70-410 Windows Server 2012 R2 - Instalación y Configuración

May 31, 2018 | Author: josemartin24 | Category: Virtual Machine, Active Directory, Ip Address, Server (Computing), Domain Name System
Share
Report this link


Description

Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 Capítulo 1 Introducción A. Introducción 12 B. Organización de las certificaciones 12 C. ¿Cómo está organizado este libro? 12 D. Competencias evaluadas en el examen 70-410 14 1. El examen de certificación 14 2. Preparación del examen 14 E. Máquinas virtuales utilizadas 14 Capítulo 2 Instalación de Hyper-V A. Información general de las tecnologías de virtualización 16 1. Virtualización del puesto de trabajo 16 2. Virtualización de aplicaciones 16 3. Hyper-V en Windows 8.1 17 B. Implementación de Hyper-V 17 1. Requisitos previos de Hardware 17 2. Las máquinas virtuales en Hyper-V 17 3. La memoria dinámica con Hyper-V 19 4. Presentación de las diferentes generaciones 20 5. Uso del modo de sesión mejorada 20 C. El disco duro de las máquinas virtuales 23 1. Los diferentes tipos de discos 23 2. Administración de un disco virtual 24 3. Los discos de diferenciación 25 www.ediciones-eni.com © Ediciones ENI 1/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 4. Los puntos de control en Hyper-V 25 D. Gestión de redes virtuales 26 E. El Sandbox 27 1. Configuración necesaria 27 2. La instalación de Windows Server 2012 R2 27 F. Talleres 28 1. Configuración de la red virtual 28 G. Creación de las máquinas virtuales 29 1. Esquema de la maqueta 32 2. Máquina virtual AD1 33 a. Creación y configuración de la VM 33 b. Instalación del sistema operativo 37 c. Configuración post-instalación 39 3. Máquina virtual SV1 43 4. Máquina virtual SV2 43 5. Máquina virtual SVCore 43 6. Máquina virtual CL8-01 43 7. Máquina virtual CL8-02 44 8. Creación de puntos de control 44 H. Configuración de la QoS a nivel de almacenamiento 45 I. Validación de conocimientos: preguntas/respuestas 47 Capítulo 3 Despliegue y administración de Windows Server 2012 R2 A. Información general de Windows Server 2012 R2 50 1. Las ediciones de Windows Server 2012 R2 50 2. Presentación de los principales roles 51 www.ediciones-eni.com © Ediciones ENI 2/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 3. Presentación de las principales características 52 B. Información general de la administración de Windows Server 2012 R2 53 C. Instalación de Windows Server 2012 R2 56 1. Métodos de instalación 56 2. Requisitos previos de hardware para Windows Server 2012 R2 57 D. Configuración del sistema operativo después de su instalación 57 1. Configuración del adaptador de red 57 2. Unirse a un dominio sin conexión 65 3. Configuración de un servidor Core 65 E. Introducción a PowerShell 66 1. Presentación de PowerShell 66 2. Sintaxis de los cmdlets PowerShell 66 3. Presentación de la consola PowerShell ISE 67 4. Instalar y configurar la característica DSC (Desired State Configuration) 68 F. Talleres 68 1. Creación del bosque Formacion.local 68 2. Configuración de un servidor en modo de instalación Core 75 3. Administración de servidores 81 4. Utilización de PowerShell para administrar los servidores 85 5. Unirse a un dominio sin conexión 88 6. Agregar características a una imagen sin conexión 90 7. Agregar/eliminar una interfaz gráfica 92 G. Validación de conocimientos: preguntas/respuestas 94 Capítulo 4 Introducción a los servicios Active Directory A. Introducción 98 www.ediciones-eni.com © Ediciones ENI 3/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 B. Información general de Active Directory 98 1. El dominio Active Directory 99 2. Las unidades organizativas 99 3. El bosque Active Directory 101 4. El esquema de Active Directory 102 5. Las particiones de Active Directory 103 6. Los maestros de operación FSMO 103 7. Los sitios Active Directory y la replicación 104 C. Información general de un controlador de dominio 104 1. Los controladores de dominio 104 2. Presentación de los catálogos globales 105 3. Proceso de inicio de sesión con Active Directory 105 D. Promover un controlador de dominio 105 1. Promover un controlador de dominio de forma gráfica 105 2. Instalación de un controlador de dominio en un servidor Core 106 3. Actualización de un controlador de dominio a Windows Server 2012 R2 107 4. Promover un controlador de dominio utilizando IFM 107 E. La papelera de reciclaje AD 108 F. La directiva de contraseña muy específicas 108 G. Talleres 109 1. Promover un servidor utilizando IFM 109 2. Utilización de la interfaz de la papelera de reciclaje AD 116 3. Implantación de una directiva de contraseña muy específica 120 H. Validación de conocimientos: preguntas/respuestas 126 Capítulo 5 Administración de objetos AD www.ediciones-eni.com © Ediciones ENI 4/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 A. Introducción 132 B. Presentación de las consolas Active Directory 132 C. Administración de las cuentas de usuario 133 1. Creación de una cuenta de usuario 133 2. Configuración de los atributos de una cuenta de usuario 134 3. Creación de un perfil de usuario móvil 137 D. Administración de grupos 139 1. Diferencia entre grupos de seguridad y de distribución 139 2. El ámbito de un grupo 140 E. Administración de las cuentas de equipo 141 1. El contenedor equipo 141 2. Reinicio del canal seguro 143 F. Talleres 144 1. Implementar la delegación 144 2. Administración de cuentas de usuario 147 G. Validación de conocimientos: preguntas/respuestas 157 Capítulo 6 Automatizar la administración de Active Directory A. Introducción 160 B. Administración mediante líneas de comandos 160 1. Utilización del comando CSVDE 160 2. Utilización del comando LDIFDE 161 www.ediciones-eni.com © Ediciones ENI 5/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 C. Administración del rol AD DS empleando PowerShell 162 1. Administración de cuentas de usuario con PowerShell 162 2. Administración de grupos con PowerShell 166 3. Administración de cuentas de equipo con PowerShell 168 4. Administración de unidades organizativas con PowerShell 170 D. Taller 172 1. Modificación de varios usuarios en PowerShell 172 E. Validación de conocimientos: preguntas/respuestas 173 Capítulo 7 Implementación del protocolo IP A. Introducción 176 B. Información general del protocolo TCP/IP 176 C. Entender el direccionamiento IPv4 178 1. El direccionamiento IPv4 178 2. Direccionamiento privado/público 179 3. Conversión de binario a decimal 180 4. Las diferentes clases de direcciones 181 5. El CIDR 181 D. Establecimiento de subredes 182 1. La ventaja de las subredes 182 2. Calcular una subred 182 E. Configurar y mantener IPv4 184 1. El comando ipconfig 184 2. El comando ping 185 www.ediciones-eni.com © Ediciones ENI 6/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 3. El comando tracert 186 F. Implementación del protocolo IPv6 186 1. Información general del protocolo IPv6 186 a. Direcciones locales únicas 187 b. Direcciones globales unicast 188 c. Dirección de enlace local 188 G. Talleres 189 1. Conversión de decimal a binario 189 2. Cálculo de direcciones de subredes 190 3. Implementación del protocolo IPv6 192 H. Validación de conocimientos: preguntas/respuestas 196 Capítulo 8 Implementación de un servidor DHCP A. Introducción 200 B. Rol de servicio DHCP 200 1. Asignación de una dirección IP 200 2. Utilización de un relay DHCP 201 C. Funcionalidad del servidor DHCP 202 1. El ámbito del servidor DHCP 202 2. Reserva de concesiones DHCP 203 3. Las opciones de DHCP 204 4. Implementación de filtros 207 D. Base de datos DHCP 208 1. Presentación de la base de datos DHCP 208 2. Copia de seguridad y restauración de la base de datos 208 3. Reconciliación y desplazamiento de la base de datos 209 www.ediciones-eni.com © Ediciones ENI 7/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 E. Securización y mantenimiento de DHCP 212 1. Securizar la distribución de concesiones DHCP 212 2. Utilización de las estadísticas y registros de auditoría 213 F. IPAM 216 G. Talleres 218 1. Agregar el rol DHCP 218 2. Configurar un nuevo ámbito y agregar opciones 219 3. Copia de seguridad y restauración de la base de datos 227 4. Implementación de IPAM 228 H. Validación de conocimientos: preguntas/respuestas 246 Capítulo 9 Implementación de un servidor DNS A. Introducción 250 B. Funcionamiento de DNS 250 1. Base de datos distribuida 251 2. Consultas iterativas y recursivas 252 C. Zonas y servidores DNS 253 1. Los diferentes tipos de zona 253 2. La zona GlobalNames 254 D. Instalación y administración del servidor 254 1. Instalación del rol 254 2. La actualización dinámica 255 3. Los diferentes registros 256 www.ediciones-eni.com © Ediciones ENI 8/13 Windows Server 2012 R2 Instalación y Configuración - Preparación para la certificación MCSA - Examen 70-410 E. Soporte del servidor DNS 257 1. El comando nslookup 257 2. El comando dnslint 259 3. El comando ipconfig 260 4. El comando dnscmd 260 F. Talleres 261 1. Configuración de un redirector condicional 261 2. Creación de una zona GlobalNames 268 G. Validación de conocimientos: preguntas/respuestas 273 Capítulo 10 Gestión del espacio de almacenamiento local A. Introducción 276 B. El sistema de almacenamiento 276 1. Los diferentes discos y su rendimiento 276 2. Diferencia entre DAS y NAS 277 3. Información general de una SAN 278 4. Utilización de la tecnología RAID 279 C. Gestión de discos y volúmenes 280 1. Tablas de partición MBR y GPT 280 2. Los diferentes tipos de discos 281 3. Sistemas de archivo FAT, NTFS y ReFS 281 4. Extender o reducir una partición en Windows Server 2012 R2 282 D. Implementación de un espacio de almacenamiento 283 1. La característica Espacio de almacenamiento 283 2. Opciones de configuración de discos duros virtuales 283 www.ediciones-eni.com © Ediciones ENI 9/13 Preparación para la certificación MCSA . Utilización de instantáneas 323 1. Validación de conocimientos: preguntas/respuestas 311 Capítulo 11 Administración de los servidores de archivos A. Talleres 331 1. Implementar un espacio de almacenamiento redundante 303 F. Seguridad de carpetas y archivos 316 1. Talleres 284 1. Administración de un servidor no unido al dominio 327 F.ediciones-eni. Creación de un recurso compartido y uso de ABE 331 www. Presentación de la característica Work Folders 322 C. Restauración de datos empleando instantáneas 324 D. Implementar un sistema GPT 284 2. Definición de una carpeta compartida 318 3. Los permisos NTFS 316 2. Los controladores v3 y v4 para las impresoras 326 3. Presentación de los grupos de impresoras 327 E. Reducción de una partición 292 3. Despliegue de diferentes volúmenes 294 4. Las ventajas de la impresora de red 326 2. Presentación y planificación de las instantáneas 323 2. Introducción 316 B.com © Ediciones ENI 10/13 . Configuración de la impresora de red 326 1.Examen 70-410 E. Visualizar recursos compartidos en función de los permisos de acceso 320 4. Windows Server 2012 R2 Instalación y Configuración . La aplicación de una directiva de grupo 384 3. Directiva de grupo local múltiple 377 3. Los filtros de seguridad 388 D. Presentación del almacén central 390 2. Talleres 395 www. Orden de aplicación de una directiva de grupo 387 4. Almacenamiento de los diferentes componentes de una GPO 378 4. Las directivas predeterminadas 388 5. Tratamiento de directivas de grupo 383 1. Gestión del servidor de impresión 356 5.Examen 70-410 2. Implantación de la solución Work Folders 361 G. Windows Server 2012 R2 Instalación y Configuración . Implementar instantáneas 340 3. Validación de conocimientos: preguntas/respuestas 371 Capítulo 12 Implementación de directivas de grupo A.ediciones-eni. Utilización de los filtros en las plantillas administrativas 393 E. Las preferencias en las directivas de grupo 378 5. Creación de un grupo de impresión 345 4.com © Ediciones ENI 11/13 . Parámetros administrados y no administrados 393 4. Las plantillas administrativas 391 3. Despliegue de un almacén central 390 1. Introducción 376 B. Los vínculos de una directiva de grupo 383 2. Implementación de una delegación a nivel de GPO 381 C. Los componentes de una directiva de grupo 376 2. Información general de las directivas de grupo 376 1.Preparación para la certificación MCSA . Nociones de las GPO de inicio 379 6. Examen 70-410 1. Auditoría de modificaciones en el directorio 451 5. Validación de conocimientos: preguntas/respuestas 477 www. Configuración del Firewall de Windows 468 F. Windows Server 2012 R2 Instalación y Configuración . Utilización de AppLocker 430 D.ediciones-eni. Configuración de los parámetros de seguridad 420 1. Implementación de preferencias 408 F.Preparación para la certificación MCSA . Validación de conocimientos: preguntas/respuestas 415 Capítulo 13 Securización del servidor con GPO A. Implementar un almacén central 395 2. Creación de una plantilla de seguridad 433 2. Introducción 420 B. Creación de una directiva de grupo 397 3.com © Ediciones ENI 12/13 . El Firewall de Windows 432 E. Implantación de una directiva de auditoría 426 5. Utilización de los grupos restringidos 428 C. Talleres 433 1. Utilización de grupos restringidos 440 3. Creación de una plantilla de seguridad 420 2. Creación de reglas con AppLocker 455 6. Configuración de los derechos de usuario 421 3. Implantación de una restricción de software 429 1. Auditoría de un sistema de archivos 444 4. La directiva de restricción de software 429 2. Creación de una GPO de inicio 404 4. Configuración de la UAC (User Account Control) 422 4. Implantación y uso de una suscripción 521 F. Creación de una vista personalizada 505 2.com © Ediciones ENI 13/13 . Validación de conocimientos: preguntas/respuestas 528 Tabla de objetivos 531 índice 533 www. Talleres 507 1. El Administrador de tareas 482 B. El Monitor de recursos 492 C. Creación de una vista personalizada 515 3. Asociar una tarea a un evento 517 4. Utilización del Monitor de rendimiento 507 2. El Monitor de rendimiento 497 D.Preparación para la certificación MCSA . Windows Server 2012 R2 Instalación y Configuración .Examen 70-410 Capítulo 14 Supervisión de servidores A. Suscripción 506 E.ediciones-eni. Los registros de eventos 502 1. su saber hacer pedagógico y técnico conducen a un enfoque claro y visual.Securización del servidor con GPO . también consultor.com podrá acceder de forma gratuita a 1 examen en línea.Introducción a los servicios Active Directory . .R2.Instalación y Configuración El examen 70-410 "Instalación y Configuración de Windows Server 2012" es el primero de tres exámenes obligatorios para obtener la certificaciónMCSA Windows Server 2012. Estas operaciones concretas. Los capítulos del libro: Descripción . llegando más allá de los objetivos fijados para el examen. empleando un gran número de preguntas-respuestas (154 en total) haciendo hincapié tanto en los fundamentos como las características específicas de los conceptos abordados. De esta forma.Instalación de Hyper-V .Administración de los servidores de archivos . Cada capítulo está terminado por los talleres (46 en total) tendrá los medios para medir su autonomía. toda su experiencia en las tecnologías servidor y su evolución.Supervisión de servidores . A este dominio del producto y sus conceptos.Gestión del espacio de almacenamiento local .. se encuentran respuestas suficientemente comentadas para cubrir o identificar sus lagunas. este libro cubre todos los objetivos oficiales.Introducción . Capítulo tras capítulo. Está certificado MCT (Microsoft Certified Trainer) y transmite al lector. Los scritps incluidos en el libro pueden descargarse en está página. cada pregunta está planteada dentro del espíritu de la certificación y. Ha sido redactado por un formador profesional reconocido. Sus cualidades pedagógicas conducen a un libro verdaderamente eficaz para la preparación a este examen acerca de Windows Server 2012.Windows Server 2012 R2 MCSA 70-410 .edieni. podrá validar sus conocimientos teóricos.Implementación del protocolo IP - Implementación de un servidor DHCP .Implementación de directivas de grupo . En este sitio. tanto desde un punto de vista teórico como práctico.Administración de objetos AD - Automatizar la administración de Active Directory . se añade la preparación específica para la certificación: en el sitio www. Para ayudarle a preparar eficazmente el examen. destinado a entrenarle en condiciones cercanas a las de la prueba. certificado técnica y pedagógicamente por Microsoft. a través de este libro.Despliegue y administración de Windows Server 2012 R2 . Este examen valida sus competencias y conocimientos acerca de la puesta en marcha de una infraestructura Windows Server 2012 básica en un entorno empresarial existente.Implementación de un servidor DNS . de un alto nivel técnico. para cada una.Tabla de objetivos Nicolas BONNET Nicolas BONNET es Consultor y formador en los sistemas operativos Microsoft desde hace años. le permitirán forjar una primera experiencia significativa y adquirir verdaderas competencias técnicas en situaciones reales. destinado a entrenarle en condiciones similares a las de la prueba.com podrá acceder de forma gratuita a un examen en línea. . Una parte de validación de conocimientos que se presenta bajo la forma de preguntas/respuestas (154 en total). cada pregunta está planteada dentro del espíritu de la certificación y. En este sitio.edieni. Cada capítulo está organizado de la siguiente forma: Una definición de los objetivos a alcanzar: permite definir de forma precisa las competencias proporcionadas por el capítulo una vez validado. para cada una. le permitirán forjar una primera experiencia significativa y adquirir verdaderas competencias técnicas sobre todo un conjunto de situaciones reales.Introducción El examen 70-410 "Instalación y configuración de Windows Server 2012 R2" es el primero de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012 certification. Estas operaciones. este libro cubre todos los objetivos oficiales (se proporciona la lista en el anexo) tanto desde un punto de vista teórico como práctico. Para ayudarle a preparar eficazmente el examen. más allá de los objetivos fijados para el examen. Este examen valida sus competencias y conocimientos acerca de la puesta en marcha de una infraestructura Windows Server 2012 R2 básica en un entorno empresarial existente. Una parte teórica: permite definir los términos y conceptos abordados y esquematizar en forma de hilo conductor los diferentes puntos a asimilar. se encuentran respuestas suficientemente comentadas que le permitirán cubrir o identificar sus lagunas. Los talleres (46 en total): permiten ilustrar con precisión ciertas partes del curso y le aportan los medios para evaluar su autonomía. en particular. A este dominio del producto y sus conceptos se añade la preparación específica para la certificación: en el sitio www. Estas preguntas y sus respuestas comentadas destacan tanto los elementos fundamentales como las características específicas de los conceptos tratados. Introducción El antiguo plan de certificación permitía obtener la certificación MCITP (Microsoft Certified IT Professional). Éstas han sido rebautizadas MCSA (Microsoft Certified Solution Associate) y MCSE (Microsoft Certified Solutions Expert). . Implementación de una infraestructura de puestos de trabajo y el 70-416. Éste tiene por objeto la administración avanzada de Windows Server 2012. MCSE Server Infrastructure Se deben aprobar dos exámenes para obtener esta certificación. Además del plan de estudios MCSA. es necesario aprobar el examen 70-412. es necesario aprobar el examen 70-413. Se requiere aprobar. a continuación. . que trata sobre lainstalación y la configuración de Windows Server 2012. El examen 70-410. existen varios planes de estudio MCSE (Microsoft Certified Solutions Expert). Éste trata sobre la administración de Windows Server 2012.Organización de las certificaciones Plan de estudios MCSA El plan de estudios MCSA está compuesto por tres exámenes. MCSE Private Cloud Para obtener la certificación MCSE Private Cloud. para aprobar el plan de estudios. Implementación de una infraestructura de servidor avanzada para validar el plan de estudios. Finalmente. Implementación de entorno de aplicación ofimática. se requiere aprobar los exámenes 70-246 Monitorización y uso de un cloud privado con System Center 2012 y 70-247 Configuración y despliegue de un cloud privado con System Center 2012. Se deben aprobar los exámenes 70-415. el segundo examen cuyo número es el 70-411. A partir de ahora. MCSE Desktop Infrastructure Este plan de estudios se compone de tres exámenes. Finalmente. se debe aprobar el examen 70-414. NAS (Network Attached Storage) y SAN (Storage Area Network) para seguidamente estudiar la gestión de discos y volúmenes (MBR. después de haber estudiado el funcionamiento de la asignación de una dirección IP. Finalmente. Es preferible seguir los capítulos en su orden. Después de haber visto las diferentes maneras de promover un servidor a controlador de dominio (promover con IFM). se proporciona una definición de DAS (Direct Attached Storage). El soporte incluye los diferentes comandos necesarios para la gestión y el mantenimiento del servidor (nslookup.. ipconfig y dnscmd). mediante instrucciones PowerShell. En el primer capítulo. Los puntos tratados son los diferentes discos duros virtuales y los conmutadores de red que es posible utilizar. Los tres capítulos siguientes tratan sobre Active Directory. Las características y la gestión de la base de datos se estudian a continuación. a su vez. Se estudian los protocolos IPv4 e IPv6. En efecto. FAT. a continuación. Los dos capítulos siguientes tratan sobre la administración del espacio de almacenamiento y el servidor de archivos. las direcciones privadas/públicas y el direccionamiento IPv4.) que es posible crear. Permite familiarizarse con su funcionamiento. La parte Active Directory termina con el capítulo de automatización de la administración. El primer capítulo introduce el libro y permite una mejor comprensión de la forma en la que el libro está construido. las instantáneas y ABE (Access Based Enumeration). Después de Hyper-V se presenta el capítulo sobre el despliegue y la administración de Windows Server 2012. la configuración de un servidor en modo Core así como la administración de servidores empleando las herramientas presentes en el sistema operativo o. los objetos Active Directory (usuario. Trata sobre los diferentes métodos de instalación. El servicio DHCP también se aborda en este libro. el servidor Core e incluye una introducción a PowerShell. Seguidamente se construye una maqueta (Sandbox) para poder llevar a cabo los talleres de los módulos siguientes. A continuación. Un elemento esencial en un dominio Active Directory es el DNS. dnslint. GPT. las diferentes generaciones de máquinas virtuales y se aborda también el modo de sesión extendido. Los primeros puntos permiten obtener o revisar los conceptos básicos necesarios para Active Directory. Al final de cada capítulo. Se abordan. la sección sobre IPv6 (información general del protocolo y las diferentes direcciones) completa y cierra el capítulo. una serie de preguntas validarán el nivel que debe ser alcanzado. directiva de contraseñas muy específica). la gestión de cuentas de usuario o el restablecimiento de un canal seguro. Los diferentes componentes y el almacenamiento de una directiva de grupo. Los siguientes dos capítulos tratan sobre el despliegue de directivas de grupo y la securización de servidores empleando GPO. simplemente. NTFS y ReFS) y el despliegue de un espacio de almacenamiento.¿Cómo está organizado este libro? Este libro le prepara para el examen 70-410 Instalación y configuración de Windows Server 2012. Este libro está dividido en capítulos que le proporcionan el conocimiento teórico en el momento preciso. IPAM complementa y cierra el capítulo sobre DHCP. La sección acerca de las redes se aborda posteriormente a estos capítulos. Esta sección se complementa con la implantación de subredes y los diferentes comandos (ping. equipo. así como el uso de DHCP. Los talleres presentados consisten en la creación del bosque Active Directory. Los talleres se presentan a los lectores permitiéndoles una puesta en práctica de los puntos tratados en las partes teóricas. Si se supera. Los puntos tratados son la administración por línea de comandos y mediante PowerShell. Se presentan. Los talleres permiten implementar delegaciones. Se abordan la conversión binario/decimal. estos confieren las competencias necesarias para aprobar el examen de forma progresiva al lector. La gestión de la calidad (QoS) a nivel de almacenamiento finaliza este capítulo. se abordan las diferentes características (papelera de reciclaje. el lector podrá pasar al siguiente capítulo. tracert e ipconfig). así como las GPO de inicio dan comienzo al capítulo de Implementación de .. Se estudiarán la instalación y el soporte del servidor DNS antes que su funcionamiento y sus distintas zonas. El capítulo siguiente permite comprender la gestión de los diferentes controladores. las preferencias. Se le dedica un capítulo. se aborda el tema de Hyper-V. directivas de grupo. Se estudian el registro de eventos. Éste se completa con el tema de su tratamiento (gestión de vínculos. el despliegue de AppLocker y el firewall de Windows. el monitor de rendimiento y el administrador de tareas. El capítulo Securización del servidor empleando GPO presenta las funcionalidades de seguridad mediante la configuración de los parámetros. El capítulo decimocuarto y último del libro trata sobre las herramientas de análisis incluidas en Windows Server 2012. . orden de aplicación y filtros de seguridad) así como la función del directorio central. com. El examen se presenta en un centro Prometric. Para cada una.Competencias evaluadas en el examen 70-410 Puede encontrar la tabla con las competencias evaluadas al final del libro. Existen varios sitios en la región. Preparación del examen Para preparar el examen de una forma óptima es necesario. 2. No dude en tomarse todo el tiempo necesario para leer correctamente las preguntas y todas las respuestas. . El examen de certificación El examen de certificación está compuesto de varias preguntas. Se ofrece un examen de prueba con este libro que le permite evaluar sus conocimientos antes de presentarse al examen. en primer lugar. El día indicado. Se necesita obtener una nota de 700 para aprobar el examen. leer los diferentes capítulos y luego realizar los talleres. se ofrecen varias respuestas. Es posible marcar las preguntas para una relectura antes de terminar el examen. sin embargo la inscripción se debe hacer en el sitiowww. 1. Es necesario marcar una o varias de estas respuestas.prometric. contará con varias horas para responder al examen. Es necesario seleccionar la fecha y hora antes de elegir el examen deseado (70-410). Las preguntas al final de cada módulo le permiten validar sus conocimientos. No se salte ningún capítulo y repítalo tantas veces como sea necesario. El resultado se emite al finalizar el examen. microsoft. El capítulo permite la instalación del Sandbox o maqueta. se instalan varias máquinas virtuales que ejecutan Windows Server 2012 o Windows 8. se instala un sistema de virtualización.microsoft. su propio sistema de virtualización. A continuación. Éste emplea el hipervisor de Microsoft Hyper-V. si lo desea.Máquinas virtuales utilizadas Para realizar los talleres y evitar multiplicar el número de máquinas.aspx http://technet.com/es-es/evalcenter/dn205286.com/es-es/evalcenter/hh699156.aspx . Puede utilizar. Se puede descargar las versiones de evaluación en los siguientes enlaces: http://technet. Gestión de conmutadores de red y de instantáneas (”snapshots”).Requisitos previos y objetivos 1. Requisitos previos Contar con nociones sobre los sistemas de virtualización. Creación y configuración de una máquina virtual. . Creación del ”Sandbox”. Poseer conocimientos de microinformática. 2. Objetivos Presentación de la situación de virtualización Hyper-V. esta tecnología llamada VDI (Virtual Desktop Initiative) permite la virtualización del sistema operativo pero también de las aplicaciones. los equipos cliente y las aplicaciones. es muy frecuente no utilizar toda la potencia de estos. Se puede comparar este género de virtualización con un streaming de sistema operativo. De esta forma. Virtualización de aplicaciones La virtualización de aplicaciones engloba varios tipos de virtualización. Es posible realizar la virtualización de aplicaciones centralizadas. cada uno utiliza un disco virtual (un archivo en formato vhd. Todos los modos de virtualización tienen como objetivo facilitar la administración y reducir los costes de un sistema de información. Es sencillo realizar de una solución. Esta práctica consiste en resolver un problema de incompatibilidad entre aplicaciones ejecutando cada una en una ”burbuja” que está aislada de las otras aplicaciones. etc. La virtualización incluye la parte servidor pero. Las características llamadas "Enterprise" (Live migration. El procesador debe soportar SLAT (Second Level Address Translation).Información general de las tecnologías de virtualización Las tecnologías de virtualización ofrecen desde ahora a los administradores la posibilidad de reducir el número de servidores. sin embargo ésta realmente ejecutándose en un servidor remoto (solo se ejecuta el sistema operativo en el puesto de trabajo). De igual manera se puede encontrar el aislamiento de aplicaciones en forma de burbuja. los recursos de esta última se reparten entre todas las máquinas virtuales (VM). .) solo están disponibles si Hyper-V se instala en un servidor. virtualizando varios servidores sobre una máquina anfitriona. Los requisitos previos a nivel de procesador son idénticos a Windows Server 2012 R2. El usuario ejecuta una aplicación en un puesto de trabajo. 1. igual que la migración de una máquina virtual entre distintos servidores. es muy fácil hacer funcionar uno o más servidores en una máquina física. también. El puesto puede. También es necesario un mínimo de 4 GB de RAM. Existen varios sistemas de virtualización. Hyper-V en Windows 8. 3.1 Es posible instalar el rol Hyper-V en un equipo cliente a partir de Windows 8 (solo en las ediciones Pro y Enterprise). Virtualización del puesto de trabajo El principio de la virtualización del puesto de trabajo consiste en utilizar una o varias imágenes virtuales sobre uno o más equipos en la red. ser de tipo cliente ligero o de tipo PC. lo que permite una utilización completa de los recursos. Empleando varios servidores físicos. Esta última solución es menos frecuente. 2. vhdx…) así como una red virtual (interna al equipo o empleando la red física). Este puede igualmente tomar la forma de una virtualización completa del puesto de trabajo. entonces. Estas últimas pueden soportar como máximo 32 procesadores virtuales. Controladora SCSI: añade una controladora SCSI a la máquina virtual. La ventaja de este hipervisor es el acceso directo al hardware de la máquina host (y por ende un mejor tiempo de respuesta). en el menú Acciones. en función de la generación de las VM (ver más abajo en este capítulo). lo que permite un mejor tráfico pero impide que la máquina realice un arranque PXE (arranque a través de la red cargando una imagen). Se puede asignar un máximo de 1 TB. Esto concierne al hardware del equipo. El rol Hyper-V puede instalarse con Windows Server 2012 R2 en modo instalación completa (con el interfaz gráfico instalado) o en una instalación mínima (sin interfaz gráfico). . es posible asignar la memoria dinámicamente (tratado en profundidad en este capítulo). Está disponible actualmente en versión 3. El equipo o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address Translation). De esta forma es posible añadir discos duros o lectores DVD. La cantidad de memoria en el servidor host debe ser superior a la asignada a las máquinas virtuales. algunos componentes no estarán disponibles. BIOS: se simula la BIOS de un ordenador físico. disco duro. DVD…). Controladora IDE: se pueden configurar dos controladoras IDE para la VM (Máquina Virtual). Adaptador de red: por defecto no se hereda el adaptador de red de la máquina virtual. Procesador: al igual que la memoria. Memoria RAM: se asigna una cantidad de memoria RAM a la máquina virtual. 1. 2. aparecerá la ventana de configuración. es necesario agregar un adaptador de red heredado. Hyper-V tiene sus requisitos previos.Implementación de Hyper-V Hyper-V es un sistema de virtualización disponible en los sistemas operativos servidor a partir de Windows Server 2008. A partir de Windows Server 2008 R2 SP1. Durante la asignación de la memoria a las máquinas virtuales. La capacidad del procesador debe responder a las necesidades de las máquinas virtuales. Requisitos previos de Hardware Como muchos de los roles en Windows Server 2012 R2. Si el equipo consta de 32 GB de RAM. Las máquinas virtuales en Hyper-V Una máquina virtual emplea los siguientes componentes. Para poder arrancar desde la red. El bloqueo digital automático. es aconsejable reservar de 1 a 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de los roles instalados en la máquina física). es posible asignar uno o más procesadores (en función del número de procesadores y núcleos de la máquina física). Se puede asignar un máximo de 32 procesadores a una máquina. Cada una posee dos discos como máximo. Seleccionando una máquina virtual y después haciendo clic en Configuración. es necesario reservar una parte para el funcionamiento de la máquina física. Tarjeta de vídeo 3D RemoteFX: este tipo de tarjeta permite un mejor rendimiento gráfico haciendo uso de DirectX. sin embargo. es posible configurar varios factores: El orden de arranque para la máquina virtual (red. Si un servidor quería asignar 4 GB de RAM. Configuración de una máquina virtual de generación 2 Todos los componentes descritos arriba pueden configurarse durante la creación de la máquina virtual (adaptador de red. la cantidad reservada era la misma incluso si no existía ninguna actividad en la máquina virtual. está autorizada a solicitar una cantidad suplementaria (esta última no puede exceder la cantidad máxima asignada). el sistema de virtualización Hyper-V permitía solo asignar una cantidad de memoria estática. un administrador puede ahora modificar los valores mínimos y máximo de la memoria durante el arranque. La memoria dinámica permite asignar una cantidad mínima de memoria. De esta forma el número de máquinas virtuales estaba limitado. A diferencia de Windows Server 2008 R2. Esta característica se introdujo en los sistemas operativos servidor posteriores a Windows Server 2008 R2 SP1. La memoria dinámica con Hyper-V Al publicarse Windows Server 2008. 3. unidad DVD) o accediendo a la configuración del equipo virtual. . disco duro. Sin embargo. La memoria búffer es una característica que permite a la máquina virtual contar con una cantidad adicional de memoria RAM en caso de necesidad. si la máquina virtual tiene necesidad de más memoria. Ésta opción es irreversible y hay que volver a crear la máquina para pasar a otra generación. VM de generación 1 Este tipo de máquina virtual proporciona las mismas ventajas que las versiones anteriores de Hyper-V. debemos seleccionar la generación deseada. Preste atención. Microsoft permite ahora realizar la misma operación con una tarjeta de red estándar (los rendimientos se ven mejorados). Presentación de las diferentes generaciones Durante la creación de una máquina virtual. VM de generación 2 Con este tipo de VM. Boot PXE con una tarjeta de red estándar: con las máquinas virtuales de 1ª generación es necesario tener una tarjeta de red heredada para poder efectuar un arranque PXE. La ponderación de memoria permite establecer prioridades para la memoria disponible. aparecen nuevas funcionalidades: Arranque de la VM desde una unidad SCSI (disco duro o DVD): en lo sucesivo es posible arrancar la máquina virtual desde una unidad conectada a un controlador SCSI. solo las máquinas virtuales de 2ª . 4. sin embargo. 1 64 bits solamente 5. en Hyper-V. esta funcionalidad proporciona funciones similares a la conexión de escritorio remoto. Es posible redirigir los siguientes recursos: Configuración de vista Dispositivos de audio Impresoras Portapapeles Tarjetas inteligentes Dispositivos USB Dispositivos plug and play soportados Es preciso respetar ciertos requisitos previos para poder utilizar esta funcionalidad. el ratón y el teclado estaban redirigidos. que permite llevar a cabo esta redirección mediante el bus (VMBus) de la máquina virtual. Era entonces necesario establecer una conexión con el escritorio remoto para redirigir la impresora u otros dispositivos. redirigir los recursos locales a una máquina virtual. . solo están soportados los siguientes sistemas operativos: Windows Server 2012 Windows Server 2012 R2 Windows 8 64 bits solamente Windows 8. Las máquinas virtuales de esta generación no permiten utilizar tarjetas de red heredadas o unidades conectadas a un controlador IDE. En las versiones anteriores de Hyper-V solo la pantalla. generación son compatibles con esta mejora. Uso del modo de sesión mejorada En adelante es posible. Windows Server 2012 R2 contiene ahora una herramienta de sesión mejorada. Habilitar la Directiva de modo de sesión mejorada en la configuración de Hyper-V. Ya no es necesario establecer la conexión a través de la red para efectuar esta operación. De esta forma. Esta última está deshabilitada de forma predeterminada. a través del menú Ver. Adicionalmente. El servicio de escritorio remoto debe estar activado en la máquina virtual. Durante la conexión a una máquina virtual que soporte esta funcionalidad. El usuario que va a efectuar la redirección debe ser miembro del grupo de usuarios del escritorio remoto o del grupo de administradores locales en el sistema invitado. . sin embargo. No es necesario. proceder a una posible autorización. se abre un cuadro de diálogo que permite configurar la visualización. . Sin embargo se debe contar con el controlador del dispositivo para poder redirigirlo.También es posible configurar la redirección de recursos locales. A partir de Windows Server 2012. Es posible convertir los archivos VHD existentes en VHDX (este punto se aborda en profundidad en este capítulo). por ejemplo. Administración de un disco virtual Se pueden realizar ciertas operaciones con los archivos VHD. incluyendo discos de tamaño fijo.El disco duro de las máquinas virtuales Un disco duro virtual es un archivo utilizado por Hyper-V para representar los discos duros físicos. Con la llegada de la nueva versión de Hyper-V. por ejemplo). Sin embargo. Durante la creación de un nuevo disco duro virtual es posible crear diferentes tipos de discos. se emplea un nuevo formato VHDX. . una máquina virtual posee un disco duro. Un disco de tamaño dinámico. sin embargo el tamaño de archivo aumenta en función del contenido hasta alcanzar su tamaño máximo. cada disco duro virtual puede tener un tamaño máximo de 64 TB. Este nuevo formato ofrece muchas ventajas con respecto a su predecesor. Una vez se copian los datos al nuevo disco. Durante la conversión del disco duro virtual. el tamaño de los archivos ya no está limitado a 2 TB. Con este formato. esta solución requiere un acceso exclusivo de la máquina virtual al disco físico empleado. Los datos se almacenan en un archivo que hace las veces de contenedor. Es posible. posee un tamaño máximo de archivo. incluida en Windows Server 2012. El sistema operativo de la máquina virtual considera el disco como interno. Se puede crear un disco duro empleando: La consola de administración de Hyper-V. Al crear un disco virtual de tamaño fijo se reserva el tamaño total del archivo en el disco. el almacenamiento de discos duros virtuales puede realizarse en particiones de archivos SMB 3. Al crear un archivo VHD dinámico. De esta forma. El formato VHDX es menos sensible a la corrupción de archivos por un cierre inesperado (por un corte de luz por ejemplo) del servidor. se puede limitar la fragmentación del disco duro de la máquina host y mejorar su rendimiento. 1. La consola de administración de discos. comprimirlos para reducir el espacio utilizado o para convertir su formato de vhd a vhdx. De esta forma. El disco virtual de acceso directo (”pass-through”) permite a una máquina virtual acceder directamente a un disco físico. El disco deberá quedar operativo mediante la consola de Administración de discos en el equipo host. El comando PowerShell New-VHD. Es posible crear un archivo VHD empleando el cmdlet PowerShell New-VHD con el parámetro - Dynamic. en comparación con los 4096 KB para un formato VHDX. dinámico y de acceso directo ”pass-through”. es posible especificar un recurso compartido local durante la creación de una máquina virtual Hyper-V. Esto puede ser útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI. Sin embargo. el archivo antiguo se elimina. el contenido se copiará al nuevo archivo (conversión de un archivo de tamaño fijo en un archivo de tamaño dinámico. El comando DOS DISKPART. el formato VHD (Virtual Hard Disk). éste tendrá un tamaño de 260 KB. Del mismo modo. es posible almacenar en archivos el sistema operativo o los datos. Los diferentes tipos de discos Al igual que un servidor físico. este tipo de disco presenta el inconveniente de consumir espacio en disco incluso si el archivo VHD no contiene datos. 2. Es posible crear un disco de diferenciación utilizando el cmdlet PowerShell New-VHD. Esta opción permite reducir el tamaño de un disco si este último no emplea todo el espacio que le ha sido asignado. De hecho. Los discos de diferenciación Un disco de diferenciación permite reducir el tamaño de almacenamiento necesario. este tipo de disco consiste en crear un disco común a varias máquinas y un disco que contiene las modificaciones aportadas al disco raíz. El comando siguiente permite crear un disco de diferenciación llamado Diferencial. eventualmente será necesario convertir los archivos VHD en archivos de tipo dinámico. Para los discos de tamaño fijo.vhd.vhd -ParentPath c:\Raiz. siendo este último específico de cada máquina.vhd 4. Los puntos de control en Hyper-V . este último utiliza un disco raíz llamado Raiz. El tamaño necesario para el almacenamiento de las máquinas virtuales se ve así reducido. Será entonces necesario volver a conectar los discos de diferenciación utilizando la opción Inspeccionar disco… en el panel Acciones. Tenga en cuenta que la modificación de un disco principal causará la pérdida de los enlaces al disco duro de diferenciación. New-VHD c:\Diferencial. Estas acciones se pueden llevar a cabo empleando el Asistente para editar discos duros virtuales. 3. La ventana proporciona acceso a varias opciones.vhd. Se pueden llevar a cabo otras operaciones como la reducción de un archivo dinámico. opción Editar disco… en el panel Acciones. También es posible utilizar los cmdlets PowerShell resize-partition y resize-vhd para realizar la compresión de un disco duro virtual dinámico. . cada uno contiene los datos agregados desde el último punto de control efectuado. En efecto.Un punto de control (o instantánea. en función del tipo de archivo del disco seleccionado. esta funcionalidad no reemplaza en ningún caso a las copias de seguridad. ya que los archivos avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. se realiza un intercambio entre un controlador de dominio y una máquina unida al dominio. todos los archivos se perderán y será imposible restaurarlos. Tenga cuidado. Cada máquina puede tener varios puntos de control. rompiendo el canal seguro. Al utilizar discos de diferenciación. Es posible reinicializarlo efectuando nuevamente la operación de unirse al dominio o utilizando el comando netdom resetpwd. Si el punto de control se crea cuando la máquina está arran-cada. En caso de fallo del disco. Ésta está contenida en un archivo con la extensión avhd o avhdx. Esta operación puede llevarse a cabo seleccionando la máquina y haciendo clic en la opción Punto de control del panel Acciones. este intercambio (contraseña) también se restaura. la contraseña restaurada no sigue siendo válida. Sin embargo. Si se usa un punto de control para revertir a un estado anterior es posible que la máquina virtual no pueda conectarse al dominio. en las anteriores versiones de Hyper-V) corresponde a una "foto" de la máquina virtual en el momento en que se realiza. Al restaurar una máquina. contendrá el contenido de la memoria RAM. es conveniente vincular el adaptador de red de la máquina virtual con el conmutador deseado. Es imposible para las máquinas de la red física comunicar con las máquinas virtuales. Privada: la comunicación puede hacerse exclusivamente entre las máquinas virtuales. servidores…). Es posible gestionar estos últimos empleando la opción Administrador de conmutadores virtuales en el panel Acciones. Las máquinas están conectadas a sus redes mediante conmutadores virtuales (vswitch). Es posible crear tres tipos de conmutadores: Externo: con este tipo de conmutador virtual es posible utilizar el adaptador de red de la máquina host desde la máquina virtual. Interno: permite la creación de una red entre la máquina física y las máquinas virtuales. permitiéndole acceder a los equipos o servidores de la red física. la última tiene una conexión a la red física.Gestión de redes virtuales Se puede crear y utilizar varios tipos de redes en una máquina virtual. . Un conmutador virtual se corresponde con un conmutador físico como el que podemos encontrar en cualquier red informática. Esto con el fin de permitir a las diferentes máquinas comunicarse entre ellas o con equipos externos a la máquina host (router. Una vez creado. ahora en Windows Server 2012 R2 hablamos de conmutador virtual. la máquina host no puede contactar con ninguna de las máquinas virtuales. De esta forma. Conocido como red virtual en Windows Server 2008. se presentan dos tipos de instalación: Una instalación completa: se instala una interfaz gráfica que permite administrar el servidor de forma gráfica o por línea de comandos. 2. será necesario contar con una cantidad de memoria y espacio en disco suficientes. características o la administración diaria se realizan por línea de comando. Sin embargo.El Sandbox El ”Sandbox” consiste en la creación de un entorno virtual o físico de pruebas que permita realizar las pruebas sin perturbar las máquinas o servidores de producción. Una vez terminada la instalación del servidor. bastará con arrancar solamente las máquinas necesarias. Es aconsejable reservar un mínimo de 1 GB para la máquina host. Es posible administrar los diferentes roles de forma remota instalando los archivos RSAT (Remote Server Administration Tools) en un puesto remoto. como por ejemplo una máquina equipada con un Pentium I5 3. Memoria RAM: 512 MB como mínimo. . Si su configuración es inferior a ésta. la instalación de roles. El sistema operativo será Windows Server 2012 R2. A partir de Windows Server 2008. Espacio en disco: una instalación base sin ningún rol necesita un espacio en disco de 15 GB. Procesador: 1. sin embargo no está presente ninguna interfaz gráfica. Será necesario prever un espacio mayor o menor en función de los roles del servidor. 1.20 GHz con 6 GB de RAM. dejando 5 GB para el conjunto de las máquinas virtuales. sin embargo un servidor equipado con 1024 MB parece el mínimo indispensable.4 GHz como mínimo y arquitectura de 64 bits. Una instalación mínima: se instala el sistema operativo. Solo se cuenta con un símbolo de sistema. se requiere configurar el nombre del servidor y su configuración IP. La virtualización permite disminuir el número de máquinas físicas necesarias. Todas las máquinas virtuales funcionan en una misma máquina física. La instalación de Windows Server 2012 R2 Antes de proceder a la instalación de Windows Server 2012 R2 en el equipo físico hay que asegurarse de que se respetan los requisitos mínimos del sistema operativo. Configuración necesaria Será necesario contar con una máquina robusta para hacer funcionar las máquinas virtuales. . a continuación. haga clic en Administrador de conmutadores virtuales. De esta forma podrá crear las máquinas virtuales para proceder a su instalación y configuración.Talleres Esta sección sigue con la implementación de la maqueta con el objetivo de familiarizarle con Hyper-V. Valide la opción haciendo clic en el botón Crear conmutador virtual. Ahora podemos utilizar el conmutador virtual para las máquinas alojadas en este servidor. introduzca Interno y luego haga clic en Aplicar. En el panel Acciones. En el campo Nombre. Configuración de la red virtual Objetivo: el objetivo de este ejercicio es crear conmutadores virtuales que puedan utilizarse. en la maqueta. Haga clic en Nuevo conmutador de red virtual y luego en Interno. 1. Arranque la consola Administrador de Hyper-V mediente la interfaz Modern UI. haga clic en Agregar roles y características. haga clic en Siguiente. Se arranca el asistente.Creación de las máquinas virtuales Una vez instalado el sistema operativo en la máquina física. Al ser Hyper-V un rol. . Haga clic en el primer icono para ejecutar el Administrador del servidor. marque la opción por defecto Instalación basada en características o en roles y luego haga clic en Siguiente. instalación y configuración de las diferentes máquinas virtuales. la etapa siguiente consiste en la instalación del rol Hyper-V y luego la creación. En la consola Administrador del servidor. haga clic en Siguiente. será necesario crear un conmutador virtual antes de volver a arrancar el servidor.En la ventana Seleccionar servidor de destino. . Si no desea utilizar el adaptador de red físico. Marque la casilla Hyper-V. Haga clic en el adaptador de red para establecer un puente entre la red física y la máquina virtual. Haga clic en Siguiente en la ventana de instalación de características. luego en la ventana que se muestra haga clic en Agregar características. Es necesario crear un conmutador virtual. en Instalar. vuelva a arrancar el servidor. Haga clic en el botón Inicio para mostrar la interfaz de Windows. .Haga clic tres veces en Siguiente y. Una vez terminada la instalación. a continuación. Acceda a las Herramientas administrativas para poder iniciar Hyper-V. La maqueta contiene cuatro servidores y dos puestos cliente: AD1. controlador de dominio del dominio formacion. puesto cliente con Windows 8 miembro del dominio formacion. haga clic en Nuevo en el menú Acciones y luego en Máquina virtual.local.local. Máquina virtual AD1 El procedimiento descrito a continuación deberá repetirse para la creación de todas las máquinas virtuales. no miembro del dominio. a.local. servidor en versión Core (instalación mínima).1.local.com/es-es/evalcenter/dn205286. servidor miembro del dominio formacion. CL8-01. SV2.local. SVCore. Es posible descargar el archivo ISO de la versión de evaluación de Windows Server 2012 R2 del sitio web siguiente: http://technet. los sistemas operativos serán Windows Server 2012 R2 y Windows 8. CL8-02.microsoft. Esquema de la maqueta Se crearán seis máquinas virtuales. puesto cliente con Windows 8 miembro del dominio formacion. SV1. Creación y configuración de la VM En la consola Hyper-V. .aspx 2. servidor miembro del dominio formacion.1. los archivos de las máquinas virtuales se almacenarán en un segundo disco. . En nuestro ejemplo. si lo desea. seleccionar la ruta por defecto. Puede.En la ventana Antes de comenzar. haga clic en Siguiente. Introduzca AD1 en el campo Nombre. Seleccione el botón Generación 2 y. En la ventana Configurar funciones de red. a continuación. Introduzca 2048 en el campo Memoria de inicio y luego haga clic en Siguiente. seleccione el adaptador de red deseado (interno . haga clic en Siguiente. haga clic en siguiente. a continuación. .o tarjeta de red física) y. Introduzca 60 en el campo Tamaño y luego haga clic en Siguiente. Conecte la máquina virtual al archivo ISO o al DVD de Windows Server 2012 R2. haga clic en Finalizar. pero en blanco. La nueva máquina aparecerá en la ventana central de la consola. es necesario particionarlo e instalar el sistema operativo. Instalación del sistema operativo Haga doble clic en la máquina virtual en la consola Hyper-V y luego haga clic en el botónIniciar (botón verde). En la ventana resumen. . El disco duro de la máquina se crea. b. Haga clic en Instalar ahora para arrancar la instalación. Acepte la licencia y luego haga clic en Siguiente. Haga clic en Siguiente en la ventana de selección de idiomas (se selecciona Español por defecto). Haga clic en la versión Standard (servidor con una GUI). Seleccione Personalizada: instalar solo Windows (avanzado).La máquina arranca y se inicia la instalación de Windows Server 2012 R2. . .). cree dos particiones de 30 GB.Empleando las Opciones de unidad (avanz. c. Haga clic en la primera partición disponible y luego en Siguiente. haga clic en Configurar este servidor local. Se instalarán los roles en los siguientes capítulos. En el Administrador del servidor. introduciendo la contraseña configurada en la sección anterior. . La instalación está en marcha… Introduzca la contraseña Pa$$w0rd y luego confirme. Configuración post-instalación Para poder realizar un [Ctrl][Alt][Supr] en la máquina virtual recién instalada. Abra una sesión como administrador. La instalación ha finalizado. la etapa siguiente es la modificación del nombre del equipo y la configuración IP de la máquina. puede usar la secuencia de teclas [Ctrl][Alt][Fin] o el primer icono de la barra de herramientas. Vuelva a iniciar la máquina virtual para confirmar las modificaciones. Haga un clic con el botón derecho del ratón en Centro de redes y recursos compartidos y . a continuación. Haga clic dos veces en Aceptar y luego en Cerrar. Haga clic en el nombre de equipo para abrir las propiedades del sistema. Falta configurar la dirección de la tarjeta de red. introduzca el nombre del servidor (AD1). Haga clic en Cambiar y. Haga clic en Cambiar configuración del adaptador. En la ventana Propiedades.luego haga clic en Abrir. Haga doble clic en la tarjeta de red. haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4). y luego en Propiedades. . se llama SV2. La cantidad de memoria asignada es de 2048 MB.0 Servidor DNS Preferido: 192. Dirección IP: 192.168. La cantidad de memoria asignada es de 2048 MB. Configure el adaptador de red según se muestra abajo.168.255. siguiendo los parámetros detallados para las máquinas virtuales siguientes.168.1. Máquina virtual SV1 Este servidor es un miembro del dominio.255.255. Dirección IP: 192.255. 3. se llama SV1.10 Contraseña del administrador local: Pa$$w0rd La instalación de los roles y la adhesión al dominio se realizarán en los capítulos siguientes.0 .1. 4. El procedimiento a seguir será el mismo. el disco virtual de 60 GB particionado en dos particiones. Las modificaciones a realizar serán el nombre del equipo y la configuración IP.1. el disco virtual de 60 GB particionado en dos particiones.12 Máscara de sub-red: 255. Máquina virtual SV2 Este servidor es un segundo servidor miembro del dominio.11 Máscara de sub-red: 255. esta máquina es miembro del dominio. Contraseña del administrador local: Pa$$w0rd 6. todas las opciones se proporcionan en los capítulos siguientes. esta máquina es miembro del dominio (operación que realizaremos en los capítulos siguientes). Abra la consola Administrador de Hyper-V. Creación de puntos de control Esta funcionalidad nos permitirá en los capítulos siguientes poner en práctica los talleres (promoción de servidores a controladores de dominio.). Conecte el archivo ISO de Windows 8. Máquina virtual CL8-01 Puesto cliente con Windows 8. . La configuración IP se realizará mediante DHCP. el disco virtual de 30 GB particionado en una única partición. puesta en marcha de un RODC. el disco virtual de 30 GB particionado en una única partición.. La configuración IP se realizará por medio de DHCP.1 a la máquina virtual para proceder a la instalación.. Máquina virtual CL8-02 Segundo puesto cliente con Windows 8. Nombre del puesto: CL8-01 Contraseña del administrador local: Pa$$w0rd 7.1. Nombre del puesto: CL8-02 Contraseña del administrador local: Pa$$w0rd 8. Conecte el archivo ISO de Windows 8.10 Contraseña del administrador local: Pa$$w0rd La instalación de los roles y la adhesión al dominio se realizarán en los capítulos siguientes.1. Máquina virtual SVCore Este servidor se instala en modo sin interfaz de usuario (modo Core). La cantidad de memoria asignada es de 1024 MB.1. 5.1 a la máquina virtual para llevar a cabo la instalación.168. Haga un clic con el botón derecho en la máquina virtual y luego seleccione Punto de control. La cantidad de memoria asignada es de 1024 MB. Aparece una nueva línea en la consola. La cantidad de memoria asignada es de 1024 MB. Servidor DNS Preferido: 192. el disco virtual de 30 GB particionado en una única partición. .Ahora es posible restaurar el estado de las máquinas virtuales. . realice el procedimiento siguiente: En el Administrador de Hyper-V. se advierte al administrador. la caracte- rística se habilita automáticamente. En la categoría Controladora SCSI. De esta forma. Para configurar la QoS a nivel de discos duros. Cuando se alcanzan los distintos umbrales (produciendo rendimientos poco satisfactorios). Empleo de la interfaz WMI o PowerShell para controlar e interrogar el valor IOPS máximo definido para los discos duros virtuales. en lo sucesivo es posible definir el umbral míni-mo para un funcionamiento eficaz. Se proveen las siguientes funcionalidades: Cada disco duro virtual puede tener un valor máximo IOPS (Input/output Operations Per Second - operaciones de escritura por segundo). la característica permite garantizar que la máquina virtual de un cliente no impacta en el rendimiento de lectura/escritura de otro cliente. La QoS a nivel de almacenamiento requiere el rol Hyper-V. Muy útil para las cloud públicas. Durante la instalación del rol. haga clic con el botón derecho en la máquina virtual deseada y luego seleccione Configuración. seleccione el disco deseado.Configuración de la QoS a nivel de almacenamiento Esta nueva característica permite utilizar la QoS (calidad de servicio) para el almacenamiento en la configuración en las máquinas virtuales. Sin embargo no es posible emplearla con discos duros virtuales compartidos. a continuación. configure los campos como desee. haga clic en Características avanzadas. .En el panel de la izquierda. a continuación. Marque la opción Habilitar administración de calidad de servicio y. haga clic en el signo + y. Validación de conocimientos: preguntas/respuestas 1. Ésta puede. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. Hyper-V 3. Tiene sin embargo el inconveniente de . 3 ¿Qué es la memoria dinámica? La memoria dinámica es una característica aparecida con el SP1 de Windows Server 2008 R2. en caso necesario. ahora. El tamaño del archivo puede. 1 ¿En qué consiste la virtualización de aplicaciones? 2 ¿Cuáles son los requisitos previos para la instalación de un servidor Hyper-V? 3 ¿Qué es la memoria dinámica? 4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus ventajas? 5 ¿Qué tipos de discos duros virtuales pueden crearse con Hyper-V? 6 ¿Qué permite hacer un punto de control? 7 ¿Cuáles son los conmutadores virtuales que es posible crear? 8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2? 9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2? 10 ¿Qué permite hacer el modo de sesión mejorada? 11 ¿Cuál es la utilidad de la QoS a nivel de almacenamiento en Hyper-V? 2. El formato VHDX proporciona ciertas ventajas. es necesario un mínimo de 8 puntos para aprobar el capítulo. tener un tamaño máximo de 64 TB y resuelve el problema de la corrupción de archivos tras un error no esperado. 5 ¿Qué tipos de discos duros virtuales pueden crearse con Hyper-V? Es posible crear tres tipos de discos duros virtuales: Los discos de tamaño fijo: el tamaño total del archivo se reserva en el disco. este tipo de disco permite limitar la fragmentación del archivo. 3. contabilice un punto.0 permite crear un nuevo tipo de disco duro. 2 ¿Cuáles son los requisitos previos para la instalación de un servidor Hyper-V? La máquina host debe poseer un procesador de 64 bits y soportar SLAT (Second Level Address Translation). solicitar más memoria adicional. Ésta permite asignar una cantidad mínima de memoria a una máquina virtual. Esto permite facilitar la administración de las aplicaciones. Resultados Para cada respuesta acertada. También es necesario que la cantidad de memoria sea superior a la asignada a las máquinas virtuales. las cuales estarán agrupadas en un único equipo. 4 ¿Cuál es el formato para el archivo del disco virtual de una máquina? ¿Cuáles son sus ventajas? Con la llegada de Windows Server 2012. por parte del usuario. sin embargo no puede exceder la cantidad máxima. aplicaciones que no se encuentran en el puesto de trabajo sino en un servidor. Respuestas 1 ¿En qué consiste la virtualización de aplicaciones? La virtualización de aplicaciones consiste en ejecutar. Este modo de sesión mejorada permite. 10 ¿Qué permite hacer el modo de sesión mejorada? Antes de Windows Server 2012 R2 era necesario utilizar el cliente de escritorio remoto (con una conexión de red) para redirigir los dispositivos de tipo impresora a un puesto host desde la máquina virtual. Windows Server 2012 R2. 6 ¿Qué permite hacer un punto de control? Un punto de control permite capturar el estado de una máquina virtual en un momento dado. Windows 8 y Windows 8. De esta forma la VM tiene la posibilidad de acceder a la red física. Los discos dinámicos: se define un tamaño máximo durante su creación. Los discos de acceso directo "pass-through": permiten conectar un disco físico directamente a la máquina virtual. El acceso al disco por la VM es exclusivo. Se configura un umbral mínimo y máximo de operaciones por segundo para garantizar el rendimiento a nivel de escritura y de lectura del espacio de almacenamiento. 9 ¿Cuáles son los sistemas operativos compatibles con las máquinas virtuales de generación 2? Solo los sistemas operativos Windows Server 2012. Los sistemas operativos anteriores deberán instalarse en una máquina virtual de generación 1. 7 ¿Cuáles son los conmutadores virtuales que es posible crear? Se puede crear tres conmutadores en Hyper-V: Externo: se crea un puente entre la interfaz de red de la máquina física y la interfaz de red virtual.1 son compatibles con las máquinas virtuales de generación 2. Por el contrario. redirigir los periféricos sin tener que pasar por la red y el cliente de escritorio remoto. consumir el espacio en disco incluso si el archivo está vacío. . Privado: permite realizar la comunicación solamente entre las máquinas virtuales. Interno: este tipo de conmutador permite a las máquinas virtuales comunicarse con la máquina host. en lo sucesivo. la máquina host no puede contactar con ninguna de las VM. con el fin de poder restaurar el estado de la instantánea. 8 ¿Cuáles son las mejoras aportadas por las máquinas virtuales de generación 2? Las máquinas virtuales de generación 2 aportan la posibilidad de arrancar desde una unidad SCSI y también de realizar un arranque PXE desde una tarjeta de red estándar. El tamaño aumenta en función del contenido. les es imposible acceder a la red física. 11 ¿Cuál es la utilidad de la QoS a nivel de almacenamiento en Hyper-V? La QoS a nivel de almacenamiento permite configurar una calidad de servicio a nivel de los discos duros virtuales de las VM. . Requisitos previos Tener conocimientos de direccionamiento IP. Objetivos Presentación de Windows Server 2012 R2.Requisitos previos y objetivos 1. Instalación y configuración del servidor. Utilización de la consola Administrador del servidor. 2. Introducción al lenguaje PowerShell. Poseer competencias para la instalación y configuración de un sistema operativo cliente o servidor. Regedt32. Edición Essentials: esta edición reemplaza a las versiones Small Business Server. Edición Datacenter: esta edición incluye todos los roles y características. Sconfig. Soporta hasta 4 TB de memoria RAM e incluye dos licencias para dos máquinas virtuales.). Así cada empresa tiene la posibilidad de elegir la edición en función de sus necesidades. incluye un número limitado de roles y no puede unirse a un dominio. Es posible agregar la característica empleando la consola Administrador del servidor o mediante un cmdlet PowerShell.exe: permite el inicio y ejecución del bloc de notas. La cantidad de memoria RAM o el espacio en disco son menores comparados con una instalación completa. Las siguientes herramientas pueden utilizarse en un servidor en modo Core: Cmd. 1. A partir de Windows Server 2012 es posible pasar de un modo de instalación al otro eliminando o agregando la característica que proporciona la interfaz gráfica (esta operación era imposible de realizar en los sistemas operativos precedentes). clúster de conmutación o servidor Core. aporta todo un conjunto de características que permite ofrecer nuevos servicios. Permite instalar un número ilimitado de máquinas virtuales y soporta un procesador con hasta 640 núcleos y 4 TB de memoria RAM.cmd: menú por línea de comandos que permite efectuar las tareas de administración en el servidor. ipconfig. Las ediciones de Windows Server 2012 R2 Podemos encontrar diferentes ediciones de Windows Server 2012 R2. es necesario autorizar la administración remota en el cortafuegos de Windows. la cantidad de memoria RAM no puede exceder 64 GB. Sin embargo. De hecho este tipo de instalación está desprovisto de interfaz gráfica. emplee el comando netsh: Netsh. Puede actuar como servidor raíz en un dominio pero no puede poseer los roles Hyper-V. .exe: permite la ejecución de comandos DOS (ping. Para esto. Edición Standard: esta edición incluye todos los roles y características. Edición Foundation: utilizada en las pequeñas empresas con menos de 15 usuarios. TaskMgr.Información general de Windows Server 2012 R2 Windows Server 2012 R2. Solo se puede administrar un servidor instalado en modo Core empleando comandos PowerShell o comandos DOS. Se puede administrar un servidor Core de forma remota instalando en un servidor o puesto de trabajo los archivos RSAT.exe advfirewall set service remoteadmin enable ALL El servidor puede ahora administrarse desde otro servidor. reduciendo de esta forma el número de actualizaciones requeridas y los recursos hardware necesarios. Notepad. como su antecesor. PowerShell: ejecuta una sesión PowerShell con el fin de poder ejecutar los comandos.exe: inicio y administración de tareas. El servidor Core es uno de los métodos de instalación disponibles a partir de Windows Server 2008..exe: proporciona acceso a la base de datos del registro. Soporta un procesador con un solo núcleo y hasta 32 GB de memoria RAM.. Esta edición limita el número de usuarios a 25. . AD CS (Active Directory Certificate Services) permite instalar una entidad de certificación. Existen más servicios de rol incluidos en este rol: ..). De esta forma dos empresas pueden compartir de forma segura información de identidad de Active Directory para un usuario.. Identifica y autentica a un usuario que desea acceder a una extranet.NET Framework 4. Proxy FSP: permite recopilar información de autenticación del usuario desde un navegador o una aplicación web. permiten proporcionar a un servidor funciones suplementarias (controlador de dominio. que tiene por objetivo entregar y administrar certificados digitales.NET Framework 4. Uso compartido de puertos TCP: permite a varias aplicaciones gestionar el mismo puerto. Servicio de activación de procesos Windows: permite la invocación de aplicaciones utilizando protocolos como HTTP. Los usuarios se identifican y se les asigna una licencia para la información protegida.2. Puesta en marcha del servidor Web (IIS): instala el servicio Web (IIS). Acceso a red COM+: utilización del protocolo COM+ para comunicación remota.NET. Agente Web AD FS: permite validar los token de seguridad presentados y autoriza un acceso autenticado a un recurso web. que tiene por objetivo la autenticación de las cuentas de usuario y de equipo en un dominio Active Directory. Presentación de los principales roles Los roles hicieron su aparición con Windows Server 2008. Transacciones distribuidas: agrega los servicios que permiten utilizar transacciones en varias bases de datos. Encontraremos diferentes roles. Varias funciones de rol integran este rol: Servicio de federación: instala la infraestructura para proporcionar acceso a los recursos. De este modo resulta más sencillo prohibir a un usuario realizar una copia de un documento en una llave USB o imprimir un archivo confidencial. Message Queue Server y TCP. Finalmente los roles DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System) que permiten. El rol Servidor de aplicaciones permite efectuar la administración y hospedaje de aplicaciones creadas empleando . Otro rol llamado AD RMS permite la gestión del acceso a un recurso. Existen otros roles disponibles en Windows Server 2012 R2. Compatibilidad con la federación de identidades: se beneficia de las relaciones federadas entre dos organizaciones para establecer la identidad del usuario y proporcionarle un acceso a un recurso protegido. Se despliega un mecanismo de protección contra usos no autorizados. los cuales pueden ser instalados mediante la consola Administrador del servidor o empleando un cmdlet PowerShell. AD FS (Active Directory Federation Service) proporciona un servicio federado de gestión de identi-dades. El rol AD DS (Active Directory Domain Services) proporciona un directorio Active Directory. cada uno responde a una necesidad que puede tener una empresa. la distribución de configuraciones de red a los equipos cliente y la resolución de nombres en direcciones IP (o viceversa).5: procede a la instalación del Framework . respectivamente.5 u otros. Durante la instalación del rol es posible instalar dos servicios de rol: Active Directory Rights Management Services: permite proteger un recurso frente a un uso no autorizado. El servicio de administración de direcciones IP instala una infraestructura que permite gestionar un espacio de direcciones IP y los servidores correspondientes (DHCP…). El equilibrio de carga de red realiza una distribución del tráfico para evitar la saturación de uno de los servidores. Al igual que los roles. IPAM se encarga de descubrir los servidores en el bosque Active Directory de forma automática. En caso de fallo de uno de los servidores. Al igual que para un rol. El clúster de conmutación por error permite a los servidores funcionar conjuntamente. los otros garantizan la continuidad del servicio. Presentación de las principales características Una característica aporta herramientas adicionales al sistema operativo. . El cifrado de unidad BitLocker permite cifrar cada volumen para evitar una fuga de datos en caso de pérdida o robo del equipo. una característica puede instalarse de forma manual o automática.3. Se requiere la presencia de una tarjeta TPM en la máquina para una verificación del sistema de propagación. para proporcionar alta disponibilidad. las características pueden instalarse con la consola Administrador del servidor o mediante PowerShell. el grupo de trabajo o el dominio al que pertenece la máquina.Información general de la administración de Windows Server 2012 R2 Windows Server 2012 R2 ofrece muchas herramientas para poder realizar las tareas de administración. Es posible arrancarlas desde la consola Administrador del servidor. La gestión del servidor local se hace también mediante esta consola. Se pueden instalar roles y características empleando el protocolo WinRM. ha sufrido un enorme cambio en Windows Server 2012. . Presente desde Windows Server 2008 y Windows Server 2008 R2. Se puede modificar cierta información muy rápidamente. Permite añadir o eliminar roles e igualmente la gestión de PC remotos. También se puede gestionar la configuración del escritorio remoto o la administración remota. La consola Administrador del servidor permite administrar el conjunto del servidor. Se puede configurar igualmente un grupo de servidores por medio de esta consola. para poder administrar varios servidores desde una misma consola. Podemos encontrar el nombre del equipo. el panel permite verificar rápidamente que no existe ningún problema en el servidor. .La característica Configuración de seguridad mejorada de Internet Explorer permite activar o desactivar la seguridad mejorada de Internet Explorer. De igual forma. Esta opción se encuentra habilitada por defecto. Los elementos auditados son Eventos. Haciendo clic en la categoría se muestra una ventana que contiene los detalles del evento. Servicios. podemos ver en la pantalla que los roles Hyper-V y Servicios de archivo y de almacenamientofuncionan correctamente.Así. Si alguna de las categorías está precedida por una cifra el administrador sabe que existen eventos pendientes de visualizar. Servidor local y Todos los servidores (que por el momento solo incluye al Servidor local) están igualmente presentes. Rendimiento y Resultados BPA. . Así. Adicionalmente. el aspecto visual proporciona una vista inmediata del estado de salud del servidor o servidores. . es posible intervenir en un problema (reiniciar un servicio...) muy rápidamente. Métodos de instalación Para instalar Windows Server 2012 R2. la edición debe ser equivalente o superior. Esta solución consume muchos recursos de red. Hyper-V tiene. Este tipo de instalación es mucho más larga que el uso de un medio USB y presenta el inconveniente de no poder modificar la imagen (sin cambiar el medio). Adicionalmente.4 GHz. que es útil al pasar de Windows Server 2003 o Windows Server 2003 R2 a Windows Server 2012 R2. como mínimo. Se puede usar un archivo de respuestas para automatizar las etapas de la instalación. La migración. Una vez seleccionado el método. Es muy aconsejable tener una cantidad de espacio en disco y de memoria RAM superiores. requisitos más exigentes para poder hacer funcionar las máquinas virtuales. como es natural. El servidor debe tener 512 MB de memoria RAM y 32 GB de espacio en disco. debemos seleccionar la instalación deseada. se debe hacer una elección: la instalación completa que incluye la interfaz gráfica o una instalación mínima sin interfaz gráfica. 2. Esto requiere sin embargo permisos de administración para algunas etapas. Esta operación se puede realizar desde Windows Server 2008 R2 SP1 o Windows Server 2012. el cual debe tener una velocidad mínima de 1. El servidor de despliegue permite arrancar desde un servidor (Windows. Evidentemente conviene adaptarlos en función de los roles instalados. El soporte USB presenta la ventaja de que permite realizar modificaciones (agregar nuevo software o un controlador) sin tener que volver a crear el medio. De esta forma no es necesario tener un soporte USB o un lector DVD. un procesador con una arquitectura de 64 bits. pueden usarse varios métodos: El DVD tiene la desventaja de necesitar una unidad DVD en el servidor. Una nueva instalación consiste en instalar el sistema operativo en un disco o volumen nuevo. Microsoft Deployment Toolkit…). Una actualización permite conservar los archivos y aplicaciones. . 1. Requisitos previos de hardware para Windows Server 2012 R2 Como todo sistema operativo. Sin embargo se debe tener cuidado.Instalación de Windows Server 2012 R2 Antes de realizar la instalación de Windows Server 2012 R2 conviene verificar que el hardware respeta los requisitos previos exigidos por el fabricante. Conviene respetarlos para garantizar que el sistema operativo ejecuta en buenas condiciones. Es necesario garantizar antes de la instalación que se tiene. Windows Server 2012 tiene requisitos previos de hardware. 1. Estas concesiones DHCP tienen una duración limitada en el tiempo y contienen toda la configuración IP (dirección IP. una máscara de subred.) necesaria para que la máquina se comunique en la red. .255. se ha reducido el número de parámetros a configurar durante la instalación. Ésta tiene como mínimo una dirección IP. Estas operaciones deben realizarse después de la instalación.255.2 primary Debe remplazar "Conexión a red local" con el nombre de su adaptador de red. el nombre del equipo o la adhesión a un dominio durante la instalación. la dirección IP de la puerta de enlace predeterminada y la del servidor DNS. máscara de subred. El comando netsh permite realizar esta operación. 1. Se puede contar con un servidor DHCP para proporcionar direcciones de forma automática. También es posible realizar la configuración por línea de comando DOS.168. conviene utilizar la consola Administrador del servidor (nodo Servidor local). Configuración del adaptador de red Toda máquina conectada a una red debe tener una configuración IP. Para ello hay que usar el nodoServidor local de la consola Administrador del servidor.0 Para configurar la dirección IP del servidor DNS. La dirección IP asignada a la máquina le permite ser identificada y comunicarse con sus pares. Es posible automatizar la configuración de estos parámetros utilizando un archivo de respuestas).1. También es posible asignar a los puestos direcciones de forma manual.1 255.Configuración del sistema operativo después de su instalación A partir de Windows Server 2008. Ya no es posible configurar la red. utilice el comando siguiente: Netsh interface ipv4 set dnsservers "Conexión a red local" static 192. Para ello. Netsh interface ipv4 set address "Conexión a red local" static 192.168. etc. El único parámetro a introducir es la contraseña de la cuenta del administrador local del servidor. haga clic en Archivo y luego enConfiguración..Formación de equipos de NIC La formación de equipos de NIC permite aumentar la disponibilidad de los recursos de red. No es necesario. Una vez abierta la conexión a la máquina virtual. Haga clic en Agregar hardware.. Conecte el servidor SV1 para poder añadir un adaptador de red. en ningún caso. la conexión se mantiene de esta forma incluso si una de las tarjetas de red sufre algún problema. Esta característica permite utilizar una dirección IP en varios adaptadores de red. . luego en Adaptador de red y finalmente en Agregar. contar con adaptadores de red idénticos para instalar la formación de equipos de NIC. Conecte el nuevo adaptador de red al mismo conmutador virtual (este último debe ser de tipoExterno) que el adaptador de red ya instalado. . Haga clic en Aceptar y luego en el botón verde en la barra de la máquina virtual para iniciarla. Abra una sesión en la máquina SV1. Arranque el Administrador del servidor y luego haga clic en el nodo Servidor local. . . seleccione los dos adaptadores de red manteniendo pulsada la tecla [Ctrl] del teclado.Haga clic en el enlace Deshabilitado al lado de Formación de equipos de NIC. en el menú contextual. Haga clic con el botón derecho y luego. En ADAPTADORES E INTERFACES. seleccione Agregar a nuevo equipo. En el campo Nombre del equipo. Despliegue el menú Propiedades adicionales y seleccione Ethernet en Adaptador de modo de espera. introduzca Equipo 1. . La formación de equipos de NIC está ahora en servicio. 11.11. Inicie un símbolo de sistema DOS e introduzca el comando ping -t 192.168.168.1.Se ha añadido un elemento en la consola Conexiones de red. Verifique la configuración IP para comprobar que el adaptador de red tiene la dirección IP 192.1. . Equipo 1 vuelve a aparecer. el conjunto de adaptadores comparten la misma configuración de red. la segunda interfaz continúa con la comunicación. . Reactive los adaptadores de red. En adelante es imposible efectuar un ping o utilizar la red. De esta forma. desaparece Equipo 1. Al deshabilitarlos. Deshabilite los dos adaptadores de red. si un adaptador de red sufre un fallo. Adicionalmente. Descargar e instalar actualizaciones de Windows Update. djoin /requestODJ /loadfile union.2. El comando sconfig. en el controlador de dominio.exe. apagado y reinicio del servidor.txt /windowspath %systemroot% /localos Por último. Uno de los talleres presentes en este capítulo trata sobre la configuración de un servidor Core. Para realizar esta operación es preciso utilizar el comando djoin. reinicie el equipo para terminar la operación de unión al dominio (en un entorno de producción.txt El archivo Union. Añadir una cuenta de administrador local. Unirse a un dominio sin conexión La unión a un dominio sin conexión permite a un equipo unirse a un dominio.txt contiene toda la información necesaria para unirse al dominio. el comando djoin con la opción/provision. la configuración debe hacerse por línea de comandos.local /machine NombreDeLaMáquina /savefile c:\Union. Incluso sin que se encuentre conectado. Configurar la fecha y hora. Desconexión. una vez más. . 3. Puede copiarlo al equipo. la última operación se validará durante la próxima conexión del equipo a la red empresarial). el comando djoin y el parámetro /requestODJ. djoin /provision /domain formacion. Se pueden realizar varias operaciones: Configuración del grupo de trabajo o unión a un dominio Active Directory. Configuración de un servidor Core Un servidor Core no posee interfaz gráfica. Utilice. presente en las instalaciones mínimas. En primer lugar será necesario ejecutar. evita a los administradores tener que escribir los diferentes comandos empleados para configurar el nombre del servidor o la configuración IP. Editar el nombre del equipo. Estos scripts permiten automatizar las tareas (creación de usuarios.Introducción a PowerShell PowerShell es una plataforma de línea de comandos que permite automatizar ciertas tareas de administración. 1. La importación del módulo se realizará usando el comando: Import-Module NombreModulo 2. Muchos productos de Microsoft utilizan scripts de PowerShell mediante interfaces gráficas (por ejemplo: Microsoft Deployment Toolkit. etc. Las funciones básicas pueden extenderse agregando módulos (módulo Active-Directory. MDT). los nombres tienen cada uno una colección de verbos asociados. Ciertos roles como Hyper-V pueden gestionarse empleando comandos PowerShell.). utilice el comando: Get-Help -Noun NounName Para conocer los nombres disponibles para un verbo. Get-Service: permite mostrar las propiedades de un servicio. Sintaxis de los cmdlets PowerShell Un cmdlet utiliza un nombre y un verbo. Los asistentes en MDT 2010 y MDT 2012 muestran el script PowerShell empleado. Presentación de PowerShell PowerShell es un lenguaje de scripting que permite ayudar al equipo de TI con la administración de servidores y redes informáticas. El lenguaje está compuesto por cmdlets que se ejecutan desde un símbolo del sistema PowerShell. lo que permite la administración del rol en línea de comandos. Para ver esta lista. etc. Get New Set Restart Resume Remove Add Show … Cada nombre posee una lista de verbos utilizables.). Pueden usarse varios tipos de verbos en función del nombre seleccionado. . utilice esta vez el comando: Get-Help -Verb VerbName Ejemplo de cmdlet utilizable El cmdlet Service permite administrar servicios mediante PowerShell. esto permite saber que módulo cargar. Start-Service: inicia un servicio detenido. Instalar y configurar la característica DSC (Desired State Configuration) La característica DSC es una extensión de PowerShell que permite efectuar algunas operaciones . Finalmente. Limit-EventLog: define un tamaño y un tiempo límite para los diferentes eventos. Clear-EventLog: elimina todos los eventos de un registro. se pueden visualizar los diferentes cmdlets por módulo. Presentación de la consola PowerShell ISE La interfaz PowerShell ISE es un entorno que proporciona asistencia para la elaboración de scripts PowerShell. 4. El cmdlet Process permite gestionar los diferentes procesos del servidor. Start-Process: efectúa el inicio de un nuevo proceso. 3. Get-Process: permite obtener información sobre un proceso. se emplea un código de colores al igual que en una herramienta de depuración. Set-Service: configura las propiedades de un servicio. Get-EventLog: muestra los eventos de un registro de eventos especificado. El cmdlet EventLog gestiona los eventos de un servidor que ejecuta Windows Server 2012 R2. Permite visualizar los comandos y los parámetros utilizados por estos comandos y acceder a diferentes cmdlets. Restart-Service: efectúa el reinicio de un servicio existente. Stop-Process: detiene un proceso. Stop-Service: detiene un servicio arrancado. Para facilitar su mantenimiento. Es perfectamente posible elaborar scripts sin utilizar la interfaz ISE. Se ha incluido una nueva palabra clave Configuration en PowerShell. Administrar archivos y carpetas.microsoft. Estará seguida por un identificador y corchetes. Éste contendrá la configuración deseada. Se utiliza para definir un bloque dentro de un script. así como los recursos pertinentes. DSC proporciona a PowerShell nuevos cmdlets así como recursos que permiten realizar la definición de un entorno deseado.com/en-us/library/dn249918. Adicionalmente.aspx . detener y gestionar un proceso o un servicio. Es necesario definir en el script el equipo. Iniciar.como: Instalar o eliminar roles y características. Para obtener más información acerca de esta funcionalidad visite la página:http://technet. Administrar los grupos y usuarios locales. es posible efectuar la gestión y el mantenimiento de las configuraciones existentes. que permiten delimitar el bloque. Máquina virtual utilizada: AD1. Haga clic en el primer icono para enviar a la VM una secuencia de teclas [Ctrl][Alt][Supr]. Haga clic en Instalación basada en características o en roles. haga clic en Siguiente. habrá que promover el servidor. 1. haga clic en Agregar roles y características. Se inicia el asistente. seleccione la opción por defecto. Haga doble clic en la máquina AD1 para conectarse a ella. Creación del bosque Formacion.local. En la consola Administrador del servidor. . En la ventana de selección del servidor de destino. Una vez realizada la configuración.Talleres Estos talleres permiten poner en práctica los puntos tratados en el capítulo.local Objetivo: el objetivo de este ejercicio es promover el primer controlador de dominio del bosque Formacion. Haga clic dos veces en Siguiente y luego en Instalar.Marque la opción Servicios de dominio de Active Directory (Active Directory Domain Services - directorio Active Directory) y luego haga clic en Agregar características. . La instalación está en marcha… Una vez terminada la instalación. En el Administrador del servidor. haga clic en Cerrar. . haga clic en la bandera con el signo de exclamación. Haga clic en Siguiente para validar su elección. Haga clic en Agregar un nuevo bosque e introduzca Formacion.Haga clic en Promover este servidor a controlador de dominio. .local en el campo Nombre de dominio raíz. haga clic en Siguiente. . En la ventana Opciones de DNS.Seleccione el nivel funcional Windows Server 2012 R2. verifique que el nombre es FORMACION. Después de algunas búsquedas. Haga clic en Siguiente para validar la información. aparece el nombre de dominio NetBIOS. deje la casilla Servidor DNS marcada para instalar y configurar el rol. Introduzca la contraseña de modo de restauración de servicios de directorio (DSRM): Pa$$w0rd. Haga clic en Instalar para iniciar la instalación de Active Directory y promover el servidor. el servidor se agregará al dominio Formacion. Seguidamente. Máquinas virtuales utilizadas: AD1 y SVCore. En el símbolo del sistema. 2. la fecha y hora al igual que el adaptador de red. Deje las rutas de acceso por defecto. El taller permite efectuar la configuración del nombre del servidor. introduzca: netdom renamecomputer %computername% /newname:SVCore . el servidor reinicia. Configuración de un servidor en modo de instalación Core Objetivo: configurar SVCore que ejecuta Windows Server 2012 R2 en modo instalación mínima.local. Abra una sesión en SVCore como administrador local. Haga clic en Siguiente después de haber verificado los parámetros en la ventana Revisar opciones. Al terminar la instalación. Introduzca sconfig y valide con la tecla [Intro]. Después del reinicio. pulse la tecla [Intro] para realizar el cambio de nombre.Introduzca S y. . a continuación. Utilice el comando shutdown -R -t 0 para reiniciar el servidor. abra una sesión como administrador y verifique el nombre usando el comando hostname. seleccione la opción 8) Configuración de red. Verifique que la zona horaria está bien configurada UTC+01 (Madrid).Introduzca 9 y valide con la tecla [Intro]. . Seleccione la opción 1 para definir la dirección del adaptador de red. Introduzca el índice del adaptador de red deseado y luego pulse la tecla [Intro]. Si es necesario realice el cambio y haga clic en Aceptar para validar la ventana Fecha y hora. En la ventana sconfig. 168.10 y valide su opción. la máscara de subred como 255. introduzca 192. Haga clic en Aceptar en la ventana Configuración de red y luego pulse [Intro] sin introducir ningún valor para volver al menú. .0 y finalmente la puerta de enlace predeterminada como192.168.168.255.1. En la línea Escriba un nuevo servidor DNS. Seleccione la opción 2) Establecer servidores DNS.255.1. Responda a las diferentes preguntas para configurar la dirección IP como 192.13.1.254.Introduzca e (para efectuar una configuración estática) y valide su elección empleando la tecla [Intro]. Introduzca el comando netdom join %computername% /domain:Formacion. Seleccione la opción 4) Regresar al menú principal. reinicie el servidor introduciendo el comando shutdown -R -t 0. Administración de servidores .local /Userd:Formacion\administrador /PasswordD:* El símbolo * introducido en el parámetro PasswordD permite introducir la contraseña de forma segura. 3. Si la operación ha funcionado bien. De hecho. ésta no se mostrará. Salga del menú sconfig seleccionando la opción 15) Salir a la línea de comandos. Abra una sesión en AD1 y luego ejecute la consola Administrador del servidor. haga clic en Crear un grupo de servidores. Se instalará un rol en uno de los servidores del grupo.Objetivo: el taller consiste en crear un grupo de servidores. Máquinas virtuales utilizadas: AD1 y SVCore. En el panel. Haga clic en la pestaña Active Directory y luego en el botón Buscar ahora. . Agregue los servidores AD1 y SVCore al grupo.Introduzca Grupo-Formacion en el campo Nombre de grupo de servidores. . . Seleccione SVCore como servidor de destino de la instalación del rol y luego haga clic enSiguiente. Haga clic en Siguiente en la ventana Antes de comenzar. haga clic en Agregar roles y características. Deje el valor predeterminado en la ventana Seleccionar tipo de instalación.Haga clic en Aceptar para validar la creación del grupo. En el panel de la consola Administrador del servidor. .Seleccione el rol Servidor web (IIS) y luego haga clic en Siguiente. En la ventana Seleccionar características. haga clic en Siguiente. Haga clic dos veces en Siguiente y luego en Instalar. Utilización de PowerShell para administrar los servidores Objetivo: obtener información acerca de los servidores remotos mediante la interfaz PowerShell. Máquinas virtuales utilizadas: AD1 y SVCore. . En AD1. inicie la consola Administrador del servidor y luego haga clic en Grupo-Formacion. 4.Se realiza la instalación del servidor remoto. Introduzca el comando Get-service | where-object {$_. Podemos ver igualmente aquellos ya instalados. Introduzca Import-Module ServerManager y. valide con la tecla [Entrar]. .Haga clic con el botón derecho del ratón en SVCore y luego seleccione Windows PowerShell. a continuación.status -eq "Running"} para visualizar los servicios arrancados. Utilice el comando Get-WindowsFeature para visualizar los roles y características. txt. Utilice los comandos get-process para enumerar los procesos en ejecución. Introduzca el comando Djoin /provision /domain formacion. De esta forma es muy sencillo instalar un rol o una característica.local /machine SV1 /savefile c:\union. 5. En AD1. Máquinas virtuales utilizadas: AD1 y SV1. Introduzca Install-WindowsFeature WINS -ComputerName SVCore para instalar la característica WINS en SVCore. El taller consiste en crear el archivo necesario para unir un servidor a un dominio y utilizar el comando DJoin. inicie un símbolo del sistema DOS. Unirse a un dominio sin conexión Objetivo: unir un servidor utilizando el método sin conexión. y también realizar la administración de un servidor local o remoto. . para obtener una tabla con las direcciones IPv4 e IPv6 del servidor consultado. Introduzca Get-NetIPAddress | Format-table. Sitúe el ratón en la parte inferior izquierda de la pantalla para mostrar la miniatura de la interfaz Windows. Desactive los adaptadores de red en SV1 para simular un equipo o servidor desconectado.10\c$ y luego haga clic en Aceptar. Introduzca \\192. Haga clic con el botón derecho en la miniatura y seleccione Ejecutar.txt en el disco duro local del servidor SV1. Copie el archivo union.1. .Abra una sesión en SV1 como administrador local.168.txt /windowspath %systemroot% /localos en SV1. Autentíquese como formacion\administrador. Introduzca el comando Djoin /requestODJ /loadfile c:\union. SV1 será miembro del dominio. 6. Agregar características a una imagen sin conexión Objetivo: agregar características a una imagen de instalación para que esté disponible durante la instalación del servidor. Abra una sesión. . la unión al dominio sin conexión ha funcionado. el servidor estará ahora conectado al dominio. Active los adaptadores de red y luego abra una sesión como administrador del dominio. Efectúe un reinicio en SV1. a continuación. Cree una carpeta Montar en c:\ImageWim. En AD1. No acceda a la carpeta Montar porque esto causará que la imagen no pueda ser desmontada .wim El comando permite obtener información del archivo de imagen.wim /Index:4 /MountDir:c:\ImageWim\Montar. Introduzca el comando dism /Mount-Image /ImageFile:c:\ImageWim\install.wimubicado en el directorio Sources en c:\ImageWim (cree la carpeta en el árbol). El siguiente comando indica que la imagen deseada tiene asignado el número 4. introduzca el comando dism /get-imageinfo /imagefile:c:\imagewim\install. Abra un símbolo del sistema DOS y.wim (uno por edición). El archivo install. Para ello. conecte la ISO de Windows Server 2012 R2 y luego copie el archivo install.wim contiene cuatro archivos install. Se debe montar la imagen (descomprimir el archivo wim en una carpeta) en la carpeta ImageWim.Máquinas virtuales utilizadas: AD1. se recupera la imagen de la edición Datacenter con interfaz gráfica. Active la característica TFTP introduciendo el comando Dism /online /Enable-Feature /FeatureName:TFTP. (recomprimida en el archivo wim). . De esta forma.wim en el directorio local. 7. Valide las modificaciones introduciendo el comando Dism /Unmount-Image /MountDir:C:\ImageWim\Montage /Commit. El servidor Core no tiene los recursos necesarios para la instalación de la interfaz gráfica. Introduzca los comandos mkdir c:\Sources y. Abra una sesión en SVCore como administrador y luego conecte la imagen ISO de Windows Server 2012 R2.wim C:\Sources\install. copy D:\sources\install.wim presente en el DVD.wim para crear una carpeta que va a contener el archivo wim e iniciar una copia del archivo install. se instalará la característica. Máquinas virtuales utilizadas: SVCore. Es posible recuperar la lista de características mediante el comando Dism /online /Get- Features. Agregar/eliminar una interfaz gráfica Objetivo: el taller consiste en agregar una interfaz gráfica al servidor SVCore. a continuación. durante la instalación del servidor. nos basa- remos en primera instancia en el archivo install. .exe -r C:\Sources\install.Server-Gui-Shell -source:wim:C:\Sources\install. Introduzca en primer lugar el comandopowershell en la interfaz gráfica. Inicie la instalación mediante el comando PowerShell Install-WindowsFeature Server-Gui- Mgmt-Infra. La instalación de la interfaz gráfica ya puede empezar. Elimine la propiedad Solo lectura introduciendo el comando attrib.wim.wim:2 -restart.Substituya la letra de la unidad D: por la de su unidad de DVD. Es posible eliminarla desinstalando la característica Infraestructura e interfaces de usuario. .El servidor reinicia al terminar la instalación. Ahora cuenta con una interfaz gráfica. blanco) es. 4 ¿Cuál es la ventaja de instalar un servidor en modo Core? Con este tipo de instalación. es posible instalar Windows Server 2012 R2 en modo completo (interfaz gráfica presente en el servidor) o en modo instalación mínima (sin interfaz gráfica). . el panel proporciona la posibilidad de intentar resolver el problema (por ejemplo: iniciar o detener el servicio que está detenido). e igualmente el número de actualizaciones a instalar. Adicionalmente. 3. A partir de Windows Server 2012. 10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un dominio? 11 ¿Qué comando se utiliza en un servidor Core para mostrar la interfaz de configuración? 12 ¿Cuál es la ventaja de la consola PowerShell ISE? 13 ¿Cuál es el nombre de la característica que permite agregar/eliminar la interfaz gráfica? 2.Validación de conocimientos: preguntas/respuestas 1. en adelante. es posible utilizar un hardware más antiguo. muy fácil distinguir si existe un problema en el servidor. menos servicios Windows se encuentran en funcionamiento lo que reduce la superficie de ataque para un hacker. contabilice un punto. 3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2? Al igual que con Windows Server 2008 y Windows Server 2008 R2. 6 ¿Cuál es el rol que debe instalar si desea distribuir certificados digitales? 7 ¿Cuál es el rol de un servidor Active Directory Domain Services? 8 ¿Cuál es la ventaja de una formación de equipos de NIC? 9 Diga el nombre del ejecutable que permite a un equipo (servidor. 1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de forma remota? 2 ¿Cuál es la ventaja del panel de la consola Administrador del servidor? 3 ¿Cuáles son los tipos de instalación que podemos encontrar en Windows Server 2012 R2? 4 ¿Cuál es la ventaja de instalar un servidor en modo Core? 5 Nombre algunos roles y características presentes en Windows Server 2012 R2. 2 ¿Cuál es la ventaja del panel de la consola Administrador del servidor? Empleando un código de color (rojo. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. es posible pasar de un tipo de instalación al otro. es necesario un mínimo de 10 puntos para aprobar el capítulo. puesto de trabajo) unirse a un dominio sin conexión. Adicionalmente. Respuestas 1 ¿Cuál es el protocolo utilizado por la consola Administrador del servidor para instalar roles de forma remota? La consola Administrador del servidor utiliza el protocolo WinRM para instalar roles y característica de forma remota. Resultados Para cada respuesta acertada. . 13 ¿Cuál es el nombre de la característica que permite agregar/eliminar la interfaz gráfica? La característica Infraestructura e interfaces de usuario permite instalar o eliminar la interfaz gráfica. Encontraremos el cifrado de unidad BitLocker. 6 ¿Cuál es el rol que debe instalar si desea distribuir certificados digitales? El rol AD CS (Active Directory Certificate Services) permite instalar una entidad certificadora que tiene como función la gestión de certificados digitales. de forma muy simple. Es posible mostrarla utilizando el comando sconfig. DHCP (Dynamic Host Configuration Protocol). AD RMS (Active Directory Rights Management Services)… Adicionalmente. 7 ¿Cuál es el rol de un servidor Active Directory Domain Services? AD DS permite la instalación de un directorio Active Directory. con el objetivo de poder crear el archivo necesario para la operación. contar con una mayor redundancia en caso de fallo de uno de los adaptadores. IPAM (administración de direccionamiento IP). Debe ejecutarse con permisos de administrador en el controlador de dominio. es posible instalar características que aportan herramientas suplementarias. contiene la información necesaria para unirse al dominio AD. puesto de trabajo) unirse a un dominio sin conexión. Podemos encontrar los siguientes roles Servidor de aplicaciones. el equilibrador de carga. proporcionan funciones suplementarias al servidor. el clúster de conmutación por error. Permite igualmente visualizar los diferentes módulos y sus cmdlets. etc. El ejecutable djoin permite a una máquina sin conexión unirse a un dominio. 11 ¿Qué comando se utiliza en un servidor Core para mostrar la interfaz de configuración? Un servidor en modo instalación Core puede administrarse por línea de comandos. A continuación.) pueden configurarse mediante una interfaz de configuración. Los roles. Ciertos elementos (IP. AD FS (Active Directory Federation Service). 5 Nombre algunos roles y características presentes en Windows Server 2012 R2. aparecidos con Windows Server 2008. Este directorio permite autenticar e identificar objetos usuario y equipo. 10 ¿Qué tipo de archivo se proporciona como argumento a la consola djoin para unirse a un dominio? El archivo utilizado por el comando djoin es de tipo txt. se utilizará el ejecutable en el equipo que se unirá al dominio. 9 Diga el nombre del ejecutable que permite a un equipo (servidor. 12 ¿Cuál es la ventaja de la consola PowerShell ISE? Esta consola facilita la creación de scripts o el uso de PowerShell.. Esto permite. AD CS (Active Directory Certificate Services). AD DS (Active Directory Domain Services). . 8 ¿Cuál es la ventaja de la formación de equipos de NIC? Una formación de equipos de NIC permite hacer funcionar varios adaptadores de red (dos como mínimo) con la misma configuración IP. Sin embargo este paso puede realizarse desde PowerShell empleando el cmdlet Install- WindowsFeature (útil básicamente en un servidor en modo Core). DNS (Domain Name System). Presentación de los roles FSMO.Requisitos previos y objetivos 1. Requisitos previos Poseer conocimientos de Active Directory. 2. Promover un servidor miembro a controlador de dominio. Gestión de la papelera AD y de una directiva de contraseña muy específica. . Objetivos Definición del directorio Active Directory. Abarca generalmente el conjunto de cuentas necesarias para la autenticación de los equipos y usuarios de una empresa. se basa en la normativa LDAP. . Como los otros directorios.Introducción Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de Windows 2000 Server. Se han aportado muchas mejoras desde entonces. que permite autenticar la máquina en la que el usuario inicia una sesión. la partición de dominio. dirección del usuario…) y objetos del bosque. 1. Corresponde a una persona física o una aplicación. La creación de este tipo de objeto se utiliza con el fin de asignar una directiva de grupo al conjunto de objetos presentes en el contenedor. El sitio de Active Directory. que son selecciones de la base de datos de Active Directory. Las unidades organizativas Las unidades organizativas (OU .Información general de Active Directory El rol Servicios de dominio de Active Directory contiene los componentes físicos y lógicos. que contendrán el conjunto de la información de Active Directory (propiedades de las cuentas de usuarios. Finalmente los grupos. que contiene una copia de la base de datos Active Directory.Organizational Unit) son objetos contenedores que permiten la agrupación de cuentas de usuario o de equipo. la partición DNS… El esquema de Active Directory. Todos los componentes funcionan con componentes lógicos. El bosque Active Directory. para así limitar y controlar la replicación entre dos sitios remotos. Los objetos creados se almacenan en una base de datos presente en todos los controladores de dominio Active Directory. Un árbol de dominio. que permite dividir un dominio en varias partes. Estos últimos pueden ser hardware o software: El controlador de dominio. El dominio Active Directory Un dominio Active Directory es una agrupación lógica de cuentas de usuario. podremos encontrar la partición de configuración. implementar una delegación… 2. los cuales permiten la puesta en marcha de la estructura de Active Directory deseada. La . La unidad organizativa. equipos o grupos. El servidor de directorio global. contiene un conjunto de dominios que comparten un espacio de nombres DNS contiguo. que permite poner en marcha un límite administrativo para los objetos usuarios y equipos. equipos…). La base de datos y la carpeta sysvol. Permite realizar búsquedas rápidas sobre los atributos de algún objeto de un dominio diferente al del bosque. que permiten agrupar las cuentas de usuario y equipos con el objetivo de autorizar el acceso a un recurso. que permite aplicar una directiva de grupo e igualmente implementar una delegación. Así. que contiene los atributos de todos los objetos que pueden ser creados en Active Directory. que permite efectuar una autenticación y autorizar los accesos a los diferentes recursos compartidos. De esta forma podemos encontrar los siguientes componentes: Las particiones. que contiene una copia parcial de los atributos (nombre. que contiene el conjunto de dominios Active Directory. Esta base de datos puede almacenar varios tipos de objeto: La cuenta de usuario. nombre de pila. Los componentes físicos van a englobar varios elementos clave en un dominio Active Directory. Cada controlador de dominio del dominio Active Directory contiene una copia. La cuenta de equipo. El dominio. entonces hablamos de UO madres y UO hijas).. Administradores de empresas.. Operadores de impresión… Carpeta Users: carpeta predeterminada al crear un nuevo usuario..)..) o por tipo de objeto (usuario. . Durante la creación del dominio se encuentran presentes las carpetas de sistema y unidades organizativas predeterminadas: Carpeta Builtin: almacena los grupos predeterminados: Administradores. De esta forma las OU representan una jerarquía lógica en el dominio Active Directory (se las puede anidar.). equipo. Contiene de forma predeterminada la cuenta de administrador y los diferentes grupos administradores (Administradores de dominio. posible crear una unidad organizativa por ciudad (Alicante. por ejemplo.segunda función es la puesta en marcha de una delegación para permitir a una persona diferente al administrador gestionar objetos presentes en el contenedor... Es. Madrid. . adicionalmente este último proporciona el nombre al bosque. Tiene asimismo como objetivo la puesta en práctica de una frontera de seguridad. En un bosque Active Directory encontramos una sola configuración y un solo esquema que son compartidos por el conjunto de los controladores de dominio presentes en el bosque. Esta OU es la única presente al crear el dominio. Hablamos de dominio raíz para el primer dominio del bosque. el bosque tiene pues el nombre de este último.local. Carpeta Computers: carpeta predeterminada donde se ubican las cuentas de equipo al agregar nuevos equipos. los otros bosques no tienen ningún permiso sobre éste y no se replica ningún dato fuera del bosque. El bosque Active Directory Un bosque está formado por uno o más dominios Active Directory. La relación entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un espacio de nombres diferente forma parte de una arborescencia diferente. 3. En nuestra maqueta el dominio raíz es Formacion. Un bosque Active Directory está compuesto por un conjunto de dominios llamados a su vez arborescencia de dominios. Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas de los controladores de dominio. estos últimos comparten un espacio de nombres contiguo.local. La directiva de grupo Default Domain Controller Policy está ubicada en esta unidad organizativa. es decir Formacion. siendo dos lo recomendable en términos de alta disponibilidad. entero.. El esquema de Active Directory El esquema de Active Directory es un componente que permite definir los objetos así como sus atributos. El dominio representa a su vez un límite de seguridad porque el objeto usuario que permite la autenticación de una entidad (persona física de la empresa.. Este último contiene al menos un controlador de dominio.. ..) se define por cada dominio. 4. que es posible crear en Active Directory. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios y equipos en un dominio AD.). se utiliza el esquema para recuperar sus atributos y su sintaxis (booleano. Al crear un nuevo objeto. dll en la consola Ejecutar. Después de efectuar la modificación. es necesario escribir el comando regsvr32 schmmgmt. Para poder activarlo. esta última se replicará al conjunto de los controladores de dominio del bosque. Las particiones de Active Directory . un buzón de correos). Al migrar Active Directory o cuando se instalan ciertas aplicaciones (por ejemplo. Esta operación no puede realizarse en un controlador de dominio con el rol miembro de esquema. ahora. El complemento software puede agregarse.) el esquema debe estar actualizado. El usuario que efectúe esta operación debe ser miembro del grupo Administradores de esquema. a una consola MMC. 5. etc. al crear el objeto. El complemento software Esquema de Active Directory se encuentra oculto de forma predeterminada. Exchange. el directorio Active Directory conoce cada atributo y el tipo de datos a almacenar. De esta forma. Esta operación permite agregar los objetos y sus atributos que podrán crearse a continuación (por ejemplo. Se contacta este servidor para garantizar la coherencia de los nombres de dominio. Maestro RID: permite asignar bloques de identificadores relativos (RID) a los diferentes controladores de dominio de su dominio. Partición de configuración: en esta partición está descrita la topología del directorio (lista completa de dominios. este rol se encuentra únicamente en un único controlador de dominio del bosque. Si consideramos la conectividad de red de un sitio como buena.local pero es miembro del grupo G_Conta-US-R. lo cual permite ahorrar ancho de banda en la línea que conecta dos sitios remotos. Los sitios Active Directory permiten definir fronteras de replicación. Los siguientes roles maestro RID. Partición DNS: en esta partición se almacena el conjunto de zonas y sus registros. Los sitios Active Directory y la replicación Los dominios Active Directory están divididos en sitios AD que representan la topología física de la empresa. Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones. Son cuatro. Sin embargo. Permite también la migración entre Windows 2000 (uso del controlador de dominio Active Directory) y Windows NT4 (uso del servidor PDC y BDC). que se encuentra en el dominio US. Partición de esquema: contiene todos los atributos y clases de todos los objetos que es posible crear. arborescencias). El Maestro de nomenclatura de dominios es necesario al añadir o eliminar un dominio del bosque. Rol maestro de esquema: se atribuye este rol a un único servidor del bosque. Es mediante este identificador como se reconoce un objeto. Maestro de nomenclatura de dominios: al igual que para el maestro de esquema. 6. Su segundo rol es la sincronización del reloj para el conjunto del dominio. Los maestros de operación FSMO En un bosque Active Directory podemos encontrar cinco roles FSMO (Flexible Single Master Operation). que están presentes en los grupos de seguridad o en las ACL.Formacion. Dos de estos se encuentran solamente en uno de los controladores de dominio del bosque. maestro de infraestructura y maestro emulador PDC están presentes en cada dominio del bosque. Maestro de infraestructura: su rol es la vigilancia de objetos ajenos a su dominio. hablaremos de una replicación intra-sitio. Estas particiones se almacenan en la base de datos. Esta última se encuentra en la carpeta %systemroot%\NTDS. Ejemplo: el objeto Javier OLIVARES forma parte del dominio ES. Este identificador único está asociado al SID del dominio para crear el SID (identificador de seguridad) del objeto. emulando a un servidor PDC NT4. para efectuar esta operación. y se comparten entre los controladores de dominio. Este último es el único que cuenta con permisos de escritura en el esquema. los otros tres se encuentran en cada dominio. Los otros servidores solo tienen un acceso de lectura. Active Directory está compuesto de varias particiones. es necesario que la cuenta empleada sea miembro del grupo Administradores de esquema. 7.local.Formacion. La replicación inter-sitio se refiere a la realizada entre dos sitios Active Directory. Partición de dominio: contiene la información de los diferentes objetos que se han creado en el dominio (atributos de cuentas usuario y equipo…). . Esta última garantiza la verificación de la coherencia de los datos (KCC . Sin embargo. Mediante estas rutas de replicación. La replicación inter-sitio permite garantizar la transmisión de una modificación a uno o varios sitios.Cuando un usuario realiza un inicio de sesión. Para ello. se utilizan los controladores de dominio Active Directory a los que está conectado. . si la autenticación no puede realizarse en éstos. la topología se creará automáticamente. conviene utilizar un objeto de conexión de tipo unidireccional (solo de entrada). De esta forma garantizamos la continuidad de servicio a nivel de replicación en caso de una avería en uno de los controladores de dominio. la operación se ejecuta en otro sitio. Sin embargo. es imposible realizar más de tres saltos entre dos controladores de dominio.Knowledge Consistency Checker). la autoridad de seguridad local (LSA .). Si se efectúa un búsqueda de un objeto de otro dominio. posible instalar un controlador de dominio en solo lectura (a partir de Windows Server 2008). Este último le responde con otro ticket que le autoriza el acceso al recurso. el sistema busca los registros de tipo SRV en el DNS para poder encontrar el controlador de dominio más cercano. Los controladores de dominio Un controlador de dominio contiene una copia de la base de datos Active Directory (archivo NTDS. La información de los objetos de los dominios sólo la conoce el propio dominio. Este token contiene el identificador de seguridad (SID) del usuario al igual que el conjunto de los grupos de los que es miembro. la replicación de la carpeta sysvol se efectúa utilizando el servicio de replicación de archivos (FRS) o más recientemente mediante el sistema DFS (Distributed File System). 2.. la base de datos contiene el conjunto de la información de todos los objetos del bosque. solo se encuentran aquellos que son susceptibles de ser utilizados por las búsquedas inter-dominio (nombre. Es. el controlador de dominio atribuirá al usuario un ticket llamado TGT (Ticket-Granting Ticket). Si la autenticación tiene éxito. En un dominio es necesario contar con al menos un servidor que tenga el rol de catálogo global así como dos controladores de dominio por dominio. A partir de Windows 2000. Al intentar acceder a un recurso de la red. Debemos entonces configurar un controlador de dominio por dominio que contenga una copia del catálogo global. el usuario envía su ticket TGT al controlador de dominio. En un bosque compuesto de varios dominios. A diferencia de la base de datos. 3. sin embargo. la situación es más compleja. Los sitios remotos que cuenten con un número muy restringido de usuarios pueden utilizar un servidor RODC (Read Only Domain Controller . Sin embargo si el bosque está compuesto por varios dominios. La carpeta Sysvol contiene los scripts utilizados y los parámetros para las directivas de grupo.dit) al igual que la carpeta Sysvol. 1. apellidos. El catálogo global no contiene el conjunto de atributos de los objetos..Controlador de dominio de solo lectura). Conviene tomar precauciones adecuadas al instalar el servidor. el resultado será nulo. Presentación de los catálogos globales En un bosque con un único dominio. Este último consiste en una base de datos que contiene la información acerca de todos los objetos de todos los dominios del bosque.Local Security Authority) genera un token de acceso y se lo atribuye al usuario. Proceso de inicio de sesión con Active Directory Al iniciar una sesión en un dominio Active Directory. los servidores con el rol de Maestro de infraestructura no deben ser también catálogo global.Información general de un controlador de dominio El controlador de dominio es uno de los servidores más sensibles en un dominio Active Directory. el conjunto de controladores de dominio cuenta con un acceso de lectura/escritura a la base de datos y la carpeta Sysvol. Del mismo modo. . que solicita el asistente al promover el servidor.Promover un controlador de dominio Promocionar un controlador de dominio consiste en darle el rol de controlador de dominio a un servidor miembro. el comando ya no se puede utilizar. de agregar un nuevo dominio o de agregar un controlador de dominio suplementario. La operación puede realizarse por línea de comandos (en un servidor Core) o empleando una interfaz gráfica. Este último ofrece la posibilidad de crear un nuevo bosque. Instalación de un controlador de dominio en un servidor Core La instalación de un controlador de dominio en un servidor Core puede realizarse de varias maneras: . 