Download 98-365 Fundamentos de Windows Server...
Microsoft® Official Academic Course
Fundamentos de Windows Server EXAMEN 98-365
www.pdftron.com
www.pdftron.com
Índice
1. Visión General del Servidor
1
2. Windows Server 2008 R2
39
3. Administración de Almacenamiento
81
4. Monitoreo y Solución de Problemas de Servidores 107 5. Servicios Esenciales
159
6. Servicicios de archivo e impresión
193
7. Servicios de Red y Aplicaciones Populares en Windows
227
www.pdftron.com
Contenido
Lección 1 Visión General del Servidor 1
Lección 2 Windows Server 2008 R2
Entender Qué Hace un Servidor Introducción a los Roles del Servidor
Realizar Tareas de Configuración Inicial 40 Uso del Panel de Control 41
2 2
Selección del Hardware de Servidor 4
Control de Cuentas de Usuario
39
42
El Procesador
4
Introducción a la Configuración del Sistema
La RAM
6
Cambiar el Nombre del Equipo y la Configuración del Dominio 46
El Almacenamiento
6
Las Conexiones de Red
6
Configuración de Opciones Remotas 48 Cambio de Fecha y Hora
La Motherboard 6
49
Configurar Opciones de Dirección IP 50 Dispositivos y Controladores de Dispositivos
Gabinetes y Suministros de energía 8 Puertos
46
8
54
www.pdftron.com Dispositivos Plug and Play 55
Servidores y Workstations 10
Servidores Físicos y Servidores Virtuales Cuál es la Ubicación del Servidor
Selección del Software
10
10
Introducción de roles de servidor en Windows Server 2008 R2 15 Introducción las Características de Servidor en Windows Server 2008 R2 17
Instalar Windows Server 2008 R2 Instalaciones Limpias
19
20
Ejecutar una Actualización 24 Qué es la Clonación de Disco y Herramienta de Preparación de Sistema 27 Realizar una Instalación Desatendida 28 29
Qué es el Licenciamiento de Windows 29 Activación de Windows
56
57
Consola de Administración de Microsoft y Herramientas Administrativas 59
Consola de Administración de Equipos y de la Consola de Administración de Servidores 61
Instalar Programas, Roles y Funciones 64 Administración de Programas
64
Administración de Roles y Funciones 65
21
Windows Deployment Services
Dispositivos e Impresoras
Administrador de Dispositivos
11
Versión Completa y Server Core
Controladores Certificados 56
30
Actualizaciones de Windows
31
Evaluación de Conocimientos 35 Evaluación de Competencias 37 Evaluación de Habilidad 37 Selección del Servidor Correcto
38
Administración de Servicios 67 Entender el Registry 69 Administración del Servidor Core 72 Evaluación de Conocimientos 76 Evaluación de competencias 78 Prueba de aptitud 79 Configuración y Administración de los Servidores 79
Prefacio
Lección 3 Administración de Almacenamiento 81 Identificar las Tecnologías de Almacenamiento Dispositivos IDE y SCSI
82
82
Introducción a los discos RAID
Introducción a la Continuidad de Negocio Teaming de Tarjetas de Red
Almacenamiento Conectado a Red y Redes de Área de almacenamiento 84
Qué son los Respaldos
Sofware iSCSI Initiator iSCSICLI
85
86
138
Introducción a los artículos de respaldo
138
139
Métodos de administración de medios
89
Explorador de Almacenamiento y el Administrador de Almacenamiento 89
La estructura de disco
137
Introducción a los Medios de Respaldo Métodos de respaldo
87
90
Introducción a los Estilos de Particionamiento de Disco 90 Comparación de Tipos de Discos
91
Introducción al sistema de archivos
92
135
Introducción a los Clústers de balanceo de carga 136 Qué es la Energía 136
Introducción a iSCSI
134
Qué es el Clúster 135
Introducción a los discos de reserva (Hot Spares) 84
Introducción al canal de fibra
133
Introducción a los Componentes tolerantes a falla 134
Introducción de Clústers en caso de falla 82
V
Mirada a los tipos de respaldo
139
140
Mirada a los Esquemas de Rotación de Respaldo 140
Introducción al respaldo de Microsoft Windows 141 Qué son las instantáneas de carpetas compartidas 144
Realizar reparación de servidor 146 Evaluación de Conocimiento 155 Evaluación de Competencia 158 Evaluación de Destreza 158 Monitoreo y Administración de Servidores
