70-411 Windows Server 2012 R2 - Administración

Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 Capítulo 1 Introducción A. Organización de las certificaciones 12 B. Cómo se organiza este libro 12 C. Competencias probadas tras el examen 70-411 14 1. El examen de certificación 14 2. Preparación del examen 14 D. Las máquinas virtuales utilizadas 14 E. El administrador del servidor 14 1. Creación de un grupo de servidores 21 2. Instalación remota de un rol 24 3. Eliminar un grupo de servidores 24 F. Servidor en modo instalación mínima 25 1. Instalación de roles con una instalación en modo Core 28 2. Agregar/eliminar la interfaz gráfica 29 3. Configuración con sconfig 30 G. Hyper-V 34 1. Requisitos previos de hardware 34 2. Las máquinas virtuales en Hyper-V 34 3. La memoria dinámica con Hyper-V 35 4. El disco duro de las máquinas virtuales 37 5. Las instantáneas en Hyper-V 39 6. Gestión de redes virtuales 39 Capítulo 2 Instalación del entorno de pruebas www.ediciones-eni.com © Ediciones ENI 1/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 A. El entorno de pruebas 42 1. Configuración necesaria 42 2. Instalación de Windows Server 2012 R2 42 B. Creación de las máquinas virtuales 43 1. Esquema de la maqueta 48 2. Máquina virtual AD1 50 3. Máquina virtual AD2 60 4. Máquina virtual SV1 60 5. Máquina virtual SV2 60 6. Máquina virtual CL8-01 61 7. Máquina virtual SRV-RT 61 8. Máquina virtual CL8-02 61 9. Las instantáneas 61 Capítulo 3 Gestión de un directorio AD DS A. Introducción 64 B. Presentación de Active Directory Domain Services 64 1. Los distintos componentes de AD DS 64 2. Visión general de las nociones de esquema y bosque de Active Directory 65 3. La estructura del directorio Active Directory 68 C. Implementación de controladores de dominio virtualizados 69 1. Despliegue de controladores de dominio virtualizados 69 2. Gestión de los controladores de dominio virtualizados 70 D. Implementación de un RODC 70 1. Gestión del almacenamiento en caché en un RODC 71 2. Administración local sobre los controladores de dominio de solo lectura 71 www.ediciones-eni.com © Ediciones ENI 2/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 E. Administración de Active Directory 72 1. Presentación de las distintas consolas de AD 72 2. Los módulos de Active Directory para PowerShell 72 3. Gestión de los roles FSMO 73 4. Uso de una cuenta de servicio 74 5. Restauración de una cuenta mediante la papelera de reciclaje AD 74 6. Copia de seguridad y restauración de Active Directory 75 F. Gestión de la base de datos 75 1. La base de datos de Active Directory 75 2. Uso del comando NTDSUtil 76 3. Reinicio del servicio Active Directory 76 4. Creación de un snapshot AD 77 5. Restaurar un objeto de dominio 77 G. Trabajos prácticos: Administración de Active Directory 78 H. Validación de conocimientos adquiridos: preguntas/respuestas 120 Capítulo 4 Gestión del entorno A. Introducción 126 B. Automatización de la gestión de cuentas de usuario 126 1. Configuración de la política de seguridad 128 2. Gestión de la directiva de contraseña muy específica 131 3. Configuración de las cuentas de servicio 133 C. Directivas de grupo 135 1. Gestión de la configuración 135 2. Visión general de las directivas de grupo 135 3. Extensiones del lado cliente 136 www.ediciones-eni.com © Ediciones ENI 3/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 4. Directivas de grupo por defecto 136 5. Almacenamiento de la directivas de grupo 137 6. GPO de inicio 137 7. Copia de seguridad y restauración de una directiva de grupo 139 8. Delegación de la administración 139 9. PowerShell con GPO 140 D. Implementación y administración de las directivas de grupo 141 1. Vínculos GPO 141 2. Orden de aplicación 141 3. Herencia y opción de aplicación 142 4. Implementación de filtros para gestionar el ámbito 144 5. Funcionamiento de una directiva de grupo con enlaces lentos 145 6. Recuperación de directivas por los puestos clientes 146 E. Mantenimiento de una directiva de grupo 147 1. Directiva de grupo resultante 149 2. Informe RSOP 149 3. Uso de registros de eventos 150 4. Enlace lento y caché de directivas de grupo 151 5. Configuración de una política de seguridad Kerberos 151 F. Trabajos prácticos: Gestión del entorno del usuario 152 G. Validación de conocimientos adquiridos: preguntas/respuestas 169 Capítulo 5 Implementar las directivas de grupo A. Introducción 174 B. Plantillas administrativas 174 1. Los archivos ADMX y ADML 174 2. Creación del almacén central 175 www.ediciones-eni.com © Ediciones ENI 4/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 3. Uso de filtros sobre las plantillas administrativas 175 C. Configuración de la redirección de carpetas y de scripts 176 1. Presentación de la redirección de carpetas 176 2. Configuración de la redirección 176 3. Uso de scripts en las directivas de grupo 177 D. Configuración de las preferencias de las directivas de grupo 178 1. Visión general de las preferencias 178 2. Comparación entre las directivas y las preferencias 179 E. Gestión de aplicaciones con ayuda de GPO 179 F. Trabajos prácticos: Gestión de los puestos de usuario 180 G. Validación de conocimientos adquiridos: preguntas/respuestas 193 Capítulo 6 Implementar un servidor DHCP A. Introducción 196 B. Rol del servicio DHCP 196 1. Funcionamiento de la concesión de una dirección IP 196 2. Uso de una retransmisión DHCP 197 C. Instalación y configuración del rol DHCP 198 1. Agregar un nuevo ámbito 199 2. Configuración de las opciones DHCP 201 3. Reserva de contrato DHCP 204 4. Implementación de filtros 206 D. Base de datos DHCP 210 www.ediciones-eni.com © Ediciones ENI 5/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 1. Presentación de la base de datos DHCP 210 2. Copia de seguridad y restauración de la base de datos 211 3. Reconciliación y desplazamiento de la base de datos 212 E. Alta disponibilidad del servicio DHCP 216 F. IPAM 216 1. Especificaciones de IPAM 217 2. Características de IPAM 217 G. Trabajos prácticos: Instalación y configuración del rol DHCP 218 H. Validación de conocimientos adquiridos: preguntas/respuestas 249 Capítulo 7 Configuración y mantenimiento de DNS A. Introducción 254 B. Instalación de DNS 254 1. Visión general del espacio de nombres DNS 254 2. Separación entre DNS privado/público 255 3. Despliegue de DNS 255 C. Configuración del rol 256 1. Componentes del servidor 256 2. Consultas realizadas por el DNS 256 3. Registrar recursos en el servidor DNS 257 4. Funcionamiento del servidor de caché 259 D. Configuración de las zonas DNS 259 1. Visión general de las zonas DNS 259 2. Zonas de búsqueda directa y zonas de búsqueda inversa 260 www.ediciones-eni.com © Ediciones ENI 6/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 3. Delegación de zona DNS 261 E. Configuración de la transferencia de zona 261 1. Presentación de la transferencia de zona 261 2. Protección de la transferencia de zona 262 F. Administración y resolución de errores del servidor DNS 262 G. Trabajos prácticos: Instalación y configuración del rol DNS 263 H. Validación de conocimientos adquiridos: preguntas/respuestas 271 Capítulo 8 Despliegue y soporte de WDS A. Introducción 274 B. Los servicios de implementación de Windows 274 1. Los componentes de WDS 275 2. ¿Por qué utilizar WDS? 276 C. Implementación del rol WDS 276 1. Instalación y configuración del servidor 276 2. Gestión de los despliegues 279 D. Administración del servicio WDS 280 E. Automatización del despliegue 281 F. Trabajos prácticos: Despliegue con WDS 282 G. Validación de conocimientos adquiridos: preguntas/respuestas 309 www.ediciones-eni.com © Ediciones ENI 7/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 Capítulo 9 Configuración del acceso remoto A. Introducción 312 B. Componentes de una infraestructura de acceso de red 312 1. Presentación del rol Servicios de acceso y directivas de redes 312 2. Autenticación y autorización de red 313 3. Métodos de autenticación 313 4. Visión general de la PKI 314 5. Integración de DHCP con enrutamiento y acceso remoto 314 C. Configuración del acceso VPN 314 1. Las conexiones VPN 314 2. Protocolos utilizados para el túnel VPN 315 3. Presentación de la funcionalidad VPN Reconnect 315 4. Configuración del servidor 315 5. Presentación del kit CMAK 316 D. Visión general de las políticas de seguridad 316 E. Presentación del Web Application Proxy y del proxy RADIUS 317 F. Soporte del enrutamiento y acceso remoto 318 1. Configuración de los logs de acceso remoto 318 2. Resolución de problemas en VPN 318 G. Configuración de DirectAccess 319 1. Presentación de DirectAccess 319 2. Componentes de DirectAccess 319 3. La tabla de directivas de resolución de nombres 320 4. Requisitos previos para la implementación de DirectAccess 320 H. Presentación del rol Network Policy Server 320 www.ediciones-eni.com © Ediciones ENI 8/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 I. Configuración del servidor RADIUS 321 1. Nociones acerca del cliente RADIUS 321 2. Directiva de solicitud de conexión 321 J. Método de autenticación NPS 321 1. Configurar las plantillas NPS 321 2. Autenticación 322 K. Supervisión y mantenimiento del rol NPS 322 L. Trabajos prácticos: Configuración del acceso remoto 323 M. Validación de conocimientos adquiridos: preguntas/respuestas 368 Capítulo 10 Implementar la solución NAP A. Introducción 372 B. Visión general de la solución NAP 372 1. Forma de aplicar NAP 372 2. Arquitectura de la plataforma NAP 373 C. Proceso de aplicación de NAP 374 1. Implementar IPsec con NAP 374 2. 802.1x con NAP 375 3. Implementar NAP con un servidor VPN 375 4. Uso de NAP para DHCP 375 D. Verificación del cumplimiento 375 E. Supervisión y mantenimiento del servidor NAP 376 www.ediciones-eni.com © Ediciones ENI 9/13 Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411 F. Trabajos prácticos: Implementar la solución NAP 376 G. Validación de conocimientos adquiridos: preguntas/respuestas 388 Capítulo 11 Optimización de los servicios de archivos A. Introducción 392 B. Visión general del rol FSRM 392 C. Administración del servidor de archivos mediante FSRM 393 1. Gestión de las cuotas 393 2. Administración del filtrado de archivos 396 3. Los informes de almacenamiento 397 D. Implementar la clasificación de archivos 398 1. Presentación de las reglas de clasificación 398 2. Tareas de administración de archivos 399 E. El sistema DFS 399 1. Presentación del espacio de nombres DFS 400 2. La replicación DFS 400 3. Funcionamiento del espacio de nombres 401 4. La desduplicación de datos 401 5. Escenarios DFS 404 F. Configuración del espacio de nombres 406 1. Implementar el servicio DFS 406 2. Optimización de un espacio de nombres 406 G. Configuración y mantenimiento de DFS-R 407 www.ediciones-eni.com © Ediciones ENI 10/13 Configuración de la auditoría 451 1. Recuperación de un archivo cifrado 450 C.Examen 70-411 1. Funcionamiento de la replicación 407 2. Activación de la política de seguridad 455 4. Trabajos prácticos: Configuración de la auditoría 458 E. Proceso de replicación inicial 407 3.com © Ediciones ENI 11/13 . Presentación de EFS 448 1. Introducción 474 www.ediciones-eni.Administración Preparación para la certificación MCSA . Windows Server 2012 R2 . Trabajos prácticos: Gestión del servidor de archivos 409 I. Validación de conocimientos adquiridos: preguntas/respuestas 442 Capítulo 12 Cifrado de datos y auditoría A. Funcionamiento de EFS 448 2. Introducción 448 B. Operaciones sobre la base de datos 408 H. Política de auditoría avanzada 457 D. Visión general de la política de auditoría 451 2. Definir la configuración de auditoría sobre un archivo o una carpeta 452 3. Validación de conocimientos adquiridos: preguntas/respuestas 469 Capítulo 13 Implementación del servidor WSUS A. Mantenimiento del sistema de replicación 407 4. com © Ediciones ENI 12/13 . Trabajos prácticos: Implementación de las herramientas de análisis 528 F. Validación de conocimientos adquiridos: preguntas/respuestas 548 www. Administración de WSUS 477 3. El Administrador de tareas 502 B. Creación de una vista personalizada 526 2. Requisitos previos necesarios para el rol 476 D. El Monitor de rendimiento 517 D. Suscripciones 527 E. Presentación de los grupos de equipos 478 4. El Monitor de recursos 512 C.Examen 70-411 B. Los registros de eventos 523 1.Administración Preparación para la certificación MCSA . Presentación del rol WSUS 474 C. Trabajos prácticos: Implementación del servidor WSUS 478 F. Windows Server 2012 R2 . Aprobación de las actualizaciones 478 E. Validación de conocimientos adquiridos: preguntas/respuestas 498 Capítulo 14 Supervisión de servidores A.ediciones-eni. Despliegue de actualizaciones con WSUS 476 1. Configuración del cliente de actualización 476 2. Administración Preparación para la certificación MCSA .Examen 70-411 Tabla de objetivos 551 índice 555 www.ediciones-eni. Windows Server 2012 R2 .com © Ediciones ENI 13/13 . De este modo. En este sitio web. podrá validar sus conocimientos teóricos gracias a la gran cantidad de preguntas y respuestas (171 en total) incluidas. también consultor. certificado técnica y pedagógicamente por Microsoft. Estos ejercicios concretos. Cada capítulo se completa con un trabajo práctico (49 en total) que le permitirá medir su autonomía.edieni. Para ayudarle a preparar eficazmente el examen. . A este dominio del producto y de los conceptos se añade la preparación específica a la certificación: en el sitio web www. cada pregunta que se plantea se inscribe en el espíritu de la certificación y. este libro cubre todos los objetivos oficiales. para cada una.com podrá accedergratuitamente a 1 examen en blanco en línea. más allá incluso de los objetivos fijados por el examen. Valida sus competencias y conocimientos en la administración de Windows Server 2012 R2 en un entorno empresarial. poniendo de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. Tiene la certificación MCT (Microsoft Certified Trainer) y es un reconocido Microsoft MVP (Most Valuable Professional) Windows Expert-IT Pro que logra transmitir al lector. la experiencia pedagógica y técnica del autor le imprime un enfoque claro y visual. destinado a entrenarse en condiciones similares a las de la prueba. alcanzando un nivel técnico muy elevado. Los capítulos del libro: Prefacio – Introducción – Instalación del entorno de pruebas – Gestión de un diccionario AD DS – Gestión del entorno – Implementar las directivas de grupo – Implementar un servidor DHCP – Configuración y mantenimiento de DNS – Despliegue y soporte de WDS – Configuración del acceso remoto – Implementar la solución NAP – Optimización de los servicios de archivos – Cifrado de datos y auditoría – Implementación del servidor WSUS – Supervisión de servidores – Tabla de objetivos Nicolas BONNET Nicolas BONNET es Consultor y Formador de sistemas operativos Microsoft desde hace varios años. Su capacidad pedagógica hace que este libro sea realmente eficaz para la administración de Windows Server 2012 R2.Windows Server 2012 R2 - Administración Preparación para la certificación MCSA 70-411 El examen 70-411 "Administración de Windows Server 2012 R2" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. Capítulo tras capítulo. las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas. toda su experiencia acerca de las tecnologías de servidor y su evolución. Ha sido elaborado por un formador profesional reconocido. tanto desde el punto de vista teórico como desde un punto de vista práctico. a través de este libro. A este dominio del producto y de los conceptos se le suma la preparación específica a la certificación: en el sitio web www.Introducción El examen 70-411 "Administración de Windows Server 2012" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. mediante un hilo conductor. En este sitio web cada pregunta que se plantea se inscribe en el espíritu de la certificación y. Para ayudarle a preparar eficazmente el examen. para cada una. ponen de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. y sus respuestas comentadas. en el marco de trabajo del entorno de una empresa existente. este libro cubre todos los objetivos oficiales(enumerados en un listado en el anexo) tanto desde el punto de vista teórico como desde un punto de vista práctico. con precisión. las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas. más allá incluso de los objetivos fijados por el examen. Trabajos prácticos (49 en total): permiten ilustrar. los distintos puntos a asimilar. Valida sus competencias y conocimientos en la administración de una infraestructura Windows Server 2012 y 2012 R2. Estos ejercicios concretos.edieni. Una sección de validación de conocimientos adquiridos: propuesta bajo la forma de preguntas y respuestas (171 en total). ciertas partes del curso y le darán también los medios necesarios para medir su autonomía. con precisión. Cada capítulo se organiza de la siguiente manera: Una definición de los objetivos a alcanzar: permite exponer. Estas preguntas.com podrá acceder gratuitamente a 1 examen en blanco en línea. las competencias que se abordan en cada capítulo una vez se haya validado. Una sección de formación teórica: permite definir los términos y conceptos abordados y esquematizar. destinado a entrenarse en condiciones similares a las de la prueba. . También existen tres certificaciones MCSE (Microsoft Certified Solutions Expert). Certificación MCSA La certificación MCSA se compone de tres certificaciones. Estos últimos han pasado a llamarse MCSA (Microsoft Certified Solution Associate) y MCSE (Microsoft Certified Solutions Expert). MCSE Desktop Infrastructure Esta certificación se compone de dos exámenes. para completar la certificación. Además de la certificación MCSA es necesario superar la certificación 70-413 Diseño e implementación de una infraestructura de servidor. MCSE Server Infrastructure Deben superarse dos exámenes para obtener esta certificación. Por último. . debe superarse el examen 70-414 Implementación de una infraestructura avanzada para obtener la certificación.Organización de las certificaciones Los anteriores cursos de certificación permitían acceder a la certificación MCITP (Microsoft Certified IT Professional). la segunda certificación con numeración 70-411. Esta última es relativa a la administración de Windows Server 2012. Por último. que tiene como objetivo la administración avanzada de Windows Server 2012. Es necesario obtener las certificaciones 70-415 Implementación de una infraestructura de puesto de trabajo y 70-416 Implementación del entorno de aplicaciones de escritorio. MCSE Private Cloud Para obtener la certificación MCSE Private Cloud es necesario obtener las certificaciones 70-246 Supervisar y operar una nube privada con System Center 2012 y 70-247 Configuración e implementación de una nube privada con System Center 2012. Es necesario obtener. La 70-410. relativa a la instalación y la configuración de Windows Server 2012. es necesario superar el examen 70-412. a continuación. modificación de un objeto AD). funcionalidad aparecida con Windows Server 2012 y que permite administrar los planes de direccionamiento IP de la empresa. el lector puede pasar al siguiente capítulo. Con el objetivo de garantizar la seguridad de los datos y de los accesos. cuentas de servicio y. El estudio prosigue con el rol Servicios de implementación de Windows. La parte teórica se completa con la administración de la base de datos (creación de una instantánea. se proponen al lector los trabajos prácticos. a implementar IPAM. seguir los capítulos en orden.Cómo se organiza este libro Este libro le prepara para el examen 70-411 Administración de Windows Server 2012. Este libro se estructura en varios capítulos que le aportarán los conocimientos teóricos necesarios sobre cada área de conocimiento. por último. mediante el análisis de las distintas zonas y registros. para terminar. La versión actual. las directivas de contraseña muy específicas y la configuración de cuentas de servicio. que sirve para la realización de los trabajos prácticos. La parte práctica invita al lector a crear. a conocer las distintas posibilidades en lo relativo a cuotas y filtros que es posible crear. la parte gestión de recursos es un extenso capítulo dedicado a la implementación de cuotas y filtros de archivos. A continuación. preferencias. Tras haber profundizado en los conceptos del directorio LDAP de Microsoft se aborda la virtualización de los controladores de dominio. y tras haber definido una directiva de grupo. los trabajos prácticos permiten al lector instalar el servidor y realizar aprobaciones para instalar o eliminar actualizaciones y. snapshot…). Por último. A continuación. La parte DHCP supone un complemento. La parte teórica comprende los conceptos relativos a los parámetros de seguridad. a crear directivas de contraseña muy específicas (PSO). crear un informe RSOP. restauración. pues no es una parte obligatoria de la certificación oficial. Al finalizar cada capítulo. El capítulo Implementación del servidor WSUS presenta la implementación de un servidor de gestión de actualizaciones de Microsoft. escenario DFS. Una vez más. El capítulo de gestión del directorio AD DS permite adquirir los conocimientos necesarios a nivel de AD. actualización de la papelera de reciclaje de AD y desfragmentación). presente desde Windows Server 2003 SP2. se proponen una serie de preguntas que le permitirán validar el nivel que debe alcanzarse. La parte práctica aborda la implementación de ambos servicios. redirección de carpetas…). La sección dedicada a la red está compuesta por un segundo capítulo dedicado a NAP. el lector encontrará las distintas funcionalidades de la directiva de grupo (despliegue de software. en primer lugar.1. Esta maqueta se compone de servidores que ejecutan Windows Server 2012 R2 Standard y puestos cliente Windows 8. Es preferible. Esta parte teórica se complementa con una parte práctica que refuerza los conocimientos adquiridos gracias a la teoría. La parte teórica se completa con la gestión de la base de datos (copia de seguridad.local. Se invita al lector. ha sufrido numerosas mejoras. La parte práctica invita al lector a importar cuentas AD mediante cmdlets PowerShell. que le permitirán poner en práctica los puntos abordados en la parte teórica. replicación DFS-R…). se aborda la gestión del entorno del usuario. ofrece posibilidades interesantes que se presentan en las partes teóricas y prácticas. en Windows Server 2012 R2. Se invita al lector a crear la maqueta. se estudian los servidores DNS y DHCP. éstos conducen de manera progresiva al lector por las competencias necesarias para superar el examen. En esta ocasión. Si lo supera. Los dos capítulos siguientes abordan los servicios de red e invitan el lector a estudiar las distintas soluciones de VPN (DirectAccess o VPN clásica) y a implementarlas a continuación. Los trabajos prácticos permiten implementar distintos escenarios de auditoría (acceso a una carpeta. En efecto. La parte teórica se completa con DFS y su funcionamiento (espacio de nombres. Las directivas de grupo se abordan en el siguiente capítulo. por tanto. Se invita al lector. A continuación. . en primer lugar. tras hablar de DHCP. tras la parte teórica se ponen en práctica los conceptos abordados. el capítulo Cifrado de datos y auditoría presenta la funcionalidad EFS y las distintas auditorías. generar un informe. el bosque Active Directory llamado Formacion. se describe la implementación de un RODC y un controlador de dominio virtualizados. A continuación. Esta funcionalidad. La configuración de los roles se realiza a medida que avanzan los capítulos. acceso a un recurso compartido. también se abordan las nociones de transferencia de zona y de borrado de los datos. gestión de eventos…).Por último. . cierra el libro un capítulo relativo a las distintas herramientas nativas de Windows Server 2012 R2 que permiten administrar los recursos (monitor de recursos. No pase al siguiente capítulo sin haber comprendido bien el anterior. a continuación. Para superar el examen es preciso obtener una puntuación de 700.prometric. El día D dispondrá de varias horas para responder a las preguntas. 1. Preparación del examen Para preparar el examen de forma óptima es necesario. El resultado se obtiene al finalizar el examen. 2. El examen de certificación El examen de certificación se compone de varias preguntas.Competencias probadas tras el examen 70-411 Puede encontrar. No dude en tomarse el tiempo necesario para leer bien la pregunta y todas las respuestas. una vez seleccionado el examen deseado (70-411). . Con el libro se ofrece un examen en blanco que le permitirá poner a prueba sus conocimientos antes de realizar el examen. en primer lugar. Es posible marcar las preguntas para realizar una relectura antes de finalizar el examen. al final del libro. trabajar en los trabajos prácticos. y vuelva a trabajarlo tantas veces como sea necesario. Es necesario marcar una o varias de estas respuestas. Para cada una de ellas se proponen varias respuestas. Las preguntas disponibles al finalizar cada módulo le permiten validar sus conocimientos. Se presentan varios sitios en la región. disponer de tiempo para leer los distintos capítulos y. El examen se realiza en un centro homologado Prometric. no obstante la inscripción debe realizarse en el sitio web www. seleccionar el centro así como la fecha y la hora del encuentro. es necesario.com. la tabla resumen de competencias probadas. También puede.microsoft.microsoft.Las máquinas virtuales utilizadas Para poder realizar los trabajos prácticos y para evitar multiplicar el número de máquinas se utiliza un sistema de virtualización. Esta última utiliza el hipervisor de Microsoft (Hyper-V).1. si lo desea.com/es-es/evalcenter/hh699156.aspx Windows Server 2012 R2: http://technet. Es posible descargar las versiones de evaluación de estos productos en los siguientes enlaces: Windows 8. utilizar su propio sistema de virtualización. la instalación de una maqueta.com/es-ES/evalcenter/dn205286. El capítulo presenta. por ello.1: http://technet.aspx . A continuación se instalan varias máquinas virtuales que ejecutan Windows Server 2012 R2 o Windows 8. La gestión del servidor local se lleva a cabo. con ayuda de WinRM. Presente desde Windows Server 2008 se produjo. y también la administración de equipos remotos: es posible. o la gestión remota. un cambio importante. También es posible configurar un conjunto de servidores para administrarlos mediante esta consola. también. el grupo de trabajo o el dominio al que pertenece. Es posible modificar cierta información muy rápidamente. como por ejemplo el nombre del equipo. instalar roles y características. mediante esta consola. también son configurables.El administrador del servidor La consola Administrador del servidor permite administrar el conjunto del servidor. La configuración del escritorio remoto. Permite agregar/eliminar roles. . con Windows Server 2012. lo que indica al administrador que algún servicio tiene un error. Rendimiento y Resultados de BPA. Por defecto. Se auditan varios elementos: Eventos. asegurar rápidamente que no existe ningún problema en el servidor. esta opción está activa. es posible ver en la captura de pantalla anterior que los roles Hyper-V y Servicios de archivos y de almacenamiento funcionan correctamente.La propiedad Configuración de seguridad mejorada para Internet Explorer permite activar o desactivar la seguridad mejorada de Internet Explorer. también. Servicios está precedido por una cifra. Servicios. El Panel permite. De este modo. está detenido… . se ejecuta un nuevo análisis. La consola le indica. Detengamos el servicio de spooler ejecutando el comando net stop spooler. También es posible actualizar la consola para ver el cambio. que existen problemas sobre dos servicios. La detención del servicio spooler provocará la creación de un nuevo evento. ahora. . El comando anterior permite detener el servicio spooler.Haciendo clic en Servicios se abre una ventana que muestra los detalles del servicio afectado. Volviendo a la consola Administrador del servidor. Es posible iniciar el o los servicios deseados haciendo clic con el botón derecho en la fila correspondiente al servicio que presenta el problema y. haciendo clic en el vínculo Servicios. seleccionando la opciónIniciar servicios. Actualizando la consola Administrador del servidor comprobará que el problema relativo al spooler ha desaparecido. .Se abre una nueva ventana indicando el o los servicios que presentan problemas. a continuación. Es.El problema del servicio desaparece. Windows PowerShell…). no obstante. el valor está configurado a 10 minutos. Firewall de Windows con seguridad avanzada…) y de herramientas (Diagnóstico de memoria de Windows. Haciendo clic en Administrar aparece un menú contextual que permite acceder a un conjunto de opciones: Propiedades del Administrador del servidor: es posible especificar el período de actualización de los datos del Administrador del servidor. obligatorio crear un grupo que incluya estos servidores (este punto se aborda más adelante en este capítulo). Por defecto. . El Administrador del servidor puede configurarse para que no se ejecute automáticamente tras iniciar sesión. El menú Herramientas permite acceder a un conjunto de consolas (Administración de equipos. Servicios. Es posible realizar la misma operación para los servicios remotos. Es posible agregar/quitar roles o. conviene crear un grupo de servidores. unidad organizativa…) y. supervisarlos. seleccionando el nombre de la máquina. a continuación. Es posible agregar servidores escribiendo su nombre o una dirección IP en la pestaña DNS. seleccionando la ubicación (raíz del dominio. Es posible realizar la búsqueda del puesto con ayuda de Active Directory. simplemente. Crear grupo de servidores: con el objetivo de poder administrar varios servidores desde esta máquina. . Esto se realiza desde la consola Administrador del servidor. el panel central da acceso a las propiedades y eventos del rol. Cuando se agrega un nuevo rol aparece un nodo en la columna izquierda. El menú Administrar permite llevar a cabo esta operación (seleccione la opción Crear grupo de servidores). la creación de un grupo nos permite realizar la administración de manera remota. 1. Agregar/Quitar roles y características: las operaciones para agregar o quitar roles pueden realizarse sobre el servidor local o sobre una máquina remota. Se utiliza el protocolo WinRM para llevar a cabo esta acción. Haciendo clic sobre él. . En la etapa de creación es necesario asignar un nombre al grupo mediante el campo Nombre de grupo de servidores. Creación de un grupo de servidores Como hemos podido ver. .A continuación. basta con agregar los servidores con ayuda de las distintas pestañas. seleccionar los servidores deseados (AD1. entonces. con hacer clic en el botón Buscar ahora. incluirlos en el grupo mediante el botón ubicado entre los campos de selección y el campo Seleccionada. a continuación. Basta. Permite filtrar sobre un tipo de sistema concreto (por ejemplo: Windows Server 2012 / Windows 8). La pestañaActive Directory da acceso a una lista desplegable Sistema operativo. AD2…) y. Este grupo permite recuperar el estado de salud de los puestos. .El nuevo grupo está disponible en la consola Administrador del servidor. Eliminar un grupo de servidores La eliminación de un grupo de servidores se opera de manera tan sencilla como su creación. vamos. En la consola. Haciendo clic con el botón derecho sobre el grupo afectado. Instalación remota de un rol Se ha creado el grupo en un servidor.2. aparece la opción Eliminar grupo de servidores disponible. es necesario hacer clic en el vínculo Agregar roles y características. . a continuación. En la ventana de selección del servidor de destino es posible seleccionar el servidor sobre el que se quiere realizar la instalación. seleccione el rol que desea instalar y continúe con la instalación. a utilizarlo para instalar el rol Servidor de fax en un servidor remoto. A continuación. 3. La operación se realiza desde la consola Administrador del servidor. A pesar de eliminar el grupo. los puestos siguen estando presentes en la sección Todos los servidores. . Es preciso eliminarlos manualmente haciendo clic con el botón derecho sobre la fila del servidor afectado. es posible utilizar la herramienta sconfig (véase más adelante en este mismo capítulo) o el comando netdom. dado que no se provee el nombre. Sólo está presente la ventana de comandos. Durante la instalación.Servidor en modo instalación mínima Cuando se instala un servidor en modo Instalación mínima o modo Core. Escribiendo el comando hostname es posible obtener el nombre genérico asignado al servidor. La administración del servidor se realiza mediante comandos DOS. Es necesaria una validación. Para realizar esta operación puede ejecutar el comando shutdown -r -t 0. La opción -r permite reiniciar el servidor. Para cambiar el nombre. se asigna un nombre generado aleatoriamente al servidor. La sintaxis del comando netdomes la siguiente: netdom renamecomputer NombreActual /NewName:SRVCore NombreActualpuede remplazarse por %computername%(el nombre de su servidor). Antes de configurar la tarjeta de red es preciso recuperar su nombre. el programa explorer. para ello basta con presionar la tecla S y. Para hacer efectivo el nombre. Para realizar esta operación . a continuación. el servidor debe reiniciarse. la tecla [Enter]. -t 0indica que se desea un reinicio inmediato.exeno se encuentra instalado. 255. .255.10 primary Remplace NombreTarjeta por el verdadero nombre de la tarjeta de red. Ha configurado la tarjeta. El comando netshpermite agregar el servidor DNS: netsh interface ip set dns "NombreTarjeta" static 192.1.168.1. el comando que permite configurar la interfaz es.15 mask=255.168. aunque la dirección del servidor DNS no se ha informado.168. entonces: netsh interface ipv4 set address name="NombreTarjeta" source=static address=192.254 Remplace NombreTarjetapor el verdadero nombre de la tarjeta de red.1. Ethernet en nuestro caso. Etherneten este caso.0 gateway=192.puede utilizar el comando netsh interface ipv4 show interfaces. El nombre de la tarjeta de red es Ethernet. Instalación de roles con una instalación en modo Core El servidor no posee una interfaz gráfica. . Continuando con la configuración de nuestro servidor. por lo que la instalación debe realizarse por línea de comandos. Para enumerar la lista de roles y características es preciso utilizar el comando dism: dism /online /get-features > Caracteristicas. puesto que se ha pasado un asterisco en la opción /passwordD. Cuando la informe. posible acceder al servidor de dominio.El comando ipconfig /allpermite verificar la correcta configuración del puesto.txt Las características disponibles en el sistema operativo en ejecución (opción /online) se enumeran (/get-features). Es.txt. el comando netshnos permite realizar esta acción: netsh firewall set opmode disable 1. para ello conviene utilizar el siguiente comando: netdom join SRVCore /domain:Formacion. Una vez más. habilitar o eliminar cualquier funcionalidad del sistema operativo. no se mostrará ningún carácter. La última etapa consiste en reiniciar el servidor con el objetivo de aplicar la configuración y unirlo al dominio. Vamos a utilizar el comando dism para enumerar. vamos a desactivar a continuación el firewall. ahora.local /UserD:Administrador /passwordD:* Debe informarse la contraseña. El resultado se escribe en el archivo Caracteristicas. para DNS. el nombre es DNS- Server-Full-Role. Por ejemplo. . Antes de cualquier intento de instalación. En el caso de que el firewall esté habilitado. debe recuperarse el nombre de la funcionalidad concreta. Ejecutando el comando dism /online /Enable-Feature /FeatureName:DNS-Server- Full-Roleen una ventana de comandos DOS es posible realizar su instalación. Ahora es posible administrar el rol desde un servidor que posea interfaz gráfica. Para agregar el rol o la característica es preciso utilizar el comando dism.El archivo muestra el nombre de cada funcionalidad y su estado. piense en que debe autorizar la administración remota. Desde Windows Server 2012 es posible agregar o eliminar la interfaz gráfica. Es posible instalar o eliminar dos opciones: Infraestructura y herramientas de administración gráfica Shell gráfico de servidor . 2. No obstante. eliminar una funcionalidad. Para llevar a cabo esta operación es preciso agregar o eliminar la funcionalidad Infraestructura e interfaces de usuario. Agregar/eliminar la interfaz gráfica Desde Windows Server 2008 es posible instalar servidores que no posean interfaz gráfica. dismpuede. La eliminación/agregación puede afectar al shell(interfaz gráfica completa) o a las herramientas e infraestructuras de administración gráfica (incluye las herramientas necesarias para administrar el servidor sin el explorador Internet Explorer). Por último. a su vez. una vez instalado el servidor. es imposible la marcha atrás. Para realizar esta operación debe ejecutar el siguiente comando: dism /online /Disable-Feature /FeatureName:DNS-Server-Full-Role Se elimina el rol del servidor. presente. Al finalizar la instalación. presente en las instalaciones mínimas. Agregar una cuenta de administrador local. parada y reinicio del servidor. La interfaz gráfica está. Descargar e instalar las actualizaciones de Windows Update. evita al administrador tener que introducir los distintos comandos utilizados para configurar el nombre del servidor o la configuración IP. Para acceder a la interfaz basta con ejecutar el comando sconfigen una ventana de comandos DOS. la consola le indica que es necesario reiniciar el servidor. Basta con eliminar la funcionalidad recién instalada para volver al servidor en modo instalación mínima. Desconexión. Es posible realizar más operaciones: Configuración del grupo de trabajo o de la unión a un dominio Active Directory. El comando sconfig. 3. . por lo que la configuración debe realizarse por línea de comandos. Cambio del nombre de equipo. Configuración de la fecha y la zona horaria. Configuración con sconfig Un servidor Core no posee interfaz gráfica. ahora. Para ello. Una vez seleccionada la interfaz de red es preciso seleccionar el parámetro que desea modificar (dirección de la tarjeta de red. Podrá modificar la zona horaria así como la fecha y la hora del servidor. a continuación. también. acceder a la Configuración de red (opción 8). servidor DNS…). El menú le permite. conviene seleccionar la tarjeta de red deseada mediante su índice. presione la tecla [Enter].Para seleccionar la zona horaria debe seleccionar la opción número 9. . En primer lugar. escriba 9 y. No debe olvidar la configuración DNS. para ello se presenta la opción 2.Escriba e (para realizar una configuración estática) y. . valide su elección presionando la tecla [Enter]. la dirección IP. a continuación. a continuación. la máscara de subred y la puerta de enlace predeterminada. Es necesario configurar. la configuración de un servidor en modo instalación mínima resulta mucho más sencilla. .De este modo. es posible agregar discos duros o lectores de DVD. La capacidad del procesador debe. La ventaja de este hypervisor es el acceso inmediato al hardware de la máquina host (obteniendo así mejores tiempos de respuesta). aparece la siguiente ventana. pero impide a la máquina realizar un arranque PXE (arranque del servidor en la red y carga de una imagen). también. Procesador: como con la memoria. Controlador SCSI: agrega un controlador SCSI a la máquina virtual. Tarjeta de vídeo 3D RemoteFX: este tipo de tarjetas permiten una representación gráfica de mejor calidad. cada uno con dos discos como máximo. Es posible asignar. es posible asignar 1 TB de memoria. Las máquinas virtuales en Hyper-V Por defecto. Seleccionando una máquina virtual y. Requisitos previos de hardware Como ocurre con muchos roles en Windows Server 2012 R2. aprovechando DirectX. DVD…). Controlador IDE: es posible configurar dos controladores IDE en la VM (Virtual Machine). Para poder iniciar en red es preciso agregar una tarjeta de red heredada. responder a ciertas exigencias de las máquinas virtuales. Si la máquina host posee 32 GB de memoria disponible. a continuación. Durante la asignación de memoria a las máquinas virtuales es preciso reservar una parte para el funcionamiento de la máquina física. Éstas pueden soportar un máximo de 32 procesadores virtuales. 2.Hyper-V El capítulo dedicado a la instalación de un entorno de pruebas presenta la instalación de una maqueta. la tarjeta de red de la máquina virtual no se hereda. es posible asignar uno o varios procesadores (en función del número de procesadores y del número de núcleos de la máquina física). Memoria RAM: a la máquina virtual se le asigna una cantidad de la memoria disponible. . De este modo. La máquina o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second LevelAddress Translation). es posible configurar varias opciones: El orden de arranque para la máquina virtual (red. 32 procesadores a una máquina virtual. y actualmente está disponible la versión 3. Se trata de un sistema de virtualización disponible en los sistemas operativos de servidor desde Windows Server 2008. Es posible instalar el rol Hyper-V con Windows Server 2012 R2 en modo instalación completa (con la interfaz gráfica instalada) o en modo instalación mínima (sin interfaz gráfica). Tarjeta de red: por defecto. El hardware de la máquina host está afectado por estos requisitos previos. lo que permite obtener una mejor tasa de transferencia. una máquina virtual utiliza los siguientes componentes: BIOS: se simula la BIOS de un ordenador físico. 1. como máximo. en la que el sistema de virtualización propuesto es Hyper-V. La activación o bloqueo automático del teclado numérico. Desde Windows Server 2008 R2 SP1 es posible asignar memoria dinámicamente (se verá más adelante en este mismo capítulo). Como máximo. se recomienda reservar 1 o 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de los roles que estén instalados en la máquina física). La cantidad de memoria en el servidor host debe ser superior a la memoria configurada en las máquinas virtuales. haciendo clic en Configuración en el menúAcciones. disco duro. Este sistema se presenta en este capítulo. Hyper-V tiene ciertos requisitos previos. Si se deseaba asignar 4 GB de RAM a un servidor. el sistema de virtualización Hyper-V permitía asignar únicamente una cantidad de memoria estática. La memoria dinámica con Hyper-V Tras la aparición de Windows Server 2008. De este modo. 3. Es posible configurar los siguientes componentes durante la creación de una máquina virtual (tarjeta de red. el número de máquinas virtuales se veía reducido. No obstante. incluso si no existía ninguna actividad sobre la máquina virtual. La memoria dinámica permite asignar una cantidad mínima de memoria. los valores mínimo y máximo de la memoria dinámica que una máquina puede consumir cuando ésta se encuentra encendida. . está autorizada a solicitar una cantidad suplementaria (esta última no puede exceder la cantidad máxima acordada). La memoria buffer es una funcionalidad que permite a la máquina virtual aprovechar una cantidad de RAM suplementaria si fuera necesario. cualquier administrador puede modificar. lector DVD) o accediendo a la configuración de la máquina correspondiente. A diferencia de Windows Server 2008 R2. disco duro. Esta funcionalidad se ha incluido en los sistemas operativos de servidor desde Windows Server 2008 R2 SP1. en Windows Server 2012 R2. la cantidad de memoria reservada era idéntica. si la máquina virtual necesita más memoria. contenida en Windows Server 2012. El disco duro de las máquinas virtuales Un disco duro virtual es un archivo que utiliza Hyper-V para representar los discos duros físicos. el tamaño de los archivos no está limitado a 2 TB. es posible utilizar un nuevo formato. De este modo. sistemas operativos o datos. El comando de DOS diskpart. Es posible crear un disco duro utilizando: La consola Administrador de Hyper-V. El comando de PowerShell New-VHD. el VHDX. es posible almacenar. Este nuevo formato ofrece varias ventajas respecto a su predecesor. el formato VHD (Virtual Hard Disk). De este modo. Es posible convertir los archivos VHD existentes en VHDX (este punto se aborda más adelante en este mismo capítulo). El VHDX es menos sensible a la corrupción de archivos tras un corte inesperado (debido a un fallo de corriente. Con la llegada de la nueva versión de Hyper-V. cada disco duro virtual puede tener un tamaño máximo de 64 TB. El peso de la memoria permite implementar prioridades acerca de la disponibilidad de la memoria. en estos archivos. La consola Administrador de discos. . 4. por ejemplo) del servidor. comprimirlo para reducir el volumen utilizado o convertir el formato VHD en VHDX. El disco virtual de tipo pass-through permite a una máquina virtual acceder directamente al disco físico. este último tiene un tamaño de 260 KB frente a los 4096 KB necesarios para un formato VHDX. Este último debe dejarse fuera de servicio mediante la consola Administrador de discos. incluyendo discos de tamaño fijo. es posible limitar la fragmentación en el disco duro de la máquina host y mejorar el rendimiento. este tipo de discos ofrecen el inconveniente de que consumen el espacio de disco incluso si el archivo VHD no contiene datos. por ejemplo). el contenido se copia sobre un nuevo archivo (conversión de un archivo de tamaño fijo en uno de tamaño dinámico. El disco se considera como un disco interno para el sistema operativo de la máquina virtual. La ventana nos da acceso a varias opciones. dinámico o pass-through. Los distintos tipos de discos Durante la creación de un nuevo disco duro virtual. Durante la creación de un disco virtual de tamaño fijo se reserva en disco el tamaño total correspondiente al archivo. Para los discos de tamaño fijo es necesario convertir antes el archivo VHD en un archivo de tipo dinámico. Durante la creación de un archivo VHD de tipo dinámico. Tras la creación de una imagen virtual Hyper-V bajo Windows Server 2012 R2 es posible especificar un recurso compartido de red. .Windows Server 2012 R2 soporta el almacenamiento de los discos duros virtuales sobre particiones de archivo SMB 3. Esto puede resultar muy útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI. De este modo. Una vez copiados los datos e implementado el nuevo disco. El tamaño del archivo aumenta en función del contenido hasta alcanzar el tamaño máximo. Durante la creación de un disco de tamaño dinámico se define un tamaño máximo para los archivos. No obstante. No obstante. Es posible crear un archivo VHD mediante el cmdlet de PowerShell New-VHDy el parámetro -Dynamic. el anterior archivo se elimina. Esta opción permite reducir el tamaño de un disco siempre que no utilice todo el espacio que se le ha asignado. opción Editar disco… en el panel Acciones. Estas acciones pueden llevarse a cabo mediante el Asistente para editar discos duros virtuales. Es posible realizar otras operaciones tales como la reducción de un archivo dinámico. es posible crear distintos tipos de discos. esta solución requiere un acceso exclusivo de la máquina virtual al disco físico correspondiente. Es posible. Administración de un disco virtual Es posible realizar ciertas operaciones sobre los archivos VHD. Durante la conversión del disco virtual. por ejemplo. la modificación de un disco padre provoca errores en los vínculos con los discos de diferenciación. New-VHD c:\Diferencial. Preste atención. Las instantáneas en Hyper-V Un snapshot (instantánea) se corresponde con una "foto" de la máquina virtual en el momento en que se realiza. Es posible crear un disco de diferenciación utilizando el cmdlet de PowerShell New-VHD.vhd 5. este tipo de discos consiste en crear un disco padre común a varias máquinas virtuales y un disco que contiene las modificaciones que se realizan respecto al disco padre.. Los discos de diferenciación Un disco de diferenciación permite reducir el tamaño necesario para el almacenamiento. Es posible realizar un snapshot seleccionando la máquina y haciendo clic en la opción Instantánea en el panel Acciones.vhd -ParentPath c:\Padre. por tanto..vhd. En efecto. El siguiente comando permite crear un disco de diferenciación llamado Diferencial. disco que es propio de cada máquina. . que utiliza un disco padre llamado Padre. El tamaño necesario para almacenar las máquinas virtuales se ve. Es. reducido. Este último está contenido en un archivo con la extensión avhd o avhdx en función del tipo de archivo de disco duro seleccionado. necesario volver a conectar los discos de diferenciación utilizando la opción Inspeccionar disco.vhd. También es posible utilizar los cmdlets de PowerShell resize-partitiony resize-vhd para realizar la compresión de un disco duro virtual dinámico. en el panel Acciones. de este modo. servidor…). Es posible gestionarlos utilizando la opción Administrador de conmutadores virtuales en el panel Acciones. se produce un intercambio entre el controlador de dominio y la máquina virtual unida al dominio. En efecto. el snapshot no remplaza. el snapshot incluirá el contenido de la memoria viva. Es posible reiniciarla realizando una nueva unión al dominio o utilizando el comando netdom resetpwd. este conmutador virtual tiene una conexión sobre la red física que le permite acceder a los equipos o servidores de la red física. lo cual permite a las distintas estaciones comunicarse entre sí o con los equipos externos a la máquina host (router. hablamos ahora de conmutador virtuales desde Windows Server 2012. para las máquinas de la red física. Preste atención. este intercambio (contraseña) se restablece también. de modo que se rompería el canal seguro. 6. con Windows Server 2008. Restaurando una máquina. Es imposible. Si este último se crea mientras la máquina se encuentra iniciada. Si se utiliza un snapshot para restablecer un estado anterior. . es posible que la máquina virtual no pueda conectarse al dominio. Es posible crear tres tipos de conmutadores: Externo: con este tipo de conmutador virtual es posible utilizar la tarjeta de red de la máquina host en la máquina virtual. En caso de degradación en el disco. Gestión de redes virtuales Es posible crear varios tipos de redes y aplicarlos a una máquina virtual. la contraseña restablecida puede no seguir siendo válida. Privada: la comunicación puede realizarse únicamente entre las máquinas virtuales. Cada máquina puede poseer hasta 50 snapshots. Interno: permite crear una red entre la máquina física y las máquinas virtuales. comunicarse con las VM. la máquina host no puede conectarse con ninguna de las VM. De este modo. en ningún caso. se perderían todos los archivos. También conocido como red virtual. Los conmutadores virtuales Un conmutador virtual se corresponde con un conmutador físico. a la copia de seguridad. que podemos encontrar en cualquier red informática. No obstante. pues los avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. .Una vez creado. conviene volver a vincular la tarjeta de red de la VM con el conmutador deseado. Tener nociones sobre el funcionamiento de un sistema operativo. .Requisitos previos y objetivos 1. Objetivos Configuración del servidor Hyper-V. Instalación de la maqueta que permitirá realizar los trabajos prácticos. Requisitos previos Poseer ciertas nociones sobre virtualización de servidores. 2. Desde Windows 2008 se proporcionan dos tipos de instalación. Memoria RAM: 512 MB como mínimo. La virtualización permite disminuir el número de máquinas físicas necesarias. No obstante. y arquitectura de 64 bits. desde Windows 8. en mi opinión. Una vez terminada la instalación del servidor es necesario reconfigurar el nombre del servidor y definir su configuración IP. requiere un espacio de disco de 15 GB. o la administración cotidiana del servidor. El sistema operativo instalado es Windows Server 2012 R2. Es útil prever un mínimo de 1 GB para la máquina host. Todas las máquinas virtuales funcionan sobre el mismo servidor físico. necesario disponer de una cantidad de memoria y un espacio de disco suficientes. Instalación de Windows Server 2012 R2 Antes de instalar Windows Server 2012 R2 en el puesto físico es necesario respetar los requisitos previos del sistema operativo. Si su configuración es inferior. no obstante. y unos 7 GB para el conjunto de máquinas virtuales. La solución de virtualización que se ha escogido es Hyper-V. posible administrar los distintos roles de forma remota instalando archivos RSAT en un puesto remoto. el mínimo aceptable. un servidor equipado con 1024 MB es. Procesador: 1.El entorno de pruebas El entorno de pruebas permite crear un entorno virtual o físico para llevar a cabo las pruebas. sin ningún rol. se realizan por línea de comandos. Será. Es. la maqueta descrita más adelante está equipada con un procesador Pentium Core i7 con 8 GB de RAM. Una instalación mínima: el sistema operativo se instala sin ninguna interfaz gráfica. bastará con arrancar solamente aquellas máquinas virtuales necesarias. . Configuración necesaria Se requiere una máquina potente para soportar todas las máquinas virtuales. 1. Una instalación completa: con una interfaz gráfica que permite administrar el servidor de manera visual o por línea de comandos. integrada en las versiones servidor de Windows desde la versión 2008. 2. Sólo se muestra en pantalla una línea de comandos: la instalación de roles y características. Habrá que prever un espacio más o menos adecuado en función del rol del servidor. Éstas se realizan sin poner en riesgo máquinas o servidores en producción. Ciertos criterios. Si el servidor posee características limitadas o si desea reducir el número de actualizaciones que tendrá que instalar se recomienda realizar una instalación mínima. Es posible. tales como las características técnicas del servidor o la voluntad de reducir la administración.4 GHz como mínimo. facilitan la elección entre ambos tipos de instalación. Espacio de disco: una instalación básica. utilizar Hyper-V en los sistemas operativos cliente. no obstante. En la consola. Se abre el asistente. haga clic en Agregar roles y características. haga clic en Siguiente. Haga clic en el Administrador del servidor .Creación de las máquinas virtuales La siguiente etapa consiste en la instalación del rol Hyper-V y la creación. deje marcada la opción por defecto Instalación basada en características o en roles y. Dado que Hyper-V es un rol. instalación y configuración posterior de las distintas máquinas virtuales. a continuación. haga clic en Siguiente. . Verifique que el servidor de destino es el suyo y haga clic en Siguiente. a continuación. Marque la opción Hyper-V y. Es necesario crear un conmutador virtual: haga clic en la tarjeta de red para realizar un puente . haga clic en Agregar características. Haga clic en Siguiente en la ventana de instalación de características. a continuación. Es posible utiliza la tarjeta física o crear una tarjeta interna. Para esto último. existen dos opciones: Red interna: se crea una red virtual entre la máquina host y las máquinas virtuales. Reinicie el servidor una vez terminada la instalación. entre la red física y la máquina virtual. . Es imposible alcanzar una máquina en la red física (servidor. en Instalar. acceda a las Herramientas administrativas y haga clic en el Administrador de Hyper-V. impresora de red…). a continuación. Red privada: las máquinas virtuales están aisladas de la máquina host. Haga clic en el botón Inicio y. es imposible conectar con la máquina física y las máquinas de la red física. Haga clic en Administrador de conmutadores virtuales en la consola Hyper-V (panel Acciones). Ahora es preciso configurar la interfaz de red. Haga clic dos veces en Siguiente y. Haga clic en Nuevo conmutador de red virtual y. . a continuación. seleccione el tipo Interno. .Acepte la selección haciendo clic en el botón Crear conmutador virtual. Dé nombre a la tarjeta creada en la red virtual "Interna". Repita la operación para crear el conmutador de red virtual Interna 2. local. SV1.local. crearemos el dominio de Active Directory Formacion. Durante la instalación de las máquinas virtuales. con dos rangos diferentes de direcciones IP.local.local. AD2. Haga clic en Aplicar y. servidor miembro del dominio Formacion. a continuación.local. 1.1 miembro del dominio Formacion.local. servidor miembro con el rol de enrutador. A continuación. puesto de cliente Windows 8. servidor miembro del dominio Formacion. Se utilizarán dos redes.1.1 miembro del dominio Formacion. los sistemas operativos utilizados serán Windows Server 2012 R2 y Windows 8. SV2.local. puesto de cliente Windows 8. . CL8-02. enlazadas mediante un servidor SRV-RT. SRV-RT. controlador de dominio del dominio Formacion. La maqueta contiene cinco servidores y dos puestos cliente: AD1. en Aceptar. controlador de dominio del dominio Formacion. éstas serán miembro del grupo de trabajo Workgroup. Esquema de la maqueta Se van a crear siete máquinas virtuales. CL8-01. Roles instalados y configuración de los servidores y puestos: Rol instalado Configuración IP AD1 Active Directory.1.255.168.255.0 Puerta de enlace predeterminada: 192.0 Puerta de enlace predeterminada: 192.10 CL8.1.168.0 Servidor DNS primario: 192.254 Servidor DNS primario: 192.1.255.168.0 Puerta de enlace predeterminada: 192.1.255.1.10 SV2 Ningún rol Dirección IP: 192.255.1.1.168. .255.168.12 Máscara de subred: 255.255.168.1.1.1.10 DHCP Máscara de subred: 255.0 Puerta de enlace predeterminada: 192. DNS y Dirección IP: 192.168.168.0 La instalación y la configuración de los roles se detallan más adelante en este libro.254 Máscara de subred: 255.255.255.168.11 Máscara de subred: 255.168.1.168.255.168.0.254 Servidor DNS primario: 192.13 Máscara de subred: 255. Ningún rol Configuración atribuida por el servidor DHCP 01y CL8- 02 SRV-RT Enrutador Tarjeta de red 1: Dirección IP: 192.168.254 Servidor DNS primario: 192.254 Servidor DNS primario: 192.1.10 AD2 Active Directory y DNS Dirección IP: 192.16.1.255.10 SV1 Ningún rol Dirección IP: 192.10 Tarjeta de red 2: Dirección IP: 172.254 Máscara de subred: 255.168.1.1. a. a continuación. Escriba AD1 en el campo Nombre y.2. a continuación. haga clic en Siguiente. haga clic en Nuevo dentro del panel Acciones y. haga clic en Siguiente. enMáquina virtual. . Seleccione la opción Generación 2 y. En la ventana Antes de comenzar. haga clic en el botón Siguiente. Máquina virtual AD1 El procedimiento detallado a continuación debe reproducirse para los demás servidores. Creación y configuración de la VM En la consola Hyper-V. a continuación. Escriba 60 en el campo Tamaño del disco y valide con el botón Siguiente. Haga clic en Siguiente. .Escriba 1024 en el campo Memoria de inicio. seleccione la tarjeta de red deseada (interna o tarjeta de red física) y haga clic en Siguiente. En la ventana Configurar funciones de red. a la máquina virtual. . la ISO o el DVD de Windows Server 2012 R2 y haga clic enSiguiente.Conecte. haga clic en el botón que permite iniciar la VM (icono verde). a continuación. Haga clic en Siguiente en la ventana que permite escoger el idioma (el idioma Español está seleccionado por defecto). El disco duro de la máquina se ha creado. b. La máquina arranca y se inicia la instalación de Windows Server 2012 R2. haga doble clic en la máquina que acaba de crear y. . haga clic en Finalizar. En la ventana de resumen. Es preciso particionarlo e instalar un sistema operativo. Aparece la nueva máquina en la ventana central de la consola. pero está virgen. Instalación del sistema operativo En la consola Hyper-V. haga clic en Siguiente.Haga clic en Instalar ahora para iniciar la instalación. Seleccione el tipo de instalación Personalizada: instalar solo Windows (avanzado). Acepte el contrato de licencia y. a continuación. Haga clic en la versión Estándar (instalación con interfaz de usuario). . cree dos particiones de 30 GB. La siguiente etapa consiste en la modificación del nombre del equipo y la configuración IP de la máquina. a continuación. Termina la instalación. Configuración post-instalación Realice un [Ctrl][Alt][Fin] en la máquina virtual recién instalada. en Siguiente. a continuación. c. Se completa la instalación… Escriba la contraseña Pa$$w0rd y. . Haga clic en la primera partición de 30 GB y.). confírmela. Con ayuda de la opción Opciones de unidad (avanz. o haga clic en el primer icono de la barra de herramientas para escribir un nombre de usuario y una contraseña. Los roles se instalarán a lo largo de los siguientes capítulos. haga clic en Configurar este servidor local. En el Administrador del servidor. introduciendo la contraseña configurada en la sección anterior. Haga clic en Nombre de equipo para abrir las propiedades del sistema. .Abra una sesión como administrador. en Propiedades. Haga clic dos veces en Aceptar y. Haga clic con el botón derecho en Centro de redes y recursos compartidos y. a continuación. Haga doble clic en la tarjeta de red y. En la ventana de Propiedades. Reinicie la máquina virtual para que se hagan efectivos los cambios. a continuación. a continuación. Haga clic en Cambiar y. haga doble clic en Protocolo de Internet versión 4 . en Cerrar. Haga clic en Cambiar configuración del adaptador. escriba AD1 en el campo Nombre de equipo. haga clic en Abrir. a continuación. A continuación es preciso configurar la dirección IP de la tarjeta de red. (TCP/IPv4). Configure la interfaz de red como se muestra a continuación. . repartido en dos particiones. Estas manipulaciones hay que reproducirlas. 4. La máquina no debe unirse al dominio. Máquina virtual AD2 Este servidor es el segundo controlador de dominio de la maqueta. repartido en dos particiones. 3. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB.168. Máquina virtual SV1 Servidor miembro del dominio. con otros parámetros. llamado AD2.1. en las siguientes máquinas virtuales. .10 Contraseña del administrador local: Pa$$w0rd Los roles se instalarán en los siguientes capítulos.1. Las modificaciones que hay que llevar a cabo son el nombre del equipo y su configuración IP.11 Máscara de subred: 255. Dirección IP: 192.255.168.255.168.1. Se instalarán distintos roles más adelante.254 Servidor DNS preferido: 192.0 Puerta de enlace predeterminada: 192. 168.1.0 Servidor DNS preferido: 192. Nombre de equipo: CL8-01 Contraseña del administrador local: Pa$$w0rd 7. La configuración IP se realizará mediante un contrato DHCP. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB.0 Puerta de enlace predeterminada: 192. Máquina virtual SV2 Servidor miembro del dominio.10 Tarjeta de red 2: Dirección IP: 172.1. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB.0 Puerta de enlace predeterminada: 192. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB.10 Contraseña del administrador local: Pa$$w0rd 5.1.255.168.254 Servidor DNS preferido: 192.255.255. Nombre de equipo: SRV-RT Tarjeta de red 1: Dirección IP: 192. miembro del dominio.1.254 Máscara de subred: 255. cada una conectada a un conmutador virtual distinto.1.255.1. repartido en dos particiones.255. Este servidor virtual contiene dos interfaces.168.13 Máscara de subred: 255. Se instalarán distintos roles más adelante.168.168.1. Nombre de equipo: SV1 Dirección IP: 192.168.1.254 Servidor DNS preferido: 192.12 Máscara de subred: 255.16. repartido en dos particiones.168. Se instalarán distintos roles más adelante.254 .1. Nombre de equipo: SV2 Dirección IP: 192. repartido en una sola partición.255.1. Máquina virtual CL8-01 Puesto cliente con Windows 8. Máquina virtual SRV-RT Servidor miembro del dominio.168.10 Contraseña del administrador local: Pa$$w0rd 6. Las instantáneas Las instantáneas permiten salvaguardar el estado de la máquina virtual. En la consola aparece la captura instantánea. seleccione Instantánea. Es. a continuación.1. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB. miembro del dominio.255.0 Contraseña del administrador local: Pa$$w0rd 8. Nombre de equipo: CL8-02 Contraseña del administrador local: Pa$$w0rd 9. así. Abra la consola Administrador de Hyper-V. repartido en una sola partición.0. posible restablecer la captura instantánea y volver con facilidad a un estado anterior. Máscara de subred: 255. Haga clic con el botón derecho sobre la VM elegida y. . Máquina virtual CL8-02 Puesto cliente con Windows 8. La configuración IP se realizará mediante un contrato DHCP. Una vez realizada la misma operación sobre el conjunto de máquinas virtuales. es posible restaurar el estado de una o varias VM de la maqueta. Tener conocimientos acerca de sistemas de virtualización.Requisitos previos y objetivos 1. Requisitos previos Poseer competencias en Active Directory. Mantenimiento de la base de datos de Active Directory. Objetivos Presentación del servicio AD DS (Active Directory Domain Services). . Presentación de las novedades relativas a la virtualización del controlador de dominio. 2. . es importante realizar la administración cotidiana de este servidor minuciosamente.Introducción El directorio Active Directory es un componente esencial en un sistema de IT. Gestionado por un controlador de dominio. Además.local. es preciso que el servidor DNS se instale sobre un controlador de dominio. 2. contienen una copia de la base de datos.Formacion. Por último. Este objeto puede. Para ello. por ejemplo. Los sitios Active Directory permiten dividir un dominio de cara a su replicación. es imposible realizar modificaciones sobre un RODC. Éste se encarga de autenticar a los distintos usuarios y equipos del dominio. sitios y conexiones entre controladores de dominio.Presentación de Active Directory Domain Services Active Directory utiliza una base de datos donde se almacena la información necesaria para realizar la identificación de los distintos objetos de Active Directory (equipos. EU. A diferencia de un controlador de dominio que posea permisos de escritura. Hemos visto. a su vez. componentes lógicos. Los distintos componentes de AD DS Los componentes de Active Directory pueden clasificarse en dos categorías. las dos particiones contienen. Los componentes lógicos Como complemento a los componentes físicos. Ésta se compone de varias particiones: Dominio Esquema DNS Configuración La partición de dominio contiene los distintos objetos que se han creado en el dominio. Esto permite ahorrar en ancho de banda entre ambos sitios remotos. que toda la información de un objeto se contiene en una base de datos. las búsquedas de un objeto presente en el bosque son mucho más rápidas. la partición DNS contiene las distintas zonas del servidor. 