1. Promover un controlador de dominio de forma gráfica La promoción de un servidor a controlador de dominio se realizaba mediante el comando dcpromo en los sistemas anteriores a Windows Server 2012. Después de haber instalado el rol en un servidor con interfaz gráfica. La instalación necesita cierta información.Directory Services Restore Mode). Al utilizar el comando. aparece un mensaje invitando al administrador a utilizar el Administrador del servidor. Desde este último. Se debe seleccionar el nivel funcional (para el bosque y el dominio). es necesario instalar el rol Servicios de dominio de Active Directory. también es preciso indicar la contraseña para acceder al modo de restauración Active Directory (DSRM . Es necesario introducir el nombre de dominio DNS. Por último. es necesario iniciar el asistente para promover el servidor. El comando dcpromo solo puede utilizarse por línea de comandos. Como hemos visto en el taller del capítulo precedente. 2. microsoft. Tenga precaución con la primera solución. la opción de agregar un nuevo controlador de dominio. Estas etapas están automatizadas al promover un nuevo controlador de dominio. Es aconsejable contemplar. Dcpromo /unattend /InstallDns:Yes /ConfirmGc:Yes /ReplicaOrNewDomain:Replica /ReplicaDomainDNSName: "Formacion. Es necesario realizar primero la actualización de los controladores de dominio a Windows Server 2008. que consiste en agregar los objetos necesarios al igual que sus atributos al esquema AD. Para crea el archivo de medios. La primera operación antes de promover un controlador de dominio que ejecute Windows Server 2012 es extender el esquema de Active Directory. puede consultar la página Technet que se encuentra en: http://technet. esto permitirá una nueva instalación en un sistema operativo limpio.10). ciertos sistemas operativos como Windows Server 2003 o Windows 2000 no permiten ser actualizados. Esta operación. se realizaba antes mediante el comandoadprep (adprep /forestprep. en la medida de lo posible. Actualizando el sistema operativo o agregando un nuevo servidor. De esta forma la línea WAN (Wide Area Network) que comunica los dos sitios no se satura. en el caso de promover un controlador de dominio en un equipo remoto. deben usarse los siguientes comandos: Ntdsutil activate instance ntds ifm create SYSVOL full C:\IFM Se dedica un taller a la puesta en marcha de un controlador de dominio utilizando IFM. por ejemplo). Éste consiste en copiar el contenido completo de la base de datos Active Directory al igual que la carpeta SYSVOL. Faltará que el nuevo controlador de dominio recupere los cambios realizados a los objetos después de la creación del archivo de medios realizando una réplica inter-sitio. Ejecutando el comando dcpromo /unattend seguido de las opciones adecuadas. En este caso. 4. . Actualización de un controlador de dominio a Windows Server 2012 R2 Existen dos formas de realizar la actualización de un controlador de dominio. Al promover la réplica del controlador de dominio. Utilizando la consola Administrador del servidor para promover el servidor de forma remota. Promover un controlador de dominio utilizando IFM Un punto muy importante. es el ancho de banda de la línea que conecta ambos servidores. es conveniente utilizar la opción de promover el servidor empleando el método IFM (Install From Media).aspx 3. la primera sincronización del controlador de dominio puede ser difícil de gestionar porque la línea corre el riesgo de verse rápidamente saturada. adprep /domainprep /gpprep).local" /databasePath:"c:\windows\ntds" /logpath:"c:\Windows\ntds" /sysvolpath:"c:\windows\SYSVOL" /safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes Para obtener más información sobre las diferentes opciones. el asistente debe emplear el archivo de medios creado previamente (y copiado en su soporte USB. En el caso de que la línea proporcione poca capacidad.com/es- es/library/cc732887(v=ws. Windows Server 2012 ha aportado una novedad interesante ya que es posible restaurar un objeto y activar la funcionalidad desde el Centro de administración de Active Directory. se podía utilizar el tombstoned. empleando una interfaz gráfica en lugar de PowerShell. Para proceder a la activación de la papelera de reciclaje Active Directory es necesario disponer de un nivel funcional Windows Server 2008 R2 como mínimo. una vez activada. Elimina el atributo isDeleted. Esta última permite efectuar la restauración de un objeto eliminado del directorio al igual que sus atributos. . La herramienta LDP permite efectuar esta operación. Todas las operaciones se realizarán. Observe que. es imposible de desactivar. Se han desarrollado herramientas de terceros. A partir de Windows Server 2008 R2 es posible utilizar una nueva característica llamada papelera de reciclaje de Active Directory. que permiten efectuar esta operación de forma gráfica y más rápida. en adelante. Esta funcionalidad permite la recuperación de una cuenta donde el atributo isDeleted se ha configurado como True.) del objeto. etc. En los sistemas operativos anteriores a Windows Server 2008 R2. no oficiales. sin embargo se pierden los atributos (pertenencia a grupo.La papelera de reciclaje AD No hay nada más molesto que una eliminación accidental de un objeto de Active Directory. Esto puede tener un impacto más o menos importante en la producción. . cuenta de administrador. posee los atributos de todos los parámetros de una directiva de dominio predeterminada (sin parámetros Kerberos).. La operación debe realizarla un administrador de dominio. era necesario implantar varias directivas de grupo. más o menos estricta en función de las cuentas afectadas (cuenta de servicio. El objeto PSO (Password Settings Object): ubicado en el contenedor PSC. Duración máxima de la contraseña. Duración mínima de la contraseña. sobre todo. En efecto se incluye una interfaz de usuario para facilitar la creación de las nuevas directivas pero.). podemos encontrar igualmente: Vínculo PSO: este atributo permite indicar a qué objetos (usuario y equipo) se encuentra vinculada esta directiva. Éste permite implementar un vínculo entre los objetos de usuario o grupo y el objeto PSO. Puede ser necesario implantar una directiva de contraseña diferente. sin embargo es posible implementar una delegación para un usuario. Un objeto PSO posee el atributo msDS-PSOAppliesTo. Grabación utilizando cifrado reversible. que permite el vínculo de retorno a la directiva.La directiva de contraseña muy específicas Un dominio incluye una directiva de seguridad (contraseñas y bloqueos). Existen a partir de Windows Server 2008 dos nuevas clases de objeto presentes en el esquema: El contenedor de contraseñas (PSC . Reinicio del contador de bloqueo de cuenta después de un tiempo definido por el administrador. para visualizar las directivas creadas. antes de Windows Server 2008. Éstas se atribuyen. El sistema operativo utilizado en el controlador de dominio deberá ser por lo menos Windows Server 2008. Duración de bloqueo de cuenta. Umbral de bloqueo de cuenta. Los parámetros incluidos son los siguientes: Histórico de contraseñas. Microsoft ha implementado una funcionalidad con Windows Server 2008 que permite la creación de directivas de contraseña muy específicas. Estas acciones se operan ahora desde el Centro de administración de Active Directory. Para esto.. menú Ver). Esto permite a una empresa definir varias directivas de contraseña o de bloqueo. Al igual que la papelera de reciclaje de Active Directory. Prioridad: nombre completo empleado para resolver los conflictos en caso de aplicación de varias PSO a un objeto. a su vez. Se puede visualizar empleando la consola de Usuarios y equipos de Active Directory (Características avanzadas. Longitud mínima de la contraseña. Además de estos parámetros. De esta forma el objeto que la recibe ve configurado su atributo msDS-PSOAppliced. Windows Server 2012 aporta una novedad con la gestión y la creación de las directivas de contraseña muy específicas.Password Settings Container): este contenedor se crea en el contenedor del sistema del dominio. configurado a nivel Windows Server 2008. Esta consola permite en adelante la visualización de la directiva resultante de un usuario. Cumplir los requisitos de complejidad. El nivel funcional deberá estar. a un usuario o a un grupo de seguridad global. a continuación. Promover un servidor utilizando IFM Objetivo: este taller permite promover un controlador de dominio utilizando el método IFM. Al aparecer el símbolo de entrada. Se tratan igualmente las novedades acerca de la papelera de reciclaje AD y las directivas de contraseña muy específicas. . introduzca el comando create sysvol full c:\MediosIFM para iniciar la creación del archivo de medios. Introduzca ifm para poder crear un archivo de medios IFM. 1. Máquinas virtuales utilizadas: AD1 y SV1. En AD1. Los archivos necesarios se copian en c:\MediosIFM.Talleres Los talleres siguientes le permitirán promover un controlador de dominio utilizando el método IFM. Finalmente. seleccione la instancia ntds utilizando el comando activate instance ntds. inicie un símbolo del sistema DOS y luego introduzca el comando ntdsutil. Si fuera necesario autentíquese como Formacion\administrador. El explorador de Windows se despliega. seleccione la opción Ejecutar. En el servidor SV1. copie la carpeta MediosIFM en el disco C del servidorSV1. inicie la consola Administrador del servidor y luego haga clic en Agregar roles y características. en el menú contextual. a continuación. . Haga clic con el botón derecho en el botón Inicio y. Introduzca en el menú Ejecutar el comando \\AD1\c$ para acceder al disco C del servidor AD1.Abra una sesión en SV1. Se inicia el asistente. En la ventana Seleccionar servidor de destino. haga clic en Siguiente. deje la opción predeterminada y luego haga clic en Siguiente. haga clic en SV1. Marque Servicios de dominio de Active Directory para efectuar la instalación.Formacion.local y luego enSiguiente. . En la ventana Seleccionar tipo de instalación. Haga clic en Siguiente en la ventana Seleccionar características. . En el Administrador del servidor. haga clic en el icono de notificaciones y luego en el enlacePromover este servidor a controlador de dominio. seleccione la opción Agregar un controlador de dominio a un dominio existente. Haga clic dos veces en Siguiente y luego en Instalar.En la ventana que aparece haga clic en Agregar características. En la ventana Configuración de implementación. Haga clic en el botón Cambiar para proporcionar la información necesaria para promover el servidor. Introduzca administrador en el primer campo y luego la contraseña Pa$$w0rd en el segundo campo. . Introduzca Pa$$w0rd en el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM) y luego haga clic en Siguiente. Haga clic en Aceptar y luego en Siguiente en la ventana Configuración de implementación. .Haga clic en Siguiente en la ventana Opciones de DNS.. Marque Instalar desde medios y haga clic en el botón . Seleccione la carpeta C:\MediosIFM y haga clic en Aceptar.. . y principalmente el uso de la interfaz gráfica. 2. se ha promovido a controlador de dominio. Haga clic dos veces en Siguiente y luego en Instalar. El servidor reinicia. . aparecida con Windows Server 2012. Máquina virtual utilizada: AD1 Verifique que el nivel funcional es Windows Server 2012 R2 para el nivel de dominio y del bosque. Deje las rutas por defecto y haga clic en Siguiente. Utilización de la interfaz de la papelera de reciclaje AD Objetivo: este taller permite poner en marcha la papelera de reciclaje Active Directory. Haga clic en Siguiente para validar su elección. Cree la unidad organizativa Form. Alumno 1.Inicie la consola Centro de administración de Active Directory desde las Herramientas administrativas ubicadas en la pantalla Inicio. Alumno 2 y Alumno 3). haga doble clic en Formacion (local). los grupos Formadores y Alumnos y los usuarios de prueba (Nicolas BONNET. Haga clic Aceptar para iniciar la activación. La cuenta Nicolas BONNET es miembro del grupo Formadores mientras que las cuentas Alumno son miembros del grupo Alumnos. . En el menú de la izquierda. Haga clic en Habilitar papelera de reciclaje en el panel Tareas. . Actualice la consola si no se muestra Deleted Objects. en el panel Tareas permite realizar la restauración en un entorno diferente del original. En la consola Centro de administración de Active Directory. La opción Restaurar en.. Elimine los grupos y cuentas de usuario para enviarlas a la papelera de reciclaje. . haga doble clic en Deleted Objects. Seleccione todos los objetos presentes y luego haga clic en Restaurar. Aparecen los objetos eliminados previamente. Los atributos de las cuentas han sido restaurados correctamente. inicie la consola Centro de administración de Active Directory. haga doble clic en el contenedor System y luego en Password Settings Container. haga doble clic en la raíz del dominio Formacion (local). En el panel de la derecha. . En el componente de navegación. Implantación de una directiva de contraseña muy específica Objetivo: el taller permitirá implementar una directiva de contraseña muy específica llamada "Fine Grained Password".3. Máquina virtual utilizada: AD1 Desde el servidor AD1. En el campo Exigir historial de contraseñas. Deje marcada Exigir longitud mínima de contraseñas e introduzca en el campo el valor 5. Haga clic en el botón Agregar y luego introduzca Formadores en el campo. . Introduzca PSO Formadores en el campo Nombre y 1 en Precedencia. introduzca 8. Marque la casilla Exigir directiva de bloqueo de cuenta y luego introduzca 3 en el campoNúmero de intentos de inicio de sesión incorrectos.Haga clic en Nuevo en el panel Tareas y luego en Configuración de contraseña. En el campo Exigir historial de contraseñas. Modifique el valor de la vigencia máxima de contraseñas para que sea igual a 90 días. . Haga clic en Aceptar para validar la creación de la PSO. Deje marcada Exigir longitud mínima de contraseñas e introduzca en el campo el valor 7. Las dos directivas de contraseña muy específica aparecen en la consola. Haga clic en Aceptar para validar la creación de la PSO. Haga clic en el botón Agregar y luego introduzca Alumnos en el campo. Haga clic en Nuevo en el panel Tareas y luego en Configuración de contraseña. Desmarque la casilla Las contraseñas deben cumplir los requisitos de complejidad. introduzca 24. Introduzca PSO Alumnos en el campo Nombre y 1 en Precedencia. Se muestra la directiva de contraseña muy específica que se le ha atribuido. Haga clic en Alumno 1 y luego. . en el panel Tareas. Haga doble clic en la raíz del dominio Formacion (local) y luego en la unidad organizativa Form.La consola permite de igual forma conocer la configuración de contraseña resultante para un usuario. haga clic en Ver configuración de contraseña resultante. La directiva aplicada es PSO Formadores. Repita la misma operación seleccionando esta vez a Nicolas BONNET. . 2 ¿Qué es un dominio Active Directory? 3 ¿Cuál es el comando que permite la actualización del esquema AD? 4 Mi controlador de dominio ejecuta Windows Server 2008 R2. es necesario ejecutar el comando Adprep. ¿Es necesario actualizar el esquema para la migración a Windows Server 2012 R2? 5 ¿Qué es un bosque Active Directory? 6 Enumere las particiones en Active Directory. Respuestas 1 Enumere los componentes físicos y lógicos de un dominio Active Directory. el bosque o el sitio AD. bases de datos y la carpeta SYSVOL al igual que servidores de catálogo global. 3 ¿Cuál es el comando que permite la actualización del esquema AD? El esquema contiene los objetos que pueden ser creados. es posible encontrar controladores de dominio.Validación de conocimientos: preguntas/respuestas 1. Los grupos se utilizan para proporcionar autorización a un recurso. 14 ¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de contraseña muy específicas? 15 ¿Cuál es la diferencia entre el tombstoned y la papelera de reciclaje AD? 16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD? 2. contabilice un punto. 11 ¿Cuál es la utilidad de un sitio de Active Directory? 12 ¿Es posible ejecutar el comando dcpromo utilizando la interfaz gráfica? 13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta solución. el nivel funcional está configurado como Windows Server 2008 R2 (para el dominio y el bosque). es necesario un mínimo de 13 puntos para aprobar el capítulo. 1 Enumere los componentes físicos y lógicos de un dominio Active Directory. Varios componentes físicos constituyen Active Directory. equipos o grupos.).. 2 ¿Qué es un dominio Active Directory? Un dominio Active Directory es una agrupación de objetos (usuarios. Éste se ejecuta al migrar un servidor o al . Estos últimos se apoyan en componentes lógicos tales como particiones. Al ser creados.. el esquema AD. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 7 ¿Cuál es la utilidad de un servidor de catálogo global? 8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global? 9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio? 10 Enumere los cinco roles FSMO y luego proporcione sus funciones. Resultados Para cada respuesta acertada. Para poder actualizarlo (extender el esquema). Permiten la autenticación (objetos usuario y equipo) o simplemente la agrupación de un conjunto de objetos (grupo). 3. todos estos objetos se almacenan en una base de datos. Maestro RID: permite asignar bloques de identificador relativos (RID) a los diferentes controladores de dominio de su dominio. 6 Enumere las particiones en Active Directory. que contiene el conjunto de zonas DNS integradas en Active Directory. 8 ¿Es posible ubicar el rol Maestro de infraestructura en un servidor con el rol catálogo global? No. es necesario mover el rol Maestro de infraestructura a otro servidor. La etapa de actualización se realiza automáticamente (si es necesaria) al promover el nuevo controlador de dominio. Se puede utilizar un archivo de respuestas para automatizar la operación. Permite. que contiene todos los atributos y clases de un objeto. Este tipo de servidor facilita la búsqueda de objetos. De esta forma. Este identificador único está asociado al SID del dominio para crear el SID (identificador de seguridad) del objeto. Es el único poseedor de estos permisos. Éstos se agrupan en arborescencias de dominios. instalar el primer servidor Exchange… 4 Mi controlador de dominio ejecuta Windows Server 2008 R2. arborescencias y bosque). Su segundo rol es la sincronización del reloj para el conjunto del dominio. 10 Enumere los cinco roles FSMO y luego proporcione sus funciones. El comando necesita que se informen las distintas opciones. cuando hablamos de un bosque. Podemos encontrar cinco roles FSMO en Active Directory: Maestro de esquema: el servidor que posee este rol cuenta con los permisos para el bosque. Sin embargo. La base de datos Active Directory se compone de varias particiones. es posible (solo en este caso) albergar el Maestro de infraestructura en el servidor con el catálogo global. modificar o eliminar el nombre de dominio. Finalmente la partición DNS. Podemos encontrar la partición de dominio. que contiene el conjunto de objetos creados en el dominio. 5 ¿Qué es un bosque Active Directory? Un bosque Active Directory se compone de uno o varios dominios. 9 ¿Qué operaciones debe realizar para promover un servidor Core a controlador de dominio? Existen dos posibilidades: la instalación y configuración del rol de forma remota empleando la consola Administrador del servidor o el empleo del comando dcpromo en local en el servidor. se trata simplemente del conjunto de los dominios. Maestro emulador de PDC: garantiza la compatibilidad de aplicaciones. si el dominio solo cuenta con un controlador de dominio. a partir de Windows Server 2012 ya no es necesario efectuar esta operación. 11 ¿Cuál es la utilidad de un sitio de Active Directory? Los sitios Active Directory permiten definir fronteras de replicación con el objetivo de ahorrar ancho . Maestro de infraestructura: su rol es la vigilancia de objetos extranjeros a su dominio. que están presentes en los grupos de seguridad o en las ACL. 7 ¿Cuál es la utilidad de un servidor de catálogo global? Un servidor con el rol catálogo global posee una base de datos de todos los objetos presentes en el bosque así como algunos de sus atributos. que contiene la topología del directorio (lista completa de los dominios. Maestro de nomenclatura de dominio: utilizado solamente al agregar. el nivel funcional está configurado como Windows Server 2008 R2 (para el dominio y el bosque). Encontramos de igual manera la partición del esquema. ¿Es necesario actualizar el esquema para la migración a Windows Server 2012 R2? No. emulando a un servidor PDC NT4. de este modo. la partición de configuración. la migración entre Windows 2000 (uso del controlador de dominio Active Directory) y Windows NT4 (uso del servidor PDC y BDC). .) necesarios para promover un nuevo servidor. es necesario instalar el rol Servicios de directorio Active Directory. Esto permite evitar sobrecargar la línea de comunicación durante la primera replicación. 13 ¿Por qué promover un servidor utilizando IFM? Proporcione una breve descripción de esta solución. Para promover un controlador de dominio. de banda de la línea que conecta dos sitios remotos. 12 ¿Es posible ejecutar el comando dcpromo utilizando la interfaz gráfica? No. a partir de Windows Server 2012 es posible utilizar la consola Centro de administración de Active Directory. a partir de Windows Server 2012 este comando solo puede utilizarse por línea de comandos. La administración de estas dos características se realiza en adelante de forma gráfica.. 14 ¿Cuál es la consola que permite gestionar la papelera de reciclaje AD y las directivas de contraseña muy específicas? A diferencia de Windows Server 2008 R2. 16 ¿Cómo creamos las dos directivas de seguridad (contraseña y bloqueo) en un dominio AD? Para esto es necesario utilizar la directiva de contraseña muy específica que permite crear y asignar varias directivas de seguridad. El archivo de medios IFM se utiliza para ahorrar ancho de banda entre dos servidores remotos. 15 ¿Cuál es la diferencia entre el tombstoned y la papelera de reciclaje AD? El tombstoned permite la restauración de una cuenta AD pero se pierden el conjunto de atributos. carpeta SYSVOL. a diferencia de la papelera de reciclaje AD que restaura los atributos. que utilizaba PowerShell y la consola de modificación ADSI para gestionar la papelera de reciclaje y la directiva de contraseña muy específica. El archivo de medios contiene todos los datos (objetos. . de esta forma este último no tiene más que replicar los cambios de los objetos creados después de la creación del archivo de medios. . Creación y administración de objetos de Active Directory. Objetivos Información general de las consolas Active Directory. Tener conocimientos de la creación y administración de cuentas de usuario. Tener conocimientos de la creación y administración de grupos. 2.Requisitos previos y objetivos 1. Requisitos previos Tener conocimientos de la creación y administración de cuentas de equipo. cada uno permite autenticar las personas físicas y los equipos unidos al dominio.Introducción La base de datos Active Directory contiene varios tipos de objetos diferentes. . Es posible utilizar estas consolas desde un equipo cliente (Windows 7.. Desde esta consola es posible efectuar todas las operaciones (creación.) en los diferentes objetos. también se pueden usar los comandos DOS: Dsadd: crea un nuevo objeto.. . Es.. se agregan varias consolas a las herramientas de administración. también. equipos y grupos. La consola Usuarios y equipos de Active Directory permite la gestión de las cuentas de usuario. Esta consola solo está disponible si se ha ejecutado el comando regsvr32 schmmgmt.Presentación de las consolas Active Directory Al promover un servidor a controlador de dominio. Importando el módulo Active Directory es también posible realizar las mismas operaciones que las realizadas con las diferentes consolas. Para llevar a cabo estas acciones. la consola Esquema de Active Directory permite administrar el esquema de Active Directory. eliminación. Windows 8 o Windows 8.. desactivación.). crear y administrar una unidad organizativa. Por último. Sitios y servicios de Active Directory permite gestionar la replicación entre dos sitios así como la topología de red. Incluye una interfaz visual que se basa en comandos PowerShell.1) después de descargar e instalar el archivo RSAT (Remote Server Administration Tools). La gestión de las relaciones de confianza y del nivel funcional del bosque se realiza mediante la consola Dominios y confianzas de Active Directory. posible realizar la administración de este servicio mediante comandos PowerShell. Dsget: muestra las propiedades de un objeto. Dsmove: efectúa el desplazamiento de un objeto Dsrm: elimina un objeto. La consola Centro de administración de Active Directory proporciona otras opciones para la gestión de los objetos. y permite definir la librería en el registro de Windows.dll al menos una vez. Un administrador puede conectarse a otro dominio y administrarlo desde la consola. Es posible efectuar la creación de objetos (usuarios. . es necesario proporcionar una contraseña temporal. nombre del usuario. es posible crearla. Éste debe ser único en el contenedor o la unidad organizativa. Después de seleccionar la unidad organizativa que va a contener la cuenta de usuario. 1. el UPN (User Principal Name .bonnet. esto obliga al usuario a . Autorizar el acceso a un recurso compartido. Creación de una cuenta de usuario Al crear una cuenta de usuario. A diferencia del SAMAccountName (nombre de inicio de sesión anterior a Windows 2000) que estaba construido según la forma NombreDeDominioNetbios\NombreDeUsuario (Formacion\nbonnet). Observe que esto puede causar problemas con ciertas aplicaciones.).. n-bonnet. Se pueden utilizar caracteres no alfanuméricos para generar nombres de usuario únicos (ejemplo: n. De esta forma es posible. ciertos atributos como el nombre de usuario y la contraseña deben ser introducidos obligatoriamente. Es interesante marcar la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Se inicia el asistente y el usuario debe obligatoriamente introducir el nombre de inicio de sesión y los apellidos o el nombre de pila. Después de introducir la información obligatoria. Por supuesto es posible cambiar el valor creado automáticamente por el deseado. se activa el botónSiguiente.campo nombre de inicio de sesión de usuario) se construye según la forma NombreInicioDeSesión@dominio ([email protected]). una cuenta de usuario contiene sus propiedades. según el tipo de cuenta: Autorizar o denegar el inicio de sesión en un equipo. El campo Nombre completo se construye empleando la información introducida en los camposNombre de pila y Apellidos.Administración de las cuentas de usuario Como todo objeto. El nombre de usuario debe ser único en el dominio y el bosque. contraseña y una lista de grupos de los cuales es miembro. En adelante. Nombre completo…). Se puede cambiar el atributo desde la pestaña específica o desde la pestaña Editor de atributos. la contraseña… La información personal: información personal del usuario (dirección. adicionalmente el botón Filtro permite visualizar un mayor número de atributos. cambiar su contraseña en su primer inicio de sesión (este cambio es obligatorio). Adicionalmente es posible ver el conjunto de atributos empleando la pestaña Editor de atributos. La gestión de cuentas de usuario: agrupa los atributos encontrados en la pestaña Perfil. Apellidos. Los atributos de cuenta: incluidos en la pestaña Cuenta. número de teléfono…). Los atributos pueden modificarse mediante la pestaña General que contiene la información introducida durante la creación de la cuenta (Nombre de pila. Teléfonos y Organización. 2. Configuración de los atributos de una cuenta de usuario Después de crear el objeto. y también en las pestañas Dirección. que permiten prohibir el cambio de contraseña o configurar una contraseña que no expira nunca (muy útil para las cuentas de sistema). número de teléfono.. De esta forma se muestran todos los atributos. . Miembro de los grupos: este atributo encontrado en la pestaña Miembro de permite añadir o eliminar al usuario de un grupo de seguridad o de distribución. podemos encontrar información incluyendo el nombre de usuario. Los atributos pueden estar clasificados en diferentes categorías.). Existen otras opciones disponibles. es posible configurar la ruta del perfil o los scripts de inicio de sesión. es posible configurar otros atributos opcionales (dirección. Esta pestaña requiere mostrar las características avanzadas (menú Ver).. Si modificamos el nombre de pila en la pestaña General. ..El atributo givenName tiene como valor inicial Alumno 4.. . podemos ver que el atributo se actualiza correctamente: ... durante el cierre de sesión.) en todos los puestos a los que se conecta. En este caso. escritorio. Para instalar esta solución es necesario configurar el atributo Ruta de acceso al perfil en la pestaña Perfil. Sin embargo. Al iniciar sesión. en ciertos casos es necesario que el usuario recupere sus datos (favoritos. es necesario emplear un perfil móvil. Creación de un perfil de usuario móvil Un perfil de usuario puede ser local o móvil. Posteriormente.. Éste se encuentra en una carpeta compartida en el servidor. el perfil de usuario se copia del servidor al puesto de trabajo. En el caso de un perfil local.. se realiza la copia en sentido inverso.3. . documentos. se crea un directorio en la carpeta Usuarios de cada máquina en la que el usuario abre una sesión. La variable %username% se reemplaza por el nombre de inicio de sesión del usuario después de hacer clic en Aplicar. Es. . también. Para ello será necesario especificar la letra de la unidad. Si este se almacena en la carpeta SYSVOL. solo será necesario introducir el nombre del archivo. Puede utilizarse una unidad de red empleando la propiedad Carpeta particular. posible configurar un script (en formato vbs o bat). este último se ejecuta cuando el usuario abre una sesión. ).lista que permite proporcionar permisos) de un recurso compartido en lugar de añadir a todos los usuarios. usuario o grupo) para gestionar el acceso al recurso.Administración de grupos Los grupos en Active Directory permiten facilitar la administración. por lo que es imposible incluirlo en la lista de control de acceso de un recurso. El administrador podrá elegir entre un grupo de distribución y un grupo de seguridad. r para lectura. un grupo se puede colocar en una lista de control de acceso de varios recursos. sino al nivel de Active Directory (consola Usuarios y equipos de Active Directory. Adicionalmente. U para universal o DL para dominio local). El grupo de distribución lo utilizan los servidores de mensajería (Exchange por ejemplo).) o por recursos (G_Conta_r. RH…). si un grupo se llama G_Conta_w. El permiso NTFS que se atribuye al grupo (w para escritura. RRHH.. m para modificación. De esta forma. podrá deducir con seguridad que es un grupo global ubicado en la carpeta compartida Conta y que proporciona derechos de escritura a sus miembros. Sugerimos nombrar los grupos de esta forma: El ámbito (G para global. El enviar un correo electrónico al grupo. Es preferible utilizar un nombre para el grupo que sea lo más descriptivo posible. Centro de administración de Active Directory o directamente en PowerShell).... Diferencia entre grupos de seguridad y de distribución Se puede crear dos grupos en Windows Server.. No se atribuye un SID al grupo. El nombre del recurso (Conta.. el conjunto de miembros reciben el correo. Fax. G_Conta_w. La elección se realiza durante la creación del grupo. Una vez ubicado el grupo. 1. . BALNicolas. el administrador solo tendrá que agregar o eliminar los objetos (cuenta de equipo. También es posible convertir el ámbito del grupo después de su creación. Es posible crear grupos por perfiles (un grupo Conta que agrupa las personas del departamento de contabilidad. La administración no se efectúa más a nivel de la ACL. Es más fácil agregar el grupo a la ACL (Access Control List .). Microsoft ha definido una estrategia de administración de grupos (IGDLA). si un nuevo grupo llamado G_Tec_W debe tener acceso al recurso compartido denominado informática. El grupo puede incluirse en las ACL de todos los recursos del bosque. Este grupo puede utilizarse para proporcionar permisos a los usuarios locales o del bosque Active Directory. se otorga a los miembros de este grupo permisos de acceso al recurso. puede ser miembro de un grupo de tipo universal o dominio local. no será necesario acceder a la ACL. un grupo con este ámbito no puede utilizarse en un controlador de dominio (el cual no contiene inicialmente las cuentas locales). Global: a diferencia del ámbito del Dominio local. equipos o grupos globales y universales del bosque. Los grupos locales de miembros del dominio de este grupo deben ser miembros del dominio. Este tipo de grupo puede asignarse únicamente a los recursos de su dominio. Este grupo tiene los dos roles. Así. Se puede asignar a cualquier recurso del bosque. por supuesto asignado al recurso) se proporciona el acceso deseado. equipos y grupos globales y universales de un dominio del bosque. . El ámbito de un grupo El ámbito del grupo permite determinar el recurso sobre el que puede asignarse el grupo así como los objetos que pueden ser miembros. Un gran número de grupos universales sobrecargan la replicación del catálogo global. El grupo Dominio local se incluye en una ACL. esto proporciona la posibilidad de incluirlo en una ACL. Éste es miembro de un grupo DominioLocal (permite proporcionar el acceso al recurso). Agregándolo al grupo DL_TEC_W (el cual está. un grupo global puede contener solamente a los usuarios. 2. Así. equipos y otros grupos globales del mismo dominio. Universal: un grupo de este ámbito puede contener usuarios. Su segunda función es la de servir de grupo de distribución para un software de mensajería. Ésta consiste en agregar las Identidades (usuarios y equipos) en un grupo Global. Dominio local: se emplea para administrar las autorizaciones de acceso a los recursos del dominio. Tenga cuidado de no abusar de este tipo de grupo porque se replica en el catálogo global. El grupo de seguridad posee un SID (Security IDentifier). los grupos administradores del dominio y usuarios del dominio son respectivamente miembros de los grupos locales Administradores y usuarios del equipo. un grupo de este ámbito puede tener como miembros a los usuarios. Al unir un puesto de trabajo o un servidor al dominio. Local: presente solamente en un servidor miembro o puesto de trabajo. muchas empresas se valen solamente de este tipo de grupo para asignar permisos a sus usuarios o para crear listas de distribución de correo. OU Portátiles). entonces el equipo no se integrará nunca en el dominio. puede ser necesario crear varias unidades organizativas (OU Servidores. 1. La gestión de los contenedores es propia de cada empresa y debe responder a sus necesidades y limitaciones. al reiniciar el equipo se aplica la directiva de grupo adecuada.Administración de las cuentas de equipo Al unir el equipo al dominio se crea una cuenta de equipo. También es posible modificar el contenedor predeterminado. Esta operación permite crear la cuenta de equipo en la unidad organizativa deseada. se deberá utilizar el comando DOS redircmp. La creación previa permite al administrador ubicar la cuenta de equipo directamente en su unidad organizativa definitiva. es necesario respetar ciertos requisitos previos. El usuario que efectúe la unión debe ser necesariamente miembro del grupo de administradores locales del equipo. Si el servidor DNS configurado en la configuración IP del equipo no es correcta. esta solución permite delegar el proceso de unión al dominio en otro usuario. Ésta permite autenticar la máquina al iniciar sesión. . No es una unidad organizativa. El objeto equipo debe crearse previamente o el usuario debe poseer los permisos adecuados. Para efectuar una unión al dominio. para poder vincular las diferentes directivas de grupo o simplemente para delegar en otras personas diferentes la gestión de los diversos objetos. se crea un contenedor de sistema llamado Computers para albergar las cuentas de equipo de las máquinas unidas al dominio. necesario desplazar los objetos equipo a la OU deseada. Para ello. y también asignar directivas de grupo. Es. por tanto. En ciertos casos. Así. OU Puestos. Además. no es posible añadir una directiva de grupo a este contenedor. El contenedor equipo Al crear un dominio. por defecto.DC=Formacion. Al solicitar autenticación.dc=local Un usuario (que no posea permisos de administración) tiene. La sintaxis del comando es la siguiente: redircmp ou=Aix. para poder eliminar todos . Es aconsejable realizar un sysprep antes de la creación de la imagen. por tanto. A partir de Windows 2000 Server es posible modificar el número de equipos sobre los cuales un usuario tiene permisos modificando el atributo LDAP. deberá introducir su nombre de usuario y su contraseña. La restauración de una imagen restaura el estado previo del puesto al igual que los identificadores de la cuenta del equipo. un usuario no tiene la posibilidad de unir un equipo cuando la cuenta del equipo ya existe en el dominio. Reinicio del canal seguro Al igual que para los usuarios. necesario restaurar el canal seguro. Es. es necesario modificar el atributo ms-DS-MachineAccountQuota ubicado en la raíz del dominio (la pestaña Editor de atributos aparece si se activan las características avanzadas). Sin embargo. la posibilidad de unir 10 equipos al dominio. 2. una cuenta de equipo posee un nombre de equipo (sAMAccountName) y una contraseña. Ciertos casos impactan el canal seguro e impiden el inicio de sesión (no se autoriza al equipo): Restauración de la imagen del puesto unido a un dominio: la contraseña de la cuenta de equipo al crear la imagen es diferente de la que existe en el controlador de dominio. Para ello. Estos identificadores los utiliza el servicio NetLogon para iniciar una sesión y establecer un canal seguro con su controlador de dominio. Se efectúa un cambio de contraseña cada 30 días. ). netdom o nltest. Se incluye un evento a su vez en el registro. Sintaxis de los comandos dsmod computer ”ComputerDN” -reset netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password | *} NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER . los parámetros específicos de un equipo (nombre. Si el dominio solo contiene un controlador de dominio y es preciso restaurarlo. también. la lista de grupos de los que era miembro el equipo antes del problema del canal seguro se crean nuevamente de forma idéntica. Para reiniciar el canal seguro es. Comando DOS: también es posible utilizar comandos DOS para restablecer la contraseña en el controlador de dominio y el puesto cliente. Si se rompe el canal seguro. Restauración del controlador de dominio. aparece un mensaje durante el inicio de sesión. se genera un nuevo SID. un administrador podrá unir el equipo al grupo workgroup y luego volver a unirlo al dominio. Para ello. posible efectuar otras operaciones: Consola Usuarios y equipos de Active Directory: la operación consiste en usar la opciónRestablecer la cuenta que permite restablecer toda la información vinculada al puesto. Cuando el canal seguro se rompe. Es posible utilizar los comandos dsmod. etc. Tendrá como fuente a NETLOGON y un ID 3210. la contraseña del controlador de dominio es diferente de la del puesto de trabajo. Al volver a unirse al dominio. es necesario reiniciar. lo que reinicia el canal. seleccione la unidad organizativa Form. En la ventana Usuarios o grupos.Talleres Los talleres le permitirán poner en práctica la administración de cuentas Active Directory. Haga clic en Siguiente en la primera ventana del asistente. inicie la consola Usuarios y equipos de Active Directory.. Máquina virtual utilizada: AD1. Haga clic con el botón derecho en la OU Form y luego en el menú contextual seleccione Delegar control. . Introduzca Formadores y luego haga clic en el botón Comprobar nombres en la nueva ventana que se muestra. Implementar la delegación Objetivo: implementar una delegación para que un usuario pueda administrar la unidad organizativa sobre la que se ha establecido la delegación. 1... haga clic en Agregar. En el árbol. En el servidor AD1. En la lista de tareas a delegar. eliminar y administrar grupos. Haga clic en Siguiente y luego en Finalizar. marque las casillas Crear. eliminar y administrar cuentas de usuario y Crear.Haga clic en Aceptar para validar el campo y luego en Siguiente. haga clic en Ver y luego en Características avanzadas. Haga clic con el botón derecho en la unidad organizativa Form y luego en Propiedades. . En la barra de menús de la consola Usuarios y equipos de Active Directory. Haga clic en la pestaña Seguridad y luego en el botón Opciones avanzadas. El usuario utilizado debe ser miembro del grupo Formadores. De esta forma contará con acceso a la consola con los permisos adecuados. 2.El grupo Formadores tiene los permisos en la unidad organizativa. abra una sesión y luego abra el Centro de redes y recursos compartidos. Administración de cuentas de usuario Objetivo: el objetivo del taller es efectuar la creación de una cuenta plantilla a partir de un perfil temporal. . En nuestro ejemplo vamos a utilizar el grupo Operadores de copia de seguridad para poder abrir una sesión en el controlador de dominio. es posible instalar en su equipo los archivos RSAT (Remote Server Administration Tool). Para permitir al usuario administrar la unidad organizativa. Haga clic en Aceptar para cerrar la ventana. Máquinas virtuales utilizadas: AD1 y CL8-01. En CL8-01. 1. haga doble clic en el adaptador de red y luego en el botón Propiedades.10 Servidor DNS alternativo: 192.1.168. es necesario configurar el adaptador de red de forma estática. a continuación.11 Al no existir ningún servidor DHCP en la red. .1.Haga clic en Cambiar configuración del adaptador y.15 Máscara de subred: 255.168.254 Servidor DNS preferido: 192.1.168.255.255.168. En las propiedades del Protocolo de Internet versión 4 (TCP/IPv4) configure el adaptador de red como se indica a continuación: Dirección IP: 192.0 Puerta de enlace predeterminada: 192. En AD1. Haga clic en la unidad organizativa Form y luego muestre las propiedades de la cuentaNicolas BONNET. En el campo Descripción de la pestaña General introduzca Formador y consultor IT luego www.Haga clic en Aceptar y luego efectúe la unión al dominio Formacion. .nibonnet.fr en el campo Página web. abra una sesión como administrador y luego inicie la consola Usuarios y equipos de Active Directory.local. Haga clic en la pestaña Dirección e introduzca la información que se indica a continuación: Calle: 3200 rue de la tours Ciudad: Velaux Estado o provincia: 13 Código postal: 13880 . El recurso compartido Perfiles se creará posteriormente. introduzca\\AD1\Perfiles\%username%. .Seleccione la pestaña Perfil y luego en el campo Ruta de acceso al perfil. Por último. introduzca pmendez en el campo Nombre de inicio de sesión de usuario.Haga clic con el botón derecho del ratón en Nicolas BONNET y luego seleccione Copiar. En la ventana que se muestra. . introduzca Paul en el campo Nombre de pila y luego Mendez en el campo Apellidos. Haga clic en Siguiente e introduzca una contraseña. Las propiedades de la pestaña General se han copiado. Valide la creación haciendo clic Siguiente y Finalizar. . En la pestaña Dirección. únicamente no se ha copiado el campo Dirección. . Finalmente. Si no ha creado la segunda partición. En el servidor AD1.. es posible realizar la operación en la partición del sistema. las pestañas Perfil y Miembro de se han copiado.. Haga clic en Aceptar en las propiedades de la cuenta. . La creación de un nuevo objeto se ve facilitada porque el conjunto de propiedades comunes (listas de grupos en la pestaña Miembro de…) se replican. cree una carpeta llamada Perfiles. Toda cuenta de usuario en Active Directory puede servir de plantilla. seleccione la pestaña Compartir y luego haga clic enUso compartido avanzado. En las propiedades de la carpeta creada.. del dominio: Control total Formadores: Cambiar . Elimine el grupo Todos y luego configure los permisos tal y como se muestra a continuación: Admins.Marque la opción Compartir esta carpeta y luego haga clic en Permisos. Valide los cambios haciendo clic dos veces en Aceptar. . Seleccione la pestaña Seguridad y luego haga clic en Opciones avanzadas. haga clic en el botónDeshabilitar herencia. En la ventana Configuración de seguridad avanzada para Perfiles. Escriba Formadores y luego haga clic en Comprobar nombres. . En CL8-01. Valide la información haciendo clic en Aceptar. Haga clic en el botón Agregar y luego en el enlace Seleccionar una entidad de seguridad en la ventana Entrada de permiso para Perfiles. Asigne al grupo el permiso Modificar y luego haga clic dos veces en Aceptar. El perfil móvil se ha creado correctamente en el recurso compartido Perfiles en el servidor AD1. Haga clic en Quitar todos los permisos heredados de este objeto. abra una sesión como pmendez. Cierre todas las ventanas activas. ) desde cualquier puesto de trabajo al que se conecte.. En efecto. 3 Escriba la UPN para el usuario nbonnet del dominio Formacion. un nombre de usuario y una contraseña.local. solo son obligatorios un apellido o nombre de pila. Al iniciar sesión. Estos valores están. al crearla. Esta consola permite realizar operaciones tales como la activación o la administración de la papelera de reciclaje Active Directory. Una cuenta de usuario posee varios atributos. el perfil no se almacena de forma local sino en un recurso compartido de red en un servidor. nombre de inicio de sesión). y puede también realizar operaciones más elementales como la creación de un objeto. Podemos encontrar cuatro tipos de ámbito de grupo: . favoritos. Resultados Para cada respuesta acertada. 2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación. presentes en las diferentes pestañas (apellido. 4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que contiene? La pestaña Editor de atributos permite visualizar todos los atributos LDAP del objeto usuario seleccionado. nombre de pila. es necesario un mínimo de 6 puntos para aprobar el capítulo. sin embargo. Es perfectamente posible modificar el valor de un atributo.local. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. la consola llama a comandos PowerShell. Respuestas 1 ¿En qué lenguaje se basa la consola Centro de administración de Active Directory? Cuando el administrador ejecuta una acción. 3 Escriba la UPN para el usuario nbonnet del dominio Formacion. 6 Enumere los tipos de ámbito de grupo que podemos encontrar. 5 ¿Cómo funciona un perfil móvil? Con un perfil móvil el usuario recupera la personalización de su equipo (Métodos abreviados. La forma de la UPN es nbonnet@formation. 3. también. 7 ¿Cuál es la diferencia entre un grupo de seguridad y un grupo de distribución? 8 ¿Cuál es la utilidad del comando redircmp? 9 ¿Qué es un canal seguro? 2. 1 ¿En qué lenguaje se basa la consola Centro de administración de Active Directory? 2 Enumere los atributos de una cuenta de usuario que son obligatorios durante su creación. contabilice un punto. para copiarse en sentido inverso hacia el servidor durante la desconexión. el perfil del usuario se copia al equipo..local.Validación de conocimientos: preguntas/respuestas 1. 4 ¿Qué podemos ver en la pestaña Editor de atributos? ¿Es posible modificar los valores que contiene? 5 ¿Cómo funciona un perfil móvil? 6 Enumere los tipos de ámbito de grupo que podemos encontrar. en una unidad organizativa). Local Global Dominio local Universal 7 ¿Cuál es la diferencia entre un grupo de seguridad y un grupo de distribución? La diferencia estriba a nivel del SID.).. Al contrario que este último. 8 ¿Cuál es la utilidad del comando redircmp? Al realizar la unión al dominio de un equipo que no posee una cuenta. ésta se crea automáticamente en la carpeta de sistema Computers. 9 ¿Qué es un canal seguro? Un canal seguro es una relación de aprobación entre un controlador de dominio y un cliente (puesto de trabajo. el grupo de seguridad posee este identificador único. un grupo de distribución no cuenta con este identificador y solo puede utilizarse como lista de distribución. Puede entonces utilizarse en una ACL o tener la función de lista de distribución de correo.. El comando redircmp permite alojar la cuenta creada automáticamente en otro contenedor (por ejemplo. . Si el canal seguro se rompe es imposible autenticar el equipo. Requisitos previos Conocer la línea de comandos DOS. Administración de Active Directory empleando cmdlets PowerShell.Requisitos previos y objetivos 1. 2. Objetivos Utilización de los comandos csvde y ldifde. . Esto permite ganar tiempo y una mayor fiabilidad en comparación con una administración manual.Introducción Es posible utilizar comandos PowerShell para automatizar la administración de Active Directory. . Permite. la cuenta no posee contraseña y se deshabilita. Sin embargo.. -k: se ignoran los errores. Estas operaciones se efectúan desde o sobre un archivo en formato CSV (Comma Separated Values).).) en la aplicación y. Este tipo de archivo puede utilizarlo de igual forma una base de datos o visualizarse en una hoja de cálculo Excel. -r filter: permite incluir un filtro. nombre de pila. Por lo tanto. 1. la 3ª .. luego la 2ª.Administración mediante líneas de comandos Windows Server 2012 R2 incluye varias herramientas que permiten efectuar la administración por línea de comandos. es posible actualizar aplicaciones desarrolladas por el equipo técnico que se basen en estos scripts. Cada atributo debe seleccionarse mediante su nombre LDAP y separarse por una coma. a diferencia del comando anterior. Así. Tomemos un ejemplo concreto: puede desarrollar una aplicación para el departamento de Recursos Humanos. onelevel para la búsqueda de un objeto solamente en el contenedor indicado y subtree para lanzar una búsqueda en el contenedor y subcontenedores. el script recupera la información y crea la cuenta de Active Directory. Además. Sintaxis para efectuar una exportación Csvde -f ArchivoCsv La opción -f permite indicar el archivo a utilizar. El director de recursos humanos introduce la información (su apellido. -p scope: permite especificar el ámbito de la búsqueda.). Esta última utiliza una solicitud en formato LDAP. Al gestionar el directorio por línea de comandos. esta aplicación se utiliza al llegar un nuevo empleado. esta herramienta no puede modificar o importar un objeto existente. Es posible utilizar otras opciones para una operación de importación.)... -f ArchivoCsv: indica el archivo a utilizar para realizar la operación. .. El comando csvde incluye varias opciones como: -d RootDN: indica el nombre del contenedor desde el que comenzará la búsqueda.. Este comando no se puede utilizar para importar las contraseñas porque éstas aparecen sin cifrar. LDIFDE es una herramienta por línea de comandos que permite efectuar operaciones de exportación o creación de objetos. compuesta por el nombre de los atributos LDAP (nombre. Cada opción cuenta con diferentes posibilidades: Base permite indicar únicamente una búsqueda del objeto. Utilización del comando CSVDE CSVDE es una herramienta por línea de comandos que permite importar o exportar los objetos del directorio Active Directory (cuentas de usuario. -i: permite realizar una importación. un administrador puede rápidamente implementar varias operaciones (se ejecuta la 1ª operación de forma automática. 2. lo que permite que el comando se ejecute sin interrupción.. es posible crear scripts para automatizar toda la gestión o la creación de objetos Active Directory. -l ListOfAttributes: especifica los atributos que deben exportarse. Utilización del comando LDIFDE Al igual que CSVDE.. El archivo LDAP utilizado posee una línea de cabecera. al validarlo. Cada operación a realizar se separa por una línea vacía. al emplear la opción -k. El archivo debe estar en formato LDAP Data Interchange Format (LDIF). . Este tipo de archivo de texto contiene bloques de líneas. Sintaxis del comando Es necesario utilizar al menos la opción -f para la exportación. El atributo changetype permite definir la acción a realizar. Puede tener como valor add. modify o delete. Muchas de las opciones del comando csvde las utiliza el comando ldifde.modificar o eliminar objetos ya existentes. Ldifde -i -f ArchivoLDIF -k Si se encuentra un error. la ejecución no se detiene. Ldifde -f ArchivoLDIF La importación utilizar al menos dos opciones adicionales: -i para indicar que el comando va a realizar una importación y -k para ignorar los errores. que indica el archivo a utilizar. cada una permite efectuar una operación. así como el atributo afectado. Cada línea del bloque contiene información sobre la operación a realizar. ésta estará deshabilitada. es posible indicar todas las propiedades deseadas. GivenName: utilizada por el atributo Nombre de pila de la cuenta. Las operaciones realizadas de manera gráfica pueden llevarse a cabo empleando instrucciones PowerShell. Incluye cmdlets necesarios para la gestión del directorio Active Directory. cada uno con una función bien definida: Creación de una cuenta de usuario: New-ADUser Modificar una propiedad de la cuenta: Set-ADUser Eliminar un usuario: Remove-ADUser Modificar una contraseña: Set-ADAccountPassword Modificar la fecha de expiración: Set-ADAccountExpiration Desbloquear una cuenta de usuario: Unlock-ADAccount Activar una cuenta de usuario: Enable-ADAccount Desactivar una cuenta de usuario: Disable-ADAccount Al utilizar el cmdlet New-ADUser para crear un nuevo usuario. modificar y eliminar una cuenta de usuario. . Enabled: permite definir si la cuenta está activa o eliminada. Administración de cuentas de usuario con PowerShell Los cmdlets PowerShell permiten crear. Es posible ejecutar las diferentes instrucciones directamente en la consola PowerShell o ejecutando un script. así como la ruta a la carpeta particular del usuario. ChangePasswordAtLogon: activa la opción que obliga el cambio de contraseña tras el primer inicio de sesión. HomeDrive: define la letra que debe utilizar. En caso de creación de un objeto usuario sin contraseña (parámetro -AccountPassword). 1. Con el cmdlet NewADUser es posible utilizar diferentes parámetros: AccountExpirationDate: permite definir la fecha de expiración de una cuenta de usuario. Para activarla será necesario utilizar el parámetro -Enabled a true. Path: ruta donde se crea el usuario.Administración del rol AD DS empleando PowerShell La plataforma PowerShell es un lenguaje de scripting muy simple de usar. AccountPassword: proporciona la contraseña para el usuario. Surname: parámetro que permite configurar el apellido del usuario. Se pueden usar diferentes cmdlets. Puede también incluirse la contraseña en este comando. El comando PowerShell que debe utilizar para realizar esta operación es el siguiente: New-ADUser -Name "Jean BAK" -ChangePasswordAtLogon $True -DisplayName "Jean BAK" -Enabled $True -Path "OU=Formacion. Si no ha importado el módulo Active Directory. Ésta debe introducirse manualmente. introduzca Import-Module ActiveDirectory. El parámetro -AccountPassword (Read-Host -AsSecureString "Password") permite introducir la contraseña de forma segura.DC=Form. . Es necesario crear su cuenta.DC=local" -SamAccountName jbak -Surname Bak -UserPrincipalName jbak -AccountPassword (Read-Host -AsSecureString "Password") -GivenName Jean Puede descargar los scripts en la página Información.Tomemos un ejemplo concreto. Aquí tenemos las propiedades de la cuenta: Nombre: BAK Nombre de pila: Jean Nombre de inicio de sesión: jbak Contraseña: Pa$$w0rd Contenedor del objeto: OU Form La contraseña deberá cambiarse tras el primer inicio de sesión y la cuenta estará activa. El usuario Jean BAK es un nuevo formador. Esto permite utilizar los diferentes cmdlets de Active Directory. .Es hora de verificar el resultado del comando. El nombre de inicio de sesión del usuario es. La opción que indica el cambio durante el inicio de sesión también está habilitada. efectivamente. para el UPN (User Principal Name) o el SamAccountName (nombre de inicio de sesión anterior a Windows 2000). La cuenta está presente en la unidad organizativaForm y el nombre para mostrar Jean BAK. jbak. .Los campos Apellidos y Nombre de pila también están correctamente configurados. ahora es necesario agregarlo al grupo Formadores. . Podemos encontrar varios cmdlets para gestionar los grupos: Creación de una nuevo grupo: New-ADGroup Modificar las propiedades: Set-ADGroup Ver las propiedades: Get-ADGroup Eliminar un grupo: Remove-ADGroup Agregar un miembro: Add-ADGroupMember Mostrar los miembros de un grupo: Get-ADGroupMember Eliminar un miembro: Remove-ADGroupMember Hemos creado al usuario Jean BAK. 2. Seguidamente debemos crear un nuevo grupo llamado Alumnos. Se han tenido en cuenta todos los parámetros del script. Administración de grupos con PowerShell Al igual que para los usuarios. la creación y la gestión de los grupos puede hacerse empleando comandos PowerShell. para crear el grupo Alumnos (grupo de seguridad con un ámbito global). SamAccountName: especifica el nombre de grupo anterior a Windows 2000. debemos utilizar el comando siguiente: New-ADGroup -Name Alumnos -GroupScope Global -GroupCategory Security -ManagedBy Formadores -Path "OU=Form. Global o Universal). GroupScope: define el ámbito del grupo (Dominio Local. Name: indica el nombre del grupo que vamos a usar. a continuación. se crea un grupo de seguridad. es necesario utilizar Get-ADGroupMember. Para ello. GroupCategory: especifica si el grupo es de tipo seguridad o distribución.DC=Formacion.DC=Local" Comprobemos. Si no se especifica este parámetro. De esta forma. . ManagedBy: indica el usuario o el grupo que lo puede administrar. debemos utilizar el cmdlet New- ADGroup. Este parámetro es obligatorio. DC=Formacion. Para ello. Path: proporciona el contenedor que va a almacenar al objeto. que se ha añadido correctamente. Si queremos agregar Jean BAK al grupo Formadores. debemos seguir la siguiente sintaxis: Add-ADGroupMember Formadores -Members "CN=Jean BAK.OU=Form. Get-ADGroupMember Formadores Ahora vamos a ocuparnos de la creación del grupo. Lo componen varios parámetros que permiten configurar los diferentes atributos de un grupo.Podemos efectuar la administración de los miembros de un grupo empleando el cmdlet Add- ADGroupMember. DC=local" -SamAccountName Alumnos Comprobemos. El canal seguro se encuentra roto. Creación de una cuenta de equipo: New-ADComputer Modificación de propiedades: Set-ADComputer Mostrar las propiedades de la cuenta: Get-ADComputer Eliminación de cuentas: Remove-ADComputer Verificación de la relación de confianza entre el controlador de dominio y el puesto: Test- ComputerSecureChannel Reinicio de la contraseña de la cuenta de equipo para reparar el canal seguro: Reset- ComputerMachinePassword Vamos a restablecer un canal seguro roto y crear un nuevo equipo empleando los diferentes cmdlets. 