www.pdftron.com Herramientas de la Administración de Discos Evaluación del Conocimiento 103 Evaluación de Competencias 105 Evaluación de Competencias 106 Software de Administración de Discos 106
93
Lección 5 Servicios Esenciales 159
Lección 4 Monitoreo y Solución de Problemas de Servidores 107
Administración de Tecnología de Información 108 Introducción a la Metodología de Solución de Problemas 110 Información del Sistema
111
Visor de Eventos 112
Arranque del Sistema Qué es Boot.ini
116
Qué es BCDEdit
118 120 122
125
Memoria Virtual y Archivo de Paginación Uso del Administrador de Tareas Monitor de Desempeño
130
Monitor de Recursos
132
160
HOSTS y Archivos LMHOSTS Explorar el DNS
160
161
WINS 164 Zonas DNS GlobalName
165
Convención de Nomenclatura Universal
165
Servicios DHCP 166 Introducción al Servicio de Directorio con Directorio activo (Active Directory) 168 169
Introducción a Páginas y Controladores de Dominio 170
Herramienta de Configuración del Sistema
Comprender el Desempeño
Resolución de Nombres
Introducción a Dominios, Árboles y Bosques
115
Menú de Arranque Avanzado
158
127
125
Flexible Single Master Operations
171
Análisis de los Catálogos Globales
173
Definición de los niveles funcionales 174 Introducción a las Unidades Organizacionales 175 Una mirada a los Objetos
176
Análisis de los Usuarios
177
Análisis de los Equipos
180
VI
Introducción a Grupos Grupos de Alcance
Lección 7 Servicios de Red y Aplicaciones Populares en Windows 227
180
Comparando los Tipos de Grupos
180
181
Análisis de Grupos Integrados
183
Introducción a los Servicios Web
Introducción a la Directiva de Grupo 183 Aplicar la Directiva de Grupo
184
Crear Sitios Web y Directorios Virtuales
Los Derechos y Permisos 186
Examen de Conocimiento 188 Evaluación de Competencias 190 Evaluación de la Habilidad 191 Usuario Administrador y Cuentas de Servicio
228
Administración de Sitos Web con IIS 229 229
Explorando Aplicaciones y Grupo de Aplicaciones 232 Explorando los Documentos por Defecto y Listados de Directorio 234
191
Seguridad de IIS 235 Capa de sockets seguros y certificados digitales 237
Lección 6 Servicios de archivo e impresión Introducción a NTFS
Administrar FTP con IIS
193
194
Máquinas Virtuales
Establecer permisos NTFS 194 Permisos efectivos de NTFS
240
Entender el acceso remoto 242 Introducción a la Administración Remota Qué es la Virtualización de Servidores 249 251
Administrar una Máquina Virtual
198
Administración de Discos
246
252
253
www.pdftron.com Copiar y mover archivos
202
Analizar los propietarios de carpetas y archivos 202 Encriptar archivos con NTFS
203
Uso compartido de Unidades y Carpetas
205
Detección de redes y de navegación 206
Recursos Administrativos Compartidos Especiales Analizar las Impresoras 208 Instalar Impresoras
208
209
Análisis de las Propiedades de la Impresora Configurar los Permisos de Impresora 214 Administrar los trabajos de impresión 215 Configurar Impresión en Internet
217
Habilitar la Auditoría 217 Evaluación del conocimiento 222 Evaluación de Competencias 225 Evaluación de habilidad 225 Sistema de Archivos Distribuido
226
213
Administración de redes virtuales y tarjetas de red 253
Evaluación de Conocimientos 257 Evaluación de Competencias 259 Evaluación de Habilidades 259 Servidor Exchange y SQL 260
Lección 1
Visión General del Servidor Matriz de Dominio de objetivos Habilidades/Conceptos Instalación de Windows Server 2008 R2 Introducción a los Roles del Servidor Comparación de Servidores Físicos y Servidores Virtuales Selección de Hardware de Servidor Identificación de Métodos para Instalar Servidores de Windows
Descripción del Dominio del objetivo Entender las opciones de instalación del servidor. Identificar los servidores de aplicación. Entender la virtualización de servidor. Identificar los componentes de hardware del servidor. Entender las actualizaciones.