1. el componente RODC (Read Only Domain Controller) aparece con Windows Server 2008 y consiste en la instalación de un controlador de dominio de solo lectura. De este modo. Visión general de las nociones de esquema y bosque de Active Directory . Los componentes físicos Los controladores de dominio son un componente físico. La sección Configuración está compuesta por la topología del bosque. Es posible clasificar otros componentes dentro de la familia de componentes lógicos. La unidad organizativa es un objeto de Active Directory sobre el que es posible posicionar directivas de grupo. Cuando varios nombres de dominio tienen una raíz DNS común (Formacion.Formacion. usuarios…). la arborescencia de dominio y el bosque forman parte de esta familia. ES. Por último. estos últimos se presentan bajo la misma arborescencia de dominio. Esta autenticación les permite acceder a los recursos de la red. La carpeta SYSVOL es una carpeta compartida y se encuentra una réplica en cada servidor que tenga el rol de controlador de dominio. antes. componentes físicos y componentes lógicos. A diferencia de esta última. a su vez.local.local). distintos atributos de los objetos. grupos. Los servidores tienen un rol de catálogo global y poseen la lista de objetos que se han creado en el bosque. de modo que encontramos información relativa al dominio. también es posible encontrar sitios AD así como unidades organizativas. así como parte de sus atributos (aquellos que se replican en el catálogo global). la partición de esquema contiene todos los objetos que pueden crearse. Esta base de datos se almacena y administra mediante un servidor llamado controlador de dominio. también. servir para implementar delegaciones. una solución Active Directory posee. Por último. El bosque Active Directory consiste en una serie de dominios vinculados entre sí por una relación de confianza bidireccional transitiva. y viceversa. por lo general. necesario limitar las personas que tendrán acceso a los recursos o pueden conectarse a un equipo. por tanto.Un bosque Active Directory se compone de una o varias arborescencias de dominio. Un usuario externo al bosque no puede acceder a un recurso presente en un dominio del bosque. El administrador debe configurar las autorizaciones para el usuario del segundo dominio sobre la cuenta de equipo del o de los servidores deseados. este tipo de relación de confianza posee dos requisitos previos: Nivel funcional mínimo Windows Server 2003 en ambos bosques. Cada una de estas arborescencias contiene. así como sus atributos. El nombre del bosque es idéntico al del primer dominio creado. El esquema Active Directory contiene el conjunto de objetos que pueden crearse. En el caso de que existan dos bosques de Active Directory es preciso crear una relación de confianza entre bosques para permitir a los usuarios del bosque A acceder a los recursos del bosque B. llamado dominio raíz. a su vez. No obstante. Este último. contiene. conviene implementar la autenticación selectiva. el permiso NTFS Permiso para autenticar. administradores del esquema o los roles FSMO (Flexible Single Master Operation) Maestro de esquema y Maestro de nomenclatura de dominios. Cuando se ejecuta un proyecto de migración o de instalación de un servidor Exchange. Redirector condicional configurado sobre los servidores DNS (generalmente sobre el controlador de dominio raíz de ambos bosques). De este modo. podemos encontrar cuentas de administradores de empresa. varios dominios. Debe utilizarse. para ello. La implementación de una relación de confianza de este tipo permite a todos los usuarios del bosque A acceder a todos los recursos del bosque B (en función de las ACL) y viceversa. Es. Esta etapa se realiza automáticamente tras una migración de . es preciso actualizar el esquema. objetos que sólo están presentes en él. Windows Server 2008 R2 a Windows Server 2012 o superior. además la cuenta que ejecuta la operación debe ser miembro del grupo Administradores de esquema.dll. A continuación. es posible agregar el componente visual Esquema de Active Directory a la consola. para habilitarla es preciso ejecutar el comando Regsvr32 Schmmgmt. La consola Esquema de Active Directory no está accesible por defecto. La estructura del directorio Active Directory Un dominio Active Directory consiste en un grupo de usuarios y equipos que pertenecen a una misma entidad. 3. la etapa de promoción de un controlador de dominio se ha visto simplificada para determinar si es necesario llevar a cabo la etapa de actualización. En efecto. La consola permite visualizar las distintas clases de objeto así como sus atributos. Esta agrupación se realiza con el objetivo de simplificar la seguridad y la . Esta operación debe realizarse sobre el servidor que posea el rol FSMO Maestro de esquema. Tras la creación del directorio Active Directory se crean varios objetos. de un controlador de dominio. Tras haber unido un equipo al dominio. se crea una cuenta para él. Permiten asignar directivas de grupo al conjunto de usuarios o equipos que la componen. De este modo. por lo que resulta necesario que la base de datos de Active Directory (ntds. Hemos visto que un bosque está compuesto de varios dominios y. Desgraciadamente es diferente a la contraseña almacenada en el servidor. en este caso. A modo de recordatorio.dit) se replique sobre varios servidores. esta cuenta de equipo posee una contraseña que cambia cada 30 días.administración de la red informática. instalar un controlador de dominio de solo lectura (RODC. En este momento. contiene además de la base de datos una carpeta compartida llamada SYSVOL que contiene parte de las directivas de grupo creadas y los scripts de usuario (estos puntos se abordan en capítulos posteriores). Administradores de dominio. es fácil comprobar la importancia de un controlador de dominio. Esta acción consiste en otorgar a otro usuario permisos más o menos limitados (restablecer la contraseña. pueden contener varios controladores de dominio. Existen diversos comandos que permiten realizar el cambio de contraseña en ambos lados. Es posible proceder a la creación de varias unidades organizativas y anidarlas si es necesario. agregar/eliminar una cuenta…). o a la inversa. En el caso de la restauración de un equipo de trabajo o. Es posible. con el objetivo de repararlo. también se restaura la contraseña de una o varias máquinas. además de los distintos usuarios. Sólo es posible realizar el inicio de sesión si la cuenta de usuario y la cuenta de equipo están autenticadas. Las carpetas de sistema Builtin y Users contienen los distintos grupos y usuarios por defecto (Administrador. desde Windows Server 2008. además de implementar delegaciones. A nivel de unidades organizativas únicamente se crea por defecto la OU (Organizational Unit) Domain Controllers. se rompe el canal seguro y no es posible realizar ningún inicio de sesión. grupos o cuentas de equipos. de replicación intersitio para una replicación entre servidores de sitios diferentes (por ejemplo. Read Only Domain Controller). Para evitar modificaciones fraudulentas o accidentales sobre los objetos contenidos en la base de datos es posible. sacar y volver a meter el equipo de trabajo en el dominio. de modo que se establece un canal seguro entre el controlador de dominio y la estación. Operador de copia de seguridad…). La replicación intrasitio se corresponde con una replicación entre dos controladores de dominio de un mismo sitio AD. Un usuario o equipo puede. un sitio creado en Barcelona y otro en Madrid). incluso peor. los cuales le autorizan el acceso a los distintos recursos. Hablamos. estos últimos. Como ocurre con los usuarios. autenticarse en todos los controladores de dominio que componen su dominio. Este punto se desarrolla más adelante en este capítulo. a su vez. por tanto. . en la gran mayoría de parques informáticos. enormemente facilitado. posee esta funcionalidad. No obstante. Con la aparición de Windows Server 2012 los servidores con el rol de controlador de dominio tienen. Microsoft recomienda tener. obligatoriamente. puesto que este tipo de servidores arrancan con mayor velocidad que un servidor virtual que necesita. se crea el archivo de clonado DcCloneConfig.Implementación de controladores de dominio virtualizados La virtualización es una solución que se utiliza. A continuación. Si la máquina original se ha detenido. en cuyo caso es primordial asegurarse en primer lugar con el fabricante acerca de la compatibilidad del software con la funcionalidad de clonado. encontrarse sobre un controlador de dominio que ejecute Windows Server 2012 o superior. En efecto. El maestro Emulador PDC procede a la creación de los distintos identificadores necesarios para el nuevo controlador de dominio clonado para ser considerado servidor réplica. De este modo. un controlador de dominio instalado sobre un servidor físico. es preciso tener en cuenta ciertos requisitos previos: El servidor que posee el rol FSMO Emulador PDC debe. Este servidor debe estar disponible durante la etapa de clonado. La etapa de clonado utiliza archivos XML para llevar a cabo las distintas etapas de la operación.. no son compatibles con el clonado de DC. El hypervisor que gestiona las máquinas virtuales debe incluir la funcionalidad que permite generar el ID. en lo sucesivo es posible realizar el clonado de un controlador de dominio virtualizado o implementar snapshots sobre DC virtualizados. en el mismo bosque. Además de permitir obtener una ganancia de sitio en las salas de servidores. piense en arrancarla antes de la VM clonada. Los snapshots sobre las máquinas virtuales no estaban. 2. Entre los servidores virtualizados es frecuente encontrar servidores con el rol de controlador de dominio. Además. es posible que algunas de sus aplicaciones estén consideradas como excluidas (no autorizadas).xml. Esta recomendación es principalmente útil en caso de producirse algún corte de corriente y la detención de todos los servidores. Una vez realizada la verificación. El despliegue de controladores de dominio se ve. Hyper-V 3. dos controladores de dominio con el mismo nombre. previamente. A continuación. permite alcanzar un mejor uso de los recursos de los servidores. ahora. de este modo. desplazar estos roles a algún otro servidor. algunos roles tales como DHCP. presente desde Windows Server 2012. de modo que es necesario. etc. por tanto. consciencia de su estado virtualizado. Entidad certificadora. los controladores de dominio no conocían su estado virtualizado. el arranque de la máquina host. a día de hoy. se realizan las etapas de configuración. La operación de clonado requiere ciertas precauciones.0. Gestión de los controladores de dominio virtualizados Desde Windows Server 2012 es posible aplicar un snapshot sobre un servidor virtualizado y . 1. los recursos de hardware no siempre se utilizaban en su totalidad. como mínimo. trabajando con servidores físicos.xml en la carpeta NTDS. y si no existe ninguna aplicación excluida presente en el servidor. previamente. Al arrancar la máquina clonada. La configuración del nuevo controlador de dominio se encuentra en el archivo DcCloneConfig. En efecto. es necesario exportar la máquina virtual e importarla. recomendados. es imposible tener. Este archivo se genera mediante un cmdlet PowerShell si no existe ninguna aplicación no autorizada sobre el servidor. Despliegue de controladores de dominio virtualizados A partir de Windows Server 2012 se implementa una nueva funcionalidad a nivel de la virtualización de controladores de dominio. es necesario crear una excepción y autorizar así la aplicación excluida anteriormente. En los sistemas operativos anteriores. Ahora es posible realizar un clonado de un controlador de dominio. GUID (Globally Unique Identifier) o SID (Security Identifier). Esta operación se realiza mediante cmdlets PowerShell. Se recomienda. en tal caso. De este modo. No se debe restaurar un snapshot que se haya tomado antes de realizar la promoción de un servidor pues la promoción del servidor tendrá que realizarse manualmente.utilizarlo si fuera necesario. no obstante. pues la replicación no podrá llevarse a cabo y ningún servidor hará de autoridad. es preciso tener en cuenta los puntos siguientes: Los snapshots no remplazan a la copia de seguridad cotidiana. Tras la restauración de un estado anterior (uso del snapshot). para terminar con los snapshots. renombrar o restaurar un snapshot mediante las instrucciones Remove- VMSnapshot. a que es necesario realizar una limpieza previa de la base de datos de AD. no restaurar todos los controladores de dominio en el mismo momento.microsoft. También se inicia una replicación no autoritativa de la carpeta SYSVOL. Es posible eliminar. Se inicia una replicación y se elimina el pool de RID (Relative ID) del controlador de dominio restaurado. Tras esta eliminación se le atribuye un nuevo pool de RID (esto permite evitar una duplicación de los SID en AD DS).aspx . Es posible utilizar cmdlets PowerShell para realizar la gestión de los snapshots de Hyper-V.Rename-VMSnapshoty Restore-VMSnapshotrespectivamente. Por último.10). el controlador de dominio va a intentar realizar una restauración no autoritativa. El procedimiento (cleanup metadata) está disponible en el sitio web de Microsoft:http://technet.com/en-us/library/cc816907(v=ws. tratará de replicarse con sus servidores asociados de replicación. Preste atención. La creación de un snapshot se realiza mediante el cmdlet Checkpoint-VM mientras que la exportación se lleva a cabo mediante el cmdlet Export-VMSnapshot. Es posible obtener la lista de snapshots asociados a una máquina virtual mediante el comando Get-VMSnapshot. Implementación de un RODC El RODC (Read Only Domain Controller) es un servidor con el rol de controlador de dominio. En el momento de la promoción de un servidor como RODC se crean dos grupos: Grupo de replicación de contraseña RODC permitida Grupo de replicación de contraseña RODC denegada El primer grupo permite el alojamiento en caché de las contraseñas. 1. un controlador de dominio de solo lectura sólo transmite la solicitud de autenticación a su controlador de dominio de escritura. La primera solución permite delegar a una tercera persona la etapa de promoción. únicamente. por ejemplo) no se replican sobre los RODC. De este modo. Sobre un RODC es posible instalar el rol DNS e integrar las zonas con AD. Basta. Por defecto. Tras la siguiente replicación se produce el almacenamiento en caché. es posible pasar a la instalación. por tanto. por lo que es necesario realizar el almacenamiento en caché de las contraseñas. por tanto. Con un RODC es posible delegar la administración local a un usuario de dominio. el servidor DNS es de solo lectura. Es frecuente ver zonas DNS integradas con Active Directory con el objetivo de facilitar la replicación y securizar las actualizaciones dinámicas. es posible almacenar en caché las credenciales. Los atributos considerados como críticos (contraseña. Para ello es preciso indicar al servidor con permisos de escritura sobre la base de datos de AD los usuarios y equipos a los que se quiere aplicar este almacenamiento en caché. Una vez validados los requisitos previos. mientras que el segundo no permite realizar esta operación. La actualización del esquema se realiza mediante el comando adprep /RODCPrepantes de cualquier intento de instalación. por ejemplo) supone poseer una delegación o ser miembro del grupo Administradores de dominio. El almacenamiento en caché de la cuenta de equipo es necesario puesto que el inicio de sesión requiere la validación de la contraseña del equipo y del usuario. Por último. imposible realizar modificaciones desde este servidor. Éste no podrá administrar Active Directory (salvo si es miembro del grupo Administradores de dominio). es necesario tener un nivel funcional Windows Server 2003 o superior a nivel del bosque. permisos de solo lectura sobre la base de datos. Este servidor posee. Es. La administración de un controlador de dominio (para la instalación de una impresora. Esta funcionalidad consiste en enviar las contraseñas de los objetos deseados. la solicitud de autenticación puede procesarse localmente mientras que. Esta operación se realiza tras la replicación del controlador de dominio hacia el RODC. Gestión del almacenamiento en caché en un RODC Tras la instalación de un RODC. entonces. como con Active Directory. solo es posible tener un servidor con el rol RODC por sitio AD. Preste atención. No obstante. se envía al controlador de dominio. Este mecanismo puede suponer. con agregar objetos a uno u otro grupo según la necesidad. mientras que la segunda requiere permisos de administración. Almacenando en caché los objetos usuarios y equipos. hay que crear previamente la cuenta o realizar la promoción del servidor como controlador de dominio. La instalación del RODC supone el cumplimiento de ciertos requisitos previos. un problema en caso de ruptura de una línea WAN (Wide Area Network). rápidamente. Para ello. Si alguna de las dos contraseñas no fuera válida o no pudiera comprobarse (línea WAN cortada) sería imposible realizar el inicio de sesión. . en caso contrario. es preciso disponer de al menos un controlador de dominio con Windows Server 2008 o superior. 2. Es. Una buena práctica consiste en crear grupos globales para cada RODC y no almacenar en caché más que las cuentas que posean permisos de administración. La delegación puede llevarse a cabo mediante los comandos ntdsutil o dsmgmt. Administración local sobre los controladores de dominio de solo lectura A diferencia de los otros controladores de dominio. posible alojar en caché una delegación sin que el usuario afectado obtenga permisos de administración. por tanto. es posible administrar de manera local los RODC. . Gestión de las unidades organizativas. los cuales pueden examinarse mediante la consola Esquema Active Directory. por su parte. La consola presente en Windows Server 2012 R2 aporta su conjunto de novedades: Interfaz gráfica para utilizar la papelera de reciclaje de Active Directory. con el objetivo de gestionar las replicaciones intersitio.Administración de Active Directory La administración de Active Directory puede realizarse de varias formas (por línea de comando. del tipo: Creación y administración de las cuentas de usuario. Esta consola no está habilitada por defecto. La consola Dominios y confianzas de Active Directory permite. Presentación de las distintas consolas de AD Existen varias consolas disponibles para realizar la administración de Active Directory. realizar todas las operaciones más comunes. La consolaUsuarios y equipos de Active Directory permite crear. Esto facilita la creación de scripts. equipos y grupos Gestión de la política de contraseñas Búsqueda y modificación de objetos en Active Directory Gestión del bosque y de los dominios Administración de los controladores de dominio y de los roles FSMO Administración de las cuentas de servicio Gestión de los sitios AD Este módulo se instala automáticamente tras la promoción del servidor como controlador de dominio o tras instalar el rol ADLDS (Active Directory Lightweight Directory Services). posible realizar operaciones (agregar un sitio. Creación y administración de las directivas de contraseña muy específicas (PSO .Password Security Object) mediante una interfaz gráfica. La consola Centro de administración de Active Directory La consola Centro de administración de Active Directory permite proveer opciones suplementarias (interfaz gráfica de la papelera de reciclaje de Active Directory…). agregar una conexión…) sobre los sitios de Active Directory. a su vez. a través de una herramienta gráfica). La consola Sitios y servicios de Active Directory tiene como objetivo administrar la topología de Active Directory. Es posible visualizar el comando PowerShell que se utiliza para realizar alguna acción desde la consola. Permite. Los módulos de Active Directory para PowerShell El módulo de Active Directory presente en Windows Server 2012 R2 contiene una lista de los cmdlets que permiten administrar los distintos tipos de objetos de Active Directory. gestionar las relaciones de confianza o los niveles funcionales del bosque y del dominio. El esquema Active Directory contiene un conjunto de objetos con sus atributos. equipos y grupos. 2. modificar o eliminar todos los objetos de Active Directory tales como las cuentas de usuario y equipos. . así. Gestión de las cuentas de usuario. los grupos o las unidades organizativas. 1. Es. el rol maestro de infraestructura no debe estar presente sobre un servidor con la función de catálogo global. Tras haberse sincronizado a través de Internet. el maestro de infraestructura puede instalarse sobre el servidor catálogo global. generalmente. únicamente. hay que ejecutar el comando netdom query fsmo. permisos de lectura). Maestro RID El maestro RID permite distribuir el pool de RID a los demás controladores de dominio de su dominio. a un controlador de dominio del dominio raíz del bosque. .3. Si el bosque se compone de un único dominio. Si el servidor que posee este rol no está accesible. Buenas prácticas para la distribución de roles FSMO Los roles FSMO Maestro de esquema y Maestro de nomenclatura de dominios se instalan sobre un controlador de dominio raíz del bosque. En un bosque multidominio. A diferencia de los dos roles anteriores. Ofrece. Maestro de esquema Se ubica. Maestro Emulador PDC El maestro Emulador PDC (Primary Domain Controller) permite gestionar las actualizaciones de las directivas de grupo en un dominio. un SID está compuesto por el SID del dominio (común a todos los objetos de este dominio) así como del RID (único). el servidor con el rol de Maestro Emulador PDC sincroniza con su hora al conjunto de puestos y del dominio. Estos RID se utilizan para generar los SID durante la creación de un nuevo objeto. no se puede realizar la operación deseada. Este rol se utiliza tras agregar o eliminar un dominio o una partición de aplicación. dado que es el único servidor con permisos de escritura sobre el esquema de Active Directory (los demás tienen. 4. la funcionalidad de sincronización de los relojes Una diferencia superior a 5 minutos entre un puesto y su controlador de dominio implica la imposibilidad de iniciar sesión o acceder a un recurso. Uso de una cuenta de servicio Antes de poder utilizar una cuenta de servicio. es interesante comprender la utilidad de este tipo de cuenta. Maestro de infraestructura Este rol es útil en un bosque multidominio. y solamente en este caso. por lo general. Si el maestro RID está fuera de servicio. los tres siguientes roles se presentan en cada dominio que compone el bosque. los demás controladores de dominio tienen la posibilidad de continuar con la creación de objetos hasta que se agote el pool. a su vez. Gestión de los roles FSMO Un bosque de Active Directory se compone de cinco roles FSMO (Flexible Single Master Operation) distribuidos en uno o varios servidores. Para conocer los servidores que poseen los roles FSMO. Maestro de nomenclatura de dominios Como con el maestro de esquema. este rol se asigna. en un controlador de dominio del dominio raíz. En efecto. Su responsabilidad es supervisar los objetos de los demás dominios del bosque que son miembros de objetos de su dominio. hasta 180 días. El número de días puede alcanzar. Este tipo de cuenta está. 6. en Windows Server 2008 R2. por tanto. durante un periodo de 180 días. es necesario respetar ciertos requisitos previos: Sistema operativo Windows Server 2008 R2 o Windows 7 como mínimo. Un esquema en versión Windows Server 2008 R2. necesario realizar la copia de seguridad de los volúmenes críticos. Las distintas operaciones de activación y de gestión se realizan.aspx.technet. Además. además. La restauración propone dos opciones distintas. además. Se dedica un trabajo práctico a la creación de una cuenta de servicio en el capítulo siguiente. Esta funcionalidad requiere un nivel funcional igual a Windows Server 2008 R2 o superior. Es posible acceder a este contenedor desde la consola de Usuarios y equipos de Active Directory. Microsoft ha implementado. Es posible. Copia de seguridad y restauración de Active Directory La copia de seguridad de Active Directory requiere la copia de seguridad del estado del sistema en las versiones anteriores a Windows Server 2012. una persona malintencionada que conozca la contraseña podría utilizar los privilegios de la cuenta para realizar operaciones malintencionadas. será necesario reconfigurar el conjunto de propiedades del objeto (número de teléfono. también. A excepción de los permisos que poseen. Además. Ahora es posible asociar una política de seguridad a estas cuentas sin tener que reconfigurar el conjunto de servicios para que conozcan la nueva contraseña. etc. mediante PowerShell. Existe.com/b/canitpro/archive/2013/04/10/step-by-step-enabling-active- directory-recycle-bin-in-windows-server-2012. se describe en la siguiente dirección:http://blogs. Microsoft pone a disposición del administrador las cuentas de servicio. Windows Server 2012 R2 mejora la administración cotidiana de esta funcionalidad permitiendo realizar la gestión y la activación mediante una interfaz gráfica. Para evitar esto. para utilizar esta funcionalidad. Esta última funcionalidad permite. Con el objetivo de resolver este problema. no existe ninguna otra diferencia entre una cuenta de usuario y una cuenta de servicio. restaurar una cuenta junto a todas sus propiedades. Es. la activación es irreversible. 5. . que tienen en cuenta la gestión de las contraseñas. Estos objetos son del tipo de la clase de objetos msDS-ManagedServiceAccount y se almacenan en el contenedor Managed Service Accounts (presente en la raíz). evidentemente. recuperar una cuenta. Con la aparición de Windows Server 2008 R2 se incluye la papelera de reciclaje AD. sql…) con cuentas de AD. en PowerShell. Restauración de una cuenta mediante la papelera de reciclaje AD La eliminación accidental de uno o varios objetos de AD puede tener consecuencias más o menos graves en la producción de una empresa. exento de realizar cambios de contraseña. la aplicación de una política de bloqueo puede requerir un mayor trabajo de administración.). Las necesidades descritas más arriba suponen un fallo de seguridad que debería tenerse en cuenta. No obstante. en adelante. En efecto. la protección de objetos contra la eliminación accidental o el Tombstoned. Disponibilidad de los cmdlets PowerShell necesarios. desde hace varios años. Es habitual tener que ejecutar servicios de ciertas aplicaciones (backup. un trabajo práctico al final de este capítulo que nos permite descubrir la nueva interfaz gráfica. El método. provoca una replicación notificando a sus socios del cambio y del número de versión. a continuación.Restauración no autoritativa También llamada restauración normal. . realiza una replicación con sus socios para actualizar su base de datos. Marcando el objeto. Este tipo de replicación debe utilizarse si sólo el controlador de dominio restaurado ha sufrido algún mal funcionamiento o la eliminación de objetos. el número de versión es más alto. Restauración autoritativa Esta operación consiste en restaurar un controlador de dominio con la última versión correcta (idéntica a una restauración normal) y. Tras el arranque del controlador de dominio. el servidor restaurado impone su autoridad. Tras el arranque del servidor. Siendo mayor. consiste en restaurar el sistema a una fecha precisa. marcar los objetos eliminados accidentalmente o dañados (estos objetos tienen el mismo estado por replicación sobre los demás controladores de dominio). Los demás controladores de dominio deben estar en línea para permitir la replicación del servidor restaurado. y la escritura definitiva se registra únicamente si se valida la transacción. 1. se escribe cierta información en el archivo Edb. las subredes… A diferencia de la partición de dominio. Tras la validación de la transacción. el comando NTDSUtil permite reinicializar la contraseña utilizada tras el arranque del servidor en modo restauración de Active Directory (NTDSUtil set dsrm). que contiene únicamente los objetos creados. Éstas contienen cada una datos e información diferentes. Ubicado en la carpeta NTDS. Encontramos. la zona DNS se almacena en la partición Aplicaciones de la base de datos de AD. esta carpeta contiene también archivos de transacción y registros de eventos. En efecto. información acerca de los dominios. 2. en varias particiones.dit contiene todas las particiones vistas anteriormente.Gestión de la base de datos La base de datos de Active Directory contiene información importante (cuentas de usuario. los sitios AD. GPC (Group Policy Containers) …). entre ellas: Creación de un snapshot Desfragmentación de la base de datos Migración de la base de datos Por último.chk. la escritura en la base de datos no se realiza inmediatamente. la partición Esquema contiene el conjunto de objetos que pueden crearse y sus atributos. La base de datos de Active Directory La base de datos de Active Directory se descompone. cuentas de equipo…) para el funcionamiento del usuario. Uso del comando NTDSUtil NTDSUtil es una herramienta por línea de comandos que se utiliza para gestionar la base de datos de AD. Es. preciso supervisar y mantener la base de datos para evitar eventuales problemas. lógicamente. Es posible realizar varias operaciones con esta herramienta. En este caso. así. La partición Configuración contiene la estructura lógica del bosque. Se utilizan archivos EDB*. el archivo ntds.log para las transacciones. por tanto. Es frecuente almacenar la zona DNS en Active Directory para aprovechar las ventajas de esta integración (consulte el capítulo dedicado a DNS). No obstante. La partición de dominio contiene los objetos creados en el dominio (usuario. . la posibilidad de utilizar los demás roles o funcionalidades del servidor (impresión. tales como el Metadata Cleanup. lo cual limita el número de acciones que es posible realizar sobre ella. obligatorio liberar el acceso en primer lugar. Reinicio del servicio Active Directory Active Directory tiene la exclusividad de uso de la base de datos. demás software…). y para ello es necesario reiniciar el controlador de dominio en modo restauración de Active Directory. existe un servicio que ha hecho aparición. por el contrario. Esta solución es prácticamente idéntica al reinicio en modo restauración de Active Directory y ofrece. Es. por tanto. El servicio de directorio permite arrancar o parar el directorio Active Directory. que consiste en eliminar la información relativa al controlador de dominio cuya eliminación se ha forzado (de un servidor aislado. 3. Es posible realizar otras operaciones. No obstante. . desde la versión Windows Server 2008. por ejemplo). todos los componentes eliminados podrán restaurarse junto con sus atributos correspondientes durante un periodo de tiempo definido. La papelera de reciclaje de AD permite restaurar la cuenta eliminada pero. la habilitación de la papelera de reciclaje de Active Directory es irreversible. el conjunto de atributos. A pesar de restaurar el objeto. Restaurar un objeto de dominio Tras la eliminación de un objeto. Creación de un snapshot AD Es posible crear snapshots de Active Directory mediante el comando NTDSUtil. Tras este desplazamiento se eliminan numerosos atributos (pertenencia a grupos…). por su parte. llamada Tombstoned se complementa desde Windows Server 2008 R2 con la papelera de reciclaje de AD. no obstante. Esta funcionalidad. Preste atención. 4. Este último se especifica mediante el . pues no dispondrá de ningún controlador de dominio sobre el dominio. éste se desplaza al contenedor. exportar los objetos presentes en el snapshot para importarlos en el directorio. 5. El comando LDIFDE permite. es posible acceder a este snapshot desde la herramienta LDP. también. Se realiza una copia de seguridad del estado concreto del directorio. A continuación. a no detener este servicio sobre todos los controladores de dominio al mismo tiempo. Preste atención. Ya no es necesario volver a restaurar la cuenta desde un programa de copia de seguridad. Tras su activación. Existe un trabajo práctico dedicado a este tema al final de este capítulo. es imposible volver a trabajar con él. La papelera de reciclaje de AD requiere un nivel funcional Windows Server 2008 R2. . El Tombstoned también tiene un atributo dedicado llamadotombstoneLifetime que define el número de días en que se almacena la cuenta en el Tombstoned. Desde Windows Server 2012. es posible habilitarla. En modo gráfico desde la consola Centro de administración de Active Directory. Una vez comprobado este requisito previo. mediante el cmdlet Enable-ADOptionalFeature. para lo que se nos ofrecen dos opciones: En PowerShell.atributo msDS-deletedObjectLifetime. Recuerde que la gestión con Windows Server 2008 R2 se realiza mediante PowerShell. la restauración de objetos suprimidos se realiza desde una interfaz gráfica (la consola Centro de administración de Active Directory). a continuación. . A continuación. de solo lectura) y. la configuración consiste en crear un bosque llamado Formacion.Trabajos prácticos: Administración de Active Directory Objetivo: los trabajos prácticos le permitirán implementar distintos controladores de dominio (de lectura/escritura. seleccione el rol Servicios de dominio de Active Directory. haga clic en Siguiente. Arranque la máquina AD1 y. En la página Antes de comenzar. Instalación y configuración de Active Directory Objetivo: el objetivo de este trabajo práctico es instalar el rol AD DS en AD1. abordan distintas funcionalidades adicionales (clonado. snapshot…). Se abre la consola Administrador del servidor. a continuación. Verifique que el servidor se llama AD1 y posee la configuración IP adecuada. 1. En la ventana Seleccionar roles de servidor. haga clic en Siguiente. Deje la opción marcada por defecto en la ventana Seleccionar tipo de instalación y haga clic enSiguiente. inicie una sesión como Administrador.local. En la ventana que permite seleccionar el servidor de destino. haga clic en Agregar roles y características. Haga clic dos veces en Siguiente y. Haga clic en Siguiente en la ventana Seleccionar características. . En la consola Administrador del servidor.Haga clic en Agregar características en la ventana que se abre. en Instalar. haga clic en Cerrar. a continuación. haga clic en el triángulo amarillo y seleccione la opciónPromover este servidor a controlador de dominio. La instalación está en curso. Se abre el asistente… En la ventana Configuración de implementación. Haga clic en Siguiente para validar esta opción. haga clic en Agregar un nuevo bosque y. . a continuación. escriba formacion.local en el campo Nombre de dominio raíz. En el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM). Implementación de un RODC Objetivo: tras haber creado el sitio AD. Haga clic en Cambiar nombre y. A continuación. 2. se envían las contraseñas de los usuarios a la caché. escriba Pa$$w0rd y. a continuación. . a continuación. Valide todas las ventanas haciendo clic en Siguiente y. haga clic con el botón derecho en Default-First-Site- Name. Despliegue el nodo Sites y. confirme esta contraseña. en Instalar para ejecutar la promoción. escriba Madrid. a continuación. Haga clic en Siguiente. abra la consola Sitios y servicios de Active Directory. El servidor ha sido promovido. a continuación. se instala un controlador de dominio de solo lectura. En AD1. haga clic en Aceptar. El nuevo sitio aparece en la consola. haga clic en DEFAULTIPSITELINK. Aparece un nuevo menú… Escriba Barcelona en el campo Nombre y. . a continuación. Valide haciendo clic en Aceptar. en el menú contextual seleccione Nuevo y Sitio. En el mensaje de información que aparece. Haga clic con el botón derecho en la carpeta Sites y. a continuación. Unidad organizativa. Escriba Barcelona en el campo Nombre. Haga clic con el botón derecho sobre el nodo Formacion.local y. Haga clic en Aceptar para proceder a la creación. Escriba Marcos en el campo Nombre y VELASCO en el campo Apellidos. a continuación. Haga clic sobre la OU Barcelona y. Escriba Madrid en el campo Nombre.local y a continuación. en el menú contextual. Haga clic con el botón derecho en Formacion. Haga clic en Aceptar para proceder a su creación. a continuación. sobre el botón de la barra de herramientas que permite crear un nuevo usuario. en el menú contextual haga clic en Nuevo .Unidad organizativa. .Abra la consola Usuarios y equipos de Active Directory. haga clic en Nuevo . después. contraseña: Pa$$w0rd). En la unidad organizativa Barcelona. Juan VALDES (nombre de usuario: jvaldes. contraseña: Pa$$w0rd). Confirme y. escriba mvelasco. a continuación. demarque la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Estefanía SUAREZ (nombre de usuario: esuarez.En los campos Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000). a continuación. en Finalizar. Escriba la información tal y como se describe en la siguiente pantalla: . escriba Pa$$w0rd en el campo Contraseña. Repita las operaciones para los siguientes usuarios: Enrique MARTINEZ (nombre de usuario: emartinez. Valide haciendo clic en Siguiente y. haga clic sobre el icono que permite crear un grupo (botón situado a la derecha del que le permite crear un usuario en la barra de herramientas). contraseña: Pa$$w0rd). Haga clic en Siguiente y. a continuación. Los usuarios aparecen incluidos en el grupo. Haga clic en el botón Comprobar nombres y. Haga clic en Agregar y escriba los nombres de inicio de sesión de los usuarios creados anteriormente. a continuación. separados por un punto y coma. seleccione la pestaña Miembros. Haga clic en Aceptar para realizar la creación. en Aceptar. . Haga doble clic sobre el grupo Becarios y. .Haga clic con el botón derecho sobre la OU Domain Controllers y. Marque la opción Usar la instalación en modo avanzado y. a continuación. seleccione la opción Crear previamente una cuenta de controlador de dominio de solo lectura. a continuación. haga clic enSiguiente. Escriba AD2 en el campo Nombre de equipo y valide haciendo clic en Siguiente. deje la opción por defecto y. Seleccione el sitio Active Directory Barcelona y.En la ventana Credenciales de red. haga clic en Siguiente. . a continuación. a continuación. haga clic enSiguiente. La ventana Especificar la directiva de replicación de contraseñas permite indicar la política de replicación en caché de contraseñas. Por defecto. deje la opción por defecto. El servidor hace las veces de RODC. En la ventana Opciones adicionales del controlador de dominio. . servidor DNS de solo lectura y catálogo global. las contraseñas de las cuentas que posean permisos de administrador (operador. administrador…) no se alojan en caché. haga clic en Comprobar nombres. Ejecute la instalación y haga clic en Finalizar para cerrar el asistente. haga clic en Agregar roles y características en la consola Administrador del servidor. Se inicia el asistente. haga clic en Establecer. inicie una sesión y. Por último. haga clic tres veces en Siguiente. Escriba mvelasco y. . En AD2. haga clic en Aceptar y. En la ventana Delegación de instalación y administración de RODC. en Siguiente. La cuenta se ha creado previamente. a continuación. Haga clic en Siguiente. a continuación. a continuación. a continuación. . haga clic en Siguiente. En la ventana de selección de características. en Instalar. En la consola Administrador del servidor.Seleccione el rol Servicios de dominio de Active Directory y. en Promover este servidor a controlador de dominio. a continuación. Haga clic en Siguiente y. haga clic en el botón Agregar características en la ventana que se muestra. Una vez terminada la instalación. a continuación. haga clic sobre la bandera que contiene el signo de exclamación y. haga clic en Cerrar. Tras algunos segundos.Se abre el asistente. aparece el dominio formacion. Seleccione el dominio y.local en la ventana. haga clic enAceptar. Autentíquese como formacion\mvelasco (contraseña Pa$$w0rd) y. . a continuación. a continuación. haga clic en el botón Seleccionar. haga clic en Aceptar. Escriba Pa$$w0rd en el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM). haga clic en Siguiente.Se muestra el nombre de dominio en el campo. . inicie una sesión como formacion\mvelasco (contraseña Pa$$w0rd). . Proceda a realizar la promoción haciendo clic en Instalar. Haga clic en Siguiente en las ventanas Opciones adicionales. la opción Cambiar el controlador de dominio. Por defecto. Tras el reinicio de AD2. El controlador de dominio es de solo lectura. haga clic con el botón derecho en el dominio y seleccione. Para que la consola se conecte al RODC. sombreadas y deshabilitadas. Rutas de acceso y Revisar opciones dejando la configuración por defecto. la consola se conecta al controlador de dominio de lectura/escritura. ahora. Es imposible crear un usuario. un grupo… Las opciones aparecen. a continuación. a continuación.El servidor DNS también es de solo lectura. Verifique la presencia del . En AD1. Despliegue los nodos Sites. Servers. abra la consola Sitios y servicios de Active Directory. Barcelona y. Despliegue el nodo Formacion. a continuación. Haga doble clic en Grupo de replicación de contraseña RODC permitida y. seleccione la pestaña Directiva de replicación de contraseñas. haga clic en el contenedor Usuarios. a continuación. Seleccione la unidad organizativa Domain Controllers. Abra la consola Usuarios y equipos de Active Directory en AD1. Haga clic en Agregar. haga clic en Comprobar nombres.local y. .emartinez.esuarez. a continuación.jvaldes y. seleccione la pestaña Miembros. Valide haciendo clic en Aceptar.servidor AD2. Haga doble clic en AD2 y. a continuación. escriba mvelasco. escriba mvelasco. . en Directiva resultante. se muestra el resultado de Permitir.Haga clic en el botón Opciones avanzadas y. a continuación. a continuación.emartinez. haga clic en el botón Comprobar nombres. Haga clic en el botón Agregar.esuarez. Haga clic en Aceptar.jvaldes y. haga clic en Rellenar contraseñas previamente. a continuación. En algunos casos. Seleccione la pestaña Uso de directivas y.La contraseña de las cuentas de usuario se alojará en caché tras la siguiente replicación o conexión del usuario. . puede resultar útil "forzar" la replicación en caché sin tener que esperar a la replicación o a la conexión del usuario. .esuarez. a continuación. en Sí en la ventana que se muestra.jvaldes y. haga clic en Comprobar nombres.emartinez.Escriba mvelasco. Haga clic en Aceptar y. a continuación. haga clic con el botón derecho en Windows PowerShell y. autentificar estas cuentas incluso si se produce alguna ruptura en la conexión con el controlador de dominio de lectura/escritura. 3. El controlador de dominio de solo lectura puede. escriba el comando: . Clonación de un controlador de dominio virtual Objetivo: clonar AD1 para crear un nuevo controlador de dominio virtualizado. en la interfaz Windows. en adelante. a continuación. ahora están las cuentas presentes. En AD1. Para saber qué servidor tiene el rol FSMO Emulador PDC. haga clic en Ejecutar como administrador. En la pestaña Uso de directivas.Ahora las cuentas están replicadas en caché. Get-ADComputer (Get-ADDomainController -Discover -Service "PrimaryDC"). agregue AD1 como miembro. Sin renombrar el grupo o sin crear un nuevo grupo con este nombre la operación de clonado falla puesto que no se encuentra el grupo (aunque exista el mismo nombre en español). seleccione el contenedor Usuarios. de modo que se cumple el requisito previo (el servidor Emulador PDC está instalado en un servidor que ejecuta Windows Server 2012 R2). a continuación. Abra la consola Usuarios y equipos de Active Directory y. Renombre el grupo Controladores de dominio clonables por Cloneable Domain Controllers y.name -Property operatingsystemversion | fl Es posible descargar el script desde la página Información. a continuación. AD1 ejecuta Windows Server 2012 R2. . Escriba el siguiente comando PowerShell para asegurar que no hay ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList Es posible descargar el script desde la página Información. Aquí. El comando devuelve las aplicaciones. por lo que resulta necesario crear una excepción. Escriba el siguiente comando para generar el comando XML: Get-ADDCCloningExcludedApplicationList -GenerateXML . WLMS aparece porque estamos trabajando con una versión de evaluación.xml. Valide haciendo clic en el botón Aceptar. WLMS no está soportada por la operación de clonado. Ésta aparece en el archivo XML CustomDCCloneAllowList. servicios o roles que no son compatibles con la función de clonado. Escriba el siguiente comando PowerShell para asegurar que no existe ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList El archivo DCCloneConfig. Es posible descargar el script desde la página Información.255. en primer lugar. pues en caso contrario la operación fallará. Es posible descargar el script desde la página Información.0" -CloneComputerName "AD3" -IPv4DefaultGateway "192.168.255.xml puede.20" -IPv4DNSResolver "192. A continuación.1.168. el nombre del nuevo servidor. crearse mediante el comando: New-ADDCCloneConfigFile -Static -IPv4Address "192.1.168.1.10" -IPv4SubnetMask "255. ser el del servidor actual. El servidor DNS presente en la configuración IP del equipo debe. también. El archivo está presente en la carpeta NTDS.254" -SiteName "Madrid" Este archivo contiene la configuración IP y. ahora. . es posible modificarlo. Detenga la VM y. Se abre el asistente de importación… En la ventana Antes de comenzar. haga clic en Siguiente. La importación sobre el mismo servidor funciona siempre y cuando la máquina original esté alojada en una ubicación diferente a la nueva (nombre del archivo VHD idéntico para la máquina original y la VM clonada). Haga clic en el botón Examinar y. La exportación debe realizarse en una carpeta distinta a aquella donde se encuentren las VM. a continuación. haga clic con el botón derecho en la VM y seleccione Exportar. seleccione la carpeta creada anteriormente. . Es posible importar la máquina virtual sobre el mismo servidor Hyper-V o sobre un servidor diferente. Una vez terminada la exportación. Haga clic en Importar máquina virtual en la consola Hyper-V.El archivo está presente en la carpeta NTDS. a continuación. en la consola Hyper-V. reinicie AD1. . seleccione la opción Copiar la máquina virtual (crear un identificador único nuevo) y. haga clic en Siguiente. a continuación. En la ventana Elegir tipo de importación.Haga clic dos veces en Siguiente. . La importación está en curso… Renombre la máquina virtual que acaba de importar para que no tenga el mismo nombre que AD1. a continuación. en Finalizar. Haga clic dos veces en Siguiente y. . Arranque la máquina que acaba de importar. El clonado está en curso. El controlador de dominio se ha clonado correctamente. . El servidor AD3 es un servidor DNS.xml. es posible configurar la dirección IP de AD3 como servidor DNS preferido y AD1 como servidor DNS alternativo. Ahora resulta más sencillo desplegar nuevos controladores de dominio. ahora. dos servidores: AD1 y AD3. 4. El sitio AD Madrid contiene. Creación de un snapshot de AD Objetivo: creación y montaje de un snapshot de Active Directory.La configuración IP del servidor AD3 es la especificada en el archivo DCCloneConfig. Escriba ntdsutily. Escriba los siguientes comandos y presione la tecla [Enter] al final de cada uno: snapshot activate instance ntds list all Se muestran los distintos snapshots creados y su GUID. En AD1.Máquina virtual: AD1. despliegue el nodo Formacion. abra una ventana de comandos DOS. Para ello. Monte el snapshot creado anteriormente.local y. Escriba los siguientes comandos (presione [Enter] tras cada comando): snapshot activate instance ntds create quit quit Se abre un GUID relativo al snapshot. Este identificador se utiliza más adelante. Se realiza este cambio con el objetivo de mostrar la diferencia respecto al snapshot. escriba los comandos: mount guid quit quit . a continuación. escriba el comando ntdsutilen una ventana de comandos DOS. haga clic en Barcelona. En la consola Usuarios y equipos de Active Directory. Mueva la cuenta de usuario de Enrique Martínez a la unidad organizativa Madrid. valide presionando la tecla [Enter]. En AD1. a continuación. es preciso cambiar el puerto de la instancia. el puerto 389 ya está en uso por una instancia en producción. a continuación. a continuación. Abra la consola Usuarios y equipos de Active Directory y. haga clic con el botón derecho sobre el dominio Formacion. Este cambio de puerto sólo se realiza sobre un controlador de dominio. Guid es el identificador que se muestra en el comando introducido anteriormente. En un controlador de dominio. Debe iniciarse la instancia del snapshot. . en el campo <Escriba aquí un nombre de servidor de directorio>.local. Seleccione la opción Cambiar el controlador de dominio y. escriba AD1:5000. escriba el comando: Dsamain /dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds. Para ello.dit /ldapport 5000 Remplace $snap_datetime_volumec$ por el nombre de la carpeta ubicada en C y que comienza por $snap. a continuación. pulse las teclas [Ctrl] C y. Escriba el comando unmount guid. El cambio se ha llevado a cabo tras realizar el snapshot. en solo lectura. Ahora es preciso desmontar el snapshot. escriba los comandos ntdsutily snapshot. En la ventana de comandos. Utilice el comando list allpara encontrar el GUID deseado. despliegue el nodo Formacion.local. Habilite la instancia NTDS mediante el comando activate instance ntds. . efectivamente. Salga de la ventana de comandos escribiendo la instrucción quitdos veces. Este último no contiene el cambio. la cuenta de usuario Enrique MARTINEZ está presente. Haga clic en Aceptar y. Seleccione la unidad organizativa Barcelona. Remplace guidpor el identificador del snapshot deseado. Las propiedades del usuario están. a continuación. En AD1. Haga clic en Aceptar dos veces en las ventanas de advertencia.Recuerde que la funcionalidad snapshot no remplaza a la copia de seguridad. a continuación. Haga clic con el botón derecho sobre la unidad organizativa Barcelona y haga clic enPropiedades. haga clic en Habilitar papelera de reciclaje en la sección Tareas. abra la consola Centro de administración de Active Directory. seleccione el menú Ver y. . Seleccione la pestaña Objeto y desmarque la opción Proteger objeto contra eliminación accidental. a continuación. Manipulación de la papelera de reciclaje AD Objetivo: habilitar y utilizar la funcionalidad Papelera de Reciclaje de Active Directory. 5. seleccione Características avanzadas. Máquina virtual: AD1. En la consola Usuarios y equipos de Active Directory. Seleccione el nodo Formacion (local) y. elimine la unidad organizativa Barcelona. En la consola Centro de administración de Active Directory. a continuación. haga clic en Formacion (local) y. a continuación. El conjunto de objetos está presente. Haga clic en Aceptar y. . haga doble clic en DeletedObjects. Actualice la consola si el contenedor DeletedObjects no estuviera presente. Seleccione el conjunto de objetos manteniendo pulsada la tecla [Ctrl] y. haga clic en Restaurar. Máquina virtual: AD1. Los objetos están. .msc y. a continuación. detenga los Servicios de dominio de Active Directory. presentes en la consola Usuarios y equipos de Active Directory. abra la consola Services. a continuación. Desfragmentación de la base de datos Objetivo: desfragmentar la base de datos de Active Directory. Es posible restaurar los objetos en un lugar diferente seleccionando la opción Restaurar en. 6. de nuevo. En AD1. Escriba filey.Abra una ventana de comandos DOS. Escriba los comandos ntdsutily activate instance ntds(pulse la tecla [Enter] tras cada comando). Ejecute la desfragmentación mediante el comando compact to c:\. a continuación. . valide presionando la tecla [Enter]. valide presionando la tecla [Enter].dit en la carpeta c:\windows\ntds\. .Copie el archivo c:\ntds. Escriba quitdos veces para salir del comando ntdsutil. En la ventana de comandos DOS. a continuación. Cada comando quitdebe validarse presionando la tecla [Enter]. escriba integrityy. Elimine los archivos con extensión log ubicados en la carpeta c:\windows\ntds. Reinicie el servicio Servicios de dominio de Active Directory. Abra la consola Usuarios y equipos de Active Directory para comprobar que no se ha producido ningún problema derivado de la desfragmentación. ¿es preciso actualizar el esquema de manera manual? 8 ¿Cuál es el comando que permite activar la consola esquema AD? 9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? 10 ¿Qué contiene la carpeta SYSVOL? 11 ¿Qué es un servidor RODC? 12 ¿Cómo se lleva a cabo la actualización en un RODC? 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? 15 ¿Qué es el rol FSMO. Por cada respuesta correcta. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? 18 Mi servidor tiene instalado el rol Servidor DHCP. Número de puntos: /24 . 1 ¿Cuál es el rol de un controlador de dominio? 2 ¿De qué se compone un bosque de Active Directory? 3 ¿Cuáles son los objetos y roles que contiene.Validación de conocimientos adquiridos: preguntas/respuestas 1. si realizo una migración a un servidor Windows Server 2012. únicamente. cuente un punto. ¿es posible proceder con la operación de clonado? 19 ¿Cuáles son los roles FSMO orientados al bosque? 20 ¿Cuáles son las particiones presentes en la base de datos AD? 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? 23 ¿De qué clase de objeto son las cuentas de servicio? 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio? 2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. el dominio raíz? 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? 5 ¿Qué es la autenticación selectiva? 6 ¿Qué contiene el esquema Active Directory? 7 Mi controlador de dominio ejecuta Windows Server 2008 R2. pues se trata de un extranjero al bosque. se encarga de autenticar a los distintos usuarios y equipos de la red. ¿es preciso actualizar el esquema de manera manual? El funcionamiento de la promoción de servidores a controladores de dominio se ha visto modificada con Windows Server 2012. si realizo una migración a un servidor Windows Server 2012. 7 Mi controlador de dominio ejecuta Windows Server 2008 R2. No obstante. generalmente. 5 ¿Qué es la autenticación selectiva? Cuando se produce una relación de confianza entre bosques. Respuestas 1 ¿Cuál es el rol de un controlador de dominio? Un controlador de dominio se encarga de gestionar la base de datos de Active Directory. Es. Cada 30 días se realiza un cambio en esta contraseña. necesario configurar una relación de confianza entre bosques. 9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? Como con las cuentas de usuario.Para superar este capítulo. que permite actualizar el esquema. las cuentas de equipo utilizan una contraseña para poder autenticarse. evidentemente). incluso aunque la autenticación del usuario sea correcta. hay ciertos requisitos previos que hay que respetar: es necesario disponer de un nivel funcional Windows Server 2003 en ambos bosques y. 11 ¿Qué es un servidor RODC? . su puntuación mínima debería ser de 17 sobre 24. a continuación. 3 ¿Cuáles son los objetos y roles que contiene. 2 ¿De qué se compone un bosque de Active Directory? Un bosque de Active Directory se compone de dominios agrupados en una arborescencia.dllpara habilitar la consola Esquema AD. así como sus atributos. 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. Esta funcionalidad limita los accesos a los recursos únicamente a aquellos usuarios que se desee. de modo que todos los dominios del bosque A confíen en todos los dominios del bosque B y a la inversa. 10 ¿Qué contiene la carpeta SYSVOL? Esta carpeta. 8 ¿Cuál es el comando que permite activar la consola esquema AD? Debe ejecutarse el comando regsvr32 schmmgmt. No obstante. en los controladores de dominio. muy importante. Ya no es necesario ejecutar el comando Adprep. si el canal seguro se rompe. 6 ¿Qué contiene el esquema Active Directory? El esquema Active Directory contiene el conjunto de objetos que pueden crearse. le será imposible al controlador de dominio autenticar el puesto del usuario. No será posible iniciar sesión en el dominio. La autenticación selectiva puede implementarse para autorizar a los usuarios de un dominio con el que se tiene confianza y permitir que se autentiquen en uno de nuestros servidores. contiene parte de las directivas de grupo (GPT) y los distintos scripts. únicamente. el dominio raíz? A diferencia de otros sistemas. todos los usuarios del bosque A pueden acceder al bosque B y a la inversa (si la relación es bidireccional. 3. configurar los redirectores condicionales hacia los servidores DNS de ambos bosques. Además. Estos dominios confían entre ellos mediante una relación de confianza bidireccional transitiva. los controladores de dominio raíz contienen los grupos Administradores de empresa y Administradores de esquema. Algunos roles FSMO orientados al bosque (Maestro de esquema. Este comando se ejecuta automáticamente en caso de que sea necesario. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? El usuario de bosque A no puede acceder a un recurso del bosque B. Maestro de nomenclatura de dominios) se contienen. por tanto. la partición de dominio y la partición de aplicación (DNS…). únicamente. entre ellas la desfragmentación. 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? La instrucción ntdsutiles el comando que permite realizar operaciones sobre la base de datos. se utiliza el servidor con el rol FSMO Emulador PDC. en la versión 3 de Hyper-V. 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? Solo es posible tener un único servidor con el rol RODC por sitio AD. la partición de configuración. es preciso migrar el rol a algún otro servidor. ¿es posible proceder con la operación de clonado? No. utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? Tras la operación de clonado. la clase asociada es msDS-ManagedServiceAccount. Es preciso. Para este tipo de objeto. Las modificaciones se transmiten al RODC por replicación. Todas las acciones deben realizarse desde un servidor que posea permisos de lectura/escritura. Un servidor con el rol RODC (Read Only Domain Controller) es un controlador de dominio de solo lectura.0. con detener el servicio Servicios de dominio de Active Directory. 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? El archivo DCCloneConfig. 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio? . 23 ¿De qué clase de objeto son las cuentas de servicio? Como ocurre con cualquier otro objeto. que el servidor con este rol se ejecute bajo Windows Server 2012 R2. que se incluye desde Windows Server 2012. 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? Para autorizar la actualización en caché es preciso agregar la cuenta de usuario o de equipo al Grupo de replicación de contraseña RODC permitida. Ofrece la posibilidad de instalar un servidor sobre el que no es posible realizar ninguna modificación. Basta. la contraseña se actualiza en caché. simplemente. entre las que figuran la partición esquema. para ello. las cuentas de servicio son de una clase determinada. 19 ¿Cuáles son los roles FSMO orientados al bosque? Los roles FSMO orientados al bosque son el Maestro del esquema y el Maestro de nomenclatura de dominios. La funcionalidad de generación del ID está presente. 12 ¿Cómo se lleva a cabo la actualización en un RODC? Es imposible realizar actualizaciones sobre un servidor con el rol RODC. 18 Mi servidor tiene instalado el rol Servidor DHCP. La creación del archivo es la última etapa antes del clonado. 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? No.xml contiene la configuración del nuevo DHCP. dicha funcionalidad requiere Hyper-V 3. 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? Desde Windows Server 2008 ya no es preciso detener el servidor en modo restauración de Active Directory. 15 ¿Qué es el rol FSMO. Tras la siguiente replicación. 20 ¿Cuáles son las particiones presentes en la base de datos AD? La base de datos está compuesta por varias particiones. con un sistema operativo Windows Server 2008 R2 o Windows 7. así como un esquema en Windows Server 2008 R2.Para utilizar una cuenta de servicio es necesario trabajar. . al menos. Gestión de una directiva de grupo.Requisitos previos y objetivos 1. Tener nociones acerca de las directivas de grupo. Mantenimiento de las directivas de grupo. . Requisitos previos Conocer los distintos tipos de objetos usuario. Implementación de una política de seguridad. 2. Tener nociones acerca de la configuración de directivas de grupo que permite implementar una política de seguridad. Objetivos Automatización de la gestión de cuentas. .Introducción La gestión de usuarios es una tarea cotidiana para un administrador de sistemas y de red. Las cuentas de usuario permiten autenticar personas físicas que desean acceder a algún recurso de dominio. Se utilizan. De este modo. userPrincipalName. presente en todos los sistemas operativos Windows. o mediante Microsoft Excel. -l ListaAtributos: provee la lista de atributos sobre los que es necesario realizar una búsqueda. el contenedor seleccionado es la raíz del dominio. por defecto. realizar una exportación. OneLevel. Sintaxis del comando csvde -f NombreArchivo. El comando permite. Estos atributos están separados unos de otros mediante comas. -r Filtro: permite implementar un filtro LDAP. -k: la opción -kpermite ignorar los errores de importación. la ejecución del comando se lleva a cabo incluso aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente. Este tipo de archivos puede modificarse mediante un bloc de notas (notepad).… -i: informa al comando que es necesario realizar una importación.Automatización de la gestión de cuentas de usuario Además de las consolas de Active Directory. . para realizar las distintas operaciones.csv La opción -fse utiliza para indicar que debe utilizarse un archivo. Ejemplos de atributos: givenName. archivos con formato CSV (Comma-Separated Value). Subtree). Por defecto. Existen varias opciones: -d RootDN: permite definir el contenedor o el inicio de la exportación. -p ÁmbitoBusqueda: determina el ámbito de la búsqueda (Base. CSVDE (Comma-Separated Values Data Exchange) es una herramienta que permite exportar e importar objetos desde un directorio de Active Directory. es posible gestionar los objetos mediante herramientas por línea de comandos. Recuerde que la exportación es la opción por defecto. la ejecución del comando prosigue aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente. Delete). Esta instrucción DOS permite. Como con el comando csvde. dos tipos de parámetros diferentes: . Por defecto.ldif La opción -fse utiliza para indicar el archivo que se quiere utilizar. De este modo. así como la operación que se quiere realizar (Add. -r Filtro: permite implementar un filtro LDAP. Encontramos en esta política. -k: la opción -kpermite ignorar los errores de importación. cada uno. El comando permite. -d NDRaíz: permite indicar la raíz de la búsqueda. Configuración de la política de seguridad La política de seguridad permite definir un conjunto de parámetros que se aplican a varios objetos. realizar una exportación. Es evidente que un archivo puede contener varias acciones. es posible utilizar varias opciones: -i: permite realizar una importación. -t Puerto: indica el puerto que debe utilizarse (puerto por defecto: 389). una operación. Sintaxis del comando ldifde -f NombreArchivo. por defecto. Modify. 1. Para realizar estas operaciones se utilizan archivos con la extensión LDIF (LDAP Data Interchange Format). realizar operaciones de importación o exportación. como csvde. -s NombreServidor: indica el servidor al que hay que conectarse. Estos archivos contienen bloques de filas que constituyen. se realiza una exportación. Cada operación necesita indicar el atributo DN (Distinguished Name). ldifde.Es posible utilizar un segundo comando. y permite también realizar modificaciones sobre un objeto (a diferencia de csvde). en este caso el bloque se separa de los demás mediante una fila en blanco. Una vez superado este tiempo el usuario tendrá que cambiar su contraseña para poder iniciar una sesión en el dominio. generalmente. es la longitud mínima. configurarse para un equipo concreto (directiva de grupo local) o para el conjunto de objetos de un dominio AD (configurado. El histórico de contraseñas es. En efecto. no obstante) difícilmente se acepta por parte de los usuarios. Esto complica la búsqueda de la contraseña a un eventual pirata informático pero (a menudo. un parámetro que debe tenerse en cuenta. Parámetros de seguridad Parámetros de bloqueo Ambos pueden. Tras la creación del dominio Active Directory se habilita la complejidad de las contraseñas. . Es preferible rebajar el nivel de exigencia en términos de seguridad antes que encontrarse con contraseñas escritas en una nota sobre el teclado o el monitor. parámetro que indica la necesidad de respetar ciertos criterios a la hora de definir las contraseñas. en una política de contraseñas. La vigencia máxima de la contraseña le indica el tiempo máximo. Otro parámetro importante. en días. Parámetros de seguridad Es posible configurar varios tipos de parámetros en la política. evidentemente. también. Preste atención a no implementar un valor demasiado grande en este parámetro. en la Default Domain Policy). y que permite prohibir el uso de las x contraseñas anteriores. permite indicar el número de caracteres que debe contener la contraseña. En efecto. lo cual puede molestar a los usuarios. en que será válida su contraseña. La vigencia mínima de la contraseña permite indicar el tiempo mínimo antes de que un usuario pueda cambiar de nuevo su contraseña. se considera que una contraseña tiene la complejidad suficiente cuando: Respeta tres de los cuatro siguientes criterios: Mayúsculas Minúsculas Caracteres alfanuméricos Caracteres especiales No contiene el nombre ni el apellido del usuario. .Parámetros de bloqueo Estos parámetros permiten configurar los bloqueos. Es preciso poner a cero el contador del número de intentos erróneos. De este modo. la cuenta afectada se bloquea una vez se alcanza el número de intentos erróneos. sin lo cual la política de bloqueo no tendrá ningún sentido. De este modo. Para un desbloqueo manual realizado por el administrador es necesario configurar el parámetro a 0. existe otro parámetro a tener en cuenta en la política de bloqueos. El número de intentos erróneos limita la cantidad de pruebas antes de bloquear la cuenta. El valor 0 implica intentos ilimitados. se trata de la actualización del contador (del número de intentos erróneos) tras un cierto número de minutos. de modo que la cuenta jamás se bloqueará. La duración del bloqueo es el periodo durante el cual no podrá iniciarse una sesión con la cuenta de usuario. en la directiva de grupo Default Domain Policy. lo que. La directiva de grupo impone 8 caracteres con un cambio cada 42 días. tal y como hemos visto antes en este capítulo. necesitar una política de contraseña distinta. es posible. El bloqueo se produce tras el tercer intento erróneo al introducir la contraseña y se mantiene así hasta que un administrador la desbloquee manualmente. no obstante. Cabe prestar atención. La configuración puede. y una complejidad alta. Los parámetros de seguridad se configuran. Por último. por último. 2. generalmente. parametrizarse desde una directiva local o una directiva de dominio (consola Editor de administración de directivas de grupo). desplazar las cuentas a este grupo. No obstante. Gestión de la directiva de contraseña muy específica Incluyendo los parámetros en la directiva de grupo Default Domain Policy la política de seguridad se aplica al conjunto de objetos del dominio. siendo la del dominio la que predomina. puede ocurrir durante la noche o durante el fin de semana. en ciertos casos. existe un tercer tipo de parámetros (política Kerberos) que pueden configurarse. Esta solución puede resultar pesada pues supone implementar una mayor complejidad en la . en caso de conflicto entre una directiva de grupo local y una directiva de dominio. Tomemos un ejemplo que nos permita ilustrar esto: una empresa funciona día y noche 7/7 y cada equipo de la cadena de fabricación utiliza la misma cuenta de Active Directory. bloquear la herencia sobre la OU y configurar. el administrador tiene dos posibilidades: Crear una unidad organizativa Producción. desgraciadamente. y es posible tener acceso a parámetros propios del protocolo Kerberos v5. Existe una gran probabilidad de que uno de los equipos se confunda al escribir la contraseña. los parámetros de seguridad en una nueva GPO. Si el controlador de dominio funciona con Windows Server 2003. El valor. Cmdlets que permiten crear el objeto PSO y definir los parámetros: New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42. configuración de los parámetros. Tras la creación de este objeto deben configurarse numerosos parámetros: política de contraseña. Existen dos objetos presentes en AD DS desde Windows Server 2008. Password Settings Objects: objeto creado por un administrador de dominio. Desde Windows Server 2008 existe otra solución adicional: la directiva de contraseña muy específica.00:00:00" -MinPasswordAge:"1. Implementar un sistema de autologon que evite. se modifica su parámetro msDS-PSOApplied (el cual está. parámetros distintos a los que se definen por defecto en la Default Domain Policy. tener que escribir la contraseña. Consiste en aplicar. de bloqueo o la prioridad. La creación de un PSO la realiza un miembro del grupo Administradores de dominio. Es posible. vacío). debe ser el menor posible para ser el más prioritario.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true Cmdlets que permiten habilitar el vínculo: Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing La consola Centro de administración de Active Directory proporciona. realizar esta operación mediante PowerShell. . a un usuario o grupo de usuarios. De este modo. Este último parámetro permite determinar la prioridad de un PSO respecto a otro. La directiva de contraseña muy específica se aplica únicamente a aquellos usuarios o grupos globales que contienen usuarios. al usuario. así como la implementación del vínculo. Desde Windows Server 2012. la gestión se realiza desde la consola Centro de administración de Active Directory. contiene los parámetros de seguridad que se aplican a los grupos o usuarios asociados. administración. cuando se asigna una PSO a un usuario. Password Settings Container: este objeto permite almacenar los Password Settings Objects (PSO) que se crean. numerosas opciones: Creación del objeto PSO. por defecto. aunque es posible delegar esta tarea en un usuario. a su vez. de tipo entero. Configuración de un PSO La funcionalidad política de contraseña muy específica exige un nivel funcional Windows Server 2008. ella misma. 