3. Get-ADGroup Alumnos El comando devuelve a su vez el SID del grupo. La primera operación a realizar es reiniciar la cuenta de equipo CL8-01. a continuación. Se puede descargar los scripts en la página Información. Es posible visualizarlo de forma gráfica o por línea de comandos. . Administración de cuentas de equipo con PowerShell Existen cmdlets para realizar la administración de las cuentas de equipo. el resultado. Es necesario conectarse como administrador local para poder resolver el problema.local El parámetro Server permite indicar qué controlador de dominio hemos de contactar. Es momento de reparar la relación de confianza entre el puesto de trabajo y su controlador de dominio. . Es muy importante ejecutar la consola PowerShell como administrador. Es preciso indicar la contraseña de la cuenta utilizada para validar la autenticación. Credential indica el nombre del usuario que tiene los permisos de administración en la cuenta de equipo. El uso del cmdlet Test-ComputerSecureChannel nos confirma que el canal seguro está roto. Reset-ComputerMachinePassword -Server AD1 -Credential administrador@formacion. Sin esto. el comando nos devolverá un error por permisos insuficientes. DC=local" -Enabled $True La cuenta de equipo se ha creado correctamente en la carpeta de sistema Computers. Se puede descargar los scripts en la página Información. se crea la cuenta llamada CL8-03. Path: ruta del contenedor que alberga la cuenta. El puesto cliente puede ahora ser autenticado por su controlador de dominio. Podemos utilizar cuatro cmdlets: New-ADOrganizationalUnit: realiza la creación de una unidad organizativa. Enabled: configura el estado del equipo (Activo o Inactivo). Si se ejecuta el siguiente comando en el controlador de dominio. 4. Administración de unidades organizativas con PowerShell Es importante crear unidades organizativas para agrupar un conjunto de objetos sobre los que aplicaremos una directiva de grupo. También es posible implementar la delegación sobre este tipo de objeto. debe usarse el cmdlet New_ADComputer. . New-ADComputer -Name CL8-03 -Path "CN=Computers.DC=Formacion. Para realizar la creación de una cuenta de equipo. La cuenta se activa y se genera una contraseña aleatoria de forma predeterminada. Éste tiene tres argumentos: Name: nombre de cuenta. Como hemos visto anteriormente. el cmdlet a utilizar para esta operación es New-ADOrganizationalUnit. La unidad organizativa Equipos es un contenedor hijo de la unidad organizativa Form.DC=Formacion.DC=local" . Path: ruta donde se almacena el nuevo objeto. Para poner en práctica la administración de las unidades organizativas. Ésta se encuentra activa de forma predeterminada durante la creación de cualquier objeto. Get-ADOrganizationalUnit: muestra las propiedades de la unidad organizativa. Éste tiene varios parámetros: Name: define el nombre a utilizar. Remove-ADOrganizationalUnit: permite eliminar una OU. ProtectedFromAccidentalDeletion: define el estado del atributo de protección contra la eliminación. Ahora podemos pasar a la etapa de creación de una unidad organizativa. El siguiente comando permite realizar esta operación: New-ADOrganizationalUnit -Name Equipos -Path "OU=Form. vamos a eliminar la protección contra la eliminación accidental empleando PowerShell y crearemos un nuevo contenedor llamado Equipos.DC=Local" -ProtectedFromAccidentalDeletion $False La opción está ahora desactivada. A partir de Windows Server 2008 es posible activar la protección contra la eliminación accidental.DC=Formacion. Set-ADOrganizationalUnit: modifica las diferentes propiedades que tiene el objeto. Podemos desactivar esta opción empleando el siguiente comando PowerShell: Set-ADOrganizationalUnit "OU=Form. .-ProtectedFromAccidentalDeletion $True La unidad organizativa se encuentra en la OU Form. Se puede descargar los scritps en la página Información. La parte práctica se reduce a un solo taller.dc=Formacion. Introduzca el comando Get-ADUser -Filter * -SearchBase ”ou=Form. unidad organizativa..dc=Formacion. El comando devuelve solamente los usuarios de la unidad organizativa Form. inicie la consola Windows PowerShell. . 1..) que puede reproducir. De esta forma es muy sencillo implementar un filtro y modificar una propiedad. Modificación de varios usuarios en PowerShell Objetivo: modificar varios usuarios empleando un comando PowerShell.Taller El capítulo se compone de operaciones (creación de usuario.dc=local” | Format-Wide DistinguishedName Se puede descargar el script en la página Información.dc=local” | Set-ADUser -ChangePasswordAtLogon $true -PasswordNeverExpires $False Se puede descargar el script en la página Información. En el servidor AD1. Todos los usuarios de la OU Formacion deberán cambiar la contraseña tras el próximo inicio de sesión. Introduzca el comando Get-ADUser -Filter * -SearchBase ”ou=Form. La opción PasswordNeverExpires permite desactivar la opción La contraseña nunca expira. Máquina virtual utilizada: AD1. . En este caso tendremos que utilizar el comando ldifde. La opción . Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.i .Com puterMachinePassword.m odule Activ eDirectory importa el módulo que permite la administración de los objetos Active Directory. ¿Qué comando es necesario ejecutar para volver a crearla? Si el canal seguro se rompe es imposible autenticar el equipo.k. ¿Qué comando es necesario ejecutar para volver a crearla? 2.ADUser. 4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de eliminación? No es posible efectuar modificaciones o eliminaciones con el comando csv de. 2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación? Para realizar una exportación debemos utilizar el comando csv de . 7 Se ha roto la relación de confianza entre un equipo y su controlador de dominio. Respuestas 1 ¿Qué tipo de archivo explota el comando csvde? El comando csv de utiliza archivos con extensión CSV (Comma-Separated Values).Validación de conocimientos: preguntas/respuestas 1. .f permite indicar el archivo a utilizar. La opción . es necesario un mínimo de 6 puntos para aprobar el capítulo.i indica que vamos a realizar una importación. 5 ¿Qué cmdlet debe usarse para crear una cuenta de usuario? Para crear una cuenta de usuario en PowerShell debemos utilizar el cmdlet New. contabilice un punto. 1 ¿Qué tipo de archivo explota el comando csvde? 2 ¿Qué comandos es preciso utilizar para efectuar una exportación y una importación? 3 ¿Cuál es el comando a emplear para utilizar un archivo LDIF? 4 ¿Qué comando debemos utilizar si tenemos que efectuar una operación de modificación o de eliminación? 5 ¿Qué cmdlet debe usarse para crear una cuenta de usuario? 6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active Directory? 7 Se ha roto la relación de confianza entre un equipo y su controlador de dominio. Será entonces necesario emplear el comando Reset. 3 ¿Cuál es el comando a emplear para utilizar un archivo LDIF? El archivo LDIF puede utilizarse mediante el comando ldifde.f Nom breDeArchiv o. la instrucción a ejecutar es de la forma csv de . La importación necesitará más parámetros. 6 ¿Cuál es el comando PowerShell que hay que ejecutar para importar el módulo Active Directory? El comando im port. Resultados Para cada respuesta acertada.k permite continuar la ejecución aunque se produzca algún error.f Archiv oCSV . 3. 2. Poseer nociones sobre la pila TCP/IP y sus protocolos. . Requisitos previos Tener conocimientos de direccionamiento IP. Presentación del direccionamiento IPv4 y sus diferentes tipos de direcciones. Implementación del protocolo IPv6. Objetivos Análisis del protocolo TCP/IP. Gestión y mantenimiento del protocolo IPv4.Requisitos previos y objetivos 1. Establecimiento de subredes. Introducción El protocolo Internet Protocol Version 4 (IPv4) es un protocolo de red utilizado en Internet o en redes locales. . Podemos encontrar en esta capa varios protocolos. Al igual que sus predecesores. ARP (Address Resolution Protocol): empleado para determinar las direcciones MAC (Media Access Control) del destinatario. Cada protocolo contenido en TCP/IP se reparte las diferentes tareas a efectuar. Corresponde a la capa de transporte del modelo OSI. Windows 8 y Windows Server 2012 son compatibles con los protocolos IPv4 y IPv6. sin embargo se estima más rápida (al no enviar acuse de recibo). El protocolo UDP proporciona una transmisión de datos sin conexión. Contiene diferentes protocolos de aplicación. Existen cuatro capas: Aplicación Transporte Internet Interfaz de red La capa de Aplicación Esta capa permite a una aplicación acceder a los recursos de red. Corresponde a las capas de aplicación. Encontramos aquí los protocolos TCP (Transmission Control Protocol) y UDP (User Datagram Protocol). que el receptor está listo para recibir las diferentes tramas. La capa de Transporte Garantiza el control y la fiabilidad de las transferencias de datos en la red. etc. que garantiza la correcta recepción de cada paquete. Éstas no pueden franquear los routers. a continuación. como: IP (Internet Protocol): responsable de la parte de enrutamiento y direccionamiento. La entrega de paquetes se considera poco fiable.). el emisor y el receptor intercambian tramas de sincronización y. La capa Internet Esta corresponde a la capa 3 del modelo OSI (red). comienzan la transferencia. El protocolo TCP permite establecer una conexión fiable entre dos entidades (equipos. antes de iniciar los intercambios de datos. Garanti- za. cada una posee una función bien definida. Las tramas utilizadas son de tipo broadcast. El conjunto de protocolos se compone de varias capas (conteniendo cada una varios protocolos). ICMP (Internet Control Message Protocol): permiten transportar mensajes de control de errores . sesión y presentación del modelo OSI (Open System Interconnection).Información general del protocolo TCP/IP TCP/IP (Transmission Control Protocol/Internet Protocol) es un conjunto de protocolos que permiten la comunicación de redes heterogéneas. Cada intercambio está seguido de un acuse de recibo. La dirección IPv4 o IPv6 de los equipos origen y destino. El número de puerto utilizado. La reserva de estos puertos permite a las aplicaciones cliente una comunicación más fácil con el servidor. (máquina no accesible. La combinación de los tres permite la creación de un socket. La capa de interfaz de red Corresponden a las capas 1 (nivel físico) y 2 (nivel de datos) del modelo OSI. Aquí puede encontrar una lista de los principales puertos utilizados: TCP 80: HTTP TCP 443: HTTPS TCP 110: POP3 TCP 25: SMTP UDP 53: DNS (peticiones DNS) TCP 53: DNS (transferencia de zonas) TCP 20 y 21: FTP . El número de puertos que pueden utilizarse es de 65536. Para establecer una conexión con una aplicación o un equipo remoto. es necesario establecer un socket TCP o UDP. Esta capa efectúa también la transformación de la señal de digital a analógica. Permite el envío en la red física de las diferentes tramas intercambiadas entre el emisor y el receptor. sin embargo los primeros 1024 se encuentran reservados para aplicaciones específicas. por ejemplo). Este último cuenta con tres parámetros: El protocolo de transporte (TCP o UDP). 0000 0000 . 0000 0000 Conversión de binario a decimal Ahora convertimos el resultado de binario a decimal. Tomemos el ejemplo de un equipo con dirección IP 10. 0000 0000 = 10. . el equipo utiliza la máscara de subred y efectúa un Y lógico (para tener un resultado 1 los dos valores deberán ser iguales a 1). 0000 0000. 0000 0000 . o sea 4 bytes de 8 bits. Una dirección IP es un identificador único que permite reconocer el equipo en la red (igual que un número de seguridad social identifica a un hombre o una mujer).0. 1. hasta el destinatario. 0000 0000 . 0000 0010 1111 1111 .. Este protocolo permite a su vez a los diferentes equipos comunicarse entre ellos. Es por esto muy importante en una red de producción el configurar una puerta de enlace válida.0 El ID de red se encuentra en el primer byte porque los otros son iguales a 0. El objetivo de la puerta de enlace. Para efectuar esta verificación. 0000 0000 . 0000 0000 Operación Y lógico entre dos valores binarios Ahora efectuamos un Y lógico entre los dos valores (El resultado es igual a 1 si los dos valores son iguales a 1).0.0.Entender el direccionamiento IPv4 Durante años. 0000 1010 . 0000 1010. Se le atribuye a cualquier interfaz de red que la solicite. 0000 0000 . es necesario que el equipo emisor sepa si el destinatario está en una red diferente de la suya.0. el protocolo IPv4 ha sido utilizado en las redes para direccionar los equipos conectados..0.0 = 1111 1111.2 y una máscara de subred 255. En función de la dirección utilizada (consulte la sección Las diferentes clases de direcciones más adelante en este capítulo). 0000 0000 . 0000 0000 .0. Conversión de decimal a binario En primer lugar. Antes del envío de una trama. el equipo emisor de la trama debe enviarla a la puerta de enlace especificada en su configuración IP.2 = 0000 1010. 0000 0000 0000 1010 . La trama se redirige a otros routers empleando las tablas de enrutamiento. En ese caso.0.). es la transmisión de los paquetes a otra red (Internet. generalmente un router. Una dirección posee un ID de red que identifica la red a la que está conectado el equipo.0. El direccionamiento IPv4 Una dirección IPv4 tiene una longitud de 32 bits. se atribuyen uno o varios bytes a los diferentes ID. 0000 0000. es necesario convertir de decimal a binario (este punto será tratado en profundidad posteriormente en este capítulo). 0000 0000 .0. Si el equipo destino tiene un ID de red diferente. 0000 0000 . Luego un ID de host que permite una identificación univoca del equipo en la red. 0000 0010 255.0. Esta dirección puede configurarse de forma manual o automática.0. 10. estará necesariamente en una red diferente. 0000 0000 . Cada byte está separado por puntos y escrito en forma decimal (de 0 a 255). el de la derecha. situado más a la izquierda. El de menor valor. Toda empresa o particular utiliza un router o modem-router (livebox.0 a 192.255. tiene un rango 8.168. Los equipos que poseen este tipo de dirección IP son accesibles en Internet. Los equipos en una red local utilizan por su parte una dirección privada. De esta forma. una dirección IP está compuesta por bytes cuyo valor se encuentra en formato decimal. hace falta elevar 2 a la potencia del rango del bit. Si un byte tiene el valor binario 0100 1001. 3.255. se reservaron conjuntos de direcciones IP públicas para las direcciones de equipos en una red local. Conversión de binario a decimal Si descomponemos un byte. Las direcciones privadas y públicas tienen cada una diferentes cometidos en un sistema de información.255. Conversión de decimal a binario .0 a 10.0. Entonces 1 + 8 + 64 es igual a 73.2. Esta última no es accesible desde Internet (ningún equipo en una red pública posee este tipo de dirección). el del rango 1 tiene el valor de 2 por 2 1 =2… Para efectuar la conversión de binario a decimal debemos añadir los valores decimales de los bits con valor 1.255 Clase B: 172. Este equipo posee una dirección IP que le ha sido asignada por el proveedor de acceso. nos daremos cuenta de que éste posee 8 bits y cada uno tiene un rango. Conversión de binario a decimal Como hemos podido ver.16. De esta forma cada clase posee su propio conjunto de direcciones reservadas.255 Clase C: 192. Dicha dirección IP es única en el mundo y la distribuyen organismos especiales. Esta carencia se ha convertido en realidad y se ha desarrollado un nuevo protocolo IP (IPv6). Al crear esta norma. Dos empresas diferentes que no están conectadas entre sí pueden tener las mismas direcciones.) para acceder a Internet.0 a 172. Sin embargo este número se calcula empleando cifras binarias (dos estados posibles... el bit con el rango 0 tiene el valor decimal de 1 por 2 0 =1.168. Las direcciones IP públicas se encuentran en la red Internet. 3 y 6.0.0. Solo es única en una red de área local. Direccionamiento privado/público La gran demanda de direcciones IP debida a la popularización de la micro-informática ha obligado a la creación de una nueva normativa.255.255. La RFC 1918 (o direccionamiento privado) ha visto la luz para paliar el riesgo de carencia de direcciones IPv4. tiene un rango 0 (ver más abajo). 0 o 1). Clase A: 10. Para obtener el valor decimal de cada rango.0. tiene por valor decimal 73: Los bits con valor 1 son los de los rangos 0.31. El de mayor valor. se reservan tres bytes para la dirección del ID del equipo y uno solo para el ID de la red. La máscara de subred es igual a 255. El rango de direcciones va desde 128. El valor binario del rango 3 es entonces igual a 0. La máscara utilizada es 255.000 0000 . con rango 7. Falta convertir el número 6 (38-32).0.0 hasta 126. El valor decimal del rango 4 es igual a 16. es decir. La clase B La clase B permite utilizar dos bytes para el ID del equipo. El valor decimal del rango 5 es igual a 32.0 . 0 111 1111 . El resto varía desde todos los bits en 0 para la dirección inicial hasta todos los bits en 1 para la dirección final. Este valor es superior a 6. El primer bit de todas las direcciones comienza por 0. Esta conversión es más compleja.0. De esta forma hemos terminado de convertir el número 102.0.0. este valor es superior a 102. o sea: . O sea: 0.0 .0. Para efectuar la conversión. El primer bit de todas las direcciones comienza por 10.0 a 192.0.0 para la dirección final.0 a 127. Este valor es inferior a 6. Hemos convertido el valor decimal 102 al número binario 0110 0110. El valor decimal del rango 2 es igual a 4.0. Falta convertir el número 38 (102-64).0. 0 0 para la dirección de inicio. El valor decimal del rango 6 es igual a 64.0. El conjunto de direcciones contenidas en la clase A va desde 1. este valor es inferior a 102.0.0. Falta convertir el número 2 (6-4). El valor binario del rango 2 es entonces igual a 1. Las diferentes clases de direcciones Todas las direcciones IP se organizan en clases de direcciones.0. El valor binario del rango 6 es entonces igual a 1. debemos comenzar por el bit de mayor valor.0.0. El valor binario del rango 1 es entonces igual a 1. tendremos 0.0. El valor binario del rango 7 es entonces igual a 0. es necesario fijarse en el primer byte. Si estos valores se convierten a decimal.0. y el ámbito va desde 1.255.0 . 4. El valor binario del rango 0 es 0. El valor decimal del rango 3 es igual a 8.0.0. Los valores 0 y 127 están reservados. La clase A Las direcciones contenidas en esta clase permiten direccionar 22 4 equipos. En efecto. El valor decimal del rango 7 es igual a 128. Cada una permite direccionar un número de hosts y de redes diferentes.0. Para explicarla tomemos un ejemplo: debemos convertir a binario el valor 102. El valor decimal del rango 1 es igual a 2. Este valor es igual a 2. Solo pueden utilizarse las tres primeras clases.255.0. El valor binario del rango 5 es entonces igual a 1. Este valor es superior a 6.0.0.0. El valor binario del rango 4 es entonces igual a 0. Este valor es inferior a 38. Para diferenciar las distintas clases.0. Los siguientes valores son números binarios.0 a 126. 255.0. El CIDR La notación CIDR (Classless Inter-Domain Routing) permite escribir de forma sintética la máscara de subred. Si tomamos la máscara de clase A (255. 10 00 0000 .0 en decimal).0 para la dirección final (191. El primer bit de todas las direcciones comienza por 110. La cifra proviene del número de bits en 1.0.0 en decimal). Por último.0 .0. ésta puede escribirse /8. mientras que la de la clase C se escribe /24. si el valor se encuentra entre 192 y 223 la dirección es de clase C. 10 11 1111 .0 y 223.255. .0. De esta forma.0.0.0. Si el valor se encuentra entre 128 y 191 la dirección es de clase B. Tiene un único byte disponible para los equipos.0. Su máscara es igual a 255.255 . Los siguientes valores son números binarios. 0 0 para la dirección de inicio (128.255.0).255 . Posee un rango de direcciones entre 192.255 .0 para la dirección final (223. La clase C Esta es la clase que proporciona menor número de direcciones para los equipos.0.0 en decimal). 110 1 1111 .0. 0 0 para la dirección de inicio (128. La máscara de la clase B puede escribirse en la forma /16.255.0 en decimal). o sea: 110 0 0000 .0. 5.255.255.0 . si el valor del primer byte se encuentra entre 1 y 126 la dirección es de clase A.0 .0. 64 + 64 = 192.168. Para comprobar que el cálculo es correcto.64 Dirección de la subred 3: 192.0. Al igual que una dirección IP.168.00 00 0000 o 192. lo que reduce el numero de hosts direccionables. entonces el resultado es la dirección de la subred 2 (192. De esta forma garantizamos la seguridad de los datos.1. De hecho. En este caso.1.1. Esta empresa necesita crear tres subredes. Dirección de la subred 1: 192.168. debemos verificar el paso de una subred a la otra.1.01 00 0000 o 192. está compuesto de 4 bytes donde los bits de ID de red valen todos 1 (valor decimal 255) o 0 para el ID del host (valor decimal 0). El primer byte y los bits de mayor valor (los primeros por la izquierda) se utilizan.10 00 0000 o 192.168. 2.168. cada sitio puede también tener su propia dirección manteniendo el mismo ID de red. Calcular una subred Para simplificar la comprensión.168.1.0 y una máscara de subred igual a 255.1. 1. podemos crear una cuarta subred. Esta comprobación debe ser cierta para el conjunto de subredes.0 Dirección de la subred 2: 192. Debemos descomponer el primer byte del ID del host para encontrar las direcciones de las subredes.128 Para encontrar las direcciones de subred. La máscara de subred se utiliza para identificar la red en la que está conectado el equipo.255.255.1. .Establecimiento de subredes Una subred consiste en dividir una red informática en varias subredes. La ventaja de las subredes La ventaja de una subred es la posibilidad de realizar una división lógica de la red física. se puede utilizar los bits del ID de host para crear subredes. También es posible prohibir el acceso a una red de un tercero (por ejemplo la red de producción no puede acceder a la red de administración). vamos a tomar un ejemplo. Si se quieren crear tres subredes entonces el número de bits a reservar es de 2. pues 2 2 =4 > 3.168.1. es preciso variar el o los bits de subred. Esto permite impedir que las máquinas físicas se vean entre sí.168. Es posible utilizar subredes en los sitios remotos.1.168. La empresa ABC posee una dirección 192. En redes de gran envergadura. De esta forma podemos confirmar que es igual a 64. Sin embargo esta operación necesita un cortafuegos. con el objetivo de crear redes diferentes. Cálculo de direcciones de subredes La primera operación es calcular el número de bits que necesitamos reservar para identificar la subred. si sumamos 64 a la dirección de la subred 1.128). La división lógica permite reducir el tráfico de red y las tramas de tipo broadcast que un router debe transferir entre las distintas redes. 0 a 192. Debemos reservar el mismo número para la máscara de subred.168.1. es el mismo para las otras subredes.255.168. Subred 2: 192.1.168. Subred 3: 192. Hemos reservado dos bits para las direcciones de subred.65 hasta 192.1.00 11 1111 192.00 00 0000 a 192. El rango de direcciones va desde 192.1.62.1.1.1. El rango de direcciones va desde 192.1.168.255.127 es la de broadcast.168.01 00 0000 a 192.168.163). debemos hacer variar el ID de host.1.64 es la dirección de red y 192.168. (de todos los bits a 0 a todos los bits a 1.129 hasta 192.191 La dirección 192.168.168.1 a 192. los bits de subred deberán valer 1: 255.128 a 192.168.1. La máscara será 255.168. .168.0.1.1.1.63 La dirección 192.10 00 0000 a 192.10 11 1111 192. el primer paso a realizar es la descomposición del primer byte del ID del host.168.168.11 00 0000 o 192.1. El rango de direcciones va desde 192.255.168.192 La máscara a utilizar es 255.255.1 hasta 192.1.255.1.64 a 192.1. Cálculo del rango de direcciones IP distribuibles Para conocer el rango de direcciones que es posible distribuir a los equipos.1.168.01 11 1111 192.1.168.168.192.168.126. estos bits no variarán y tendrán el valor 1.1. A diferencia de las direcciones.0 es la dirección de red y 192.1.1. La dirección empleada es una dirección de clase C.1.168.1.Cálculo de la máscara de subred A continuación debemos calcular la máscara de subred a utilizar.168. es decir: Subred 1: 192.1.1.127 La dirección 192.168.1.63 es la de broadcast.191 es la de broadcast.168.190.255.128 es la dirección de red y 192.168. Esta debe configurarse en todas las máquinas para que pertenezcan a la subred correcta. Una vez más. El rango entre la primera dirección y la última es de 63 (de 192.168.168.168. ipconfig /release: libera la configuración IP distribuida por el servidor DHCP. El comando cuenta con opciones y luego el nombre o dirección IP del equipo a verificar. En un servidor. ipconfig /flushdns: permite limpiar la caché DNS. Es muy importante verificar la configuración que ha sido introducida o asignada automáticamente a un equipo. Los comandos DOS pueden ser utilizados para la administración y mantenimiento diario de una red. es posible realizar operaciones u obtener diferentes datos. 2. ipconfig /displaydns: muestra las entradas en la caché DNS. varios servicios pueden sufrir fallos parciales o dejar de funcionar. . El comando ping Este comando permite comprobar la comunicación entre dos equipos.Configurar y mantener IPv4 Una mala configuración IP puede tener un impacto más o menos importante. ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS. De esta forma se pueden reparar rápidamente problemas de comunicación en un equipo o servidor. 1. Los comandos DOS permiten garantizar un correcto funcionamiento de los servicios o simplemente diagnosticar un problema de red. ipconfig /all: muestra la configuración completa de los adaptadores de red presentes en el equipo. Utilizando las distintas opciones. ipconfig /renew: solicita una nueva configuración al servidor DHCP. El comando ipconfig El comando ipconfig permite mostrar la configuración IP de los adaptadores de red. Si el puesto está encendido y conectado a la red se recibe una respuesta. por tanto. siendo x el número proporcionado después de n. el comando reenvía el nombre o la dirección IP del router que devuelve la trama echo. . El comando tracert El comando tracert es un comando DOS que identifica todos los routers empleados para alcanzar un destino. -t: a diferencia de -n. -4: fuerza el uso de IPv4. posible interrogar a un host remoto. este tipo de solicitudes pueden estar bloqueadas por un cortafuegos. Se pueden aplicar varias opciones a este comando: -n número: la opción -n permite enviar x solicitudes antes de detenerse. -a: permite la resolución de la dirección IP a un nombre. De hecho. Es. Ejecutado sin opciones. solo se envían cuatro tramas de tipo echo. -6: fuerza el uso de IPv6. 3. Es inútil utilizar este comando si el destino se encuentra en la misma red de área local. se emite una respuesta negativa. La trama es de tipo ICMP. se efectúa el envío de tramas hasta que se solicita la interrupción. Ping es un comando que se basa en el protocolo ICMP. Sin embargo. En caso contrario. Este último permite verificar la resolución DNS.Este comando es muy útil para conocer qué router tiene un problema. . como nslookup. Es posible usar otros comandos. es posible realizar un configuración automática sin necesidad de un servidor DHCP (Dynamic Host Configuration Protocol). Los sistemas operativos cliente o servidor tienen la posibilidad de ser accedidos vía IPv6. Protocolo ARP Utilización de tramas broadcast.0. Diferencias entre IPv4 y IPv6 Las dos versiones del protocolo IP poseen cada uno sus propiedades. Se recomienda el uso de nombres de host en lugar de direcciones IPv6..Implementación del protocolo IPv6 Desde hace muchos años. Utilización de tramas multicast.ARPA). (IP6. Se cuenta con una seguridad IP (mediante el protocolo IPsec) integrada. que se trata de una extensión del protocolo anterior. La versión anterior utiliza un formato decimal (192. Ciertos paquetes (difusión de vídeo continuo. al contrario que una dirección IPv4.1 ::1 .ARPA). los restantes 64 permiten una identificación única del host (identificador de interfaz). La configuración de direcciones sin estado necesita la presencia de un servidor DHCPv6 (Windows Server 2008 como mínimo). El router presente en la red proporciona al cliente la información sobre la subred y el prefijo. Estos prefijos se apuntan en la misma forma que un CIDR en IPv4. que es la mitad de los bits para identificar la red.0 :: Dirección de bucle invertido 127. Los formatos de las direcciones son. Información general del protocolo IPv6 Una dirección IPv6 es cuatro veces mayor que una dirección IPv4. Es posible igualmente administrar la prioridad del tráfico.0.. Este protocolo ofrece un rango de direcciones casi ilimitado. a su vez.168. solamente por el emisor. Los periféricos de la red se percatan de esto mediante el empleo del campo QoS. El direccionamiento IPv6 Cada dirección está compuesta por 128 bits.0. Los periféricos de red cuentan con la posibilidad de determinar el ancho de banda deseado para la gestión del paquete. Hablamos entonces de configuración automática de direcciones sin estado (RFC 2462). Éste puede ser generado de manera aleatoria y asignado por DHCP o basado en el control de acceso o soporte (MAC). Equivalencia IPv4/IPv6 IPv4 IPv6 Dirección no especificada 0. Registro en el Registro de host (A) en la zona Registro de host (AA AA) en la DNS de búsqueda directa y PTR en la zona de búsqueda directa y PTR zona de búsqueda inversa (IN.2) mientras que las direcciones se escriben en formato hexadecimal con la versión 6 (2001:DA8:0:2C3B:22A:FF:FE28:9D6B). en la zona de búsqueda inversa ADDR.1. IPv4 IPv6 Fragmentación Fragmentación realizada en los Fragmentación efectuada routers y el emisor. se continúa con la implementación de IPv6.0. Si un prefijo de 64 bits se asigna a la dirección. es decir 128 bits para la versión 6 y 32 bits para la versión 4. Adicionalmente.) son prioritarios. diferentes. 1. Se utiliza un prefijo para indicar el número de bits utilizado por el ID de red. Esto permite a los clientes configurarse automáticamente. Ciertos bloques están reservados para implementar túneles 6to4 (por ejemplo el bloque 2002::/16). El prefijo de la dirección es igual a fc00::/7. Direcciones globales unicast Este tipo corresponde a las direcciones IPv4 públicas.255. Dirección APIPA 169. Son homólogos a las direcciones IPv4 correspondientes a las direcciones APIPA (169.0/16 FE80::/64 Dirección de broadcast 255. Permiten designar un equipo en la red Internet.0. Esta dirección está compuesta de varios bloques: 001 Prefijo de encaminamiento Identificador de Identificador de global subred interfaz Los tres primeros bits (001) al igual que el prefijo de enrutamiento global (45 bits) permiten formar un primer bloque de 48 bits.254. . permite crear subredes en una organización. Los últimos 64 bits se utilizan para representar el identificador de la interfaz. El identificador de subred.x).0. Ésta tiene la ventaja de ser aleatoria.255 Utilización de tramas multicast Dirección de multicast 224. El identificador se genera automáticamente.255. Los 64 bits restantes permiten identificar la interfaz.0/4 FF00::/8 a. Este bloque se genera aleatoriamente o lo asigna un servidor DHCPv6. La identificación de subred permite la creación de subredes. El identificador de organización de 40 bits permite evitar problemas durante la conexión entre redes. codificado en 16 bits. El identificador de interfaz utiliza los 64 bits restantes. es posible reservarlas desde 1999.x. Este tipo de dirección se genera automáticamente y no se puede encaminar.254. c. Caracterizadas por el prefijo 2000::/3. Direcciones locales únicas Las direcciones locales únicas corresponden a las direcciones privadas en IPv4 (RFC 1918). El prefijo utilizado por este tipo de dirección es FE80::/64. 1111110 Identificador de Identificador de Identificador de organización subred interfaz Los siete primeros bits poseen un valor fijo igual a 1111110. lo que proporciona una probabilidad muy pequeña de tener dos prefijos idénticos. Éste lo asigna el proveedor de acceso. Este tipo de dirección puede encaminarse solamente hacia el interior de una empresa. Para evitar los problemas de duplicación que podían ocurrir en IPv4 al interconectar varias redes. Permite identificar un equipo específico en una subred. la dirección está compuesta por un prefijo de 40 bits. Dirección de enlace local Se asigna una dirección de enlace local a un adaptador de red para permitirle comunicar con la red local. b.0. El identificador de interfaz utiliza los 64 bits restantes. . Este bloque se genera aleatoriamente o lo asigna un servidor DHCPv6. Permite identificar un equipo específico en una subred.1111 1110 Continuación de ceros (54 bits) Identificador de interfaz 10 Los 10 primeros bits (111 1110 10) al igual que los siguientes ceros forman el prefijo de 64 bits (FE80::). El valor binario de los otros rangos está en 0.168. El valor binario del rango 6 es entonces igual a 1. este valor es inferior a 96.1. 1110 0111 Para encontrar el valor decimal. Falta convertir el número 96 (224-128). El valor binario del rango 7 es entonces igual a 1. Conversión de decimal a binario Objetivo: convertir un número binario o dirección binaria a decimal y viceversa. Falta convertir el número 32 (96-64). El valor binario del rango 7 es entonces igual a 1. No es necesario realizar ninguna operación. El valor decimal del rango 6 es igual a 64. 224 El valor decimal del rango 7 es igual a 128. El valor binario del rango 5 es igual a 32. La conversión de 224 a binario es 1110 0000.Talleres Los dos primeros talleres son teóricos. El valor binario del rango 6 es entonces igual a 1. La conversión de 192 a binario es 1100 0000. 192 224 1110 0111 192. El valor binario del rango 5 es entonces igual a 1.168.1. debemos sumar los valores de los bits en 1. obtenemos el valor decimal 231. 192. o sea: 2 7 +2 6 +2 5 +2 2 +2 1 +2 0 = 128+64+32+4+2+1 Si vamos a convertir el valor binario 1110 0111.102 Primero convertimos cada byte: 192: 1100 0000 168: 1010 1000 1: 0000 0001 102: 0110 0110 . este valor es inferior a 224. 1. El valor binario de los otros rangos está en 0.102 0011 1100 1001 1100 Solución: 192 El valor decimal del rango 7 es igual a 128. Falta convertir el número 64 (192-128). El valor binario del rango 6 es igual a 64. este valor es inferior a 192. 0 o sea la dirección de red 172.31.16.000 1 1111.0.255. obtenemos el valor decimal 60.0 a 172.32.95.16.0 .1 hasta 172.0.255. Solución: Para direccionar 8 subredes.255.16.254.16.0 Rango de direcciones para todos los hosts: 172.255.La dirección IP 192. Tenemos pues un rango efectivo desde 172. Dirección de subred 3: 172.0 hasta 172. 0000 0001.1010 1000.16.255.16.16.0 o sea una máscara de subred igual a 255. o sea: 2 5 +2 4 +2 3 +2 2 = 32+16+8+4 Si vamos a convertir el valor binario 0011 1100.16.0 o sea la dirección de red 172. o sea: 2 7 +2 4 +2 3 +2 2 = 128+16+8+4 Si vamos a convertir el valor binario 1001 1100.011 0 0000.010 1 1111. 2.0 a 172.0 y la dirección de broadcast 172.0 en 8 subredes.1 hasta 172. debemos sumar los valores de los bits en 1.255 o sea un rango de direcciones desde 172. la dirección de subred.16.16. obtenemos el valor decimal 156.001 0 0000.63.0.16.96.16.31. Debemos dividir la red con la dirección 172. 010 0 0000.0 o sea la dirección de red 172.111 0 000.16.16.16. debemos reservar 3 bits (2 3 =8).0 a 172.000 0 0000.95. 001 0 0000. debemos sumar los valores de los bits en 1.0 hasta 172.31. Tenemos pues un rango efectivo desde 172. Cálculo de direcciones de subredes Objetivo: calcular las direcciones de diferentes subredes.63. Máscara de subred: 255.16.64.16. Proporcione.0 Rango de direcciones para todos los hosts: 172.16. para cada una. debemos incluir la dirección de red 172.254.255 o sea un rango de direcciones desde 172.16.0.102 en binario nos da: 1100 0000.0 o sea la dirección de red 172.0 hasta 172.0 Rango de direcciones para todos los hosts: 172.64.16. 1001 1100 Para encontrar el valor decimal. Tenemos pues un rango efectivo desde 172.16.255 o sea un rango de direcciones desde 172.224.168. la dirección de la máscara de subred y los rangos de dirección que pueden ser distribuidos.16.010 0 0000.32.16.254.16. En este rango. Dirección de subred 2: 172.1 hasta 172.16.0. Dirección de subred 4: 172.16.16.255.1.16.0 Subred 1: 172.0110 0110 0011 1100 Para encontrar el valor decimal.64.32. 000 0 0000.001 1 1111.16. 96.0 Rango de direcciones para todos los hosts: 172.16.1 hasta 172.0 o sea la dirección de red 172.110 1 1111.16.100 0 0000.16.16.128.0 Rango de direcciones para todos los hosts: 172.255.16.160. 011 0 0000.254.255.16.224.16.0 hasta 172. Implementación del protocolo IPv6 Objetivo: configurar los servidores AD1 y SV1 para que puedan usar el protocolo IPv6 para comunicarse.127.254.191.16.0 o sea la dirección de red 172.16. Dirección de subred 8: 172.16.16.255.16.16.255 o sea un rango de direcciones desde 172. .224.16.16. Tenemos pues un rango efectivo desde 172.16. 101 0 0000.192.0 a 172.255.16.160.16.0 o sea la dirección de red 172. En AD1.0 a 172.128.0 hasta 172.100 1 1111.255 o sea un rango de direcciones desde 172.1 hasta 172.111 0 0000.16.192.0 a 172.255 o sea un rango de direcciones desde 172.16.16.16. 110 0 0000.16.16.16.0 a 172.255.16.0 hasta 172.110 0 0000.191. Tenemos pues un rango efectivo desde 172.192.16. 111 0 0000.254.16.255.255. Dirección de subred 5: 172.254.0 a 172.223.0 Rango de direcciones para todos los hosts: 172. Tenemos pues un rango efectivo desde 172.1 hasta 172.16. Dirección de subred 7: 172.0 o sea la dirección de red 172. 3.101 0 0000.16.0 Rango de direcciones para todos los hosts: 172.254.224.128.0 hasta 172.16.16.16.16.159. Dirección de subred 6: 172.160. inicie la consola Administrador del servidor y luego haga clic en Servidor local.159.1 hasta 172.101 1 1111.1 hasta 172. Tendremos un rango efectivo desde 172.0 hasta 172.16.111 1 1111.223.16.96.16. Tenemos pues un rango efectivo desde 172. 100 0 0000.011 1 1111.16.Rango de direcciones para todos los hosts: 172. Máquinas virtuales utilizadas: AD1 y SV1.127.255 o sea un rango de direcciones desde 172.255 o sea un rango de direcciones desde 172. . Haga doble clic en el adaptador de red Ethernet y luego en el botón Propiedades.Haga clic en la dirección IP (campo Ethernet) para abrir la ventana Conexiones de red. Seleccione Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Propiedades. En el campo Dirección IPv6.Marque la opción Usar la siguiente dirección IPv6. introduzca FD00:AAAA:BBBB:CCCC::A y luego en Longitud del prefijo de subred introduzca 64. . Introduzca ::1 en el campo Servidor DNS preferido. a continuación.Haga clic en Aceptar y. cierre las diferentes ventanas. Repita la operación siguiente para configurar SV1. Dirección IPv6: FD00:AAAA:BBBB:CCCC::15 Longitud del prefijo de subred: 64 Servidor DNS preferido: FD00:AAAA:BBBB:CCCC::A . El comando ping -4 permite garantizar el uso de la pila IPv4 para la ejecución del comando. AD1 responde empleando su dirección IPv4 o IPv6. Introduzca el comando ping -6 ad1. Introduzca el comando ping -4 ad1. inicie un símbolo del sistema DOS. El comando ping -6 permite garantizar el uso de la pila IPv6 para la ejecución del comando. En SV1. . 0 a 10.16. Transporte y Aplicación. 4 Para cada clase. 4 Para cada clase.0.255 están reservadas para la clase C. la clase B cuenta con direcciones desde 128 hasta 191. Este tipo de direcciones se normalizaron para evitar el riesgo de escasez de direcciones. 1 ¿Cuáles son las capas presentes en el protocolo TCP/IP? 2 ¿Cuál es la utilidad del direccionamiento privado y el direccionamiento público? 3 Nombre los rangos de direcciones incluidos en cada clase. En cada clase.Validación de conocimientos: preguntas/respuestas 1. 2 ¿Cuál es la utilidad del direccionamiento privado y el direccionamiento público? El direccionamiento privado normalizado en la RFC 1918 permite proporcionar direcciones a equipos en una red local. Estas direcciones las distribuye un organismo especial. 5 ¿Cuál es el objetivo de una subred? 6 ¿De qué byte hay que utilizar bits para definir diferentes subredes? 7 ¿Cómo forzamos a un equipo a registrarse en su servidor DNS? 8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS? 9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo? 2.255. contabilice un punto. El rango 10. Para acceder desde la red pública se debe poseer una dirección IP pública. Finalmente las direcciones entre 192. Respuestas 1 ¿Cuáles son las capas presentes en el protocolo TCP/IP? Son cuatro y llevan los nombres Interfaz de red.168. 3 Nombre los rangos de direcciones incluidos en cada clase. Es también más fácil limitar el número de equipos en la red o garantizar la seguridad de los datos. Resultados Para cada respuesta acertada.0.0.168.255. 5 ¿Cuál es el objetivo de una subred? Permite efectuar una división de la red física de forma lógica. 3.0 y 172..255. La clase A posee un rango de direcciones desde 1 hasta 126. El valor del primer byte permite determinar a qué clase pertenece la dirección. es necesario un mínimo de 5 puntos para aprobar el capítulo.0. Este tipo de direcciones no son enrutables. 6 ¿De qué byte hay que utilizar bits para definir diferentes subredes? . Con la clase B es posible utilizar las direcciones entre 172. cite el rango de direcciones IP privadas. la clase C cuenta con direcciones desde 192 hasta 223.255.0 y 192. Los equipos con estas direcciones IP no pueden tener acceso directo a Internet. Los diferentes protocolos que comprenden la suite TCP/IP están organizados en las diferentes capas. El direccionamiento público permite a los diferentes equipos (servidor web..255 está reservado a la clase A.31. Internet. se ha reservado un rango de direcciones para los puestos de trabajo. Cada una tiene su propia función. cite el rango de direcciones IP privadas. Finalmente.) un acceso directo a Internet.255. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 8 ¿Cuáles son los comandos y opciones necesarios para ver la caché DNS? Para ver la caché DNS de un equipo se debe emplear el comando ipconfig /displaydns. debemos usar la opción -n seguida del número deseado. Para enviar un número mayor de tramas. 9 ¿Cuáles son los comandos y opciones para enviar un número definido de tramas echo? El comando ping envía por defecto cuatro tramas echo. . Los bits de subred se encuentran en el primer byte del ID del host. 7 ¿Cómo forzamos a un equipo a registrarse en su servidor DNS? Para efectuar esta operación debemos usar el comando DOS ipconfig /registerdns. Requisitos previos y objetivos 1. Gestión de la base de datos. Presentación de las funcionalidades ofrecidas por el servicio. Instalación y configuración de la funcionalidad IPAM. Puesta en marcha del mantenimiento del servidor DHCP. Requisitos previos Tener conocimientos de direccionamiento IP. Objetivos Definición del rol DHCP. 2. . Tener nociones sobre el funcionamiento de un direccionamiento dinámico. lo que permite a los equipos conectados comunicarse entre ellos. Su función es la distribución de la configuración IP.Introducción El servidor DHCP (Dynamic Host Configuration Protocol) es un rol de vital importancia en una arquitectura de red. . Muy útil para los usuarios itinerantes. Sin éste. es posible implementar un relay DHCP. días o simplemente ilimitada. Una configuración IP incluye una dirección IP. . El cliente envía una trama de tipo DHCPREQUEST al servidor que ha seleccionado. Este rol puede instalarse en un servidor en modo Core para limitar la superficie de ataque. Para obtener una asignación DHCP. Solo los servidores DHCP responden a esta trama enviando una trama DHCPOFFER. el servidor responde con un mensaje de tipo DHCPACK. a éstos se les asigna una configuración sin intervención del administrador. es preciso efectuar la operación manualmente. Asignación de una dirección IP Se provee una asignación a un adaptador de red por una duración limitada a varias horas. Esto implica la necesidad de un servidor para cada subred IP. El relay DHCP se instala en la red A y se encarga de recuperar todas las solicitudes DHCP hechas en la subred IP. La dirección IP seleccionada se graba ahora en la base de datos de servidor. cortafuegos activado…). Permite informar al servidor que ha aceptado la oferta. es posible vincular el servidor DHCP y NAP (Network Address Protection) para distribuir las concesiones DHCP en función del estado de salud del equipo (antivirus actualizado. el cliente y el servidor realizan un intercambio de tramas: El cliente envía un broadcast (DHCPDISCOVER) a todos los equipos de la subred. De este modo. 2. Éste permite transferir las solicitudes de asignación a un servidor ubicado en otra subred. Transfiere a continuación las diferentes solicitudes que recibe al servidor DHCP presente en la red B.Rol de servicio DHCP DHCP permite automatizar la configuración de los adaptadores de red. Para remediar este problema. La renovación se efectúa enviando una trama broadcast DHCPREQUEST. el cliente puede recibir una trama del mismo tipo de varios servidores. se ofrece una configuración IP. A partir de Windows Server 2008. Éstas no pueden atravesar los routers. el cual valida la transacción enviando un DHCPACK al equipo cliente. De esta forma es posible evitar errores humanos y asimismo garantizar una configuración adecuada para cada equipo. Las tramas utilizadas son de tipo broadcast. se vuelve a intentar al 87. Utilización de un relay DHCP Al utilizar tramas de tipo broadcast. Si no logra renovar la asignación. 1. éstas no pueden atravesar los routers. una máscara de subred y una puerta de enlace. La necesidad de muchos servidores puede conllevar un coste excesivo para la empresa. El cliente selecciona el servidor que haya sido más rápido. La operación de renovación de la asignación se ejecuta cuando se ha cumplido el 50% de la duración transcurrida. Mediante esta trama.5% de la concesión y luego en el momento de su expiración. .Debemos sin embargo verificar el ancho de banda de la línea y los tiempos de respuesta. Opciones: configuración de las opciones complementarias que se distribuirán con la dirección IP.0.0. o implementar una reserva .). A partir de Windows Server 2008. Exclusiones: define las direcciones IP que deben excluirse del intervalo de direcciones que se pueden distribuir. 2. es necesario configurar el ámbito. Reserva de concesiones DHCP Para ciertos equipos (impresoras de red. es necesario asignar una configuración IP. Pueden configurarse diferentes opciones tales como el nombre del dominio DNS. Intervalo de direcciones IP: configura el grupo de direcciones IP que es posible distribuir.16. 1. la dirección del router. etc. La configuración del ámbito requiere la configuración de varias propiedades: Nombre y descripción: permite identificar el ámbito por un nombre o una descripción. Está limitado a una subred IP.16. Al igual que para IPv4.0.254. Cuando un equipo presente en la red 172.0. El ámbito del servidor DHCP El ámbito contiene un conjunto de direcciones IP que pueden ser distribuidas. Máscara de subred: máscara de red que deben utilizar todos los clientes que reciben una concesión DHCP. lo que obligaría a una reconfiguración en los puestos de trabajo. El resultado es idéntico si el servidor posee ámbitos para redes diferentes. Tomemos por ejemplo un servidor DHCP que posee un ámbito con un conjunto de direcciones entre 172.Funcionalidad del servidor DHCP Después de instalar el servidor.1 y 172.0. Retraso: permite definir el tiempo transcurrido antes de proponer una concesión DHCP al cliente (DHCPOFFER). debemos configurar manualmente el adaptador de red. las direcciones IP se distribuyen a aquellos equipos que han hecho la solicitud. etc.16. es posible añadir un ámbito para el protocolo IPv6.16.0 solicita una asignación DHCP recibe una dirección del ámbito configurado para la red 172. Para evitar esto. Ésta no debe sufrir ninguna modificación. La dirección MAC del adaptador de red puede obtenerse empleando el comando ipconfig /all.). El equipo será visible solamente después de recuperar la concesión DHCP. . Al configurar el ámbito. 3. La dirección MAC: dirección física del adaptador de red a la que se asigna la concesión. Las opciones de DHCP Después de configurar un ámbito DHCP. es posible configurar la dirección de la puerta de enlace (opción 003 Enrutador) sí como la del servidor DNS (006 Servidores DNS). Después de su creación. Distribuidas al mismo tiempo que la concesión. la reserva tiene el estado inactiva. permiten completar la configuración proporcionada (dirección IP. y aparece también en el nodo Concesiones de direcciones (campo ID exclusivo). es posible añadir opciones. en DHCP. y pasa a activa cuando el cliente efectúa una nueva solicitud (renovación o nueva concesión).. Una reserva necesita que se informen varios datos: El nombre de la reserva: este campo es simplemente el nombre que daremos a la reserva. Ésta permite garantizar la recepción de la misma configuración IP para cada cliente. Es aconsejable utilizar un nombre que indique el destinatario (nombre del equipo o de la impresora. máscara de subred). La dirección IP: dirección IP que se asignará al puesto cliente cada vez que lo solicite.. Si la misma opción se encuentra configurada en el nodoOpciones . Estas opciones pueden agregarse en varios niveles diferentes: Opciones de servidor: se aplican al conjunto de clientes que efectúan una solicitud de una concesión al servidor DHCP.) están normalizados. etc. es posible añadir otras opciones: Opción 004: Servidor horario Opción 015: Nombre de dominio DNS Opción 042: Servidores NTP Opción 044: Servidores WINS/NBNS Opción 069: Servidores SMTP Opción 070: Servidores POP3 Los códigos (003. es posible encontrar la lista completa en la documentación de la RFC.Sin embargo. pueden emplearse estas opciones de clase. opciones diferentes. Opciones de clase: existen diferentes clases (clase de proveedores. de ámbito. Opciones de ámbito: incluidas en cada ámbito. de usuarios…) al implantar un servidor NAP (Network Access Protection). para una reserva. .1. se aplican las opciones del ámbito. Haciendo clic con el botón derecho en la reserva deseada. Opciones de reserva: al implantar una reserva. se aplican a sus clientes. el menú contextual nos proporciona un acceso a la ventana que permite efectuar la selección de la configuración y sus opciones.168. la dirección IP introducida es 192. Adicionalmente.1. La opción 003 Enrutador se encuentra configurada en las opciones de servidor. Cada ámbito puede tener opciones diferentes o las mismas con otros valores. La misma opción se encuentra en Opciones de ámbito. se conserva esta última. podemos ver la diferencia en los dos iconos. Es posible configurar. Las opciones de reserva reemplazan a las opciones configuradas a nivel de ámbito. De esta forma. El icono es diferente. todos los adaptadores de red cuya dirección MAC se encuentre en la lista verde tienen la posibilidad de recibir una concesión. La lista de exclusión permite anotar los adaptadores de red que no recibirán respuesta del servidor. Cada una tiene un uso bien diferenciado y permite indicar al servidor DHCP si debe o no asignar una concesión DHCP. lo que permite de forma sencilla saber a qué nivel se aplica la opción. 4. La lista de exclusión se puede configurar por medio del nodo Denegar. Implementación de filtros La implementación de filtros permite crear listas verdes y listas de exclusión. Está representada en la consola por el nodo Permitir. . Sin embargo. Es posible desplazar un filtro de la lista verde a la lista de exclusión y viceversa. en el caso contrario el servidor no responderá a las solicitudes del cliente. es necesario crear un nuevo filtro. Esta característica permite garantizar que solo los puestos autorizados recibirán una configuración IP. Esta operación puede ser muy sencilla de realizar pero se vuelve muy restrictiva en caso de contar con un número muy elevado de equipos. al añadir un nuevo equipo. .Es preciso implementar los filtros (clic derecho en el nodo Permitir y luego Nuevo filtro). renovación o liberación de la concesión).. Posee un motor de formato Exchange Server JET. la base de datos se almacena en la carpeta Windows\System32\dhcp.chk: archivo con puntos de control. se debe seleccionar la carpeta de la copia de seguridad. Las reservas que hayan sido creadas. Esta carpeta contiene varios archivos: dhcp. .log: permite registrar las transacciones. Las claves del registro e información de configuración. Las concesiones distribuidas. j50. Las opciones configuradas. se actualiza la base de datos y se crea una entrada en los registros. El tamaño del archivo depende del número de equipos presentes en la red.tmp: este archivo se emplea como archivo de intercambio durante el mantenimiento de los índices de la base.Base de datos DHCP La base de datos de DCHP permite registrar de información (direcciones MAC. Al ejecutar la operación de restauración (clic derecho en el servidor y luego Restaurar en el menú contextual). Durante la operación de copia de seguridad (sincrónica o asíncrona) todos los elementos vinculados al servidor se incluyen en la copia. La información en la base de registros puede encontrarse accediendo al registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters 2.. Es recomendable ubicar esta carpeta en otro volumen para evitar su borrado en caso de una reinstalación. Por defecto. Esta operación requiere sin embargo de permisos de administrador o un usuario miembro del grupo Administradores de DHCP. La copia de seguridad asíncrona se realiza manualmente en el momento deseado. La copia de seguridad sincrónica se realiza de forma predeterminada en la carpeta Windows\System32\dhcp\backup. Presentación de la base de datos DHCP La base de datos almacena un número de registros ilimitado. dhcp. 1. Para cada operación (nueva solicitud. j50.) al distribuir una nueva concesión. Encontraremos los siguientes elementos: Todos los ámbitos presentes en el servidor. Copia de seguridad y restauración de la base de datos La copia de seguridad de la base de datos puede hacerse de forma manual (copia de seguridad asíncrona) o automática (copia de seguridad sincrónica).mdb: base de datos del servicio DHCP. En efecto.1. En el registro de forma resumida.250 ha sido asignada ya que aparecía como disponible en la base de datos. Al efectuar la reconciliación. 3. Seleccionando Reconciliar. se muestra una ventana. A continuación. principalmente tras restaurar la base de datos. Al realizar una operación de reconciliación. Al igual que para la copia de seguridad.168. la operación debe realizarse con permisos de administrador. las concesiones DHCP se registran en dos lugares: En la base de datos de forma detallada. Ejemplo En el registro. las entradas contenidas en la base de datos y el registro se comparan. la dirección IP 192. se detienen los servicios DHCP y se restaura la base de datos. Esto permite buscar posibles faltas de coherencia (entradas en la base de datos que no estén presentes en el registro y viceversa).. Reconciliación y desplazamiento de la base de datos La operación de reconciliación permite resolver ciertos problemas de coherencia. Bastará con hacer clic en el botón Comprobar para iniciar la verificación. en el menú contextual del ámbito (clic derecho en el ámbito deseado). la entrada se crea en la base de datos. .. en el menú contextual del nodo IPv4. No es concebible crear un nuevo ámbito en el nuevo servidor DHCP y luego efectuar la etapa de creación de las reservas y exclusiones. En caso de migración del servidor DHCP. a su vez. Es tedioso y puede causar errores más o menos perjudiciales para el sistema de información. Es entonces necesario hacer copia de seguridad del antiguo servidor y luego restaurarlo en el nuevo o desplazar la base de datos a otro volumen. el desplazamiento de la base de datos a otro volumen permite una reinstalación del servidor sin perder la base de datos..Seguidamente. Es posible iniciar esta operación en todos los ámbitos seleccionando Reconciliar todos los ámbitos. Para efectuar el desplazamiento.. . es posible utilizar dos soluciones. una ventana muestra el resultado de la operación. Primera solución: se ha creado una cantidad de reservas han sido creadas y se han implementado. exclusiones de direcciones IP. Como hemos visto anteriormente. se debe acceder a las propiedades del servidor (clic derecho en el servidor y luego Propiedades en el menú contextual). Sin embargo. o se ha creado un número muy reducido. se corre el riesgo de distribuir direcciones ya asignadas a equipos cliente. durante el reinicio del servicio. En este caso se puede considerar la opción de crear un nuevo ámbito. Segunda solución: no se han creado reservas en el servidor. bastará con configurar el número de intentos de detección de conflictos que el servidor debe efectuar. A continuación. El servicio debe estar detenido para luego reiniciar al terminar la copia. Abra las propiedades del nodo IPv4 (clic derecho en IPv4 y luego Propiedades). Empleando el botón Examinar asociado al campo Ruta de acceso de la base de datos. De hecho. seleccione otra carpeta. puede causar graves problemas. solicitar al servidor DHCP que realice una prueba antes de asignar una dirección. Si. el ámbito no está presente. Es preciso. . si esta solución se implementa erróneamente. copie todos los archivos contenidos en Windows\System32\dhcp a la nueva carpeta. si el nuevo servidor carece de información acerca de las concesiones DHCP que se han distribuido antes de la creación. en este caso. en la pestaña Avanzadas. La actualización se efectúa después de reiniciar el servidor. .Las nuevas concesiones se distribuirán sin riesgo de conflicto IP. punto de acceso Wi-Fi). es posible implantar un servidor NAP (Network Access Protection). Es muy fácil detectar un posible problema. Este último autoriza el acceso al servidor DHCP para los clientes que cumplan con la política de seguridad (antivirus actualizado. compatible con la norma 802. El equipamiento debe ser. empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo (conmutador. De esta forma. Securizar la distribución de concesiones DHCP La obtención de una concesión permite el acceso a la red. Es posible realizar una auditoría para ver un historial de accesos válidos. por lo tanto cualquier equipo puede recibir una concesión DHCP. 2. es preferible implantar una solución de autenticación robusta. Es necesario poner en práctica un esquema de seguridad adecuado. Por último. En un punto de acceso Wi-Fi. Sin embargo. Es posible definir los intervalos de actualización modificando el parámetro en las propiedades del campo IPv4 (pestaña General). Esta última puede implementarse siguiendo la norma 802.1x (RADIUS . . La solicitud resultará en una asignación aunque el equipo no esté autorizado para recibirla. En primer lugar es posible reducir el acceso físico activando en el conmutador solamente los puertos utilizados. cortafuegos activado…). se emplean los protocolos WPA-Enterprise (Wi-Fi Protected Access- Enterprise) y WPA2-Enterprise (Wi-Fi Protected Access 2-Enterprise) para la autenticación RADIUS. 