la pestaña Delegación del contenedor Objetos de directiva
de grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe estar ubicado en el
contenedor deseado.
A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican
durante el inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los
scripts se ejecutan durante el inicio de sesión.
En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante
el primer inicio de sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a
que se utilizan los identificadores puestos en caché para abrir la sesión más rápidamente. Los
parámetros se vuelven a aplicar mientras el usuario cuente con una sesión abierta. Es posible
modificar el intervalo de configuración, para ello debemos modificar el parámetro presente en
el nodoConfiguración del equipo - Directivas - Plantillas administrativas - Sistema -
Directiva de grupo.
Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción
relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el
intervalo configurado.
Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-
Gpupdate.
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la
consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un
administrador tiene acceso a la opción Actualización de directiva de grupo.
Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de
error.
Al realizar esta operación, la mayoría de los equipos estaban desconectados, esto explica el
gran número de errores.
La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al
conjunto de usuario y equipos del dominio por herencia. Ella contiene la política de seguridad
predeterminada (parámetros de contraseña, bloqueo...). Si se deben aplicar otros parámetros
al conjunto de objetos del dominio, es preferible crear una nueva directiva y luego vincularla a
la raíz del dominio.
Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor
y sub contenedores. Ciertas directivas (instalación de software...) necesitan, sin embargo, que
se implemente un filtro un poco más estricto.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el
conjunto de usuarios y equipos autentificados por un controlador de dominio pueden leer y
aplicar la GPO.
Se pueden configurar permisos más granulares configurando la ACL (Access Control List). Esto
hace que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la
configuración. Para acceder a esta lista de control de acceso, haga clic en el botón Opciones
avanzadas en la pestaña Delegación.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más
granulares.
Para utilizar una carpeta única para todos los servidores, debemos desplegar un almacén
central.
Los archivos ADML deben copiarse, también, a la carpeta, la siguiente pantalla muestra los
archivos ADMX así como los archivos de idioma almacenados en la carpeta es-ES.
Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave a
modificar y el valor a configurar para los estados Habilitado o Deshabilitado. Este tipo de
archivo es neutro a nivel de idioma, puede utilizarse en sistemas operativos en inglés,
español…
El archivo ADML permite generar la interfaz de usuario. Contiene todos los textos que se
mostrarán en esta interfaz (texto de ayuda...). A diferencia del formato ADM, la creación de
un archivo personalizado es muy simple, sin embargo es necesario estar familiarizado con el
lenguaje XML.
Existen dos tipos de parámetros en una directiva de grupo: los parámetros administrados y los
no administrados. La mayoría de los parámetros tienen estado administrado. Así, cuando la
cuenta de usuario o equipo no siga formando parte del ámbito de la directiva de grupo, los
parámetros contenidos en la misma serán eliminados. El valor predeterminado configurado por
el sistema operativo tomará el lugar del parámetro configurado en la GPO. De forma inversa,
los parámetros no administrados modifican el registro y no se eliminan aunque la cuenta deje
de formar parte del ámbito de la directiva de grupo.
Con los parámetros administrados, el usuario no tiene la posibilidad de modificar los
parámetros. Los cambios se realizan en zonas específicas del registro, donde solo los
administradores tienen acceso:
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Para invertir el proceso, habrá que modificar la directiva para indicar el estado opuesto al que
se encuentra configurado. Algunos parámetros contenidos en las preferencias son parámetros
no administrados.
Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente
aquellos configurados. Esta funcionalidad se activa desde la consola Editor de
administración de directivas de grupo. El menú contextual de las plantillas administrativas
(accesible haciendo clic con el botón derecho) permite acceder a la opción Opciones de filtro.
La ventana contiene varias secciones. La primera de ellas está compuesta por tres listas
desplegables:
La segunda sección permite filtrar por palabra clave mientras que la tercera y última filtra por
aplicación o plataforma (Windows Server 2003, Internet Explorer 10).
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local
(C:).
Haga doble clic en Windows y luego copie la carpeta PolicyDefinitions.