3. más rápido conocer los parámetros que se aplicarán al usuario si se han creado varias PSO. Configuración de las cuentas de servicio Algunas aplicaciones (Microsoft Exchange. SQL Server. lo que permite conocer los parámetros que se aplicarán al usuario. Backup Exec…) utilizan una cuenta de usuario . Es. Visualización de los parámetros de contraseña resultantes. ahora. A diferencia de una cuenta de usuario normal. se almacena en el contenedor Managed Service Accounts (CN=Managed Service Accounts.DC=<domain>. Windows Server 2012 o Windows Server 2012 R2 para poder instalar la funcionalidad. Es preciso habilitar las Características avanzadas en el menú Ver para mostrar el contenedor. Para simplificar su administración.x y el módulo Active Directory para PowerShell estén instalados en el servidor. La seguridad en el dominio se ve. el administrador ya no tiene que gestionar las credenciales de las cuentas utilizadas en las aplicaciones. . A continuación. dado que puede resultar difícil cambiar la contraseña de una cuenta que se encarga de ejecutar y autenticar servicios. La clase de objeto cuenta de servicio administrada se presenta en el esquema Active Directory con el nombre msDS-Managed-ServiceAccount. mejorada. El cambio de la contraseña requiere tener que volver a configurar los servicios de la aplicación.para ejecutar sus servicios y realizar la autenticación. es preciso que el . es posible implementar cuentas de servicio administradas.DC=<com>). Esta clase se instancia durante la creación de un nuevo objeto. Requisitos previos necesarios para la funcionalidad El servidor debe funcionar con el sistema operativo Windows Server 2008 R2. De manera idéntica a las cuentas utilizadas por los usuarios de dominio. las cuentas de servicio gestionadas tienen una contraseña que se cambia automáticamente cada 30 días.5. así. Además. Presentación de las cuentas de servicio administradas Una cuenta de servicio administrada es un objeto AD DS. este tipo de cuenta complica la administración cotidiana. por ejemplo) no pueden aplicarse.NET Framework 3. Esta cuenta no puede someterse a la política de bloqueo y algunos de los parámetros (expiración de la contraseña. .com/es-es/library/jj128430.Por último.AddHours(-10)) Para obtener más información acerca de las root key puede visitar el sitio:http://technet. el nivel funcional del dominio debe ser Windows Server 2008 R2 o superior.aspx Se dedica un trabajo práctico a la creación de cuentas de servicio administradas. key distribution services root key antes de proceder a la creación de cuentas de servicio administradas.microsoft. Con Windows Server 2012 R2 es necesario crear una root key o. Esta operación se realiza mediante el siguiente comando PowerShell: Add-KDSRootKey -EffectiveTime ((Get-Date). más bien. En este caso. a su vez. además de existir una interfaz gráfica que permite administrar esta configuración sin tener que escribir complejos scripts. la administración se ve mejorada. La directiva de grupo tiene. el parámetro no se aplicará. la ejecución de un script. una directiva de grupo posee. a su vez. El ámbito se corresponde con los equipos o usuarios que se verán afectados por la directiva. Extensiones del lado cliente Las extensiones del lado cliente o CSE (Client Side Extensions) están presentes en todos los . 1. el parámetro se recibirá en el puesto pero no podrá aplicarse. En caso de no respetarse. éste debe apoyarse en un estado. una directiva de grupo está compuesta por parámetros. Además de los parámetros. la red informática de una empresa está compuesta de varias decenas o centenares de puestos. Además de las preferencias de las directivas de grupo. y las directivas de dominio. 2. es posible implementar parámetros de seguridad. Existen. Las preferencias de directivas de grupo han hecho su aparición con Windows Vista/Windows Server 2008. este lote de parámetros se aplica a uno o varios objetos (usuarios o equipos). De este modo. Es importante. es inconcebible realizar la configuración de forma manual. por tanto. un ámbito y una aplicación. Los servidores Windows Server 2003 o los equipos con Windows XP no conocen. una importancia relevante en el ciclo de vida de un sistema de información. Estos puntos se abordan en la sección Implementación y administración de las directivas de grupo. el despliegue de aplicaciones… 3. en este caso. La aplicación es un mecanismo que permite implementar una directiva de grupo en un equipo. Existen dos tipos de directiva de grupo: la directiva local. Visión general de las directivas de grupo Como hemos visto antes. además. que se configuran desde un controlador de dominio y que se aplican al conjunto de puestos. Dicha aplicación se realiza en intervalos definidos. en muchos casos uno solo. A continuación. Es posible aplicar distintos tipos de parámetros. Sin instalar un cliente de preferencias en los puestos que ejecutan una versión anterior a Windows Vista. que posee un número de equipos limitado. servidores y al conjunto de usuarios. asegurarse de la versión del sistema operativo con la que es compatible el parámetro. Cuando se quiere implementar un parámetro. que está presente en todos los puestos y servidores (excepto los controladores de dominio). Existen tres estados destinados a este fin: No configurado (estado por defecto) Habilitado Deshabilitado El texto de ayuda que acompaña a la ventana permite conocer el comportamiento del componente configurado en función de los distintos estados. Éstos se aplican únicamente a un usuario o bien a un equipo. distintas formas de limitar el ámbito. Gestión de la configuración A diferencia de un usuario particular.Directivas de grupo Una directiva de grupo permite definir parámetros en un punto central. este tipo de parámetros. Tomemos un ejemplo. De este modo. La GPT se almacena en la carpeta SYSVOL. . que no posee ningún filtro WMI. Existen tantas CSE como tipos de parámetros: Preferencias Script Base de datos de registro Seguridad Despliegue de aplicaciones A este funcionamiento se le suman ciertas reglas. Por defecto. bloqueo y Kerberos). Almacenamiento de la directivas de grupo La directiva de grupo se divide en dos partes. se configuran los parámetros de seguridad (contraseña. ubicada en la raíz del domino. por su parte. por ejemplo) no aplican su parámetro si se considera que existe una conexión lenta. donde cada subcarpeta se corresponde con un objeto presente en el GPC. Una conexión posee esta consideración siempre que su tasa de transferencia sea inferior a 512 Kbits/s. No se produce ninguna modificación si no se ha realizado ninguna modificación sobre el parámetro. todos los objetos de usuario o equipo reciben la configuración. Las extensiones del lado cliente hacen su trabajo y modifican el equipo o la sesión del usuario. Agregar un parámetro a esta directiva permite aplicarlo a todos los objetos del dominio. de modificar temporalmente estos parámetros. Además. 5. la parametrización se aplica al equipo únicamente en caso de cambio (cambio de estado…). aunque es posible modificar este comportamiento obligando una aplicación sistemática. Los parámetros se aplican únicamente sobre el controlador de dominio y permiten implementar un sistema de auditoría o atribuir permisos suplementarios a un usuario o grupo de usuarios. sistemas operativos de Microsoft y tienen como objetivo aplicar parámetros de directivas de grupo. La Default Domain Policy. incluso aunque no hayan sufrido modificaciones. Directivas de grupo por defecto En un dominio Active Directory. A continuación. Los parámetros de seguridad se aplican cada 16 horas. Las preferencias ofrecen la posibilidad. 4. Estas directivas se aplican tras el reinicio del puesto y el inicio de sesión o a intervalos de tiempo reculares de entre 90 a 120 minutos. Los parámetros de seguridad se aplican obligatoriamente. Algunas CSE (despliegue de aplicaciones. De este modo. este servicio recupera los parámetros que no han sido todavía almacenados en caché. Cada objeto está compuesto por un GUID que permite disponer de una identidad única en AD DS. Por un lado. El funcionamiento de la aplicación de la directiva de grupo arranca con la búsqueda de las directivas de grupo que se aplicarán al puesto o al usuario. Los componentes del sistema operativo configurados mediante una directiva de grupo no pueden ser modificados por un usuario. a un usuario. se posiciona el grupo de Usuarios autenticados. el contenedor de la directiva de grupo (GPC) se almacena en el directorio Active Directory. Esta búsqueda se realiza mediante el servicio Cliente de directivas de grupo. Por último. Las subcarpetas reciben el nombre del GUID presente en el GPC. La plantilla de directiva de grupo (GPT) contiene. existe un caso adicional. La directiva de grupo Default Domain Controller Policy se posiciona a nivel de la unidad organizativa Domain Controllers. los distintos parámetros contenidos en las directivas de grupo. el de los controladores de dominio donde la directiva se aplica cada 5 minutos. se crean dos directivas de grupo por defecto. evidentemente. Es preciso descargar la herramienta antes de poder utilizar el comando DOS. Resulta muy práctica para preparar la migración de un controlador de dominio. Es posible realizar operaciones de importación y de exportación de estas directivas. conviene utilizar la herramienta GPOTool. todas las GPO del dominio contienen cierto número de parámetros idénticos (a condición. El contenedor de la directiva de grupo (GPC) almacenado en el Active Directory se replica con él. estas plantillas solo pueden contener parámetros presentes en las plantillas administrativas. . De este modo. las directivas de grupo de inicio permiten implementar plantillas para otras directivas de grupo. La replicación de ambos componentes de la directiva de grupo es. Estas operaciones se realizan mediante archivos con extensión . De este modo. que contiene la plantilla de la directiva de grupo (GPT) se replica con el sistema FRS (servicios de replicación de ficheros). Esta herramienta. en ciertos casos. La carpeta SYSVOL. 6. Con el objetivo de verificar la correcta sincronización entre el GPC y la GPT. por línea de comandos. que contiene las plantillas predefinidas. de que se utilice la misma plantilla). es preciso crear la carpeta.cab. Desde Windows Server 2008 es posible utilizar el sistema de replicación DFS. No obstante. permite asegurar que no existen incoherencias entre ambos controladores. los controladores de dominio contienen todos los distintos contenedores. Ambos sistemas pueden. diferente. Durante el primer uso. GPO de inicio Aparecidas con Windows Server 2008. estar desincronizados. también. que ofrece una mayor fiabilidad y eficacia. Copia de seguridad y restauración de una directiva de grupo Las directivas de grupo permiten definir parcialmente o completamente el entorno de los usuarios. Como con cualquier operación de restauración. una carpeta que contendrá la información necesaria en la etapa de restauración (ID. evidentemente. es posible importar una GPO salvaguardada dentro de una GPO existente. para poder realizar una posterior restauración de este elemento (con frecuencia se olvida esta etapa. Esta acción no hace más que importar los parámetros. por tanto. crear nuestra propia plantilla. Además. importante asegurar (como con cualquier elemento crítico) que se tienen mecanismos para realizar copias de seguridad y. El destino de la copia de seguridad es. sobre todo. Es. Aparece una nueva carpeta dentro de SYSVOL. Es posible. por su parte. La restauración ofrece. algunas . Una pérdida de estos parámetros puede implicar una pérdida de producción para el usuario. que tiene una importancia enorme puesto que valida el correcto funcionamiento de la copia de seguridad y sus procedimientos). La copia de seguridad puede aplicarse a una directiva en particular o al conjunto de GPO. 7. sencillamente. No obstante. que contiene los parámetros de cada una de las directivas. más posibilidades. es posible restaurar una copia de seguridad que previamente se ha guardado. con el nombre StarterGPOs. parámetro…). que no limita la creación. directivas pueden contener rutas UNC. 8. Delegación de la administración Desde hace muchos años existe la delegación en los sistemas operativos de servidor. es posible asignar a otras personas diferentes a los administradores las tareas de creación de directivas de grupo. una directiva de grupo posee una ACL. Para asignar el permiso de crear una GPO a un usuario se necesita agregar su cuenta de usuario al grupo CREADOR PROPIETARIO o implementar. Creador propietario y Sistema local. que permite validar y modificar. si fuera necesario. Administradores de empresas. A diferencia de la delegación de la creación. de modo que es necesario. realizar una verificación de estos enlaces. de manera explícita. un usuario miembro tendrá asignado el permiso Aplicar directiva de grupos y lectura. las distintas rutas UNC. la autorización desde la consola GPMC. Para ello se utiliza una tabla de migración. la correspondiente al vínculo está limitada a un contenedor. El conjunto de estos grupos posee un control total a nivel de la gestión de directivas de grupo. compuesta por los grupos Administradores de dominio. Como todo objeto de Active Directory. en la etapa de importación. y permite la distribución de tareas a otras personas. De este modo. Este tipo de directiva se configura desde la pestañaDelegación del contenedor en la consola GPMC o mediante el asistente Delegación de . de creación de vínculos WMI… Es posible implementar distintos niveles de delegación: Creación/modificación de objetos de directiva de grupos Gestión de los vínculos de las directivas de grupos Ejecución del modelado de directivas de grupos Lectura de datos resultantes de las directivas de grupos Creación de filtros WMI Los usuarios miembros del grupo CREATOR OWNER tienen acceso completo al sistema de directivas de grupo. New-GPLink: permite implementar un vínculo a una GPO. de modelado y resultado de directivas de grupos. Ocurre de forma similar con las operaciones de creación de filtros WMI. . Existen varios cmdlets disponibles: New-GPO: creación de una nueva directiva de grupo. Copy-GPO/ Import-GPO: realiza la operación de copia o de importación. control en la consola Usuarios y equipos de Active Directory. Backup-GPO/ Restore-GPO: realiza la copia de seguridad y restauración de una directiva. es posible realizar la administración y la gestión de directivas de grupo mediante PowerShell. 9. PowerShell con GPO Como con la mayoría de componentes de Windows Server 2012 R2. Esta segunda solución permite. . Éste debe implementarse sobre una unidad organizativa de pruebas. Es preferible realizar el vínculo una vez se ha creado y probado la GPO. es preferible crear en primer lugar la directiva de grupo y. Por último. En efecto. con el objetivo de validar el correcto funcionamiento de los distintos parámetros de la GPO. se recupera la Default Domain Policy y cualquier otra directiva que esté definida en la raíz del dominio. Vínculos GPO Es posible crear una directiva de grupo de dos formas. 1. Es posible vincular una misma directiva con varios contendores. no obstante. En efecto. se recuperan las GPO del dominio y se aplican. A continuación. se aplican aquellas directivas definidas a nivel de OU o sub-OU. si existe el vínculo desde la creación. los parámetros comienzan a aplicarse cuando la directiva de grupo todavía no se ha comprobado. las directivas son acumulativas. La segunda forma de crear una directiva es realizando su creación desde un contenedor. realizar el vínculo en un paso posterior. o ni siquiera terminado de programar. Por ello. lo que puede dar un resultado final completamente diferente al esperado. Orden de aplicación Las directivas de grupo se aplican en el puesto en función de un orden preciso bien definido. implementar el vínculo además de la creación. Realizando la operación desde el contenedor Objetos de directiva de grupo. a continuación. La primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente). Esto influye en los equipos cliente y servidores presentes en los contenedores.Implementación y administración de las directivas de grupo La implementación de una directiva de grupo es un asunto importante que no debe descuidarse. El vínculo de una directiva de grupo permite definir el ámbito. la directiva no queda vinculada con ningún contenedor. La aplicación de la GPO se realiza sobre el contenedor y sus hijos. 2. empezando por la GPO del sitio AD. A continuación. favorecer un resultado distinto al esperado. Para modificar este orden de prioridad es posible bloquear la herencia o aplicar la opción Aplicar a una directiva. en caso de conflicto con algún parámetro es la última GPO aplicada la que tiene autoridad sobre las demás. Es posible realizar este vínculo sobre una entidad de seguridad (grupos o usuarios). 3. las directivas de grupo son acumulativas. resolver un conflicto entre dos parámetros y. por tanto. Esta funcionalidad está accesible seleccionando el contenedor deseado y accediendo a la pestaña Herencia de directivas de grupo. Es necesario enlazarla a algún contenedor (OU. La directiva que se aplica en último lugar es aquella definida a nivel de OU. tener una directiva resultante diferente a la que se esperaba. Es posible. Esta última acción no se realiza sin consecuencia. La herencia y la opción de aplicación pueden. La consola GPMC permite determinar el orden de aplicación atribuyendo un número a cada directiva. Herencia y opción de aplicación Como hemos visto antes. puesto que vuelve prioritaria cualquier GPO y permite saltarse cualquier bloqueo o herencia. en ciertos casos. dominio…). La que posea el número más bajo será la prioritaria. . por tanto. bloquearse. Se habla así de GPO aplicada sobre el contenedor padre que se hereda en los contenedores hijos. por el hecho de que la GPO Default Domain Controller Policy se posiciona sobre la unidad organizativa Domain Controllers. se aplica en último lugar. . se muestra un círculo azul que contiene un signo de exclamación blanco. simplemente. Esto permite ver que una directiva de grupo aplicada sobre un contenedor se hereda en los contenedores situados debajo de ella. evidentemente. Cuando se habilita el bloqueo. Esta herencia puede.Es posible ver en la pantalla anterior que la directiva de grupo Default Domain Controllers Policy es prioritaria respecto a la Default Domain Policy. Esto se explica. a gran escala. complicar la administración. Además. a continuación.Comprobamos. Cuando se habilita esta opción. que la GPO Default Domain Policy heredada anteriormente ya no está presente. existe la posibilidad de superar el bloqueo por herencia. de este modo. la GPO afectada recupera el nivel de prioridad más elevado. Esta opción puede habilitarse simplemente haciendo clic con el botón derecho sobre la directiva de grupo y. Es preferible no abusar de la opción Bloqueo de herencia. . La opción Exigido permite modificar la prioridad de una directiva. El filtrado por grupo de seguridad puede resultar una mejor alternativa para limitar los objetos afectados por la directiva de grupo. que puede. seleccionando la opción Exigido. se utilizan grupos de usuarios. Tras la creación de una directiva de grupo se posiciona por defecto al grupo Usuarios autenticados en el filtrado de seguridad. pues en caso contrario la directiva resultante puede convertirse en algo totalmente diferente a lo que se busca. Implementación de filtros para gestionar el ámbito Es posible implementar filtros con el objetivo de limitar aquellos usuarios y equipos que tienen la posibilidad de recibir los parámetros de la directiva de grupo. 4. Esta opción debe utilizarse con precaución. . Para ello. Funcionamiento de una directiva de grupo con enlaces lentos Tras la recuperación de una directiva de grupo. la versión de sistema operativo… Este tipo de filtros resulta práctico cuando se desea desplegar aplicaciones mediante directivas de grupo. La aplicación o no del parámetro viene determinada por cada CSE (extensión del lado cliente). Para implementar un filtro es necesario eliminar el grupo por defecto y. por tanto. el parámetro no se aplica. Se considera que una conexión es lenta cuando la tasa de transferencia es inferior a 500 Kbits/s. la velocidad del procesador. Si el enlace se considera lento. indicar el grupo deseado. Es. 5. algunos parámetros puede que no se apliquen en función de la velocidad del enlace entre el equipo y el controlador de dominio. posible utilizar una consulta WMI para filtrar en base a la memoria asignada. a continuación. el disco duro. Además de los grupos de seguridad es posible implementar filtros WMI. Se trata de una tecnología que permite controlar distintos objetos (sistema operativo). La instalación de aplicaciones se ve afectada por la velocidad de los enlaces. Las extensiones del lado cliente siguientes están inactivas con enlaces lentos: Mantenimiento de Internet Explorer Instalación de software Redirección de carpetas Ejecución de script Directiva IPsec Directiva inalámbrica Directiva de cuota en disco . Si una estación se encuentra desconectada de la red. Este parámetro se encuentra en el nodo Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión. es posible "forzar" la aplicación de una directiva de grupo. Además de la actualización automática. debe utilizarse el comando gpupdate. Para ello. las distintas extensiones del lado cliente detectarán si es necesario actualizar los parámetros. Cuando se conecte a la red. cada puesto pregunta a su vez a su controlador de dominio tras cada intervalo de entre 90 a 120 minutos. 6. Recuperación de directivas por los puestos clientes La actualización de una directiva de grupo se realiza tras el arranque del equipo o tras el inicio de sesión. Algunos parámetros (Ejecución de script. Redirección de carpeta. Instalación de software…) necesitan un nuevo inicio de sesión o un reinicio del equipo. Para asegurar que la actualización de directivas de grupo se realiza una vez los servicios de red de la máquina están habilitados. La actualización sobre un controlador de dominio se realiza cada 5 minutos. se recomienda habilitar el parámetro Esperar siempre la detección de red al inicio e inicio de sesión del equipo para todos los clientes Windows. utilizará los parámetros anteriores alojados en caché. ésta no se vuelve a aplicar. Si no se produce ninguna modificación sobre alguna directiva de grupo. Además. Presenta dos opciones: . /force: se reaplica el conjunto de parámetros de las directivas de grupo. ./target:computero /target:user: limita la aplicación a los parámetros de equipo o de usuario. /logoffo /boot: estos parámetros provocan un cierre de sesión o un reinicio del puesto. Tras la aplicación sobre una o varias cuentas de equipo. Esta operación se aplica únicamente sobre objetos de tipo equipo. En tal caso. aparece un mensaje. es necesario utilizar las distintas herramientas disponibles en el sistema operativo para encontrar la causa. aparece un informe que permite conocer el resultado de la actualización. ha fallado la actualización de la directiva. al estar apagado durante la actualización. en un sistema complejo es posible que ciertos parámetros no se apliquen. En AD3.Mantenimiento de una directiva de grupo La implementación de una directiva de grupo puede impactar sobre el entorno del usuario. En caso de actualización en una unidad organizativa que contenga únicamente cuentas de usuario. Desde Windows Server 2012 es posible forzar la aplicación de una directiva de grupo. Además. . También es posible obtener un informe acerca del estado de la replicación entre Active Directory y SYSVOL. Directiva de grupo resultante Como con las actualizaciones NTFS. es posible utilizar el comando RSOP. Este comando puede utilizarse sobre un equipo/servidor local o sobre un equipo remoto. El comando gpresult. 2. el controlador de dominio AD3 aparece como inaccesible. que permiten realizar análisis RSOP. aunque también es posible modelar los parámetros de las directivas de grupo. Para visualizar estos parámetros. para ello. En función de los filtros (grupos de seguridad. WMI) y de la opción Aplicada. los parámetros de la GPO resultante pueden ser diferentes a los deseados por el administrador. Es mucho más fácil conocer el estado de la replicación entre la GPC (Group Policy Console) replicada con Active Directory y la GPT (Group Policy Template) replicada con DFSR. y el motivo . Es posible. Existen varias herramientas. la combinación de todas las directivas de grupo produce la directiva resultante. que utiliza el proveedor WMI para recuperar la información en un equipo local o en un puesto remoto: Directiva de grupo aplicada Directiva de grupo no aplicada. Es posible crear un informe. utilizar el asistente Resultados de directivas de grupo. provistas con el sistema operativo. El asistente Modelado de directivas de grupo. Informe RSOP Los informes RSOP facilitan el mantenimiento aportando la información necesaria acerca de la directiva resultante.Una vez más. El asistente Resultados de directivas de grupo. 1. El registro de eventos del sistema permite obtener eventos vinculados con los clientes tales como la imposibilidad de conectarse a un controlador de dominio o la imposibilidad de realizar la localización de objetos de directiva de grupo. Uso de registros de eventos Aparte de los distintos comandos estudiados en los puntos anteriores. a que es preciso disponer como mínimo de equipos ejecutando Windows XP y servidores con Windows Server 2003 para poder ejecutar este comando. pertenencia a grupos de seguridad…). no obstante. a su vez. Por último. Parámetros: permite visualizar los distintos parámetros de la directiva resultante. GPO rechazada. muy rápidamente. Es preciso autorizar el tráfico entre ambos equipos si hubiera algún firewall activado (uso de los puertos 135 y 445). Las opciones /v y /z permiten obtener un resumen más o menos igual de detallado. el asistente genera un informe en formato DHTML con tres pestañas: Resumen: esta pestaña permite obtener. visualizar los eventos vinculados con las extensiones del lado cliente. Es posible visualizar el informe desde la consola Administración de directivas de grupo. con el objetivo de que las directivas de grupo se hayan aplicado al menos una vez sobre el equipo. El comando gpresult puede utilizarse. Listado de parámetros de directivas de grupo No obstante. Evento de directiva: recupera la información de la directiva de grupo en los registros de evento. Preste atención. por su parte. recuperar correctamente esta información requiere en primer lugar que el equipo esté conectado. Para llevar a cabo esta operación es preciso utilizar la opción /s. El registro de aplicaciones permite. Por último. es posible obtener la información desde los registros de eventos. para recoger la misma información. es necesario que el usuario haya iniciado sesión al menos una vez. La cuenta que se utiliza para consultar debe poseer permisos de administración sobre el equipo consultado. para crear un informe debe utilizarse la opción /h. 3. . información importante acerca de las distintas directivas de grupo (GPO aplicada. Una vez terminada la recogida de información. el registro GroupPolicy ofrece información detallada acerca del procesamiento de las directivas de grupo. Como con el asistente Resultados de directivas de grupo. donde es posible volver a ejecutar de nuevo la consulta con el objetivo de actualizar el informe. Por último. es posible consultar un equipo remoto. La autenticación y la recuperación se realizan desde un controlador de dominio ubicado en otro sitio. De este modo. Si este enlace ofrece una tasa de transferencia inferior a 500 Kbits/s. entonces el enlace se considera lento. En efecto. utiliza ciertos componentes del sistema operativo: las extensiones del lado cliente. scripts…). el mantenimiento de las directivas de grupo se ve ampliamente facilitado. 4. Seguridad IP. tantas extensiones del lado cliente como tipos de parámetros (preferencias. Directivas de seguridad. Enlace lento y caché de directivas de grupo En una red empresarial. De este modo. de este modo. algunos parámetros puede que no se apliquen. Gracias a las herramientas ofrecidas por Windows Server 2012 R2. Directivas de recuperación EFS. el enlace WAN se utiliza a menudo. cuyo rol es recuperar la configuración de una GPO y aplicarla en los equipos. si se trata de un enlace lento. . Encontramos. con poca seguridad…). puede ocurrir que no exista un controlador de dominio en una o varias sedes (con pocos empleados. Esto puede dar lugar a un incidente en la aplicación de alguna directiva de grupo. Las siguientes extensiones no se aplicarán si se trabaja desde un enlace lento: Despliegue de aplicaciones. cuando un equipo recupera los parámetros de una directiva de grupo. Las siguientes extensiones se aplican incluso aunque se trabaje desde un enlace lento: Configuración de registro (plantillas administrativas). Redirección de carpetas. Esta operación permite conservar la política definida por el administrador incluso aunque el equipo esté desconectado de la red. Cuotas de disco. 5. Configuración de una política de seguridad Kerberos Desde hace varias generaciones de sistemas operativos de servidor es posible gestionar los parámetros de Kerberos. se recomienda. Utilizados en el funcionamiento de las autenticaciones. Tras la aplicación de una directiva de grupo en un equipo se produce un almacenamiento en caché. . Para mejorar la experiencia en una red desde una conexión remota es posible utilizar el modo síncrono. por ejemplo). Desplegando los nodos Configuración del equipo . modificarlos con precaución. Scripts.Directivas de cuentas .Configuración de Windows - Configuración de seguridad . Esto permite realizar un arranque más rápido en caso de trabajar desde una conexión VPN (DirectAccess. Permite utilizar la versión más reciente de la caché en lugar de recuperar la configuración de la red.Directivas .Directiva Kerberos es posible acceder a estos parámetros. por otro lado. local. a continuación. Valide la posibilidad de ejecutar scripts no firmados presionando S y. escriba el comando set-executionpolicy unrestricted. En el campo Nombre. Importar cuentas de usuario mediante cmdlets PowerShell Objetivo: importar cuentas de usuario mediante un archivo CSV. Haga clic con el botón derecho en la raíz del dominio y. En AD1. escriba ExportRH y. pulsando la tecla [Enter]. a continuación. a continuación. despliegue el nodo Formacion. Para llevar a cabo esta operación se utiliza un cmdlet. haga clic en Aceptar. 1. . a continuación. a continuación.Trabajos prácticos: Gestión del entorno del usuario Estos trabajos prácticos permiten realizar la implementación de directivas de grupo o la importación de cuentas de usuario. Máquina virtual: AD1. haga clic en Nuevo - Unidad organizativa. Abra una consola PowerShell y. abra la consola Usuarios y equipos de Active Directory y. Windows Server 2003. mediante la barra de . basta con modificar el archivo CSV. La importación resulta. Haga clic en la raíz del dominio Formacion. El archivo CSV y el script pueden descargarse desde la página Información. Las cuentas se han importado correctamente. Ejecute el script Script_Importacion. Creación de una PSO Objetivo: crear una directiva de contraseña muy específica para aplicarla a un grupo de seguridad.ps1 (el archivo CSV y el script PowerShell están ubicados en la raíz C: en el ejemplo). a continuación. verifique el nivel funcional del dominio para comprobar que es. 2. En AD1. como mínimo.local y. Máquina virtual: AD1. mucho más sencilla. Abra la consola Usuarios y equipos de Active Directory presente en las Herramientas administrativas (menú de inicio). de este modo. Haga clic en la unidad organizativa que acaba de crear y. Escriba Prueba en el campo Nombre de pila y. a continuación.herramientas. El nombre de inicio de sesión de usuario es pso. a continuación. a continuación. haga clic en el botón que permite crear un nuevo usuario. PSO en el campo Apellidos. haga clic en Aceptar. En el campo Nombre. cree una nueva unidad organizativa. escriba PSO y. . Marque la opción La contraseña nunca expira. abra la consola Centro de administración de Active Directory. Haga clic en Siguiente y. Repita las mismas etapas para la creación del usuario Prueba PSO2. en Finalizar.Haga clic en Siguiente. . a continuación. Desde las Herramientas administrativas. a continuación. confírmela. En el panel izquierdo. haga doble clic en la raíz del dominio Formacion (local). Escriba Pa$$w0rd en el campo Contraseña y. Haga clic en Nuevo en el panel Tareas y. Marque la opción Exigir directiva de bloqueo de cuenta y. en Configuración de contraseña. a continuación. a continuación. escriba 8. el valor 5. en el campo correspondiente. Deje marcada la opción Exigir longitud mínima de contraseña y escriba. escriba 3 en el campoNúmero de intentos de inicio de sesión incorrectos. Escriba PSO Admin en el campo Nombre y 1 en Precedencia. .En el panel de navegación. En el campo Exigir historial de contraseña. a continuación. enPassword Settings Container. haga doble clic en el contenedor System y. Haga clic en Aceptar para validar la creación. a continuación. Escriba PSO VIP en el campo Nombre y 1 en Precedencia. escriba pso en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Desmarque la opción Exigir longitud mínima de contraseña. en el campo correspondiente. escriba 1. Haga clic en el botón Comprobar nombres. Deje marcada la opción Exigir longitud mínima de contraseña y escriba. En el campo Exigir historial de contraseña. el valor 2. Haga clic en Nuevo en el panel Tareas y. a continuación. Haga clic en Aceptar. .Haga clic en el botón Agregar y. el campo tendrá el mismo valor que en la siguiente pantalla. en Configuración de contraseña para crear una nueva política. escriba pso2 en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Marque la opción Exigir directiva de bloqueo de cuenta y. Haga clic en Aceptar. Haga clic en el botón Agregar y. Haga clic en Aceptar. ambas políticas de contraseña. En la consola se muestran. a continuación. a continuación. a continuación. también. escriba 2 en el campoNúmero de intentos de inicio de sesión incorrectos. La consola permite. conocer los parámetros de contraseña resultantes para un usuario . determinado. a continuación. en la unidad organizativaPSO. Se muestra la directiva de contraseña muy específica que tiene asociada el usuario. haga clic en Ver configuración de contraseña resultante. a continuación. . en el panel Tareas. Haga clic en Prueba PSO1 y. Haga doble clic en la raíz del dominio Formacion. Repita la misma operación seleccionando esta vez Prueba PSO2.local y. Para ello. Esto permite crear. La cuenta puede. crearse. En AD1. Escriba el comando Add-KdsRootKey -EffectiveTime ((get- date). acceda a las Herramientas administrativas y. 3. escriba el comando: Add-ADComputerServiceAccount -identity AD1 -ServiceAccount Webservice Ahora la cuenta está presente en Active Directory. Máquina virtual: AD1. Ahora es preciso asociar la cuenta de servicio Webservice a AD1. Para ello. . Creación de una cuenta de servicio Objetivo: crear una cuenta de servicio mediante Cmdlets PowerShell. a continuación.addhours(10)). a continuación. escriba el siguiente comando: New-ADServiceAccount -Name Webservice -DNSHostName AD1 -PrincipalsAllowedToRetrieveManagedPassword AD1$ Puede descargar el script desde la página Información. la cuenta. ahora.La directiva que tiene asociada es PSO VIP. ejecute el Módulo Active Directory para Windows PowerShell. que permite crear la clave de raíz de los servicios de distribución. a continuación.Configuración de Windows - Configuración de seguridad .local. AD2 y AD3. despliegue los nodos Dominios y Formacion. abra la consola de Administración de directivas de grupo y. Haga doble clic en la directiva de grupo recién creada y. es posible utilizar la cuenta en un servicio.Firewall de Windows con seguridad avanzada. seleccione Nuevo en el menú contextual. a continuación. escriba GPO Configuración DC y. haga clic en Aceptar. aplicarla solamente a los controladores de dominio. Máquinas virtuales: AD1.Directivas .A continuación. seleccione Editar en el menú contextual. a continuación. 4. a continuación. En Nombre. Haga clic con el botón derecho en GPO y. En AD1. Despliegue los nodos Configuración del equipo . a continuación. Creación y configuración de una directiva de grupo Objetivo: crear una directiva de grupo y. . .Haga clic en el enlace Propiedades del Firewall de Windows. Configure el parámetro Estado del firewall al estado Inactivo. a continuación. el grupo Controladores de dominio con ayuda del botón Agregar. Seleccione GPO Configuración DC y. en el botón Quitar en Filtrado de seguridad.local y. a continuación. . En la consola Administración de directivas de grupo. Haga clic con el botón derecho en Formacion. Haga clic en Usuarios autenticados y. Agregue. Repita la misma operación en los otros dos perfiles y. haga clic en Aceptar. a continuación. Cierre la consola Editor de administración de directivas de grupo. vinculada con el dominio y correctamente modificada. haga clic en Aceptar. a continuación. La directiva se encuentra. seleccione la opciónVincular un GPO existente…. ahora. haga doble clic en GPO Configuración DC. ahora. La directiva de grupo no está vinculada con ninguna unidad organizativa. a continuación. Aparece una ventana que muestra el resultado de la actualización. En la ventana que se abre. Esta operación permite forzar la actualización de las directivas de grupo en las cuentas de usuario presentes en la OU. Haga clic con el botón derecho en la unidad organizativa Domain Controllers y. seleccione la opción Actualización de directiva de grupo. . haga clic en Sí. 5. a continuación. Aparece un mensaje advirtiendo de que ciertos parámetros se gestionan mediante una directiva de grupo. Espere algunos minutos y. Creación de un informe RSOP . Haga clic en Cerrar. verifique que el parámetro se ha aplicado correctamente al conjunto de controladores de dominio. abra la consola Administración de directivas de grupo. En la ventana Selección de equipos. utilice el botónExaminar. Máquinas virtuales: AD1 y AD3. Creación de un informe RSOP Objetivo: generar un informe RSOP sobre los controladores de dominio para visualizar la información relativa a la aplicación de las directivas de grupo. En AD1. haga clic en Siguiente. a continuación. En la ventana Selección de usuario. haga clic en Comprobar nombres. Se abre el asistente. a continuación.5. valide haciendo clic en el botónAceptar. haga clic en Siguiente. a continuación. en Finalizar para generar el informe. Haga clic con el botón derecho en Resultados de directivas de grupo y. Haga clic en Siguiente y. La pestaña Resumen permite visualizar rápidamente si se ha detectado algún problema. Haga clic en Siguiente. a continuación. Escriba AD3 y. en el menú contextual seleccione Asistente para Resultados de directivas de grupo. . haga clic en Otro equipo y. . Eventos de directiva permite tener acceso. a los eventos presentes en el registro de eventos del equipo o del servidor afectado. de manera muy sencilla.La pestaña Detalles ofrece toda la información necesaria para realizar el diagnóstico de un posible problema. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. Resultados Consulte las siguientes páginas para comprobar sus respuestas. 3 ¿Es posible realizar la modificación de una cuenta con el comando csvde? No. es preciso utilizar.Validación de conocimientos adquiridos: preguntas/respuestas 1. Respuestas 1 ¿Qué tipo de archivo se utiliza con el comando csvde? El comando csvdeutiliza archivos con formato CSV. es preciso usar la opción -i. el comando idifde. el comando csvdeno permite realizar modificaciones sobre una cuenta de usuario existente. cuente un punto. 1 ¿Qué tipo de archivo se utiliza con el comando csvde? 2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando csvde? 3 ¿Es posible realizar la modificación de una cuenta con el comando csvde? 4 ¿Cuáles son los parámetros contenidos en una política de seguridad? 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? 9 ¿Cuál es el rol de una extensión del lado cliente? 10 ¿Qué ocurre si se detecta una conexión lenta? 11 ¿Cuándo se actualiza una directiva de grupo? 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? 14 ¿Qué medios existen para crear un informe RSOP? 2. para ello. de bloqueo . el comando csvderealiza una exportación. Número de puntos: /14 Para superar este capítulo. 2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando csvde? Por defecto. 4 ¿Cuáles son los parámetros contenidos en una política de seguridad? Una política de seguridad puede contener. parámetros de contraseña. principalmente. Para realizar una importación. su puntuación mínima debería ser de 10 sobre 14. 3. Por cada respuesta correcta. 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? Tras realizar esta acción. ésta se vuelve prioritaria. Este asistente requiere. A continuación. la mayoría de parámetros no se aplican. 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? Para que una contraseña se considere compleja es preciso que cumpla tres de los cuatro criterios siguientes: Contener letras mayúsculas Contener letras minúsculas Contener caracteres alfanuméricos Contener caracteres especiales 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? Una directiva de contraseña muy específica puede aplicarse a un usuario o un grupo de seguridad de tipo global. a continuación. que la GPO se haya aplicado al menos una vez y que el firewall permita consultas de manera remota. 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? Si se aplica la opción Aplicar a una directiva de grupo. aplicarlos. 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? El parámetro msDS-PSOApplied se modifica cuando se atribuye una directiva contraseña muy específica a un usuario o un grupo. . 10 ¿Qué ocurre si se detecta una conexión lenta? En el caso de una conexión lenta. En un controlador de dominio. así como parámetros Kerberos. Tras el inicio de sesión o el arranque del puesto. 11 ¿Cuándo se actualiza una directiva de grupo? La actualización de una GPO se realiza en diferentes momentos. pudiendo incluso saltar el mecanismo de bloqueo de herencia. Existen tantas CSE como tipos de parámetros. o CSE. que es el segundo tipo de objeto y contiene los parámetros de seguridad que se aplican a los grupos o al usuario. tiene como objetivo recuperar los parámetros recibidos y. es preciso ejecutar el comando gpresult /H NombreArchivoen el equipo correspondiente o utilizar el asistente de Resultados de directivas de grupo. 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? Existen dos objetos en AD DS desde Windows Server 2008: el Password Settings Container. se atribuye al usuario un control total a nivel de directivas de grupo. que sirve como contenedor del Password Settings Object. esta operación se lleva a cabo únicamente si se ha producido alguna modificación. No obstante. 14 ¿Qué medios existen para crear un informe RSOP? Para crear un informe RSOP. no obstante. el intervalo de actualización es de 5 minutos. 9 ¿Cuál es el rol de una extensión del lado cliente? La extensión del lado cliente. se produce una actualización cada 90 a 120 minutos. las directivas se recuperan y se aplican. Requisitos previos y objetivos 1. Objetivos Administración del sistema de directivas de grupo. Implementar las preferencias de las directivas. Requisitos previos Tener nociones acerca de las directivas de grupo. . 2. Hay varios miles de parámetros disponibles con Windows Server 2012 R2. Las preferencias.Introducción El sistema de directivas de grupo (GPO) permite implementar un conjunto de parámetros sobre uno o varios puestos. . la redirección de carpetas o la ejecución de scripts son algunas de las directivas que pueden implementarse. 3.Plantillas administrativas Las plantillas administrativas se dividen en dos secciones. Se ubican. disponible para su descarga en el sitio web de Microsoft (http://go. una nueva plantilla administrativa. . Estos archivos tienen la extensión admx o adml. Tras la activación de esta funcionalidad se ignora el almacén local presente en cada servidor. Con Windows Server 2008 y Windows Vista.microsoft. De este modo.com/fwlink/?linkID=270013). a continuación. Se modifican dos rutas: HKEY_LOCAL_MACHINE en lo relativo al equipo. es preciso hacer clic con el botón derecho en Plantillas administrativas y. se modifica la base de datos del registro. la replicación sobre los distintos controladores de dominio. por defecto. a continuación. Éste se almacena en una subcarpeta dentro de PolicyDefinitions (ES-es para el español…). de manera mucho más sencilla. la configuración del equipo y la configuración de usuario. Los archivos ADMX y ADML Los archivos en formato ADM. la mayoría de ellos están presentes únicamente en la sección de usuario o de equipo. Es. y presentan la ventaja de ser independientes del lenguaje del sistema operativo. de modo que solo se tiene en cuenta el almacén central. Ambas permiten gestionar el entorno del usuario. 1. Uso de filtros sobre las plantillas administrativas Windows Server 2012 R2 contiene miles de parámetros. lo que permite crear. Para acceder a la ventana que se muestra a continuación. El texto que se muestra está presente en el archivo ADLM. Cada parámetro está clasificado en una carpeta (componentes de Windows. si el controlador no estuviera disponible. Su creación consiste en copiar en la carpeta SYSVOL los archivos ADMX y ADML. sólo se mostrarán aquellos resultados que respondan a los criterios definidos en la búsqueda. Se utiliza el lenguaje XML en su definición. se utilizaban en los sistemas operativos de Microsoft hasta el par Windows Server 2003 / Windows XP. Recuerde que estos archivos ADM utilizan su propio lenguaje de etiquetas (lo cual hace difícil la creación de un archivo personalizado). seleccionar la opción Opciones de filtro… en el menú contextual. Estos últimos se almacenaban en la carpeta %systemroot%\INF. La replicación de archivos (FRS o DFS-R) asegura. las plantillas administrativas se almacenan en archivos diferentes. Para ello es posible utilizar filtros. HKEY_CURRENT_USER para la sección de usuario. Tras su implementación. en la carpeta PolicyDefinitions. Creación del almacén central Un almacén central se encarga de alojar los archivos ADMX y ADML en un sitio centralizado con el objetivo de que los distintos controladores de dominio puedan acceder a él. de modo que puede resultar difícil encontrar el parámetro adecuado. A excepción de algunos parámetros. predecesor de los archivos ADMX / ADML. posible copiar las plantillas administrativas para Office. y por tanto a las opciones de filtro. No obstante. así. 2. red…). Existe una herramienta que permite migrar archivos ADM al formato ADMX / ADML. se utiliza en su lugar el almacén local. . ejecutar…). A menudo resulta útil utilizar el filtro por palabras clave que permiten visualizar únicamente aquellos parámetros que contienen la palabra indicada (por ejemplo: Internet.)..Es posible utilizar varios criterios. En primer lugar. la selección de los parámetros deseados puede acotarse a un único sistema operativo (mostrar los parámetros para Internet Explorer 10.. Por último. configurados o comentados. es posible seleccionar los parámetros que están o que no están gestionados. No configurada: valor por defecto. Con el objetivo de limitar la pérdida de datos. De este modo. Preste atención. Esto no cambia. mucho más sencillo realizar una copia de seguridad y la restauración de datos posterior de los datos del usuario. no obstante. archivo…) para reducir su tamaño. quien piensa que sigue escribiendo en su puesto local. no se realiza ninguna redirección. de modo que es preferible estudiar de forma regular el consumo de este espacio y tomar las precauciones necesarias (cuota. Resulta. equipo desconectado…). en caso de robo o de rotura de algún equipo. por tanto. es posible definir la ubicación de la redirección en función de estos grupos. se produce una sincronización sobre el propio puesto para permitir el acceso si la red no se encuentra disponible (interrupción en la red. Básica: las carpetas del usuario se redirigen a un lugar común. Avanzada: la redirección se realiza en función de los grupos de seguridad. . Además. que de este modo el usuario puede acceder a sus datos sea cual sea el puesto de trabajo sobre el que se conecte. permite redirigir la o las carpetas deseadas (Mis documentos. es posible implementar la redirección de carpetas. 2. sin la cual los datos no estarían accesibles cuando el equipo no se encuentre conectado. Cada uno de ellos dispone de una carpeta privada en esta ubicación. Preste atención a no deshabilitar la sincronización sin conexión mediante alguna directiva de grupo. a su vez. existen varios parámetros disponibles. al espacio en disco necesario para alojar estos datos. En efecto. evidentemente. Mi música…) a otro servidor. 1. Tenga en cuenta. Configuración de la redirección Tras la configuración de las directivas de grupo. aunque por desgracia no es extraño ver muchos datos que se encuentran en las propias estaciones de trabajo. Presentación de la redirección de carpetas Esta funcionalidad es muy interesante para la mayoría de administradores de sistema.Configuración de la redirección de carpetas y de scripts La copia de seguridad de los datos de usuario es un punto importante. nada de cara al usuario. se utilizan scripts para realizar y automatizar ciertas acciones (eliminar archivos o carpetas. Resulta. Desde Windows Server 2008 es posible remplazar la mayoría de scripts utilizando las directivas de grupo. no obstante. configurar un proxy IE…). 3. lo que permite autorizar su ejecución con el contexto de seguridad del Sistema local. Si se quiere utilizar varios scripts. Al final del capítulo se propone el trabajo práctico Configuración de la redirección de carpetas. Preste atención. por tanto. necesario configurar los scripts en la configuración del equipo. es posible configurarlos de manera síncrona o asíncrona. Estos scripts pueden aplicarse a la configuración del equipo (ejecución durante el arranque o detención de los equipos) o a la configuración del usuario (inicio y cierre de sesión). Los que se aplican a la configuración del usuario se ejecutan con permisos del usuario. PowerShell…). Conviene utilizar la carpeta SYSVOL. VBS. conectar un lector a la red. . Uso de scripts en las directivas de grupo Desde hace muchos años. Es posible ejecutar varios tipos de script (archivos BAT. a asegurar que el puesto o el usuario tienen acceso a la(s) carpeta(s) compartida(s) que contiene(n) el(los) script(s). Estas acciones se configuran tras la creación del parámetro. Es posible aplicar propiedades generales a los distintos parámetros. se realiza una actualización al mismo tiempo que las directivas de grupo. sin que se ignore la configuración. no obstante. también. También es posible aplicar otras propiedades. será necesario instalar en estos equipos extensiones del lado cliente que gestionen las preferencias de modo que la configuración se procese y aplique. Eliminar: elimina un parámetro configurado previamente. Remplazar: se elimina el parámetro y se recrea a continuación. las preferencias permiten a los usuarios interactuar con la configuración y modificarla si es necesario (deshabilitar el proxy en IE…). 1. necesario limitar la aplicación de las preferencias. si el parque informático está compuesto por equipos que ejecutan Windows XP. Uso de la selección de destino: la directiva de grupo se aplica a un puesto o a un usuario de manera limitada mediante grupos de seguridad o filtros WMI. Una vez implementadas las preferencias. Puede ser. encontramos: Nombre del equipo Rango de direcciones IP Sistema operativo Grupo de seguridad Idioma Rango horario . las preferencias ofrecen muchas más opciones a nivel de selección de destino. De este modo. Aplicar una vez y no volver a aplicar: esta propiedad permite solicitar al sistema que aplique únicamente una vez el parámetro. configuración de Internet Explorer…) que antes se realizaba mediante script. Visión general de las preferencias Windows Server 2012 R2 ofrece más de una veintena de preferencias de directiva de grupo. no se implementa ninguna preferencia. A diferencia de las directivas de grupo. para ello es necesario utilizar la selección de destino. Preste atención. la eliminación se realiza de la misma forma que los parámetros de la directiva de grupo.Configuración de las preferencias de las directivas de grupo Las preferencias aparecieron con Windows Server 2008. Eliminar el elemento cuando no va a aplicarse más: se elimina una vez se confirma que la directiva no se va a aplicar más al puesto. A diferencia a los parámetros de directivas de grupo que afectan a la interfaz de usuario. Actualización: permite actualizar un parámetro existente. En caso contrario. y han permitido la implementación de parámetros (conexión de lector de red. es posible realizar varias acciones: Crear: crea la configuración para implementar la parametrización deseada. Consiste en definir la acción y las distintas propiedades que se quieren definir (ruta UNC…). Dejar de procesar los parámetros en esta extensión si se produce algún error: si se detecta algún error durante la ejecución. Con este parámetro. Consiste en implementar criterios que deben cumplirse para recibir el parámetro. Las preferencias pueden aplicarse una única vez o a intervalos regulares (como con las directivas de grupo). En caso de conflicto entre un parámetro configurado mediante una preferencia y el mismo parámetro aplicado por una directiva de grupo. Comparación entre las directivas y las preferencias Las directivas de grupo y las preferencias tienen puntos en común. Contrariamente a la directiva de grupo. ambas se aplican a parámetros de usuario o de equipo. impidiendo su modificación posterior. las preferencias permiten al usuario realizar cambios sobre ellas o deshabilitarlas. Espacio en disco… 2. es esta última la que predomina. que bloquea el parámetro. las preferencias poseen ciertas diferencias. . No obstante. Solo aquellos usuarios que tengan la autorización adecuada podrán realizar la instalación. La tercera fase no es obligatoria. A continuación. simplemente. tres de ellas que pueden gestionarse mediante una directiva de grupo. cuando se hace doble clic en el icono de la aplicación o sobre un archivo asociado a dicha aplicación (archivo XLS. La opción Asignada. La instalación y la gestión de la aplicación se realizan mediante el servicio Windows Installer. La opción Publicar no puede utilizarse mediante una directiva de grupo aplicada a un equipo. puede aplicarse a un usuario o a un equipo. En una red informática. y consiste.Gestión de aplicaciones con ayuda de GPO Desde hace varios años hasta ahora. La asignación a un equipo se instala cuando éste reinicia. Además. la instalación afecta únicamente al usuario. en eliminar la aplicación instalada anteriormente. la fase de despliegue permite instalar la aplicación en aquellos equipos deseados. a continuación. Ésta se instala únicamente cuando un usuario la necesita. Las opciones avanzadas disponibles durante la selección del paquete permiten acceder a otras opciones tales como agregar un archivo de personalización de la instalación (Office…). implementar una política diferente que consiste en poner a disposición de los usuarios la aplicación. Como con la fase anterior. es posible eliminarla sobre todas las estaciones o prohibir cualquier nueva instalación conservando las que se han hecho con anterioridad. y todos los usuarios que se conectan a este equipo tienen acceso a la aplicación. Permite una automatización a nivel de las operaciones de instalación y de eliminación. . Es imposible desplegar archivos EXE. Como acabamos de ver. La directiva de grupo puede aplicarse a un usuario o un equipo. la opción Asignada puede utilizarse para usuarios o equipos. En el caso de un usuario. mediante una directiva de grupo. una aplicación está compuesta de cuatro fases. la instalación. La publicación consiste. que consiste en realizar la instalación ante una eventual necesidad. la instalación puede realizarse de manera automática o manualmente por el usuario en función de la opción seleccionada. Si se pone a disposición alguna nueva versión de la aplicación. por su parte. la preparación. por su parte. La primera fase. únicamente. De este modo. sólo se acepta el formato MSI. la de eliminación no se aplica obligatoriamente. por ejemplo). no estará disponible para ellos a no ser que la instalen también. consiste en copiar el archivo MSI en una carpeta compartida y asignar a esta última los permisos adecuados. un dominio o una unidad organizativa. eliminación y gestión de las aplicaciones se realiza de forma centralizada desde un puesto de trabajo. es posible desplegar esta "actualización" mediante la GPO. La opción Publicar permite. Asignación y publicación de una aplicación La fase de despliegue puede efectuarse de dos maneras: asignación o publicación. y consiste simplemente en una fase de mantenimiento. la instalación arranca. no se comparte con los demás usuarios y. y la instalación se realiza. por tanto. puede alojarse en un sitio. en agregar la opción de instalación en el applet Programas del Panel de control. es posible realizar el despliegue de una aplicación mediante una directiva de grupo. De este modo. Haga clic en Editar configuración de la tarjeta y. . a continuación.10 Haga clic dos veces en Aceptar y.0 Puerta de enlace predeterminada: 192. a continuación.168. Máquinas virtuales: AD1 y CL8-01. configúrela tal y como se describe a continuación: Dirección IP: 192. a continuación.Trabajos prácticos: Gestión de los puestos de usuario Estos trabajos prácticos permiten configurar la interfaz de usuario basándose en directivas de grupo. abra la consola Centro de redes y recursos compartidos presente en la barra de tareas junto al reloj.100 Máscara de subred: 255.1.1.168. a continuación. Una la máquina al dominio Formacion. 1. abra la consola Usuarios y equipos de Active Directory.local y.255. Implementación de las preferencias Objetivo: con ayuda de las preferencias.254 Servidor DNS preferido: 192. reinicie el equipo. cree una carpeta y configure Internet Explorer en el equipo cliente.168.255.14. en Cerrar. En CL8-01. Abra una sesión en AD1 y. a continuación. Formacion. Abra la consola Administración de directivas de grupo y. En AD1. compártala con el mismo nombre. escriba Preferencias . Se atribuyen permisos de Control total a los Administradores de dominio y Modificar a los Usuarios autenticados. a continuación.Usuarios y Grupos. a continuación. cree tres nuevas unidades organizativas llamadas Equipos.local. Es posible configurar el recurso compartido sobre la segunda partición. Las pestañas de compartición y de seguridad se configuran de la misma forma. Mueva la cuenta del equipo CL8-01 a la unidad organizativa Equipos creada anteriormente. seleccioneNuevo. Haga clic con el botón derecho en Objetos de directivas de grupo y. cree una carpeta llamada Contabilidad y. a continuación. despliegue los nodosBosque:Formacion.local.Lector de red + IE y. Dominios y. En la unidad organizativa Madrid. mediante el explorador de Windows. En el campo Nombre. haga clic enAceptar. a continuación. . seleccione la letra V. a continuación. Haga clic con el botón derecho en Asignaciones de unidades y. escriba \\AD1\Contabilidad.Configuración de WIndows y. a continuación Asignaciones de unidades. En Ubicación. En la lista desplegable Letra de unidad.Haga clic con el botón derecho en la directiva que acaba de crear y. marque la opción Reconectar y escriba Contabilidaden el campo Etiquetar como:. seleccioneEditar en el menú contextual. Haga clic en la lista desplegable Acción y. Despliegue Preferencias en Configuración de usuario . a continuación. en el menú contextual. haga clic en la opción Crear. seleccione Nuevo y Unidad asignada. . a continuación. Compruebe que aparece la opción Windows 8. . en la pestaña Comunes.1 en Producto y haga clic dos veces en Aceptar. Marque la opción Destinatarios de nivel de elemento y haga clic en Destinatarios…. a continuación.Haga clic en Aplicar y. seleccione Nuevo elemento y. a continuación. Sistema operativo. En la ventana que se abre. miempresa. El campo está. por ejemplo. . En caso contrario. En el menú contextual. presione la tecla [F6].168. Esta información es ficticia.es y. a continuación. haga clic con el botón derecho en Configuración de Internet.Internet Explorer 10. seleccione Nuevo . a continuación.200 y. el parámetro no se estaría teniendo en cuenta. a continuación. Haga clic en la pestaña Conexiones y. no existe ningún servidor proxy en la maqueta. Escriba la dirección 192. www.1. escriba. en Configuración de red. Pulse [F6] para validar los cambios. ahora.Despliegue el nodo Configuración del panel de control y. subrayado en verde. En Página de inicio. a continuación. el puerto 8080. lo que significa que la modificación se ha tenido en cuenta. a continuación. Cree una carpeta compartida llamada RedirDocs (nombre del recurso compartido RedirDocs$) enAD1. cierre la ventana Editor de administración de directivas de grupo. Para forzar la actualización de las directivas de grupo. En el campo Nombre escriba Redirección carpeta Documentos y. . a continuación. Seleccione Preferencias . a continuación. utilice el comando gpupdate /force. seleccioneNuevo. Haga clic con el botón derecho en la directiva de grupo y. Mueva la cuenta de usuario de Esteban DIAZ a la unidad organizativa Madrid \ Usuarios. seleccione la opción Vincular un GPO existente…. a continuación. En la consola Administración de directivas de grupo. haga clic en Editar. haga clic con el botón derecho sobre la unidad organizativa Madrid y. y las preferencias de Internet Explorer están presentes. Abra una sesión como ediaz en el equipo CL8-01. a continuación. las autorizaciones que hay que configurar en las pestañas Autorizaciones y Seguridad son las siguientes: Administrador: Control total Usuarios autenticados: Control total Haga clic con el botón derecho en Objetos de directivas de grupo y. Puede comprobar que el lector de red V: apunta a la carpeta compartida Contabilidad. 2. Haga clic dos veces en Aceptar y. haga clic enAceptar. Es posible alojar la carpeta en la segunda partición.Lector de red + IE y haga clic en Aceptar. Máquinas virtuales: AD1 y CL8-01. Configuración de la redirección de carpetas Objetivo: configurar las directivas de grupo para implementar la redirección de carpetas. escriba \\AD1\RedirDocs.Configuración de Windows y. seleccione la opción Básico: redirigir la carpeta de todos a la misma ubicación y. Redirección de carpetas. en la ruta de acceso a la raíz. Seleccione la pestaña Configuración y. Haga clic con el botón derecho en Documentos y. a continuación. a continuación.Directivas . a continuación. En la lista desplegable.Despliegue los nodos Configuración del usuario . . seleccione la opciónPropiedades. marque la opción Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado. a continuación. seleccione la opción Vincular un GPO existente…. redirigida al servidor. presione la tecla S y. Inicie una sesión como ediaz. a continuación. En CL8-01. La carpeta Documentos está. a continuación. cierre la ventana Editor de administración de directivas de grupo. en Sí en el mensaje de advertencia que aparece. Haga clic en Aceptar y. ejecute el comando gpupdate /force. Abra una ventana de comandos DOS y. haga clic con el botón derecho en la unidad organizativa Madrid y. Aparece un mensaje invitando a cerrar la sesión. A continuación. . a continuación. a continuación. ahora. abra una sesión con la cuenta ediaz. Seleccione Redirección carpeta Documentos y haga clic en Aceptar. [Enter]. En la consola Administración de directivas de grupo. la carpeta Documentos se almacena de forma local. abra el bloc de notas y.Si la directiva de grupo no se aplica. Guarde el archivo en la carpeta C:\windows\sysvol\domain\scripts con el nombre map. escriba los siguientes comandos: Net use * /delete /yes Net use z: \\AD1\Contabilidad /persistent:yes Es posible descargar el script desde la página Información. Ejecución de scripts mediante GPO Objetivo: ejecutar un script que permita conectar un lector de red tras el inicio de sesión.bat. En AD1. 3. . Máquinas virtuales: AD1 y CL8-01. a continuación. bat ubicado en la carpeta \\ad1\sysvol\Formacion. seleccioneNuevo. en Editar. Haga clic con el botón derecho en Objetos de directivas de grupo y. a continuación. acceda a la ventana Administración de directivas de grupo. haga clic enAceptar. escriba Script Conexión lector de red y. Valide haciendo clic dos veces en Aceptar y. a continuación. a continuación. a continuación. cierre la consola Editor de .Directivas .Haga clic en Guardar y. utilice el botón Examinar para seleccionar el scriptmap.Configuración de Windows - Scripts y.local\Scripts. a continuación. Haga clic con el botón derecho en la directiva de grupo y. Iniciar sesión. a continuación. a continuación. En el campo Nombre. Despliegue los nodos Configuración del usuario . Haga clic en Agregar y. cree el grupo G_Foxit. Incluya. Máquinas virtuales: AD1 y CL8-01. inicie una sesión como jramirez (contraseña: Pa$$w0rd). En AD1. Para llevar a cabo este trabajo práctico. 4. En la unidad organizativa Grupos presente en Madrid. aunque evidentemente puede utilizar cualquier otra aplicación si así lo desea. En CL8-01. abra la consola Usuarios y equipos de Active Directory. vamos a utilizar el archivo MSI de la aplicación Foxit Reader. Despliegue de aplicaciones mediante una directiva de grupo Objetivo: despliegue de aplicaciones mediante una directiva de grupo. . Vincule la directiva que acaba de crear con la unidad organizativa Barcelona. en este grupo. la cuenta de equipo de CL8-01. El script se ejecuta tras el inicio de sesión de todos los usuarios presentes en la unidad organizativa. administración de directivas de grupo. haga clic . seleccione Nuevo - Paquete. Seleccione el archivo MSI afectado por el despliegue. En el campo Nombre. Haga clic con el botón derecho en Instalación de software y. a continuación.Configuración de software - Instalación de software. a continuación. En la ventana Implementar software. Usuarios autenticados con permisos para Modificar. compártala con el mismo nombre. La selección debe realizarse mediante la ruta de red y no mediante el nombre de ruta local. haga clic en Editar.Directivas . a continuación. a continuación. a continuación. Haga clic con el botón derecho en la directiva de grupo y. a continuación. G_Foxit con permisos para Modificar. Copie el archivo MSI de la aplicación en la carpeta Aplicaciones. escriba Despliegue de aplicación y. El recurso compartido se configura de la siguiente manera: Pestaña Recurso compartido: Administrador con Control total. Haga clic con el botón derecho en Objetos de directivas de grupo y. seleccioneNuevo. haga clic en Aceptar. seleccione Avanzada y. Despliegue los nodos Configuración del equipo . Cree una carpeta llamada Aplicaciones y. Abra la consola Administración de directivas de grupo. Pestaña Seguridad: Administrador con Control total. a continuación.enAceptar. Inicie una sesión en CL8-01 como ediaz (contraseña: Pa$$w0rd). Haga clic en Aceptar y. . a continuación. haga clic en la pestaña Implementación y. Abra una ventana de comandos DOS y. ejecute el comando gpupdate /force. marque la opción Desinstalar esta aplicación cuando esté fuera del ámbito de administración. vincule la directiva de grupo con la unidad organizativa deMadrid. Se abre una ventana. Acepte el reinicio del equipo. a continuación. Se realiza la instalación… . También se utiliza un archivo ADML. 1 ¿Qué utilidad tienen las plantillas administrativas? 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? 3 ¿Cuáles son las claves de registro modificadas en el equipo? 4 ¿Cuáles son los archivos que componen las plantillas administrativas? 