1.Securización y mantenimiento de DHCP El protocolo DHCP no permite implementar una solución de autenticación. Su nombre es cliente RADIUS. a su vez. Un número elevado de acuses de recibo negativos indica una mala configuración del ámbito (dos ámbitos que proporcionan las mismas direcciones IP).Remote Authentication Dial-In User Service). Utilización de las estadísticas y registros de auditoría Las estadísticas proporcionan información sobre la actividad y utilización del servidor.1x. una persona malintencionada puede fácilmente intentar corromper los datos o simplemente obtener datos confidenciales. Esta opción está deshabilitada por defecto. que proporcionan información sobre su estado. Se encuentra en la carpeta Windows\System32\dhcp y es posible visualizarlo mediante el bloc de notas de Windows. es posible utilizar el registro de auditoría.A diferencia de las estadísticas del servidor. . que permite el seguimiento de cualquier actividad. El nombre de archivo contiene el día en que ha sido creado. Hace referencia a todas las concesiones distribuidas y también a aquellas que han sido rechazadas. Como complemento a las estadísticas. las estadísticas del ámbito proporcionan solamente el número de direcciones presentes en el rango permitido y el número de direcciones utilizadas y disponibles. se incluye la fecha. Fecha: al grabar el evento en el registro. solo varía el nombre del día. El archivo contiene varios campos: ID: corresponde al número de evento (el enunciado de los diferentes ID se encuentra al principio del archivo). El principio del nombre de archivo (DhcpSrvLog) es común a todos los archivos. .Podemos ver el archivo DhcpSrvLog-Vie en la carpeta. Descripción: información sobre la operación efectuada. Hora: hora a la que se ha producido el evento. .). Dirección IP: dirección IP del cliente DHCP. Dirección MAC: dirección MAC del cliente DHCP. En este registro existen otros datos (ID de transacción. Nombre del equipo: nombre del equipo. resultado. .. No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo. en los controladores de dominio y los servidores DHCP. el administrador debe hacerlo manualmente. DNS y el cliente IPAM que permiten administrar de manera remota los servidores DHCP. Antes de desplegar la característica IPAM es necesario tener en cuenta el método de despliegue seleccionado. A su vez. incluyendo la posibilidad de utilizar una base de datos SQL. Auditar los cambios de configuración del servidor y seguimiento del uso de las direcciones IP: permite ver los eventos operativos relacionados con los servidores IPAM y DHCP administrados. Ciertos elementos de red (WINS - Windows Internet Name Service. DNS e IPAM. se deben configurar los parámetros de seguridad y los puertos del servidor. Al igual que otros roles. Ver. Se nos presentan dos posibilidades de despliegue: el método distribuido. Entre los servidores soportados encontramos NPS. Con Windows Server 2012 R2 aparecen nuevas características. Deben ejecutar Windows Server 2008 o versiones posteriores y estar unidos a un dominio. servidores DHCP y servidores DNS en el dominio deseado. Servicio de activación de procesos Windows: elimina la dependencia del protocolo HTTP generalizando el modelo de procesos IIS. se realiza un seguimiento de las direcciones IP. Base de datos interna de Windows: base de datos interna que puede ser instalada por los roles y características internos. se instalan también las siguientes funcionalidades: Herramientas de administración remota del servidor: instalación de las herramientas DHCP. crear informes personalizados y administración del espacio de direcciones IP: muestra los datos detallados de seguimiento y uso de las direcciones IP. con un servidor para el conjunto de la empresa. Para poder ser gestionados por IPAM y autorizar su acceso. El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active Directory. Los siguientes componentes se incluyen en la función: Descubrimiento automático de la infraestructura de direcciones IP: permite descubrir automáticamente controladores de dominio. Permite descubrir.000 ámbitos y 150 zonas DNS). supervisar y auditar un grupo de direcciones IP. IPAM cuenta con especificaciones. La administración y seguimiento de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service) puede realizarse desde IPAM. IPAM realiza intentos periódicos para localizar controladores de dominio. DNS y DHCP. nombre de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los eventos de inicio de sesión de usuario en los servidores NPS (Network Policy Server). Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6. . Con la instalación de IPAM. con un servidor IPAM en cada sitio de la empresa. La comunicación entre el servidor IPAM y los servidores administrados se efectúa mediante WMI o RPC. Los espacios de direcciones IPv4 e IPv6 se organizan en bloques de direcciones IP. Las anteriores versiones solo podían emplear la base de datos interna de Windows.IPAM IPAM (IP Address Management) es una característica integrada a partir del sistema operativo Windows Server 2012. o el método centralizado. en rangos de direcciones IP y en direcciones IP individuales. proxy…) no están contemplados por el servidor IPAM. ID de cliente. servidores DNS y DHCP para servidores que están dentro del alcance del área de descubrimiento especificada. también tienen la posibilidad de efectuar tareas de administración del servidor y tareas de administración corrientes IPAM.NET Framework 4. Administradores IPAM ASM (Address Space Management): además de los permisos del usuario IPAM. al igual que la relativa al rango de direcciones y la gestión del servidor. se crean los siguientes grupos locales: Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la información de descubrimiento de servidores. Configuration: se recopila la información de configuración de los servidores DHCP. Administradores IPAM MSM (Multi-Server Management): tienen permisos de usuario IPAM.NET Framework: instalación de la característica . Se encuentran en el administrador de tareas (Microsoft/Windows/IPAM): Discovery: permite el descubrimiento automático de los servidores DC. DNS para ASM y MSM. también tienen la posibilidad de efectuar las tareas relacionadas con el espacio de direcciones y tareas de gestión habitual de IPAM. Audit: se recopila la información de auditoría de los servidores DHCP. Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y pueden realizar cualquier tarea. NPS y DC así como de las concesiones DHCP. Administración de directivas de grupo: instala la consola MMC que permite administrar las directivas de grupo. ver la información de seguimiento de direcciones IP. Las tareas IPAM se inician regularmente en función de una periodicidad dada. DHCP y DNS. además. AddressUtilizationCollection: efectúa la recogida de datos de utilización del rango de direcciones para los servidores DHCP. Durante la instalación de la característica. . ServerAvailability: se recupera el estado de servicio de los servidores DHCP y DNS. . El acceso a la información de seguimiento de direcciones IP les está prohibido. Administradores de auditoría IPAM IP: los miembros de este grupo pueden efectuar las tareas de gestión habitual de IPAM y.5. IPAM. La instalación y configuración de la característica IPAM se realiza en los talleres. Configurar un nuevo ámbito y agregar opciones Objetivo: una vez instalado. Agregar el rol DHCP Objetivo: efectuar la instalación del rol DHCP. 2. En la ventana Antes de comenzar. En la consola Administrador del servidor en AD1. 1. Espere al fin de la instalación y luego haga clic en Cerrar. Marque la casilla Servidor DHCP y luego haga clic en Agregar características en la ventana que se muestra. . CL8-01 y CL8-02. Máquinas virtuales utilizadas: AD1. En AD1. inicie la consola Administrador del servidor y luego haga clic en Agregar roles y características. En Seleccionar servidor de destino.Talleres Los talleres consisten en la instalación del servidor DHCP y la funcionalidad IPAM y su configuración. Marque la casilla Instalación basada en características o en roles y luego haga clic enSiguiente. Haga clic en Siguiente en la ventana Seleccionar características. Máquina virtual utilizada: AD1. deje AD1 seleccionado y luego haga clic en Siguiente. este taller tiene por objetivo realizar la configuración del servidor. haga clic en el icono con forma de bandera. haga clic en Siguiente. Haga clic en Siguiente y luego en Instalar. . Se inicia el asistente. En la ventana Autorización.Haga clic en el enlace Completar configuración de DHCP. verifique que se está utilizando la cuentaFORMACION\Administrador y luego haga clic en Confirmar. haga clic en Siguiente. introduzca Ámbito Formacion. Haga clic en Siguiente en la ventana del Asistente.. . En el campo Nombre. Abra la consola DHCP incluida en las herramientas administrativas. en el menú contextual.. Haga clic con el botón derecho en IPv4 y a continuación.. Despliegue ad1.Haga clic en Cerrar para cerrar el asistente. haga clic enÁmbito nuevo.formacion.local en el panel de navegación y luego realice la misma operación con IPv4. Acceda a la pantalla Inicio.local y luego haga clic en Siguiente. 1.168.1.168.Introduzca 192. . 192. a continuación.50 en Dirección IP inicial y.70 en Dirección IP final. 10. haga clic enSiguiente. seleccione Configurar opciones. en el menú contextual. Haga clic con el botón derecho en Opciones de Ámbito y a continuación. .En las ventanas Agregar exclusiones y retraso y Duración de la concesión. Marque la opción 003 Enrutador y el valor 192. Marque la opción 006 Servidores DNS y luego introduzca el valor 192.254 en el campo Dirección IP. Haga clic en Agregar para validar el valor. Haga clic en Finalizar para cerrar el asistente. Haga clic enAgregar para validar el valor.168.1.168. Marque la opción Configuraré estas opciones más tarde y haga clic en Siguiente.1. Haga clic en Aceptar para proceder a crear las opciones. 1.168. Haga un clic derecho en Ámbito [192. Verifique en los equipos CL8-01 y CL8-02 que la dirección está configurada para Obtener una dirección IP automáticamente. haga clic en Activar. .El ámbito se encuentra desactivado.0] y luego en el menú contextual. En el menú contextual seleccione Agregar a filtro y. Elimine la concesión asignada a CL8-02 y. Si la dirección configurada es una dirección APIPA (169. efectúe una nueva solicitud de concesión empleando el comando ipconfig /renew. a continuación. verifique que se encuentra en la listaDenegar. Haga clic en Concesiones de direcciones y. a continuación.254. . Utilice el comando ipconfig para verificar la configuración actual. a continuación. haga clic con el botón derecho en la concesión de CL8-02.x. En el menú contextual. seleccione Habilitar.x). Las concesiones se han asignado correctamente a las dos máquinas cliente.Denegar. Despliegue Filtros y luego haga clic con el botón derecho en el nodo Permitir. Realice la misma operación para Denegar. Introduzca ipconfig /renew para solicitar una nueva concesión. Copia de seguridad y restauración de la base de datos Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una restauración.local.formacion. En AD1. 3. .local y luego haga clic con el botón derecho. Máquina virtual utilizada: AD1. Desactive la lista Permitir y Denegar y vuelva a introducir el comando ipconfig /renew en CL8- 02. Seleccione la opción Copia de seguridad. abra la consola DHCP. En CL8-02. Incluya el equipo CL8-02 en el dominio Formacion. El cliente no recibe respuesta ya que está en la lista Denegar. Despliegue el servidor ad1. inicie un símbolo del sistema e introduzca ipconfig /release. No existe ahora ningún ámbito presente en el servidor. . seleccione el Disco local (C:) y luego haga clic en Crear nueva carpeta.local y seleccione la opciónRestaurar. en el menú contextual.formacion. En la ventana Buscar carpeta. Llame a la nueva carpeta CopiaSeguridadDHCP y haga clic en Aceptar. haga clic en la carpeta CopiaSeguridadDHCP y luego haga clic enAceptar. seleccione la opción Eliminar. En la ventana Buscar carpeta. Haga clic con el botón derecho en el servidor ad1.. Haga clic con el botón derecho en el ámbito presente en DHCP y. en el menú contextual.. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic enSiguiente. Haga clic en Sí para reiniciar los servicios. IPAM no debe instalarse en un controlador de dominio. SV2 y CL8-02. . En la ventana Antes de comenzar. utilizaremos SV2 para albergar esta función. 4. En SV2. Implementación de IPAM Objetivo: realizar una copia de seguridad de la base de datos del servidor y luego efectuar una restauración. haga clic en Siguiente. Se restaura el ámbito y el conjunto de la configuración. Haga clic en Aceptar en el mensaje de validación de la operación. Máquinas virtuales utilizadas: AD1. inicie la consola Administrador del servidor y luego haga clic en Agregar roles y características. Verifique la selección de SV2. En la ventana de selección de características. . marque la característica Servidor de administración de direcciones IP (IPAM).Formacion.local y luego haga clic en Siguiente. Haga clic en el vínculo Aprovisionar el servidor IPAM. Actualice la consola si fuera necesario. deje el valor por defecto y haga clic en Siguiente.Haga clic en el botón Agregar características en la ventana que se muestra y luego en el botónSiguiente. En el Administrador del servidor. En la ventana Configurar base de datos. . haga clic en IPAM para mostrar la página inicial. Inicie la instalación haciendo clic en Instalar. Haga clic en Siguiente en la ventana Aprovisionar IPAM. En la zona Prefijo del nombre del GPO. . introduzca SRVIPAM. Seleccione un método de aprovisionamiento Basado en la directiva de grupo. Valide la opción haciendo clic en Aplicar. El aprovisionamiento está en marcha… Al terminar la operación. . verifique que aparece el mensaje El aprovisionamiento de IPAM se completó correctamente y luego haga clic en Cerrar. Haga clic en Configurar detección de servidores. .local en el ámbito. Configure los roles a detectar desmarcando aquellos no deseados. haga clic en Iniciar detección de servidores.Haga clic en Agregar para incluir Formacion. Haga clic en Aceptar. En la ventana INFORMACIÓN GENERAL. Haga clic en Más en la banda amarilla para tener más detalles. . Haga clic en el vínculo Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM. cierre la ventana Detalles de tarea de Overview.Espere a que termine la ejecución. Cuando el campo Fase tenga el valor Completado. haga clic en Actualizar IPv4 (a la izquierda del identificador de notificación). Se utilizan los objetos de directiva de grupo para autorizar el acceso a los servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name System).El o los servidores mostrarán su estado como Bloqueado en Estado de acceso IPAM y Sin especificar en Estado de manejabilidad. Si no se muestra ningún servidor.local .formacion. Ahora hay que dar a SV2 el permiso de gestión de los diferentes servidores. Inicie la consola PowerShell como administrador en SV2. Introduzca el siguiente comando y luego pulse en [Entrar]: Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName SRVIPAM -IpamServerFqdn sv2. Se puede descargar el script en la página Información. Pulse la tecla S y luego valide empleando la tecla [Intro]. La directiva SRVIPAM_DHCP tiene los siguientes parámetros: . Las nuevas directivas de grupo se encuentran en la consola Administración de directivas de grupo. Es posible desplazarlas si fuera necesario.Las directivas se encuentran vinculadas a la raíz del dominio de forma predeterminada. seleccione Administrado. . En la consola de configuración de IPAM. haga clic con el botón derecho en la línea AD1 y luego seleccione Editar servidor. En la lista desplegable Estado de capacidad de administración. seleccione Actualizar estado de acceso del servidor. El campo Estado de acceso IPAM muestra ahora el estado Desbloqueado. haga clic con el botón derecho en AD1 y luego. Pueden hacer falta varios minutos para la aplicación de la directiva.Haga clic en Aceptar. Esto permite aplicar las directivas de grupo previamente creadas con el comando PowerShell. . En la consola IPAM. actualice la consola. en el menú contextual. abra un símbolo del sistema DOS y luego introduzca el comando gpupdate /force. En el servidor AD1. Si esto no funciona. En el panel de navegación IPAM. . haga clic en Bloques de direcciones IP.. haga clic en Recuperar datos de servidores administrados.En el panel INFORMACIÓN GENERAL. Espere a que termine la recuperación (concesiones actuales..). Haga clic con el botón derecho en el rango de direcciones IP y luego. Se ha recuperado correctamente la información del servidor DHCP. . haga clic en Buscar y asignar dirección IP disponible. examine la información mostrada.Visualice el contenido de la pestaña Detalles de configuración. en el menú contextual. se presenta una dirección IP y luego se realizan las pruebas. .Después de unos minutos. Haga clic en Configuraciones básicas en el menú izquierdo y luego en el campo Dirección MACintroduzca la dirección MAC de CL8-02. seleccione AD1. . de cliente y luego marque Asociar MAC a identificador de cliente. Seleccione el menú Reserva de DHCP. Seleccione Ambos en la lista desplegable Tipo de reserva.Formacion. En la lista desplegable Nombre del servidor de reserva.local.La dirección está disponible. esto permitirá recuperar más fácilmente la reserva. La dirección MAC se asocia. Seleccione Reservado en el campo Estado de dirección y luego CL8-02 en Propietario. Introduzca CL8-02 en el campo Id. Al mismo tiempo es posible informar el campo Nombre de reserva. .Haga clic en el botón Aplicar y luego en Aceptar. seleccione Direcciones IP. En la lista desplegable Vista actual. renueve la concesión DHCP introduciendo los comandos ipconfig /releasey luego ipconfig/renew. . Haga clic con el botón derecho en la entrada creada previamente y luego seleccione Crear reserva DHCP. En el equipo CL8-02. La reserva se ha actualizado correctamente. La reserva se ha creado correctamente en la consola DHCP. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. es necesario un mínimo de 12 puntos para aprobar el capítulo.Validación de conocimientos: preguntas/respuestas 1. más adelante. Respuestas 1 ¿Cuál es el rol de un servidor DHCP? El servidor DHCP tiene por objeto la distribución de configuraciones IP a los equipos que la solicitan. Este servicio permite evitar la distribución de la misma configuración a dos equipos diferentes. Para evitar costes excesivos por la proliferación de servidores DHCP. 1 ¿Cuál es el rol de un servidor DHCP? 2 Proporcione de forma porcentual el momento en que se efectuará la solicitud de renovación de la concesión DHCP.5%. Estas tramas no pueden atravesar los enrutadores. La operación de renovación de una concesión se efectúa cuando la duración de la misma llega al 50% y. ¿Cuáles son las dos posibilidades que se me presentan? 14 ¿Cuál es la utilidad de IPAM? 15 ¿Cuáles son los servidores que pueden ser gestionados? 2. al alcanzar el 87. Finalmente se realiza un último intento de renovación cuando se alcanza el 100% de la concesión. ésta se envía a todos los equipos de la red. ¿dónde se almacena la información de esta última? 12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP? 13 Quiero migrar el rol de servidor DHCP a otro servidor. 3 ¿Cuál es la razón para instalar un relay DHCP? 4 ¿Dónde se almacenan los conjuntos de direcciones? 5 ¿Es posible configurar varios ámbitos en un servidor DHCP? 6 ¿Qué propiedades tiene un ámbito? 7 ¿Qué datos hace falta implementar para una reserva? 8 ¿Cuál es el objetivo de las opciones de DHCP? 9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP? 10 ¿Cuál es la función de los filtros? 11 Al asignar una concesión. 4 ¿Dónde se almacenan los conjuntos de direcciones? . contabilice un punto. 3. 3 ¿Cuál es la razón para instalar un relay DHCP? Cuando un cliente emite una trama para solicitar una configuración IP. 2 Proporcione de forma porcentual el momento en que se efectuará la solicitud de renovación de la concesión DHCP. debemos implantar relay DHCP cuya función es la retransmisión de las diferentes solicitudes a los servidores DHCP. Esta trama está basada en un tipo broadcast. Resultados Para cada respuesta acertada. . un conjunto de direcciones IP que pueden distribuirse. Encontramos. ¿Cuáles son las dos posibilidades que se me presentan? Si existen reservas configuradas. De esta forma. En el caso que el número de reservas sea limitado. también. opción 070: servidor POP3). es preferible hacer una copia de seguridad de la base de datos y luego restaurarla en otro servidor. Adicionalmente. 12 ¿En qué carpeta predeterminada se almacena la base de datos del servidor DHCP? La base de datos se almacena de forma predeterminada en la carpeta C:\Windows\System32\dhcp. entre las que se encuentran una nombre y una descripción. DHCP o NPS. 13 Quiero migrar el rol de servidor DHCP a otro servidor. Cada ámbito posee un rango de direcciones diferente. Podemos configurar opciones de servidor. Un conjunto de direcciones se almacena en un ámbito. Es posible distribuir otras opciones (opción 069: servidor SMTP. es posible configurar varios ámbitos en un servidor DHCP. 5 ¿Es posible configurar varios ámbitos en un servidor DHCP? Sí. así como la máscara de subred y las listas de exclusión. 6 ¿Qué propiedades tiene un ámbito? Un ámbito posee varias propiedades. 8 ¿Cuál es el objetivo de las opciones de DHCP? Una opción DHCP permite complementar la configuración IP distribuida. a su vez. En este último caso. las concesiones ya distribuidas por el antiguo servidor se conocen en el nuevo. De esta forma es posible distribuir la dirección del servidor DNS (opción 044). También es posible supervisar y administrar los servidores DHCP y DNS. la puerta de enlace configurada con el asistente de creación del ámbito es la opción número 003 enrutador. Estas opciones pueden. supervisión y auditoría de una dirección IP. en la base de datos del servidor DHCP. configurarse. de clase o de reserva. La lista negra permite prohibir la concesión a los equipos incluidos. 7 ¿Qué datos hacen falta para implementar una reserva? Para implementar una reserva necesitamos introducir la dirección MAC y la dirección deseada. podemos recrear el ámbito. debemos configurar el servidor DHCP para que verifique si la dirección se encuentra ya atribuida a un equipo antes de asignarla al adaptador de red que la ha solicitado. 14 ¿Cuál es la utilidad de IPAM? IPAM (IP Address Management) permite realizar el descubrimiento. 10 ¿Cuál es la función de los filtros? Los filtros permiten implementar listas verdes que autorizan al servidor DHCP a distribuir direcciones a los equipos incluidos en esta lista. 15 ¿Cuáles son los servidores que pueden ser gestionados? Es posible gestionar servidores de tipo DNS. 9 ¿Cuáles son los otros tipos de opciones que se pueden configurar en un servidor DHCP? Es posible configurar varios tipos de opciones. también. ¿dónde se almacena la información de esta última? La información de la concesión asignada se almacena en el registro y. 11 Al asignar una concesión. Objetivos Analizar el funcionamiento de DNS. Instalación del rol Servidor DNS. 2. Implantación de la actualización dinámica. Tener conocimientos sobre el mecanismo de resolución de nombres. Requisitos previos Poseer nociones sobre los diferentes tipos de nombres (DNS y NetBIOS). Soporte del servidor DNS. .Requisitos previos y objetivos 1. Definición de las diferentes zonas configurables. Para esto último. . es posible utilizar su dirección IP o su nombre. se ha implantado un mecanismo de resolución de nombre en direcciones IP y viceversa.Introducción Para acceder a un puesto de trabajo en la red. y es el mismo para todos los servidores de cada nivel).nibonnet. los servidores con autoridad sobre los dominios de primer nivel permiten la gestión de las zonas es. Este servicio se incluye en todos los sistemas operativos servidor que permiten a los usuarios utilizar los recursos de red (acceso a un servidor. Contiene los nombres de equipo y sus direcciones IP para poder efectuar las operaciones de resolución necesarias.local.). De esta. .Funcionamiento de DNS El servicio DNS permite la resolución de nombres de host o de FQDN (Fully Qualified Domain Name) en direcciones IP. se efectúa una resolución DNS para poder traducir el nombre a su dirección IP. Se envía una consulta al servidor DNS para resolver el nombre File. que puede hospedar un servidor web o solamente proporcionar un nombre de dominio. se llaman servidores raíz. Permiten la redirección de las consultas a los servidores DNS de primer nivel (org. Base de datos distribuida DNS está construido sobre un sistema jerárquico.). Es posible para una empresa o particular añadir registros o subdominios para el nombre de dominio que ha reservado (por ejemplo. permite realizar la resolución incluso en caso de cambio de dirección. 1. Cada uno de los dominios es gestionado por un organismo (ESNIC. Introduciendo la dirección URL. forma una persona que desee acceder a un sitio web no tiene la necesidad de conocer la dirección IP del servidor. net.. se envía la dirección IP al cliente que ha realizado la solicitud. presente en los sistemas operativos cliente y servidor. en caso contrario se ponen en marcha otros mecanismos (peticiones recursivas o iterativas) que comentaremos más adelante. Cada nivel está compuesto por servidores DNS diferentes que tienen cada uno autoridad sobre su zona (el servidor raíz contiene solamente el nombre de los servidores de primer nivel. se representan por un punto... Situados debajo de los servidores raíz. efectúa las consultas y actualizaciones en la base de datos. El cliente DNS. Estos nombres de dominio se reservan en un proveedor de acceso. fr..fr que me permite transferir todo mi tráfico de correo electrónico a mi router. El uso de un nombre. a diferencia de una dirección IP.. mail. net. Ésta puede almacenarse en un archivo o en el directorio Active Directory.. en concreto a la dirección de mi IP pública). Los servidores en la parte superior de la jerarquía.Formacion. En el segundo nivel se encuentran los nombres de dominio que reservan las empresas o los particulares (nibonnet. Ejemplo Un usuario intenta acceder al servidor de archivos. Se utiliza una base de datos para almacenar los registros. Si el servidor cuenta con un registro. com..).. ediciones-eni). nibonnet.fr.nibonnet. por ejemplo). el equipo cliente envía a su servidor DNS una consulta para resolver el nombre www. 2.nibonnet. Con las consultas recursivas. Al no tener autoridad sobre la zona nibonnet. Éste puede.fr. Si la respuesta no se encuentra en su caché. La consulta al servidor DNS con autoridad sobre la zona nibonnet permite resolver el nombre www. el cliente puede resolver el nombre www. Consultas iterativas y recursivas Al intentar resolver un nombre. La consulta a este último permite conocer la dirección IP del servidor DNS con autoridad sobre la zona nibonnet. el servidor de la zona FR puede resolver el registro nibonnet. responder a su cliente. el servidor necesita un servidor externo para efectuar la resolución.fr. el servidor DNS del ISP efectúa una consulta iterativa y luego transmite la respuesta al servidor que ha realizado la petición. Envía la petición a su servidor DNS.fr. El servidor DNS interno responde a la consulta que recibió previamente de su cliente.fr. Con las consultas iterativas.nibonnet. Cada servidor DNS puede resolver solamente los registros de su zona. . Éste le redirige al servidor que tiene la autoridad sobre la zona FR. el servidor DNS puede utilizar dos tipos de consultas para intentar realizar la resolución de los nombres que no se encuentran en la base de datos. La petición se transmite al reenviador configurado por el administrador (el servidor DNS del ISP que posee una caché mayor. pero no podrá resolver el nombre de dominio shop. ahora. El servidor consulta al servidor raíz. El reenviador condicional permite efectuar esta modificación y redirigir las consultas al servidor correcto si la consulta (nombre de dominio) es válida. por ejemplo. se emplea el reenviador..Para todas las peticiones en las que el servidor carece de autoridad.. En ciertos casos (aprobación de bosque AD. es necesario que la solicitud de resolución que se va a reenviar a otro servidor DNS sea redirigida en función del nombre de dominio (para el dominio eni. .fr enviar la petición a.). el servidor SRVDNS1). las zonas integradas en Active Directory tienen la posibilidad de ser modificadas para el conjunto de los servidores. En el caso de que la zona no esté integrada en el directorio. es necesario configurar la transferencia de zona. Tomemos un ejemplo: el servidor AD1 cuenta con la autoridad en la zona Formacion. Una zona de rutas internas es una copia de una zona. Es imposible escribir en este tipo de zona. sin embargo esta última contiene solamente los registros necesarios para la identificación del servidor DNS que cuenta con autoridad sobre la zona que se ha añadido. Este tipo de zona aporta ciertas ventajas a la gestión del rol DNS: Actualización multimaestro: a diferencia de los servidores que hospedan zonas primarias y secundarias.local: el servidor SV1 tiene para él autoridad sobre la zona Formacion. La zona primaria posee permisos de lectura y escritura en el conjunto de los registros que contiene. Ejemplo: una vez que el servidor AD1 recibe una solicitud de resolución para el dominio nibonnet. La creación de una zona de rutas internas se realiza para poder resolver los registros de otro dominio. El servidor DNS gestiona la zona al igual que los diferentes registros que posee. Este tipo de zona puede integrarse en Active Directory o simplemente estar contenida en un archivo de texto.Zonas y servidores DNS Una zona DNS es una porción del nombre de dominio donde el responsable es el servidor DNS. la solicitud se redirige a los servidores DNS configurados en la zona de rutas internas. una zona secundaria y una zona de rutas internas. De esta forma se podrá efectuar la resolución. 1.local. Los diferentes tipos de zona Es posible crear tres tipos de zonas en un servidor DNS. Si se trata de un sitio remoto. es posible actualizar los registros sin . La zona secundaria es una simple copia de una zona primaria. Podemos decir que éste tiene autoridad sobre la zona.local y nibonnet. Una transferencia de zona es obligatoria. La integración de la zona en Active Directory requiere la instalación del rol DNS en un controlador de dominio. Solo se autoriza la lectura. Es imposible de integrar en Active Directory.local. una zona primaria. Actualización dinámica: la integración en Active Directory garantiza una mejor seguridad impidiendo una modificación fraudulenta de los registros. para ello es preciso ejecutar el siguiente comando: dnscmd <ServerName> /config /enableglobalnamessupport 1 A continuación es posible crear los diferentes registros. emplea NetBIOS sobre TCP/IP (NetBT). necesidad de contactar al servidor remoto. 2. es preciso habilitar la actualización de la zona GlobalNames. Se realiza una transferencia de zona con las zonas estándar. Están llamados a desaparecer en unos años. siendo la configuración de IP estática y administrada por WINS (fundamentalmente servidores. Estos últimos pueden resolverse mediante un servidor DNS. se debe utilizar una zona llamada GlobalNames. El despliegue de una zona GlobalNames se efectúa en varias etapas. Replicación de la zona DNS: la replicación de zona integrada en Active Directory afecta solamente al atributo modificado. La primera es la creación de la zona. Para esto. Éstos se refieren a los equipos. Se presenta más adelante en este capítulo un taller sobre esta funcionalidad. En ciertos casos puede ser necesario implantar un servidor WINS. WINS y NetBT no tienen en cuenta IPv6. solo si los equipos cliente cuentan con direcciones estáticas). mientras que las zonas integradas en Active Directory se replican con el controlador de dominio. Más antiguo que DNS. La zona GlobalNames La resolución de nombres puede afectar a los nombres DNS o a los nombres cortos (nombres NetBIOS). A continuación. Microsoft ha implementado con Windows Server 2008 una funcionalidad que permite la migración en el servidor DNS para la resolución de nombres cortos. . Esta zona contiene los registros estáticos que contienen los nombres. Es posible emplear dos tipos de replicación diferentes. La resolución de nombres de registros inscritos de forma dinámica no puede realizarse mediante esta funcionalidad. evidentemente. El comando dnsmgmt. el cual permite crear un script y automatizar la configuración DNS.exe. Una mala gestión puede impactar en los equipos y también en la productividad de los usuarios. Instalación del rol El rol del servidor DNS no se instala por defecto. 1. . tener un registro al día cuando el cliente cambia de dirección IP. de hecho. Es posible. Esta característica es muy importante.msc permite a su vez abrir esta consola. La operación de actualización se efectúa en varios momentos: Cuando el cliente y el servicio DHCP están arrancados. es preciso agregarlo manualmente. La consola que se agrega tras la instalación en las herramientas de administración o la consola Administrador del servidor permiten administrar este servicio. Al promover un servidor miembro a controlador de dominio. es posible efectuar también la instalación del rol DNS. elAsistente para agregar roles y características presente en la consola Administrador del servidordebe ser utilizado. Permite. se añade el comando DOS dnscmd. Adicionalmente. Para ello. La actualización dinámica La actualización dinámica consiste en una actualización del servidor DNS en tiempo real.Instalación y administración del servidor El servicio DNS es un rol muy importante en un dominio Active Directory. 2. utilizar comandos PowerShell como complemento o en substitución de la consola y el comando DOS. El equipo es accesible con su nombre al igual que con el alias. El cliente envía al servidor una actualización dinámica segura que tramita la solicitud. una dirección IP o simplemente a un equipo encontrar un controlador de dominio. El servidor responde a los clientes e informa si cuenta con la posibilidad de efectuar la operación. se rechaza la modificación. Si la zona no permite las actualizaciones seguras. es lo contrario a un registro de . en particular para el equilibrio de carga. La siguiente lista presenta los registros más corrientes: Registros A y AAAA (Address Record): permiten hacer corresponder un nombre de equipo y una dirección IPv4. 3. La zona hospedada en el servidor debe ser de tipo primaria. Durante la ejecución del comando ipconfig /registerdns. NS (Name Server): define los servidores de nombres del dominio. CNAME (Canonical Name): se crea un alias para el nombre de otro equipo. El registro AAAA permite la resolución de un nombre de equipo en una dirección IPv6. Estos registros permiten resolver un nombre de equipo. PTR (Pointer Record): asocia una dirección IP a un nombre. SRV: permite definir un servidor específico para una aplicación. El cliente envía una primera actualización dinámica no segura. Durante la modificación de la dirección IP. Los diferentes registros Es posible crear varios tipos de registros en el servidor DNS. MX (Mail Exchange): define los servidores de correo para el dominio. Identificación del servidor de nombres y envío de la actualización. El proceso de actualización consta de varias etapas a efectuar. un servidor de nombres o un servidor de correo electrónico. SOA (Start Of Authority): el registro proporciona información general de la zona (servidor principal. La zona de búsqueda inversa contiene este tipo de registro. . correo de contacto. tiempo de expiración…).tipo A. bastará con introducir el nombre deseado después del comando nslookup. Para evaluar la resolución de un nombre de equipo por un servidor DNS. es posible utilizar instrucciones por línea de comandos para realizar el mantenimiento del servidor. Posteriormente. es posible interrogar al servidor. 1. El comando nslookup nslookup es un comando que permite la búsqueda de registros en el servicio DNS. Introduciendo un nombre de dominio. . Ejecutado sin argumentos. se efectúa la resolución y se proporciona un nombre.Soporte del servidor DNS Además de los diferentes directorios incluidos en Windows Server 2012 R2. la consola DOS muestra el nombre y la dirección IP del servidor de nombres primario. que se encuentran en un servidor DNS público. o para los registros de tipo privado. . Se crea un informe en formato HTML para poder ver los resultados. ubicados en una red local. El comando dnslint El comando dnslint es un comando externo. Set type=mx. Es preciso utilizar la opción /ql.com/kb/321045/es Esta herramienta presenta tres funciones que permiten la verificación de los registros DNS (Domain Name System). Diagnósticos de problemas como errores de delegación. Pueden usarse otros registros: Set type=ns: información acerca de los servidores de nombres de dominio. 2. Este comando puede usarse para los registros de tipo público.microsoft. Es posible descargar el archivo accediendo al sitio webhttp://support. La opción set permite indicar el tipo de registro que debe enviar el servidor. Debe emplearse la opción /d para efectuar esta operación. Set type=a: el comando resuelve el nombre y muestra la dirección IP. Set type=soa: se muestra toda la información contenida en el registro SOA (Start Of Authority). Verificación de registros DNS definidos por un usuario en un servidor DNS. antes de poder ejecutarlo se debe descargar el archivo. esta opción devuelve información acerca del servidor de correo electrónico. Al utilizar la opción /ad. Verificación de registros usados para la replicación de Active Directory. No es posible emplear un nombre de equipo. debe emplearse una dirección IP. /ad y /ql no pueden utilizarse conjuntamente.imap]] [/no_open] [/r nombre_informe][/t] [/test_tcp] [/s direccion_IP_DNS] [/v] [/y] Las opciones /d.. Sintaxis del comando ipconfig [/all] [/renew [Tarjeta]] [/release [Tarjeta]] [/flushdns] [/displaydns] [/registerdns] [/showclassid Tarjeta] [/setclassid Tarjeta [IDClasse]] .) empleando diferentes opciones. Se debe usar la opción/ad.pop. Es posible realizar otras acciones (renovación de la concesión.. El comando ipconfig ipconfig es un comando DOS que permite visualizar la configuración IP del adaptador de red. 3. Sintaxis del comando dnslint dnslint /d nombre_dominio | /ad [direccion_LDAP_IP] | /ql archivo_entrada [/c [smtp. Release: libera la concesión DHCP del adaptador de red. 4. ipconfig /registerdns: obliga al equipo a registrarse en su servidor DNS. cada una con una función especifíca. Empleando esta herramienta pueden automatizarse tareas de administración del servicio DNS. Varias opciones pueden acompañar al comando. Displaydns: muestra el contenido de la caché DNS. Flushdns: elimina la caché DNS contenida en el puesto. El comando dnscmd La herramienta por línea de comandos dnscmd es muy útil para trabajar con scripts. Este comando permite de igual manera la instalación desatendida y la configuración de nuevos servidores. Renew: renueva la concesión DHCP. All: muestra la configuración IP completa (servidores DNS. fecha de inicio de la concesión. Sintaxis del comando DnsCmd <NombreServidor><comando>[<parámetros de comando>] . fecha de finalización de la concesión…). DnsCmd /config: reinicializa la configuración realizada en el servidor o la zona. Es posible utilizar los siguientes comandos: DscCmd /clearcache: permite eliminar la caché en el DNS.El parámetro <NombreServidor> permite especificar el nombre del servidor destinatario de la acción. DnsCmd /createdirectorypartition: permite efectuar la operación de creación de un directorio de aplicaciones DNS. DnsCmd /enumdirectorypartitions: enumera las particiones del directorio de aplicación DNS en un servidor. . Se inicia un asistente. la creación de un host y de un redirector. En SV2. Modifique la configuración IP de la máquina para que tenga su dirección IP en el campo Servidor DNS preferido. haga clic en Siguiente. Configuración de un redirector condicional Objetivo: creación de un redirector con el objeto de redirigir las consultas del dominio Formintra. Inicie la consola Administrador del servidor y haga clic en el vínculo Agregar roles y características. SV2 y CL8-01. abra una sesión como administrador del dominio. Máquinas virtuales utilizadas: AD1. Haga clic en Aceptar. Haga clic en Cambiar configuración del adaptador. 1. Inicie la consola Centro de conexiones de red y recursos compartidos. así como la creación de una zona GlobalNames. Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4).Talleres Los talleres permiten la instalación de un servidor DNS. . Haga clic con el botón derecho en el adaptador de red y luego seleccione la opción Propiedadesen el menú contextual.msftal dominio SV2. . por último haga clic en Siguiente. en el campo Nombre de dominio raíz introduzcaFormintra. haga clic enSiguiente dejando el valor predeterminado.En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino. Cierre la ventana al terminar la operación. Marque el rol Servicios de dominio Active Directory y luego haga clic en Agregar características.msft y. En el Administrador del servidor. Seleccione la opción Agregar un nuevo bosque. haga clic en el icono de notificaciones y luego en el enlacePromover este servidor a controlador de dominio. Haga clic tres veces en Siguiente y luego en Instalar. .Introduzca la contraseña de modo de restauración de servicios de directorio (DSRM) deseada y luego confírmela. msft.msft y luego en el menú contextual seleccione Host nuevo (A o AAAA). Despliegue Zonas de búsqueda directa y luego Formintra. .1. inicie la consola DNS desde la interfaz Windows. Valide el nombre NetBIOS y luego haga clic en Siguiente. Al terminar la instalación. Haga clic dos veces en Siguiente y luego en Instalar.12 en Dirección IP. En SV2.Haga clic en Siguiente en la ventana Opciones de DNS. Introduzca www en el campo Nombre y luego 192. Haga clic con el botón derecho en el nodo Formintra. el servidor reinicia.168. en el menú contextual. Haga clic con el botón derecho en el nodo Reenviadores condicionales y. inicie la consola DNS desde la interfaz Windows. Introduzca Formintra.Haga clic en Agregar host.msft en el campo Dominio DNS y. Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como sigue y haga clic en Aceptar..12 en el campo IP (pulse [Intro] para validar). En AD1.168. . a continuación. 192.. a continuación. seleccione Nuevo reenviador condicional.1. El reenviador se encuentra en el servidor AD1. elimine los registros de SV2 presentes en el servidor DNS. Si lo necesita. Abra un símbolo del sistema en el equipo CL8-01. . msft utilizando el comando ping www.msft. introduzca ipconfig /flushdns en el símbolo del sistema DOS.msft y valide pulsando la tecla [Intro]. Se obtiene una respuesta y se realiza la resolución. . Haga clic en Sí para eliminarlo. Haga clic con el botón derecho en el servidor AD1 y seleccione Borrar caché en el menú contextual. En CL8-01. de Active Directory. también. elimine el reenviador creado anteriormente. En AD1. Introduzca ping www.formintra.formintra.formintra. Verifique la conectividad de www. . abra la consola DNS. Máquinas virtuales utilizadas: AD1 y CL8-01. Despliegue AD1 y luego Zonas de búsqueda directa.Esta vez la resolución no es posible. La zona creada es una zona principal integrada en Active Directory. Deje el valor predeterminado en la ventana Tipo de zona. En AD1. 2. Haga clic con el botón derecho en la carpeta Zonas de búsqueda directa y seleccione Zona nueva. Creación de una zona GlobalNames Objetivo: utilización de la zona GlobalNames con el fin de resolver con DNS los nombres cortos. El nombre SQL debe estar asociado a AD1 y éste debe responder con su información cuando se utiliza el nombre corto. Introduzca GlobalNames en el campo Nombre de zona. .Seleccione el botón de opción Para todos los servidores DNS que se ejecutan en controladores de dominio en este bosque: Formacion.local y luego haga clic en Siguiente. . La zona GlobalNames se encuentra ahora presente en la consola DNS. Seleccione el botón correspondiente a la opción No admitir actualizaciones dinámicas.Los registros los crea el administrador. no es necesaria actualización dinámica alguna. Introduzca el comando dnscmd AD1 /config /enableglobalnamessupport 1. Haga clic con el botón derecho en la zona GlobalNames y luego en Alias nuevo (CNAME). Introduzca SQL en el campo Nombre de alias y luego introduzca ad1. Abra un símbolo del sistema DOS. La zona GlobalNames no estará disponible para la resolución de nombres mientras que la actualización no esté activada de forma explícita con el comando anterior en cada servidor DNS del bosque.Ahora debemos activar la actualización de la zona GlobalNames. .local en el campo Nombre de dominio completo.formacion. local responde. En el equipo CL8-01. la resolución ha funcionado. El servidor ad1.formacion. inicie un símbolo del sistema DOS y luego introduzca ping SQL. . Haga clic en Aceptar para proceder a la creación. Validación de conocimientos: preguntas/respuestas 1. Resultados Para cada respuesta acertada. 1 ¿Dónde puede almacenarse la base de datos del servicio DNS? 2 ¿Cuál es la utilidad del cliente DNS? 3 ¿Por qué hablamos de una base de datos distribuida? 4 ¿Qué es una consulta iterativa? 5 ¿Qué tipo de zona se puede crear en un servidor DNS? 6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria? 7 ¿Qué es una zona de rutas internas? 8 ¿Cuál es la utilidad de la zona GlobalNames? 9 ¿Qué es la actualización dinámica? 10 ¿Cuál es la utilidad de los registros SRV y CNAME? 11 ¿Qué permite hacer el comando nslookup? 12 ¿Para qué sirve el comando dnslint? 2. cada servidor hospeda una zona y solo tiene autoridad sobre su zona. En la jerarquía encontramos varios niveles (raíz. secundarias o zonas de rutas internas. Respuestas 1 ¿Dónde puede almacenarse la base de datos del servicio DNS? La base de datos del servicio DNS puede estar almacenada en dos entornos: en un archivo o en el directorio Active Directory (solamente para las zonas integradas en AD). cada uno tiene su función específica. es necesario un mínimo de 10 puntos para aprobar el capítulo..). El objetivo del servidor es responder a la consulta que ha recibido.. contabilice un punto. Su segunda función es la actualización de los registros (si está activada la actualización dinámica). envía una consulta a los servidores DNS de diferentes niveles (raíz. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 2 ¿Cuál es la utilidad del cliente DNS? El cliente DNS tiene como función el envío de las consultas al servidor DNS para pedir la resolución de un nombre.). dominio de primer nivel. 5 ¿Qué tipo de zona se puede crear en un servidor DNS? Se pueden crear tres tipos de zona en un servidor DNS. 4 ¿Qué es una consulta iterativa? Cuando un servidor efectúa una consulta iterativa. dominio de primer nivel. 3 ¿Por qué hablamos de una base de datos distribuida? El sistema DNS utiliza una base de datos distribuida. Podemos crear zonas primarias. 3. 6 ¿Cuáles son las principales diferencias entre una zona primaria y una secundaria? Una zona primaria es de tipo lectura/escritura. Si el rol servidor DNS se encuentra instalado en un ... . . www. Permite diagnosticar problemas tales como errores de delegación y también crear registros como los definidos por el usuario o los necesarios para la replicación Active Directory. 7 ¿Qué es una zona de rutas internas? Una zona de rutas internas es una copia de una zona.. 9 ¿Qué es la actualización dinámica? La actualización dinámica permite garantizar que un equipo que ha cambiado de dirección IP (nueva concesión. Integrando la zona en Active Directory. se asegura la actualización dinámica. Un registro de tipo CNAME permite la creación de un alias en el nombre de otro equipo. 11 ¿Qué permite hacer el comando nslookup? El comando nslookup permite verificar la resolución de un servidor DNS o interrogar directamente al servidor. 10 ¿Cuál es la utilidad de los registros SRV y CNAME? Un registro SRV permite definir un servidor específico para una aplicación. especialmente para el balanceo de carga. 12 ¿Para qué sirve el comando dnslint? El comando dnslint es un comando externo.) pueda modificar el registro sin intervención del administrador. controlador de dominio es posible integrarlas en Active Directory. Las zonas secundarias son de solo lectura y no pueden ser integradas en AD. El equipo es accesible con su nombre y el alias.. donde solo existen los registros que permiten la identificación de los servidores DNS. .. 8 ¿Cuál es la utilidad de la zona GlobalNames? Un servidor DNS no puede resolver un nombre corto del tipo SQL. La zona GlobalNames permite crear registros estáticos del tipo CNAME para que el servidor pueda resolver los nombres. Este comando permite verificar el uso del protocolo DNS pero no del protocolo NetBIOS. Conocimiento de los diferentes tipos de discos (básicos y dinámicos). Requisitos previos Poseer conocimientos sobre la gestión de discos (particionado.Requisitos previos y objetivos 1. sistemas de archivos. . Gestión de los formatos de partición y sistema de archivos.). NAS y SAN. Implementación de un espacio de almacenamiento. Objetivos Vista de las diferencias entre DAS. 2... Introducción La cantidad de almacenamiento necesaria es un aspecto que no se debe obviar. Por lo tanto. es necesario gestionar el espacio de almacenamiento cuidadosamente. . Las diferentes aplicaciones tienen una necesidad creciente de espacio de almacenamiento. 2. posee las novedades de SATA 3 con un caudal de datos equivalente. A partir de 2003. la transmisión en serie de datos y SCSI. Permite a una interfaz IDE (Integrated Drive Electronics) soportar las normasAdvanced Technology Attachment 2 (ATA-2) y Advanced Technology Attachment Packet Interface(ATAPI).) que será desplegada. SATA 2 con una velocidad de transmisión de 3 GB por segundo. a diferencia de los discos SATA que necesitan un puerto por cada disco. Los discos SAS pueden encadenarse. las transferencias no pueden superar los 5 MB por segundo.0.. sin embargo el coste es mayor que el de un disco tradicional. Presentada en 2003. Presentada en su versión 2. sin embargo tiene un coste más elevado. Puede ser necesaria la tolerancia a fallos y el número de discos a emplear variará en función de la solución escogida. esta interfaz permite una ejecución de transacciones a alta velocidad. SSD (Solid State Drive): este tipo de disco emplea memoria flash para el almacenamiento de los datos. el controlador SAS puede enviar dos comandos simultáneamente. DAS consiste en la conexión directa al servidor de una solución de almacenamiento. 1. La tecnología SATA tiene por objetivo reemplazar al estándar ATA. SCSI ha sido creada para la utilización de cables de tipo paralelo. se han utilizado otros soportes con esta norma.ATA: Esta tecnología se basa en las normas creadas en 1986. a diferencia de los discos clásicos que emplean un soporte magnético. SATA (Serial Advanced Technology Attachment): interfaz de bus que permite la conexión de discos duros o unidades ópticas a la placa base. Introducida en 1978. SAS (Serial Attached SCSI): SAS se diseñó para paliar los problemas de fiabilidad o de transmisión que podían traer otros formatos. Esta solución incluye los discos internos de un servidor o un disco duro externo conectado mediante USB.5 GB por segundo. Este tipo de discos utilizan dos técnicas. A diferencia de la norma SATA que solo puede procesar un comando a la vez. es necesario evaluar la solución de almacenamiento (discos locales. Con el uso de cables paralelos. SCSI (Small Computer System Interface): conjunto de normas empleadas para realizar la conexión física y la transferencia de datos entre ordenadores y periféricos. Ultra 640 SCSI (o Ultra 5) permite velocidades de transferencia de 640 MB por segundo. la norma lleva tres revisiones: SATA 1 con una velocidad de transmisión de 1.. Este tipo de disco ofrece un rendimiento mayor que un disco SATA. apareció una nueva versión de SAS. Estandarizada en 1986. . posteriormente. Este tipo de disco emplea generalmente una interfaz SATA. Cada uno posee un rendimiento diferente y proporciona una capacidad de almacenamiento a los servidores o puestos de trabajo. cabina de almacenamiento. y finalmente SATA 3 con una velocidad de 6 GB por segundo. DAS (Direct Attached Storage) yNAS (Network Attached Storage). SCSI efectúa la división del ancho de banda empleando 2. Este tipo de disco tiene un menor coste que otras tecnologías aunque posee igualmente un rendimiento menor. Los diferentes discos y su rendimiento Existen varios tipos de discos. Diferencia entre DAS y NAS El espacio de almacenamiento presenta dos soluciones diferentes. Durante la normalización de SATA 6 GB/s. Cada disco utiliza un caudal de 3 GB/s para cada periférico.El sistema de almacenamiento Durante la implantación de un servidor en un sistema de información. Es posible seleccionar este tipo de tecnología si se requiere gran cantidad de espacio en disco sin muchas restricciones de rendimiento. EIDE (Enhanced Integrated Drive Electronics) . Los accesos a disco son netamente superiores con un menor consumo de energía.56 GB/s para el conjunto de los periféricos del controlador. Esta solución es frecuentemente un "appliance" sin interfaz para teclado. No es aconsejable almacenar aquí archivos de aplicaciones tales como SQL Server o Microsoft Exchange. En caso de parada del servidor (mantenimiento. El mantenimiento y el despliegue de esta solución es muy sencillo. todos los usuarios pueden acceder a los diferentes recursos compartidos del equipo ya que cuenta con una configuración IP. Es frecuente tener un equipo de tipo "appliance". Inconvenientes de DAS Esta solución no permite centralizar los datos. Las SAN pueden utilizar fibra óptica o iSCSI. repetidor. es preciso utilizar el nombre de la NAS (o su dirección IP) en lugar del nombre de servidor. los archivos y carpetas contenidos no estarán accesibles. Ventajas de NAS Como hemos visto. Inconvenientes de NAS Una NAS es una tecnología mucho más lenta que una SAN (tratamos este tema en el punto siguiente). que se encuentran repartidos entre varios servidores. NAS es un espacio de almacenamiento accesible desde la red. esta última es muy costosa y necesita una arquitectura un poco más pesada. presentando cada uno sus ventajas e inconvenientes (velocidad. Adicionalmente. En caso de implementar un recurso compartido de red. Una mejor opción consiste en implementar una solución SAN (Storage Area Network). No puede existir ningún equipo de red de tipo hub. sin embargo el equipo debe contar con una configuración IP. el rendimiento del servidor (velocidad del procesador. memoria) impacta en el acceso al DAS.. De esta forma.. Ventajas de DAS Un sistema DAS es una solución que contiene varios discos conectados a un servidor u otro equipo por medio de un adaptador de bus host (HBA). De esta forma cada servidor ve el espacio en disco de la cabina que le ha sido asignado como su propio disco. reinicio. monitor. la copia de seguridad y el acceso a los diferentes recursos es también difícil de gestionar. SAS o SSD pueden utilizarse con esta solución. conmutador o enrutador entre el DAS y el servidor. rendimiento. que permite evitar cualquier problema de rendimiento vinculado al servidor. A diferencia de DAS. etc.. La administración y la configuración se realizan mediante la consola Administración de discos. Este último tipo de interfaz permite la transmisión de .). Sin embargo. Al estar los recursos almacenados en un punto central. es preciso realizar distintas operaciones para implementar la LUN (Logical Unit Number).). Para evitar el acceso a los mismos recursos por parte de un servidor que ejecuta Windows y otro que ejecuta Linux. esta solución no necesita la conexión directa al servidor y proporciona acceso a un conjunto de servidores. al que accedemos mediante la red. existen discos disponibles de diferentes velocidades y tamaños.. la solución NAS ofrece la ventaja de proporcionar acceso a varios clientes con un acceso directo desde la red. Tratándose de una solución más económica. Los discos de tipo SATA. Esto permite una mejor adaptación a las diferentes soluciones que pueden implementarse. la administración y la copia de seguridad son muy sencillas de realizar. Además. Información general de una SAN Es más frecuente encontrar en las empresas espacios de almacenamiento de tipo SAN (Storage Area Network). parada por fallo. A diferencia de NAS. la solución es independiente de la versión del sistema operativo. basta con conectar el periférico y verificar que el sistema operativo lo reconoce. Estas operaciones configuran diversos números que permiten identificar el espacio de almacenamiento asignado a un servidor. 