Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Capítulo 1 Introducción A. Organización de las certificaciones
12
B. Cómo se organiza este libro
12
C. Competencias probadas tras el examen 70-411
14
1. El examen de certificación 2. Preparación del examen
14 14
D. Las máquinas virtuales utilizadas
14
E. El administrador del servidor
14
1. Creación de un grupo de servidores 2. Instalación remota de un rol 3. Eliminar un grupo de servidores F. Servidor en modo instalación mínima
21 24 24 25
1. Instalación de roles con una instalación en modo Core 2. Agregar/eliminar la interfaz gráfica 3. Configuración con sconfig G. Hyper-V
28 29 30 34
1. Requisitos previos de hardware 2. Las máquinas virtuales en Hyper-V 3. La memoria dinámica con Hyper-V 4. El disco duro de las máquinas virtuales 5. Las instantáneas en Hyper-V 6. Gestión de redes virtuales
34 34 35 37 39 39
Capítulo 2 Instalación del entorno de pruebas
www.ediciones-eni.com
© Ediciones ENI
1/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
A. El entorno de pruebas
42
1. Configuración necesaria 2. Instalación de Windows Server 2012 R2
42 42
B. Creación de las máquinas virtuales
43
1. Esquema de la maqueta 2. Máquina virtual AD1 3. Máquina virtual AD2 4. Máquina virtual SV1 5. Máquina virtual SV2 6. Máquina virtual CL8-01 7. Máquina virtual SRV-RT 8. Máquina virtual CL8-02 9. Las instantáneas
48 50 60 60 60 61 61 61 61
Capítulo 3 Gestión de un directorio AD DS A. Introducción
64
B. Presentación de Active Directory Domain Services
64
1. Los distintos componentes de AD DS 2. Visión general de las nociones de esquema y bosque de Active Directory 3. La estructura del directorio Active Directory C. Implementación de controladores de dominio virtualizados 1. Despliegue de controladores de dominio virtualizados 2. Gestión de los controladores de dominio virtualizados D. Implementación de un RODC
69 69 70 70
1. Gestión del almacenamiento en caché en un RODC 2. Administración local sobre los controladores de dominio de solo lectura
www.ediciones-eni.com
64 65 68
© Ediciones ENI
71 71
2/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
E. Administración de Active Directory
72
1. Presentación de las distintas consolas de AD 2. Los módulos de Active Directory para PowerShell 3. Gestión de los roles FSMO 4. Uso de una cuenta de servicio 5. Restauración de una cuenta mediante la papelera de reciclaje AD 6. Copia de seguridad y restauración de Active Directory F. Gestión de la base de datos
72 72 73 74 74 75 75
1. La base de datos de Active Directory 2. Uso del comando NTDSUtil 3. Reinicio del servicio Active Directory 4. Creación de un snapshot AD 5. Restaurar un objeto de dominio G. Trabajos prácticos: Administración de Active Directory H. Validación de conocimientos adquiridos: preguntas/respuestas
75 76 76 77 77 78 120
Capítulo 4 Gestión del entorno A. Introducción
126
B. Automatización de la gestión de cuentas de usuario
126
1. Configuración de la política de seguridad 2. Gestión de la directiva de contraseña muy específica 3. Configuración de las cuentas de servicio C. Directivas de grupo
135
1. Gestión de la configuración 2. Visión general de las directivas de grupo 3. Extensiones del lado cliente
www.ediciones-eni.com
128 131 133
© Ediciones ENI
135 135 136
3/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
4. Directivas de grupo por defecto 5. Almacenamiento de la directivas de grupo 6. GPO de inicio 7. Copia de seguridad y restauración de una directiva de grupo 8. Delegación de la administración 9. PowerShell con GPO D. Implementación y administración de las directivas de grupo 1. Vínculos GPO 2. Orden de aplicación 3. Herencia y opción de aplicación 4. Implementación de filtros para gestionar el ámbito 5. Funcionamiento de una directiva de grupo con enlaces lentos 6. Recuperación de directivas por los puestos clientes E. Mantenimiento de una directiva de grupo 1. Directiva de grupo resultante 2. Informe RSOP 3. Uso de registros de eventos 4. Enlace lento y caché de directivas de grupo 5. Configuración de una política de seguridad Kerberos
136 137 137 139 139 140 141 141 141 142 144 145 146 147 149 149 150 151 151
F. Trabajos prácticos: Gestión del entorno del usuario
152
G. Validación de conocimientos adquiridos: preguntas/respuestas
169
Capítulo 5 Implementar las directivas de grupo A. Introducción
174
B. Plantillas administrativas
174
1. Los archivos ADMX y ADML 2. Creación del almacén central
www.ediciones-eni.com
174 175
© Ediciones ENI
4/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
3. Uso de filtros sobre las plantillas administrativas C. Configuración de la redirección de carpetas y de scripts 1. Presentación de la redirección de carpetas 2. Configuración de la redirección 3. Uso de scripts en las directivas de grupo
175 176 176 176 177
D. Configuración de las preferencias de las directivas de grupo
178
1. Visión general de las preferencias 2. Comparación entre las directivas y las preferencias
178 179
E. Gestión de aplicaciones con ayuda de GPO
179
F. Trabajos prácticos: Gestión de los puestos de usuario
180
G. Validación de conocimientos adquiridos: preguntas/respuestas
193
Capítulo 6 Implementar un servidor DHCP A. Introducción
196
B. Rol del servicio DHCP
196
1. Funcionamiento de la concesión de una dirección IP 2. Uso de una retransmisión DHCP C. Instalación y configuración del rol DHCP 1. Agregar un nuevo ámbito 2. Configuración de las opciones DHCP 3. Reserva de contrato DHCP 4. Implementación de filtros D. Base de datos DHCP
www.ediciones-eni.com
196 197 198 199 201 204 206 210
© Ediciones ENI
5/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
1. Presentación de la base de datos DHCP 2. Copia de seguridad y restauración de la base de datos 3. Reconciliación y desplazamiento de la base de datos
210 211 212
E. Alta disponibilidad del servicio DHCP
216
F. IPAM
216
1. Especificaciones de IPAM 2. Características de IPAM
217 217
G. Trabajos prácticos: Instalación y configuración del rol DHCP
218
H. Validación de conocimientos adquiridos: preguntas/respuestas
249
Capítulo 7 Configuración y mantenimiento de DNS A. Introducción
254
B. Instalación de DNS
254
1. Visión general del espacio de nombres DNS 2. Separación entre DNS privado/público 3. Despliegue de DNS C. Configuración del rol
256
1. Componentes del servidor 2. Consultas realizadas por el DNS 3. Registrar recursos en el servidor DNS 4. Funcionamiento del servidor de caché D. Configuración de las zonas DNS
256 256 257 259 259
1. Visión general de las zonas DNS 2. Zonas de búsqueda directa y zonas de búsqueda inversa
www.ediciones-eni.com
254 255 255
© Ediciones ENI
259 260
6/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
3. Delegación de zona DNS
261
E. Configuración de la transferencia de zona 1. Presentación de la transferencia de zona 2. Protección de la transferencia de zona
261 261 262
F. Administración y resolución de errores del servidor DNS
262
G. Trabajos prácticos: Instalación y configuración del rol DNS
263
H. Validación de conocimientos adquiridos: preguntas/respuestas
271
Capítulo 8 Despliegue y soporte de WDS A. Introducción
274
B. Los servicios de implementación de Windows
274
1. Los componentes de WDS 2. ¿Por qué utilizar WDS?
275 276
C. Implementación del rol WDS
276
1. Instalación y configuración del servidor 2. Gestión de los despliegues
276 279
D. Administración del servicio WDS
280
E. Automatización del despliegue
281
F. Trabajos prácticos: Despliegue con WDS
282
G. Validación de conocimientos adquiridos: preguntas/respuestas
309
www.ediciones-eni.com
© Ediciones ENI
7/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Capítulo 9 Configuración del acceso remoto A. Introducción
312
B. Componentes de una infraestructura de acceso de red
312
1. Presentación del rol Servicios de acceso y directivas de redes 2. Autenticación y autorización de red 3. Métodos de autenticación 4. Visión general de la PKI 5. Integración de DHCP con enrutamiento y acceso remoto C. Configuración del acceso VPN
312 313 313 314 314 314
1. Las conexiones VPN 2. Protocolos utilizados para el túnel VPN 3. Presentación de la funcionalidad VPN Reconnect 4. Configuración del servidor 5. Presentación del kit CMAK
314 315 315 315 316
D. Visión general de las políticas de seguridad
316
E. Presentación del Web Application Proxy y del proxy RADIUS
317
F. Soporte del enrutamiento y acceso remoto
318
1. Configuración de los logs de acceso remoto 2. Resolución de problemas en VPN G. Configuración de DirectAccess
319
1. Presentación de DirectAccess 2. Componentes de DirectAccess 3. La tabla de directivas de resolución de nombres 4. Requisitos previos para la implementación de DirectAccess H. Presentación del rol Network Policy Server
www.ediciones-eni.com
318 318
© Ediciones ENI
319 319 320 320 320
8/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
I. Configuración del servidor RADIUS
321
1. Nociones acerca del cliente RADIUS 2. Directiva de solicitud de conexión J. Método de autenticación NPS
321 321 321
1. Configurar las plantillas NPS 2. Autenticación
321 322
K. Supervisión y mantenimiento del rol NPS
322
L. Trabajos prácticos: Configuración del acceso remoto
323
M. Validación de conocimientos adquiridos: preguntas/respuestas
368
Capítulo 10 Implementar la solución NAP A. Introducción
372
B. Visión general de la solución NAP
372
1. Forma de aplicar NAP 2. Arquitectura de la plataforma NAP
372 373
C. Proceso de aplicación de NAP
374
1. Implementar IPsec con NAP 2. 802.1x con NAP 3. Implementar NAP con un servidor VPN 4. Uso de NAP para DHCP
374 375 375 375
D. Verificación del cumplimiento
375
E. Supervisión y mantenimiento del servidor NAP
376
www.ediciones-eni.com
© Ediciones ENI
9/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
F. Trabajos prácticos: Implementar la solución NAP
376
G. Validación de conocimientos adquiridos: preguntas/respuestas
388
Capítulo 11 Optimización de los servicios de archivos A. Introducción
392
B. Visión general del rol FSRM
392
C. Administración del servidor de archivos mediante FSRM
393
1. Gestión de las cuotas 2. Administración del filtrado de archivos 3. Los informes de almacenamiento D. Implementar la clasificación de archivos 1. Presentación de las reglas de clasificación 2. Tareas de administración de archivos E. El sistema DFS
398 398 399 399
1. Presentación del espacio de nombres DFS 2. La replicación DFS 3. Funcionamiento del espacio de nombres 4. La desduplicación de datos 5. Escenarios DFS F. Configuración del espacio de nombres 1. Implementar el servicio DFS 2. Optimización de un espacio de nombres G. Configuración y mantenimiento de DFS-R
www.ediciones-eni.com
393 396 397
© Ediciones ENI
400 400 401 401 404 406 406 406 407
10/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
1. 2. 3. 4.
Funcionamiento de la replicación Proceso de replicación inicial Mantenimiento del sistema de replicación Operaciones sobre la base de datos
407 407 407 408
H. Trabajos prácticos: Gestión del servidor de archivos
409
I. Validación de conocimientos adquiridos: preguntas/respuestas
442
Capítulo 12 Cifrado de datos y auditoría A. Introducción
448
B. Presentación de EFS
448
1. Funcionamiento de EFS 2. Recuperación de un archivo cifrado C. Configuración de la auditoría
448 450 451
1. Visión general de la política de auditoría 2. Definir la configuración de auditoría sobre un archivo o una carpeta 3. Activación de la política de seguridad 4. Política de auditoría avanzada
451 452 455 457
D. Trabajos prácticos: Configuración de la auditoría
458
E. Validación de conocimientos adquiridos: preguntas/respuestas
469
Capítulo 13 Implementación del servidor WSUS A. Introducción
www.ediciones-eni.com
474
© Ediciones ENI
11/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
B. Presentación del rol WSUS
474
C. Requisitos previos necesarios para el rol
476
D. Despliegue de actualizaciones con WSUS
476
1. Configuración del cliente de actualización 2. Administración de WSUS 3. Presentación de los grupos de equipos 4. Aprobación de las actualizaciones
476 477 478 478
E. Trabajos prácticos: Implementación del servidor WSUS
478
F. Validación de conocimientos adquiridos: preguntas/respuestas
498
Capítulo 14 Supervisión de servidores A. El Administrador de tareas
502
B. El Monitor de recursos
512
C. El Monitor de rendimiento
517
D. Los registros de eventos
523
1. Creación de una vista personalizada 2. Suscripciones
526 527
E. Trabajos prácticos: Implementación de las herramientas de análisis
528
F. Validación de conocimientos adquiridos: preguntas/respuestas
548
www.ediciones-eni.com
© Ediciones ENI
12/13
Windows Server 2012 R2 - Administración Preparación para la certificación MCSA - Examen 70-411
Tabla de objetivos
551
índice
555
www.ediciones-eni.com
© Ediciones ENI
13/13
Windows Server 2012 R2 Administración Preparación para la certificación MCSA 70-411 El examen 70-411 "Administración de Windows Server 2012 R2" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. Valida sus competencias y conocimientos en la administración de Windows Server 2012 R2 en un entorno empresarial. Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales, tanto desde el punto de vista teórico como desde un punto de vista práctico. Ha sido elaborado por un formador profesional reconocido, también consultor, certificado técnica y pedagógicamente por Microsoft. De este modo, la experiencia pedagógica y técnica del autor le imprime un enfoque claro y visual, alcanzando un nivel técnico muy elevado. Capítulo tras capítulo, podrá validar sus conocimientos teóricos gracias a la gran cantidad de preguntas y respuestas (171 en total) incluidas, poniendo de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. Cada capítulo se completa con un trabajo práctico (49 en total) que le permitirá medir su autonomía. Estos ejercicios concretos, más allá incluso de los objetivos fijados por el examen, le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. A este dominio del producto y de los conceptos se añade la preparación específica a la certificación: en el sitio web www.edieni.com podrá accedergratuitamente a 1 examen en blanco en línea, destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web, cada pregunta que se plantea se inscribe en el espíritu de la certificación y, para cada una, las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas. Los capítulos del libro: Prefacio – Introducción – Instalación del entorno de pruebas – Gestión de un diccionario AD DS – Gestión del entorno – Implementar las directivas de grupo – Implementar un servidor DHCP – Configuración y mantenimiento de DNS – Despliegue y soporte de WDS – Configuración del acceso remoto – Implementar la solución NAP – Optimización de los servicios de archivos – Cifrado de datos y auditoría – Implementación del servidor WSUS – Supervisión de servidores – Tabla de objetivos
Nicolas BONNET Nicolas BONNET es Consultor y Formador de sistemas operativos Microsoft desde hace varios años. Tiene la certificación MCT (Microsoft Certified Trainer) y es un reconocido Microsoft MVP (Most Valuable Professional) Windows Expert-IT Pro que logra transmitir al lector, a través de este libro, toda su experiencia acerca de las tecnologías de servidor y su evolución. Su capacidad pedagógica hace que este libro sea realmente eficaz para la administración de Windows Server 2012 R2.
Introducción El examen 70-411 "Administración de Windows Server 2012" es el segundo de los tres exámenes obligatorios para obtener la certificación MCSA Windows Server 2012. Valida sus competencias y conocimientos en la administración de una infraestructura Windows Server 2012 y 2012 R2, en el marco de trabajo del entorno de una empresa existente. Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales(enumerados en un listado en el anexo) tanto desde el punto de vista teórico como desde un punto de vista práctico. Cada capítulo se organiza de la siguiente manera: Una definición de los objetivos a alcanzar: permite exponer, con precisión, las competencias que se abordan en cada capítulo una vez se haya validado. Una sección de formación teórica: permite definir los términos y conceptos abordados y esquematizar, mediante un hilo conductor, los distintos puntos a asimilar. Una sección de validación de conocimientos adquiridos: propuesta bajo la forma de preguntas y respuestas (171 en total). Estas preguntas, y sus respuestas comentadas, ponen de relieve tanto los elementos fundamentales como las características específicas de los distintos conceptos abordados. Trabajos prácticos (49 en total): permiten ilustrar, con precisión, ciertas partes del curso y le darán también los medios necesarios para medir su autonomía. Estos ejercicios concretos, más allá incluso de los objetivos fijados por el examen, le permitirán forjarse una experiencia relevante y adquirir verdaderas competencias técnicas sobre situaciones reales. A este dominio del producto y de los conceptos se le suma la preparación específica a la certificación: en el sitio web www.edieni.com podrá acceder gratuitamente a 1 examen en blanco en línea, destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web cada pregunta que se plantea se inscribe en el espíritu de la certificación y, para cada una, las respuestas están lo suficientemente desarrolladas como para identificar y completar sus últimas lagunas.
Organización de las certificaciones Los anteriores cursos de certificación permitían acceder a la certificación MCITP (Microsoft Certified IT Professional). Estos últimos han pasado a llamarse MCSA (Microsoft Certified Solution Associate) y MCSE (Microsoft Certified Solutions Expert).
Certificación MCSA La certificación MCSA se compone de tres certificaciones. La 70-410, relativa a la instalación y la configuración de Windows Server 2012. Es necesario obtener, a continuación, la segunda certificación con numeración 70-411. Esta última es relativa a la administración de Windows Server 2012. Por último, para completar la certificación, es necesario superar el examen 70-412, que tiene como objetivo la administración avanzada de Windows Server 2012. También existen tres certificaciones MCSE (Microsoft Certified Solutions Expert).
MCSE Server Infrastructure Deben superarse dos exámenes para obtener esta certificación. Además de la certificación MCSA es necesario superar la certificación 70-413 Diseño e implementación de una infraestructura de servidor. Por último, debe superarse el examen 70-414 Implementación de una infraestructura avanzada para obtener la certificación.
MCSE Desktop Infrastructure Esta certificación se compone de dos exámenes. Es necesario obtener las certificaciones 70-415 Implementación de una infraestructura de puesto de trabajo y 70-416 Implementación del entorno de aplicaciones de escritorio.
MCSE Private Cloud Para obtener la certificación MCSE Private Cloud es necesario obtener las certificaciones 70-246 Supervisar y operar una nube privada con System Center 2012 y 70-247 Configuración e implementación de una nube privada con System Center 2012.
Cómo se organiza este libro Este libro le prepara para el examen 70-411 Administración de Windows Server 2012. Este libro se estructura en varios capítulos que le aportarán los conocimientos teóricos necesarios sobre cada área de conocimiento. A continuación, se proponen al lector los trabajos prácticos, que le permitirán poner en práctica los puntos abordados en la parte teórica. Es preferible, por tanto, seguir los capítulos en orden. En efecto, éstos conducen de manera progresiva al lector por las competencias necesarias para superar el examen. Al finalizar cada capítulo, se proponen una serie de preguntas que le permitirán validar el nivel que debe alcanzarse. Si lo supera, el lector puede pasar al siguiente capítulo. Se invita al lector a crear la maqueta, que sirve para la realización de los trabajos prácticos. Esta maqueta se compone de servidores que ejecutan Windows Server 2012 R2 Standard y puestos cliente Windows 8.1. La configuración de los roles se realiza a medida que avanzan los capítulos. El capítulo de gestión del directorio AD DS permite adquirir los conocimientos necesarios a nivel de AD. Tras haber profundizado en los conceptos del directorio LDAP de Microsoft se aborda la virtualización de los controladores de dominio. La parte teórica se completa con la gestión de la base de datos (copia de seguridad, restauración, snapshot…). La parte práctica invita al lector a crear, en primer lugar, el bosque Active Directory llamado Formacion.local. A continuación, se describe la implementación de un RODC y un controlador de dominio virtualizados. La parte teórica se completa con la administración de la base de datos (creación de una instantánea, actualización de la papelera de reciclaje de AD y desfragmentación). A continuación, se aborda la gestión del entorno del usuario. La parte teórica comprende los conceptos relativos a los parámetros de seguridad, las directivas de contraseña muy específicas y la configuración de cuentas de servicio. La parte práctica invita al lector a importar cuentas AD mediante cmdlets PowerShell, a crear directivas de contraseña muy específicas (PSO), cuentas de servicio y, para terminar, y tras haber definido una directiva de grupo, crear un informe RSOP. Las directivas de grupo se abordan en el siguiente capítulo. En esta ocasión, el lector encontrará las distintas funcionalidades de la directiva de grupo (despliegue de software, preferencias, redirección de carpetas…). Esta parte teórica se complementa con una parte práctica que refuerza los conocimientos adquiridos gracias a la teoría. A continuación, se estudian los servidores DNS y DHCP, mediante el análisis de las distintas zonas y registros, también se abordan las nociones de transferencia de zona y de borrado de los datos. La parte DHCP supone un complemento, pues no es una parte obligatoria de la certificación oficial. Se invita al lector, tras hablar de DHCP, a implementar IPAM, funcionalidad aparecida con Windows Server 2012 y que permite administrar los planes de direccionamiento IP de la empresa. El estudio prosigue con el rol Servicios de implementación de Windows. Esta funcionalidad, presente desde Windows Server 2003 SP2, ha sufrido numerosas mejoras. La versión actual, en Windows Server 2012 R2, ofrece posibilidades interesantes que se presentan en las partes teóricas y prácticas. Los dos capítulos siguientes abordan los servicios de red e invitan el lector a estudiar las distintas soluciones de VPN (DirectAccess o VPN clásica) y a implementarlas a continuación. La sección dedicada a la red está compuesta por un segundo capítulo dedicado a NAP. Una vez más, tras la parte teórica se ponen en práctica los conceptos abordados. Por último, la parte gestión de recursos es un extenso capítulo dedicado a la implementación de cuotas y filtros de archivos. Se invita al lector, en primer lugar, a conocer las distintas posibilidades en lo relativo a cuotas y filtros que es posible crear. La parte teórica se completa con DFS y su funcionamiento (espacio de nombres, escenario DFS, replicación DFS-R…). La parte práctica aborda la implementación de ambos servicios. Con el objetivo de garantizar la seguridad de los datos y de los accesos, el capítulo Cifrado de datos y auditoría presenta la funcionalidad EFS y las distintas auditorías. Los trabajos prácticos permiten implementar distintos escenarios de auditoría (acceso a una carpeta, acceso a un recurso compartido, modificación de un objeto AD). El capítulo Implementación del servidor WSUS presenta la implementación de un servidor de gestión de actualizaciones de Microsoft, los trabajos prácticos permiten al lector instalar el servidor y realizar aprobaciones para instalar o eliminar actualizaciones y, por último, generar un informe.
Por último, cierra el libro un capítulo relativo a las distintas herramientas nativas de Windows Server 2012 R2 que permiten administrar los recursos (monitor de recursos, gestión de eventos…).
Competencias probadas tras el examen 70-411 Puede encontrar, al final del libro, la tabla resumen de competencias probadas.
1. El examen de certificación El examen de certificación se compone de varias preguntas. Para cada una de ellas se proponen varias respuestas. Es necesario marcar una o varias de estas respuestas. Para superar el examen es preciso obtener una puntuación de 700. El examen se realiza en un centro homologado Prometric, no obstante la inscripción debe realizarse en el sitio web www.prometric.com. Se presentan varios sitios en la región, es necesario, una vez seleccionado el examen deseado (70-411), seleccionar el centro así como la fecha y la hora del encuentro. El día D dispondrá de varias horas para responder a las preguntas. No dude en tomarse el tiempo necesario para leer bien la pregunta y todas las respuestas. Es posible marcar las preguntas para realizar una relectura antes de finalizar el examen. El resultado se obtiene al finalizar el examen.
2. Preparación del examen Para preparar el examen de forma óptima es necesario, en primer lugar, disponer de tiempo para leer los distintos capítulos y, a continuación, trabajar en los trabajos prácticos. Las preguntas disponibles al finalizar cada módulo le permiten validar sus conocimientos. No pase al siguiente capítulo sin haber comprendido bien el anterior, y vuelva a trabajarlo tantas veces como sea necesario. Con el libro se ofrece un examen en blanco que le permitirá poner a prueba sus conocimientos antes de realizar el examen.
Las máquinas virtuales utilizadas Para poder realizar los trabajos prácticos y para evitar multiplicar el número de máquinas se utiliza un sistema de virtualización. El capítulo presenta, por ello, la instalación de una maqueta. Esta última utiliza el hipervisor de Microsoft (Hyper-V). También puede, si lo desea, utilizar su propio sistema de virtualización. A continuación se instalan varias máquinas virtuales que ejecutan Windows Server 2012 R2 o Windows 8.1. Es posible descargar las versiones de evaluación de estos productos en los siguientes enlaces: Windows 8.1: http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx Windows Server 2012 R2: http://technet.microsoft.com/es-ES/evalcenter/dn205286.aspx
El administrador del servidor La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde Windows Server 2008 se produjo, con Windows Server 2012, un cambio importante. Permite agregar/eliminar roles, y también la administración de equipos remotos: es posible, con ayuda de WinRM, instalar roles y características. También es posible configurar un conjunto de servidores para administrarlos mediante esta consola.
La gestión del servidor local se lleva a cabo, también, mediante esta consola. Es posible modificar cierta información muy rápidamente, como por ejemplo el nombre del equipo, el grupo de trabajo o el dominio al que pertenece. La configuración del escritorio remoto, o la gestión remota, también son configurables.
La propiedad Configuración de seguridad mejorada para Internet Explorer permite activar o desactivar la seguridad mejorada de Internet Explorer. Por defecto, esta opción está activa. El Panel permite, también, asegurar rápidamente que no existe ningún problema en el servidor.
De este modo, es posible ver en la captura de pantalla anterior que los roles Hyper-V y Servicios de archivos y de almacenamiento funcionan correctamente. Se auditan varios elementos: Eventos, Servicios, Rendimiento y Resultados de BPA. Servicios está precedido por una cifra, lo que indica al administrador que algún servicio tiene un error, está detenido…
Haciendo clic en Servicios se abre una ventana que muestra los detalles del servicio afectado.
Detengamos el servicio de spooler ejecutando el comando
net stop spooler.
La detención del servicio spooler provocará la creación de un nuevo evento. El comando anterior permite detener el servicio spooler.
Volviendo a la consola Administrador del servidor, se ejecuta un nuevo análisis. También es posible actualizar la consola para ver el cambio. La consola le indica, ahora, que existen problemas sobre dos servicios.
Se abre una nueva ventana indicando el o los servicios que presentan problemas, haciendo clic en el vínculo Servicios.
Es posible iniciar el o los servicios deseados haciendo clic con el botón derecho en la fila correspondiente al servicio que presenta el problema y, a continuación, seleccionando la opciónIniciar servicios. Actualizando la consola Administrador del servidor comprobará que el problema relativo al spooler ha desaparecido.
El problema del servicio desaparece. Es posible realizar la misma operación para los servicios remotos. Es, no obstante, obligatorio crear un grupo que incluya estos servidores (este punto se aborda más adelante en este capítulo). El menú Herramientas permite acceder a un conjunto de consolas (Administración de equipos, Servicios, Firewall de Windows con seguridad avanzada…) y de herramientas (Diagnóstico de memoria de Windows, Windows PowerShell…). Haciendo clic en Administrar aparece un menú contextual que permite acceder a un conjunto de opciones: Propiedades del Administrador del servidor: es posible especificar el período de actualización de los datos del Administrador del servidor. Por defecto, el valor está configurado a 10 minutos. El Administrador del servidor puede configurarse para que no se ejecute automáticamente tras iniciar sesión.
Crear grupo de servidores: con el objetivo de poder administrar varios servidores desde esta máquina, conviene crear un grupo de servidores. Es posible agregar/quitar roles o, simplemente, supervisarlos. Es posible agregar servidores escribiendo su nombre o una dirección IP en la pestaña DNS.
Es posible realizar la búsqueda del puesto con ayuda de Active Directory, seleccionando la ubicación (raíz del dominio, unidad organizativa…) y, a continuación, seleccionando el nombre de la máquina.
Agregar/Quitar roles y características: las operaciones para agregar o quitar roles pueden realizarse sobre el servidor local o sobre una máquina remota. Se utiliza el protocolo WinRM para llevar a cabo esta acción. Cuando se agrega un nuevo rol aparece un nodo en la columna izquierda. Haciendo clic sobre él, el panel central da acceso a las propiedades y eventos del rol.
1. Creación de un grupo de servidores Como hemos podido ver, la creación de un grupo nos permite realizar la administración de manera remota. Esto se realiza desde la consola Administrador del servidor. El menú Administrar permite llevar a cabo esta operación (seleccione la opción Crear grupo de servidores). En la etapa de creación es necesario asignar un nombre al grupo mediante el campo Nombre de grupo de servidores.
A continuación, basta con agregar los servidores con ayuda de las distintas pestañas. La pestañaActive Directory da acceso a una lista desplegable Sistema operativo. Permite filtrar sobre un tipo de sistema concreto (por ejemplo: Windows Server 2012 / Windows 8). Basta, entonces, con hacer clic en el botón Buscar ahora, seleccionar los servidores deseados (AD1, AD2…) y, a continuación, incluirlos en el grupo mediante el botón ubicado entre los campos de selección y el campo Seleccionada.
El nuevo grupo está disponible en la consola Administrador del servidor.
Este grupo permite recuperar el estado de salud de los puestos.
2. Instalación remota de un rol Se ha creado el grupo en un servidor, vamos, a continuación, a utilizarlo para instalar el rol Servidor de fax en un servidor remoto. En la consola, es necesario hacer clic en el vínculo Agregar roles y características. En la ventana de selección del servidor de destino es posible seleccionar el servidor sobre el que se quiere realizar la instalación.
A continuación, seleccione el rol que desea instalar y continúe con la instalación.
3. Eliminar un grupo de servidores La eliminación de un grupo de servidores se opera de manera tan sencilla como su creación. La operación se realiza desde la consola Administrador del servidor. Haciendo clic con el botón derecho sobre el grupo afectado, aparece la opción Eliminar grupo de servidores disponible.
A pesar de eliminar el grupo, los puestos siguen estando presentes en la sección Todos los servidores. Es preciso eliminarlos manualmente haciendo clic con el botón derecho sobre la fila del servidor afectado.
Servidor en modo instalación mínima Cuando se instala un servidor en modo Instalación mínima o modo Core, programa explorer.exeno se encuentra instalado. Sólo está presente la ventana de comandos.
el
La administración del servidor se realiza mediante comandos DOS. Escribiendo el comando hostname es posible obtener el nombre genérico asignado al servidor. Durante la instalación, dado que no se provee el nombre, se asigna un nombre generado aleatoriamente al servidor.
Para cambiar el nombre, es posible utilizar la herramienta sconfig (véase más adelante en este mismo capítulo) o el comando netdom. La sintaxis del comando
netdomes la siguiente:
netdom renamecomputer NombreActual /NewName:SRVCore NombreActualpuede remplazarse por
%computername%(el nombre de su servidor).
Es necesaria una validación, para ello basta con presionar la tecla S y, a continuación, la tecla [Enter].
Para hacer efectivo el nombre, el servidor debe reiniciarse. Para realizar esta operación puede ejecutar el comando shutdown -r -t 0. La opción
-r permite reiniciar el servidor, -t 0indica que se desea un reinicio inmediato.
Antes de configurar la tarjeta de red es preciso recuperar su nombre. Para realizar esta operación
puede utilizar el comando
netsh interface ipv4 show interfaces.
El nombre de la tarjeta de red es Ethernet, el comando que permite configurar la interfaz es, entonces: netsh interface ipv4 set address name="NombreTarjeta" source=static address=192.168.1.15 mask=255.255.255.0 gateway=192.168.1.254 Remplace caso.
NombreTarjetapor el verdadero nombre de la tarjeta de red, Etherneten este
Ha configurado la tarjeta, aunque la dirección comando netshpermite agregar el servidor DNS:
del servidor DNS no
se
ha
informado. El
netsh interface ip set dns "NombreTarjeta" static 192.168.1.10 primary Remplace NombreTarjeta por el verdadero nombre de la tarjeta de red, nuestro caso.
Ethernet en
El comando
ipconfig /allpermite verificar la correcta configuración del puesto.
Es, ahora, posible acceder al servidor de dominio, para ello conviene utilizar el siguiente comando: netdom join SRVCore /domain:Formacion.local /UserD:Administrador /passwordD:* Debe informarse la contraseña, puesto que se ha pasado un opción /passwordD. Cuando la informe, no se mostrará ningún carácter.
asterisco
en
la
La última etapa consiste en reiniciar el servidor con el objetivo de aplicar la configuración y unirlo al dominio. Continuando con la configuración de nuestro servidor, vamos a desactivar a continuación el firewall. Una vez más, el comando netshnos permite realizar esta acción: netsh firewall set opmode disable
1. Instalación de roles con una instalación en modo Core El servidor no posee una interfaz gráfica, por lo que la instalación debe realizarse por línea de comandos. Vamos a utilizar el comando dism para enumerar, habilitar o eliminar cualquier funcionalidad del sistema operativo. Para enumerar la lista de roles y características es preciso utilizar el comando
dism:
dism /online /get-features > Caracteristicas.txt Las características disponibles en el sistema operativo en ejecución (opción /online) se enumeran (/get-features). El resultado se escribe en el archivo Caracteristicas.txt.
El archivo muestra el nombre de cada funcionalidad y su estado. Para agregar el rol o la característica es preciso utilizar el comando dism. Antes de cualquier intento de instalación, debe recuperarse el nombre de la funcionalidad concreta. Por ejemplo, para DNS, el nombre es DNSServer-Full-Role. Ejecutando el comando dism /online /Enable-Feature /FeatureName:DNS-ServerFull-Roleen una ventana de comandos DOS es posible realizar su instalación.
Ahora es posible administrar el rol desde un servidor que posea interfaz gráfica. En el caso de que el firewall esté habilitado, piense en que debe autorizar la administración remota.
Por último, dismpuede, a su vez, eliminar una funcionalidad. Para realizar esta operación debe ejecutar el siguiente comando: dism /online /Disable-Feature /FeatureName:DNS-Server-Full-Role
Se elimina el rol del servidor.
2. Agregar/eliminar la interfaz gráfica Desde Windows Server 2008 es posible instalar servidores que no posean interfaz gráfica. No obstante, una vez instalado el servidor, es imposible la marcha atrás. Desde Windows Server 2012 es posible agregar o eliminar la interfaz gráfica. La eliminación/agregación puede afectar al shell(interfaz gráfica completa) o a las herramientas e infraestructuras de administración gráfica (incluye las herramientas necesarias para administrar el servidor sin el explorador Internet Explorer). Para llevar a cabo esta operación es preciso agregar o eliminar la funcionalidad Infraestructura e interfaces de usuario. Es posible instalar o eliminar dos opciones: Infraestructura y herramientas de administración gráfica Shell gráfico de servidor
Al finalizar la instalación, la consola le indica que es necesario reiniciar el servidor. La interfaz gráfica está, ahora, presente. Basta con eliminar la funcionalidad recién instalada para volver al servidor en modo instalación mínima.
3. Configuración con sconfig Un servidor Core no posee interfaz gráfica, por lo que la configuración debe realizarse por línea de comandos. El comando sconfig, presente en las instalaciones mínimas, evita al administrador tener que introducir los distintos comandos utilizados para configurar el nombre del servidor o la configuración IP. Es posible realizar más operaciones: Configuración del grupo de trabajo o de la unión a un dominio Active Directory. Cambio del nombre de equipo. Agregar una cuenta de administrador local. Descargar e instalar las actualizaciones de Windows Update. Configuración de la fecha y la zona horaria. Desconexión, parada y reinicio del servidor. Para acceder a la interfaz basta con ejecutar el comando DOS.
sconfigen una ventana de comandos
Para seleccionar la zona horaria debe seleccionar la opción número 9. Para ello, escriba 9 y, a continuación, presione la tecla [Enter]. Podrá modificar la zona horaria así como la fecha y la hora del servidor. El menú le permite, también, acceder a la Configuración de red (opción 8). En primer lugar, conviene seleccionar la tarjeta de red deseada mediante su índice.
Una vez seleccionada la interfaz de red es preciso seleccionar el parámetro que desea modificar (dirección de la tarjeta de red, servidor DNS…).
Escriba e (para realizar una configuración estática) y, a continuación, valide su elección presionando la tecla [Enter]. Es necesario configurar, a continuación, la dirección IP, la máscara de subred y la puerta de enlace predeterminada.
No debe olvidar la configuración DNS, para ello se presenta la opción 2.
De este modo, la configuración de un servidor en modo instalación mínima resulta mucho más sencilla.
Hyper-V El capítulo dedicado a la instalación de un entorno de pruebas presenta la instalación de una maqueta, en la que el sistema de virtualización propuesto es Hyper-V. Este sistema se presenta en este capítulo. Se trata de un sistema de virtualización disponible en los sistemas operativos de servidor desde Windows Server 2008, y actualmente está disponible la versión 3. La ventaja de este hypervisor es el acceso inmediato al hardware de la máquina host (obteniendo así mejores tiempos de respuesta). Es posible instalar el rol Hyper-V con Windows Server 2012 R2 en modo instalación completa (con la interfaz gráfica instalada) o en modo instalación mínima (sin interfaz gráfica).
1. Requisitos previos de hardware Como ocurre con muchos roles en Windows Server 2012 R2, Hyper-V tiene ciertos requisitos previos. El hardware de la máquina host está afectado por estos requisitos previos. La máquina o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second LevelAddress Translation). La capacidad del procesador debe, también, responder a ciertas exigencias de las máquinas virtuales. Éstas pueden soportar un máximo de 32 procesadores virtuales. La cantidad de memoria en el servidor host debe ser superior a la memoria configurada en las máquinas virtuales. Durante la asignación de memoria a las máquinas virtuales es preciso reservar una parte para el funcionamiento de la máquina física. Si la máquina host posee 32 GB de memoria disponible, se recomienda reservar 1 o 2 GB para el funcionamiento del servidor físico (el tamaño de la reserva varía en función de los roles que estén instalados en la máquina física).
2. Las máquinas virtuales en Hyper-V Por defecto, una máquina virtual utiliza los siguientes componentes: BIOS: se simula la BIOS de un ordenador físico, es posible configurar varias opciones: El orden de arranque para la máquina virtual (red, disco duro, DVD…). La activación o bloqueo automático del teclado numérico. Memoria RAM: a la máquina virtual se le asigna una cantidad de la memoria disponible. Como máximo, es posible asignar 1 TB de memoria. Desde Windows Server 2008 R2 SP1 es posible asignar memoria dinámicamente (se verá más adelante en este mismo capítulo). Procesador: como con la memoria, es posible asignar uno o varios procesadores (en función del número de procesadores y del número de núcleos de la máquina física). Es posible asignar, como máximo, 32 procesadores a una máquina virtual. Controlador IDE: es posible configurar dos controladores IDE en la VM (Virtual Machine), cada uno con dos discos como máximo. Controlador SCSI: agrega un controlador SCSI a la máquina virtual. De este modo, es posible agregar discos duros o lectores de DVD. Tarjeta de red: por defecto, la tarjeta de red de la máquina virtual no se hereda, lo que permite obtener una mejor tasa de transferencia, pero impide a la máquina realizar un arranque PXE (arranque del servidor en la red y carga de una imagen). Para poder iniciar en red es preciso agregar una tarjeta de red heredada. Tarjeta de vídeo 3D RemoteFX: este tipo de tarjetas permiten una representación gráfica de mejor calidad, aprovechando DirectX. Seleccionando una máquina virtual y, a continuación, haciendo clic en Configuración en el menúAcciones, aparece la siguiente ventana.
Es posible configurar los siguientes componentes durante la creación de una máquina virtual (tarjeta de red, disco duro, lector DVD) o accediendo a la configuración de la máquina correspondiente.
3. La memoria dinámica con Hyper-V Tras la aparición de Windows Server 2008, el sistema de virtualización Hyper-V permitía asignar únicamente una cantidad de memoria estática. De este modo, el número de máquinas virtuales se veía reducido. Si se deseaba asignar 4 GB de RAM a un servidor, la cantidad de memoria reservada era idéntica, incluso si no existía ninguna actividad sobre la máquina virtual. La memoria dinámica permite asignar una cantidad mínima de memoria. No obstante, si la máquina virtual necesita más memoria, está autorizada a solicitar una cantidad suplementaria (esta última no puede exceder la cantidad máxima acordada). Esta funcionalidad se ha incluido en los sistemas operativos de servidor desde Windows Server 2008 R2 SP1. A diferencia de Windows Server 2008 R2, cualquier administrador puede modificar, en Windows Server 2012 R2, los valores mínimo y máximo de la memoria dinámica que una máquina puede consumir cuando ésta se encuentra encendida. La memoria buffer es una funcionalidad que permite a la máquina virtual aprovechar una cantidad de RAM suplementaria si fuera necesario.
El peso de la memoria permite implementar prioridades acerca de la disponibilidad de la memoria.
4. El disco duro de las máquinas virtuales Un disco duro virtual es un archivo que utiliza Hyper-V para representar los discos duros físicos. De este modo, es posible almacenar, en estos archivos, sistemas operativos o datos. Es posible crear un disco duro utilizando: La consola Administrador de Hyper-V. La consola Administrador de discos. El comando de DOS diskpart. El comando de PowerShell New-VHD. Con la llegada de la nueva versión de Hyper-V, contenida en Windows Server 2012, es posible utilizar un nuevo formato, el VHDX. Este nuevo formato ofrece varias ventajas respecto a su predecesor, el formato VHD (Virtual Hard Disk). De este modo, el tamaño de los archivos no está limitado a 2 TB, cada disco duro virtual puede tener un tamaño máximo de 64 TB. El VHDX es menos sensible a la corrupción de archivos tras un corte inesperado (debido a un fallo de corriente, por ejemplo) del servidor. Es posible convertir los archivos VHD existentes en VHDX (este punto se aborda más adelante en este mismo capítulo).
Windows Server 2012 R2 soporta el almacenamiento de los discos duros virtuales sobre particiones de archivo SMB 3. Tras la creación de una imagen virtual Hyper-V bajo Windows Server 2012 R2 es posible especificar un recurso compartido de red.
Los distintos tipos de discos Durante la creación de un nuevo disco duro virtual, es posible crear distintos tipos de discos, incluyendo discos de tamaño fijo, dinámico o pass-through. Durante la creación de un disco virtual de tamaño fijo se reserva en disco el tamaño total correspondiente al archivo. De este modo, es posible limitar la fragmentación en el disco duro de la máquina host y mejorar el rendimiento. No obstante, este tipo de discos ofrecen el inconveniente de que consumen el espacio de disco incluso si el archivo VHD no contiene datos. Durante la creación de un disco de tamaño dinámico se define un tamaño máximo para los archivos. El tamaño del archivo aumenta en función del contenido hasta alcanzar el tamaño máximo. Durante la creación de un archivo VHD de tipo dinámico, este último tiene un tamaño de 260 KB frente a los 4096 KB necesarios para un formato VHDX. Es posible crear un archivo VHD mediante el cmdlet de PowerShell New-VHDy el parámetro -Dynamic. El disco virtual de tipo pass-through permite a una máquina virtual acceder directamente al disco físico. El disco se considera como un disco interno para el sistema operativo de la máquina virtual. Esto puede resultar muy útil para conectar la máquina virtual a una LUN (Logical Unit Number) iSCSI. No obstante, esta solución requiere un acceso exclusivo de la máquina virtual al disco físico correspondiente. Este último debe dejarse fuera de servicio mediante la consola Administrador de discos.
Administración de un disco virtual Es posible realizar ciertas operaciones sobre los archivos VHD. Es posible, por ejemplo, comprimirlo para reducir el volumen utilizado o convertir el formato VHD en VHDX. Durante la conversión del disco virtual, el contenido se copia sobre un nuevo archivo (conversión de un archivo de tamaño fijo en uno de tamaño dinámico, por ejemplo). Una vez copiados los datos e implementado el nuevo disco, el anterior archivo se elimina. Es posible realizar otras operaciones tales como la reducción de un archivo dinámico. Esta opción permite reducir el tamaño de un disco siempre que no utilice todo el espacio que se le ha asignado. Para los discos de tamaño fijo es necesario convertir antes el archivo VHD en un archivo de tipo dinámico. Estas acciones pueden llevarse a cabo mediante el Asistente para editar discos duros virtuales, opción Editar disco… en el panel Acciones. La ventana nos da acceso a varias opciones.
También es posible utilizar los cmdlets de PowerShell resize-partitiony resize-vhd para realizar la compresión de un disco duro virtual dinámico.
Los discos de diferenciación Un disco de diferenciación permite reducir el tamaño necesario para el almacenamiento. En efecto, este tipo de discos consiste en crear un disco padre común a varias máquinas virtuales y un disco que contiene las modificaciones que se realizan respecto al disco padre, disco que es propio de cada máquina. El tamaño necesario para almacenar las máquinas virtuales se ve, de este modo, reducido. Preste atención, la modificación de un disco padre provoca errores en los vínculos con los discos de diferenciación. Es, por tanto, necesario volver a conectar los discos de diferenciación utilizando la opción Inspeccionar disco... en el panel Acciones. Es posible crear un disco de diferenciación utilizando el cmdlet de PowerShell New-VHD. El siguiente comando permite crear un disco de diferenciación llamado Diferencial.vhd, que utiliza un disco padre llamado Padre.vhd.
New-VHD c:\Diferencial.vhd -ParentPath c:\Padre.vhd
5. Las instantáneas en Hyper-V Un snapshot (instantánea) se corresponde con una "foto" de la máquina virtual en el momento en que se realiza. Este último está contenido en un archivo con la extensión avhd o avhdx en función del tipo de archivo de disco duro seleccionado. Es posible realizar un snapshot seleccionando la máquina y haciendo clic en la opción Instantánea en el panel Acciones.
Cada máquina puede poseer hasta 50 snapshots. Si este último se crea mientras la máquina se encuentra iniciada, el snapshot incluirá el contenido de la memoria viva. Si se utiliza un snapshot para restablecer un estado anterior, es posible que la máquina virtual no pueda conectarse al dominio. En efecto, se produce un intercambio entre el controlador de dominio y la máquina virtual unida al dominio. Restaurando una máquina, este intercambio (contraseña) se restablece también. No obstante, la contraseña restablecida puede no seguir siendo válida, de modo que se rompería el canal seguro. Es posible reiniciarla realizando una nueva unión al dominio o utilizando el comando netdom resetpwd. Preste atención, el snapshot no remplaza, en ningún caso, a la copia de seguridad, pues los avhd o avhdx se almacenan en el mismo volumen que la máquina virtual. En caso de degradación en el disco, se perderían todos los archivos.
6. Gestión de redes virtuales Es posible crear varios tipos de redes y aplicarlos a una máquina virtual, lo cual permite a las distintas estaciones comunicarse entre sí o con los equipos externos a la máquina host (router, servidor…).
Los conmutadores virtuales Un conmutador virtual se corresponde con un conmutador físico, que podemos encontrar en cualquier red informática. También conocido como red virtual, con Windows Server 2008, hablamos ahora de conmutador virtuales desde Windows Server 2012. Es posible gestionarlos utilizando la opción Administrador de conmutadores virtuales en el panel Acciones. Es posible crear tres tipos de conmutadores: Externo: con este tipo de conmutador virtual es posible utilizar la tarjeta de red de la máquina host en la máquina virtual. De este modo, este conmutador virtual tiene una conexión sobre la red física que le permite acceder a los equipos o servidores de la red física. Interno: permite crear una red entre la máquina física y las máquinas virtuales. Es imposible, para las máquinas de la red física, comunicarse con las VM. Privada: la comunicación puede realizarse únicamente entre las máquinas virtuales, la máquina host no puede conectarse con ninguna de las VM.
Una vez creado, conviene volver a vincular la tarjeta de red de la VM con el conmutador deseado.
Requisitos previos y objetivos 1. Requisitos previos Poseer ciertas nociones sobre virtualización de servidores. Tener nociones sobre el funcionamiento de un sistema operativo.
2. Objetivos Configuración del servidor Hyper-V. Instalación de la maqueta que permitirá realizar los trabajos prácticos.
El entorno de pruebas El entorno de pruebas permite crear un entorno virtual o físico para llevar a cabo las pruebas. Éstas se realizan sin poner en riesgo máquinas o servidores en producción. La virtualización permite disminuir el número de máquinas físicas necesarias. Todas las máquinas virtuales funcionan sobre el mismo servidor físico. Será, no obstante, necesario disponer de una cantidad de memoria y un espacio de disco suficientes.
1. Configuración necesaria Se requiere una máquina potente para soportar todas las máquinas virtuales; la maqueta descrita más adelante está equipada con un procesador Pentium Core i7 con 8 GB de RAM. El sistema operativo instalado es Windows Server 2012 R2. Si su configuración es inferior, bastará con arrancar solamente aquellas máquinas virtuales necesarias. Es útil prever un mínimo de 1 GB para la máquina host, y unos 7 GB para el conjunto de máquinas virtuales. La solución de virtualización que se ha escogido es Hyper-V, integrada en las versiones servidor de Windows desde la versión 2008. Es posible, desde Windows 8, utilizar Hyper-V en los sistemas operativos cliente.
2. Instalación de Windows Server 2012 R2 Antes de instalar Windows Server 2012 R2 en el puesto físico es necesario respetar los requisitos previos del sistema operativo. Procesador: 1,4 GHz como mínimo, y arquitectura de 64 bits. Memoria RAM: 512 MB como mínimo. No obstante, un servidor equipado con 1024 MB es, en mi opinión, el mínimo aceptable. Espacio de disco: una instalación básica, sin ningún rol, requiere un espacio de disco de 15 GB. Habrá que prever un espacio más o menos adecuado en función del rol del servidor. Desde Windows 2008 se proporcionan dos tipos de instalación. Una instalación completa: con una interfaz gráfica que permite administrar el servidor de manera visual o por línea de comandos. Una instalación mínima: el sistema operativo se instala sin ninguna interfaz gráfica. Sólo se muestra en pantalla una línea de comandos: la instalación de roles y características, o la administración cotidiana del servidor, se realizan por línea de comandos. Es, no obstante, posible administrar los distintos roles de forma remota instalando archivos RSAT en un puesto remoto. Ciertos criterios, tales como las características técnicas del servidor o la voluntad de reducir la administración, facilitan la elección entre ambos tipos de instalación. Si el servidor posee características limitadas o si desea reducir el número de actualizaciones que tendrá que instalar se recomienda realizar una instalación mínima. Una vez terminada la instalación del servidor es necesario reconfigurar el nombre del servidor y definir su configuración IP.
Creación de las máquinas virtuales La siguiente etapa consiste en la instalación del rol Hyper-V y la creación, instalación y configuración posterior de las distintas máquinas virtuales.
Haga clic en el Administrador del servidor
.
En la consola, haga clic en Agregar roles y características.
Se abre el asistente, haga clic en Siguiente. Dado que Hyper-V es un rol, deje marcada la opción por defecto Instalación basada en características o en roles y, a continuación, haga clic en Siguiente.
Verifique que el servidor de destino es el suyo y haga clic en Siguiente.
Marque la opción Hyper-V y, a continuación, haga clic en Agregar características. Haga clic en Siguiente en la ventana de instalación de características. Es necesario crear un conmutador virtual: haga clic en la tarjeta de red para realizar un puente
entre la red física y la máquina virtual. Haga clic dos veces en Siguiente y, a continuación, en Instalar. Reinicie el servidor una vez terminada la instalación. Haga clic en el botón Inicio y, a continuación, acceda a las Herramientas administrativas y haga clic en el Administrador de Hyper-V.
Ahora es preciso configurar la interfaz de red. Es posible utiliza la tarjeta física o crear una tarjeta interna. Para esto último, existen dos opciones: Red interna: se crea una red virtual entre la máquina host y las máquinas virtuales. Es imposible alcanzar una máquina en la red física (servidor, impresora de red…). Red privada: las máquinas virtuales están aisladas de la máquina host, es imposible conectar con la máquina física y las máquinas de la red física. Haga clic en Administrador de conmutadores virtuales en la consola Hyper-V (panel Acciones).
Haga clic en Nuevo conmutador de red virtual y, a continuación, seleccione el tipo Interno.
Acepte la selección haciendo clic en el botón Crear conmutador virtual. Dé nombre a la tarjeta creada en la red virtual "Interna". Repita la operación para crear el conmutador de red virtual Interna 2.
Haga clic en Aplicar y, a continuación, en Aceptar.
1. Esquema de la maqueta Se van a crear siete máquinas virtuales, los sistemas operativos utilizados serán Windows Server 2012 R2 y Windows 8.1. Durante la instalación de las máquinas virtuales, éstas serán miembro del grupo de trabajo Workgroup. A continuación, crearemos el dominio de Active Directory Formacion.local. Se utilizarán dos redes, con dos rangos diferentes de direcciones IP, enlazadas mediante un servidor SRV-RT. La maqueta contiene cinco servidores y dos puestos cliente: AD1, controlador de dominio del dominio Formacion.local. AD2, controlador de dominio del dominio Formacion.local. SV1, servidor miembro del dominio Formacion.local. SV2, servidor miembro del dominio Formacion.local. SRV-RT, servidor miembro con el rol de enrutador. CL8-01, puesto de cliente Windows 8.1 miembro del dominio Formacion.local. CL8-02, puesto de cliente Windows 8.1 miembro del dominio Formacion.local.
Roles instalados y configuración de los servidores y puestos: Rol instalado AD1
Active Directory, DNS y DHCP
Configuración IP Dirección IP: 192.168.1.10 Máscara de subred: 255.255.255.0 Puerta de 192.168.1.254
enlace
predeterminada:
Servidor DNS primario: 192.168.1.10 AD2
Active Directory y DNS
Dirección IP: 192.168.1.11 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS primario: 192.168.1.10
SV1
Ningún rol
Dirección IP: 192.168.1.12 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS primario: 192.168.1.10
SV2
Ningún rol
Dirección IP: 192.168.1.13 Máscara de subred: 255.255.255.0 Puerta de 192.168.1.254
enlace
predeterminada:
Servidor DNS primario: 192.168.1.10 CL801y CL802
Ningún rol
Configuración atribuida por el servidor DHCP
SRV-RT
Enrutador
Tarjeta de red 1: Dirección IP: 192.168.1.254 Máscara de subred: 255.255.255.0 Servidor DNS primario: 192.168.1.10 Tarjeta de red 2: Dirección IP: 172.16.1.254 Máscara de subred: 255.255.0.0
La instalación y la configuración de los roles se detallan más adelante en este libro.
2. Máquina virtual AD1 El procedimiento detallado a continuación debe reproducirse para los demás servidores.
a. Creación y configuración de la VM En la consola Hyper-V, haga clic en Nuevo dentro del panel Acciones y, a continuación, enMáquina virtual. En la ventana Antes de comenzar, haga clic en Siguiente. Escriba AD1 en el campo Nombre y, a continuación, haga clic en Siguiente.
Seleccione la opción Generación 2 y, a continuación, haga clic en el botón Siguiente.
Escriba 1024 en el campo Memoria de inicio. Haga clic en Siguiente.
En la ventana Configurar funciones de red, seleccione la tarjeta de red deseada (interna o tarjeta de red física) y haga clic en Siguiente. Escriba 60 en el campo Tamaño del disco y valide con el botón Siguiente.
Conecte, a la máquina virtual, la ISO o el DVD de Windows Server 2012 R2 y haga clic enSiguiente.
En la ventana de resumen, haga clic en Finalizar. Aparece la nueva máquina en la ventana central de la consola. El disco duro de la máquina se ha creado, pero está virgen. Es preciso particionarlo e instalar un sistema operativo.
b. Instalación del sistema operativo En la consola Hyper-V, haga doble clic en la máquina que acaba de crear y, a continuación, haga clic en el botón que permite iniciar la VM (icono verde).
La máquina arranca y se inicia la instalación de Windows Server 2012 R2. Haga clic en Siguiente en la ventana que permite escoger el idioma (el idioma Español está seleccionado por defecto).
Haga clic en Instalar ahora para iniciar la instalación. Haga clic en la versión Estándar (instalación con interfaz de usuario). Acepte el contrato de licencia y, a continuación, haga clic en Siguiente. Seleccione el tipo de instalación Personalizada: instalar solo Windows (avanzado).
Con ayuda de la opción Opciones de unidad (avanz.), cree dos particiones de 30 GB. Haga clic en la primera partición de 30 GB y, a continuación, en Siguiente. Se completa la instalación… Escriba la contraseña Pa$$w0rd y, a continuación, confírmela.
Termina la instalación. La siguiente etapa consiste en la modificación del nombre del equipo y la configuración IP de la máquina. Los roles se instalarán a lo largo de los siguientes capítulos.
c. Configuración post-instalación Realice un [Ctrl][Alt][Fin] en la máquina virtual recién instalada, o haga clic en el primer icono de la barra de herramientas para escribir un nombre de usuario y una contraseña.
Abra una sesión como administrador, introduciendo la contraseña configurada en la sección anterior. En el Administrador del servidor, haga clic en Configurar este servidor local.
Haga clic en Nombre de equipo para abrir las propiedades del sistema.
Haga clic en Cambiar y, a continuación, escriba AD1 en el campo Nombre de equipo. Haga clic dos veces en Aceptar y, a continuación, en Cerrar. Reinicie la máquina virtual para que se hagan efectivos los cambios. A continuación es preciso configurar la dirección IP de la tarjeta de red. Haga clic con el botón derecho en Centro de redes y recursos compartidos y, a continuación, haga clic en Abrir. Haga clic en Cambiar configuración del adaptador.
Haga doble clic en la tarjeta de red y, a continuación, en Propiedades. En la ventana de Propiedades, haga doble clic en Protocolo de Internet versión 4
(TCP/IPv4).
Configure la interfaz de red como se muestra a continuación.
Estas manipulaciones hay que reproducirlas, con otros parámetros, en las siguientes máquinas virtuales. Las modificaciones que hay que llevar a cabo son el nombre del equipo y su configuración IP.
3. Máquina virtual AD2 Este servidor es el segundo controlador de dominio de la maqueta, llamado AD2. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Dirección IP: 192.168.1.11 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd Los roles se instalarán en los siguientes capítulos. La máquina no debe unirse al dominio.
4. Máquina virtual SV1 Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones.
Nombre de equipo: SV1 Dirección IP: 192.168.1.12 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd
5. Máquina virtual SV2 Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Nombre de equipo: SV2 Dirección IP: 192.168.1.13 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.1.254 Servidor DNS preferido: 192.168.1.10 Contraseña del administrador local: Pa$$w0rd
6. Máquina virtual CL8-01 Puesto cliente con Windows 8.1, miembro del dominio. La configuración IP se realizará mediante un contrato DHCP. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola partición. Nombre de equipo: CL8-01 Contraseña del administrador local: Pa$$w0rd
7. Máquina virtual SRV-RT Servidor miembro del dominio. Se instalarán distintos roles más adelante. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones. Este servidor virtual contiene dos interfaces, cada una conectada a un conmutador virtual distinto. Nombre de equipo: SRV-RT Tarjeta de red 1: Dirección IP: 192.168.1.254 Máscara de subred: 255.255.255.0 Servidor DNS preferido: 192.168.1.10 Tarjeta de red 2: Dirección IP: 172.16.1.254
Máscara de subred: 255.255.0.0 Contraseña del administrador local: Pa$$w0rd
8. Máquina virtual CL8-02 Puesto cliente con Windows 8.1, miembro del dominio. La configuración IP se realizará mediante un contrato DHCP. La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola partición. Nombre de equipo: CL8-02 Contraseña del administrador local: Pa$$w0rd
9. Las instantáneas Las instantáneas permiten salvaguardar el estado de la máquina virtual. Es, así, posible restablecer la captura instantánea y volver con facilidad a un estado anterior. Abra la consola Administrador de Hyper-V. Haga clic con el botón derecho sobre la VM elegida y, a continuación, seleccione Instantánea. En la consola aparece la captura instantánea.
Una vez realizada la misma operación sobre el conjunto de máquinas virtuales, es posible restaurar el estado de una o varias VM de la maqueta.
Requisitos previos y objetivos 1. Requisitos previos Poseer competencias en Active Directory. Tener conocimientos acerca de sistemas de virtualización.
2. Objetivos Presentación del servicio AD DS (Active Directory Domain Services). Presentación de las novedades relativas a la virtualización del controlador de dominio. Mantenimiento de la base de datos de Active Directory.
Introducción El directorio Active Directory es un componente esencial en un sistema de IT. Gestionado por un controlador de dominio, es importante realizar la administración cotidiana de este servidor minuciosamente.
Presentación de Active Directory Domain Services Active Directory utiliza una base de datos donde se almacena la información necesaria para realizar la identificación de los distintos objetos de Active Directory (equipos, grupos, usuarios…). Esta base de datos se almacena y administra mediante un servidor llamado controlador de dominio. Éste se encarga de autenticar a los distintos usuarios y equipos del dominio. Esta autenticación les permite acceder a los recursos de la red.
1. Los distintos componentes de AD DS Los componentes de Active Directory pueden clasificarse en dos categorías, componentes físicos y componentes lógicos.
Los componentes físicos Los controladores de dominio son un componente físico, contienen una copia de la base de datos. La carpeta SYSVOL es una carpeta compartida y se encuentra una réplica en cada servidor que tenga el rol de controlador de dominio. Los servidores tienen un rol de catálogo global y poseen la lista de objetos que se han creado en el bosque, así como parte de sus atributos (aquellos que se replican en el catálogo global). De este modo, las búsquedas de un objeto presente en el bosque son mucho más rápidas. Por último, el componente RODC (Read Only Domain Controller) aparece con Windows Server 2008 y consiste en la instalación de un controlador de dominio de solo lectura. A diferencia de un controlador de dominio que posea permisos de escritura, es imposible realizar modificaciones sobre un RODC.
Los componentes lógicos Como complemento a los componentes físicos, una solución Active Directory posee, también, componentes lógicos. Hemos visto, antes, que toda la información de un objeto se contiene en una base de datos. Ésta se compone de varias particiones: Dominio Esquema DNS Configuración La partición de dominio contiene los distintos objetos que se han creado en el dominio. A diferencia de esta última, la partición de esquema contiene todos los objetos que pueden crearse. Además, las dos particiones contienen, a su vez, distintos atributos de los objetos. La sección Configuración está compuesta por la topología del bosque, de modo que encontramos información relativa al dominio, sitios y conexiones entre controladores de dominio. Por último, la partición DNS contiene las distintas zonas del servidor. Para ello, es preciso que el servidor DNS se instale sobre un controlador de dominio. Es posible clasificar otros componentes dentro de la familia de componentes lógicos, la arborescencia de dominio y el bosque forman parte de esta familia. El bosque Active Directory consiste en una serie de dominios vinculados entre sí por una relación de confianza bidireccional transitiva. Cuando varios nombres de dominio tienen una raíz DNS común (Formacion.local, ES.Formacion.local, EU.Formacion.local), estos últimos se presentan bajo la misma arborescencia de dominio. Por último, también es posible encontrar sitios AD así como unidades organizativas. Los sitios Active Directory permiten dividir un dominio de cara a su replicación. Esto permite ahorrar en ancho de banda entre ambos sitios remotos, por ejemplo. La unidad organizativa es un objeto de Active Directory sobre el que es posible posicionar directivas de grupo. Este objeto puede, a su vez, servir para implementar delegaciones.