5 ¿Qué permite realizar el almacén central? 6 ¿En qué consiste el filtro sobre la plantilla administrativa? 7 ¿En qué consiste la redirección de carpetas? 8 La redirección de escritorio se encuentra habilitada. El archivo ADMX contiene los distintos parámetros que pueden configurarse así como la ruta donde debe crearse el valor DWORD. cuente un punto. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Número de puntos: /11 Para superar este capítulo. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. existen dos modos accesibles. y un usuario que posee un portátil desea conectarse desde la red de un cliente. . Respuestas 1 ¿Qué utilidad tienen las plantillas administrativas? Las plantillas administrativas permiten gestionar el entorno del usuario. su puntuación mínima debería ser de 8 sobre 11. el modo básico y el modo avanzado. 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? Tras la implementación de un parámetro de la plantilla administrativa se modifica la base de datos del registro del equipo que recibe el parámetro. 4 ¿Cuáles son los archivos que componen las plantillas administrativas? La plantilla administrativa está compuesta por dos archivos. ¿Los documentos están accesibles en modo sin conexión? 9 Tras la implementación de la redirección de carpetas.Validación de conocimientos adquiridos: preguntas/respuestas 1. 3 ¿Cuáles son las claves de registro modificadas en el equipo? Se modifican dos claves de registro en el equipo. que contiene los textos que se muestran al usuario. 3. Por cada respuesta correcta. HKEY_LOCAL_MACHINE para la configuración del equipo y HKEY_CURRENT_USER para la configuración del usuario. ¿Cuál es la diferencia entre ambos modos? 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias? 2. y un usuario que posee un portátil desea conectarse desde la red de un cliente. Esta operación es del todo invisible a los usuarios. Actualizar permite realizar únicamente una actualización del parámetro existente. 5 ¿Qué permite realizar el almacén central? El almacén central sirve para almacenar los archivos ADMX y ADML directamente en la plantilla administrativa. 9 Tras la implementación de la redirección de carpetas. ¿Cuál es la diferencia entre ambos modos? El modo básico permite realizar una redirección para todos los usuarios en la misma carpeta compartida. De este modo. un parámetro. Por último. a continuación. Rem plazar permite eliminar un parámetro y. con facilidad. 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias? Los destinatarios a nivel de elemento permiten limitar el número de usuarios o equipos que reciben la configuración. realizar una redirección en un destino que es diferente en función de la pertenencia del usuario a un grupo de seguridad. 7 ¿En qué consiste la redirección de carpetas? La redirección de carpetas consiste en desplazar la carpeta afectada (Escritorio. 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? Es posible configurar varias acciones mediante las directivas. comentado o. Crear permite implementar un parámetro mientras que Elim inar se utiliza para su supresión. Mis documentos…) a un recurso compartido en la red. 8 La redirección de escritorio se encuentra habilitada. El modo avanzado permite. por su parte. de modo que puede resultar algo complicado encontrar el parámetro deseado. volver a crearlo. El filtro puede basarse en un parámetro configurado. 6 ¿En qué consiste el filtro sobre la plantilla administrativa? Los filtros presentes en las plantillas administrativas permiten encontrar. Existen varios miles de parámetros en las plantillas administrativas. . dejan de utilizarse los archivos locales presentes en todos los servidores y puestos de trabajo. la sincronización sin conexión está habilitada tras la implementación de la redirección con el objetivo de permitir al usuario un acceso a sus datos sin conexión. existen dos modos accesibles. administrado. simplemente. el modo básico y el modo avanzado. y solo se aplican los archivos presentes en la plantilla administrativa. que contiene alguna palabra clave. ¿Los documentos están accesibles en modo sin conexión? Sí. Requisitos previos y objetivos 1. Conocer los distintos parámetros que componen una configuración IP. Gestión de la base de datos. Instalar y configurar la funcionalidad IPAM. Implementar el mantenimiento del servidor DHCP. 2. Requisitos previos Tener nociones acerca del direccionamiento IP. Conocer la diferencia entre un direccionamiento estático y dinámico. . Objetivos Definición del rol DHCP. Presentación de las funcionalidades ofrecidas por el servicio. Introducción El servidor DHCP (Dynamic Host Configuration Protocol) es un rol muy importante en una arquitectura de red. Su papel es la distribución de la configuración IP. permitiendo así a los equipos conectados a la red dialogar entre ellos. . para informar al resto de servidores DHCP de que sus contratos no han sido seleccionados. de este modo. Un contrato DHCP (configuración asignada a un puesto) tiene una duración de validez. Funcionamiento de la concesión de una dirección IP Si la interfaz de red está configurada para obtener un contrato DHCP. El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). también. que permite transferir las solicitudes de contrato a un servidor presente en otra red. otros parámetros. el cliente solicita una renovación del contrato que se le ofreció. Alcanzado el 50% de la duración del contrato. El servidor envía una trama de acuse de recibo (DHCP ACK. las distintas solicitudes que recibe al servidor DHCP presente en la red B. Para solventar este problema conviene implementar un servidor de retransmisión DHCP. El conflicto de IP se evita. y la administración se ve ampliamente simplificada. cada vez más. Esta obligación de tener varios servidores puede suponer un coste excesivo para la empresa. una máscara de subred y. La lista de opciones que el servidor DHCP puede aceptar está definida en la RFC 2134. la próxima solicitud se realizará alcanzado el 87. La máquina envía. Éste presenta la ventaja de que ofrece una configuración completa a cada máquina que realice la petición pero también es imposible encontrar dos configuraciones idénticas (dos direcciones IP idénticas distribuidas). El tamaño de las redes actuales obliga. su dirección se deshabilita y pierde la capacidad de utilizar la red TCP/IP. variable de tiempo que define el administrador. también. una trama (DHCP Discover) sobre el puerto 67. Una vez finalizado el mismo. Esta configuración comprende un direccionamiento IP.5% de la duración del contrato. una puerta de enlace y servidores DNS. si el cliente no consigue obtener una renovación o una nueva concesión. a eliminar el direccionamiento estático coordinado por un administrador sobre cada máquina por un direccionamiento dinámico realizado mediante un servidor DHCP. obtendrá un contrato mediante un servidor DHCP. por multidifusión (envío de un broadcast). 1. Todos los servidores que reciben la trama envían una oferta DHCP al cliente (DHCP Offer). Ésta compone la dirección IP del servidor y la que se le acaba de proponer al cliente. evidentemente. El servidor es capaz de realizar una distribución de configuración IPv4 o IPv6. recibir varias ofertas. . con el objetivo de aceptar el contrato enviado por el servidor seleccionado y. Existen otros parámetros suplementarios que también pueden distribuirse (servidores WINS…). Uso de una retransmisión DHCP El hecho de utilizar tramas de tipo broadcast hace que las tramas no puedan circular por los routers. Transfiere. El puerto utilizado para recibir la oferta es el 68. Acknowledgement) que asigna al cliente la dirección IP y su máscara de subred así como la duración del contrato y. 2. el cual puede. Si éste no renueva el contrato. Esto implica tener un servidor por cada subred IP. eventualmente. Esta acción se realiza mediante el intercambio de varias tramas entre el cliente y el servidor. La retransmisión DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP realizadas sobre la subred IP. Esta solicitud se realiza únicamente al servidor que envió el contrato.Rol del servicio DHCP DHCP es un protocolo que permite asegurar la configuración automática de las interfaces de red. a continuación. asegurar que la tasa de transferencia de la línea y el tiempo de respuesta son aceptables. .Conviene. no obstante. Su instalación se realiza mediante la consola Administrador del servidor marcando el rol en la ventana de selección de rol. Una vez realizada la instalación. Agregar un nuevo ámbito . 1.Instalación y configuración del rol DHCP Como con los demás servicios que pueden agregarse al servidor. DHCP es un rol. El rol se ha instalado pero todavía no está configurado. la consola se encuentra en las Herramientas administrativas. 1.Formacion. el servidor DHCP le asigna una de las direcciones del pool. Para evitar la distribución de algunas direcciones IP es posible realizar exclusiones de una dirección o un tramo. 192. dividiendo el pool de direcciones en dos.168.100 a 192. .local y. es posible crear un nuevo ámbito. también. a continuación. haciendo clic con el botón derecho sobre IPv4. sin riesgo de que se produzca un conflicto de IP. equilibrar el uso de los servidores DHCP. Éste tendrá un nombre que debemos indicar en el asistente de creación.1. IPv4 podemos ver que no existe ningún ámbito. Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.168. Desarrollando AD1. puesto que el servidor no distribuirá estas direcciones. aunque. El servidor 1 distribuye el 80% del pool de direcciones mientras que el servidor 2 está configurado para distribuir las direcciones restantes (20%).200).Un ámbito DHCP está formado por un pool de direcciones IP (por ejemplo. contigua. La regla del 80/20 permite. Uso de la regla 80/20 para los ámbitos Es posible tener dos servidores DHCP activos en la red. en un primer momento. cuando un cliente realiza una solicitud. necesariamente. Estas últimas pueden asignarse a un puesto de forma manual. La franja de direcciones IP disponibles en el ámbito es. De este modo. poder tener dos servidores sin riesgo de conflicto de IP. 1.100 a 192. .168.150).A continuación es preciso definir el rango de direcciones disponibles (de 192.1.168. Es posible tener. a continuación. Si la misma opción se configura en las opciones del ámbito. al cliente que realiza la petición de contrato de modo que es preferible asegurarse de toda la información indicada. Un contrato contiene. mientras que la opción del servidor se ignora. Evidentemente. una duración cuyo valor por defecto es de 8 días. en este rango. Los servidores DHCP Microsoft no autorizados verán cómo Active Directory detiene su servicio. es posible indicar la dirección de la o las puertas de enlace que deben utilizarse. ciertas direcciones que es preciso excluir. pues están asignadas a impresoras… Es posible configurar la lista de exclusión. También puede indicarse el o los servidores DNS que se desean configurar. Configuración de las opciones DHCP Las opciones permiten distribuir opciones suplementarias en el contrato. 2. puerta de enlace predeterminada…) se distribuyen. A continuación. es posible aumentar o disminuir este valor. . es ésta última la que se aplica. Estas opciones (DNS. En un dominio Active Directory es necesario proceder a autorizar el servidor DHCP. que contiene una dirección o un rango de direcciones que no pueden configurarse en el rango direccionable. también. Existen tres tipos de opciones: Opciones de servidor: se aplican a todos los ámbitos del servidor así como a las reservas. tales como el nombre del dominio DNS y la dirección del servidor DNS. Haciendo clic con el botón derecho en Opciones de servidor y seleccionando la opción Configurar opciones en el menú contextual se muestra una ventana que permite configurar la opción deseada. en nuestro caso Formacion.local. De este modo. . la opción 015 Nombre de dominio DNS permite configurar el nombre del dominio DNS. Cada uno posee sus opciones. cada reserva puede tener opciones diferentes. Opciones de reservas: se aplican únicamente a las reservas. . No obstante. si se configura una misma opción en las opciones de servidor y de ámbito. las cuales pueden ser diferentes de un ámbito a otro. Opciones de ámbito: se aplican únicamente al ámbito.Las opciones también aparecen en opciones de ámbito y en las opciones de reservas. la opción de ámbito resulta prioritaria sobre la del servidor. 3. la reserva de la dirección IP para CL8-01 requiere la configuración de la ventanaReserva nueva tal y como se indica a continuación: Nombre de reserva: CL8-01 Dirección IP: 192. a continuación. . por lo general. La dirección IP: indica la dirección que se distribuye al cliente. haga clic con el botón derecho en Reservas y. La dirección MAC: debe indicarse la dirección MAC de la interfaz de red que hace la petición. Permite agregar alguna información suplementaria. La creación de una reserva requiere introducir los siguientes datos: El nombre de la reserva: este campo contiene. seleccioneReserva nueva. la misma configuración. Reserva de contrato DHCP Las reservas DHCP permiten asegurar que un cliente configurado para recibir un contrato tendrá.1. La descripción es un campo opcional. Esto resulta muy útil para las impresoras de red que se quieren mantener con un direccionamiento dinámico.168. la reserva debe crearse de forma duplicada en los demás servidores. En la consola DHCP. De este modo. En caso de que existan varios servidores DHCP en una misma red. Esto permite asegurar que tendrán siempre la misma dirección IP.149 Dirección MAC: escriba la dirección MAC de la máquina CL8-01 (ejecute el comando ipconfig /allsobre el puesto cliente). sistemáticamente. el nombre del puesto o de la impresora afectada por esta reserva. . La reserva aparece marcada como activa en la consola DHCP. El comando ipconfig /renewpermite realizar una nueva petición de configuración al servidor. Comprobamos que la dirección IP asignada es la reservada.En el puesto cliente. es preciso ejecutar el comando ipconfig /releaseen una ventana de comandos DOS para liberar el comando DHCP en curso. puesto que es necesario introducir a mano la dirección MAC de una nueva máquina para que pueda recibir un contrato. Implementación de filtros Los filtros permiten crear listas verdes y listas de exclusión. Está representada por la carpeta Permitir en el nodo Filtros. Una novedad aparecida con Windows Server 2012 es la implementación de filtros en el servicio DHCP. ninguna máquina de su red podrá solicitar un contrato DHCP. La lista de exclusión. 4. . a todas las interfaces de red cuyas direcciones MAC pertenecen a ella. obtener un contrato DHCP. Esta funcionalidad vuelve más pesada las tareas de administración. La lista verde permite. prohíbe el acceso al servicio a todas las direcciones MAC referenciadas. a diferencia de la lista verde. Está representada por la carpeta Denegar. pues en caso contrario. Se recomienda crear filtros antes de habilitar la funcionalidad. haga clic con el botón derecho sobre la lista Permitir y. seleccione Activar. ambas listas estás deshabilitadas.Por defecto. a continuación. De este modo. Para habilitar una de las listas. aparece un mensaje de error sobre el puesto informándonos de que el servidor DHCP no ha respondido. si el contrato se libera sobre el puesto (ipconfig /release) y. Realice la misma operación para la lista Denegar. se renueva (ipconfig /renew). . a continuación. La solicitud se acepta y el puesto recibe una configuración. necesario crear un nuevo filtro. . seleccionar la opción Nuevo filtro. para ello es preciso hacer clic con el botón derecho enPermitir y. el filtro aparece en el nodo Permitir. a continuación.Es. Una vez agregado. por tanto. Escriba la dirección MAC de CL8-01 y una descripción del nuevo filtro. En la carpeta Permitir. posible pasar un filtro de una lista a otra.Es. evidentemente. . a continuación. haga clic con el botón derecho en el filtro que acaba de crear y. verá la opción Mover a denegados. Es posible realizar la misma operación para desplazar un filtro desde la lista de exclusión a la lista verde. Si hace clic con el botón derecho sobre el filtro creado anteriormente. seleccione Mover a denegados. el servidor ya no responde a la máquina.La máquina no puede obtener un contrato nuevo. . Como ocurría hace un momento. Esta carpeta contiene varios archivos: Dhcp.tmp: este archivo se utiliza como archivo de intercambio cuando se realiza el mantenimiento de los índices sobre la base de datos. renovación o liberación de contrato). Por defecto. La información en la base de datos del registro puede encontrarse accediendo a la clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters. 1.log: permite registrar las transacciones.mdb: base de datos del servicio DHCP. J50. Con cada operación (nueva petición. Dhcp. se almacena en la carpeta Windows\System32\Dhcp.chk: archivo con los puntos de verificación. Posee un motor de tipo Exchange Server JET. Copia de seguridad y restauración de la base de datos . 2.Base de datos DHCP La base de datos DHCP permite registrar información (dirección MAC…) tras la distribución de un contrato nuevo. J50. el tamaño del archivo depende del número de equipos presentes en la red. Presentación de la base de datos DHCP La base de datos almacena un número ilimitado de registros. la base de datos se actualiza y se crea una entrada en la base de datos de registro. Es posible realizar una copia de seguridad de la base de datos de forma manual (copia de seguridad asíncrona) o automática (copia de seguridad síncrona). En la base de datos de registro de forma resumida. Encontramos los siguientes elementos: Todos los ámbitos presentes en el servidor Las reservas creadas Los contratos distribuidos Las opciones configuradas Las claves de registro y la información de configuración Tras la ejecución de la operación de restauración (clic con el botón derecho sobre el servidor y. Como con la copia de seguridad. Cuando se realiza una operación de reconciliación. permisos de administración o un usuario miembro del grupo Administradores de DHCP. se detienen los servicios DHCP y se restablece la base de datos. La copia de seguridad asíncrona se realiza manualmente en el momento deseado. los contratos DHCP se registran en dos lugares: En la base de datos de forma detallada. las entradas contenidas en la base de datos y en la base de datos de registro se comparan. Tras la operación de copia de seguridad (síncrona o asíncrona). 3. La copia de seguridad síncrona se realiza por defecto en la carpeta Windows\system32\Dhcp\Backup. Esto permite buscar eventuales incoherencias (entradas . Se recomienda mover esta carpeta a otro volumen con el objetivo de que no se elimine cuando se realiza una reinstalación. Esta operación requiere. A continuación. la operación debe realizarse con permisos de administrador. al menos. debe seleccionarse la carpeta que contiene la copia de seguridad. Reconciliación y desplazamiento de la base de datos La operación de reconciliación permite arreglar ciertos problemas principalmente tras la restauración de la base de datos. En efecto. todos los elementos vinculados con el servidor están incluidos en la copia de seguridad. Restaurar en el menú contextual). a continuación. seleccionar Propiedades en el menú contextual). En caso de migración del servidor DHCP. Seleccionando la opción Reconciliar… en el menú contextual del ámbito (clic con el botón derecho sobre el ámbito deseado).250. Ejemplo En la base de datos de registro se ha asignado la dirección IP 192.168. por tanto. Esto puede resultar engorroso y generar errores más o menos inmanejables para el sistema de información. es posible utilizar ambas soluciones. a continuación. se muestra una ventana con el resultado de la operación. a continuación. Es posible ejecutar esta operación sobre todos los ámbitos seleccionando la opción Reconciliar todos los ámbitos… en el menú contextual del nodo IPv4. necesario realizar una copia de seguridad del antiguo servidor y. Basta con hacer clic en el botón Comprobarpara ejecutar la verificación. Hemos visto antes que el desplazamiento de la base de datos a otro volumen permite realizar una reinstalación del servidor sin pérdida de datos. A continuación.en la base de datos que no están presentes en la base de datos de registro y viceversa). realizar la restauración sobre el nuevo o desplazar la base de datos sobre otro volumen. Realizando una reconciliación. . se muestra una ventana.1. se crea la entrada en la base de datos. Primera solución: se crea cierto número de reservas y exclusiones de direcciones IP. mientras que en la base de datos posee el estado libre. Para desplazar esta base de datos es preciso acceder a las propiedades del servidor (clic con el botón derecho sobre el servidor y. Es. No es apropiado implementar un nuevo ámbito sobre el servidor DHCP y a continuación crear las reservas y exclusiones. . . permite seleccionar otra carpeta. se tienen en cuenta los cambios.El botón Examinar.. Tras el reinicio del servicio. Segunda solución: no se realiza ninguna reserva en el servidor. copie todos los archivos alojados en la carpeta Windows\System32\Dhcp en la nueva carpeta.La base de datos se ha desplazado correctamente. existe una pestaña llamada Opciones avanzadas. Si tras el reinicio del servicio no aparece el ámbito. No obstante. La creación de un nuevo ámbito puede resultar abordable. a continuación. En las propiedades del nodo IPv4 (clic con el botón derecho sobre IPv4 y.Propiedades). y existe el riesgo de distribuir direcciones ya atribuidas a un puesto cliente. o se crea un número muy reducido. . el nuevo servidor no tiene ninguna información acerca de los rangos DHCP que han sido distribuidos antes de la creación. El servicio debería detenerse y reiniciarse a continuación una vez finalizada la copia. Basta con configurar el número de intentos de detección de conflicto que debe realizar el servidor para evitar los inconvenientes ligados a los conflictos de IP. En este caso es necesario solicitar al servidor DHCP que realice una comprobación antes de atribuir una dirección. si se implementa incorrectamente. En efecto. esta solución. puede causar grandes inconvenientes en el funcionamiento del sistema de información. .Se distribuyen nuevos rangos sin riesgo de conflicto IP. Alta disponibilidad del servicio DHCP El servicio DHCP es un servicio importante en una red informática. La segunda solución consiste en instalar un clúster DHCP. En caso de que se detenga. solución eficaz pero que exige ciertas competencias. Para evitar esta situación es posible instalar un segundo servidor DHCP y compartir el rango de direcciones IP distribuidas (generalmente el 80% en el primer servidor y el 20% en el segundo). La implementación de la alta disponibilidad se aborda en la parte práctica de este capítulo. Ambos servidores replican la información de los contratos IP entre ellos. progresivamente. La conmutación por error DHCP puede contener dos servidores como máximo y ofrece el servicio solo para extensiones IPv4. con el objetivo de permitir al otro servidor retomar la responsabilidad de la gestión de las solicitudes de los clientes. no se asignan más contratos DHCP y las máquinas van perdiendo. De este modo. Si alguno de los servidores no se encuentra en línea. existe un servicio DHCP disponible ininterrumpidamente sobre la red. En caso de que se configure en modo equilibrio de carga. las máquinas cliente pueden contactar con el otro servidor. acceso a la red. Desde la aparición de Windows Server 2012 es posible trabajar con dos servidores DHCP sin tener que montar un clúster. . las solicitudes de los clientes se dirigen a ambos servidores. Servicio de activación de procesos Windows: elimina la dependencia con el protocolo http generalizando el modelo del proceso IIS. Con la instalación de IPAM.Windows Internet Naming Service. Un servidor IPAM puede tener en cuenta 150 servidores DHCP y 500 servidores DNS (6. Los eventos del contrato DHCO y los eventos de inicio de sesión de usuario se recogen en los servidores NPS (Network Policy Server). también. Tenemos a nuestra disposición dos maneras de desplegar.000 ámbitos y 150 zonas DNS). Auditoría de las modificaciones de configuración del servidor y seguimiento del uso de las direcciones IP: muestra los eventos operacionales del servidor IPAM y DHCP administrado. 1. auditar y administrar uno o varios direccionamientos IP. . Antes de desplegar la funcionalidad IPAM es necesario pensar qué estrategia de despliegue se quiere escoger. de los servidores DNS y DHCP. realizar la administración y la supervisión de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service). supervisar. También se realiza un seguimiento de las direcciones IP. Los servidores que se tienen en cuenta (NPS. servidores DHCP y servidores DNS en el dominio afectado. Algunos elementos de red (WINS . evidentemente. proxy…) no se tienen en cuenta en el servidor IPAM. La comunicación entre el servidor IPAM y los servidores administrados se realiza mediante WMI o RPC. Administración de las directivas de grupo: instala la consola MMC que permite administrar las directivas de grupo. se instalan también las siguientes funcionalidades: Herramientas de administración del servidor remoto: instalación de las herramientas DHCP. sobre los controladores de dominio y sobre los servidores DHCP. por rangos de direcciones IP y por direcciones IP individuales. Desde Windows Server 2012 R2 es posible utilizar una base de datos SQL. Base de datos interna Windows: base de datos interna que puede instalarse mediante los roles y características internas. a los servidores que se encuentran en el ámbito de las directivas de grupo. IPAM realiza tentativas periódicas de localización de los controladores de dominio. DNS e IPAM.IPAM IPAM (IP Address Management) es una funcionalidad integrada en los sistemas operativos Windows Server 2012. Visualización. Los siguientes componentes están incluidos en esta funcionalidad: Descubrir automáticamente la infraestructura de direcciones IP: descubre controladores de dominio. nombre de host o nombre de usuario. Ofrece la posibilidad de descubrir. DNS y DHCP) deben ejecutar Windows Server 2008 (o superior) y pertenecer al dominio. Para poder ser gestionadas por IPAM y autorizar el acceso a este último debe realizarse la configuración de los parámetros de seguridad y de los puertos del servidor. Esta operación de localización afecta. creación de informes y administración personalizada del espacio de direccionamiento IP: ofrece los detalles de seguimiento y de uso detallado de las direcciones IP. o el método centralizado con un servidor para el conjunto de la empresa. Los espacios de direccionamiento IPv4 e IPv6 están organizados por bloques de direcciones IP. DNS y del cliente IPAM que permiten realizar la administración remota de los servidores DHCP. IPAM permite. Especificaciones de IPAM El alcance de los servidores IPAM está limitado únicamente a un único bosque Active Directory. ID de cliente. el método distribuido mediante un servidor IPAM en cada sitio de la empresa. DiscoveryTask: permite descubrir de forma automática servidores DC. de forma habitual.5. realizar todas las tareas IPAM. DHCP y DNS. Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y pueden. La instalación y configuración de la funcionalidad IPAM se realiza en los trabajos prácticos. IPAM.NET Framework 4. ConfigurationTask: recoge información de configuración de los servidores DHCP. AddressUtilizationCollectionTask: recoge los datos de uso del espacio de direccionamiento IP para los servidores DHCP. . . DNS para ASM y MSM. Características de IPAM Una vez instalada la funcionalidad. en función de una periodicidad. NPS y DC así como de los ámbitos DHCP.NET Framework: instalación de la funcionalidad . a su vez. AuditTask: recoge información de auditoría de servidores DHCP. Están presentes en el planificador de tareas (Microsoft / Windows / IPAM). Administradores IPAM ASM (Address Space Management): además de los permisos de usuario IPAM puede realizar tareas de direccionamiento IP y tareas de administración propias de IPAM. Administrador IPAM MSM (Multi-Server Management): además de los permisos de usuario IPAM puede realizar tareas de administración del servidor y tareas de administración propias de IPAM. El acceso a la información de seguimiento de las direcciones IP le está prohibido. se crean los siguientes grupos locales: Usuarios IPAM: los miembros tienen la posibilidad de mostrar toda la información del descubrimiento del servidor. ServerAvailabilityTask: recupera el estado de los servidores DHCP y DNS. Las tareas IPAM se ejecutan. Administrador de Auditoría IPAM IP: los miembros de este grupo pueden realizar tareas de administración propias de IPAM así como mostrar la información de seguimiento de la dirección IP. 2. así como aquella información asociada al espacio de direccionamiento IP y la administración del servidor. . Agregar y configurar el rol DHCP Objetivo: realizar la instalación del rol DHCP y proceder a su configuración. En AD1. En Seleccionar servidor de destino. a continuación. abra la consola Administrador del servidor y. Deje marcada la opción Instalación basada características o en roles y. haga clic en Siguiente. haga clic en Siguiente. a continuación. a continuación. a continuación. Máquinas virtuales: AD1 y CL8-01. Haga clic en el enlace Completar configuración de DHCP. haga clic en el botón Agregar característicasen la ventana emergente. haga clic en Agregar roles y características.Trabajos prácticos: Instalación y configuración del rol DHCP Los trabajos prácticos consisten en la instalación del servidor DHCP y la funcionalidad IPAM así como su configuración. En la ventana Antes de comenzar. haga clic en el icono que representa una bandera. a continuación. Haga clic en Siguiente en la ventana Seleccionar características. 1. haga clic en Siguiente. En la consola Administrador del servidor. Marque la opción Servidor DHCP y. Haga clic en Siguiente y. deje AD1 marcado y. Espere a que finalice la instalación y haga clic en Cerrar. en Instalar. En la ventana Autorización. haga clic en Confirmar. Haga clic en Cerrar para cerrar el asistente. .Se abre el asistente de configuración. a continuación. Abra la consola DHCP presente en las Herramientas administrativas. verifique que se utiliza la cuenta FORMACION\Administrador y. haga clic en Siguiente. 1.local en el panel de navegación y. a continuación.168. haga clic enSiguiente.formacion.100 en Dirección IP inicial y. En las ventanas Agregar exclusiones y retraso y Duración de la concesión. . a continuación.168.1. En el campo Nombre. en el menú contextual. a continuación. a continuación. escriba Ámbito Formación y. haga clic en Siguiente. Haga clic con el botón derecho en IPv4 y. Escriba 192. haga clic enNuevo ámbito….200 en Dirección IP final.168. Escriba 192. Valide la información haciendo clic en Agregary Siguiente.254 en el campo Dirección IP.1. Haga clic en Siguiente en la ventana de Bienvenida. Marque la opción Configura restas opciones ahora y haga clic en Siguiente.Despliegue ad1. realice la misma operación con IPv4. 192. . En la ventana Activar ámbito. Verifique en el equipo CL8-01 el direccionamiento de la tarjeta de red para que esté configurado para Obtener una dirección IP automáticamente.1.168.En la ventana Nombre de dominio y servidores DNS.10 y. verifique que la dirección IP configurada es192. haga clic en Siguiente. Haga clic en Finalizar para cerrar el asistente. haga clic dos veces en Siguiente. a continuación. realice una nueva petición de contrato mediante el comando ipconfig /renew. . Los contratos distribuidos aparecen en el nodo Concesiones de direcciones de la consola DHCP.254.x. Utilice el comando ipconfigpara comprobar la configuración en curso.x). Marque esta opción si no estuviera marcada. Si la dirección configurada es una dirección APIPA (196. a continuación. Haga clic en Conjunto de direcciones y. Escriba ipconfig /renewpara solicitar un nuevo contrato. escriba ipconfig /release. seleccione Habilitar. Repita la misma operación con Denegar. a continuación. abra una ventana de comandos DOS y. Elimine el contrato asignado a CL8-01 y. seleccione Agregar un filtro y.Denegar. a continuación. haga clic con el botón derecho en el correspondiente a CL8-01. a continuación. En CL8-01.Despliegue Filtros y. En el menú contextual. haga clic con el botón derecho en el nodo Permitir. a continuación. En el menú contextual. verifique la presencia del equipo en la lista de exclusión. . a continuación. En la ventana Antes de comenzar. incluya SV1 en el dominio Formacion. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y. Si no lo estuviera. Implementación de IPAM Objetivo: implementar y configurar la funcionalidad IPAM.local. En SV1. Verifique la selección de SV1. haga clic en Siguiente.local y. haga clic en Siguiente. vuelva a ejecutar el comando ipconfig /renewen CL8-01. a continuación. haga clic en Siguiente. SV1 se utiliza para alojar la funcionalidad. En la ventana de selección de características. abra la consola Administrador del servidor y. SV1 y CL8-01. haga clic en Agregar roles y características. IPAM no debe instalarse en un controlador de dominio. a continuación. Máquinas virtuales: AD1.Formacion. a continuación. . 2. Deshabilite las listas Permitir y Denegar y. marque la característica Servidor de administración de direcciones IP (IPAM). No se devuelve ninguna respuesta al cliente puesto que está incluido en la lista de exclusión. Haga clic en el botón Agregar características y. . haga clic en IPAM para mostrar la página de presentación. Una vez instalada la funcionalidad. acceda al Administrador del servidor y. a continuación. Haga clic en el vínculo Aprovisionar el servidor IPAM. a continuación. en el botón Siguiente. Lance la instalación mediante el botón Instalar. La elección de la base de datos se va a realizar sobre una base de datos interna. En el campo Prefijo del nombre del GPO. . valide haciendo clic en Siguiente. a continuación. No obstante. en un entorno de producción (y en función el número de equipos). escriba SRVIPAM y. es preferible almacenar la información en una base de datos SQL. Seleccione un método de aprovisionamiento Basado en la directiva de grupo. Haga clic en Siguiente en la ventana Antes de comenzar. Haga clic en Configurar detección de servidores. a continuación. haga clic en Cerrar. la presencia de un mensaje que indica que El aprovisionamiento IPAM se completó correctamente y. El aprovisionamiento está en curso… Verifique. . Confirme la configuración haciendo clic en Aplicar. al finalizar. Haga clic en Agregar para agregar el dominio Formacion. .local al ámbito. Configure los roles que quiere descubrir desmarcando aquellos que no desee. Haga clic en Más en la banda amarilla con el objetivo de obtener más detalles. . En la ventana INFORMACIÓN GENERAL.Haga clic en Aceptar. haga clic en Iniciar detección de servidores. Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM. Cuando el campo Fase tenga el valor Completado. . cierre la ventana Detalles de tarea. El o los servidores tienen el estado Bloqueado en Estado de acceso IPAM y Sin especificar enEstado de manejabilidad. Espere a que finalice la ejecución. necesario otorgar a SV1 los permisos para poder administrar los distintos servidores.local Es posible descargar el script desde la página Información. Pulse la tecla S y.formacion. Escriba el siguiente comando y.local -GpoPrefixName SRVIPAM -IpamServerFqdn sv1. valide presionando la tecla [Enter]. Es. Los objetos de directiva de grupo se utilizan para autorizar el acceso a los servidores DHCP y DNS. ahora. presione [Enter]: Invoke-IpamGpoProvisioning -Domain Formacion. Abra una consola PowerShell como administrador en SV1. Si no se muestra ningún servidor. a continuación. haga clic en Actualizar IPv4 (junto al identificador de notificación). Aparecen nuevas directivas en la consola Administración de directivas de grupo. . a continuación. a la raíz del dominio. por defecto. .La directiva SRVIPAM_DHCP contiene los siguientes parámetros: Las directivas están vinculadas. Es posible moverlas si fuera necesario. seleccione Administrado. a continuación. Asegúrese de que la opción DHCP está marcada y. . haga clic con el botón derecho en la fila AD1 y. a continuación. en la lista desplegable Estado de capacidad de administración. seleccione Editar servidor. Haga clic en Aceptar.En la consola de configuración de IPAM. haga clic en Recuperar datos de servidores administrados. En el servidor AD1. Actualice la consola IPAM. En el panel INFORMACIÓN GENERAL. Esto permite aplicar las directivas de grupo creadas anteriormente utilizando el comando PowerShell. Pueden necesitarse varios minutos para aplicar la directiva. haga clic en Bloques de direcciones IP. . ahora. Desbloqueado. haga clic con el botón derecho en AD1 y seleccione Actualizar. Si no fuera el caso. Espere a que finalice la recuperación (trabajo en curso…). a continuación. En el panel de navegación IPAM.Es inútil realizar esta acción en AD2 y AD3 puesto que el rol DHCP está instalado en AD1 y la sección de AD es idéntica para los tres. abra una ventana de comandos DOS y. el campo Estado de acceso IPAM está. escriba el comando gpupdate /force. a continuación. Muestre el contenido de la pestaña Detalles de configuración. Haga clic con el botón derecho sobre el rango de direcciones IP y. a continuación. La información proveniente del DHCP se recupera correctamente. haga clic en Buscar y asignar dirección IP disponible…. examine la información mostrada. se realizan las comprobaciones. se propone una dirección IP y. en el menú contextual. Pasados algunos segundos. . en el campo Dirección MACescriba la dirección MAC de CL8-01. a continuación. Seleccione Reservada en el campo Estado de dirección y.Haga clic en la sección Configuraciones básicas y. . CL8-01 en el campoPropietario. a continuación. local. En el campo Id. Ambos en la lista desplegableTipo de reserva. Escriba CL8-01 en el campo Nombre de reserva y.Seleccione el menú Reserva de DHCP. .Formacion. a continuación. de cliente. marque la opción Asociar MAC a identificador de cliente. En la lista desplegable Nombre del servidor de reserva. seleccione AD1. Haga clic en los botones Aplicar y Agregar. . seleccione Direcciones IP. En la lista desplegable Vista actual. a continuación. seleccione la opción Crear reserva DHCP. En el puesto CL8-01. 3. a continuación. Máquinas virtuales: AD1 y AD3. ipconfig /renew. renueve el contrato DHCP ejecutando los comandos ipconfig /releasey. . Alta disponibilidad del servicio DHCP Objetivo: implementar alta disponibilidad para asegurar la continuidad del servicio aun en el caso de que uno de los servidores falle. La reserva se ha tomado en cuenta. Haga clic con el botón derecho en la entrada creada anteriormente y. La reserva se ha creado correctamente en la consola DHCP. haga clic en Siguiente. haga clic en DHCP. Haga clic tres veces en Siguiente y. a continuación. haga clic en DHCP en las Herramientas administrativas. haga clic en Cerrar. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y. No existe ningún ámbito.formacion. haga clic en Agregar roles y características. a continuación. En la ventana Antes de comenzar. . a continuación. Haga clic en Siguiente en la ventana Descripción y. El servidor de destino es AD3. Marque la opción Servidor DHCP y. a continuación. Haga clic con el botón derecho en IPv4 y. a continuación.formacion. en Instalar. en Completar configuración de DHCP. haga clic en Siguiente. haga clic en la bandera y. haga clic en Siguiente en la ventana Introducción a la conmutación por error DHCP. Haga doble clic en AD1. a continuación. a continuación. Aparece un único ámbito en el DHCP. En la interfaz Windows. En AD3. haga clic en Agregar características.formacion. Haga doble clic en AD3. a continuación. abra el Administrador del servidor y. haga clic en Configurar conmutaciónpor error. en IPv4.local y. en IPv4. En el Administrador del servidor. Confirmar en Autorización. haga clic en Siguiente. a continuación. La instalación está en curso… Al finalizar la instalación. En AD1.local y.local. local no aparece. Modifique el valor del campo Plazo máximo para clientes a 1 minuto. a continuación. Si AD3. En producción. Haga clic en Siguiente para validar el servidor asociado. seleccione el servidor con ayuda del botón Examinar y. .En la ventana Servidor asociado. haga clic en Aceptar. este retardo sería algo mayor. Escriba P@rtDHCP en el campo Secreto compartido. haga clic en Agregar servidor.formacion. haga clic en Cerrar. a continuación. Verifique que las etapas muestran el estado Correcto y. acceda a la consola DHCP. ahora aparece el ámbito. . En AD3.Haga clic en Siguiente y. a continuación. en Finalizar. Haga clic en Editar para visualizar las propiedades que se pueden modificar. Seleccione la pestaña Conmutación por error. Escriba. El servidor DHCP que distribuye el contrato es AD3. Utilice el comando ipconfig /allpara visualizar el nuevo valor de dirección IP. . Escriba ipconfig /release y presione la tecla [Enter] del teclado. Modifique el campo Servidor local para que el porcentaje sea igual a 0. Haga clic con el botón derecho en IPv4 y.ipconfig /renewen una ventana de comandos DOS y presione la tecla [Enter]. a continuación. seleccione Propiedades. a continuación. Ejecute un ipconfig /allen CL8-01. haga clic en Aceptar. a continuación. seleccione Propiedades.El servidor DHCP que ha distribuido la dirección IP es. a continuación. La conmutación por error puede utilizarse. a continuación. Seleccione Conmutación por error y. en el modo de Espera activa. Marque la opción Modo de espera activa y. En AD1. AD3. . haga clic en Editar. efectivamente. haga clic con el botón derecho en IPv4 y. también. . El segundo servidor tiene el rol Espera. Este servidor tiene el rol Activo. Haga clic en Aceptar. formacion. Esta operación permite establecer un contrato DHCP utilizando AD1. .ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter]. a continuación. Escriba ipconfig /release y presione la tecla [Enter] del teclado.local. El servidor DHCP es siempre AD3. Escriba ipconfig /allen una ventana de comandos del equipo CL8-01. Escriba. En CL8-01. ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter]. . a continuación. El servidor auxiliar ha remplazado al servidor Activo. Escriba. En AD1. seleccione Todas las tareas y.formacion. actualmente fuera de servicio. abra la consola DHCP. haga clic enDetener. escriba ipconfig /releasey presione la tecla [Enter] del teclado.local. Haga clic en AD1. a continuación. 4 ¿En qué momento intenta renovar su contrato el equipo cliente? El contrato DHCP se asigna al equipo por una duración de x días. 2. Número de puntos: /15 Para superar este capítulo. El siguiente. de este modo. 1 ¿Cuál es el objetivo del protocolo DHCP? 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? 4 ¿En qué momento intenta renovar su contrato el equipo cliente? 5 ¿Por qué utilizar una retransmisión DHCP? 6 ¿Qué contiene un ámbito DHCP? 7 ¿Es posible crear varios ámbitos? 8 ¿Cuál es la utilidad de realizar exclusiones? 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? 11 ¿Cuál es la función de los filtros? 12 ¿Dónde se encuentra el archivo Dhcp. su puntuación mínima debería ser de 11 sobre 15. y el último alcanzado el 100%. evitar conflictos de direccionamiento IP. Esta trama es de tipo broadcast. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. Respuestas 1 ¿Cuál es el objetivo del protocolo DHCP? El objetivo del protocolo DHCP es la distribución de configuraciones IP. El primero tiene lugar cuando se alcanza el 50% de la duración del contrato. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Permite. Se realizan varios intentos de renovación del contrato.mdb? 13 Tras la distribución de un contrato DHCP. cuente un punto. Por cada respuesta correcta. Una vez expira el .5%. 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? El cliente envía una trama DHCP Discover con el objetivo de encontrar un servidor DHCP. 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? Se utilizan los puertos UDP 67 y UDP 68. 3. alcanzado el 87.Validación de conocimientos adquiridos: preguntas/respuestas 1. ¿dónde se escribe la información? 14 ¿Qué es la función de conmutación por error en el servidor DHCP? 15 Describa brevemente la funcionalidad IPAM. las reservas y exclusiones configuradas. NPS). puesto que es posible suplantar la dirección MAC de forma bastante sencilla. la búsqueda de una dirección disponible o la creación de un registro. Éste se activa en caso de que falle su servidor asociado. IPAM permite distribuir y auditar los servidores proporcionando la distribución de configuración de red (DHCP. si bien es menos importante que los dos parámetros anteriores. que permite repartir la carga de trabajo sobre los dos servidores. Permite. a su vez. contrato. implementar una reserva IP. las opciones de servidor. permite conocer muy fácilmente (si la nomenclatura se ha escogido cuidadosamente) el destinatario de la reserva. . 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? Existen tres tipos de opciones presentes en el DHCP. Existen dos modos de trabajo: El modo de equilibrio de carga. No obstante. De ello se deduce que un ámbito puede poseer opciones diferentes a las del servidor. el puesto no puede acceder a la red puesto que no posee configuración IP. necesario instalar un servidor DHCP en cada red local. Esta seguridad no es óptima. también. es posible crear varios ámbitos en el servidor DHCP. ¿dónde se escribe la información? La información se escribe en la base de datos del servidor DHCP y también en la base de datos de registro. principalmente la dirección IP y la dirección MAC. El DHCP Discover se basa en una trama de tipo broadcast. que permite tener un servidor activo y otro en espera. se crea un rango de direcciones IP distribuibles. el nombre de la reserva. también es posible implementar una retransmisión DHCP que sirve como enlace entre las dos redes locales separadas por un router. 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? Tras la implementación de una reserva existen tres parámetros importantes. 14 ¿Qué es la función de conmutación por error en el servidor DHCP? La conmutación por error permite asegurar una alta disponibilidad en caso de que falle algún servidor. 6 ¿Qué contiene un ámbito DHCP? Un ámbito DHCP contiene un pool de direcciones distribuibles pero. En caso de restauración de la base de datos. 11 ¿Cuál es la función de los filtros? Un filtro permite autorizar o no la distribución de configuración IP. lo que impide que se intercambie esta información a través de un router. conviene realizar una reconciliación. de ámbito o de reserva. 12 ¿Dónde se encuentra el archivo Dhcp. El modo de espera activa. estas direcciones no se distribuirán. por tanto. 13 Tras la distribución de un contrato DHCP. Es. 5 ¿Por qué utilizar una retransmisión DHCP? Un equipo que se encuentre fuera de la red local no puede recibir el contrato DHCP. 15 Describa brevemente la funcionalidad IPAM. 8 ¿Cuál es la utilidad de realizar exclusiones? Tras la configuración del DHCP.mdb? Este archivo se encuentra en la carpeta C:\Windows\System32\Dhcp. Es posible excluir aquellas direcciones correspondientes a impresoras… De este modo. 7 ¿Es posible crear varios ámbitos? Sí. . 2. Requisitos previos Poseer nociones acerca del funcionamiento del protocolo DNS. Administración y mantenimiento del servidor DNS.Requisitos previos y objetivos 1. Presentación de los distintos tipos de registros. Objetivos Configuración del rol DNS. supondría un riesgo de mal funcionamiento a nivel de las aplicaciones que deseen acceder a recursos compartidos (aplicaciones que acceden a una base de datos. por tanto. En efecto. junto a Active Directory.Introducción El rol DNS es. un elemento esencial. permite la resolución de nombres en direcciones IP. La parada del servicio DNS impediría cualquier resolución y. . por ejemplo). Los servidores raíz contienen.es. De este modo. cada uno con autoridad en su zona. que tiene como objetivo resolver nombres DNS en una red local. albergar su servidor web o.es. la dirección y el nombre de los servidores de primer nivel. Se representa mediante un punto. simplemente. ediciones-eni). com…). al nombre de dominio que ha reservado. Estos nombres de se reservan en un proveedor de acceso que puede. proveerle un nombre de dominio. únicamente.jlopez. net. DNS (Domain Name System) es un sistema basado en una base de datos distribuida y jerárquica. para una empresa o un particular. Ocurre igual con todos los servidores de cada nivel. por su lado.es). Cada servidor DNS puede resolver únicamente aquellos registros de su zona. Debajo de él se encuentran los distintos dominios de primer nivel (es. que permite transferir todo el tráfico de correo electrónico a un router. Existen dos formas de instalarlo: agregar el rol desde la consola Administrador del servidor o realizando una promoción de un servidor como controlador de dominio. . pero no sabe resolver el nombre de dominio shop. sea cual sea su localización geográfica. mientras que IANA (Internet Assigned Numbers Authority) gestiona. los nombres públicos (jlopez. Separación entre DNS privado/público Un sistema DNS está compuesto de dos partes. DNS es un rol en Windows Server 2012 R2. Es posible. El servidor de la zona ES puede resolver el registro jlopez. en particular el correspondiente a la IP pública). Esta última está separada de manera lógica. El servidor raíz permite redirigir las consultas hacia otros DNS justo por encima. más fácil recordar un nombre de dominio o un nombre de equipo que una dirección IP. naturalmente. Cada uno de estos dominios está administrado por un organismo (ESNIC para los dominios . agregar.es) son accesibles por cualquiera.Instalación de DNS Como con Active Directory o DHCP. a su vez. Es. Visión general del espacio de nombres DNS DNS está basado en un sistema jerárquico. registros o subdominios (por ejemplo mail. el DNS privado. En un segundo nivel se encuentran los nombres de dominio que están reservados para empresas o particulares (jlopez. 2. 1. y el servidor DNS sobre las redes públicas que resuelve los nombres DNS accesibles sobre Internet (servidores web…). los servidores raíz.jlopez. En cada nivel se encuentran servidores DNS distintos. además IPv6 favorece todavía más el uso de un nombre en lugar de una dirección IP. un servidor DNS por localización (si la red de la empresa se extendiera en cuatro agencias. Esta solución es válida para redes de tamaño restringido. al menos. Tras la creación de una zona. cuatro servidores DNS). . Para realizar una modificación es necesario acceder a la consola DNS. por tanto. que administrar nada más. completamente separado en dos partes bien distintas. evidentemente. evidentemente. Despliegue de DNS Tras la implementación de una solución DNS es importante tener en cuenta ciertos parámetros. Active Directory: los registros DNS están contenidos en la base de datos de Active Directory. modificarse mediante un editor de texto. los registros en varias zonas). necesario escoger la política deseada para ambos servidores. Además. de este modo. Por último. Los administradores no tienen. agregar un servidor extra permite. en primer lugar. Esta última opción ofrece un importante beneficio a los administradores. No obstante la integración de la zona en Active Directory requiere que el rol DNS esté instalado sobre el controlador de dominio. necesario conocer el número de servidores que se quiere instalar y configurar. En efecto. por tanto. Es. conocer el número de zonas DNS configuradas en un servidor así como el número aproximado de registros (con el objetivo de fraccionar. es frecuente encontrar. ser idéntico al espacio de nombres externo (público). El espacio de nombres interno (privado) puede. en función. además de asegurar las actualizaciones dinámicas. la replicación se realiza al mismo tiempo que la de Active Directory. de este modo. Por último. también. Es necesario. también. Es habitual encontrar un espacio de nombres interno diferente al externo. del número de clientes que se comunicarán con los servidores. con el objetivo de poder evitar la sobrecarga de los servidores. sujeto al tamaño del sitio. como mínimo. Puede resultar útil instalar un servidor suplementario en el caso de que el número de puestos cliente sea importante. es decir cuatro redes locales vinculadas mediante enlaces WAN. pueden presentarse otras incógnitas. el almacenamiento de ésta puede realizarse de dos maneras: Uso de un archivo de texto: el conjunto de registros se almacena en un archivo. tales como la integración o no con Active Directory. A continuación es. Es necesario conocer la ubicación de los servidores. sería prudente tener. 3. Cada servidor posee sus propios registros. sin lo cual es imposible realizar la operación. El espacio de nombres se encuentra. evidentemente. si fuera necesario. una solución híbrida consiste en definir a nivel de los DNS privados subdominios del espacio público. Esto está. Dicho archivo puede. asegurar la continuidad del servicio si el primer servidor sufriera cualquier fallo en su funcionamiento. jlopez. responder a su cliente. estos últimos se refieren únicamente a recursos que deben estar accesibles desde Internet. por ejemplo). Este último puede.es.es. no puede responder al cliente. iterativas o recursivas. pero también alojar y administrar una o varias zonas. tienen como función responder a las consultas de sus clientes. Éstas contienen varios registros de recursos. entonces.es. 1. Componentes del servidor Una solución DNS está formada por varios componentes.jlopez. Con las consultas recursivas. transmite la respuesta al servidor que le ha realizado la petición. En el caso de una instalación a partir de la promoción del servidor como controlador de dominio. ahora.es. conocer la dirección IP del servidor DNS con autoridad en la zona jlopez. el puesto cliente envía a su servidor DNS una consulta para resolver el nombre www. el equipo cliente desea resolver el nombre www. a su vez. en tal caso. por ejemplo. Los servidores DNS. es necesario realizar a la configuración del rol. El servidor consulta al servidor raíz. Pueden utilizarse dos tipos de peticiones. La consulta de esta última permite resolver el nombre www. aquellas con autoridad y aquellas sin autoridad. un reenviador o indicaciones de raíces que permiten obtener dicha respuesta. Al no tener autoridad en la zona jlopez. De este modo. La siguiente captura de pantalla muestra la configuración de un reenviador. éste es capaz de ofrecer dos tipos de respuestas.jlopez. Utiliza. No obstante. zonas y registros de recursos. . a su vez. el servidor necesita un servidor externo para realizar la resolución. Si no tiene la respuesta en caché. la creación de la zona se realiza automáticamente. y envía la petición a su servidor DNS. al reenviador configurado por el administrador (el servidor DNS de FAI que posee una caché más amplia. Éste la redirige al servidor con autoridad en la zona ES. el servidor DNS de FAI realiza una consulta iterativa y. los clientes DNS tienen la función de enviar al servidor DNS las distintas peticiones de resolución. a continuación. para comenzar. Con las consultas iterativas. Puede. Un servidor provee una respuesta con autoridad si la consulta se refiere a un recurso presente en una zona sobre la que tiene autoridad. En caso contrario. Consultas realizadas por el DNS Una consulta permite solicitar una resolución de nombres a un servidor DNS.Configuración del rol Una vez instalado. El servidor DNS interno responde a la consulta que ha recibido anteriormente de su cliente. La solicitud se reenvía. Por último. 2. Los servidores DNS públicos gestionan. por ejemplo). MX (Mail Exchange): define los servidores de correo para el dominio. NS (Nam e Serv er): define los servidores de nombres del dominio. encontrar un controlador de dominio. El registro AAAA permite resolver el nombre de un puesto en su dirección IPv6. en particular para el reparto de carga. CNAME (Canonical Nam e): se crea un alias hacia el nombre de otro puesto. El puesto afectado está accesible mediante su nombre o mediante su alias. los cuales permiten resolver un nombre de equipo. El reenviador condicional permite realizar esta modificación y. En ciertos casos (aprobación de bosque AD. se utiliza el reenviador. La siguiente lista muestra los registros más habituales: Registros A y AAAA (Address Record): permiten establecer la correspondencia entre el nombre de un puesto y su dirección IPv4. un servidor de nombres o un servidor de mensajería. 3.es podría enviarse al servidor SRVDNS1. Registrar recursos en el servidor DNS Es posible crear varios tipos de registros en el servidor DNS. simplemente. de este modo. SRV: permite definir un servidor específico para una aplicación. Para toda aquella consulta sobre la que el servidor no tenga autoridad. etc. . dirigir las consultas hacia el servidor adecuado si la condición (nombre de dominio) se valida.) es necesario que la petición de resolución que se envía a otro servidor DNS se redirija en función del nombre de dominio (para el dominio eni. una dirección IP o. este tipo de servidor puede servir de reenviador. en efecto. Para administrar esta información pueden utilizarse dos comandos: ipconfig /displaydnspermite visualizar la caché. período de expiración…). ipconfig /flushdnselimina . PTR (Pointer Record): asociando una dirección IP a un registro de nombre de dominio se realiza la operación opuesta a un registro de tipo A. 4. e-mail de contacto. Este almacenamiento en caché proviene de la resolución de un nombre. la información se envía y aloja en caché. a su vez. Funcionamiento del servidor de caché El almacenamiento en caché supone un ahorro importante en el tiempo de respuesta. datos en caché. SOA (Start Of Authority): el registro ofrece información general sobre la zona (servidor principal. y las búsquedas DNS se ven mejoradas. Se crea este registro en la zona de búsqueda inversa. Un cliente alberga. Un servidor de caché no contiene ningún dato. cuando el servidor responde a su cliente. la información contenida en la caché. . una zona secundaria o una zona de stub. Es imposible integrarla en Active Directory es obligatorio realizar una transferencia de zona.local y Jlopez. en un servidor DNS. Este tipo de zona aporta ciertos beneficios en la gestión del rol DNS. . las zonas integradas en Active Directory pueden ser modificadas por el conjunto de servidores. La zona primaria posee permisos de lectura y de escritura sobre el conjunto de los registros que contiene. los registros pueden actualizarse sin tener que conectarse con el servidor remoto. Este tipo de zona puede integrarse en Active Directory o. De este modo puede llevarse a cabo la resolución. Una vez el servidor AD1 recibe una petición de resolución para el dominio Jlopez. El servidor SV1 tiene autoridad sobre la zona Formacion. tres tipos de zona: una zona primaria. Es imposible escribir sobre este tipo de zona. simplemente. la solicitud se redirige hacia el o los servidores DNS configurados en la zona de stub.local. La zona secundaria es una simple copia de una zona primaria. 1. Una zona de stub es una copia de una zona.local. no obstante esta última contiene únicamente registros necesarios para la identificación del servidor DNS que tiene autoridad sobre la zona que acaba de agregarse.Configuración de las zonas DNS Las zonas DNS son puntos esenciales en una arquitectura DNS. En el caso de un sitio remoto. Veamos un ejemplo: el servidor AD1 tiene autoridad sobre la zona Formacion.local. Se crea una zona de stub para poder conocer el o los servidores que contienen los registros del dominio Jlopez. al ser de solo lectura. Actualización con varios maestros: a diferencia de los servidores que alojan zonas primarias y secundarias. estar contenida en un archivo de texto. La integración de la zona en Active Directory requiere la instalación del rol DNS sobre un controlador de dominio. Estas últimas contienen todos los registros necesarios para el correcto funcionamiento del dominio AD.local. En el caso de que la zona no esté integrada con Active Directory es necesario configurar la transferencia de zona. Visión general de las zonas DNS Es posible crear. Actualización dinámica: la integración en Active Directory asegura una mejor seguridad impidiendo cualquier modificación fraudulenta de los registros. mientras que las zonas integradas en Active Directory se replican mediante el controlador de dominio. Delegación de zona DNS La delegación permite realizar el enlace entre las distintas capas DNS. La carga de red puede verse. Las zonas de búsqueda inversa no se crean por defecto. al atributo modificado. a su vez. Es posible encontrar registros de tipo A. Se realiza una transferencia de zona entre las zonas estándar. y los clientes podrán dirigir sus solicitudes al otro servidor. CNAME. reducida. NS y. SRV… La zona de búsqueda inversa permite resolver una dirección IP en un nombre Es posible encontrar registros de tipo SOA. 3. 2. Zonas de búsqueda directa y zonas de búsqueda inversa Las zonas de búsqueda directa permiten resolver un nombre en una dirección IP. la posibilidad a otra persona de administrar la zona en cuestión. PTR. así. aunque se recomienda crearlas. También existe una diferencia en el proceso de replicación. La delegación de una zona ofrece. esta operación consiste en identificar el servidor DNS responsable del dominio de nivel inferior. principalmente. Replicación de zona DNS: la replicación de zona integrada en Active Directory afecta. únicamente. Algunas pasarelas de seguridad utilizan la zona de búsqueda inversa para confirmar que la dirección IP que envía los mensajes está asociada correctamente con un dominio. . Se realiza. ésta se replica al mismo tiempo que el directorio Active Directory. todos los servidores DNS pueden realizar modificaciones. Se habla. que consiste en copiar una zona entera de un servidor a otro o la transferencia de zona incremental. a continuación los servidores secundarios consultan al servidor principal para obtener la actualización. El servidor maestro avisa a los servidores secundarios mediante un mensaje DNS Notify. 2.Configuración de la transferencia de zona Una transferencia de zona consiste en replicar una zona de un servidor a otro. Existen varios tipos de transferencia de zona: la transferencia de zona integral. generalmente. 1. el cual contiene información acerca de los distintos controladores de dominio… Para asegurar una transferencia de zona hacía un servidor autorizado es . de replicación con varios maestros. entre una zona primaria y una zona secundaria. Presentación de la transferencia de zona Se utiliza una transferencia de zona cuando las zonas no se encuentras en Active Directory. Cuando la zona está integrada en Active Directory. Protección de la transferencia de zona Es importante proteger nuestro servidor DNS. en este caso. Esto se realiza con el objetivo de poder realizar resoluciones en mejores condiciones. que permite replicar únicamente aquellos registros modificados. estando. Para asegurar una protección tras una transferencia de zona a través de la red es posible utilizar protocolos de tipo IPsec (Internet Protocol Security). no es posible realizar la transferencia de zona. La protección de datos a través de la red requiere intercambiar datos confidenciales a través del DNS. Por defecto. bastaría con proteger únicamente la transferencia de zona. en caso contrario. deshabilitadas. por defecto.importante escribir en las propiedades la lista de servidores hacia las que se autoriza la replicación. . Administración y resolución de errores del servidor DNS El servicio DNS debe supervisarse para asegurar el correcto funcionamiento de dicho rol. por tanto. algún problema derivado. lleno de registros obsoletos. Por último. lo cual puede provocar resoluciones incorrectas y. El TTL indica un valor durante el que el registro DNS será válido. . La caducidad y el borrado deben habilitarse previamente. Los datos que hayan alcanzado su fecha de caducidad se eliminarán. es imposible aplicar una caducidad a un registro estático. se le agrega un timestamp para el proceso de bloqueo. el borrado y la caducidad forman parte de estos componentes. El tiempo de vida (TTL. Cualquier error en el mismo podría provocar una incidencia en el funcionamiento de las aplicaciones y demás roles. Time To Live). Tras agregar un registro en una zona principal. Para evitarlo es posible utilizar varios componentes. siendo imposible borrarlo. el borrado es la operación que consiste en eliminar estos registros que han alcanzado su fecha de caducidad. La caducidad es el mecanismo que permite mantener la coherencia de datos en el servidor DNS. este timestamp es igual a 0. Presentación de las características de caducidad y borrado Si no se realiza ninguna limpieza en un servidor DNS. éste terminará. De este modo. Cuando un administrador agrega un registro. rápidamente. formacion. a continuación. Haga clic en Agregar host y. Despliegue AD1. 1. la creación de una zona de búsqueda inversa.SRVMAIL.168. haga clic en Nuevo intercambio de correo (MX). Formacion. a continuación. Configuración del registro de los recursos Objetivo: realizar la creación del registro y. en Nuevo host (A o AAAA). Escriba SRVMAIL en el campo Nombre y. Escriba SRVMAIL en el campo Host o dominio secundario y. Abra una sesión en AD1 como administrador y. a continuación. crear y configurar el rol DNS. a continuación. a continuación.local y. Zonas de búsqueda directa y. abra la consola Administrador de DNS. 192. en Aceptar en la ventana que aparece.Trabajos prácticos: Instalación y configuración del rol DNS Los trabajos prácticos permiten instalar.1. a continuación. Haga clic con el botón derecho en Formacion. a continuación.local y. .17 en el campo Dirección IP. a continuación. Haga clic con el botón derecho en Formacion. Máquina virtual: AD1.local en el campo Nombre de dominio completo (FQDN) del servidor de correo electrónico.local. abra la consola Administrador de DNS. por último. haga clic enAceptar. haga clic en Siguiente. 2. . Solo están autorizadas las actualizaciones dinámicas seguras. a continuación. seleccioneNueva zona. seleccione Zona principal. Máquina virtual: AD1. En AD1. a continuación. Haga clic con el botón derecho en AD1 y.1 en el campo Id. haga clic en Siguiente. Valide las opciones haciendo clic en Siguiente. En las ventanas Ámbito de replicación de la zona de Active Directory y Zona de búsqueda inversa IPv4 deje las opciones por defecto y. a continuación. Haga clic en Siguiente en la ventana de bienvenida y. deje la opción por defecto y. Marque la opción Borrar registros de los recursos obsoletos y. haca clic en Siguiente. de red y. Escriba 192. borrado y caducidad con el fin de asegurar la eliminación de registros obsoletos. en el menú contextual. Caducidad y borrado de los registros Objetivo: configurar las funcionalidades de tiempo de vida.168. a continuación. Haga clic en Finalizar para realizar la creación de la zona. Haga clic con el botón derecho en Zonas de búsqueda inversa y. seleccioneEstablecer caducidad/borrado para todas las zonas. a continuación. a continuación. seleccione Propiedades en el menú contextual. marque Aplicar esta configuración a las zonas integradas en Active Directory existentes. a continuación. . Haga clic con el botón derecho en AD1 y. El valor 7 días es un valor por defecto que puede modificarse.Se abre una ventana. marque la opción Habilitar la limpieza automática de los registros obsoletos. a continuación. Haga clic en la pestaña Opciones avanzadas y. abra una sesión como administrador de dominio. SV1. Haga clic con el botón derecho sobre la tarjeta de red y. Modifique la configuración IP de la máquina para que posea su dirección IP en el campo Servidor DNS preferido. El valor del borrado debe coincidir con el configurado para la caducidad. La dirección del servidor AD1 debe configurarse en el campo Servidor DNS alternativo. Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4). Haga clic en Cambiar configuración del adaptador. Abra la consola Centro de redes y recursos compartidos. Configuración de un reenviador condicional Objetivo: creación de un reenviador con el objetivo de redirigir aquellas consultas relativas al dominio Formatica. En SV1. 