3. estando el equipo reservado exclusivamente a la presentación de los archivos y carpetas. dado que se accede mediante un enlace Ethernet. Adicionalmente a la administración. Esta solución está basada en red. la SAN ofrece acceso directo a la cabina. La configuración se efectúa a través de la red. El RAID puede ser de tipo hardware instalando una controladora RAID en el servidor y configurándola mediante diferentes herramientas. En caso de error. Éste solo puede efectuar la creación de volúmenes. Es posible agregar un disco o una cabina de forma muy sencilla en comparación con una solución de almacenamiento de tipo DAS. Cada uno tiene ventajas e inconvenientes. dado que estas operaciones necesitan competencias técnicas que es preferible adquirir antes de implantar la solución. esta operación la realiza el servidor o la controladora RAID. 4. el mismo bit se escribe en el disco espejo. Disco en espejo: se emplean dos discos. Los rendimientos en lectura y escritura son más elevados en este tipo de almacenamiento. Es necesario tener conocimientos sobre la configuración de las LUN. El concepto se basa en la utilización de varios discos en una única unidad lógica. Esta configuración no está disponible para el sistema operativo. El RAID por software es un poco diferente porque la configuración RAID se realiza esta vez en el sistema operativo. esta tecnología está muy extendida en las empresas porque garantiza (en función del nivel RAID seleccionado) una tolerancia a errores y reduce el tiempo de indisponibilidad de los servidores (generalmente contamos con una redundancia a nivel de alimentación. así como todo un conjunto de diversos factores. discos y tarjeta de red). La administración se efectúa frecuentemente por línea de comandos. los datos están todavía disponibles mediante el segundo disco. la información de paridad se asocia a los datos que siguen disponibles en los otros discos para recuperar la información faltante. Niveles de RAID Hay disponibles varios niveles de RAID. esta solución es muy costosa. disco duro). Inconvenientes de SAN La configuración. A diferencia de DAS y de NAS que pueden desplegarse sin poseer un presupuesto considerable. comandos SCSI a través del protocolo IP. Se emplea la consola Administración de discos para la gestión de los diferentes niveles de RAID. En caso de fallo de un disco. Información de paridad: empleado en caso de fallo de un disco. La centralización del almacenamiento permite una mejor gestión y administración de los recursos albergados. Los n discos presentes en el RAID trabajan en paralelo. Utilización de la tecnología RAID La tecnología RAID puede emplearse para proporcionar a una empresa una solución de alta disponibilidad o de alto rendimiento. En la actualidad. Variará en función del nivel RAID seleccionado. administración y mantenimiento de una solución SAN pueden presentar un inconveniente en ciertos casos. lo que permite una mejora en el acceso de lectura . permite una mejora neta del rendimiento a nivel del acceso a los discos. y por ende la cantidad total de almacenamiento. RAID 0 RAID 0 o "stripping". Funcionamiento de RAID Se emplean dos opciones para aumentar la tolerancia a errores. la información de paridad permite recuperar los datos que se encuentran en el disco fuera de servicio. al escribir un bit en un disco. adicionalmente es posible configurar una redundancia a nivel de ciertos componentes (alimentación. Ventajas de SAN Una de las ventajas de SAN es la posibilidad de cambiar el número de discos. La información de paridad se calcula para cada dato escrito en el disco. el número de discos utilizados o la posibilidad de tener un fallo de disco. se garantizan nuevamente la redundancia y la alta disponibilidad. Es muy aconsejable utilizar discos de igual tamaño. los datos se pierden. Ejemplo Si mi RAID 0 se compone de dos discos.y de escritura. Este tipo de RAID ofrece una buena protección de datos. Al reemplazarlo. En efecto. Al igual que para RAID 0. Si uno de los discos falla. se emplean varios discos. la operación se realiza en el conjunto de discos del clúster. un inconveniente en el tamaño de los discos. Esta solución garantiza la reconstrucción del RAID combinando los bits de paridad y los datos. Durante la escritura de datos en el volumen. cada uno posee en el momento t los mismos datos. Sin embargo. La capacidad del volumen es de 2 TB (tamaño del disco más pequeño * número de discos = 1 TB * 2 o sea 2 TB). De esta forma los datos no se escriben nunca de la misma forma en los diferentes discos. la controladora RAID lo desactiva sin que el usuario se percate. La capacidad del volumen es igual al menor de los discos presentes en el clúster. el primero tiene una capacidad de 1 TB y el segundo de 2 TB. No se ofrece ninguna tolerancia a fallos en este tipo de RAID. Hablamos de espejo o "mirroring" en inglés. . RAID 5 RAID 5 es una solución que fusiona el stripping (RAID 0) con un mecanismo de paridad. Esta configuración posee. RAID 1 Al igual que para RAID 0. en caso de pérdida de más de un disco los datos no podrán ser recuperados. En caso de fallo de uno de los discos. se pierde el conjunto de los datos. Esto permite tener en cada disco la información de paridad y los datos. sin embargo. la capacidad del volumen se corresponde con el tamaño del disco más pequeño multiplicado por el número de los discos que componen el clúster. Si los dos discos se alteran. es aconsejable emplear discos de igual tamaño. Una vez terminada la operación. Esto se explica por el hecho de que en las bandas del sistema de agregación (RAID 0) no se escriben datos cuando el disco más pequeño está lleno. sin embargo el cálculo de la paridad implica tiempos de escritura mucho más largos. la controladora reconstruye el espejo. Esta solución RAID aporta un buen acceso de lectura. No existe ningún límite (salvo el espacio en disco) en el número de volúmenes simples por disco. La noción de volumen hizo así su aparición con este tipo de discos. en el otro. ya no hablamos de particiones sino de volúmenes dinámicos. Con un mínimo de tres discos. Un disco básico contiene particiones principales o particiones extendidas. 2. Se soportan un máximo de 128 particiones por disco en GPT. el volumen seccionado emplea varios discos (como mínimo dos). los ordenadores y servidores utilizan particiones de tipo MBR (Master Boot Record) en sus discos duros. Por último. la gestión de discos y volúmenes es un punto esencial. El paso de disco dinámico a disco básico sí causa. utilizan tablas de particiones de tipo MBR o GPT. utilizados en todas las versiones del sistema operativo Windows. la pérdida del conjunto de datos contenidos en el disco. Los discos básicos. sin tener impacto sobre los datos presentes. Están disponibles varios tipos de volumen. adicionalmente. Al igual que para el volumen distribuido. Los diferentes tipos de discos Windows Server 2012 R2 permite el uso de dos discos diferentes (los discos básicos y los discosdinámicos). Al instalar un disco. El volumen distribuido se crea utilizando el espacio en disco libre en varios discos.Gestión de discos y volúmenes Desde las primeras versiones de los sistemas operativos servidor. Este tipo de tabla de particiones posee ciertas características. algunas aplicaciones no pueden tratar los datos incluidos. Estas últimas estarán divididas en unidades lógicas. es posible realizar la operación para configurar un disco dinámico. Sin embargo. encontramos el volumen RAID 5. los volúmenes pueden formatearse con el sistema de archivos deseado y se les puede asignar una letra de unidad. Un disco no puede tener más de 4 particiones y cada una puede tener un tamaño máximo de 2 TB. éste opta por una solución basada en bit de paridad. esta solución no ofrece tolerancia a errores. Tablas de partición MBR y GPT Desde 1980. que ofrece tolerancia a fallos. Se trata de unidades de almacenamiento que se extienden sobre uno o más discos. En efecto. los datos escritos en uno se replican. Es recomendable emplear una tabla de particiones de tipo GPT (GUID Partition Table) para los discos de tamaño&ensp. pero al contrario que RAID 1 que emplea un sistema de espejo. Los volúmenes reflejados. a diferencia de las particiones principales que están limitadas a 4 por disco. la opción por defecto es el disco básico. Conocido bajo el nombre de RAID 0 o stripping. automáticamente. Este volumen puede extenderse a un máximo de 32 discos. Empleando dos discos. Introducida con Windows Server 2003 y Windows XP de 64 bits. losvolúmenes simples utilizan un solo disco y poseen las mismas características que una partición principal. Esta solución permite la pérdida de un disco. permiten implementar un volumen con tolerancia a errores. El tamaño de una partición alcanza los 8 zetabytes (10 21 ). No puede ponerse en espejo. Estos no aportan rendimientos superiores. sin embargo es preferible de cambiar rápidamente el disco que ha fallado. Al igual que para los discos básicos. el bit de paridad se reparte entre el conjunto de discos. más conocidos como RAID 1. Los datos se escriben de forma alternativa en los diferentes discos que componen el volumen. Los discos dinámicos se implementaron por primera vez con Windows Server 2000.superior. no se proporciona ninguna tolerancia a errores. el sistema se . 1. la tabla de particiones de formato GPT permite rebasar los límites impuestos por el formato MBR. por su parte. sin embargo es necesario que la BIOS soporte GPT para poder realizar un arranque desde este tipo de partición. La pérdida de un disco no impacta en ningún caso a la producción. se realiza una división en clúster (grupo de sectores). Es preciso utilizar este tipo de sistema para rebasar los límites impuestos por NTFS. Esta novedad hereda funcionalidades presentes en el sistema NTFS tales como la encriptación BitLocker o la implementación de la seguridad mediante el despliegue de ACL. No obstante. FAT FAT (File Allocation Table) es el más rudimentario de los tres sistemas que se pueden usar con Windows Server 2012 R2. con ReFS cada clúster tiene un tamaño de 64 KB. Si el disco se formatea con este sistema. Se puede realizar conversión de una partición FAT a una de tipo NTFS sin pérdida de datos empleando el comando convert. El tamaño de las particiones formateadas con este tipo de sistema de archivos no pueden exceder los 16 Exabytes (tamaño teórico). Sistemas de archivo FAT. además. El sistema EFS (Encrypted File System) no es compatible con ReFS. Extender o reducir una partición en Windows Server 2012 R2 En las versiones anteriores a Windows Server 2008 para los servidores o Windows Vista para los clientes. la opción que permite extender los datos solo puede utilizarse si existe un espacio no asignado a continuación de la partición sobre la que se realiza la acción. solo es posible redimensionar las particiones NTFS. En caso de utilizar un volumen dinámico. mejora el sistema NTFS permitiendo un mayor tamaño de archivo. reconstruye asociando los datos y la información de paridad presente en los discos en funcionamiento. no es posible utilizar este tipo de volumen para una partición del sistema. este tipo de particiones admiten un tamaño máximo de 2 TB. NTFS NTFS (New Technology File System) puede utilizarse a partir de Windows NT4. NTFS y ReFS En Windows Server 2012 pueden usarse varios sistemas de archivos. que consiste en proporcionar autorizaciones de acceso a los archivos. No es recomendable utilizar este tipo de sistema en las particiones internas de un servidor que ejecute Windows Server 2012 R2.0. Al formatear un disco con un sistema de archivos FAT. 4. En adelante. así como la protección contra la corrupción. Esto permite garantizar la compatibilidad hacia atrás con el sistema NTFS. La versión original de FAT no permitía tener particiones de más de 2 GB. NTFS o ReFS (Resilient File System). No se implementa seguridad alguna a nivel de archivos. es posible extender el volumen con espacio no asignado de otro disco (volumen agregado). la consola Administración de discos permite realizar estas operaciones. Recuerde que los volúmenes agregados no aplican la tolerancia a fallos. a causa de la limitación en el tamaño de la tabla de asignación de archivos. Las particiones formateadas en FAT no pueden ser ni extendidas ni reducidas. . A diferencia de NTFS que permite la modificación del tamaño de los clústers. Este sistema proporciona características muy útiles que el sistema FAT no tiene. es posible implementar la compresión de archivos y cuotas por volumen. se encuentran disponibles los sistemas FAT. ReFS Introducido con Windows Server 2012. 3. carpetas o cualquier recurso compartido permite obtener una mejor seguridad en un sistema de información. carpeta o partición. Esta funcionalidad. Implementa ACL (Access Control Lists) para los archivos y carpetas. mientras que los volúmenes ReFS solo pueden ser extendidos. no se reconocerá si se conecta a un sistema operativo anterior a Windows Server 2012. Finalmente. Se han mejorado la integridad de datos. Sin embargo. Se han mejorado a su vez la corrección de errores y la verificación de datos. Desarrollado por Microsoft. Los sistemas operativos que emplean este sistema cuentan a su vez con cifrado empleando el protocolo EFS. la reducción o ampliación de una partición debía efectuarse empleando software adicional. .sys.) no se desplazan.Un clúster defectuoso puede causar la imposibilidad de reducir la partición. adicionalmente. También es posible utilizar el cmdlet Resize-Partition. . Esto obligará al administrador a eliminar o desplazar estos archivos antes de realizar la operación.. aquellos archivos que no se pueden mover (pagefile. los discos que pueden usar una interfaz iSCSI. en caso de fallo los datos se pierden. Get-VirtualDisk Enumera los discos virtuales. SAS. Antes que nada. Éstos pueden ser de tipo SATA o SAS. La creación de estos discos duros virtuales requiere contar con volúmenes accesibles desde el sistema operativo. SATA. Los datos. Antes de poder agregar un disco físico a un grupo. La característica Espacio de almacenamiento Integrada en Windows Server 2012 R2. Finalmente. Get-VirtualDisk | Get. También es posible crear discos duros virtuales con alta disponibilidad.. Reset-PhysicalDisk Elimina un disco físico de un grupo de almacenamiento. así como los bits de paridad. Finalmente la Paridad es similar al RAID 5.Implementación de un espacio de almacenamiento La implementación de un espacio de almacenamiento puede ser costosa en función de la solución que haya que desplegar. Mucho más flexibles. agrupados en uno o más grupos de almacenamiento. Esta solución proporciona gran capacidad con una latencia de acceso relativamente baja. . Opciones de configuración de discos duros virtuales Si varios discos componen un grupo de almacenamiento.). necesitamos tener un disco para crear un grupo de almacenamiento. esta solución incluye tolerancia a fallos. En primer lugar. es posible crear discos duros virtuales (no confundir con los archivos VHD). Para gestionar el grupo de almacenamiento y los diferentes discos virtuales. 2. Necesitamos dos discos para implementar un disco virtual en espejo. es posible utilizar instrucciones PowerShell. El Espejo permite la redundancia de datos garantizando la duplicación de los datos en varios discos. esta funcionalidad proporciona redundancia y un almacenamiento común para los discos internos y externos. A partir de Windows Server 2012. 1. Get-StoragePool Enumera los grupos de almacenamiento. es posible crear discos virtuales redundantes. se reparten entre varios discos. Adicionalmente se garantiza una tolerancia a errores. debemos tener en cuenta el número de discos. A continuación. se proporciona una nueva funcionalidad para poder implementar este tipo de solución. Al igual que para el espejo. es necesario que el disco cumpla ciertos requisitos mínimos. No se despliega ninguna redundancia. ofrecen funcionalidades idénticas a las de un disco físico (resiliencia. Enumera los discos físicos que se utilizan para un PhysicalDisk disco virtual. La creación se realiza empleando la consola Administrador del servidor o mediante comandos PowerShell. USB.. Esta última solución requiere tres discos físicos.. Estos últimos pueden ser de diferentes tamaños y utilizar diferentes interfaces. Existen tres opciones: Un espacio simple permite obtener los mejores rendimientos mediante RAID 0. La solución necesita un grupo de almacenamiento que agrupe los diferentes discos físicos.. Repair-VirtualDisk Repara los discos virtuales. deben estar vacíos y sin formatear. en el botón Nuevo. Se agrega un nuevo disco duro a la máquina. . resulta imposible agregar un disco IDE. Deje el valor predeterminado en Elegir tipo de disco y luego haga clic en Siguiente. a continuación. En la consola de la máquina virtual SV1. En este caso. Se inicia un asistente.Talleres Los talleres permiten instalar y administrar un espacio de almacenamiento. En la ventana Configuración para SV1 en SRV-HYPERV. 1. haga clic en el menú Archivo y luego en Configuración. Abra una sesión como administrador en SV1. puede agregar discos duros de tipo SCSI. Implementar un sistema GPT Objetivo: añadir discos duros al servidor SV1 y desplegar un sistema GPT. Si la máquina virtual está arrancada. haga clic en Controladora SCSI y luego en Unidad de disco duro. SV1. Máquinas virtuales utilizadas: AD1. Haga clic en el botón Agregar y. haga clic en Siguiente en la página Antes de comenzar. .Introduzca DD2-SV1 en el campo Nombre de la ventana Especificar el nombre y la ubicación y haga clic en Siguiente. Haga clic en Finalizar para validar la creación del archivo vhdx. los demás parámetros son idénticos. El nombre del archivo vhdx debe modificarse. Haga clic en Aplicar y luego repita los pasos para crear dos discos duros adicionales.Introduzca 10 en el campo Tamaño y luego haga clic en Siguiente. . seleccione la opción GPT (Tabla de particiones GUID) y haga clic en Aceptar. En el nodo Almacenamiento. en el menú contextual. luego en la máquina virtual SV1. significa que no se ha hecho clic en el lugar adecuado. El número de disco puede variar en función del número de lectores incluidos en la máquina virtual. seleccione Administración de equipos. Si la opción En línea no aparece. Repita la operación. . Haga clic en Aceptar. Haga clic con el botón derecho en Disco 1 y luego seleccione la opción En línea. La operación debe hacerse en el texto encima del enlace Ayuda. haga clic en Administración de discos. Haga clic en Herramientas y luego. pero esta vez seleccione la opción Inicializar disco. abra la consola Administrador del servidor. Aparecen los tres discos pero no están inicializados. En la ventana Inicializar disco. En la ventana Asignar letra de unidad o ruta de acceso.Haga clic con el botón derecho en el espacio no asignado (barra negra) y luego en el menú contextual seleccione Nuevo volumen simple. haga clic en Siguiente. haga clic en Siguiente. introduzca 1000 y luego haga clic enSiguiente. Se inicia un asistente. . En el campo Tamaño del volumen simple en MB. Introduzca Volumen Simple en el campo Etiqueta del volumen y luego haga clic en Siguiente. Solo difieren el tamaño y el nombre de las particiones. La creación de un volumen con un sistema MBR y GPT es idéntica. 2. Reducción de una partición . Haga clic en Terminar para proceder a la creación del volumen. en MB al igual que el Espacio disponible para la reducción. En el nodo Almacenamiento. en MB. en el menú contextual. haga clic enReducir volumen. En el campo Tamaño del espacio que desea reducir.2. Haga clic con el botón derecho en la partición C: y luego. Reducción de una partición Objetivo: el objetivo de este taller es efectuar la reducción o la extensión de una partición del sistema. SV1. este último dato indica el tamaño máximo que es posible recuperar reduciendo la partición. Máquinas virtuales utilizadas: AD1. introduzca 200. haga clic en Administración de discos. abra la consola Administrador del servidor. en el menú contextual. Haga clic en Herramientas y luego. en MB. Después de unos minutos. aparece disponible un espacio sin asignar de 200 MB. Haga clic en el botón Reducir. En la máquina virtual SV1. seleccione Administración de equipos. La ventana indica el Tamaño total antes de la reducción. . haga clic en Administración de discos. En la página Bienvenida del asistente. deje el valor predeterminado y luego haga clic en Siguiente. seleccione Administración de equipos. En la máquina virtual SV1. Haga clic con el botón derecho en Disco 2 y luego seleccione la opción En línea. Haga clic en Terminar. . Haga clic con el botón derecho en la partición C: y luego. abra la consola Administrador del servidor. Haga clic en Herramientas y luego. Máquinas virtuales utilizadas: AD1. en el menú contextual. SV1. En el campo Seleccione la cantidad de espacio (MB). El disco 2 corresponde al primer disco desconectado. haga clic en Siguiente. Despliegue de diferentes volúmenes Objetivo: crear los diferentes volúmenes que se pueden crear desde la consola Administración de discos y luego simular un error desconectando un disco.Este espacio sin asignar no puede asignarse a la partición D porque está ubicado antes que ella. 3. Después de varios segundos la partición se extiende. La partición del sistema puede reducirse o extenderse mientras el sistema operativo está cargado. En el nodo Almacenamiento. en el menú contextual. haga clic enExtender volumen. Este campo indica al sistema operativo el valor que se agregará a la partición a extender. Efectúe el mismo procedimiento para conectar e inicializar el Disco 3. Marque la opción GPT (Tabla de particiones GUID) y luego haga clic en el botón Aceptar. haga clic en Disco 1 e introduzca 200 en el campo Seleccione la cantidad de espacio (MB). En la ventana Asistente para nuevo volumen distribuido. en el menú contextual. En el campo Seleccionados. . Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar. Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego.Haga de nuevo clic con el botón derecho y seleccione esta vez Inicializar disco. haga clic en Siguiente. haga clic en Nuevo volumen distribuido. Repita la misma operación con el Disco 3. Repita la misma operación con el Disco 3. . Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen introduzcaDistribuido en el campo Etiqueta del volumen.Haga clic en Disco 2 y asígnele un tamaño de 100 MB empleando el campo Seleccione la cantidad de espacio (MB). El volumen distribuido se ha creado correctamente. haga clic en Sí para que los discos se conviertan a discos dinámicos.Haga clic en Siguiente y luego en Finalizar. . En el mensaje de advertencia. haga clic en Nuevo volumen seccionado. En el campo Seleccionados. . haga clic en Disco 1 e introduzca 200 en el campo Seleccione la cantidad de espacio (MB). Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar. Repita la misma operación con el Disco 3. en el menú contextual. En la ventana Asistente para nuevo volumen seccionado. haga clic en Siguiente.Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego. . Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen. Haga clic en Siguiente y luego en Finalizar. introduzcaSeccionado en el campo Etiqueta del volumen. De hecho. no es posible tener tamaños diferentes para cada disco.El valor se aplica a los discos 2 y 3. haga clic en Nuevo volumen reflejado. Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego.Se realiza la creación del volumen. Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar. En el campo Seleccionados. . en el menú contextual. haga clic en Siguiente. En la ventana Asistente para nuevo volumen reflejado. haga clic en Disco 1 e introduzca 300 en el campo Seleccione la cantidad de espacio (MB). Haga clic con el botón derecho en el espacio sin asignar del Disco 1 y luego. haga clic en Disco 1 e introduzca 500 en el campo Seleccione la cantidad de espacio (MB). . En la ventana Asistente para nuevo volumen RAID-5. en el menú contextual. introduzcaReflejado en el campo Etiqueta del volumen. En el campo Seleccionados. Seleccione Disco 2 en la ventana Seleccionar discos y luego haga clic en el botón Agregar. Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen.El valor se aplica automáticamente al disco 2. Haga clic en Siguiente y luego en Finalizar. Repita la misma operación con el Disco 3. haga clic en Nuevo volumen RAID-5. haga clic en Siguiente. El valor se aplica automáticamente a los discos 2 y 3. introduzca RAID5en el campo Etiqueta del volumen. . Haga clic en Siguiente y luego en Finalizar. Haga clic dos veces en Siguiente y luego en la ventana Formatear volumen. haga clic con el botón derecho en Disco 2 y luego. en el menú contextual.txt que contenga el texto "test" en cada volumen.Cree un archivo llamado prueba. En la consola Administración de discos. . haga clic en Sin conexión. 4. pero esta vez seleccione la opción Reactivar disco. Los volúmenes vuelven a estar disponibles en la consola Equipo. Repita la operación. seleccione En línea.Los volúmenes que emplean sistemas sin tolerancia a errores (volumen distribuido y volumen seccionado) no están accesibles. Haga clic con el botón derecho en Disco 2 y luego. Implementar un espacio de almacenamiento redundante . en el menú contextual. elimine los volúmenes creados en el taller anterior. Implementar un espacio de almacenamiento redundante Objetivo: implementar un espacio de almacenamiento redundante en el servidor SV1. Se inicia un asistente. Introduzca GrupoServidor1 en el campo Nombre y luego haga clic en Siguiente. Inicie la consola Administrador del servidor y haga clic en el vínculo Servicios de archivos y almacenamiento. Seleccione la pestaña Grupos de almacenamiento y luego empleando el botón TAREAS. haga clic en Nuevo grupo de almacenamiento. haga clic en Siguiente. Máquinas virtuales utilizadas: AD1.4. SV1. . Empleando la consola Administración de discos. En la ventana Antes de comenzar. . marque los tres discos disponibles. Se pone en marcha la creación del grupo de almacenamiento. Haga clic en Siguiente y luego en Crear.En la ventana Seleccionar discos físicos para el grupo de almacenamiento. haga clic en Grupos de almacenamiento. Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el grupo de almacenamiento. Inicie la consola Administrador del servidor y luego haga clic en Servicios de archivos y almacenamiento. Por último. No se ha efectuado ningún cambio en Equipo. Seleccione el botón TAREAS en DISCOS VIRTUALES y luego haga clic en Nuevo disco virtual. .Haga clic en Cerrar al terminar la creación. Introduzca GrupoEspejo en el campo Nombre y luego haga clic en Siguiente. .Seleccione la opción Mirror en la ventana Seleccionar la distribución de almacenamiento y haga clic en Siguiente. Seleccione Fijo en la ventana Especificar el tipo de aprovisionamiento y haga clic en Siguiente. Haga clic en Siguiente en las ventanas Antes de comenzar y Seleccionar el servidor y el disco.En la ventana Especificar el tamaño del disco virtual. . Haga clic en Siguiente y luego en Crear. Se inicia el asistente de creación de un nuevo volumen. introduzca 2 en el campo para crear un disco virtual de 2 GB. Deje el tamaño por defecto y valide empleando el botón Siguiente. Haga clic en Crear para validar la creación del volumen. Introduzca VolumenVirtual en el campo Etiqueta del volumen y luego haga clic en Siguiente.Asigne la letra F al nuevo volumen y haga clic en Siguiente. . . La administración de volúmenes se realizará en adelante desde el grupo de almacenamiento (consolaAdministrador del servidor).Ya no aparecen los discos físicos de la máquina. 5 ¿Cuándo utilizar un RAID 0? RAID 0 o stripping permite obtener mejores rendimientos. El nivel técnico necesario para el mantenimiento diario de una SAN es un inconveniente. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. los datos se pierden. 3. contabilice un punto. 4 ¿Qué es iSCSI? 5 ¿Cuándo utilizar un RAID 0? 6 ¿Cuáles son las interfaces utilizadas para acceder a una SAN? 7 ¿Cuáles son las interfaces utilizadas para acceder a una NAS? 8 ¿Cuál es la diferencia entre RAID 1 y RAID 5? 9 ¿Por qué emplear una tabla de particiones GPT? 10 ¿Por qué utilizar un sistema de archivos ReFS? 11 ¿Desde qué consola es posible desplegar un espacio de almacenamiento? 2.Validación de conocimientos: preguntas/respuestas 1. SAS o SCSI. es necesario un mínimo de 9 puntos para aprobar el capítulo. 2 ¿Cuál es la diferencia entre una NAS y una DAS? Una DAS (Direct Attached Storage) es un disco conectado físicamente a un servidor a diferencia de una NAS (Network Attached Storage) a la que se accede mediante una interfaz IP. sin embargo no se garantiza la tolerancia a fallos. 4 ¿Qué es iSCSI? iSCSI es un protocolo que permite el envío de comandos SCSI a través del protocolo IP. En caso de fallo de un disco. Respuestas 1 ¿Qué tipos de disco se pueden instalar en un servidor? Se pueden instalar varios tipos de disco en un servidor: los discos SATA. Resultados Para cada respuesta acertada. 6 ¿Cuáles son las interfaces utilizadas para acceder a una SAN? Una SAN puede utilizar dos tipos de interfaces: fibra óptica o iSCSI. 8 ¿Cuál es la diferencia entre RAID 1 y RAID 5? . Accedemos a ella empleando su dirección IP. la centralización del almacenamiento o los rendimientos de lectura y escritura. 3 Cite una ventaja y un inconveniente de una SAN. Una SAN posee varias ventajas en cuanto a la escalabilidad de la cantidad de discos. 7 ¿Cuáles son las interfaces utilizadas para acceder a una NAS? Una NAS debe estar conectada a una red Ethernet. 1 ¿Qué tipos de disco se pueden instalar en un servidor? 2 ¿Cuál es la diferencia entre una NAS y una DAS? 3 Cite una ventaja y un inconveniente de una SAN. los discos empleados no son visibles en la consola Administración de discos. debemos utilizar una tabla de particiones GPT (GUID Partition Table) para poder crear más de cuatro particiones principales… 10 ¿Por qué utilizar un sistema de archivos ReFS? ReFS permite mejorar el sistema NTFS. 9 ¿Por qué emplear una tabla de particiones GPT? El MBR (Master Boot Record) impone limitaciones (tamaño de las particiones. . Además del número de discos (dos para RAID 1 y tres para RAID 5). RAID 5 emplea un sistema de paridad: cuando se escriben datos en el disco. se escribe el mismo en el segundo disco. el funcionamiento de los dos RAID es diferente.). RAID 1 emplea un sistema de espejo: al escribir un bit en un disco. En efecto. el tamaño máximo de los archivos ha sido aumentado. Este sistema aporta otras mejoras. En caso de fallo de un disco. se calcula un bit de paridad y se escribe en el tercer disco. Para rebasar estos límites. 11 ¿Desde qué consola es posible desplegar un espacio de almacenamiento? La consola Administrador del servidor permite el despliegue de un espacio de almacenamiento. la parte de los datos restante se asocia al bit de paridad para recuperar el valor original. Una vez activada esta funcionalidad. etc. Requisitos previos y objetivos 1. Requisitos previos Poseer nociones acerca de los permisos NTFS. Información general de las impresoras de red. . Objetivos Implementación de permisos NTFS y compartir una carpeta. Utilización de controladores de tipos v3 y v4. Presentación de los grupos de impresoras. Creación y uso de instantáneas. 2. .Introducción Todas las empresas utilizan al menos un servidor de archivos y de impresión. La implementación de estos roles es un aspecto esencial que debe abordarse con mucho cuidado. la datos autorización Mostrar carpeta se aplica solamente a la carpeta y a su contenido. Anexar datos permite agregar datos al final del archivo. Es necesario garantizar la seguridad del acceso para asegurar la confidencialidad de los datos. Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se encuentran por encima de ellas (carpetas padre). Concede al objeto afectado permisos para ejecutar un archivo o efectuar su creación. Los permisos avanzados permiten implementar autorizaciones mucho más granulares. El permiso Modificar permite leer. El permiso Escritura proporciona permisos de escritura sobre un archivo. Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos avanzados.. Leer datos permite autorizar o denegar a un usuario la lectura de los archivos. 1. el usuario no podrá modificar ni eliminar los datos existentes. Mostrar carpeta/leer A diferencia de la autorización Atravesar carpeta. Crear archivos/escribir Crear archivos se aplica exclusivamente a la carpeta y datos proporciona permisos para escribir archivos en el interior de esta carpeta. Eliminar subcarpetas y Permite eliminar subcarpetas y archivos. Esto incluye la posibilidad de modificar los permisos o convertirse en propietario. Por defecto. Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.). la herencia se encuentra activa al crear una nueva carpeta o archivo. solo lectura). equipo o grupo) permisos completos. Los permisos estándar son los más utilizados en un archivo o carpeta.. La autorización ejecutar archivo permite autorizar o denegar la ejecución de programas. escribir y eliminar un archivo o una carpeta. Escribir datos permite por su parte autorizar al usuario a sobrescribir el contenido de un archivo. Por último. mostrar el contenido. Este permiso solo archivos se aplica a las carpetas.Seguridad de carpetas y archivos Los archivos y carpetas almacenados en un servidor de archivos pueden contener información confidencial. Atravesar El permiso Atravesar carpeta permite al objeto recorrer carpeta/ejecutar un árbol de carpetas. acceder a archivo un archivo en una subcarpeta sin poder leer los archivo de la carpeta compartida o de otras subcarpetas. . El permiso Control totalproporciona al objeto afectado (usuario. Atribuyendo el permiso Lectura y ejecución es posible leer un archivo y ejecutar un programa. al atribuir a un objeto el permiso Mostrar el contenido de la carpeta es posible enumerar las carpetas y archivos contenidos en una carpeta pero sin tener la posibilidad de abrir y leer el contenido de un archivo. por ejemplo. Escribir atributos Proporciona permisos para modificar los atributos básicos (mostrar el contenido. Esto permite. Estos últimos heredan de sus padres. Leer atributos Este permiso permite leer los atributos básicos de un archivo o carpeta (solo lectura. Los permisos NTFS Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición NTFS. Crear carpetas/anexar Crear carpetas proporciona la autorización para crear datos carpetas en el interior de la carpeta en la que se sitúa el permiso de acceso. Propiedades - pestaña Seguridad . Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. En ciertas ocasiones. este último recupera automáticamente los permisos de seguridad aplicados a su padre. Los recursos como c$. Permisos de lectura Autoriza al objeto que recibe este permiso a leer los permisos asignados a un recurso. El acceso se efectúa empleando una ruta UNC (Universal Naming Convention).Opciones avanzadas). se puede llegar al caso de que los permisos heredados contradicen a los permisos explícitos. Los recursos compartidos administrativos se utilizan desde hace años. Cambiar permisos La persona a la que se concede este permiso puede efectuar la modificación de los permisos. . El usuario deberá sin embargo poseer el permisoEliminar subcarpetas y archivos en la carpeta padre para poder efectuar las eliminaciones. 2. es necesario implementar autorizaciones de seguridad. Los últimos pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Por defecto. Eliminar Proporciona la posibilidad de eliminar las carpetas y archivos. el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Tendrá la posibilidad de modificar los permisos. Para ocultar un recurso compartido y transformarlo en un recurso administrativo. Esta operación se efectúa en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta. En este caso. Hablamos entonces de conflictos. los permisos declarados explícitamente por el administrador tienen prioridad sobre los permisos heredados. Ésta se compone del nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por ejemplo: \\dc1\Datos). es necesario introducir la ruta UNC. Para acceder. Definición de una carpeta compartida Las carpetas compartidas ofrecen un acceso directo a un recurso almacenado en un servidor. admin$ se crean durante la instalación de un sistema operativo cliente o servidor. Tomar posesión Autoriza al usuario a convertirse en propietario del recurso. con el objetivo de garantizar la confidencialidad. debemos añadir un $ al final del recurso (\\dc1\Data$). Al crear un archivo o carpeta. Éstas pueden asignarse a una carpeta o un archivo. Para limitar el acceso. se debe usar la opción Reemplazar todas las entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto. se puede obtener un resultado diferente del deseado si hay muchos grupos implicados y el usuario está incluido en diferentes grupos. permite saber en pocos clics el permiso otorgado a un usuario o grupo. La operación consiste en propagar los permisos del padre a todas las subcarpetas. Puede ser complicado conocer esta autorización. grupo o equipo).Después de bloquear la herencia. existe una herramienta que permite calcular esta autorización final disponible en los sistemas operativos de Microsoft. Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory (usuario. A veces es necesario restablecer los permisos en cada nodo del árbol remplazando los permisos del padre al hijo. Muy práctica en arquitecturas complejas. . Haciendo clic en Ver acceso efectivo. Desde hace algunos años. La primera etapa consiste en seleccionar el usuario o grupo deseado. Para esto. podemos visualizar las autorizaciones que el usuario tiene sobre el recurso. las modificaciones a los permisos del padre no se aplicarán más al hijo. Visualizar recursos compartidos en función de los permisos de acceso La enumeración basada en el acceso (ABE . se simplifica el acceso a los recursos compartidos y a los archivos.Access-Based Enumeration) consiste en mostrar solamente las carpetas contenidas en un recurso compartido a las que el usuario tiene permitido el acceso. . La siguiente pantalla muestra que el usuario Nicolas Bonnet posee permisos sobre la carpeta. 3. De esta forma. debemos acceder al nodo Servicios de archivos y de almacenamientoy luego Recursos compartidos. Una vez iniciada la consola. La activación de esta función se realiza desde la consola Administrador del servidor. podemos activar la opción. .Accediendo a las Propiedades de un recurso compartido y luego a la pestaña Configuración. esto elimina la posibilidad de realizar copias de seguridad. los administradores mantienen el control a nivel de la gestión de los datos y las conexiones. Adicionalmente. La opción debe activarse en cada recurso compartido. Los Work Folders pueden publicarse en Internet utilizando la característica Web Application Proxy. 4. las tabletas y smartphones han democratizado a las empresas. Presentación de la característica Work Folders Hoy en día. Permite acceder a los datos empresariales desde cualquier ubicación donde se conecten los empleados. La característica Work Folders permite resolver estos problemas. . Ellos tienen la posibilidad de implantar un cifrado de datos así como los parámetros de seguridad en los dispositivos que emplean esta característica. No debe almacenarse ningún dato en un proveedor cloud no validado por el departamento de sistemas. Ésta puede implantar una política BYOD (Bring Your Own Device) teniendo en cuenta las consideraciones siguientes: Los datos deben estar securizados para evitar que sean accesibles para su lectura en caso de pérdida del dispositivo. No es necesario que los clientes que acceden a los datos sean miembros del dominio. Los datos deben estar almacenados localmente. Los empleados tienen la posibilidad de emplear dispositivos personales para acceder a los recursos de la empresa. Las particiones deberán estar formateadas en sistema NTFS. la ubicación empleada es%USERPROFILE%\Work Folders.1 o Windows RT 8.Los usuarios pueden. sin embargo el tamaño máximo de los archivos individuales es de 10 GB. el equipo o la tableta deberá poseer suficiente espacio en disco para albergar los datos del usuario. El certificado debe ser emitido por una autoridad de certificación aprobada por el usuario. Implementar las reglas de tráfico y publicación para poder acceder a los servidores desde Internet. Adicionalmente. . Para los accesos desde el exterior del sistema de información hay que respetar varios requisitos previos: Un certificado de servidor en cada servidor de archivos que emplee los Work Folders. No existe ninguna limitación configurada para el almacenamiento de los usuarios. de este modo. Un certificado de servidor en el servidor proxy. etc. Es posible modificar la ubicación durante la instalación (empleo de una unidad USB.1. sincronizar los datos conectados a Internet. El servidor de archivos que alberga los datos y gestiona los procesos de sincronización debe ejecutar Windows Server 2012 R2. El uso de un nombre de dominio público y la posibilidad de crear los registros DNS adecuados. De manera predeterminada.). Los equipos deben ejecutar uno de los sistemas operativos Windows 8. también. Presentación y planificación de las instantáneas Una instantánea es una imagen estática.. La instantánea se almacena en la misma unidad que el archivo original. Contiene los archivos y carpetas que están compartidos en el servidor. sin embargo es necesario asegurarse de tener el espacio en disco requerido. Por defecto. Observe sin embargo que las instantáneas no pueden considerarse como una alternativa a las copias de seguridad. Una vez alcanzada la cuota. sin embargo es posible cambiar el lugar de almacenamiento. Evidentemente es posible crear nuevos rangos.Utilización de instantáneas Las instantáneas permiten implantar una política de recuperación de archivos o carpetas de una forma sencilla. 1. la creación de las instantáneas se efectúa de lunes a viernes a las 7:00 y las 12:00. Es casi imposible restaurar por este método ciertos archivos complejos de tipo base de datos. o que ha sufrido una modificación errónea. Con el riesgo de corromper el archivo de base de datos y causar un fallo total de la aplicación. La creación de una instantánea se efectúa accediendo a las propiedades de la unidad. Los datos se perderán en caso de un fallo de disco. . El espacio asignado a la funcionalidad puede.. La pestañaInstantáneas crear y gestionar las instantáneas. configurarse permitiendo así evitar la saturación de los discos. las instantáneas más antiguas se eliminan en beneficio de las nuevas. Esta funcionalidad proporciona al usuario o al administrador la posibilidad de restaurar de forma sencilla un documento eliminado por error. creando así un ciclo que permite respetar el tamaño límite configurado. La activación se puede efectuar en una o más unidades. 2. El Tamaño máximo. la Programación. . El administrador puede realizar la restauración directamente en el servidor que contiene el archivo mientras que el usuario lo hace desde el recurso compartido. el botón Configuración le permite realizar la operación. Esta acción se realiza directamente mediante el menú Propiedades del recurso compartido (pestaña Versiones anteriores). así como el Área de almacenamiento son parámetros que es posible configurar. Restauración de datos empleando instantáneas Los administradores y usuarios pueden restaurar versiones anteriores de los archivos. .Accediendo a una instantánea podemos recuperar uno o varios archivos. En el siguiente ejemplo. debemos usar la opción Copiarpara evitar sobrescribir el archivo original. La opción Restaurar efectúa la restauración completa del recurso compartido en la carpeta original. En caso de querer restaurar en una ubicación diferente (para comparar los dos archivos. bastará con abrir el archivo deseado. La funcionalidad Versiones anteriores está implementada a partir de Windows XP SP2. por ejemplo). La opción Abrir permite este acceso. se han eliminado dos carpetas de la carpeta MedioslFM: Accediendo a las instantáneas (opción Abrir). podemos abrirlo y restaurarlo si es necesario. a diferencia de las instantáneas que se ejecutan dos veces. .Esta funcionalidad evita a los administradores tener que restaurar un archivo o carpeta por medio de cinta o copia de seguridad de disco. Esta operación es perfectamente posible pero demanda mucho tiempo: además. la copia de seguridad se efectúa normalmente una vez al día. La creación del grupo se efectúa en el servidor de impresión y consiste en asignar a esta impresora lógica varios puertos de destino de los dispositivo físicos. Presentación de los grupos de impresoras Crear un grupo de impresoras consiste en la creación de una unidad lógica. ya no es necesario proporcionar el controlador de la impresora en función de la arquitectura del cliente. Esta solución permite realizar la gestión de la impresión y también distribuir las impresoras (empleando una GPO) a los equipos cliente desde un punto central. En la mayoría de los casos. Además. La publicación en Active Directory facilita la instalación y el despliegue de las impresoras a un usuario. la cual está conectada lógicamente a varios dispositivos físicos. Al enviar un trabajo de impresión. 32 y 64 bits.) los trabajos de impresión se envían a las otras impresoras integrantes del grupo. Es posible supervisar las colas de impresión desde esta consola. La .Configuración de la impresora de red El rol Servicios de impresión y documentos permite implantar una impresora compartida. Esta funcionalidad permite al usuario tener siempre una impresora disponible. Las ventajas de la impresora de red Agregando las impresoras de red a un servidor de impresión los clientes tienen la posibilidad de enviar sus trabajos de impresión a un servidor. En caso de problema con una de las impresoras (atasco de papel. Los controladores v4 aportan muchas ventajas: En caso de compartir la impresora. Windows Server 2012 y Windows 8 permiten utilizar controladores de tipo v4 (versión 4). Un controlador puede ser utilizado por varios tipos de periféricos diferentes.. los fabricantes pueden crear una clase de controlador de impresora que gestiona los lenguajes de impresión para una amplia gama de dispositivos. 1. todas las impresoras disponibles y conectadas al grupo tienen la posibilidad de efectuar el trabajo. Los clientes verán el grupo de impresoras como un dispositivo físico. 2. un grupo está compuesto de dispositivos del mismo modelo. los controladores utilizados para las impresoras son de versión 3. Por comodidad. Con este tipo de controlador. lo que complica una vez más la gestión de los controladores. los administradores deberán gestionar diferentes controladores. así como administrar una impresora de red. Los lenguajes incluyen XML Paper Specification (XPS). los enlaces apuntan a direcciones IP. 3. Con este nuevo modelo. Requisitos previos para un grupo de impresoras Todas las impresoras deben utilizar el mismo controlador e imprimir en los mismos formatos. es preferible que las impresoras estén en un entorno cercano al usuario. En la mayoría de los casos.. De esta forma simplificamos también el soporte técnico. El tamaño reducido del archivo permite una instalación más rápida. Éste enviará a la impresora correspondiente el trabajo de impresión solicitado por el usuario. Printer Control Language (PCL)… Este tipo de controladores se distribuyen mediante Windows Update o Windows Software Update Services (WSUS). Los controladores v3 y v4 para las impresoras A partir de Windows Server 2000. Si el parque informático está compuesto por varios tipos de dispositivos diferentes. utilizan controladores diferentes. ambos tipos de plataforma. los fabricantes creaban un controlador para cada tipo de dispositivo. es imposible saber en cuál de los dispositivos se ha hecho la impresión.impresión puede realizarla cualquiera de las impresoras contenidas en el grupo. El usuario deberá hacer el recorrido por las impresoras para recuperar su documento impreso. . . Con Windows Server 2012 R2 y las herramientas RSAT (Remote Server Administration Tools) es posible administrar servidores que no forman parte del dominio.1.msft.Formintra. Recuerde iniciar la consola como administrador para no tener problemas de permisos con UAC. A continuación debemos ejecutar el comando PowerShell: Set-Item WSMan:\localhost\Client\TrustedHosts -Value <YourtargetServernameHere> -Force El argumento <YourtargetServernameHere> debe reemplazarse por el nombre del servidor. Antes de instalar las herramientas RSAT. Los comandos ping y nslookup permiten verificar la conectividad y la resolución. Se ha agregado un redirector condicional en AD1 para poder resolver el nombre SV2. se debe ejecutar un comando PowerShell desde el equipo Windows 8.Administración de un servidor no unido al dominio La consola Administración de servidores permite administrar de manera remota varios servidores creando un grupo. El comando debe ser capaz de poder resolver el nombre del servidor (mediante un servidor DNS o empleando un archivo hosts). sin embargo éstos deben ser miembros del dominio. aparece un error. Tras añadir el servidor y validar con Aceptar. es posible añadir el servidor haciendo clic con el botón derecho en Todos los servidores y seleccionando.1. en el menú contextual. Este ocurre al no poder autenticar la consola.La instalación de las herramientas RSAT en el equipo permite contar con la consola Administrador del servidor en el equipo con Windows 8. . Agregar servidores. Ahora basta con efectuar una búsqueda mediante DNS. A continuación. Marque la opción Recordar mis credenciales para no tener que volver a introducir las credenciales cada vez. Se debe introducir un nombre de usuario y una contraseña en la ventana para obtener el acceso adecuado para la consola. .Haciendo clic con el botón derecho en el servidor. el menú contextual proporciona acceso a la opciónAdministrar como. En lo sucesivo es posible gestionar el servidor de manera remota. . al igual que la gestión de impresoras mediante un grupo de impresoras. La partición puede tener una letra diferente. . En el equipo SV1. esta parte práctica concluye con un taller sobre Work Folders y la gestión de un servidor no unido al dominio.Talleres Los talleres permiten configurar la compartición de archivos y de instantáneas. Por último. Ventas y Contabilidad. Repita la operación anterior para crear las carpetas Informática. Llame a esta carpeta Data. tome la partición del sistema. haga clic en el botón Nueva carpeta. 1. Haga clic en el nodo Equipo y luego haga doble clic en la partición F:. Máquinas virtuales utilizadas: AD1. En el panel derecho. Si tiene solo una partición. SV1. inicie el explorador de Windows. El cuarto taller muestra el uso de la consola de administración de un servicio de impresión. CL8-01. Inicie la consola Administrador del servidor en SV1. Seleccione el nodo Recursos compartidos. haga clic en Servicios de archivos y de almacenamiento. Creación de un recurso compartido y uso de ABE Objetivo: desplegar una estructura de carpetas compartidas desde el explorador y la consola Administrador del servidor. En la banda Inicio. Rápido y haga clic en Siguiente.Haga clic con el botón derecho en el panel central y seleccione la opción Nuevo recurso compartido. El clic derecho no debe hacerse sobre uno de los recursos compartidos sino en un espacio vacío del panel central. . seleccione Recurso compartido SMB . Varios Perfiles para recursos compartidos se encuentran en la lista. verifique que se encuentra el nombre y haga clic enSiguiente. En la ventana Parámetros de configuración de recurso compartido.En el campo Ubicación del recurso compartido. Seleccione la carpeta contabilidad y luego haga clic en el botón Seleccionar carpeta. . seleccione el botón Escriba una ruta de acceso personalizada y luego haga clic en Examinar. haga clic en Siguiente. En el campo Nombre de recurso compartido. .local) yUsuarios (grupo de dominio Formacion.. en la ventana Especificar permisos para controlar el acceso.. El grupo Administradores recibe permisos de Control total mientras que el grupo Usuarios autentificados tiene permisos de Lectura y ejecución. La ACL debe contener solamente la entrada Administradores (grupo de dominio Formacion. Haga clic en el botón Personalizar permisos.local). cree en la carpeta contabilidad la subcarpeta nbonnet. comparta de la misma manera las carpetasdata. En SV1. Haga clic en Crear para iniciar la creación del recurso compartido y luego en Cerrar para detener el asistente. Empleando la consola Administrador del servidor. informática y ventas. haga clic en Aceptar y luego en Siguiente. Una vez modificada. La carpeta y el recurso compartido se crean. . haga clic en el botón Opciones avanzadas.Haga clic con el botón derecho en nbonnet y luego seleccione Propiedades. Elimine las entradas Administradores y Usuarios de la lista ACL. . En la ventana que se muestra. Haga clic en el botón Deshabilitar herencia en la ventana Configuración de seguridad avanzada para nbonnet. Agregue el usuario nbonnet y asigne el permiso Modificar. haga clic en Convertir los permisos heredados en permisos explícitos en este objeto. En la pestaña Seguridad. Actualice la consola si fuera necesario. En la ventana de Propiedades. haga clic con el botón derecho en el recurso compartido contabilidad y seleccione la opción Propiedades en el menú contextual. En la consola Administrador del servidor. . haga clic en Configuración y marque la opción Habilitar enumeración basada en el acceso.Haga clic dos veces en Aceptar. Valide pulsando la tecla [Intro]. Implementar instantáneas . Inicie el equipo CL8-01 y abra una sesión como Alumno 1. Haga clic en Agregar. 2. Inicie el explorador de Windows y luego. La carpeta nbonnet no se muestra porque el usuario conectado al equipo (Alumno 1) no tiene permisos y ABE (Access Based Enumeration) está habilitado. en la barra de navegación. introduzca \\SV1. Haga clic en el botón Configuración para poder configurar los parámetros de las instantáneas. haga clic en Propiedades. . Implementar instantáneas Objetivo: configurar las instantáneas para permitir a un usuario restaurar un archivo. haga clic con el botón derecho en la partición que contiene los datos. CL8-01. Haga clic en la pestaña Instantáneas. SV1. abra el explorador de Windows. En SV1. en el menú contextual. Máquinas virtuales utilizadas: AD1.2. y a continuación. De forma predeterminada la operación se efectúa a las 7:00 y 12:00 de Lunes a Viernes. Esta ventana permite configurar el momento en que se crean las instantáneas. Haga clic dos veces en Aceptar. . Es posible configurar a su vez el volumen en el que se almacenarán las instantáneas. Empleando el Explorador de Windows. El botón Nuevo permite crear una nueva programación mientras que Eliminar elimina la programación seleccionada. cree un archivo de texto llamado Compra2013 en la carpeta Data.Esta ventana permite configurar el tamaño máximo que pueden utilizar las instantáneas. Haga clic en el botón Programación. . Abra una sesión como administrador de dominio en CL8-01. Verifique que las instantáneas están activadas y. se muestra la instantánea. En las propiedades de la partición que contiene el archivo previamente creado (F en este ejemplo) haga clic en la pestaña Instantáneas. Grabe y luego cierre el archivo Compra2013. Haga clic con el botón derecho en el recurso compartido data y luego en el menú contextual seleccione Propiedades. haga clic en Crear ahora. en la barra de navegación. a continuación. Haga doble clic en el recurso compartido data y luego elimine el archivo presente.Escriba el texto Tableta para departamento IT en el archivo que acabamos de crear. introduzca \\SV1. Seleccione la pestaña Versiones anteriores. Inicie el Explorador de Windows y luego. La opción Abrir permite explorar la instantánea y. . copiar/pegar solamente un archivo o carpeta deseada. haga clic en Copiar. El contenido de la instantánea se muestra y es posible abrir el archivo para ver su contenido. Haga clic en el botón Abrir. también. En la ventana Propiedades: data. Haga clic en el botón Copiar. Esta opción permite copiar el contenido de la instantánea en un destino diferente del original. . El archivo se copia correctamente.Seleccione la unidad C: y luego haga clic en Aceptar en la ventana Copiar elementos. haga clic en Siguiente. Creación de un grupo de impresión Objetivo: creación y configuración de un grupo de impresoras. En la ventana Antes de comenzar. haga clic en Aceptar. Seleccione esta vez la opción Restaurar en las Propiedades: Data (\\SV1). 3. Haga clic en Agregar roles y características en la pestaña Panel. Haga clic en Restaurar en la ventana que se muestra. Se muestra un mensaje informativo. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y luego haga clic enSiguiente. . inicie la consola Administrador del servidor. El archivo se encuentra correctamente en el recurso compartido data del servidor SV1. Máquinas virtuales utilizadas: AD1 y CL8-01. En AD1. .Haga clic en Siguiente en la ventana Seleccionar servidor de destino. En la ventana Seleccionar roles de servidor. marque Servicios de impresión y documentos. Haga clic en Agregar características en la ventana que se muestra. . Haga clic en Siguiente y luego en Instalar. Cierre la ventana y espere al final de la instalación. En la ventana Seleccionar servicios de rol. Despliegue los nodos Servidores de impresión y AD1 (local). En la interfaz Windows.Haga clic en Siguiente en la ventana Seleccionar características. Se inicia el asistente para la instalación de impresoras de red. Haga clic con el botón derecho en el nodo Impresoras y luego. Marque el botón Agregar una impresora TCP/IP o de servicios web escribiendo la dirección IP o nombre de host y luego haga clic en Siguiente. deje la opción predeterminada y luego haga clic enSiguiente. en el menú contextual haga clic en Agregar impresora. haga clic en Herramientas administrativas y luego abra la consolaAdministración de impresión. 