Objetivo: Implementar una directiva de grupo para configurar un equipo cliente que ejecuta
Windows 8.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego, en el menú
contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Parámetros de puesto cliente y luego haga clic
enAceptar.
Esta vez haga doble clic en el parámetro Impedir administración del filtro SmartScreen.
Haga clic en el botón Habilitada y luego, en la lista desplegable Seleccionar modo de filtro
Smart-Screen, seleccione Activado.
Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opciónDesactivar
el filtro SmartScreen está deshabilitada.
En el menú Herramientas, haga clic en Opciones Internet y luego en la pestaña Opciones
avanzadas.
Objetivo: Crear una GPO de inicio que podrá utilizarse como base para todas las demás
directivas.
Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar.
Solo están presentes las plantillas administrativas.
Despliegue los nodos Configuración del equipo, Plantillas administrativas,Componentes
de Windows y luego Agregar características a Windows 8.
Haga doble clic en el parámetro Impedir que el asistente se ejecute.
Haga clic en Aceptar y efectúe un doble clic en la directiva Test GPO inicio.
Empleando la pestaña Ámbito, podemos ver que el campo Ubicación está vacío. La directiva
no está de momento vinculada a ningún contenedor.
4. Implementación de preferencias
Objetivo: Creación de una GPO que contenga las preferencias y su aplicación en el equipo.
Se despliega un filtro, la regla se aplica solamente a los equipos que ejecutan Windows 8.
Haga clic en Configuración del panel de control y luego haga clic con el botón derecho
enConfiguración Internet.
En el menú contextual, seleccione Nuevo y luego Internet Explorer 10.
En Página principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la
modificación.
La línea en el campo se torna verde. Sin la validación de la tecla [F6], el parámetro no estará
actualizado.
Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administración de
directivas de grupo.
Haga clic con el botón derecho en la unidad organizativa Formacion y luego, en el menú
contextual, seleccione Vincular un GPO existente.
Seleccione Parámetros de Puesto cliente y luego haga clic en Aceptar.
En el equipo CL8-01, abra una sesión como Alumno1 y luego inicie un símbolo del sistema e
introduzca el comando gpupdate /force.
Inicie el Explorador de Windows y luego acceda a la partición C:. La carpeta se ha creado
correctamente.
1. Preguntas
2¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
6¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows
XP?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 11 puntos para
aprobar el capítulo.
3. Respuestas
2¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo?
La directiva de grupo está compuesta de dos partes, la GPC (Group Policy Container) y
la GPT (Group Policy Template). La GPC, que contiene el ID y el número de versión, se
replica con Active Directory mientras que la GPT, que contiene los diferentes
parámetros, se replica con el sistema de replicación de la carpeta SYSVOL. La GPT se
almacena en SYSVOL.
Una CSE o extensión del lado cliente se encuentra en el sistema operativo. Tiene como
objetivo recuperar la configuración y aplicarla. Existen tantas extensiones del lado
cliente como tipos de parámetros.
6¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows
XP?
Una directiva de grupo se aplica en un orden estricto. Antes de aplicar una posible
directiva local, se aplica la directiva de sitio AD. A continuación, se aplica la directiva
de dominio y, por último, se recuperan y aplican en el equipo las directivas asociadas a
las diferentes unidades organizativas.
Si, esto es una novedad de Windows Server 2012. Consiste en forzar una actualización
de las diferentes directivas en el equipo cliente o en el servidor. Esta funcionalidad
evita tener que ejecutar el comando gpupdate /force en el equipo local.
Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del
grupo que está configurado en el Filtrado de seguridad.
Una plantilla administrativa está compuesta por un archivo admx, que contiene las
claves a modificar y a su vez el nombre del valor DWORD... y el de su clave. El archivo
ADML viene a completar al archivo anterior. Por su parte contiene los textos de
ayuda…
1. Requisitos previos
2. Objetivos
Introducción
La protección de la infraestructura de sistema y de red debe ser una prioridad para todos los
administradores. Se deben desplegar soluciones de seguridad para evitar la pérdida de datos.