Número del Dominio del objetivo 1.3 2.1 2.5 5.1 6.3
www.pdftron.com Términos Clave
• BIOS • Instalación limpia • Clonación de disco • Unidades • Firmware • Motherboard • Conexiones de red • Puertos • Suministro de energía
• Procesador • RAM • Servidor • Núcleo de Servidor • Características de servidor • Rol de servidor • Herramienta de preparación de sistema • Instalación desatendida
• Instalación de actualización • Servidor virtual • Activación de Windows • Windows Deployment Services (WDS) • Actualizaciones de Windows
Acaba de ser contratado en Acme Corporation, la compañía tiene varios Servidores Windows Server 2003 y Windows Server 2003 R2 y un Servidor Windows Server 2008. Mientras habla con su equipo de administración, determina que necesita actualizar todos los servidores a Windows Server 2008 R2 y crear un centro de servidores que consiste en tres nuevos servidores web y un servidor SQL back-end sencillo, que también opera Windows Server 2008 R2. Necesita averiguar la mejor forma para lograr su meta.
2
Lección 1
Entender Qué Hace un Servidor È EN RESUMEN
Con la tecnología actual, cualquier computadora en la red puede proporcionar o solicitar servicios dependiendo de cómo se confgura la red. Un servidor es una computadora que está destinada a ser un proveedor de servicio dedicado y un cliente es una computadora que solicita servicios. Una red que está constituida por servidores dedicados y clientes se conoce como una red cliente/servidor. Una red basada en servidor es la mejor para compartir recursos y datos, mientras proporciona seguridad de red centralizada para tales recursos y datos. Las redes con Windows Server 2003 y Windows Server 2008 por lo general son redes cliente/servidor. º Tome Nota No olvide preparar su servidor para un crecimiento. La mayoría de ellos deberían ser diseñados para dar un servicio de tres a cinco años. Asegúrese de prever cómo se verá su panorama en este tiempo, lo que le ayudará a evitar comprarlo y reinstalarlo varios meses después. Considere que si realiza una instalación muy básica de su servidor la consecuencia será un crecimiento limitado en el futuro
Si ha estado usando Windows XP, Windows Vista o Windows 7 por un periodo signifcativo de tiempo, habrá observado que su computadora provee servicios y solicita servicios (aunque es más probable que solicite servicios más que proveerlos). Cuando tiene acceso a una página web en Internet, a su correo electrónico, a un archivo de datos en otra computadora o a una impresora que está conectada a la red, está solicitando servicios. Mientras que los servidores Windows están diseñados para proporcionar un amplio rango de servicios de red, Windows XP, Windows Vista y Windows 7 pueden proporcionar impresoras y archivos compartidos y páginas web (aunque está limitado por el número de conexiones concurrentes, en especial comparado con los servidores Windows, y no está optimizado para acceso multiusuario). Por lo tanto, mientras estas versiones de Windows están diseñadas como cliente, también se pueden utilizar para proporcionar servicios.
www.pdftron.com Mientras que las computadoras con Windows Server 2003 y Windows Server 2008 están diseñadas para proveer servicios, también pueden solicitarlos desde otras computadoras. Por ejemplo, pueden tener acceso a un servidor web localmente o por Internet, acceso a un almacén de software o imprimir en una impresora de red.