2. Visión general de las nociones de esquema y bosque de Active Directory
Un bosque Active Directory se compone de una o varias arborescencias de dominio. Cada una de estas arborescencias contiene, a su vez, varios dominios. El nombre del bosque es idéntico al del primer dominio creado. Este último, llamado dominio raíz, contiene, por lo general, objetos que sólo están presentes en él. De este modo, podemos encontrar cuentas de administradores de empresa, administradores del esquema o los roles FSMO (Flexible Single Master Operation) Maestro de esquema y Maestro de nomenclatura de dominios. Un usuario externo al bosque no puede acceder a un recurso presente en un dominio del bosque. En el caso de que existan dos bosques de Active Directory es preciso crear una relación de confianza entre bosques para permitir a los usuarios del bosque A acceder a los recursos del bosque B, y viceversa. No obstante, este tipo de relación de confianza posee dos requisitos previos: Nivel funcional mínimo Windows Server 2003 en ambos bosques. Redirector condicional configurado sobre los servidores DNS (generalmente controlador de dominio raíz de ambos bosques).
sobre
el
La implementación de una relación de confianza de este tipo permite a todos los usuarios del bosque A acceder a todos los recursos del bosque B (en función de las ACL) y viceversa. Es, por tanto, necesario limitar las personas que tendrán acceso a los recursos o pueden conectarse a un equipo, conviene implementar la autenticación selectiva. El administrador debe configurar las autorizaciones para el usuario del segundo dominio sobre la cuenta de equipo del o de los servidores deseados. Debe utilizarse, para ello, el permiso NTFS Permiso para autenticar.
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, así como sus atributos. Cuando se ejecuta un proyecto de migración o de instalación de un servidor Exchange, es preciso actualizar el esquema. Esta etapa se realiza automáticamente tras una migración de
Windows Server 2008 R2 a Windows Server 2012 o superior. En efecto, la etapa de promoción de un controlador de dominio se ha visto simplificada para determinar si es necesario llevar a cabo la etapa de actualización. Esta operación debe realizarse sobre el servidor que posea el rol FSMO Maestro de esquema, además la cuenta que ejecuta la operación debe ser miembro del grupo Administradores de esquema. La consola Esquema de Active Directory no está accesible por defecto, para habilitarla es preciso ejecutar el comando Regsvr32 Schmmgmt.dll.
A continuación, es posible agregar el componente visual Esquema de Active Directory a la consola.
La consola permite visualizar las distintas clases de objeto así como sus atributos.
3. La estructura del directorio Active Directory Un dominio Active Directory consiste en un grupo de usuarios y equipos que pertenecen a una misma entidad. Esta agrupación se realiza con el objetivo de simplificar la seguridad y la
administración de la red informática. Hemos visto que un bosque está compuesto de varios dominios y, estos últimos, pueden contener varios controladores de dominio, por lo que resulta necesario que la base de datos de Active Directory (ntds.dit) se replique sobre varios servidores. Hablamos, en este caso, de replicación intersitio para una replicación entre servidores de sitios diferentes (por ejemplo, un sitio creado en Barcelona y otro en Madrid). La replicación intrasitio se corresponde con una replicación entre dos controladores de dominio de un mismo sitio AD. Un usuario o equipo puede, por tanto, autenticarse en todos los controladores de dominio que componen su dominio, los cuales le autorizan el acceso a los distintos recursos. Sólo es posible realizar el inicio de sesión si la cuenta de usuario y la cuenta de equipo están autenticadas. Tras haber unido un equipo al dominio, se crea una cuenta para él. Como ocurre con los usuarios, esta cuenta de equipo posee una contraseña que cambia cada 30 días, de modo que se establece un canal seguro entre el controlador de dominio y la estación. En el caso de la restauración de un equipo de trabajo o, incluso peor, de un controlador de dominio, también se restaura la contraseña de una o varias máquinas. Desgraciadamente es diferente a la contraseña almacenada en el servidor, o a la inversa. En este momento, se rompe el canal seguro y no es posible realizar ningún inicio de sesión. Existen diversos comandos que permiten realizar el cambio de contraseña en ambos lados. Es posible, a su vez, sacar y volver a meter el equipo de trabajo en el dominio, con el objetivo de repararlo. De este modo, es fácil comprobar la importancia de un controlador de dominio. A modo de recordatorio, contiene además de la base de datos una carpeta compartida llamada SYSVOL que contiene parte de las directivas de grupo creadas y los scripts de usuario (estos puntos se abordan en capítulos posteriores). Para evitar modificaciones fraudulentas o accidentales sobre los objetos contenidos en la base de datos es posible, desde Windows Server 2008, instalar un controlador de dominio de solo lectura (RODC, Read Only Domain Controller). Este punto se desarrolla más adelante en este capítulo. Tras la creación del directorio Active Directory se crean varios objetos, además de los distintos usuarios, grupos o cuentas de equipos. Las carpetas de sistema Builtin y Users contienen los distintos grupos y usuarios por defecto (Administrador, Administradores de dominio, Operador de copia de seguridad…). A nivel de unidades organizativas únicamente se crea por defecto la OU (Organizational Unit) Domain Controllers. Es posible proceder a la creación de varias unidades organizativas y anidarlas si es necesario. Permiten asignar directivas de grupo al conjunto de usuarios o equipos que la componen, además de implementar delegaciones. Esta acción consiste en otorgar a otro usuario permisos más o menos limitados (restablecer la contraseña, agregar/eliminar una cuenta…).
Implementación de controladores de dominio virtualizados La virtualización es una solución que se utiliza, a día de hoy, en la gran mayoría de parques informáticos. Además de permitir obtener una ganancia de sitio en las salas de servidores, permite alcanzar un mejor uso de los recursos de los servidores. En efecto, trabajando con servidores físicos, los recursos de hardware no siempre se utilizaban en su totalidad. Entre los servidores virtualizados es frecuente encontrar servidores con el rol de controlador de dominio. Microsoft recomienda tener, como mínimo, un controlador de dominio instalado sobre un servidor físico, puesto que este tipo de servidores arrancan con mayor velocidad que un servidor virtual que necesita, previamente, el arranque de la máquina host. Esta recomendación es principalmente útil en caso de producirse algún corte de corriente y la detención de todos los servidores.
1. Despliegue de controladores de dominio virtualizados A partir de Windows Server 2012 se implementa una nueva funcionalidad a nivel de la virtualización de controladores de dominio. Ahora es posible realizar un clonado de un controlador de dominio. En los sistemas operativos anteriores, los controladores de dominio no conocían su estado virtualizado. Los snapshots sobre las máquinas virtuales no estaban, por tanto, recomendados. Con la aparición de Windows Server 2012 los servidores con el rol de controlador de dominio tienen, ahora, consciencia de su estado virtualizado. De este modo, en lo sucesivo es posible realizar el clonado de un controlador de dominio virtualizado o implementar snapshots sobre DC virtualizados. La operación de clonado requiere ciertas precauciones, es imposible tener, en el mismo bosque, dos controladores de dominio con el mismo nombre, GUID (Globally Unique Identifier) o SID (Security Identifier). El despliegue de controladores de dominio se ve, de este modo, enormemente facilitado. No obstante, es preciso tener en cuenta ciertos requisitos previos: El servidor que posee el rol FSMO Emulador PDC debe, obligatoriamente, encontrarse sobre un controlador de dominio que ejecute Windows Server 2012 o superior. El maestro Emulador PDC procede a la creación de los distintos identificadores necesarios para el nuevo controlador de dominio clonado para ser considerado servidor réplica. Este servidor debe estar disponible durante la etapa de clonado. El hypervisor que gestiona las máquinas virtuales debe incluir la funcionalidad que permite generar el ID. Hyper-V 3.0, presente desde Windows Server 2012, posee esta funcionalidad. La etapa de clonado utiliza archivos XML para llevar a cabo las distintas etapas de la operación. La configuración del nuevo controlador de dominio se encuentra en el archivo DcCloneConfig.xml. Este archivo se genera mediante un cmdlet PowerShell si no existe ninguna aplicación no autorizada sobre el servidor. En efecto, algunos roles tales como DHCP, Entidad certificadora, etc., no son compatibles con el clonado de DC, de modo que es necesario, previamente, desplazar estos roles a algún otro servidor. Además, es posible que algunas de sus aplicaciones estén consideradas como excluidas (no autorizadas), en cuyo caso es primordial asegurarse en primer lugar con el fabricante acerca de la compatibilidad del software con la funcionalidad de clonado. A continuación, es necesario crear una excepción y autorizar así la aplicación excluida anteriormente. Esta operación se realiza mediante cmdlets PowerShell. Una vez realizada la verificación, y si no existe ninguna aplicación excluida presente en el servidor, se crea el archivo de clonado DcCloneConfig.xml en la carpeta NTDS. A continuación, es necesario exportar la máquina virtual e importarla. Al arrancar la máquina clonada, se realizan las etapas de configuración. Si la máquina original se ha detenido, piense en arrancarla antes de la VM clonada.
2. Gestión de los controladores de dominio virtualizados Desde Windows Server 2012 es posible aplicar un snapshot sobre un servidor virtualizado y
utilizarlo si fuera necesario. Tras la restauración de un estado anterior (uso del snapshot), el controlador de dominio va a intentar realizar una restauración no autoritativa. De este modo, tratará de replicarse con sus servidores asociados de replicación. Se recomienda, en tal caso, no restaurar todos los controladores de dominio en el mismo momento, pues la replicación no podrá llevarse a cabo y ningún servidor hará de autoridad. Se inicia una replicación y se elimina el pool de RID (Relative ID) del controlador de dominio restaurado. Tras esta eliminación se le atribuye un nuevo pool de RID (esto permite evitar una duplicación de los SID en AD DS). También se inicia una replicación no autoritativa de la carpeta SYSVOL. Es posible utilizar cmdlets PowerShell para realizar la gestión de los snapshots de Hyper-V. La creación de un snapshot se realiza mediante el cmdlet Checkpoint-VM mientras que la exportación se lleva a cabo mediante el cmdlet Export-VMSnapshot. Es posible obtener la lista de snapshots asociados a una máquina virtual mediante el comando Get-VMSnapshot. Es posible eliminar, renombrar o restaurar un snapshot mediante las instrucciones RemoveVMSnapshot,Rename-VMSnapshoty Restore-VMSnapshotrespectivamente. Por último, para terminar con los snapshots, es preciso tener en cuenta los puntos siguientes: Los snapshots no remplazan a la copia de seguridad cotidiana. No se debe restaurar un snapshot que se haya tomado antes de realizar la promoción de un servidor pues la promoción del servidor tendrá que realizarse manualmente. Preste atención, no obstante, a que es necesario realizar una limpieza previa de la base de datos de AD. El procedimiento (cleanup metadata) está disponible en el sitio web de Microsoft:http://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
Implementación de un RODC El RODC (Read Only Domain Controller) es un servidor con el rol de controlador de dominio. Este servidor posee, únicamente, permisos de solo lectura sobre la base de datos. Es, por tanto, imposible realizar modificaciones desde este servidor. Los atributos considerados como críticos (contraseña, por ejemplo) no se replican sobre los RODC. Por defecto, entonces, un controlador de dominio de solo lectura sólo transmite la solicitud de autenticación a su controlador de dominio de escritura. Este mecanismo puede suponer, rápidamente, un problema en caso de ruptura de una línea WAN (Wide Area Network), por lo que es necesario realizar el almacenamiento en caché de las contraseñas. Para ello es preciso indicar al servidor con permisos de escritura sobre la base de datos de AD los usuarios y equipos a los que se quiere aplicar este almacenamiento en caché. Tras la siguiente replicación se produce el almacenamiento en caché. El almacenamiento en caché de la cuenta de equipo es necesario puesto que el inicio de sesión requiere la validación de la contraseña del equipo y del usuario. Si alguna de las dos contraseñas no fuera válida o no pudiera comprobarse (línea WAN cortada) sería imposible realizar el inicio de sesión.
La administración de un controlador de dominio (para la instalación de una impresora, por ejemplo) supone poseer una delegación o ser miembro del grupo Administradores de dominio. Con un RODC es posible delegar la administración local a un usuario de dominio. Éste no podrá administrar Active Directory (salvo si es miembro del grupo Administradores de dominio). Es frecuente ver zonas DNS integradas con Active Directory con el objetivo de facilitar la replicación y securizar las actualizaciones dinámicas. Sobre un RODC es posible instalar el rol DNS e integrar las zonas con AD. No obstante, como con Active Directory, el servidor DNS es de solo lectura. La instalación del RODC supone el cumplimiento de ciertos requisitos previos. De este modo, es necesario tener un nivel funcional Windows Server 2003 o superior a nivel del bosque. La actualización del esquema se realiza mediante el comando adprep /RODCPrepantes de cualquier intento de instalación. Por último, es preciso disponer de al menos un controlador de dominio con Windows Server 2008 o superior. Preste atención, solo es posible tener un servidor con el rol RODC por sitio AD.
Una vez validados los requisitos previos, es posible pasar a la instalación. Para ello, hay que crear previamente la cuenta o realizar la promoción del servidor como controlador de dominio. La primera solución permite delegar a una tercera persona la etapa de promoción, mientras que la segunda requiere permisos de administración.
1. Gestión del almacenamiento en caché en un RODC Tras la instalación de un RODC, es posible almacenar en caché las credenciales. Esta funcionalidad consiste en enviar las contraseñas de los objetos deseados. Esta operación se realiza tras la replicación del controlador de dominio hacia el RODC. Almacenando en caché los objetos usuarios y equipos, la solicitud de autenticación puede procesarse localmente mientras que, en caso contrario, se envía al controlador de dominio. En el momento de la promoción de un servidor como RODC se crean dos grupos: Grupo de replicación de contraseña RODC permitida Grupo de replicación de contraseña RODC denegada El primer grupo permite el alojamiento en caché de las contraseñas, mientras que el segundo no permite realizar esta operación. Basta, por tanto, con agregar objetos a uno u otro grupo según la necesidad.
Una buena práctica consiste en crear grupos globales para cada RODC y no almacenar en caché más que las cuentas que posean permisos de administración.
2. Administración local sobre los controladores de dominio de solo lectura A diferencia de los otros controladores de dominio, es posible administrar de manera local los RODC. Es, por tanto, posible alojar en caché una delegación sin que el usuario afectado obtenga permisos de administración. La delegación puede llevarse a cabo mediante los comandos ntdsutil o dsmgmt.
Administración de Active Directory La administración de Active Directory puede realizarse de varias formas (por línea de comando, a través de una herramienta gráfica).
1. Presentación de las distintas consolas de AD Existen varias consolas disponibles para realizar la administración de Active Directory. La consolaUsuarios y equipos de Active Directory permite crear, modificar o eliminar todos los objetos de Active Directory tales como las cuentas de usuario y equipos, los grupos o las unidades organizativas. La consola Sitios y servicios de Active Directory tiene como objetivo administrar la topología de Active Directory. Es, así, posible realizar operaciones (agregar un sitio, agregar una conexión…) sobre los sitios de Active Directory, con el objetivo de gestionar las replicaciones intersitio. La consola Dominios y confianzas de Active Directory permite, por su parte, gestionar las relaciones de confianza o los niveles funcionales del bosque y del dominio. El esquema Active Directory contiene un conjunto de objetos con sus atributos, los cuales pueden examinarse mediante la consola Esquema Active Directory. Esta consola no está habilitada por defecto.
La consola Centro de administración de Active Directory La consola Centro de administración de Active Directory permite proveer opciones suplementarias (interfaz gráfica de la papelera de reciclaje de Active Directory…). Permite, a su vez, realizar todas las operaciones más comunes, del tipo: Creación y administración de las cuentas de usuario, equipos y grupos. Gestión de las unidades organizativas. La consola presente en Windows Server 2012 R2 aporta su conjunto de novedades: Interfaz gráfica para utilizar la papelera de reciclaje de Active Directory. Creación y administración de las directivas de contraseña muy específicas (PSO - Password Security Object) mediante una interfaz gráfica. Es posible visualizar el comando PowerShell que se utiliza para realizar alguna acción desde la consola. Esto facilita la creación de scripts.
2. Los módulos de Active Directory para PowerShell El módulo de Active Directory presente en Windows Server 2012 R2 contiene una lista de los cmdlets que permiten administrar los distintos tipos de objetos de Active Directory. Gestión de las cuentas de usuario, equipos y grupos Gestión de la política de contraseñas Búsqueda y modificación de objetos en Active Directory Gestión del bosque y de los dominios Administración de los controladores de dominio y de los roles FSMO Administración de las cuentas de servicio Gestión de los sitios AD Este módulo se instala automáticamente tras la promoción del servidor como controlador de dominio o tras instalar el rol ADLDS (Active Directory Lightweight Directory Services).
3. Gestión de los roles FSMO Un bosque de Active Directory se compone de cinco roles FSMO (Flexible Single Master Operation) distribuidos en uno o varios servidores.
Maestro de esquema Se ubica, generalmente, en un controlador de dominio del dominio raíz, dado que es el único servidor con permisos de escritura sobre el esquema de Active Directory (los demás tienen, únicamente, permisos de lectura).
Maestro de nomenclatura de dominios Como con el maestro de esquema, este rol se asigna, por lo general, a un controlador de dominio del dominio raíz del bosque. Este rol se utiliza tras agregar o eliminar un dominio o una partición de aplicación. Si el servidor que posee este rol no está accesible, no se puede realizar la operación deseada. A diferencia de los dos roles anteriores, los tres siguientes roles se presentan en cada dominio que compone el bosque.
Maestro RID El maestro RID permite distribuir el pool de RID a los demás controladores de dominio de su dominio. Estos RID se utilizan para generar los SID durante la creación de un nuevo objeto. En efecto, un SID está compuesto por el SID del dominio (común a todos los objetos de este dominio) así como del RID (único). Si el maestro RID está fuera de servicio, los demás controladores de dominio tienen la posibilidad de continuar con la creación de objetos hasta que se agote el pool.
Maestro de infraestructura Este rol es útil en un bosque multidominio. Su responsabilidad es supervisar los objetos de los demás dominios del bosque que son miembros de objetos de su dominio.
Maestro Emulador PDC El maestro Emulador PDC (Primary Domain Controller) permite gestionar las actualizaciones de las directivas de grupo en un dominio. Ofrece, a su vez, la funcionalidad de sincronización de los relojes Una diferencia superior a 5 minutos entre un puesto y su controlador de dominio implica la imposibilidad de iniciar sesión o acceder a un recurso. Tras haberse sincronizado a través de Internet, el servidor con el rol de Maestro Emulador PDC sincroniza con su hora al conjunto de puestos y del dominio.
Buenas prácticas para la distribución de roles FSMO Los roles FSMO Maestro de esquema y Maestro de nomenclatura de dominios se instalan sobre un controlador de dominio raíz del bosque. En un bosque multidominio, el rol maestro de infraestructura no debe estar presente sobre un servidor con la función de catálogo global. Si el bosque se compone de un único dominio, y solamente en este caso, el maestro de infraestructura puede instalarse sobre el servidor catálogo global. Para conocer los servidores que poseen los roles FSMO, hay que ejecutar el comando query fsmo.
netdom
4. Uso de una cuenta de servicio Antes de poder utilizar una cuenta de servicio, es interesante comprender la utilidad de este tipo de cuenta.
Es habitual tener que ejecutar servicios de ciertas aplicaciones (backup, sql…) con cuentas de AD. A excepción de los permisos que poseen, no existe ninguna otra diferencia entre una cuenta de usuario y una cuenta de servicio. Este tipo de cuenta está, evidentemente, exento de realizar cambios de contraseña; además, la aplicación de una política de bloqueo puede requerir un mayor trabajo de administración. Las necesidades descritas más arriba suponen un fallo de seguridad que debería tenerse en cuenta. En efecto, una persona malintencionada que conozca la contraseña podría utilizar los privilegios de la cuenta para realizar operaciones malintencionadas. Con el objetivo de resolver este problema, Microsoft pone a disposición del administrador las cuentas de servicio, que tienen en cuenta la gestión de las contraseñas. Ahora es posible asociar una política de seguridad a estas cuentas sin tener que reconfigurar el conjunto de servicios para que conozcan la nueva contraseña. Estos objetos son del tipo de la clase de objetos msDS-ManagedServiceAccount y se almacenan en el contenedor Managed Service Accounts (presente en la raíz). Es posible acceder a este contenedor desde la consola de Usuarios y equipos de Active Directory. Además, para utilizar esta funcionalidad, es necesario respetar ciertos requisitos previos: Sistema operativo Windows Server 2008 R2 o Windows 7 como mínimo. Un esquema en versión Windows Server 2008 R2. Disponibilidad de los cmdlets PowerShell necesarios. Se dedica un trabajo práctico a la creación de una cuenta de servicio en el capítulo siguiente.
5. Restauración de una cuenta mediante la papelera de reciclaje AD La eliminación accidental de uno o varios objetos de AD puede tener consecuencias más o menos graves en la producción de una empresa. Para evitar esto, Microsoft ha implementado, desde hace varios años, la protección de objetos contra la eliminación accidental o el Tombstoned. Esta última funcionalidad permite, durante un periodo de 180 días, recuperar una cuenta. No obstante, será necesario reconfigurar el conjunto de propiedades del objeto (número de teléfono, etc.). Con la aparición de Windows Server 2008 R2 se incluye la papelera de reciclaje AD. Es posible, en adelante, restaurar una cuenta junto a todas sus propiedades. El número de días puede alcanzar, también, hasta 180 días. Esta funcionalidad requiere un nivel funcional igual a Windows Server 2008 R2 o superior. Además, la activación es irreversible. Las distintas operaciones de activación y de gestión se realizan, en Windows Server 2008 R2, mediante PowerShell. Windows Server 2012 R2 mejora la administración cotidiana de esta funcionalidad permitiendo realizar la gestión y la activación mediante una interfaz gráfica. El método, en PowerShell, se describe en la siguiente dirección:http://blogs.technet.com/b/canitpro/archive/2013/04/10/step-by-step-enabling-activedirectory-recycle-bin-in-windows-server-2012.aspx. Existe, además, un trabajo práctico al final de este capítulo que nos permite descubrir la nueva interfaz gráfica.
6. Copia de seguridad y restauración de Active Directory La copia de seguridad de Active Directory requiere la copia de seguridad del estado del sistema en las versiones anteriores a Windows Server 2012. Es, por tanto, necesario realizar la copia de seguridad de los volúmenes críticos. La restauración propone dos opciones distintas.
Restauración no autoritativa También llamada restauración normal, consiste en restaurar el sistema a una fecha precisa. Tras el arranque del controlador de dominio, realiza una replicación con sus socios para actualizar su base de datos. Este tipo de replicación debe utilizarse si sólo el controlador de dominio restaurado ha sufrido algún mal funcionamiento o la eliminación de objetos. Los demás controladores de dominio deben estar en línea para permitir la replicación del servidor restaurado.
Restauración autoritativa Esta operación consiste en restaurar un controlador de dominio con la última versión correcta (idéntica a una restauración normal) y, a continuación, marcar los objetos eliminados accidentalmente o dañados (estos objetos tienen el mismo estado por replicación sobre los demás controladores de dominio). Marcando el objeto, el número de versión es más alto. Tras el arranque del servidor, provoca una replicación notificando a sus socios del cambio y del número de versión. Siendo mayor, el servidor restaurado impone su autoridad.
Gestión de la base de datos La base de datos de Active Directory contiene información importante (cuentas de usuario, cuentas de equipo…) para el funcionamiento del usuario. Es, por tanto, preciso supervisar y mantener la base de datos para evitar eventuales problemas.
1. La base de datos de Active Directory La base de datos de Active Directory se descompone, lógicamente, en varias particiones. Éstas contienen cada una datos e información diferentes. La partición de dominio contiene los objetos creados en el dominio (usuario, GPC (Group Policy Containers) …). La partición Configuración contiene la estructura lógica del bosque. Encontramos, así, información acerca de los dominios, los sitios AD, las subredes… A diferencia de la partición de dominio, que contiene únicamente los objetos creados, la partición Esquema contiene el conjunto de objetos que pueden crearse y sus atributos. Es frecuente almacenar la zona DNS en Active Directory para aprovechar las ventajas de esta integración (consulte el capítulo dedicado a DNS). En este caso, la zona DNS se almacena en la partición Aplicaciones de la base de datos de AD. Ubicado en la carpeta NTDS, el archivo ntds.dit contiene todas las particiones vistas anteriormente. No obstante, esta carpeta contiene también archivos de transacción y registros de eventos. Se utilizan archivos EDB*.log para las transacciones. En efecto, la escritura en la base de datos no se realiza inmediatamente, y la escritura definitiva se registra únicamente si se valida la transacción. Tras la validación de la transacción, se escribe cierta información en el archivo Edb.chk.
2. Uso del comando NTDSUtil NTDSUtil es una herramienta por línea de comandos que se utiliza para gestionar la base de datos de AD. Es posible realizar varias operaciones con esta herramienta, entre ellas: Creación de un snapshot Desfragmentación de la base de datos Migración de la base de datos Por último, el comando NTDSUtil permite reinicializar la contraseña utilizada tras el arranque del servidor en modo restauración de Active Directory (NTDSUtil set dsrm).
Es posible realizar otras operaciones, tales como el Metadata Cleanup, que consiste en eliminar la información relativa al controlador de dominio cuya eliminación se ha forzado (de un servidor aislado, por ejemplo).
3. Reinicio del servicio Active Directory Active Directory tiene la exclusividad de uso de la base de datos, lo cual limita el número de acciones que es posible realizar sobre ella. Es, por tanto, obligatorio liberar el acceso en primer lugar, y para ello es necesario reiniciar el controlador de dominio en modo restauración de Active Directory. No obstante, desde la versión Windows Server 2008, existe un servicio que ha hecho aparición. El servicio de directorio permite arrancar o parar el directorio Active Directory. Esta solución es prácticamente idéntica al reinicio en modo restauración de Active Directory y ofrece, por el contrario, la posibilidad de utilizar los demás roles o funcionalidades del servidor (impresión, demás software…).
Preste atención, no obstante, a no detener este servicio sobre todos los controladores de dominio al mismo tiempo, pues no dispondrá de ningún controlador de dominio sobre el dominio.
4. Creación de un snapshot AD Es posible crear snapshots de Active Directory mediante el comando NTDSUtil. Se realiza una copia de seguridad del estado concreto del directorio. A continuación, es posible acceder a este snapshot desde la herramienta LDP. El comando LDIFDE permite, por su parte, exportar los objetos presentes en el snapshot para importarlos en el directorio. Existe un trabajo práctico dedicado a este tema al final de este capítulo.
5. Restaurar un objeto de dominio Tras la eliminación de un objeto, éste se desplaza al contenedor. Tras este desplazamiento se eliminan numerosos atributos (pertenencia a grupos…). A pesar de restaurar el objeto, es imposible volver a trabajar con él. Esta funcionalidad, llamada Tombstoned se complementa desde Windows Server 2008 R2 con la papelera de reciclaje de AD. La papelera de reciclaje de AD permite restaurar la cuenta eliminada pero, también, el conjunto de atributos. Ya no es necesario volver a restaurar la cuenta desde un programa de copia de seguridad. Preste atención, la habilitación de la papelera de reciclaje de Active Directory es irreversible. Tras su activación, todos los componentes eliminados podrán restaurarse junto con sus atributos correspondientes durante un periodo de tiempo definido. Este último se especifica mediante el
atributo msDS-deletedObjectLifetime. El Tombstoned también tiene un atributo dedicado llamadotombstoneLifetime que define el número de días en que se almacena la cuenta en el Tombstoned. La papelera de reciclaje de AD requiere un nivel funcional Windows Server 2008 R2. Una vez comprobado este requisito previo, es posible habilitarla, para lo que se nos ofrecen dos opciones: En PowerShell, mediante el cmdlet
Enable-ADOptionalFeature.
En modo gráfico desde la consola Centro de administración de Active Directory. Desde Windows Server 2012, la restauración de objetos suprimidos se realiza desde una interfaz gráfica (la consola Centro de administración de Active Directory). Recuerde que la gestión con Windows Server 2008 R2 se realiza mediante PowerShell.
Trabajos prácticos: Administración de Active Directory Objetivo: los trabajos prácticos le permitirán implementar distintos controladores de dominio (de lectura/escritura, de solo lectura) y, a continuación, abordan distintas funcionalidades adicionales (clonado, snapshot…).
1. Instalación y configuración de Active Directory Objetivo: el objetivo de este trabajo práctico es instalar el rol AD DS en AD1. A continuación, la configuración consiste en crear un bosque llamado Formacion.local. Arranque la máquina AD1 y, a continuación, inicie una sesión como Administrador. Verifique que el servidor se llama AD1 y posee la configuración IP adecuada. Se abre la consola Administrador del servidor, haga clic en Agregar roles y características. En la página Antes de comenzar, haga clic en Siguiente. Deje la opción marcada por defecto en la ventana Seleccionar tipo de instalación y haga clic enSiguiente.
En la ventana que permite seleccionar el servidor de destino, haga clic en Siguiente. En la ventana Seleccionar roles de servidor, seleccione el rol Servicios de dominio de Active Directory.
Haga clic en Agregar características en la ventana que se abre. Haga clic en Siguiente en la ventana Seleccionar características. Haga clic dos veces en Siguiente y, a continuación, en Instalar. La instalación está en curso, haga clic en Cerrar. En la consola Administrador del servidor, haga clic en el triángulo amarillo y seleccione la opciónPromover este servidor a controlador de dominio.
Se abre el asistente… En la ventana Configuración de implementación, haga clic en Agregar un nuevo bosque y, a continuación, escriba formacion.local en el campo Nombre de dominio raíz.
Haga clic en Siguiente para validar esta opción.
En el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM), escriba Pa$$w0rd y, a continuación, confirme esta contraseña.
Haga clic en Siguiente. Valide todas las ventanas haciendo clic en Siguiente y, a continuación, en Instalar para ejecutar la promoción. El servidor ha sido promovido.
2. Implementación de un RODC Objetivo: tras haber creado el sitio AD, se instala un controlador de dominio de solo lectura. A continuación, se envían las contraseñas de los usuarios a la caché. En AD1, abra la consola Sitios y servicios de Active Directory. Despliegue el nodo Sites y, a continuación, haga clic con el botón derecho en Default-First-SiteName. Haga clic en Cambiar nombre y, a continuación, escriba Madrid.
Haga clic con el botón derecho en la carpeta Sites y, a continuación, en el menú contextual seleccione Nuevo y Sitio. Aparece un nuevo menú… Escriba Barcelona en el campo Nombre y, a continuación, haga clic en DEFAULTIPSITELINK.
Valide haciendo clic en Aceptar. En el mensaje de información que aparece, haga clic en Aceptar. El nuevo sitio aparece en la consola.
Abra la consola Usuarios y equipos de Active Directory. Haga clic con el botón derecho en Formacion.local y, a continuación, en el menú contextual haga clic en Nuevo - Unidad organizativa. Escriba Barcelona en el campo Nombre.
Haga clic en Aceptar para proceder a la creación. Haga clic con el botón derecho sobre el nodo Formacion.local y a continuación, en el menú contextual, haga clic en Nuevo - Unidad organizativa. Escriba Madrid en el campo Nombre. Haga clic en Aceptar para proceder a su creación. Haga clic sobre la OU Barcelona y, a continuación, sobre el botón de la barra de herramientas que permite crear un nuevo usuario.
Escriba Marcos en el campo Nombre y VELASCO en el campo Apellidos.
En los campos Nombre de inicio de sesión de usuario y Nombre de inicio de sesión de usuario (anterior a Windows 2000), escriba mvelasco.
Haga clic en Siguiente y, a continuación, escriba Pa$$w0rd en el campo Contraseña. Confirme y, después, demarque la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Valide haciendo clic en Siguiente y, a continuación, en Finalizar. Repita las operaciones para los siguientes usuarios: Enrique MARTINEZ (nombre de usuario: emartinez, contraseña: Pa$$w0rd). Estefanía SUAREZ (nombre de usuario: esuarez, contraseña: Pa$$w0rd). Juan VALDES (nombre de usuario: jvaldes, contraseña: Pa$$w0rd). En la unidad organizativa Barcelona, haga clic sobre el icono que permite crear un grupo (botón situado a la derecha del que le permite crear un usuario en la barra de herramientas). Escriba la información tal y como se describe en la siguiente pantalla:
Haga clic en Aceptar para realizar la creación. Haga doble clic sobre el grupo Becarios y, a continuación, seleccione la pestaña Miembros. Haga clic en Agregar y escriba los nombres de inicio de sesión de los usuarios creados anteriormente, separados por un punto y coma.
Haga clic en el botón Comprobar nombres y, a continuación, en Aceptar. Los usuarios aparecen incluidos en el grupo.
Haga clic con el botón derecho sobre la OU Domain Controllers y, a continuación, seleccione la opción Crear previamente una cuenta de controlador de dominio de solo lectura. Marque la opción Usar la instalación en modo avanzado y, a continuación, haga clic enSiguiente.
En la ventana Credenciales de red, deje la opción por defecto y, a continuación, haga clic enSiguiente. Escriba AD2 en el campo Nombre de equipo y valide haciendo clic en Siguiente.
Seleccione el sitio Active Directory Barcelona y, a continuación, haga clic en Siguiente.
En la ventana Opciones adicionales del controlador de dominio, deje la opción por defecto. El servidor hace las veces de RODC, servidor DNS de solo lectura y catálogo global.
La ventana Especificar la directiva de replicación de contraseñas permite indicar la política de replicación en caché de contraseñas. Por defecto, las contraseñas de las cuentas que posean permisos de administrador (operador, administrador…) no se alojan en caché.
Haga clic en Siguiente. En la ventana Delegación de instalación y administración de RODC, haga clic en Establecer. Escriba mvelasco y, a continuación, haga clic en Comprobar nombres. Por último, haga clic en Aceptar y, a continuación, en Siguiente. Ejecute la instalación y haga clic en Finalizar para cerrar el asistente. La cuenta se ha creado previamente.
En AD2, inicie una sesión y, a continuación, haga clic en Agregar roles y características en la consola Administrador del servidor. Se inicia el asistente, haga clic tres veces en Siguiente.
Seleccione el rol Servicios de dominio de Active Directory y, a continuación, haga clic en el botón Agregar características en la ventana que se muestra.
En la ventana de selección de características, haga clic en Siguiente. Haga clic en Siguiente y, a continuación, en Instalar. Una vez terminada la instalación, haga clic en Cerrar. En la consola Administrador del servidor, haga clic sobre la bandera que contiene el signo de exclamación y, a continuación, en Promover este servidor a controlador de dominio.
Se abre el asistente, haga clic en el botón Seleccionar. Autentíquese como formacion\mvelasco (contraseña Pa$$w0rd) y, a continuación, haga clic enAceptar.
Tras algunos segundos, aparece el dominio formacion.local en la ventana. Seleccione el dominio y, a continuación, haga clic en Aceptar.
Se muestra el nombre de dominio en el campo, haga clic en Siguiente.
Escriba Pa$$w0rd en el campo Escribir contraseña de modo de restauración de servicios de directorio (DSRM).
Haga clic en Siguiente en las ventanas Opciones adicionales, Rutas de acceso y Revisar opciones dejando la configuración por defecto. Proceda a realizar la promoción haciendo clic en Instalar. Tras el reinicio de AD2, inicie una sesión como formacion\mvelasco (contraseña Pa$$w0rd). El controlador de dominio es de solo lectura. Es imposible crear un usuario, un grupo… Las opciones aparecen, ahora, sombreadas y deshabilitadas. Por defecto, la consola se conecta al controlador de dominio de lectura/escritura. Para que la consola se conecte al RODC, haga clic con el botón derecho en el dominio y seleccione, a continuación, la opción Cambiar el controlador de dominio.
El servidor DNS también es de solo lectura.
En AD1, abra la consola Sitios y servicios de Active Directory. Despliegue los nodos Sites, Barcelona y, a continuación, Servers. Verifique la presencia del
servidor AD2.
Abra la consola Usuarios y equipos de Active Directory en AD1. Despliegue el nodo Formacion.local y, a continuación, haga clic en el contenedor Usuarios. Haga doble clic en Grupo de replicación de contraseña RODC permitida y, a continuación, seleccione la pestaña Miembros. Haga clic en Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en Comprobar nombres. Valide haciendo clic en Aceptar. Seleccione la unidad organizativa Domain Controllers. Haga doble clic en AD2 y, a continuación, seleccione la pestaña Directiva de replicación de contraseñas.
Haga clic en el botón Opciones avanzadas y, a continuación, en Directiva resultante. Haga clic en el botón Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en el botón Comprobar nombres. Haga clic en Aceptar, se muestra el resultado de Permitir.
La contraseña de las cuentas de usuario se alojará en caché tras la siguiente replicación o conexión del usuario. En algunos casos, puede resultar útil "forzar" la replicación en caché sin tener que esperar a la replicación o a la conexión del usuario. Seleccione la pestaña Uso de directivas y, a continuación, haga clic en Rellenar contraseñas previamente.
Escriba mvelasco;emartinez;esuarez;jvaldes y, a continuación, haga clic en nombres. Haga clic en Aceptar y, a continuación, en Sí en la ventana que se muestra.
Comprobar
Ahora las cuentas están replicadas en caché.
En la pestaña Uso de directivas, ahora están las cuentas presentes.
El controlador de dominio de solo lectura puede, en adelante, autentificar estas cuentas incluso si se produce alguna ruptura en la conexión con el controlador de dominio de lectura/escritura.
3. Clonación de un controlador de dominio virtual Objetivo: clonar AD1 para crear un nuevo controlador de dominio virtualizado. En AD1, en la interfaz Windows, haga clic con el botón derecho en Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador. Para saber qué servidor tiene el rol FSMO Emulador PDC, escriba el comando:
Get-ADComputer (Get-ADDomainController -Discover -Service "PrimaryDC").name -Property operatingsystemversion | fl Es posible descargar el script desde la página Información.
AD1 ejecuta Windows Server 2012 R2, de modo que se cumple el requisito previo (el servidor Emulador PDC está instalado en un servidor que ejecuta Windows Server 2012 R2). Abra la consola Usuarios y equipos de Active Directory y, a continuación, seleccione el contenedor Usuarios. Renombre el grupo Controladores de dominio clonables por Cloneable Domain Controllers y, a continuación, agregue AD1 como miembro. Sin renombrar el grupo o sin crear un nuevo grupo con este nombre la operación de clonado falla puesto que no se encuentra el grupo (aunque exista el mismo nombre en español).
Valide haciendo clic en el botón Aceptar. Escriba el siguiente comando PowerShell para asegurar que no hay ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList Es posible descargar el script desde la página Información.
El comando devuelve las aplicaciones, servicios o roles que no son compatibles con la función de clonado. Aquí, WLMS no está soportada por la operación de clonado, por lo que resulta necesario crear una excepción. Ésta aparece en el archivo XML CustomDCCloneAllowList.xml. WLMS aparece porque estamos trabajando con una versión de evaluación.
Escriba el siguiente comando para generar el comando XML: Get-ADDCCloningExcludedApplicationList -GenerateXML
Es posible descargar el script desde la página Información.
El archivo está presente en la carpeta NTDS.
Escriba el siguiente comando PowerShell para asegurar que no existe ninguna aplicación excluida en el servidor: Get-ADDCCloningExcludedApplicationList El archivo DCCloneConfig.xml puede, ahora, crearse mediante el comando: New-ADDCCloneConfigFile -Static -IPv4Address "192.168.1.20" -IPv4DNSResolver "192.168.1.10" -IPv4SubnetMask "255.255.255.0" -CloneComputerName "AD3" -IPv4DefaultGateway "192.168.1.254" -SiteName "Madrid" Este archivo contiene la configuración IP y, también, el nombre del nuevo servidor. El servidor DNS presente en la configuración IP del equipo debe, en primer lugar, ser el del servidor actual, pues en caso contrario la operación fallará. A continuación, es posible modificarlo.
Es posible descargar el script desde la página Información.
El archivo está presente en la carpeta NTDS.
Detenga la VM y, a continuación, en la consola Hyper-V, haga clic con el botón derecho en la VM y seleccione Exportar. La exportación debe realizarse en una carpeta distinta a aquella donde se encuentren las VM. Una vez terminada la exportación, reinicie AD1. Haga clic en Importar máquina virtual en la consola Hyper-V. Es posible importar la máquina virtual sobre el mismo servidor Hyper-V o sobre un servidor diferente. La importación sobre el mismo servidor funciona siempre y cuando la máquina original esté alojada en una ubicación diferente a la nueva (nombre del archivo VHD idéntico para la máquina original y la VM clonada).
Se abre el asistente de importación… En la ventana Antes de comenzar, haga clic en Siguiente. Haga clic en el botón Examinar y, a continuación, seleccione la carpeta creada anteriormente.
Haga clic dos veces en Siguiente. En la ventana Elegir tipo de importación, seleccione la opción Copiar la máquina virtual (crear un identificador único nuevo) y, a continuación, haga clic en Siguiente.
Haga clic dos veces en Siguiente y, a continuación, en Finalizar. La importación está en curso… Renombre la máquina virtual que acaba de importar para que no tenga el mismo nombre que AD1.
Arranque la máquina que acaba de importar. El clonado está en curso.
El controlador de dominio se ha clonado correctamente.
La configuración IP del servidor AD3 es la especificada en el archivo DCCloneConfig.xml.
El servidor AD3 es un servidor DNS, es posible configurar la dirección IP de AD3 como servidor DNS preferido y AD1 como servidor DNS alternativo.
El sitio AD Madrid contiene, ahora, dos servidores: AD1 y AD3.
Ahora resulta más sencillo desplegar nuevos controladores de dominio.
4. Creación de un snapshot de AD Objetivo: creación y montaje de un snapshot de Active Directory.
Máquina virtual: AD1. En AD1, abra una ventana de comandos DOS. Escriba
ntdsutily, a continuación, valide presionando la tecla [Enter].
Escriba los siguientes comandos (presione [Enter] tras cada comando): snapshot activate instance ntds create quit quit Se abre un GUID relativo al snapshot. Este identificador se utiliza más adelante.
En la consola Usuarios y equipos de Active Directory, despliegue el nodo Formacion.local y, a continuación, haga clic en Barcelona. Mueva la cuenta de usuario de Enrique Martínez a la unidad organizativa Madrid. Se realiza este cambio con el objetivo de mostrar la diferencia respecto al snapshot.
En AD1, escriba el comando
ntdsutilen una ventana de comandos DOS.
Escriba los siguientes comandos y presione la tecla [Enter] al final de cada uno: snapshot activate instance ntds list all Se muestran los distintos snapshots creados y su GUID.
Monte el snapshot creado anteriormente. Para ello, escriba los comandos: mount guid quit quit
Guid es el identificador que se muestra en el comando introducido anteriormente.
Debe iniciarse la instancia del snapshot. Para ello, escriba el comando: Dsamain /dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit /ldapport 5000 Remplace $snap_datetime_volumec$ por el nombre de la carpeta ubicada en C y que comienza por $snap.
En un controlador de dominio, es preciso cambiar el puerto de la instancia, el puerto 389 ya está en uso por una instancia en producción. Este cambio de puerto sólo se realiza sobre un controlador de dominio.
Abra la consola Usuarios y equipos de Active Directory y, a continuación, haga clic con el botón derecho sobre el dominio Formacion.local. Seleccione la opción Cambiar el controlador de dominio y, a continuación, en el campo , escriba AD1:5000.
Haga clic en Aceptar y, a continuación, despliegue el nodo Formacion.local. Seleccione la unidad organizativa Barcelona, la cuenta de usuario Enrique MARTINEZ está presente. El cambio se ha llevado a cabo tras realizar el snapshot. Este último no contiene el cambio.
Las propiedades del usuario están, efectivamente, en solo lectura. Ahora es preciso desmontar el snapshot. En la ventana de comandos, pulse comandos ntdsutily snapshot.
las
teclas
[Ctrl] C y, a
continuación, escriba
Habilite la instancia NTDS mediante el comando activate instance ntds. Utilice el comando
list allpara encontrar el GUID deseado.
Escriba el comando Remplace
unmount guid.
guidpor el identificador del snapshot deseado.
Salga de la ventana de comandos escribiendo la instrucción
quitdos veces.
los
Recuerde que la funcionalidad snapshot no remplaza a la copia de seguridad.
5. Manipulación de la papelera de reciclaje AD Objetivo: habilitar y utilizar la funcionalidad Papelera de Reciclaje de Active Directory. Máquina virtual: AD1. En AD1, abra la consola Centro de administración de Active Directory. Seleccione el nodo Formacion (local) y, a continuación, haga clic en Habilitar papelera de reciclaje en la sección Tareas.
Haga clic en Aceptar dos veces en las ventanas de advertencia. En la consola Usuarios y equipos de Active Directory, seleccione el menú Ver y, a continuación, seleccione Características avanzadas. Haga clic con el botón enPropiedades.
derecho
sobre
la
unidad
organizativa
Barcelona y haga
clic
Seleccione la pestaña Objeto y desmarque la opción Proteger objeto contra eliminación accidental.
Haga clic en Aceptar y, a continuación, elimine la unidad organizativa Barcelona.
En la consola Centro de administración de Active Directory, haga clic en Formacion (local) y, a continuación, haga doble clic en DeletedObjects. Actualice la consola si el contenedor DeletedObjects no estuviera presente.
El conjunto de objetos está presente.
Seleccione el conjunto de objetos manteniendo pulsada la tecla [Ctrl] y, a continuación, haga clic en Restaurar.
Es posible restaurar los objetos en un lugar diferente seleccionando la opción Restaurar en.
Los objetos están, de nuevo, presentes en la consola Usuarios y equipos de Active Directory.
6. Desfragmentación de la base de datos Objetivo: desfragmentar la base de datos de Active Directory. Máquina virtual: AD1. En AD1, abra la consola Services.msc y, a continuación, detenga los Servicios de dominio de Active Directory.
Abra una ventana de comandos DOS. Escriba los comandos cada comando).
ntdsutily activate instance ntds(pulse la tecla [Enter] tras
Escriba filey, a continuación, valide presionando la tecla [Enter]. Ejecute la desfragmentación mediante el comando compact to c:\.
Copie el archivo c:\ntds.dit en la carpeta c:\windows\ntds\. Elimine los archivos con extensión log ubicados en la carpeta c:\windows\ntds. En la ventana de comandos DOS, escriba tecla [Enter].
Escriba
integrityy, a continuación, valide presionando la
quitdos veces para salir del comando ntdsutil.
Cada comando
quitdebe validarse presionando la tecla [Enter].
Reinicie el servicio Servicios de dominio de Active Directory. Abra la consola Usuarios y equipos de Active Directory para comprobar que no se ha producido ningún problema derivado de la desfragmentación.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el rol de un controlador de dominio? 2 ¿De qué se compone un bosque de Active Directory? 3 ¿Cuáles son los objetos y roles que contiene, únicamente, el dominio raíz? 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? 5 ¿Qué es la autenticación selectiva? 6 ¿Qué contiene el esquema Active Directory? 7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migración a un servidor Windows Server 2012, ¿es preciso actualizar el esquema de manera manual? 8 ¿Cuál es el comando que permite activar la consola esquema AD? 9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? 10 ¿Qué contiene la carpeta SYSVOL? 11 ¿Qué es un servidor RODC? 12 ¿Cómo se lleva a cabo la actualización en un RODC? 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? 15 ¿Qué es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? 18 Mi servidor tiene instalado el rol Servidor DHCP, ¿es posible proceder con la operación de clonado? 19 ¿Cuáles son los roles FSMO orientados al bosque? 20 ¿Cuáles son las particiones presentes en la base de datos AD? 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? 23 ¿De qué clase de objeto son las cuentas de servicio? 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/24
Para superar este capítulo, su puntuación mínima debería ser de 17 sobre 24.
3. Respuestas 1 ¿Cuál es el rol de un controlador de dominio? Un controlador de dominio se encarga de gestionar la base de datos de Active Directory. Además, se encarga de autenticar a los distintos usuarios y equipos de la red. 2 ¿De qué se compone un bosque de Active Directory? Un bosque de Active Directory se compone de dominios agrupados en una arborescencia. Estos dominios confían entre ellos mediante una relación de confianza bidireccional transitiva. 3 ¿Cuáles son los objetos y roles que contiene, únicamente, el dominio raíz? A diferencia de otros sistemas, los controladores de dominio raíz contienen los grupos Administradores de empresa y Administradores de esquema. Algunos roles FSMO orientados al bosque (Maestro de esquema, Maestro de nomenclatura de dominios) se contienen, generalmente, en los controladores de dominio. 4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa. ¿Cómo se puede permitir esta conexión? ¿Cuáles son los requisitos previos? El usuario de bosque A no puede acceder a un recurso del bosque B, pues se trata de un extranjero al bosque. Es, por tanto, necesario configurar una relación de confianza entre bosques, de modo que todos los dominios del bosque A confíen en todos los dominios del bosque B y a la inversa. No obstante, hay ciertos requisitos previos que hay que respetar: es necesario disponer de un nivel funcional Windows Server 2003 en ambos bosques y, a continuación, configurar los redirectores condicionales hacia los servidores DNS de ambos bosques. 5 ¿Qué es la autenticación selectiva? Cuando se produce una relación de confianza entre bosques, todos los usuarios del bosque A pueden acceder al bosque B y a la inversa (si la relación es bidireccional, evidentemente). La autenticación selectiva puede implementarse para autorizar a los usuarios de un dominio con el que se tiene confianza y permitir que se autentiquen en uno de nuestros servidores. Esta funcionalidad limita los accesos a los recursos únicamente a aquellos usuarios que se desee. 6 ¿Qué contiene el esquema Active Directory? El esquema Active Directory contiene el conjunto de objetos que pueden crearse, así como sus atributos. 7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migración a un servidor Windows Server 2012, ¿es preciso actualizar el esquema de manera manual? El funcionamiento de la promoción de servidores a controladores de dominio se ha visto modificada con Windows Server 2012. Ya no es necesario ejecutar el comando Adprep, que permite actualizar el esquema. Este comando se ejecuta automáticamente en caso de que sea necesario. 8 ¿Cuál es el comando que permite activar la consola esquema AD? Debe ejecutarse el comando
regsvr32 schmmgmt.dllpara habilitar la consola Esquema AD.
9 ¿Cuál es la consecuencia de la ruptura de un canal seguro? Como con las cuentas de usuario, las cuentas de equipo utilizan una contraseña para poder autenticarse. Cada 30 días se realiza un cambio en esta contraseña. No obstante, si el canal seguro se rompe, le será imposible al controlador de dominio autenticar el puesto del usuario. No será posible iniciar sesión en el dominio, incluso aunque la autenticación del usuario sea correcta. 10 ¿Qué contiene la carpeta SYSVOL? Esta carpeta, muy importante, contiene parte de las directivas de grupo (GPT) y los distintos scripts. 11 ¿Qué es un servidor RODC?
Un servidor con el rol RODC (Read Only Domain Controller) es un controlador de dominio de solo lectura. Ofrece la posibilidad de instalar un servidor sobre el que no es posible realizar ninguna modificación. 12 ¿Cómo se lleva a cabo la actualización en un RODC? Es imposible realizar actualizaciones sobre un servidor con el rol RODC. Todas las acciones deben realizarse desde un servidor que posea permisos de lectura/escritura. Las modificaciones se transmiten al RODC por replicación. 13 ¿Qué debe hacerse para autorizar la actualización en caché de la contraseña de una cuenta en un RODC? Para autorizar la actualización en caché es preciso agregar la cuenta de usuario o de equipo al Grupo de replicación de contraseña RODC permitida. Tras la siguiente replicación, la contraseña se actualiza en caché. 14 ¿Cuántos servidores RODC es posible tener en un sitio AD? Solo es posible tener un único servidor con el rol RODC por sitio AD. 15 ¿Qué es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado? ¿Bajo qué sistema operativo debe operar el servidor que posea este rol? Tras la operación de clonado, se utiliza el servidor con el rol FSMO Emulador PDC. Es preciso, para ello, que el servidor con este rol se ejecute bajo Windows Server 2012 R2. 16 ¿Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008? No, dicha funcionalidad requiere Hyper-V 3.0, que se incluye desde Windows Server 2012. La funcionalidad de generación del ID está presente, únicamente, en la versión 3 de Hyper-V. 17 ¿Cuál es el nombre del archivo XML que contiene la configuración del nuevo servidor? El archivo DCCloneConfig.xml contiene la configuración del nuevo DHCP. La creación del archivo es la última etapa antes del clonado. 18 Mi servidor tiene instalado el rol Servidor DHCP, ¿es posible proceder con la operación de clonado? No, es preciso migrar el rol a algún otro servidor. 19 ¿Cuáles son los roles FSMO orientados al bosque? Los roles FSMO orientados al bosque son el Maestro del esquema y el Maestro de nomenclatura de dominios. 20 ¿Cuáles son las particiones presentes en la base de datos AD? La base de datos está compuesta por varias particiones, entre las que figuran la partición esquema, la partición de configuración, la partición de dominio y la partición de aplicación (DNS…). 21 ¿Cuál es la instrucción que permite desfragmentar la base de datos AD? La instrucción ntdsutiles el comando que permite realizar operaciones sobre la base de datos, entre ellas la desfragmentación. 22 ¿Qué servicio es preciso detener para realizar operaciones sobre la base de datos de Active Directory? Desde Windows Server 2008 ya no es preciso detener el servidor en modo restauración de Active Directory. Basta, simplemente, con detener el servicio Servicios de dominio de Active Directory. 23 ¿De qué clase de objeto son las cuentas de servicio? Como ocurre con cualquier otro objeto, las cuentas de servicio son de una clase determinada. Para este tipo de objeto, la clase asociada es msDS-ManagedServiceAccount. 24 ¿Cuáles son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
Para utilizar una cuenta de servicio es necesario trabajar, al menos, con un sistema operativo Windows Server 2008 R2 o Windows 7, así como un esquema en Windows Server 2008 R2.
Requisitos previos y objetivos 1. Requisitos previos Conocer los distintos tipos de objetos usuario. Tener nociones acerca de las directivas de grupo. Tener nociones acerca de la configuración de directivas de grupo que permite implementar una política de seguridad.
2. Objetivos Automatización de la gestión de cuentas. Implementación de una política de seguridad. Gestión de una directiva de grupo. Mantenimiento de las directivas de grupo.
Introducción La gestión de usuarios es una tarea cotidiana para un administrador de sistemas y de red. Las cuentas de usuario permiten autenticar personas físicas que desean acceder a algún recurso de dominio.
Automatización de la gestión de cuentas de usuario Además de las consolas de Active Directory, es posible gestionar los objetos mediante herramientas por línea de comandos. CSVDE (Comma-Separated Values Data Exchange) es una herramienta que permite exportar e importar objetos desde un directorio de Active Directory. Se utilizan, para realizar las distintas operaciones, archivos con formato CSV (Comma-Separated Value). Este tipo de archivos puede modificarse mediante un bloc de notas (notepad), presente en todos los sistemas operativos Windows, o mediante Microsoft Excel.
Sintaxis del comando csvde -f NombreArchivo.csv La opción -fse utiliza para indicar que debe utilizarse un archivo. El comando permite, por defecto, realizar una exportación. Existen varias opciones:
-d RootDN: permite definir el contenedor o el inicio de la exportación. Por defecto, el contenedor seleccionado es la raíz del dominio.
-p ÁmbitoBusqueda: determina el ámbito de la búsqueda (Base, OneLevel, Subtree). -r Filtro: permite implementar un filtro LDAP. -l ListaAtributos: provee la lista de atributos sobre los que es necesario realizar una búsqueda. Estos atributos están separados unos de otros mediante comas. Ejemplos de atributos: givenName, userPrincipalName,…
-i: informa al comando que es necesario realizar una importación. Recuerde que la exportación es la opción por defecto.
-k: la opción -kpermite ignorar los errores de importación. De este modo, la ejecución del comando se lleva a cabo incluso aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente.
Es posible utilizar un segundo comando, ldifde. Esta instrucción DOS permite, como csvde, realizar operaciones de importación o exportación, y permite también realizar modificaciones sobre un objeto (a diferencia de csvde). Para realizar estas operaciones se utilizan archivos con la extensión LDIF (LDAP Data Interchange Format). Estos archivos contienen bloques de filas que constituyen, cada uno, una operación. Es evidente que un archivo puede contener varias acciones, en este caso el bloque se separa de los demás mediante una fila en blanco. Cada operación necesita indicar el atributo DN (Distinguished Name), así como la operación que se quiere realizar (Add, Modify, Delete).
Sintaxis del comando ldifde -f NombreArchivo.ldif La opción -fse utiliza para indicar el archivo que se quiere utilizar. El comando permite, por defecto, realizar una exportación. Como con el comando
csvde, es posible utilizar varias opciones:
-i: permite realizar una importación. Por defecto, se realiza una exportación. -k: la opción -kpermite ignorar los errores de importación. De este modo, la ejecución del comando prosigue aunque se encuentre algún error del tipo no se está respetando alguna restricción o no se ha encontrado ningún objeto existente.
-s NombreServidor: indica el servidor al que hay que conectarse. -t Puerto: indica el puerto que debe utilizarse (puerto por defecto: 389). -d NDRaíz: permite indicar la raíz de la búsqueda. -r Filtro: permite implementar un filtro LDAP.
1. Configuración de la política de seguridad La política de seguridad permite definir un conjunto de parámetros que se aplican a varios objetos. Encontramos en esta política, dos tipos de parámetros diferentes:
Parámetros de seguridad Parámetros de bloqueo Ambos pueden, evidentemente, configurarse para un equipo concreto (directiva de grupo local) o para el conjunto de objetos de un dominio AD (configurado, generalmente, en la Default Domain Policy).
Parámetros de seguridad Es posible configurar varios tipos de parámetros en la política. La vigencia mínima de la contraseña permite indicar el tiempo mínimo antes de que un usuario pueda cambiar de nuevo su contraseña. La vigencia máxima de la contraseña le indica el tiempo máximo, en días, en que será válida su contraseña. Una vez superado este tiempo el usuario tendrá que cambiar su contraseña para poder iniciar una sesión en el dominio. El histórico de contraseñas es, también, un parámetro que debe tenerse en cuenta, y que permite prohibir el uso de las x contraseñas anteriores. Preste atención a no implementar un valor demasiado grande en este parámetro, lo cual puede molestar a los usuarios. Tras la creación del dominio Active Directory se habilita la complejidad de las contraseñas, parámetro que indica la necesidad de respetar ciertos criterios a la hora de definir las contraseñas. En efecto, se considera que una contraseña tiene la complejidad suficiente cuando: Respeta tres de los cuatro siguientes criterios: Mayúsculas Minúsculas Caracteres alfanuméricos Caracteres especiales No contiene el nombre ni el apellido del usuario. Esto complica la búsqueda de la contraseña a un eventual pirata informático pero (a menudo, no obstante) difícilmente se acepta por parte de los usuarios. Es preferible rebajar el nivel de exigencia en términos de seguridad antes que encontrarse con contraseñas escritas en una nota sobre el teclado o el monitor. Otro parámetro importante, en una política de contraseñas, es la longitud mínima. En efecto, permite indicar el número de caracteres que debe contener la contraseña.
Parámetros de bloqueo Estos parámetros permiten configurar los bloqueos. La duración del bloqueo es el periodo durante el cual no podrá iniciarse una sesión con la cuenta de usuario. Para un desbloqueo manual realizado por el administrador es necesario configurar el parámetro a 0. El número de intentos erróneos limita la cantidad de pruebas antes de bloquear la cuenta. De este modo, la cuenta afectada se bloquea una vez se alcanza el número de intentos erróneos. El valor 0 implica intentos ilimitados, de modo que la cuenta jamás se bloqueará. Es preciso poner a cero el contador del número de intentos erróneos, sin lo cual la política de bloqueo no tendrá ningún sentido. De este modo, existe otro parámetro a tener en cuenta en la política de bloqueos, se trata de la actualización del contador (del número de intentos erróneos) tras un cierto número de minutos.
Por último, existe un tercer tipo de parámetros (política Kerberos) que pueden configurarse, y es posible tener acceso a parámetros propios del protocolo Kerberos v5. La configuración puede, tal y como hemos visto antes en este capítulo, parametrizarse desde una directiva local o una directiva de dominio (consola Editor de administración de directivas de grupo). Cabe prestar atención, no obstante, en caso de conflicto entre una directiva de grupo local y una directiva de dominio, siendo la del dominio la que predomina. Los parámetros de seguridad se configuran, generalmente, en la directiva de grupo Default Domain Policy.
2. Gestión de la directiva de contraseña muy específica Incluyendo los parámetros en la directiva de grupo Default Domain Policy la política de seguridad se aplica al conjunto de objetos del dominio. No obstante, es posible, en ciertos casos, necesitar una política de contraseña distinta. Tomemos un ejemplo que nos permita ilustrar esto: una empresa funciona día y noche 7/7 y cada equipo de la cadena de fabricación utiliza la misma cuenta de Active Directory. La directiva de grupo impone 8 caracteres con un cambio cada 42 días, y una complejidad alta. El bloqueo se produce tras el tercer intento erróneo al introducir la contraseña y se mantiene así hasta que un administrador la desbloquee manualmente. Existe una gran probabilidad de que uno de los equipos se confunda al escribir la contraseña, lo que, desgraciadamente, puede ocurrir durante la noche o durante el fin de semana. Si el controlador de dominio funciona con Windows Server 2003, el administrador tiene dos posibilidades: Crear una unidad organizativa Producción, desplazar las cuentas a este grupo, bloquear la herencia sobre la OU y configurar, por último, los parámetros de seguridad en una nueva GPO. Esta solución puede resultar pesada pues supone implementar una mayor complejidad en la
administración.
Implementar un sistema de autologon que evite, al usuario, tener que escribir la contraseña. Desde Windows Server 2008 existe otra solución adicional: la directiva de contraseña muy específica. Consiste en aplicar, a un usuario o grupo de usuarios, parámetros distintos a los que se definen por defecto en la Default Domain Policy. Existen dos objetos presentes en AD DS desde Windows Server 2008. Password Settings Container: este objeto permite almacenar los Password Settings Objects (PSO) que se crean. Password Settings Objects: objeto creado por un administrador de dominio, contiene los parámetros de seguridad que se aplican a los grupos o usuarios asociados. La directiva de contraseña muy específica se aplica únicamente a aquellos usuarios o grupos globales que contienen usuarios. De este modo, cuando se asigna una PSO a un usuario, se modifica su parámetro msDS-PSOApplied (el cual está, por defecto, vacío). Tras la creación de este objeto deben configurarse numerosos parámetros: política de contraseña, de bloqueo o la prioridad. Este último parámetro permite determinar la prioridad de un PSO respecto a otro. El valor, de tipo entero, debe ser el menor posible para ser el más prioritario. La creación de un PSO la realiza un miembro del grupo Administradores de dominio, aunque es posible delegar esta tarea en un usuario.