Las plantillas creadas pueden utilizarse para configurar uno o más equipos. Se pueden utilizar
varias herramientas para efectuar esta operación.
Los privilegios que permiten el acceso a un equipo o un recurso del dominio que
proporcionan al usuario el derecho de efectuar una acción (por ejemplo: permiso para
guardar archivos y carpetas).
Los derechos de inicio de sesión que atribuyen los derechos de inicio de sesión (por
ejemplo: conexión local para el usuario a un controlador de dominio).
No existen permisos configurados de forma predeterminada para las directivas de grupo. La
configuración se puede efectuar accediendo al nodo Asignación de derechos de usuario.
Este nodo está accesible desplegando los nodos Configuración del equipo - Directivas -
Configuración de Windows - Configuración de seguridad - Directivas locales.
Las cuentas de los administradores son cuentas de usuario especiales, debido a los derechos
que ofrecen al usuario que inicie sesión con ellas (modificar el Registro, cambiar la
configuración de Windows...). Es preferible proteger estas cuentas para garantizar un buen
funcionamiento del sistema operativo y la integridad de los datos.
La UAC (User Access Control) hizo su aparición con Windows Vista y Windows Server 2008.
Esta funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una
confirmación cuando un proceso necesita permisos de administración. Si la persona conectada
no es un administrador, se solicitan los identificadores de una cuenta de administrador.
De esta forma, los usuarios estándar y los administradores se encuentran por defecto con los
mismos derechos en el equipo, los de una cuenta de usuario. Si existe la necesidad de utilizar
permisos más elevados, la UAC efectúa una elevación de privilegios. De esta forma, solo el
proceso que solicita la elevación funciona con permisos de administrador. Son posibles dos
acciones:
Podemos acceder a los parámetros avanzados del sistema de auditoría desde Configuración
del equipo - Directivas - Configuración de Windows - Configuración de seguridad -
Configuración de directiva de auditoría avanzada - Directivas de auditoría.
La activación de la auditoría sobre las acciones correctas puede generar un gran número de
eventos en el registro Seguridad.
Los grupos restringidos permiten gestionar los miembros de algunos grupos. Para agregar una
lista de usuarios al grupo de Administradores locales de cada equipo, debemos utilizar los
grupos restringidos para automatizar esta operación. Sin embargo, esta operación puede en
algunos casos borrar completamente la lista de los miembros del grupo. La lista se reemplaza
por aquella configurada en el grupo restringido. Estos parámetros pueden utilizarse para
configurar las cuentas locales como hemos visto anteriormente, o simplemente los grupos del
dominio.
Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Grupos
restringidos.
Esta funcionalidad aparece con Windows XP y 2003 Server. Proporciona a los administradores
las herramientas necesarias para identificar y autorizar o prohibir la ejecución de la aplicación.
Los parámetros se despliegan empleando una directiva de grupo. Por razones de
compatibilidad, la restricción de software está compuesta por reglas y niveles de seguridad.
Las reglas
Permiten indicar si la ejecución de una aplicación está autorizada. Las reglas están basadas en
uno o varios criterios que se aplican a un archivo ejecutable:
Niveles de seguridad
Cada regla obtendrá un nivel de seguridad. Este nivel indica el comportamiento del sistema
operativo durante la ejecución del software definido en la regla. Existen tres niveles de
seguridad:
2. Utilización de AppLocker
AppLocker aparece con los sistemas operativos Windows Server 2008 y Windows 7. Al igual
que para la restricción de software, es posible controlar la ejecución de una aplicación. Esta
funcionalidad permite a los administradores la implantación sencilla de reglas y se basa
igualmente en el despliegue de directivas de grupo. La regla se aplica a un usuario o grupo de
seguridad Active Directory.
Podemos aplicar una regla para gestionar su ejecución pero, también, utilizar la auditoría para
poder probar las reglas antes de su funcionamiento. Los administradores pueden muy
fácilmente prohibir las aplicaciones cuyas licencias no hayan sido compradas. Solo el software
validado por el departamento de informática estará autorizado a ejecutarse.