1. Desmarque la opción Detectar automáticamente qué controlador de impresora se debe usar. La dirección IP es ficticia. seleccione Dispositivo TCP/IP y luego introduzca192. .152 en el campo Nombre de host o dirección IP.En la lista desplegable Tipo de dispositivo.168. ningún dispositivo en la maqueta posee esta dirección IP. En la ventana Se requiere información adicional acerca de puertos. . haga clic en Siguiente.Haga clic en Siguiente para validar las modificaciones. Haga clic en Siguiente para validar la selección. seleccione Genérica y luego Generic Color XPS Class Driver (A) en la lista Impresoras.Deje marcado el botón Instalar un nuevo controlador y haga clic en Siguiente. . y por último Sala 1 en el campo Ubicación. Introduzca Impresora Sala 1 en el campo Nombre de impresora. introduzca IMPSal1 en el campo Recurso compartido. En la lista Fabricante. seleccione Propiedades.Haga clic dos veces en Siguiente y luego en Finalizar. en el menú contextual. . Seleccione la pestaña Compartir y luego marque la opción Mostrar lista en el directorio. Haga clic con el botón derecho en Impresora Sala 1 y a continuación. Se muestra la impresora en el nodo Impresoras. haga clic con el botón derecho en el nodo Puertos y luego haga clic en Agregar puerto. haga clic en Siguiente en la página del Asistente. Se inicia un asistente. En la consola Administración de impresión. Seleccione Standard TCP/IP Port y luego haga clic en Puerto nuevo.Haga clic en Aplicar y luego en Aceptar. Introduzca 192.1.153 en el campo Nombre o dirección IP de impresora y luego haga clic .168. Seleccione la pestaña Puertos y luego marque la casilla Habilitar agrupación de impresoras. Haga clic en Finalizar para cerrar el asistente. Acceda al nodo Impresoras y luego a las propiedades de Impresora Sala 1. En la ventana Se requiere información adicional acerca de puertos. .en Siguiente.153 y luego haga clic en Aplicar y Aceptar. Seleccione el puerto 192. haga clic en Siguiente.168.1. Acceda al Panel de control y. haga clic en el botón Agregar una impresora. En la ventana Dispositivos e impresoras. haga clic en el enlace Ver dispositivos e impresoras en Hardware y sonido.Abra una sesión como jbak en CL8-01. a continuación. Se muestra la impresora y la ubicación es correcta. . . haga clic en Siguiente y luego en Finalizar. En la ventana que se muestra. La impresora se presenta correctamente en la consola.Haga clic en Siguiente para proceder a la instalación. Esto permite visualizar de forma sencilla el conjunto de impresoras y controladores así como aquellas impresoras con trabajos (que tienen al menos un trabajo en curso) o no preparadas (conjunto de impresoras que no tienen estado de preparadas). . 4. Puede crear su propio filtro para obtener la información deseada. Haga clic con el botón derecho en el nodo Filtros personalizados y luego seleccione Agregar nuevo filtro de impresora. Gestión del servidor de impresión Objetivo: administrar el servidor de impresión desde la consola Administración de impresióninstalada en el taller anterior. En AD1. Máquina virtual utilizada: AD1. Los filtros personalizados permiten mostrar información acerca de las impresoras. inicie la consola Administración de impresión y luego haga clic en el nodo Filtros personalizados.La impresora cuenta con los dos puertos TCP/IP seleccionados. seleccione Trabajos en cola en la lista desplegable Campo y luego no es exactamente en la lista desplegable Condición. En la ventana Definir un filtro.Introduzca Visualización de trabajos en curso en el campo Nombre. Introduzca 0 en el campo Valor. Marque la casilla Mostrar el número total de elementos junto al nombre del filtro y luego haga clic en Siguiente. . Aparece el nuevo filtro en la consola. En el menú contextual. . Seleccione el nodo Impresoras y luego haga clic con el botón derecho en la impresora Impresora Sala 1. seleccione Implementar con directiva de grupo. haga clic en el botón Examinar. En la ventana Implementar con directiva de grupo.Haga clic en Siguiente y luego en Finalizar. Llame a la nueva directiva Implementar impresoras y luego haga clic en Aceptar. haga clic en el segundo icono que permite la creación de una nueva GPO. .La ventana presenta el conjunto de directivas de grupo ya creadas a nivel de OU (unidad organizativa). dominios y sitios de Active Directory. Haga clic en el botón Agregar y luego en Aplicar. En la ventana Buscar un objeto de directiva de grupo. Marque la opción Los equipos a los que se aplica esta GPO. La configuración efectuada se muestra correctamente. Valide el mensaje de información haciendo clic en Aceptar y luego haga clic en Aceptar en la ventana Implementar con directiva de grupo. Haga clic en el nodo Impresoras implementadas. . La directiva de grupo ha sido configurada de la siguiente forma. CL8-02. tendremos que filtrar empleando un grupo de seguridad o posicionando la directiva de grupo en un contenedor diferente. SV1. Este comando tiene como objetivo instalar la característica Work Folders. Implantación de la solución Work Folders Objetivo: implantar la característica Work Folders para permitir a un usuario del dominio acceder desde su equipo personal a los recursos de la empresa. la cual será compartida con el nombre Documentación. A continuación. 5. En SV1. Máquinas virtuales utilizadas: AD1. Para limitar esta instalación.Tras la próxima aplicación de las GPO. debemos crear la carpeta que contendrá los datos de los usuarios. . Los miembros del grupo Formadores tendrán acceso a la carpeta. vamos a crear mediante la línea de comandos la carpeta Doc-Técnica. En la partición C. inicie la consola PowerShell y luego introduzca el comando Add-WindowsFeature FS- SyncShareService. la impresora se instalará en todos los equipos y servidores. Es posible descargar el script en la página Información. Podemos ver en la consola Administrador del servidor que la característica se ha instalado correctamente y se ha configurado el recurso compartido. En la consola PowerShell.Propiedades). Accediendo a las propiedades del recurso compartido (haciendo clic con el botón derecho en el recurso . es posible verificar la configuración de la categoría General. . La categoría Acceso a sincronización permite definir las personas o grupos de personas autorizados para realizar la sincronización. introduzca el comando New-SyncShare Documentación -path C:\Doc-Técnica -User Formacion\Formadores -RequireEncryption $true - RequirePasswordAutoLock $true. la categoría Directivas de dispositivos permite configurar la directiva aplicada.Por último. . Verifique que CL8-02 se encuentra en Workgroup (grupo de trabajo) y no es miembro del dominio. En caso contrario. De esta forma. introduzca el comando Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1 Es posible descargar el script desde la página Información. tanto la gestión del equipo como la seguridad son locales al equipo y no se gestionan desde un servidor (controlador de dominio). en este taller.Es posible ver en la pantalla anterior que es obligatorio configurar un cifrado de datos. así como un bloqueo automático de la pantalla y la introducción de una contraseña. retire el equipo del dominio. . A continuación. Para configurar el uso del protocolo HTTP. Vamos. a efectuar las conexiones en HTTP para evitar la gestión de certificados digitales necesarios para el uso del protocolo HTTPS. debemos configurar el equipo cliente. Acceda al Panel de control y luego. en Sistema y seguridad. Haga clic en Configurar carpetas de trabajo. . haga clic en Carpetas de trabajo. introduzca la URL que permite acceder al servidor.En la ventana Escriba su dirección de correo electrónico de trabajo. En producción. En el campo URL de carpetas de trabajo. haga clic en el vínculoIndicar una URL de Carpetas de trabajo. . será necesario emplear el protocolo HTTPS así como un nombre público. a continuación. En la ventana Introduciendo las carpetas de trabajo. Es posible modificar la ruta de destino si lo desea. autentíquese como nbonnet.Valide los datos mediante el botón Siguiente y. . haga clic en Siguiente. Se añade una nueva biblioteca.txt. el archivo Windows. Haga clic en Cerrar para finalizar el asistente.Marque la opción Acepto estas directivas es mi equipo y. a la misma. haga clic en el botónConfigurar carpetas de trabajo. Agregue. . a continuación. .El cifrado está correctamente activado. estando el nombre del archivo en color verde. El usuario accede correctamente a los datos de la empresa utilizando un equipo que no forma parte del dominio. Del lado del servidor la carpeta del usuario se encuentra presente. ¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al recurso? 5 ¿Es posible ver la autorización efectiva del usuario? 6 ¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso compartido donde el usuario carece de permisos de acceso? 7 ¿Qué consola empleamos para configurar la funcionalidad de la pregunta anterior? 8 ¿Cuándo se ejecuta la creación de una instantánea de forma predeterminada? 9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas? 10 ¿Quién puede restaurar una instantánea? 11 ¿Cuáles son las ventajas de los controladores de tipo v4? 12 ¿En qué consisten los grupos de impresión? 13 ¿Qué permite hacer la característica Work Folders? 14 ¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización configurada con la característica Work Folders? 15 Mencione algunos requisitos previos a respetar para poder activar la característica Work Folders. Sin embargo los permisos NTFS avanzados permiten ser más preciso con los permisos asignados a un objeto Active Directory. Cuando se asigna un permiso en la ACL de un recurso (carpeta. 1 ¿Cuál es la diferencia entre un permiso NTFS estándar y un permiso NTFS avanzado? 2 Explique la noción de permiso NTFS heredado. es necesario un mínimo de 12 puntos para aprobar el capítulo. 2 Explique la noción de permiso NTFS heredado. Se crean dos subcarpetas: IVA 2012 e IVA 2013.. los dos son permisos NTFS.) reciben igualmente este permiso. 3 ¿Cuál es la diferencia entre un permiso NTFS heredado y uno explícito? 4 La partición D contiene la carpeta Contabilidad que está compartida con el nombre Contabilidad. archivo. 16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 3. contabilice un punto. Hablamos de padre (el recurso) y ... Respuestas 1 ¿Cuál es la diferencia entre un permiso NTFS estándar y un permiso NTFS avanzado? No existe diferencia. El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Contabilidad.). los objetos presentes en ese recurso (subcarpeta. 2.. el administrador tiene permisos de control total. Resultados Para cada respuesta acertada. Los miembros de los grupos G_Conta_W poseen permisos de escritura.Validación de conocimientos: preguntas/respuestas 1. de hijo (todo objeto presente en el interior de este recurso). las instantáneas con fecha más antigua se eliminan en beneficio de las más recientes. Éste recibirá el permiso Mostrar el contenido de la carpeta. Para garantizar que atribuimos al usuario los permisos correctos. 9 ¿Qué ocurre cuando se alcanza el tamaño máximo configurado para las instantáneas? Se realiza una rotación. 5 ¿Es posible ver la autorización efectiva del usuario? Los permisos NTFS son acumulativos de forma tal que es posible tener al final una autorización efectiva diferente de la deseada por el administrador. El administrador tiene la opción de hacerlo desde el servidor. 6 ¿Cuál es la funcionalidad que consiste en ocultar las carpetas contenidas en un recurso compartido donde el usuario carece de permisos de acceso? Esta funcionalidad tiene el nombre de ABE (Access Based Enumeration) y consiste en mostrar al usuario solamente las carpetas y archivos ubicados en un recurso compartido donde el usuario tiene acceso. los permisos heredados se asignan automáticamente al objeto hijo transmitidos por el padre. Podemos compartir la carpeta IVA 2013 lo que permitirá al usuario acceder directamente a la carpeta deseada. posible modificar esta programación. lo que implica una instalación más rápida. Los miembros de los grupos G_Conta_W poseen permisos de escritura. 8 ¿Cuándo se ejecuta la creación de una instantánea de forma predeterminada? Una instantánea se crea de lunes a viernes a las 7:00 y 12:00. En la carpeta IVA 2013 es preciso bloquear la herencia y el permiso Modificar asignado a nbonnet. 10 ¿Quién puede restaurar una instantánea? Los usuarios pueden restaurar una instantánea por medio de la opción Versiones anteriores en las propiedades del recurso compartido. el administrador tiene permisos de control total. 4 La partición D contiene la carpeta Contabilidad que está compartida con el nombre Contabilidad. El usuario nbonnet debe poder acceder a la carpeta IVA 2013 sin poder leer el contenido de los archivos presentes en IVA 2012 y aquellos almacenados en la raíz de la carpeta Contabilidad. La segunda solución requiere un poco más de administración. 7 ¿Qué consola empleamos para configurar la funcionalidad de la pregunta anterior? La funcionalidad ABE se configura empleando la consola Administrador del servidor. Es. De esta forma. El usuario podrá así recorrer las diferentes carpetas sin tener el permiso de lectura de los archivos contenidos. 3 ¿Cuál es la diferencia entre un permiso NTFS heredado y uno explícito? Un permiso explícito es el permiso NTFS que ha asignado un administrador en la ACL del recurso. cuando se alcanza el tamaño máximo. Se crean dos subcarpetas: IVA 2012 e IVA 2013. ¿Cuáles son los mecanismos a implementar para permitir al usuario nbonnet acceder al recurso? Para esto existen dos posibilidades. por supuesto. 11 ¿Cuáles son las ventajas de los controladores de tipo v4? Estos nuevos controladores evitan efectuar la configuración de los controladores en función de la arquitectura del cliente. A diferencia de los permisos explícitos. Consiste en agregar en la ACL de la carpeta Contabilidad al usuario nbonnet. podemos utilizar la pestaña Acceso efectivo en la configuración de seguridad avanzada. 12 ¿En qué consisten los grupos de impresión? . Adicionalmente. el tamaño del archivo es más reducido. Es necesario respetar varios requisitos previos: Servidor de archivos ejecutando Windows Server 2012 R2 y el equipo en Windows 8. Los grupos de impresión consisten en hacer funcionar varias impresoras sobre una impresora lógica. Por último. Esto permite continuar imprimiendo en caso de que una impresora no esté disponible. La última etapa consiste en añadir el servidor a la consola Administrador del Servidor y proporcionar las credenciales. 13 ¿Qué permite hacer la característica Work Folders? La característica Work Folders permite configurar una carpeta que más adelante podrá sincronizar un usuario. 16 Enumere los pasos necesarios para administrar un servidor que no está unido al dominio. A su vez. Adicionalmente. incluso si se utiliza un equipo personal. A continuación. el equipo conectado puede ser sometido a la política de bloqueo (con petición de contraseña). Partición formateada en NTFS. debe ejecutarse un comando PowerShell. La funcionalidad permite cifrar los datos. cuenta con la posibilidad de utilizar su equipo o tableta personal. 14 ¿Cómo podemos dotar de seguridad a los datos presentes en la carpeta de sincronización configurada con la característica Work Folders? Es posible dotar de seguridad a estos datos de diferentes formas.1 debemos instalar las herramientas RSAT y verificar el funcionamiento de la resolución de nombres. . 15 Mencione algunos requisitos previos a respetar para poder activar la característica Work Folders. El usuario podrá sincronizar dicha carpeta utilizando su conexión a la red empresarial o desde el exterior. Uso de certificados de servidor en cada servidor. Para poder gestionar un servidor no conectado al dominio desde un equipo Windows 8. es posible autorizar o no el acceso a la carpeta de sincronización.1. Es preciso crear los registros en el DNS. Tratamiento y filtrado a nivel de GPO. 2. Uso de delegaciones a nivel de directivas de grupo. Implementar un almacén central. Requisitos previos Tener conocimientos sobre el funcionamiento de una directiva de grupo. Objetivos Analizar los componentes de una directiva de grupo. .Requisitos previos y objetivos 1. Implementar preferencias y GPO de inicio. Introducción Una directiva de grupo permite implemantar parámetros de configuración para un conjunto de equipos o de usuarios. La gestión se realiza de forma centralizada en el controlador de dominio. . Los componentes de una directiva de grupo Una GPO (Group Policy Object . para que cada objeto contenido en la OU reciba la directiva de grupo. Configuración de Windows: podemos configurar los parámetros de seguridad y scripts para los usuarios y equipos. En este caso. de Office). El nodo Preferencias de la consola proporciona los parámetros suplementarios para la configuración del entorno. Estas directivas se almacenan en SYSVOL y se gestionan mediante la consolaAdministración de directivas de grupo (GPMC). que muchos de ellos no son compatibles con las versiones más antiguas. Si un administrador vincula a un equipo con sistema operativo Windows XP una directiva de grupo que contiene dichas preferencias. Plantillas administrativas: se incluyen miles de parámetros. Configuración del equipo: modificación de la clave HKEY_Local_Machine. el equipo que recibe la directiva de grupo ignora el parámetro.). el administrador puede implementar directivas de grupo. En estos dos tipos de configuración. sin embargo. UO). La consola Editor de administración de directivas de grupo permite modificar los diferentes parámetros.Información general de las directivas de grupo Para controlar el entorno de los puestos de trabajo. Estos componentes se encuentran en el sistema operativo Microsoft y tienen la responsabilidad de aplicar los parámetros recibidos por una directiva de grupo. Estos permiten configurar el registro para personalizar el entorno del usuario (bloquear algunos menús.Directiva de grupo) contiene uno o más parámetros para los usuarios y equipos. éstas no se aplican si las CSE (Client Side Extensions . Las GPO están vinculadas a un contenedor de Active Directory (unidad organizativa. Es posible configurar varios miles de parámetros. Existen tantas extensiones del lado cliente como tipos de parámetros. Pueden crearse y utilizarse plantillas personalizadas. se puede emplear tres categorías de parámetros: Configuración de software: contiene la información acerca del software que se puede implementar. Este punto se aborda con detalle más adelante. Una directiva de grupo contiene dos tipos de configuración: Configuración de usuario: modificación de la clave HKEY_Current_User. 1. aunque cada nueva versión aporta un lote de parámetros. . etc. adicionalmente es posible descargar desde Internet paquetes de plantillas (por ejemplo.Extensiones del lado cliente) no están instaladas. Observe. En efecto. 3.2. Soporta los archivos adm o admx. El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio. Este último identifica de forma unívoca al objeto en AD DS. los scripts y los parámetros vinculados al registro. Usuario específico: la directiva se aplica solamente al usuario seleccionado. solo es posible configurar una directiva de grupo local.ini) se incrementa con cada cambio o parámetro agregado. Es más fácil aplicar configuraciones diferentes a varios usuarios. el número almacenado en el archivogtp. Directiva de grupo local múltiple Con los sistemas operativos anteriores a Windows Vista. Es posible crear tres tipos de directivas: Equipo local: contiene los parámetros de usuarios y equipos. Este contenedor se encuentra en la carpeta Sysvol. Ésta se aplica al conjunto de usuarios que se conectan al equipo en local. . El número de versión permite identificar esta modificación.ini (SYSVOL\GUIDGPO\gpt. Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio. Administradores o No administradores: contiene los parámetros de usuario exclusivamente. Durante la actualización de las directivas en el equipo (cada 90 a 120 minutos). este tipo de directiva pueden crearla los administradores (se aplica al conjunto de miembros del grupo de administradores locales) o los no-administradores (se aplica al conjunto de usuarios locales). Cada contenedor se identifica mediante un GUID. las extensiones del lado cliente (CSE) recuperan los parámetros y los aplican si ha habido una modificación. El GPC define atributos tales como el vínculo o el número de versión. Esta característica se ha mejorado con Windows Vista y permite en adelante la creación de varias directivas de grupo locales. El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Almacenamiento de los diferentes componentes de una GPO Las directivas de grupo se almacenan en dos contenedores: El GPT (Group Policy Template) contiene los parámetros de seguridad. Esta operación de distribución es posible porque estos archivos son independientes del bosque o dominio en el que se crean..4. Las preferencias en las directivas de grupo Aparecidas con Windows Server 2008. por ejemplo ser miembro de un grupo o ejecutar un sistema operativo en particular) se efectúa de una forma más fina que usando una directiva de grupo. Esta característica puede emplearse en varios casos: Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la empresa.. al apagar el equipo o a intervalos de entre 90 y 120 minutos. Las preferencias se aplican a un usuario o equipo. De esta forma la nueva directiva recupera el conjunto de parámetros configurados. Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa. ésta puede crearse a partir de un objeto GPO de inicio.). Al igual que para las directivas. podemos atribuir las preferencias a los equipos en función del sistema operativo. Es posible crear la carpeta de objetos GPO de inicio. las preferencias permiten incluir más de 20 extensiones de directiva de grupo. Al crear una nueva GPO. Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones del lado cliente. etc.. que contiene un conjunto de directivas predefinidas. En efecto. Nociones de las GPO de inicio Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. De esta forma se facilita la distribución y carga de estos archivos en otro sitio. La eliminación puede operarse indicándolo explícitamente. además dichos parámetros no son obligatorios. . La creación se efectúa desde la consola Administración de directivas de grupo (GPMC). Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos en las plantillas administrativas de usuario y equipo. Esta funcionalidad permite la reducción de los scripts empleados por el inicio de sesión (conexión de unidad de red. Esta característica permite la misma configuración básica para el conjunto de las directivas de grupo. Aunque la base es común a todas las directivas o todas las áreas de la empresa. Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo Cabinet). Esto permite responder por ejemplo a una problemática específica de una de las áreas. un usuario puede modificar el parámetro configurado por las preferencias (desactivar el uso del proxy. es posible añadir parámetros adicionales en la directiva. Entre los parámetros configurables en las preferencias.. Por defecto los parámetros configurados en las preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. podemos encontrar: Asignación de una unidad de red o de una impresora Creación de un acceso directo Configuración de opciones de alimentación Configuración de opciones de Internet Explorer… 5. la aplicación de las preferencias se efectúa al arrancar. La asignación de las preferencias a los puestos cliente (que permite implantar los criterios a respetar para aplicar los parámetros.). Esta funcionalidad es configurable solamente en las directivas de dominio. las nuevas directivas se encuentran en la carpeta SYSVOL.Podemos modificar estas directivas o crear nuevas. Después de crear la carpeta. . Al igual que para con las demás directivas. La gestión y creación de directivas... 6. una parte se almacena en el GPC. Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las diferentes directivas de grupo: Administradores de dominio Administradores de empresas . y la otra en el GPT. Implementación de una delegación a nivel de GPO Todos los administradores tienen la posibilidad de implementar delegaciones. Esta acción provee a los usuarios la posibilidad de administrar las directivas de grupo. son también acciones que puede realizar un usuario al que se ha delegado la administración. la creación de filtros WMI. CREATOR OWNER Sistema local Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y aplicación de la directiva de grupo. Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio, empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un usuario, debemos agregarlo en la pestaña Delegación del contenedor Objetos de directiva de grupo. Para vincular una GPO a un contenedor, el usuario o el grupo debe poseer los permisos adecuados en el contenedor deseado. Es necesaria utilizar archivos RSAT, porque el usuario no tiene la autorización de conectarse a un controlador de dominio. La administración debe hacerse desde su equipo. Tratamiento de directivas de grupo Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicación se realiza en un orden estricto. 1. Los vínculos de una directiva de grupo Después de la etapa de creación y de prueba (en un entorno de prueba), debemos efectuar la puesta en producción y unir la directiva a su contenedor definitivo. Esta unión consiste en establecer un vínculo entre la GPO y uno o más contenedores. Tres tipos de contenedores pueden recibir directivas de grupo: Sitios Dominios Unidades organizativas La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores. Podemos limitar la aplicación de la configuración a un número restringido de usuario o de equipos, reemplazando el grupo Usuarios autentificados por un grupo de seguridad creado previamente. Es posible, a continuación, deshabilitar el vínculo. Esta operación implica eliminar las modificaciones aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede impactar en la productividad. Es imposible aplicar un vínculo directamente a un usuario, grupo o equipo. La unidad organizativa es el último objeto al que se puede efectuar un vínculo. 2. La aplicación de una directiva de grupo Los parámetros contenidos en la Configuración del equipo se aplican al iniciar el equipo y luego siguiendo un intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se ejecutan solamente al arrancar el equipo. Los controladores de dominio ejecutan una actualización de su configuración cada 5 minutos. A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican durante el inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los scripts se ejecutan durante el inicio de sesión. En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante el primer inicio de sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a que se utilizan los identificadores puestos en caché para abrir la sesión más rápidamente. Los parámetros se vuelven a aplicar mientras el usuario cuente con una sesión abierta. Es posible modificar el intervalo de configuración, para ello debemos modificar el parámetro presente en el nodoConfiguración del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de grupo. Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el intervalo configurado. Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-Gpupdate. A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un administrador tiene acceso a la opción Actualización de directiva de grupo. Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de error. Se abre una ventana que muestra al administrador el resultado de la operación. Al realizar esta operación, la mayoría de los equipos estaban desconectados, esto explica el gran número de errores. 3. Orden de aplicación de una directiva de grupo Las directivas de grupo se aplican al equipo en función de un orden estricto. La primera directiva que se aplica al puesto es la directiva local (si existe una directiva presente). A continuación, se recuperan y aplican las GPO de dominio, siendo la primera la GPO del sitio AD. Se recuperan entonces Default Domain Policy y cualquier otra directiva ubicada en la raíz del dominio, por último se aplican las ubicadas en una OU o sub OU. El vínculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario), se debe vincular a un contenedor (OU, dominio...). En caso de conflicto entre un parámetro de dos directivas diferentes, tiene precedencia la última aplicada. Para modificar este orden de prioridad, es posible bloquear la herencia o aplicar (forzar) una directiva. Esta última opción no está libre de consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta opción y puede anular el bloqueo de la herencia. La aplicación se activa haciendo clic con el botón derecho en la directiva de grupo específica y luego seleccionando la opción Aplicar. 4. Las directivas predeterminadas Durante la creación de un dominio Active Directory, se crean automáticamente dos directivas: laDefault Domain Policy y la Default Domain Controllers Policy. La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al conjunto de usuario y equipos del dominio por herencia. Ella contiene la política de seguridad predeterminada (parámetros de contraseña, bloqueo...). Si se deben aplicar otros parámetros al conjunto de objetos del dominio, es preferible crear una nueva directiva y luego vincularla a la raíz del dominio. La Default Domain Controllers Policy está vinculada a la unidad organizativa Domain Controllers, de modo que solamente la reciben los controladores de dominio. Ésta permite configurar el sistema de auditoría y asignar permisos suplementarios (abrir una sesión en un controlador de dominio...). 5. Los filtros de seguridad Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor y sub contenedores. Ciertas directivas (instalación de software...) necesitan, sin embargo, que se implemente un filtro un poco más estricto. Para ello, es preciso modificar el filtro de seguridad para contener solamente el grupo autorizado. Dicho grupo contendrá solamente los usuarios o equipos afectados. El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el conjunto de usuarios y equipos autentificados por un controlador de dominio pueden leer y aplicar la GPO. Se pueden configurar permisos más granulares configurando la ACL (Access Control List). Esto hace que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la configuración. Para acceder a esta lista de control de acceso, haga clic en el botón Opciones avanzadas en la pestañaDelegación. Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más granulares. Tenga cuidado de no abusar del permiso Denegar, que es prioritario. Despliegue de un almacén central Las plantillas administrativas contenidas en la consola Editor de administración de directivas de grupo están contenidas en la carpeta PolicyDefinitions de cada servidor. Para utilizar una carpeta única para todos los servidores, debemos desplegar un almacén central. 1. Presentación del almacén central El almacén central permite a los diferentes controladores de dominio basarse en archivosADMX/ADML contenidos en un punto central, llamado almacén central. Esta funcionalidad consiste en desplazar el conjunto de los archivos utilizados por las plantillas administrativas a la carpetaSYSVOL. El almacén central se detecta, automáticamente, al abrir la consola Editor de administración de directivas de grupo. De esta forma, sea cual sea la versión del sistema operativo, los archivos utilizados son siempre idénticos. Adicionalmente esta funcionalidad hace que el uso de las plantillas administrativas sea más fácil, pues ya no es necesario copiar los archivos ADMX y ADMLpersonalizados. La copia en la carpeta SYSVOL permite una replicación a todos los controladores de dominio. Para crear el almacén central, bastará con desplazar la carpeta PolicyDefinitions a la carpetaC:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\. Los archivos ADML deben copiarse, también, a la carpeta, la pantalla previa muestra los archivosADMX así como los archivos de idioma almacenados en la carpeta es-ES. 2. Las plantillas administrativas Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave a modificar y el valor a configurar para los estados Habilitado o Deshabilitado. Este tipo de archivo es neutro a nivel de idioma, puede utilizarse en sistemas operativos en inglés, español… El archivo ADML utilizado por la interfaz de usuario contiene todos los textos que se mostrarán. A diferencia del formato ADM, la creación de un archivo personalizado es muy simple, sin embargo es necesario estar familiarizado con el lenguaje XML. Los diferentes parámetros se escriben en la base del registro a nivel de las clavesHKEY_LOCAL_MACHINE para la configuración del equipo y HKEY_CURRENT_USER para la configuración del usuario. Ejemplo de un archivo ADMX Se asocia un archivo ADML a este archivo ADMX. Cada parámetro contenido en el archivo ADMX está vinculado a un parámetro en el registro. Parámetros administrados y no administrados Existen dos tipos de parámetros en una directiva de grupo: los parámetros administrados y los no . Ejemplo de un archivo ADML Las plantillas administrativas permiten responder a la mayoría de las necesidades de personalización del entorno de usuario. 3. administrados. La mayoría de los parámetros tienen estado administrado. Así, cuando la cuenta de usuario o equipo no siga formando parte del ámbito de la directiva de grupo (desplazamiento a otra OU, por ejemplo), los parámetros contenidos en la misma serán eliminados. El valor predeterminado configurado por el sistema operativo tomará el lugar del parámetro configurado en la GPO. De forma inversa, los parámetros no administrados modifican el registro y no se eliminan aunque la cuenta deje de formar parte del ámbito de la directiva de grupo. Para invertir la configuración, hay que modificar la directiva para indicar lo opuesto a lo que está configurado. Ciertos parámetros contenidos en las preferencias son parámetros no administrados. Con los parámetros administrados, el usuario no tiene la posibilidad de modificar los parámetros. Los cambios se realizan en zonas específicas del registro, donde solo los administradores tienen acceso: HKLM\Software\Policies HKLM\Software\Microsoft\Windows\CurrentVersion\Policies HKCU\Software\Policies HKCU\Software\Microsoft\Windows\CurrentVersion\Policies 4. Utilización de los filtros en las plantillas administrativas Las plantillas administrativas contienen multitud de parámetros configurables. Para facilitar la búsqueda, Microsoft ha implementado a partir de Windows Server 2008 una funcionalidad de filtrado. Es posible buscar los parámetros que corresponden a una palabra clave o mostrar solamente aquellos configurados. Esta funcionalidad se activa desde la consola Editor de administración de directivas de grupo. El menú contextual de las plantillas administrativas (accesible haciendo clic con el botón derecho) permite acceder a la opción Opciones de filtro. La ventana contiene varias zonas. La primera de ellas está compuesta por tres listas desplegables: Administrado: permite determinar si el parámetro filtrado es un parámetro administrado o no administrado. Configurado: permite mostrar solo los parámetros que están configurados en la directiva de grupo. Comentado: este parámetro es idéntico al anterior, filtra sin embargo por los comentarios dejados en la directiva. La segunda zona permite filtrar por palabras clave mientras que la tercera y última filtra por aplicación o plataforma (Windows Server 2003, Internet Explorer 10). Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el campo, solo se muestran los parámetros que contengan la palabra Ejecutar. La búsqueda de los parámetros es así más simple y rápida. Talleres Los talleres permiten poner en práctica las diferentes funcionalidades estudiadas (GPO de inicio, preferencias...). 1. Implementar un almacén central Objetivo: puesta en marcha de la funcionalidad almacén central para el dominio Formacion.local. Máquina virtual utilizada: AD1. Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco local (C:). Haga doble clic en Windows y luego copie la carpeta PolicyDefinitions. Haga doble clic en la carpeta SYSVOL ubicada en la carpeta Windows. Abra las carpetas domain y Policies y luego pegue la carpeta PolicyDefinitions. Inicie la consola Administración de directivas de grupo. Despliegue los nodos Bosque, Dominios y luego Formacion.local. Haga clic con el botón derecho en Defaut Domain Policy y seleccione Editar. Haga doble clic en Directivas. Las plantillas administrativas se han recuperado correctamente del almacén central. Los archivos ADMX y ADML se replicarán, ahora, en el conjunto de controladores de dominio. 2. Creación de una directiva de grupo Objetivo: implementar una directiva de grupo para configurar un equipo cliente que ejecuta Windows 8. Máquinas virtuales utilizadas: AD1, CL8-01. Arranque el equipo AD1 y abra una sesión como administrador. Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque: Formacion.local, Dominios y finalmente Formacion.local. Haga clic con el botón derecho en Objetos de directiva de grupo y luego, en el menú contextual, haga clic en Nuevo. En el campo Nombre, introduzca Parámetros de puesto cliente y luego haga clic en Aceptar. Aparece la nueva directiva, pero no está vinculada. Haga clic con el botón derecho en Editar. En la consola Editor de administración de directivas de grupo, despliegue los nodosConfiguración de usuario, Directivas y luego Plantillas administrativas. Despliegue el nodo Componentes de Windows y luego haga clic en Internet Explorer. Haga clic en el parámetro Deshabilitar la configuración de la página Opciones avanzadas. Marque el botón Habilitada y luego haga clic en Aceptar. Esta vez haga doble clic en el parámetro Impedir administración del filtro SmartScreen. Marque la opción Habilitada y, a continuación, en la lista desplegable Seleccionar modo de filtro SmartScreen seleccione Activado. Haga clic en Aceptar y luego cierre la ventana Editor de administración de directivas de grupo. Haga clic con el botón derecho en la unidad organizativa Form y luego, en el menú contextual, seleccione Vincular una GPO existente. Seleccione Parámetros de Puesto cliente y luego haga clic en Aceptar. La directiva de grupo está ahora vinculada a la OU. Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la OU Form. Inicie el equipo CL8-01 y abra una sesión como Alumno 1. Si el equipo ya está arrancado, ejecute el comando gpupdate /force. Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el menú. Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opción Desactivar el filtro SmartScreen está deshabilitada. En el menú Herramientas, haga clic en Opciones Internet y luego en la pestaña Opciones avanzadas. Todos los parámetros deben estar deshabilitados. local. haga clic en el botón Crear la carpeta de GPO de inicio para proceder a la creación de la carpeta (panel derecho). En la carpeta GPO de inicio. haga clic en Nuevo. a continuación haga clic con el botón derecho en el nodo GPO Inicio y. Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque: Formacion.local.La directiva de grupo se ha aplicado correctamente. en el menú contextual. Creación de una GPO de inicio Objetivo: crear una GPO de inicio que podrá utilizarse como base para todas las demás directivas. . Dominios y finalmente Formacion. 3. Máquina virtual utilizada: AD1. En el campo Nombre. introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar. Arranque el equipo AD1 y abra una sesión como administrador. 1.Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar. Plantillas administrativas. Marque la opción Habilitada y luego haga clic en Aceptar. Haga doble clic en el parámetro Impedir que el asistente se ejecute. . Componentes de Windows y luego Agregar características a Windows 8. Solo están presentes las plantillas administrativas. Despliegue los nodos Configuración del equipo. Cierre el Editor de objetos de directiva de grupo y luego. haga clic en Nuevo.habilitar Active Desktop.Efectúe la misma operación para el parámetro Configuración de usuario . en la consola Administración de directivas de grupo. haga clic en Objetos de directiva de grupo. seleccione la directiva que acabamos de crear. en la lista desplegable GPO de inicio de origen. Introduzca Prueba GPO inicio en el campo Nombre y luego.Plantillas administrativas . Haga clic con el botón derecho en el contenedor y.Active Desktop . a continuación. . Haga clic en Aceptar y seleccione la directiva Prueba GPO inicio. podemos ver que el campo Ubicación está vacío. Haga clic en la pestaña Configuración. . Empleando la pestaña Ámbito. La directiva no está de momento vinculada a ningún contenedor. Haga doble clic en Carpetas y a continuación. haga clic en Nuevo. Dominios y finalmente Formacion. Inicie la consola Administración de directivas de grupo y luego despliegue los nodos Bosque: Formacion. En la lista desplegable Acción. Máquinas virtuales utilizadas: AD1 y CL8-01. haga clic con el botón derecho y seleccione Nuevo y luego Carpeta. Preferencias y luego haga clic en Configuración de Windows. a continuación. 4.Se encuentran todos los parámetros configurados para el objeto GPO de inicio. Arranque el equipo AD1 y abra una sesión como administrador. seleccione Crear y luego introduzca C:\Conta2013 en Ruta de acceso. En el campo Nombre. en el menú contextual. Haga clic con el botón derecho en el objeto que se acaba de crear y luego haga clic en Editar. introduzca Configuración preferencias y luego haga clic en Aceptar. Haga clic con el botón derecho en Objetos de directiva de grupo.local. Despliegue el nodo Configuración de usuario.local. Implementación de preferencias Objetivo: creación de una GPO que contenga las preferencias y su aplicación en el equipo. . en el panel central. Haga clic en el botón Destinatarios. .Seleccione la pestaña Comunes y luego marque Destinatarios de nivel de elemento. seleccione Sistema operativo. .1. seleccione Windows 8.En la lista Nuevo elemento. En la lista desplegable Producto. Haga clic dos veces en Aceptar para validar las modificaciones.fr y luego pulse [F6] para validar la modificación. La línea en el campo se torna verde. el parámetro no estará actualizado.Se despliega un filtro. seleccione Nuevo y luego Internet Explorer 10. En el menú contextual. introduzca www. En Página principal. Sin la validación de la tecla [F6]. Marque la opción Eliminar el historial de exploración al salir. la directiva se aplica solamente a los equipos que ejecutan Windows 8.1. . Haga clic en Configuración del Panel de control y luego haga clic con el botón derecho enConfiguración de Internet.nibonnet. Recuerde validar con la tecla [F6]. Marque la casilla Usar servidor proxy para la LAN y luego introduzca la dirección192. .1.200 y el puerto 8080 en los campos adecuados.Haga clic en la pestaña Conexiones y luego en el botón Configuración de LAN.168. . Inicie Internet Explorer y luego acceda a las Opciones de Internet. Seleccione Parámetros de Puesto cliente y luego haga clic en Aceptar. La página principal se ha configurado correctamente. Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administración de directivas de grupo. así como la opción Eliminar el historial de exploración al salir. abra una sesión como Alumno1 y luego inicie un símbolo del sistema e introduzca el comando gpupdate /force. Inicie el Explorador de Windows y luego acceda a la partición C:. seleccione Vincular un GPO existente. En el equipo CL8-01. La carpeta se ha creado correctamente. en el menú contextual. Haga clic con el botón derecho en la unidad organizativa Form y luego. .Seleccione la pestaña Conexiones y luego haga clic en el botón Configuración de LAN. .La configuración se ha efectuado correctamente. ahora es posible crear varias directivas de grupo: para el equipo local. . para el grupo No Administradores o para un usuario específico. se replica con Active Directory mientras que la GPT. es necesario un mínimo de 11 puntos para aprobar el capítulo. mientras que se emplea la clave HKEY_Local_Machine para la Configuración el equipo. La GPT se almacena en SYSVOL. Respuestas 1 ¿Cuántas directivas de grupo locales podemos implantar en un puesto Windows 8? A diferencia de los sistemas operativos anteriores a Windows Vista que permitían la creación de una única directiva de grupo local. la GPC (Group Policy Container) y la GPT (Group Policy Template). que contiene los diferentes parámetros. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 3 ¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración del equipo? Los parámetros contenidos en la parte Configurción del usuario modifican la clave HKEY_Current_User. que contiene el ID y el número de versión. para el grupo Administradores. 3. debemos utilizar la consola Administración de directivas de grupo (GPMC) y el Editor de administración de directivas de grupo (GPME).Validación de conocimientos: preguntas/respuestas 1. 1 ¿Cuántas directivas de grupo locales podemos implantar en un puesto Windows 8? 2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo? 3 ¿Qué claves del registro se modifican al utilizar la Configuración de usuario y la Configuración del equipo? 4 ¿Dónde se almacenan los diferentes componentes de la GPO y cómo se replican? 5 ¿Qué es una extensión de lado del cliente? 6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP? 7 ¿Cuál es el objetivo de una GPO de inicio? 8 ¿Cuál es el orden de aplicación de una GPO? 9 ¿En qué momento se aplica una directiva de grupo? 10 ¿Es posible forzar una actualización desde la consola GPMC? 11 ¿Cuáles son las directivas de grupo predeterminadas? 12 ¿En qué consiste el filtrado de seguridad? 13 ¿Cómo creamos un almacén central? 14 ¿Cómo está compuesta una plantilla administrativa? 2. La GPC. se replica con el sistema de replicación de la carpeta SYSVOL. 2 ¿Cómo se llaman las dos consolas utilizadas para administrar las directivas de grupo? Para administrar las diferentes directivas de grupo. 4 ¿Dónde se almacenan los diferentes componentes de la GPO y cómo se replican? La directiva de grupo está compuesta de dos partes. Resultados Para cada respuesta acertada. contabilice un punto. instalar las extensiones adecuadas en el lado cliente.. Por su parte contiene los textos de ayuda. 6 ¿Es posible aplicar las preferencias de directivas de grupo en un equipo con Windows XP? Para poder aplicar las preferencias en un puesto Windows XP es necesario. la directiva Default Domain Plocy contiene los parámetros de seguridad. 13 ¿Cómo creamos un almacén central? Se puede crear un almacén central simplemente copiando la carpeta PolicyDefinitions en C:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\. en primer lugar. Se aplica al conjunto de objetos del dominio. Por último.). Durante su creación. se aplica la directiva de sitio AD. 11 ¿Cuáles son las directivas de grupo predeterminadas? Al promover un servidor. La directiva que se atribuye a un controlador de dominio se recupera cada 5 minutos. los parámetros de seguridad se aplican cada 16 horas incluso si no ha ocurrido ninguna modificación. Consiste en forzar una actualización de las diferentes directivas en el equipo cliente o en el servidor. 14 ¿Cómo está compuesta una plantilla administrativa? Una plantilla administrativa está compuesta por un archivo ADMX. La directiva Default Domain Controllers Policy se vincula a la unidad organizativa Domain Controllers. 10 ¿Es posible forzar una actualización desde la consola GPMC? Si. Antes de aplicar una posible directiva local. Ubicada en la raíz del dominio. La recuperación de la directiva solo se efectúa si ha habido una modificación. por último. 12 ¿En qué consiste el filtrado de seguridad? Este tipo de filtrado permite limitar la recuperación de una directiva a los miembros del grupo que está configurado en el Filtrado de seguridad. etc. se crean dos directivas de grupo. Permite por su parte configurar los registros de auditoría en los controladores de dominio o proporcionar derechos suplementarios a los usuarios (abrir una sesión en un controlador de dominio. se aplica la directiva de dominio y. también. 5 ¿Qué es una extensión de lado del cliente? Una CSE o extensión del lado cliente se encuentra en el sistema operativo. que contiene las claves a modificar y a su vez el nombre del valor DWORD. 7 ¿Cuál es el objetivo de una GPO de inicio? Una GPO de inicio permite crear plantillas de configuración en las plantillas administrativas. A continuación. los administradores tienen la posibilidad de crear la directiva basándose en la plantilla (los parámetros se agregarán. 8 ¿Cuál es el orden de aplicación de una GPO? Una directiva de grupo se aplica en un orden estricto. esto es una novedad de Windows Server 2012. se recuperan y aplican en el equipo las directivas asociadas a las diferentes unidades organizativas. . Existen tantas extensiones del lado cliente como tipos de parámetros.. y el de su clave. Tiene como objetivo recuperar la configuración y aplicarla. Esta funcionalidad evita tener que ejecutar el comando gpupdate /force en el equipo local. Adicionalmente esta operación se efectúa al arrancar el equipo o tras iniciar sesión. a las nuevas directivas). 9 ¿En qué momento se aplica una directiva de grupo? Una directiva de grupo se aplica cada 90 a 120 minutos. El archivo ADML viene a completar al archivo anterior. ).Requisitos previos y objetivos 1. Poseer nociones sobre los parámetros de seguridad (plantilla de seguridad. Configuración del Firewall. Uso de los grupos restringidos. Configuración de la UAC e implantación de una política de auditoría. 2. Implantación de una política de restricción de software. Requisitos previos Tener conocimientos acerca del funcionamiento de la UAC. Tener nociones acerca del Firewall de Windows. Objetivos Creación de la plantilla de seguridad e implantación de los derechos de usuario. . etc. .Introducción La protección de la infraestructura de sistema y de red debe ser una prioridad para todos los administradores. Se deben desplegar soluciones de seguridad para evitar la pérdida de datos. En caso de detectar diferencias. Se pueden utilizar varias herramientas para efectuar esta operación.Directivas locales. Los derechos de inicio de sesión que atribuyen los permisos de inicio de sesión (por ejemplo: conexión local para el usuario a un controlador de dominio). Creación de una plantilla de seguridad Una plantilla de seguridad se presenta en forma de archivo.Directivas - Configuración de Windows . Miembro de grupos restringidos.Configuración de los parámetros de seguridad Para simplificar el despliegue de una solución de seguridad. Esto permite aplicar la solución a un máximo de usuarios y equipos. bloqueo y Kerberos.exe: esta herramienta por línea de comandos permite configurar y analizar la seguridad. Este nodo está accesible desplegando los nodos Configuración del equipo . podemos emplear directivas de grupo. Configuración de los derechos de usuario Los derechos de usuario permiten asignar a un usuario permisos suplementarios. 1.Configuración de seguridad . La configuración se puede efectuar accediendo al nodo Asignación de derechos de usuario. Las plantillas creadas pueden utilizarse para aplicar una directiva de seguridad en uno o más equipos. El componente Plantillas de seguridad permite crear una plantilla que contiene diferentes parámetros de seguridad. Éstos permiten realizar acciones específicas normalmente prohibidas a una cuenta que no posee permisos de administrador. . Auditoría y derechos de usuario. sistema y seguridad. 2. Registros de eventos de aplicación. Podemos dividir los permisos en dos tipos: Los privilegios que permiten el acceso a un equipo o un recurso del dominio que proporcionan al usuario permisos para realizar una acción (por ejemplo: permiso para guardar archivos y carpetas). Secedit. Se efectúa una comparación entre la plantilla de seguridad y los parámetros en curso. es posible volver a aplicar la plantilla. No existen permisos configurados de forma predeterminada para las directivas de grupo. Configuración y análisis de la seguridad tiene como objetivo analizar la configuración del servidor y compararla con una plantilla. Podemos configurar los parámetros en las siguientes secciones: Política de contraseña. Éste permite la gestión y la configuración de los parámetros de seguridad. Autorizar la conexión en local. . Configuración de la UAC (User Account Control) Las cuentas de los administradores son cuentas de usuario especiales. solo el proceso que solicita la elevación funciona con permisos de administrador. cambiar la configuración de Windows. los usuarios estándar y los administradores se encuentran por defecto con los mismos derechos en el equipo. De esta forma. Hacer copia de seguridad de archivos y carpetas. Autorizar sesiones Terminal Server. debido a los derechos que ofrecen al usuario que inicie sesión con ellas (modificar el Registro. Estos parámetros pueden emplearse para efectuar varias operaciones: Añadir un equipo al dominio. 3. De esta forma. La UAC (User Account Control) hizo su aparición con Windows Vista y Windows Server 2008.)... Si existe la necesidad de utilizar permisos más elevados. Esta funcionalidad permite asegurar el uso de las cuentas sensibles solicitando al usuario una confirmación cuando un proceso necesita permisos de administración. los de una cuenta de usuario. Son posibles dos acciones: El usuario es administrador: la UAC solicita a la persona conectada la autorización para continuar la ejecución del proceso que necesita permisos de administración. El usuario es un usuario estándar: es necesario informar credenciales de una cuenta con permisos de administración. Es preferible proteger estas cuentas para garantizar un buen funcionamiento del sistema operativo y la integridad de los datos. Cambiar la hora. la UAC efectúa una elevación de privilegios. Si la persona conectada no es un administrador. se solicitan los identificadores de una cuenta de administrador. Directivas - Configuración de Windows . Este parámetro se aplica solamente a la cuenta Administrador. Esta funcionalidad puede configurarse accediendo al nodo Configuración del equipo . podemos encontrar: Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador: permite controlar el comportamiento de la petición de elevación. Pedir consentimiento en el escritorio seguro: cuando se ejecuta un proceso que requiere permisos de administración. se pide al usuario que autorice o deniegue esta elevación de privilegios.Opciones de seguridad.Configuración de seguridad . Pedir credenciales en el escritorio seguro: se solicitan las credenciales de elevación de privilegios en el escritorio seguro.El componente de la UAC puede configurarse para ajustar la frecuencia de la notificación. Existen varias opciones: Elevar sin preguntar: las operaciones que necesiten la elevación de privilegios se realizan sin solicitar al usuario la autorización de elevar el privilegio. En caso de aceptación. Mediante esta lista de parámetros. . se asignan los máximos permisos del usuario para ejecutar el proceso.Directivas locales . . Rechazar solicitudes de elevación automáticamente: el usuario no tiene la posibilidad de hacer una elevación de privilegios. la introducción de las credenciales se efectúa en el escritorio seguro. Existen varias opciones disponibles: Pedir credenciales: se pide al usuario que introduzca un nombre de usuario y una contraseña cuando debe realizarse la elevación de privilegios. Si el proceso tiene necesidad de privilegios superiores se muestra un mensaje de acceso denegado. Pedir credenciales en el escritorio seguro: al intentar elevar los privilegios.Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar: permite gestionar el comportamiento de la petición de elevación para las cuentas que no cuentan con permisos de administración. Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación: permite autorizar la solicitud de elevación al instalar una aplicación.). Deshabilitada: no se pide elevación de privilegios. Seleccione esta opción con la instalación automática de una aplicación (GPSI... SCCM. Existen dos opciones disponibles: Habilitada: se muestra la ventana de elevación de privilegios durante la instalación de una aplicación. . Todos esto parámetros se pueden configurar accediendo al nodo Directiva de auditoría ubicado enConfiguración del equipo . Estas auditorías se implementan en varios servidores y pueden incluir accesos correctos o erróneos. Permite seguir la actividad de los usuarios (inicio de sesión.Configuración de Windows ..Configuración de seguridad -Directivas locales .Directivas . Todos estos eventos se registran en el registro de eventos de seguridad. Los intentos de conexión a un servidor o equipo concreto.Directiva de auditoría.. la UAC no está habilitada en un servidor instalado en modo Core. Los accesos a una carpeta compartida efectuados por un usuario o grupo. acceso a un recurso. 