Configuración de un PSO La funcionalidad política de contraseña muy específica exige un nivel funcional Windows Server 2008. Desde Windows Server 2012, la gestión se realiza desde la consola Centro de administración de Active Directory. Es posible, a su vez, realizar esta operación mediante PowerShell. Cmdlets que permiten crear el objeto PSO y definir los parámetros: New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true Cmdlets que permiten habilitar el vínculo: Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing La consola Centro de administración de Active Directory proporciona, ella misma, numerosas opciones: Creación del objeto PSO, configuración de los parámetros, así como la implementación del vínculo.
Visualización de los parámetros de contraseña resultantes, lo que permite conocer los parámetros que se aplicarán al usuario.
Es, ahora, más rápido conocer los parámetros que se aplicarán al usuario si se han creado varias PSO.
3. Configuración de las cuentas de servicio Algunas aplicaciones (Microsoft Exchange, SQL Server, Backup Exec…) utilizan una cuenta de usuario
para ejecutar sus servicios y realizar la autenticación. De manera idéntica a las cuentas utilizadas por los usuarios de dominio, este tipo de cuenta complica la administración cotidiana. El cambio de la contraseña requiere tener que volver a configurar los servicios de la aplicación. Esta cuenta no puede someterse a la política de bloqueo y algunos de los parámetros (expiración de la contraseña, por ejemplo) no pueden aplicarse. Para simplificar su administración, es posible implementar cuentas de servicio administradas.
Presentación de las cuentas de servicio administradas Una cuenta de servicio administrada es un objeto AD DS. A diferencia de una cuenta de usuario normal, dado que puede resultar difícil cambiar la contraseña de una cuenta que se encarga de ejecutar y autenticar servicios, las cuentas de servicio gestionadas tienen una contraseña que se cambia automáticamente cada 30 días. La seguridad en el dominio se ve, así, mejorada, el administrador ya no tiene que gestionar las credenciales de las cuentas utilizadas en las aplicaciones. La clase de objeto cuenta de servicio administrada se presenta en el esquema Active Directory con el nombre msDS-Managed-ServiceAccount.
Esta clase se instancia durante la creación de un nuevo objeto. A continuación, se almacena en el contenedor Managed Service Accounts (CN=Managed Service Accounts,DC=,DC=). Es preciso habilitar las Características avanzadas en el menú Ver para mostrar el contenedor.
Requisitos previos necesarios para la funcionalidad El servidor debe funcionar con el sistema operativo Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 para poder instalar la funcionalidad. Además, es preciso que el .NET Framework 3.5.x y el módulo Active Directory para PowerShell estén instalados en el servidor.
Por último, el nivel funcional del dominio debe ser Windows Server 2008 R2 o superior. Con Windows Server 2012 R2 es necesario crear una root key o, más bien, key distribution services root key antes de proceder a la creación de cuentas de servicio administradas. Esta operación se realiza mediante el siguiente comando PowerShell: Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10)) Para obtener más información acerca de las sitio:http://technet.microsoft.com/es-es/library/jj128430.aspx
root
key
puede
Se dedica un trabajo práctico a la creación de cuentas de servicio administradas.
visitar
el
Directivas de grupo Una directiva de grupo permite definir parámetros en un punto central. A continuación, este lote de parámetros se aplica a uno o varios objetos (usuarios o equipos). De este modo, la administración se ve mejorada, además de existir una interfaz gráfica que permite administrar esta configuración sin tener que escribir complejos scripts.
1. Gestión de la configuración A diferencia de un usuario particular, que posee un número de equipos limitado, en muchos casos uno solo, la red informática de una empresa está compuesta de varias decenas o centenares de puestos. En este caso, es inconcebible realizar la configuración de forma manual. La directiva de grupo tiene, en este caso, una importancia relevante en el ciclo de vida de un sistema de información. Además de los parámetros, una directiva de grupo posee, a su vez, un ámbito y una aplicación. El ámbito se corresponde con los equipos o usuarios que se verán afectados por la directiva. Existen, además, distintas formas de limitar el ámbito. Estos puntos se abordan en la sección Implementación y administración de las directivas de grupo. La aplicación es un mecanismo que permite implementar una directiva de grupo en un equipo. Dicha aplicación se realiza en intervalos definidos. Existen dos tipos de directiva de grupo: la directiva local, que está presente en todos los puestos y servidores (excepto los controladores de dominio), y las directivas de dominio, que se configuran desde un controlador de dominio y que se aplican al conjunto de puestos, servidores y al conjunto de usuarios.
2. Visión general de las directivas de grupo Como hemos visto antes, una directiva de grupo está compuesta por parámetros. Éstos se aplican únicamente a un usuario o bien a un equipo. Cuando se quiere implementar un parámetro, éste debe apoyarse en un estado. Existen tres estados destinados a este fin: No configurado (estado por defecto) Habilitado Deshabilitado El texto de ayuda que acompaña a la ventana permite conocer el comportamiento del componente configurado en función de los distintos estados.
Es importante, a su vez, asegurarse de la versión del sistema operativo con la que es compatible el parámetro. En caso de no respetarse, el parámetro se recibirá en el puesto pero no podrá aplicarse. Tomemos un ejemplo. Las preferencias de directivas de grupo han hecho su aparición con Windows Vista/Windows Server 2008. Los servidores Windows Server 2003 o los equipos con Windows XP no conocen, por tanto, este tipo de parámetros. Sin instalar un cliente de preferencias en los puestos que ejecutan una versión anterior a Windows Vista, el parámetro no se aplicará. Es posible aplicar distintos tipos de parámetros. Además de las preferencias de las directivas de grupo, es posible implementar parámetros de seguridad, la ejecución de un script, el despliegue de aplicaciones…
3. Extensiones del lado cliente Las extensiones del lado cliente o CSE (Client Side Extensions) están presentes en todos los
sistemas operativos de Microsoft y tienen como objetivo aplicar parámetros de directivas de grupo. El funcionamiento de la aplicación de la directiva de grupo arranca con la búsqueda de las directivas de grupo que se aplicarán al puesto o al usuario. Esta búsqueda se realiza mediante el servicio Cliente de directivas de grupo. A continuación, este servicio recupera los parámetros que no han sido todavía almacenados en caché. Las extensiones del lado cliente hacen su trabajo y modifican el equipo o la sesión del usuario. Existen tantas CSE como tipos de parámetros: Preferencias Script Base de datos de registro Seguridad Despliegue de aplicaciones A este funcionamiento se le suman ciertas reglas. De este modo, la parametrización se aplica al equipo únicamente en caso de cambio (cambio de estado…), aunque es posible modificar este comportamiento obligando una aplicación sistemática. Los parámetros de seguridad se aplican obligatoriamente. Algunas CSE (despliegue de aplicaciones, por ejemplo) no aplican su parámetro si se considera que existe una conexión lenta. Una conexión posee esta consideración siempre que su tasa de transferencia sea inferior a 512 Kbits/s. Los componentes del sistema operativo configurados mediante una directiva de grupo no pueden ser modificados por un usuario. Las preferencias ofrecen la posibilidad, a un usuario, de modificar temporalmente estos parámetros. Estas directivas se aplican tras el reinicio del puesto y el inicio de sesión o a intervalos de tiempo reculares de entre 90 a 120 minutos. No se produce ninguna modificación si no se ha realizado ninguna modificación sobre el parámetro. Los parámetros de seguridad se aplican cada 16 horas, incluso aunque no hayan sufrido modificaciones. Por último, existe un caso adicional, el de los controladores de dominio donde la directiva se aplica cada 5 minutos.
4. Directivas de grupo por defecto En un dominio Active Directory, se crean dos directivas de grupo por defecto. La Default Domain Policy, ubicada en la raíz del domino, que no posee ningún filtro WMI. Además, se posiciona el grupo de Usuarios autenticados. De este modo, todos los objetos de usuario o equipo reciben la configuración. Por defecto, se configuran los parámetros de seguridad (contraseña, bloqueo y Kerberos). Agregar un parámetro a esta directiva permite aplicarlo a todos los objetos del dominio. La directiva de grupo Default Domain Controller Policy se posiciona a nivel de la unidad organizativa Domain Controllers. Los parámetros se aplican únicamente sobre el controlador de dominio y permiten implementar un sistema de auditoría o atribuir permisos suplementarios a un usuario o grupo de usuarios.
5. Almacenamiento de la directivas de grupo La directiva de grupo se divide en dos partes. Por un lado, el contenedor de la directiva de grupo (GPC) se almacena en el directorio Active Directory. Cada objeto está compuesto por un GUID que permite disponer de una identidad única en AD DS. La plantilla de directiva de grupo (GPT) contiene, por su parte, los distintos parámetros contenidos en las directivas de grupo. La GPT se almacena en la carpeta SYSVOL, donde cada subcarpeta se corresponde con un objeto presente en el GPC. Las subcarpetas reciben el nombre del GUID presente en el GPC.
La replicación de ambos componentes de la directiva de grupo es, también, diferente. El contenedor de la directiva de grupo (GPC) almacenado en el Active Directory se replica con él. De este modo, los controladores de dominio contienen todos los distintos contenedores. La carpeta SYSVOL, que contiene la plantilla de la directiva de grupo (GPT) se replica con el sistema FRS (servicios de replicación de ficheros). Desde Windows Server 2008 es posible utilizar el sistema de replicación DFS, que ofrece una mayor fiabilidad y eficacia. Ambos sistemas pueden, en ciertos casos, estar desincronizados. Con el objetivo de verificar la correcta sincronización entre el GPC y la GPT, conviene utilizar la herramienta GPOTool. Esta herramienta, por línea de comandos, permite asegurar que no existen incoherencias entre ambos controladores. Resulta muy práctica para preparar la migración de un controlador de dominio. Es preciso descargar la herramienta antes de poder utilizar el comando DOS.
6. GPO de inicio Aparecidas con Windows Server 2008, las directivas de grupo de inicio permiten implementar plantillas para otras directivas de grupo. No obstante, estas plantillas solo pueden contener parámetros presentes en las plantillas administrativas. De este modo, todas las GPO del dominio contienen cierto número de parámetros idénticos (a condición, evidentemente, de que se utilice la misma plantilla). Es posible realizar operaciones de importación y de exportación de estas directivas. Estas operaciones se realizan mediante archivos con extensión .cab. Durante el primer uso, es preciso crear la carpeta, que contiene las plantillas predefinidas.
Aparece una nueva carpeta dentro de SYSVOL, con el nombre StarterGPOs, que contiene los parámetros de cada una de las directivas.
Es posible, evidentemente, crear nuestra propia plantilla.
7. Copia de seguridad y restauración de una directiva de grupo Las directivas de grupo permiten definir parcialmente o completamente el entorno de los usuarios. Una pérdida de estos parámetros puede implicar una pérdida de producción para el usuario. Es, por tanto, importante asegurar (como con cualquier elemento crítico) que se tienen mecanismos para realizar copias de seguridad y, sobre todo, para poder realizar una posterior restauración de este elemento (con frecuencia se olvida esta etapa, que tiene una importancia enorme puesto que valida el correcto funcionamiento de la copia de seguridad y sus procedimientos). La copia de seguridad puede aplicarse a una directiva en particular o al conjunto de GPO. El destino de la copia de seguridad es, sencillamente, una carpeta que contendrá la información necesaria en la etapa de restauración (ID, parámetro…). La restauración ofrece, por su parte, más posibilidades. Como con cualquier operación de restauración, es posible restaurar una copia de seguridad que previamente se ha guardado. Además, es posible importar una GPO salvaguardada dentro de una GPO existente. Esta acción no hace más que importar los parámetros. No obstante, algunas
directivas pueden contener rutas UNC, de modo que es necesario, en la etapa de importación, realizar una verificación de estos enlaces. Para ello se utiliza una tabla de migración, que permite validar y modificar, si fuera necesario, las distintas rutas UNC.
8. Delegación de la administración Desde hace muchos años existe la delegación en los sistemas operativos de servidor, y permite la distribución de tareas a otras personas. De este modo, es posible asignar a otras personas diferentes a los administradores las tareas de creación de directivas de grupo, de creación de vínculos WMI… Es posible implementar distintos niveles de delegación: Creación/modificación de objetos de directiva de grupos Gestión de los vínculos de las directivas de grupos Ejecución del modelado de directivas de grupos Lectura de datos resultantes de las directivas de grupos Creación de filtros WMI Los usuarios miembros del grupo CREATOR OWNER tienen acceso completo al sistema de directivas de grupo.
Como todo objeto de Active Directory, una directiva de grupo posee una ACL, compuesta por los grupos Administradores de dominio, Administradores de empresas, Creador propietario y Sistema local. El conjunto de estos grupos posee un control total a nivel de la gestión de directivas de grupo, un usuario miembro tendrá asignado el permiso Aplicar directiva de grupos y lectura. Para asignar el permiso de crear una GPO a un usuario se necesita agregar su cuenta de usuario al grupo CREADOR PROPIETARIO o implementar, de manera explícita, la autorización desde la consola GPMC. A diferencia de la delegación de la creación, que no limita la creación, la correspondiente al vínculo está limitada a un contenedor. Este tipo de directiva se configura desde la pestañaDelegación del contenedor en la consola GPMC o mediante el asistente Delegación de
control en la consola Usuarios y equipos de Active Directory. Ocurre de forma similar con las operaciones de creación de filtros WMI, de modelado y resultado de directivas de grupos.
9. PowerShell con GPO Como con la mayoría de componentes de Windows Server 2012 R2, es posible realizar la administración y la gestión de directivas de grupo mediante PowerShell. Existen varios cmdlets disponibles:
New-GPO: creación de una nueva directiva de grupo. New-GPLink: permite implementar un vínculo a una GPO. Backup-GPO/ Restore-GPO: realiza la copia de seguridad y restauración de una directiva. Copy-GPO/ Import-GPO: realiza la operación de copia o de importación.
Implementación y administración de las directivas de grupo La implementación de una directiva de grupo es un asunto importante que no debe descuidarse. En efecto, las directivas son acumulativas, lo que puede dar un resultado final completamente diferente al esperado.
1. Vínculos GPO Es posible crear una directiva de grupo de dos formas. Realizando la operación desde el contenedor Objetos de directiva de grupo, la directiva no queda vinculada con ningún contenedor. La segunda forma de crear una directiva es realizando su creación desde un contenedor. Esta segunda solución permite, no obstante, implementar el vínculo además de la creación. Es preferible realizar el vínculo una vez se ha creado y probado la GPO. En efecto, si existe el vínculo desde la creación, los parámetros comienzan a aplicarse cuando la directiva de grupo todavía no se ha comprobado, o ni siquiera terminado de programar. Por ello, es preferible crear en primer lugar la directiva de grupo y, a continuación, realizar el vínculo en un paso posterior. Éste debe implementarse sobre una unidad organizativa de pruebas, con el objetivo de validar el correcto funcionamiento de los distintos parámetros de la GPO. El vínculo de una directiva de grupo permite definir el ámbito. La aplicación de la GPO se realiza sobre el contenedor y sus hijos. Esto influye en los equipos cliente y servidores presentes en los contenedores. Es posible vincular una misma directiva con varios contendores.
2. Orden de aplicación Las directivas de grupo se aplican en el puesto en función de un orden preciso bien definido. La primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente). A continuación, se recuperan las GPO del dominio y se aplican, empezando por la GPO del sitio AD. A continuación, se recupera la Default Domain Policy y cualquier otra directiva que esté definida en la raíz del dominio. Por último, se aplican aquellas directivas definidas a nivel de OU o sub-OU.
Es posible realizar este vínculo sobre una entidad de seguridad (grupos o usuarios). Es necesario enlazarla a algún contenedor (OU, dominio…). La directiva que se aplica en último lugar es aquella definida a nivel de OU, en caso de conflicto con algún parámetro es la última GPO aplicada la que tiene autoridad sobre las demás. Para modificar este orden de prioridad es posible bloquear la herencia o aplicar la opción Aplicar a una directiva. Esta última acción no se realiza sin consecuencia, puesto que vuelve prioritaria cualquier GPO y permite saltarse cualquier bloqueo o herencia.
3. Herencia y opción de aplicación Como hemos visto antes, las directivas de grupo son acumulativas. Es posible, por tanto, tener una directiva resultante diferente a la que se esperaba. La herencia y la opción de aplicación pueden, en ciertos casos, resolver un conflicto entre dos parámetros y, por tanto, favorecer un resultado distinto al esperado. La consola GPMC permite determinar el orden de aplicación atribuyendo un número a cada directiva. La que posea el número más bajo será la prioritaria. Esta funcionalidad está accesible seleccionando el contenedor deseado y accediendo a la pestaña Herencia de directivas de grupo.
Es posible ver en la pantalla anterior que la directiva de grupo Default Domain Controllers Policy es prioritaria respecto a la Default Domain Policy. Esto se explica, simplemente, por el hecho de que la GPO Default Domain Controller Policy se posiciona sobre la unidad organizativa Domain Controllers, se aplica en último lugar. Esto permite ver que una directiva de grupo aplicada sobre un contenedor se hereda en los contenedores situados debajo de ella. Se habla así de GPO aplicada sobre el contenedor padre que se hereda en los contenedores hijos. Esta herencia puede, evidentemente, bloquearse. Cuando se habilita el bloqueo, se muestra un círculo azul que contiene un signo de exclamación blanco.
Comprobamos, de este modo, que la GPO Default Domain Policy heredada anteriormente ya no está presente. Es preferible no abusar de la opción Bloqueo de herencia, que puede, a gran escala, complicar la administración. El filtrado por grupo de seguridad puede resultar una mejor alternativa para limitar los objetos afectados por la directiva de grupo. La opción Exigido permite modificar la prioridad de una directiva. Cuando se habilita esta opción, la GPO afectada recupera el nivel de prioridad más elevado. Además, existe la posibilidad de superar el bloqueo por herencia. Esta opción puede habilitarse simplemente haciendo clic con el botón derecho sobre la directiva de grupo y, a continuación, seleccionando la opción Exigido.
Esta opción debe utilizarse con precaución, pues en caso contrario la directiva resultante puede convertirse en algo totalmente diferente a lo que se busca.
4. Implementación de filtros para gestionar el ámbito Es posible implementar filtros con el objetivo de limitar aquellos usuarios y equipos que tienen la posibilidad de recibir los parámetros de la directiva de grupo. Para ello, se utilizan grupos de usuarios. Tras la creación de una directiva de grupo se posiciona por defecto al grupo Usuarios autenticados en el filtrado de seguridad.
Para implementar un filtro es necesario eliminar el grupo por defecto y, a continuación, indicar el grupo deseado. Además de los grupos de seguridad es posible implementar filtros WMI. Se trata de una tecnología que permite controlar distintos objetos (sistema operativo). Es, por tanto, posible utilizar una consulta WMI para filtrar en base a la memoria asignada, la velocidad del procesador, el disco duro, la versión de sistema operativo… Este tipo de filtros resulta práctico cuando se desea desplegar aplicaciones mediante directivas de grupo.
5. Funcionamiento de una directiva de grupo con enlaces lentos Tras la recuperación de una directiva de grupo, algunos parámetros puede que no se apliquen en función de la velocidad del enlace entre el equipo y el controlador de dominio. Se considera que una conexión es lenta cuando la tasa de transferencia es inferior a 500 Kbits/s. La instalación de aplicaciones se ve afectada por la velocidad de los enlaces. Si el enlace se considera lento, el parámetro no se aplica. La aplicación o no del parámetro viene determinada por cada CSE (extensión del lado cliente). Las extensiones del lado cliente siguientes están inactivas con enlaces lentos: Mantenimiento de Internet Explorer Instalación de software Redirección de carpetas Ejecución de script Directiva IPsec Directiva inalámbrica Directiva de cuota en disco
Si una estación se encuentra desconectada de la red, utilizará los parámetros anteriores alojados en caché. Cuando se conecte a la red, las distintas extensiones del lado cliente detectarán si es necesario actualizar los parámetros.
6. Recuperación de directivas por los puestos clientes La actualización de una directiva de grupo se realiza tras el arranque del equipo o tras el inicio de sesión. Además, cada puesto pregunta a su vez a su controlador de dominio tras cada intervalo de entre 90 a 120 minutos. La actualización sobre un controlador de dominio se realiza cada 5 minutos. Si no se produce ninguna modificación sobre alguna directiva de grupo, ésta no se vuelve a aplicar. Para asegurar que la actualización de directivas de grupo se realiza una vez los servicios de red de la máquina están habilitados, se recomienda habilitar el parámetro Esperar siempre la detección de red al inicio e inicio de sesión del equipo para todos los clientes Windows. Este parámetro se encuentra en el nodo Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Inicio de sesión.
Algunos parámetros (Ejecución de script, Redirección de carpeta, Instalación de software…) necesitan un nuevo inicio de sesión o un reinicio del equipo. Además de la actualización automática, es posible "forzar" la aplicación de una directiva de grupo. Para ello, debe utilizarse el comando gpupdate. Presenta dos opciones:
/target:computero /target:user: limita la aplicación a los parámetros de equipo o de usuario.
/force: se reaplica el conjunto de parámetros de las directivas de grupo. /logoffo /boot: estos parámetros provocan un cierre de sesión o un reinicio del puesto.
Mantenimiento de una directiva de grupo La implementación de una directiva de grupo puede impactar sobre el entorno del usuario. Además, en un sistema complejo es posible que ciertos parámetros no se apliquen. En tal caso, es necesario utilizar las distintas herramientas disponibles en el sistema operativo para encontrar la causa. Desde Windows Server 2012 es posible forzar la aplicación de una directiva de grupo. Esta operación se aplica únicamente sobre objetos de tipo equipo. En caso de actualización en una unidad organizativa que contenga únicamente cuentas de usuario, aparece un mensaje.
Tras la aplicación sobre una o varias cuentas de equipo, aparece un informe que permite conocer el resultado de la actualización.
En AD3, al estar apagado durante la actualización, ha fallado la actualización de la directiva. También es posible obtener un informe acerca del estado de la replicación entre Active Directory y SYSVOL.
Una vez más, el controlador de dominio AD3 aparece como inaccesible. Es mucho más fácil conocer el estado de la replicación entre la GPC (Group Policy Console) replicada con Active Directory y la GPT (Group Policy Template) replicada con DFSR.
1. Directiva de grupo resultante Como con las actualizaciones NTFS, la combinación de todas las directivas de grupo produce la directiva resultante. En función de los filtros (grupos de seguridad, WMI) y de la opción Aplicada, los parámetros de la GPO resultante pueden ser diferentes a los deseados por el administrador. Para visualizar estos parámetros, es posible utilizar el comando RSOP. Este comando puede utilizarse sobre un equipo/servidor local o sobre un equipo remoto. Es posible crear un informe, aunque también es posible modelar los parámetros de las directivas de grupo. Existen varias herramientas, provistas con el sistema operativo, que permiten realizar análisis RSOP. El asistente Resultados de directivas de grupo. El asistente Modelado de directivas de grupo. El comando
gpresult.
2. Informe RSOP Los informes RSOP facilitan el mantenimiento aportando la información necesaria acerca de la directiva resultante. Es posible, para ello, utilizar el asistente Resultados de directivas de grupo, que utiliza el proveedor WMI para recuperar la información en un equipo local o en un puesto remoto: Directiva de grupo aplicada Directiva de grupo no aplicada, y el motivo
Listado de parámetros de directivas de grupo No obstante, recuperar correctamente esta información requiere en primer lugar que el equipo esté conectado. La cuenta que se utiliza para consultar debe poseer permisos de administración sobre el equipo consultado. Es preciso autorizar el tráfico entre ambos equipos si hubiera algún firewall activado (uso de los puertos 135 y 445). Por último, es necesario que el usuario haya iniciado sesión al menos una vez, con el objetivo de que las directivas de grupo se hayan aplicado al menos una vez sobre el equipo. Una vez terminada la recogida de información, el asistente genera un informe en formato DHTML con tres pestañas: Resumen: esta pestaña permite obtener, muy rápidamente, información importante acerca de las distintas directivas de grupo (GPO aplicada, GPO rechazada, pertenencia a grupos de seguridad…). Parámetros: permite visualizar los distintos parámetros de la directiva resultante. Evento de directiva: recupera la información de la directiva de grupo en los registros de evento. Es posible visualizar el informe desde la consola Administración de directivas de grupo, donde es posible volver a ejecutar de nuevo la consulta con el objetivo de actualizar el informe. El comando gpresult puede utilizarse, a su vez, para recoger la misma información. Preste atención, no obstante, a que es preciso disponer como mínimo de equipos ejecutando Windows XP y servidores con Windows Server 2003 para poder ejecutar este comando. Como con el asistente Resultados de directivas de grupo, es posible consultar un equipo remoto. Para llevar a cabo esta operación es preciso utilizar la opción /s. Las opciones /v y /z permiten obtener un resumen más o menos igual de detallado. Por último, para crear un informe debe utilizarse la opción /h.
3. Uso de registros de eventos Aparte de los distintos comandos estudiados en los puntos anteriores, es posible obtener la información desde los registros de eventos. El registro de eventos del sistema permite obtener eventos vinculados con los clientes tales como la imposibilidad de conectarse a un controlador de dominio o la imposibilidad de realizar la localización de objetos de directiva de grupo. El registro de aplicaciones permite, por su parte, visualizar los eventos vinculados con las extensiones del lado cliente. Por último, el registro GroupPolicy ofrece información detallada acerca del procesamiento de las directivas de grupo.
Gracias a las herramientas ofrecidas por Windows Server 2012 R2, el mantenimiento de las directivas de grupo se ve ampliamente facilitado.
4. Enlace lento y caché de directivas de grupo En una red empresarial, puede ocurrir que no exista un controlador de dominio en una o varias sedes (con pocos empleados, con poca seguridad…). La autenticación y la recuperación se realizan desde un controlador de dominio ubicado en otro sitio. De este modo, el enlace WAN se utiliza a menudo. Si este enlace ofrece una tasa de transferencia inferior a 500 Kbits/s, entonces el enlace se considera lento. Esto puede dar lugar a un incidente en la aplicación de alguna directiva de grupo. En efecto, cuando un equipo recupera los parámetros de una directiva de grupo, utiliza ciertos componentes del sistema operativo: las extensiones del lado cliente, cuyo rol es recuperar la configuración de una GPO y aplicarla en los equipos. Encontramos, de este modo, tantas extensiones del lado cliente como tipos de parámetros (preferencias, scripts…). De este modo, si se trata de un enlace lento, algunos parámetros puede que no se apliquen. Las siguientes extensiones se aplican incluso aunque se trabaje desde un enlace lento: Configuración de registro (plantillas administrativas). Directivas de seguridad. Directivas de recuperación EFS. Seguridad IP. Las siguientes extensiones no se aplicarán si se trabaja desde un enlace lento: Despliegue de aplicaciones.
Scripts. Redirección de carpetas. Cuotas de disco. Tras la aplicación de una directiva de grupo en un equipo se produce un almacenamiento en caché. Esta operación permite conservar la política definida por el administrador incluso aunque el equipo esté desconectado de la red. Para mejorar la experiencia en una red desde una conexión remota es posible utilizar el modo síncrono. Permite utilizar la versión más reciente de la caché en lugar de recuperar la configuración de la red. Esto permite realizar un arranque más rápido en caso de trabajar desde una conexión VPN (DirectAccess, por ejemplo).
5. Configuración de una política de seguridad Kerberos Desde hace varias generaciones de sistemas operativos de servidor es posible gestionar los parámetros de Kerberos. Utilizados en el funcionamiento de las autenticaciones, se recomienda, por otro lado, modificarlos con precaución. Desplegando los nodos Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Directivas de cuentas - Directiva Kerberos es posible acceder a estos parámetros.
Trabajos prácticos: Gestión del entorno del usuario Estos trabajos prácticos permiten realizar la implementación de directivas de grupo o la importación de cuentas de usuario.
1. Importar cuentas de usuario mediante cmdlets PowerShell Objetivo: importar cuentas de usuario mediante un archivo CSV. Para llevar a cabo esta operación se utiliza un cmdlet. Máquina virtual: AD1. En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuación, despliegue el nodo Formacion.local. Haga clic con el botón derecho en la raíz del dominio y, a continuación, haga clic en Nuevo Unidad organizativa. En el campo Nombre, escriba ExportRH y, a continuación, haga clic en Aceptar.
Abra una consola PowerShell y, a continuación, escriba el comando unrestricted.
set-executionpolicy
Valide la posibilidad de ejecutar scripts no firmados presionando S y, a continuación, pulsando la tecla [Enter].
Ejecute el script Script_Importacion.ps1 (el archivo CSV y el script PowerShell están ubicados en la raíz C: en el ejemplo). El archivo CSV y el script pueden descargarse desde la página Información.
Las cuentas se han importado correctamente.
La importación resulta, de este modo, mucho más sencilla, basta con modificar el archivo CSV.
2. Creación de una PSO Objetivo: crear una directiva de contraseña muy específica para aplicarla a un grupo de seguridad. Máquina virtual: AD1. En AD1, verifique el nivel funcional del dominio para comprobar que es, como mínimo, Windows Server 2003. Abra la consola Usuarios y equipos de Active Directory presente en las Herramientas administrativas (menú de inicio). Haga clic en la raíz del dominio Formacion.local y, a continuación, mediante la barra de
herramientas, cree una nueva unidad organizativa. En el campo Nombre, escriba PSO y, a continuación, haga clic en Aceptar.
Haga clic en la unidad organizativa que acaba de crear y, a continuación, haga clic en el botón que permite crear un nuevo usuario. Escriba Prueba en el campo Nombre de pila y, a continuación, PSO en el campo Apellidos. El nombre de inicio de sesión de usuario es pso.
Haga clic en Siguiente. Escriba Pa$$w0rd en el campo Contraseña y, a continuación, confírmela. Marque la opción La contraseña nunca expira.
Haga clic en Siguiente y, a continuación, en Finalizar. Repita las mismas etapas para la creación del usuario Prueba PSO2. Desde las Herramientas administrativas, abra la consola Centro de administración de Active Directory. En el panel izquierdo, haga doble clic en la raíz del dominio Formacion (local).
En el panel de navegación, haga doble clic en el contenedor System y, a continuación, enPassword Settings Container.
Haga clic en Nuevo en el panel Tareas y, a continuación, en Configuración de contraseña. Escriba PSO Admin en el campo Nombre y 1 en Precedencia. Deje marcada la opción Exigir longitud mínima de contraseña y escriba, en el campo correspondiente, el valor 5. En el campo Exigir historial de contraseña, escriba 8. Marque la opción Exigir directiva de bloqueo de cuenta y, a continuación, escriba 3 en el campoNúmero de intentos de inicio de sesión incorrectos.
Haga clic en el botón Agregar y, a continuación, escriba pso en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Haga clic en el botón Comprobar nombres, el campo tendrá el mismo valor que en la siguiente pantalla.
Haga clic en Aceptar.
Haga clic en Aceptar para validar la creación. Haga clic en Nuevo en el panel Tareas y, a continuación, en Configuración de contraseña para crear una nueva política. Escriba PSO VIP en el campo Nombre y 1 en Precedencia. Deje marcada la opción Exigir longitud mínima de contraseña y escriba, en el campo correspondiente, el valor 2. En el campo Exigir historial de contraseña, escriba 1. Desmarque la opción Exigir longitud mínima de contraseña.
Marque la opción Exigir directiva de bloqueo de cuenta y, a continuación, escriba 2 en el campoNúmero de intentos de inicio de sesión incorrectos. Haga clic en el botón Agregar y, a continuación, escriba pso2 en el campo Escriba los nombres de objeto que desea seleccionar en el cuadro de diálogo que se abre. Haga clic en Aceptar.
Haga clic en Aceptar. En la consola se muestran, a continuación, ambas políticas de contraseña.
La consola permite, también, conocer los parámetros de contraseña resultantes para un usuario
determinado. Haga doble clic en la raíz del dominio Formacion.local y, a continuación, en la unidad organizativaPSO. Haga clic en Prueba PSO1 y, a continuación, en el panel Tareas, haga clic en Ver configuración de contraseña resultante.
Se muestra la directiva de contraseña muy específica que tiene asociada el usuario.
Repita la misma operación seleccionando esta vez Prueba PSO2.
La directiva que tiene asociada es PSO VIP.
3. Creación de una cuenta de servicio Objetivo: crear una cuenta de servicio mediante Cmdlets PowerShell. Máquina virtual: AD1. En AD1, acceda a las Herramientas administrativas y, a continuación, ejecute el Módulo Active Directory para Windows PowerShell. el comando Add-KdsRootKey -EffectiveTime ((getdate).addhours(10)), que permite crear la clave de raíz de los servicios de distribución. Escriba
Esto permite crear, a continuación, la cuenta.
La cuenta puede, ahora, crearse. Para ello, escriba el siguiente comando: New-ADServiceAccount -Name Webservice -DNSHostName AD1 -PrincipalsAllowedToRetrieveManagedPassword AD1$ Puede descargar el script desde la página Información.
Ahora es preciso asociar la cuenta de servicio Webservice a AD1. Para ello, escriba el comando: Add-ADComputerServiceAccount -identity AD1 -ServiceAccount Webservice Ahora la cuenta está presente en Active Directory.
A continuación, es posible utilizar la cuenta en un servicio.
4. Creación y configuración de una directiva de grupo Objetivo: crear una directiva de grupo y, a continuación, aplicarla solamente a los controladores de dominio. Máquinas virtuales: AD1, AD2 y AD3. En AD1, abra la consola de Administración de directivas de grupo y, a continuación, despliegue los nodos Dominios y Formacion.local. Haga clic con el botón derecho en GPO y, a continuación, seleccione Nuevo en el menú contextual. En Nombre, escriba GPO Configuración DC y, a continuación, haga clic en Aceptar.
Haga doble clic en la directiva de grupo recién creada y, a continuación, seleccione Editar en el menú contextual. Despliegue los nodos Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Firewall de Windows con seguridad avanzada.
Haga clic en el enlace Propiedades del Firewall de Windows. Configure el parámetro Estado del firewall al estado Inactivo.
Repita la misma operación en los otros dos perfiles y, a continuación, haga clic en Aceptar. Cierre la consola Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga doble clic en GPO Configuración DC. La directiva de grupo no está vinculada con ninguna unidad organizativa. Haga clic en Usuarios autenticados y, a continuación, en el botón Quitar en Filtrado de seguridad. Agregue, ahora, el grupo Controladores de dominio con ayuda del botón Agregar. Haga clic con el botón derecho en Formacion.local y, a continuación, seleccione la opciónVincular un GPO existente…. Seleccione GPO Configuración DC y, a continuación, haga clic en Aceptar. La directiva se encuentra, ahora, vinculada con el dominio y correctamente modificada.
Haga clic con el botón derecho en la unidad organizativa Domain Controllers y, a continuación, seleccione la opción Actualización de directiva de grupo. Esta operación permite forzar la actualización de las directivas de grupo en las cuentas de usuario presentes en la OU.
En la ventana que se abre, haga clic en Sí.
Aparece una ventana que muestra el resultado de la actualización.
Haga clic en Cerrar. Espere algunos minutos y, a continuación, verifique que el parámetro se ha aplicado correctamente al conjunto de controladores de dominio.
Aparece un mensaje advirtiendo de que ciertos parámetros se gestionan mediante una directiva de grupo.
5. Creación de un informe RSOP
5. Creación de un informe RSOP Objetivo: generar un informe RSOP sobre los controladores de dominio para visualizar la información relativa a la aplicación de las directivas de grupo. Máquinas virtuales: AD1 y AD3. En AD1, abra la consola Administración de directivas de grupo. Haga clic con el botón derecho en Resultados de directivas de grupo y, a continuación, en el menú contextual seleccione Asistente para Resultados de directivas de grupo. Se abre el asistente, haga clic en Siguiente. En la ventana Selección de equipos, haga clic en Otro equipo y, a continuación, utilice el botónExaminar. Escriba AD3 y, a continuación, haga clic en Comprobar nombres, valide haciendo clic en el botónAceptar.
Haga clic en Siguiente. En la ventana Selección de usuario, haga clic en Siguiente. Haga clic en Siguiente y, a continuación, en Finalizar para generar el informe. La pestaña Resumen permite visualizar rápidamente si se ha detectado algún problema.
La pestaña Detalles ofrece toda la información necesaria para realizar el diagnóstico de un posible problema. Eventos de directiva permite tener acceso, de manera muy sencilla, a los eventos presentes en el registro de eventos del equipo o del servidor afectado.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué tipo de archivo se utiliza con el comando
csvde?
2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando 3 ¿Es posible realizar la modificación de una cuenta con el comando
csvde?
csvde?
4 ¿Cuáles son los parámetros contenidos en una política de seguridad? 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? 9 ¿Cuál es el rol de una extensión del lado cliente? 10 ¿Qué ocurre si se detecta una conexión lenta? 11 ¿Cuándo se actualiza una directiva de grupo? 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? 14 ¿Qué medios existen para crear un informe RSOP?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/14
Para superar este capítulo, su puntuación mínima debería ser de 10 sobre 14.
3. Respuestas 1 ¿Qué tipo de archivo se utiliza con el comando El comando
csvde?
csvdeutiliza archivos con formato CSV.
2 ¿Cuál es la opción que debe utilizarse para realizar una importación con el comando Por defecto, el comando usar la opción -i.
csvde?
csvderealiza una exportación. Para realizar una importación, es preciso
3 ¿Es posible realizar la modificación de una cuenta con el comando
csvde?
No, el comando csvdeno permite realizar modificaciones sobre una cuenta de usuario existente, es preciso utilizar, para ello, el comando idifde. 4 ¿Cuáles son los parámetros contenidos en una política de seguridad? Una política de seguridad puede contener, principalmente, parámetros de contraseña, de bloqueo
así como parámetros Kerberos. 5 ¿Cuáles son los criterios que deben respetarse para que una contraseña se considere compleja? Para que una contraseña se considere compleja es preciso que cumpla tres de los cuatro criterios siguientes: Contener letras mayúsculas Contener letras minúsculas Contener caracteres alfanuméricos Contener caracteres especiales 6 ¿A qué objetos se aplican las directivas de contraseña muy específica? Una directiva de contraseña muy específica puede aplicarse a un usuario o un grupo de seguridad de tipo global. 7 ¿Cuáles son los dos objetos presentes en AD DS y que utilizan las PSO? Existen dos objetos en AD DS desde Windows Server 2008: el Password Settings Container, que sirve como contenedor del Password Settings Object, que es el segundo tipo de objeto y contiene los parámetros de seguridad que se aplican a los grupos o al usuario. 8 ¿Cuándo se modifica el parámetro msDS-PSOApplied? El parámetro msDS-PSOApplied se modifica cuando se atribuye una directiva contraseña muy específica a un usuario o un grupo. 9 ¿Cuál es el rol de una extensión del lado cliente? La extensión del lado cliente, o CSE, tiene como objetivo recuperar los parámetros recibidos y, a continuación, aplicarlos. Existen tantas CSE como tipos de parámetros. 10 ¿Qué ocurre si se detecta una conexión lenta? En el caso de una conexión lenta, la mayoría de parámetros no se aplican. 11 ¿Cuándo se actualiza una directiva de grupo? La actualización de una GPO se realiza en diferentes momentos. Tras el inicio de sesión o el arranque del puesto, las directivas se recuperan y se aplican. A continuación, se produce una actualización cada 90 a 120 minutos. No obstante, esta operación se lleva a cabo únicamente si se ha producido alguna modificación. En un controlador de dominio, el intervalo de actualización es de 5 minutos. 12 ¿Qué permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR PROPIETARIO? Tras realizar esta acción, se atribuye al usuario un control total a nivel de directivas de grupo. 13 ¿Qué cambio se opera cuando se utiliza la opción Aplicar sobre una GPO? Si se aplica la opción Aplicar a una directiva de grupo, ésta se vuelve prioritaria, pudiendo incluso saltar el mecanismo de bloqueo de herencia. 14 ¿Qué medios existen para crear un informe RSOP? Para crear un informe RSOP, es preciso ejecutar el comando gpresult /H NombreArchivoen el equipo correspondiente o utilizar el asistente de Resultados de directivas de grupo. Este asistente requiere, no obstante, que la GPO se haya aplicado al menos una vez y que el firewall permita consultas de manera remota.
Requisitos previos y objetivos 1. Requisitos previos Tener nociones acerca de las directivas de grupo.
2. Objetivos Administración del sistema de directivas de grupo. Implementar las preferencias de las directivas.
Introducción El sistema de directivas de grupo (GPO) permite implementar un conjunto de parámetros sobre uno o varios puestos. Hay varios miles de parámetros disponibles con Windows Server 2012 R2. Las preferencias, la redirección de carpetas o la ejecución de scripts son algunas de las directivas que pueden implementarse.
Plantillas administrativas Las plantillas administrativas se dividen en dos secciones, la configuración del equipo y la configuración de usuario. Ambas permiten gestionar el entorno del usuario. Cada parámetro está clasificado en una carpeta (componentes de Windows, red…). Tras su implementación, se modifica la base de datos del registro. Se modifican dos rutas: HKEY_LOCAL_MACHINE en lo relativo al equipo. HKEY_CURRENT_USER para la sección de usuario. A excepción de algunos parámetros, la mayoría de ellos están presentes únicamente en la sección de usuario o de equipo.
1. Los archivos ADMX y ADML Los archivos en formato ADM, predecesor de los archivos ADMX / ADML, se utilizaban en los sistemas operativos de Microsoft hasta el par Windows Server 2003 / Windows XP. Recuerde que estos archivos ADM utilizan su propio lenguaje de etiquetas (lo cual hace difícil la creación de un archivo personalizado). Estos últimos se almacenaban en la carpeta %systemroot%\INF. Con Windows Server 2008 y Windows Vista, las plantillas administrativas se almacenan en archivos diferentes. Estos archivos tienen la extensión admx o adml. Se utiliza el lenguaje XML en su definición, lo que permite crear, de manera mucho más sencilla, una nueva plantilla administrativa. Se ubican, por defecto, en la carpeta PolicyDefinitions, y presentan la ventaja de ser independientes del lenguaje del sistema operativo. El texto que se muestra está presente en el archivo ADLM. Éste se almacena en una subcarpeta dentro de PolicyDefinitions (ES-es para el español…). Existe una herramienta que permite migrar archivos ADM al formato ADMX / ADML, disponible para su descarga en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkID=270013).
2. Creación del almacén central Un almacén central se encarga de alojar los archivos ADMX y ADML en un sitio centralizado con el objetivo de que los distintos controladores de dominio puedan acceder a él. Tras la activación de esta funcionalidad se ignora el almacén local presente en cada servidor, de modo que solo se tiene en cuenta el almacén central. No obstante, si el controlador no estuviera disponible, se utiliza en su lugar el almacén local. Su creación consiste en copiar en la carpeta SYSVOL los archivos ADMX y ADML. La replicación de archivos (FRS o DFS-R) asegura, a continuación, la replicación sobre los distintos controladores de dominio. Es, así, posible copiar las plantillas administrativas para Office.
3. Uso de filtros sobre las plantillas administrativas Windows Server 2012 R2 contiene miles de parámetros, de modo que puede resultar difícil encontrar el parámetro adecuado. Para ello es posible utilizar filtros. De este modo, sólo se mostrarán aquellos resultados que respondan a los criterios definidos en la búsqueda. Para acceder a la ventana que se muestra a continuación, y por tanto a las opciones de filtro, es preciso hacer clic con el botón derecho en Plantillas administrativas y, a continuación, seleccionar la opción Opciones de filtro… en el menú contextual.
Es posible utilizar varios criterios. En primer lugar, es posible seleccionar los parámetros que están o que no están gestionados, configurados o comentados. A menudo resulta útil utilizar el filtro por palabras clave que permiten visualizar únicamente aquellos parámetros que contienen la palabra indicada (por ejemplo: Internet, ejecutar…). Por último, la selección de los parámetros deseados puede acotarse a un único sistema operativo (mostrar los parámetros para Internet Explorer 10...).
Configuración de la redirección de carpetas y de scripts La copia de seguridad de los datos de usuario es un punto importante, aunque por desgracia no es extraño ver muchos datos que se encuentran en las propias estaciones de trabajo. Con el objetivo de limitar la pérdida de datos, en caso de robo o de rotura de algún equipo, es posible implementar la redirección de carpetas.
1. Presentación de la redirección de carpetas Esta funcionalidad es muy interesante para la mayoría de administradores de sistema. En efecto, permite redirigir la o las carpetas deseadas (Mis documentos, Mi música…) a otro servidor. Esto no cambia, evidentemente, nada de cara al usuario, quien piensa que sigue escribiendo en su puesto local. Además, se produce una sincronización sobre el propio puesto para permitir el acceso si la red no se encuentra disponible (interrupción en la red, equipo desconectado…). Resulta, por tanto, mucho más sencillo realizar una copia de seguridad y la restauración de datos posterior de los datos del usuario. Preste atención, no obstante, al espacio en disco necesario para alojar estos datos, de modo que es preferible estudiar de forma regular el consumo de este espacio y tomar las precauciones necesarias (cuota, archivo…) para reducir su tamaño. Tenga en cuenta, a su vez, que de este modo el usuario puede acceder a sus datos sea cual sea el puesto de trabajo sobre el que se conecte. Preste atención a no deshabilitar la sincronización sin conexión mediante alguna directiva de grupo, sin la cual los datos no estarían accesibles cuando el equipo no se encuentre conectado.
2. Configuración de la redirección Tras la configuración de las directivas de grupo, existen varios parámetros disponibles. No configurada: valor por defecto, no se realiza ninguna redirección. Básica: las carpetas del usuario se redirigen a un lugar común. Cada uno de ellos dispone de una carpeta privada en esta ubicación. Avanzada: la redirección se realiza en función de los grupos de seguridad. De este modo, es posible definir la ubicación de la redirección en función de estos grupos.
Al final del capítulo se propone el trabajo práctico Configuración de la redirección de carpetas.
3. Uso de scripts en las directivas de grupo Desde hace muchos años, se utilizan scripts para realizar y automatizar ciertas acciones (eliminar archivos o carpetas, conectar un lector a la red, configurar un proxy IE…). Estos scripts pueden aplicarse a la configuración del equipo (ejecución durante el arranque o detención de los equipos) o a la configuración del usuario (inicio y cierre de sesión). Resulta, por tanto, necesario configurar los scripts en la configuración del equipo, lo que permite autorizar su ejecución con el contexto de seguridad del Sistema local. Los que se aplican a la configuración del usuario se ejecutan con permisos del usuario. Si se quiere utilizar varios scripts, es posible configurarlos de manera síncrona o asíncrona. Es posible ejecutar varios tipos de script (archivos BAT, VBS, PowerShell…). Preste atención, no obstante, a asegurar que el puesto o el usuario tienen acceso a la(s) carpeta(s) compartida(s) que contiene(n) el(los) script(s). Conviene utilizar la carpeta SYSVOL. Desde Windows Server 2008 es posible remplazar la mayoría de scripts utilizando las directivas de grupo.
Configuración de las preferencias de las directivas de grupo Las preferencias aparecieron con Windows Server 2008, y han permitido la implementación de parámetros (conexión de lector de red, configuración de Internet Explorer…) que antes se realizaba mediante script.
1. Visión general de las preferencias Windows Server 2012 R2 ofrece más de una veintena de preferencias de directiva de grupo. A diferencia a los parámetros de directivas de grupo que afectan a la interfaz de usuario, las preferencias permiten a los usuarios interactuar con la configuración y modificarla si es necesario (deshabilitar el proxy en IE…). Preste atención, no obstante, si el parque informático está compuesto por equipos que ejecutan Windows XP, será necesario instalar en estos equipos extensiones del lado cliente que gestionen las preferencias de modo que la configuración se procese y aplique, sin que se ignore la configuración. Una vez implementadas las preferencias, es posible realizar varias acciones: Crear: crea la configuración para implementar la parametrización deseada. Eliminar: elimina un parámetro configurado previamente. Remplazar: se elimina el parámetro y se recrea a continuación. Actualización: permite actualizar un parámetro existente. Estas acciones se configuran tras la creación del parámetro. Es posible aplicar propiedades generales a los distintos parámetros. Consiste en definir la acción y las distintas propiedades que se quieren definir (ruta UNC…). También es posible aplicar otras propiedades. Dejar de procesar los parámetros en esta extensión si se produce algún error: si se detecta algún error durante la ejecución, no se implementa ninguna preferencia. Eliminar el elemento cuando no va a aplicarse más: se elimina una vez se confirma que la directiva no se va a aplicar más al puesto. Con este parámetro, la eliminación se realiza de la misma forma que los parámetros de la directiva de grupo. Aplicar una vez y no volver a aplicar: esta propiedad permite solicitar al sistema que aplique únicamente una vez el parámetro. En caso contrario, se realiza una actualización al mismo tiempo que las directivas de grupo. Uso de la selección de destino: la directiva de grupo se aplica a un puesto o a un usuario de manera limitada mediante grupos de seguridad o filtros WMI. Puede ser, también, necesario limitar la aplicación de las preferencias, para ello es necesario utilizar la selección de destino. Consiste en implementar criterios que deben cumplirse para recibir el parámetro. A diferencia de las directivas de grupo, las preferencias ofrecen muchas más opciones a nivel de selección de destino. De este modo, encontramos: Nombre del equipo Rango de direcciones IP Sistema operativo Grupo de seguridad Idioma Rango horario
Espacio en disco…
2. Comparación entre las directivas y las preferencias Las directivas de grupo y las preferencias tienen puntos en común, ambas se aplican a parámetros de usuario o de equipo. No obstante, las preferencias poseen ciertas diferencias. Contrariamente a la directiva de grupo, que bloquea el parámetro, impidiendo su modificación posterior, las preferencias permiten al usuario realizar cambios sobre ellas o deshabilitarlas. Las preferencias pueden aplicarse una única vez o a intervalos regulares (como con las directivas de grupo). En caso de conflicto entre un parámetro configurado mediante una preferencia y el mismo parámetro aplicado por una directiva de grupo, es esta última la que predomina.
Gestión de aplicaciones con ayuda de GPO Desde hace varios años hasta ahora, es posible realizar el despliegue de una aplicación mediante una directiva de grupo. De este modo, la instalación, eliminación y gestión de las aplicaciones se realiza de forma centralizada desde un puesto de trabajo. En una red informática, una aplicación está compuesta de cuatro fases, tres de ellas que pueden gestionarse mediante una directiva de grupo. La primera fase, la preparación, consiste en copiar el archivo MSI en una carpeta compartida y asignar a esta última los permisos adecuados. A continuación, la fase de despliegue permite instalar la aplicación en aquellos equipos deseados. La directiva de grupo puede aplicarse a un usuario o un equipo, puede alojarse en un sitio, un dominio o una unidad organizativa. La tercera fase no es obligatoria, y consiste simplemente en una fase de mantenimiento. Si se pone a disposición alguna nueva versión de la aplicación, es posible desplegar esta "actualización" mediante la GPO. Como con la fase anterior, la de eliminación no se aplica obligatoriamente, y consiste, simplemente, en eliminar la aplicación instalada anteriormente. De este modo, es posible eliminarla sobre todas las estaciones o prohibir cualquier nueva instalación conservando las que se han hecho con anterioridad. La instalación y la gestión de la aplicación se realizan mediante el servicio Windows Installer. Permite una automatización a nivel de las operaciones de instalación y de eliminación. Es imposible desplegar archivos EXE, sólo se acepta el formato MSI.
Asignación y publicación de una aplicación La fase de despliegue puede efectuarse de dos maneras: asignación o publicación; la instalación puede realizarse de manera automática o manualmente por el usuario en función de la opción seleccionada. La opción Asignada, que consiste en realizar la instalación ante una eventual necesidad, puede aplicarse a un usuario o a un equipo, y la instalación se realiza, a continuación, mediante una directiva de grupo. La opción Publicar permite, por su parte, implementar una política diferente que consiste en poner a disposición de los usuarios la aplicación. Ésta se instala únicamente cuando un usuario la necesita. La opción Publicar no puede utilizarse mediante una directiva de grupo aplicada a un equipo. Las opciones avanzadas disponibles durante la selección del paquete permiten acceder a otras opciones tales como agregar un archivo de personalización de la instalación (Office…). Como acabamos de ver, la opción Asignada puede utilizarse para usuarios o equipos. En el caso de un usuario, la instalación arranca, únicamente, cuando se hace doble clic en el icono de la aplicación o sobre un archivo asociado a dicha aplicación (archivo XLS, por ejemplo). Además, la instalación afecta únicamente al usuario, no se comparte con los demás usuarios y, por tanto, no estará disponible para ellos a no ser que la instalen también. La asignación a un equipo se instala cuando éste reinicia, y todos los usuarios que se conectan a este equipo tienen acceso a la aplicación. La publicación consiste, por su parte, en agregar la opción de instalación en el applet Programas del Panel de control. Solo aquellos usuarios que tengan la autorización adecuada podrán realizar la instalación.
Trabajos prácticos: Gestión de los puestos de usuario Estos trabajos prácticos permiten configurar la interfaz de usuario basándose en directivas de grupo.
1. Implementación de las preferencias Objetivo: con ayuda de las preferencias, cree una carpeta y configure Internet Explorer en el equipo cliente. Máquinas virtuales: AD1 y CL8-01. En CL8-01, abra la consola Centro de redes y recursos compartidos presente en la barra de tareas junto al reloj. Haga clic en Editar configuración de la tarjeta y, a continuación, configúrela tal y como se describe a continuación: Dirección IP: 192.168.1.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.14.254 Servidor DNS preferido: 192.168.1.10
Haga clic dos veces en Aceptar y, a continuación, en Cerrar. Una la máquina al dominio Formacion.local y, a continuación, reinicie el equipo. Abra una sesión en AD1 y, a continuación, abra la consola Usuarios y equipos de Active Directory.
En la unidad organizativa Madrid, llamadas Equipos,Usuarios y Grupos.
cree
tres
nuevas
unidades
organizativas
Mueva la cuenta del equipo CL8-01 a la unidad organizativa Equipos creada anteriormente. En AD1, mediante el explorador de Windows, cree una carpeta llamada Contabilidad y, a continuación, compártala con el mismo nombre. Se atribuyen permisos de Control total a los Administradores de dominio y Modificar a los Usuarios autenticados. Las pestañas de compartición y de seguridad se configuran de la misma forma. Es posible configurar el recurso compartido sobre la segunda partición.
Abra la consola Administración de directivas de grupo y, a continuación, despliegue los nodosBosque:Formacion.local, Dominios y, a continuación, Formacion.local. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Preferencias - Lector de red + IE y, a continuación, haga clic enAceptar.
Haga clic con el botón derecho en la directiva que acaba de crear y, a continuación, seleccioneEditar en el menú contextual. Despliegue Preferencias en Configuración de usuario - Configuración de WIndows y, a continuación Asignaciones de unidades. Haga clic con el botón derecho en Asignaciones de unidades y, a continuación, en el menú contextual, seleccione Nuevo y Unidad asignada. Haga clic en la lista desplegable Acción y, a continuación, haga clic en la opción Crear. En Ubicación, escriba \\AD1\Contabilidad, escriba Contabilidaden el campo Etiquetar como:.
marque
En la lista desplegable Letra de unidad, seleccione la letra V.
la
opción
Reconectar
y
Haga clic en Aplicar y, a continuación, en la pestaña Comunes. Marque la opción Destinatarios de nivel de elemento y haga clic en Destinatarios…. En la ventana que se abre, seleccione Nuevo elemento y, a continuación, Sistema operativo. Compruebe que aparece la opción Windows 8.1 en Producto y haga clic dos veces en Aceptar.
Despliegue el nodo Configuración del panel de control y, a continuación, haga clic con el botón derecho en Configuración de Internet. En el menú contextual, seleccione Nuevo - Internet Explorer 10. En Página de inicio, escriba, por ejemplo, www.miempresa.es y, a continuación, presione la tecla [F6]. El campo está, ahora, subrayado en verde, lo que significa que la modificación se ha tenido en cuenta. En caso contrario, el parámetro no se estaría teniendo en cuenta.
Haga clic en la pestaña Conexiones y, a continuación, en Configuración de red. Escriba la dirección 192.168.1.200 y, a continuación, el puerto 8080. Esta información es ficticia, no existe ningún servidor proxy en la maqueta.
Pulse [F6] para validar los cambios.
Haga clic dos veces en Aceptar y, a continuación, cierre la ventana Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga clic con el botón derecho sobre la unidad organizativa Madrid y, a continuación, seleccione la opción Vincular un GPO existente…. Seleccione Preferencias - Lector de red + IE y haga clic en Aceptar. Mueva la cuenta de usuario de Esteban DIAZ a la unidad organizativa Madrid \ Usuarios. Abra una sesión como ediaz en el equipo CL8-01. Puede comprobar que el lector de red V: apunta a la carpeta compartida Contabilidad, y las preferencias de Internet Explorer están presentes. Para forzar la actualización de las directivas de grupo, utilice el comando gpupdate /force.
2. Configuración de la redirección de carpetas Objetivo: configurar las directivas de grupo para implementar la redirección de carpetas. Máquinas virtuales: AD1 y CL8-01. Cree una carpeta compartida llamada RedirDocs (nombre del recurso compartido RedirDocs$) enAD1. Es posible alojar la carpeta en la segunda partición, las autorizaciones que hay que configurar en las pestañas Autorizaciones y Seguridad son las siguientes: Administrador: Control total Usuarios autenticados: Control total Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre escriba Redirección carpeta Documentos y, a continuación, haga clic enAceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, haga clic en Editar.
Despliegue los nodos Configuración del usuario - Directivas - Configuración de Windows y, a continuación, Redirección de carpetas. Haga clic con el opciónPropiedades.
botón
derecho
en
Documentos
y,
a
continuación,
seleccione
la
En la lista desplegable, seleccione la opción Básico: redirigir la carpeta de todos a la misma ubicación y, a continuación, en la ruta de acceso a la raíz, escriba \\AD1\RedirDocs.
Seleccione la pestaña Configuración y, a continuación, marque la opción Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado.
Haga clic en Aceptar y, a continuación, en Sí en el mensaje de advertencia que aparece. A continuación, cierre la ventana Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga clic con el botón derecho en la unidad organizativa Madrid y, a continuación, seleccione la opción Vincular un GPO existente…. Seleccione Redirección carpeta Documentos y haga clic en Aceptar. En CL8-01, abra una sesión con la cuenta ediaz. Abra una ventana de comandos DOS y, a continuación, ejecute el comando
gpupdate /force.
Aparece un mensaje invitando a cerrar la sesión, presione la tecla S y, a continuación, [Enter]. Inicie una sesión como ediaz. La carpeta Documentos está, ahora, redirigida al servidor.
Si la directiva de grupo no se aplica, la carpeta Documentos se almacena de forma local.
3. Ejecución de scripts mediante GPO Objetivo: ejecutar un script que permita conectar un lector de red tras el inicio de sesión. Máquinas virtuales: AD1 y CL8-01. En AD1, abra el bloc de notas y, a continuación, escriba los siguientes comandos: Net use * /delete /yes Net use z: \\AD1\Contabilidad /persistent:yes Es posible descargar el script desde la página Información.
Guarde el archivo en la carpeta C:\windows\sysvol\domain\scripts con el nombre map.bat.
Haga clic en Guardar y, a continuación, acceda a la ventana Administración de directivas de grupo. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Script Conexión lector de red y, a continuación, haga clic enAceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, en Editar. Despliegue los nodos Configuración del usuario - Directivas - Configuración de Windows Scripts y, a continuación, Iniciar sesión. Haga clic en Agregar y, a continuación, utilice el botón Examinar para seleccionar el scriptmap.bat ubicado en la carpeta \\ad1\sysvol\Formacion.local\Scripts.
Valide haciendo clic dos veces en Aceptar y, a continuación, cierre la consola Editor de
administración de directivas de grupo. Vincule la directiva que acaba de crear con la unidad organizativa Barcelona. En CL8-01, inicie una sesión como jramirez (contraseña: Pa$$w0rd).
El script se ejecuta tras el inicio de sesión de todos los usuarios presentes en la unidad organizativa.
4. Despliegue de aplicaciones mediante una directiva de grupo Objetivo: despliegue de aplicaciones mediante una directiva de grupo. Máquinas virtuales: AD1 y CL8-01. Para llevar a cabo este trabajo práctico, vamos a utilizar el archivo MSI de la aplicación Foxit Reader, aunque evidentemente puede utilizar cualquier otra aplicación si así lo desea. En AD1, abra la consola Usuarios y equipos de Active Directory. En la unidad organizativa Grupos presente en Madrid, cree el grupo G_Foxit. Incluya, en este grupo, la cuenta de equipo de CL8-01.
Cree una carpeta llamada Aplicaciones y, a continuación, compártala con el mismo nombre. El recurso compartido se configura de la siguiente manera: Pestaña Recurso compartido: Administrador con Control total, Usuarios autenticados con permisos para Modificar. Pestaña Seguridad: Administrador con Control total, G_Foxit con permisos para Modificar. Copie el archivo MSI de la aplicación en la carpeta Aplicaciones. Abra la consola Administración de directivas de grupo. Haga clic con el botón derecho en Objetos de directivas de grupo y, a continuación, seleccioneNuevo. En el campo Nombre, escriba Despliegue de aplicación y, a continuación, haga clic en Aceptar. Haga clic con el botón derecho en la directiva de grupo y, a continuación, haga clic en Editar. Despliegue los nodos Configuración del equipo - Directivas - Configuración de software Instalación de software. Haga clic con el botón derecho en Instalación de software y, a continuación, seleccione Nuevo Paquete. Seleccione el archivo MSI afectado por el despliegue. La selección debe realizarse mediante la ruta de red y no mediante el nombre de ruta local.
En la ventana Implementar software, seleccione Avanzada y, a continuación, haga clic
enAceptar.
Se abre una ventana, haga clic en la pestaña Implementación y, a continuación, marque la opción Desinstalar esta aplicación cuando esté fuera del ámbito de administración.
Haga clic en Aceptar y, a continuación, vincule la directiva de grupo con la unidad organizativa deMadrid. Inicie una sesión en CL8-01 como ediaz (contraseña: Pa$$w0rd). Abra una ventana de comandos DOS y, a continuación, ejecute el comando Acepte el reinicio del equipo.
gpupdate /force.
Se realiza la instalación…
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué utilidad tienen las plantillas administrativas? 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? 3 ¿Cuáles son las claves de registro modificadas en el equipo? 4 ¿Cuáles son los archivos que componen las plantillas administrativas? 5 ¿Qué permite realizar el almacén central? 6 ¿En qué consiste el filtro sobre la plantilla administrativa? 7 ¿En qué consiste la redirección de carpetas? 8 La redirección de escritorio se encuentra habilitada, y un usuario que posee un portátil desea conectarse desde la red de un cliente. ¿Los documentos están accesibles en modo sin conexión? 9 Tras la implementación de la redirección de carpetas, existen dos modos accesibles, el modo básico y el modo avanzado. ¿Cuál es la diferencia entre ambos modos? 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/11
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 11.