Ejecutables
Scripts
Windows Installer (msi)
Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en
varios casos:
Cada colección de reglas contiene las reglas predeterminadas y permite garantizar el correcto
funcionamiento del sistema operativo. Las reglas predeterminadas contienen una acción
(Permitir o Denegar) que rige el funcionamiento de la aplicación.
El Firewall de Windows
A partir de Windows Server 2008 y Windows Vista, el Firewall de Windows filtra el tráfico
entrante y saliente.
La consola Firewall de Windows con seguridad avanzada está incluida a partir de los
sistemas operativos Windows Server 2008 y Windows Vista. Dicha consola permite gestionar el
servicio de corta fuegos (creación de reglas, activación/desactivación del corta fuegos...).
Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con
destino al servidor. Todo el tráfico entrante está bloqueado de manera predeterminada, con la
excepción del que está explícitamente autorizado por el administrador. Las reglas de salida las
inicia la máquina host y están destinadas a los otros equipos de la red o al exterior. El tráfico
saliente está autorizado por defecto. Sin embargo es posible bloquearlo creando una regla.
También es posible filtrar desde la consola (por perfil, estado o por grupo) e importar o
exportar las reglas creadas. La configuración puede realizarse de forma manual en cada equipo
o de forma automática utilizando la directiva de grupo (Configuración del equipo -
Directivas -Configuración de Windows - Configuración de seguridad - Firewall de
Windows con seguridad avanzada).
El firewall emplea los perfiles de red en las diferentes reglas que contiene. También es posible
indicar si el firewall está activo o inactivo por perfil.
Resulta, ahora, mucho más sencillo dar un juego de configuración para cada red (privada,
dominio o pública). Estos juegos contienen las diferentes reglas y el estado (Habilitado o
Deshabilitado) del Firewall.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Plantillas de
seguridad.
Despliegue el nodo Plantillas de seguridad y luego haga clic con el botón derecho en la
carpeta.
En el menú contextual, haga clic en Nueva plantilla.
Haga clic con el botón derecho en Plantilla Admins y luego, en el menú contextual, haga clic
en Guardar.
Haga clic con el botón derecho en Defaut Domain Policy y luego haga clic en Editar.
Haga clic con el botón derecho en Configuración de seguridad y luego haga clic enImportar
directiva.
Haga clic en Archivo - Agregar o quitar complemento y luego haga clic en Configuración y
análisis de seguridad.
Haga clic en el botón Agregar y luego en Aceptar.
Introduzca BDD Admins en el campo Nombre de archivo y luego haga clic en Abrir.
En la ventana Realizar análisis, deje la ruta predeterminada y luego haga clic en Aceptar.
La consola central presenta las diferentes opciones y un posible conflicto (verde: ok, rojo:
conflicto entre la plantilla de seguridad y la GPO).
Haga clic con el botón derecho en Configuración y análisis de seguridad y luego en el menú
contextual seleccione Configurar el equipo ahora.
Los parámetros de la directiva de grupo Default Domain Policy han sido modificados por los
parámetros de la plantilla. Ésta permite actualizar el conjunto de parámetros de forma muy
sencilla.
Objetivo: Crear una directiva vinculada a la OU Servidor que permita configurar los grupos
restringidos.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic enNuevo.
La directiva aparece en la consola, haga clic con el botón derecho en ella y luego, en el menú
contextual, haga clic en Editar.
Haga clic con el botón derecho en Grupos restringidos y luego, en el menú contextual, haga
clic en Agregar grupo.
No utilice el botón Examinar que permite seleccionar un grupo del dominio, el objetivo es
agregar usuarios al grupo Administradores locales de cada equipo.
Objetivo: Implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Agregue la cuenta Admins. del dominio y luego asígnele el permiso Control total.
En la ventana de selección, introduzca Admins. del dominio y luego haga clic en Comprobar
nombres.
Haga clic en el vínculo Seleccionar una entidad de seguridad y luego introduzca Alumno
1en la ventana que se muestra.
En la lista desplegable Tipo, seleccione Error y luego active el permiso Control total.