Cuando esté determinando las necesidades de hardware y software, observe el rol que la computadora necesita cumplir y la carga que soportará. Entonces podrá comenzar a investigar el hardware (incluyendo el número de computadoras, número de procesadores, cantidad de RAM y cantidad de almacenamiento de disco) y los requerimientos de software para alcanzar tales metas. Recuerde que también necesitará considerar la recuperación en caso de desastres incluyendo los pasos que necesitará tomar si falla un servidor o pierde datos.
f Introducción a los Roles del Servidor Antes de seleccionar los componentes de hardware y software del servidor, primero debe entender que es lo que se supone que este debe hacer. Primero identifque los roles y los servicios de red que necesitará proveer. Enseguida revise cuánta gente tendrá acceso al servidor al mismo tiempo para ayudar a determinar la carga que necesita cumplir. ; Listo para la certificación ¿Puede enlistar y describir los roles básicos del servidor?—2.1
El rol del servidor es una tarea primaria que este realiza. Debería observar que un servidor puede tener roles múltiples. Algunos de sus roles más comunes son: • • • • • • •
Servicios de archivo Servicios de impresión Servicios web Acceso remoto Servidores de aplicación Servidor de correo electrónico Servidor de base de datos
Visión General del Servidor
3
Un servidor de archivos permite localizar de forma centralizada los archivos a los que acceden varios usuarios. Debido a su ubicación (asumiendo que están bien organizados), resultará más sencillo respaldarlos. Cuando use Microsoft Windows para proporcionar archivos compartidos, por lo general estará usando el Server Message Block (SMB) para tener acceso a Microsoft Shares o carpetas compartidas. Los Servidores Windows también pueden proporcionar NFS compartidos para usuarios Unix/Linux. Varios usuarios pueden tener acceso a una impresora localizada centralmente, lo que signifca que puede compartir una impresora costosa de servicio pesado o una rápida que soporta opciones avanzadas tales como color. Se puede tener acceso a una impresora que se encuentra en red o a una que esté en un servidor Microsoft Windows (de nuevo usando el SMB). Así como el internet se ha vuelto más importante en los negocios actuales, ha pasado lo mismo con los otros servicios web. Los servidores web se usan para proveer servicios y así los usuarios pueden tener acceso a páginas web usando sus navegadores. Estos servicios se pueden usar para hacer investigación, proporcionar pistas para ventas, permitir que los clientes compren bienes y servicios y proveer soporte al cliente por Internet. Los servicios web también se pueden usar para proveer un método fácil para tener acceso a bases de datos, informes de ejecución, rastrear pistas de ventas, proporcionar soporte al cliente e incluso ayudarlo con la nómina y recursos humanos. Debido a que utiliza un navegador estándar tal como Internet Explorer, estará usando el Protocolo de Transferencia de Hipertexto (HTTP) o protocolos HTTP Seguro (HTTPS). Microsoft provee servicios web usando los Servicios de Información de Internet (IIS).
www.pdftron.com El acceso remoto es un servicio que soporta múltiples solicitudes entrantes en conexión con el servidor o red. Puede proporcionar servicios terminales de tal forma que varios usuarios se puedan registrar en un servidor remotamente y tener acceso a una computadora de escritorio, menú de inicio y programas como si se sentaran frente al servidor. Por otro lado, el acceso remoto también puede proveer acceso de red por Internet usando una red privada virtual (VPN), que permite que un usuario esté en casa y aún así tenga acceso a recursos de su red interna tales como correo electrónico y archivos de datos.