3. Respuestas 1 ¿Qué utilidad tienen las plantillas administrativas? Las plantillas administrativas permiten gestionar el entorno del usuario. 2 ¿Qué componente se modifica tras la implementación de un parámetro en la plantilla administrativa? Tras la implementación de un parámetro de la plantilla administrativa se modifica la base de datos del registro del equipo que recibe el parámetro. 3 ¿Cuáles son las claves de registro modificadas en el equipo? Se modifican dos claves de registro en el equipo, HKEY_LOCAL_MACHINE para la configuración del equipo y HKEY_CURRENT_USER para la configuración del usuario. 4 ¿Cuáles son los archivos que componen las plantillas administrativas? La plantilla administrativa está compuesta por dos archivos. El archivo ADMX contiene los distintos parámetros que pueden configurarse así como la ruta donde debe crearse el valor DWORD. También se utiliza un archivo ADML, que contiene los textos que se muestran al usuario.
5 ¿Qué permite realizar el almacén central? El almacén central sirve para almacenar los archivos ADMX y ADML directamente en la plantilla administrativa. De este modo, dejan de utilizarse los archivos locales presentes en todos los servidores y puestos de trabajo, y solo se aplican los archivos presentes en la plantilla administrativa. 6 ¿En qué consiste el filtro sobre la plantilla administrativa? Los filtros presentes en las plantillas administrativas permiten encontrar, con facilidad, un parámetro. Existen varios miles de parámetros en las plantillas administrativas, de modo que puede resultar algo complicado encontrar el parámetro deseado. El filtro puede basarse en un parámetro configurado, administrado, comentado o, simplemente, que contiene alguna palabra clave. 7 ¿En qué consiste la redirección de carpetas? La redirección de carpetas consiste en desplazar la carpeta afectada (Escritorio, Mis documentos…) a un recurso compartido en la red. Esta operación es del todo invisible a los usuarios. 8 La redirección de escritorio se encuentra habilitada, y un usuario que posee un portátil desea conectarse desde la red de un cliente. ¿Los documentos están accesibles en modo sin conexión? Sí, la sincronización sin conexión está habilitada tras la implementación de la redirección con el objetivo de permitir al usuario un acceso a sus datos sin conexión. 9 Tras la implementación de la redirección de carpetas, existen dos modos accesibles, el modo básico y el modo avanzado. ¿Cuál es la diferencia entre ambos modos? El modo básico permite realizar una redirección para todos los usuarios en la misma carpeta compartida. El modo avanzado permite, por su parte, realizar una redirección en un destino que es diferente en función de la pertenencia del usuario a un grupo de seguridad. 10 ¿Cuáles son las acciones que pueden configurarse con los parámetros de directivas de grupo? Es posible configurar varias acciones mediante las directivas. Crear permite implementar un parámetro mientras que Elim inar se utiliza para su supresión. Rem plazar permite eliminar un parámetro y, a continuación, volver a crearlo. Por último, Actualizar permite realizar únicamente una actualización del parámetro existente. 11 ¿Qué son los destinatarios a nivel de elemento en las preferencias? Los destinatarios a nivel de elemento permiten limitar el número de usuarios o equipos que reciben la configuración.
Requisitos previos y objetivos 1. Requisitos previos Tener nociones acerca del direccionamiento IP. Conocer los distintos parámetros que componen una configuración IP. Conocer la diferencia entre un direccionamiento estático y dinámico.
2. Objetivos Definición del rol DHCP. Presentación de las funcionalidades ofrecidas por el servicio. Gestión de la base de datos. Implementar el mantenimiento del servidor DHCP. Instalar y configurar la funcionalidad IPAM.
Introducción El servidor DHCP (Dynamic Host Configuration Protocol) es un rol muy importante en una arquitectura de red. Su papel es la distribución de la configuración IP, permitiendo así a los equipos conectados a la red dialogar entre ellos.
Rol del servicio DHCP DHCP es un protocolo que permite asegurar la configuración automática de las interfaces de red. Esta configuración comprende un direccionamiento IP, una máscara de subred y, también, una puerta de enlace y servidores DNS. Existen otros parámetros suplementarios que también pueden distribuirse (servidores WINS…). El tamaño de las redes actuales obliga, cada vez más, a eliminar el direccionamiento estático coordinado por un administrador sobre cada máquina por un direccionamiento dinámico realizado mediante un servidor DHCP. Éste presenta la ventaja de que ofrece una configuración completa a cada máquina que realice la petición pero también es imposible encontrar dos configuraciones idénticas (dos direcciones IP idénticas distribuidas). El conflicto de IP se evita, de este modo, y la administración se ve ampliamente simplificada. El servidor es capaz de realizar una distribución de configuración IPv4 o IPv6.
1. Funcionamiento de la concesión de una dirección IP Si la interfaz de red está configurada para obtener un contrato DHCP, obtendrá un contrato mediante un servidor DHCP. Esta acción se realiza mediante el intercambio de varias tramas entre el cliente y el servidor. La máquina envía, por multidifusión (envío de un broadcast), una trama (DHCP Discover) sobre el puerto 67. Todos los servidores que reciben la trama envían una oferta DHCP al cliente (DHCP Offer), el cual puede, evidentemente, recibir varias ofertas. El puerto utilizado para recibir la oferta es el 68. El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). Ésta compone la dirección IP del servidor y la que se le acaba de proponer al cliente, con el objetivo de aceptar el contrato enviado por el servidor seleccionado y, también, para informar al resto de servidores DHCP de que sus contratos no han sido seleccionados. El servidor envía una trama de acuse de recibo (DHCP ACK, Acknowledgement) que asigna al cliente la dirección IP y su máscara de subred así como la duración del contrato y, eventualmente, otros parámetros. La lista de opciones que el servidor DHCP puede aceptar está definida en la RFC 2134. Un contrato DHCP (configuración asignada a un puesto) tiene una duración de validez, variable de tiempo que define el administrador. Alcanzado el 50% de la duración del contrato, el cliente solicita una renovación del contrato que se le ofreció. Esta solicitud se realiza únicamente al servidor que envió el contrato. Si éste no renueva el contrato, la próxima solicitud se realizará alcanzado el 87,5% de la duración del contrato. Una vez finalizado el mismo, si el cliente no consigue obtener una renovación o una nueva concesión, su dirección se deshabilita y pierde la capacidad de utilizar la red TCP/IP.
2. Uso de una retransmisión DHCP El hecho de utilizar tramas de tipo broadcast hace que las tramas no puedan circular por los routers. Esto implica tener un servidor por cada subred IP. Esta obligación de tener varios servidores puede suponer un coste excesivo para la empresa. Para solventar este problema conviene implementar un servidor de retransmisión DHCP, que permite transferir las solicitudes de contrato a un servidor presente en otra red. La retransmisión DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP realizadas sobre la subred IP. Transfiere, a continuación, las distintas solicitudes que recibe al servidor DHCP presente en la red B.
Conviene, no obstante, asegurar que la tasa de transferencia de la línea y el tiempo de respuesta son aceptables.
Instalación y configuración del rol DHCP Como con los demás servicios que pueden agregarse al servidor, DHCP es un rol. Su instalación se realiza mediante la consola Administrador del servidor marcando el rol en la ventana de selección de rol.
Una vez realizada la instalación, la consola se encuentra en las Herramientas administrativas.
El rol se ha instalado pero todavía no está configurado.
1. Agregar un nuevo ámbito
Un ámbito DHCP está formado por un pool de direcciones IP (por ejemplo, 192.168.1.100 a 192.168.1.200), cuando un cliente realiza una solicitud, el servidor DHCP le asigna una de las direcciones del pool. La franja de direcciones IP disponibles en el ámbito es, necesariamente, contigua. Para evitar la distribución de algunas direcciones IP es posible realizar exclusiones de una dirección o un tramo. Estas últimas pueden asignarse a un puesto de forma manual, sin riesgo de que se produzca un conflicto de IP, puesto que el servidor no distribuirá estas direcciones.
Uso de la regla 80/20 para los ámbitos Es posible tener dos servidores DHCP activos en la red, dividiendo el pool de direcciones en dos. La regla del 80/20 permite, en un primer momento, equilibrar el uso de los servidores DHCP, aunque, también, poder tener dos servidores sin riesgo de conflicto de IP. El servidor 1 distribuye el 80% del pool de direcciones mientras que el servidor 2 está configurado para distribuir las direcciones restantes (20%). Desarrollando AD1.Formacion.local y, a continuación, IPv4 podemos ver que no existe ningún ámbito. Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.
De este modo, haciendo clic con el botón derecho sobre IPv4, es posible crear un nuevo ámbito. Éste tendrá un nombre que debemos indicar en el asistente de creación.
A continuación es preciso definir el rango de direcciones disponibles (de 192.168.1.100 a 192.168.1.150).
Es posible tener, en este rango, ciertas direcciones que es preciso excluir, pues están asignadas a impresoras… Es posible configurar la lista de exclusión, que contiene una dirección o un rango de direcciones que no pueden configurarse en el rango direccionable. Un contrato contiene, también, una duración cuyo valor por defecto es de 8 días. Evidentemente, es posible aumentar o disminuir este valor. A continuación, es posible indicar la dirección de la o las puertas de enlace que deben utilizarse. También puede indicarse el o los servidores DNS que se desean configurar. Estas opciones (DNS, puerta de enlace predeterminada…) se distribuyen, a continuación, al cliente que realiza la petición de contrato de modo que es preferible asegurarse de toda la información indicada.
En un dominio Active Directory es necesario proceder a autorizar el servidor DHCP. Los servidores DHCP Microsoft no autorizados verán cómo Active Directory detiene su servicio.
2. Configuración de las opciones DHCP Las opciones permiten distribuir opciones suplementarias en el contrato, tales como el nombre del dominio DNS y la dirección del servidor DNS. Existen tres tipos de opciones: Opciones de servidor: se aplican a todos los ámbitos del servidor así como a las reservas. Si la misma opción se configura en las opciones del ámbito, es ésta última la que se aplica, mientras que la opción del servidor se ignora.
Haciendo clic con el botón derecho en Opciones de servidor y seleccionando la opción Configurar opciones en el menú contextual se muestra una ventana que permite configurar la opción deseada.
De este modo, la opción 015 Nombre de dominio DNS permite configurar el nombre del dominio DNS; en nuestro caso Formacion.local.
Las opciones también aparecen en opciones de ámbito y en las opciones de reservas. Opciones de ámbito: se aplican únicamente al ámbito. Cada uno posee sus opciones, las cuales pueden ser diferentes de un ámbito a otro.
No obstante, si se configura una misma opción en las opciones de servidor y de ámbito, la opción de ámbito resulta prioritaria sobre la del servidor. Opciones de reservas: se aplican únicamente a las reservas, cada reserva puede tener opciones diferentes.
3. Reserva de contrato DHCP Las reservas DHCP permiten asegurar que un cliente configurado para recibir un contrato tendrá, sistemáticamente, la misma configuración. Esto resulta muy útil para las impresoras de red que se quieren mantener con un direccionamiento dinámico. Esto permite asegurar que tendrán siempre la misma dirección IP. En caso de que existan varios servidores DHCP en una misma red, la reserva debe crearse de forma duplicada en los demás servidores. La creación de una reserva requiere introducir los siguientes datos: El nombre de la reserva: este campo contiene, por lo general, el nombre del puesto o de la impresora afectada por esta reserva. La dirección IP: indica la dirección que se distribuye al cliente. La dirección MAC: debe indicarse la dirección MAC de la interfaz de red que hace la petición. En la consola DHCP, haga seleccioneReserva nueva.
clic
con
el
botón
derecho
en
Reservas y,
a
continuación,
De este modo, la reserva de la dirección IP para CL8-01 requiere la configuración de la ventanaReserva nueva tal y como se indica a continuación: Nombre de reserva: CL8-01 Dirección IP: 192.168.1.149 Dirección MAC: escriba la dirección MAC de comando ipconfig /allsobre el puesto cliente).
la
máquina
CL8-01
(ejecute
La descripción es un campo opcional. Permite agregar alguna información suplementaria.
el
En el puesto cliente, es preciso ejecutar el comando ipconfig /releaseen una ventana de comandos DOS para liberar el comando DHCP en curso. El comando ipconfig /renewpermite realizar una nueva petición de configuración al servidor. Comprobamos que la dirección IP asignada es la reservada.
La reserva aparece marcada como activa en la consola DHCP.
Una novedad aparecida con Windows Server 2012 es la implementación de filtros en el servicio DHCP.
4. Implementación de filtros Los filtros permiten crear listas verdes y listas de exclusión. La lista verde permite, a todas las interfaces de red cuyas direcciones MAC pertenecen a ella, obtener un contrato DHCP. Está representada por la carpeta Permitir en el nodo Filtros. La lista de exclusión, a diferencia de la lista verde, prohíbe el acceso al servicio a todas las direcciones MAC referenciadas. Está representada por la carpeta Denegar. Esta funcionalidad vuelve más pesada las tareas de administración, puesto que es necesario introducir a mano la dirección MAC de una nueva máquina para que pueda recibir un contrato. Se recomienda crear filtros antes de habilitar la funcionalidad, pues en caso contrario, ninguna máquina de su red podrá solicitar un contrato DHCP.
Por defecto, ambas listas estás deshabilitadas. Para habilitar una de las listas, haga clic con el botón derecho sobre la lista Permitir y, a continuación, seleccione Activar. Realice la misma operación para la lista Denegar.
De este modo, si el contrato se libera sobre el puesto (ipconfig /release) y, a continuación, se renueva (ipconfig /renew), aparece un mensaje de error sobre el puesto informándonos de que el servidor DHCP no ha respondido.
Es, por tanto, necesario crear un nuevo filtro; para ello es preciso hacer clic con el botón derecho enPermitir y, a continuación, seleccionar la opción Nuevo filtro. Escriba la dirección MAC de CL8-01 y una descripción del nuevo filtro.
Una vez agregado, el filtro aparece en el nodo Permitir.
La solicitud se acepta y el puesto recibe una configuración.
Es, evidentemente, posible pasar un filtro de una lista a otra. Si hace clic con el botón derecho sobre el filtro creado anteriormente, verá la opción Mover a denegados. En la carpeta Permitir, haga clic con el botón derecho en el filtro que acaba de crear y, a continuación, seleccione Mover a denegados. Es posible realizar la misma operación para desplazar un filtro desde la lista de exclusión a la lista verde.
La máquina no puede obtener un contrato nuevo. Como ocurría hace un momento, el servidor ya no responde a la máquina.
Base de datos DHCP La base de datos DHCP permite registrar información (dirección MAC…) tras la distribución de un contrato nuevo.
1. Presentación de la base de datos DHCP La base de datos almacena un número ilimitado de registros, el tamaño del archivo depende del número de equipos presentes en la red. Por defecto, se almacena en la carpeta Windows\System32\Dhcp. Esta carpeta contiene varios archivos: Dhcp.mdb: base de datos del servicio DHCP. Posee un motor de tipo Exchange Server JET. Dhcp.tmp: este archivo se utiliza como archivo de intercambio cuando se realiza el mantenimiento de los índices sobre la base de datos. J50.log: permite registrar las transacciones. J50.chk: archivo con los puntos de verificación. Con cada operación (nueva petición, renovación o liberación de contrato), la base de datos se actualiza y se crea una entrada en la base de datos de registro. La información en la base de datos del registro puede encontrarse accediendo clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters.
2. Copia de seguridad y restauración de la base de datos
a
la
Es posible realizar una copia de seguridad de la base de datos de forma manual (copia de seguridad asíncrona) o automática (copia de seguridad síncrona). La copia de seguridad síncrona se realiza por defecto en la carpeta Windows\system32\Dhcp\Backup. Se recomienda mover esta carpeta a otro volumen con el objetivo de que no se elimine cuando se realiza una reinstalación. La copia de seguridad asíncrona se realiza manualmente en el momento deseado. Esta operación requiere, al menos, permisos de administración o un usuario miembro del grupo Administradores de DHCP. Tras la operación de copia de seguridad (síncrona o asíncrona), todos los elementos vinculados con el servidor están incluidos en la copia de seguridad. Encontramos los siguientes elementos: Todos los ámbitos presentes en el servidor Las reservas creadas Los contratos distribuidos Las opciones configuradas Las claves de registro y la información de configuración Tras la ejecución de la operación de restauración (clic con el botón derecho sobre el servidor y, a continuación, Restaurar en el menú contextual), debe seleccionarse la carpeta que contiene la copia de seguridad.
A continuación, se detienen los servicios DHCP y se restablece la base de datos. Como con la copia de seguridad, la operación debe realizarse con permisos de administrador.
3. Reconciliación y desplazamiento de la base de datos La operación de reconciliación permite arreglar ciertos problemas principalmente tras la restauración de la base de datos. En efecto, los contratos DHCP se registran en dos lugares: En la base de datos de forma detallada. En la base de datos de registro de forma resumida. Cuando se realiza una operación de reconciliación, las entradas contenidas en la base de datos y en la base de datos de registro se comparan. Esto permite buscar eventuales incoherencias (entradas
en la base de datos que no están presentes en la base de datos de registro y viceversa). Ejemplo En la base de datos de registro se ha asignado la dirección IP 192.168.1.250, mientras que en la base de datos posee el estado libre. Realizando una reconciliación, se crea la entrada en la base de datos. Seleccionando la opción Reconciliar… en el menú contextual del ámbito (clic con el botón derecho sobre el ámbito deseado), se muestra una ventana. Basta con hacer clic en el botón Comprobarpara ejecutar la verificación. A continuación, se muestra una ventana con el resultado de la operación.
Es posible ejecutar esta operación sobre todos los ámbitos seleccionando la opción Reconciliar todos los ámbitos… en el menú contextual del nodo IPv4. Hemos visto antes que el desplazamiento de la base de datos a otro volumen permite realizar una reinstalación del servidor sin pérdida de datos. En caso de migración del servidor DHCP, es posible utilizar ambas soluciones. Primera solución: se crea cierto número de reservas y exclusiones de direcciones IP. No es apropiado implementar un nuevo ámbito sobre el servidor DHCP y a continuación crear las reservas y exclusiones. Esto puede resultar engorroso y generar errores más o menos inmanejables para el sistema de información. Es, por tanto, necesario realizar una copia de seguridad del antiguo servidor y, a continuación, realizar la restauración sobre el nuevo o desplazar la base de datos sobre otro volumen. Para desplazar esta base de datos es preciso acceder a las propiedades del servidor (clic con el botón derecho sobre el servidor y, a continuación, seleccionar Propiedades en el menú contextual).
El botón Examinar... permite seleccionar otra carpeta.
Tras el reinicio del servicio, se tienen en cuenta los cambios.
La base de datos se ha desplazado correctamente.
Si tras el reinicio del servicio no aparece el ámbito, copie todos los archivos alojados en la carpeta Windows\System32\Dhcp en la nueva carpeta. El servicio debería detenerse y reiniciarse a continuación una vez finalizada la copia.
Segunda solución: no se realiza ninguna reserva en el servidor, o se crea un número muy reducido. La creación de un nuevo ámbito puede resultar abordable. No obstante, esta solución, si se implementa incorrectamente, puede causar grandes inconvenientes en el funcionamiento del sistema de información. En efecto, el nuevo servidor no tiene ninguna información acerca de los rangos DHCP que han sido distribuidos antes de la creación, y existe el riesgo de distribuir direcciones ya atribuidas a un puesto cliente. En este caso es necesario solicitar al servidor DHCP que realice una comprobación antes de atribuir una dirección. En las propiedades del nodo IPv4 (clic con el botón derecho sobre IPv4 y, a continuación,Propiedades), existe una pestaña llamada Opciones avanzadas. Basta con configurar el número de intentos de detección de conflicto que debe realizar el servidor para evitar los inconvenientes ligados a los conflictos de IP.
Se distribuyen nuevos rangos sin riesgo de conflicto IP.
Alta disponibilidad del servicio DHCP El servicio DHCP es un servicio importante en una red informática. En caso de que se detenga, no se asignan más contratos DHCP y las máquinas van perdiendo, progresivamente, acceso a la red. Para evitar esta situación es posible instalar un segundo servidor DHCP y compartir el rango de direcciones IP distribuidas (generalmente el 80% en el primer servidor y el 20% en el segundo). La segunda solución consiste en instalar un clúster DHCP, solución eficaz pero que exige ciertas competencias. Desde la aparición de Windows Server 2012 es posible trabajar con dos servidores DHCP sin tener que montar un clúster. De este modo, existe un servicio DHCP disponible ininterrumpidamente sobre la red. Si alguno de los servidores no se encuentra en línea, las máquinas cliente pueden contactar con el otro servidor. Ambos servidores replican la información de los contratos IP entre ellos, con el objetivo de permitir al otro servidor retomar la responsabilidad de la gestión de las solicitudes de los clientes. En caso de que se configure en modo equilibrio de carga, las solicitudes de los clientes se dirigen a ambos servidores. La conmutación por error DHCP puede contener dos servidores como máximo y ofrece el servicio solo para extensiones IPv4. La implementación de la alta disponibilidad se aborda en la parte práctica de este capítulo.
IPAM IPAM (IP Address Management) es una funcionalidad integrada en los sistemas operativos Windows Server 2012. Ofrece la posibilidad de descubrir, supervisar, auditar y administrar uno o varios direccionamientos IP. IPAM permite, también, realizar la administración y la supervisión de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service). Los siguientes componentes están incluidos en esta funcionalidad: Descubrir automáticamente la infraestructura de direcciones IP: descubre controladores de dominio, servidores DHCP y servidores DNS en el dominio afectado. Visualización, creación de informes y administración personalizada del espacio de direccionamiento IP: ofrece los detalles de seguimiento y de uso detallado de las direcciones IP. Los espacios de direccionamiento IPv4 e IPv6 están organizados por bloques de direcciones IP, por rangos de direcciones IP y por direcciones IP individuales. Auditoría de las modificaciones de configuración del servidor y seguimiento del uso de las direcciones IP: muestra los eventos operacionales del servidor IPAM y DHCP administrado. También se realiza un seguimiento de las direcciones IP, ID de cliente, nombre de host o nombre de usuario. Los eventos del contrato DHCO y los eventos de inicio de sesión de usuario se recogen en los servidores NPS (Network Policy Server), sobre los controladores de dominio y sobre los servidores DHCP. Antes de desplegar la funcionalidad IPAM es necesario pensar qué estrategia de despliegue se quiere escoger. Tenemos a nuestra disposición dos maneras de desplegar, el método distribuido mediante un servidor IPAM en cada sitio de la empresa, o el método centralizado con un servidor para el conjunto de la empresa. IPAM realiza tentativas periódicas de localización de los controladores de dominio, de los servidores DNS y DHCP. Esta operación de localización afecta, evidentemente, a los servidores que se encuentran en el ámbito de las directivas de grupo. Para poder ser gestionadas por IPAM y autorizar el acceso a este último debe realizarse la configuración de los parámetros de seguridad y de los puertos del servidor. La comunicación entre el servidor IPAM y los servidores administrados se realiza mediante WMI o RPC.
1. Especificaciones de IPAM El alcance de los servidores IPAM está limitado únicamente a un único bosque Active Directory. Los servidores que se tienen en cuenta (NPS, DNS y DHCP) deben ejecutar Windows Server 2008 (o superior) y pertenecer al dominio. Algunos elementos de red (WINS - Windows Internet Naming Service, proxy…) no se tienen en cuenta en el servidor IPAM. Desde Windows Server 2012 R2 es posible utilizar una base de datos SQL. Un servidor IPAM puede tener en cuenta 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas DNS). Con la instalación de IPAM, se instalan también las siguientes funcionalidades: Herramientas de administración del servidor remoto: instalación de las herramientas DHCP, DNS y del cliente IPAM que permiten realizar la administración remota de los servidores DHCP, DNS e IPAM. Base de datos interna Windows: base de datos interna que puede instalarse mediante los roles y características internas. Servicio de activación de procesos Windows: elimina la dependencia con el protocolo http generalizando el modelo del proceso IIS. Administración de las directivas de grupo: instala la consola MMC que permite administrar las directivas de grupo.
.NET Framework: instalación de la funcionalidad .NET Framework 4.5.
2. Características de IPAM Una vez instalada la funcionalidad, se crean los siguientes grupos locales: Usuarios IPAM: los miembros tienen la posibilidad de mostrar toda la información del descubrimiento del servidor, así como aquella información asociada al espacio de direccionamiento IP y la administración del servidor. El acceso a la información de seguimiento de las direcciones IP le está prohibido. Administrador IPAM MSM (Multi-Server Management): además de los permisos de usuario IPAM puede realizar tareas de administración del servidor y tareas de administración propias de IPAM. Administradores IPAM ASM (Address Space Management): además de los permisos de usuario IPAM puede realizar tareas de direccionamiento IP y tareas de administración propias de IPAM. Administrador de Auditoría IPAM IP: los miembros de este grupo pueden realizar tareas de administración propias de IPAM así como mostrar la información de seguimiento de la dirección IP. Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y pueden, a su vez, realizar todas las tareas IPAM. Las tareas IPAM se ejecutan, de forma habitual, en función de una periodicidad. Están presentes en el planificador de tareas (Microsoft / Windows / IPAM). DiscoveryTask: permite descubrir de forma automática servidores DC, DHCP y DNS. AddressUtilizationCollectionTask: recoge los datos de uso del espacio de direccionamiento IP para los servidores DHCP. AuditTask: recoge información de auditoría de servidores DHCP, IPAM, NPS y DC así como de los ámbitos DHCP. ConfigurationTask: recoge información de configuración de los servidores DHCP, DNS para ASM y MSM. ServerAvailabilityTask: recupera el estado de los servidores DHCP y DNS. La instalación y configuración de la funcionalidad IPAM se realiza en los trabajos prácticos.
Trabajos prácticos: Instalación y configuración del rol DHCP Los trabajos prácticos consisten en la instalación del servidor DHCP y la funcionalidad IPAM así como su configuración.
1. Agregar y configurar el rol DHCP Objetivo: realizar la instalación del rol DHCP y proceder a su configuración. Máquinas virtuales: AD1 y CL8-01. En AD1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Antes de comenzar, haga clic en Siguiente. Deje marcada la opción Instalación basada características o en roles y, a continuación, haga clic en Siguiente. En Seleccionar servidor de destino, deje AD1 marcado y, a continuación, haga clic en Siguiente. Marque la opción Servidor DHCP y, a característicasen la ventana emergente.
continuación, haga
clic en
el botón
Agregar
Haga clic en Siguiente en la ventana Seleccionar características. Haga clic en Siguiente y, a continuación, en Instalar. Espere a que finalice la instalación y haga clic en Cerrar. En la consola Administrador del servidor, haga clic en el icono que representa una bandera. Haga clic en el enlace Completar configuración de DHCP.
Se abre el asistente de configuración, haga clic en Siguiente. En la ventana Autorización, verifique que se utiliza la cuenta FORMACION\Administrador y, a continuación, haga clic en Confirmar.
Haga clic en Cerrar para cerrar el asistente. Abra la consola DHCP presente en las Herramientas administrativas.
Despliegue ad1.formacion.local en el panel de navegación y, a continuación, realice la misma operación con IPv4. Haga clic con el botón derecho en IPv4 y, a continuación, en el menú contextual, haga clic enNuevo ámbito…. Haga clic en Siguiente en la ventana de Bienvenida. En el campo Nombre, escriba Ámbito Formación y, a continuación, haga clic en Siguiente. Escriba 192.168.1.100 en Dirección IP inicial y, a continuación, 192.168.1.200 en Dirección IP final.
En las ventanas Agregar exclusiones y retraso y Duración de la concesión, haga clic enSiguiente. Marque la opción Configura restas opciones ahora y haga clic en Siguiente. Escriba 192.168.1.254 en el campo Dirección IP. Valide en Agregary Siguiente.
la
información
haciendo
clic
En la ventana Nombre de dominio y servidores DNS, verifique que la dirección IP configurada es192.168.1.10 y, a continuación, haga clic dos veces en Siguiente. En la ventana Activar ámbito, haga clic en Siguiente. Haga clic en Finalizar para cerrar el asistente. Verifique en el equipo CL8-01 el direccionamiento de la tarjeta de red para que esté configurado para Obtener una dirección IP automáticamente.
Marque esta opción si no estuviera marcada.
Utilice el comando
ipconfigpara comprobar la configuración en curso.
Si la dirección configurada es una dirección APIPA (196.254.x.x), realice una nueva petición de contrato mediante el comando ipconfig /renew.
Los contratos distribuidos aparecen en el nodo Concesiones de direcciones de la consola DHCP.
Despliegue Filtros y, a continuación, haga clic con el botón derecho en el nodo Permitir. En el menú contextual, seleccione Habilitar. Repita la misma operación con Denegar. Haga clic en Conjunto de direcciones y, a continuación, haga clic con el botón derecho en el correspondiente a CL8-01. En el menú contextual, seleccione Agregar un filtro y, a continuación,Denegar. Elimine el contrato asignado a CL8-01 y, a continuación, verifique la presencia del equipo en la lista de exclusión.
En CL8-01, abra una ventana de comandos DOS y, a continuación, escriba /release. Escriba
ipconfig /renewpara solicitar un nuevo contrato.
ipconfig
No se devuelve ninguna respuesta al cliente puesto que está incluido en la lista de exclusión.
Deshabilite las listas Permitir y Denegar comando ipconfig /renewen CL8-01.
y,
a
continuación,
vuelva
a
ejecutar
el
2. Implementación de IPAM Objetivo: implementar y configurar la funcionalidad IPAM. Máquinas virtuales: AD1, SV1 y CL8-01. Si no lo estuviera, incluya SV1 en el dominio Formacion.local. En SV1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. IPAM no debe instalarse en un controlador de dominio, SV1 se utiliza para alojar la funcionalidad.
En la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic en Siguiente. Verifique la selección de SV1.Formacion.local y, a continuación, haga clic en Siguiente. En la ventana de selección de características, administración de direcciones IP (IPAM).
marque
la
característica
Servidor
de
Haga clic en el botón Agregar características y, a continuación, en el botón Siguiente. Lance la instalación mediante el botón Instalar. Una vez instalada la funcionalidad, acceda al Administrador del servidor y, a continuación, haga clic en IPAM para mostrar la página de presentación.
Haga clic en el vínculo Aprovisionar el servidor IPAM.
Haga clic en Siguiente en la ventana Antes de comenzar. La elección de la base de datos se va a realizar sobre una base de datos interna. No obstante, en un entorno de producción (y en función el número de equipos), es preferible almacenar la información en una base de datos SQL.
Seleccione un método de aprovisionamiento Basado en la directiva de grupo. En el campo Prefijo del nombre del GPO, escriba SRVIPAM y, a continuación, valide haciendo clic en Siguiente.
Confirme la configuración haciendo clic en Aplicar. El aprovisionamiento está en curso… Verifique, al finalizar, la presencia de un mensaje que indica que El aprovisionamiento IPAM se completó correctamente y, a continuación, haga clic en Cerrar. Haga clic en Configurar detección de servidores.
Haga clic en Agregar para agregar el dominio Formacion.local al ámbito. Configure los roles que quiere descubrir desmarcando aquellos que no desee.
Haga clic en Aceptar. En la ventana INFORMACIÓN GENERAL, haga clic en Iniciar detección de servidores. Haga clic en Más en la banda amarilla con el objetivo de obtener más detalles.
Espere a que finalice la ejecución. Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea.
Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM. El o los servidores tienen el estado especificar enEstado de manejabilidad.
Bloqueado
en
Estado
de
acceso
IPAM
y
Sin
Si no se muestra ningún servidor, haga clic en Actualizar IPv4 (junto al identificador de notificación).
Es, ahora, necesario otorgar a SV1 los permisos para poder administrar los distintos servidores. Los objetos de directiva de grupo se utilizan para autorizar el acceso a los servidores DHCP y DNS. Abra una consola PowerShell como administrador en SV1. Escriba el siguiente comando y, a continuación, presione [Enter]: Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName SRVIPAM -IpamServerFqdn sv1.formacion.local Es posible descargar el script desde la página Información.
Pulse la tecla S y, a continuación, valide presionando la tecla [Enter].
Aparecen nuevas directivas en la consola Administración de directivas de grupo.
La directiva SRVIPAM_DHCP contiene los siguientes parámetros:
Las directivas están vinculadas, por defecto, a la raíz del dominio. Es posible moverlas si fuera necesario.
En la consola de configuración de IPAM, haga clic con el botón derecho en la fila AD1 y, a continuación, seleccione Editar servidor.
Asegúrese de que la opción DHCP está marcada y, a continuación, en la lista desplegable Estado de capacidad de administración, seleccione Administrado.
Haga clic en Aceptar.
Es inútil realizar esta acción en AD2 y AD3 puesto que el rol DHCP está instalado en AD1 y la sección de AD es idéntica para los tres.
En el servidor AD1, abra una ventana de comandos DOS y, a continuación, escriba el comando gpupdate /force. Esto permite aplicar las directivas de grupo creadas anteriormente utilizando el comando PowerShell. Actualice la consola IPAM, el campo Estado de acceso IPAM está, ahora, Desbloqueado. Si no fuera el caso, haga clic con el botón derecho en AD1 y seleccione Actualizar. Pueden necesitarse varios minutos para aplicar la directiva.
En el panel INFORMACIÓN GENERAL, haga administrados.
clic en
Recuperar
Espere a que finalice la recuperación (trabajo en curso…). En el panel de navegación IPAM, haga clic en Bloques de direcciones IP.
datos
de
servidores
Muestre el contenido de la pestaña Detalles de configuración, examine la información mostrada.
La información proveniente del DHCP se recupera correctamente.
Haga clic con el botón derecho sobre el rango de direcciones IP y, a continuación, en el menú contextual, haga clic en Buscar y asignar dirección IP disponible…. Pasados algunos segundos, se propone una dirección IP y, a continuación, se realizan las comprobaciones.
Haga clic en la sección Configuraciones básicas y, a continuación, en el campo Dirección MACescriba la dirección MAC de CL8-01. Seleccione Reservada en el campo Estado de dirección y, a continuación, CL8-01 en el campoPropietario.
Seleccione el menú Reserva de DHCP. En la lista desplegable Nombre del servidor de reserva, seleccione AD1.Formacion.local. Escriba CL8-01 en el campo Nombre de reserva y, a continuación, Ambos en la lista desplegableTipo de reserva. En el campo Id. de cliente, marque la opción Asociar MAC a identificador de cliente.
Haga clic en los botones Aplicar y Agregar. En la lista desplegable Vista actual, seleccione Direcciones IP.
Haga clic con el botón derecho en la entrada creada anteriormente y, a continuación, seleccione la opción Crear reserva DHCP. La reserva se ha creado correctamente en la consola DHCP.
En el puesto CL8-01, renueve el contrato DHCP ejecutando los comandos /releasey, a continuación, ipconfig /renew.
ipconfig
La reserva se ha tomado en cuenta.
3. Alta disponibilidad del servicio DHCP Objetivo: implementar alta disponibilidad para asegurar la continuidad del servicio aun en el caso de que uno de los servidores falle. Máquinas virtuales: AD1 y AD3.
En AD3, abra el Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic en Siguiente. El servidor de destino es AD3.formacion.local, haga clic en Siguiente. Marque la opción Servidor DHCP y, a continuación, haga clic en Agregar características. Haga clic tres veces en Siguiente y, a continuación, en Instalar. La instalación está en curso… Al finalizar la instalación, haga clic en Cerrar. En el Administrador del servidor, haga clic en la bandera y, a continuación, en Completar configuración de DHCP. Haga clic en Siguiente en la ventana Descripción y, a continuación, Confirmar en Autorización. En la interfaz Windows, haga clic en DHCP. Haga doble clic en AD3.formacion.local y, a continuación, en IPv4.
No existe ningún ámbito. En AD1, haga clic en DHCP en las Herramientas administrativas. Haga doble clic en AD1.formacion.local y, a continuación, en IPv4. Haga clic con el botón derecho conmutaciónpor error.
en IPv4 y, a
continuación, haga
clic en
Configurar
Aparece un único ámbito en el DHCP, haga clic en Siguiente en la ventana Introducción a la conmutación por error DHCP.
En la ventana Servidor asociado, haga clic en Agregar servidor. Si AD3.formacion.local no aparece, seleccione el servidor con ayuda del botón Examinar y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para validar el servidor asociado. Escriba P@rtDHCP en el campo Secreto compartido. Modifique el valor del campo Plazo máximo para clientes a 1 minuto. En producción, este retardo sería algo mayor.
Haga clic en Siguiente y, a continuación, en Finalizar. Verifique que las etapas muestran el estado Correcto y, a continuación, haga clic en Cerrar. En AD3, acceda a la consola DHCP, ahora aparece el ámbito.
Haga clic con el botón derecho en IPv4 y, a continuación, seleccione Propiedades. Seleccione la pestaña Conmutación por error.
Haga clic en Editar para visualizar las propiedades que se pueden modificar. Modifique el campo Servidor local para que el porcentaje sea igual a 0. Ejecute un
ipconfig /allen CL8-01.
El servidor DHCP que distribuye el contrato es AD3. Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a continuación,ipconfig /renewen una ventana de comandos DOS y presione la tecla [Enter]. Utilice el comando
ipconfig /allpara visualizar el nuevo valor de dirección IP.
El servidor DHCP que ha distribuido la dirección IP es, efectivamente, AD3. La conmutación por error puede utilizarse, también, en el modo de Espera activa. En AD1, haga clic con el botón derecho en IPv4 y, a continuación, seleccione Propiedades. Seleccione Conmutación por error y, a continuación, haga clic en Editar. Marque la opción Modo de espera activa y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar. Este servidor tiene el rol Activo. El segundo servidor tiene el rol Espera.
Escriba
ipconfig /allen una ventana de comandos del equipo CL8-01.
El servidor DHCP es siempre AD3.formacion.local. Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a continuación,ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter]. Esta operación permite establecer un contrato DHCP utilizando AD1.
En AD1, abra la consola DHCP. Haga clic en AD1.formacion.local, seleccione Todas las tareas y, a continuación, haga clic enDetener. En CL8-01, escriba ipconfig /releasey presione la tecla [Enter] del teclado. Escriba, a continuación, ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter].
El servidor auxiliar ha remplazado al servidor Activo, actualmente fuera de servicio.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el objetivo del protocolo DHCP? 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? 4 ¿En qué momento intenta renovar su contrato el equipo cliente? 5 ¿Por qué utilizar una retransmisión DHCP? 6 ¿Qué contiene un ámbito DHCP? 7 ¿Es posible crear varios ámbitos? 8 ¿Cuál es la utilidad de realizar exclusiones? 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? 11 ¿Cuál es la función de los filtros? 12 ¿Dónde se encuentra el archivo Dhcp.mdb? 13 Tras la distribución de un contrato DHCP, ¿dónde se escribe la información? 14 ¿Qué es la función de conmutación por error en el servidor DHCP? 15 Describa brevemente la funcionalidad IPAM.
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/15
Para superar este capítulo, su puntuación mínima debería ser de 11 sobre 15.
3. Respuestas 1 ¿Cuál es el objetivo del protocolo DHCP? El objetivo del protocolo DHCP es la distribución de configuraciones IP. Permite, de este modo, evitar conflictos de direccionamiento IP. 2 ¿Qué tipo de trama envía el cliente para descubrir el servidor DHCP? El cliente envía una trama DHCP Discover con el objetivo de encontrar un servidor DHCP. Esta trama es de tipo broadcast. 3 ¿Cuáles son los puertos utilizados por el servidor y el cliente DHCP? Se utilizan los puertos UDP 67 y UDP 68. 4 ¿En qué momento intenta renovar su contrato el equipo cliente? El contrato DHCP se asigna al equipo por una duración de x días. Se realizan varios intentos de renovación del contrato. El primero tiene lugar cuando se alcanza el 50% de la duración del contrato. El siguiente, alcanzado el 87,5%, y el último alcanzado el 100%. Una vez expira el
contrato, el puesto no puede acceder a la red puesto que no posee configuración IP. 5 ¿Por qué utilizar una retransmisión DHCP? Un equipo que se encuentre fuera de la red local no puede recibir el contrato DHCP. El DHCP Discover se basa en una trama de tipo broadcast, lo que impide que se intercambie esta información a través de un router. Es, por tanto, necesario instalar un servidor DHCP en cada red local. No obstante, también es posible implementar una retransmisión DHCP que sirve como enlace entre las dos redes locales separadas por un router. 6 ¿Qué contiene un ámbito DHCP? Un ámbito DHCP contiene un pool de direcciones distribuibles pero, también, las reservas y exclusiones configuradas. 7 ¿Es posible crear varios ámbitos? Sí, es posible crear varios ámbitos en el servidor DHCP. 8 ¿Cuál es la utilidad de realizar exclusiones? Tras la configuración del DHCP, se crea un rango de direcciones IP distribuibles. Es posible excluir aquellas direcciones correspondientes a impresoras… De este modo, estas direcciones no se distribuirán. 9 ¿Cuáles son los tres tipos de opciones que pueden configurarse mediante la consola DHCP? Existen tres tipos de opciones presentes en el DHCP, las opciones de servidor, de ámbito o de reserva. De ello se deduce que un ámbito puede poseer opciones diferentes a las del servidor. 10 ¿Cuáles son los parámetros utilizados durante la implementación de una reserva? Tras la implementación de una reserva existen tres parámetros importantes, principalmente la dirección IP y la dirección MAC; el nombre de la reserva, si bien es menos importante que los dos parámetros anteriores, permite conocer muy fácilmente (si la nomenclatura se ha escogido cuidadosamente) el destinatario de la reserva. 11 ¿Cuál es la función de los filtros? Un filtro permite autorizar o no la distribución de configuración IP. Esta seguridad no es óptima, puesto que es posible suplantar la dirección MAC de forma bastante sencilla. 12 ¿Dónde se encuentra el archivo Dhcp.mdb? Este archivo se encuentra en la carpeta C:\Windows\System32\Dhcp. 13 Tras la distribución de un contrato DHCP, ¿dónde se escribe la información? La información se escribe en la base de datos del servidor DHCP y también en la base de datos de registro. En caso de restauración de la base de datos, conviene realizar una reconciliación. 14 ¿Qué es la función de conmutación por error en el servidor DHCP? La conmutación por error permite asegurar una alta disponibilidad en caso de que falle algún servidor. Existen dos modos de trabajo: El modo de equilibrio de carga, que permite repartir la carga de trabajo sobre los dos servidores. El modo de espera activa, que permite tener un servidor activo y otro en espera. Éste se activa en caso de que falle su servidor asociado. 15 Describa brevemente la funcionalidad IPAM. IPAM permite distribuir y auditar los servidores proporcionando la distribución de configuración de red (DHCP, NPS). Permite, a su vez, implementar una reserva IP, la búsqueda de una dirección disponible o la creación de un registro.
Requisitos previos y objetivos 1. Requisitos previos Poseer nociones acerca del funcionamiento del protocolo DNS.
2. Objetivos Configuración del rol DNS. Presentación de los distintos tipos de registros. Administración y mantenimiento del servidor DNS.
Introducción El rol DNS es, junto a Active Directory, un elemento esencial. En efecto, permite la resolución de nombres en direcciones IP. La parada del servicio DNS impediría cualquier resolución y, por tanto, supondría un riesgo de mal funcionamiento a nivel de las aplicaciones que deseen acceder a recursos compartidos (aplicaciones que acceden a una base de datos, por ejemplo).
Instalación de DNS Como con Active Directory o DHCP, DNS es un rol en Windows Server 2012 R2. Existen dos formas de instalarlo: agregar el rol desde la consola Administrador del servidor o realizando una promoción de un servidor como controlador de dominio. DNS (Domain Name System) es un sistema basado en una base de datos distribuida y jerárquica. Esta última está separada de manera lógica. De este modo, los nombres públicos (jlopez.es) son accesibles por cualquiera, sea cual sea su localización geográfica. Es, naturalmente, más fácil recordar un nombre de dominio o un nombre de equipo que una dirección IP, además IPv6 favorece todavía más el uso de un nombre en lugar de una dirección IP.
1. Visión general del espacio de nombres DNS DNS está basado en un sistema jerárquico. El servidor raíz permite redirigir las consultas hacia otros DNS justo por encima. Se representa mediante un punto. Debajo de él se encuentran los distintos dominios de primer nivel (es, net, com…). Cada uno de estos dominios está administrado por un organismo (ESNIC para los dominios .es), mientras que IANA (Internet Assigned Numbers Authority) gestiona, por su lado, los servidores raíz. En un segundo nivel se encuentran los nombres de dominio que están reservados para empresas o particulares (jlopez, ediciones-eni). Estos nombres de se reservan en un proveedor de acceso que puede, a su vez, albergar su servidor web o, simplemente, proveerle un nombre de dominio. En cada nivel se encuentran servidores DNS distintos, cada uno con autoridad en su zona. Los servidores raíz contienen, únicamente, la dirección y el nombre de los servidores de primer nivel. Ocurre igual con todos los servidores de cada nivel. Es posible, para una empresa o un particular, agregar, al nombre de dominio que ha reservado, registros o subdominios (por ejemplo mail.jlopez.es, que permite transferir todo el tráfico de correo electrónico a un router, en particular el correspondiente a la IP pública).
Cada servidor DNS puede resolver únicamente aquellos registros de su zona. El servidor de la zona ES puede resolver el registro jlopez, pero no sabe resolver el nombre de dominio shop.jlopez.es.
2. Separación entre DNS privado/público Un sistema DNS está compuesto de dos partes, el DNS privado, que tiene como objetivo resolver nombres DNS en una red local, y el servidor DNS sobre las redes públicas que resuelve los nombres DNS accesibles sobre Internet (servidores web…).
Es, por tanto, necesario escoger la política deseada para ambos servidores. El espacio de nombres interno (privado) puede, de este modo, ser idéntico al espacio de nombres externo (público). Cada servidor posee sus propios registros. Esta solución es válida para redes de tamaño restringido. Es habitual encontrar un espacio de nombres interno diferente al externo. El espacio de nombres se encuentra, de este modo, completamente separado en dos partes bien distintas. Por último, una solución híbrida consiste en definir a nivel de los DNS privados subdominios del espacio público.
3. Despliegue de DNS Tras la implementación de una solución DNS es importante tener en cuenta ciertos parámetros. Es necesario, en primer lugar, conocer el número de zonas DNS configuradas en un servidor así como el número aproximado de registros (con el objetivo de fraccionar, si fuera necesario, los registros en varias zonas). A continuación es, también, necesario conocer el número de servidores que se quiere instalar y configurar, en función, evidentemente, del número de clientes que se comunicarán con los servidores. Puede resultar útil instalar un servidor suplementario en el caso de que el número de puestos cliente sea importante, con el objetivo de poder evitar la sobrecarga de los servidores. Además, agregar un servidor extra permite, también, asegurar la continuidad del servicio si el primer servidor sufriera cualquier fallo en su funcionamiento. Es necesario conocer la ubicación de los servidores, es frecuente encontrar, como mínimo, un servidor DNS por localización (si la red de la empresa se extendiera en cuatro agencias, es decir cuatro redes locales vinculadas mediante enlaces WAN, sería prudente tener, al menos, cuatro servidores DNS). Esto está, evidentemente, sujeto al tamaño del sitio. Por último, pueden presentarse otras incógnitas, tales como la integración o no con Active Directory. Tras la creación de una zona, el almacenamiento de ésta puede realizarse de dos maneras: Uso de un archivo de texto: el conjunto de registros se almacena en un archivo. Dicho archivo puede, evidentemente, modificarse mediante un editor de texto. Active Directory: los registros DNS están contenidos en la base de datos de Active Directory. Para realizar una modificación es necesario acceder a la consola DNS. No obstante la integración de la zona en Active Directory requiere que el rol DNS esté instalado sobre el controlador de dominio, sin lo cual es imposible realizar la operación. Esta última opción ofrece un importante beneficio a los administradores. En efecto, además de asegurar las actualizaciones dinámicas, la replicación se realiza al mismo tiempo que la de Active Directory. Los administradores no tienen, por tanto, que administrar nada más.
Configuración del rol Una vez instalado, es necesario realizar a la configuración del rol. En el caso de una instalación a partir de la promoción del servidor como controlador de dominio, la creación de la zona se realiza automáticamente.
1. Componentes del servidor Una solución DNS está formada por varios componentes. Los servidores DNS, para comenzar, tienen como función responder a las consultas de sus clientes, pero también alojar y administrar una o varias zonas. Éstas contienen varios registros de recursos. Los servidores DNS públicos gestionan, a su vez, zonas y registros de recursos. No obstante, estos últimos se refieren únicamente a recursos que deben estar accesibles desde Internet. Por último, los clientes DNS tienen la función de enviar al servidor DNS las distintas peticiones de resolución.
2. Consultas realizadas por el DNS Una consulta permite solicitar una resolución de nombres a un servidor DNS. De este modo, éste es capaz de ofrecer dos tipos de respuestas, aquellas con autoridad y aquellas sin autoridad. Un servidor provee una respuesta con autoridad si la consulta se refiere a un recurso presente en una zona sobre la que tiene autoridad. En caso contrario, no puede responder al cliente. Utiliza, en tal caso, un reenviador o indicaciones de raíces que permiten obtener dicha respuesta. Pueden utilizarse dos tipos de peticiones, iterativas o recursivas. Con las consultas iterativas, el puesto cliente envía a su servidor DNS una consulta para resolver el nombre www.jlopez.es, por ejemplo. El servidor consulta al servidor raíz. Éste la redirige al servidor con autoridad en la zona ES. Puede, a su vez, conocer la dirección IP del servidor DNS con autoridad en la zona jlopez. La consulta de esta última permite resolver el nombre www.jlopez.es. El servidor DNS interno responde a la consulta que ha recibido anteriormente de su cliente. Con las consultas recursivas, el equipo cliente desea resolver el nombre www.jlopez.es, y envía la petición a su servidor DNS. Al no tener autoridad en la zona jlopez.es, el servidor necesita un servidor externo para realizar la resolución. La solicitud se reenvía, entonces, al reenviador configurado por el administrador (el servidor DNS de FAI que posee una caché más amplia, por ejemplo). Si no tiene la respuesta en caché, el servidor DNS de FAI realiza una consulta iterativa y, a continuación, transmite la respuesta al servidor que le ha realizado la petición. Este último puede, ahora, responder a su cliente. La siguiente captura de pantalla muestra la configuración de un reenviador.
Para toda aquella consulta sobre la que el servidor no tenga autoridad, se utiliza el reenviador. En ciertos casos (aprobación de bosque AD, etc.) es necesario que la petición de resolución que se envía a otro servidor DNS se redirija en función del nombre de dominio (para el dominio eni.es podría enviarse al servidor SRVDNS1, por ejemplo). El reenviador condicional permite realizar esta modificación y, de este modo, dirigir las consultas hacia el servidor adecuado si la condición (nombre de dominio) se valida.
3. Registrar recursos en el servidor DNS Es posible crear varios tipos de registros en el servidor DNS, los cuales permiten resolver un nombre de equipo, una dirección IP o, simplemente, encontrar un controlador de dominio, un servidor de nombres o un servidor de mensajería. La siguiente lista muestra los registros más habituales: Registros A y AAAA (Address Record): permiten establecer la correspondencia entre el nombre de un puesto y su dirección IPv4. El registro AAAA permite resolver el nombre de un puesto en su dirección IPv6. CNAME (Canonical Nam e): se crea un alias hacia el nombre de otro puesto. El puesto afectado está accesible mediante su nombre o mediante su alias. MX (Mail Exchange): define los servidores de correo para el dominio. NS (Nam e Serv er): define los servidores de nombres del dominio. SRV: permite definir un servidor específico para una aplicación, en particular para el reparto de carga.
PTR (Pointer Record): asociando una dirección IP a un registro de nombre de dominio se realiza la operación opuesta a un registro de tipo A. Se crea este registro en la zona de búsqueda inversa.
SOA (Start Of Authority): el registro ofrece información general sobre la zona (servidor principal, e-mail de contacto, período de expiración…).
4. Funcionamiento del servidor de caché El almacenamiento en caché supone un ahorro importante en el tiempo de respuesta, y las búsquedas DNS se ven mejoradas. Este almacenamiento en caché proviene de la resolución de un nombre, en efecto, cuando el servidor responde a su cliente, la información se envía y aloja en caché. Un servidor de caché no contiene ningún dato, este tipo de servidor puede servir de reenviador. Un cliente alberga, a su vez, datos en caché. Para administrar esta información pueden utilizarse dos comandos: ipconfig /displaydnspermite visualizar la caché, ipconfig /flushdnselimina
la información contenida en la caché.
Configuración de las zonas DNS Las zonas DNS son puntos esenciales en una arquitectura DNS. Estas últimas contienen todos los registros necesarios para el correcto funcionamiento del dominio AD.
1. Visión general de las zonas DNS Es posible crear, en un servidor DNS, tres tipos de zona: una zona primaria, una zona secundaria o una zona de stub. La zona primaria posee permisos de lectura y de escritura sobre el conjunto de los registros que contiene. Este tipo de zona puede integrarse en Active Directory o, simplemente, estar contenida en un archivo de texto. En el caso de que la zona no esté integrada con Active Directory es necesario configurar la transferencia de zona. La zona secundaria es una simple copia de una zona primaria. Es imposible escribir sobre este tipo de zona, al ser de solo lectura. Es imposible integrarla en Active Directory es obligatorio realizar una transferencia de zona. Una zona de stub es una copia de una zona, no obstante esta última contiene únicamente registros necesarios para la identificación del servidor DNS que tiene autoridad sobre la zona que acaba de agregarse. Veamos un ejemplo: el servidor AD1 tiene autoridad sobre la zona Formacion.local. El servidor SV1 tiene autoridad sobre la zona Formacion.local y Jlopez.local.
Se crea una zona de stub para poder conocer el o los servidores que contienen los registros del dominio Jlopez.local. Una vez el servidor AD1 recibe una petición de resolución para el dominio Jlopez.local, la solicitud se redirige hacia el o los servidores DNS configurados en la zona de stub. De este modo puede llevarse a cabo la resolución. La integración de la zona en Active Directory requiere la instalación del rol DNS sobre un controlador de dominio. Este tipo de zona aporta ciertos beneficios en la gestión del rol DNS. Actualización con varios maestros: a diferencia de los servidores que alojan zonas primarias y secundarias, las zonas integradas en Active Directory pueden ser modificadas por el conjunto de servidores. En el caso de un sitio remoto, los registros pueden actualizarse sin tener que conectarse con el servidor remoto.
Replicación de zona DNS: la replicación de zona integrada en Active Directory afecta, únicamente, al atributo modificado. También existe una diferencia en el proceso de replicación. Se realiza una transferencia de zona entre las zonas estándar, mientras que las zonas integradas en Active Directory se replican mediante el controlador de dominio. Actualización dinámica: la integración en Active Directory asegura una mejor seguridad impidiendo cualquier modificación fraudulenta de los registros.
2. Zonas de búsqueda directa y zonas de búsqueda inversa Las zonas de búsqueda directa permiten resolver un nombre en una dirección IP. Es posible encontrar registros de tipo A, CNAME, SRV… La zona de búsqueda inversa permite resolver una dirección IP en un nombre Es posible encontrar registros de tipo SOA, NS y, principalmente, PTR. Las zonas de búsqueda inversa no se crean por defecto, aunque se recomienda crearlas. Algunas pasarelas de seguridad utilizan la zona de búsqueda inversa para confirmar que la dirección IP que envía los mensajes está asociada correctamente con un dominio.
3. Delegación de zona DNS La delegación permite realizar el enlace entre las distintas capas DNS, esta operación consiste en identificar el servidor DNS responsable del dominio de nivel inferior. La delegación de una zona ofrece, a su vez, la posibilidad a otra persona de administrar la zona en cuestión. La carga de red puede verse, así, reducida, y los clientes podrán dirigir sus solicitudes al otro servidor.
Configuración de la transferencia de zona Una transferencia de zona consiste en replicar una zona de un servidor a otro. Esto se realiza con el objetivo de poder realizar resoluciones en mejores condiciones.
1. Presentación de la transferencia de zona Se utiliza una transferencia de zona cuando las zonas no se encuentras en Active Directory. Se realiza, generalmente, entre una zona primaria y una zona secundaria. Existen varios tipos de transferencia de zona: la transferencia de zona integral, que consiste en copiar una zona entera de un servidor a otro o la transferencia de zona incremental, que permite replicar únicamente aquellos registros modificados. El servidor maestro avisa a los servidores secundarios mediante un mensaje DNS Notify, a continuación los servidores secundarios consultan al servidor principal para obtener la actualización.
Cuando la zona está integrada en Active Directory, ésta se replica al mismo tiempo que el directorio Active Directory. Se habla, en este caso, de replicación con varios maestros, todos los servidores DNS pueden realizar modificaciones.
2. Protección de la transferencia de zona Es importante proteger nuestro servidor DNS, el cual contiene información acerca de los distintos controladores de dominio… Para asegurar una transferencia de zona hacía un servidor autorizado es
importante escribir en las propiedades la lista de servidores hacia las que se autoriza la replicación. Por defecto, no deshabilitadas.
es
posible
realizar la
transferencia
de
zona, estando, por defecto,
Para asegurar una protección tras una transferencia de zona a través de la red es posible utilizar protocolos de tipo IPsec (Internet Protocol Security). La protección de datos a través de la red requiere intercambiar datos confidenciales a través del DNS; en caso contrario, bastaría con proteger únicamente la transferencia de zona.
Administración y resolución de errores del servidor DNS El servicio DNS debe supervisarse para asegurar el correcto funcionamiento de dicho rol. Cualquier error en el mismo podría provocar una incidencia en el funcionamiento de las aplicaciones y demás roles.
Presentación de las características de caducidad y borrado Si no se realiza ninguna limpieza en un servidor DNS, éste terminará, rápidamente, lleno de registros obsoletos, lo cual puede provocar resoluciones incorrectas y, por tanto, algún problema derivado. Para evitarlo es posible utilizar varios componentes. El tiempo de vida (TTL, Time To Live), el borrado y la caducidad forman parte de estos componentes. El TTL indica un valor durante el que el registro DNS será válido, siendo imposible borrarlo. La caducidad es el mecanismo que permite mantener la coherencia de datos en el servidor DNS. Los datos que hayan alcanzado su fecha de caducidad se eliminarán. Por último, el borrado es la operación que consiste en eliminar estos registros que han alcanzado su fecha de caducidad. Tras agregar un registro en una zona principal, se le agrega un timestamp para el proceso de bloqueo. Cuando un administrador agrega un registro, este timestamp es igual a 0. De este modo, es imposible aplicar una caducidad a un registro estático. La caducidad y el borrado deben habilitarse previamente.
Trabajos prácticos: Instalación y configuración del rol DNS Los trabajos prácticos permiten instalar, crear y configurar el rol DNS.
1. Configuración del registro de los recursos Objetivo: realizar la creación del registro y, a continuación, la creación de una zona de búsqueda inversa. Máquina virtual: AD1. Abra una sesión en AD1 como administrador y, a continuación, abra la consola Administrador de DNS. Despliegue AD1, Zonas de búsqueda directa y, a continuación, Formacion.local. Haga clic con el botón derecho en Formacion.local y, a continuación, en Nuevo host (A o AAAA). Escriba SRVMAIL en el campo Nombre y, a continuación, 192.168.1.17 en el campo Dirección IP.
Haga clic en Agregar host y, a continuación, en Aceptar en la ventana que aparece. Haga clic con el botón derecho en Formacion.local y, a continuación, haga clic en Nuevo intercambio de correo (MX). Escriba SRVMAIL en el campo Host o dominio secundario y, a continuación,SRVMAIL.formacion.local en el campo Nombre de dominio completo (FQDN) del servidor de correo electrónico.
Haga clic con el botón seleccioneNueva zona.
derecho
en
Zonas
de
búsqueda
inversa y,
a
continuación,
Haga clic en Siguiente en la ventana de bienvenida y, a continuación, seleccione Zona principal. Valide las opciones haciendo clic en Siguiente. En las ventanas Ámbito de replicación de la zona de Active Directory y Zona de búsqueda inversa IPv4 deje las opciones por defecto y, a continuación, haga clic en Siguiente. Escriba 192.168.1 en el campo Id. de red y, por último, haca clic en Siguiente. Solo están autorizadas las actualizaciones dinámicas seguras, deje la opción por defecto y, a continuación, haga clic en Siguiente. Haga clic en Finalizar para realizar la creación de la zona.
2. Caducidad y borrado de los registros Objetivo: configurar las funcionalidades de tiempo de vida, borrado y caducidad con el fin de asegurar la eliminación de registros obsoletos. Máquina virtual: AD1. En AD1, abra la consola Administrador de DNS. Haga clic con el botón derecho en AD1 y, a continuación, en seleccioneEstablecer caducidad/borrado para todas las zonas.
el menú
contextual,
Marque la opción Borrar registros de los recursos obsoletos y, a continuación, haga clic enAceptar.
Se abre una ventana, marque Aplicar esta configuración a las zonas integradas en Active Directory existentes. El valor 7 días es un valor por defecto que puede modificarse.
Haga clic con el botón derecho en AD1 y, a continuación, seleccione Propiedades en el menú contextual. Haga clic en la pestaña Opciones avanzadas y, a continuación, marque la opción Habilitar la limpieza automática de los registros obsoletos.
El valor del borrado debe coincidir con el configurado para la caducidad.
Haga clic en Aceptar. Ahora están configuradas las características de caducidad y borrado.
3. Configuración de un reenviador condicional Objetivo: creación de un reenviador con el objetivo de redirigir aquellas consultas relativas al dominio Formatica.msft hacia el dominio SV1. Máquinas virtuales: AD1, SV1. En SV1, abra una sesión como administrador de dominio. Abra la consola Centro de redes y recursos compartidos. Haga clic en Cambiar configuración del adaptador. Haga clic con el botón derecho sobre la tarjeta de red y, a continuación, seleccione la opciónPropiedades en el menú contextual. Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4). Modifique la configuración IP de la máquina para que posea su dirección IP en el campo Servidor DNS preferido. La dirección del servidor AD1 debe configurarse en el campo Servidor DNS alternativo.
Haga clic en Aceptar. Abra la consola Administrador del servidor y, a continuación, haga clic en el enlace Agregar roles y características. Se abre el asistente, haga clic en Siguiente. En las ventanas Seleccionar tipo de instalación y Seleccionar servidor de destino, haga clic enSiguiente dejando el valor por defecto.
Marque el rol Servidor DNS y, a continuación, haga clic en Agregar características. Haga clic tres veces en Siguiente y, a continuación, en Instalar. Cierre la ventana una vez termine la operación. Abra la consola DNS desde las Herramientas administrativas y, a continuación, despliegue SV1. Haga clic con el botón derecho en las Zonas de búsqueda directa y, a continuación, seleccioneNueva zona. En la ventana de bienvenida, haga clic en Siguiente. Compruebe que está marcada la Zona principal y, a continuación, haga clic en Siguiente. En el campo Nombre de zona, escriba Formatica.msft y, a continuación, haga clic en Siguiente. La zona no puede integrarse en Active Directory, pues el servidor no es un controlador de dominio. Se crea, entonces, un archivo, el cual contiene todos los registros de la zona. Haga clic en Siguiente en la ventana Archivo de zona.
Deje marcada la opción No permitir las actualizaciones dinámicas y, a continuación, haga clic enSiguiente. Haga clic en Finalizar para realizar la creación de la zona. Despliegue la zona Formatica.msft y, a continuación, haga clic con el botón derecho sobre la zona. En el menú contextual, seleccione Nuevo host (A o AAAA). Escriba www en el campo Nombre y, a continuación, 192.168.1.97 en el campo Dirección IP.