Haga doble clic en Auditar el acceso a objetos, marque Definir esta configuración de
directiva y seleccione la casilla Error.
Cree una unidad organizativa llamada Servidor y desplace hasta ella la cuenta de equipo
deSV1.
Inicie un símbolo del sistema DOS y ejecute el comando gpupdate /force en SV1.
En SV1, inicie la consola Administración de equipos y despliegue los nodos Visor eventos y
luego Registros de Windows.
Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 5145).
Objetivo: Implementar una auditoría para recopilar eventos sobre los intentos fallidos.
Máquinas virtuales utilizadas: AD1, SV1 y CL8-01
Haga clic con el botón derecho en el grupo Admins. del dominio, y luego haga clic
enPropiedades.
Abra la pestaña Auditoría y luego seleccione la primera entrada de auditoría para la que la
columna Acceso sea Especial, luego haga clic en Editar.
Esto va a permitir auditar los intentos de modificación denegados en las propiedades del
grupo, tales como la modificación del propietario…
Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas.
Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione Editar.
Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar
los siguientes eventos de auditoría y Correcto.
En AD1, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte /force.
Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la
operación, el objeto que ha sido modificado al igual que la cuenta que ha sido agregada,
eliminada…
Objetivo: Crear las reglas de AppLocker que permitan bloquear la ejecución de un programa.
Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic
en Nuevoen el menú contextual.
En la consola GPMC, haga clic con el botón derecho en AppLocker y luego, en el menú
contextual, haga clic en Editar.
Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas
predeterminadas.
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files.
Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Windows.
Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables
en cualquier carpeta.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opción Crear nueva regla.
En la ventana Condiciones, deje marcada la opción Editor y luego haga clic en Siguiente.
Ahora debemos seleccionar la aplicación cuya ejecución será denegada.
Haga clic en el botón Examinar y luego seleccione el archivo wab.exe ubicado enC:\Program
Files\Windows Mail.
Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea
bloquear. Situándolo encima de Nombre de producto, se bloquean todas las versiones de
WAB. Haciendo clic en Usar valores personalizados, podemos modificar todos los campos y
seleccionar el valor deseado de la lista desplegable.
En el campo Nombre, introduzca Regla Bloquear WAB y luego haga clic en el botón Crear.
Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la
opción Crear nueva regla.
Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada
enProgram Files(x86)\Internet Explorer. A continuación, haga clic en Siguiente.
En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear.
AppLocker puede tardar varios minutos después del inicio para funcionar.
Sitúe el ratón en la esquina inferior izquierda para mostrar la miniatura del menú Inicio.
En la lista desplegable de las Reglas de ejecutables, reemplace Solo auditoría por Aplicar
reglas.
En CL8-02, inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte
/force.
Ejecute Internet Explorer, se muestra un mensaje informando que el programa está bloqueado.
Objetivo: Desplegar las reglas del Firewall. Se emplean los perfiles de red para aplicar o no
una regla.
La regla se debe aplicar a todos los programas, deje la opción por defecto en la
ventanaPrograma.
La regla se aplica de momento a los tres perfiles, deje la opción por defecto y haga clic
enSiguiente.
El equipo es miembro del dominio, por lo que está configurado en el perfil Dominio. La
reglaBloquear Ping no está activa en el perfil, el firewall permite que las tramas salgan
1. Preguntas
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para
aprobar el capítulo.
3. Respuestas
La UAC o User Access Control permite simplemente garantizar la seguridad del equipo
asegurando que los procesos de usuario (Word, Internet Explorer…) se ejecutan con
permisos de usuario. Si este último es un administrador, el token de acceso se divide
en dos (un token de usuario para el uso cotidiano y un token de administrador para
contar con permisos de administración). Cuando un proceso requiere permisos de
administrador, solicita una elevación de privilegios. Después de la aceptación del
usuario, el proceso que realiza la solicitud obtendrá permiso para utilizar el token de
administrador. Sin embargo, si el usuario es una cuenta estándar sin permisos de
administración, se requiere que se indique la información de inicio de sesión de un
administrador para efectuar la elevación.