Por último, el rol del servidor de aplicación proporciona un ambiente integrado para desplegar y ejecutar aplicaciones de negocio basadas en servidor. En otras palabras, el servidor entrega aplicaciones de red. Cuando tiene acceso a un archivo desde una carpeta compartida, su computadora hace todo el trabajo; en este caso, el servidor también realizará un poco de procesamiento. Cuando se habla sobre servidores y aplicaciones de servidor, puede escuchar los términos front-end y back-end. En las aplicaciones cliente/servidor, la parte del programa para el cliente a menudo se llama el front-end; que es la interfaz que se provee a un usuario u otro programa. Se puede tener acceso a éste por medio de una página web o una aplicación personalizada que se ejecute en la computadora cliente. Mientras que el back-end es la parte del servidor y a menudo contendrá una base de datos que se usa para almacenar, organizar, encuestar y recuperar datos. Un servidor de aplicación esencial para la mayoría de las compañías y que es usado comúnmente, es el servidor de correo. Este es un servidor que almacena y administra mensajes electrónicos (correo electrónico) entre los usuarios. Si utiliza productos de correo electrónico de Microsoft, estará usando Microsoft Exchange es muy probable que tenga acceso al correo electrónico usando Microsoft Outlook o un navegador web. Dos ejemplos adicionales de servidores de aplicación son las aplicaciones de rastreo de ventas o control de inventario. Tendría acceso a este tipo de servidor en su red de compañía por medio del uso de un programa personalizado o usando su navegador. Entonces solicitaría
4
Lección 1
información o ingresaría algunos datos, que entonces se recuperarían desde o enviarían al servidor de back-end que ejecuta una base de datos tal como Microsoft SQL server.
f Selección del Hardware de Servidor Cuando elija el servidor a usar y los componentes de hardware que lo constituyen, tenga en mente que el servidor está diseñado para proporcionar servicios de red. Debido a que puede ser utilizado por múltiples usuarios al mismo tiempo, por lo general es mucho más poderoso que la mayoría de las computadoras clientes. Recuerde, si el servidor falla o se vuelve inaccesible, el problema afectará a múltiples personas. Por lo tanto, necesita elegir el hardware que tenga menor tendencia a falla que una computadora cliente normal y que tenga alguna redundancia integrada. También necesita planear de tal forma que sepa cómo tratar con estos problemas cuando ocurran. ; Listo para la certificación ¿Qué sub-sistemas afectan más el desempeño del servidor?—5.1
Estos son los sub-sistemas primarios que constituyen un servidor: • • • •
Procesador Memoria Almacenamiento Red
Si cualquiera de estos fallan, el sistema completo puede fallar. Además, si se pide que cualquiera de estos haga más de lo que está diseñado, puede causar un cuello de botella que puede afectar el desempeño del sistema completo.
www.pdftron.com Tome Nota
Incluso si se esfuerza por un tiempo en línea del 100%, es casi imposible conseguirlo por un periodo prolongado de tiempo. Sin embargo si pudiera anticiparse, se podrían reducir las oportunidades de falla y el impacto que esta tendría; agregando servidores, componentes o tecnología adicionales que hará al sistema más tolerante a estas; y desarrollando buenos planes de tal forma que pueda reaccionar rápidamente cuando ocurra una. Además, necesitará gastar dinero para hacer un sistema más tolerante a las fallas, casi todas las organizaciones tienen un límite sobre cuánto dinero pueden invertir en un servidor o servicio de red.
Los sub-sistemas que se acaban de enumerar no son los únicos componentes que constituyen el servidor, pero son los factores primarios que se examinan cuando se determina lo que puede manejar. También pueden incluir tarjeta de sonido, pero por lo general, este no lo proporciona a múltiples usuarios. En su lugar, los datos son enviados a través de la red a un cliente individual y la tarjeta de sonido de quien lo produce. Lo mismo se aplica para el video. No tendrá 20 monitores conectados a una computadora sencilla que provea gráfcos, por lo tanto, generalmente no necesitará un sistema de video de alto desempeño para el servidor.