Haga clic en Agregar host y, a continuación, en Finalizar. En AD1, abra la consola Administrador de DNS y, a continuación, haga clic con el botón derecho en Reenviadores condicionales. En el menú contextual, seleccione Nuevo reenviador condicional. En el campo Dominio DNS escriba Formatica.msft y, a continuación, 192.168.1.12 enDirecciones IP de los servidores maestros. Marque la opción Almacenar este reenviador condicional en Active Directory y replicarlo como sigue. Deje el valor por defecto en la lista desplegable y, a continuación, haga clic en Aceptar.
Abra una ventana de comandos DOS y, a continuación, escriba
ping www.formatica.msft.
La resolución se realiza correctamente, no se obtiene ninguna respuesta dado que la dirección indicada no existe en la maqueta.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el rol del protocolo DNS? 2 ¿Por qué se dice que el sistema DNS es jerárquico? 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? 4 ¿Es posible almacenar zonas DNS? 5 ¿Cuáles son los requisitos previos para unir una zona a AD? 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory? 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? 9 Enumere los distintos tipos de zona que es posible crear. 10 ¿Sobre qué propiedad de un registro se basa el borrado?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/10
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.
3. Respuestas 1 ¿Cuál es el rol del protocolo DNS? El protocolo DNS tiene como rol la resolución de nombres en direcciones IP y viceversa. 2 ¿Por qué se dice que el sistema DNS es jerárquico? DNS se compone de varios niveles, y cada uno de ellos se encarga de realizar la resolución. Es posible encontrar, por ejemplo, la raíz que posee en su base de datos la dirección IP de los servidores de primer nivel (es, com…). Cada nivel posee, por tanto, una parte del nombre DNS. 3 ¿Se encuentra la misma información en un DNS privado que en un DNS público? No, un servidor DNS privado contiene los registros que permiten resolver nombres de recursos locales al dominio mientras que el DNS público contiene, por su lado, registros de recursos que están accesibles desde el exterior. 4 ¿Es posible almacenar zonas DNS? Es posible almacenar zonas DNS en dos lugares: en un archivo de texto (C:\Windows\System32\dns) o en el directorio Active Directory. 5 ¿Cuáles son los requisitos previos para unir una zona a AD? El registro de una zona en Active Directory requiere que la zona sea de tipo primario. Es necesario, a su vez, que el servidor esté instalado sobre un controlador de dominio. 6 ¿Cuáles son las ventajas de integrar la zona en Active Directory?
La integración en Active Directory permite una replicación al mismo tiempo que Active Directory (además de transferir la zona) y, a su vez, proteger las actualizaciones dinámicas. 7 ¿Qué dos componentes utiliza el servidor DNS cuando no puede resolver un nombre? Cuando un servidor no puede resolver un nombre puede, en función de la configuración realizada por el administrador, utilizar el o los reenviador(es) o las indicaciones de las raíces. 8 ¿Qué tipos de registros pueden crearse en un servidor DNS? Es posible crear varios registros. Los hosts (A o AAAA) permiten resolver un nombre en una dirección IP. Los punteros (PTR) permiten resolver una dirección IP en un nombre. Los registros de tipo CNAME ofrecen la posibilidad de implementar alias hacia un equipo o servidor. Por último, los registros de tipo NS permiten definir los distintos servidores DNS. 9 Enumere los distintos tipos de zona que es posible crear. Las zonas principales permiten al servidor tener permisos de lectura y de escritura en la zona. Este tipo de zona puede integrarse en Active Directory. Una zona secundaria no puede modificarse, los registros son de solo lectura y es necesario realizar una transferencia de zona para proceder a la actualización de los registros. Este tipo de zona no puede integrarse en Active Directory. La zona de stub no contiene más que ciertos registros (A, NS y SOA) de una zona, lo que evita un acoplamiento completo de la zona. 10 ¿Sobre qué propiedad de un registro se basa el borrado? Para realizar el borrado, un servidor DNS utiliza el timestamp con el objetivo de saber si el registro está obsoleto.
Requisitos previos y objetivos 1. Requisitos previos Tener ciertas nociones acerca del despliegue de sistemas operativos. Conocer el funcionamiento de un boot en PXE.
2. Objetivos Presentación de las funciones de los servicios de implementación de Windows. Definir los componentes y los beneficios de este rol. Conocer las herramientas que permiten mantener y administrar WDS.
Introducción WDS (Windows Deployment Services, Servicios de implementación de Windows) permite realizar el despliegue de sistemas operativos a través de la red. Este rol permite instalar un puesto sin utilizar medios físicos (DVD, disco duro USB…).
Los servicios de implementación de Windows Los servicios de implementación de Windows están presentes en los sistemas operativos de servidor desde Windows Server 2003 SP2. Permiten realizar la instalación de sistemas operativos desde la red. Las personas responsables del despliegue ven, de este modo, simplificadas sus tareas, de modo que la instalación de los equipos (servidor o puesto de trabajo) no requieren recursos físicos. Además, esta solución puede automatizarse parcial o totalmente con el objetivo de asegurar una correcta configuración de los equipos. Se utilizan, para ello, varias tecnologías: WinPE (Windows Preinstallation Environment): se carga un archivo WIM tras el inicio de la estación en modo PXE, lo que permite a los equipos acceder a un recurso (imagen de instalación de Windows 8.1, recurso de implementación MDT…). Archivo WIM: con Windows Vista ha hecho aparición un nuevo formato llamado archivo WIM. Ofrece una multitud de ventajas, entre ellas la independencia respecto al hardware (una imagen puede, por tanto, aplicarse a varias configuraciones). Un archivo WIM puede contener, a su vez, varios archivos WIM, cada uno de ellos con un ID único (el primer archivo posee el ID 1, el segundo el ID 2…). Con el objetivo de reducir el tamaño de estos archivos de imagen es posible aplicar una compresión más o menos potente. Además, es posible operar una modificación sin conexión (agregar un dispositivo, un paquete…). Por último, algo muy importante, la aplicación de una imagen (despliegue del archivo WIM) no destruye eventuales datos que pudiera haber presentes en la partición. PXE: hace ya varios años que se utiliza la tecnología PXE, la cual consiste en arrancar un equipo en la red. Esta solución se utiliza tras el despliegue de estaciones de trabajo o en el caso de clientes ligeros. Es posible implementar varios sistemas operativos de Microsoft mediante este rol: Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2. Windows XP, Vista SP1, 7, 8, 8.1.
1. Los componentes de WDS Los servicios de implementación de Windows poseen varios componentes.
Pre-Boot Execution Server Este componente provee las funcionalidades necesarias para el arranque PXE de las estaciones de trabajo. Recibe las consultas PXE entrantes y responde a las distintas máquinas.
Cliente de Servicios de implementación de Windows El cliente de Servicios de implementación de Windows permite establecer la conexión y escoger la imagen que se desea cargar. Se utiliza una interfaz gráfica en la mayoría de acciones.
Componentes de servidor El servidor comprende, a su vez, un servidor TFTP (Trivial File Transfer Protocol). Éste permite a los distintos clientes realizar la carga en memoria de la imagen tras el arranque del equipo. Es posible encontrar, en estos componentes, la carpeta compartida utilizada por WDS. Esta carpeta contiene las distintas imágenes de arranque e instalación, controladores, archivos de configuración…
Motor de multidifusión El servicio de implementación de Windows realiza el despliegue de las distintas imágenes a través de la red. Ésta se vuelve, entonces, un recurso muy solicitado, pues las imágenes tienen, por lo general, un tamaño considerable de varios gigabytes. Con el objetivo de reducir el tráfico de red es
posible utilizar la transmisión por multidifusión. Con este tipo de transmisión, ciertos switches pueden verse afectados por la transmisión a varios destinatarios. En este caso conviene anular la transmisión multicast, lo que va a generar la comunicación de x tramas idénticas a x destinatarios diferentes (consumo mayor de ancho de banda). Es posible realizar la transmisión por multidifusión o multicast de dos formas diferentes: Autocast: la transmisión arranca una vez el primer cliente realiza la petición. El servidor reenvía la misma imagen cuando se conecta un cliente, de modo que si se suma un segundo equipo a la transmisión en curso, la parte faltante se recupera tras el reinicio de la transmisión (al final de la primera transmisión). Scheduled-cast: con este tipo de despliegue es posible utilizar dos tipos de criterios. El primero, en base al número de clientes conectados, consiste en iniciar la transmisión una vez el número de clientes conectados alcanza cierto umbral definido por el administrador (por ejemplo: inicio de la transmisión una vez se conectan 10 puestos cliente). El segundo consiste en configurar en el servidor una hora de inicio para la transmisión de la imagen en modo multicast. A continuación, es necesario conectar los equipos cliente al grupo de transmisión y esperar la hora de inicio de la distribución. La transmisión arranca automáticamente en la fecha y hora deseadas. La transmisión por multidifusión ofrece más información (tasa de transferencia, uso del procesador…) al administrador que una transmisión en modo unicast.
2. ¿Por qué utilizar WDS? Los servicios de implementación de Windows pueden ayudar a una empresa a reducir el tiempo de instalación de estos equipos. Los fuentes (DVD…) ya no son necesarios. Es posible desplegar un mayor número de equipos en el mismo espacio de tiempo. La automatización del despliegue permite, a su vez, reducir el coste total de la operación de despliegue. Además, automatizando las distintas tareas el administrador se asegura la homogeneidad de la configuración de los equipos.
Implementación del rol WDS La implementación y configuración del rol WDS no suponen una gran complejidad. Es, no obstante, necesario plantearse las preguntas adecuadas: ¿En qué servidor se desea instalar el rol WDS? ¿Se respetan los requisitos previos? ¿Dónde se almacena el recurso compartido de distribución necesario para el funcionamiento del rol? ¿A qué equipos debe responder (clientes conocidos, clientes desconocidos)? ¿Los roles WDS y DHCP se encuentran en el mismo servidor? ¿Es posible automatizar ciertas etapas? Si sí, ¿cuáles? El rol WDS exige varios requisitos previos, entre ellos un dominio de Active Directory y un servidor DNS. Tras el inicio de los equipos en modo PXE, se les atribuye una dirección IP. Para ello debe instalarse y configurarse un servidor DHCP. Preste atención, no obstante, a que los roles WDS y DHCP utilizan ambos el puerto UDP 67. En el caso de que se instalen ambos roles en el mismo servidor es necesario realizar cierta configuración en el servidor de implementación. Esta configuración se realiza en el trabajo práctico.
La partición debe instalarse con el sistema de archivos NTFS. Una vez aclaradas estas cuestiones y validados los requisitos previos, es posible realizar la instalación de WDS.
1. Instalación y configuración del servidor La instalación del rol se realiza desde la consola Administrador del servidor. Durante la instalación, es posible instalar dos servicios de rol: El servidor de despliegue El servidor de transporte
Una vez terminada la instalación, es posible realizar la configuración, la cual se opera directamente desde la consola Servicios de implementación de Windows. Se abre un asistente de guía al administrador que inicia la etapa de configuración. De este modo, es necesario seleccionar la ubicación de la carpeta compartida. Si los servicios DHCP y WDS están presentes en el mismo servidor, es necesario marcar las opciones que permiten modificar el puerto de escucha (UDP 67) y agregar la opción 60.
A continuación, es posible configurar el tipo de respuesta. Existen tres opciones posibles: No responder a ningún equipo cliente. Responder solo a los equipos cliente conocidos. El servidor responde únicamente a los clientes conocidos, lo cual requiere una acción manual por parte del administrador (este punto se aborda más adelante en este capítulo). Responder a todos los equipos cliente (conocidos y desconocidos). El servidor responde a todos los equipos, no obstante es posible implementar una aprobación del administrador antes de enviar cualquier respuesta.
A continuación es posible configurar el modo de respuesta.
2. Gestión de los despliegues Con el objetivo de desplegar un puesto mediante los servicios de implementación de Windows, es necesario agregar una imagen de arranque. Consiste en una imagen WinPE, que se utiliza para instalar la imagen de instalación, capturar las particiones de sistema de un equipo… El archivo boot.wim es una imagen WinPE presente en el DVD que provee Microsoft (en la carpeta fuentes). Es necesario importarla en el nodo Imágenes de arranque de la consola Servicios de implementación de Windows. A continuación, es preciso realizar la importación de imágenes de instalación (imagen que contiene carpetas y archivos). Es posible automatizar una o varias etapas durante el despliegue. Puede pulsarse la tecla [F12] para validar el arranque PXE sobre el puesto. También es posible modificar este comportamiento y evitar tener que pulsar esta tecla… Para los puestos que no tienen en cuenta el boot PXE, es posible crear desde la consola una imagen de descubrimiento. Además, WDS ofrece la posibilidad de capturar una partición. A diferencia de la herramienta ImageX, que permite capturar datos de cualquier partición, la imagen de captura permite realizar únicamente la captura de la partición de sistema donde se ha ejecutado un sysprep. La gestión del despliegue engloba, a su vez, otros dos puntos. La transmisión de datos y de controladores. Por defecto, la transmisión de datos se realiza en modo unicast, es preferible, en el caso del despliegue de muchos puestos, implementar la transmisión por multidifusión (multicast). La administración de controladores consiste en importar paquetes de controladores que pueden ponerse a disposición de los equipos durante el despliegue. La importación puede realizarse si y solamente si los controladores tienen el formato inf. Es posible utilizar filtros para limitar la cantidad de controladores ofrecidos a una categoría de puesto.
Un ejemplo de filtro: Modelo, Versión del sistema operativo…
Administración del servicio WDS Como acabamos de ver, la consola Servicios de implementación de Windows permite realizar la mayor parte de acciones, no obstante es posible interactuar con el servidor por línea de comandos. Para ello, se utiliza la instrucción WDSUTIL. Es posible agregar una imagen de arranque por línea de comandos: WDSUTIL /Verbose /Progress /Add-Image /ImageFile: /ImageType:Boot La imagen de captura puede crearse mediante el siguiente comando: WDSUTIL /New-CaptureImage /Image: /Architecture:{x86|ia64|x64} /DestinationImage /FilePath: Por último, es posible crear la imagen de instalación utilizando el comando: WDSUTIL /Add-ImageGroup /ImageGroup: WDSUTIL /Verbose /Progress /Add-Image /ImageFile: /ImageType:Install La gestión del menú de selección de imágenes es un aspecto importante. Este menú puede contener un máximo de 13 imágenes (es frecuente ver un menú con un total de 4 o 5 imágenes). Es posible configurar tres tipos de respuesta en el servidor, de entre las que seleccionamos la de responder a los clientes conocidos. Para ello, el administrador debe agregar el dispositivo en la base de datos del servidor WDS. Esta operación se realiza mediante el siguiente comando: WDSUTIL /Add-Device /Device: /ID: Si bien resulta mucho más segura, esta opción puede resultar algo molesta si existen muchos puestos que deben desplegarse. La transmisión por multidifusión puede, a su vez, configurarse por línea de comandos. Para configurar una transmisión de tipo Autocast, se utiliza el siguiente comando: WDSUTIL /New-MulticastTransmission /Image: /FriendlyName: /ImageType:Install /ImageGroup: /TransmissionType:AutoCast Es posible configurar la transmisión en modo Scheduled-Cast mediante el siguiente comando: WDSUTIL /New-MulticastTransmission /Image: /FriendlyName: /ImageType:Install /ImageGroup: /TransmissionType:ScheduledCast [/Time:][/Clients:]
Automatización del despliegue Es posible automatizar cuatro etapas del despliegue. La etapa Arranque PXE es la primera de las cuatro. Esta etapa permite configurar varios parámetros, entre ellos la respuesta que se envía a los clientes o el comportamiento de la tecla [F12] (continuar siempre con el arranque PXE). También es posible automatizar la imagen seleccionada en el arranque. El puesto carga automáticamente esta imagen, lo cual puede presentar problemas si existe más de una imagen disponible en el servidor. El despliegue de un sistema operativo requiere una autenticación, que puede automatizarse para evitar tener que introducir las credenciales con cada despliegue.
Por último, es posible automatizar las últimas etapas del despliegue (nombre del equipo, clave de
licencia, creación de usuarios…). A diferencia de las etapas anteriores, esta información está contenida en un archivo de respuestas diferente. Puede crearse con ayuda de Windows ADK y es idéntico al que se utiliza para automatizar la instalación con DVD.
Trabajos prácticos: Despliegue con WDS Estos trabajos prácticos permiten configurar la interfaz de usuario basándose en directivas de grupo.
1. Instalación y configuración de los servicios de implementación de Windows Objetivo: instalar y configurar el rol WDS en el servidor AD1. Máquina virtual: AD1. En AD1, inicie una sesión como administrador y, a continuación, abra la consola Administrador del servidor. Una vez terminada la actualización, haga clic en Agregar roles y características. En la ventana Antes de comenzar, haga clic en Siguiente. La instalación se basa en un rol, deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic dos veces en Siguiente. Seleccione la opción Servicios de implementación de Windows y, a continuación, haga clic enAgregar características en la ventana emergente. A continuación, haga clic en Siguiente.
Haga clic cuatro veces en Siguiente y, a continuación, en el botón Instalar. La instalación está en curso… Haga clic en Cerrar una vez terminada la instalación y, a continuación, en las Herramientas administrativas, haga clic en Servicios de implementación de Windows.
Despliegue el nodo Servidores enAD1.Formacion.local.
y,
a
continuación,
haga
clic
con
el
botón
derecho
En el menú contextual, seleccione la opción Configurar el servidor. Haga clic en Siguiente en la ventana Antes de comenzar. Seleccione la opción de instalación Integrado en Active Directory y, a continuación, haga clic enSiguiente. Es preferible ubicar la carpeta de instalación en una segunda partición, con el objetivo de evitar la pérdida de toda la configuración tras la reinstalación del servidor. Reemplace la unidad C por la unidad D en el campo Ruta de acceso.
Seleccione Responder a todos los equipos cliente (conocidos y desconocidos) continuación, marque la opción que permite exigir la aprobación del administrador.
y, a
Valide la información haciendo clic en Siguiente. La configuración está en curso… Desmarque la opción Agregar imágenes al servidor ahora y, a continuación, haga clic enFinalizar.
2. Importación de las imágenes utilizadas para el despliegue Objetivo: importar las imágenes WIM necesarias para el despliegue. Máquinas virtuales: AD1 y CL8-01. Conecte la ISO de Windows 8.1 a la máquina virtual AD1. La conexión se realiza mediante el menú medios (lector DVD - Insertar un disco).
Haga clic con el botón derecho en la carpeta Imágenes de arranque y, a continuación, haga clic en Agregar imagen de arranque. En la ventana Archivo de imagen, haga clic en el botón Examinar y, a continuación, seleccione el archivo boot.wim presente en la carpeta de fuentes del DVD.
Haga clic en Siguiente y, a continuación, escriba Instalación Windows 8.1 en los camposNombre de la imagen y Descripción de la imagen presentes en la ventana Metadatos de imagen. Haga clic dos veces en Siguiente y, a continuación, en Finalizar. Haga clic con el botón derecho en la carpeta Imágenes de instalación y, a continuación, en el menú contextual, seleccione Agregar imagen de instalación. Escriba Windows 8.1 en el campo Crear un grupo de imágenes denominado.
Haga clic en el botón Examinar en la ventana Archivo de imagen y, a continuación, seleccione el archivo install.wim en la carpeta de fuentes del DVD. Haga clic tres veces en Siguiente y, a continuación, en Finalizar. La imagen ha sido importada y puede desplegarse.
3. Configuración del servidor de despliegue Objetivo: configurar la política de nombres de equipos, así como la unidad organizativa sobre la que se almacenan las cuentas de equipo. También es posible configurar el mensaje de espera de validación. Máquina virtual: AD1. En la consola Servicios de despliegue de Windows, haga clic con el botón derecho en el nombre del servidor (AD1.Formacion.local) y, a continuación, en el menú contextual, haga clic enPropiedades. Seleccione la pestaña AD DS y, a continuación, en el campo Formato, escriba PC-FORM%02#.
En Ubicación de la cuenta de equipo, seleccione La siguiente ubicación:, y, a continuación, haga clic en Examinar. Despliegue los nodos Formación y Madrid, haga clic en Equipos y, a continuación, en Aceptar. Haga clic en Aplicar y, a continuación, en Aceptar. Abra una consola PowerShell y, a continuación, ejecute el comando: Wdsutil /set-server /autoaddpolicy /Message:"La autorización de despliegue del puesto está en curso, espere por favor". El script puede descargarse desde la página Información.
Se ha modificado el mensaje que aparece durante la espera de la aprobación.
4. Agregar y configurar un grupo de controladores Objetivo: agregar al servidor WDS controladores que podrán utilizarse durante el despliegue. Máquina virtual: AD1. En AD1, abra la consola Servicios de implementación de Windows. Despliegue los nodos Servidores y, a continuación, AD1.Formacion.local. Haga clic con el botón derecho en Controladores y, a continuación, seleccione Agregar grupo de controladores. En el campo, escriba Dell Latitude E5640 y, a continuación, haga clic en Siguiente.
En la ventana Filtros de hardware de cliente, haga clic en el botón Agregar.
Seleccione los criterios siguientes y haga clic en Agregar y, a continuación, en Aceptar. Tipo de filtro: Fabricante Operador: Igual a Valor: DELL
El filtro implementado permite ofrecer los controladores únicamente a equipos DELL.
Es posible implementar otros filtros. Además, es posible utilizar el grupo DriverGroup1, que ofrece la ventaja de que no posee filtros (los controladores se ponen a disposición de todas las máquinas del parque). Haga clic dos veces en Siguiente y, a continuación, deje la opción por defecto en Paquetes que se van a instalar.
Haga clic en Finalizar para crear el grupo de controladores. Hace falta importar los controladores en formato INF. Para realizar el resto del trabajo práctico, es necesario realizar la exportación de los controladores presentes en su equipo. Tiene la posibilidad de importar los controladores que desee. Haga clic con el botón derecho en el nodo Controladores en la consola Servicios de implementación de Windows y, a continuación, en el menú contextual seleccione Agregar paquete de controladores. En la ventana Ubicación del paquete de controladores, haga clic en Examinar y, a continuación, seleccione un archivo inf.
La segunda opción consiste en indicar un nombre de carpeta para recuperar el conjunto de controladores contenidos en ella.
Haga clic en Siguiente hasta llegar a la ventana Grupos de controladores. En ella, seleccione la opción Seleccionar un grupo de controladores existente y seleccione Dell Latitude E5640 en la lista desplegable.
Haga clic en Siguiente y, a continuación, valide las demás ventanas sin realizar ninguna modificación. El paquete de controladores se ha importado y puede utilizarse en aquellos equipos que respeten la condición indicada (modelo de máquina).
5. Despliegue de imágenes en los puestos cliente Objetivo: creación e instalación de un nuevo puesto Hyper-V. Máquina virtual: AD1 En la consola Administrador seleccioneMáquina virtual….
de
Hyper-V,
haga
clic
en
Nuevo
y,
En la ventana Antes de comenzar, haga clic en Siguiente. En el campo Nombre, escriba CL8-03 y, a continuación, haga clic en Siguiente.
a
continuación,
En la ventana que permite seleccionar la generación, seleccione Generación 2 y, a continuación, haga clic en Siguiente. Asigne 1024 MB de memoria RAM para el equipo escribiendo 1024 en el campo Memoria de inicio. Se recomienda asignar, como mínimo, 1024 MB de RAM, siendo 2048 el valor ideal.
En la ventana Configurar funciones de red, seleccione el mismo conmutador virtual que en las demás máquinas virtuales y, a continuación, haga clic en Siguiente. En la ventana Conectar disco duro virtual, escriba el tamaño deseado para el disco duro y, a continuación, haga clic en Siguiente. Seleccione la opción Instalar un sistema operativo desde un servidor de instalación en red y, a continuación, haga clic en Siguiente. Esta opción permite agregar una tarjeta de red heredada, capaz de realizar un boot PXE.
Haga clic en Finalizar y, a continuación, arranque el equipo. Presione la tecla [F12] para iniciar la máquina en PXE. El servidor espera, ahora, la aprobación para responder a su cliente.
En la consola Servicios de implementación de Windows, haga clic en Dispositivos pendientes. Si el cliente no aparece, actualice.
Haga clic con el botón derecho en la fila correspondiente a la solicitud del cliente y a continuación, en el menú contextual, haga clic en Aprobar. Espere a que termine de cargar la imagen y, a continuación, haga clic en Siguiente en la ventana de selección de idioma. Es necesario autenticarse, escriba Formacion\administrador (contraseña: Pa$$w0rd) y, a continuación, haga clic en Siguiente. En las ventanas de selección de imagen y de partición del equipo, haga clic en Siguiente. La instalación está en curso… Una vez terminada la instalación, haga clic en Siguiente en la ventana Región e idioma y, a continuación, en el botón Acepto los términos de licencia para el uso de Windows. En el campo Nombre de PC, escriba CL8-03 y, a continuación, haga clic en Siguiente.
Haga clic en Utilizar configuración rápida y, a continuación, en el enlace Iniciar sesión sin una cuenta de Microsoft. Seleccione Cuenta local y configure la cuenta tal y como se indica a continuación: Nombre de usuario: Mantenimiento Contraseña: Pa$$w0rd Indicio de contraseña: P Haga clic en Terminar para validar la información aportada. El despliegue finaliza. Más adelante, en un trabajo práctico, veremos la instalación y configuración de forma automática.
6. Captura de un puesto de referencia Objetivo: capturar CL8-03 para crear una imagen de referencia que permita instalar otros puestos. Máquinas virtuales: AD1 y CL8-03. En CL8-03, abra la consola Administración de equipos (haga clic con el botón derecho enEquipos y, a continuación, Administrar). Despliegue el nodo Usuarios y grupos locales y, a continuación, haga doble clic en Usuarios. Acceda a las propiedades de la cuenta de administrador y, a continuación, desmarque la opciónLa cuenta está deshabilitada. Haga clic con el botón derecho en Administrador y, a continuación, seleccione la opción Definir
contraseña. Haga clic en Continuar en la ventana de advertencia y, a continuación, escriba Pa$$w0rd en el campo Nueva contraseña. Confirme al contraseña y, a continuación, haga clic dos veces en Aceptar. Reinicie el equipo y conéctese como administrador. Desde la consola Administración de equipos, acceda al nodo Usuarios y grupos locales y, a continuación, haga doble clic en Usuarios. Elimine la cuenta Mantenimiento. Abra el explorador de Windows y, a continuación, acceda a la carpeta Sysprep presente enc:\windows\system32. Haga doble clic en Sysprep.exe y, a continuación, marque la opción Generalizar. En la lista desplegable Opciones de apagado, seleccione Apagar. Haga clic en Aceptar. El equipo se detiene automáticamente. En la consola Servicios de implementación de Windows en AD1, haga clic en Imágenes de arranque.
Haga clic con el botón derecho en la imagen que acaba de importar y, a continuación, seleccione la opción Crear imagen de captura en el menú contextual. Escriba Imagen de captura en los campos Nombre de la imagen y Descripción de la imagen. Haga clic en el botón carpetad:\RemoteInstall\Images.
Examinar
y,
a
continuación,
seleccione
la
La carpeta RemoteInstall es la carpeta de trabajo de WDS, la cual se crea durante la configuración del servidor. Consulte el primer trabajo práctico para conocer la ruta exacta.
Escriba IMGCAPT en el campo Nombre y, a continuación, haga clic en Abrir.
Haga clic en Siguiente para validar la información.
En la ventana Progreso de la tarea, espere a que finalice la operación de creación y, a continuación, marque la opción Agregar una imagen al servidor de implementación de Windows. Haga clic en Finalizar. En el asistente que se abre, haga clic tres veces en Siguiente y, a continuación, en Finalizar. Inicie el puesto CL8-03 desde la red. La aprobación se ha hecho anteriormente, por lo que no es necesario aprobar de nuevo al puesto. En la etapa de selección de imágenes, seleccione Imagen de captura y, a continuación, presione [Enter].
La imagen se carga… En la ventana de bienvenida, haga clic en Siguiente. En la lista desplegable, seleccione D:. Sólo se muestran aquellas particiones en las que se ha ejecutado un sysprep.
En los campos Nombre de imagen y Descripción de la imagen, escriba Imagen REF Windows 8.1.
En la ventana Ubicación de imagen nueva, haga clic en Examinar. Seleccione la partición D: (partición Windows) y, a continuación, cree el archivo IMG-REF en la raíz. Marque la opción Cargar imagen en un servidor de Servicios de implementación de Windows. En el campo Nombre del servidor, escriba AD1 y, a continuación, haga clic en Conectar. Se abre una ventana de autenticación, escriba Formacion\administrador y, a continuación, la contraseña Pa$$w0rd. Seleccione Windows 8.1 en la lista desplegable Nombre del grupo de imágenes. Haga clic en Siguiente y, a continuación, espere a que finalice la captura. Haga clic en Finalizar una vez terminada la captura. La imagen está presente en el servidor.
Ahora es posible desplegar la imagen de referencia en los demás puestos.
7. Automatización del despliegue Objetivo: automatizar completamente una instalación mediante archivos de respuestas. Máquinas virtuales: AD1, SV2 y CL8-03. Uno de los dos archivos de respuestas se crea mediante la herramienta WSIM (Windows System Image Manager). Esta herramienta se encuentra en el Windows ADK, en la siguiente página:http://www.microsoft.com/es-es/download/details.aspx?id=39982 Si la máquina virtual no tiene acceso a Internet, es posible descargar el conjunto de fuentes en el equipo físico y, a continuación, utilizar la red para transferirla sobre la máquina virtual SV2. También es posible crear un archivo ISO.
Si no lo hubiera hecho, una SV2 al dominio Formacion.local. Inicie una sesión comando adksetup.
como
Formacion\administrador
y,
a
continuación,
ejecute
el
En la ventana Especificar la ubicación, haga clic en Siguiente. Haga clic en Siguiente y, a continuación, en Aceptar en las ventanas siguientes. Por último, en la ventana Seleccione las características que desea incluir en la instalación, desmarque todo a excepción de la opción Herramientas de implementación.
Haga clic en Instalación para ejecutar la instalación. Una vez finalizada la instalación, haga clic en Cerrar. Conecte a SV2 la ISO de Windows 8.1. Copie el archivo install.wim, presente en la carpeta de fuentes del DVD, en la partición del sistema. En la interfaz de Windows, haga clic en Administrador de instalación. En Imagen Windows (abajo a la izquierda), haga clic con el botón derecho en Seleccionar una imagen Windows. Seleccione el archivo install.wim copiado anteriormente en la raíz de la partición de sistema. Haga clic en Sí en la ventana que solicita la creación del archivo de catálogo (clg).
Al cabo de algunos minutos, se muestran los componentes. En el panel central del Archivo de respuesta, haga clic con el botón derecho en Crear o abrir un archivo de respuesta y, a continuación, seleccione Nuevo archivo de respuesta.
Haga clic con el botón derecho en amd64_Microsoft-Windows-International-Core_neutral y, a continuación, haga clic en Agregar a la fase 7 oobe. Haga clic con el botón derecho en amd64_Microsoft-Windows-Shell-Setup_neutral y, a continuación, haga clic en Agregar a la fase 7 oobe. Despliegue el nodo amd64_Microsoft-Windows-international-Core y configure los campos tal y como se muestra a continuación: InputLocale: es-ES SystemLocale: es-ES UILanguage: es-ES UILanguageFallback: es-ES UserLocale: es-ES Haga clic en amd64_Microsoft-Windows-Shell-Setup y escriba Romance Standard Time en el parámetro Time Zone. Despliegue el nodo amd64_Microsoft-Windows-Shell-Setup y haga clic en OOBE. Fije los valores de los parámetros: HideEULAPage: True HideLocalAccountScreen: True HideOnlineAccountScreens: True NetworkLocation: Work ProtectYourPC: 1
Despliegue el nodo UserAccounts, haga clic en AdministratorPassword y, a continuación, en el campo Value, escriba Pa$$w0rd. Haga clic con el botón derecho en LocalAccounts y seleccione la opción Insertar nuevo "LocalAccount" en el menú contextual.
Configure los parámetros tal y como se indica a continuación: Description: Cuenta de mantenimiento DisplayName: Mantenimiento Group: Administradores Name: Mantenimiento Despliegue Password y, a continuación, escriba Pa$$w0rd en el campo Value. Haga clic en Archivo y, a continuación, en Guardar archivo de respuesta como. Escriba \\AD1 en el campo Nombre del archivo y, a continuación, presione [Enter]. Haga doble clic en el recurso compartido REMINST y, a continuación, en WdsClientUnattend. Escriba oobe en el campo Nombre y, a continuación, haga clic en Guardar. Es posible descargar el archivo de respuestas desde la página Información.
En AD1, abra la consola Servicios de implementación de Windows y, a continuación, haga clic en Dispositivos preconfigurados de Active Directory. La cuenta de implementación creada anteriormente está presente. Si no fuera el caso, actualice la vista.
Haga clic con el botón derecho sobre la cuenta de equipo presente y, a continuación, seleccionePropiedades. Seleccione la pestaña Arranque y, a continuación, haga clic en el botón Seleccionar a la derecha del campo Servidor de referencia. Escriba AD1 y, a continuación, haga clic en Comprobar nombres y en Aceptar. Haga clic en el botón Seleccionar situado a la derecha del campo Imagen de arranque. Seleccione Instalación de Windows 8.1 y, a continuación, haga clic en Aceptar. Esta imagen es el archivo boot.wim que se ha importado del primer trabajo práctico.
Seleccione la pestaña Instalación desatendida de cliente y, a continuación, haga clic en Crear nuevo archivo. Seleccione Español (España) en la lista desplegable Idioma del programa de instalación. En Credenciales, escriba administrador en usuario, Formacion en dominioy Pa$$w0rd en contraseña.
el
campo
nombre
de
Marque la opción Especificar la imagen de instalación y, a continuación, haga clic en el botónSeleccionar. Seleccione Windows 8.1 Enterprise Evaluation y, a continuación, haga clic en Aceptar.
Seleccione Español (España) en la lista desplegable Idioma. CL8-03 ya ejecuta un sistema operativo, está compuesto por dos particiones (la partición de sistema y la partición de 350 MB reservada al sistema). Modifique el valor del Identificador de la partición y escriba 2.
Haga clic en Guardar y, a continuación, seleccione la pestaña Permisos para unirse. Haga clic en Configurar usuario y, a continuación, en Seleccionar. Escriba administrador y, a continuación, haga clic en Comprobar nombres. Haga clic en Aceptar y, a continuación, marque la opción Permisos totales. Haga clic en Aceptar para validar todas las modificaciones realizadas en la ventana Propiedades del dispositivo. En la consola Servicios de implementación de Windows, haga clic en Imágenes de instalacióny, a continuación, en Windows 8.1. Acceda a las propiedades de la imagen Windows 8.1 Enterprise Evaluation y, a continuación, marque la opción Permitir que la imagen se instale en el modo de instalación desatendida. Haga clic en el botón Seleccionar archivo y, a continuación, con ayuda del botón Examinar, seleccione el archivo de respuestas oobe.xml creado anteriormente.
Haga clic dos veces en Aceptar. Arranque CL8-03 en la red. Presione la tecla [F12] para iniciar el boot PXE. Seleccione la imagen Instalación Windows 8.1. Es posible automatizar la acción de la tecla [F12] así como la imagen de arranque mediante la ventana Propiedades del dispositivo.
La instalación se lleva a cabo sin interacción.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Con qué sistema operativo apareció WDS? 2 ¿Cuál es la utilidad de WDS? 3 Presente, en pocas palabras, WinPE. 4 ¿Dónde se almacenan las distintas imágenes presentes en los servicios de implementación de Windows? 5 Describa el principio del Autocast. 6 Describa el principio del Scheduled-cast. 7 ¿Qué acción debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? ¿Por qué? 8 Explique los tres tipos de respuestas que puede realizar el servidor WDS. 9 ¿Qué ejecutable permite realizar una gestión del rol por línea de comandos? 10 ¿Cuáles son las tareas que es posible automatizar mediante Dispositivos preconfigurados de Active Directory?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/10
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.
3. Respuestas 1 ¿Con qué sistema operativo apareció WDS? WDS apareció con Windows Server 2003 SP2. 2 ¿Cuál es la utilidad de WDS? WDS permite realizar el despliegue de archivos WIM personalizados o presentes en los DVD proporcionados por Microsoft a través de la red. 3 Presente, en pocas palabras, WinPE. WinPE es un sistema que permite a los equipos acceder al servidor WDS. Este sistema está compuesto por un archivo WIM que se carga en los equipos tras su arranque a través de la red. 4 ¿Dónde se almacenan las distintas imágenes presentes en los servicios de implementación de Windows? Todas las imágenes, archivos de respuestas, etc. se almacenan en una carpeta compartida llamada RemoteInstall. Se recomienda ubicarla en una partición diferente a la del sistema. 5 Describa el principio del Autocast. El Autocast consiste en iniciar la transmisión multicast desde que el primer cliente realiza la petición. Las eventuales deltas faltantes se recuperan, en los demás clientes, una vez finalice la
transmisión. 6 Describa el principio del Scheduled-cast. El Scheduled-cast consiste en iniciar la transmisión multicast en función de un criterio (número de solicitudes) o en función de una hora de inicio. 7 ¿Qué acción debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? ¿Por qué? Los servicios DHCP y WDS utilizan, ambos, el puerto UDP 67, por lo que resulta necesario en este caso solicitar a WDS que cambie el puerto de escucha (no escuchar en el puerto 67) y agregar en DHCP la opción 60 pxe client. 8 Explique los tres tipos de respuestas que puede realizar el servidor WDS. La primera respuesta, No responder a ningún equipo cliente, consiste en solicitar al servidor de implementación que no responda a ningún equipo cliente. La opción Responder solo a los equipos cliente conocidos requiere crear a mano las cuentas de máquina de las distintas estaciones a desplegar. Por último, la opción Responder a todos los equipos cliente (conocidos y desconocidos) permite evitar al administrador tener que introducir los datos manualmente. Para proteger esta opción es posible exigir una aprobación por parte del administrador. Sin dicha autorización, el servidor no responde a ningún cliente. 9 ¿Qué ejecutable permite realizar una gestión del rol por línea de comandos? El ejecutable WDSUTIL permite configurar y administrar el servidor WDS por línea de comandos. 10 ¿Cuáles son las tareas que es posible automatizar mediante Dispositivos preconfigurados de Active Directory? Es posible automatizar varias acciones que requieren el archivo de arranque y de instalación, la política relativa a tener que pulsar la tecla [F12], los idiomas de instalación (español, inglés…) o el Identificador del disco y de la partición sobre los que se desea realizar la instalación.
Requisitos previos y Objetivos 1. Requisitos previos Poseer conocimientos acerca del protocolo VPN. Tener nociones sobre DirectAccess.
2. Objetivos Configuración de una infraestructura de red. Presentación de los métodos de autenticación. Presentación y configuración del acceso VPN.
Introducción En nuestros días, el acceso remoto es algo habitual, y numerosas personas trabajan desde casa y se conectan a la empresa mediante una conexión VPN.
Componentes de una infraestructura de acceso de red Una infraestructura de acceso de red contiene varios componentes. Encontramos un servidor VPN que permite crear un túnel a través de Internet. El usuario puede, de este modo, conectarse de manera remota a la red de la empresa y trabajar como si estuviera conectado a la red física. El servidor AD DS (Active Directory) garantiza la autenticación cuando algún usuario intenta conectarse de manera remota. Existe una entidad emisora de certificados (rol AD CS - Active Directory Certificates Services) que asegura el despliegue y gestión de los certificados necesarios para realizar la autenticación y la conexión a la red. Se requiere, a su vez, la asignación de un contrato DHCP para poder acceder a los datos, y el servidor DHCP tiene como función entregar dicho contrato cuando se acepta una conexión remota entrante. Es posible proteger esta conexión entrante asegurando el estado de salud de los equipos (antivirus habilitado y actualizado, firewall habilitado…). Para ello, debe instalarse un servidor NAP.
1. Presentación del rol Servicios de acceso y directivas de redes El rol Servicios de acceso y directivas de redes provee los componentes necesarios para asegurar la conectividad de red. Además de validar el estado de salud del equipo, es posible instalar un servidor RADIUS (802.1x). Éste protege la conexión VPN o Wi-Fi utilizando una autenticación basada en un certificado o una contraseña. Es necesario, para ello, utilizar clientes (componentes de red, conexión Wi-Fi…) RADIUS. Es conveniente comprobar que se soporta esta norma antes de comprar cualquier material hardware.
El acceso remoto se gestiona mediante el rol Acceso remoto. Éste permite establecer la conexión utilizando una de las dos tecnologías siguientes: Acceso VPN: este tipo de conexión se establece a través de una red pública (Internet). Se crea un túnel entre los dos puntos asegurando una conexión segura entre ambos. Es posible, a su vez, utilizar este tipo de conexión para enlazar las distintas sedes de la empresa. Cada una permite, de este modo, acceder a los recursos de red de la otra. DirectAccess: a diferencia del acceso VPN, que requiere que el usuario establezca manualmente la conexión, DirectAccess realiza la conexión a la red de la empresa sin intervención alguna por parte del usuario. Además de la consulta de páginas de Internet, el ancho de banda utilizado no es el de la empresa sino el del usuario. Esto permite ahorrar en ancho de banda de Internet de la empresa. Un router lógico puede, a su vez, configurarse para vincular dos redes diferentes. Esto tiene la misma función que un router hardware. Es, por tanto, posible implementar la traducción NAT (Network Address Translation) que permite compartir la conexión a Internet en el interior de la red utilizando un direccionamiento privado (RFC 1918).
2. Autenticación y autorización de red En una red informática, la autenticación y la autorización son dos puntos diferentes. La autenticación consiste en verificar la información (nombre de usuario y contraseña) enviados a los servidores VPN. Este envío lo realiza un cliente, la información puede estar cifrada o no. La autorización es el hecho de autorizar una conexión entrante una vez realizada la autenticación. Es, por tanto, posible que la autenticación funcione sin que la conexión esté autorizada, en cuyo caso la conexión no se establecerá. La autorización se verifica mediante las propiedades de la cuenta de usuario y las directivas de acceso remoto. No obstante, en caso de utilizar un servidor RADIUS, éste tiene como función realizar la autenticación y la autorización.
3. Métodos de autenticación Los métodos de autenticación se negocian, por lo general, una vez establecida la conexión. Es posible utilizar varios métodos diferentes: PAP: el protocolo PAP (Password Authentication Protocol) es uno de los protocolos menos seguros, puesto que utiliza contraseñas sin cifrar. Este último se utiliza si no se puede negociar ningún método seguro. Ofrece, no obstante, la ventaja de que tiene en cuenta sistemas operativos de cliente antiguos que no permiten utilizar un método más seguro. CHAP (Challenge Handshake Authentication Protocol): este protocolo es de tipo pregunta/respuesta. La respuesta utiliza el protocolo MD5 (protocolo de hash) para cifrar la respuesta enviada. MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol): este protocolo utiliza una contraseña cifrada para asegurar la autenticación. EAP (Extensible Authentication Protocol): el modelo de autenticación se negocia entre el cliente y el servidor (RADIUS o servidor de acceso remoto). Es posible que este protocolo utilice certificados digitales para asegurar la autenticación.
4. Visión general de la PKI Una PKI (Public Key Infrastructure - infraestructura de clave pública) permite asegurar los datos o la comunicación. La solución contiene varios componentes necesarios para el funcionamiento del rol. Una entidad emisora de certificados permite emitir y administrar un certificado digital. Éste puede asignarse a un usuario, a un equipo o a un servicio. Un certificado digital permite, como un pasaporte o un carnet de identidad, justificar la identidad de un objeto (usuario, etc.). Contiene claves necesarias para realizar la autenticación. Los modelos de certificado permiten emitir un certificado copiando las distintas propiedades del modelo. Emitido con una duración previa definida, puede resultar necesario revocar el certificado antes de su fecha de expiración. La lista de revocación permite enumerar los certificados revocados y prohibir su uso. Desde Windows Server 2008, el servicio de rol OCSP (Online Certificate Status Protocol) permite verificar la revocación de un certificado sin que el usuario tenga que descargar una lista completa de revocaciones.
5. Integración de DHCP con enrutamiento y acceso remoto La integración del protocolo DHCP permite asignar un contrato DHCP tras la conexión remota. Es, no obstante, posible configurar un pool de direcciones sobre el servidor VPN para realizar la distribución de la configuración de red (el servidor DHCP deja de ser necesario para las conexiones remotas). El servidor de acceso remoto realiza una petición de diez direcciones cuya atribución realiza un servidor DHCP. La primera dirección la utiliza el propio servidor para su interfaz mientras que las nueve restantes sirven para los clientes que se conectan. Tras la desconexión de la sesión remota, el contrato se libera. No obstante, si se utilizan las diez direcciones, se provee otro lote de diez direcciones. Es posible asignar las opciones únicamente a los equipos que se conectan de manera remota utilizando la clase de enrutamiento y de acceso remoto (es preciso crear una directiva en el DHCP).
Configuración del acceso VPN Una solución VPN está compuesta por un servidor y, también, por un cliente VPN. Ambos se comunican mediante un protocolo de tunneling.
1. Las conexiones VPN En una conexión VPN los datos están cifrados para evitar que puedan ser interceptados a lo largo de su camino por la red de Internet. Para realizar el descifrado de los mismos es necesario poseer la clave de cifrado. Esto hace que sea imposible que cualquier persona que intercepte la trama sea capaz de descifrarla. Es posible establecer una conexión VPN en dos escenarios diferentes. El acceso remoto permite a los usuarios trabajar desde fuera de la empresa y acceder a los datos como si estuvieran en ella. La conexión de sitio a sitio consiste en configurar una conexión VPN entre dos routers. De este modo, dos sedes separadas geográficamente se verían enlazadas en la misma red. Como con el acceso remoto, los datos están cifrados, lo que permite asegurar la confidencialidad de los datos.
2. Protocolos utilizados para el túnel VPN Existen varios protocolos (PPTP, L2TP o SSTP) que pueden utilizarse en la configuración del acceso remoto. El protocolo PPTP encapsula las tramas PPP en datagramas IP. A continuación, el túnel se gestiona mediante una conexión TCP (Transmission Control Protocol). El cifrado se realiza mediante el protocolo MPPE (Microsoft Point-to-Point Encryption). Las claves de cifrado se generan mediante el proceso de autenticación MS-CHAPv2 o EAP-TLS. L2TP es una combinación de dos protocolos (PPTP y L2F). No obstante, a diferencia de PPTP, no se utiliza el cifrado MPPE, pues se reemplaza por IPsec en modo transporte. Se habla, así, de L2TP/IPsec. No obstante, es necesario que tanto el servidor como el cliente interpreten ambos protocolos. Los clientes deben ejecutar, como mínimo, Windows XP y los servidores Windows Server 2003. La encapsulación se realiza en dos capas: Encapsulación L2TP Encapsulación IPsec Los algoritmos AES (Advanced Encryption Standard) o 3DES (Triple Data Encryption Standard) se utilizan para cifrar los mensajes L2TP. La clave de cifrado se genera mediante IKE. SSTP es el protocolo de tunneling que aparece con Windows Server 2008. Este último presenta la ventaja de utilizar el protocolo HTTPS (puerto 443). Este puerto está, a menudo, abierto en los firewall, lo que permite al cliente poder conectarse en la mayoría de casos. Las tramas PPP se encapsulan en tramas IP. El cifrado se realiza mediante el protocolo SSL.
3. Presentación de la funcionalidad VPN Reconnect Desde Windows Server 2008 R2, la funcionalidad VPN Reconnect permite asegurar que la conexión se restablece si hubiera sido interrumpida. La reconexión se realiza automáticamente sin que el usuario tenga que realizar ninguna acción. En el caso de una conexión VPN establecida, por ejemplo, en un tren, la conexión se podría cortar cuando el tren pasara por un túnel. Una vez el tren saliese del túnel, la conexión se restablecería de manera automática sin intervención alguna por parte del usuario. En las versiones anteriores, habría sido necesario que el usuario se reconectara. No obstante, deben cumplirse algunos requisitos previos: Cliente que ejecute Windows 7 como mínimo Servidor con Windows Server 2008, 2012 o 2012 R2 Instalación de una solución PKI (infraestructura de clave pública)
4. Configuración del servidor Una solución VPN necesita asegurar ciertos requisitos previos. El servidor VPN precisa dos interfaces de red. Es necesario diferenciar la interfaz conectada a la red privada de aquella conectada a la red pública. La elección se realiza en la configuración del servidor. A continuación, es necesario indicar si la atribución de direcciones IP tras la conexión de los equipos cliente se realiza mediante un servidor DHCP o desde el pool de direcciones creado por el administrador. La autenticación de las peticiones de conexión de los clientes VPN puede llevarse a cabo mediante un servidor RADIUS o por el servidor de acceso remoto. Esta elección se realiza en la configuración del servidor VPN. Es posible realizar otras operaciones tales como la configuración de la funcionalidad VPN Reconnect o la definición del número de puertos VPN.
5. Presentación del kit CMAK El kit CMAK (Connection Manager Administration Kit) permite crear conexiones predefinidas. Una vez ejecutado el asistente de creación del kit CMAK, se crea un archivo ejecutable. Esta herramienta puede distribuirse a continuación en los equipos cliente con el objetivo de crear las conexiones de acceso remoto en los equipos. El usuario no tiene más que ejecutar el archivo para que la conexión se cree automáticamente. Esta última está preconfigurada, de modo que el usuario no tiene que indicar el nombre del servidor… La funcionalidad no está incluida por defecto, y es necesario instalarla antes de poder crear los perfiles.
Visión general de las políticas de seguridad El servidor de acceso remoto determina si la conexión está autorizada o no en función de las directivas de red. Es, así, posible agregar en estas reglas restricciones de día y hora, de desconexión en caso de inactividad… Las directivas de red son reglas que contienen un conjunto de condiciones y de parámetros que indican las personas autorizadas a conectarse. En caso de implementar la funcionalidad NAP, se agrega el control de integridad. De este modo, el servidor autoriza o no la conexión en función del estado de salud del equipo que se conecta. Como con un firewall, las reglas son analizadas. Cuando alguna regla se corresponde con la solicitud de conexión, se aplican los parámetros definidos. La verificación de las reglas se realiza en orden, por lo que es importante verificar la concordancia de las distintas reglas (si la regla 1 aplica, las siguientes reglas no se tendrán en cuenta). Una regla posee varias prioridades. Éstas se dividen en cuatro categorías: Visión general: esta categoría permite habilitar o no la directiva así como la autorización o la denegación del acceso. Es posible configurar la regla para ignorar las propiedades de marcado de la cuenta de usuario afectada (solo se utilizan los parámetros de la directiva de red). Condiciones: esta categoría permite definir la condición que debe respetarse para que se esté en conformidad con la directiva de red. Restricciones: las restricciones permiten agregar criterios que las solicitudes de conexión deben respetar obligatoriamente. En caso contrario, la consulta se rechaza. No obstante, si las condiciones no se respetan, la solicitud de conexión se rechaza sin evaluar las directivas suplementarias. Opciones: tras la aceptación de la solicitud de conexión se aplican ciertos parámetros a la misma. La pestaña Opciones permite definir estos valores.
Presentación del Web Application Proxy y del proxy RADIUS El Web Application Proxy es un nuevo servicio de rol de acceso remoto. Aparecido con Windows Server 2012 R2, provee un servicio de proxy inverso.
Útil para las aplicaciones web, puede utilizarse con AD FS. Este último caso aporta una seguridad suplementaria. En efecto, el riesgo de exposición en Internet de la o las aplicaciones se gestiona configurando ciertas funcionalidades de AD FS (Workplace Join, autenticación fuerte…). Gracias a ello, aseguramos aplicaciones.
que
únicamente
aquellas
personas
autorizadas
acceden a
las
Desde hace varios años es posible utilizar NPS como servidor RADIUS. Es posible, también, utilizarlo como proxy RADIUS para asegurar que se enrutan los mensajes RADIUS entre los distintos clientes RADIUS que tienen el rol de servidor de acceso y los servidores RADIUS que tienen el rol de autenticar a los usuarios. Por ello, NPS se convierte en el punto central cuando se intenta realizar una conexión y posee el rol de proxy RADIUS. Un proxy RADIUS puede utilizarse en varios escenarios: Desea proveer a sus clientes servicios de acceso remoto externalizados (VPN, por ejemplo). Los servidores de directorio los gestionan los clientes. En función del nombre de dominio y del nombre de usuario informado el servidor proxy redirigirá la petición de conexión al servidor RADIUS del cliente correspondiente. Es preciso procesar muchas conexiones. Para evitar una sobrecarga en alguno de los servidores, conviene repartir a los usuarios sobre el conjunto de servidores. Para ello, conviene enviar las tramas al proxy RADIUS, que repartirá la carga entre los distintos servidores RADIUS.
Soporte del enrutamiento y acceso remoto El soporte de la parte de enrutamiento es un elemento importante. En efecto, el fallo de un router o de un servidor con el rol puede provocar errores en las aplicaciones o en el trabajo del usuario. Es, por tanto, necesario asegurar el correcto funcionamiento de este rol.
1. Configuración de los logs de acceso remoto Los logs se habilitan mediante las opciones del servidor en la consola Enrutamiento y acceso remoto. Es posible habilitar varios niveles de eventos, y es posible obtener más o menos información. Hay cuatro niveles disponibles: Sólo registrar errores: solamente se utiliza el log del sistema, y los errores encontrados se anotan. Registrar errores y advertencias: se utiliza el log del sistema pero, a diferencia del nivel anterior, se anotan los errores y advertencias. Registrar todos los eventos: este nivel permite recuperar el máximo de información. No registrar ningún evento: no registra ninguna información en los logs. Es posible utilizar el comando
netshpara habilitar el seguimiento de ciertos componentes:
netsh ras set tracing componente enabled/disabled
componente debe reemplazarse por uno de los componentes presentes en la lista de componentes del servicio de enrutamiento y acceso remoto. Éste está presente en la clave HKEY_Local_machine\software\Microsoft\tracing.
2. Resolución de problemas en VPN Cuando la conexión VPN no se establece, es necesario conocer de dónde viene el problema. En efecto, puede deberse a una configuración errónea del equipo, a la presencia de un firewall o, simplemente, a un problema a nivel de firewall. Es, por tanto, necesario, en primer lugar, asegurar que el servidor responde, utilizando los comandos ping o tracert. A continuación, puede ser necesario asegurar la validez de la información indicada (que la cuenta de usuario esté habilitada, que la cuenta no esté bloqueada, que no exista restricción horaria…). El problema puede, no obstante, provenir del servidor VPN, en cuyo caso el administrador debería verificar el estado del servicio de enrutamiento y la presencia de eventos relacionados en el registro.
Configuración de DirectAccess Implementando DirectAccess, el administrador se aísla de problemas vinculados con una incorrecta manipulación del usuario o configuración del cliente. En efecto, éste se conecta de manera automática al servidor.
1. Presentación de DirectAccess DirectAccess permite, a diferencia de otros tipos de servidor, evitar al usuario tener que establecer la conexión con el servidor. En efecto, ésta se establece automáticamente. Se utilizan varios protocolos, entre ellos HTTPS e IPv6. El uso del protocolo HTTPS permite atravesar con mayor facilidad los firewalls. Implementando este tipo de servidor VPN el administrador se asegura de que los equipos remotos están actualizados, en efecto esta funcionalidad permite administrar los equipos remotos como un equipo local. Es posible configurar un acceso bidireccional que permita al equipo remoto acceder a la red local, y viceversa. Además, implementando DirectAccess, el cliente separa el tráfico de intranet hacia la empresa del tráfico de Internet. El ancho de banda de Internet de la empresa no se utiliza en los clientes conectados remotamente.
2. Componentes de DirectAccess Una solución DirectAccess está compuesta por varios componentes, entre ellos un rol DirectAccess. Este rol puede instalarse en cualquier servidor del dominio, y tiene como objetivo proveer servicios de autenticación y funcionar como extremo del túnel IPsec. Desde Windows Server 2012, se ha simplificado el asistente de instalación, y ya no es necesario poseer una infraestructura de clave pública (PKI) así como cuatro direcciones IPv4 públicas consecutivas. El asistente se ha visto también mejorado y permite, en lo sucesivo, seleccionar la mejor solución de despliegue. El cliente DirectAccess es una estación de trabajo que ejecuta Windows 8 (versión Enterprise) o Windows 7 (Enterprise o Ultimate). Es preciso que la máquina sea miembro del dominio. La conexión al servidor se realiza utilizando los protocolos IPv6 e IPsec. Es posible utilizar los protocolos de transición IPv6/IPv4, si se implementan las soluciones 6to4 o Teredo. No obstante, si los protocolos de transición estuvieran bloqueados, la conexión podría establecerse utilizando los protocolos IP y HTTPS. Se requiere un servidor de ubicación de red. Éste lo utiliza el cliente DirectAccess. En efecto, si existe la posibilidad de establecer una conexión HTTPS, el equipo está en la red local y el cliente DirectAccess se deshabilita. En caso contrario, el equipo está fuera de la red local. Este servidor se instala con el rol Servidor Web. Debe instalarse un dominio Active Directory, cuyo nivel funcional debe ser, como mínimo, Windows Server 2003. Se utilizan directivas de grupo para desplegar las opciones de DirectAccess. Windows Server 2012 aporta una novedad a nivel del sistema de PKI. En efecto, ya no es obligatorio, lo que simplifica la implementación y la administración de la funcionalidad. No obstante, es imposible utilizar ciertas funcionalidades tales como la protección de acceso mediante un servidor NAP (Network Access Protection), la autenticación de dos factores o el tunneling forzado.
3. La tabla de directivas de resolución de nombres La tabla de directivas de resolución de nombres está integrada directamente en Windows Server 2012/2012 R2 y Windows 8/8.1. Consiste en separar el tráfico de Internet del tráfico de intranet. De este modo, existe una lista de reglas que contiene, por cada regla, un espacio de nombres DNS y el comportamiento del cliente DNS.
Cuando la conexión DirectAccess se encuentra activa (equipo ubicado fuera de la intranet), se comprueba el espacio de nombres en las distintas reglas. Si se encuentra alguna correspondencia, se aplican los parámetros de la regla. Si no se encuentra ninguna correspondencia, se utilizan los servidores DNS configurados en los parámetros TCP/IP. Como hemos visto antes, el cliente DirectAccess intenta conectarse con el servidor NLS para saber si está conectado en la intranet o desde Internet. El servidor NLS se ubica en un servidor web (o en el servidor DirectAccess), y puede accederse utilizando el protocolo HTTPS. Este servidor debe estar accesible desde cualquier sitio de la empresa, pues de lo contrario el cliente DirectAccess puede presentar un comportamiento anormal (conexión del equipo mientras está ubicado en la red intranet, por ejemplo). En caso de que el equipo se conecte a la red desde Internet, el cliente DirectAccess no recibe ninguna respuesta del servidor NLS. Utiliza, entonces, la tabla NRPT para redirigir las consultas hacia el servidor DNS adecuado.
4. Requisitos previos para la implementación de DirectAccess La funcionalidad DirectAccess requiere que se respeten algunos requisitos previos. En primer lugar, el servidor DNS debe estar unido al dominio y ejecutar, como mínimo, el sistema operativo Windows Server 2008 R2. A diferencia de Windows Server 2008, DirectAccess ya no requiere dos direcciones IPv4 públicas consecutivas. Es posible implementar una solución de alta disponibilidad instalando y utilizando un sistema de reparto de carga (8 nodos como máximo). Como el servidor, el cliente debe ser miembro del dominio. Es preciso asegurar, antes de implementar DirectAccess, que se tiene instalada la versión adecuada de Windows 7/8/8.1 (Windows 7 Enterprise o Ultimate, Windows 8 u 8.1 Enterprise). Por último, es necesario disponer de un controlador de dominio Active Directory, un servidor DNS y, para un uso completo, una infraestructura de PKI. Puede resultar necesario implementar los protocolos de transición IPv4/IPv6 adecuados.
Presentación del rol Network Policy Server NPS permite a los administradores implementar las directivas de acceso de red (autenticación y autorización de las solicitudes de conexión). Es posible, a su vez, configurar un proxy RADIUS que asegure la transmisión de las peticiones hacia otros servidores RADIUS. Es posible utilizar un servidor NPS como servidor RADIUS, para ello es preciso configurar los clientes RADIUS (punto de acceso Wi-Fi, switch, servidor VPN…). A continuación, es necesario implementar las distintas directivas de red útiles para realizar la autorización de las peticiones de conexión. Si el servidor es miembro del dominio, puede utilizarse AD DS para proveer la base de las cuentas de usuario. De este modo, el usuario puede utilizar su nombre de usuario y su contraseña para acceder a la red. NPS puede, a su vez, servir como servidor de directivas NAP. El servidor recupera la información de conformidad enviada por los clientes y autoriza, o no, el acceso a la red. Este acceso se autoriza si el estado de conformidad respeta las restricciones de seguridad definidas por el administrador (antivirus actualizado, etc.). El cliente NAP está integrado en los sistemas operativos desde Windows XP SP3. Una vez realizada la instalación del rol es posible proceder a su configuración mediante la consola que se agrega durante la instalación o mediante el comando netsh. Es, también, posible utilizar cmdlets de PowerShell.
Configuración del servidor RADIUS RADIUS es un protocolo que permite realizar la autenticación y la autorización con el objetivo de autorizar o no un acceso a la red.
1. Nociones acerca del cliente RADIUS Un cliente RADIUS se considera como tal cuando envía peticiones de conexión a un servidor con el rol servidor RADIUS. De este modo, los distintos dispositivos de acceso a la red (puntos de acceso Wi-Fi, switches…) compatibles con la norma 802.1x están considerados como servidores RADIUS.
2. Directiva de solicitud de conexión Una directiva de solicitud de conexión es un conjunto de condiciones y de parámetros que permiten designar un servidor RADIUS responsable de la autenticación y de la autorización. Una directiva está compuesta por una condición, la cual comprende uno o varios atributos RADIUS. En el caso de que existan varias condiciones, es necesario que todas se respeten para que la directiva pueda aplicarse. El servidor NPS procede a escuchar el tráfico RADIUS a través de los puertos 1812, 1813, 1645 y 1646. Las RFC 2865 y 2866 normalizan los puertos 1812 y 1813 para realizar la autenticación (el primero) y la gestión de cuentas (el segundo).
Método de autenticación NPS Antes de autorizar o rechazar el acceso, el servidor NPS autentica y autoriza la solicitud de conexión. La autenticación permite asegurar la identificación de un usuario o un equipo que intenta conectarse a la red. Esta identificación se aprueba mediante la información de identificación proporcionada (contraseña, certificado digital…).