La auditoría permite tener un registro de los eventos que ocurren en un objeto (grupo
AD, carpeta...). Las auditorías pueden referirse a modificaciones, accesos, etc. Esta
operación se configura para recuperar todos los eventos correctos o fallidos.
Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de
conexión y desconexión del equipo.
7¿Cuándo debe utilizar los grupos restringidos?
El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite
aplicar las reglas configuradas.
Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las
reglas. Durante la ejecución de la aplicación gestionada por AppLocker, un mensaje de
aviso informa al administrador del resultado (bloqueado). El modo Aplicado permite
implementar reglas y el posible bloqueo de los diferentes programas.
En el caso de que no exista ninguna regla para validar la trama recibida por el firewall,
se aplica la regla predeterminada. Esta última autoriza el tráfico saliente y prohíbe
todo el tráfico entrante, salvo que exista una regla creada específicamente.
1. Requisitos previos
2. Objetivos
Administrador de tareas
En Windows Server 2012 contamos con una nueva consola Administrador de tareas. Ésta
ofrece varias funcionalidades (operación en un servicio, cerrar una aplicación...). Se ha
optimizado para responder mejor a las necesidades de los administradores. Se pueden realizar
varias operaciones:
Las pequeñas flechas presentes al lado de cada proceso permiten visualizar las aplicaciones
que utilizan el proceso. Si abrimos Explorador de Windows se muestra la
carpeta capítulos que está actualmente abierta.
Haciendo clic con el botón derecho en capítulos accedemos a un menú contextual. Éste
presenta varias opciones tales como minimizar o maximizar la consola, traer al frente o
simplemente finalizar la tarea.
Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles.
La opción Buscar en línea puede ser muy útil. Permite obtener información acerca del
proceso en cuestión. La opción Valores del recurso permite cambiar las unidades de la
columna Memoriapara mostrar los porcentajes en lugar de valores y viceversa.
En ciertos casos es necesario tener mas información sobre un proceso, para esto haga clic
en Ir a detalles. Se muestra la pestaña Detalles y el proceso en cuestión aparece
seleccionado.
Esta vista proporciona acceso al nombre del archivo ejecutable, así como al ID del proceso
(PID). Se muestran también el estado, nombre de la cuenta que ha iniciado el proceso y el uso
de procesador y memoria.
Haciendo clic con el botón derecho en la consola accedemos a un menú contextual con tres
opciones:
Vista de resumen permite reducir la ventana mostrando solamente los valores de los
tres gráficos. Desmarque la opción para volver al formato inicial.
Mostrar gráficos reemplaza los botones de colores por los gráficos en curso.
SeleccioneOcultar gráficos en el menú contextual para ocultar los gráficos.
Por último, la última pestaña Servicios proporciona acceso a la gestión de servicios. Es posible
conocer su estado así como distintos parámetros (PID...). Podemos acceder a la consola
Services.msc haciendo clic con el botón derecho y seleccionando Abrir servicios en el menú
contextual.
Monitor de recursos
El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un
servidor. Esta herramienta permite efectuar la supervisión del procesador y los procesos, la
memoria RAM así como la actividad de los discos y la red.
La consola se compone de varias pestañas, la pestaña Información general permite tener
una vista de conjunto de los componentes. Esto permite evitar cuellos de botella. Además de
los componentes Memoria, Red, CPU y Disco, se muestran gráficos actualizados en tiempo
real.
La pestaña CPU presenta diferentes datos de cada procesador. Seleccionando uno de ellos, se
muestran los diferentes servicios y los descriptores asociados. Podemos, del mismo modo, ver
un gráfico que representa la actividad de cada procesador o cada núcleo de un procesador.
La pestaña Disco presenta los procesos que realizan una operación en el disco, una vez más
es posible filtrar un proceso para aislarlo. Los gráficos muestran una curva que representa la
actividad en el disco.
Por último, la pestaña Red presenta los diferentes procesos con actividad de red, la
herramienta también resulta útil para ver las conexiones TCP y los puertos en que escuchan.
La herramienta permite analizar los diferentes componentes y proporcionar una explicación
para una degradación de rendimiento en un equipo.