3.msft hacia el dominio SV1. seleccione la opciónPropiedades en el menú contextual. Haga clic en Aceptar. Máquinas virtuales: AD1. . Ahora están configuradas las características de caducidad y borrado. a continuación. haga clic enSiguiente dejando el valor por defecto. haga clic en el enlace Agregar roles y características. Abra la consola Administrador del servidor y.Haga clic en Aceptar. . Se abre el asistente. a continuación. En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino. haga clic en Siguiente. pues el servidor no es un controlador de dominio. a continuación. Compruebe que está marcada la Zona principal y. despliegue SV1. a continuación. En la ventana de bienvenida. a continuación.msft y. seleccioneNueva zona. haga clic en Siguiente. en Instalar. a continuación. a continuación. Cierre la ventana una vez termine la operación. a continuación. haga clic en Agregar características. Haga clic tres veces en Siguiente y. el cual contiene todos los registros de la zona. entonces. haga clic en Siguiente. Haga clic con el botón derecho en las Zonas de búsqueda directa y. escriba Formatica. En el campo Nombre de zona. Se crea. un archivo. Abra la consola DNS desde las Herramientas administrativas y. Haga clic en Siguiente en la ventana Archivo de zona. . haga clic en Siguiente. La zona no puede integrarse en Active Directory. Marque el rol Servidor DNS y. En el menú contextual. a continuación. a continuación.Deje marcada la opción No permitir las actualizaciones dinámicas y.97 en el campo Dirección IP. seleccione Nuevo host (A o AAAA).1. Haga clic en Finalizar para realizar la creación de la zona. a continuación. Escriba www en el campo Nombre y. haga clic con el botón derecho sobre la zona. haga clic enSiguiente. 192. Despliegue la zona Formatica. .msft y.168. no se obtiene ninguna respuesta dado que la dirección indicada no existe en la maqueta. seleccione Nuevo reenviador condicional. haga clic con el botón derecho en Reenviadores condicionales. En AD1. haga clic en Aceptar. Abra una ventana de comandos DOS y. a continuación.168.formatica. Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como sigue. Deje el valor por defecto en la lista desplegable y.msft. abra la consola Administrador de DNS y. La resolución se realiza correctamente.1. escriba ping www. a continuación. En el menú contextual.12 enDirecciones IP de los servidores maestros. . en Finalizar.msft y. a continuación. En el campo Dominio DNS escriba Formatica. Haga clic en Agregar host y. a continuación. a continuación. 192. 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory? . Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta. por su lado. una parte del nombre DNS. 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? No. la raíz que posee en su base de datos la dirección IP de los servidores de primer nivel (es. com…). Cada nivel posee. Respuestas 1 ¿Cuál es el rol del protocolo DNS? El protocolo DNS tiene como rol la resolución de nombres en direcciones IP y viceversa. que el servidor esté instalado sobre un controlador de dominio. Número de puntos: /10 Para superar este capítulo. registros de recursos que están accesibles desde el exterior. 4 ¿Es posible almacenar zonas DNS? Es posible almacenar zonas DNS en dos lugares: en un archivo de texto (C:\Windows\System32\dns) o en el directorio Active Directory. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 5 ¿Cuáles son los requisitos previos para unir una zona a AD? El registro de una zona en Active Directory requiere que la zona sea de tipo primario. por ejemplo. y cada uno de ellos se encarga de realizar la resolución. 10 ¿Sobre qué propiedad de un registro se basa el borrado? 2. 3. por tanto. a su vez. Es necesario. cuente un punto. 2 ¿Por qué se dice que el sistema DNS es jerárquico? DNS se compone de varios niveles. su puntuación mínima debería ser de 8 sobre 10. un servidor DNS privado contiene los registros que permiten resolver nombres de recursos locales al dominio mientras que el DNS público contiene. 1 ¿Cuál es el rol del protocolo DNS? 2 ¿Por qué se dice que el sistema DNS es jerárquico? 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? 4 ¿Es posible almacenar zonas DNS? 5 ¿Cuáles son los requisitos previos para unir una zona a AD? 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory? 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? 9 Enumere los distintos tipos de zona que es posible crear.Validación de conocimientos adquiridos: preguntas/respuestas 1. Es posible encontrar. Una zona secundaria no puede modificarse. a su vez. 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? Es posible crear varios registros. La zona de stub no contiene más que ciertos registros (A. lo que evita un acoplamiento completo de la zona. los registros de tipo NS permiten definir los distintos servidores DNS. Por último. en función de la configuración realizada por el administrador. . 9 Enumere los distintos tipos de zona que es posible crear. proteger las actualizaciones dinámicas. utilizar el o los reenviador(es) o las indicaciones de las raíces. Los punteros (PTR) permiten resolver una dirección IP en un nombre. los registros son de solo lectura y es necesario realizar una transferencia de zona para proceder a la actualización de los registros. Este tipo de zona no puede integrarse en Active Directory. un servidor DNS utiliza el timestamp con el objetivo de saber si el registro está obsoleto. Los registros de tipo CNAME ofrecen la posibilidad de implementar alias hacia un equipo o servidor. NS y SOA) de una zona. Los hosts (A o AAAA) permiten resolver un nombre en una dirección IP. Este tipo de zona puede integrarse en Active Directory. Las zonas principales permiten al servidor tener permisos de lectura y de escritura en la zona. 10 ¿Sobre qué propiedad de un registro se basa el borrado? Para realizar el borrado. La integración en Active Directory permite una replicación al mismo tiempo que Active Directory (además de transferir la zona) y. 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? Cuando un servidor no puede resolver un nombre puede. . Requisitos previos Tener ciertas nociones acerca del despliegue de sistemas operativos. 2.Requisitos previos y objetivos 1. Definir los componentes y los beneficios de este rol. Objetivos Presentación de las funciones de los servicios de implementación de Windows. Conocer las herramientas que permiten mantener y administrar WDS. Conocer el funcionamiento de un boot en PXE. . disco duro USB…). Servicios de implementación de Windows) permite realizar el despliegue de sistemas operativos a través de la red.Introducción WDS (Windows Deployment Services. Este rol permite instalar un puesto sin utilizar medios físicos (DVD. en estos componentes. cada uno de ellos con un ID único (el primer archivo posee el ID 1. pues las imágenes tienen. un tamaño considerable de varios gigabytes. Se utilizan.1. algo muy importante. Las personas responsables del despliegue ven. aplicarse a varias configuraciones). Los componentes de WDS Los servicios de implementación de Windows poseen varios componentes. recurso de implementación MDT…). Esta carpeta contiene las distintas imágenes de arranque e instalación. Vista SP1. entonces. entre ellas la independencia respecto al hardware (una imagen puede. 2008. 7. 8. lo que permite a los equipos acceder a un recurso (imagen de instalación de Windows 8. Esta solución se utiliza tras el despliegue de estaciones de trabajo o en el caso de clientes ligeros. Se utiliza una interfaz gráfica en la mayoría de acciones. por lo general. Con el objetivo de reducir el tráfico de red es . Ofrece una multitud de ventajas. 2008 R2. Además. a su vez. varias tecnologías: WinPE (Windows Preinstallation Environment): se carga un archivo WIM tras el inicio de la estación en modo PXE.1. un paquete…). simplificadas sus tareas. la cual consiste en arrancar un equipo en la red. para ello. Pre-Boot Execution Server Este componente provee las funcionalidades necesarias para el arranque PXE de las estaciones de trabajo. la aplicación de una imagen (despliegue del archivo WIM) no destruye eventuales datos que pudiera haber presentes en la partición. un servidor TFTP (Trivial File Transfer Protocol). Es posible encontrar. Recibe las consultas PXE entrantes y responde a las distintas máquinas. un recurso muy solicitado. Por último. 2012. Archivo WIM: con Windows Vista ha hecho aparición un nuevo formato llamado archivo WIM. esta solución puede automatizarse parcial o totalmente con el objetivo de asegurar una correcta configuración de los equipos. Es posible implementar varios sistemas operativos de Microsoft mediante este rol: Windows Server 2003. por tanto. Windows XP. varios archivos WIM. a su vez. 8. Cliente de Servicios de implementación de Windows El cliente de Servicios de implementación de Windows permite establecer la conexión y escoger la imagen que se desea cargar. el segundo el ID 2…). Éste permite a los distintos clientes realizar la carga en memoria de la imagen tras el arranque del equipo. PXE: hace ya varios años que se utiliza la tecnología PXE. Ésta se vuelve. la carpeta compartida utilizada por WDS. Con el objetivo de reducir el tamaño de estos archivos de imagen es posible aplicar una compresión más o menos potente. 1. Componentes de servidor El servidor comprende. controladores. es posible operar una modificación sin conexión (agregar un dispositivo. de modo que la instalación de los equipos (servidor o puesto de trabajo) no requieren recursos físicos. Permiten realizar la instalación de sistemas operativos desde la red. Un archivo WIM puede contener.Los servicios de implementación de Windows Los servicios de implementación de Windows están presentes en los sistemas operativos de servidor desde Windows Server 2003 SP2. de este modo. archivos de configuración… Motor de multidifusión El servicio de implementación de Windows realiza el despliegue de las distintas imágenes a través de la red. 2012 R2. Además. reducir el coste total de la operación de despliegue. El segundo consiste en configurar en el servidor una hora de inicio para la transmisión de la imagen en modo multicast. Los fuentes (DVD…) ya no son necesarios. En este caso conviene anular la transmisión multicast. Es posible realizar la transmisión por multidifusión o multicast de dos formas diferentes: Autocast: la transmisión arranca una vez el primer cliente realiza la petición. La transmisión arranca automáticamente en la fecha y hora deseadas. automatizando las distintas tareas el administrador se asegura la homogeneidad de la configuración de los equipos. A continuación. El servidor reenvía la misma imagen cuando se conecta un cliente. en base al número de clientes conectados. . es necesario conectar los equipos cliente al grupo de transmisión y esperar la hora de inicio de la distribución. consiste en iniciar la transmisión una vez el número de clientes conectados alcanza cierto umbral definido por el administrador (por ejemplo: inicio de la transmisión una vez se conectan 10 puestos cliente). La automatización del despliegue permite. 2. Además. La transmisión por multidifusión ofrece más información (tasa de transferencia. Scheduled-cast: con este tipo de despliegue es posible utilizar dos tipos de criterios. Es posible desplegar un mayor número de equipos en el mismo espacio de tiempo. posible utilizar la transmisión por multidifusión. uso del procesador…) al administrador que una transmisión en modo unicast. la parte faltante se recupera tras el reinicio de la transmisión (al final de la primera transmisión). a su vez. lo que va a generar la comunicación de x tramas idénticas a x destinatarios diferentes (consumo mayor de ancho de banda). El primero. Con este tipo de transmisión. de modo que si se suma un segundo equipo a la transmisión en curso. ¿Por qué utilizar WDS? Los servicios de implementación de Windows pueden ayudar a una empresa a reducir el tiempo de instalación de estos equipos. ciertos switches pueden verse afectados por la transmisión a varios destinatarios. a que los roles WDS y DHCP utilizan ambos el puerto UDP 67. no obstante.Implementación del rol WDS La implementación y configuración del rol WDS no suponen una gran complejidad. Es. ¿cuáles? El rol WDS exige varios requisitos previos. no obstante. entre ellos un dominio de Active Directory y un servidor DNS. Instalación y configuración del servidor La instalación del rol se realiza desde la consola Administrador del servidor. Tras el inicio de los equipos en modo PXE. En el caso de que se instalen ambos roles en el mismo servidor es necesario realizar cierta configuración en el servidor de implementación. La partición debe instalarse con el sistema de archivos NTFS. Esta configuración se realiza en el trabajo práctico. es posible realizar la instalación de WDS. es posible instalar dos servicios de rol: El servidor de despliegue El servidor de transporte . clientes desconocidos)? ¿Los roles WDS y DHCP se encuentran en el mismo servidor? ¿Es posible automatizar ciertas etapas? Si sí. Para ello debe instalarse y configurarse un servidor DHCP. 1. necesario plantearse las preguntas adecuadas: ¿En qué servidor se desea instalar el rol WDS? ¿Se respetan los requisitos previos? ¿Dónde se almacena el recurso compartido de distribución necesario para el funcionamiento del rol? ¿A qué equipos debe responder (clientes conocidos. Durante la instalación. Una vez aclaradas estas cuestiones y validados los requisitos previos. Preste atención. se les atribuye una dirección IP. De este modo.Una vez terminada la instalación. Se abre un asistente de guía al administrador que inicia la etapa de configuración. es necesario seleccionar la ubicación de la carpeta compartida. la cual se opera directamente desde la consola Servicios de implementación de Windows. . Si los servicios DHCP y WDS están presentes en el mismo servidor. es posible realizar la configuración. es necesario marcar las opciones que permiten modificar el puerto de escucha (UDP 67) y agregar la opción 60. Responder solo a los equipos cliente conocidos. El servidor responde a todos los equipos.A continuación. es posible configurar el tipo de respuesta. El servidor responde únicamente a los clientes conocidos. Existen tres opciones posibles: No responder a ningún equipo cliente. . no obstante es posible implementar una aprobación del administrador antes de enviar cualquier respuesta. lo cual requiere una acción manual por parte del administrador (este punto se aborda más adelante en este capítulo). Responder a todos los equipos cliente (conocidos y desconocidos). Gestión de los despliegues Con el objetivo de desplegar un puesto mediante los servicios de implementación de Windows. es preciso realizar la importación de imágenes de instalación (imagen que contiene carpetas y archivos). 2. También es posible modificar este comportamiento y evitar tener que pulsar esta tecla… Para los puestos que no tienen en cuenta el boot PXE. A continuación. A diferencia de la herramienta ImageX. La importación puede realizarse si y solamente si los controladores tienen el formato inf. implementar la transmisión por multidifusión (multicast).wim es una imagen WinPE presente en el DVD que provee Microsoft (en la carpeta fuentes). Es posible automatizar una o varias etapas durante el despliegue. en el caso del despliegue de muchos puestos. . La administración de controladores consiste en importar paquetes de controladores que pueden ponerse a disposición de los equipos durante el despliegue. otros dos puntos. es necesario agregar una imagen de arranque. A continuación es posible configurar el modo de respuesta. Es necesario importarla en el nodo Imágenes de arranque de la consola Servicios de implementación de Windows. es preferible. WDS ofrece la posibilidad de capturar una partición. La gestión del despliegue engloba. que permite capturar datos de cualquier partición. capturar las particiones de sistema de un equipo… El archivo boot. que se utiliza para instalar la imagen de instalación. Consiste en una imagen WinPE. la imagen de captura permite realizar únicamente la captura de la partición de sistema donde se ha ejecutado un sysprep. Por defecto. Es posible utilizar filtros para limitar la cantidad de controladores ofrecidos a una categoría de puesto. Además. La transmisión de datos y de controladores. Puede pulsarse la tecla [F12] para validar el arranque PXE sobre el puesto. a su vez. la transmisión de datos se realiza en modo unicast. es posible crear desde la consola una imagen de descubrimiento. Versión del sistema operativo… .Un ejemplo de filtro: Modelo. se utiliza el siguiente comando: WDSUTIL /New-MulticastTransmission /Image:<image name> /FriendlyName:<friendly name> /ImageType:Install /ImageGroup:<Image group name> /TransmissionType:AutoCast Es posible configurar la transmisión en modo Scheduled-Cast mediante el siguiente comando: WDSUTIL /New-MulticastTransmission /Image:<image name> /FriendlyName:<friendly name> /ImageType:Install /ImageGroup:<Image group name> /TransmissionType:ScheduledCast [/Time:<yyyy/mm/dd:hh:mm>][/Clients:<no of clients>] . Es posible configurar tres tipos de respuesta en el servidor. Para ello. el administrador debe agregar el dispositivo en la base de datos del servidor WDS. de entre las que seleccionamos la de responder a los clientes conocidos. es posible crear la imagen de instalación utilizando el comando: WDSUTIL /Add-ImageGroup /ImageGroup:<image group name> WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path to . Es posible agregar una imagen de arranque por línea de comandos: WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path> /ImageType:Boot La imagen de captura puede crearse mediante el siguiente comando: WDSUTIL /New-CaptureImage /Image:<source boot image name> /Architecture:{x86|ia64|x64} /DestinationImage /FilePath:<file path> Por último. Esta operación se realiza mediante el siguiente comando: WDSUTIL /Add-Device /Device:<name> /ID:<GUIDorMACAddress> Si bien resulta mucho más segura. no obstante es posible interactuar con el servidor por línea de comandos. esta opción puede resultar algo molesta si existen muchos puestos que deben desplegarse. configurarse por línea de comandos. Para ello.wim file> /ImageType:Install La gestión del menú de selección de imágenes es un aspecto importante. la consola Servicios de implementación de Windows permite realizar la mayor parte de acciones. Este menú puede contener un máximo de 13 imágenes (es frecuente ver un menú con un total de 4 o 5 imágenes). se utiliza la instrucción WDSUTIL. La transmisión por multidifusión puede. a su vez.Administración del servicio WDS Como acabamos de ver. Para configurar una transmisión de tipo Autocast. clave de . Por último. entre ellos la respuesta que se envía a los clientes o el comportamiento de la tecla [F12] (continuar siempre con el arranque PXE). El puesto carga automáticamente esta imagen.Automatización del despliegue Es posible automatizar cuatro etapas del despliegue. El despliegue de un sistema operativo requiere una autenticación. La etapa Arranque PXE es la primera de las cuatro. lo cual puede presentar problemas si existe más de una imagen disponible en el servidor. Esta etapa permite configurar varios parámetros. es posible automatizar las últimas etapas del despliegue (nombre del equipo. que puede automatizarse para evitar tener que introducir las credenciales con cada despliegue. También es posible automatizar la imagen seleccionada en el arranque. creación de usuarios…). .licencia. A diferencia de las etapas anteriores. Puede crearse con ayuda de Windows ADK y es idéntico al que se utiliza para automatizar la instalación con DVD. esta información está contenida en un archivo de respuestas diferente. Instalación y configuración de los servicios de implementación de Windows Objetivo: instalar y configurar el rol WDS en el servidor AD1. a continuación. Máquina virtual: AD1. Una vez terminada la actualización. a continuación. abra la consola Administrador del servidor. La instalación se basa en un rol. haga clic enAgregar características en la ventana emergente. haga clic dos veces en Siguiente. en el botón Instalar. Haga clic cuatro veces en Siguiente y. a continuación. haga clic en Servicios de implementación de Windows. En AD1. 1. a continuación. a continuación. haga clic en Siguiente.Trabajos prácticos: Despliegue con WDS Estos trabajos prácticos permiten configurar la interfaz de usuario basándose en directivas de grupo. haga clic en Agregar roles y características. La instalación está en curso… Haga clic en Cerrar una vez terminada la instalación y. inicie una sesión como administrador y. En la ventana Antes de comenzar. . en las Herramientas administrativas. haga clic en Siguiente. Seleccione la opción Servicios de implementación de Windows y. A continuación. deje la opción por defecto en la ventana Seleccionar tipo de instalación y. haga clic enSiguiente. . con el objetivo de evitar la pérdida de toda la configuración tras la reinstalación del servidor. Seleccione la opción de instalación Integrado en Active Directory y. seleccione la opción Configurar el servidor. Reemplace la unidad C por la unidad D en el campo Ruta de acceso.Formacion. haga clic con el botón derecho enAD1. En el menú contextual. Es preferible ubicar la carpeta de instalación en una segunda partición. a continuación. Haga clic en Siguiente en la ventana Antes de comenzar. a continuación.local. Despliegue el nodo Servidores y. La configuración está en curso… Desmarque la opción Agregar imágenes al servidor ahora y. Haga clic con el botón derecho en la carpeta Imágenes de arranque y. a continuación. haga clic en Agregar imagen de arranque. Máquinas virtuales: AD1 y CL8-01. Seleccione Responder a todos los equipos cliente (conocidos y desconocidos) y. a continuación. haga clic enFinalizar. a continuación. Importación de las imágenes utilizadas para el despliegue Objetivo: importar las imágenes WIM necesarias para el despliegue. 2.Insertar un disco). La conexión se realiza mediante el menú medios (lector DVD . a continuación. En la ventana Archivo de imagen. Valide la información haciendo clic en Siguiente. . marque la opción que permite exigir la aprobación del administrador.1 a la máquina virtual AD1. haga clic en el botón Examinar y.wim presente en la carpeta de fuentes del DVD. seleccione el archivo boot. Conecte la ISO de Windows 8. Haga clic con el botón derecho en la carpeta Imágenes de instalación y.1 en los camposNombre de la imagen y Descripción de la imagen presentes en la ventana Metadatos de imagen. Haga clic dos veces en Siguiente y. en Finalizar. a continuación. a continuación. a continuación.1 en el campo Crear un grupo de imágenes denominado.Haga clic en Siguiente y. . Escriba Windows 8. seleccione Agregar imagen de instalación. en el menú contextual. escriba Instalación Windows 8. seleccione el archivo install. haga clic con el botón derecho en el nombre del servidor (AD1. a continuación. en Finalizar. en el campo Formato. a continuación.local) y. a continuación. haga clic enPropiedades. a continuación.Formacion. así como la unidad organizativa sobre la que se almacenan las cuentas de equipo. Haga clic tres veces en Siguiente y. También es posible configurar el mensaje de espera de validación. escriba PC-FORM%02#. Configuración del servidor de despliegue Objetivo: configurar la política de nombres de equipos.wim en la carpeta de fuentes del DVD. La imagen ha sido importada y puede desplegarse. En la consola Servicios de despliegue de Windows. Seleccione la pestaña AD DS y. Máquina virtual: AD1. en el menú contextual. . Haga clic en el botón Examinar en la ventana Archivo de imagen y. 3. ejecute el comando: Wdsutil /set-server /autoaddpolicy /Message:"La autorización de despliegue del puesto está en curso. seleccione La siguiente ubicación:. en Aceptar. haga clic en Examinar. Haga clic en Aplicar y. a continuación. en Aceptar. En Ubicación de la cuenta de equipo. espere por favor". a continuación. a continuación. y. haga clic en Equipos y. . Despliegue los nodos Formación y Madrid. a continuación. El script puede descargarse desde la página Información. Abra una consola PowerShell y. AD1. seleccione Agregar grupo de controladores. Despliegue los nodos Servidores y. 4.local. . En el campo. En la ventana Filtros de hardware de cliente. Agregar y configurar un grupo de controladores Objetivo: agregar al servidor WDS controladores que podrán utilizarse durante el despliegue. abra la consola Servicios de implementación de Windows. haga clic en el botón Agregar. a continuación. a continuación. Haga clic con el botón derecho en Controladores y.Formacion. a continuación. En AD1. Máquina virtual: AD1. haga clic en Siguiente.Se ha modificado el mensaje que aparece durante la espera de la aprobación. escriba Dell Latitude E5640 y. en Aceptar. a continuación. Seleccione los criterios siguientes y haga clic en Agregar y. . Tipo de filtro: Fabricante Operador: Igual a Valor: DELL El filtro implementado permite ofrecer los controladores únicamente a equipos DELL. es necesario realizar la exportación de los controladores presentes en su equipo. Haga clic dos veces en Siguiente y. Tiene la posibilidad de importar los controladores que desee. Además. a continuación. es posible utilizar el grupo DriverGroup1. Haga clic en Finalizar para crear el grupo de controladores. que ofrece la ventaja de que no posee filtros (los controladores se ponen a disposición de todas las máquinas del parque). . deje la opción por defecto en Paquetes que se van a instalar. a continuación. haga clic en Examinar y. seleccione un archivo inf. en el menú contextual seleccione Agregar paquete de controladores. Para realizar el resto del trabajo práctico.Es posible implementar otros filtros. a continuación. Haga clic con el botón derecho en el nodo Controladores en la consola Servicios de implementación de Windows y. Hace falta importar los controladores en formato INF. En la ventana Ubicación del paquete de controladores. La segunda opción consiste en indicar un nombre de carpeta para recuperar el conjunto de controladores contenidos en ella. Haga clic en Siguiente hasta llegar a la ventana Grupos de controladores. . En ella. seleccione la opción Seleccionar un grupo de controladores existente y seleccione Dell Latitude E5640 en la lista desplegable. seleccioneMáquina virtual…. . haga clic en Siguiente. escriba CL8-03 y. El paquete de controladores se ha importado y puede utilizarse en aquellos equipos que respeten la condición indicada (modelo de máquina). Despliegue de imágenes en los puestos cliente Objetivo: creación e instalación de un nuevo puesto Hyper-V. En la ventana Antes de comenzar. Haga clic en Siguiente y. a continuación. En el campo Nombre. a continuación. haga clic en Siguiente. valide las demás ventanas sin realizar ninguna modificación. a continuación. 5. Máquina virtual: AD1 En la consola Administrador de Hyper-V. haga clic en Nuevo y. En la ventana Configurar funciones de red. a continuación. a continuación. como mínimo. En la ventana que permite seleccionar la generación. Seleccione la opción Instalar un sistema operativo desde un servidor de instalación en red y. Esta opción permite agregar una tarjeta de red heredada. a continuación. Asigne 1024 MB de memoria RAM para el equipo escribiendo 1024 en el campo Memoria de inicio. 1024 MB de RAM. siendo 2048 el valor ideal. haga clic en Siguiente. a continuación. haga clic en Siguiente. seleccione Generación 2 y. arranque el equipo. . Se recomienda asignar. ahora. haga clic en Siguiente. la aprobación para responder a su cliente. El servidor espera. seleccione el mismo conmutador virtual que en las demás máquinas virtuales y. haga clic en Siguiente. Haga clic en Finalizar y. capaz de realizar un boot PXE. a continuación. escriba el tamaño deseado para el disco duro y. Presione la tecla [F12] para iniciar la máquina en PXE. En la ventana Conectar disco duro virtual. haga clic en Siguiente. . haga clic en Siguiente en la ventana de selección de idioma. haga clic en Siguiente. a continuación. en el menú contextual. haga clic en Siguiente en la ventana Región e idioma y. haga clic en Siguiente. Si el cliente no aparece. haga clic en Dispositivos pendientes. a continuación. actualice. Es necesario autenticarse. haga clic en Aprobar. Espere a que termine de cargar la imagen y. a continuación. En las ventanas de selección de imagen y de partición del equipo. a continuación. Haga clic con el botón derecho en la fila correspondiente a la solicitud del cliente y a continuación. escriba CL8-03 y. La instalación está en curso… Una vez terminada la instalación. En la consola Servicios de implementación de Windows. escriba Formacion\administrador (contraseña: Pa$$w0rd) y. en el botón Acepto los términos de licencia para el uso de Windows. En el campo Nombre de PC. En CL8-03. Haga clic en Utilizar configuración rápida y. seleccione la opción Definir . Captura de un puesto de referencia Objetivo: capturar CL8-03 para crear una imagen de referencia que permita instalar otros puestos. Más adelante. El despliegue finaliza. a continuación. a continuación. Seleccione Cuenta local y configure la cuenta tal y como se indica a continuación: Nombre de usuario: Mantenimiento Contraseña: Pa$$w0rd Indicio de contraseña: P Haga clic en Terminar para validar la información aportada. Despliegue el nodo Usuarios y grupos locales y. desmarque la opciónLa cuenta está deshabilitada. a continuación. Máquinas virtuales: AD1 y CL8-03. veremos la instalación y configuración de forma automática. 6. Acceda a las propiedades de la cuenta de administrador y. haga doble clic en Usuarios. a continuación. en el enlace Iniciar sesión sin una cuenta de Microsoft. Administrar). a continuación. en un trabajo práctico. Haga clic con el botón derecho en Administrador y. abra la consola Administración de equipos (haga clic con el botón derecho enEquipos y. haga clic en Abrir. Haga clic en Continuar en la ventana de advertencia y. Haga doble clic en Sysprep. haga clic en Imágenes de arranque. acceda al nodo Usuarios y grupos locales y. seleccione la carpetad:\RemoteInstall\Images. . Reinicie el equipo y conéctese como administrador. haga clic dos veces en Aceptar. a continuación. En la consola Servicios de implementación de Windows en AD1. Elimine la cuenta Mantenimiento. seleccione Apagar. seleccione la opción Crear imagen de captura en el menú contextual. En la lista desplegable Opciones de apagado. Escriba Imagen de captura en los campos Nombre de la imagen y Descripción de la imagen. acceda a la carpeta Sysprep presente enc:\windows\system32. a continuación. Haga clic en el botón Examinar y. a continuación. Abra el explorador de Windows y. a continuación.exe y. Confirme al contraseña y. la cual se crea durante la configuración del servidor. La carpeta RemoteInstall es la carpeta de trabajo de WDS. Desde la consola Administración de equipos. escriba Pa$$w0rd en el campo Nueva contraseña. a continuación. a continuación. a continuación. haga doble clic en Usuarios. El equipo se detiene automáticamente. a continuación. Haga clic con el botón derecho en la imagen que acaba de importar y. Consulte el primer trabajo práctico para conocer la ruta exacta. Escriba IMGCAPT en el campo Nombre y.contraseña. Haga clic en Aceptar. marque la opción Generalizar. .Haga clic en Siguiente para validar la información. en Finalizar.En la ventana Progreso de la tarea. En la etapa de selección de imágenes. por lo que no es necesario aprobar de nuevo al puesto. Inicie el puesto CL8-03 desde la red. espere a que finalice la operación de creación y. . marque la opción Agregar una imagen al servidor de implementación de Windows. a continuación. presione [Enter]. Haga clic en Finalizar. La aprobación se ha hecho anteriormente. seleccione Imagen de captura y. a continuación. En el asistente que se abre. haga clic tres veces en Siguiente y. a continuación. La imagen se carga… En la ventana de bienvenida.1 en la lista desplegable Nombre del grupo de imágenes. haga clic en Examinar. En la lista desplegable. La imagen está presente en el servidor. Se abre una ventana de autenticación. . Marque la opción Cargar imagen en un servidor de Servicios de implementación de Windows. En la ventana Ubicación de imagen nueva. Haga clic en Finalizar una vez terminada la captura. Seleccione la partición D: (partición Windows) y. la contraseña Pa$$w0rd. escriba AD1 y. Seleccione Windows 8. a continuación. seleccione D:. a continuación. a continuación. haga clic en Conectar. a continuación. espere a que finalice la captura.1. En los campos Nombre de imagen y Descripción de la imagen. Sólo se muestran aquellas particiones en las que se ha ejecutado un sysprep. En el campo Nombre del servidor. escriba Imagen REF Windows 8. haga clic en Siguiente. cree el archivo IMG-REF en la raíz. escriba Formacion\administrador y. Haga clic en Siguiente y. Máquinas virtuales: AD1. a continuación. Esta herramienta se encuentra en el Windows ADK. En la ventana Especificar la ubicación. Inicie una sesión como Formacion\administrador y. También es posible crear un archivo ISO. Haga clic en Siguiente y.com/es-es/download/details. Automatización del despliegue Objetivo: automatizar completamente una instalación mediante archivos de respuestas. a continuación. Uno de los dos archivos de respuestas se crea mediante la herramienta WSIM (Windows System Image Manager). a continuación. es posible descargar el conjunto de fuentes en el equipo físico y. utilizar la red para transferirla sobre la máquina virtual SV2.Ahora es posible desplegar la imagen de referencia en los demás puestos.microsoft. en Aceptar en las ventanas siguientes. en la siguiente página:http://www. 7. SV2 y CL8-03. desmarque todo a excepción de la opción Herramientas de implementación. haga clic en Siguiente. Si no lo hubiera hecho. ejecute el comando adksetup. Por último.local.aspx?id=39982 Si la máquina virtual no tiene acceso a Internet. . en la ventana Seleccione las características que desea incluir en la instalación. una SV2 al dominio Formacion. En la interfaz de Windows. haga clic en Cerrar. haga clic en Administrador de instalación. Haga clic en Sí en la ventana que solicita la creación del archivo de catálogo (clg). se muestran los componentes. Una vez finalizada la instalación. Copie el archivo install. a continuación. Seleccione el archivo install. En Imagen Windows (abajo a la izquierda).wim copiado anteriormente en la raíz de la partición de sistema. presente en la carpeta de fuentes del DVD. Conecte a SV2 la ISO de Windows 8. Al cabo de algunos minutos.wim.1. haga clic con el botón derecho en Crear o abrir un archivo de respuesta y. en la partición del sistema. . En el panel central del Archivo de respuesta. Haga clic en Instalación para ejecutar la instalación. seleccione Nuevo archivo de respuesta. haga clic con el botón derecho en Seleccionar una imagen Windows. haga clic en Agregar a la fase 7 oobe. Haga clic con el botón derecho en LocalAccounts y seleccione la opción Insertar nuevo "LocalAccount" en el menú contextual. Haga clic con el botón derecho en amd64_Microsoft-Windows-Shell-Setup_neutral y. en el campo Value. escriba Pa$$w0rd. haga clic en Agregar a la fase 7 oobe. a continuación. Despliegue el nodo amd64_Microsoft-Windows-Shell-Setup y haga clic en OOBE. Fije los valores de los parámetros: HideEULAPage: True HideLocalAccountScreen: True HideOnlineAccountScreens: True NetworkLocation: Work ProtectYourPC: 1 Despliegue el nodo UserAccounts. Despliegue el nodo amd64_Microsoft-Windows-international-Core y configure los campos tal y como se muestra a continuación: InputLocale: es-ES SystemLocale: es-ES UILanguage: es-ES UILanguageFallback: es-ES UserLocale: es-ES Haga clic en amd64_Microsoft-Windows-Shell-Setup y escriba Romance Standard Time en el parámetro Time Zone. haga clic en AdministratorPassword y.Haga clic con el botón derecho en amd64_Microsoft-Windows-International-Core_neutral y. . a continuación. a continuación. La cuenta de implementación creada anteriormente está presente. escriba Pa$$w0rd en el campo Value. en WdsClientUnattend. a continuación. a continuación. Haga clic en Archivo y. haga clic en Guardar. a continuación. abra la consola Servicios de implementación de Windows y. a continuación. Escriba \\AD1 en el campo Nombre del archivo y. a continuación. en Guardar archivo de respuesta como.Configure los parámetros tal y como se indica a continuación: Description: Cuenta de mantenimiento DisplayName: Mantenimiento Group: Administradores Name: Mantenimiento Despliegue Password y. presione [Enter]. Si no fuera el caso. . Escriba oobe en el campo Nombre y. Es posible descargar el archivo de respuestas desde la página Información. Haga doble clic en el recurso compartido REMINST y. a continuación. haga clic en Dispositivos preconfigurados de Active Directory. En AD1. actualice la vista. Seleccione Instalación de Windows 8. a continuación. haga clic en Comprobar nombres y en Aceptar. Haga clic en el botón Seleccionar situado a la derecha del campo Imagen de arranque. haga clic en el botón Seleccionar a la derecha del campo Servidor de referencia. Seleccione la pestaña Arranque y. haga clic en Aceptar. a continuación. seleccionePropiedades. a continuación.1 y.Haga clic con el botón derecho sobre la cuenta de equipo presente y. .wim que se ha importado del primer trabajo práctico. Escriba AD1 y. a continuación. Esta imagen es el archivo boot. Marque la opción Especificar la imagen de instalación y. En Credenciales. a continuación.Seleccione la pestaña Instalación desatendida de cliente y. haga clic en Aceptar. Formacion en dominioy Pa$$w0rd en contraseña. haga clic en el botónSeleccionar.1 Enterprise Evaluation y. Seleccione Windows 8. a continuación. Seleccione Español (España) en la lista desplegable Idioma del programa de instalación. escriba administrador en el campo nombre de usuario. haga clic en Crear nuevo archivo. a continuación. . Seleccione Español (España) en la lista desplegable Idioma. Modifique el valor del Identificador de la partición y escriba 2. está compuesto por dos particiones (la partición de sistema y la partición de 350 MB reservada al sistema). CL8-03 ya ejecuta un sistema operativo. . a continuación. seleccione la pestaña Permisos para unirse.Haga clic en Guardar y. a continuación.1.1 Enterprise Evaluation y.xml creado anteriormente. Haga clic en Aceptar para validar todas las modificaciones realizadas en la ventana Propiedades del dispositivo. Haga clic en Aceptar y. Escriba administrador y. en Windows 8. En la consola Servicios de implementación de Windows. a continuación. Acceda a las propiedades de la imagen Windows 8. Haga clic en el botón Seleccionar archivo y. haga clic en Comprobar nombres. Haga clic en Configurar usuario y. a continuación. . marque la opción Permisos totales. con ayuda del botón Examinar. a continuación. a continuación. a continuación. en Seleccionar. marque la opción Permitir que la imagen se instale en el modo de instalación desatendida. haga clic en Imágenes de instalacióny. seleccione el archivo de respuestas oobe. Haga clic dos veces en Aceptar. La instalación se lleva a cabo sin interacción. . Presione la tecla [F12] para iniciar el boot PXE. Arranque CL8-03 en la red.1. Es posible automatizar la acción de la tecla [F12] así como la imagen de arranque mediante la ventana Propiedades del dispositivo. Seleccione la imagen Instalación Windows 8. Se recomienda ubicarla en una partición diferente a la del sistema. una vez finalice la . Las eventuales deltas faltantes se recuperan. WinPE es un sistema que permite a los equipos acceder al servidor WDS. 4 ¿Dónde se almacenan las distintas imágenes presentes en los servicios de implementación de Windows? 5 Describa el principio del Autocast. Resultados Consulte las siguientes páginas para comprobar sus respuestas. 4 ¿Dónde se almacenan las distintas imágenes presentes en los servicios de implementación de Windows? Todas las imágenes. WinPE.Validación de conocimientos adquiridos: preguntas/respuestas 1. 7 ¿Qué acción debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? ¿Por qué? 8 Explique los tres tipos de respuestas que puede realizar el servidor WDS. Este sistema está compuesto por un archivo WIM que se carga en los equipos tras su arranque a través de la red. etc. su puntuación mínima debería ser de 8 sobre 10. El Autocast consiste en iniciar la transmisión multicast desde que el primer cliente realiza la petición. en pocas palabras. Por cada respuesta correcta. cuente un punto. archivos de respuestas. 6 Describa el principio del Scheduled-cast. en pocas palabras. 2 ¿Cuál es la utilidad de WDS? WDS permite realizar el despliegue de archivos WIM personalizados o presentes en los DVD proporcionados por Microsoft a través de la red. Número de puntos: /10 Para superar este capítulo. 9 ¿Qué ejecutable permite realizar una gestión del rol por línea de comandos? 10 ¿Cuáles son las tareas que es posible automatizar mediante Dispositivos preconfigurados de Active Directory? 2. 1 ¿Con qué sistema operativo apareció WDS? 2 ¿Cuál es la utilidad de WDS? 3 Presente. en los demás clientes. Respuestas 1 ¿Con qué sistema operativo apareció WDS? WDS apareció con Windows Server 2003 SP2. WinPE. se almacenan en una carpeta compartida llamada RemoteInstall. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 5 Describa el principio del Autocast. 3 Presente. 3. transmisión. Sin dicha autorización. la opción Responder a todos los equipos cliente (conocidos y desconocidos) permite evitar al administrador tener que introducir los datos manualmente. La opción Responder solo a los equipos cliente conocidos requiere crear a mano las cuentas de máquina de las distintas estaciones a desplegar. por lo que resulta necesario en este caso solicitar a WDS que cambie el puerto de escucha (no escuchar en el puerto 67) y agregar en DHCP la opción 60 pxe client. No responder a ningún equipo cliente. inglés…) o el Identificador del disco y de la partición sobre los que se desea realizar la instalación. el puerto UDP 67. Para proteger esta opción es posible exigir una aprobación por parte del administrador. Por último. la política relativa a tener que pulsar la tecla [F12]. 8 Explique los tres tipos de respuestas que puede realizar el servidor WDS. los idiomas de instalación (español. 9 ¿Qué ejecutable permite realizar una gestión del rol por línea de comandos? El ejecutable WDSUTIL permite configurar y administrar el servidor WDS por línea de comandos. 6 Describa el principio del Scheduled-cast. el servidor no responde a ningún cliente. . El Scheduled-cast consiste en iniciar la transmisión multicast en función de un criterio (número de solicitudes) o en función de una hora de inicio. 10 ¿Cuáles son las tareas que es posible automatizar mediante Dispositivos preconfigurados de Active Directory? Es posible automatizar varias acciones que requieren el archivo de arranque y de instalación. 7 ¿Qué acción debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? ¿Por qué? Los servicios DHCP y WDS utilizan. ambos. La primera respuesta. consiste en solicitar al servidor de implementación que no responda a ningún equipo cliente. .Requisitos previos y Objetivos 1. 2. Tener nociones sobre DirectAccess. Requisitos previos Poseer conocimientos acerca del protocolo VPN. Presentación de los métodos de autenticación. Presentación y configuración del acceso VPN. Objetivos Configuración de una infraestructura de red. el acceso remoto es algo habitual. .Introducción En nuestros días. y numerosas personas trabajan desde casa y se conectan a la empresa mediante una conexión VPN. que requiere que el usuario establezca manualmente la conexión. es posible instalar un servidor RADIUS (802. Autenticación y autorización de red En una red informática.Active Directory Certificates Services) que asegura el despliegue y gestión de los certificados necesarios para realizar la autenticación y la conexión a la red. utilizar clientes (componentes de red. Esto tiene la misma función que un router hardware. en cuyo caso la conexión no se establecerá. 1. Para ello. el ancho de banda utilizado no es el de la empresa sino el del usuario. Existe una entidad emisora de certificados (rol AD CS . acceder a los recursos de red de la otra. Un router lógico puede. 2. Éste protege la conexión VPN o Wi-Fi utilizando una autenticación basada en un certificado o una contraseña. posible que la autenticación funcione sin que la conexión esté autorizada. Es necesario. utilizar este tipo de conexión para enlazar las distintas sedes de la empresa. éste tiene como función realizar la autenticación y la autorización. configurarse para vincular dos redes diferentes. a su vez. Es posible. por tanto. para ello. Se requiere. Es posible proteger esta conexión entrante asegurando el estado de salud de los equipos (antivirus habilitado y actualizado. y el servidor DHCP tiene como función entregar dicho contrato cuando se acepta una conexión remota entrante. Es. conectarse de manera remota a la red de la empresa y trabajar como si estuviera conectado a la red física. la autenticación y la autorización son dos puntos diferentes. Se crea un túnel entre los dos puntos asegurando una conexión segura entre ambos. Esto permite ahorrar en ancho de banda de Internet de la empresa. Además de la consulta de páginas de Internet. DirectAccess realiza la conexión a la red de la empresa sin intervención alguna por parte del usuario. a su vez. de este modo. por tanto. El usuario puede. El servidor AD DS (Active Directory) garantiza la autenticación cuando algún usuario intenta conectarse de manera remota. La autorización es el hecho de autorizar una conexión entrante una vez realizada la autenticación. Cada una permite. en caso de utilizar un servidor RADIUS. . a su vez. La autenticación consiste en verificar la información (nombre de usuario y contraseña) enviados a los servidores VPN. Es conveniente comprobar que se soporta esta norma antes de comprar cualquier material hardware.1x). firewall habilitado…). Encontramos un servidor VPN que permite crear un túnel a través de Internet. debe instalarse un servidor NAP. Además de validar el estado de salud del equipo. No obstante. DirectAccess: a diferencia del acceso VPN. la asignación de un contrato DHCP para poder acceder a los datos. Presentación del rol Servicios de acceso y directivas de redes El rol Servicios de acceso y directivas de redes provee los componentes necesarios para asegurar la conectividad de red.Componentes de una infraestructura de acceso de red Una infraestructura de acceso de red contiene varios componentes. Es. Este envío lo realiza un cliente. conexión Wi-Fi…) RADIUS. la información puede estar cifrada o no. La autorización se verifica mediante las propiedades de la cuenta de usuario y las directivas de acceso remoto. El acceso remoto se gestiona mediante el rol Acceso remoto. Éste permite establecer la conexión utilizando una de las dos tecnologías siguientes: Acceso VPN: este tipo de conexión se establece a través de una red pública (Internet). de este modo. posible implementar la traducción NAT (Network Address Translation) que permite compartir la conexión a Internet en el interior de la red utilizando un direccionamiento privado (RFC 1918). Una entidad emisora de certificados permite emitir y administrar un certificado digital. Contiene claves necesarias para realizar la autenticación. La solución contiene varios componentes necesarios para el funcionamiento del rol. el servicio de rol OCSP (Online Certificate Status Protocol) permite verificar la revocación de un certificado sin que el usuario tenga que descargar una lista completa de revocaciones. EAP (Extensible Authentication Protocol): el modelo de autenticación se negocia entre el cliente y el servidor (RADIUS o servidor de acceso remoto). Visión general de la PKI Una PKI (Public Key Infrastructure . La primera dirección la utiliza el propio servidor para su interfaz mientras que las nueve restantes sirven para los clientes que se conectan. puesto que utiliza contraseñas sin cifrar. El servidor de acceso remoto realiza una petición de diez direcciones cuya atribución realiza un servidor DHCP. No obstante. si se utilizan las diez direcciones. Desde Windows Server 2008. se provee otro lote de diez direcciones. Métodos de autenticación Los métodos de autenticación se negocian. MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol): este protocolo utiliza una contraseña cifrada para asegurar la autenticación. Es posible que este protocolo utilice certificados digitales para asegurar la autenticación. Ofrece. el contrato se libera. Emitido con una duración previa definida.). posible configurar un pool de direcciones sobre el servidor VPN para realizar la distribución de la configuración de red (el servidor DHCP deja de ser necesario para las conexiones remotas). justificar la identidad de un objeto (usuario. la ventaja de que tiene en cuenta sistemas operativos de cliente antiguos que no permiten utilizar un método más seguro.infraestructura de clave pública) permite asegurar los datos o la comunicación. Un certificado digital permite. como un pasaporte o un carnet de identidad. La respuesta utiliza el protocolo MD5 (protocolo de hash) para cifrar la respuesta enviada. no obstante. 4. Es. puede resultar necesario revocar el certificado antes de su fecha de expiración. Los modelos de certificado permiten emitir un certificado copiando las distintas propiedades del modelo. a un equipo o a un servicio. Éste puede asignarse a un usuario. Es posible utilizar varios métodos diferentes: PAP: el protocolo PAP (Password Authentication Protocol) es uno de los protocolos menos seguros. una vez establecida la conexión. CHAP (Challenge Handshake Authentication Protocol): este protocolo es de tipo pregunta/respuesta. . Es posible asignar las opciones únicamente a los equipos que se conectan de manera remota utilizando la clase de enrutamiento y de acceso remoto (es preciso crear una directiva en el DHCP). Este último se utiliza si no se puede negociar ningún método seguro. por lo general. etc. 5. La lista de revocación permite enumerar los certificados revocados y prohibir su uso.3. Tras la desconexión de la sesión remota. Integración de DHCP con enrutamiento y acceso remoto La integración del protocolo DHCP permite asignar un contrato DHCP tras la conexión remota. no obstante. La conexión de sitio a sitio consiste en configurar una conexión VPN entre dos routers. Se habla. La encapsulación se realiza en dos capas: Encapsulación L2TP Encapsulación IPsec Los algoritmos AES (Advanced Encryption Standard) o 3DES (Triple Data Encryption Standard) se utilizan para cifrar los mensajes L2TP. no se utiliza el cifrado MPPE. dos sedes separadas geográficamente se verían enlazadas en la misma red. como mínimo. SSTP es el protocolo de tunneling que aparece con Windows Server 2008. Presentación de la funcionalidad VPN Reconnect Desde Windows Server 2008 R2. L2TP o SSTP) que pueden utilizarse en la configuración del acceso remoto. la funcionalidad VPN Reconnect permite asegurar que la conexión se restablece si hubiera sido interrumpida. Este puerto está. No obstante. A continuación. El protocolo PPTP encapsula las tramas PPP en datagramas IP. El acceso remoto permite a los usuarios trabajar desde fuera de la empresa y acceder a los datos como si estuvieran en ella. por un cliente VPN. Windows XP y los servidores Windows Server 2003. La clave de cifrado se genera mediante IKE. La reconexión se realiza automáticamente sin que el usuario tenga que realizar ninguna acción. 1. Ambos se comunican mediante un protocolo de tunneling. también. deben cumplirse algunos requisitos previos: Cliente que ejecute Windows 7 como mínimo Servidor con Windows Server 2008. abierto en los firewall. es necesario que tanto el servidor como el cliente interpreten ambos protocolos. pues se reemplaza por IPsec en modo transporte. 3. lo que permite al cliente poder conectarse en la mayoría de casos. El cifrado se realiza mediante el protocolo SSL. Las tramas PPP se encapsulan en tramas IP. de L2TP/IPsec. el túnel se gestiona mediante una conexión TCP (Transmission Control Protocol). No obstante. a diferencia de PPTP. lo que permite asegurar la confidencialidad de los datos.Configuración del acceso VPN Una solución VPN está compuesta por un servidor y. Como con el acceso remoto. El cifrado se realiza mediante el protocolo MPPE (Microsoft Point-to-Point Encryption). en un tren. los datos están cifrados. así. Los clientes deben ejecutar. L2TP es una combinación de dos protocolos (PPTP y L2F). Protocolos utilizados para el túnel VPN Existen varios protocolos (PPTP. Esto hace que sea imposible que cualquier persona que intercepte la trama sea capaz de descifrarla. por ejemplo. Para realizar el descifrado de los mismos es necesario poseer la clave de cifrado. Las claves de cifrado se generan mediante el proceso de autenticación MS-CHAPv2 o EAP-TLS. Las conexiones VPN En una conexión VPN los datos están cifrados para evitar que puedan ser interceptados a lo largo de su camino por la red de Internet. 2. 2012 o 2012 R2 Instalación de una solución PKI (infraestructura de clave pública) . la conexión se podría cortar cuando el tren pasara por un túnel. a menudo. habría sido necesario que el usuario se reconectara. En el caso de una conexión VPN establecida. De este modo. En las versiones anteriores. Es posible establecer una conexión VPN en dos escenarios diferentes. Una vez el tren saliese del túnel. la conexión se restablecería de manera automática sin intervención alguna por parte del usuario. Este último presenta la ventaja de utilizar el protocolo HTTPS (puerto 443). No obstante. Es necesario diferenciar la interfaz conectada a la red privada de aquella conectada a la red pública. y es necesario instalarla antes de poder crear los perfiles. Una vez ejecutado el asistente de creación del kit CMAK. La elección se realiza en la configuración del servidor. Configuración del servidor Una solución VPN necesita asegurar ciertos requisitos previos. El usuario no tiene más que ejecutar el archivo para que la conexión se cree automáticamente. . Presentación del kit CMAK El kit CMAK (Connection Manager Administration Kit) permite crear conexiones predefinidas. El servidor VPN precisa dos interfaces de red. 5. A continuación. Es posible realizar otras operaciones tales como la configuración de la funcionalidad VPN Reconnect o la definición del número de puertos VPN.4. Esta elección se realiza en la configuración del servidor VPN. Esta última está preconfigurada. se crea un archivo ejecutable. Esta herramienta puede distribuirse a continuación en los equipos cliente con el objetivo de crear las conexiones de acceso remoto en los equipos. de modo que el usuario no tiene que indicar el nombre del servidor… La funcionalidad no está incluida por defecto. es necesario indicar si la atribución de direcciones IP tras la conexión de los equipos cliente se realiza mediante un servidor DHCP o desde el pool de direcciones creado por el administrador. La autenticación de las peticiones de conexión de los clientes VPN puede llevarse a cabo mediante un servidor RADIUS o por el servidor de acceso remoto. Visión general de las políticas de seguridad El servidor de acceso remoto determina si la conexión está autorizada o no en función de las directivas de red. Es, así, posible agregar en estas reglas restricciones de día y hora, de desconexión en caso de inactividad… Las directivas de red son reglas que contienen un conjunto de condiciones y de parámetros que indican las personas autorizadas a conectarse. En caso de implementar la funcionalidad NAP, se agrega el control de integridad. De este modo, el servidor autoriza o no la conexión en función del estado de salud del equipo que se conecta. Como con un firewall, las reglas son analizadas. Cuando alguna regla se corresponde con la solicitud de conexión, se aplican los parámetros definidos. La verificación de las reglas se realiza en orden, por lo que es importante verificar la concordancia de las distintas reglas (si la regla 1 aplica, las siguientes reglas no se tendrán en cuenta). Una regla posee varias prioridades. Éstas se dividen en cuatro categorías: Visión general: esta categoría permite habilitar o no la directiva así como la autorización o la denegación del acceso. Es posible configurar la regla para ignorar las propiedades de marcado de la cuenta de usuario afectada (solo se utilizan los parámetros de la directiva de red). Condiciones: esta categoría permite definir la condición que debe respetarse para que se esté en conformidad con la directiva de red. Restricciones: las restricciones permiten agregar criterios que las solicitudes de conexión deben respetar obligatoriamente. En caso contrario, la consulta se rechaza. No obstante, si las condiciones no se respetan, la solicitud de conexión se rechaza sin evaluar las directivas suplementarias. Opciones: tras la aceptación de la solicitud de conexión se aplican ciertos parámetros a la misma. La pestaña Opciones permite definir estos valores. Presentación del Web Application Proxy y del proxy RADIUS El Web Application Proxy es un nuevo servicio de rol de acceso remoto. Aparecido con Windows Server 2012 R2, provee un servicio de proxy inverso. Útil para las aplicaciones web, puede utilizarse con AD FS. Este último caso aporta una seguridad suplementaria. En efecto, el riesgo de exposición en Internet de la o las aplicaciones se gestiona configurando ciertas funcionalidades de AD FS (Workplace Join, autenticación fuerte…). Gracias a ello, aseguramos que únicamente aquellas personas autorizadas acceden a las aplicaciones. Desde hace varios años es posible utilizar NPS como servidor RADIUS. Es posible, también, utilizarlo como proxy RADIUS para asegurar que se enrutan los mensajes RADIUS entre los distintos clientes RADIUS que tienen el rol de servidor de acceso y los servidores RADIUS que tienen el rol de autenticar a los usuarios. Por ello, NPS se convierte en el punto central cuando se intenta realizar una conexión y posee el rol de proxy RADIUS. Un proxy RADIUS puede utilizarse en varios escenarios: Desea proveer a sus clientes servicios de acceso remoto externalizados (VPN, por ejemplo). Los servidores de directorio los gestionan los clientes. En función del nombre de dominio y del nombre de usuario informado el servidor proxy redirigirá la petición de conexión al servidor RADIUS del cliente correspondiente. Es preciso procesar muchas conexiones. Para evitar una sobrecarga en alguno de los servidores, conviene repartir a los usuarios sobre el conjunto de servidores. Para ello, conviene enviar las tramas al proxy RADIUS, que repartirá la carga entre los distintos servidores RADIUS. Soporte del enrutamiento y acceso remoto El soporte de la parte de enrutamiento es un elemento importante. En efecto, el fallo de un router o de un servidor con el rol puede provocar errores en las aplicaciones o en el trabajo del usuario. Es, por tanto, necesario asegurar el correcto funcionamiento de este rol. 1. Configuración de los logs de acceso remoto Los logs se habilitan mediante las opciones del servidor en la consola Enrutamiento y acceso remoto. Es posible habilitar varios niveles de eventos, y es posible obtener más o menos información. Hay cuatro niveles disponibles: Sólo registrar errores: solamente se utiliza el log del sistema, y los errores encontrados se anotan. Registrar errores y advertencias: se utiliza el log del sistema pero, a diferencia del nivel anterior, se anotan los errores y advertencias. Registrar todos los eventos: este nivel permite recuperar el máximo de información. No registrar ningún evento: no registra ninguna información en los logs. Es posible utilizar el comando netshpara habilitar el seguimiento de ciertos componentes: netsh ras set tracing componente enabled/disabled componente debe reemplazarse por uno de los componentes presentes en la lista de componentes del servicio de enrutamiento y acceso remoto. Éste está presente en la clave HKEY_Local_machine\software\Microsoft\tracing. 2. Resolución de problemas en VPN Cuando la conexión VPN no se establece, es necesario conocer de dónde viene el problema. En efecto, puede deberse a una configuración errónea del equipo, a la presencia de un firewall o, simplemente, a un problema a nivel de firewall. Es, por tanto, necesario, en primer lugar, asegurar que el servidor responde, utilizando los comandos ping o tracert. A continuación, puede ser necesario asegurar la validez de la información indicada (que la cuenta de usuario esté habilitada, que la cuenta no esté bloqueada, que no exista restricción horaria…). El problema puede, no obstante, provenir del servidor VPN, en cuyo caso el administrador debería verificar el estado del servicio de enrutamiento y la presencia de eventos relacionados en el registro. Configuración de DirectAccess Implementando DirectAccess, el administrador se aísla de problemas vinculados con una incorrecta manipulación del usuario o configuración del cliente. En efecto, éste se conecta de manera automática al servidor. 1. Presentación de DirectAccess DirectAccess permite, a diferencia de otros tipos de servidor, evitar al usuario tener que establecer la conexión con el servidor. En efecto, ésta se establece automáticamente. Se utilizan varios protocolos, entre ellos HTTPS e IPv6. El uso del protocolo HTTPS permite atravesar con mayor facilidad los firewalls. Implementando este tipo de servidor VPN el administrador se asegura de que los equipos remotos están actualizados, en efecto esta funcionalidad permite administrar los equipos remotos como un equipo local. Es posible configurar un acceso bidireccional que permita al equipo remoto acceder a la red local, y viceversa. Además, implementando DirectAccess, el cliente separa el tráfico de intranet hacia la empresa del tráfico de Internet. El ancho de banda de Internet de la empresa no se utiliza en los clientes conectados remotamente. 2. Componentes de DirectAccess Una solución DirectAccess está compuesta por varios componentes, entre ellos un rol DirectAccess. Este rol puede instalarse en cualquier servidor del dominio, y tiene como objetivo proveer servicios de autenticación y funcionar como extremo del túnel IPsec. Desde Windows Server 2012, se ha simplificado el asistente de instalación, y ya no es necesario poseer una infraestructura de clave pública (PKI) así como cuatro direcciones IPv4 públicas consecutivas. El asistente se ha visto también mejorado y permite, en lo sucesivo, seleccionar la mejor solución de despliegue. El cliente DirectAccess es una estación de trabajo que ejecuta Windows 8 (versión Enterprise) o Windows 7 (Enterprise o Ultimate). Es preciso que la máquina sea miembro del dominio. La conexión al servidor se realiza utilizando los protocolos IPv6 e IPsec. Es posible utilizar los protocolos de transición IPv6/IPv4, si se implementan las soluciones 6to4 o Teredo. No obstante, si los protocolos de transición estuvieran bloqueados, la conexión podría establecerse utilizando los protocolos IP y HTTPS. Se requiere un servidor de ubicación de red. Éste lo utiliza el cliente DirectAccess. En efecto, si existe la posibilidad de establecer una conexión HTTPS, el equipo está en la red local y el cliente DirectAccess se deshabilita. En caso contrario, el equipo está fuera de la red local. Este servidor se instala con el rol Servidor Web. Debe instalarse un dominio Active Directory, cuyo nivel funcional debe ser, como mínimo, Windows Server 2003. Se utilizan directivas de grupo para desplegar las opciones de DirectAccess. Windows Server 2012 aporta una novedad a nivel del sistema de PKI. En efecto, ya no es obligatorio, lo que simplifica la implementación y la administración de la funcionalidad. No obstante, es imposible utilizar ciertas funcionalidades tales como la protección de acceso mediante un servidor NAP (Network Access Protection), la autenticación de dos factores o el tunneling forzado. 3. La tabla de directivas de resolución de nombres La tabla de directivas de resolución de nombres está integrada directamente en Windows Server 2012/2012 R2 y Windows 8/8.1. Consiste en separar el tráfico de Internet del tráfico de intranet. De este modo, existe una lista de reglas que contiene, por cada regla, un espacio de nombres DNS y el comportamiento del cliente DNS. Cuando la conexión DirectAccess se encuentra activa (equipo ubicado fuera de la intranet), se comprueba el espacio de nombres en las distintas reglas. Si se encuentra alguna correspondencia, se aplican los parámetros de la regla. Si no se encuentra ninguna correspondencia, se utilizan los servidores DNS configurados en los parámetros TCP/IP. Como hemos visto antes, el cliente DirectAccess intenta conectarse con el servidor NLS para saber si está conectado en la intranet o desde Internet. El servidor NLS se ubica en un servidor web (o en el servidor DirectAccess), y puede accederse utilizando el protocolo HTTPS. Este servidor debe estar accesible desde cualquier sitio de la empresa, pues de lo contrario el cliente DirectAccess puede presentar un comportamiento anormal (conexión del equipo mientras está ubicado en la red intranet, por ejemplo). En caso de que el equipo se conecte a la red desde Internet, el cliente DirectAccess no recibe ninguna respuesta del servidor NLS. Utiliza, entonces, la tabla NRPT para redirigir las consultas hacia el servidor DNS adecuado. 4. Requisitos previos para la implementación de DirectAccess La funcionalidad DirectAccess requiere que se respeten algunos requisitos previos. En primer lugar, el servidor DNS debe estar unido al dominio y ejecutar, como mínimo, el sistema operativo Windows Server 2008 R2. A diferencia de Windows Server 2008, DirectAccess ya no requiere dos direcciones IPv4 públicas consecutivas. Es posible implementar una solución de alta disponibilidad instalando y utilizando un sistema de reparto de carga (8 nodos como máximo). Como el servidor, el cliente debe ser miembro del dominio. Es preciso asegurar, antes de implementar DirectAccess, que se tiene instalada la versión adecuada de Windows 7/8/8.1 (Windows 7 Enterprise o Ultimate, Windows 8 u 8.1 Enterprise). Por último, es necesario disponer de un controlador de dominio Active Directory, un servidor DNS y, para un uso completo, una infraestructura de PKI. Puede resultar necesario implementar los protocolos de transición IPv4/IPv6 adecuados. Presentación del rol Network Policy Server NPS permite a los administradores implementar las directivas de acceso de red (autenticación y autorización de las solicitudes de conexión). Es posible, a su vez, configurar un proxy RADIUS que asegure la transmisión de las peticiones hacia otros servidores RADIUS. Es posible utilizar un servidor NPS como servidor RADIUS, para ello es preciso configurar los clientes RADIUS (punto de acceso Wi-Fi, switch, servidor VPN…). A continuación, es necesario implementar las distintas directivas de red útiles para realizar la autorización de las peticiones de conexión. Si el servidor es miembro del dominio, puede utilizarse AD DS para proveer la base de las cuentas de usuario. De este modo, el usuario puede utilizar su nombre de usuario y su contraseña para acceder a la red. NPS puede, a su vez, servir como servidor de directivas NAP. El servidor recupera la información de conformidad enviada por los clientes y autoriza, o no, el acceso a la red. Este acceso se autoriza si el estado de conformidad respeta las restricciones de seguridad definidas por el administrador (antivirus actualizado, etc.). El cliente NAP está integrado en los sistemas operativos desde Windows XP SP3. Una vez realizada la instalación del rol es posible proceder a su configuración mediante la consola que se agrega durante la instalación o mediante el comando netsh. Es, también, posible utilizar cmdlets de PowerShell. Configuración del servidor RADIUS RADIUS es un protocolo que permite realizar la autenticación y la autorización con el objetivo de autorizar o no un acceso a la red. 1. Nociones acerca del cliente RADIUS Un cliente RADIUS se considera como tal cuando envía peticiones de conexión a un servidor con el rol servidor RADIUS. De este modo, los distintos dispositivos de acceso a la red (puntos de acceso Wi-Fi, switches…) compatibles con la norma 802.1x están considerados como servidores RADIUS. 