1. Configurar las plantillas NPS Es posible utilizar plantillas NPS para elaborar elementos de configuración (RADIUS, clave compartida…). Estos últimos pueden utilizarse a nivel del rol NPS o exportarse a otro servidor. La gestión de estas plantillas se realiza mediante la consola NPS. Es posible agregar, eliminar, modificar o duplicar las distintas plantillas. El objetivo de esta funcionalidad es crear plantillas que permitan reducir el tiempo de administración de los distintos servidores NPS de una empresa. Están disponibles las siguientes plantillas: Claves compartidas: permite especificar una clave compartida que se reutilizará en uno o varios servidores RADIUS. Cliente RADIUS: define la configuración del cliente RADIUS que debe utilizarse. Servidor RADIUS remoto: ofrece la posibilidad al administrador de configurar los parámetros de servidores RADIUS. Política de conformidad: indica los parámetros de directiva de conformidad a utilizar.
2. Autenticación La autenticación basada en una contraseña no se considera como la más segura. Es preferible implementar una autenticación basada en certificados digitales. El servidor NPS acepta varios métodos de autenticación. Es posible utilizar, de este modo, varios protocolos.
MS-CHAP Versión 2 El protocolo MS-CHAP Versión 2 consiste en una autenticación mutua cifrada mediante una contraseña cifrada de sentido único. Está compuesta por un servidor responsable de realizar la autenticación así como un cliente. La versión 1 o MS-CHAP utiliza, por su parte, contraseñas irreversibles y cifradas. Es preferible utilizar MS-CHAPv2.
CHAP CHAP (Challenge Handshake Authentication Protocol) es un protocolo que utiliza el esquema de codificación MD5 (Message Digest 5) para realizar el cifrado de la respuesta. Este protocolo lo utiliza un servidor con el rol de Servicio de enrutamiento y acceso remoto. La contraseña es de tipo cifrado irreversible. No obstante, este protocolo posee el inconveniente de que no permite al usuario modificar su contraseña si expira durante el proceso de autenticación.
PAP Este protocolo se considera como el menos seguro puesto que utiliza contraseñas sin cifrar. Se utiliza, por lo general, si el cliente y el servidor no pueden comunicarse por ningún otro método de autenticación más seguro. No se recomienda utilizar este protocolo pues un análisis de las tramas intercambiadas permite obtener la contraseña. Un certificado digital es como un "carnet de identidad" virtual, que entrega la entidad emisora de certificados y permite asegurar la autenticación. Implementándolo con el servidor NPS, es posible
autenticar una cuenta de usuario o un equipo y, por tanto, evitar el uso de contraseñas. Se utilizan, para ello, los protocolos PEAP y EAP-TLS para permitir a NPS realizar una autenticación basada en un servidor. El uso del protocolo EAP-TLS permite al cliente y al servidor autenticarse mutuamente, hablamos por tanto de autenticación mutua.
Supervisión y mantenimiento del rol NPS En ciertos casos puede resultar útil analizar el servidor NPS. Para ello es necesario configurar el registro de eventos. La información que ofrecen estos registros de eventos puede resultar útil para analizar un problema de conexión, o para realizar una auditoría de seguridad. El análisis puede realizarse de dos formas, utilizando el registro de eventos o registrando las peticiones de autenticación y las cuentas utilizadas. Con el primer método, los registros se almacenan en los registros de sistema y de seguridad. Permite realizar una auditoría de las conexiones y, por tanto, resolver problemas más fácilmente. El segundo método consiste, por su parte, en registrar las solicitudes de autenticación en archivos de texto o en una base de datos. Este método permite realizar un análisis de las conexiones y su facturación. La base de datos puede, evidentemente, alojarse en un servidor remoto o de manera local.
Trabajos prácticos: Configuración del acceso remoto Estos trabajos prácticos permiten configurar un acceso VPN y, a continuación, implementar la funcionalidad DirectAccess.
1. Configuración de un servidor VPN Objetivo: instalación y configuración del servidor VPN. Máquinas virtuales: AD1, SRV-RT y CL8-02. En AD1, abra la consola Administrador del servidor. Haga clic en Agregar roles y características y, a continuación, haga clic en Siguiente en la ventana Antes de comenzar. En la ventana Seleccionar tipo de instalación, deje la opción por defecto y, a continuación, haga clic dos veces en Siguiente. Marque la opción Servicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar características en la ventana que se muestra.
Haga clic tres veces en Siguiente y, a continuación, en la ventana Servicios de rol, marque la opción Inscripción web de entidad de certificación.
Valide la selección haciendo clic tres veces en Siguiente, y, a continuación, ejecute la instalación mediante el botón Instalar. Haga clic en Cerrar y, a continuación, en la consola Administrador del servidor, haga clic enNotificaciones y, a continuación, en Configurar Servicios de certificados de Active Directory.
Haga clic en Siguiente en la ventana Credenciales y, a continuación, marque los dos servicios de
rol.
En las ventanas Tipo de instalación y Tipo de CA, deje la opción por defecto (CA empresarial,CA raíz) y, a continuación, haga clic en Siguiente. Marque la opción Crear una clave privada nueva y, a continuación, haga clic en Siguiente.
Deje las opciones por defecto en la ventana Criptografía para la CA. El nombre de la entidad emisora de certificados se configura automáticamente, puede ser necesario modificarla (acceder desde el exterior…). Deje las opciones por defecto y, a continuación, haga clic en Siguiente.
Configure un período de validez de 2 años en la ventana Período de validez. Haga clic tres veces en Siguiente y, a continuación, en Configurar. Haga clic en Cerrar para cerrar el asistente En las Herramientas administrativas, abra la consola Entidad de certificación. Despliegue el nodo Formacion-AD1-CA y, a continuación, haga clic con el botón derecho enPlantillas de certificado y seleccione Administrar.
Haga clic con el botón derecho en Equipo y, a continuación, haga clic en Propiedades. En la ventana emergente Propiedades: Equipo, haga clic en la pestaña Seguridad y, a continuación, seleccione Usuarios autenticados. Marque la opción Permitir para el permiso Inscribirse y, a continuación, haga clic en Aceptar.
Cierre la ventana Consola de plantillas de certificado y, a continuación, haga clic con el botón derecho en Formacion-AD1-CA, seleccione Todas las tareas y, a continuación, Detener servicio. Repita la operación seleccionando, esta vez, la opción Iniciar servicio. Cierre la consola certsrv (consola que permite administrar la entidad de certificación) y, a continuación, abra la consola Administración de directivas de grupo. Despliegue el nodo Bosque: Formacion.local, Dominios y, por último, Formacion.local. Haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccione la opción Nuevo en el menú contextual. Escriba Despliegue de certificado en el campo Nombre y, a continuación, haga clic en Aceptar.
Haga clic con el botón derecho en la directiva que acaba de crear y, a continuación, haga clic enEditar. En la consola Editor de administración de directivas de grupo despliegue los nodosConfiguración del equipo, Directivas, Configuración de Windows, Configuración de seguridady, a continuación, Directivas de clave pública.
Haga clic con el botón derecho en la carpeta Configuración de la solicitud de certificados automática y, a continuación, en el menú contextual, seleccione Nuevo y, por último, Solicitud de certificados automática. Se abre el asistente, haga clic en Siguiente. En la ventana Plantilla de certificado, seleccione Equipo y, a continuación, haga clic enSiguiente.
Haga clic en el botón Finalizar para cerrar el asistente. Cierre la consola Editor de administración de directivas de grupo y, a continuación, en la consola Administración de directivas de grupo, haga clic con el botón derecho en la raíz del dominio Formacion.local. En el menú contextual, seleccione la opción Nueva unidad organizativa y, a continuación, escribaVPN en el campo Nombre. Vincule la directiva de grupo Despliegue de certificado con la unidad organizativa VPN.
Si no lo hubiera hecho, una SRV-RT al dominio Formacion.local. Inicie una sesión como
[email protected] (o como FORMACION\administrador) en el servidor SRV-RT. Sitúe el ratón en la zona inferior izquierda para mostrar la interfaz Windows, haga clic con el botón derecho y, a continuación, seleccione, en el menú contextual, la opción Ejecutar. Escriba mmc y, a continuación, presione la tecla [Enter]. Haga clic en Archivo y, a continuación, en Agregar o quitar complemento. En la ventana Agregar o quitar complementos, seleccione Certificados y, a continuación, haga clic en Agregar. Se abre un asistente, marque la opción Cuenta de equipo y, a continuación, haga clic enSiguiente.
Deje la opción por defecto en la ventana Seleccionar equipo y, a continuación, haga clic enFinalizar. Haga clic en Aceptar para cerrar la ventana de selección de complementos. Despliegue el nodo Certificados y, a continuación, haga clic con el botón derecho en Personal. En el menú contextual, seleccione Todas las tareas y, a continuación, Solicitar un nuevo certificado. Haga clic en Siguiente en la ventana Antes de comenzar. Haga clic en Directiva de inscripción de Active Directory y, a continuación, haga clic enSiguiente.
En la ventana Solicitar certificados, marque Equipo y, a continuación, haga clic en Inscribir. Verifique que el estado es igual a Correcto y, a continuación, haga clic en Finalizar. Si no lo hubiera hecho, una CL8-02 al dominio Formacion.local. El conmutador virtual debe ser idéntico al que utiliza AD1.
En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuación, mueva la cuenta de equipo de CL8-02 a la unidad organizativa VPN. Inicie una sesión como
[email protected] (o como FORMACION\administrador) en el equipo CL8-02. Abra una ventana de comandos DOS y, a continuación, ejecute el comando
gpupdate /force.
Cierre la ventana de comandos y, a continuación, abra una consola MMC. Agregue el complemento Certificados. Se abre un asistente, marque Cuenta de equipo y, a continuación, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar equipo y, a continuación, haga clic enFinalizar. Despliegue los nodos Certificados y, a continuación, Personal. Verifique la presencia del certificado emitido por Formacion-AD1-CA.
En SRV-RT, abra la consola Administrador del servidor. Haga clic en el vínculo Agregar roles y características y, a continuación, en la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic dos veces en Siguiente. En la ventana Seleccionar roles de servidor, marque Servicios de acceso y directivas de redes y, a continuación, haga clic en el botón Agregar características. Haga clic tres veces en Siguiente y, a continuación, en la ventana Seleccionar servicios de rol, compruebe que está marcada la opción Servidor de directivas de redes. Haga clic en Siguiente y, a continuación, en Instalar. Una vez terminada la instalación, abra la consola Servidor de directivas de redes desde las Herramientas administrativas.
Haga clic con el botón derecho en NPS (Local) y, a continuación, seleccione Registrar servidor en Active Directory en el menú contextual. Aparece un mensaje, haga clic en Aceptar.
Abra la consola Administrador del servidor. Haga clic en el vínculo Agregar roles y características y, a continuación, en la ventana Antes de comenzar, haga clic en Siguiente. Deje la opción por defecto en la ventana Seleccionar tipo de instalación y, a continuación, haga clic dos veces en Siguiente. En la ventana Seleccionar roles de servidor, marque Acceso remoto y, a continuación, haga clic en el botón Agregar características. Haga clic tres veces en Siguiente y, a continuación, en la ventana Seleccionar servicios de rol, marque Enrutador y, a continuación, haga clic en Siguiente.
Haga clic dos veces en Siguiente (los Servicios de rol IIS deben dejarse por defecto) y, a continuación, haga clic en Instalar. Una vez terminada la instalación, abra la consola Enrutamiento y acceso remoto desde las Herramientas administrativas. Haga clic con el botón derecho en SRV-RT y, a continuación, en el menú contextual, haga clic enConfigurar y habilitar Enrutamiento y acceso remoto. En la ventana de bienvenida, haga opciónConfiguración personalizada.
clic en
Siguiente
y,
a
continuación,
marque
la
Haga clic en Siguiente para validar la opción seleccionada. En la ventana Configuración personalizada, marque la opción Acceso a VPN y, a continuación, haga clic en Siguiente. Haga clic en Finalizar para cerrar el asistente y, a continuación, en Iniciar el servicio en la ventana que aparece. Haga clic con el botón derecho en SRV-RT (local) y, a continuación, en el menú contextual, seleccione Propiedades. Seleccione la pestaña IPv4 y, a continuación, marque la opción Conjunto de direcciones estáticas. Haga clic en Agregar y, a continuación, escriba 192.168.1.201 en el campo Dirección IP inicialy 192.168.1.250 en Dirección IP final.
Haga clic en Aceptar. Ahora es preciso crear una directiva de red para los clientes que se conectan mediante VPN. Desde AD1, abra la consola Usuarios y equipos de Active Directory y, a continuación, en la unidad organizativa VPN cree un grupo llamado G_Acceso_VPN. El grupo de seguridad tiene un ámbito global. Los usuarios se añadirán más adelante.
Agregue al usuario Enrique MARTINEZ (emartinez) como miembro del grupo. En la consola Servidor de acceso a redes, en el servidor SRV-RT, despliegue Directivas y, a continuación, haga clic en Directivas de red. Haga clic con el botón derecho en la primera directiva de red y, a continuación, seleccione la opción Deshabilitar en el menú contextual. Repita la misma operación para la segunda directiva. Haga clic con el botón seleccioneNuevo.
derecho
en
la
carpeta Directivas de
red y, a
continuación,
En el campo Nombre, escriba Directiva VPN - Puesto Cliente y, a continuación, en la lista desplegable Tipo de servidor de acceso a la red seleccione Servidor de acceso remoto (VPN o acceso telefónico).
Haga clic en Siguiente para validar los cambios. En la página Especificar condiciones, haga clic en Agregar y, a continuación, seleccione Grupos de Windows en la ventana que se muestra. Haga clic en Agregar y, a continuación, en Agregar grupos. En la ventana que se muestra, escriba G_Acceso_VPN y, a continuación, haga clic en Comprobar nombres. Haga clic en Siguiente y, a continuación, indique la autorización Acceso concedido. Valide haciendo clic en Siguiente.
En la ventana Configurar métodos de autenticación, desmarque la opción Autenticación cifrada de Microsoft (MS-CHAP) y, a continuación, haga clic en Siguiente. Haga clic en Siguiente hasta la última ventana y, a continuación, en el botón Finalizar para cerrar el asistente. El servidor VPN está, ahora, configurado.
2. Configuración del cliente VPN Objetivo: configurar el cliente VPN y, a continuación, comprobar su conexión. Máquinas virtuales: AD1, SRV-RT y CL8-02. En CL8-02, conéctese como administrador de dominio. Sitúe el ratón en la zona inferior izquierda para mostrar la interfaz del menú inicio. Haga clic con el botón derecho en la interfaz y, a continuación, en el menú contextual, seleccione Panel de control. Haga clic en Programas y, a continuación, en Activar o desactivar las características de Windows. Marque la opción Kit de administración de Connection Manager (CMAK) de RAS, y, a continuación, haga clic en Aceptar.
Haga clic en Cerrar. Cambie la interfaz del panel de control al modo Iconos grandes. Haga clic en Herramientas administrativas y, a continuación, haga doble clic en Kit de administración de Connection Manager. En la ventana de bienvenida, haga clic en Siguiente. Deje la opción Windows Vista o posterior marcada y, a continuación, haga clic en Siguiente.
En la ventana Crear o modificar un perfil de Connection Manager, deje la opción Perfil nuevomarcada y, a continuación, haga clic en Siguiente. Escriba Conexión VPN Formacion.local en el campo Nombre de servicio y, a continuación, VPNen Nombre de archivo. Haga clic en Siguiente para validar la información introducida. En la pantalla Especificar un nombre de dominio, haga clic en No agregar un nombre de territorio al nombre de usuario, y, a continuación, dos veces en Siguiente. En la pantalla Agregar compatibilidad para conexiones VPN, marque la opción Libreta de teléfonos de este perfil. A continuación, en el campo Usar siempre el mismo servidor VPN, escriba 172.16.1.254, y haga clic en Siguiente. Haga clic en Editar en la pantalla Crear o modificar una entrada VPN y, a continuación, seleccione la pestaña Seguridad. En la lista desplegable Estrategia de VPN, seleccione Utilizar solo protocolo de túnel de capa dos L2TP (Protocole Layer two Tunneling Protocol).
Valide la información indicada haciendo clic en Aceptar. Haga clic en Siguiente y, a continuación, desmarque la opción Descargar automáticamente actualizaciones de la libreta de teléfonos en la pantalla Agregar una libreta de teléfonos personalizada. Haga clic en Siguiente hasta que finalice el asistente y, a continuación, en Finalizar. Vaya a la carpeta C:\Program Files\CMAK\Profiles\Windows continuación, haga doble clic en VPN.exe. Haga clic en Sí en el mensaje de advertencia y, a usuarios yAgregar un acceso directo en el escritorio.
Vista
and
above\VPN
y,
a
continuación, marque Todos los
Cierre todas las ventanas y, a continuación, inicie una sesión como emartinez. Modifique la configuración IP de la tarjeta de red como se indica a continuación (es necesario
informar las credenciales del administrador de dominio): Dirección IP: 172.16.1.1 Máscara de subred: 255.255.0.0 Puerta de enlace predeterminada: 172.16.1.254
Modifique el conmutador virtual de la máquina CL8-02 para utilizar el segundo conmutador utilizado por SRV-RT (distinto al de AD1). En la ventana Conexiones de red, haga doble clic en el icono Conexión VPN Formacion.local y, a continuación, en el panel Red, haga clic en Conexión VPN Formacion.local y, a continuación, enConectar.
Escriba formacion\emartinez en continuación, Pa$$w0rd enContraseña.
el
campo
Nombre
de
Haga clic en Conectar para iniciar la conexión VPN. En caso de que falle la conexión, deshabilite el Firewall y renueve la conexión.
usuario
y,
a
La máquina cliente está, ahora, conectada con la red de la empresa mediante un túnel VPN.
3. Configuración de DirectAccess Objetivo: configurar la funcionalidad DirectAccess Máquinas virtuales: AD1, SRV-RT y CL8-02. Si ha seguido los dos trabajos prácticos anteriores, realice las siguientes tres manipulaciones. En caso contrario, puede ignorarlas. En SRV-RT, abra la consola Enrutamiento y acceso remoto y, a continuación, haga clic con el botón derecho en SRV-RT (local). Seleccione la opción Deshabilitar Enrutamiento y acceso remoto para detener el servicio. En AD1, abra la consola Administrador de directivas de grupo y, a continuación, deshabilite la directiva de grupo Despliegue de certificado vinculada a la unidad organizativa VPN. Modifique el conmutador virtual de la estación CL8-02 para que utilice el configurado en AD1. Modifique la configuración de red de manera tal que la obtenga mediante DHCP. Si no ha realizado el trabajo práctico anterior, es necesario crear una unidad organizativa llamada VPN en la raíz del dominio Formacion.local. Puede crearse mediante la consola Usuarios y equipos de Active Directory. A continuación, cree un grupo global de seguridad llamado G_Acceso_VPN (el cual estará presente en la unidad organizativa que acaba de crear). En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuación, despliegue el nodo Formacion.local y haga clic en la unidad organizativa VPN. Haga doble clic en el grupo G_Acceso_VPN, seleccione la cuenta de usuario que ha agregado en el trabajo práctico anterior y haga clic en Eliminar. Agregue la cuenta de equipo CL8-02 al grupo. Abra la consola Administración de directivas de grupo, haga clic con el botón derecho en la directiva de grupo Default Domain Policy y, a continuación, seleccione la opción Editar. Se abre la consola Editor de administración de directivas de grupo, despliegue los nodosConfiguración del equipo, Directivas, Configuración de Windows, Configuración de seguridad,Firewall de Windows con seguridad avanzada. Haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic en Nueva regla.
En la pantalla Tipo de regla, seleccione Personalizada y, a continuación, haga clic dos veces enSiguiente. En la lista desplegable Tipo de protocolo, seleccione ICMPv6 y, a continuación, haga clic en el botón Personaliz…. Marque la opción Tipos de ICMP específicos y, a continuación, Petición eco. Haga clic en Aceptar y, a continuación, Siguiente.
Haga clic en Siguiente en las ventanas Ámbito, Acción y Perfil. Escriba Autorizar - ICMPv6 - De entrada en el campo Nombre y, a continuación, haga clic enFinalizar. Haga clic con el botón derecho en Reglas de salida y, a continuación, haga clic en Nueva regla. En la pantalla Tipo de regla, seleccione Personalizada y, a continuación, haga clic dos veces en el botón Siguiente. En la lista desplegable Tipo de protocolo, seleccione ICMPv6 y, a continuación, haga clic en el botón Personaliz…. Marque la opción Tipos de ICMP específicos y, a continuación, Petición eco. Haga clic en Aceptar y, a continuación, dos veces en Siguiente. Seleccione la opción Permitir la conexión y, a continuación, haga clic dos veces en Siguiente. Escriba Autorizar - ICMPv6 - De salida en el campo Nombre y, a continuación, haga clic enFinalizar. Cierre las consolas Editor de administración de directivas de grupo y Administración de directivas de grupo. Abra la consola Administrador del servidor, haga clic en Herramientas y, a continuación, DNS. Despliegue los nodos AD1, Zonas de búsqueda directa y Formacion.local. Haga clic con el botón derecho en Formacion.local y, a continuación, seleccione Host nuevo (A o AAAA). Escriba CRL en el campo Nombre y 192.168.1.254 en el campo Dirección IP.
Haga clic en el botón Agregar host. Repita la misma operación para el host NLS con dirección IP 192.168.1.254. Haga clic en Aceptar para validar el mensaje informativo. Cierre la consola DNS y abra una ventana de comandos DOS. Escriba el comando
dnscmd /config /globalqueryblocklist wpad.
Este comando permite eliminar el nombre ISATAP de la lista roja de consultas globales DNS
Aparece el mensaje El comando se ha ejecutado correctamente. En SRV-RT, acceda al panel de control y, a continuación, a la consola Centro de redes y recursos compartidos. Haga clic en Cambiar configuración del adaptador y, a continuación, acceda a las propiedades de la tarjeta Ethernet que está conectada a la red local 192.168.1.0. Seleccione Protocolo de Internet versión 4 enPropiedades y Opciones avanzadas.
(TCP/IPv4) y, a
continuación, haga
clic
Seleccione la pestaña DNS y, a continuación, escriba Formacion.local en el campo Sufijo DNS para esta conexión. Haga clic en Aceptar para validar todas las ventanas. Es, ahora, momento de ocuparse de la parte correspondiente a los certificados digitales. Si no estuviera hecho, instale una entidad de certificación en AD1.
En AD1, abra la consola Administrador del servidor, haga clic en Herramientas y, a continuación, seleccione Entidad de certificación. Haga clic con el botón derecho en Formation-AD1-CA y, a continuación, seleccione Propiedades. Seleccione la pestaña Extensiones y, a continuación, haga clic en el botón Agregar. Escriba http://crl.Formation.local/crld/ en el campo seleccione en la lista desplegable Variable.
Ubicación
y,
a
continuación,
Haga clic en Insertar. Seleccione en la lista desplegable Variable y, a continuación, haga clic en Insertar. Seleccione en la lista desplegable Variable y, a continuación, haga clic en Insertar. Escriba .crl al final del campo Ubicación. Haga clic en Aceptar y, a continuación, marque las opciones Incluir en las CRL.Usada para encontrar la ubicación de diferencias CRL. e Incluir en la extensión CDP de los certificados emitidos.
Haga clic en Aplicar y, a continuación, en No en la ventana emergente que propone reiniciar los servicios de certificados de Active Directory. Haga clic en el botón Agregar y, a continuación, en el campo Ubicación, escriba \\SRVRT\crldist$\. Seleccione en la lista desplegable Variable y, a continuación, haga clic enInsertar. Seleccione en la lista desplegable Variable y, a continuación, haga clic en Insertar. Seleccione en la lista desplegable Variable y, a continuación, haga clic en Insertar. Escriba .crl al final del campo Ubicación y, a continuación, haga clic en Aceptar. Marque las opciones Publicar las listas de revocación de certificados (CRL) en esta ubicacióny Publicar diferencias CRL en esta ubicación y, a continuación, haga clic en Aceptar. Haga clic en Sí para reiniciar los servicios de certificados de Active Directory. Despliegue Formacion-AD1-CA y, a continuación, haga clic con el botón derecho en Plantillas de certificado. Seleccione Administrar en el menú contextual. Haga clic con el botón derecho en Servidor web y, a continuación, haga clic en Plantilla duplicada.
Seleccione la pestaña General y, a continuación, escriba Certificado SRV Web Formación. Haga clic en la pestaña Tratamiento de la solicitud y, a continuación, marque Permitir que la clave privada se pueda exportar. Haga clic en la pestaña Seguridad, seleccione Usuarios autentificados y, a continuación, enPermisos seleccione Inscribirse.
Haga clic en Aceptar y, a continuación, cierre la Consola de plantillas de certificado. En la consola Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y, a continuación, seleccione las opciones Nuevo - Plantilla de certificado que se va a emitir en el menú contextual. Seleccione la plantilla que acaba de crear y, a continuación, haga clic en Aceptar.
Haga clic con el botón derecho en Formacion-AD1-CA y, a continuación, en el menú contextual, seleccione Todas las tareas y, a continuación, Detener servicio. Repita la operación seleccionando, esta vez, la opción Iniciar servicio. Cierre la consola Entidad de certificación y, a continuación, abra la consola Administración de directivas de grupo. Despliegue los nodos Bosque: Formacion.local, Dominios y, a continuación, Formacion.local. Haga clic con el botón derecho en Default Domain Policy y, a continuación, haga clic en Editar. Despliegue los nodos Configuración del equipo, Directivas, Windows,Configuración de seguridad y Directivas de clave pública.
Configuración
de
Haga clic con el botón derecho en Configuración de la solicitud de certificados automática, y, a continuación, seleccione Nuevo - Solicitud de certificados automática. Se abre un asistente, haga clic en Siguiente. En la Plantilla de certificado, en Siguiente yFinalizar.
seleccione
Equipo
y,
a
continuación,
haga
clic
y,
a
continuación,
escriba
el
Ahora es posible solicitar un certificado para SRV-RT. En SRV-RT, abra una ventana comando gpupdate /force.
de
comandos
Escriba, a continuación, mmc y con ayuda complemento (menúArchivo) agregue Certificados.
DOS de
la
opción
Agregar
o
quitar
Se abre un asistente, seleccione Cuenta de equipo y, a continuación, haga clic sucesivamente enSiguiente, Finalizar y, a continuación, Aceptar.
Despliegue los nodos Certificados (este equipo), Personal y, por último, Certificados. Haga clic con el botón derecho en Certificados y, a continuación, en el menú contextual seleccione Todas las tareas y, a continuación, Solicitar un nuevo certificado. Haga clic dos veces en Siguiente. En la pantalla Solicitar certificados haga clic en Certificado SRV Web Formación. Haga clic en Se necesita más información para inscribir este certificado. Seleccione la pestaña Objeto, y, a continuación, seleccione Nombre común en la lista desplegable Tipo. En el campo Valor, escriba NLS.Formacion.local y, a continuación, haga clic en Agregar. Haga clic en Aceptar, a continuación en Inscribir y, por último, Finalizar. Aparece un nuevo certificado en la consola MMC. Si no lo hubiera hecho, instale el rol IIS en SRV-RT.
En SRV-RT, abra la consola Administración de Internet Information Services (IIS). Haga clic en Sitios y, a continuación, en Default Web Site. En el panel Acciones, haga clic en Enlaces y, a continuación, en Agregar.
En la lista desplegable Tipo, seleccione SSL seleccioneNLS.Formacion.local.
HTTPS
y,
a
continuación,
Haga clic en Aceptar y, a continuación, en Cerrar. Cierre la consola Administrador de Internet Information Services (IIS). Ya es posible configurar DirectAccess.
en
Certificado
Abra una consola MMC y, a continuación, agregue el complemento Certificados. Se abre un asistente, marque Cuenta de en Siguiente,Finalizar y, a continuación, Aceptar.
equipo
y,
a
continuación,
haga
clic
En el árbol que muestra la consola, despliegue los nodos Certificados (equipo local), Personaly, por último, Certificados. Haga clic con el botón derecho en Certificados y, a continuación, seleccione Todas las tareas Solicitar un nuevo certificado. Haga clic dos veces en Siguiente, marque Certificado SRV Web Formación y, a continuación, haga clic en Se necesita más información para inscribir este certificado. Seleccione Nombre común en la escriba 192.168.1.254en el campo Valor.
lista
desplegable
Tipo
y,
a
continuación,
Haga clic en los botones Agregar, Aceptar y, a continuación, Inscribir. Haga clic en Finalizar para cerrar el asistente. Ahora aparece un nuevo certificado en la consola MMC.
Haga clic con el botón derecho en el certificado que acaba de crear y, a continuación, en el menú contextual, seleccione Propiedades. En el campo Nombre descriptivo, escriba Certificado IP-HTTPS y, a continuación, haga clic enAceptar.
Cierre la consola Certificados. A continuación, es posible crear el punto de distribución de CRL para certificados. En SRV-RT, abra la consola Administrador de Internet Information Services (IIS). Despliegue el nodo Sitios y, a continuación, haga clic con el botón derecho en Default Web Site. En el menú contextual, haga clic en Agregar directorio virtual. En la ventana Agregar directorio virtual, escriba CRLD en el campo Alias y, a continuación, haga clic en el botón
situado a la derecha del campo Ruta de acceso física.
Haga doble clic en Disco local (C:) y, a continuación, haga clic en el botón Crear nueva carpeta. Escriba CRLDist y, a continuación, presione la tecla [Enter].
Haga clic dos veces en Aceptar para cerrar las ventanas. Haga doble clic en Examen de directorios en el panel central de la consola Administrador de Internet Information Services (IIS) y, a continuación, seleccione Habilitar en el panelAcciones. Seleccione la carpeta CRLD y, a continuación, en el panel central de la consola, haga doble clic en el icono Editor de configuración. En la lista desplegable Sección, despliegue system.webServer, security, y, a continuación, haga clic en requestFiltering. En la lista desplegable allowDoubleEscaping, seleccione el valor True. Haga clic en Aplicar en el panel de Acciones.
Es necesario compartir el punto de distribución de CRL. Abra un explorador de Windows y, a continuación, haga doble clic en Disco local (C:). Haga clic con el botón derecho en la carpeta CRLDist y, a continuación, haga clic en Propiedades. Seleccione la pestaña Compartir y, a continuación, haga clic en Uso compartido avanzado. Marque la opción Compartir esta carpeta y, a continuación, agregue un $ al final de la ruta.
Haga clic en Permisos y, a continuación, en Agregar. Haga clic en el botón Tipos de objeto y, a continuación, seleccione Equipos. Haga clic en Aceptar y, a continuación, escriba AD1 en el campo Escriba los nombres de objeto que desea seleccionar. Haga clic en Comprobar nombres y, a continuación, en Aceptar. Seleccione AD1 (FORMACION\AD1$) columnaPermitir.
y,
a
continuación,
marque
Control
total
en
la
Haga clic dos veces en Aceptar y, a continuación, seleccione la pestaña Seguridad. Haga clic en el botón Editar y, a continuación, en Agregar. Haga clic en el botón Tipos de objeto y, a continuación, seleccione Equipos. Haga clic en Aceptar y, a continuación, escriba AD1 en el campo Escriba los nombres de objeto que desea seleccionar. Haga clic en Comprobar nombres y, a continuación, en Aceptar. Seleccione AD1 (FORMACION\AD1$) columnaPermitir.
y,
a
continuación,
marque
Control
total
en
la
Ahora es momento de publicar la lista de revocación de certificados. En AD1, abra la consola Entidad de certificación. Despliegue el nodo Formacion-AD1-CA y, a continuación, haga clic con el botón de derecho enCertificados revocados. En el menú contextual, seleccione Todas las tareas y, a continuación, Publicar. Marque la opción Lista de revocación de certificados (CRL) nueva en el cuadro de diálogoPublicar lista de revocación de certificados (CRL).
Valide haciendo clic en Aceptar. Acceda al recurso compartido \\SRV-RT\CRLDist$ y compruebe la presencia de los archivos.
A continuación, es posible configurar DirectAccess. Si no lo hubiera hecho, instale el rol Acceso remoto en SRV-RT.
Configure la segunda tarjeta de red en el servidor SRV-RT (con dirección IP 172.16.1.254) para que tenga la dirección IP 131.0.0.1 y la máscara de subred 255.255.0.0. La tarjeta de red debe estar conectada a un conmutador diferente al utilizado por la primera tarjeta de red (un conmutador de tipo privado, por ejemplo). En SRV-RT, abra la consola Enrutamiento y acceso remoto. Compruebe que SRV-RT está deshabilitado, en caso contrario haga clic con el botón derecho enSRV-RT (local) y seleccione Deshabilitar enrutamiento y acceso remoto.
Abra la Consola de administración de acceso remoto y, a continuación, haga clic enConfiguración en el panel izquierdo. A continuación, haga clic en Ejecutar el asistente para introducción en el panel central. Se abre un asistente, ejecute Implementar solo DirectAccess. Verifique que está marcada la opción Tras un dispositivo perimetral (con dos tarjetas de red)y, a continuación, escriba 131.0.0.1 en el campo de texto. Haga clic en Siguiente y, a continuación, en Finalizar. En la consola Administración de acceso remoto, en Etapa 1, haga clic en Editar, y, a continuación, en Siguiente. En la ventana de selección de grupos, haga clic en Agregar. Escriba G_Acceso_VPN y, a continuación, haga clic en Aceptar. Desmarque la opción Habilitar DirectAccess solo para equipos móviles y, a continuación, elimine el grupo Equipos del dominio.
Haga clic en Siguiente y, a continuación, en Finalizar. En la consola Administración de acceso remoto, en Etapa 2, haga clic en Editar. Haga clic en Siguiente y, a continuación, compruebe que se está utilizando la tarjeta Ethernet correcta. Valide la información haciendo clic en Siguiente. Haga clic en el botón Examinar presente en la zona Usar certificados de equipo. Seleccione Formacion-AD1-CA y, a continuación, haga clic en Aceptar.
Haga clic en Finalizar. En la consola Administración de acceso remoto, haga clic en el enlace Editar presente en laEtapa 3. En la ventana Servidor de ubicación de red, marque la opción El servidor de ubicación de red se implementa en el servidor de acceso remoto. Con ayuda del botón Examinar, seleccione el certificado SRV-RT.
Haga clic tres veces en Siguiente y, a continuación, en Finalizar. En la consola Administración de acceso remoto, haga clic en el enlace Editar presente en
laEtapa 4. En la pantalla Instalación del servidor de aplicaciones DirectAccess, haga clic en Finalizar. Aplique los cambios haciendo clic en Finalizar en la consola Administración de acceso remoto y, a continuación, en Aplicar en la ventana emergente. Una vez finalizada la operación, haga clic en Cerrar. En SRV-RT, abra una ventana comando gpupdate /force.
de
comandos
DOS
y,
a
continuación,
ejecute
el
Haga clic en PANEL en la Consola de administración de acceso remoto.
Verifique que el conjunto de puntos enumerados en el listado Estado de las operaciones son correctos.
4. Configuración del cliente DirectAccess Objetivo: configuración de la funcionalidad DirectAccess Máquinas virtuales: AD1, SRV-RT y CL8-02. En CL8-02, inicie una sesión como administrador (
[email protected]). Abra una ventana de comandos DOS y, a continuación, ejecute el comando
gpupdate /force.
Compruebe que CL8-02 está configurado con direccionamiento dinámico y ubicado sobre el mismo conmutador virtual que AD1.
Compruebe que se esté aplicando la directiva de grupo Configuración del cliente DirectAccess. Esta GPO se ha creado automáticamente.
En CL8-02, abra una consola MMC y, a continuación, agregue el complemento Certificados. En el asistente, seleccione la opción Cuenta de equipo, a continuación haga clic en Siguiente y en Finalizar. Despliegue los nodos Certificados, Personal y, por último, Certificados. Compruebe que existe un certificado con el nombre CL8-02.Formacion.local con el rol Asegura la identidad de un equipo remoto.
El certificado es necesario para identificar la máquina instalada. Abra un navegador RT.Formacion.local.
de
Internet
y,
a
continuación,
acceda
a
la
URL:
http://SRV-
Esta operación permite comprobar la conectividad con el servidor de la empresa. La estación CL802debe utilizar el mismo conmutador que SRV-RT para estar conectada a la red 131.0.0.0. Para ello, configure el mismo conmutador virtual que para SRV-RT. Edite la configuración de la tarjeta de red de CL8-02 para que esté configurada tal y como se indica más abajo. A continuación, cambie el conmutador virtual. Dirección IP: 131.0.0.2 Máscara de subred: 255.255.0.0 Puerta de enlace predeterminada: 131.0.0.1 Servidor DNS primario: 131.0.0.1 En Internet Explorer, elimine la información en caché (archivos temporales, etc.). Esto permite asegurar que el acceso funciona y que la página no se muestra porque está alojada en la caché local del equipo.
Abra un navegador RT.Formacion.local.
de
Internet
y,
a
continuación,
acceda
a
la
URL:
http://SRV-
La página se muestra. Abra una ventana de comandos DOS y, a continuación, ejecute el comando:
RT.formacion.local
ping SRV-
RT.formacion.local Se devuelve una respuesta. Escriba el comando netsh name show effectivepolicypara comprobar la configuración de la tabla de directivas de resolución de nombres DNS. Abra
una
consola
PowerShell
y,
a DAClientExperienceConfiguration.
continuación,
escriba
el
comando
Get-
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es el rol de un servidor VPN? 2 ¿Qué permite hacer el rol Servicios de acceso y directivas de redes? 3 ¿Cuál es la misión de un servidor RADIUS? 4 ¿Cuáles son las dos tecnologías que es posible implementar con el rol Acceso remoto? 5 ¿Cuál es la diferencia entre la autenticación y la autorización? 6 Nombre algunos métodos de autenticación. 7 ¿Por qué conviene implementar una PKI? 8 ¿Qué dos formas existen de distribuir una configuración IP? 9 ¿Cuál es la ventaja de utilizar SSTP? 10 Presente brevemente la funcionalidad VPN Reconnect. 11 ¿Por qué conviene utilizar un kit CMAK? 12 Nombre alguna de las ventajas ofrecidas por DirectAccess. 13 ¿Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess? 14 Tras implementar un servidor RADIUS es preciso configurar, también, el cliente RADIUS. ¿Qué elementos pueden utilizarse como cliente RADIUS? 15 ¿Qué permite hacer NAP? 16 NPS realiza autenticación, ¿dónde se almacenan las cuentas (equipo, usuario…) que permiten realizar la autenticación? 17 ¿Qué número tiene la norma RADIUS? 18 ¿Qué contiene una directiva de solicitud de conexión? 19 ¿Cuál es la utilidad de un proxy RADIUS?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/19
Para superar este capítulo, su puntuación mínima debería ser de 13 sobre 19.
3. Respuestas 1 ¿Cuál es el rol de un servidor VPN? El rol del servidor VPN es crear un túnel seguro entre un equipo y el servidor en el interior de una red pública (Internet). 2 ¿Qué permite hacer el rol Servicios de acceso y directivas de redes? Este rol permite tener los componentes necesarios para asegurar el correcto funcionamiento de la conectividad de red.
3 ¿Cuál es la misión de un servidor RADIUS? Un servidor RADIUS permite dotar de seguridad una red Wi-Fi o una VPN realizando una autenticación basada en un certificado o contraseña. 4 ¿Cuáles son las dos tecnologías que es posible implementar con el rol Acceso remoto? El rol Acceso remoto ofrece la posibilidad de implementar un acceso VPN tradicional o un servidor DirectAccess. 5 ¿Cuál es la diferencia entre la autenticación y la autorización? La autenticación es una operación que consiste en verificar las credenciales utilizadas mientras que una autorización permite, por su parte, comprobar si la cuenta está autorizada o no para acceder a un determinado recurso. 6 Nombre algunos métodos de autenticación. Es posible utilizar varios métodos de autenticación (PAP, CHAP, MS-CHAPv2, EAP…). 7 ¿Por qué conviene implementar una PKI? Una PKI o Public Key Infrastructure consiste en implementar un servidor que permite distribuir y gestionar certificados digitales. Esta solución permite asegurar los datos. 8 ¿Qué dos formas existen de distribuir una configuración IP? Cuando se implementa una conexión VPN es necesario distribuir una configuración IP a los equipos. Para ello, puede utilizarse un servidor DHCP. La segunda manera consiste en configurar, en el servidor VPN, un pool de direcciones remotas. 9 ¿Cuál es la ventaja de utilizar SSTP? El protocolo SSTP es, como L2TP o PPTP, un protocolo que permite implementar un túnel VPN. Este protocolo tiene una ventaja importante: utiliza HTTPS y, por tanto, el puerto 443. De este modo resulta más fácil atravesar los cortafuegos. 10 Presente brevemente la funcionalidad VPN Reconnect. VPN Reconnect es una funcionalidad que consiste en restablecer la conexión VPN en caso de corte. De este modo, el usuario no tiene que volver a conectar manualmente. 11 ¿Por qué conviene utilizar un kit CMAK? Un kit CMAK contiene la configuración esencial para realizar una conexión VPN, de modo que el usuario no tenga más que informar las credenciales. 12 Nombre alguna de las ventajas ofrecidas por DirectAccess. Es posible citar varias ventajas, tales como la conexión sin intervención por parte del usuario, la integración en el sistema operativo o, simplemente, la separación de los tráficos de Internet e intranet. 13 ¿Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess? No, desde Windows Server 2012 ya no es necesario instalar una PKI o disponer de dos direcciones IPv4 consecutivas. 14 Tras implementar un servidor RADIUS es preciso configurar, también, el cliente RADIUS. ¿Qué elementos pueden utilizarse como cliente RADIUS? Un servidor VPN, un conmutador o un punto de acceso Wi-Fi son equipos que pueden configurarse como cliente RADIUS. 15 ¿Qué permite hacer NAP? NAP permite asegurar que el estado de salud de los equipos se corresponde con las exigencias del administrador. 16 NPS realiza autenticación, ¿dónde se almacenan las cuentas (equipo, usuario…) que permiten
realizar la autenticación? Estas cuentas pueden provenir de una base de datos local o, con mayor frecuencia, de un directorio Active Diretory. 17 ¿Qué número tiene la norma RADIUS? El número de la norma RADIUS es 802.1x. 18 ¿Qué contiene una directiva de solicitud de conexión? Una solicitud de conexión contiene condiciones pero, también, parámetros (información de servidor RADIUS, etc.). 19 ¿Cuál es la utilidad de un proxy RADIUS? Un proxy RADIUS se utiliza con varios roles (AD FS, etc.) y permite asegurar que solo las personas autorizadas pueden acceder a la aplicación.
Requisitos previos y objetivos 1. Requisitos previos Tener nociones acerca de la administración de una red informática.
2. Objetivos Implementación de NAP. Administración y resolución de errores de la solución.
Introducción Muchos ataques provienen del interior, por lo que es necesario implementar políticas de seguridad (contraseña…). Los equipos portátiles pueden suponer grandes problemas. En efecto, tienen la posibilidad de conectarse a otras redes, por lo que puede producirse una posible contaminación. Tras la conexión del equipo a la red de la empresa, la contaminación se expande rápidamente en el conjunto de la red. Es, por tanto, necesario validar el estado de salud de los equipos antes de aceptar su acceso a la red. NAP (Network Access Protection) permite implementar directivas que deben respetar los distintos equipos para poder acceder a la red de la empresa.
Visión general de la solución NAP NAP está integrado en los sistemas operativos desde Windows XP SP3. Permite implementar protecciones a nivel de los recursos de red. Comprueba el estado de salud de los equipos que desean acceder a la red y ofrece, también, la posibilidad de actualizarse con el objetivo de respetar las condiciones definidas por el administrador. Si un equipo respeta las condiciones de seguridad impuestas, tendrá un acceso completo a la red. Esta solución no se hace para protegerse de los piratas informáticos u otros problemas similares sino para comprobar el estado de salud de los equipos. En caso de querer utilizar NAP con un servidor DHCP el usuario puede, si pasa a un direccionamiento estático, cortocircuitar NAP. Éste deja de utilizarse en tal caso.
1. Forma de aplicar NAP La solución NAP permite gestionar la mayoría de equipos que pueden encontrarse en la empresa: Ordenador portátil Equipo de sobremesa Ordenador no administrado por la empresa (perteneciente a una persona ajena a la empresa) El ordenador portátil presenta un riesgo mucho más importante, pues se conecta a redes externas. Si se conecta esporádicamente a la red de la empresa, puede que no alcance a recuperar los parches y actualizaciones emitidos por el servidor WSUS. Es muy importante asegurar el estado de salud de este tipo de equipos. Mucho menos problemáticos son los equipos de sobremesa que, a su vez, pueden no respetar las condiciones de seguridad (equipos que se encienden tras varios meses de inactividad, imagen restaurada en un equipo…). Es, por tanto, posible implementar NAP para este tipo de equipos. Por último, los equipos no administrados en la empresa suponen problemas. Es frecuente recibir consultores o personas externas a la organización. Estas personas pueden necesitar conectarse a Internet, y el acceso se ofrece, a menudo, a través de redes Wi-Fi. Esto supone que el equipo (y todo lo que pueda contener) tendría acceso a la red de producción. La implementación del servidor NAP permite limitar el acceso de estos equipos a la red de Internet únicamente. Los equipos internos a la empresa y que respeten las condiciones de seguridad tendrán, por su parte, un acceso completo. El cliente de cumplimiento envía el estado de salud de un equipo al servidor de cumplimiento presente en el servidor NAP. Existen varios niveles de cumplimiento: Cumplimiento NAP para comunicaciones IPsec: permite únicamente a los equipos que cumplen con las condiciones.
restringir
la
comunicación
Cumplimiento NAP para 802.1x para conexiones con cable o inalámbricas: solo aquellos equipos que cumplan con las condiciones tendrán un acceso limitado al cliente RADIUS (switch, punto de acceso Wi-Fi…). Cumplimiento NAP para VPN para los accesos VPN: el equipo debe cumplir para poder obtener un acceso limitado mediante una conexión VPN. Cumplimiento NAP para DirectAccess: para poder conectase a la red de la empresa mediante un servidor DirectAccess es necesario que el equipo cumpla con las condiciones. Cumplimiento NAP para DHCP para la configuración de direcciones: solo aquellos equipos que cumplan las condiciones recibirán un contrato DHCP que les permitirá tener un acceso completo a la red de la empresa.
2. Arquitectura de la plataforma NAP Una arquitectura NAP contiene varios componentes. El cliente NAP está presente en cada puesto o servidor, y permite la comunicación con el servidor NAP para validar el acceso a la red en función del cumplimiento de cada puesto. Encontramos, a su vez, algunas restricciones a este examen de conformidad, se trata de servidores que requieren una validación antes de poder tener o no acceso. Entre estos servidores podemos encontrar DHCP, VPN, DirectAccess… No es obligatorio contar con un controlador de dominio Active Directory en la etapa de validación de la conformidad, aunque es indispensable para conexiones de tipo VPN o 802.1x. Por último, la arquitectura NAP está compuesta por una red restringida (o red de cuarentena). Esta red puede ser de tipo lógico o físico. Contiene servidores de actualización que permiten a los equipos declarados como no conformes corregir el problema (antivirus no actualizado, por ejemplo).
Proceso de aplicación de NAP Una restricción de conformidad puede considerarse como un paso por aduana: si los papeles no están en regla, es imposible entrar en un país extranjero. Ocurre de forma similar con las directivas de mantenimiento: para poder acceder a la red, el equipo debe mostrar su conformidad e integridad para probar que cumple con la directiva de mantenimiento. El acceso puede denegarse o autorizarse parcialmente hasta que se comprueba la conformidad del equipo.
1. Implementar IPsec con NAP Hemos visto más arriba cómo es preciso que el equipo esté conforme para que pueda comunicarse con otros equipos. Este tipo de restricción está compuesta por una autoridad HRA que ejecute Windows Server 2012 o superior así como un cliente de cumplimiento que ejecute, como mínimo, Windows Server 2003. La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el equipo se considera conforme. Si el equipo no cumple, se rechazan sus intentos de comunicación. Este método es, no obstante, algo más complejo puesto que invoca a una autoridad HRA y a una entidad emisora de certificados. Se aplican a las comunicaciones IPv4 e IPv6, por lo que es difícil esquivarlas.
2. 802.1x con NAP Este tipo de restricción de cumplimiento permite filtrar equipos que se conectan a un cliente RADIUS (switch, punto de acceso Wi-Fi…). Para los equipos no conformes es posible implementar un filtro de paquetes IP o redirigir a los equipos a una VLAN de cuarentena. Es, no obstante, preciso asegurar que los switches o puntos de acceso Wi-Fi afectados son compatibles con la autenticación 802.1x. Este tipo de implementación resulta muy segura puesto que es difícil, para un equipo que se pone en cuarentena, (en una VLAN aparte), salir si no está conforme. Configurando esta restricción de cumplimiento para los switches y puntos de acceso Wi-Fi, el conjunto de equipos, fijos y portátiles, se ven afectados.
3. Implementar NAP con un servidor VPN Cuando un usuario se conecta mediante VPN se utiliza la directiva de cumplimiento para el servidor VPN. Este tipo de restricción utiliza un conjunto de filtros de paquetes IP, lo que permite limitar el tráfico de los clientes. De este modo, los equipos pueden conectarse únicamente con aquellos recursos contenidos en la red restringida. Los paquetes que no superen este filtro se eliminarán automáticamente.
4. Uso de NAP para DHCP NAP interviene cuando se produce la asignación o renovación de una configuración IP. Si el equipo resulta no conforme, el servidor DHCP renueva automáticamente el contrato DHCP del equipo para ubicarlo en una red restringida. Resulta útil configurar las interfaces de red del servidor NAP de manera estática. Para poder actualizarse, el equipo recibe una lista de hosts que apuntan a los servidores alojados en la red restringida. De este modo, el protocolo TCP/IP devuelve un error si alguna aplicación instalada en el equipo intenta enviar una trama Unicast distinta a las permitidas mediante las rutas estáticas. No es posible utilizar el método de cumplimiento por DHCP en clientes IPv6.
Verificación del cumplimiento La verificación del cumplimiento se asegura mediante dos componentes de NAP, los agentes de mantenimiento del sistema y los validadores de mantenimiento del sistema. De este modo, el servidor NAP recibe por parte del cliente un estado de cumplimiento, el cual se compara con el estado de cumplimiento requerido. A continuación, el servidor NAP envía la respuesta al cliente y le pide actualizar alguno de sus componentes (antivirus, por ejemplo) si fuera necesario. Una directiva de mantenimiento está compuesta por uno o varios validadores de mantenimiento del sistema. Esto permite definir los criterios necesarios para que un equipo se considere como conforme. Si el equipo no responde a los criterios definidos en la directiva, el servidor puede decidir realizar distintas operaciones. Puede rechazar la solicitud de conexión, ubicar al equipo en una red restringida o autorizar al equipo a pesar de su estado de incumplimiento. Si se ubica en una red restringida, el equipo podrá acceder a un grupo de servidores. Se trata de un listado de servidores presentes en la red restringida. Estos servidores permiten realizar la actualización de los equipos que no cumplen con las condiciones. De este modo, estos servidores contienen los recursos que necesita el agente NAP para realizar las actualizaciones adecuadas (definición del antivirus, por ejemplo).
Supervisión y mantenimiento del servidor NAP La supervisión y el mantenimiento son aspectos muy importantes en la implementación de una solución NAP. Estas operaciones permiten asegurar el correcto funcionamiento de la funcionalidad. El seguimiento NAP se habilita mediante la consola Configuración del cliente de NAP. Esta operación consiste en registrar los eventos NAP en un archivo de log. Es posible configurar tres niveles:Básico, Avanzado o Depuración. Para ello podemos utilizar varios archivos de log: IASNAP.log: este registro permite obtener información detallada acerca de los procesos de protección de acceso a la red, la autenticación o la autorización NPS. IASSAM.log: contiene información relativa a la autenticación del usuario y sus autorizaciones.
Mantenimiento de NAP Para resolver problemas en la funcionalidad NAP es posible utilizar varias herramientas. El comando netshpermite consultar el estado de un cliente NAP. Es, de este modo, posible obtener información relativa al estado de restricción, el estado de los clientes de cumplimiento, el estado de los agentes de mantenimiento del sistema instalados así como los grupos de servidores aprobados configurados. El mantenimiento puede, a su vez, realizarse mediante archivos de log de Windows. Existen distintos ID que pueden resultar útiles para analizar el comportamiento de la funcionalidad NAP: ID 6272: se otorga acceso al usuario. ID 6273: se rechaza el acceso al usuario. ID 6274: petición ignorada por el servidor NPS (problema de configuración o imposibilidad de crear registros de gestión de cuentas). ID 6276: usuario puesto en cuarentena (puesto no conforme…). ID 6278: acceso total otorgado al usuario.
Trabajos prácticos: Implementar la solución NAP Estos trabajos prácticos permiten instalar y configurar el servidor NAP. Los clientes de cumplimiento utilizados son el DHCP y VPN.
1. Configuración de los componentes NAP Objetivo: instalación y configuración del servidor NAP Máquinas virtuales: AD1 y CL8-01 En AD1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Seleccione el tipo de instalación, deje la opción por defecto y, a continuación, haga clic dos veces en Siguiente. Marque la opción correspondiente al rol Servicios de acceso y directivas de redes y, a continuación, haga clic en Agregar características en la ventana emergente. En la ventana de selección de características, haga clic en Siguiente. Marque la opción Servidor de directivas de redes en la ventana Seleccionar servicios de rol.
Haga clic en Instalar para realizar la instalación. Una vez terminada la instalación, es preciso configurar el servicio para asegurar que solamente aquellos equipos que respetan la política de seguridad (antivirus actualizado) obtienen un contrato DHCP. Abra la consola NPS presente en las Herramientas administrativas. Despliegue el nodo Protección de acceso a redes, y, a continuación, haga clic en Validadores de mantenimiento del sistema.
En el panel central, haga clic en Validador de mantenimiento de seguridad de Windows.
Haga clic en Configuración en el panel central y, a continuación, haga doble clic en Configuración por defecto. En Windows 8/Windows 7/Windows Vista, desmarque todas las opciones excepto las correspondientes al antivirus.
Haga clic en Aceptar y, a continuación, en Grupos de servidores de actualizaciones. Los servidores de actualizaciones permiten a los clientes no conformes actualizarse para poder
obtener la conformidad.
Haga clic con el botón derecho en Grupos de servidores de actualizaciones y, a continuación, seleccione Nuevo. Escriba Grupo de servidores 1 en el campo Nombre de grupo y, a continuación, mediante el botón Agregar, escriba la dirección IP 192.168.1.200 y el nombre del equipo SRVWSUS.
El nombre y la dirección IP del servidor se utilizan como ejemplo, no existe ningún servidor con este nombre en la maqueta que hemos montado.
Vamos, ahora, a crear dos directivas. Estas últimas permitirán al servidor saber qué requisitos previos tienen que cumplirse para aplicar esta directiva. En nuestro ejemplo, la directiva conforme va a aplicarse a aquellos puestos que respeten la política de seguridad (antivirus al día…). La directiva no conforme está destinada a aquellos equipos en los que haya fallado algún punto de control SHV (puntos de seguridad), por ejemplo antivirus no presente o no actualizado. Despliegue el nodo Directivas, haga clic con el botón derecho en Directivas de mantenimiento, y, a continuación, haga clic en Nueva. En la ventana Crear nuevas directivas de mantenimiento, configure la directiva tal y como se indica a continuación: Nombre de directiva: Conforme. Comprobaciones de SHV para clientes: El cliente supera todas las comprobaciones de SHV. SHV usados en estas directivas de mantenimiento: habilite la opción Validador de mantenimiento de seguridad de Windows.
Haga clic en Aceptar para validar la información introducida. Cree otra directiva con los siguientes parámetros: Nombre de directiva: No conforme. Comprobaciones de SHV para clientes: El cliente no supera una o más comprobaciones de SHV. SHV usados en estas directivas de mantenimiento: habilite la opción Validador de mantenimiento de seguridad de Windows. Haga clic en Aceptar para validar la información introducida. Haga clic en Directivas de red y seleccione una de las dos directivas presentes. Haga clic con el botón derecho en la selección y marque la opción Desactivar. Repita la operación con la otra directiva. Haga clic con el botón derecho en Directivas de red y, a continuación, seleccione Nueva. En la ventana Especificar nombre de directiva de red y tipo de conexión, configure la directiva tal y como se muestra a continuación: Nombre de directiva: Conforme - Acceso completo. Tipo de servidor de acceso a la red: servidor DHCP. Haga clic en Siguiente. En la ventana Especificar condiciones, haga clic en Agregar y, a continuación, haga doble clic
enDirectivas de mantenimiento. Seleccione Conforme en la lista desplegable, y, a continuación, haga clic en Aceptar. Haga clic en Siguiente. Verifique que está marcada la opción Acceso concedido y, a continuación, haga clic en Siguiente. En la ventana Configurar métodos de autenticación, marque Realizar solo comprobación de mantenimiento del equipo. Desmarque todas las demás opciones.
Haga clic dos veces en Siguiente. En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Verifique que está marcada la opción Permitir acceso completo a la red. Valide haciendo clic en Siguiente y, a continuación, en Finalizar. Recree la misma regla con los siguientes parámetros: Nombre de directiva: No conforme - Restringido. Tipo de servidor: servidor DHCP. Condiciones: Directivas de mantenimiento (seleccionar la directiva No conforme). Permisos de acceso: verifique que está marcada la opción Acceso concedido. A continuación se implementará una limitación al acceso.
Métodos de autenticación: Realizar solo comprobación de mantenimiento del equipo.
Opciones: Cumplimiento NAP (Permitir acceso limitado y marque Habilitar corrección automática de equipos cliente). Valide la información haciendo clic en Siguiente y, a continuación, en Finalizar. Ahora es posible configurar el servidor DHCP para controlar el cumplimiento NAP. Haga clic con el botón derecho en Ámbito y, a continuación, haga clic en Propiedades. Es preciso que el nodo Ámbito esté desplegado.
En la pestaña Protección de acceso a redes, seleccione la opción Habilitar para este ámbito y compruebe que está marcada la opción Usar perfil predeterminado de Protección de acceso a redes.
Haga clic con el botón derecho en Directivas y, a continuación, haga clic en Nueva directiva. Escriba Puesto no conforme en el campo Nombre de la directiva y, a continuación, haga clic enSiguiente. En la ventana de configuración de las condiciones de la directiva, haga clic en Agregar. Configure la condición tal y como se indica a continuación: Criterio: Clase de usuario. Operador: Es igual a. Valor: Clase de protección de acceso a red predeterminada. Haga clic en Agregar para agregar el valor seleccionado.
Valide haciendo clic en Aceptar y, a continuación, en Siguiente. Marque la opción 006 Servidores DNS y, a continuación, escriba la dirección IP 192.168.1.99.
La dirección IP debe coincidir con la del servidor DNS presente en la red de cuarentena. Esta última no existe en la maqueta.
Valide el mensaje de advertencia haciendo clic en Sí. Marque la opción 015 Nombre escribarestringido.Formation.local.
de
dominio
DNS
y,
a
continuación,
Haga clic en Siguiente y, a continuación, en Finalizar. En el equipo CL8-01, abra la interfaz Windows y, a continuación, escriba napclcfg.msc. Este comando permite mostrar la consola de configuración del cliente NAP para habilitar, en el equipo, el cliente de aplicación de cuarentena DHCP. Despliegue Clientes de cumplimiento y, a continuación, haga doble clic en Cliente de aplicación de cuarentena DHCP.
Marque la opción Habilitar este cliente de cumplimiento. En la interfaz Windows, escriba services.msc. Haga doble clic en el servicio Agente de protección de acceso a redes. Modifique el tipo de arranque del servicio para que sea Automático e inícielo. En la interfaz Windows, escriba gpedit.msc, y, a continuación, pulse [Enter]. Despliegue los nodos Directiva Configuración del equipo, Plantillas administrativas,Componentes de Windows y, a continuación, haga clic en Centro de seguridad. Haga doble clic en Activar el Centro de seguridad (solo equipos de dominio), seleccione la opción Activo y, a continuación, haga clic en Aceptar. La tarjeta de red debe configurarse para recibir una dirección IP de un servidor DHCP. Si no fuera el caso, modifique la configuración del adaptador. El equipo está, de momento, en la red de producción. Tal y como muestra la siguiente captura de pantalla, el servidor DHCP le ha concedido un acceso completo.
En el menú de la interfaz Windows, escriba Windows Defender y, a continuación, ejecútelo. Haga clic en la pestaña Configuración y, a continuación, Administrador, desmarque la opciónActivar Windows Defender. Haga clic en Guardar los cambios. Esto va a permitir simular una no-conformidad con la política de seguridad. Es posible, a su vez, incluir en las directivas de cumplimiento del servidor NPS la obligación de poseer un firewall activo. Bastará con deshabilitar el firewall en el puesto de trabajo.
Espere algunos segundos o libere el contrato DHCP mediante el comando DOS:
ipconfig
/release Solicite un nuevo contrato ejecutando el comando comandos DOS.
ipconfig /renew en una ventana de
El equipo se encuentra, ahora, en la red de cuarentena. El servidor DHCP ha asignado, correctamente, el sufijo DNS restringido.formacion.local. El servidor DNS debe, a su vez, distribuirse para los equipos no conformes.
Es, ahora, mucho más sencillo aislar los equipos que no respetan la política de seguridad de la empresa.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué permite hacer NAP? 2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos clientes para utilizar NAP? 3 Describa brevemente la funcionalidad NAP. 4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse? 5 ¿Con qué cliente de cumplimiento se utiliza HRA? 6 ¿Cuál es el objetivo de la autoridad HRA? 7 ¿Es posible utilizar NAP con DHCPv6? 8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de los equipos? 9 ¿Para qué consola se habilita el seguimiento de NAP? 10 ¿Cuáles son los archivos de log que utiliza NAP?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/10
Para superar este capítulo, su puntuación mínima debería ser de 8 sobre 10.
3. Respuestas 1 ¿Qué permite hacer NAP? NAP permite implementar directivas que deben respetar los equipos cliente si quieren poder acceder a la red, en caso contrario accederán a una red de cuarentena o se les denegará el acceso. 2 ¿Qué sistema operativo, como mínimo, es necesario tener instalado en los equipos clientes para utilizar NAP? Es necesario, como mínimo, Windows XP SP3. 3 Describa brevemente la funcionalidad NAP. NAP permite comprobar el estado de salud de los equipos que se conectan a la red. Si no respeta los criterios de seguridad impuestos por el administrador, el equipo se sitúa en una red de cuarentena, o se rechaza completamente su acceso. En caso de que se sitúe en una red de cuarentena existe un grupo de servidores a su disposición que le permiten actualizarse. 4 ¿Cuáles son los clientes de cumplimiento que pueden configurarse? Existen varios clientes de cumplimiento NAP que pueden configurarse en el sistema operativo. DHCP, VPN, IPsec o RADIUS son algunos de ellos. 5 ¿Con qué cliente de cumplimiento se utiliza HRA? HRA se utiliza cuando se implementa IPsec con NAP.
6 ¿Cuál es el objetivo de la autoridad HRA? La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con IPsec. 7 ¿Es posible utilizar NAP con DHCPv6? No, NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6, solamente aquellos servidores que trabajen con direcciones IPv4 son compatibles. 8 ¿Cuáles son los componentes que se encargan de validar el estado de conformidad de los equipos? Los agentes de mantenimiento del sistema (SHA) y los validadores de mantenimiento del sistema (SHV) aseguran el cumplimiento. 9 ¿Para qué consola se habilita el seguimiento de NAP? El seguimiento de NAP se habilita mediante la consola Configuración del cliente NAP. 10 ¿Cuáles son los archivos de log que utiliza NAP? Los archivos IASNAP.log y IASSAM.log permiten supervisar el comportamiento de NAP.