El Procesador La computadora, incluyendo los servidores, se construye alrededor de uno o más chips integrados conocidos como el procesador. Éste se considera el cerebro de la computadora ya que todas las instrucciones que realiza son cálculos matemáticos y comparaciones lógicas. Intel y AMD producen la mayoría de los procesadores de la actualidad. La velocidad cronometrada de un procesador por lo general se expresa en gigahertz (GHz), el cual es un 1 mil millones (1,000,000,000) de ciclos por segundo. Durante cada ciclo, un circuito reacciona de una manera predecible: lleva un valor, realiza un cálculo o una
Visión General del Servidor
5
comparación. Son estas reacciones lo que hacen que una computadora funcione. Por supuesto, si un procesador opera a una velocidad mayor, se puede asumir con seguridad que haría más en una menor cantidad de tiempo. Aunque durante los últimos años, la velocidad no es el único factor que determina el desempeño. La mayoría de los procesadores vendidos hoy en día son de núcleo múltiple, que es como tener dos o más núcleos de procesamiento empacados como uno. Además, usan otras tecnologías para mantenerlo funcionando en su efciencia más alta, tal como usar un enfoque de línea de ensamble o tratar de anticipar qué necesidades se tienen que hacer primero, de tal forma que siempre estén disponibles para nuevas tareas. Tome Nota Tener núcleos adicionales no siempre significa un incremento lineal en el desempeño. Por ejemplo, tener dos núcleos no siempre significa que obtendrá el doble de desempeño. En estos casos, el desempeño es limitado por qué el software también está optimizado para usar ambos núcleos.
Otro factor es con cuántos datos puede trabajar un procesador. Hoy en día, los procesadores más recientes son de 64 bits, que trabajan más rápido que los antiguos procesadores de 32 bits. Un procesador de 64 bits tiene un tamaño de palabra predeterminado de 64 bits y un bus de datos externos de esta velocidad. La mayoría de las personas no se da cuenta que los procesadores modernos ya pueden manejar cálculos de 64 bits. (Recuerde que cada valor, números pequeños y grandes y números con puntos decimales, se separan en 0s y 1s o bits. La mayoría de los procesadores puede procesar 128, 256 y tal vez números incluso mayores internamente. Pero uno de los principales benefcios de los procesadores de 64 bits es que pueden procesar signifcativamente más memoria que los de 32 bits (4 GB con un bus de dirección de 32 bits y 64 GB con un bus de dirección de 36 bits). Técnicamente un procesador de 64 bits puede tener acceso hasta a 16.3 mil millones de gigabytes (16 exabytes). La arquitectura AMD64 actualmente tiene un límite de 52 bits en la memoria física (lo que soporta hasta 4 petabytes o 4048 terabytes) y sólo soporta un espacio de dirección virtual de 48 bits (256 terabytes). Por lo general, alcanza el límite de la motherboard o chips de memoria antes de alcanzar el límite del procesador.
www.pdftron.com Con más datos en la memoria, un procesador de 64 bits puede trabajar más rápido debido a que puede tener acceso a mayores cantidades de RAM en lugar de cambiar datos una y otra vez con los discos mucho más lentos. Además, con el mayor registro interno, puede procesar mayores números sin dividirlos en varios números menores, e incluso puede tomar varios números pequeños y hacer algunos cálculos matemáticos o la comparación de estos números al mismo tiempo. Hoy en día, casi todos los procesadores de computadora vendidos son de 64 bits. Los procesadores de 64 bits actuales incluyen tecnología de virtualización (VT), que permite que actúe como si fueran varios procesadores trabajando en paralelo, de tal forma que varios sistemas operativos pueden ejecutarse al mismo tiempo en la misma máquina. A partir de este documento, para ejecutar Microsoft’s Hyper-V, que es el software de virtualización de Microsoft, necesita tener procesadores y BIOS que soporten esta tecnología. Si un sistema operativo y los programas se escriben para usar los cálculos de 64 bits mayores y usan la memoria accesible adicional, la potencia de procesamiento de una computadora se puede incrementar signifcativamente. La mayoría de los programas diseñados para una computadora que ejecuta una versión de 32 bits de Windows funcionará en una computadora que ejecute versiones de 64 bits de Windows. Las excepciones perceptibles son algunos programas antivirus y algunos controladores de hardware. El mayor problema
6
Lección 1
que puede se puede encontrar es hallar controladores de 64 bits para algunos de sus dispositivos de hardware más viejos.