Los diferentes gráficos permiten obtener información acerca de los diferentes componentes del
servidor.
Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. La
operación puede llevarse a cabo mediante un gráfico e informes. El análisis se puede hacer en
tiempo real, lo que obliga al administrador a estar presente. Adicionalmente la lectura de datos
no es óptima. La segunda forma consiste en ejecutar un recopilador de datos, que permite
registrar los datos recuperados por los diferentes contadores.
Es posible agregar varios contadores para obtener un análisis muy granular y un resultado
óptimo.
Procesador
El objeto de rendimiento Procesador permite obtener información sobre la actividad del
procesador. Esta es una de las piezas centrales de un servidor. Si existen varios procesadores,
es posible analizar todos o uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios para
los programas. En caso de fallo, los tiempos de lectura y escritura pueden verse afectados.
Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de
botella.
Al igual que para el procesador, existen varios contadores disponibles. Cada uno proporciona
un dato específico.
Memoria RAM
Red
La parte de red incluye un gran número de contadores. Podemos encontrar aquellos para los
protocolos TCP, UDP o ICMP. Los protocolos IPv4 e IPv6 poseen, también, sus contadores.
Para evitar estar frente a la pantalla durante horas, es posible iniciar un registro. Se almacena
un archivo con todos los valores en la carpeta PerfLogs ubicada en la partición del sistema.
Sin embargo, el tamaño del archivo crecerá rápidamente, lo que puede impactar el servidor y
los roles instalados en él.
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
C:\Windows\System32\winevt\Logs.
Información
Advertencia
Error
Crítico
Adicionalmente, un evento posee varios datos importantes como Evento (número de ID del
evento),origen y el mensaje. Las propiedades del registro permiten visualizar sus diferentes
propiedades (nombre, ruta del registro...) así como configurar su tamaño actual y máximo. El
registro puede vaciarse empleando el botón Vaciar registro. Se puede acceder a esta ventana
haciendo clic con el botón derecho en el registro deseado y luego
seleccionando Propiedades en el menú contextual.
Podemos crear un nuevo filtro haciendo clic con el botón derecho en Vistas personalizadas y
seleccionando Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo
para tener en cuenta en el filtro.
El Nivel del evento permite seleccionar el nivel de los eventos deseados.
La lista desplegable Registros de eventos permite seleccionar los registros a los que se
aplica el filtro.
Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en la
lista desplegable uno o más orígenes. También es posible filtrar en función de un nombre de
equipo,de usuario, de palabras clave o de número de ID.
El filtro devuelvo solamente los eventos que corresponden a las categorías seleccionadas.
2. Suscripción
Para facilitar la supervisión de los servidores de una red informática, podemos desplegar una
suscripción. Ésta permite recuperar los eventos de los servidores de destino. Los eventos
recuperados deben responder a criterios definidos por el administrador empleando una vista
personalizada. Para esta funcionalidad se emplean dos servicios:
Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo
recolectado para Wecsvc.
Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los
contadores.
Despliegue Proceso y luego haga clic en <Todas las instancias>.
En la barra de herramientas, haga clic en el botón Cambiar tipo de gráfico (tercer botón) y
luego seleccione en el menú contextual Barra de histograma.
Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este
ejemplo está hecho sobre un controlador de dominio, el contador para el diagnóstico de Active
Directory se encuentra en el sistema. El contenedor definido por el usuario permite crear de
nuevos recopiladores de datos.
Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual
seleccione Nuevo y Conjunto de recopiladores de datos.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Iniciar.
Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de
información.
Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener.
Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador
seleccionado o cambiar el tipo de gráfico.
Objetivo: Crear una vista personalizada para recuperar solamente los eventos deseados.
Haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista
personalizada.
Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles.
Haga clic en Aceptar y luego, en el campo Nombre, introduzca Búsqueda registro App.Sys.
Haga clic con el botón derecho en el aviso y luego seleccione Adjuntar tarea a este evento.
Esta opción se encuentra también disponible en el panel Acciones.
Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los
parámetros por defecto.