2. Directiva de solicitud de conexión Una directiva de solicitud de conexión es un conjunto de condiciones y de parámetros que permiten designar un servidor RADIUS responsable de la autenticación y de la autorización. Una directiva está compuesta por una condición, la cual comprende uno o varios atributos RADIUS. En el caso de que existan varias condiciones, es necesario que todas se respeten para que la directiva pueda aplicarse. El servidor NPS procede a escuchar el tráfico RADIUS a través de los puertos 1812, 1813, 1645 y 1646. Las RFC 2865 y 2866 normalizan los puertos 1812 y 1813 para realizar la autenticación (el primero) y la gestión de cuentas (el segundo). Método de autenticación NPS Antes de autorizar o rechazar el acceso, el servidor NPS autentica y autoriza la solicitud de conexión. La autenticación permite asegurar la identificación de un usuario o un equipo que intenta conectarse a la red. Esta identificación se aprueba mediante la información de identificación proporcionada (contraseña, certificado digital…). 1. Configurar las plantillas NPS Es posible utilizar plantillas NPS para elaborar elementos de configuración (RADIUS, clave compartida…). Estos últimos pueden utilizarse a nivel del rol NPS o exportarse a otro servidor. La gestión de estas plantillas se realiza mediante la consola NPS. Es posible agregar, eliminar, modificar o duplicar las distintas plantillas. El objetivo de esta funcionalidad es crear plantillas que permitan reducir el tiempo de administración de los distintos servidores NPS de una empresa. Están disponibles las siguientes plantillas: Claves compartidas: permite especificar una clave compartida que se reutilizará en uno o varios servidores RADIUS. Cliente RADIUS: define la configuración del cliente RADIUS que debe utilizarse. Servidor RADIUS remoto: ofrece la posibilidad al administrador de configurar los parámetros de servidores RADIUS. Política de conformidad: indica los parámetros de directiva de conformidad a utilizar. 2. Autenticación La autenticación basada en una contraseña no se considera como la más segura. Es preferible implementar una autenticación basada en certificados digitales. El servidor NPS acepta varios métodos de autenticación. Es posible utilizar, de este modo, varios protocolos. MS-CHAP Versión 2 El protocolo MS-CHAP Versión 2 consiste en una autenticación mutua cifrada mediante una contraseña cifrada de sentido único. Está compuesta por un servidor responsable de realizar la autenticación así como un cliente. La versión 1 o MS-CHAP utiliza, por su parte, contraseñas irreversibles y cifradas. Es preferible utilizar MS-CHAPv2. CHAP CHAP (Challenge Handshake Authentication Protocol) es un protocolo que utiliza el esquema de codificación MD5 (Message Digest 5) para realizar el cifrado de la respuesta. Este protocolo lo utiliza un servidor con el rol de Servicio de enrutamiento y acceso remoto. La contraseña es de tipo cifrado irreversible. No obstante, este protocolo posee el inconveniente de que no permite al usuario modificar su contraseña si expira durante el proceso de autenticación. PAP Este protocolo se considera como el menos seguro puesto que utiliza contraseñas sin cifrar. Se utiliza, por lo general, si el cliente y el servidor no pueden comunicarse por ningún otro método de autenticación más seguro. No se recomienda utilizar este protocolo pues un análisis de las tramas intercambiadas permite obtener la contraseña. Un certificado digital es como un "carnet de identidad" virtual, que entrega la entidad emisora de certificados y permite asegurar la autenticación. Implementándolo con el servidor NPS, es posible autenticar una cuenta de usuario o un equipo y, por tanto, evitar el uso de contraseñas. Se utilizan, para ello, los protocolos PEAP y EAP-TLS para permitir a NPS realizar una autenticación basada en un servidor. El uso del protocolo EAP-TLS permite al cliente y al servidor autenticarse mutuamente, hablamos por tanto de autenticación mutua. Supervisión y mantenimiento del rol NPS En ciertos casos puede resultar útil analizar el servidor NPS. Para ello es necesario configurar el registro de eventos. La información que ofrecen estos registros de eventos puede resultar útil para analizar un problema de conexión, o para realizar una auditoría de seguridad. El análisis puede realizarse de dos formas, utilizando el registro de eventos o registrando las peticiones de autenticación y las cuentas utilizadas. Con el primer método, los registros se almacenan en los registros de sistema y de seguridad. Permite realizar una auditoría de las conexiones y, por tanto, resolver problemas más fácilmente. El segundo método consiste, por su parte, en registrar las solicitudes de autenticación en archivos de texto o en una base de datos. Este método permite realizar un análisis de las conexiones y su facturación. La base de datos puede, evidentemente, alojarse en un servidor remoto o de manera local. Trabajos prácticos: Configuración del acceso remoto Estos trabajos prácticos permiten configurar un acceso VPN y, a continuación, implementar la funcionalidad DirectAccess. 1. Configuración de un servidor VPN Objetivo: instalación y configuración del servidor VPN. Máquinas virtuales: AD1, SRV-RT y CL8-02. En AD1, abra la consola Administrador del servidor. Haga clic en Agregar roles y características y, a continuación, haga clic en Siguiente en la ventana Antes de comenzar. En la ventana Seleccionar tipo de instalación, deje la opción por defecto y, a continuación, haga clic dos veces en Siguiente. Marque la opción Servicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar características en la ventana que se muestra. Haga clic tres veces en Siguiente y, a continuación, en la ventana Servicios de rol, marque la opción Inscripción web de entidad de certificación. haga clic enNotificaciones y. y. a continuación.Valide la selección haciendo clic tres veces en Siguiente. a continuación. en Configurar Servicios de certificados de Active Directory. marque los dos servicios de . en la consola Administrador del servidor. a continuación. a continuación. ejecute la instalación mediante el botón Instalar. Haga clic en Siguiente en la ventana Credenciales y. Haga clic en Cerrar y. Marque la opción Crear una clave privada nueva y. a continuación.rol. haga clic en Siguiente. a continuación. En las ventanas Tipo de instalación y Tipo de CA. haga clic en Siguiente. deje la opción por defecto (CA empresarial. .CA raíz) y. haga clic en Siguiente. a continuación. Deje las opciones por defecto y. puede ser necesario modificarla (acceder desde el exterior…). Deje las opciones por defecto en la ventana Criptografía para la CA. El nombre de la entidad emisora de certificados se configura automáticamente. . Configure un período de validez de 2 años en la ventana Período de validez. Haga clic tres veces en Siguiente y. en Configurar. . Haga clic en Cerrar para cerrar el asistente En las Herramientas administrativas. Despliegue el nodo Formacion-AD1-CA y. a continuación. haga clic con el botón derecho enPlantillas de certificado y seleccione Administrar. a continuación. abra la consola Entidad de certificación. En la ventana emergente Propiedades: Equipo. Marque la opción Permitir para el permiso Inscribirse y. a continuación. seleccione Usuarios autenticados. haga clic en la pestaña Seguridad y. a continuación. . haga clic en Propiedades. haga clic en Aceptar. a continuación.Haga clic con el botón derecho en Equipo y. . haga clic en Aceptar. esta vez.local. Haga clic con el botón derecho en Objetos de directiva de grupo y. a continuación. por último. a continuación. abra la consola Administración de directivas de grupo. Cierre la consola certsrv (consola que permite administrar la entidad de certificación) y. a continuación. Repita la operación seleccionando. Formacion. la opción Iniciar servicio. seleccione la opción Nuevo en el menú contextual. seleccione Todas las tareas y.local. Dominios y. a continuación. Escriba Despliegue de certificado en el campo Nombre y. a continuación. haga clic con el botón derecho en Formacion-AD1-CA.Cierre la ventana Consola de plantillas de certificado y. Detener servicio. Despliegue el nodo Bosque: Formacion. Haga clic con el botón derecho en la directiva que acaba de crear y. . a continuación. Directivas. haga clic enEditar. Directivas de clave pública. a continuación. En la consola Editor de administración de directivas de grupo despliegue los nodosConfiguración del equipo. Configuración de seguridady. Configuración de Windows. haga clic en Siguiente. seleccione Equipo y. Solicitud de certificados automática. en el menú contextual. . En la ventana Plantilla de certificado. seleccione Nuevo y. por último. a continuación. haga clic enSiguiente. Se abre el asistente. a continuación.Haga clic con el botón derecho en la carpeta Configuración de la solicitud de certificados automática y. Se abre un asistente. haga clic con el botón derecho y. En el menú contextual. . haga clic con el botón derecho en la raíz del dominio Formacion. Si no lo hubiera hecho.Haga clic en el botón Finalizar para cerrar el asistente. En la ventana Agregar o quitar complementos. haga clic enSiguiente. a continuación. Cierre la consola Editor de administración de directivas de grupo y. la opción Ejecutar. escribaVPN en el campo Nombre. Escriba mmc y. en Agregar o quitar complemento. Sitúe el ratón en la zona inferior izquierda para mostrar la interfaz Windows. seleccione. Vincule la directiva de grupo Despliegue de certificado con la unidad organizativa VPN. a continuación. Haga clic en Archivo y.local (o como FORMACION\administrador) en el servidor SRV-RT. Inicie una sesión como administrador@formacion. a continuación. a continuación. presione la tecla [Enter]. a continuación. seleccione Certificados y. una SRV-RT al dominio Formacion. haga clic en Agregar.local. marque la opción Cuenta de equipo y.local. en el menú contextual. a continuación. a continuación. seleccione la opción Nueva unidad organizativa y. en la consola Administración de directivas de grupo. Solicitar un nuevo certificado. a continuación. En el menú contextual. Haga clic en Aceptar para cerrar la ventana de selección de complementos. haga clic con el botón derecho en Personal. a continuación. seleccione Todas las tareas y. . a continuación. Despliegue el nodo Certificados y. Haga clic en Directiva de inscripción de Active Directory y. Haga clic en Siguiente en la ventana Antes de comenzar.Deje la opción por defecto en la ventana Seleccionar equipo y. a continuación. haga clic enFinalizar. haga clic enSiguiente. local. a continuación. Abra una ventana de comandos DOS y. haga clic enFinalizar. a continuación.En la ventana Solicitar certificados. marque Equipo y. a continuación. Verifique que el estado es igual a Correcto y. Agregue el complemento Certificados.local (o como FORMACION\administrador) en el equipo CL8-02. a continuación. En AD1. haga clic en Finalizar. Inicie una sesión como administrador@formacion. una CL8-02 al dominio Formacion. abra una consola MMC. El conmutador virtual debe ser idéntico al que utiliza AD1. haga clic en Siguiente. Verifique la presencia del certificado emitido por Formacion-AD1-CA. a continuación. Despliegue los nodos Certificados y. marque Cuenta de equipo y. haga clic en Inscribir. Personal. mueva la cuenta de equipo de CL8-02 a la unidad organizativa VPN. a continuación. ejecute el comando gpupdate /force. . Cierre la ventana de comandos y. Se abre un asistente. Si no lo hubiera hecho. abra la consola Usuarios y equipos de Active Directory y. a continuación. a continuación. Deje la opción por defecto en la ventana Seleccionar equipo y. a continuación. abra la consola Servidor de directivas de redes desde las Herramientas administrativas. . Haga clic en Siguiente y. a continuación. a continuación.En SRV-RT. abra la consola Administrador del servidor. haga clic dos veces en Siguiente. en Instalar. en la ventana Antes de comenzar. En la ventana Seleccionar roles de servidor. Una vez terminada la instalación. a continuación. haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y. Haga clic tres veces en Siguiente y. marque Servicios de acceso y directivas de redes y. haga clic en el botón Agregar características. en la ventana Seleccionar servicios de rol. compruebe que está marcada la opción Servidor de directivas de redes. a continuación. Haga clic en el vínculo Agregar roles y características y. Aparece un mensaje. a continuación. marque Acceso remoto y. a continuación. a continuación. haga clic en Siguiente. en la ventana Antes de comenzar. seleccione Registrar servidor en Active Directory en el menú contextual. Abra la consola Administrador del servidor. haga clic dos veces en Siguiente. Haga clic tres veces en Siguiente y. marque Enrutador y. a continuación. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y. haga clic en Siguiente. .Haga clic con el botón derecho en NPS (Local) y. a continuación. En la ventana Seleccionar roles de servidor. haga clic en el botón Agregar características. en la ventana Seleccionar servicios de rol. Haga clic en el vínculo Agregar roles y características y. haga clic en Aceptar. a continuación. 1. En la ventana de bienvenida. Haga clic en Finalizar para cerrar el asistente y.1. en Iniciar el servicio en la ventana que aparece. a continuación.168.201 en el campo Dirección IP inicialy 192. Haga clic en Siguiente para validar la opción seleccionada. seleccione Propiedades. a continuación. Haga clic con el botón derecho en SRV-RT y. Haga clic en Agregar y. Haga clic con el botón derecho en SRV-RT (local) y. Seleccione la pestaña IPv4 y. haga clic en Instalar. a continuación. a continuación.250 en Dirección IP final. . haga clic en Siguiente y.168.Haga clic dos veces en Siguiente (los Servicios de rol IIS deben dejarse por defecto) y. a continuación. marque la opción Conjunto de direcciones estáticas. en el menú contextual. escriba 192. marque la opciónConfiguración personalizada. haga clic enConfigurar y habilitar Enrutamiento y acceso remoto. haga clic en Siguiente. a continuación. En la ventana Configuración personalizada. en el menú contextual. marque la opción Acceso a VPN y. Una vez terminada la instalación. abra la consola Enrutamiento y acceso remoto desde las Herramientas administrativas. a continuación. a continuación. Ahora es preciso crear una directiva de red para los clientes que se conectan mediante VPN. Repita la misma operación para la segunda directiva.Puesto Cliente y. seleccione la opción Deshabilitar en el menú contextual. En la consola Servidor de acceso a redes. a continuación. a continuación. en el servidor SRV-RT. Desde AD1. Haga clic con el botón derecho en la carpeta Directivas de red y. abra la consola Usuarios y equipos de Active Directory y. Agregue al usuario Enrique MARTINEZ (emartinez) como miembro del grupo. a continuación. a continuación. Haga clic con el botón derecho en la primera directiva de red y. Haga clic en Aceptar. en la lista desplegable Tipo de servidor de acceso a la red seleccione Servidor de acceso remoto (VPN o acceso telefónico). a continuación. despliegue Directivas y. . haga clic en Directivas de red. Los usuarios se añadirán más adelante. En el campo Nombre. El grupo de seguridad tiene un ámbito global. escriba Directiva VPN . seleccioneNuevo. en la unidad organizativa VPN cree un grupo llamado G_Acceso_VPN. a continuación. Haga clic en Siguiente y. . Haga clic en Agregar y.Haga clic en Siguiente para validar los cambios. a continuación. En la ventana que se muestra. seleccione Grupos de Windows en la ventana que se muestra. haga clic en Agregar y. a continuación. indique la autorización Acceso concedido. escriba G_Acceso_VPN y. Valide haciendo clic en Siguiente. en Agregar grupos. haga clic en Comprobar nombres. En la página Especificar condiciones. a continuación. Sitúe el ratón en la zona inferior izquierda para mostrar la interfaz del menú inicio. Marque la opción Kit de administración de Connection Manager (CMAK) de RAS. conéctese como administrador de dominio. a continuación. SRV-RT y CL8-02. seleccione Panel de control. en Activar o desactivar las características de Windows. Máquinas virtuales: AD1. Configuración del cliente VPN Objetivo: configurar el cliente VPN y. y. a continuación. Haga clic en Programas y. ahora. comprobar su conexión. a continuación. a continuación. En la ventana Configurar métodos de autenticación. En CL8-02. en el menú contextual. El servidor VPN está. en el botón Finalizar para cerrar el asistente. 2. Haga clic en Siguiente hasta la última ventana y. haga clic en Aceptar. haga clic en Siguiente. Haga clic con el botón derecho en la interfaz y. configurado. desmarque la opción Autenticación cifrada de Microsoft (MS-CHAP) y. a continuación. a continuación. . a continuación. haga clic en Siguiente. Cambie la interfaz del panel de control al modo Iconos grandes. Haga clic en Herramientas administrativas y. Deje la opción Windows Vista o posterior marcada y. En la ventana de bienvenida. haga doble clic en Kit de administración de Connection Manager. . a continuación. haga clic en Siguiente.Haga clic en Cerrar. seleccione Utilizar solo protocolo de túnel de capa dos L2TP (Protocole Layer two Tunneling Protocol). En la lista desplegable Estrategia de VPN. En la pantalla Especificar un nombre de dominio. escriba 172.254. haga clic en No agregar un nombre de territorio al nombre de usuario. Escriba Conexión VPN Formacion. marque la opción Libreta de teléfonos de este perfil. a continuación.local en el campo Nombre de servicio y. en el campo Usar siempre el mismo servidor VPN. a continuación. En la pantalla Agregar compatibilidad para conexiones VPN. y. y haga clic en Siguiente.1. haga clic en Siguiente. a continuación. VPNen Nombre de archivo.16. deje la opción Perfil nuevomarcada y. A continuación. a continuación. Haga clic en Editar en la pantalla Crear o modificar una entrada VPN y. seleccione la pestaña Seguridad. Haga clic en Siguiente para validar la información introducida. dos veces en Siguiente.En la ventana Crear o modificar un perfil de Connection Manager. . Valide la información indicada haciendo clic en Aceptar. Vaya a la carpeta C:\Program Files\CMAK\Profiles\Windows Vista and above\VPN y.exe. Cierre todas las ventanas y. a continuación. inicie una sesión como emartinez. desmarque la opción Descargar automáticamente actualizaciones de la libreta de teléfonos en la pantalla Agregar una libreta de teléfonos personalizada. marque Todos los usuarios yAgregar un acceso directo en el escritorio. haga doble clic en VPN. a continuación. Haga clic en Sí en el mensaje de advertencia y. a continuación. a continuación. Modifique la configuración IP de la tarjeta de red como se indica a continuación (es necesario . en Finalizar. Haga clic en Siguiente y. Haga clic en Siguiente hasta que finalice el asistente y. a continuación. haga clic en Conexión VPN Formacion. en el panel Red.16.1. En la ventana Conexiones de red.1. enConectar.informar las credenciales del administrador de dominio): Dirección IP: 172. haga doble clic en el icono Conexión VPN Formacion.local y.254 Modifique el conmutador virtual de la máquina CL8-02 para utilizar el segundo conmutador utilizado por SRV-RT (distinto al de AD1). a continuación.255.1 Máscara de subred: 255. . a continuación.16.0.0 Puerta de enlace predeterminada: 172.local y. En caso de que falle la conexión. Pa$$w0rd enContraseña. deshabilite el Firewall y renueve la conexión. a continuación. .Escriba formacion\emartinez en el campo Nombre de usuario y. Haga clic en Conectar para iniciar la conexión VPN. conectada con la red de la empresa mediante un túnel VPN. En caso contrario.local y haga clic en la unidad organizativa VPN. En AD1. abra la consola Enrutamiento y acceso remoto y. abra la consola Usuarios y equipos de Active Directory y.La máquina cliente está. Configuración de seguridad. SRV-RT y CL8-02. Se abre la consola Editor de administración de directivas de grupo. Agregue la cuenta de equipo CL8-02 al grupo. a continuación. ahora. Seleccione la opción Deshabilitar Enrutamiento y acceso remoto para detener el servicio. haga clic con el botón derecho en la directiva de grupo Default Domain Policy y. seleccione la opción Editar. Puede crearse mediante la consola Usuarios y equipos de Active Directory. Directivas. despliegue los nodosConfiguración del equipo.Firewall de Windows con seguridad avanzada. Abra la consola Administración de directivas de grupo. Modifique el conmutador virtual de la estación CL8-02 para que utilice el configurado en AD1. realice las siguientes tres manipulaciones. A continuación. Haga doble clic en el grupo G_Acceso_VPN. . 3. a continuación. Modifique la configuración de red de manera tal que la obtenga mediante DHCP. a continuación. despliegue el nodo Formacion. Configuración de DirectAccess Objetivo: configurar la funcionalidad DirectAccess Máquinas virtuales: AD1. abra la consola Administrador de directivas de grupo y. Haga clic con el botón derecho en Reglas de entrada y. a continuación. puede ignorarlas. Configuración de Windows. cree un grupo global de seguridad llamado G_Acceso_VPN (el cual estará presente en la unidad organizativa que acaba de crear). a continuación. seleccione la cuenta de usuario que ha agregado en el trabajo práctico anterior y haga clic en Eliminar. haga clic con el botón derecho en SRV-RT (local). Si ha seguido los dos trabajos prácticos anteriores. deshabilite la directiva de grupo Despliegue de certificado vinculada a la unidad organizativa VPN. Si no ha realizado el trabajo práctico anterior.local. En SRV-RT. En AD1. haga clic en Nueva regla. es necesario crear una unidad organizativa llamada VPN en la raíz del dominio Formacion. En la pantalla Tipo de regla. . a continuación. haga clic dos veces enSiguiente. a continuación. Haga clic en Aceptar y. seleccione Personalizada y. haga clic en el botón Personaliz…. En la lista desplegable Tipo de protocolo. Siguiente. a continuación. a continuación. Petición eco. seleccione ICMPv6 y. Marque la opción Tipos de ICMP específicos y. dos veces en Siguiente. a continuación. En la pantalla Tipo de regla. seleccione Personalizada y. Haga clic con el botón derecho en Reglas de salida y.local y. En la lista desplegable Tipo de protocolo. a continuación. a continuación. a continuación. DNS. Zonas de búsqueda directa y Formacion. Cierre las consolas Editor de administración de directivas de grupo y Administración de directivas de grupo. a continuación. seleccione ICMPv6 y. haga clic en Nueva regla. haga clic enFinalizar. Acción y Perfil. haga clic en el botón Personaliz…. haga clic dos veces en el botón Siguiente. Haga clic con el botón derecho en Formacion. a continuación.ICMPv6 . Haga clic en Aceptar y. Abra la consola Administrador del servidor. Petición eco. a continuación. haga clic dos veces en Siguiente.local. a continuación.De entrada en el campo Nombre y.Haga clic en Siguiente en las ventanas Ámbito. Escriba Autorizar . Marque la opción Tipos de ICMP específicos y.254 en el campo Dirección IP. haga clic enFinalizar.1. Escriba CRL en el campo Nombre y 192. Escriba Autorizar . Despliegue los nodos AD1. Seleccione la opción Permitir la conexión y.De salida en el campo Nombre y. haga clic en Herramientas y. a continuación. seleccione Host nuevo (A o AAAA). . a continuación.ICMPv6 .168. Este comando permite eliminar el nombre ISATAP de la lista roja de consultas globales DNS Aparece el mensaje El comando se ha ejecutado correctamente. a continuación. En SRV-RT. a la consola Centro de redes y recursos compartidos. acceda a las propiedades de la tarjeta Ethernet que está conectada a la red local 192.168. Haga clic en Aceptar para validar el mensaje informativo. Haga clic en Cambiar configuración del adaptador y. haga clic enPropiedades y Opciones avanzadas.168. a continuación.1. . Seleccione Protocolo de Internet versión 4 (TCP/IPv4) y.1. Cierre la consola DNS y abra una ventana de comandos DOS. acceda al panel de control y.254. a continuación. Haga clic en el botón Agregar host. Escriba el comando dnscmd /config /globalqueryblocklist wpad. Repita la misma operación para el host NLS con dirección IP 192.0. Haga clic en Aceptar y. e Incluir en la extensión CDP de los certificados emitidos. Seleccione la pestaña DNS y. seleccione<nombre de CA> en la lista desplegable Variable. a continuación. ahora.crl al final del campo Ubicación. Haga clic con el botón derecho en Formation-AD1-CA y. a continuación. abra la consola Administrador del servidor. seleccione Propiedades. Escriba .Formation. Haga clic en Insertar. instale una entidad de certificación en AD1. momento de ocuparse de la parte correspondiente a los certificados digitales. Es. a continuación. Escriba http://crl. a continuación. Seleccione <sufijo de nombre de lista CRL> en la lista desplegable Variable y. haga clic en Insertar.local/crld/ en el campo Ubicación y. Seleccione <diferencias entre listas CRL permitidas> en la lista desplegable Variable y. En AD1. haga clic en Herramientas y. Si no estuviera hecho. a continuación. Seleccione la pestaña Extensiones y. haga clic en Insertar. marque las opciones Incluir en las CRL. a continuación.Usada para encontrar la ubicación de diferencias CRL. seleccione Entidad de certificación. escriba Formacion. a continuación. a continuación.local en el campo Sufijo DNS para esta conexión. Haga clic en Aceptar para validar todas las ventanas. . haga clic en el botón Agregar. haga clic en Insertar. haga clic con el botón derecho en Plantillas de certificado.crl al final del campo Ubicación y. Seleccione <diferencias entre listas CRL permitidas> en la lista desplegable Variable y. marque Permitir que la clave privada se pueda exportar. haga clic en Plantilla duplicada. a continuación.Haga clic en Aplicar y. a continuación. Seleccione <nombre de CA> en la lista desplegable Variable y. Marque las opciones Publicar las listas de revocación de certificados (CRL) en esta ubicacióny Publicar diferencias CRL en esta ubicación y. a continuación. a continuación. escriba Certificado SRV Web Formación. Seleccione Administrar en el menú contextual. a continuación. Despliegue Formacion-AD1-CA y. haga clic en Aceptar. a continuación. enPermisos seleccione Inscribirse. Haga clic en la pestaña Tratamiento de la solicitud y. a continuación. haga clic en Aceptar. Seleccione la pestaña General y. a continuación. a continuación. Haga clic en la pestaña Seguridad. seleccione Usuarios autentificados y. haga clic enInsertar. a continuación. . Haga clic en Sí para reiniciar los servicios de certificados de Active Directory. en No en la ventana emergente que propone reiniciar los servicios de certificados de Active Directory. a continuación. Escriba . Seleccione <sufijo de nombre de lista CRL> en la lista desplegable Variable y. haga clic en Insertar. a continuación. Haga clic con el botón derecho en Servidor web y. Haga clic en el botón Agregar y. en el campo Ubicación. escriba \\SRV- RT\crldist$\. a continuación. escriba el comando gpupdate /force. seleccione Cuenta de equipo y. mmc y con ayuda de la opción Agregar o quitar complemento (menúArchivo) agregue Certificados. a continuación. Formacion. y. en el menú contextual. abra la consola Administración de directivas de grupo. a continuación. En la Plantilla de certificado. Escriba. Dominios y.Plantilla de certificado que se va a emitir en el menú contextual. Haga clic con el botón derecho en Configuración de la solicitud de certificados automática. a continuación. Detener servicio. Directivas. Repita la operación seleccionando. a continuación. cierre la Consola de plantillas de certificado.local. Despliegue los nodos Configuración del equipo. Haga clic en Aceptar y. seleccione Equipo y. seleccione Nuevo . Ahora es posible solicitar un certificado para SRV-RT. seleccione Todas las tareas y.Configuración de seguridad y Directivas de clave pública. Se abre un asistente. haga clic con el botón derecho en Plantillas de certificado y. Configuración de Windows. Cierre la consola Entidad de certificación y. a continuación.local. haga clic sucesivamente enSiguiente.Solicitud de certificados automática. Haga clic con el botón derecho en Formacion-AD1-CA y. a continuación. a continuación. a continuación. Finalizar y. En SRV-RT. a continuación. Se abre un asistente. haga clic en Siguiente. . Despliegue los nodos Bosque: Formacion. la opción Iniciar servicio. esta vez. a continuación. a continuación. Aceptar. Haga clic con el botón derecho en Default Domain Policy y. abra una ventana de comandos DOS y. a continuación. haga clic en Editar. a continuación. haga clic en Aceptar. En la consola Entidad de certificación. seleccione las opciones Nuevo . haga clic en Siguiente yFinalizar. Seleccione la plantilla que acaba de crear y. Formacion. seleccione HTTPS y. por último. haga clic en Agregar. Haga clic con el botón derecho en Certificados y. escriba NLS.Formacion. a continuación. a continuación. a continuación. Aparece un nuevo certificado en la consola MMC. Haga clic dos veces en Siguiente. Seleccione la pestaña Objeto. En el campo Valor.local. a continuación. instale el rol IIS en SRV-RT. a continuación. en el menú contextual seleccione Todas las tareas y. abra la consola Administración de Internet Information Services (IIS). Solicitar un nuevo certificado. . Ya es posible configurar DirectAccess. por último. haga clic en Enlaces y. Si no lo hubiera hecho. a continuación. Finalizar. En la lista desplegable Tipo. Certificados. en Cerrar. en Default Web Site. En SRV-RT. Haga clic en Aceptar. Haga clic en Aceptar y. a continuación. En el panel Acciones. Despliegue los nodos Certificados (este equipo). Cierre la consola Administrador de Internet Information Services (IIS). Personal y. en Certificado SSL seleccioneNLS.local y. En la pantalla Solicitar certificados haga clic en Certificado SRV Web Formación. Haga clic en Sitios y. a continuación. en Agregar. a continuación en Inscribir y. Haga clic en Se necesita más información para inscribir este certificado. y. seleccione Nombre común en la lista desplegable Tipo. a continuación. . a continuación. Aceptar y. Haga clic con el botón derecho en Certificados y. a continuación. Abra una consola MMC y. En el árbol que muestra la consola. a continuación. Se abre un asistente. Haga clic dos veces en Siguiente. por último. a continuación. a continuación. Inscribir. Personaly. en el menú contextual. haga clic en Siguiente. En el campo Nombre descriptivo. seleccione Todas las tareas - Solicitar un nuevo certificado. escriba Certificado IP-HTTPS y. despliegue los nodos Certificados (equipo local).Finalizar y. haga clic en Se necesita más información para inscribir este certificado. a continuación. marque Cuenta de equipo y. haga clic enAceptar. marque Certificado SRV Web Formación y. Haga clic en los botones Agregar. Aceptar. Seleccione Nombre común en la lista desplegable Tipo y.1. Certificados. a continuación. a continuación. seleccione Propiedades. Haga clic con el botón derecho en el certificado que acaba de crear y. agregue el complemento Certificados. Haga clic en Finalizar para cerrar el asistente.168.254en el campo Valor. Ahora aparece un nuevo certificado en la consola MMC. escriba 192. presione la tecla [Enter]. Escriba CRLDist y. haga clic con el botón derecho en Default Web Site. a continuación. A continuación. . haga clic en el botón situado a la derecha del campo Ruta de acceso física. a continuación. En la ventana Agregar directorio virtual. abra la consola Administrador de Internet Information Services (IIS). haga clic en Agregar directorio virtual. haga clic en el botón Crear nueva carpeta. a continuación. escriba CRLD en el campo Alias y. Cierre la consola Certificados. En el menú contextual. Despliegue el nodo Sitios y. Haga doble clic en Disco local (C:) y. En SRV-RT. es posible crear el punto de distribución de CRL para certificados. a continuación. Haga doble clic en Examen de directorios en el panel central de la consola Administrador de Internet Information Services (IIS) y.Haga clic dos veces en Aceptar para cerrar las ventanas. y. a continuación. en el panel central de la consola. seleccione el valor True.webServer. haga doble clic en el icono Editor de configuración. En la lista desplegable allowDoubleEscaping. Seleccione la carpeta CRLD y. Haga clic en Aplicar en el panel de Acciones. En la lista desplegable Sección. security. . a continuación. despliegue system. haga clic en requestFiltering. seleccione Habilitar en el panelAcciones. a continuación. Marque la opción Compartir esta carpeta y. a continuación. haga doble clic en Disco local (C:). . a continuación. haga clic en Uso compartido avanzado. a continuación. a continuación. Haga clic con el botón derecho en la carpeta CRLDist y. Abra un explorador de Windows y. Seleccione la pestaña Compartir y.Es necesario compartir el punto de distribución de CRL. agregue un $ al final de la ruta. haga clic en Propiedades. . a continuación. marque Control total en la columnaPermitir. a continuación. en Agregar. a continuación. Haga clic en el botón Tipos de objeto y. en Aceptar. escriba AD1 en el campo Escriba los nombres de objeto que desea seleccionar. seleccione Equipos. Haga clic en Aceptar y. Haga clic en Comprobar nombres y. a continuación.Haga clic en Permisos y. Seleccione AD1 (FORMACION\AD1$) y. a continuación. a continuación. en Aceptar. . seleccione Todas las tareas y. escriba AD1 en el campo Escriba los nombres de objeto que desea seleccionar. a continuación. Publicar. seleccione la pestaña Seguridad. haga clic con el botón de derecho enCertificados revocados. marque Control total en la columnaPermitir. Haga clic dos veces en Aceptar y. a continuación. a continuación. Haga clic en Aceptar y. en Agregar. Marque la opción Lista de revocación de certificados (CRL) nueva en el cuadro de diálogoPublicar lista de revocación de certificados (CRL). a continuación. Despliegue el nodo Formacion-AD1-CA y. a continuación. Haga clic en el botón Tipos de objeto y. Haga clic en Comprobar nombres y. seleccione Equipos. Seleccione AD1 (FORMACION\AD1$) y. a continuación. En AD1. abra la consola Entidad de certificación. Haga clic en el botón Editar y. a continuación. En el menú contextual. Ahora es momento de publicar la lista de revocación de certificados. 0. por ejemplo). Valide haciendo clic en Aceptar.0. Si no lo hubiera hecho. En SRV-RT.254) para que tenga la dirección IP 131. Compruebe que SRV-RT está deshabilitado. Acceda al recurso compartido \\SRV-RT\CRLDist$ y compruebe la presencia de los archivos.1. abra la consola Enrutamiento y acceso remoto.0. instale el rol Acceso remoto en SRV-RT. Configure la segunda tarjeta de red en el servidor SRV-RT (con dirección IP 172.16. La tarjeta de red debe estar conectada a un conmutador diferente al utilizado por la primera tarjeta de red (un conmutador de tipo privado. es posible configurar DirectAccess. en caso contrario haga clic con el botón derecho enSRV-RT (local) y seleccione Deshabilitar enrutamiento y acceso remoto.0. A continuación. .1 y la máscara de subred 255.255. haga clic en Aceptar.0. haga clic en Ejecutar el asistente para introducción en el panel central. En la consola Administración de acceso remoto. haga clic en Aceptar. En la ventana de selección de grupos. en Etapa 1. Se abre un asistente. a continuación. a continuación.0. Escriba G_Acceso_VPN y. a continuación. a continuación. compruebe que se está utilizando la tarjeta Ethernet correcta. . Verifique que está marcada la opción Tras un dispositivo perimetral (con dos tarjetas de red)y. Haga clic en Siguiente y. ejecute Implementar solo DirectAccess. en Etapa 2. a continuación. en Finalizar. y. Desmarque la opción Habilitar DirectAccess solo para equipos móviles y. Haga clic en Siguiente y. a continuación. En la consola Administración de acceso remoto. haga clic en Agregar.1 en el campo de texto. Haga clic en el botón Examinar presente en la zona Usar certificados de equipo. a continuación. escriba 131. a continuación. a continuación. haga clic enConfiguración en el panel izquierdo. en Finalizar. A continuación. haga clic en Editar. Seleccione Formacion-AD1-CA y. en Siguiente. haga clic en Editar.Abra la Consola de administración de acceso remoto y. Valide la información haciendo clic en Siguiente. Haga clic en Siguiente y. elimine el grupo Equipos del dominio. haga clic en el enlace Editar presente en laEtapa 3. En la consola Administración de acceso remoto. En la ventana Servidor de ubicación de red.Haga clic en Finalizar. marque la opción El servidor de ubicación de red se implementa en el servidor de acceso remoto. en Finalizar. Con ayuda del botón Examinar. En la consola Administración de acceso remoto. haga clic en el enlace Editar presente en . Haga clic tres veces en Siguiente y. seleccione el certificado SRV-RT. a continuación. laEtapa 4. Verifique que el conjunto de puntos enumerados en el listado Estado de las operaciones son correctos. ejecute el comando gpupdate /force. Haga clic en PANEL en la Consola de administración de acceso remoto. SRV-RT y CL8-02. Abra una ventana de comandos DOS y. 4. Una vez finalizada la operación. a continuación. . Compruebe que se esté aplicando la directiva de grupo Configuración del cliente DirectAccess. ejecute el comando gpupdate /force. a continuación. a continuación. En CL8-02. haga clic en Finalizar. inicie una sesión como administrador (administrador@formacion. Aplique los cambios haciendo clic en Finalizar en la consola Administración de acceso remoto y. Compruebe que CL8-02 está configurado con direccionamiento dinámico y ubicado sobre el mismo conmutador virtual que AD1. En la pantalla Instalación del servidor de aplicaciones DirectAccess. Configuración del cliente DirectAccess Objetivo: configuración de la funcionalidad DirectAccess Máquinas virtuales: AD1. Esta GPO se ha creado automáticamente. En SRV-RT. en Aplicar en la ventana emergente.local). abra una ventana de comandos DOS y. haga clic en Cerrar. local con el rol Asegura la identidad de un equipo remoto. . abra una consola MMC y. a continuación haga clic en Siguiente y en Finalizar. seleccione la opción Cuenta de equipo.En CL8-02. Compruebe que existe un certificado con el nombre CL8-02. agregue el complemento Certificados. Personal y. Certificados.Formacion. por último. En el asistente. a continuación. Despliegue los nodos Certificados. ejecute el comando: ping SRV- RT. acceda a la URL: http://SRV- RT.0.). Abra una ventana de comandos DOS y. a continuación.Formacion.255.1 En Internet Explorer.0. La página se muestra.2 Máscara de subred: 255. a continuación.Formacion.El certificado es necesario para identificar la máquina instalada.0. a continuación. Esta operación permite comprobar la conectividad con el servidor de la empresa. Dirección IP: 131.0. La estación CL8- 02debe utilizar el mismo conmutador que SRV-RT para estar conectada a la red 131.local .formacion.0. Abra un navegador de Internet y.0. A continuación. cambie el conmutador virtual. Abra un navegador de Internet y.0.0.local. Edite la configuración de la tarjeta de red de CL8-02 para que esté configurada tal y como se indica más abajo.local. Esto permite asegurar que el acceso funciona y que la página no se muestra porque está alojada en la caché local del equipo. acceda a la URL: http://SRV- RT.1 Servidor DNS primario: 131.0. etc.0 Puerta de enlace predeterminada: 131. elimine la información en caché (archivos temporales.0. Para ello. configure el mismo conmutador virtual que para SRV-RT. continuación. .local Se devuelve una respuesta. Escriba el comando netsh name show effectivepolicypara comprobar la configuración de la tabla de directivas de resolución de nombres DNS.formacion. Abra una consola PowerShell a y. RT. escriba el comando Get- DAClientExperienceConfiguration. 13 ¿Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess? 14 Tras implementar un servidor RADIUS es preciso configurar. Por cada respuesta correcta. 11 ¿Por qué conviene utilizar un kit CMAK? 12 Nombre alguna de las ventajas ofrecidas por DirectAccess. también. Resultados Consulte las siguientes páginas para comprobar sus respuestas. el cliente RADIUS. 1 ¿Cuál es el rol de un servidor VPN? 2 ¿Qué permite hacer el rol Servicios de acceso y directivas de redes? 3 ¿Cuál es la misión de un servidor RADIUS? 4 ¿Cuáles son las dos tecnologías que es posible implementar con el rol Acceso remoto? 5 ¿Cuál es la diferencia entre la autenticación y la autorización? 6 Nombre algunos métodos de autenticación. ¿Qué elementos pueden utilizarse como cliente RADIUS? 15 ¿Qué permite hacer NAP? 16 NPS realiza autenticación. 7 ¿Por qué conviene implementar una PKI? 8 ¿Qué dos formas existen de distribuir una configuración IP? 9 ¿Cuál es la ventaja de utilizar SSTP? 10 Presente brevemente la funcionalidad VPN Reconnect. Número de puntos: /19 Para superar este capítulo. ¿dónde se almacenan las cuentas (equipo. usuario…) que permiten realizar la autenticación? 17 ¿Qué número tiene la norma RADIUS? 18 ¿Qué contiene una directiva de solicitud de conexión? 19 ¿Cuál es la utilidad de un proxy RADIUS? 2. 3. su puntuación mínima debería ser de 13 sobre 19. cuente un punto. .Validación de conocimientos adquiridos: preguntas/respuestas 1. Respuestas 1 ¿Cuál es el rol de un servidor VPN? El rol del servidor VPN es crear un túnel seguro entre un equipo y el servidor en el interior de una red pública (Internet). 2 ¿Qué permite hacer el rol Servicios de acceso y directivas de redes? Este rol permite tener los componentes necesarios para asegurar el correcto funcionamiento de la conectividad de red. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 10 Presente brevemente la funcionalidad VPN Reconnect. EAP…). tales como la conexión sin intervención por parte del usuario. Esta solución permite asegurar los datos. 15 ¿Qué permite hacer NAP? NAP permite asegurar que el estado de salud de los equipos se corresponde con las exigencias del administrador. un conmutador o un punto de acceso Wi-Fi son equipos que pueden configurarse como cliente RADIUS. 6 Nombre algunos métodos de autenticación. en el servidor VPN. un pool de direcciones remotas. ¿Qué elementos pueden utilizarse como cliente RADIUS? Un servidor VPN. 8 ¿Qué dos formas existen de distribuir una configuración IP? Cuando se implementa una conexión VPN es necesario distribuir una configuración IP a los equipos. por tanto. usuario…) que permiten . de modo que el usuario no tenga más que informar las credenciales. un protocolo que permite implementar un túnel VPN. Este protocolo tiene una ventaja importante: utiliza HTTPS y. ¿dónde se almacenan las cuentas (equipo. como L2TP o PPTP. 16 NPS realiza autenticación. 12 Nombre alguna de las ventajas ofrecidas por DirectAccess. 9 ¿Cuál es la ventaja de utilizar SSTP? El protocolo SSTP es. Es posible utilizar varios métodos de autenticación (PAP. MS-CHAPv2. Para ello. 7 ¿Por qué conviene implementar una PKI? Una PKI o Public Key Infrastructure consiste en implementar un servidor que permite distribuir y gestionar certificados digitales. La segunda manera consiste en configurar. por su parte. CHAP. la integración en el sistema operativo o. 13 ¿Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess? No. el cliente RADIUS. 11 ¿Por qué conviene utilizar un kit CMAK? Un kit CMAK contiene la configuración esencial para realizar una conexión VPN. desde Windows Server 2012 ya no es necesario instalar una PKI o disponer de dos direcciones IPv4 consecutivas. simplemente. la separación de los tráficos de Internet e intranet. De este modo resulta más fácil atravesar los cortafuegos. el usuario no tiene que volver a conectar manualmente. 5 ¿Cuál es la diferencia entre la autenticación y la autorización? La autenticación es una operación que consiste en verificar las credenciales utilizadas mientras que una autorización permite. 4 ¿Cuáles son las dos tecnologías que es posible implementar con el rol Acceso remoto? El rol Acceso remoto ofrece la posibilidad de implementar un acceso VPN tradicional o un servidor DirectAccess. 14 Tras implementar un servidor RADIUS es preciso configurar. comprobar si la cuenta está autorizada o no para acceder a un determinado recurso. puede utilizarse un servidor DHCP. Es posible citar varias ventajas. 3 ¿Cuál es la misión de un servidor RADIUS? Un servidor RADIUS permite dotar de seguridad una red Wi-Fi o una VPN realizando una autenticación basada en un certificado o contraseña. De este modo. también. el puerto 443. VPN Reconnect es una funcionalidad que consiste en restablecer la conexión VPN en caso de corte. ). realizar la autenticación? Estas cuentas pueden provenir de una base de datos local o. parámetros (información de servidor RADIUS. de un directorio Active Diretory. . etc. 19 ¿Cuál es la utilidad de un proxy RADIUS? Un proxy RADIUS se utiliza con varios roles (AD FS. también. 17 ¿Qué número tiene la norma RADIUS? El número de la norma RADIUS es 802.1x. con mayor frecuencia.) y permite asegurar que solo las personas autorizadas pueden acceder a la aplicación. 18 ¿Qué contiene una directiva de solicitud de conexión? Una solicitud de conexión contiene condiciones pero. etc. .Requisitos previos y objetivos 1. Objetivos Implementación de NAP. 2. Requisitos previos Tener nociones acerca de la administración de una red informática. Administración y resolución de errores de la solución. En efecto. por lo que puede producirse una posible contaminación.Introducción Muchos ataques provienen del interior. por lo que es necesario implementar políticas de seguridad (contraseña…). . Es. NAP (Network Access Protection) permite implementar directivas que deben respetar los distintos equipos para poder acceder a la red de la empresa. la contaminación se expande rápidamente en el conjunto de la red. Tras la conexión del equipo a la red de la empresa. por tanto. tienen la posibilidad de conectarse a otras redes. Los equipos portátiles pueden suponer grandes problemas. necesario validar el estado de salud de los equipos antes de aceptar su acceso a la red. Mucho menos problemáticos son los equipos de sobremesa que. Es muy importante asegurar el estado de salud de este tipo de equipos. Esta solución no se hace para protegerse de los piratas informáticos u otros problemas similares sino para comprobar el estado de salud de los equipos. y el acceso se ofrece. La implementación del servidor NAP permite limitar el acceso de estos equipos a la red de Internet únicamente. 1. a su vez. pues se conecta a redes externas. Comprueba el estado de salud de los equipos que desean acceder a la red y ofrece. por su parte. Cumplimiento NAP para VPN para los accesos VPN: el equipo debe cumplir para poder obtener un acceso limitado mediante una conexión VPN. . la posibilidad de actualizarse con el objetivo de respetar las condiciones definidas por el administrador. El cliente de cumplimiento envía el estado de salud de un equipo al servidor de cumplimiento presente en el servidor NAP. por tanto. Si un equipo respeta las condiciones de seguridad impuestas. Los equipos internos a la empresa y que respeten las condiciones de seguridad tendrán. posible implementar NAP para este tipo de equipos. En caso de querer utilizar NAP con un servidor DHCP el usuario puede. a través de redes Wi-Fi. Estas personas pueden necesitar conectarse a Internet. a menudo. tendrá un acceso completo a la red. Permite implementar protecciones a nivel de los recursos de red. punto de acceso Wi-Fi…). Éste deja de utilizarse en tal caso. los equipos no administrados en la empresa suponen problemas. Es. cortocircuitar NAP. también. Si se conecta esporádicamente a la red de la empresa. Esto supone que el equipo (y todo lo que pueda contener) tendría acceso a la red de producción. pueden no respetar las condiciones de seguridad (equipos que se encienden tras varios meses de inactividad. puede que no alcance a recuperar los parches y actualizaciones emitidos por el servidor WSUS. Es frecuente recibir consultores o personas externas a la organización.Visión general de la solución NAP NAP está integrado en los sistemas operativos desde Windows XP SP3. Cumplimiento NAP para DirectAccess: para poder conectase a la red de la empresa mediante un servidor DirectAccess es necesario que el equipo cumpla con las condiciones. si pasa a un direccionamiento estático. imagen restaurada en un equipo…).1x para conexiones con cable o inalámbricas: solo aquellos equipos que cumplan con las condiciones tendrán un acceso limitado al cliente RADIUS (switch. Cumplimiento NAP para DHCP para la configuración de direcciones: solo aquellos equipos que cumplan las condiciones recibirán un contrato DHCP que les permitirá tener un acceso completo a la red de la empresa. Existen varios niveles de cumplimiento: Cumplimiento NAP para comunicaciones IPsec: permite restringir la comunicación únicamente a los equipos que cumplen con las condiciones. un acceso completo. Por último. Forma de aplicar NAP La solución NAP permite gestionar la mayoría de equipos que pueden encontrarse en la empresa: Ordenador portátil Equipo de sobremesa Ordenador no administrado por la empresa (perteneciente a una persona ajena a la empresa) El ordenador portátil presenta un riesgo mucho más importante. Cumplimiento NAP para 802. DirectAccess… No es obligatorio contar con un controlador de dominio Active Directory en la etapa de validación de la conformidad. a su vez. VPN. Entre estos servidores podemos encontrar DHCP. Por último. aunque es indispensable para conexiones de tipo VPN o 802.2. Arquitectura de la plataforma NAP Una arquitectura NAP contiene varios componentes. la arquitectura NAP está compuesta por una red restringida (o red de cuarentena).1x. Contiene servidores de actualización que permiten a los equipos declarados como no conformes corregir el problema (antivirus no actualizado. por ejemplo). Encontramos. Esta red puede ser de tipo lógico o físico. El cliente NAP está presente en cada puesto o servidor. y permite la comunicación con el servidor NAP para validar el acceso a la red en función del cumplimiento de cada puesto. . algunas restricciones a este examen de conformidad. se trata de servidores que requieren una validación antes de poder tener o no acceso. se rechazan sus intentos de comunicación. 802. el servidor DHCP renueva automáticamente el contrato DHCP del equipo para ubicarlo en una red restringida. El acceso puede denegarse o autorizarse parcialmente hasta que se comprueba la conformidad del equipo. Implementar NAP con un servidor VPN Cuando un usuario se conecta mediante VPN se utiliza la directiva de cumplimiento para el servidor VPN. Configurando esta restricción de cumplimiento para los switches y puntos de acceso Wi-Fi. salir si no está conforme.1x. 1. 3. . Ocurre de forma similar con las directivas de mantenimiento: para poder acceder a la red. el conjunto de equipos. como mínimo. La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el equipo se considera conforme. el protocolo TCP/IP devuelve un error si alguna aplicación instalada en el equipo intenta enviar una trama Unicast distinta a las permitidas mediante las rutas estáticas. por lo que es difícil esquivarlas. el equipo debe mostrar su conformidad e integridad para probar que cumple con la directiva de mantenimiento. Se aplican a las comunicaciones IPv4 e IPv6. Para poder actualizarse. De este modo. no obstante. para un equipo que se pone en cuarentena. Para los equipos no conformes es posible implementar un filtro de paquetes IP o redirigir a los equipos a una VLAN de cuarentena. Este tipo de restricción utiliza un conjunto de filtros de paquetes IP. Este tipo de restricción está compuesta por una autoridad HRA que ejecute Windows Server 2012 o superior así como un cliente de cumplimiento que ejecute. algo más complejo puesto que invoca a una autoridad HRA y a una entidad emisora de certificados.Proceso de aplicación de NAP Una restricción de conformidad puede considerarse como un paso por aduana: si los papeles no están en regla. es imposible entrar en un país extranjero. No es posible utilizar el método de cumplimiento por DHCP en clientes IPv6.1x con NAP Este tipo de restricción de cumplimiento permite filtrar equipos que se conectan a un cliente RADIUS (switch. los equipos pueden conectarse únicamente con aquellos recursos contenidos en la red restringida. Los paquetes que no superen este filtro se eliminarán automáticamente. Es. Si el equipo resulta no conforme. Windows Server 2003. De este modo. Uso de NAP para DHCP NAP interviene cuando se produce la asignación o renovación de una configuración IP. Este tipo de implementación resulta muy segura puesto que es difícil. 4. se ven afectados. preciso asegurar que los switches o puntos de acceso Wi-Fi afectados son compatibles con la autenticación 802. Resulta útil configurar las interfaces de red del servidor NAP de manera estática. (en una VLAN aparte). Si el equipo no cumple. punto de acceso Wi-Fi…). lo que permite limitar el tráfico de los clientes. el equipo recibe una lista de hosts que apuntan a los servidores alojados en la red restringida. fijos y portátiles. 2. no obstante. Implementar IPsec con NAP Hemos visto más arriba cómo es preciso que el equipo esté conforme para que pueda comunicarse con otros equipos. Este método es. estos servidores contienen los recursos que necesita el agente NAP para realizar las actualizaciones adecuadas (definición del antivirus. los agentes de mantenimiento del sistema y los validadores de mantenimiento del sistema. . el servidor NAP recibe por parte del cliente un estado de cumplimiento. por ejemplo). Una directiva de mantenimiento está compuesta por uno o varios validadores de mantenimiento del sistema. Se trata de un listado de servidores presentes en la red restringida. por ejemplo) si fuera necesario.Verificación del cumplimiento La verificación del cumplimiento se asegura mediante dos componentes de NAP. el equipo podrá acceder a un grupo de servidores. Estos servidores permiten realizar la actualización de los equipos que no cumplen con las condiciones. A continuación. De este modo. el cual se compara con el estado de cumplimiento requerido. Si se ubica en una red restringida. Puede rechazar la solicitud de conexión. Esto permite definir los criterios necesarios para que un equipo se considere como conforme. ubicar al equipo en una red restringida o autorizar al equipo a pesar de su estado de incumplimiento. el servidor puede decidir realizar distintas operaciones. De este modo. Si el equipo no responde a los criterios definidos en la directiva. el servidor NAP envía la respuesta al cliente y le pide actualizar alguno de sus componentes (antivirus. posible obtener información relativa al estado de restricción. ID 6276: usuario puesto en cuarentena (puesto no conforme…). ID 6278: acceso total otorgado al usuario. el estado de los clientes de cumplimiento.Supervisión y mantenimiento del servidor NAP La supervisión y el mantenimiento son aspectos muy importantes en la implementación de una solución NAP. . IASSAM. de este modo. Existen distintos ID que pueden resultar útiles para analizar el comportamiento de la funcionalidad NAP: ID 6272: se otorga acceso al usuario. Es. El mantenimiento puede. ID 6273: se rechaza el acceso al usuario. realizarse mediante archivos de log de Windows. Esta operación consiste en registrar los eventos NAP en un archivo de log. ID 6274: petición ignorada por el servidor NPS (problema de configuración o imposibilidad de crear registros de gestión de cuentas).log: este registro permite obtener información detallada acerca de los procesos de protección de acceso a la red. a su vez. Es posible configurar tres niveles:Básico. Estas operaciones permiten asegurar el correcto funcionamiento de la funcionalidad. Para ello podemos utilizar varios archivos de log: IASNAP. el estado de los agentes de mantenimiento del sistema instalados así como los grupos de servidores aprobados configurados.log: contiene información relativa a la autenticación del usuario y sus autorizaciones. Avanzado o Depuración. El seguimiento NAP se habilita mediante la consola Configuración del cliente de NAP. la autenticación o la autorización NPS. Mantenimiento de NAP Para resolver problemas en la funcionalidad NAP es posible utilizar varias herramientas. El comando netshpermite consultar el estado de un cliente NAP. haga clic dos veces en Siguiente. . abra la consola Administrador del servidor y. Abra la consola NPS presente en las Herramientas administrativas. y. a continuación. Marque la opción correspondiente al rol Servicios de acceso y directivas de redes y.Trabajos prácticos: Implementar la solución NAP Estos trabajos prácticos permiten instalar y configurar el servidor NAP. haga clic en Agregar características en la ventana emergente. a continuación. es preciso configurar el servicio para asegurar que solamente aquellos equipos que respetan la política de seguridad (antivirus actualizado) obtienen un contrato DHCP. haga clic en Siguiente. En la ventana de selección de características. haga clic en Agregar roles y características. Despliegue el nodo Protección de acceso a redes. a continuación. Configuración de los componentes NAP Objetivo: instalación y configuración del servidor NAP Máquinas virtuales: AD1 y CL8-01 En AD1. Una vez terminada la instalación. 1. En la ventana Seleccione el tipo de instalación. a continuación. Los clientes de cumplimiento utilizados son el DHCP y VPN. Marque la opción Servidor de directivas de redes en la ventana Seleccionar servicios de rol. deje la opción por defecto y. haga clic en Validadores de mantenimiento del sistema. Haga clic en Instalar para realizar la instalación. En Windows 8/Windows 7/Windows Vista. Los servidores de actualizaciones permiten a los clientes no conformes actualizarse para poder . en Grupos de servidores de actualizaciones. a continuación. Haga clic en Configuración en el panel central y. a continuación. Haga clic en Aceptar y. desmarque todas las opciones excepto las correspondientes al antivirus. haga clic en Validador de mantenimiento de seguridad de Windows. haga doble clic en Configuración por defecto. En el panel central. haga clic con el botón derecho en Directivas de mantenimiento. . Comprobaciones de SHV para clientes: El cliente supera todas las comprobaciones de SHV. Vamos. obtener la conformidad. La directiva no conforme está destinada a aquellos equipos en los que haya fallado algún punto de control SHV (puntos de seguridad). mediante el botón Agregar. a continuación. haga clic en Nueva. no existe ningún servidor con este nombre en la maqueta que hemos montado. ahora. a crear dos directivas.200 y el nombre del equipo SRVWSUS. a continuación. Escriba Grupo de servidores 1 en el campo Nombre de grupo y. configure la directiva tal y como se indica a continuación: Nombre de directiva: Conforme. la directiva conforme va a aplicarse a aquellos puestos que respeten la política de seguridad (antivirus al día…). Haga clic con el botón derecho en Grupos de servidores de actualizaciones y. y. El nombre y la dirección IP del servidor se utilizan como ejemplo.1. escriba la dirección IP 192. a continuación. En nuestro ejemplo. por ejemplo antivirus no presente o no actualizado. seleccione Nuevo. En la ventana Crear nuevas directivas de mantenimiento. SHV usados en estas directivas de mantenimiento: habilite la opción Validador de mantenimiento de seguridad de Windows.168. Despliegue el nodo Directivas. Estas últimas permitirán al servidor saber qué requisitos previos tienen que cumplirse para aplicar esta directiva. seleccione Nueva. Tipo de servidor de acceso a la red: servidor DHCP. Haga clic con el botón derecho en Directivas de red y. Haga clic con el botón derecho en la selección y marque la opción Desactivar. a continuación. Repita la operación con la otra directiva. configure la directiva tal y como se muestra a continuación: Nombre de directiva: Conforme . haga doble clic . Haga clic en Directivas de red y seleccione una de las dos directivas presentes. Haga clic en Siguiente. En la ventana Especificar nombre de directiva de red y tipo de conexión.Haga clic en Aceptar para validar la información introducida. haga clic en Agregar y. Comprobaciones de SHV para clientes: El cliente no supera una o más comprobaciones de SHV. Cree otra directiva con los siguientes parámetros: Nombre de directiva: No conforme. a continuación.Acceso completo. Haga clic en Aceptar para validar la información introducida. En la ventana Especificar condiciones. SHV usados en estas directivas de mantenimiento: habilite la opción Validador de mantenimiento de seguridad de Windows. Permisos de acceso: verifique que está marcada la opción Acceso concedido. Condiciones: Directivas de mantenimiento (seleccionar la directiva No conforme). A continuación se implementará una limitación al acceso. y. Haga clic dos veces en Siguiente. Métodos de autenticación: Realizar solo comprobación de mantenimiento del equipo. a continuación. Seleccione Conforme en la lista desplegable. Haga clic en Siguiente. a continuación. Valide haciendo clic en Siguiente y. Desmarque todas las demás opciones. En la ventana Configurar métodos de autenticación. haga clic en Cumplimiento NAP. Tipo de servidor: servidor DHCP. a continuación. marque Realizar solo comprobación de mantenimiento del equipo. Recree la misma regla con los siguientes parámetros: Nombre de directiva: No conforme .Restringido. . Verifique que está marcada la opción Permitir acceso completo a la red. Verifique que está marcada la opción Acceso concedido y. haga clic en Aceptar. En la ventana Configurar opciones. haga clic en Siguiente.enDirectivas de mantenimiento. en Finalizar. a continuación. en Finalizar. Operador: Es igual a. Escriba Puesto no conforme en el campo Nombre de la directiva y. Haga clic con el botón derecho en Directivas y. Configure la condición tal y como se indica a continuación: Criterio: Clase de usuario. haga clic en Nueva directiva. Valide la información haciendo clic en Siguiente y. Ahora es posible configurar el servidor DHCP para controlar el cumplimiento NAP. En la ventana de configuración de las condiciones de la directiva. a continuación. Haga clic en Agregar para agregar el valor seleccionado. haga clic en Agregar. Valor: Clase de protección de acceso a red predeterminada. En la pestaña Protección de acceso a redes. a continuación. Es preciso que el nodo Ámbito esté desplegado. . Opciones: Cumplimiento NAP (Permitir acceso limitado y marque Habilitar corrección automática de equipos cliente). haga clic en Propiedades. Haga clic con el botón derecho en Ámbito y. seleccione la opción Habilitar para este ámbito y compruebe que está marcada la opción Usar perfil predeterminado de Protección de acceso a redes. a continuación. haga clic enSiguiente. en Siguiente. . a continuación.168.99.Valide haciendo clic en Aceptar y. escriba la dirección IP 192. Marque la opción 006 Servidores DNS y. a continuación.1. Valide el mensaje de advertencia haciendo clic en Sí.La dirección IP debe coincidir con la del servidor DNS presente en la red de cuarentena.Formation. . Marque la opción 015 Nombre de dominio DNS y. escribarestringido. Esta última no existe en la maqueta. a continuación.local. Despliegue Clientes de cumplimiento y. en el equipo. a continuación. a continuación. en Finalizar. haga doble clic en Cliente de aplicación de cuarentena DHCP. . a continuación. el cliente de aplicación de cuarentena DHCP. Haga clic en Siguiente y. En el equipo CL8-01. Este comando permite mostrar la consola de configuración del cliente NAP para habilitar. escriba napclcfg. abra la interfaz Windows y.msc. de momento. pulse [Enter]. a continuación. Haga doble clic en Activar el Centro de seguridad (solo equipos de dominio).Componentes de Windows y. escriba gpedit. Tal y como muestra la siguiente captura de pantalla. Plantillas administrativas. En la interfaz Windows.msc. a continuación. y. a continuación. escriba services. Modifique el tipo de arranque del servicio para que sea Automático e inícielo. haga clic en Centro de seguridad. La tarjeta de red debe configurarse para recibir una dirección IP de un servidor DHCP. el servidor DHCP le ha concedido un acceso completo. seleccione la opción Activo y. En la interfaz Windows. modifique la configuración del adaptador. Si no fuera el caso. Marque la opción Habilitar este cliente de cumplimiento.msc. El equipo está. en la red de producción. . Haga doble clic en el servicio Agente de protección de acceso a redes. haga clic en Aceptar. Despliegue los nodos Directiva Configuración del equipo. formacion. a continuación. el sufijo DNS restringido. Es posible. a su vez. El servidor DNS debe. Espere algunos segundos o libere el contrato DHCP mediante el comando DOS: ipconfig /release Solicite un nuevo contrato ejecutando el comando ipconfig /renew en una ventana de comandos DOS. desmarque la opciónActivar Windows Defender. a continuación. El equipo se encuentra. Bastará con deshabilitar el firewall en el puesto de trabajo. El servidor DHCP ha asignado. ahora. Administrador. correctamente. distribuirse para los equipos no conformes. Haga clic en la pestaña Configuración y. incluir en las directivas de cumplimiento del servidor NPS la obligación de poseer un firewall activo. Haga clic en Guardar los cambios. En el menú de la interfaz Windows. ejecútelo.local. Esto va a permitir simular una no-conformidad con la política de seguridad. escriba Windows Defender y. en la red de cuarentena. a su vez. . ahora. mucho más sencillo aislar los equipos que no respetan la política de seguridad de la empresa.Es. . 2 ¿Qué sistema operativo. es necesario tener instalado en los equipos clientes para utilizar NAP? 3 Describa brevemente la funcionalidad NAP. el equipo se sitúa en una red de cuarentena. Resultados Consulte las siguientes páginas para comprobar sus respuestas. NAP permite comprobar el estado de salud de los equipos que se conectan a la red. en caso contrario accederán a una red de cuarentena o se les denegará el acceso.Validación de conocimientos adquiridos: preguntas/respuestas 1. como mínimo. Por cada respuesta correcta. Windows XP SP3. o se rechaza completamente su acceso. como mínimo. En caso de que se sitúe en una red de cuarentena existe un grupo de servidores a su disposición que le permiten actualizarse. IPsec o RADIUS son algunos de ellos. Respuestas 1 ¿Qué permite hacer NAP? NAP permite implementar directivas que deben respetar los equipos cliente si quieren poder acceder a la red. 3. como mínimo. 5 ¿Con qué cliente de cumplimiento se utiliza HRA? HRA se utiliza cuando se implementa IPsec con NAP. Si no respeta los criterios de seguridad impuestos por el administrador. Número de puntos: /10 Para superar este capítulo. su puntuación mínima debería ser de 8 sobre 10. 4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse? Existen varios clientes de cumplimiento NAP que pueden configurarse en el sistema operativo. es necesario tener instalado en los equipos clientes para utilizar NAP? Es necesario. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse? 5 ¿Con qué cliente de cumplimiento se utiliza HRA? 6 ¿Cuál es el objetivo de la autoridad HRA? 7 ¿Es posible utilizar NAP con DHCPv6? 8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de los equipos? 9 ¿Para qué consola se habilita el seguimiento de NAP? 10 ¿Cuáles son los archivos de log que utiliza NAP? 2. 3 Describa brevemente la funcionalidad NAP. DHCP. VPN. . cuente un punto. 1 ¿Qué permite hacer NAP? 2 ¿Qué sistema operativo. 8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de los equipos? Los agentes de mantenimiento del sistema (SHA) y los validadores de mantenimiento del sistema (SHV) aseguran el cumplimiento. 10 ¿Cuáles son los archivos de log que utiliza NAP? Los archivos IASNAP. NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6. 7 ¿Es posible utilizar NAP con DHCPv6? No. 6 ¿Cuál es el objetivo de la autoridad HRA? La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con IPsec.log y IASSAM. 9 ¿Para qué consola se habilita el seguimiento de NAP? El seguimiento de NAP se habilita mediante la consola Configuración del cliente NAP. solamente aquellos servidores que trabajen con direcciones IPv4 son compatibles. .log permiten supervisar el comportamiento de NAP. Requisitos previos Poseer nociones acerca del uso de cuotas en la administración del sistema. Implementar un filtrado a nivel de extensiones de archivos.Requisitos previos y objetivos 1. 