Requisitos previos y objetivos 1. Requisitos previos Poseer nociones acerca del uso de cuotas en la administración del sistema.
2. Objetivos Implementar el rol FSRM que permite gestionar cuotas. Implementar un filtrado a nivel de extensiones de archivos. Instalar y configurar un espacio de nombres DFS.
Introducción El sistema de archivos es uno de los aspectos esenciales en una empresa, que evoluciona de manera cotidiana. Mal administrado, este sistema puede volverse, rápidamente, indomable.
Visión general del rol FSRM FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que permiten gestionar y controlar distintos tipos de datos. Ofrece al administrador la posibilidad de implementar cuotas o filtros de archivos. También es posible utilizar informes muy completos con el objetivo de obtener información muy precisa (uso de cuotas…). El informe que indica qué archivos son los menos consumidos puede ayudar a implementar una política de archivado, el uso de cuotas ayuda a los administradores a establecer límites en función de las necesidades de cada departamento. FSRM es un servicio de rol, Servicios de archivo, en Windows Server 2012 R2. Como todo rol o servicio de rol, su instalación se realiza mediante el Administrador del servidor. La gestión del rol se realiza mediante la consola instalada en el servidor, aunque también es posible realizar su configuración mediante PowerShell (módulo FileServerResourceManager para Windows PowerShell, instalado al mismo tiempo que FSRM). Los applets de comando PowerShell deben utilizarse en lugar de los comandos dirquota o filescrn. Éstos, utilizados en versiones anteriores, están todavía presentes en Windows Server 2012 R2 aunque se recomienda, no obstante, no utilizarlos.
La consola FSRM permite, a su vez, gestionar de manera remota otro servidor que albergue este rol. Esta acción requiere respetar ciertos requisitos previos: Ambos servidores deben ejecutar, como mínimo, Windows Server 2008 R2. Debe habilitarse la excepción Administración del Administrador de recursos del servidor de archivos remoto en el firewall. Debe estar autorizado el tráfico de llamada a procedimiento remoto (RPC) entre ambos servidores.
Administración del servidor de archivos mediante FSRM Esta sección detalla las distintas herramientas contenidas en FSRM.
1. Gestión de las cuotas Una cuota es un elemento que permite limitar el espacio asignado a cada usuario, lo que permite evitar que se sature el espacio de disco. Estas cuotas pueden aplicarse a un volumen o a una carpeta, además es posible extender la cuota utilizada a las subcarpetas existentes o a las creadas a continuación. Las cuotas contienen varias propiedades, entre ellas la ruta del recurso sobre el que se aplica. Es posible definir, a su vez, el espacio máximo autorizado sobre este recurso. Es posible utilizar dos tipos de cuotas, máxima o de advertencia. Una cuota de advertencia no bloquea al usuario cuando se alcanza el tamaño máximo, aunque es posible enviarle distintas notificaciones. Por el contrario, las cuotas máximas no permiten utilizar más espacio del que se ha autorizado, aunque también es posible implementar distintas notificaciones que avisen al usuario. La ejecución de dichas notificaciones se realiza cuando se alcanza cierto umbral en el uso del espacio de disco autorizado. Este valor es un porcentaje y es posible configurar varias notificaciones para una cuota. Es posible realizar varias acciones para la notificación: Envío de un correo electrónico para informar que se está superando un umbral. Ejecución de un comando o de un script. Generación de un informe. Agregar un evento en el Visor de eventos.
La creación de una cuota puede realizarse mediante una plantilla de cuota o no, aunque utilizar un modelo de cuota permite facilitar las actualizaciones posteriores en cuotas ya creadas. Se recomienda utilizar plantillas en la mayoría de casos posibles. Las cuotas pueden, a su vez, generarse de manera automática en caso de que se apliquen de los padres sobre los hijos. Tras la creación de éstos, se crea una cuota automáticamente. Por último, también es posible utilizar el applet de PowerShell New-FSRMQuota. Las plantillas de cuotas permiten predefinir las distintas notificaciones, el límite de espacio así como el tipo (máxima o de advertencia). Es, de este modo, mucho más sencillo crear nuevas cuotas o modificar ciertas propiedades. En caso de modificación de alguna plantilla, se modifica el conjunto de cuotas derivadas de dicha plantilla. La administración de esta funcionalidad se ve, de este modo, mejorada.
Tras la instalación del rol se crea un conjunto de cuotas por defecto. La ventana de gestión de cuotas, en la consola FSRM, contiene información relativa a su uso, y es posible consultar, para cada carpeta, subcarpeta o volumen, el uso de cuota. Además, la generación de informes (punto que se aborda más adelante) permite obtener información todavía más precisa.
El informe de uso permite identificar de manera muy rápida los recursos sobre los cuales se está próximo a alcanzar la cuota. Esto permite advertir al usuario y, de este modo, evitar impactar su trabajo. El cmdlet de PowerShell Get-FSRMpermite mostrar las cuotas así como sus estadísticas de uso.
2. Administración del filtrado de archivos El filtrado de archivos tiene como objetivo impedir el registro de archivos con cierta extensión (AVI, por ejemplo). El sistema de filtrado utiliza los grupos de archivos para realizar esta prohibición. Estos grupos predefinidos se crean automáticamente tras la instalación del rol, están presentes la mayoría de extensiones utilizadas. Como con las cuotas, es posible implementar notificaciones. Existen dos tipos de filtros: Los filtros activos, que bloquean el registro de un archivo con una extensión prohibida y generan notificaciones. Los filtros pasivos, que no bloquean a los usuarios sino que utilizan notificaciones. Como con toda regla, es posible implementar un filtrado sobre un grupo de archivos (por ejemplo, archivos de vídeo, etc.). Es posible implementar excepciones para autorizar un tipo predefinido (por ejemplo, bloquear todas las extensiones del grupo de archivos de vídeo salvo extensiones AVI).
Es posible utilizar el comando PowerShell
New-FSRMFileScreen.
Un grupo de archivos está compuesto por archivos a incluir (extensión que se bloqueará) y archivos a excluir (extensión que formará parte de las excepciones, a las que no se aplicará la regla). Los grupos predefinidos son completamente modificables. Además, es posible crear nuevos grupos para dar respuesta a una necesidad concreta. Se recomienda crear plantillas de filtros de archivos con el objetivo de facilitar la administración posterior. Tras la creación de una plantilla es preciso configurar tres componentes: El tipo de filtro. El o los grupos de archivos a bloquear. Las notificaciones a generar.
3. Los informes de almacenamiento Se recomienda utilizar informes, pues permiten recuperar información muy útil. Es posible, por ejemplo, generar un informe sobre los archivos duplicados o un informe por usuario.
Los informes pueden generarse bajo demanda o bien de manera planificada (una vez al mes, por ejemplo). Preste atención, algunos informes requieren cierta configuración (seleccionar el volumen, etc.). A continuación, es necesario seleccionar el formato de salida deseado (XML, HTML, etc.).
Los distintos informes se almacenan, cada uno, en una carpeta propia. Por defecto, la carpeta padre se configura como StorageReports, presente en la partición de sistema. Es posible, no obstante, modificar la ubicación por defecto mediante las opciones del Administrador de recursos del servidor de archivos (pestaña Ubicaciones de informes). Cuando se crea la planificación de un informe es posible hablar de una tarea de creación de informes. Esta operación consiste en indicar los informes que se quieren generar, pero también los distintos parámetros necesarios para dicha creación (volumen o carpeta afectada). Si se configura un servidor SMTP es posible solicitar al servidor que envíe los distintos informes por correo electrónico.
Implementar la clasificación de archivos Esta funcionalidad, aparecida con Windows Server 2008 R2, consiste en realizar la gestión de archivos por grupos. Las agrupaciones se realizan mediante atributos. De este modo, algunas etapas de limpieza o de protección pueden automatizarse mediante tareas de gestión.
1. Presentación de las reglas de clasificación Las reglas de clasificación se crean con el objetivo de atribuir a los distintos archivos propiedades de clasificación. Tras la creación de una regla, es necesario configurar ciertas propiedades. El ámbito de la regla, configurable desde la pestaña Configuración, permite indicar el o las carpetas afectadas. Tras su ejecución, los objetos se sitúan, automáticamente, en esta ubicación (por ejemplo, mover a la carpeta Dirección un archivo que contiene la palabra "confidencial"). Es, a su vez, preciso configurar el mecanismo de clasificación de la regla (pestaña Clasificación). Existen dos métodos de clasificación que pueden utilizarse: Clasificación de carpetas: las propiedades se atribuyen a un archivo en función de la ruta de acceso a la carpeta del archivo. Clasificación de contenido: se realiza una búsqueda de cadenas o expresiones en el archivo. La clasificación se realiza en función de un contenido. Una vez introducida la información, es necesario seleccionar la propiedad pestañaClasificación permite especificar esta propiedad, así como su valor.
atribuida.
La
Por último, las reglas de clasificación pueden ejecutarse de dos maneras, al inicio o a intervalos regulares. La segunda solución ofrece la ventaja de garantizar tener los archivos clasificados regularmente. Cuando se utiliza algún mecanismo de clasificación, el desplazamiento (copia o desplazamiento) de un archivo de un sistema NTFS hacia otro implica la conservación de las propiedades de clasificación. No obstante, en caso de desplazar algún archivo a un sistema de archivos que no sea NTFS puede provocar que se pierdan estas propiedades de clasificación La funcionalidad necesita, como mínimo, Windows Server 2008 R2, no obstante los archivos de Office conservan su información de propiedades de clasificación sea cual sea el sistema operativo utilizado. Estas propiedades pueden consultarse en las propiedades del documento. Cuando dos reglas de clasificación entran en conflicto, se adoptan ciertos comportamientos por defecto con el fin de regular la situación: Conflicto en las propiedades Sí/No: el valor Sí resulta prioritario. Conflicto en las listas de ordenación: la propiedad más elevada resulta prioritaria. Conflicto en las opciones múltiples: los juegos de propiedades se combinan. Algunos archivos de tipo ZIP o VHD no se tienen en cuenta, además la funcionalidad no tiene la posibilidad de procesar archivos cifrados.
2. Tareas de administración de archivos Una tarea de administración tiene como objetivo ejecutar operaciones sobre los archivos en función de la propiedad de clasificación que se les haya atribuido. La selección de estos archivos puede realizarse, también, en base a las siguientes propiedades: Ubicación Hora de creación y de modificación
Fecha del último acceso Nombre del archivo La tarea de expiración del archivo permite automatizar el "archivado". En efecto, los distintos archivos que respondan a ciertos criterios se desplazarán automáticamente a una carpeta (carpeta de expiración) definida por el administrador. Tras la ejecución de la tarea, se crea una carpeta en la carpeta de expiración, y los archivos se desplazan manteniendo la arquitectura inicial: si el archivo está presente en la carpeta Docs, entonces se mantiene dicha estructura en la carpeta de expiración. También es posible ejecutar comandos cuando se produce la expiración. La ejecución puede realizarse mediante archivos ejecutables, de tipo script… El objetivo de esta acción es automatizar alguna operación sobre uno o varios archivos.
El sistema DFS DFS es un sistema que facilita la administración de un sistema de archivos. Ofrece, a la empresa, una tolerancia a fallos redirigiendo a los usuarios a otro servidor en caso de producirse algún error. El acceso a un recurso compartido se realiza, obligatoriamente, mediante una ruta UNC (\\NombreDeServidor\NombreDeRecursoCompartido). En caso de remplazar un servidor de archivos es necesario proceder a la actualización de todos los nombres. Esta etapa puede resultar, en ciertos casos, muy costosa. Un espacio de nombres DFS permite, en tal caso, facilitar la tarea del administrador, pues la ruta UNC no contiene el nombre del servidor afectado. La replicación DFS complementa a la solución replicando los datos en otros servidores. De este modo, se asegura la tolerancia a fallos. Tras la instalación del rol DFS es posible seleccionar dos servicios de rol. Espacio de nombres o DFS-N: permite instalar la consola y las herramientas necesarias para la administración del espacio de nombres. Replicación DFS o DFS-R: instala un motor de replicación multimaestro que permite replicar las distintas carpetas contenidas en el espacio de nombres. La replicación puede planificarse con un uso del ancho de banda distinto en función de la hora. Además, es posible implementar la compresión diferencial remota para replicar únicamente la parte de un archivo que se haya modificado desde la última replicación. La replicación no está, obligatoriamente, vinculada con el espacio de nombres, por lo que puede funcionar de manera autónoma sin problema alguno.
1. Presentación del espacio de nombres DFS Un espacio de nombres simplifica la gestión de un sistema de archivos representando, de manera virtual, los recursos compartidos de red. Este espacio de nombres puede ser de tipo autónomo o estar basado en un dominio (se apoya, en tal caso, en Active Directory).
Espacio basado en un dominio Este tipo de espacio de nombres simplifica la alta disponibilidad. En efecto, no es necesarioclusterizar los servidores con este tipo de espacio de nombres. La ruta UNC está compuesta por un nombre de dominio Active Directory más el nombre del espacio de nombres (por ejemplo: \\Formacion.local\DocsFormacion). Existen dos modelos disponibles: Windows 2000 o Windows Server 2008, este último ofrece la posibilidad de utilizar ABE (Access Based Enumeration, enumeración basada en el acceso) así como de aumentar el número de destinos de la carpeta (posibilidad de tener hasta 50.000 destinos de carpeta). ABE ofrece la ventana de mostrar únicamente las carpetas a las que el usuario tiene acceso. No obstante, la selección del modo Windows Server 2008 supone respetar los siguientes requisitos previos: Nivel funcional del bosque igual a Windows Server 2003 o superior. Nivel funcional del dominio igual a Windows Server 2008. Todos los servidores de espacios de nombres deben ejecutar Windows Server 2008.
Espacio de nombres autónomo Este tipo de espacio de nombres se utiliza, por lo general, cuando la empresa no posee un dominio Active Directory. La alta disponibilidad se asegura mediante un clúster de conmutación por error.
2. La replicación DFS
La replicación DFS es un mecanismo que permite replicar las distintas carpetas sobre uno o varios servidores. Este tipo de replicación ofrece la ventaja de utilizar la compresión diferencial remota, que es un protocolo de tipo cliente-servidor que permite la detección de las modificaciones (agregar/quitar/modificar) operadas sobre un archivo con el objetivo de replicar únicamente este bloque de datos modificados. Este protocolo se utiliza en archivos con un tamaño mínimo de 64 KB. Tras la replicación, se crea una carpeta intermedia, con una copia comprimida del archivo, y a continuación se envía el archivo. El servidor que recibe los datos almacena, a su vez, el archivo en una carpeta intermedia. Cuando se termina la descarga el archivo se descomprime y, a continuación, se ubica en la carpeta adecuada. Estas carpetas temporales están presentes, por lo general, en DFSrPrivate\Staging. En caso de producirse algún conflicto en la replicación, la persona que ha realizado la última modificación aporta los cambios. Si el conflicto afecta al nombre del archivo, el primer usuario que realiza la modificación aporta los cambios. Se produce una copia de los archivos que han "perdido en la resolución del conflicto" en la ruta DFSrPrivate\ConflictandDeleted.
3. Funcionamiento del espacio de nombres Para facilitar la compresión del funcionamiento del espacio de nombres, vamos a estudiar un ejemplo. Un usuario llamado Nicolás trabaja en la sede de la empresa Formacion. La empresa está compuesta por una sede social en Madrid así como una agencia en Valencia. Los usuarios utilizan el espacio de nombres para acceder a los distintos recursos compartidos. El equipo cliente del usuario contacta al servidor del espacio de nombres (1) que le envía una lista ordenada (en función de los criterios configurados por los administradores) de los servidores que contienen carpetas compartidas (destinos de carpeta) a los que el usuario puede acceder. El equipo cliente intenta acceder al primer servidor (2) de la lista (los demás se contactan únicamente si el primer servidor está en fuera de servicio).
En la etapa 2, el usuario tiene la posibilidad de acceder a los demás servidores puesto que se ha implementado la replicación entre los dos servidores.
4. La desduplicación de datos
Windows Server 2012 R2 ofrece la posibilidad de habilitar la desduplicación de datos. Esta funcionalidad no puede utilizarse en una partición de sistema. El objetivo de esta funcionalidad es optimizar el espacio de disco. De este modo, un bloque idéntico en varios archivos se almacena una única vez. La desduplicación de datos ofrece varias ventajas, entre ellas la optimización del espacio en disco, cuyo consumo se ve reducido. La primera etapa de la implementación es la instalación de la funcionalidad. Ésta puede realizarse mediante la consola Administrador del servidor. En esta consola, haga clic en el enlace Agregar roles y características y, a continuación, seleccione el servicio de rol Desduplicación.
Es, a su vez, posible realizar la instalación mediante el comando PowerShell: Import-Module ServerManager Add-WindowsFeature -name FS-Data-Deduplication Import-Module Deduplication A continuación, es necesario habilitar la funcionalidad en el volumen deseado. Esta etapa puede realizarse mediante la interfaz gráfica. En el Panel, seleccione Servicios de archivos y almacenamiento. Seleccione Volúmenes y, a continuación, haga clic con el botón derecho en el volumen deseado (todos, salvo el volumen del sistema).
Haga clic en Configurar desduplicación de datos. Marque la opción Habilitar desduplicación de datos y, a continuación, configure las opciones como desee.
Como con la instalación, la etapa de activación puede realizarse por línea de comandos: Enable-DedupVolume D:
5. Escenarios DFS El sistema DFS permite trabajar con varios escenarios.
Compartición de archivos entre distintas sedes Los archivos se intercambian entre dos o más sitios de la empresa. Esta solución permite realizar una replicación bidireccional que asegura tener todos los servidores actualizados. Además, las personas en itinerancia de un sitio tienen un acceso a los distintos archivos de forma más sencilla. Observe que las modificaciones se replican únicamente cuando se cierra un archivo.
Este escenario no se recomienda para archivos de tipo base de datos o archivos abiertos durante
un gran periodo de tiempo (por ejemplo, un archivo Excel de seguimiento en producción que esté abierto durante todo el día por parte del equipo de servicio en producción).
Recopilación de datos El escenario de recopilación de datos consiste en recuperar los datos de un sitio para replicarlos en otro sitio. La replicación es de tipo unidireccional. Puede consistir en replicar los datos en un sitio concentrador con el objetivo de poder realizar una copia de seguridad.
De este modo, los datos están presentes en ambos sitios, lo que permite una tolerancia a fallos en caso de ocurrir cualquier problema en el primer servidor, con un coste hardware menor en los sitios remotos (ya no es necesario realizar una copia de seguridad de los archivos en cada sede puesto que se consolidan en el sitio central).
Publicación de datos Esta solución consiste en replicar los documentos en varios servidores (por ejemplo, un archivo de catálogo que se replica desde la sede matriz hacia el conjunto de agencias regionales).
De este modo, cada departamento comercial puede acceder a los archivos de catálogo en su servidor local.
Configuración del espacio de nombres La configuración de un espacio de nombres es un conjunto de etapas que consiste en crear el espacio de nombres, crear las carpetas en el espacio de nombres y, por último, los destinos de estas carpetas. Éstas pueden apuntar sobre una carpeta compartida que ya exista o sobre una carpeta creada y compartida a tal efecto. A continuación es posible realizar otras operaciones de tipo ABE, tales como la configuración del orden de referencias.
1. Implementar el servicio DFS La primera etapa es la creación del espacio de nombres. Esta etapa puede ejecutarse mediante el asistente. Debe indicarse información como el tipo de espacio de nombres (autónomo o basado en un dominio), el modo (Windows 2000, Windows Server 2008) así como el nombre del servidor y el nombre del espacio de nombres. A continuación, es necesario indicar las carpetas, ligadas ellas mismas a uno o varios destinos de carpeta. Si los usuarios deben acceder por defecto a su servidor local, es necesario tener un destino por cada sitio. Hemos visto más arriba que el servidor provee al cliente una lista ordenada, el administrador tiene la posibilidad de indicar el orden deseado (servidor del sitio en primer lugar, orden aleatorio, excluir destinos que estén fuera del sitio del cliente, etc.). Esta etapa se puede configurar en las propiedades del espacio de nombres.
2. Optimización de un espacio de nombres Además de las operaciones que consisten en renombrar o desplazar una carpeta creada en el espacio de nombres, es posible deshabilitar las referencias a una carpeta. Esta etapa consiste en impedir a un equipo acceder a una carpeta compartida en un servidor. Resulta muy útil cuando se modifican los servidores de archivos y se encuentran en plena migración. Es posible modificar el valor de la caché de referencia, cuyo valor es de 5 minutos (300 segundos) por defecto. Este valor se renueva cuando el equipo utiliza una referencia. Esto permite, por tanto, utilizar la lista de referencias de forma indefinida. Con el uso de un espacio de nombres basado en Active Directory, los servidores de dicho espacio de nombres consultan a Active Directory para obtener los datos más recientes relativos al espacio de nombres. Es posible utilizar dos modos: Optimizar para coherencia: se trata del modo por defecto, consiste en preguntar al controlador de dominio que posee el rol de Maestro emulador de PDC cuando se realiza cualquier modificación del espacio de nombres. Optimizar para escalabilidad: todos los servidores del espacio de nombres consultan a su controlador de dominio a intervalos periódicos.
Configuración y mantenimiento de DFS-R Una mala replicación puede generar enormes problemas, por lo que se recomienda asegurar un correcto funcionamiento de esta funcionalidad.
1. Funcionamiento de la replicación Un grupo de replicación consiste en agrupar un conjunto de servidores que participan en la replicación de una o varias carpetas. Tras la creación del grupo es necesario realizar una elección entre un grupo de replicación multiuso, que permite realizar una replicación entre dos servidores como mínimo (este tipo de grupo puede utilizarse en la mayoría de escenarios DFS), y el grupo de replicación para la recopilación de datos, que permite realizar una replicación de tipo bidireccional entre dos servidores (por ejemplo, un servidor en la sede matriz y otro en alguna sede deslocalizada). Tras la configuración de la replicación es necesario seleccionar una topología. Podemos escoger entre tres topologías distintas: Concentrador y radio: esta topología requiere, como mínimo, tres servidores en el mismo grupo de replicación. Esta topología se utiliza en el escenario de publicación (envío de un archivo de un sitio principal hacia sedes regionales). Malla completa: los miembros modificaciones aportadas.
realizan replicaciones
entre
ellos
en función de
las
Sin topología: esta opción permite realizar la configuración de la topología más adelante.
2. Proceso de replicación inicial Tras la configuración de la replicación, el asistente solicita un miembro principal. Se trata del servidor que posee los archivos a replicar más actualizados. En caso de conflicto, este servidor impone su autoridad. El inicio de la replicación inicial no es inmediato, es necesario, previamente, realizar una replicación de los parámetros DFS así como de los parámetros de la topología en el conjunto de los controladores de dominio. A continuación, puede comenzar la replicación inicial entre el miembro principal y los demás servidores. Tras la recepción, los archivos presentes en un miembro de recepción pero no presentes en el miembro principal se mueven a la carpeta DFSrPrivate\PreExisting del miembro de recepción. A continuación, se suprime la designación del miembro principal, y el servidor que poseía esta función ya no tiene autoridad sobre los demás servidores, y se convierte en un servidor más del miembro, al mismo nivel que el resto de servidores.
3. Mantenimiento del sistema de replicación DFS provee herramientas que permiten resolver problemas de replicación DFS. El informe de diagnóstico es una herramienta que permite crear informes de diagnóstico. Estos informes permiten validar tres puntos: La integridad de la replicación: permite obtener informes completos acerca de la integridad y la eficacia de la replicación. Prueba de propagación: necesaria para la generación de un informe de propagación, permite crear un archivo en una carpeta replicada. Esta operación permite verificar la replicación. Informe de propagación: permite obtener información acerca de la propagación del archivo de prueba que se ha generado en la prueba de propagación (esta etapa debe realizarse previamente). De este modo, el informe ofrece información acerca del correcto funcionamiento de la replicación. La herramienta Comprobar topología permite verificar el estado de la topología del grupo de
replicación. Este informe permite obtener información acerca de los miembros desconectados. Es, también, posible utilizar el comando nivel del servicio Replicación DFS.
dfsrdiag, esta herramienta permite obtener información a
4. Operaciones sobre la base de datos La replicación DFS permite realizar la replicación de una o varias carpetas de manera óptima. Utilizada por servidores locales o remotos, es frecuente encontrar esta funcionalidad para la replicación de un espacio de nombres o para la carpeta SYSVOL. El uso del algoritmo de compresión (compresión remota (RDC)) permite optimizar la replicación. En efecto, este algoritmo permite detectar los cambios y realiza únicamente la replicación de los bloques modificados. La tasa de transferencia necesaria en la línea WAN se ve, por tanto, reducida. Con Windows Server 2012 R2 es posible, en lo sucesivo, realizar la exportación de una base de datos de replicación DFS para poder importarla en otros servidores. De este modo, se reduce el tiempo de instalación inicial, mejorando el tiempo de la replicación inicial. La operación se realiza mediante el comando de PowerShell Export-DFSrClone. Es posible realizar la exportación de los parámetros del archivo de configuración de volumen así como de la base de datos. La importación se realiza mediante el comando
Import-DfsrClone.
Son necesarios algunos requisitos previos para poder realizar una operación de clonado: Servicio de replicación DFS instalado Una única operación de clonado a la vez por servidor Utilizar una cuenta miembro del grupo Administradores de dominio Windows Server 2012 R2 ofrece, también, una nueva funcionalidad en la gestión de esta base de datos. En efecto, en lo sucesivo es posible recuperar una base de datos corrupta. Tras la replicación inicial, el sistema de replicación detecta si la base de datos está corrupta. Si fuera el caso, la base de datos se reconstruye con ayuda de la información del registro USN y de los archivos locales. A continuación, se asigna a cada archivo un estado replicado igual a normal. El sistema de replicación DFS contacta con sus servidores asociados para fusionar las modificaciones. De este modo, en combinación con la replicación, se recuperan las modificaciones más recientes. En los sistemas operativos precedentes, una base de datos corrupta desencadenaba una replicación DFS para eliminar la base de datos e iniciar una replicación inicial. De este modo, todos los archivos en conflicto eran remplazados (copia a la carpeta ConflictAndDeleted o PreExisting). Esto podía causar pérdida de información.
Trabajos prácticos: Gestión del servidor de archivos Estos trabajos prácticos muestran cómo instalar y configurar las funcionalidades que permiten administrar un sistema de archivos.
1. Instalación del rol FSRM e implementación de cuotas Objetivo: instalación del servicio de rol Administrador de recursos del servidor de archivos (FSRM). Máquina virtual: AD1. Arranque la máquina virtual AD1 y, a continuación, inicie una sesión como administrador de dominio. En la consola Administrador del servidor, haga clic en Agregar roles y características. En la ventana Seleccione el tipo de instalación, deje marcada la opción Instalación basada en características o en roles. En la ventana de selección de servidor de destino, deje la opción por defecto y haga clic enSiguiente. Marque Servicios de archivos y almacenamiento y, a continuación, Servicios de iSCSI y archivo. Marque Administrador de recursos del servidor de archivos y, a continuación, haga clic en el botón Agregar características en la ventana emergente.
Haga clic en Instalar para confirmar la instalación. En las Herramientas administrativas, haga doble clic en Administrador de recursos del servidor de archivos. Se abre la consola que permite administrar el sistema de archivos.
La administración del sistema de archivos (creación de plantillas de cuota, filtrado de archivos, creación de informes) se realiza mediante esta consola. En la consola, despliegue el nodo Administración de cuotas. Haga clic con el botón derecho en Plantillas de cuota y, a continuación, haga clic en Crear plantilla de cuota. Escriba Limitación 100 MB - Data User en el campo Nombre de plantilla. Deje el límite en 100 MB y el tipo de cuota en Cuota máxima.
En la zona Umbrales de notificación, haga clic en el botón Agregar. La notificación que se utiliza es la creación de un evento en el registro de eventos. El
campoEntrada de registro contiene el texto y las variables. Es posible modificar el texto agregando las variables deseadas.
Al final del campo Entrada de registro, escriba El tamaño total de la cuota es de: MB. Agregue, antes de MB, la variable [Quota Limit MB] seleccionándola de la lista desplegable y, a continuación, haga clic en Insertar variable.
Haga clic en Aceptar y, a continuación, repita la operación para un umbral de notificación del 95%.
Valide haciendo clic en Aceptar.
Ahora es posible agregar cuotas basadas en esta plantilla. Antes de realizar esta operación, deben crearse carpetas de usuario.
En la partición D:, cree una carpeta llamada Usuarios. En la consola Administrador de opciónAdministración de cuotas.
recursos
del
servidor
de
archivos,
despliegue
la
Haga clic en Cuotas y, a continuación, en el panel Acciones, haga clic en Crear cuota. Haga clic en el botón Examinar para seleccionar la carpeta Usuarios en la partición D:. Seleccione la opción Aplicar plantilla autom. y crear cuotas en subcarpetas nuevas y existentes. Seleccione la plantilla de cuota Limitación 100 MB - Data user.
Haga clic en Crear. En la carpeta D:\Usuarios, cree una carpeta llamada jlopez. Actualice la consola. Aparece la cuota asignada a la carpeta.
Abra una ventana de comandos DOS y, a continuación, escriba el siguiente comando: fsutil file createnew d:\usuarios\jlopez\file1.txt 89400000 Es posible descargar el archivo que contiene el comando desde la página Información.
El comando permite crear un archivo de texto vacío de 85 MB.
Se crea el archivo en la carpeta jlopez con un tamaño de 85 MB. Tras la creación de este archivo se supera el primer umbral. Abra el administrador del servidor y, a continuación, desplegableHerramientas seleccione Administración de equipos.
mediante
la
lista
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuación, haga clic en el registro Aplicación. Aparece un evento con el ID 12325 informando de la superación del umbral.
Actualice la consola Administrador de recursos del servidor de archivos para actualizar el valor de consumo de cuota.
Escriba la siguiente instrucción en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\file2.txt 16400000 Es posible descargar el archivo que contiene el comando desde la página Información.
Aparece un mensaje indicando que el espacio en disco es insuficiente. Se ha superado la cuota. Es imposible, por tanto, crear el archivo.
2. Implementación de una política de filtrado por extensión Objetivo: bloquear ciertas extensiones no deseadas para evitar que se almacenen archivos de
imagen (por ejemplo, JPG) en el servidor de archivos. Máquina virtual: AD1. En la consola Administración de recursos nodoAdministración del filtrado de archivos.
del
servidor
de
archivos,
despliegue
el
Haga clic con el botón derecho en Plantilla de filtro de archivos y, a continuación, seleccioneCrear plantilla de filtro de archivos. Escriba Filtrado Data - Users en el campo Nombre de plantilla. Seleccione Filtrado activo en el tipo de filtrado y, a continuación, Archivos de imagen entre los grupos de archivos.
Haga clic en la pestaña Registro de eventos y, a continuación, marque la opción Enviar advertencia al registro de eventos. Haga clic en Aceptar para validar la creación de la plantilla. Haga clic con el botón derecho en Filtrado de archivos y, a continuación, seleccione Crear filtro de archivos. Mediante el botón Examinar, seleccione la carpeta deseada y, a continuación, la plantilla Filtrado Data - Users.
Haga clic en el botón Crear. Aparece el filtrado en la consola. Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\foto.jpg 1000 Es posible descargar el archivo que contiene el comando desde la página Información.
La escritura de un archivo de tipo imagen está prohibida en D:\usuarios. Abra el Visor de eventos, despliegue Registro de Windows y, a continuación, haga clic en el registro Aplicación. El evento con el ID 8215 registra el intento de crear un archivo cuya extensión está prohibida.
Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\foto.jpg 1000 Es posible descargar el archivo que contiene el comando desde la página Información.
La prohibición está, también, presente en la carpeta D:\usuarios\jlopez. Es, no obstante, posible autorizar la creación de archivos de tipo imagen en la subcarpeta jlopez. Para ello es preciso crear una excepción al filtro de archivos. En la consola Administración de recursos del servidor de archivos, despliegue Administración del filtrado de archivos. Haga clic con el botón derecho en Filtrado de archivos y, a continuación, haga clic en Crear excepción al filtro de archivos. Mediante el botón Examinar, seleccione la carpeta D:\usuarios\jlopez. Marque Archivos de imagen en Grupos de archivos.
Haga clic en Aceptar para crear la excepción. Ejecute el siguiente comando en una ventana de comandos DOS: fsutil file createnew d:\usuarios\jlopez\foto.jpg 1000 Es posible descargar el archivo .bat desde la página Información.
Es posible crear el archivo. Cualquier usuario podría, no obstante, esquivar el filtro modificando la extensión del archivo.
3. Uso de los informes de almacenamiento Objetivo: generar los informes necesarios que permitan auditar el servidor de archivos. Máquina virtual: AD1. En la consola Administración de recursos del servidor de archivos, haga clic con el botón derecho en Administración de informes de almacenamiento y, a continuación, haga clic enGenerar informes ahora. En los datos del informe, seleccione Uso de cuotas. Deje el formato de salida en DHTML.
La pestaña Ámbito permite agregar carpetas al ámbito de aplicación pestaña Entregapermite, por ejemplo, enviarle un informe por correo electrónico.
del
informe.
La
Haga clic en la pestaña Ámbito y, a continuación, en el botón Agregar. Seleccione la subcarpeta jlopez presente en D:\usuarios y, a continuación, haga clic en Aceptar. Marque la opción para esperar a la generación de todos los informes y, a continuación, haga clic en Aceptar. Abra la página HTML que acaba de crearse.
El informe presenta el uso de cuotas en la carpeta jlopez.
Haga clic con el botón derecho en Administración de informes de almacenamiento y, a continuación, haga clic en Programar una nueva tarea de informes. En Nombre de informe, escriba Verificación filtrado + Cuota y, a continuación, marque únicamente los informes Auditoría de filtrado de archivos y Uso de cuotas.
Haga clic en la pestaña Ámbito y, a continuación, en el botón Agregar. Seleccione, mediante la ventana, la carpeta jlopez presente en D:\usuarios. Haga clic en la pestaña Programación, marque el día deseado y programe la hora de ejecución.
Aparece la planificación en la consola.
Se crea el informe en la ruta C:\StorageReports\Scheduled.
Los informes permiten obtener de manera muy rápida información muy completa sobre un servidor de archivos. La administración del servidor de archivos se ve, así, simplificada.
4. Configuración de la clasificación Objetivo: implementar y configurar la clasificación. Máquina virtual: AD1. En AD1, cree un grupo de seguridad llamado Consultores (grupo de seguridad global). No es preciso incluir ningún usuario en este grupo. Abra la consola Administrador de recursos del servidor de archivos. Despliegue el nodo Administración de clasificaciones y, a continuación, seleccione Propiedades de la clasificación. Haga clic con el botón derecho sobre este nodo y, a continuación, seleccione la opción Crear propiedad local. Escriba Confidencial en el campo Nombre y, a continuación, haga clic en Aceptar.
Haga clic con el botón derecho en el nodo Reglas de clasificación y, a continuación, en el menú contextual, seleccione Crear regla de clasificación. En el campo Nombre de la regla escriba Nombre Confidencial y, a continuación, haga clic en la pestaña Ámbito.
Cree una carpeta en la partición C: con el nombre Archivos comunes. Vuelva al asistente que permite crear la regla de clasificación y, a continuación, en la pestañaÁmbito, haga clic en el botón Agregar y seleccione la carpeta que acaba de crear. Seleccione la pestaña Clasificación y, a continuación, en la lista desplegable Método de clasificación, seleccione Clasificador de contenido.
Verifique la presencia de la propiedad Confidencial en la lista desplegable Elija una propiedad para asignar a los archivos. Haga clic en el botón Configurar y, a continuación, en la lista desplegable Tipo de expresión, seleccione Cadena. Escriba Confidencial en el campo Expresión. Haga clic dos veces en Aceptar. Seleccione el nodo Tareas de administración de archivos y, a continuación, seleccione Crear tarea de administración de archivos. Escriba Restricción a nivel confidencial en el campo Nombre de tarea. Seleccione la pestaña Ámbito y, a continuación, mediante el botón Agregar, seleccione la carpetaC:\Archivos comunes. Haga clic en la pestaña Acción seleccioneExpiración de archivo.
y,
a
continuación,
en
Cree una carpeta en la partición C: con el nombre Confidencial. Con ayuda del botón Examinar, seleccione la carpeta Confidencial.
la
lista
desplegable
Tipo,
Seleccione la pestaña Condición y, a continuación, haga clic en el botón Agregar. Configure la ventana como se indica a continuación: Propiedad: Confidencial Operador: Existe Haga clic en Aceptar y, a continuación, seleccione el día deseado en la pestaña Planificación. Haga clic en Aceptar para crear la tarea de administración. Abra el Bloc de notas y, a continuación, escriba Éste es un archivo confidencial. Guarde el archivo con el nombre Texto1.txt en la carpeta C:\Archivos comunes en AD1.
Repita la operación para crear otro archivo, esta vez con el nombre Texto2.txt. Su contenido será idéntico al de Texto1. Si no se ha configurado ninguna planificación, haga clic con el botón derecho en la tarea de administración de archivos con el nombre Restricción a nivel confidencial y, a continuación, en el menú contextual, seleccione la opción Ejecutar tarea de administración de archivos ahora. Seleccione la opción Ejecutar la tarea en segundo plano (recomendado) y, a continuación, haga clic en Aceptar.
Comprobará que los archivos se han movido, correctamente, a la carpeta Confidencial. Es posible observar cómo se ha respetado la estructura de su anterior ubicación.
Planificando esta acción de manera regular, garantizaremos una clasificación correcta de los archivos.
5. Instalación y configuración del servidor DFS Objetivo: instalar y configurar un espacio de nombres DFS. Máquinas virtuales: AD1 y SV1 Inicie una sesión como administrador en AD1 y SV1.
En AD1, abra la consola Administrador del servidor y, a continuación, haga clic en Agregar roles y características. En la ventana Seleccione el tipo de instalación, deje la opción por defecto y, a continuación, haga clic en Siguiente. Haga clic en Siguiente en la ventana de selección del servidor de destino. Despliegue los roles Servicios de archivos y almacenamiento y, a continuación, Servicios de iSCSI y archivo. Marque Espacios de nombres DFS y Replicación DFS y, a continuación, haga clic en Agregar funcionalidades en la ventana emergente.
Valide haciendo clic en Siguiente. Haga clic en Siguiente en la ventana Seleccionar funcionalidades y, a continuación, en Instalar. Haga clic en Cerrar al finalizar la instalación y, a continuación, repita la misma operación con el servidor SV1. En AD1, haga clic en Administración de DFS en las Herramientas administrativas. Haga clic en Nuevo espacio de nombres (panel Acciones) en la consola que acaba de abrir. Mediante el botón Examinar en la ventana Servidor de espacio de nombres, seleccione ad1 y, a continuación, haga clic en Siguiente.
En el campo Nombre del espacio de nombres, escriba DocsFormacion. Haga clic en el botón Editar configuración. Este menú permite configurar la ruta de acceso local a la carpeta compartida y, también, sus permisos. En la zona Permisos de la carpeta compartida, haga clic en el botón de radio que autoriza a los administradores con permisos de control total y, a los demás usuarios, con permisos de lectura/escritura. En la ventana Tipo de espacio de nombres, deje la configuración por defecto y pulse enSiguiente. Habilitando el modo Windows Server 2008 se habilitan funcionalidades suplementarias tales como la enumeración basada en el acceso.
Haga clic en Crear para iniciar la creación. Si no aparece ningún error, cierre el asistente. Despliegue el nodo Espacios de nombres y, a continuación, seleccione el espacio de nombres y haga clic en la pestaña Servidores de espacio de nombres.
En el panel Acciones, haga clic en Agregar servidor de espacio de nombres. Mediante el botón Examinar, seleccione el servidor SV1. Haga clic en el botón Editar configuración. En Permisos de carpeta compartida, haga clic en la opción que autoriza a los administradores con permisos de control total y a los demás usuario con permisos de lectura/escritura y, a
continuación, haga clic dos veces en Aceptar. Se ha agregado el servidor al espacio de nombres. Haga clic en la pestaña Espacio de nombres y, a continuación, en Nueva carpeta en el panelAcciones. Escriba Carpeta RRHH en el campo Nombre y, a continuación, haga clic en Agregar.
En la ventana Agregar destino de carpeta, haga clic en Examinar. Haga clic en Nueva carpeta compartida. En Nombre del recurso compartido escriba RRHH y, a continuación, mediante el botónExaminar, cree una carpeta compartida en D: con el nombre DocsRRHH. Haga clic en Aceptar y, a continuación, marque la opción Los administradores tienen acceso total; otros usuarios tienen permisos de lectura/escritura.
Haga clic en Aceptar para validar todas las ventanas. Haga clic, de nuevo, en Nueva carpeta. En el campo Nombre escriba Secretaría y, a continuación, haga clic en Agregar. En la ventana Agregar destino de carpeta, haga clic en Examinar. Haga clic en Examinar en la ventana Buscar carpetas compartidas. Escriba SV1 y valide la selección haciendo clic en Comprobar nombres, a continuación haga clic en Aceptar. Haga clic en Mostrar carpetas compartidas y, a continuación, en DocsFormacion. Cree una nueva carpeta llamada Secretaría repitiendo el mismo procedimiento. Valide las ventanas haciendo clic en Aceptar. Se muestran en la consola las dos carpetas. Existe un acceso a \\formacion.local\DocsFormacion que permite acceder a sus carpetas sin tener por qué conocer el servidor sobre el que están ubicados.
Las dos carpetas presentes en el espacio de nombres se encuentran en dos servidores separados. Es útil activar la replicación DFS para asegurar la disponibilidad de los datos.
6. Configuración de la replicación Objetivo: implementar la replicación DFS entre dos servidores. Máquinas virtuales: AD1 y SV1. En la consola Administración DFS, haga clic en el nodo Replicación y, a continuación, en Nuevo grupo de replicación en el panel Acciones. En la ventana que permite escoger el tipo de grupo, seleccione Grupo de replicación multipropósito y, a continuación, haga clic en Siguiente. En Nombre del grupo de replicación, escriba Grupo RRHH y, a continuación, valide haciendo clic en Siguiente.
Debe agregar los servidores AD1 y SV1. Para realizar esta operación, haga clic en el botónAgregar. Seleccione el tipo de topología Malla completa y, a continuación, haga clic en Siguiente. Es posible planificar o limitar el ancho de banda para evitar crear un cuello de botella. Deje la opción por defecto en la ventana Programación del grupo de replicación y ancho de banda y, a continuación, haga clic en Siguiente. En la lista desplegable que permite escoger el Miembro principal, seleccione AD2 y, a continuación, haga clic en Siguiente. Es preciso, a continuación, seleccionar las carpetas que se quieren replicar. Haga clic en el botón Agregar. En la ventana Carpetas que se replicarán, haga clic en Examinar y, a continuación, seleccione la carpeta DocsRRHH. Valide haciendo clic en Aceptar y, a continuación, haga clic en Siguiente.
En la ventana Ruta de acceso local de DocsRRHH en otros miembros, haga clic en el botónEditar. Escoja la opción Habilitada y, a continuación, haga clic en Examinar. Cree una nueva carpeta llamada DocsRRHH en la partición C: del servidor SV1. Haga clic en Siguiente y, a continuación, en Crear. Si todo queda de color verde, haga clic en Cerrar.
La replicación puede llevar cierto tiempo.
Repita la misma operación con la carpeta Secretaría. El miembro principal es SV1, y el grupo de replicación se denominará Grupo Secretaría. Acceda, con ayuda del explorador, a la ruta UNC \\formacion.local\docsformacion. Cree un archivo de texto llamado CV en Carpeta RRHH y, a continuación, otro archivo llamadoContrato en Secretaría. Verifique la presencia de ambos archivos en las carpetas Carpeta RRHH y Secretaría de ambos servidores. Se ha realizado la replicación y los archivos están replicados.
Uso de informes Haga clic en el grupo de replicación Grupo RRHH y, a continuación, en el panel Acciones haga clic en Crear informe de diagnóstico. Seleccione la opción Prueba de propagación y, a continuación, haga clic en Siguiente.
Deje los valores por defecto y, a continuación, haga clic en Siguiente. Haga clic en el botón Crear para iniciar la operación. Si no ocurre ningún error, haga clic en Cerrar. Haga clic en el grupo de replicación Grupo RRHH y, a continuación, en el panel Acciones haga clic en Crear informe de diagnóstico. Seleccione la opción Informe de propagación. En la ventana de las opciones del informe, haga clic en Siguiente. La ventana Ruta de acceso de informe permite seleccionar la carpeta que va a contener el informe. Deje la ruta por defecto y, a continuación, haga clic en Siguiente. Haga clic en Crear para iniciar la operación de creación. El informe se ejecuta al finalizar el asistente.
Los informes permiten no sólo asegurar el buen funcionamiento del espacio de nombres DFS sino también la replicación. Puede resultar útil planificar la creación de estos informes.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué permite realizar FSRM? 2 ¿Para qué puede servir un informe que indique los archivos abiertos con menor frecuencia? 3 ¿Qué módulo PowerShell permite realizar la configuración del rol FSRM? 4 ¿Qué es una cuota? 5 ¿A qué se puede aplicar una cuota? 6 ¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia? 7 ¿Cuáles son las distintas notificaciones que es posible utilizar? 8 ¿Por qué conviene utilizar una plantilla de cuota? 9 ¿Qué applet PowerShell permite obtener información acerca de las cuotas? 10 ¿Cuál es el objetivo del filtrado de archivos? 11 ¿Cómo se agrupan las extensiones cuya ejecución debe bloquearse? 12 ¿Cuáles son los distintos tipos de filtros que es posible implementar? 13 ¿Qué applet PowerShell permite implementar un filtrado de archivos? 14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. ¿Cuál es la utilidad de los archivos a excluir? 15 Nombre los formatos de informes que es posible utilizar. 16 ¿Cuál es el nombre de la carpeta padre que contiene los informes? 17 ¿Qué permite hacer la funcionalidad DFS? 18 ¿Cuál es el objetivo de la replicación DFS? 19 ¿Es posible utilizar la replicación DFS sin instalar el espacio de nombres DFS? 20 ¿Cuáles son los dos tipos de espacios de nombres que es posible configurar? 21 ¿Qué aporta el modo Windows Server 2008? 22 ¿Qué es ABE? 23 ¿Qué niveles funcionales son necesarios para implementar el modo Windows Server 2008? 24 ¿Qué ventaja supone utilizar la compresión diferencial remota? 25 ¿Cuál es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted? 26 ¿Cuál es el objetivo de la desduplicación de datos? 27 ¿Es posible utilizar la desduplicación sobre una partición de sistema? 28 ¿Cómo se realizan las operaciones de exportación y de importación de la base de datos? 29 ¿Es necesario instalar el servicio de replicación DFS para asegurar la alta disponibilidad en un espacio de nombres DFS?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas.
Por cada respuesta correcta, cuente un punto. Número de puntos:
/29
Para superar este capítulo, su puntuación mínima debería ser de 23 sobre 29.
3. Respuestas 1 ¿Qué permite realizar FSRM? FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que permiten administrar y controlar distintos tipos de datos. 2 ¿Para qué puede servir un informe que indique los archivos abiertos con menor frecuencia? El informe que indica los archivos abiertos con menor frecuencia puede resultar muy útil para implementar una estrategia de archivado. Este informe permite archivas aquellas carpetas menos abiertas. 3 ¿Qué módulo PowerShell permite realizar la configuración del rol FSRM? El módulo FileServerResourceManager permite configurar el rol FSRM. 4 ¿Qué es una cuota? Una cuota es un elemento que permite limitar el espacio asignado para cada usuario. 5 ¿A qué se puede aplicar una cuota? Es posible aplicar una cuota a un volumen o, simplemente, a una carpeta. Además, es posible aplicar automáticamente la cuota a las subcarpetas. 6 ¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia? Una cuota de advertencia permite al usuario superar el límite impuesto, aunque se realizan las distintas notificaciones implementadas. Una cuota máxima, por el contrario, impide al usuario superar el límite impuesto. 7 ¿Cuáles son las distintas notificaciones que es posible utilizar? Una vez implementada una cuota es posible configurar varios tipos de notificaciones. Es posible enviar un correo, ejecutar un comando, agregar un evento en el visor de eventos o, simplemente, generar un informe. 8 ¿Por qué conviene utilizar una plantilla de cuota? Una plantilla de cuota facilita el hecho de aportar posibles actualizaciones a las cuotas. Realizando una modificación sobre la plantilla, el conjunto de cuotas generadas a partir de la misma reciben, a su vez, la actualización. 9 ¿Qué applet PowerShell permite obtener información acerca de las cuotas? Para obtener información acerca de las cuotas es preciso utilizar el applet PowerShell Get-FSRM. 10 ¿Cuál es el objetivo del filtrado de archivos? El filtrado de archivos tiene como objetivo impedir la ejecución de archivos con determinadas extensiones. 11 ¿Cómo se agrupan las extensiones cuya ejecución debe bloquearse? La funcionalidad Filtrado de archivos utiliza grupos de archivos con el objetivo de agrupar un conjunto de extensiones a bloquear. 12 ¿Cuáles son los distintos tipos de filtros que es posible implementar? Es posible implementar filtros activos que impiden la ejecución del archivo cuya extensión está prohibida, o filtros pasivos que simplemente realizan notificaciones, dejando que se ejecute el archivo.
13 ¿Qué applet PowerShell permite implementar un filtrado de archivos? Es posible utilizar el comando PowerShell New-FSRMFileScreen para implementar filtros. 14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. ¿Cuál es la utilidad de los archivos a excluir? Los archivos a excluir permiten determinar las extensiones de archivos que no se bloquearán. 15 Nombre los formatos de informes que es posible utilizar. Existen varios formatos que es posible configurar tras la generación de un informe. Entre otros, encontramos los formatos DHTML, HTML, XML, CSV, Texto. 16 ¿Cuál es el nombre de la carpeta padre que contiene los informes? Los informes se crean en la carpeta StorageReports presente en la partición del sistema. 17 ¿Qué permite hacer la funcionalidad DFS? DFS es un sistema que facilita la administración de un sistema de archivos. Ofrece, a una empresa, una tolerancia a fallos redirigiendo a los usuarios hacia otro servidor en caso de producirse algún error grave. 18 ¿Cuál es el objetivo de la replicación DFS? La replicación DFS tiene como objetivo replicar los datos de un servidor a otro. 19 ¿Es posible utilizar la replicación DFS sin instalar el espacio de nombres DFS? Sí, es posible utilizar la replicación DFS sin tener que configurar un espacio de nombres DFS. 20 ¿Cuáles son los dos tipos de espacios de nombres que es posible configurar? Tras la configuración del espacio de nombres, es preciso seleccionar los tipos de espacio de nombres deseados. Existen dos opciones posibles, los espacios de nombres basados en un dominio y los que son autónomos. 21 ¿Qué aporta el modo Windows Server 2008? El modo Windows Server 2008 aporta nuevas funcionalidades tales como ABE, aunque también tienen la posibilidad de tener varios destinos de carpeta. 22 ¿Qué es ABE? ABE, o Access Based Enumeration, permite mostrar únicamente aquellas carpetas sobre las que el usuario tiene acceso. 23 ¿Qué niveles funcionales son necesarios para implementar el modo Windows Server 2008? El modo Windows Server 2008 requiere, como mínimo, un nivel funcional Windows Server 2003 a nivel del bosque y un nivel Windows Server 2008 a nivel del dominio. 24 ¿Qué ventaja supone utilizar la compresión diferencial remota? La compresión diferencial remota permite replicar únicamente las modificaciones aportadas. 25 ¿Cuál es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted? Esta carpeta contiene los archivos que presentaron algún conflicto y lo "perdieron", tras la resolución del mismo. 26 ¿Cuál es el objetivo de la desduplicación de datos? El objetivo de esta funcionalidad es optimizar el espacio en disco. De este modo, un bloque idéntico contenido en varios archivos se almacena una única vez. 27 ¿Es posible utilizar la desduplicación sobre una partición de sistema? No, es imposible utilizar la desduplicación en una partición de sistema, solo puede aplicarse en una partición de datos.
28 ¿Cómo se realizan las operaciones de exportación y de importación de la base de datos? Las operaciones de importación y de exportación de la base de datos se realizan mediante cmdlets de PowerShell. Para realizar la operación de exportación, se utiliza Export-DFSrClone, la importación se opera con Import-DfsrClone. 29 ¿Es necesario instalar el servicio de replicación DFS para asegurar la alta disponibilidad en un espacio de nombres DFS? Sí, el servicio de replicación DFS es un requisito previo.
Requisitos previos y objetivos 1. Requisitos previos Poseer nociones acerca de los certificados digitales. Conocer el principio de funcionamiento de una auditoría.
2. Objetivos Descripción del sistema EFS. Mantenimiento y administración de EFS. Implementación y resolución de problemas del sistema de auditoría.
Introducción La seguridad de los archivos y las carpetas es un aspecto esencial en los tiempos actuales. Existen varios mecanismos de seguridad, y cada uno responde a una necesidad de seguridad diferente. Junto a estos mecanismos, es posible implementar un sistema de auditoría que permita disuadir las tentativas de realizar una intrusión y auditar las modificaciones realizadas sobre un directorio Active Directory…
Presentación de EFS La funcionalidad EFS está presente en los sistemas operativos de cliente y de servidor desde hace varios años. No obstante, es necesario comprender su mecanismo de funcionamiento antes de proceder a su implementación para que sea correcto.
1. Funcionamiento de EFS EFS (Encryption File System) permite cifrar los archivos para dotar de seguridad a sus accesos. Es, no obstante, necesario almacenar estos archivos en una partición de tipo NTFS. No es preciso poseer permisos de administración para realizar el cifrado, cualquier usuario puede cifrar los archivos locales o los que se encuentran en una carpeta compartida de red sin acción por parte de un administrador. Para realizar este cifrado es preciso acceder a las propiedades de la carpeta o del archivo deseado. En la pestaña General de las propiedades de la carpeta o del archivo, haga clic en Opciones avanzadas y, a continuación, marque la opción Cifrar contenido para proteger datos.
Se utiliza un certificado para el cifrado y descifrado de los datos.
A continuación, sólo las personas autorizadas tienen la posibilidad de descifrar y acceder al archivo. En caso de una persona no autorizada, aparece un mensaje que indica que se rechaza el acceso. Implementando EFS, un usuario puede poseer autorizaciones NTFS sobre el archivo pero recibir un mensaje de Acceso denegado. En efecto, es necesario autorizar al usuario a descifrar el archivo y, además, otorgarle autorización NTFS. Por defecto, se asigna un certificado autofirmado al usuario que inicia el cifrado. Un par de claves permiten realizar el cifrado y el descifrado se le provee sin que el usuario tenga que intervenir. Para facilitar la gestión de los certificados, es posible utilizar certificados emitidos por una entidad de certificación. Preste atención, esto requiere una administración algo más pesada puesto que es necesario administrar la entidad y gestionar la copia de seguridad / restauración de dicho servidor. EFS utiliza un sistema de cifrado simétrico y asimétrico. Se utiliza una clave simétrica para realizar el cifrado de los archivos y, por tanto, protegerlos contra cualquier ataque, la clave pública (cifrado asimétrico) permite cifrar la clave simétrica necesaria para el descifrado de los archivos. Es, por tanto, imposible acceder a los archivos sin poseer la clave privada del usuario. El cifrado asimétrico utiliza dos claves: una clave pública y una clave privada. La clave pública permite cifrar los archivos mientras que la clave privada permite descifrarlos. El cifrado simétrico utiliza, por su parte, la misma clave para cifrar y descifrar la información, resultando mucho más rápido que el cifrado asimétrico. El inconveniente principal es relativo a la seguridad, cualquier pirata que consiga interceptar la clave simétrica puede descifrar el archivo. De este modo, con el sistema EFS, el usuario recibe un certificado con las claves privada y pública, sólo los usuarios que poseen el certificado tendrán la posibilidad de acceder al archivo.
2. Recuperación de un archivo cifrado La pérdida de la clave privada puede resultar problemática, en efecto es imposible, para un usuario, descifrar su propio archivo. Resulta, por tanto, necesario implementar los procedimientos adecuados para responder a este tipo de problemáticas propias del cifrado. Existen varias soluciones que permiten evitar la pérdida del conjunto de datos cifrados: Realizar una copia de seguridad del certificado digital. En caso de pérdida del certificado, tras la reinstalación de un equipo, por ejemplo, o tras producirse un error en el sistema de información… es posible restablecer el certificado. Es, a su vez, posible restablecer el certificado en el perfil del administrador, el cual podrá descifrar los archivos. Si muchos usuarios utilizan esta solución puede resultar bastante complejo gestionarla. Uso de un agente de recuperación. Este agente es una cuenta a la que se le atribuyen permisos para descifrar todos los archivos cifrados mediante EFS. Por defecto, la cuenta Administrador de dominio posee este rol. Es posible delegar este rol a algún otro usuario mediante las directivas de grupo. Este usuario se agrega automáticamente a los nuevos archivos cifrados, en los que ya estuvieran cifrados la actualización se realiza más adelante cuando se vuelve a guardar (tras una modificación, por ejemplo). Para realizar una copia de seguridad del certificado, es necesario exportarlo con la clave privada.
El rol Agente de recuperación puede asignarse a un usuario mediante una directiva de grupo, para ello es preciso acceder a la ruta Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Sistema de archivos EFS (Encrypting File System).
El administrador se considera, por defecto, como un agente de recuperación.
Configuración de la auditoría Los registros de auditoría permiten almacenar ciertas acciones realizadas por los usuarios. Estos registros pueden visualizarse en el registro de eventos de Seguridad.
1. Visión general de la política de auditoría Una directiva de auditoría permite al administrador supervisar ciertas acciones (inicio de sesión, modificación de una cuenta de Active Directory, acceso a un archivo…). Es preciso, no obstante, realizar la configuración correspondiente para habilitar la auditoría. Las directivas de auditoría se configuran mediante las directivas de grupo en Configuración del equipo, despliegue los nodos Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y, a continuación, Directivas de auditoría. Una vez realizada la configuración deseada es necesario realizar correspondientes en la SACL (System Access Control List) del objeto auditado.
las
autorizaciones
Es posible habilitar varios tipos de configuración de auditoría, entre ellos: Auditar sucesos de inicio de sesión en cuenta: se genera un evento cada vez que un usuario o un equipo intenta realizar una autenticación mediante una cuenta de Active Directory (inicio de sesión del usuario en el dominio, por ejemplo). Por defecto, solo se auditan las conexiones con éxito. Auditar sucesos de inicio de sesión: agrega un evento al registro de eventos de seguridad cuando un usuario intenta acceder a un recurso compartido (directiva de grupo o script sobre un controlador de dominio, archivo sobre un servidor de archivos…). Por defecto, solo se auditan las conexiones con éxito. Auditar la administración de cuentas: permite implementar una auditoría sobre la gestión de cuentas de Active Directory (modificación, eliminación, restablecer contraseña…). Es habitual encontrar la auditoría de los intentos correctos, para los intentos erróneos es preciso configurar el parámetro adecuado. Es vital prestar atención al número de eventos auditados, en efecto, un número importante de auditorías implica un número importante de entradas en el registro de eventos.
2. Definir la configuración de auditoría sobre un archivo o una carpeta La implementación de este tipo de configuración permite auditar los accesos realizados por uno o varios usuarios sobre un archivo o carpeta. La configuración se realiza en varias etapas: Definir la configuración de auditoría: cree una directiva de grupo o modifique alguna existente y, a continuación, modifique la configuración presente en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría.
También es posible configurar más parámetros accediendo a Configuración del equipo\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría.
Configurar la lista SACL: una vez realizada la configuración es preciso configurar la lista SACL del objeto a auditar (archivo, cuenta AD…).
Ejemplo sobre un archivo Vaya a las propiedades del archivo o de la carpeta y, a continuación, seleccione la pestañaSeguridad. Haga clic en el botón Opciones avanzadas presente en la pestaña Seguridad y, a continuación, seleccione la pestaña Auditoría.
Haga clic en Agregar y, a continuación, mediante el enlace Seleccionar una entidad de seguridad, configure el usuario o grupo deseado. Seleccione la acción que desea auditar (lectura, escritura…) marcando la autorización adecuada. La selección Control total permite auditar cualquier acción.
Ejemplo sobre una cuenta de AD Tras la implementación de este parámetro es preciso que el usuario, el equipo o el grupo accedan al recurso para que se cree un evento. Los eventos de auditoría de intentos fallidos son más importantes que los eventos de auditoría correspondientes a intentos con éxito, pues permiten observar intentos de piratería. Vaya a las propiedades del objeto que debe auditarse y, a continuación, seleccione la pestañaSeguridad. Haga clic en el botón Opciones avanzadas y, a continuación, vaya a la pestaña Auditoría. Haga clic en Agregar y, a continuación, mediante el enlace Seleccionar una entidad de seguridad, configure el usuario o grupo deseado. Seleccione la acción que desea auditar (lectura, escritura…) marcando la autorización adecuada.
3. Activación de la política de seguridad La configuración de la SACL no habilita la directiva de auditoría. Es preciso habilitar la configuración de la directiva de grupo, en caso contrario no se registrará ningún evento en el registro de eventos de Seguridad. Es preciso aplicar esta configuración al servidor que contiene el objeto auditado, de modo que la configuración que permite auditar las cuentas de Active Directory se aplica sobre un controlador de dominio mientras que la auditoría de modificaciones de archivo se aplica sobre un servidor de archivos. Es posible habilitar la auditoría desde una directiva local o de dominio, la implementación se realiza de la misma forma sea cual sea el parámetro. Para finalizar, es preciso seleccionar el tipo de auditoría deseado (correcto o error). Recuerde que las auditorías de eventos correctos tienen el inconveniente de crear bastantes más eventos.
A continuación, aparecen registros de eventos en el registro Seguridad. Para acceder abra la consola Administrador del servidor y, a continuación, mediante el menú Herramientas abra la consola Visor de eventos.
Se observan dos tipos de eventos: Auditoría correcta y Error de auditoría. Es importante observar el campo Detalles, que permite obtener información adicional. Se recomienda utilizar filtros o vistas personalizadas para mostrar únicamente los eventos deseados. También resulta práctico obtener únicamente los eventos con un ID, un nombre de usuario, etc., definidos. Las vistas personalizadas se abordan más adelante en este libro.
4. Política de auditoría avanzada Desde Windows Server 2008 R2 es posible implementar políticas de auditoría más específicas. Para ello, acceda al nodo Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada\Directivas de auditoría que provee muchos más parámetros que la ruta por defecto. De este modo, es posible obtener controles más detallados. Existen diez grupos de parámetros de directiva de grupo. Inicio de sesión de cuentas: permite auditar la información de inicio de sesión y eventos de autenticación mediante el protocolo Kerberos.