Los campos Registro, Origen e ID del evento aparecen en gris. Haga clic en Siguiente para
validar la ventana Al registrar un evento.
Para efectuar las modificaciones, introduzca la letra y y luego pulse la tecla [Intro].
Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar.
En SV1, haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en Crear
suscripción.
Haga clic dos veces en Aceptar. Se adjunta una nueva línea a la consola.
Haga clic con el botón derecho en Recopilador AD1, luego seleccione Estado en tiempo de
ejecución.
Verifique que el sistema no envía ningún error. Si no se devuelve ningún error, espere,
porque la transferencia está en progreso.
Tras un tiempo mas o menos largo, los eventos aparecen en el registro Eventos reenviados.
1. Preguntas
6¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los
registros?
2. Resultados
Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 7 puntos para
aprobar el capítulo.
3. Respuestas
Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. Esta
carpeta está ubicada en la partición del sistema.
6¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los
registros?
Los diferentes registros, que poseen una extensión evtx, se encuentran en la carpeta
c:\Windows\System32\winevt\Logs.
Los registros de eventos pueden contener varios cientos de eventos. Para no perderse
entre todos los eventos debemos aplicar un filtro al registro. Esta característica se
ofrece mediante las vistas personalizadas.
Objetivos
Configure local storage Gestión del espacio Gestión del espacio de almacenamiento local -
de almacenamiento Talleres: Implementación de un espacio de
local almacenamiento - Implementar un sistema GPT,
Reducción de una partición, Despliegue de diferentes
volúmenes, Implementar un espacio de
almacenamiento redundante
Configure Hyper-V
Create and configure Instalación de Hyper- Instalación de Hyper-V - Creación de las máquinas
virtual machine V virtuales - Máquina virtual AD1
settings
Create and configure Instalación de Hyper- Instalación de Hyper-V - Creación de las máquinas
virtual machine storage V virtuales - Máquina virtual AD1
Configure IPv4 and Implementación del Instalación de Hyper-V - Creación de las máquinas
IPv6 addressing protocolo IP virtuales - Máquina virtual AD1
Implementación del protocolo IP - Talleres:
Implementación de IPv4 - Implementación del
protocolo IPv6
Configure security Securización del Securización del servidor con GPO - Talleres:
policies servidor con GPO Implementar una política de seguridad - Creación de
una plantilla de seguridad
Configure application Securización del Securización del servidor con GPO - Talleres:
restriction policies servidor con GPO Implementar una política de seguridad - Creación de
reglas con AppLocker
Configure Windows Securización del Securización del servidor con GPO - Talleres:
Firewall servidor con GPO Implementar una política de seguridad -
Configuración del Firewall de Windows
Objetivos
Configure local storage Gestión del espacio Gestión del espacio de almacenamiento local -
de almacenamiento Talleres: Implementación de un espacio de
local almacenamiento - Implementar un sistema GPT,
Reducción de una partición, Despliegue de diferentes
volúmenes, Implementar un espacio de
almacenamiento redundante
Configure Hyper-V
Create and configure Instalación de Hyper- Instalación de Hyper-V - Creación de las máquinas
virtual machine V virtuales - Máquina virtual AD1
settings
Create and configure Instalación de Hyper- Instalación de Hyper-V - Creación de las máquinas
virtual machine storage V virtuales - Máquina virtual AD1
Configure IPv4 and Implementación del Instalación de Hyper-V - Creación de las máquinas
IPv6 addressing protocolo IP virtuales - Máquina virtual AD1
Implementación del protocolo IP - Talleres:
Implementación de IPv4 - Implementación del
protocolo IPv6
Configure security Securización del Securización del servidor con GPO - Talleres:
policies servidor con GPO Implementar una política de seguridad - Creación de
una plantilla de seguridad
Configure application Securización del Securización del servidor con GPO - Talleres:
restriction policies servidor con GPO Implementar una política de seguridad - Creación de
reglas con AppLocker
Configure Windows Securización del Securización del servidor con GPO - Talleres:
Firewall servidor con GPO Implementar una política de seguridad -
Configuración del Firewall de Windows