2. . Objetivos Implementar el rol FSRM que permite gestionar cuotas. Instalar y configurar un espacio de nombres DFS. Mal administrado.Introducción El sistema de archivos es uno de los aspectos esenciales en una empresa. . indomable. que evoluciona de manera cotidiana. rápidamente. este sistema puede volverse. gestionar de manera remota otro servidor que albergue este rol. su instalación se realiza mediante el Administrador del servidor. . Éstos. Debe estar autorizado el tráfico de llamada a procedimiento remoto (RPC) entre ambos servidores. La consola FSRM permite. a su vez. no obstante. en Windows Server 2012 R2.Visión general del rol FSRM FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que permiten gestionar y controlar distintos tipos de datos. como mínimo. El informe que indica qué archivos son los menos consumidos puede ayudar a implementar una política de archivado. instalado al mismo tiempo que FSRM). Los applets de comando PowerShell deben utilizarse en lugar de los comandos dirquota o filescrn. FSRM es un servicio de rol. utilizados en versiones anteriores. Esta acción requiere respetar ciertos requisitos previos: Ambos servidores deben ejecutar. Debe habilitarse la excepción Administración del Administrador de recursos del servidor de archivos remoto en el firewall. También es posible utilizar informes muy completos con el objetivo de obtener información muy precisa (uso de cuotas…). están todavía presentes en Windows Server 2012 R2 aunque se recomienda. Windows Server 2008 R2. Ofrece al administrador la posibilidad de implementar cuotas o filtros de archivos. el uso de cuotas ayuda a los administradores a establecer límites en función de las necesidades de cada departamento. Como todo rol o servicio de rol. Servicios de archivo. no utilizarlos. aunque también es posible realizar su configuración mediante PowerShell (módulo FileServerResourceManager para Windows PowerShell. La gestión del rol se realiza mediante la consola instalada en el servidor. La ejecución de dichas notificaciones se realiza cuando se alcanza cierto umbral en el uso del espacio de disco autorizado. Estas cuotas pueden aplicarse a un volumen o a una carpeta. 1. Es posible utilizar dos tipos de cuotas. Es posible realizar varias acciones para la notificación: Envío de un correo electrónico para informar que se está superando un umbral. Este valor es un porcentaje y es posible configurar varias notificaciones para una cuota.Administración del servidor de archivos mediante FSRM Esta sección detalla las distintas herramientas contenidas en FSRM. las cuotas máximas no permiten utilizar más espacio del que se ha autorizado. entre ellas la ruta del recurso sobre el que se aplica. lo que permite evitar que se sature el espacio de disco. Agregar un evento en el Visor de eventos. Las cuotas contienen varias propiedades. además es posible extender la cuota utilizada a las subcarpetas existentes o a las creadas a continuación. . Ejecución de un comando o de un script. Gestión de las cuotas Una cuota es un elemento que permite limitar el espacio asignado a cada usuario. aunque también es posible implementar distintas notificaciones que avisen al usuario. Generación de un informe. Por el contrario. Una cuota de advertencia no bloquea al usuario cuando se alcanza el tamaño máximo. a su vez. aunque es posible enviarle distintas notificaciones. el espacio máximo autorizado sobre este recurso. máxima o de advertencia. Es posible definir. Es. generarse de manera automática en caso de que se apliquen de los padres sobre los hijos. Las cuotas pueden. . aunque utilizar un modelo de cuota permite facilitar las actualizaciones posteriores en cuotas ya creadas. mejorada. de este modo. también es posible utilizar el applet de PowerShell New-FSRMQuota. Por último. Las plantillas de cuotas permiten predefinir las distintas notificaciones.La creación de una cuota puede realizarse mediante una plantilla de cuota o no. se modifica el conjunto de cuotas derivadas de dicha plantilla. La administración de esta funcionalidad se ve. Se recomienda utilizar plantillas en la mayoría de casos posibles. Tras la creación de éstos. En caso de modificación de alguna plantilla. el límite de espacio así como el tipo (máxima o de advertencia). se crea una cuota automáticamente. a su vez. de este modo. mucho más sencillo crear nuevas cuotas o modificar ciertas propiedades. contiene información relativa a su uso. .Tras la instalación del rol se crea un conjunto de cuotas por defecto. el uso de cuota. y es posible consultar. en la consola FSRM. subcarpeta o volumen. la generación de informes (punto que se aborda más adelante) permite obtener información todavía más precisa. para cada carpeta. La ventana de gestión de cuotas. Además. es posible implementar un filtrado sobre un grupo de archivos (por ejemplo. . Estos grupos predefinidos se crean automáticamente tras la instalación del rol. El sistema de filtrado utiliza los grupos de archivos para realizar esta prohibición. que no bloquean a los usuarios sino que utilizan notificaciones. El cmdlet de PowerShell Get-FSRMpermite mostrar las cuotas así como sus estadísticas de uso. El informe de uso permite identificar de manera muy rápida los recursos sobre los cuales se está próximo a alcanzar la cuota. de este modo. archivos de vídeo. evitar impactar su trabajo. que bloquean el registro de un archivo con una extensión prohibida y generan notificaciones. Es posible implementar excepciones para autorizar un tipo predefinido (por ejemplo. bloquear todas las extensiones del grupo de archivos de vídeo salvo extensiones AVI). Administración del filtrado de archivos El filtrado de archivos tiene como objetivo impedir el registro de archivos con cierta extensión (AVI. Esto permite advertir al usuario y. es posible implementar notificaciones. Los filtros pasivos. 2. están presentes la mayoría de extensiones utilizadas. Como con las cuotas. etc. Existen dos tipos de filtros: Los filtros activos. por ejemplo). Como con toda regla.). Los grupos predefinidos son completamente modificables. Los informes de almacenamiento Se recomienda utilizar informes. pues permiten recuperar información muy útil.). Es posible utilizar el comando PowerShell New-FSRMFileScreen. Los informes pueden generarse bajo demanda o bien de manera planificada (una vez al mes. HTML. Es posible. .). por ejemplo. algunos informes requieren cierta configuración (seleccionar el volumen. a las que no se aplicará la regla). 3. es posible crear nuevos grupos para dar respuesta a una necesidad concreta. Se recomienda crear plantillas de filtros de archivos con el objetivo de facilitar la administración posterior. El o los grupos de archivos a bloquear. Además. Preste atención. por ejemplo). etc. generar un informe sobre los archivos duplicados o un informe por usuario. Tras la creación de una plantilla es preciso configurar tres componentes: El tipo de filtro. etc. A continuación. Las notificaciones a generar. es necesario seleccionar el formato de salida deseado (XML. Un grupo de archivos está compuesto por archivos a incluir (extensión que se bloqueará) y archivos a excluir (extensión que formará parte de las excepciones. . pero también los distintos parámetros necesarios para dicha creación (volumen o carpeta afectada). Es posible. en una carpeta propia. la carpeta padre se configura como StorageReports. modificar la ubicación por defecto mediante las opciones del Administrador de recursos del servidor de archivos (pestaña Ubicaciones de informes). Cuando se crea la planificación de un informe es posible hablar de una tarea de creación de informes. no obstante. Esta operación consiste en indicar los informes que se quieren generar. Si se configura un servidor SMTP es posible solicitar al servidor que envíe los distintos informes por correo electrónico. presente en la partición de sistema. cada uno.Los distintos informes se almacenan. Por defecto. es necesario seleccionar la propiedad atribuida. Una vez introducida la información. a su vez. permite indicar el o las carpetas afectadas. El ámbito de la regla. en base a las siguientes propiedades: Ubicación Hora de creación y de modificación . consiste en realizar la gestión de archivos por grupos. Tareas de administración de archivos Una tarea de administración tiene como objetivo ejecutar operaciones sobre los archivos en función de la propiedad de clasificación que se les haya atribuido. al inicio o a intervalos regulares. en esta ubicación (por ejemplo. Las agrupaciones se realizan mediante atributos. 2. Tras su ejecución.Implementar la clasificación de archivos Esta funcionalidad. Windows Server 2008 R2. Estas propiedades pueden consultarse en las propiedades del documento. configurable desde la pestaña Configuración. los objetos se sitúan. Cuando se utiliza algún mecanismo de clasificación. De este modo. Existen dos métodos de clasificación que pueden utilizarse: Clasificación de carpetas: las propiedades se atribuyen a un archivo en función de la ruta de acceso a la carpeta del archivo. Por último. no obstante los archivos de Office conservan su información de propiedades de clasificación sea cual sea el sistema operativo utilizado. La segunda solución ofrece la ventaja de garantizar tener los archivos clasificados regularmente. Cuando dos reglas de clasificación entran en conflicto. algunas etapas de limpieza o de protección pueden automatizarse mediante tareas de gestión. Es. No obstante. Algunos archivos de tipo ZIP o VHD no se tienen en cuenta. es necesario configurar ciertas propiedades. preciso configurar el mecanismo de clasificación de la regla (pestaña Clasificación). La clasificación se realiza en función de un contenido. Conflicto en las listas de ordenación: la propiedad más elevada resulta prioritaria. 1. se adoptan ciertos comportamientos por defecto con el fin de regular la situación: Conflicto en las propiedades Sí/No: el valor Sí resulta prioritario. La pestañaClasificación permite especificar esta propiedad. La selección de estos archivos puede realizarse. en caso de desplazar algún archivo a un sistema de archivos que no sea NTFS puede provocar que se pierdan estas propiedades de clasificación La funcionalidad necesita. también. Clasificación de contenido: se realiza una búsqueda de cadenas o expresiones en el archivo. como mínimo. el desplazamiento (copia o desplazamiento) de un archivo de un sistema NTFS hacia otro implica la conservación de las propiedades de clasificación. Tras la creación de una regla. automáticamente. mover a la carpeta Dirección un archivo que contiene la palabra "confidencial"). las reglas de clasificación pueden ejecutarse de dos maneras. aparecida con Windows Server 2008 R2. Presentación de las reglas de clasificación Las reglas de clasificación se crean con el objetivo de atribuir a los distintos archivos propiedades de clasificación. Conflicto en las opciones múltiples: los juegos de propiedades se combinan. así como su valor. además la funcionalidad no tiene la posibilidad de procesar archivos cifrados. entonces se mantiene dicha estructura en la carpeta de expiración. se crea una carpeta en la carpeta de expiración. los distintos archivos que respondan a ciertos criterios se desplazarán automáticamente a una carpeta (carpeta de expiración) definida por el administrador. Fecha del último acceso Nombre del archivo La tarea de expiración del archivo permite automatizar el "archivado". También es posible ejecutar comandos cuando se produce la expiración. La ejecución puede realizarse mediante archivos ejecutables. Tras la ejecución de la tarea. de tipo script… El objetivo de esta acción es automatizar alguna operación sobre uno o varios archivos. . y los archivos se desplazan manteniendo la arquitectura inicial: si el archivo está presente en la carpeta Docs. En efecto. obligatoriamente. Tras la instalación del rol DFS es posible seleccionar dos servicios de rol.000 destinos de carpeta). a la empresa. en tal caso.El sistema DFS DFS es un sistema que facilita la administración de un sistema de archivos. Todos los servidores de espacios de nombres deben ejecutar Windows Server 2008. Espacio de nombres autónomo Este tipo de espacio de nombres se utiliza. vinculada con el espacio de nombres. La replicación DFS . Este espacio de nombres puede ser de tipo autónomo o estar basado en un dominio (se apoya. Además. no es necesarioclusterizar los servidores con este tipo de espacio de nombres. muy costosa. en ciertos casos. la selección del modo Windows Server 2008 supone respetar los siguientes requisitos previos: Nivel funcional del bosque igual a Windows Server 2003 o superior. El acceso a un recurso compartido se realiza. obligatoriamente. La replicación no está. Presentación del espacio de nombres DFS Un espacio de nombres simplifica la gestión de un sistema de archivos representando. facilitar la tarea del administrador. En efecto. En caso de remplazar un servidor de archivos es necesario proceder a la actualización de todos los nombres. este último ofrece la posibilidad de utilizar ABE (Access Based Enumeration. La ruta UNC está compuesta por un nombre de dominio Active Directory más el nombre del espacio de nombres (por ejemplo: \\Formacion. De este modo. Replicación DFS o DFS-R: instala un motor de replicación multimaestro que permite replicar las distintas carpetas contenidas en el espacio de nombres. en tal caso. Nivel funcional del dominio igual a Windows Server 2008. Espacio basado en un dominio Este tipo de espacio de nombres simplifica la alta disponibilidad. Ofrece. pues la ruta UNC no contiene el nombre del servidor afectado. los recursos compartidos de red. se asegura la tolerancia a fallos. Un espacio de nombres DFS permite. Esta etapa puede resultar. cuando la empresa no posee un dominio Active Directory. Espacio de nombres o DFS-N: permite instalar la consola y las herramientas necesarias para la administración del espacio de nombres.local\DocsFormacion). La alta disponibilidad se asegura mediante un clúster de conmutación por error. enumeración basada en el acceso) así como de aumentar el número de destinos de la carpeta (posibilidad de tener hasta 50. en Active Directory). por lo general. de manera virtual. 2. por lo que puede funcionar de manera autónoma sin problema alguno. 1. La replicación DFS complementa a la solución replicando los datos en otros servidores. Existen dos modelos disponibles: Windows 2000 o Windows Server 2008. mediante una ruta UNC (\\NombreDeServidor\NombreDeRecursoCompartido). La replicación puede planificarse con un uso del ancho de banda distinto en función de la hora. ABE ofrece la ventana de mostrar únicamente las carpetas a las que el usuario tiene acceso. una tolerancia a fallos redirigiendo a los usuarios a otro servidor en caso de producirse algún error. No obstante. es posible implementar la compresión diferencial remota para replicar únicamente la parte de un archivo que se haya modificado desde la última replicación. con una copia comprimida del archivo. el primer usuario que realiza la modificación aporta los cambios. el archivo en una carpeta intermedia. Tras la replicación. Se produce una copia de los archivos que han "perdido en la resolución del conflicto" en la ruta DFSrPrivate\ConflictandDeleted. y a continuación se envía el archivo. El equipo cliente del usuario contacta al servidor del espacio de nombres (1) que le envía una lista ordenada (en función de los criterios configurados por los administradores) de los servidores que contienen carpetas compartidas (destinos de carpeta) a los que el usuario puede acceder. se crea una carpeta intermedia. Funcionamiento del espacio de nombres Para facilitar la compresión del funcionamiento del espacio de nombres. Cuando se termina la descarga el archivo se descomprime y. la persona que ha realizado la última modificación aporta los cambios. La replicación DFS es un mecanismo que permite replicar las distintas carpetas sobre uno o varios servidores. Un usuario llamado Nicolás trabaja en la sede de la empresa Formacion. a su vez. Los usuarios utilizan el espacio de nombres para acceder a los distintos recursos compartidos. el usuario tiene la posibilidad de acceder a los demás servidores puesto que se ha implementado la replicación entre los dos servidores. En la etapa 2. Este tipo de replicación ofrece la ventaja de utilizar la compresión diferencial remota. 3. a continuación. por lo general. vamos a estudiar un ejemplo. Si el conflicto afecta al nombre del archivo. en DFSrPrivate\Staging. se ubica en la carpeta adecuada. Estas carpetas temporales están presentes. 4. El equipo cliente intenta acceder al primer servidor (2) de la lista (los demás se contactan únicamente si el primer servidor está en fuera de servicio). En caso de producirse algún conflicto en la replicación. La desduplicación de datos . El servidor que recibe los datos almacena. que es un protocolo de tipo cliente-servidor que permite la detección de las modificaciones (agregar/quitar/modificar) operadas sobre un archivo con el objetivo de replicar únicamente este bloque de datos modificados. La empresa está compuesta por una sede social en Madrid así como una agencia en Valencia. Este protocolo se utiliza en archivos con un tamaño mínimo de 64 KB. En el Panel. La desduplicación de datos ofrece varias ventajas. es necesario habilitar la funcionalidad en el volumen deseado.Windows Server 2012 R2 ofrece la posibilidad de habilitar la desduplicación de datos. Esta funcionalidad no puede utilizarse en una partición de sistema. Seleccione Volúmenes y. a su vez. haga clic con el botón derecho en el volumen deseado (todos. cuyo consumo se ve reducido. Esta etapa puede realizarse mediante la interfaz gráfica. El objetivo de esta funcionalidad es optimizar el espacio de disco. entre ellas la optimización del espacio en disco. Ésta puede realizarse mediante la consola Administrador del servidor. a continuación. De este modo. posible realizar la instalación mediante el comando PowerShell: Import-Module ServerManager Add-WindowsFeature -name FS-Data-Deduplication Import-Module Deduplication A continuación. a continuación. . La primera etapa de la implementación es la instalación de la funcionalidad. seleccione el servicio de rol Desduplicación. seleccione Servicios de archivos y almacenamiento. salvo el volumen del sistema). Es. En esta consola. haga clic en el enlace Agregar roles y características y. un bloque idéntico en varios archivos se almacena una única vez. configure las opciones como desee. a continuación. . Marque la opción Habilitar desduplicación de datos y.Haga clic en Configurar desduplicación de datos. Observe que las modificaciones se replican únicamente cuando se cierra un archivo. Compartición de archivos entre distintas sedes Los archivos se intercambian entre dos o más sitios de la empresa. Además. Como con la instalación. las personas en itinerancia de un sitio tienen un acceso a los distintos archivos de forma más sencilla. la etapa de activación puede realizarse por línea de comandos: Enable-DedupVolume D: 5. Esta solución permite realizar una replicación bidireccional que asegura tener todos los servidores actualizados. Escenarios DFS El sistema DFS permite trabajar con varios escenarios. Este escenario no se recomienda para archivos de tipo base de datos o archivos abiertos durante . lo que permite una tolerancia a fallos en caso de ocurrir cualquier problema en el primer servidor.un gran periodo de tiempo (por ejemplo. un archivo Excel de seguimiento en producción que esté abierto durante todo el día por parte del equipo de servicio en producción). con un coste hardware menor en los sitios remotos (ya no es necesario realizar una copia de seguridad de los archivos en cada sede puesto que se consolidan en el sitio central). . Publicación de datos Esta solución consiste en replicar los documentos en varios servidores (por ejemplo. Puede consistir en replicar los datos en un sitio concentrador con el objetivo de poder realizar una copia de seguridad. Recopilación de datos El escenario de recopilación de datos consiste en recuperar los datos de un sitio para replicarlos en otro sitio. De este modo. los datos están presentes en ambos sitios. un archivo de catálogo que se replica desde la sede matriz hacia el conjunto de agencias regionales). De este modo. cada departamento comercial puede acceder a los archivos de catálogo en su servidor local. La replicación es de tipo unidireccional. etc. . orden aleatorio. Con el uso de un espacio de nombres basado en Active Directory. Esta etapa se puede configurar en las propiedades del espacio de nombres. Optimizar para escalabilidad: todos los servidores del espacio de nombres consultan a su controlador de dominio a intervalos periódicos. 1. Es posible modificar el valor de la caché de referencia. Implementar el servicio DFS La primera etapa es la creación del espacio de nombres. por tanto.). crear las carpetas en el espacio de nombres y. ligadas ellas mismas a uno o varios destinos de carpeta. Esta etapa consiste en impedir a un equipo acceder a una carpeta compartida en un servidor. Esto permite. los servidores de dicho espacio de nombres consultan a Active Directory para obtener los datos más recientes relativos al espacio de nombres. A continuación. Debe indicarse información como el tipo de espacio de nombres (autónomo o basado en un dominio). tales como la configuración del orden de referencias. Optimización de un espacio de nombres Además de las operaciones que consisten en renombrar o desplazar una carpeta creada en el espacio de nombres. Esta etapa puede ejecutarse mediante el asistente. el administrador tiene la posibilidad de indicar el orden deseado (servidor del sitio en primer lugar.Configuración del espacio de nombres La configuración de un espacio de nombres es un conjunto de etapas que consiste en crear el espacio de nombres. Hemos visto más arriba que el servidor provee al cliente una lista ordenada. por último. 2. A continuación es posible realizar otras operaciones de tipo ABE. el modo (Windows 2000. es posible deshabilitar las referencias a una carpeta. Es posible utilizar dos modos: Optimizar para coherencia: se trata del modo por defecto. consiste en preguntar al controlador de dominio que posee el rol de Maestro emulador de PDC cuando se realiza cualquier modificación del espacio de nombres. Resulta muy útil cuando se modifican los servidores de archivos y se encuentran en plena migración. cuyo valor es de 5 minutos (300 segundos) por defecto. utilizar la lista de referencias de forma indefinida. es necesario indicar las carpetas. excluir destinos que estén fuera del sitio del cliente. es necesario tener un destino por cada sitio. los destinos de estas carpetas. Windows Server 2008) así como el nombre del servidor y el nombre del espacio de nombres. Éstas pueden apuntar sobre una carpeta compartida que ya exista o sobre una carpeta creada y compartida a tal efecto. Si los usuarios deben acceder por defecto a su servidor local. Este valor se renueva cuando el equipo utiliza una referencia. tres servidores en el mismo grupo de replicación. Mantenimiento del sistema de replicación DFS provee herramientas que permiten resolver problemas de replicación DFS. realizar una replicación de los parámetros DFS así como de los parámetros de la topología en el conjunto de los controladores de dominio. El informe de diagnóstico es una herramienta que permite crear informes de diagnóstico. y el grupo de replicación para la recopilación de datos. es necesario. Se trata del servidor que posee los archivos a replicar más actualizados. se suprime la designación del miembro principal. A continuación. El inicio de la replicación inicial no es inmediato. este servidor impone su autoridad. A continuación. y el servidor que poseía esta función ya no tiene autoridad sobre los demás servidores. Informe de propagación: permite obtener información acerca de la propagación del archivo de prueba que se ha generado en la prueba de propagación (esta etapa debe realizarse previamente). previamente. Tras la recepción. Esta topología se utiliza en el escenario de publicación (envío de un archivo de un sitio principal hacia sedes regionales). Prueba de propagación: necesaria para la generación de un informe de propagación. Proceso de replicación inicial Tras la configuración de la replicación. que permite realizar una replicación de tipo bidireccional entre dos servidores (por ejemplo. al mismo nivel que el resto de servidores. Estos informes permiten validar tres puntos: La integridad de la replicación: permite obtener informes completos acerca de la integridad y la eficacia de la replicación. 2. Esta operación permite verificar la replicación. 1. Podemos escoger entre tres topologías distintas: Concentrador y radio: esta topología requiere. puede comenzar la replicación inicial entre el miembro principal y los demás servidores. el informe ofrece información acerca del correcto funcionamiento de la replicación. y se convierte en un servidor más del miembro. Funcionamiento de la replicación Un grupo de replicación consiste en agrupar un conjunto de servidores que participan en la replicación de una o varias carpetas. Tras la configuración de la replicación es necesario seleccionar una topología. por lo que se recomienda asegurar un correcto funcionamiento de esta funcionalidad. el asistente solicita un miembro principal. En caso de conflicto. La herramienta Comprobar topología permite verificar el estado de la topología del grupo de . un servidor en la sede matriz y otro en alguna sede deslocalizada). Sin topología: esta opción permite realizar la configuración de la topología más adelante. Tras la creación del grupo es necesario realizar una elección entre un grupo de replicación multiuso. 3. permite crear un archivo en una carpeta replicada. De este modo.Configuración y mantenimiento de DFS-R Una mala replicación puede generar enormes problemas. que permite realizar una replicación entre dos servidores como mínimo (este tipo de grupo puede utilizarse en la mayoría de escenarios DFS). como mínimo. Malla completa: los miembros realizan replicaciones entre ellos en función de las modificaciones aportadas. los archivos presentes en un miembro de recepción pero no presentes en el miembro principal se mueven a la carpeta DFSrPrivate\PreExisting del miembro de recepción. A continuación. reducida. Este informe permite obtener información acerca de los miembros desconectados. El uso del algoritmo de compresión (compresión remota (RDC)) permite optimizar la replicación. en lo sucesivo es posible recuperar una base de datos corrupta. Con Windows Server 2012 R2 es posible. De este modo. La tasa de transferencia necesaria en la línea WAN se ve. se asigna a cada archivo un estado replicado igual a normal. Tras la replicación inicial. realizar la exportación de una base de datos de replicación DFS para poder importarla en otros servidores. esta herramienta permite obtener información a nivel del servicio Replicación DFS. En efecto. por tanto. Es. De este modo. mejorando el tiempo de la replicación inicial. se recuperan las modificaciones más recientes. Operaciones sobre la base de datos La replicación DFS permite realizar la replicación de una o varias carpetas de manera óptima. una base de datos corrupta desencadenaba una replicación DFS para eliminar la base de datos e iniciar una replicación inicial. Es posible realizar la exportación de los parámetros del archivo de configuración de volumen así como de la base de datos. en lo sucesivo. se reduce el tiempo de instalación inicial. es frecuente encontrar esta funcionalidad para la replicación de un espacio de nombres o para la carpeta SYSVOL. este algoritmo permite detectar los cambios y realiza únicamente la replicación de los bloques modificados. Esto podía causar pérdida de información. también. Si fuera el caso. En los sistemas operativos precedentes. también. En efecto. todos los archivos en conflicto eran remplazados (copia a la carpeta ConflictAndDeleted o PreExisting). El sistema de replicación DFS contacta con sus servidores asociados para fusionar las modificaciones. en combinación con la replicación. posible utilizar el comando dfsrdiag. La operación se realiza mediante el comando de PowerShell Export-DFSrClone. La importación se realiza mediante el comando Import-DfsrClone. Son necesarios algunos requisitos previos para poder realizar una operación de clonado: Servicio de replicación DFS instalado Una única operación de clonado a la vez por servidor Utilizar una cuenta miembro del grupo Administradores de dominio Windows Server 2012 R2 ofrece. replicación. . Utilizada por servidores locales o remotos. la base de datos se reconstruye con ayuda de la información del registro USN y de los archivos locales. De este modo. 4. una nueva funcionalidad en la gestión de esta base de datos. el sistema de replicación detecta si la base de datos está corrupta. deje marcada la opción Instalación basada en características o en roles. haga doble clic en Administrador de recursos del servidor de archivos. Instalación del rol FSRM e implementación de cuotas Objetivo: instalación del servicio de rol Administrador de recursos del servidor de archivos (FSRM). Marque Servicios de archivos y almacenamiento y. . En la ventana de selección de servidor de destino. inicie una sesión como administrador de dominio. En las Herramientas administrativas. Marque Administrador de recursos del servidor de archivos y. haga clic en Agregar roles y características. Arranque la máquina virtual AD1 y. Máquina virtual: AD1. a continuación.Trabajos prácticos: Gestión del servidor de archivos Estos trabajos prácticos muestran cómo instalar y configurar las funcionalidades que permiten administrar un sistema de archivos. deje la opción por defecto y haga clic enSiguiente. haga clic en el botón Agregar características en la ventana emergente. Haga clic en Instalar para confirmar la instalación. Servicios de iSCSI y archivo. 1. En la ventana Seleccione el tipo de instalación. a continuación. a continuación. En la consola Administrador del servidor. Se abre la consola que permite administrar el sistema de archivos. Data User en el campo Nombre de plantilla. despliegue el nodo Administración de cuotas. filtrado de archivos. haga clic en Crear plantilla de cuota. En la zona Umbrales de notificación. Haga clic con el botón derecho en Plantillas de cuota y. Escriba Limitación 100 MB .La administración del sistema de archivos (creación de plantillas de cuota. En la consola. Deje el límite en 100 MB y el tipo de cuota en Cuota máxima. La notificación que se utiliza es la creación de un evento en el registro de eventos. creación de informes) se realiza mediante esta consola. a continuación. haga clic en el botón Agregar. El . . haga clic en Insertar variable. antes de MB. escriba El tamaño total de la cuota es de: MB. Es posible modificar el texto agregando las variables deseadas. Agregue. Al final del campo Entrada de registro. la variable [Quota Limit MB] seleccionándola de la lista desplegable y.campoEntrada de registro contiene el texto y las variables. a continuación. Haga clic en Aceptar y. repita la operación para un umbral de notificación del 95%. . a continuación. . deben crearse carpetas de usuario. Ahora es posible agregar cuotas basadas en esta plantilla. Antes de realizar esta operación. Valide haciendo clic en Aceptar. Actualice la consola. cree una carpeta llamada jlopez. Aparece la cuota asignada a la carpeta. a continuación. En la consola Administrador de recursos del servidor de archivos. Seleccione la opción Aplicar plantilla autom. Seleccione la plantilla de cuota Limitación 100 MB . Haga clic en Cuotas y. en el panel Acciones. Haga clic en el botón Examinar para seleccionar la carpeta Usuarios en la partición D:. Haga clic en Crear. despliegue la opciónAdministración de cuotas. y crear cuotas en subcarpetas nuevas y existentes. cree una carpeta llamada Usuarios. .En la partición D:. haga clic en Crear cuota. En la carpeta D:\Usuarios.Data user. Abra el administrador del servidor y. a continuación. Tras la creación de este archivo se supera el primer umbral. Se crea el archivo en la carpeta jlopez con un tamaño de 85 MB. a continuación. . a continuación. escriba el siguiente comando: fsutil file createnew d:\usuarios\jlopez\file1. Abra una ventana de comandos DOS y. Despliegue los nodos Visor de eventos y Registro de Windows y. El comando permite crear un archivo de texto vacío de 85 MB.txt 89400000 Es posible descargar el archivo que contiene el comando desde la página Información. mediante la lista desplegableHerramientas seleccione Administración de equipos. haga clic en el registro Aplicación. Aparece un evento con el ID 12325 informando de la superación del umbral. Es imposible. 2. Aparece un mensaje indicando que el espacio en disco es insuficiente. Escriba la siguiente instrucción en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\file2. Actualice la consola Administrador de recursos del servidor de archivos para actualizar el valor de consumo de cuota. crear el archivo. por tanto.txt 16400000 Es posible descargar el archivo que contiene el comando desde la página Información. Implementación de una política de filtrado por extensión Objetivo: bloquear ciertas extensiones no deseadas para evitar que se almacenen archivos de . Se ha superado la cuota. Users. la plantilla Filtrado Data . seleccione la carpeta deseada y. seleccioneCrear plantilla de filtro de archivos. a continuación. Escriba Filtrado Data . a continuación. Haga clic con el botón derecho en Filtrado de archivos y. Haga clic en la pestaña Registro de eventos y.imagen (por ejemplo. Máquina virtual: AD1. En la consola Administración de recursos del servidor de archivos. seleccione Crear filtro de archivos.Users en el campo Nombre de plantilla. Haga clic en Aceptar para validar la creación de la plantilla. a continuación. despliegue el nodoAdministración del filtrado de archivos. JPG) en el servidor de archivos. Mediante el botón Examinar. a continuación. marque la opción Enviar advertencia al registro de eventos. . a continuación. Haga clic con el botón derecho en Plantilla de filtro de archivos y. Seleccione Filtrado activo en el tipo de filtrado y. Archivos de imagen entre los grupos de archivos. despliegue Registro de Windows y. La escritura de un archivo de tipo imagen está prohibida en D:\usuarios. haga clic en el registro Aplicación. a continuación. El evento con el ID 8215 registra el intento de crear un archivo cuya extensión está prohibida. Abra el Visor de eventos. Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\foto. Aparece el filtrado en la consola. Haga clic en el botón Crear. .jpg 1000 Es posible descargar el archivo que contiene el comando desde la página Información. Para ello es preciso crear una excepción al filtro de archivos. Es. En la consola Administración de recursos del servidor de archivos. . no obstante. Marque Archivos de imagen en Grupos de archivos. posible autorizar la creación de archivos de tipo imagen en la subcarpeta jlopez. Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\foto. haga clic en Crear excepción al filtro de archivos. a continuación. Haga clic con el botón derecho en Filtrado de archivos y. presente en la carpeta D:\usuarios\jlopez. La prohibición está. también. despliegue Administración del filtrado de archivos.jpg 1000 Es posible descargar el archivo que contiene el comando desde la página Información. Mediante el botón Examinar. seleccione la carpeta D:\usuarios\jlopez. Máquina virtual: AD1. .bat desde la página Información. Es posible crear el archivo. Haga clic en Aceptar para crear la excepción. 3. Cualquier usuario podría. haga clic enGenerar informes ahora. Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\foto.jpg 1000 Es posible descargar el archivo . En la consola Administración de recursos del servidor de archivos. Deje el formato de salida en DHTML. Uso de los informes de almacenamiento Objetivo: generar los informes necesarios que permitan auditar el servidor de archivos. no obstante. seleccione Uso de cuotas. esquivar el filtro modificando la extensión del archivo. En los datos del informe. haga clic con el botón derecho en Administración de informes de almacenamiento y. a continuación. Seleccione la subcarpeta jlopez presente en D:\usuarios y. a continuación. a continuación. Haga clic en la pestaña Ámbito y. a continuación.La pestaña Ámbito permite agregar carpetas al ámbito de aplicación del informe. haga clic en Aceptar. en el botón Agregar. por ejemplo. La pestaña Entregapermite. haga clic en Aceptar. Abra la página HTML que acaba de crearse. . Marque la opción para esperar a la generación de todos los informes y. enviarle un informe por correo electrónico. Haga clic con el botón derecho en Administración de informes de almacenamiento y.El informe presenta el uso de cuotas en la carpeta jlopez. En Nombre de informe. escriba Verificación filtrado + Cuota y. marque únicamente los informes Auditoría de filtrado de archivos y Uso de cuotas. haga clic en Programar una nueva tarea de informes. . a continuación. a continuación. Seleccione. marque el día deseado y programe la hora de ejecución. mediante la ventana. Haga clic en la pestaña Programación. a continuación.Haga clic en la pestaña Ámbito y. . en el botón Agregar. la carpeta jlopez presente en D:\usuarios. Aparece la planificación en la consola. . Se crea el informe en la ruta C:\StorageReports\Scheduled. a continuación. . Configuración de la clasificación Objetivo: implementar y configurar la clasificación. La administración del servidor de archivos se ve. a continuación. haga clic en Aceptar. Máquina virtual: AD1. simplificada. 4. No es preciso incluir ningún usuario en este grupo. Despliegue el nodo Administración de clasificaciones y. seleccione Propiedades de la clasificación. En AD1. Abra la consola Administrador de recursos del servidor de archivos. Escriba Confidencial en el campo Nombre y.Los informes permiten obtener de manera muy rápida información muy completa sobre un servidor de archivos. Haga clic con el botón derecho sobre este nodo y. cree un grupo de seguridad llamado Consultores (grupo de seguridad global). a continuación. así. seleccione la opción Crear propiedad local. seleccione Crear regla de clasificación.Haga clic con el botón derecho en el nodo Reglas de clasificación y. a continuación. a continuación. . En el campo Nombre de la regla escriba Nombre Confidencial y. en el menú contextual. haga clic en la pestaña Ámbito. Vuelva al asistente que permite crear la regla de clasificación y. en la pestañaÁmbito. Seleccione la pestaña Clasificación y. a continuación. en la lista desplegable Método de clasificación. . haga clic en el botón Agregar y seleccione la carpeta que acaba de crear. seleccione Clasificador de contenido. a continuación.Cree una carpeta en la partición C: con el nombre Archivos comunes. Haga clic en la pestaña Acción y. Seleccione el nodo Tareas de administración de archivos y. a continuación. en la lista desplegable Tipo. Cree una carpeta en la partición C: con el nombre Confidencial. Haga clic en el botón Configurar y. mediante el botón Agregar. en la lista desplegable Tipo de expresión. seleccione Cadena. Seleccione la pestaña Ámbito y.Verifique la presencia de la propiedad Confidencial en la lista desplegable Elija una propiedad para asignar a los archivos. seleccione la carpetaC:\Archivos comunes. Escriba Confidencial en el campo Expresión. Escriba Restricción a nivel confidencial en el campo Nombre de tarea. seleccione la carpeta Confidencial. a continuación. . Haga clic dos veces en Aceptar. seleccione Crear tarea de administración de archivos. a continuación. Con ayuda del botón Examinar. seleccioneExpiración de archivo. a continuación. txt en la carpeta C:\Archivos comunes en AD1. . Abra el Bloc de notas y. Haga clic en Aceptar para crear la tarea de administración. haga clic en el botón Agregar. Guarde el archivo con el nombre Texto1. Configure la ventana como se indica a continuación: Propiedad: Confidencial Operador: Existe Haga clic en Aceptar y. escriba Éste es un archivo confidencial. a continuación.Seleccione la pestaña Condición y. seleccione el día deseado en la pestaña Planificación. a continuación. a continuación. Máquinas virtuales: AD1 y SV1 Inicie una sesión como administrador en AD1 y SV1. a continuación. seleccione la opción Ejecutar tarea de administración de archivos ahora. correctamente. Si no se ha configurado ninguna planificación. . Planificando esta acción de manera regular. a continuación. en el menú contextual. Repita la operación para crear otro archivo. garantizaremos una clasificación correcta de los archivos. haga clic en Aceptar.txt. esta vez con el nombre Texto2. haga clic con el botón derecho en la tarea de administración de archivos con el nombre Restricción a nivel confidencial y. Seleccione la opción Ejecutar la tarea en segundo plano (recomendado) y. Comprobará que los archivos se han movido. Instalación y configuración del servidor DFS Objetivo: instalar y configurar un espacio de nombres DFS. 5. a la carpeta Confidencial. Es posible observar cómo se ha respetado la estructura de su anterior ubicación. Su contenido será idéntico al de Texto1. haga clic en Agregar funcionalidades en la ventana emergente. . a continuación. haga clic en Siguiente. a continuación. haga clic en Agregar roles y características. Haga clic en Nuevo espacio de nombres (panel Acciones) en la consola que acaba de abrir. En la ventana Seleccione el tipo de instalación. repita la misma operación con el servidor SV1. En AD1. Mediante el botón Examinar en la ventana Servidor de espacio de nombres. haga clic en Siguiente. deje la opción por defecto y. a continuación. a continuación.En AD1. en Instalar. abra la consola Administrador del servidor y. Haga clic en Cerrar al finalizar la instalación y. a continuación. seleccione ad1 y. Servicios de iSCSI y archivo. Valide haciendo clic en Siguiente. Marque Espacios de nombres DFS y Replicación DFS y. a continuación. haga clic en Administración de DFS en las Herramientas administrativas. Haga clic en Siguiente en la ventana de selección del servidor de destino. Haga clic en Siguiente en la ventana Seleccionar funcionalidades y. Despliegue los roles Servicios de archivos y almacenamiento y. a continuación. Haga clic en el botón Editar configuración. En la ventana Tipo de espacio de nombres. . deje la configuración por defecto y pulse enSiguiente. también. a los demás usuarios. En la zona Permisos de la carpeta compartida. En el campo Nombre del espacio de nombres. sus permisos. con permisos de lectura/escritura. Este menú permite configurar la ruta de acceso local a la carpeta compartida y. haga clic en el botón de radio que autoriza a los administradores con permisos de control total y. Habilitando el modo Windows Server 2008 se habilitan funcionalidades suplementarias tales como la enumeración basada en el acceso. escriba DocsFormacion. Haga clic en el botón Editar configuración. seleccione el espacio de nombres y haga clic en la pestaña Servidores de espacio de nombres. En el panel Acciones. haga clic en Agregar servidor de espacio de nombres. Si no aparece ningún error. a continuación. Haga clic en Crear para iniciar la creación. haga clic en la opción que autoriza a los administradores con permisos de control total y a los demás usuario con permisos de lectura/escritura y. Despliegue el nodo Espacios de nombres y. cierre el asistente. seleccione el servidor SV1. a . Mediante el botón Examinar. En Permisos de carpeta compartida. a continuación. en Nueva carpeta en el panelAcciones. En la ventana Agregar destino de carpeta. continuación. Haga clic en la pestaña Espacio de nombres y. mediante el botónExaminar. cree una carpeta compartida en D: con el nombre DocsRRHH. Haga clic en Aceptar y. Haga clic en Nueva carpeta compartida. En Nombre del recurso compartido escriba RRHH y. marque la opción Los administradores tienen acceso total. . Escriba Carpeta RRHH en el campo Nombre y. haga clic dos veces en Aceptar. a continuación. a continuación. haga clic en Agregar. otros usuarios tienen permisos de lectura/escritura. a continuación. haga clic en Examinar. Se ha agregado el servidor al espacio de nombres. en Nueva carpeta. Cree una nueva carpeta llamada Secretaría repitiendo el mismo procedimiento. Haga clic en Examinar en la ventana Buscar carpetas compartidas. Haga clic en Aceptar para validar todas las ventanas. a continuación haga clic en Aceptar.local\DocsFormacion que permite acceder a sus carpetas sin tener por qué conocer el servidor sobre el que están ubicados. Valide las ventanas haciendo clic en Aceptar. haga clic en Examinar. En el campo Nombre escriba Secretaría y. de nuevo. . En la ventana Agregar destino de carpeta. Escriba SV1 y valide la selección haciendo clic en Comprobar nombres. haga clic en Agregar. Existe un acceso a \\formacion. Se muestran en la consola las dos carpetas. Haga clic en Mostrar carpetas compartidas y. a continuación. a continuación. en DocsFormacion. Haga clic. Las dos carpetas presentes en el espacio de nombres se encuentran en dos servidores separados. seleccione Grupo de replicación multipropósito y. escriba Grupo RRHH y. Configuración de la replicación Objetivo: implementar la replicación DFS entre dos servidores. a continuación. a continuación. valide haciendo clic en Siguiente. . en Nuevo grupo de replicación en el panel Acciones. Es útil activar la replicación DFS para asegurar la disponibilidad de los datos. haga clic en el nodo Replicación y. haga clic en Siguiente. En la ventana que permite escoger el tipo de grupo. En la consola Administración DFS. 6. Máquinas virtuales: AD1 y SV1. a continuación. En Nombre del grupo de replicación. Deje la opción por defecto en la ventana Programación del grupo de replicación y ancho de banda y. haga clic en Siguiente. Valide haciendo clic en Aceptar y. a continuación. seleccione la carpeta DocsRRHH. haga clic en Siguiente. haga clic en Siguiente. seleccionar las carpetas que se quieren replicar. . Haga clic en el botón Agregar. a continuación. haga clic en Examinar y. Es preciso. En la lista desplegable que permite escoger el Miembro principal. Debe agregar los servidores AD1 y SV1. a continuación. a continuación. Es posible planificar o limitar el ancho de banda para evitar crear un cuello de botella. Para realizar esta operación. seleccione AD2 y. haga clic en Siguiente. a continuación. a continuación. En la ventana Carpetas que se replicarán. Seleccione el tipo de topología Malla completa y. haga clic en el botónAgregar. haga clic en el botónEditar. . a continuación. haga clic en Examinar. Escoja la opción Habilitada y. Cree una nueva carpeta llamada DocsRRHH en la partición C: del servidor SV1. en Crear. Haga clic en Siguiente y. Si todo queda de color verde. a continuación.En la ventana Ruta de acceso local de DocsRRHH en otros miembros. haga clic en Cerrar. El miembro principal es SV1. Uso de informes Haga clic en el grupo de replicación Grupo RRHH y. a la ruta UNC \\formacion.local\docsformacion. en el panel Acciones haga clic en Crear informe de diagnóstico. a continuación. haga clic en Siguiente. Cree un archivo de texto llamado CV en Carpeta RRHH y. Seleccione la opción Prueba de propagación y. con ayuda del explorador. . Repita la misma operación con la carpeta Secretaría. otro archivo llamadoContrato en Secretaría. Acceda. Se ha realizado la replicación y los archivos están replicados. a continuación. La replicación puede llevar cierto tiempo. a continuación. Verifique la presencia de ambos archivos en las carpetas Carpeta RRHH y Secretaría de ambos servidores. y el grupo de replicación se denominará Grupo Secretaría. Deje la ruta por defecto y. haga clic en Siguiente. a continuación. En la ventana de las opciones del informe. La ventana Ruta de acceso de informe permite seleccionar la carpeta que va a contener el informe. haga clic en Siguiente. Haga clic en el grupo de replicación Grupo RRHH y. . a continuación. Seleccione la opción Informe de propagación. haga clic en Siguiente. Haga clic en el botón Crear para iniciar la operación. Si no ocurre ningún error. haga clic en Cerrar. Haga clic en Crear para iniciar la operación de creación. en el panel Acciones haga clic en Crear informe de diagnóstico. a continuación. Deje los valores por defecto y. El informe se ejecuta al finalizar el asistente. Puede resultar útil planificar la creación de estos informes.Los informes permiten no sólo asegurar el buen funcionamiento del espacio de nombres DFS sino también la replicación. . 1 ¿Qué permite realizar FSRM? 2 ¿Para qué puede servir un informe que indique los archivos abiertos con menor frecuencia? 3 ¿Qué módulo PowerShell permite realizar la configuración del rol FSRM? 4 ¿Qué es una cuota? 5 ¿A qué se puede aplicar una cuota? 6 ¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia? 7 ¿Cuáles son las distintas notificaciones que es posible utilizar? 8 ¿Por qué conviene utilizar una plantilla de cuota? 9 ¿Qué applet PowerShell permite obtener información acerca de las cuotas? 10 ¿Cuál es el objetivo del filtrado de archivos? 11 ¿Cómo se agrupan las extensiones cuya ejecución debe bloquearse? 12 ¿Cuáles son los distintos tipos de filtros que es posible implementar? 13 ¿Qué applet PowerShell permite implementar un filtrado de archivos? 14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. Resultados Consulte las siguientes páginas para comprobar sus respuestas. .Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. ¿Cuál es la utilidad de los archivos a excluir? 15 Nombre los formatos de informes que es posible utilizar. 16 ¿Cuál es el nombre de la carpeta padre que contiene los informes? 17 ¿Qué permite hacer la funcionalidad DFS? 18 ¿Cuál es el objetivo de la replicación DFS? 19 ¿Es posible utilizar la replicación DFS sin instalar el espacio de nombres DFS? 20 ¿Cuáles son los dos tipos de espacios de nombres que es posible configurar? 21 ¿Qué aporta el modo Windows Server 2008? 22 ¿Qué es ABE? 23 ¿Qué niveles funcionales son necesarios para implementar el modo Windows Server 2008? 24 ¿Qué ventaja supone utilizar la compresión diferencial remota? 25 ¿Cuál es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted? 26 ¿Cuál es el objetivo de la desduplicación de datos? 27 ¿Es posible utilizar la desduplicación sobre una partición de sistema? 28 ¿Cómo se realizan las operaciones de exportación y de importación de la base de datos? 29 ¿Es necesario instalar el servicio de replicación DFS para asegurar la alta disponibilidad en un espacio de nombres DFS? 2. simplemente. o filtros pasivos que simplemente realizan notificaciones. 9 ¿Qué applet PowerShell permite obtener información acerca de las cuotas? Para obtener información acerca de las cuotas es preciso utilizar el applet PowerShell Get-FSRM. 7 ¿Cuáles son las distintas notificaciones que es posible utilizar? Una vez implementada una cuota es posible configurar varios tipos de notificaciones. 5 ¿A qué se puede aplicar una cuota? Es posible aplicar una cuota a un volumen o. agregar un evento en el visor de eventos o. 11 ¿Cómo se agrupan las extensiones cuya ejecución debe bloquearse? La funcionalidad Filtrado de archivos utiliza grupos de archivos con el objetivo de agrupar un conjunto de extensiones a bloquear.Por cada respuesta correcta. la actualización. impide al usuario superar el límite impuesto. Es posible enviar un correo. 3 ¿Qué módulo PowerShell permite realizar la configuración del rol FSRM? El módulo FileServerResourceManager permite configurar el rol FSRM. 2 ¿Para qué puede servir un informe que indique los archivos abiertos con menor frecuencia? El informe que indica los archivos abiertos con menor frecuencia puede resultar muy útil para implementar una estrategia de archivado. a su vez. 10 ¿Cuál es el objetivo del filtrado de archivos? El filtrado de archivos tiene como objetivo impedir la ejecución de archivos con determinadas extensiones. el conjunto de cuotas generadas a partir de la misma reciben. su puntuación mínima debería ser de 23 sobre 29. ejecutar un comando. generar un informe. Número de puntos: /29 Para superar este capítulo. Realizando una modificación sobre la plantilla. 3. cuente un punto. 6 ¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia? Una cuota de advertencia permite al usuario superar el límite impuesto. aunque se realizan las distintas notificaciones implementadas. Una cuota máxima. dejando que se ejecute el archivo. . por el contrario. 4 ¿Qué es una cuota? Una cuota es un elemento que permite limitar el espacio asignado para cada usuario. 8 ¿Por qué conviene utilizar una plantilla de cuota? Una plantilla de cuota facilita el hecho de aportar posibles actualizaciones a las cuotas. simplemente. Este informe permite archivas aquellas carpetas menos abiertas. 12 ¿Cuáles son los distintos tipos de filtros que es posible implementar? Es posible implementar filtros activos que impiden la ejecución del archivo cuya extensión está prohibida. es posible aplicar automáticamente la cuota a las subcarpetas. Respuestas 1 ¿Qué permite realizar FSRM? FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que permiten administrar y controlar distintos tipos de datos. a una carpeta. Además. ¿Cuál es la utilidad de los archivos a excluir? Los archivos a excluir permiten determinar las extensiones de archivos que no se bloquearán. CSV. 25 ¿Cuál es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted? Esta carpeta contiene los archivos que presentaron algún conflicto y lo "perdieron". 17 ¿Qué permite hacer la funcionalidad DFS? DFS es un sistema que facilita la administración de un sistema de archivos. 15 Nombre los formatos de informes que es posible utilizar. una tolerancia a fallos redirigiendo a los usuarios hacia otro servidor en caso de producirse algún error grave. los espacios de nombres basados en un dominio y los que son autónomos. 20 ¿Cuáles son los dos tipos de espacios de nombres que es posible configurar? Tras la configuración del espacio de nombres. 27 ¿Es posible utilizar la desduplicación sobre una partición de sistema? No. es posible utilizar la replicación DFS sin tener que configurar un espacio de nombres DFS. Ofrece. tras la resolución del mismo. es preciso seleccionar los tipos de espacio de nombres deseados. . 16 ¿Cuál es el nombre de la carpeta padre que contiene los informes? Los informes se crean en la carpeta StorageReports presente en la partición del sistema. 26 ¿Cuál es el objetivo de la desduplicación de datos? El objetivo de esta funcionalidad es optimizar el espacio en disco. 23 ¿Qué niveles funcionales son necesarios para implementar el modo Windows Server 2008? El modo Windows Server 2008 requiere. 18 ¿Cuál es el objetivo de la replicación DFS? La replicación DFS tiene como objetivo replicar los datos de un servidor a otro. a una empresa. como mínimo. Entre otros. un nivel funcional Windows Server 2003 a nivel del bosque y un nivel Windows Server 2008 a nivel del dominio. Existen varios formatos que es posible configurar tras la generación de un informe. un bloque idéntico contenido en varios archivos se almacena una única vez. 22 ¿Qué es ABE? ABE. o Access Based Enumeration. aunque también tienen la posibilidad de tener varios destinos de carpeta. 19 ¿Es posible utilizar la replicación DFS sin instalar el espacio de nombres DFS? Sí. Texto. De este modo. encontramos los formatos DHTML. HTML. XML. es imposible utilizar la desduplicación en una partición de sistema. Existen dos opciones posibles. solo puede aplicarse en una partición de datos. 24 ¿Qué ventaja supone utilizar la compresión diferencial remota? La compresión diferencial remota permite replicar únicamente las modificaciones aportadas. permite mostrar únicamente aquellas carpetas sobre las que el usuario tiene acceso. 14 Un grupo de archivos contiene archivos a incluir y archivos a excluir.13 ¿Qué applet PowerShell permite implementar un filtrado de archivos? Es posible utilizar el comando PowerShell New-FSRMFileScreen para implementar filtros. 21 ¿Qué aporta el modo Windows Server 2008? El modo Windows Server 2008 aporta nuevas funcionalidades tales como ABE. .28 ¿Cómo se realizan las operaciones de exportación y de importación de la base de datos? Las operaciones de importación y de exportación de la base de datos se realizan mediante cmdlets de PowerShell. 29 ¿Es necesario instalar el servicio de replicación DFS para asegurar la alta disponibilidad en un espacio de nombres DFS? Sí. el servicio de replicación DFS es un requisito previo. Para realizar la operación de exportación. la importación se opera con Import-DfsrClone. se utiliza Export-DFSrClone. Requisitos previos y objetivos 1. Objetivos Descripción del sistema EFS. Requisitos previos Poseer nociones acerca de los certificados digitales. Mantenimiento y administración de EFS. 2. Conocer el principio de funcionamiento de una auditoría. . Implementación y resolución de problemas del sistema de auditoría. Existen varios mecanismos de seguridad. Junto a estos mecanismos.Introducción La seguridad de los archivos y las carpetas es un aspecto esencial en los tiempos actuales. y cada uno responde a una necesidad de seguridad diferente. es posible implementar un sistema de auditoría que permita disuadir las tentativas de realizar una intrusión y auditar las modificaciones realizadas sobre un directorio Active Directory… . Presentación de EFS La funcionalidad EFS está presente en los sistemas operativos de cliente y de servidor desde hace varios años. marque la opción Cifrar contenido para proteger datos. Es. En la pestaña General de las propiedades de la carpeta o del archivo. cualquier usuario puede cifrar los archivos locales o los que se encuentran en una carpeta compartida de red sin acción por parte de un administrador. No es preciso poseer permisos de administración para realizar el cifrado. . no obstante. necesario almacenar estos archivos en una partición de tipo NTFS. es necesario comprender su mecanismo de funcionamiento antes de proceder a su implementación para que sea correcto. a continuación. haga clic en Opciones avanzadas y. No obstante. Funcionamiento de EFS EFS (Encryption File System) permite cifrar los archivos para dotar de seguridad a sus accesos. 1. Se utiliza un certificado para el cifrado y descifrado de los datos. Para realizar este cifrado es preciso acceder a las propiedades de la carpeta o del archivo deseado. imposible acceder a los archivos sin poseer la clave privada del usuario. por su parte.A continuación. además. se asigna un certificado autofirmado al usuario que inicia el cifrado. Se utiliza una clave simétrica para realizar el cifrado de los archivos y. Es. la misma clave para cifrar y descifrar la información. esto requiere una administración algo más pesada puesto que es necesario administrar la entidad y gestionar la copia de seguridad / restauración de dicho servidor. Para facilitar la gestión de los certificados. cualquier pirata que consiga interceptar la clave simétrica puede descifrar el archivo. Un par de claves permiten realizar el cifrado y el descifrado se le provee sin que el usuario tenga que intervenir. por tanto. El cifrado asimétrico utiliza dos claves: una clave pública y una clave privada. un usuario puede poseer autorizaciones NTFS sobre el archivo pero recibir un mensaje de Acceso denegado. es necesario autorizar al usuario a descifrar el archivo y. resultando mucho más rápido que el cifrado asimétrico. El inconveniente principal es relativo a la seguridad. En efecto. aparece un mensaje que indica que se rechaza el acceso. Por defecto. En caso de una persona no autorizada. . el usuario recibe un certificado con las claves privada y pública. es posible utilizar certificados emitidos por una entidad de certificación. EFS utiliza un sistema de cifrado simétrico y asimétrico. La clave pública permite cifrar los archivos mientras que la clave privada permite descifrarlos. con el sistema EFS. por tanto. la clave pública (cifrado asimétrico) permite cifrar la clave simétrica necesaria para el descifrado de los archivos. Implementando EFS. Preste atención. protegerlos contra cualquier ataque. sólo las personas autorizadas tienen la posibilidad de descifrar y acceder al archivo. otorgarle autorización NTFS. sólo los usuarios que poseen el certificado tendrán la posibilidad de acceder al archivo. De este modo. El cifrado simétrico utiliza. el cual podrá descifrar los archivos. necesario implementar los procedimientos adecuados para responder a este tipo de problemáticas propias del cifrado. por tanto. En caso de pérdida del certificado. Para realizar una copia de seguridad del certificado. Es. por ejemplo). El administrador se considera. Este usuario se agrega automáticamente a los nuevos archivos cifrados. El rol Agente de recuperación puede asignarse a un usuario mediante una directiva de grupo.2. tras la reinstalación de un equipo. Si muchos usuarios utilizan esta solución puede resultar bastante complejo gestionarla. posible restablecer el certificado en el perfil del administrador. Recuperación de un archivo cifrado La pérdida de la clave privada puede resultar problemática. Este agente es una cuenta a la que se le atribuyen permisos para descifrar todos los archivos cifrados mediante EFS. Uso de un agente de recuperación. por defecto. Es posible delegar este rol a algún otro usuario mediante las directivas de grupo. en los que ya estuvieran cifrados la actualización se realiza más adelante cuando se vuelve a guardar (tras una modificación. para un usuario. Resulta. descifrar su propio archivo. como un agente de recuperación. . Por defecto. para ello es preciso acceder a la ruta Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Sistema de archivos EFS (Encrypting File System). en efecto es imposible. Existen varias soluciones que permiten evitar la pérdida del conjunto de datos cifrados: Realizar una copia de seguridad del certificado digital. la cuenta Administrador de dominio posee este rol. o tras producirse un error en el sistema de información… es posible restablecer el certificado. por ejemplo. a su vez. es necesario exportarlo con la clave privada. Definir la configuración de auditoría sobre un archivo o una carpeta La implementación de este tipo de configuración permite auditar los accesos realizados por uno o varios usuarios sobre un archivo o carpeta. acceso a un archivo…). Es vital prestar atención al número de eventos auditados. La configuración se realiza en varias etapas: Definir la configuración de auditoría: cree una directiva de grupo o modifique alguna existente y. 2. solo se auditan las conexiones con éxito. realizar la configuración correspondiente para habilitar la auditoría. Es posible habilitar varios tipos de configuración de auditoría. modificación de una cuenta de Active Directory. a continuación. archivo sobre un servidor de archivos…). solo se auditan las conexiones con éxito. en efecto. restablecer contraseña…). para los intentos erróneos es preciso configurar el parámetro adecuado. entre ellos: Auditar sucesos de inicio de sesión en cuenta: se genera un evento cada vez que un usuario o un equipo intenta realizar una autenticación mediante una cuenta de Active Directory (inicio de sesión del usuario en el dominio. Es habitual encontrar la auditoría de los intentos correctos. Es preciso. Por defecto. Visión general de la política de auditoría Una directiva de auditoría permite al administrador supervisar ciertas acciones (inicio de sesión. a continuación. 1. Auditar la administración de cuentas: permite implementar una auditoría sobre la gestión de cuentas de Active Directory (modificación. despliegue los nodos Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y. no obstante. Por defecto. Una vez realizada la configuración deseada es necesario realizar las autorizaciones correspondientes en la SACL (System Access Control List) del objeto auditado. Auditar sucesos de inicio de sesión: agrega un evento al registro de eventos de seguridad cuando un usuario intenta acceder a un recurso compartido (directiva de grupo o script sobre un controlador de dominio. modifique la configuración presente en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría. por ejemplo). Estos registros pueden visualizarse en el registro de eventos de Seguridad. un número importante de auditorías implica un número importante de entradas en el registro de eventos. . eliminación.Configuración de la auditoría Los registros de auditoría permiten almacenar ciertas acciones realizadas por los usuarios. Las directivas de auditoría se configuran mediante las directivas de grupo en Configuración del equipo. Directivas de auditoría. Configurar la lista SACL: una vez realizada la configuración es preciso configurar la lista SACL del objeto a auditar (archivo. . cuenta AD…). a continuación. Haga clic en el botón Opciones avanzadas presente en la pestaña Seguridad y. a continuación. Ejemplo sobre un archivo Vaya a las propiedades del archivo o de la carpeta y. También es posible configurar más parámetros accediendo a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría. seleccione la pestaña Auditoría. seleccione la pestañaSeguridad. La selección Control total permite auditar cualquier acción. Seleccione la acción que desea auditar (lectura. escritura…) marcando la autorización adecuada. configure el usuario o grupo deseado. . mediante el enlace Seleccionar una entidad de seguridad. a continuación.Haga clic en Agregar y. Haga clic en Agregar y. Vaya a las propiedades del objeto que debe auditarse y. mediante el menú Herramientas abra la consola Visor de eventos. de modo que la configuración que permite auditar las cuentas de Active Directory se aplica sobre un controlador de dominio mientras que la auditoría de modificaciones de archivo se aplica sobre un servidor de archivos. Para acceder abra la consola Administrador del servidor y. a continuación. Haga clic en el botón Opciones avanzadas y. seleccione la pestañaSeguridad. es preciso seleccionar el tipo de auditoría deseado (correcto o error). la implementación se realiza de la misma forma sea cual sea el parámetro. Es posible habilitar la auditoría desde una directiva local o de dominio. Para finalizar. a continuación. Seleccione la acción que desea auditar (lectura. escritura…) marcando la autorización adecuada. A continuación. aparecen registros de eventos en el registro Seguridad. . Ejemplo sobre una cuenta de AD Tras la implementación de este parámetro es preciso que el usuario. configure el usuario o grupo deseado. mediante el enlace Seleccionar una entidad de seguridad. 3. a continuación. Es preciso habilitar la configuración de la directiva de grupo. Es preciso aplicar esta configuración al servidor que contiene el objeto auditado. pues permiten observar intentos de piratería. vaya a la pestaña Auditoría. Recuerde que las auditorías de eventos correctos tienen el inconveniente de crear bastantes más eventos. el equipo o el grupo accedan al recurso para que se cree un evento. a continuación. Los eventos de auditoría de intentos fallidos son más importantes que los eventos de auditoría correspondientes a intentos con éxito. en caso contrario no se registrará ningún evento en el registro de eventos de Seguridad. Activación de la política de seguridad La configuración de la SACL no habilita la directiva de auditoría. que permite obtener información adicional. . acceda al nodo Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría que provee muchos más parámetros que la ruta por defecto. De este modo. definidos. 