La RAM La RAM, que signifca random- access memory (memoria de acceso aleatorio), es la memoria a corto plazo y temporal de la computadora. Almacena instrucciones y datos a los que el procesador accesa directamente. Si tiene más RAM, puede cargar más instrucciones y datos desde los discos. Además, tener sufciente memoria de acceso aleatorio puede ser uno de los principales factores en el desempeño general de su computadora. Desafortunadamente, cuando se pierde la energía a la RAM, como cuando apaga su computadora, desaparece el contenido. Ésta es la razón por la que se usan discos en lugar de la RAM para el almacenamiento a largo plazo.
El Almacenamiento Tradicionalmente, los discos duros son dispositivos mitad electrónicos/mitad mecánicos que almacenan campos magnéticos sobre placas giratorias. En la actualidad, algunos discos duros, conocidos como drives de estado sólido, son dispositivos electrónicos sin componentes mecánicos. Mientras que la mayoría de las computadoras personales sólo tienen almacenamiento local que consiste en discos duros internos, los servidores se pueden conectar al almacenamiento externo a través del almacenamiento conectado a red (NAS) o red de área de almacenamiento (SAN).
www.pdftron.com La mayoría de los sistemas modernos tienen alguna forma de disco óptico. Los sistemas más viejos tendrán drives de discos compactos, que usan de manera similar a un reproductor de CD de música. Los sistemas más recientes tienen un drive de DVD o Blue-ray. En cualquier caso, los discos ópticos almacenan información usando luz de láser. Tradicionalmente, estos se consideraban como dispositivos de sólo lectura, pero ahora muchos sistemas tienen capacidad de quemado que permiten al usuario escribir datos en discos ópticos especiales.
Las Conexiones de Red El último componente primario que constituye un servidor es la conexión de red. Sin esta, el servidor no puede comunicarse con otros servidores o con los clientes. La mayoría de los servidores incluyen una o más tarjetas de interfaz de red o NICs. Debido a que están diseñados para soportar muchas conexiones de red, debe tener el ancho de banda disponible desde el servidor. La velocidad mínima de las tarjetas de red actuales es de 100 Mbit/segundo, mientras que la velocidad mínima para servidores es de 1 Gbit/segundo o más rápida.
La Motherboard El componente que conjunta estos cuatro sub-sistemas, es decir, que es una gran tarjeta de circuito, es la motherboard o tarjeta de sistema y sirve para que el procesador se comunique con el resto del sistema. Ésta permite que el procesador se ramifque y comunique con todos los demás componentes de la computadora. Aunque todo se hace alrededor del procesador, se considera que la motherboard es el sistema nervioso de la computadora. Sus capacidades se han expandido ampliamente (la mayoría incluyen conectividad de sonido y red) y puede expandir las capacidades del sistema instalando tarjetas de expansión, referidas a veces como tarjetas secundarias. Vea la Figura 1-1.
Visión General del Servidor
7
Figura 1-1 Una motherboard conectada al suministro de energía y drives de disco
www.pdftron.com Puede encontrar los procesadores, RAM, el chipset y el BIOS de la motherboard en la misma placa. El chipset representa los clústers nerviosos que conectan sus distintos componentes incluyendo el teclado, drives de discos y la RAM. Dependiendo del diseño de la motherboard, un chipset puede operar más rápido que otro o tener más características redundantes. Por supuesto, estos tipos de sistemas por lo general son más costosos.