4. Se pueden auditar varios eventos en una directiva de seguridad: Las modificaciones hechas por el grupo Administradores. Por defecto. . Implantación de una directiva de auditoría La directiva de auditoría es un punto muy importante. Esta funcionalidad no está concebida para espiar a los usuarios sino para detectar un intento de acceso no autorizado a un recurso.). lectura…). Podemos acceder a los parámetros avanzados del sistema de auditoría desde Configuración del equipo . Auditar eventos de inicio de sesión de cuenta: indica al sistema operativo que debe auditar cada validación de credenciales de cuenta.Configuración de directiva de auditoría avanzada .Configuración de seguridad .Es posible activar varios tipos de parámetros: Auditar el acceso al servicio de directorio: permite auditar los intentos de acceso al objeto de Active Directory. . al igual que el acceso solicitado (escritura. Auditar eventos de inicio de sesión: permite al sistema operativo auditar los intentos de conexión y desconexión del equipo.Directivas de auditoría. La SACL debe estar también configurada con un grupo o cuenta de equipo. Auditar el acceso a objetos: audita objetos no Active Directory. Es preciso configurar la SACL (System Access Control List).Configuración de Windows .Directivas . Los grupos restringidos pueden configurarse empleando el nodo Configuración del equipo - Directivas . La lista se reemplaza por aquella configurada en el grupo restringido.Grupos restringidos. Para agregar una lista de usuarios al grupo de Administradores locales de cada equipo.Configuración de Windows .Configuración de seguridad . Utilización de los grupos restringidos Los grupos restringidos permiten gestionar los miembros de algunos grupos. Estos parámetros pueden utilizarse para configurar las cuentas locales como hemos visto anteriormente. La activación de la auditoría sobre las acciones correctas puede generar un gran número de eventos en el registro Seguridad. o simplemente los grupos del dominio. Sin embargo. esta operación puede en algunos casos borrar completamente la lista de los miembros del grupo. 5. . debemos utilizar los grupos restringidos para automatizar esta operación. Directivas de restricción de software. Proporciona a los administradores las herramientas necesarias para identificar y autorizar o prohibir la ejecución de la aplicación. La directiva de restricción de software Esta funcionalidad aparece con Windows XP y 2003 Server. Usuario básico: la aplicación se ejecuta con permisos de usuario exclusivamente.Configuración de seguridad . Las reglas están basadas en uno o varios criterios que se aplican a un archivo ejecutable: Hash: firma del archivo.Implantación de una restricción de software Esta funcionalidad no permite evitar la instalación de un software pero si su ejecución. Ilimitado: los permisos de acceso del usuario permiten determinar la ejecución o no de la aplicación.Configuración de Windows . Los parámetros se despliegan empleando una directiva de grupo. Certificado: certificado digital emitido por el fabricante del ejecutable. 1. la restricción de software está compuesta por reglas y niveles de seguridad. Aún presente por razones de compatibilidad. Las restricciones de software pueden configurarse empleando el nodo Configuración del equipo - Directivas . Esto permite prohibir la ejecución de una aplicación no autorizada por el departamento de TI. Zona: zona Internet. Ruta de acceso: ruta local o UNC que contiene los ejecutables a bloquear. Las reglas Permiten indicar si la ejecución de una aplicación está autorizada. . Existen tres niveles de seguridad: No permitido: la aplicación identificada en la regla no funciona. Este nivel indica el comportamiento del sistema operativo durante la ejecución del software definido en la regla. incluso para las cuentas de administradores. Niveles de seguridad Cada regla obtendrá un nivel de seguridad. aplicaciones cuyas licencias no hayan sido compradas. Esta funcionalidad puede configurarse en el nodo Configuración del equipo . por ejemplo. Se gestionan tres tipos de archivo: Ejecutables Scripts Windows Installer (msi) Las reglas de AppLocker permiten impedir el uso de una aplicación y pueden utilizarse en varios casos: Aplicación prohibida en la empresa (MSN. etc.). Aplicación reservada a un departamento específico. Podemos aplicar una regla para gestionar su ejecución o utilizar la auditoría para poder probar las reglas antes de su implantación.Directivas - . a su vez. 2. Utilización de AppLocker AppLocker aparece a partir de los sistemas operativos Windows Server 2008 y Windows Vista. Esta funcionalidad permite a los administradores implementar reglas de manera sencilla y se basa a su vez en el despliegue de directivas de grupo. Solo el software validado por el departamento de informática estará autorizado a ejecutarse. La regla se aplica a un usuario o grupo de seguridad de Active Directory. implementar restricciones de software. La funcionalidad AppLocker apareció con Windows Server 2008 y permite. es posible controlar la ejecución de una aplicación. Software reemplazado por una nueva versión u otro más utilizado. Los administradores pueden prohibir. Al igual que para la restricción de software. Hash de archivo: se utiliza el hash para identificar la aplicación y gestionar su ejecución. Las reglas emplean varios criterios para identificar la aplicación: Editor: se basa en la firma digital del editor. Ruta de acceso: autoriza o bloquea todos los ejecutables contenidos en la ruta de acceso proporcionada. Utilizando el editor de reglas podemos filtrar según el número de versión. Este tipo de regla ofrece la posibilidad de crear un filtro muy personalizado. .. etc). Se utiliza el servicio Identidad de aplicación para el funcionamiento de AppLocker. También es posible crear reglas predeterminadas que garanticen el correcto funcionamiento del sistema operativo. Aplicaciones empaquetadas: gestiona la ejecución de una aplicación incluida en el nuevo menú Inicio (SkyDrive.Configuración de seguridad . Todos tienen permisos para ejecutar los archivos ejecutables presentes en los directorios Program Files y Windows. el nombre de producto.Configuración de Windows .Directivas de control de aplicaciones.. Éstas contienen una acción (Permitir o Denegar) que rige el funcionamiento de la aplicación: Los administradores tienen permisos para ejecutar los archivos ejecutables presentes en cualquier entorno. Si el servicio está detenido. no se aplican las reglas. . activación/desactivación del Firewall. El tráfico saliente está autorizado por defecto. También es posible indicar si el firewall está activo o inactivo por perfil. Las reglas de entrada se utilizan cuando los equipos efectúan un intercambio de tramas con destino al servidor.Configuración de Windows . La consola Firewall de Windows con seguridad avanzada permite gestionar el servicio de Firewall (creación de reglas. con la excepción del que está explícitamente autorizado por el administrador. Todo el tráfico entrante está bloqueado de manera predeterminada. La operación se efectúa mediante la consola Firewall de Windows con seguridad avanzada. Resulta.Firewall de Windows con seguridad avanzada). El firewall emplea los perfiles de red en las diferentes reglas que contiene. estado o por grupo) e importar o exportar las reglas creadas.Directivas .El Firewall de Windows A partir de Windows Server 2008 y Windows Vista. Se puede configurar IPsec empleando reglas de seguridad de conexión. También es posible filtrar desde la consola (por perfil. Este tipo de reglas permiten securizar una comunicación entre dos equipos. La configuración puede realizarse de forma manual en cada equipo o de forma automática utilizando la directiva de grupo (Configuración del equipo .. Estos juegos contienen las diferentes reglas y el estado (Habilitado o Deshabilitado) del Firewall. Las reglas de salida las inicia la máquina host y están destinadas a los otros equipos de la red o al exterior. introduzca Firewall. Sin embargo es posible bloquearlo creando una regla. en el menúInicio. . dominio o pública). ahora. mucho más sencillo dar un juego de configuración para cada red (privada.Configuración de seguridad . haga clic en Firewall de Windows con seguridad avanzada. el Firewall de Windows filtra el tráfico entrante y saliente.). En el menú de la derecha. Para acceder a la consola. Haga clic en Archivo . En AD1. Máquina virtual utilizada: AD1. En el campo Nombre de plantilla. Haga clic en Agregar y luego en Aceptar. A continuación. . En el menú contextual.Agregar o quitar complementos y luego haga clic en Plantillas de seguridad. Creación de una plantilla de seguridad Objetivo: efectuar la creación de una plantilla de seguridad y luego importarla en la directiva de grupo. Despliegue el nodo Plantillas de seguridad y luego haga clic con el botón derecho en la carpeta.Talleres Los talleres presentados permiten implementar diferentes soluciones de seguridad del equipo. abra la consola MMC. 1. se modificará la configuración y se llevará a cabo una auditoría mediante el componente Configuración y análisis de la seguridad. introduzca Plantilla Admins. y luego haga clic en Aceptar. haga clic en Nueva plantilla. despliegue los nodos Bosque yDominios. en el menú contextual. Inicie la consola Administración de directivas de grupo. . Configure los parámetros como se indica a continuación: Exigir historial de contraseñas: 16 contraseñas Vigencia mínima de la contraseña: 0 días Vigencia máxima de la contraseña: 90 días Almacenar contraseñas con cifrado reversible: Deshabilitada La contraseña debe cumplir los requisitos de complejidad: Habilitada Longitud mínima de la contraseña: 12 Haga clic con el botón derecho en Plantilla Admins. La consola presenta los diferentes parámetros. y luego.Despliegue el nodo Plantilla Admins. Despliegue Directivas de cuenta y luego Directiva de contraseñas. haga clic enGuardar. Haga doble clic en el archivo Plantilla Admins. Despliegue los nodos Configuración del equipo. Los parámetros se importan en la directiva Default Domain Policy. Haga clic con el botón derecho en Configuración de seguridad y luego haga clic en Importar directiva. . Directivas y Configuración de Windows. Haga clic con el botón derecho en Defaut Domain Policy y luego haga clic en Editar. Haga clic en el botón Agregar y luego en Aceptar.Agregar o quitar complemento y luego haga clic en Configuración y análisis de seguridad. seleccione Raiz de consola.Modifique la directiva de grupo Default Domain Policy como se indica a continuación: Exigir historial de contraseñas: 1 contraseña Vigencia mínima de la contraseña: 0 días Vigencia máxima de la contraseña: 200 días Almacenar contraseñas con cifrado reversible: Deshabilitada La contraseña debe cumplir los requisitos de complejidad: Deshabilitada Longitud mínima de la contraseña: 12 En la consola MMC. . Haga clic en Archivo . Introduzca BDD Admins en el campo Nombre y luego haga clic en Abrir. Haga clic con el botón derecho en Configuración y análisis de seguridad y luego seleccioneAnalizar el equipo ahora en el menú contextual.Haga clic con el botón derecho en Configuración y análisis de seguridad y luego seleccione Abrir base de datos en el menú contextual. haga clic en Plantilla Admins y luego en Abrir. En la ventana importar plantilla. . Mueva la cuenta de equipo de CL8-02 a la OU recién creada. Debemos volver a aplicar la plantilla de seguridad.local y luego. deje la ruta predeterminada y luego haga clic en Aceptar. rojo: conflicto entre la plantilla de seguridad y la GPO). Haga clic con el botón derecho en Formacion. CL8-02. en el menú contextual. inicie la consola Usuarios y equipos de Active Directory. En el campo Nombre. Máquinas virtuales utilizadas: AD1. En la ventana Realizar análisis. 2. . La consola central presenta las diferentes opciones y un posible conflicto (verde: ok. seleccioneNuevo y Unidad organizativa. Los parámetros de la directiva de grupo Default Domain Policy han sido modificados por los parámetros de la plantilla. Ésta permite actualizar el conjunto de parámetros de forma muy sencilla. Utilización de grupos restringidos Objetivo: crear una directiva vinculada a la OU Servidor que permita configurar los grupos restringidos. En la ventana Configurar el sistema. Haga clic con el botón derecho en Configuración y análisis de seguridad y luego en el menú contextual seleccione Configurar el equipo ahora. Despliegue los nodos Directivas de cuenta y luego Directiva de contraseñas. introduzca Cliente y luego haga clic en Aceptar. En AD1. deje la ruta predeterminada y luego haga clic en Aceptar. Configuración de seguridad .Inicie la consola Administración de directivas de grupo. haga clic en Editar.local. En la consola Editor de administración de directivas de grupo. Introduzca Grupo restringido en el campo Nombre y luego haga clic en Aceptar. despliegue los nodosConfiguración del equipo .Directivas . . Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo. La directiva aparece en la consola. haga clic con el botón derecho en ella y luego.Configuración de Windows . Dominiosy Formacion.Grupos restringidos. en el menú contextual. despliegue los nodos Bosque. Introduzca Administradores en el campo Grupo. en el menú contextual. agregue al usuario Nicolas BONNET. . No utilice el botón Examinar que permite seleccionar un grupo del dominio. haga clic en Agregar grupo. el objetivo es agregar usuarios al grupo Administradores locales de cada equipo. En el campo Miembros de este grupo.Haga clic con el botón derecho en Grupos restringidos y luego. La lista de los miembros se vacía y reemplaza por la configuración siguiente. En el menú contextual. La cuenta Admins. Abra una sesión como administrador en CL8-02. del dominio ha sido eliminada. Inicie un símbolo de sistema DOS e introduzca el comando gpupdate /force. La directiva está ahora vinculada a la unidad organizativa. CL8-02 debe ser miembro del dominio. Seleccione Grupo restringido y luego haga clic en Aceptar. haga clic con el botón derecho en la unidad organizativa Cliente. En la consola Administración de directivas de grupo. Haga clic en Aceptar y cierre el Editor de administración de directivas de grupo. haga clic en Vincular un GPO existente. . Auditoría de un sistema de archivos Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos. Actualizando la directiva de grupo. . se actualiza el grupo de administradores locales. 3.Debemos agregar el grupo Admins. del dominio en el grupo restringido. marque la opción Compartir esta carpeta. Haga clic en el botón Permisos. Agregue la cuenta Admins. . En la ventana Uso compartido avanzado. Haga clic en Aplicar y luego en Aceptar y Cerrar. del dominio y luego asígnele el permiso Control total. y luego elimine la entrada Todos. haga clic en la pestaña Seguridad. cree una carpeta llamada Informática en la partición C. Haga clic en el botón Opciones avanzadas y luego en Deshabilitar herencia. Haga clic en el botón Uso compartido avanzado. En la ventana de propiedades de la carpeta Informática.Máquinas virtuales utilizadas: AD1 y CL8-01 En AD1. Acceda a las Propiedades de la carpeta y luego haga clic en la pestaña Compartir. Haga clic en Quitar todos los permisos heredados de este objeto. . Haga clic en Agregar y luego en el vínculo Seleccionar una entidad de seguridad. haga clic en Agregar. En la pestaña Auditoría. Haga clic en el vínculo Seleccionar una entidad de seguridad y luego introduzca Alumno 1 en la ventana que se muestra. . Haga clic en Aceptar y luego en Aplicar. del dominio y luego haga clic en Comprobar nombres.En la ventana de selección. introduzca Admins. Haga clic en Aceptar y luego proporcione al usuario el permiso Control total. inicie la consola Administración de directivas de grupo y luego haga clic con el botón derecho en Objetos de directiva de grupo. Despliegue los nodos Configuración del equipo .Directivas locales y Directiva de auditoría. En la lista desplegable Tipo. Haga clic tres veces en Aceptar. Introduzca Auditoría carpeta Informática en el campo Nombre y luego haga clic en Aceptar.Haga clic en Comprobar nombres y luego en Aceptar. seleccione la opción Nuevo. seleccione Error y luego active el permiso Control total. Se abre la consola Editor de administración de directivas de grupo. En AD1. marque Definir esta configuración de directivay . En el menú contextual.Directivas .Configuración de Windows - Configuración de seguridad . Haga doble clic en Auditar el acceso a objetos. Haga clic con el botón derecho en la directiva y seleccione la opción Editar. Intente acceder a la carpeta compartida Informática en el equipo SV1. Haga clic en Aplicar y luego en Aceptar. . Un mensaje de aviso indica un acceso denegado. Abra una sesión como Alumno1 (contraseña Pa$$w0rd) en CL8-01. inicie la consola Administración de equipos y despliegue los nodos Visor eventos y luego Registros de Windows. Vincule la directiva Auditoría carpeta Informática a la unidad organizativa Domain Controllers. En AD1.seleccione la casilla Error. Abra un símbolo del sistema DOS y ejecute el comando gpupdate /force en AD1. Visualice el registro de eventos Seguridad. Cierre la consola Administración de directivas de grupo. Si no ve la pestaña Seguridad. inicie la consola Usuarios y equipos de Active Directory. y luego haga clic enPropiedades. Abra el evento que hace referencia al intento de acceso de Alumno1 (ID 4656). Abra la pestaña Seguridad y luego haga clic en el botón Opciones avanzadas. Auditoría de modificaciones en el directorio Objetivo: implementar una auditoría para recopilar eventos sobre los intentos fallidos. del dominio. Máquinas virtuales utilizadas: AD1 y CL8-01 En AD1. cierre el cuadro de diálogo. 4. Haga clic en el menú Ver de la consola MMC y verifique que la opción Opciones avanzadas está seleccionada. Haga clic con el botón derecho en el grupo Admins.local y haga clic en el contenedor Users. . Despliegue el dominio Formacion. Para cada intento de Alumno1. se crea un evento en este registro. luego haga clic en Editar. Abra la pestaña Auditoría y luego seleccione la primera entrada de auditoría para la que la columna Acceso sea Especial. tales como la modificación del propietario… . Esto va a permitir auditar los intentos de modificación denegados en las propiedades del grupo. .Directivas .Configuración de directiva de auditoría avanzada. despliegue los nodosConfiguración del equipo .local.Configuración de seguridad .Haga clic en Control total y luego tres veces en Aceptar para validar todas las ventanas. En la consola Editor de administración de directivas de grupo. Despliegue los nodos Bosque: Formacion.Configuración de Windows .local y luego haga clic en la unidad organizativa Domain Controllers. Haga clic con el botón derecho en Defaut Domain Controllers Policy y seleccione Editar. Inicie la consola Administración de directivas de grupo. Dominios y Formacion. haga clic en Acceso DS. . Haga doble clic en Auditar cambios de servicio de directorio y luego marque Configurar los siguientes eventos de auditoría y Correcto.En Directivas de auditoría. Agregue la cuenta nbonnet en el grupo Admins. La actualización del parámetro de auditoría toma algunos segundos. del dominio. En el campo Nombre.local. En la consola GPMC. haga clic en Editar. inicie la consola Administración de directivas de grupo. Aparece un evento con el ID 5136 que permite conocer la cuenta que ha efectuado la operación. haga clic con el botón derecho en AppLocker y luego. Se inicia la consola Editor de administración de directivas de grupo. Creación de reglas con AppLocker Objetivo: crear las reglas de AppLocker que permitan bloquear la ejecución de un programa. en el menú contextual. Dominios y luego Formacion. introduzca AppLocker y luego haga clic en Aceptar. el objeto que ha sido modificado al igual que la cuenta que ha sido agregada. Despliegue los nodos Visor de eventos. Registro de Windows y luego haga clic en el registroSeguridad. Inicie la consola Administración de equipos del controlador de dominio. . eliminada… 5. Haga clic en Aplicar y luego en Aceptar. despliegue los nodosBosque:Formacion. inicie un símbolo del sistema DOS y luego introduzca el comando gpupdate /force.local. Haga clic con el botón derecho en Objetos de directiva de grupo y luego haga clic en Nuevo en el menú contextual. En AD1. Máquinas virtuales utilizadas: AD1 y CL8-02 En AD1. haga clic en Siguiente. Despliegue los nodos Configuración del equipo . Haga clic con el botón derecho en Reglas ejecutables y luego seleccione Crear reglas predeterminadas.Directivas de control de aplicaciones . Aparecen tres reglas: Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Program Files. Autorizar al grupo Todos ejecutar los archivos ejecutables en la carpeta Windows. En la ventana Antes de comenzar. .Configuración de Windows - Configuración de seguridad . Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la opciónCrear nueva regla. Marque el botón Denegar y luego haga clic en Siguiente.Directivas . Autorizar a los miembros del grupo Administradores a ejecutar los archivos ejecutables en cualquier carpeta.AppLocker. exe ubicado en C:\Program Files\Windows Mail. Ahora debemos seleccionar la aplicación cuya ejecución será denegada. . deje marcada la opción Editor y luego haga clic en Siguiente. En la ventana Condiciones. Haga clic en el botón Examinar y luego seleccione el archivo wab. introduzca Regla Bloquear Wab y luego haga clic en el botón Crear.2. En la ventana de creación de excepciones. El valor Y superior permite bloquear la versión 6. Haciendo clic enUsar valores personalizados.Es posible mover el cursor hacia arriba o hacia abajo para personalizar lo que se desea bloquear. Haga clic en Siguiente para validar su elección.0 (u otra). Situándolo encima de Nombre de producto. En el campo Nombre. Es posible configurar los valores Y superior. haga clic en Siguiente. E inferior o Exactamente. se bloquean todas las versiones de WAB. . versión 6.0.0 y posteriores. Creando una excepción podemos autorizar una de las versiones bloqueadas.3.0. podemos modificar todos los campos y seleccionar el valor deseado de la lista desplegable. Marque la opción Denegar y luego haga clic en Siguiente.Se ha creado la regla correctamente. seleccione Ruta de acceso y luego haga clic en Siguiente. En la ventana Condiciones. haga clic en Siguiente. Haga de nuevo clic con el botón derecho en Reglas ejecutables y seleccione esta vez la opciónCrear nueva regla. . En la ventana Antes de comenzar. Haga clic con el botón derecho en AppLocker y luego haga clic en Propiedades.Podemos bloquear un ejecutable en particular o todos los ejecutables presentes en una carpeta. En el campo Nombre introduzca Regla Bloquear IE y luego haga clic en el botón Crear. marque la casilla Configurado y luego en la lista desplegable seleccione Solo auditoría. haga clic en Siguiente. haga clic en Siguiente. No debe crearse ninguna excepción. . A continuación. Las dos reglas están ahora creadas. Haga clic en Examinar carpetas y luego seleccione la carpeta Internet Explorer ubicada enProgram Files(x86)\Internet Explorer. En Reglas de ejecutables. haga doble clic en Identidad de aplicación.Haga clic en Aplicar y luego en Aceptar. En la consola Servicios. vincule la directiva de grupo AppLocker a la OU Cliente. Abra una sesión como administrador en el equipo CL8-02. seleccione Automático y luego inicie el servicio. En la lista desplegable Tipo de inicio. Verifique la presencia de la cuenta de equipo CL8-02 en la OU Cliente. . En la consola Administración de directivas de grupo. AppLocker puede tardar varios minutos después del inicio para funcionar. Se crea un evento en el registro AppLocker (registro ubicado en Registro de aplicaciones - Microsoft . . Inicie un símbolo de sistema DOS y luego introduzca el comando gpupdate /force.Windows). Ejecute Internet Explorer ubicado en la zona de inicio rápido. Reinicie el equipo para poder garantizar la aplicación de la directiva de grupo. Haga clic en Aplicar y luego en Aceptar. . Se muestra un nuevo evento en la consola. a continuación. haga clic en Aceptar. Haga clic con el botón derecho en el menú Inicio y seleccione Ejecutar. Se muestra la ventana Contactos. Introduzca wab y. Directivas . considere actualizar la consola para ver el nuevo elemento.Configuración de Windows - Configuración de seguridad .Si la consola Administración de equipos ya está iniciada. En la lista desplegable de las Reglas de ejecutables. Despliegue los nodos Configuración del equipo . Haga clic con el botón derecho en AppLocker y luego.Directivas de control de aplicaciones .AppLocker. reemplace Solo auditoría por Aplicar reglas. edite la directiva de grupo AppLocker. En AD1. en el menú contextual. . seleccionePropiedades. se muestra un mensaje informando que el programa está bloqueado. En CL8-02. Se emplean los perfiles de red para aplicar o no una regla. 6. Configuración del Firewall de Windows Objetivo: desplegar las reglas del Firewall. . Máquinas virtuales utilizadas: AD1 y CL8-02. El programa WAB está también bloqueado. Ejecute Internet Explorer. inicie un símbolo del sistema DOS y luego introduzca el comando gpupdte /force. Valide la modificación haciendo clic en el botón Aceptar. a continuación. haga clic en Configuración avanzada. .En el equipo CL8-02. haga clic en Configuración avanzada para iniciar la consola Firewall de Windows y. abra una sesión como Administrador de dominio. En el menú. Haga clic en Firewall de Windows para iniciar la consola. En la interfaz del menú Inicio. escriba Firewall y seleccione Configuración. En la ventana Tipo de regla.Haga clic en Reglas de salida y luego en Nueva regla en el panel Acciones. . seleccione la opción Personalizada y luego haga clic en Siguiente. . deje la opción por defecto en la ventanaPrograma y haga clic en Siguiente.La regla se debe aplicar a todos los programas. seleccione el protocolo ICMPv4 y luego haga clic enSiguiente.El objetivo es bloquear las respuestas del equipo a la ejecución de un Ping. . En la lista desplegable Tipo de protocolo. En la ventana Ámbito. Bloquear la conexión. Seleccione la acción deseada. y valide su opción haciendo clic enSiguiente. . haga clic en Siguiente. deje la opción por defecto y haga clic enSiguiente. .La regla se aplica de momento a los tres perfiles. .Introduzca Bloquear Ping en el campo Nombre y luego haga clic en Finalizar. En CL8-02, inicie un símbolo de sistema DOS e introduzca el comando ping -4 ad1. La opción -4 permite efectuar el ping utilizando el protocolo IPv4. El firewall bloquea las tramas y causa un error general. En la consola Firewall de Windows con seguridad avanzada, haga doble clic en la reglaBloquear Ping que acabamos de crear. Seleccione la pestaña Opciones avanzadas y luego desmarque el perfil Dominio. Vuelva a ejecutar el comando ping -4 ad1. El equipo es miembro del dominio, por lo que está configurado en el perfil Dominio. La regla Bloquear Ping no está activa en el perfil, el firewall permite que las tramas salgan. Validación de conocimientos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué es una plantilla de seguridad y en qué forma se presenta? 2 ¿Cuál es la utilidad del nodo Asignación de derechos de usuario? 3 Describa brevemente el funcionamiento de la UAC. 4 Describa brevemente las etapas de la implantación de un sistema de auditoría. 5 ¿A quién sirve la auditoría? 6 ¿Qué permiten auditar los eventos de inicio de sesión? 7 ¿Cuándo debe utilizar los grupos restringidos? 8 ¿Qué tipo de archivos puede gestionar AppLocker? 9 ¿Cómo se llama el servicio que se debe arrancar para utilizar AppLocker? 10 ¿Cuáles son los dos modos de funcionamiento de AppLocker? 11 ¿Qué consola permite crear reglas de Firewall? 12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué ocurre si no existe una regla para esta trama? 2. Resultados Para cada respuesta acertada, contabilice un punto, es necesario un mínimo de 10 puntos para aprobar el capítulo. 3. Respuestas 1 ¿Qué es una plantilla de seguridad y en qué forma se presenta? Una plantilla de seguridad se presenta en forma de archivo. Permite a un administrador definir los parámetros de contraseña, bloqueo al igual que otros parámetros de seguridad. Esta plantilla puede importarse, a continuación, en una directiva de grupo. 2 ¿Cuál es la utilidad del nodo Asignación de derechos de usuario? Este parámetro permite definir y asignar a uno o varios usuarios permisos suplementarios. Estos permisos pueden conceder la posibilidad de abrir una sesión en un controlador de dominio o el cambio de la zona horaria… 3 Describa brevemente el funcionamiento de la UAC. La UAC o User Account Control permite simplemente garantizar la seguridad del equipo asegurando que los procesos de usuario (Word, Internet Explorer…) se ejecutan con permisos de usuario. Si este último es un administrador, el token de acceso se divide en dos (un token de usuario para el uso cotidiano y un token de administrador para contar con permisos de administración). Cuando un proceso requiere permisos de administrador, solicita una elevación de privilegios. Después de la aceptación del usuario, el proceso que realiza la solicitud obtendrá permiso para utilizar el token de administrador. Sin embargo, si el usuario es una cuenta estándar sin permisos de administración, se requiere que se indique la información de inicio de sesión de un administrador para efectuar la elevación. 4 Describa brevemente las etapas de la implantación de un sistema de auditoría. Para implantar un sistema de auditoría, debemos crear una directiva de auditoría y luego vincular la unidad organizativa o la raíz del dominio. De acuerdo con los objetos, debemos configurar la SACL. 5 ¿A quién sirve la auditoría? La auditoría permite tener un registro de los eventos que ocurren en un objeto (grupo AD, carpeta...). Las auditorías pueden referirse a modificaciones, accesos, etc. Esta operación se configura para recuperar todos los eventos correctos o fallidos. 6 ¿Qué permiten auditar los eventos de inicio de sesión? Los eventos de inicio de sesión permiten al sistema operativo auditar los intentos de conexión y desconexión del equipo. 7 ¿Cuándo debe utilizar los grupos restringidos? El grupo restringido puede utilizarse cuando es preciso agregar un usuario a un grupo de dominio o un grupo local. En el último caso, esto evita que el administrador tenga que configurar el conjunto de equipos. 8 ¿Qué tipo de archivos puede gestionar AppLocker? AppLocker es capaz de bloquear scripts al igual que archivos ejecutables y MSI. 9 ¿Cómo se llama el servicio que se debe arrancar para utilizar AppLocker? El servicio Identidad de aplicación debe estar iniciado en cada equipo. Esto permite aplicar las reglas configuradas. 10 ¿Cuáles son los dos modos de funcionamiento de AppLocker? Se puede configurar AppLocker en modo auditoría, en caso que debamos probar las reglas. Durante la ejecución de la aplicación gestionada por AppLocker, un mensaje de aviso informa al administrador del resultado (bloqueado). El modo Aplicado permite implementar reglas y el posible bloqueo de los diferentes programas. 11 ¿Qué consola permite crear reglas de Firewall? La consola Firewall de Windows con seguridad avanzada permite la creación de las reglas entrantes, salientes o las reglas de conexión. 12 Durante la recepción de una trama, el firewall verifica las reglas entrantes y salientes. ¿Qué ocurre si no existe una regla para esta trama? En el caso de que no exista ninguna regla para validar la trama recibida por el firewall, se aplica la regla predeterminada. Esta última autoriza el tráfico saliente y prohíbe todo el tráfico entrante, salvo que exista una regla creada específicamente. Requisitos previos y objetivos 1. Requisitos previos Tener conocimientos de micro informática. Poseer nociones sobre las herramientas de mantenimiento presentes en Windows. 2. Objetivos Utilización del Administrador de tareas y el Monitor de recursos. Verificación del rendimiento empleando el Monitor de rendimiento. Utilización del registro de eventos. Creación de una vista personalizada. Implementación de una suscripción. El Administrador de tareas A partir de Windows Server 2012 existe una nueva consola Administrador de tareas. Ésta ofrece varias funcionalidades (operar en un servicio, cerrar una aplicación...). Se ha optimizado para responder mejor a las necesidades de los administradores. Se pueden realizar varias operaciones: Detener un proceso de forma rápida y eficaz: se ha modificado toda la interfaz de la consola. Los diferentes procesos de usuario (procesos activos) se muestran ahora de una forma más clara. Adicionalmente, se ha simplificado la operación que permite detener una aplicación. Haciendo clic en el botón Finalizar tarea es posible detener un proceso. Puede activarse una vista más detallada empleando el botón Más detalles. Diagnosticar un problema de rendimiento: la vista Más detalles permite acceder a las novedades del Administrador de tareas. El usuario avanzado o el administrador tienen una mayor facilidad para diagnosticar un problema de rendimiento. Se ha facilitado el acceso a los porcentajes de uso de los diferentes recursos del equipo (memoria, procesador). Adicionalmente, se presenta un total del uso de los diferentes recursos. Es interesante mirar en detalle cada proceso. Las pequeñas flechas presentes al lado de cada proceso permiten visualizar las aplicaciones que de él dependen. Si abrimos Explorador de Windows se muestra la carpeta CE14 que está actualmente abierta. Haciendo clic con el botón derecho en CE14 se accede a un menú contextual. Éste presenta varias opciones tales como minimizar o maximizar la consola, traer al frente o simplemente finalizar la tarea. Haciendo clic esta vez en Explorador de Windows, hay otras opciones disponibles. La opción Buscar en línea puede ser muy útil. Permite obtener información acerca del proceso en cuestión. La opción Valores del recurso permite cambiar las unidades de la columna Memoria para mostrar los porcentajes en lugar de valores y viceversa. El ejecutable puede encontrarse en cualquier carpeta de su sistema de archivos. Para poder acceder a la carpeta que contiene el ejecutable de un proceso sin tener que realizar una búsqueda, seleccione la opción Abrir ubicación del archivo. A continuación, se muestra la carpeta que contiene el archivo. En ciertos casos es necesario tener más información sobre un proceso. Para ello haga clic en Ir a detalles. Se muestra la pestaña Detalles y el proceso en cuestión aparece seleccionado. Esta vista proporciona acceso al nombre del archivo ejecutable, así como al ID del proceso (PID). Se muestran también el estado, nombre de la cuenta que ha iniciado el proceso y el uso de procesador y memoria. La pestaña Rendimiento permite visualizar de forma gráfica tres elementos esenciales: La CPU: acompañados por la curva de porcentaje de utilización, diferentes campos dan información como el porcentaje de utilización, el número de procesos. La memoria: al igual que para el procesador. muy sencillo ver la cantidad de memoria utilizada y la que está libre. se muestran y actualizan automáticamente los datos vinculados a la memoria. de este modo. Resulta. . .La red: además del gráfico que muestra la actividad. los datos Envío y Recepción permiten conocer rápidamente la velocidad de envío y recepción. Mostrar gráficos reemplaza los botones de colores por los gráficos en curso. .Haciendo clic con el botón derecho en la consola accedemos a un menú contextual con tres opciones: Vista de resumen permite reducir la ventana mostrando solamente los valores de los tres gráficos. SeleccioneOcultar gráficos en el menú contextual para ocultar los gráficos. Desmarque la opción para volver al formato inicial. desplegando la línea fila del usuario correspondiente es posible ver. En efecto. . Siempre es posible desconectar la sesión de usuario. qué procesos le pertenecen. pero ahora es incluso más sencillo. Adicionalmente. fácilmente. es posible conocer el uso de procesador y memoria de cada uno. La pestaña Usuarios facilita la gestión de los usuarios conectados. Copiar copia los datos presentes en los gráficos en el portapapeles. ). . Podemos acceder a la consola Services.Por último.msc haciendo clic con el botón derecho y seleccionando Abrir servicios en el menú contextual.. la última pestaña Servicios proporciona acceso a la gestión de servicios. Es posible conocer su estado así como distintos parámetros (PID.. . del mismo modo. Red. Esto permite evitar cuellos de botella.El Monitor de recursos El Monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. ver un gráfico que representa la actividad de cada procesador o cada núcleo de un procesador. se muestran gráficos actualizados en tiempo real. La consola se compone de varias pestañas. La pestaña CPU presenta diferentes datos de cada procesador. Esta herramienta permite efectuar la supervisión del procesador y los procesos. se muestran los diferentes servicios y los descriptores asociados. Seleccionando un proceso. La pestaña Información general permite tener una vista de conjunto de los componentes. la memoria RAM así como la actividad de los discos y la red. Además de los componentesMemoria. Podemos. CPU y Disco. la carga de asignación y los errores de página. .Es posible visualizar el reparto del uso de memoria del servidor empleando la pestaña Memoria. Se muestran tres gráficos con la memoria física utilizada. La pestaña Disco presenta los procesos que realizan una operación en el disco. la herramienta también resulta útil para ver las conexiones TCP y los puertos en que escuchan. La herramienta permite analizar los diferentes componentes y proporcionar una explicación para una degradación de rendimiento en un equipo. la pestaña Red presenta los diferentes procesos con actividad de red. Por último. . una vez más es posible filtrar un proceso para aislarlo. Los gráficos muestran una curva que representa la actividad en el disco. .Los diferentes gráficos permiten obtener información acerca de los diferentes componentes del servidor. La segunda forma consiste en ejecutar un recopilador de datos. Procesador El objeto de rendimiento Procesador permite obtener información sobre la actividad del procesador. Esta es una de las piezas centrales de un servidor.El Monitor de rendimiento El Monitor de rendimiento permite supervisar la actividad en un puesto de trabajo. El análisis se puede hacer en tiempo real. La operación puede llevarse a cabo mediante un gráfico e informes. Si existen varios procesadores. . Es posible agregar varios contadores para obtener un análisis muy granular y un resultado óptimo. es posible analizar todos o uno en particular. Adicionalmente la lectura de datos no es óptima. que permite registrar los datos recuperados por los diferentes contadores. lo que obliga al administrador a estar presente. Disco duro Los discos duros almacenan los archivos de los usuarios así como los archivos necesarios para los programas. los tiempos de lectura y escritura pueden verse afectados. Cada uno proporciona un dato específico. Al igual que para el procesador. existen varios contadores disponibles. En caso de fallo. . Puede ser necesario auditar los rendimientos de los discos para poder detectar un cuello de botella. Memoria RAM Los contadores de rendimiento de Memoria permiten obtener información sobre la memoria física y virtual del ordenador. . mientras que la memoria virtual concierne al espacio de memoria física y en disco. La memoria física se refiere a la memoria RAM del equipo. sus contadores. . Los protocolos IPv4 e IPv6 poseen. también. Podemos encontrar aquellos para los protocolos TCP. UDP o ICMP.Red La parte de red incluye un gran número de contadores. El método manual es en tiempo real. el tamaño del archivo crecerá rápidamente. . Se almacena un archivo con todos los valores en la carpeta PerfLogs ubicada en la partición del sistema. es posible iniciar un registro. Para evitar estar frente a la pantalla durante horas. lo que puede impactar el servidor y los roles instalados en él.Es posible realizar el análisis de forma manual o automática. Esto implica la presencia física frente al ordenador para poder analizar los datos antes de su borrado. Sin embargo. . se encuentran en la carpeta C:\Windows\System32\winevt\Logs. El registroAplicación ofrece la posibilidad a los desarrolladores de escribir los eventos devueltos por sus aplicaciones. El registro Sistema permite obtener los datos enviados por el sistema (problema DHCP…).Los registros de eventos El Visor de eventos contiene varios registros útiles para diagnosticar un fallo o incoherencia en el sistema. El registro Seguridad permite visualizar el resultado de las auditorías configuradas. Está compuesto por varios registros. Los diferentes registros. como Aplicación. Sistema y Seguridad. Podemos consultar los diferentes registros en la consola Administración de equipos. que poseen una extensión evtx. . un evento contiene varios datos importantes tales como Evento (número de ID del evento).Podemos encontrar en un registro varios niveles de advertencia: Información Advertencia Error Crítico Adicionalmente. origen y el mensaje. .Las propiedades del registro permiten visualizar sus diferentes propiedades (nombre. Se puede acceder a esta ventana haciendo clic con el botón derecho en el registro deseado y luego seleccionando Propiedades en el menú contextual.) así como configurar su tamaño actual y máximo. ruta del registro. . El registro puede vaciarse empleando el botón Vaciar registro.. Al alcanzar el tamaño máximo del registro podemos tomar tres acciones: Sobrescribir eventos si es necesario: se suprimen los eventos más antiguos. Archivar el registro cuando esté lleno; no sobrescribir eventos: se efectúa un archivado automático. No sobrescribir eventos: debe hacerse una limpieza manual. 1. Creación de una vista personalizada El registro puede rápidamente contener un importante número de eventos, lo que complica la búsqueda de un evento concreto. A partir de Windows Server 2008, es posible crear una vista para configurar un filtro en uno o varios registros. La creación y uso de un filtro se efectúan empleando el nodo Vistas personalizadas. Se encuentra una carpeta llamada Roles de servidor que contiene los filtros creados durante la instalación de un rol. Podemos crear un nuevo filtro haciendo clic con el botón derecho en Vistas personalizadas y seleccionando Crear vista personalizada. El filtro se compone de varios criterios: La lista desplegable Registrado permite dar a los sistemas una constante de tiempo para tener en cuenta en el filtro. El Nivel del evento permite seleccionar el nivel de los eventos deseados. La lista desplegable Registros de eventos permite seleccionar los registros a los que se aplica el filtro. Se puede igualmente filtrar por origen marcando la opción Por origen y seleccionando en la lista desplegable uno o más orígenes. También es posible filtrar en función de un nombre de equipo, de usuario, de palabras clave o de número de ID. El filtro devuelve solamente los eventos que corresponden a las categorías seleccionadas. 2. Suscripción Para facilitar la supervisión de los servidores de una red informática, podemos desplegar una suscripción. Ésta permite recuperar los eventos de los servidores de destino. Los eventos recuperados deben responder a criterios definidos por el administrador empleando una vista personalizada. Para esta funcionalidad se emplean dos servicios: WinRM (Windows Remote Management) Wecsvc (Windows Event Collector Service) Los dos servicios funcionan respectivamente en el equipo fuente para WinRM y en el equipo recolectado para Wecsvc. Talleres Los diferentes talleres presentados permiten el uso de las herramientas encargadas del análisis y mantenimiento del servidor. 1. Utilización del Monitor de rendimiento Objetivo: utilizar el Monitor de rendimiento y los recopiladores de datos. Máquina virtual utilizada: AD1. Inicie la consola Administrador del servidor en AD1. Haga clic en Herramientas y luego, en el menú contextual, seleccione Administración de equipos. Despliegue los nodos Rendimiento y luego Herramientas de supervisión. Haga clic en Monitor de rendimiento y, a continuación, en la cruz verde para añadir los contadores. Despliegue Proceso y luego haga clic en <Todas las instancias>. Haga clic en Agregar y luego en Aceptar. Aparecen las curvas que presentan los diferentes parámetros recuperados. En la barra de herramientas, haga clic en el icono que representa un bolígrafo. Al seleccionar un contador, se resalta la curva asociada. En la barra de herramientas, haga clic en el botón Cambiar tipo de gráfico (tercer botón) y luego seleccione en el menú contextual Barra de histograma. El gráfico se verá en forma de histograma. El tipo de gráfico puede, a su vez, presentarse en forma de informe. En la consola Administración de equipos, despliegue el nodo Conjuntos de recopiladores de datos. Los recopiladores se crean en función de los roles presentes en el equipo analizado. Este ejemplo está hecho sobre un controlador de dominio, el contador para el diagnóstico de Active Directory se encuentra en el sistema. El contenedor definido por el usuario permite crear de nuevos recopiladores de datos. Haga clic con el botón derecho en Definido por el usuario y luego en el menú contextual seleccione Nuevo y Conjunto de recopiladores de datos. Introduzca Recopilador Procesos en el campo Nombre, marque el botón Crear manualmente (avanzado). A continuación, haga clic en Siguiente. En la ventana para seleccionar el tipo de datos, marque Contador de rendimiento y luego haga clic en Siguiente. En la ventana de selección de contadores, haga clic en Agregar. Despliegue Proceso y luego haga clic en <Todas las instancias>. Haga clic en el botón Agregar y luego en Aceptar. Configure el Intervalo de muestra en 2 segundos. Haga clic dos veces en Siguiente y luego en Finalizar. El recopilador aparece, ahora, en la consola. Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Iniciar. Deje el recopilador en el estado iniciado durante unos segundos para recoger un mínimo de información. Haga clic con el botón derecho en Recopilador Procesos y luego seleccione Detener. Al iniciar el recopilador, se crea un informe para presentar los datos recolectados. Despliegue los nodos Informes y luego Definido por el usuario. Aparece un contenedor con el mismo nombre que el recopilador de datos. Despliegue Recopilador Procesos y luego haga clic en el informe. Al igual que para el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o cambiar el tipo de gráfico. 2. Creación de una vista personalizada Objetivo: crear una vista personalizada para recuperar solamente los eventos deseados. Máquina virtual utilizada: AD1. En la consola Administración de equipos, despliegue Visor de eventos y luego el nodo Vistas personalizadas. Haga clic con el botón derecho en Vistas personalizadas y seleccione Crear vista personalizada. Deje el valor En cualquier momento en la lista desplegable Registrado. Marque Error, Advertencia y Crítico para limitar los registros filtrados a estos niveles. En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicación. Haga clic en Aceptar y luego en el campo Nombre, introduzca Búsqueda registro App.Sys. El filtro se aplica al conjunto de registros seleccionados. haga clic en Herramientas administrativas y luego abra la consola DHCP. En AD1.cmd. Despliegue el nodo ad1. Ahora es más fácil encontrar información en un registro. abra la interfaz Menú Inicio. Asociar una tarea a un evento Objetivo: ejecutar un script cuando un evento aparece en el registro. Confirme haciendo clic en Aceptar. .formacion. Cree y ejecute el archivo Script-Evento. Máquina virtual utilizada: AD1. 3. En el menú contextual seleccione Todas las tareas y luego Detener.local y luego haga clic con el botón derecho en él. Se puede descargar el script en la página Información En el registro Sistema. Haga clic en Siguiente en la ventana del Asistente para crear tareas básicas y deje los parámetros por defecto. Esta opción se encuentra también disponible en el panel Acciones. . Haga clic con el botón derecho en el aviso y luego seleccione Adjuntar tarea a este evento. seleccione el aviso que se ha creado. cmd. Cree el script Reset-Servicios. Origen e Id del evento aparecen en gris. el administrador. . necesariamente. Es preferible ejecutar un script o un programa que realice un tarea en lugar de mostrar un mensaje que no verá. Marque el botón Iniciar un programa y luego haga clic en Siguiente. Haga clic en Siguiente para validar la ventana Al registrar un evento. Los campos Registro. Es posible descargar el archivo en la página Información. Haga clic en Finalizar y luego en Aceptar en el mensaje de información. Haga clic en Examinar y luego seleccione el script. . Se crea una nueva entrada en el Programador de tareas. finalmente valide empleando el botónSiguiente. cmd. De esta forma algunas acciones pueden ser fácilmente automatizadas. Se crea una nueva entrada en el registro Sistema y se ejecuta el script Reset-Servicios. Inicie un símbolo del sistema DOS en el equipo AD1. Vuelva a ejecutar el archivo Script-Evento. Implantación y uso de una suscripción Objetivo: recuperar el registro de eventos de AD1 desde SV1. . Máquinas virtuales utilizadas: AD1 y SV1. El servicio DHCP arranca correctamente. Introduzca el comando winrm quickconfig y luego pulse la tecla [Intro]. 4. Debemos incluir las cuentas de equipo en el tipo de objeto de búsqueda. . Para efectuar las modificaciones.local y luego haga clic en Builtin. Haga clic en la pestaña Miembros y luego en el botón Agregar. introduzca la letra y y luego pulse la tecla [Intro]. Haga doble clic en el grupo Lectores del registro de eventos. Haga clic en Aceptar y luego introduzca SV1 en el campo. Haga clic en Comprobar nombres y luego haga clic dos veces en Aceptar. Despliegue el nodo Formacion. Haga clic en Tipos de objeto y luego marque Equipos. Inicie la consola Usuarios y equipos de Active Directory. En SV1. En el campo Nombre de suscripción. a continuación. Pulse la letra s y luego pulse la tecla [Intro]. . En el equipo SV1. despliegue el nodo Visor de eventos. introduzca Recopilador AD1. abra la consola Administración de equipos y. inicie un símbolo del sistema e introduzca wecutil qc.Esta operación autoriza al equipo SV1 a leer los registros de eventos. Haga clic con el botón derecho en la carpeta Suscripciones y luego haga clic en Crear suscripción. Haga clic en Seleccionar equipos y luego Agregar equipos de dominio. es posible modificarlo usando la lista desplegable Registro de destino. La transferencia puede ser iniciada por el equipo destinatario (opción iniciada por el recopilador) o por el equipo origen.El registro de destino predeterminado es Eventos reenviados. . Introduzca AD1 en el campo y luego haga clic en Comprobar nombres y Aceptar. Valide empleando el botón Aceptar. El filtro no es muy restrictivo. No es necesario recoger todos los eventos. Advertencia. Los eventos que deben ser transferidos son los de nivel Información. Haga clic en Seleccionar eventos. Debemos aplicar un filtro. Seleccione los registros Sistema y Aplicación. Haga clic dos veces en Aceptar. Se adjunta una nueva línea a la consola. Marque los siguientes niveles en la ventana Filtro de consulta. porque las máquinas se han instalado recientemente y no contienen una gran cantidad de eventos de tipo advertencia o error. Error y Crítico. . luego seleccione Estado en tiempo de ejecución. Tras un tiempo más o menos largo. Haga clic con el botón derecho en Recopilador AD1. . Si no se devuelve ningún error. espere. Verifique que el sistema no envía ningún error. porque la transferencia está en progreso. los eventos aparecen en el registro Eventos reenviados. Si no se transfiere ningún evento y la suscripción no presenta ningún error. Antes de reiniciar. espere algunos segundos para verificar que la suscripción no presenta ningún error. . verifique el filtro y reinicie el origen y el recopilador. .. se encuentran en la carpeta c:\Windows\System32\winevt\Logs. 5 ¿Dónde se almacenan los archivos creados por el conjunto de recopiladores de datos? Los gráficos con los datos recuperados se encuentran en la carpeta PerfLogs. 1 ¿Cuál es la utilidad del Administrador de tareas? 2 ¿Cuál es la utilidad de la consola Monitor de recursos? 3 ¿Qué tipo de gráficos es posible utilizar en el Monitor de rendimiento? 4 ¿Cuál es la utilidad del conjunto de recopiladores de datos? 5 ¿Dónde se almacenan los archivos creados por el conjunto de recopiladores de datos? 6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros? 7 ¿Cuáles son los niveles de advertencia que puede tener un evento? 8 ¿Qué permite crear una vista personalizada? 9 ¿Cuáles son los dos servicios utilizados por una suscripción? 2. es necesario un mínimo de 7 puntos para aprobar el capítulo. histograma de barras e informes. Respuestas 1 ¿Cuál es la utilidad del Administrador de tareas? El administrador de tareas permite gestionar los procesos y los distintos servicios. 2 ¿Cuál es la utilidad de la consola Monitor de recursos? Los principales componentes de un equipo (procesador. 3 ¿Qué tipo de gráficos es posible utilizar en el Monitor de rendimiento? Se pueden utilizar tres tipos de gráficos en el Monitor de rendimiento: curvas. un conjunto de recopiladores de datos permite realizar un análisis de los datos recuperados en cualquier momento. Esta carpeta está ubicada en la partición del sistema. error y crítico. Ésta permite seguir su utilización y detectar un posible problema en alguno de sus recursos.) se encuentran en la consola Monitor de recursos. 4 ¿Cuál es la utilidad del conjunto de recopiladores de datos? A diferencia del Monitor de rendimiento que efectúa un análisis en tiempo real. adaptador de red. memoria. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. contabilice un punto. 7 ¿Cuáles son los niveles de advertencia que puede tener un evento? Los cuatro niveles de advertencia son información. La consola permite a su vez diagnosticar los problemas de rendimiento.Validación de conocimientos: preguntas/respuestas 1. 3. Resultados Para cada respuesta acertada. 6 ¿Cuál es el formato de los archivos del Visor de eventos? ¿Dónde se almacenan los registros? Los diferentes registros. advertencia. 8 ¿Qué permite crear una vista personalizada? . que poseen una extensión evtx. Los registros de eventos pueden contener varios cientos de eventos. Para no perderse entre todos los eventos debemos aplicar un filtro al registro. 9 ¿Cuáles son los dos servicios utilizados por una suscripción? La suscripción utiliza dos servicios: winrm (Windows Remote Managemet) para la fuente y wecsvc (Windows Event Collector Service) en el destino. . Esta característica se ofrece mediante las vistas personalizadas. Instalación de Hyper-V - redes virtuales V Talleres: Configuración de la red virtual . Instalación de Hyper-V - almacenamiento de V Creación de las máquinas máquina virtual virtuales . Administración de servidores. Reducción de una partición. Instalación de Hyper-V - máquina virtual V Creación de las máquinas virtuales . Implementar instantáneas Configuración de los Administración de los Administración de los servidores servicios de documentos e servidores de de archivos . Gestión del servidor de impresión Configuración de servidores Despliegue y para la administración administración de remota Windows Server 2012 R2 Configuración de Hyper-V Creación y configuración de Instalación de Hyper. Instalación de Hyper-V - V Creación de las máquinas Despliegue y virtuales . Implementar un espacio de almacenamiento redundante Configuración de los roles y las características del servidor Configuración de acceso Administración de los Administración de los servidores compartido y de archivos servidores de de archivos .Máquina virtual AD1 Creación y configuración de Instalación de Hyper.Máquina virtual AD1 administración de Windows Server 2012 R2 Configuración de servidores Despliegue y Despliegue y administración de administración de Windows Server 2012 R2 - Windows Server Talleres: Configuración de un 2012 R2 servidor en modo de instalación Core.Talleres: Creación archivos de un recurso compartido y uso de ABE.Objetivos Objetivos del examen 70- Capítulos Talleres 410 Instalación y configuración de servidores Instalación de servidores Instalación de Hyper.Talleres: Creación impresión archivos de un grupo de impresión.Máquina virtual AD1 Creación y configuración de Instalación de Hyper. Utilización de PowerShell para administrar los servidores Configuración del Gestión del espacio Gestión del espacio de almacenamiento local de almacenamiento almacenamiento local .Talleres: local Implementar un sistema GPT. Despliegue de diferentes volúmenes. Talleres: Creación de una directiva de grupo.Talleres: Configuración de DNS un redirector condicional.local Instalación y administración de Active Directory Instalación de Despliegue y Despliegue y administración de controladores de dominio administración de Windows Server 2012 R2 - Windows Server Talleres: Creación del bosque 2012 R2 Formacion. Implementación de preferencias Configuración de las Securización del Securización del servidor con directivas de seguridad servidor con GPO GPO .Talleres: Agregar el rol Protocolo de configuración DHCP.Talleres: Creación de aplicaciones reglas con AppLocker Configuración de Windows Securización del Securización del servidor con Firewall servidor con GPO GPO .local Introducción a los Introducción a los servicios servicios Active Active Directory .Talleres: Directory Promover un servidor utilizando IFM Crear y administrar Administración de Administración de objetos AD - usuarios y equipos de objetos AD Talleres: Administración de Active Directory cuentas de usuario Creación y administración Administración de Administración de objetos AD - de grupos y unidades objetos AD Talleres: Implementar la organizativas (OU) de delegación Active Directory Creación y administración de la directiva de grupo Creación de objetos de Implementación de Implementación de directivas de directiva de grupo (GPO) directivas de grupo grupo . Configurar un nuevo dinámica de host (DHCP) ámbito y agregar opciones. Copia de seguridad y restauración de la base de datos Implementación y Implementación de Implementación de un servidor configuración del servicio un servidor DNS DNS .Talleres: Implementación del protocolo IPv6 Implementación y Implementación de Implementación de un servidor configuración del servicio de un servidor DHCP DHCP .Talleres: Creación de una plantilla de seguridad Configuración de directivas Securización del Securización del servidor con de restricción de servidor con GPO GPO .Implementación y configuración de los servicios principales de red Configuración de las Implementación del Instalación de Hyper-V - direcciones IPv4 e IPv6 protocolo IP Creación de las máquinas virtuales .Máquina virtual AD1 Implementación del protocolo IP .Talleres: Configuración del Firewall de Windows . Creación de una zona GlobalNames Despliegue y administración de Windows Server 2012 R2 - Talleres: Creación del bosque Formacion.


Comments

Copyright © 2024 UPDOCS Inc.