4. Se observan dos tipos de eventos: Auditoría correcta y Error de auditoría. Se recomienda utilizar filtros o vistas personalizadas para mostrar únicamente los eventos deseados.. Las vistas personalizadas se abordan más adelante en este libro. es posible obtener controles más detallados. Para ello. Es importante observar el campo Detalles. Inicio de sesión de cuentas: permite auditar la información de inicio de sesión y eventos de autenticación mediante el protocolo Kerberos. También resulta práctico obtener únicamente los eventos con un ID. Política de auditoría avanzada Desde Windows Server 2008 R2 es posible implementar políticas de auditoría más específicas. un nombre de usuario. etc. Existen diez grupos de parámetros de directiva de grupo. Inicio y cierre de sesión: este grupo permite auditar todos los eventos de inicio o cierre de sesión. auditar las modificaciones y la replicación del directorio.). . Seguimiento detallado: este parámetro permite implementar auditorías de los eventos de cifrado. a su vez.Administración de cuentas: las modificaciones aportadas a una cuenta de usuario. etc. de equipo o a un grupo pueden ser auditadas mediante este grupo de opciones. Acceso DS: se auditan los accesos a los servicios de directorio. de operaciones sobre los procesos de Windows (parada. este grupo puede. . a un archivo. simplemente. a una aplicación o.Acceso a objetos: este grupo contiene los parámetros necesarios para implementar auditorías relativas al acceso a los registros. a continuación. seleccione la opciónEditar en el menú contextual. en el menú contextual. y. Configuración de Windows. a continuación. a continuación. a continuación. seleccione Nuevo y Unidad organizativa. Haga clic en Acceso a objetos y. a continuación. despliegue Bosque: Formacion. . Haga clic con el botón derecho en la unidad organizativa Servidores.local y. Despliegue los nodos Configuración del equipo.local. En AD1. Directivas. 1. Haga clic con el botón derecho en Auditoría avanzada y. haga clic en Aceptar. Haga clic con el botón derecho en Formacion. a continuación. a continuación. Correctoy Error. Mueva la cuenta de equipo de SV1 a la unidad organizativa Servidores. Escriba Servidores en el campo Nombre y. haga clic en Aceptar. a continuación. Marque las opciones Configurar los siguientes eventos de auditoría y. Directivas de auditoría. haga clic en Crear un GPO en este dominio y vincularlo aquí. abra la consola Usuarios y equipos de Active Directory. Escriba Auditoría avanzada en el campo Nombre y. Configuración de directiva de auditoría avanzada. haga doble clic en Auditar recurso compartido de archivos detallado.Configuración de seguridad. Máquinas virtuales: AD1.Trabajos prácticos: Configuración de la auditoría Estos trabajos prácticos permiten implementar una política de auditoría.local\Dominios\Formacion. SV1 y CL8-01. Abra la consola Administración de directivas de grupo y. Configuración de una política de auditoría avanzada Objetivo: implementar una política de auditoría mediante una política de auditoría avanzada. abra la consola Administrador del servidor y. mediante el menúHerramientas. a continuación. cree un archivo en su interior. a continuación. Arranque SV1 y. inicie una sesión como administrador de dominio. a continuación. a continuación. acceda a la consola Visor de eventos. El recurso compartido se ha creado en el capítulo anterior. dedicado a DFS. . Observará en el registro un evento cuyo origen es Microsoft Windows security. a continuación. Despliegue el nodo Registro de Windows y. acceda al recurso compartido \\SV1\Secretaría y. escriba el comando gpupdate /force. Haga clic en Aceptar para validar la configuración. En CL8-01. En SV1. inicie una sesión como emartinez (contraseña: Pa$$w0rd). Abra una ventana de comandos DOS y. Desde el equipo CL8-01. con categoríaRecurso compartido de archivos detallado. haga clic en Seguridad. Auditar las modificaciones en Active Directory Objetivo: implementar una política de auditoría que permita auditar las modificaciones realizadas sobre el grupo Administradores de dominio. Haga clic en el menú Ver de la consola MMC y asegúrese de que está marcada la opción Características avanzadas. . haga clic en el botón Opciones avanzadas. Abra la pestaña Seguridad y. haga clic en Propiedades. Despliegue el dominio formacion. Si no ve la pestaña Seguridad. cierre el cuadro de diálogo. Esto no ocurre en los siguientes trabajos prácticos. Haga clic con el botón derecho en el grupo Controladores de dominio y. a continuación.local y haga clic en el contenedor Usuarios. abra la consola Usuarios y equipos de Active Directory. no es obligatorio configurar la SACL. La configuración activa es válida para el conjunto de recursos compartidos del servidor (consulte la pestaña Explicación en la configuración de la directiva de grupo). 2. no es necesario configurar ninguna SACL. En AD1.En función de la configuración. Máquina virtual: AD1. a continuación. a continuación. seleccione la primera entrada de auditoría cuya columna Acceso esEspecial y. Haga clic con el botón derecho en Default Domain Controllers Policy y. Esta entrada va a permitir realizar la auditoría de los intentos correctos de modificación de las propiedades de grupo.local\Dominios\Formacion. haga clic en la unidad organizativa Domain Controllers. .local y. En la consola Editor de administración de directivas de grupo. Despliegue los nodos Bosque: Formacion. despliegue los nodosConfiguración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada. Haga clic en Control total y. seleccione Editar. tales como la modificación del propietario. haga clic en Acceso DS. a continuación. a continuación. Abra la consola Administración de directivas de grupo. tres veces en Aceptar para validar todas las ventanas. a continuación. Abra la pestaña Auditoría. haga clic en Modificar. En Directivas de auditoría. En SV1. Haga clic en el botón Uso compartido avanzado…. SV1 y CL8-01. asígnele el permiso Control total. Acceda a las Propiedades de la carpeta y. Agregue la cuenta Administradores de empresas y. en Aceptar. Máquinas virtuales: AD1. 3. elimine la entrada Todos. Despliegue los nodos Visor de eventos y Registro de Windows y. Agregue la cuenta emartinez al grupo Controladores de dominio. a continuación. Haga clic en Aplicar y. marque la opciónConfigurar los siguientes eventos de auditoría y Correcto. . marque la opción Compartir esta carpeta. En AD1. a continuación. Abra la consola Administración del equipo del controlador de dominio desde la consolaAdministrador del servidor (menú Herramientas). a continuación. cree una carpeta llamada Informática en la partición C:. a continuación. Aparece un nuevo registro. En la ventana Uso compartido avanzado. abra una ventana de comandos DOS y escriba el comando gpupdate /force. haga clic en el registro Seguridad. Haga doble clic en Auditar cambios de servicio de directorio y. a continuación. Haga clic en el botón Permisos y. La consideración del parámetro de auditoría puede llevar varios segundos. haga clic en la pestaña Compartir. a continuación. Auditoría de los accesos a una carpeta Objetivo: implementar la configuración de la auditoría que permite auditar una carpeta. haga clic en la pestaña Seguridad. en Deshabilitar herencia. a continuación. haga clic enComprobar nombres. Haga clic en Quitar todos los permisos heredados de este objeto. Haga clic en Agregar y. dos veces en Aceptar. a continuación. a continuación. asígnele al objeto el permiso Control total. escriba Administradores de empresas y.Haga clic en Aplicar y. . a continuación. en el enlace Seleccionar una entidad de seguridad. a continuación. En la ventana de las propiedades de la carpeta Informática. Haga clic en Aceptar y. Haga clic en el botón Opciones avanzadas y. En la ventana de selección. en Aceptar. escribaemartinez. a continuación. Haga clic en Comprobar nombres y. En la pestaña Auditoría. Haga clic en el enlace Seleccionar una entidad de seguridad y. . a continuación. a continuación. haga clic en Agregar. haga clic en el permiso Control total. a continuación. en Aplicar.Haga clic en Aceptar y. En la lista desplegable Tipo. seleccione Error y. Se abre la consola Editor de administración de directivas de grupo. Escriba Auditoría carpeta Informática en el campo Nombre y. Despliegue los nodos Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría. a continuación. escoja la opción Nuevo. haga clic enAceptar. Haga clic con el botón derecho en la directiva y.Haga clic dos veces en Aceptar y. a continuación. Haga doble clic en Auditar el acceso a objetos. en Cerrar. En el menú contextual. abra la consola Administración de directivas de grupo y. a continuación. En AD1. marque la opción Definir esta configuración de directiva y seleccione la opción Error. . haga clic con el botón derecho en Objetos de directiva de grupo. seleccione la opción Editar. a continuación. Haga clic en Aplicar y. Vincule la directiva Auditoría carpeta Informática a la unidad organizativa Servidores. a continuación. Cierre la consola Editor de administración de directivas de grupo. . Inicie una sesión como emartinez (contraseña Pa$$w0rd) en CL8-01. Aparece un mensaje de advertencia informando un acceso denegado. Abra una ventana de comandos DOS y ejecute el comando gpupdate /forceen SV1. Trate de acceder a la carpeta compartida Informática ubicada en SV1. en Aceptar. despliegue los nodos Visor de eventos y Registro de Windows. Es posible realizar la misma operación para un grupo de usuarios. Abra el evento que referencia a la tentativa de acceso de emartinez (ID 5145). abra la consola Administración de equipos y. Visualice el registro de eventos Seguridad. En SV1. . a continuación. Se registra correctamente el intento de acceso de emartinez a la carpeta Informática. cuente un punto. Para poder definir la configuración de la directiva de auditoría. 3. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 2 ¿Qué tipo de partición es preciso utilizar para implementar EFS? Es posible implementar EFS si la partición es de tipo NTFS. basta con tener permisos de usuario para realizar el cifrado de los datos. Los archivos o protocolos se firman mediante un certificado digital. 3 ¿Es necesario poseer permisos de administración para cifrar los datos? No. Respuestas 1 ¿Qué permite hacer EFS? EFS (Encryption File System) permite implementar un sistema de seguridad sobre el contenido de los archivos. su puntuación mínima debería ser de 10 sobre 14. Número de puntos: /14 Para superar este capítulo. Solo éste tiene la posibilidad de descifrar el archivo.Validación de conocimientos adquiridos: preguntas/respuestas 1. Por cada respuesta correcta. ¿es preciso configurar la parte de usuario o bien la parte de equipo? 12 ¿Qué permite obtener la configuración avanzada de la directiva de auditoría? 13 ¿Qué es la SACL? 14 ¿En qué registro de eventos es posible visualizar el resultado de una directiva de grupo? 2. 1 ¿Qué permite hacer EFS? 2 ¿Qué tipo de partición es preciso utilizar para implementar EFS? 3 ¿Es necesario poseer permisos de administración para cifrar los datos? 4 ¿Es posible cifrar el contenido de un recurso compartido de red? 5 ¿De dónde proviene el certificado que utiliza EFS? 6 ¿Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS están bien configuradas? 7 ¿Qué tipo de cifrado se utiliza con EFS? 8 ¿Qué medios permiten recuperar un archivo cifrado? 9 ¿Por qué medios puede configurarse un agente de recuperación? 10 ¿En qué consiste un sistema de auditoría? 11 Una directiva de auditoría se configura mediante una GPO. Resultados Consulte las siguientes páginas para comprobar sus respuestas. 4 ¿Es posible cifrar el contenido de un recurso compartido de red? Es posible cifrar archivos y carpetas locales o alojados en un recurso compartido de red. . carpeta…). 11 Una directiva de auditoría se configura mediante una GPO. Para definir la configuración de la directiva de auditoría. un cifrado simétrico para el cifrado del archivo y un cifrado asimétrico para el cifrado de la clave que ha permitido realizar el cifrado. de modo que el resultado sea más fiable. 13 ¿Qué es la SACL? La SACL es la lista de los controles de acceso para los que se ha configurado alguna auditoría. 14 ¿En qué registro de eventos es posible visualizar el resultado de una directiva de grupo? El registro de Seguridad contiene todos los eventos vinculados a una auditoría. Si una gran cantidad de usuarios utilizan EFS. 7 ¿Qué tipo de cifrado se utiliza con EFS? EFS utiliza dos tipos de cifrado. 9 ¿Por qué medios puede configurarse un agente de recuperación? Un agente de recuperación puede configurarse mediante una directiva de grupo. la cuenta de administrador de dominio es un agente de recuperación. . Por defecto. se recomienda utilizar la solución Agente de recuperación. 10 ¿En qué consiste un sistema de auditoría? Un sistema de auditoría consiste en implementar la supervisión de alguna acción sobre un objeto (cuenta de Active Directory. puesto que el usuario puede tener el permiso NTFS para acceder a los archivos pero no la posibilidad de descifrarlos si no posee el certificado. ¿es preciso configurar la parte de usuario o bien la parte de equipo? La configuración del equipo permite implementar los parámetros de auditoría. 8 ¿Qué medios permiten recuperar un archivo cifrado? Para recuperar un archivo cifrado es necesario realizar una copia de seguridad del certificado digital para poder restablecerlo en caso de pérdida o de corrupción. 12 ¿Qué permite obtener la configuración avanzada de la directiva de auditoría? La configuración avanzada de la directiva de auditoría permite implementar parámetros más afinados. de modo que tiene la posibilidad de abrir cualquier archivo. 6 ¿Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS están bien configuradas? Sí. es posible. 5 ¿De dónde proviene el certificado que utiliza EFS? El sistema EFS puede utilizar dos tipos de certificado: un certificado emitido por una entidad emisora de certificados o un certificado autofirmado entregado cuando el usuario no tiene un certificado emitido por una entidad de certificación. Crear grupos de equipos y distribuirles actualizaciones aprobadas. .Requisitos previos y objetivos 1. Requisitos previos Conocer el funcionamiento de Windows Update. Objetivos Instalar y configurar un servidor WSUS. 2. Utilizar los informes para consultar el estado de los equipos y actualizaciones. En una red informática que contiene múltiples aplicaciones es necesario gestionar la instalación de estos correctivos.Introducción La instalación de correctivos de seguridad es un aspecto importante para la seguridad. sobre todo. evitar fallos de seguridad. Esta etapa permite corregir bugs y. . Éstas se descargan únicamente una vez son aprobadas. de servidor que precede en la cadena y servidor que sigue en la cadena. El administrador tiene la posibilidad de aprobar o rechazar estas actualizaciones. a menudo. La solución que contiene varios servidores se utiliza. el conjunto de sistemas operativos y productos de Microsoft. en empresas que poseen una red informática extensa distribuida en varios sitios geográficos. La infraestructura WSUS puede contener uno o varios servidores. En los escenarios más complejos. el servidor que precede en la cadena descarga los correctivos en función de las opciones configuradas por el administrador y. por tanto. En el caso más sencillo. estos correctivos se ponen a disposición de los equipos clientes de la red donde se encuentra el servidor y también de los demás servidores WSUS (servidores que siguen en la cadena). el servidor WSUS recupera una lista de actualizaciones disponibles.Presentación del rol WSUS La función de WSUS (Windows Server Update Services) es recuperar los correctivos y actualizaciones del servidor de Microsoft con el objetivo de ponerlas a disposición de los distintos equipos de la red. Es posible actualizar. hablaremos. a continuación. . mediante este servidor. A continuación. Tras la configuración del servidor es necesario configurar la lista de productos que deben actualizarse. es posible realizar la instalación en los equipos de producción que requieren esta actualización. Fase de pruebas e instalación Cuando finaliza la etapa de detección de actualizaciones disponibles. Para asegurarse de la correcta instalación de las distintas actualizaciones. mucho más fácil para un administrador conocer los equipos que no han recibido la actualización o aquellos en los que la instalación de la actualización no se ha realizado correctamente. Preste atención a no incluir equipos críticos no redundantes. . que se recomienda respetar. Fase de despliegue Una vez validados los distintos correctivos. es posible generar varios informes. Es. Los nuevos correctivos se publican (salvo excepciones) una vez al mes. pues permite asegurar que no existe ningún problema a nivel de sistema o aplicación tras la instalación de un correctivo. conviene aprobarlas. Fase de identificación de actualizaciones a instalar Esta fase tiene como objetivo identificar las nuevas actualizaciones disponibles. Es preferible hacerlo para un grupo de pruebas. conviene aprobarlos para el grupo o los grupos deseados. La implementación de WSUS está compuesta por varias etapas. Este grupo puede contener máquinas de prueba donde se instalan las distintas aplicaciones utilizadas en producción. hablamos así de destinatarios del lado del cliente cuando el cliente está configurado para apuntar a un grupo o destinatarios del lado del servidor cuando el equipo cliente está configurado en un grupo desde el servidor. por tanto. Para ello.Los distintos equipos clientes están integrados en grupos. las actualizaciones se aprueban para uno o varios grupos. Esta fase de pruebas o de validación es importante. WSUS exige respetar ciertos requisitos previos.Requisitos previos necesarios para el rol Como muchos roles en Windows Server 2012 R2. para ello es posible indicar a WSUS que utilice la base de datos interna de Windows o instalar un servidor SQL (SQL Server 2005 SP2. Por último. . También se requiere un servidor Web IIS 6.0 o superior y Microsoft Report Viewer Redistributable 2008 o superior. Windows Server 2003 SP1. como mínimo. El espacio en disco es el aspecto más importante en los requisitos previos de hardware (40 GB como mínimo). los demás componentes son los mismos que los necesarios para el sistema operativo del host WSUS.NET 2. SQL Server 2008 o SQL Server 2012).0 o superior. Es preciso instalar en el servidor el framework Microsoft . se requiere una base de datos. El servidor sobre el que se ejecuta el rol debe ejecutar. es necesario redirigir el cliente de actualización hacia el servidor WSUS en lugar de al sitio de Microsoft. directamente. mediante la herramienta Regedit. Esta configuración se realiza mediante una directiva de grupo. Ésta ofrece la posibilidad . 1. Es posible realizar esta operación manualmente.Despliegue de actualizaciones con WSUS El despliegue de WSUS requiere haber pensado acerca de la infraestructura deseada (uno o varios servidores) así como las actualizaciones que se quiere descargar. en el grupo adecuado. la cual configura la base de registro de los equipos clientes que la reciben. Comportamiento del reinicio automático: permite definir si se autoriza un reinicio automático cuando alguna actualización lo requiera. Calendario de instalación de actualizaciones: define en qué momento se instalarán las actualizaciones. Grupo por defecto: es posible configurar un grupo mediante este parámetro. Administración de WSUS La administración del servidor WSUS se realiza mediante una consola MMC. Realizando la operación mediante una directiva de grupo es posible especificar otros parámetros: Frecuencia de detección de actualizaciones: permite configurar la frecuencia de detección de nuevas actualizaciones. 2. El equipo se incluye. Configuración del cliente de actualización Tras la implementación de WSUS. Conviene. proceder a su descarga. Un equipo cliente que contacta con el servidor pertenece al grupo de Equipos sin asignar si no se ha definido ningún otro grupo en la directiva de grupo. aprobar las actualizaciones para un grupo de prueba. Es posible utilizar comandos PowerShell para administrar el servidor. Para realizar la eliminación. la búsqueda de actualizaciones se realiza en base a una planificación. Este grupo contendrá los equipos menos sensibles. Por último. Servidores 2k8. Tras la validación del correctivo. 4. Tras la instalación del rol WSUS. aprobarlas y. también. Get-WsusProduct: permite enumerar los productos disponibles en WSUS. puede aprobarse para el resto de grupos. La aprobación puede realizarse para la instalación o para la eliminación. primero. es posible generar y visualizar informes que permiten obtener información útil para la administración cotidiana. 3. detectar si existen nuevas actualizaciones en el servidor sin esperar a la siguiente detección planificada.exe /detectnowpermite realizar esta operación. Equipo 7 y Equipo 8). Servidores 2k12. no obstante este funcionamiento no permite la implementación de pruebas. Si no se han configurado grupos mediante la directiva de grupo es posible realizar una organización de los grupos desde esta consola. el grupo Prueba permite asegurar que no se produce ningún problema (de aplicación o de sistema) tras la instalación de un correctivo. puede ser necesario. Presentación de los grupos de equipos Un grupo de equipos permite definir una agrupación de equipos que recibirá la actualización. en ciertos casos. No obstante. conviene rechazarla. Aprobación de las actualizaciones Es posible realizar una actualización de manera automática. El comando Wuauclt. El primer tipo de aprobación permite instalar el correctivo en el grupo seleccionado mientras que el segundo tipo permite eliminar una actualización instalada. Siguiendo este ejemplo. . se crean dos grupos por defecto: Todos los equipos y Equipos sin asignar. Add-WsusComputer: permite agregar un equipo cliente a un grupo específico. Se recomienda crear y configurar diferentes grupos (por ejemplo: Prueba. de buscar actualizaciones. Como hemos visto antes. las actualizaciones se aprueban únicamente para el sistema operativo afectado por dichos correctivos. la actualización debe ser compatible con esta operación. Esta acción tiene como resultado eliminar el correctivo de la lista del servidor WSUS. Si alguna actualización no debe instalarse. Set-WsusServerSynchronization: define el origen utilizado por el servidor WSUS (servidor que precede en la cadena o servidor Microsoft). Además. Approve-WsusUpdate: realiza la aprobación de una actualización para un grupo. Instalación y configuración del rol WSUS Objetivo: instalación y configuración del servidor WSUS.Trabajos prácticos: Implementación del servidor WSUS Estos trabajos prácticos permiten implementar un servidor WSUS. En AD1. Haga clic en Agregar roles y características. El conmutador utilizado debe ser de tipo externo para poder tener acceso a Internet desde el servidor. Deje marcada la opción Instalación basada en características o en roles en la . Para realizar este trabajo práctico y los siguientes trabajos prácticos es necesario modificar la tarjeta de red utilizada. Máquinas virtuales: AD1 y CL8-01. 1. haga clic en Siguiente. Puede ser necesario modificar la configuración IP. En la ventana Antes de empezar. abra la consola Administrador del servidor. . Haga clic en Siguiente para validar el destino. a continuación. haga clic en el botón Agregar características. Deje los servicios de rol marcados por defecto y haga clic en Siguiente. Marque el rol Windows Server Update Services y. En producción se recomienda utilizar SQL Server. ventanaSeleccionar tipo de instalación. El servicio de rol Base de datos permite utilizar un servidor SQL mientras que WID Database utiliza la base de datos interna de Windows. Contendrá las actualizaciones que se descarguen de Microsoft Update. . En el campo correspondiente. escriba D:\WSUS (reemplace la letra de la unidad por la que haya atribuido a la partición).Cree una carpeta llamada WSUS en la segunda partición. com http://*.microsoft. a continuación. Una vez instalado.com http://download. Se abre un asistente. haga clic en Finalizar. Se muestra el asistente de WSUS (Windows Server Update Services).microsoft. . hay que comprobar que el firewall de la empresa (servidor ISA) contiene la regla que autoriza a WSUS a conectarse con el servidor Microsoft Update.com https://*.windowsupdate.com http://*.microsoft.com http://*.com Desde las Herramientas administrativas. Una vez terminado el proceso de post-instalación.windowsupdate. Haga clic dos veces en Siguiente y. Es posible configurar el servidor como servidor que sigue en la cadena. para ello indíquele el servidor que precede en la cadena.microsoft.com http://wustat.windowsupdate.com http://ntservicepack.windows. en Instalar. haga clic en Siguiente en la ventana Antes de comenzar. valide la ruta de la carpeta de almacenamiento de las actualizaciones y haga clic en Ejecutar.update.com http://download.com https://*.update.microsoft.microsoft. En la ventana Completar instalación de WSUS.windowsupdate.microsoft. haga clic en Siguiente en la ventanaElegir servidor que precede en la cadena. Dado que nuestro servidor es el primero en la cadena.download.windowsupdate. La siguiente lista enumera las URL sobre las que puede necesitar conectarse WSUS: http://windowsupdate. abra la consola Windows Server Update Services.com http://*. Los productos susceptibles de actualización. haga clic en Siguiente para continuar. Seleccione los idiomas deseados y.Dado que no se utiliza ningún proxy para conectar a Internet. deje la opción por defecto en la ventana Especificar servidor proxy. . Una vez establecida la conexión. Haga clic en Iniciar conexión para conectar con el servidor de Microsoft Update y recuperar: Los tipos de actualizaciones disponibles. a continuación. haga clic en Siguiente. Los idiomas disponibles. Los productos que deben actualizarse son Windows Server 2012 R2 y Windows 8. Seleccione. por tanto. estos productos en la lista y haga clic en Siguiente. .1. Marque Todas las clasificaciones y haga clic en Siguiente. a continuación. Se abre la consola. haga clic en Sincronizar ahora. La sincronización del servidor WSUS con el servidor Microsoft Update puede programarse o ejecutarse manualmente. La sincronización está en curso… La aprobación puede realizarse automáticamente creando una regla de aprobación automática desde las opciones. Despliegue el nodo Equipos y haga clic con el botón derecho en Todos los equipos y. en Finalizar. a continuación. Marque la opción Sincronizar manualmente. Seleccione el nodo Sincronizaciones y. despliegue el nodo AD1. a . Haga clic en Siguiente y. En AD1. Escriba Configuración WSUS Puesto Cliente en el campo Nombre. a continuación. Haga doble clic en Configuración Actualizaciones automáticas. seleccione Windows Update. y el administrador recibe un mensaje de advertencia que le invita a realizar la instalación de la actualización. la descarga de las actualizaciones se realiza automáticamente. abra la consola Administración de directivas de grupo. Descarga automática y planificación de instalaciones. Marcando esta opción. seleccioneNuevo. La directiva que se aplicará a los equipos permitirá configurar la dirección IP del servidor a contactar. continuación. Despliegue los nodos Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows y. seleccione Descargar automáticamente y notificar instalación. a continuación. Existen cuatro opciones posibles: Notificar descargas e instalaciones. escriba Puesto Cliente y haga clic en Agregar. seleccione la opción Agregar grupo de equipos. Haga clic con el botón derecho en Objetos de directiva de grupo y. En la lista desplegable Configurar actualización automática. en el menú contextual. Se avisa al administrador antes de descargar e instalar actualizaciones. Marque la opción Habilitada. a continuación. Haga clic con el botón derecho en Configuración WSUS Puesto Cliente y. A continuación. En el campo Nombre. las actualizaciones se instalan . La descarga se ejecuta automáticamente. Descargar automáticamente y notificar instalación. seleccione Editar. Haga clic en Aplicar y. Esta opción deja la posibilidad a un usuario que pertenezca al grupo de Administradores de modificar las opciones configuradas en las actualizaciones automáticas desde el panel de control. en Aceptar.formation. Seleccione 3 . Escriba http://AD1. Haga doble clic en Especificar la ubicación del servicio Windows Update en la intranet.Todos los martes en la lista Día de instalación programado y 17:00 en la listaHora de instalación programada. . a continuación.local:8530 en los campos Establecer el servicio de actualización de la intranet para detectar actualizaciones y Establecer el servidor de estadísticas de la intranet. en función del día y la hora especificados. Autorizar al administrador local a configurar los parámetros. Haga doble clic en Habilitar destinatarios del lado cliente. Marque la opción Habilitada y.Haga clic en Aplicar y. escriba Puesto Cliente en el campo Nombre de grupo de destino para este equipo. a continuación. a continuación. en Aceptar. . Cierre la ventana Editor de administración de directivas de grupo. haga clic con el botón derecho en la OUEquipos (presente en la OU Madrid) y. Marque la opción que permite utilizar la configuración de la directiva de grupo. En la consola Administración de directivas de grupo. a continuación. en Equipos. . seleccione Vincular un GPO existente en el menú contextual. En la consola WSUS. a continuación. a continuación. haga clic en Opciones y. haga clic en Aceptar. Seleccione Configuración WSUS Puesto Cliente y. La configuración en Windows Update aparece sombreada. . puesto que se ha tenido en cuenta la configuración de la directiva de grupo. Abra una ventana de comandos DOS en CL8-01 y ejecute el comando gpupdate /force. Actualizaciones de seguridad y Actualizaciones de WSUS. 2. haga clic en el nodo Actualizaciones.El equipo cliente se muestra ahora en el grupo Puesto Cliente de la consola WSUS. En la consola de administración WSUS. . Máquinas virtuales: AD1 y CL8-01. Actualizaciones críticas. Se muestra una síntesis de las actualizaciones. Aparece un gráfico para las categorías Todas las actualizaciones. Aprobación y despliegue de actualizaciones Objetivo: aprobación e instalación de actualizaciones para el grupo Puesto Cliente. a continuación. Seleccione la o las actualizaciones deseadas. Haga clic con el botón derecho en la selección y. La aprobación está en curso… . haga clic en Aprobar. Haga clic en grupo Puesto Cliente y seleccione Aprobar para instalar en la lista desplegable. haga clic en Actualizaciones que los equipos necesitan. En la sección Todas las actualizaciones. Fecha límite: la fecha límite permite determinar la fecha y hora máxima para la instalación de la actualización. En el equipo CL8-01. bastará con aprobar esta actualización para su eliminación. Comienza la descarga de la actualización. si el correctivo soporta esta opción. a continuación. Haga clic en el botón Instalar actualizaciones y. Haga clic en Cerrar. En la consola. espere a que termine la instalación. La instalación en el equipo cliente se fuerza para evitar tener que esperar a la siguiente instalación planificada. abra la consola Windows Update. haga clic en Buscar actualizaciones para mostrar las actualizaciones aprobadas anteriormente. espere a que finalice esta etapa. La actualización debe ser compatible para este tipo de aprobación. . si la aprobación se efectúa el 2 de septiembre). Para acelerar el procesamiento de la actualización incluya una fecha pasada (el 1 de septiembre. En el menú contextual utilizado para aprobar un correctivo existen otras opciones disponibles: Aprobación para su eliminación: si el correctivo causa errores en los equipos tras su instalación. por ejemplo. Para no tener que ir equipo a equipo. es necesario desinstalarlo. No obstante. escriba el siguiente comando: dism /online /enable-feature /featurename:NetFX3 /all /Source:e:\sources\sxs /LimitAccess Remplace e: por la letra del lector de DVD. El nodo Informes permite crear y mostrar informes que permiten administrar el servidor. Creación de informes Objetivo: generar informes con el objetivo de facilitar la administración del servidor WSUS. los equipos y las sincronizaciones realizadas. el equipo debe tener instalado el componente Report Viewer.microsoft.NET Framework 3.aspx?id=3841 Report Viewer necesita el framework . instale por tanto la característica . Es posible descargar este componente en la dirección siguiente: http://www. Es posible analizar. Máquinas virtuales: AD1 y CL8-01. para poder aprovechar esta funcionalidad. .com/es- es/download/details. con ayuda de informes. a continuación.NET.En función de la opción escogida en la GPO. la instalación se realizará de manera automática (seleccionando 4 en el parámetro Configurar actualización automática). información acerca de las actualizaciones. 3.5. Conecte la ISO o el DVD de Windows Server 2012 R2 a AD1 y. a continuación. los equipos o las sincronizaciones. Una vez instalado Report Viewer. Haga clic en el enlace Estado detallado de actualización y. Es posible crear varios tipos de informe acerca de las actualizaciones. . en Ejecutar informe. haga clic en el nodo Informes. El informe se está generando. . Los distintos informes permiten obtener información muy importante para la administración cotidiana del servidor. Antes de esta operación. Resultados Consulte las siguientes páginas para comprobar sus respuestas.Validación de conocimientos adquiridos: preguntas/respuestas 1. Respuestas 1 ¿Cuál es la función de WSUS? WSUS permite administrar el sistema de actualizaciones de los puestos de trabajo. es posible instalar varios servidores WSUS. como mínimo. otros que siguen en la cadena. Por cada respuesta correcta. La funcionalidad permite descargar correctivos y. Número de puntos: /8 Para superar este capítulo. 3 ¿En qué momento se descarga la actualización? La actualización se descarga únicamente tras su aprobación. su puntuación mínima debería ser de 6 sobre 8. instalarlos en los puestos de trabajo. a continuación. 1 ¿Cuál es la función de WSUS? 2 ¿Es posible poseer varios servidores WSUS? 3 ¿En qué momento se descarga la actualización? 4 En el caso de un servidor que sigue en la cadena. . Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. Es necesario que el servidor ejecute. 2 ¿Es posible poseer varios servidores WSUS? Sí. cuente un punto. 3. 4 En el caso de un servidor que sigue en la cadena. Éstos dependen del servidor que precede en la cadena. Los destinatarios del lado del servidor permiten unir la máquina al grupo desde el propio servidor. 6 ¿Cuáles son los requisitos previos para WSUS? WSUS exige respetar ciertos requisitos previos. ¿cómo se realiza la aprobación? En el caso de un servidor que sigue en la cadena. el servidor no posee solamente una lista de las actualizaciones que pueden aprobarse. la aprobación se realiza a nivel del servidor que precede en la cadena. a continuación. Es necesario en este caso configurar un servidor que precede en la cadena y. ¿cómo se realiza la aprobación? 5 ¿Qué son los destinatarios del lado del cliente y los destinatarios del lado del servidor? 6 ¿Cuáles son los requisitos previos para WSUS? 7 ¿Cuál es la utilidad de un grupo de equipos? 8 ¿Qué tipos de aprobación es posible ofrecer? 2. 5 ¿Qué son los destinatarios del lado del cliente y los destinatarios del lado del servidor? Los destinatarios del lado del cliente consisten en configurar una directiva de grupo que indique al equipo cliente el grupo al que debe unirse. El servidor que sigue en la cadena simplemente recupera las actualizaciones aprobadas. a su vez. No obstante. debe tener instalado el rol IIS 6. El espacio en disco es. la aprobación no se realiza para una máquina sino para un grupo. Este tipo de aprobación permite instalar el correctivo en los puestos de trabajo. 7 ¿Cuál es la utilidad de un grupo de equipos? Un grupo de equipos permite agrupar un conjunto de servidores o de equipos clientes con el objetivo de asignarles correctivos. Windows Server 2003 SP1. . 8 ¿Qué tipos de aprobación es posible ofrecer? Es posible ofrecer una aprobación para la instalación. En efecto.0 o superior. para ello es posible utilizar un servidor SQL Server (2005 SP2 como mínimo) o la base de datos interna de Windows. ofrecer una aprobación para la eliminación. que consiste en desinstalar el correctivo del equipo cliente o servidor. a su vez. pues se necesitan como mínimo 40 GB de espacio disponible. un requisito previo. También se utiliza una base de datos. además. Es posible. las actualizaciones deben ser compatibles con esta opción de aprobación para eliminación. Objetivos Uso del Administrador de tareas y del Monitor de recursos. Implementar suscripciones.Requisitos previos y objetivos 1. Poseer nociones acerca de las herramientas de mantenimiento presentes en Windows. Creación de una vista personalizada. Requisitos previos Disponer de ciertos conocimientos en microinformática. Uso de los registros de eventos. Comprobación del rendimiento mediante el Análisis de rendimiento. . 2. en porcentaje. Resulta mucho más sencillo. Diagnosticar un problema de rendimiento: activando la vista Más detalles aparecen varias novedades del Administrador de tareas. Es posible ver. Es posible realizar varias operaciones: Detener un proceso de forma rápida y eficaz: se ha modificado la ergonomía de la consola para proveer una vista más clara de los distintos procesos activos del usuario. Se han realizado optimizaciones y mejoras para responder mejor a las necesidades de los administradores. diagnosticar un problema de rendimiento. para un usuario. También puede proveerse una vista más detallada mediante el botón Más detalles. Un simple clic en el botónFinalizar tarea detiene el proceso. . rápidamente. el uso total del procesador y de la memoria.El Administrador de tareas Desde Windows Server 2012 existe una nueva consola Administrador de tareas. cerrar una aplicación…). A continuación. dan una idea inicial sobre el potencial problema. Estos valores. Ofrece al usuario más funcionalidades (operaciones sobre un servicio. resulta interesante observar cada proceso en detalle. La operación que permite detener una aplicación también se ha simplificado. .Las pequeñas flechas que aparecen al lado de cada proceso permiten visualizar las aplicaciones que utilizan este proceso. Si desplegamos Explorador de Windows se muestra la carpeta capitulos. que está abierta actualmente. Haciendo clic en Explorador de Windows aparecen otras opciones disponibles. simplemente. . entre ellas minimizar/maximizar la consola.Si hacemos clic con el botón derecho en capitulos accedemos a un menú contextual. traer al frente o. Éste ofrece varias opciones. finalizar la tarea. La opción Valores del recurso permite cambiar la unidad de la columna Memoria para mostrar porcentajes en lugar de valores. y a la inversa. En algunos casos es necesario obtener más información acerca de un proceso. se abre la carpeta que contiene el archivo. A continuación. Para poder acceder a él sin tener que realizar una búsqueda por carpetas. . haga clic enIr a detalles. Aparece la pestaña Detalles con el proceso en cuestión preseleccionado. seleccione la opción Abrir ubicación del archivo. Permite obtener información acerca del proceso en cuestión. El ejecutable puede estar almacenado en cualquier carpeta de su sistema de archivos. Para ello.La Búsqueda en línea puede resultar una funcionalidad muy útil. el número de procesos… . Se muestra. el nombre de la cuenta que ha ejecutado el proceso así como el uso de procesador y de memoria que está realizando el proceso. también.Esta vista da acceso al nombre del archivo ejecutable y a su ID de proceso (PID). se muestran varios campos con información relacionada con el porcentaje de uso. La pestaña Rendimiento permite ver de forma gráfica tres elementos esenciales: CPU: acompañados por la curva. así como a su Estado. . por tanto. Es. se muestra información relacionada con el uso de memoria y se actualiza automáticamente. muy práctico ver la cantidad de memoria utilizada y la cantidad de memoria libre.Memoria: como con el procesador. .Ethernet (red): además del gráfico que muestra la actividad. la información aportada en Envíoy Recepción permite conocer muy fácilmente la tasa de envío y de recepción. . Desmarque esta opción para volver al formato inicial.Haciendo clic con el botón derecho sobre la consola accedemos a un menú contextual con tres opciones. Vista de resumen. que permite reducir la ventana mostrando únicamente los valores de los tres gráficos. Mostrar gráficos remplaza los botones de colores por los gráficos en curso. podemos conocer el uso de procesador y de memoria de cada uno . desplegando la fila correspondiente a la persona afectada. Ahora. En efecto. Seleccione Ocultar gráficos en el menú contextual para cancelar esta vista. podemos ver muy fácilmente los procesos que le pertenecen. aunque ahora resulta mucho más sencillo. además. Copiar inserta los datos presentes en el gráfico en el portapapeles. Sigue siendo posible desconectar la sesión de un usuario. La pestaña Usuarios provee información sobre los usuarios conectados. . etc. Por último.de estos procesos. a continuación. seleccionando la opción Abrir servicios en el menú contextual. Es posible acceder a la consola Services.mschaciendo clic con el botón derecho y. Es posible conocer su estado así como sus parámetros (PID.). la pestaña Servicios permite acceder a la administración de los servicios. Además. la memoria disponible. ver un gráfico que representa la actividad en cada procesador o cada núcleo presente en un procesador. Esta herramienta permite. cuya información se actualiza en tiempo real. Es posible. los procesos. Seleccionando un proceso se muestran los distintos servicios y sus descripciones asociadas. la Red.El Monitor de recursos El monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. también. La pestaña CPU incluye información sobre cada proceso. supervisar el procesador. por tanto. . La consola está compuesta por varias pestañas. Información general. con la finalidad de evitar cuellos de botella. La primera. se muestran componentes como la Memoria. así como la actividad de los discos y de la red. ofrece una visión general del conjunto de componentes. la CPU y el Disco. Es posible ver el reparto en el uso de memoria del servidor mediante la pestaña Memoria. . Aparecen tres gráficos que presentan la memoria física usada. la carga de asignación y los errores de página. Es posible. . filtrar por proceso con el objetivo de aislar sus datos. aquí también.La pestaña Disco presenta los procesos que realizan operaciones sobre el disco. Los gráficos muestran curvas que representan la actividad de disco. también. . La herramienta nos va a permitir analizar los distintos componentes para poder dar una explicación a un mal rendimiento del equipo.Por último. Esta herramienta resulta. la pestaña Red presenta los distintos procesos con actividad de red. útil para ver las conexiones TCP y los puertos en los que escuchan. Los gráficos permiten obtener información acerca de los distintos componentes del servidor. . la lectura de datos no es óptima. CPU El objeto de rendimiento CPU permite obtener información acerca de la actividad del procesador. La segunda posibilidad consiste en ejecutar un recopilador de datos. es posible analizarlos todos en conjunto o estudiar uno en particular. que permite registrar la información recuperada por los distintos contadores. Es posible realizar el análisis en tiempo real.El Monitor de rendimiento El Monitor de rendimiento permite supervisar la actividad de un puesto de trabajo. Es posible incluir varios contadores para obtener un estudio más fino y un resultado óptimo. Además. Si existen varios procesadores. . Éste supone una de las piezas claves de un servidor. La operación puede realizarse mediante gráficos o mediante informes. lo que obliga al administrador a estar delante del equipo. En caso de que funcione incorrectamente algún disco. por tanto. el tiempo de lectura y de escritura puede verse afectado gravemente. auditar el rendimiento de los discos para poder detectar cualquier cuello de botella. . Cada uno ofrece una información precisa. Como con el procesador. Puede ser necesario. hay varios contadores disponibles.Disco duro Los discos duros almacenan los archivos de los usuarios así como los que requieren los programas para su ejecución y funcionamiento. Memoria RAM Los contadores de rendimiento de Memoria permiten obtener información relativa a la memoria física y virtual del equipo. La memoria física se refiere al total de memoria RAM configurada en el servidor. . mientras que la memoria virtual hace referencia al espacio en memoria física más el espacio reservado en disco. IPv4 e IPv6 poseen. a su vez. UDP o ICMP. Es posible encontrar contadores para los protocolos TCP.Red La red comprende un gran número de contadores de rendimiento. contadores propios. . El análisis puede realizarse de forma manual o automática. El análisis manual se realiza en tiempo real. es necesario seleccionar en el asistente la opción Abrir propiedades para este conjunto de recopiladores de datos. presente en la partición del sistema. No obstante. Para evitar tener que estar presente delante de la pantalla durante horas es posible lanzar un registro automático. el tamaño del archivo puede crecer de forma rápida. puede resultar útil planificar la ejecución del Monitor de rendimiento. . Esto implica estar conectado al equipo para poder analizar los datos antes de que se borren. La planificación puede configurarse tras la creación de un recopilador definido por el usuario. Para ello. lo cual puede impactar sobre el servidor y los roles instalados en el mismo debido a la falta de espacio. Se crea un archivo que contiene todos los valores y se almacena en la carpeta perflogs. Planificador del Monitor de rendimiento En ciertos casos. El botón Agregar permite realizar la configuración deseada. .Las propiedades dan acceso a la pestaña Programación. que permite configurar una ejecución en la fecha y hora deseadas. a continuación. Haciendo clic con el botón derecho sobre ellos y seleccionando. Propiedades en el menú contextual es posible acceder a la pestaña Planificación.La misma operación puede realizarse con recopiladores ya creados. . Sistema o Seguridad. Es posible encontrar los distintos registros de eventos en la consola Administración de equipos. El registro Sistema permite recuperar la información devuelta por el sistema (por ejemplo. .Los registros de eventos El Visor de eventos contiene varios registros útiles para diagnosticar un fallo o una incoherencia en el sistema. El registroAplicación permite a los desarrolladores de aplicaciones insertar eventos devueltos por las aplicaciones. un problema DHCP). Es posible encontrar los distintos registros con el formato EVTX en la carpetaC:\Windows\System32\winevt\Logs. El registro Seguridad contiene información sobre las auditorías configuradas. Está compuesto por varios registros: Aplicación. Origeny el propio mensaje del evento. a continuación.En cada registro podemos encontrar varios niveles de advertencia: Información Advertencia Error Crítico Además. Las propiedades del registro de eventos permiten visualizar sus distintas propiedades (nombre. . un evento posee información adicional muy importante. como Evento (ID del evento). ruta del registro…) pero. seleccionando la opción Propiedades en el menú contextual. también. Esta ventana está accesible haciendo clic con el botón derecho sobre el registro deseado y. El botón Vaciar registro permite vaciar el registro de todos los eventos. configurar su tamaño actual y máximo. . una cantidad enorme de eventos. Existen tres acciones posibles: Sobrescribir eventos si es necesario. La creación y uso de filtros se realiza con ayuda del nodo Vistas personalizadas. Creación de una vista personalizada El registro de eventos puede contener. Se realiza un archivado automático.También es posible configurar qué acción debe realizarse cuando se alcanza el tamaño máximo del registro. No sobrescribir eventos. Es preciso realizar una limpieza manual. lo que complica la búsqueda de un evento particular. Se eliminan los eventos más antiguos. muy rápidamente. que contiene los filtros creados tras la instalación de un rol. Desde Windows Server 2008 es posible crear una vista para realizar un filtrado sobre uno o varios registros. Archivar el registro cuando esté lleno. 1. no sobrescribir eventos. Existe una carpeta llamada Roles de servidor. posible filtrar por origen marcando la opción Por origen y seleccionando. uno o varios orígenes. de usuario o por palabras claves. en la lista desplegable.Es posible crear un filtro nuevo haciendo clic con el botón derecho en Vistas personalizadas y seleccionando la opción Crear vista personalizada. como por ejemplo un ID concreto. La lista desplegable Registros de eventos permite seleccionar los registros sobre los que se aplica el filtro. también. . El filtro se compone de varios criterios: La lista desplegable Registrado permite dar a los sistemas una constante de tiempo a tener en cuenta de cara al filtrado. Es. También es posible filtrar en función de un nombre de equipo. El Nivel de evento permite seleccionar el nivel de los eventos deseados. Éstas permiten recuperar eventos de los servidores indicados. sobre la máquina origen para WinRM y la máquina que recoge los datos para Wecsvc. El filtro devuelve únicamente aquellos eventos que se corresponden. Los eventos recuperados deben corresponderse con los criterios definidos por el administrador mediante una vista personalizada. Se utilizan dos servicios para esta funcionalidad: WinRM (Windows Remote Management) Wecsvc (Windows Event Collector Service) Los dos servicios funcionan. Suscripciones Para facilitar la supervisión de los servidores en una red informática es posible implementar suscripciones. . respectivamente. 2. .Trabajos prácticos: Implementación de las herramientas de análisis Se proponen varios trabajos prácticos que utilizan las herramientas que permiten analizar y realizar el mantenimiento del servidor. Abra la consola Administrador del servidor en AD1. Máquina virtual: AD1. a continuación. 1. Haga clic en Monitor de rendimiento y. Despliegue los nodos Rendimiento y. Haga clic en Herramientas y. a continuación. en el signo más verde para agregar contadores. Uso del Monitor de rendimiento Objetivo: utilizar el Monitor de rendimiento así como los recopiladores de datos. a continuación. seleccione en el menú contextual la opciónAdministración de equipos. Herramientas de supervisión. Despliegue Proceso y, a continuación, haga clic en <Todas las instancias>. Haga clic en Agregar y, a continuación, en Aceptar. Se muestran las curvas con los distintos parámetros recuperados. En la barra de herramientas, haga clic en el icono con forma de rotulador. Tras la selección de algún contador, la curva asociada queda resaltada con un trazo más grueso. Haga clic en el botón Editar tipo de gráfico y, a continuación, seleccione en el menú contextual la opción Barra de histograma. Se muestra ahora un gráfico equivalente con forma de histograma. El tipo de gráfico puede, también, presentarse como informe. En la consola Administración de equipos, despliegue el nodo Conjuntos de recopiladores de datos. Se crean recopiladores de datos en función de los roles presentes en la máquina analizada. Estamos trabajando sobre un controlador de dominio, de modo que aparece el recopilador de datos para el diagnóstico de Active Directory dentro de Sistema. Los recopiladores definidos por el usuario permiten crear nuevos recopiladores de datos. Haga clic con el botón derecho en Definido por el usuario y, a continuación, en el menú contextual, seleccione Nuevo y Conjunto de recopiladores de datos. Escriba Recopilador Procesos en el campo Nombre y, a continuación, marque la opción Crear manualmente (avanzado) y haga clic en Siguiente. En la ventana que permite escoger los tipos de datos, marque Contador de rendimiento y, a continuación, haga clic en Siguiente. En la ventana de selección de contadores, haga clic en Agregar. Despliegue Proceso y, a continuación, haga clic en <Todas las instancias>. Haga clic en el botón Agregar y, a continuación, en Aceptar. Configure el Intervalo de muestra a 2 segundos. Haga clic dos veces en Siguiente y, a continuación, en Finalizar. El recopilador de datos aparece, ahora, en la consola. Haga clic con el botón derecho en Recopilador Procesos y, a continuación, seleccione Iniciar. Deje el recopilador en estado Iniciado algunos segundos para que recoja un mínimo de información. Haga clic con el botón derecho en Recopilador Procesos y, a continuación, seleccione Detener. Tras el arranque del recopilador se crea un informe que presenta los datos recuperados. Despliegue los nodos Informes y, a continuación, Definido por el usuario. Aparece un contenedor con el mismo nombre que el recopilador de datos creado. Despliegue Recopilador Procesos y, a continuación, haga clic en el informe. Como con el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o cambiar el tipo de gráfico. 2. Creación de una vista personalizada Objetivo: crear una vista personalizada para recuperar, únicamente, los eventos deseados. Máquina virtual: AD1. En la consola Administración de equipos, despliegue Visor de eventos y, a continuación, el nodoVistas personalizadas. Haga clic con el botón derecho en Vistas personalizadas y, a continuación, seleccione Crear vista personalizada. Deje el valor configurado a En cualquier momento en la lista desplegable Registrado. Marque la opción Error, Advertencia y Crítico para limitar los eventos filtrados a estos niveles. En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicación. Haga clic en Aceptar y, a continuación, en el campo Nombre, escriba Búsqueda registro App.Sys. Valide la información introducida haciendo clic en Aceptar. El filtrado se aplica sobre el conjunto de registros seleccionados. Ahora resulta mucho más sencillo encontrar la información deseada en un registro. 3. Asociar una tarea a un evento Objetivo: ejecutar un script cuando se produce un evento en el registro de eventos. Máquina virtual: AD1. En AD1 en la interfaz del Menú Inicio, haga clic en DHCP. Despliegue el nodo ad1.formacion.local y, a continuación, haga clic con el botón derecho. En el menú contextual, seleccione Todas las taras y, a continuación, Detener. Cree y ejecute el archivo Script-Evento.cmd. Es posible descargar el archivo desde la página Información. En el registro Sistema, seleccione el evento que se acaba de crear. Haga clic con el botón derecho en la advertencia y, a continuación, seleccione la opción Adjuntar tarea a este evento. Esta opción también está disponible en el panel Acciones. Haga clic en Siguiente en la ventana Crear una tarea básica dejando los parámetros por defecto. Los campos Registro, Origen e Id. del evento aparecen sombreados. Haga clic en Siguientepara validar la ventana Al registrar un evento. Es preferible ejecutar un script o un programa que realice una tarea frente a mostrar un mensaje que probablemente no vea el administrador. Marque la opción Iniciar un programa y, a continuación, haga clic en Siguiente. Cree el script Reset-Services.cmd. Es posible descargar el archivo desde la página Información. Haga clic en Examinar y, a continuación, seleccione el script. Valide su elección mediante el botónSiguiente. Haga clic en Finalizar y, a continuación, en Aceptar en el mensaje de información. Aparece una nueva fila en el programador de tareas. Ejecute de nuevo el archivo Script-Evento.cmd. Se crea una nueva entrada en el registro Sistema y se ejecuta el archivo Reset-Services. El servicio DHCP se ha reiniciado correctamente. Algunas acciones pueden automatizarse fácilmente. 4. Implementar y utilizar suscripciones Objetivo: recuperar los registros de eventos de AD1 desde SV1. Máquinas virtuales: AD1 y SV1. Abra una consola de comandos DOS en el equipo AD1. Escriba el comando winrm quickconfigy, a continuación, presione la tecla [Enter]. Para realizar modificaciones, pulse la tecla y, a continuación, presione [Enter]. Abra la consola Usuarios y equipos de Active Directory. Despliegue el nodo Formacion.local y, a continuación, haga clic en Builtin. Haga doble clic en Lectores del registro de eventos. Haga clic en la pestaña Miembros y, a continuación, en Agregar. Es necesario marcar las cuentas de equipo en los objetos de búsqueda. Haga clic en Tipos de objeto y, a continuación, marque equipos. Haga clic en Aceptar y, a continuación, escriba SV1 en el campo. Haga clic en Comprobar nombres y, a continuación, haga clic dos veces en Aceptar. Esta operación permite autorizar que el puesto SV1 lea los registros de eventos. En el puesto SV1, abra una ventana de comandos DOS y, a continuación, escriba wecutil qc. Pulse la tecla S y, a continuación, presione [Enter]. En SV1, haga clic con el botón derecho en la carpeta Suscripciones y, a continuación, haga clic en Crear suscripción. En el campo Nombre de suscripción, escriba Datos AD1. Por defecto, el registro de destino es Eventos reenviados. Es posible cambiarlo mediante la lista desplegable Registro de destino. La transferencia puede iniciarla la máquina de destino (opciónIniciada por el recopilador) o la máquina origen (opción Iniciada por el equipo origen). Haga clic en Seleccionar equipos y, a continuación, Agregar equipos de dominio. Escriba AD1 en el campo y, a continuación, haga clic en Comprobar nombres y Aceptar. Valide haciendo clic en Aceptar. No es necesario recoger todos los eventos, es posible aplicar un filtro. Los equipos de la maqueta, instalados recientemente, nos obligan a utilizar un filtro muy poco restrictivo si queremos obtener algún evento. Haga clic en Seleccionar eventos. Los eventos que deben transferirse son aquellos que tienen un nivel Información, Advertencia,Error y Crítico. El filtro no es muy restrictivo dado que las máquinas se han instalado recientemente y no existen muchos eventos de tipo Advertencia o Error. Marque los niveles anteriores en la ventana Filtro de consulta. Seleccione los registros Sistema y Aplicación. Haga clic dos veces en Aceptar. Se agrega una fila en la consola. Haga clic con el botón derecho en Datos AD1, y, a continuación, seleccione Estado en tiempo de ejecución. Compruebe que el estado es Activo y no aparece ningún error. Tras un tiempo más o menos largo los eventos llegan al registro Eventos reenviados. Si no se transfiere ningún evento y si la suscripción no muestra ningún error, verifique el filtro y reinicie el origen y el recopilador. Tras el reinicio, espere algunos segundos y, a continuación, verifique que la suscripción sigue sin error. Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es la utilidad de la consola Monitor de recursos? 2 Cite los objetos presentes en el Monitor de rendimiento. 3 ¿Cuáles son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas e inconvenientes. 4 ¿Cuál es el formato de archivo de los registros de eventos? ¿Dónde se almacenan los registros? 5 ¿Cuáles son los niveles de advertencia que es posible tener en un evento? 6 ¿Qué permite configurar una vista personalizada? 7 ¿Cuáles son los dos servicios que se utilizan en las suscripciones? 2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos: /7 Para superar este capítulo, su puntuación mínima debería ser de 5 sobre 7. 3. Respuestas 1 ¿Cuál es la utilidad de la consola Monitor de recursos? El uso de los principales componentes de un equipo (CPU, memoria, tarjeta de red…) está presente en la consola Monitor de recursos. Ésta permite controlar el uso y detectar un posible problema sobre alguno de estos recursos. 2 Cite los objetos presentes en el Monitor de rendimiento. Existen varias decenas de objetos en el Monitor de rendimiento. Encontramos la CPU, los procesos, la memoria, IPv4, ICMP… 3 ¿Cuáles son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas e inconvenientes. Es posible utilizar el Monitor de recursos de forma manual, con el monitor de rendimiento, o registrar los eventos mediante un recopilador de datos. El análisis del rendimiento ofrece la ventaja de que consume espacio en disco, pero requiere la presencia de un administrador delante del servidor. El recopilador de datos permite realizar una visualización de datos más tarde, no obstante el tamaño de espacio en disco requerido puede llegar a ser muy grande. 4 ¿Cuál es el formato de archivo de los registros de eventos? ¿Dónde se almacenan los registros? Es posible encontrar los distintos registros, con formato EVTX, en la carpeta C:\windows\System32\winevt\Logs. 5 ¿Cuáles son los niveles de advertencia que es posible tener en un evento? Los cuatro niveles de advertencia son información, advertencia, error y crítico. 6 ¿Qué permite configurar una vista personalizada? Los registros de eventos pueden poseer varias decenas de eventos, o incluso más. Para no perderse con tanta información conviene aplicar un filtro sobre el registro. Esta funcionalidad la ofrecen las vistas personalizadas. 7 ¿Cuáles son los dos servicios que se utilizan en las suscripciones? La suscripción utiliza dos servicios: Winrm (Windows Remote Management) en la fuente y Wecsvc (Windows Event Collector Service) en el destino. Caducidad y borrado de los registros Configuración y mantenimiento de DNS .Importación de las imágenes utilizadas para el despliegue Despliegue y soporte de WDS - Configuración del servidor de despliegue Perform deployments with Windows Despliegue y Despliegue y soporte Deployment Services soporte de de WDS .Tabla de objetivos Objetivos Capítulos Trabajos prácticos Windows Deployment Services to Deploy Despliegue y Despliegue y soporte Windows Server 2012/2012 R2 soporte de de WDS WDS Describe the important features and Despliegue y functionality of Windows soporte de Deployment Services WDS Configure Windows Deployment Services in Despliegue y Despliegue y soporte Windows Server 2012/2012 R2 soporte de de WDS .Agregar y WDS configurar un grupo de controladores Despliegue y soporte de WDS .Despliegue de imágenes en los puestos cliente Despliegue y soporte de WDS .Captura de un puesto de referencia Configuring and Troubleshooting Domain Configuración y Configuración y Name System mantenimiento mantenimiento de de DNS DNS Install the DNS server role Configuración y mantenimiento de DNS Configure the DNS server role Configuración y Configuración y mantenimiento mantenimiento de de DNS DNS .Instalación WDS y configuración de los servicios de implementación de Windows Despliegue y soporte de WDS .Configuración de un reenviador condicional Create and configure DNS zones Configuración y . Configuración de un reenviador condicional Maintaining Active Directory Domain Gestión de un Gestión de un Services directorio AD directorio AD DS DS Explain the general structure of AD DS Gestión de un directorio AD DS Implement virtualized domain controllers Gestión de un Gestión de un directorio AD directorio AD DS - DS Clonación de un controlador de dominio virtual Implement RODCs Gestión de un Gestión de un directorio AD directorio AD DS - DS Implementación de un RODC Administer AD DS Gestión de un directorio AD DS Manage the AD DS database Gestión de un Gestión de un directorio AD directorio AD DS - DS Creación de un snapshot de AD Gestión de un directorio AD DS - Manipulación de la papelera de reciclaje AD Gestión de un directorio AD DS - Desfragmentación de la base de datos Managing User and Service Accounts Gestión del Gestión del entorno entorno Automate user account creation Gestión del entorno - Importar cuentas de usuario mediante cmdlets PowerShell Configure password-policy and account. mantenimiento de DNS Configure DNS zone transfers Configuración y mantenimiento de DNS Manage and troubleshoot DNS Configuración y Configuración y mantenimiento mantenimiento de de DNS DNS . Gestión del Gestión del entorno - lockout settings entorno Creación de una PSO Configure managed service accounts Gestión del entorno - Creación de una cuenta de servicio . Implementing a Group Policy Gestión del Gestión del entorno Infrastructure entorno Understand Group Policy Gestión del entorno Implement and administer GPOs Gestión del Gestión del entorno - entorno Creación y configuración de una directiva de grupo Manage Group Policy scope Gestión del Gestión del entorno - entorno Creación y configuración de una directiva de grupo Process Group Policy Gestión del entorno Troubleshoot the application of GPOs Gestión del Gestión del entorno - entorno Creación de un informe RSOP Managing User Desktops with Group Implementar Implementar las Policy las directivas directivas de grupo de grupo Describe and implement Administrative Implementar Templates las directivas de grupo Configure folder redirection and scripts by Implementar Implementar las using GPOs las directivas directivas de grupo - de grupo Configuración de la redirección de carpetas Configure GPO preferences Implementar Implementar las las directivas directivas de grupo - de grupo Implementación de las preferencias Deploy software by using GPOs Implementar Implementar las las directivas directivas de grupo - de grupo Despliegue de aplicaciones mediante una directiva de grupo Configuring and Troubleshooting Remote Configuración Configuración del Access del acceso acceso remoto remoto Configure network access Configuración del acceso remoto Create and configure a VPN solution Configuración Configuración del del acceso acceso remoto - remoto Configuración de un servidor VPN Configuración del acceso remoto - Configuración del cliente VPN Describe the role of network policies Configuración . file screens. and Configuración Configuración del Troubleshooting the Network Policy del acceso acceso remoto Server Role remoto Install and configure NPS Configuración Configuración del del acceso acceso remoto remoto Configure RADIUS clients and servers Configuración del acceso remoto Explain NPS authentication methods Configuración Configuración del del acceso acceso remoto - remoto Configuración de un servidor VPN Monitor and troubleshoot NPS Configuración del acceso remoto Implementing Network Access Protection Describe how NAP can help protect your Implementar la network solución NAP Describe the various NAP enforcement Implementar la processes solución NAP Configure NAP Implementar la Implementar la solución NAP solución NAP - Configuración de los componentes NAP Monitor and troubleshoot NAP Implementar la solución NAP Optimizing File Services Optimización de Optimización de los los servicios de servicios de archivos archivos Describe FSRM Optimización de los servicios de archivos Use FSRM to manage quotas. del acceso remoto Troubleshoot routing and remote access Configuración del acceso remoto Configure DirectAccess Configuración Configuración del del acceso acceso remoto - remoto Configuración de DirectAccess Configuración del acceso remoto - Configuración del cliente DirectAccess Installing. Configuring. Optimización de Optimización de los and storage reports los servicios de servicios de archivos - archivos Implementación de una política de filtrado por extensión . Auditar las modificaciones en Active Directory Cifrado de datos y auditoría . Optimización de los servicios de archivos - Uso de los informes de almacenamiento Implement classification and file Optimización de Optimización de los management tasks los servicios de servicios de archivos - archivos Configuración de la clasificación Describe DFS Optimización de los servicios de archivos Configure DFS namespaces Optimización de Optimización de los los servicios de servicios de archivos - archivos Instalación y configuración del servidor DFS Configure and troubleshoot DFS Replication Optimización de los servicios de archivos Configuring Encryption and Advanced Cifrado de Cifrado de datos y Auditing datos y auditoría auditoría Encrypt files by using Encrypting File Cifrado de System (EFS) datos y auditoría Configure advanced auditing Cifrado de Cifrado de datos y datos y auditoría - auditoría Configuración de una política de auditoría avanzada Cifrado de datos y auditoría .Auditoría de los accesos a una carpeta Implementing Update Management Implementación Implementación del del servidor servidor WSUS WSUS Describe the role of WSUS Implementación del servidor WSUS Deploy updates with WSUS Implementación Implementación del del servidor servidor WSUS - WSUS Instalación y configuración del rol WSUS Implementación del servidor WSUS - Aprobación y despliegue de actualizaciones . Asociar una tarea a un evento Supervisión de servidores - Implementar y utilizar suscripciones . Implementación del servidor WSUS - Creación de informes Monitoring Windows Server 2012/2012 Supervisión de Supervisión de R2 servidores servidores Describe the monitoring tools for Windows Supervisión de Server servidores Use Performance Monitor to view and Supervisión de Supervisión de analyze performance statistics of programs servidores servidores .Uso del that are running on your servers Monitor de rendimiento Supervisión de servidores .Creación de una vista personalizada Monitor event logs to view and interpret the Supervisión de Supervisión de events that occurred servidores servidores .