Administración de cuentas: las modificaciones aportadas a una cuenta de usuario, de equipo o a un grupo pueden ser auditadas mediante este grupo de opciones.
Seguimiento detallado: este parámetro permite implementar auditorías de los eventos de cifrado, de operaciones sobre los procesos de Windows (parada, etc.). Acceso DS: se auditan los accesos a los servicios de directorio, este grupo puede, a su vez, auditar las modificaciones y la replicación del directorio. Inicio y cierre de sesión: este grupo permite auditar todos los eventos de inicio o cierre de sesión.
Acceso a objetos: este grupo contiene los parámetros necesarios para implementar auditorías relativas al acceso a los registros, a una aplicación o, simplemente, a un archivo.
Trabajos prácticos: Configuración de la auditoría Estos trabajos prácticos permiten implementar una política de auditoría.
1. Configuración de una política de auditoría avanzada Objetivo: implementar una política de auditoría mediante una política de auditoría avanzada. Máquinas virtuales: AD1, SV1 y CL8-01. En AD1, abra la consola Usuarios y equipos de Active Directory. Haga clic con el botón derecho en Formacion.local y, a continuación, en el menú contextual, seleccione Nuevo y Unidad organizativa. Escriba Servidores en el campo Nombre y, a continuación, haga clic en Aceptar. Mueva la cuenta de equipo de SV1 a la unidad organizativa Servidores. Abra la consola Administración de directivas de grupo y, a continuación, despliegue Bosque: Formacion.local\Dominios\Formacion.local. Haga clic con el botón derecho en la unidad organizativa Servidores, y, a continuación, haga clic en Crear un GPO en este dominio y vincularlo aquí. Escriba Auditoría avanzada en el campo Nombre y, a continuación, haga clic en Aceptar. Haga clic con el botón derecho en Auditoría avanzada y, a continuación, seleccione la opciónEditar en el menú contextual. Despliegue los nodos Configuración Windows,Configuración de seguridad, avanzada, Directivas de auditoría.
del equipo, Directivas, Configuración de Configuración de directiva de auditoría
Haga clic en Acceso a objetos y, a continuación, haga doble clic en Auditar recurso compartido de archivos detallado.
Marque las opciones Configurar continuación, Correctoy Error.
los
siguientes
eventos
de
auditoría
y,
a
Haga clic en Aceptar para validar la configuración. Arranque SV1 y, a continuación, inicie una sesión como administrador de dominio. Abra una ventana de comandos DOS y, a continuación, escriba el comando
gpupdate /force.
En CL8-01, inicie una sesión como emartinez (contraseña: Pa$$w0rd). Desde el equipo CL8-01, acceda al recurso compartido \\SV1\Secretaría y, a continuación, cree un archivo en su interior. El recurso compartido se ha creado en el capítulo anterior, dedicado a DFS.
En SV1, abra la consola Administrador del servidor menúHerramientas, acceda a la consola Visor de eventos.
y, a
continuación, mediante
el
Despliegue el nodo Registro de Windows y, a continuación, haga clic en Seguridad. Observará en el registro un evento cuyo origen categoríaRecurso compartido de archivos detallado.
es
Microsoft
Windows
security,
con
En función de la configuración, no es obligatorio configurar la SACL. Esto no ocurre en los siguientes trabajos prácticos. La configuración activa es válida para el conjunto de recursos compartidos del servidor (consulte la pestaña Explicación en la configuración de la directiva de grupo), no es necesario configurar ninguna SACL.
2. Auditar las modificaciones en Active Directory Objetivo: implementar una política de auditoría que permita auditar las modificaciones realizadas sobre el grupo Administradores de dominio. Máquina virtual: AD1. En AD1, abra la consola Usuarios y equipos de Active Directory. Despliegue el dominio formacion.local y haga clic en el contenedor Usuarios. Haga clic con el botón derecho en el grupo Controladores de dominio y, a continuación, haga clic en Propiedades. Abra la pestaña Seguridad y, a continuación, haga clic en el botón Opciones avanzadas. Si no ve la pestaña Seguridad, cierre el cuadro de diálogo. Haga clic en el menú Ver de la consola MMC y asegúrese de que está marcada la opción Características avanzadas.
Abra la pestaña Auditoría, seleccione la primera entrada columna Acceso esEspecial y, a continuación, haga clic en Modificar.
de
auditoría
cuya
Esta entrada va a permitir realizar la auditoría de los intentos correctos de modificación de las propiedades de grupo, tales como la modificación del propietario. Haga clic en Control total y, a continuación, tres veces en Aceptar para validar todas las ventanas. Abra la consola Administración de directivas de grupo. Despliegue los nodos Bosque: Formacion.local\Dominios\Formacion.local y, a continuación, haga clic en la unidad organizativa Domain Controllers. Haga clic con el botón derecho en Default Domain Controllers Policy y, a continuación, seleccione Editar. En la consola Editor de administración de directivas de grupo, despliegue los nodosConfiguración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Configuración de directiva de auditoría avanzada. En Directivas de auditoría, haga clic en Acceso DS.
Haga doble clic en Auditar cambios de servicio de directorio y, a continuación, marque la opciónConfigurar los siguientes eventos de auditoría y Correcto. Haga clic en Aplicar y, a continuación, en Aceptar. En AD1, abra una ventana de comandos DOS y escriba el comando
gpupdate /force.
La consideración del parámetro de auditoría puede llevar varios segundos.
Agregue la cuenta emartinez al grupo Controladores de dominio. Abra la consola Administración del equipo del controlador consolaAdministrador del servidor (menú Herramientas).
de
dominio
desde
la
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuación, haga clic en el registro Seguridad. Aparece un nuevo registro.
3. Auditoría de los accesos a una carpeta Objetivo: implementar la configuración de la auditoría que permite auditar una carpeta. Máquinas virtuales: AD1, SV1 y CL8-01. En SV1, cree una carpeta llamada Informática en la partición C:. Acceda a las Propiedades de la carpeta y, a continuación, haga clic en la pestaña Compartir. Haga clic en el botón Uso compartido avanzado…. En la ventana Uso compartido avanzado, marque la opción Compartir esta carpeta. Haga clic en el botón Permisos y, a continuación, elimine la entrada Todos. Agregue la cuenta Administradores de empresas y, a continuación, asígnele el permiso Control total.
Haga clic en Aplicar y, a continuación, dos veces en Aceptar. En la ventana de las propiedades de la carpeta Informática, haga clic en la pestaña Seguridad. Haga clic en el botón Opciones avanzadas y, a continuación, en Deshabilitar herencia. Haga clic en Quitar todos los permisos heredados de este objeto.
Haga clic en Agregar y, a continuación, en el enlace Seleccionar una entidad de seguridad. En la ventana de selección, escriba Administradores de empresas y, a continuación, haga clic enComprobar nombres. Haga clic en Aceptar y, a continuación, asígnele al objeto el permiso Control total.
Haga clic en Aceptar y, a continuación, en Aplicar. En la pestaña Auditoría, haga clic en Agregar. Haga clic en el escribaemartinez.
enlace
Seleccionar
una
entidad
de
seguridad
y,
a
continuación,
Haga clic en Comprobar nombres y, a continuación, en Aceptar. En la lista desplegable Tipo, seleccione Error y, a continuación, haga clic en el permiso Control total.
Haga clic dos veces en Aceptar y, a continuación, en Cerrar. En AD1, abra la consola Administración de directivas de grupo y, a continuación, haga clic con el botón derecho en Objetos de directiva de grupo. En el menú contextual, escoja la opción Nuevo. Escriba Auditoría carpeta Informática en el campo Nombre y, a continuación, haga clic enAceptar. Haga clic con el botón derecho en la directiva y, a continuación, seleccione la opción Editar. Se abre la consola Editor de administración de directivas de grupo. Despliegue los nodos Configuración del equipo\Directivas\Configuración Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría.
de
Haga doble clic en Auditar el acceso a objetos, marque la opción Definir esta configuración de directiva y seleccione la opción Error.
Haga clic en Aplicar y, a continuación, en Aceptar. Cierre la consola Editor de administración de directivas de grupo. Vincule la directiva Auditoría carpeta Informática a la unidad organizativa Servidores.
Abra una ventana de comandos DOS y ejecute el comando
gpupdate /forceen SV1.
Inicie una sesión como emartinez (contraseña Pa$$w0rd) en CL8-01. Trate de acceder a la carpeta compartida Informática ubicada en SV1. Aparece un mensaje de advertencia informando un acceso denegado.
En SV1, abra la consola Administración de equipos y, a continuación, despliegue los nodos Visor de eventos y Registro de Windows. Visualice el registro de eventos Seguridad. Abra el evento que referencia a la tentativa de acceso de emartinez (ID 5145).
Se registra correctamente el intento de acceso de emartinez a la carpeta Informática. Es posible realizar la misma operación para un grupo de usuarios.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Qué permite hacer EFS? 2 ¿Qué tipo de partición es preciso utilizar para implementar EFS? 3 ¿Es necesario poseer permisos de administración para cifrar los datos? 4 ¿Es posible cifrar el contenido de un recurso compartido de red? 5 ¿De dónde proviene el certificado que utiliza EFS? 6 ¿Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS están bien configuradas? 7 ¿Qué tipo de cifrado se utiliza con EFS? 8 ¿Qué medios permiten recuperar un archivo cifrado? 9 ¿Por qué medios puede configurarse un agente de recuperación? 10 ¿En qué consiste un sistema de auditoría? 11 Una directiva de auditoría se configura mediante una GPO. Para poder definir la configuración de la directiva de auditoría, ¿es preciso configurar la parte de usuario o bien la parte de equipo? 12 ¿Qué permite obtener la configuración avanzada de la directiva de auditoría? 13 ¿Qué es la SACL? 14 ¿En qué registro de eventos es posible visualizar el resultado de una directiva de grupo?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/14
Para superar este capítulo, su puntuación mínima debería ser de 10 sobre 14.
3. Respuestas 1 ¿Qué permite hacer EFS? EFS (Encryption File System) permite implementar un sistema de seguridad sobre el contenido de los archivos. Los archivos o protocolos se firman mediante un certificado digital. Solo éste tiene la posibilidad de descifrar el archivo. 2 ¿Qué tipo de partición es preciso utilizar para implementar EFS? Es posible implementar EFS si la partición es de tipo NTFS. 3 ¿Es necesario poseer permisos de administración para cifrar los datos? No, basta con tener permisos de usuario para realizar el cifrado de los datos. 4 ¿Es posible cifrar el contenido de un recurso compartido de red? Es posible cifrar archivos y carpetas locales o alojados en un recurso compartido de red.
5 ¿De dónde proviene el certificado que utiliza EFS? El sistema EFS puede utilizar dos tipos de certificado: un certificado emitido por una entidad emisora de certificados o un certificado autofirmado entregado cuando el usuario no tiene un certificado emitido por una entidad de certificación. 6 ¿Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS están bien configuradas? Sí, es posible, puesto que el usuario puede tener el permiso NTFS para acceder a los archivos pero no la posibilidad de descifrarlos si no posee el certificado. 7 ¿Qué tipo de cifrado se utiliza con EFS? EFS utiliza dos tipos de cifrado, un cifrado simétrico para el cifrado del archivo y un cifrado asimétrico para el cifrado de la clave que ha permitido realizar el cifrado. 8 ¿Qué medios permiten recuperar un archivo cifrado? Para recuperar un archivo cifrado es necesario realizar una copia de seguridad del certificado digital para poder restablecerlo en caso de pérdida o de corrupción. Si una gran cantidad de usuarios utilizan EFS, se recomienda utilizar la solución Agente de recuperación. Por defecto, la cuenta de administrador de dominio es un agente de recuperación, de modo que tiene la posibilidad de abrir cualquier archivo. 9 ¿Por qué medios puede configurarse un agente de recuperación? Un agente de recuperación puede configurarse mediante una directiva de grupo. 10 ¿En qué consiste un sistema de auditoría? Un sistema de auditoría consiste en implementar la supervisión de alguna acción sobre un objeto (cuenta de Active Directory, carpeta…). 11 Una directiva de auditoría se configura mediante una GPO. Para definir la configuración de la directiva de auditoría, ¿es preciso configurar la parte de usuario o bien la parte de equipo? La configuración del equipo permite implementar los parámetros de auditoría. 12 ¿Qué permite obtener la configuración avanzada de la directiva de auditoría? La configuración avanzada de la directiva de auditoría permite implementar parámetros más afinados, de modo que el resultado sea más fiable. 13 ¿Qué es la SACL? La SACL es la lista de los controles de acceso para los que se ha configurado alguna auditoría. 14 ¿En qué registro de eventos es posible visualizar el resultado de una directiva de grupo? El registro de Seguridad contiene todos los eventos vinculados a una auditoría.
Requisitos previos y objetivos 1. Requisitos previos Conocer el funcionamiento de Windows Update.
2. Objetivos Instalar y configurar un servidor WSUS. Crear grupos de equipos y distribuirles actualizaciones aprobadas. Utilizar los informes para consultar el estado de los equipos y actualizaciones.
Introducción La instalación de correctivos de seguridad es un aspecto importante para la seguridad. Esta etapa permite corregir bugs y, sobre todo, evitar fallos de seguridad. En una red informática que contiene múltiples aplicaciones es necesario gestionar la instalación de estos correctivos.
Presentación del rol WSUS La función de WSUS (Windows Server Update Services) es recuperar los correctivos y actualizaciones del servidor de Microsoft con el objetivo de ponerlas a disposición de los distintos equipos de la red. Es posible actualizar, mediante este servidor, el conjunto de sistemas operativos y productos de Microsoft.
La infraestructura WSUS puede contener uno o varios servidores, hablaremos, por tanto, de servidor que precede en la cadena y servidor que sigue en la cadena. La solución que contiene varios servidores se utiliza, a menudo, en empresas que poseen una red informática extensa distribuida en varios sitios geográficos.
En el caso más sencillo, el servidor WSUS recupera una lista de actualizaciones disponibles. El administrador tiene la posibilidad de aprobar o rechazar estas actualizaciones. Éstas se descargan únicamente una vez son aprobadas. En los escenarios más complejos, el servidor que precede en la cadena descarga los correctivos en función de las opciones configuradas por el administrador y, a continuación, estos correctivos se ponen a disposición de los equipos clientes de la red donde se encuentra el servidor y también de los demás servidores WSUS (servidores que siguen en la cadena).
Los distintos equipos clientes están integrados en grupos, hablamos así de destinatarios del lado del cliente cuando el cliente está configurado para apuntar a un grupo o destinatarios del lado del servidor cuando el equipo cliente está configurado en un grupo desde el servidor. A continuación, las actualizaciones se aprueban para uno o varios grupos. Para asegurarse de la correcta instalación de las distintas actualizaciones, es posible generar varios informes. Es, por tanto, mucho más fácil para un administrador conocer los equipos que no han recibido la actualización o aquellos en los que la instalación de la actualización no se ha realizado correctamente. La implementación de WSUS está compuesta por varias etapas, que se recomienda respetar.
Fase de identificación de actualizaciones a instalar Esta fase tiene como objetivo identificar las nuevas actualizaciones disponibles. Tras la configuración del servidor es necesario configurar la lista de productos que deben actualizarse. Los nuevos correctivos se publican (salvo excepciones) una vez al mes.
Fase de pruebas e instalación Cuando finaliza la etapa de detección de actualizaciones disponibles, conviene aprobarlas. Es preferible hacerlo para un grupo de pruebas. Este grupo puede contener máquinas de prueba donde se instalan las distintas aplicaciones utilizadas en producción. Preste atención a no incluir equipos críticos no redundantes. Esta fase de pruebas o de validación es importante, pues permite asegurar que no existe ningún problema a nivel de sistema o aplicación tras la instalación de un correctivo.
Fase de despliegue Una vez validados los distintos correctivos, es posible realizar la instalación en los equipos de producción que requieren esta actualización. Para ello, conviene aprobarlos para el grupo o los grupos deseados.
Requisitos previos necesarios para el rol Como muchos roles en Windows Server 2012 R2, WSUS exige respetar ciertos requisitos previos. El servidor sobre el que se ejecuta el rol debe ejecutar, como mínimo, Windows Server 2003 SP1. También se requiere un servidor Web IIS 6.0 o superior. Es preciso instalar en el servidor el framework Microsoft .NET 2.0 o superior y Microsoft Report Viewer Redistributable 2008 o superior. Por último, se requiere una base de datos, para ello es posible indicar a WSUS que utilice la base de datos interna de Windows o instalar un servidor SQL (SQL Server 2005 SP2, SQL Server 2008 o SQL Server 2012). El espacio en disco es el aspecto más importante en los requisitos previos de hardware (40 GB como mínimo), los demás componentes son los mismos que los necesarios para el sistema operativo del host WSUS.
Despliegue de actualizaciones con WSUS El despliegue de WSUS requiere haber pensado acerca de la infraestructura deseada (uno o varios servidores) así como las actualizaciones que se quiere descargar.
1. Configuración del cliente de actualización Tras la implementación de WSUS, es necesario redirigir el cliente de actualización hacia el servidor WSUS en lugar de al sitio de Microsoft. Esta configuración se realiza mediante una directiva de grupo, la cual configura la base de registro de los equipos clientes que la reciben. Es posible realizar esta operación manualmente, mediante la herramienta Regedit.
Realizando la operación mediante una directiva de grupo es posible especificar otros parámetros: Frecuencia de detección de actualizaciones: permite configurar la frecuencia de detección de nuevas actualizaciones. Calendario de instalación de actualizaciones: define en qué momento se instalarán las actualizaciones. Comportamiento del reinicio automático: permite definir si se autoriza un reinicio automático cuando alguna actualización lo requiera. Grupo por defecto: es posible configurar un grupo mediante este parámetro. El equipo se incluye, directamente, en el grupo adecuado.
2. Administración de WSUS La administración del servidor WSUS se realiza mediante una consola MMC. Ésta ofrece la posibilidad
de buscar actualizaciones, aprobarlas y, también, proceder a su descarga. Si no se han configurado grupos mediante la directiva de grupo es posible realizar una organización de los grupos desde esta consola. Por último, es posible generar y visualizar informes que permiten obtener información útil para la administración cotidiana. Como hemos visto antes, la búsqueda de actualizaciones se realiza en base a una planificación. No obstante, puede ser necesario, en ciertos casos, detectar si existen nuevas actualizaciones en el servidor sin esperar a la siguiente detección planificada. El comando
Wuauclt.exe /detectnowpermite realizar esta operación.
Es posible utilizar comandos PowerShell para administrar el servidor. Add-WsusComputer: permite agregar un equipo cliente a un grupo específico. Approve-WsusUpdate: realiza la aprobación de una actualización para un grupo. Get-WsusProduct: permite enumerar los productos disponibles en WSUS. Set-WsusServerSynchronization: define el origen utilizado por el servidor WSUS (servidor que precede en la cadena o servidor Microsoft).
3. Presentación de los grupos de equipos Un grupo de equipos permite definir una agrupación de equipos que recibirá la actualización. Tras la instalación del rol WSUS, se crean dos grupos por defecto: Todos los equipos y Equipos sin asignar. Un equipo cliente que contacta con el servidor pertenece al grupo de Equipos sin asignar si no se ha definido ningún otro grupo en la directiva de grupo. Se recomienda crear y configurar diferentes grupos (por ejemplo: Prueba, Servidores 2k8, Servidores 2k12, Equipo 7 y Equipo 8). Siguiendo este ejemplo, las actualizaciones se aprueban únicamente para el sistema operativo afectado por dichos correctivos. Además, el grupo Prueba permite asegurar que no se produce ningún problema (de aplicación o de sistema) tras la instalación de un correctivo. Este grupo contendrá los equipos menos sensibles.
4. Aprobación de las actualizaciones Es posible realizar una actualización de manera automática, no obstante este funcionamiento no permite la implementación de pruebas. Conviene, primero, aprobar las actualizaciones para un grupo de prueba. Tras la validación del correctivo, puede aprobarse para el resto de grupos. Si alguna actualización no debe instalarse, conviene rechazarla. Esta acción tiene como resultado eliminar el correctivo de la lista del servidor WSUS. La aprobación puede realizarse para la instalación o para la eliminación. El primer tipo de aprobación permite instalar el correctivo en el grupo seleccionado mientras que el segundo tipo permite eliminar una actualización instalada. Para realizar la eliminación, la actualización debe ser compatible con esta operación.
Trabajos prácticos: Implementación del servidor WSUS Estos trabajos prácticos permiten implementar un servidor WSUS.
1. Instalación y configuración del rol WSUS Objetivo: instalación y configuración del servidor WSUS. Máquinas virtuales: AD1 y CL8-01. Para realizar este trabajo práctico y los siguientes trabajos prácticos es necesario modificar la tarjeta de red utilizada. El conmutador utilizado debe ser de tipo externo para poder tener acceso a Internet desde el servidor. Puede ser necesario modificar la configuración IP.
En AD1, abra la consola Administrador del servidor. Haga clic en Agregar roles y características. En la ventana Antes de empezar, haga clic en Siguiente. Deje
marcada
la
opción
Instalación
basada
en
características
o
en
roles
en
la
ventanaSeleccionar tipo de instalación. Haga clic en Siguiente para validar el destino. Marque el rol Windows Server Update Services y, a continuación, haga clic en el botón Agregar características.
Deje los servicios de rol marcados por defecto y haga clic en Siguiente. El servicio de rol Base de datos permite utilizar un servidor SQL mientras que WID Database utiliza la base de datos interna de Windows. En producción se recomienda utilizar SQL Server.
Cree una carpeta llamada WSUS en la segunda partición. Contendrá las actualizaciones que se descarguen de Microsoft Update. En el campo correspondiente, escriba D:\WSUS (reemplace la letra de la unidad por la que haya atribuido a la partición).
Haga clic dos veces en Siguiente y, a continuación, en Instalar. Una vez instalado, hay que comprobar que el firewall de la empresa (servidor ISA) contiene la regla que autoriza a WSUS a conectarse con el servidor Microsoft Update. La siguiente lista enumera las URL sobre las que puede necesitar conectarse WSUS: http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.com http://download.windowsupdate.com http://download.microsoft.com http://*.download.windowsupdate.com http://wustat.windows.com http://ntservicepack.microsoft.com Desde las Herramientas administrativas, abra la consola Windows Server Update Services. Se muestra el asistente de WSUS (Windows Server Update Services). En la ventana Completar instalación de WSUS, valide la ruta de la carpeta de almacenamiento de las actualizaciones y haga clic en Ejecutar.
Una vez terminado el proceso de post-instalación, haga clic en Finalizar. Se abre un asistente, haga clic en Siguiente en la ventana Antes de comenzar. Dado que nuestro servidor es el primero en la cadena, haga clic en Siguiente en la ventanaElegir servidor que precede en la cadena. Es posible configurar el servidor como servidor que sigue en la cadena, para ello indíquele el servidor que precede en la cadena.
Dado que no se utiliza ningún proxy para conectar a Internet, deje la opción por defecto en la ventana Especificar servidor proxy. Haga clic en Iniciar conexión para conectar con el servidor de Microsoft Update y recuperar: Los tipos de actualizaciones disponibles. Los productos susceptibles de actualización. Los idiomas disponibles. Una vez establecida la conexión, haga clic en Siguiente para continuar. Seleccione los idiomas deseados y, a continuación, haga clic en Siguiente.
Los productos que deben actualizarse son Windows Server 2012 R2 y Windows 8.1. Seleccione, por tanto, estos productos en la lista y haga clic en Siguiente.
Marque Todas las clasificaciones y haga clic en Siguiente.
La sincronización del servidor WSUS con el servidor Microsoft Update puede programarse o ejecutarse manualmente. Marque la opción Sincronizar manualmente. Haga clic en Siguiente y, a continuación, en Finalizar. Se abre la consola, despliegue el nodo AD1.
Seleccione el nodo Sincronizaciones y, a continuación, haga clic en Sincronizar ahora. La sincronización está en curso… La aprobación puede realizarse automáticamente creando una regla de aprobación automática desde las opciones. Despliegue el nodo Equipos y haga clic con el botón derecho en Todos los equipos y, a
continuación, seleccione la opción Agregar grupo de equipos. En el campo Nombre, escriba Puesto Cliente y haga clic en Agregar.
La directiva que se aplicará a los equipos permitirá configurar la dirección IP del servidor a contactar. En AD1, abra la consola Administración de directivas de grupo. Haga clic con el botón derecho en Objetos de directiva de grupo y, a continuación, seleccioneNuevo. Escriba Configuración WSUS Puesto Cliente en el campo Nombre.
Haga clic con el botón derecho en Configuración WSUS Puesto Cliente y, a continuación, en el menú contextual, seleccione Editar. Despliegue los nodos Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows y, a continuación, seleccione Windows Update. Haga doble clic en Configuración Actualizaciones automáticas. Marque la opción Habilitada. En la lista desplegable Configurar actualización automáticamente y notificar instalación.
automática,
seleccione
Descargar
Existen cuatro opciones posibles: Notificar descargas e instalaciones. Se avisa al administrador antes de descargar e instalar actualizaciones. Descargar automáticamente y notificar instalación. La descarga se ejecuta automáticamente, y el administrador recibe un mensaje de advertencia que le invita a realizar la instalación de la actualización. Descarga automática y planificación de instalaciones. Marcando esta opción, la descarga de las actualizaciones se realiza automáticamente. A continuación, las actualizaciones se instalan
en función del día y la hora especificados. Autorizar al administrador local a configurar los parámetros. Esta opción deja la posibilidad a un usuario que pertenezca al grupo de Administradores de modificar las opciones configuradas en las actualizaciones automáticas desde el panel de control. Seleccione 3 - Todos los martes en la lista Día de instalación programado y 17:00 en la listaHora de instalación programada.
Haga clic en Aplicar y, a continuación, en Aceptar. Haga doble clic en Especificar la ubicación del servicio Windows Update en la intranet. Escriba http://AD1.formation.local:8530 en los campos Establecer el servicio de actualización de la intranet para detectar actualizaciones y Establecer el servidor de estadísticas de la intranet.
Haga clic en Aplicar y, a continuación, en Aceptar. Haga doble clic en Habilitar destinatarios del lado cliente. Marque la opción Habilitada y, a continuación, escriba Puesto Cliente en el campo Nombre de grupo de destino para este equipo.
Cierre la ventana Editor de administración de directivas de grupo. En la consola Administración de directivas de grupo, haga clic con el botón derecho en la OUEquipos (presente en la OU Madrid) y, a continuación, seleccione Vincular un GPO existente en el menú contextual. Seleccione Configuración WSUS Puesto Cliente y, a continuación, haga clic en Aceptar. En la consola WSUS, haga clic en Opciones y, a continuación, en Equipos. Marque la opción que permite utilizar la configuración de la directiva de grupo.
Abra una ventana de comandos DOS en CL8-01 y ejecute el comando
gpupdate /force.
La configuración en Windows Update aparece sombreada, puesto que se ha tenido en cuenta la configuración de la directiva de grupo.
El equipo cliente se muestra ahora en el grupo Puesto Cliente de la consola WSUS.
2. Aprobación y despliegue de actualizaciones Objetivo: aprobación e instalación de actualizaciones para el grupo Puesto Cliente. Máquinas virtuales: AD1 y CL8-01. En la consola de administración WSUS, haga clic en el nodo Actualizaciones. Se muestra una síntesis de las actualizaciones. Aparece un gráfico para las categorías Todas las actualizaciones, Actualizaciones críticas, Actualizaciones de seguridad y Actualizaciones de WSUS.
En la sección Todas las actualizaciones, haga clic en Actualizaciones que los equipos necesitan. Seleccione la o las actualizaciones deseadas. Haga clic con el botón derecho en la selección y, a continuación, haga clic en Aprobar. Haga clic en grupo Puesto Cliente y seleccione Aprobar para instalar en la lista desplegable.
La aprobación está en curso…
Haga clic en Cerrar. Comienza la descarga de la actualización, espere a que finalice esta etapa.
En el menú contextual utilizado para aprobar un correctivo existen otras opciones disponibles: Aprobación para su eliminación: si el correctivo causa errores en los equipos tras su instalación, es necesario desinstalarlo. Para no tener que ir equipo a equipo, bastará con aprobar esta actualización para su eliminación, si el correctivo soporta esta opción. La actualización debe ser compatible para este tipo de aprobación.
Fecha límite: la fecha límite permite determinar la fecha y hora máxima para la instalación de la actualización. Para acelerar el procesamiento de la actualización incluya una fecha pasada (el 1 de septiembre, por ejemplo, si la aprobación se efectúa el 2 de septiembre). En el equipo CL8-01, abra la consola Windows Update. La instalación en el equipo cliente se fuerza para evitar tener que esperar a la siguiente instalación planificada.
En la consola, haga clic en Buscar actualizaciones para mostrar las actualizaciones aprobadas anteriormente. Haga clic en el botón Instalar actualizaciones y, a continuación, espere a que termine la instalación.
En función de la opción escogida en la GPO, la instalación se realizará de manera automática (seleccionando 4 en el parámetro Configurar actualización automática).
3. Creación de informes Objetivo: generar informes con el objetivo de facilitar la administración del servidor WSUS. Máquinas virtuales: AD1 y CL8-01. El nodo Informes permite crear y mostrar informes que permiten administrar el servidor. Es posible analizar, con ayuda de informes, información acerca de las actualizaciones, los equipos y las sincronizaciones realizadas. No obstante, para poder aprovechar esta funcionalidad, el equipo debe tener instalado el componente Report Viewer. Es posible descargar este componente en la dirección siguiente: http://www.microsoft.com/eses/download/details.aspx?id=3841
Report Viewer necesita el framework .NET, instale por tanto la característica .NET Framework 3.5. Conecte la ISO o el DVD de Windows Server 2012 R2 a AD1 y, a continuación, escriba el siguiente comando: dism /online /enable-feature /featurename:NetFX3 /all
/Source:e:\sources\sxs /LimitAccess Remplace e: por la letra del lector de DVD.
Una vez instalado Report Viewer, haga clic en el nodo Informes. Es posible crear varios tipos de informe acerca de las actualizaciones, los equipos o las sincronizaciones.
Haga clic en el enlace Estado detallado de actualización y, a continuación, en Ejecutar informe.
El informe se está generando. Los distintos informes permiten obtener información muy importante para la administración cotidiana del servidor.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es la función de WSUS? 2 ¿Es posible poseer varios servidores WSUS? 3 ¿En qué momento se descarga la actualización? 4 En el caso de un servidor que sigue en la cadena, ¿cómo se realiza la aprobación? 5 ¿Qué son los destinatarios del lado del cliente y los destinatarios del lado del servidor? 6 ¿Cuáles son los requisitos previos para WSUS? 7 ¿Cuál es la utilidad de un grupo de equipos? 8 ¿Qué tipos de aprobación es posible ofrecer?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/8
Para superar este capítulo, su puntuación mínima debería ser de 6 sobre 8.
3. Respuestas 1 ¿Cuál es la función de WSUS? WSUS permite administrar el sistema de actualizaciones de los puestos de trabajo. La funcionalidad permite descargar correctivos y, a continuación, instalarlos en los puestos de trabajo. 2 ¿Es posible poseer varios servidores WSUS? Sí, es posible instalar varios servidores WSUS. Es necesario en este caso configurar un servidor que precede en la cadena y, a continuación, otros que siguen en la cadena. Éstos dependen del servidor que precede en la cadena. 3 ¿En qué momento se descarga la actualización? La actualización se descarga únicamente tras su aprobación. Antes de esta operación, el servidor no posee solamente una lista de las actualizaciones que pueden aprobarse. 4 En el caso de un servidor que sigue en la cadena, ¿cómo se realiza la aprobación? En el caso de un servidor que sigue en la cadena, la aprobación se realiza a nivel del servidor que precede en la cadena. El servidor que sigue en la cadena simplemente recupera las actualizaciones aprobadas. 5 ¿Qué son los destinatarios del lado del cliente y los destinatarios del lado del servidor? Los destinatarios del lado del cliente consisten en configurar una directiva de grupo que indique al equipo cliente el grupo al que debe unirse. Los destinatarios del lado del servidor permiten unir la máquina al grupo desde el propio servidor. 6 ¿Cuáles son los requisitos previos para WSUS? WSUS exige respetar ciertos requisitos previos. Es necesario que el servidor ejecute, como mínimo,
Windows Server 2003 SP1; además, debe tener instalado el rol IIS 6.0 o superior. También se utiliza una base de datos, para ello es posible utilizar un servidor SQL Server (2005 SP2 como mínimo) o la base de datos interna de Windows. El espacio en disco es, a su vez, un requisito previo, pues se necesitan como mínimo 40 GB de espacio disponible. 7 ¿Cuál es la utilidad de un grupo de equipos? Un grupo de equipos permite agrupar un conjunto de servidores o de equipos clientes con el objetivo de asignarles correctivos. En efecto, la aprobación no se realiza para una máquina sino para un grupo. 8 ¿Qué tipos de aprobación es posible ofrecer? Es posible ofrecer una aprobación para la instalación. Este tipo de aprobación permite instalar el correctivo en los puestos de trabajo. Es posible, a su vez, ofrecer una aprobación para la eliminación, que consiste en desinstalar el correctivo del equipo cliente o servidor. No obstante, las actualizaciones deben ser compatibles con esta opción de aprobación para eliminación.
Requisitos previos y objetivos 1. Requisitos previos Disponer de ciertos conocimientos en microinformática. Poseer nociones acerca de las herramientas de mantenimiento presentes en Windows.
2. Objetivos Uso del Administrador de tareas y del Monitor de recursos. Comprobación del rendimiento mediante el Análisis de rendimiento. Uso de los registros de eventos. Creación de una vista personalizada. Implementar suscripciones.
El Administrador de tareas Desde Windows Server 2012 existe una nueva consola Administrador de tareas. Ofrece al usuario más funcionalidades (operaciones sobre un servicio, cerrar una aplicación…). Se han realizado optimizaciones y mejoras para responder mejor a las necesidades de los administradores. Es posible realizar varias operaciones: Detener un proceso de forma rápida y eficaz: se ha modificado la ergonomía de la consola para proveer una vista más clara de los distintos procesos activos del usuario. La operación que permite detener una aplicación también se ha simplificado. Un simple clic en el botónFinalizar tarea detiene el proceso. También puede proveerse una vista más detallada mediante el botón Más detalles.
Diagnosticar un problema de rendimiento: activando la vista Más detalles aparecen varias novedades del Administrador de tareas. Resulta mucho más sencillo, para un usuario, diagnosticar un problema de rendimiento. Es posible ver, rápidamente, el uso total del procesador y de la memoria. Estos valores, en porcentaje, dan una idea inicial sobre el potencial problema. A continuación, resulta interesante observar cada proceso en detalle.
Las pequeñas flechas que aparecen al lado de cada proceso permiten visualizar las aplicaciones que utilizan este proceso. Si desplegamos Explorador de Windows se muestra la carpeta capitulos, que está abierta actualmente.
Si hacemos clic con el botón derecho en capitulos accedemos a un menú contextual. Éste ofrece varias opciones, entre ellas minimizar/maximizar la consola, traer al frente o, simplemente, finalizar la tarea.
Haciendo clic en Explorador de Windows aparecen otras opciones disponibles.
La Búsqueda en línea puede resultar una funcionalidad muy útil. Permite obtener información acerca del proceso en cuestión. La opción Valores del recurso permite cambiar la unidad de la columna Memoria para mostrar porcentajes en lugar de valores, y a la inversa. El ejecutable puede estar almacenado en cualquier carpeta de su sistema de archivos. Para poder acceder a él sin tener que realizar una búsqueda por carpetas, seleccione la opción Abrir ubicación del archivo. A continuación, se abre la carpeta que contiene el archivo.
En algunos casos es necesario obtener más información acerca de un proceso. Para ello, haga clic enIr a detalles. Aparece la pestaña Detalles con el proceso en cuestión preseleccionado.
Esta vista da acceso al nombre del archivo ejecutable y a su ID de proceso (PID), así como a su Estado. Se muestra, también, el nombre de la cuenta que ha ejecutado el proceso así como el uso de procesador y de memoria que está realizando el proceso. La pestaña Rendimiento permite ver de forma gráfica tres elementos esenciales: CPU: acompañados por la curva, se muestran varios campos con información relacionada con el porcentaje de uso, el número de procesos…
Memoria: como con el procesador, se muestra información relacionada con el uso de memoria y se actualiza automáticamente. Es, por tanto, muy práctico ver la cantidad de memoria utilizada y la cantidad de memoria libre.
Ethernet (red): además del gráfico que muestra la actividad, la información aportada en Envíoy Recepción permite conocer muy fácilmente la tasa de envío y de recepción.
Haciendo clic con el botón derecho sobre la consola accedemos a un menú contextual con tres opciones.
Vista de resumen, que permite reducir la ventana mostrando únicamente los valores de los tres gráficos. Desmarque esta opción para volver al formato inicial.
Mostrar gráficos remplaza los botones de colores por los gráficos en curso. Seleccione Ocultar gráficos en el menú contextual para cancelar esta vista.
Copiar inserta los datos presentes en el gráfico en el portapapeles. La pestaña Usuarios provee información sobre los usuarios conectados. Sigue siendo posible desconectar la sesión de un usuario, aunque ahora resulta mucho más sencillo. En efecto, desplegando la fila correspondiente a la persona afectada, podemos ver muy fácilmente los procesos que le pertenecen. Ahora, además, podemos conocer el uso de procesador y de memoria de cada uno
de estos procesos.
Por último, la pestaña Servicios permite acceder a la administración de los servicios. Es posible conocer su estado así como sus parámetros (PID, etc.). Es posible acceder a la consola Services.mschaciendo clic con el botón derecho y, a continuación, seleccionando la opción Abrir servicios en el menú contextual.
El Monitor de recursos El monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta herramienta permite, por tanto, supervisar el procesador, los procesos, la memoria disponible, así como la actividad de los discos y de la red. La consola está compuesta por varias pestañas. La primera, Información general, ofrece una visión general del conjunto de componentes, con la finalidad de evitar cuellos de botella. Además, se muestran componentes como la Memoria, la Red, la CPU y el Disco, cuya información se actualiza en tiempo real.
La pestaña CPU incluye información sobre cada proceso. Seleccionando un proceso se muestran los distintos servicios y sus descripciones asociadas. Es posible, también, ver un gráfico que representa la actividad en cada procesador o cada núcleo presente en un procesador.
Es posible ver el reparto en el uso de memoria del servidor mediante la pestaña Memoria. Aparecen tres gráficos que presentan la memoria física usada, la carga de asignación y los errores de página.
La pestaña Disco presenta los procesos que realizan operaciones sobre el disco. Es posible, aquí también, filtrar por proceso con el objetivo de aislar sus datos. Los gráficos muestran curvas que representan la actividad de disco.
Por último, la pestaña Red presenta los distintos procesos con actividad de red. Esta herramienta resulta, también, útil para ver las conexiones TCP y los puertos en los que escuchan. La herramienta nos va a permitir analizar los distintos componentes para poder dar una explicación a un mal rendimiento del equipo.
Los gráficos permiten obtener información acerca de los distintos componentes del servidor.
El Monitor de rendimiento El Monitor de rendimiento permite supervisar la actividad de un puesto de trabajo. La operación puede realizarse mediante gráficos o mediante informes. Es posible realizar el análisis en tiempo real, lo que obliga al administrador a estar delante del equipo. Además, la lectura de datos no es óptima. La segunda posibilidad consiste en ejecutar un recopilador de datos, que permite registrar la información recuperada por los distintos contadores.
Es posible incluir varios contadores para obtener un estudio más fino y un resultado óptimo.
CPU El objeto de rendimiento CPU permite obtener información acerca de la actividad del procesador. Éste supone una de las piezas claves de un servidor. Si existen varios procesadores, es posible analizarlos todos en conjunto o estudiar uno en particular.
Disco duro Los discos duros almacenan los archivos de los usuarios así como los que requieren los programas para su ejecución y funcionamiento. En caso de que funcione incorrectamente algún disco, el tiempo de lectura y de escritura puede verse afectado gravemente. Puede ser necesario, por tanto, auditar el rendimiento de los discos para poder detectar cualquier cuello de botella. Como con el procesador, hay varios contadores disponibles. Cada uno ofrece una información precisa.
Memoria RAM Los contadores de rendimiento de Memoria permiten obtener información relativa a la memoria física y virtual del equipo. La memoria física se refiere al total de memoria RAM configurada en el servidor, mientras que la memoria virtual hace referencia al espacio en memoria física más el espacio reservado en disco.
Red La red comprende un gran número de contadores de rendimiento. Es posible encontrar contadores para los protocolos TCP, UDP o ICMP. IPv4 e IPv6 poseen, a su vez, contadores propios.
El análisis puede realizarse de forma manual o automática. El análisis manual se realiza en tiempo real. Esto implica estar conectado al equipo para poder analizar los datos antes de que se borren. Para evitar tener que estar presente delante de la pantalla durante horas es posible lanzar un registro automático. Se crea un archivo que contiene todos los valores y se almacena en la carpeta perflogs, presente en la partición del sistema. No obstante, el tamaño del archivo puede crecer de forma rápida, lo cual puede impactar sobre el servidor y los roles instalados en el mismo debido a la falta de espacio.
Planificador del Monitor de rendimiento En ciertos casos, puede resultar útil planificar la ejecución del Monitor de rendimiento. La planificación puede configurarse tras la creación de un recopilador definido por el usuario. Para ello, es necesario seleccionar en el asistente la opción Abrir propiedades para este conjunto de recopiladores de datos.
Las propiedades dan acceso a la pestaña Programación, que permite configurar una ejecución en la fecha y hora deseadas.
El botón Agregar permite realizar la configuración deseada.
La misma operación puede realizarse con recopiladores ya creados. Haciendo clic con el botón derecho sobre ellos y seleccionando, a continuación, Propiedades en el menú contextual es posible acceder a la pestaña Planificación.
Los registros de eventos El Visor de eventos contiene varios registros útiles para diagnosticar un fallo o una incoherencia en el sistema. Está compuesto por varios registros: Aplicación, Sistema o Seguridad. El registroAplicación permite a los desarrolladores de aplicaciones insertar eventos devueltos por las aplicaciones. El registro Sistema permite recuperar la información devuelta por el sistema (por ejemplo, un problema DHCP). El registro Seguridad contiene información sobre las auditorías configuradas. Es posible encontrar los distintos carpetaC:\Windows\System32\winevt\Logs.
registros
con
el
formato
EVTX
en
Es posible encontrar los distintos registros de eventos en la consola Administración de equipos.
la
En cada registro podemos encontrar varios niveles de advertencia: Información Advertencia Error Crítico Además, un evento posee información adicional muy importante, como Evento (ID del evento), Origeny el propio mensaje del evento. Las propiedades del registro de eventos permiten visualizar sus distintas propiedades (nombre, ruta del registro…) pero, también, configurar su tamaño actual y máximo. El botón Vaciar registro permite vaciar el registro de todos los eventos. Esta ventana está accesible haciendo clic con el botón derecho sobre el registro deseado y, a continuación, seleccionando la opción Propiedades en el menú contextual.
También es posible configurar qué acción debe realizarse cuando se alcanza el tamaño máximo del registro. Existen tres acciones posibles: Sobrescribir eventos si es necesario. Se eliminan los eventos más antiguos. Archivar el registro cuando esté lleno; no sobrescribir eventos. Se realiza un archivado automático. No sobrescribir eventos. Es preciso realizar una limpieza manual.
1. Creación de una vista personalizada El registro de eventos puede contener, muy rápidamente, una cantidad enorme de eventos, lo que complica la búsqueda de un evento particular. Desde Windows Server 2008 es posible crear una vista para realizar un filtrado sobre uno o varios registros. La creación y uso de filtros se realiza con ayuda del nodo Vistas personalizadas. Existe una carpeta llamada Roles de servidor, que contiene los filtros creados tras la instalación de un rol.
Es posible crear un filtro nuevo haciendo clic con el botón derecho en Vistas personalizadas y seleccionando la opción Crear vista personalizada. El filtro se compone de varios criterios: La lista desplegable Registrado permite dar a los sistemas una constante de tiempo a tener en cuenta de cara al filtrado. El Nivel de evento permite seleccionar el nivel de los eventos deseados. La lista desplegable Registros de eventos permite seleccionar los registros sobre los que se aplica el filtro. Es, también, posible filtrar por origen marcando la opción Por origen y seleccionando, en la lista desplegable, uno o varios orígenes. También es posible filtrar en función de un nombre de equipo, de usuario o por palabras claves, como por ejemplo un ID concreto.
El filtro devuelve únicamente aquellos eventos que se corresponden.
2. Suscripciones Para facilitar la supervisión de los servidores en una red informática es posible implementar suscripciones. Éstas permiten recuperar eventos de los servidores indicados. Los eventos recuperados deben corresponderse con los criterios definidos por el administrador mediante una vista personalizada. Se utilizan dos servicios para esta funcionalidad: WinRM (Windows Remote Management) Wecsvc (Windows Event Collector Service) Los dos servicios funcionan, respectivamente, sobre la máquina origen para WinRM y la máquina que recoge los datos para Wecsvc.
Trabajos prácticos: Implementación de las herramientas de análisis Se proponen varios trabajos prácticos que utilizan las herramientas que permiten analizar y realizar el mantenimiento del servidor.
1. Uso del Monitor de rendimiento Objetivo: utilizar el Monitor de rendimiento así como los recopiladores de datos. Máquina virtual: AD1. Abra la consola Administrador del servidor en AD1.
Haga clic en Herramientas y, opciónAdministración de equipos.
a
continuación,
seleccione
en
el
menú
contextual
la
Despliegue los nodos Rendimiento y, a continuación, Herramientas de supervisión. Haga clic en Monitor de rendimiento y, a continuación, en el signo más verde para agregar contadores.
Despliegue Proceso y, a continuación, haga clic en . Haga clic en Agregar y, a continuación, en Aceptar.
Se muestran las curvas con los distintos parámetros recuperados.
En la barra de herramientas, haga clic en el icono con forma de rotulador. Tras la selección de algún contador, la curva asociada queda resaltada con un trazo más grueso.
Haga clic en el botón Editar tipo de gráfico y, a continuación, seleccione en el menú contextual la opción Barra de histograma. Se muestra ahora un gráfico equivalente con forma de histograma.
El tipo de gráfico puede, también, presentarse como informe. En la consola Administración de equipos, despliegue el nodo Conjuntos de recopiladores de datos.
Se crean recopiladores de datos en función de los roles presentes en la máquina analizada. Estamos trabajando sobre un controlador de dominio, de modo que aparece el recopilador de datos para el diagnóstico de Active Directory dentro de Sistema. Los recopiladores definidos por el usuario permiten crear nuevos recopiladores de datos. Haga clic con el botón derecho en Definido por el usuario y, a continuación, en el menú contextual, seleccione Nuevo y Conjunto de recopiladores de datos. Escriba Recopilador Procesos en el campo Nombre y, a continuación, marque la opción Crear manualmente (avanzado) y haga clic en Siguiente.
En la ventana que permite escoger los tipos de datos, marque Contador de rendimiento y, a continuación, haga clic en Siguiente.
En la ventana de selección de contadores, haga clic en Agregar. Despliegue Proceso y, a continuación, haga clic en . Haga clic en el botón Agregar y, a continuación, en Aceptar.
Configure el Intervalo de muestra a 2 segundos.
Haga clic dos veces en Siguiente y, a continuación, en Finalizar. El recopilador de datos aparece, ahora, en la consola.
Haga clic con el botón derecho en Recopilador Procesos y, a continuación, seleccione Iniciar. Deje el recopilador en estado Iniciado algunos segundos para que recoja un mínimo de información.
Haga clic con el botón derecho en Recopilador Procesos y, a continuación, seleccione Detener. Tras el arranque del recopilador se crea un informe que presenta los datos recuperados. Despliegue los nodos Informes y, a continuación, Definido por el usuario. Aparece un contenedor con el mismo nombre que el recopilador de datos creado. Despliegue Recopilador Procesos y, a continuación, haga clic en el informe.
Como con el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o cambiar el tipo de gráfico.
2. Creación de una vista personalizada Objetivo: crear una vista personalizada para recuperar, únicamente, los eventos deseados. Máquina virtual: AD1. En la consola Administración de equipos, despliegue Visor de eventos y, a continuación, el nodoVistas personalizadas. Haga clic con el botón derecho en Vistas personalizadas y, a continuación, seleccione Crear vista personalizada. Deje el valor configurado a En cualquier momento en la lista desplegable Registrado. Marque la opción Error, Advertencia y Crítico para limitar los eventos filtrados a estos niveles. En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicación.
Haga clic en Aceptar y, a continuación, en el campo Nombre, escriba Búsqueda registro App.Sys.
Valide la información introducida haciendo clic en Aceptar.
El filtrado se aplica sobre el conjunto de registros seleccionados.
Ahora resulta mucho más sencillo encontrar la información deseada en un registro.
3. Asociar una tarea a un evento Objetivo: ejecutar un script cuando se produce un evento en el registro de eventos. Máquina virtual: AD1. En AD1 en la interfaz del Menú Inicio, haga clic en DHCP. Despliegue el nodo ad1.formacion.local y, a continuación, haga clic con el botón derecho. En el menú contextual, seleccione Todas las taras y, a continuación, Detener. Cree y ejecute el archivo Script-Evento.cmd.
Es posible descargar el archivo desde la página Información.
En el registro Sistema, seleccione el evento que se acaba de crear.
Haga clic con el botón derecho en la advertencia y, a continuación, seleccione la opción Adjuntar tarea a este evento. Esta opción también está disponible en el panel Acciones. Haga clic en Siguiente en la ventana Crear una tarea básica dejando los parámetros por defecto.
Los campos Registro, Origen e Id. del evento aparecen sombreados. Haga clic en Siguientepara validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice una tarea frente a mostrar un mensaje que probablemente no vea el administrador. Marque la opción Iniciar un programa y, a continuación, haga clic en Siguiente.
Cree el script Reset-Services.cmd. Es posible descargar el archivo desde la página Información.
Haga clic en Examinar y, a continuación, seleccione el script. Valide su elección mediante el botónSiguiente.
Haga clic en Finalizar y, a continuación, en Aceptar en el mensaje de información. Aparece una nueva fila en el programador de tareas.
Ejecute de nuevo el archivo Script-Evento.cmd. Se crea una nueva entrada en el registro Sistema y se ejecuta el archivo Reset-Services.
El servicio DHCP se ha reiniciado correctamente.
Algunas acciones pueden automatizarse fácilmente.
4. Implementar y utilizar suscripciones Objetivo: recuperar los registros de eventos de AD1 desde SV1. Máquinas virtuales: AD1 y SV1. Abra una consola de comandos DOS en el equipo AD1. Escriba el comando
winrm quickconfigy, a continuación, presione la tecla [Enter].
Para realizar modificaciones, pulse la tecla y, a continuación, presione [Enter].
Abra la consola Usuarios y equipos de Active Directory. Despliegue el nodo Formacion.local y, a continuación, haga clic en Builtin. Haga doble clic en Lectores del registro de eventos.
Haga clic en la pestaña Miembros y, a continuación, en Agregar. Es necesario marcar las cuentas de equipo en los objetos de búsqueda. Haga clic en Tipos de objeto y, a continuación, marque equipos.
Haga clic en Aceptar y, a continuación, escriba SV1 en el campo. Haga clic en Comprobar nombres y, a continuación, haga clic dos veces en Aceptar.
Esta operación permite autorizar que el puesto SV1 lea los registros de eventos. En el puesto SV1, abra una ventana de comandos DOS y, a continuación, escriba
wecutil qc.
Pulse la tecla S y, a continuación, presione [Enter].
En SV1, haga clic con el botón derecho en la carpeta Suscripciones y, a continuación, haga clic en Crear suscripción.
En el campo Nombre de suscripción, escriba Datos AD1.
Por defecto, el registro de destino es Eventos reenviados. Es posible cambiarlo mediante la lista desplegable Registro de destino. La transferencia puede iniciarla la máquina de destino (opciónIniciada por el recopilador) o la máquina origen (opción Iniciada por el equipo origen). Haga clic en Seleccionar equipos y, a continuación, Agregar equipos de dominio. Escriba AD1 en el campo y, a continuación, haga clic en Comprobar nombres y Aceptar.
Valide haciendo clic en Aceptar. No es necesario recoger todos los eventos, es posible aplicar un filtro. Los equipos de la maqueta, instalados recientemente, nos obligan a utilizar un filtro muy poco restrictivo si queremos obtener algún evento. Haga clic en Seleccionar eventos. Los eventos que deben transferirse son aquellos que tienen un nivel Información, Advertencia,Error y Crítico. El filtro no es muy restrictivo dado que las máquinas se han instalado recientemente y no existen muchos eventos de tipo Advertencia o Error. Marque los niveles anteriores en la ventana Filtro de consulta. Seleccione los registros Sistema y Aplicación.
Haga clic dos veces en Aceptar. Se agrega una fila en la consola.
Haga clic con el botón derecho en Datos AD1, y, a continuación, seleccione Estado en tiempo de ejecución. Compruebe que el estado es Activo y no aparece ningún error.
Tras un tiempo más o menos largo los eventos llegan al registro Eventos reenviados. Si no se transfiere ningún evento y si la suscripción no muestra ningún error, verifique el filtro y reinicie el origen y el recopilador. Tras el reinicio, espere algunos segundos y, a continuación, verifique que la suscripción sigue sin error.
Validación de conocimientos adquiridos: preguntas/respuestas 1. Preguntas Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas. 1 ¿Cuál es la utilidad de la consola Monitor de recursos? 2 Cite los objetos presentes en el Monitor de rendimiento. 3 ¿Cuáles son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas e inconvenientes. 4 ¿Cuál es el formato de archivo de los registros de eventos? ¿Dónde se almacenan los registros? 5 ¿Cuáles son los niveles de advertencia que es posible tener en un evento? 6 ¿Qué permite configurar una vista personalizada? 7 ¿Cuáles son los dos servicios que se utilizan en las suscripciones?
2. Resultados Consulte las siguientes páginas para comprobar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos:
/7
Para superar este capítulo, su puntuación mínima debería ser de 5 sobre 7.
3. Respuestas 1 ¿Cuál es la utilidad de la consola Monitor de recursos? El uso de los principales componentes de un equipo (CPU, memoria, tarjeta de red…) está presente en la consola Monitor de recursos. Ésta permite controlar el uso y detectar un posible problema sobre alguno de estos recursos. 2 Cite los objetos presentes en el Monitor de rendimiento. Existen varias decenas de objetos en el Monitor de rendimiento. Encontramos la CPU, los procesos, la memoria, IPv4, ICMP… 3 ¿Cuáles son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas e inconvenientes. Es posible utilizar el Monitor de recursos de forma manual, con el monitor de rendimiento, o registrar los eventos mediante un recopilador de datos. El análisis del rendimiento ofrece la ventaja de que consume espacio en disco, pero requiere la presencia de un administrador delante del servidor. El recopilador de datos permite realizar una visualización de datos más tarde, no obstante el tamaño de espacio en disco requerido puede llegar a ser muy grande. 4 ¿Cuál es el formato de archivo de los registros de eventos? ¿Dónde se almacenan los registros? Es posible encontrar los distintos registros, con formato EVTX, en la carpeta C:\windows\System32\winevt\Logs. 5 ¿Cuáles son los niveles de advertencia que es posible tener en un evento? Los cuatro niveles de advertencia son información, advertencia, error y crítico. 6 ¿Qué permite configurar una vista personalizada?
Los registros de eventos pueden poseer varias decenas de eventos, o incluso más. Para no perderse con tanta información conviene aplicar un filtro sobre el registro. Esta funcionalidad la ofrecen las vistas personalizadas. 7 ¿Cuáles son los dos servicios que se utilizan en las suscripciones? La suscripción utiliza dos servicios: Winrm (Windows Remote Management) en la fuente y Wecsvc (Windows Event Collector Service) en el destino.
Tabla de objetivos Objetivos
Capítulos
Trabajos prácticos
Windows Deployment Services to Deploy Windows Server 2012/2012 R2
Despliegue y soporte de WDS
Despliegue y soporte de WDS
Describe the important functionality of Deployment Services
features and Windows
Despliegue y soporte de WDS
Configure Windows Deployment Services in Windows Server 2012/2012 R2
Despliegue y soporte de WDS
Despliegue y soporte de WDS - Instalación y configuración de los servicios de implementación de Windows Despliegue y soporte de WDS - Importación de las imágenes utilizadas para el despliegue Despliegue y soporte de WDS Configuración del servidor de despliegue
Perform deployments Deployment Services
Despliegue y soporte de WDS
Despliegue y soporte de WDS - Agregar y configurar un grupo de controladores Despliegue y soporte de WDS - Despliegue de imágenes en los puestos cliente Despliegue y soporte de WDS - Captura de un puesto de referencia
Configuring and Troubleshooting Domain Name System
Configuración y mantenimiento de DNS
Configuración y mantenimiento de DNS
Install the DNS server role
Configuración y mantenimiento de DNS
Configure the DNS server role
Configuración y mantenimiento de DNS
Create and configure DNS zones
Configuración y
with
Windows
Configuración y mantenimiento de DNS - Caducidad y borrado de los registros Configuración y mantenimiento de DNS - Configuración de un reenviador condicional
mantenimiento de DNS Configure DNS zone transfers
Configuración y mantenimiento de DNS
Manage and troubleshoot DNS
Configuración y mantenimiento de DNS
Configuración y mantenimiento de DNS - Configuración de un reenviador condicional
Gestión de un directorio AD DS
Gestión de un directorio AD DS
Maintaining Services
Active
Directory
Domain
Explain the general structure of AD DS
Gestión de un directorio AD DS
Implement virtualized domain controllers
Gestión de un directorio AD DS
Gestión de un directorio AD DS Clonación de un controlador de dominio virtual
Implement RODCs
Gestión de un directorio AD DS
Gestión de un directorio AD DS Implementación de un RODC
Administer AD DS
Gestión de un directorio AD DS
Manage the AD DS database
Gestión de un directorio AD DS
Gestión de un directorio AD DS Creación de un snapshot de AD Gestión de un directorio AD DS Manipulación de la papelera de reciclaje AD Gestión de un directorio AD DS Desfragmentación de la base de datos
Managing User and Service Accounts
Gestión del entorno
Automate user account creation
Configure password-policy lockout settings
and
Gestión del entorno Gestión del entorno Importar cuentas de usuario mediante cmdlets PowerShell
account-
Configure managed service accounts
Gestión del entorno
Gestión del entorno Creación de una PSO Gestión del entorno Creación de una cuenta de servicio
Implementing Infrastructure
a
Group
Policy
Gestión del entorno
Gestión del entorno
Understand Group Policy
Gestión del entorno
Implement and administer GPOs
Gestión del entorno
Gestión del entorno Creación y configuración de una directiva de grupo
Manage Group Policy scope
Gestión del entorno
Gestión del entorno Creación y configuración de una directiva de grupo
Process Group Policy
Gestión del entorno
Troubleshoot the application of GPOs
Gestión del entorno
Gestión del entorno Creación de un informe RSOP
Group
Implementar las directivas de grupo
Implementar las directivas de grupo
Administrative
Implementar las directivas de grupo
Configure folder redirection and scripts by using GPOs
Implementar las directivas de grupo
Implementar las directivas de grupo Configuración de la redirección de carpetas
Configure GPO preferences
Implementar las directivas de grupo
Implementar las directivas de grupo Implementación de las preferencias
Deploy software by using GPOs
Implementar las directivas de grupo
Implementar las directivas de grupo Despliegue de aplicaciones mediante una directiva de grupo
Configuring and Troubleshooting Remote Access
Configuración del acceso remoto
Configuración del acceso remoto
Configure network access
Configuración del acceso remoto
Create and configure a VPN solution
Configuración del acceso remoto
Managing Policy
User
Describe and Templates
Desktops
implement
with
Configuración del acceso remoto Configuración de un servidor VPN Configuración del acceso remoto Configuración del cliente VPN
Describe the role of network policies
Configuración
del acceso remoto Troubleshoot routing and remote access
Configuración del acceso remoto
Configure DirectAccess
Configuración del acceso remoto
Configuración del acceso remoto Configuración de DirectAccess Configuración del acceso remoto Configuración del cliente DirectAccess
Configuración del acceso remoto
Configuración del acceso remoto
Install and configure NPS
Configuración del acceso remoto
Configuración del acceso remoto
Configure RADIUS clients and servers
Configuración del acceso remoto
Explain NPS authentication methods
Configuración del acceso remoto
Monitor and troubleshoot NPS
Configuración del acceso remoto
Installing, Troubleshooting Server Role
Configuring, the Network
and Policy
Configuración del acceso remoto Configuración de un servidor VPN
Implementing Network Access Protection Describe how NAP can help protect your network
Implementar la solución NAP
Describe the processes
Implementar la solución NAP
various
NAP
enforcement
Configure NAP
Implementar la solución NAP
Monitor and troubleshoot NAP
Implementar la solución NAP
Optimizing File Services
Optimización de los servicios de archivos
Describe FSRM
Optimización de los servicios de archivos
Use FSRM to manage quotas, file screens, and storage reports
Optimización de los servicios de archivos
Implementar la solución NAP Configuración de los componentes NAP
Optimización de los servicios de archivos
Optimización de los servicios de archivos Implementación de una política de filtrado por extensión
Optimización de los servicios de archivos Uso de los informes de almacenamiento Implement classification management tasks
and
file
Optimización de los servicios de archivos
Describe DFS
Optimización de los servicios de archivos
Configure DFS namespaces
Optimización de los servicios de archivos
Configure and troubleshoot DFS Replication
Optimización de los servicios de archivos
Configuring Auditing Encrypt files System (EFS)
Encryption
by
using
and
Advanced
Encrypting
Configure advanced auditing
File
Cifrado de datos y auditoría
Optimización de los servicios de archivos Configuración de la clasificación
Optimización de los servicios de archivos Instalación y configuración del servidor DFS
Cifrado de datos y auditoría
Cifrado de datos y auditoría Cifrado de datos y auditoría
Cifrado de datos y auditoría Configuración de una política de auditoría avanzada Cifrado de datos y auditoría - Auditar las modificaciones en Active Directory Cifrado de datos y auditoría - Auditoría de los accesos a una carpeta
Implementing Update Management
Implementación del servidor WSUS
Describe the role of WSUS
Implementación del servidor WSUS
Deploy updates with WSUS
Implementación del servidor WSUS
Implementación del servidor WSUS
Implementación del servidor WSUS Instalación y configuración del rol WSUS Implementación del servidor WSUS Aprobación y despliegue de actualizaciones
Implementación del servidor WSUS Creación de informes Monitoring Windows Server 2012/2012 R2
Supervisión de servidores
Supervisión de servidores
Describe the monitoring tools for Windows Server
Supervisión de servidores
Use Performance Monitor to view and analyze performance statistics of programs that are running on your servers
Supervisión de servidores
Supervisión de servidores - Uso del Monitor de rendimiento Supervisión de servidores - Creación de una vista personalizada
Monitor event logs to view and interpret the events that occurred
Supervisión de servidores
Supervisión de servidores - Asociar una tarea a un evento Supervisión de servidores Implementar y utilizar suscripciones