En la motherboard y las tarjetas de expansión, puede encontrar el Firmware, que es un software contenido en los chips de memoria de sólo lectura (ROM). A diferencia de la RAM, las instrucciones de la ROM son permanentes y no se pueden cambiar o eliminar excepto con software especial. Cuando apague su computadora, las instrucciones de la ROM permanecen de tal forma que cuando se enciende su computadora de nuevo, sabe cómo reiniciar el sistema, probar el sistema y encontrar los dispositivos de inicio tal como lo es su disco duro.
Las instrucciones que controlan la mayoría de las funciones de entrada/salida de la computadora, tales como comunicarse con los discos, la RAM y el monitor, se mantienen en los chips ROM del Sistema conocido como BIOS (sistema de entrada/salida básico) y puede pensar en él como lo intrínseco de la computadora. Al hacer que las instrucciones (software) se escriban en el BIOS, el sistema ya sabe cómo comunicarse con algunos componentes básicos tales como el teclado y cómo leer algunos discos elementales como los drives IDE. También busca chips ROM adicionales que pueden estar en la motherboard o en las tarjetas de expansión que agregue al sistema. Estos chips ROM adicionales tendrán instrucciones para operar otros dispositivos tales como drives SCSI o RAID. Si todavía no se ha dado cuenta hasta el momento, las instrucciones escritas en el BIOS son software. A diferencia del software normal que compra en la tienda u ordena por Internet, no se escribe en un disco. Desafortunadamente como cualquier software, este puede necesitar que se arreglen errores o expandirse para soportar un nuevo tipo de hardware que no existía cuando se escribió. A veces una versión más reciente de BIOS puede llevar a un mejor desempeño del sistema. Para superar algunos problemas, debería verifcar con el fabricante de su sistema o motherboard para ver si tienen una versión nueva
8
Lección 1
que pueda descargar y aplicar a su sistema. El proceso de actualizarlo del sistema, se llama actualización por fash del BIOS. Desafortunadamente, actualizar el BIOS por fash es un proceso delicado. Si el proceso se interrumpe a la mitad o instala la versión equivocada, puede dejar de tener acceso a su sistema y tendrá que reemplazar su motherboard para solucionar el problema. Por lo tanto, si es la primera vez que actualiza por fash un sistema, debería hacerlo un par de veces con alguien que ya lo haya hecho antes. Además, debería entrar a su programa de confguración de BIOS o CMOS y anotar todos los ajustes actuales en caso de tener que restaurar los previos. Por último, asegúrese de revisar minuciosamente la documentación del fabricante del sistema o la motherboard para determinar la versión BIOS de su sistema y la versión correcta para descargar e instalar. Entonces puede descargar la imagen de BIOS y el programa ejecutable para actualizarlo por fash. Para entrar al programa de confguración de BIOS o CMOS, puede presionar una tecla o combinación de teclas al principio antes de que cargue el sistema operativo. Las teclas comunes por lo general son la tecla Del o la tecla F10. Para averiguar qué tecla o teclas, debería observar la pantalla durante el inicio o leer el manual del servidor o motherboard. ¡Advertencia! Asegúrese de no tener ningún contratiempo como fallas de energía o que alguien tropiece con el cable de energía mientras está actualizando el BIOS. Recuerde que si el proceso se detiene a la mitad, el sistema se puede volver inservible.
www.pdftron.com Gabinetes y Suministros de energía
Un gabinete proporciona una envoltura que ayuda a proteger los componentes del sistema que están dentro, como los suministros de energía y ventiladores adicionales que por lo general se diseñan para proveer una cantidad adecuada de fujo de aire a través del sistema para mantener el sistema frío. Típicamente si tiene artículos que estén diseñados para el desempeño, ellos pueden producir una buena cantidad de calor y demasiado calor siempre es malo para los dispositivos electrónicos y mecánicos.
Puede pensar en el suministro de energía como la sangre de la computadora, pues esta funciona con electricidad. Sin ella, sólo es una caja. Debido a que los suministros de energía son dispositivos mitad electrónicos y mitad mecánicos, se les considera como artículos de alta falla cuando los compara con dispositivos electrónicos puros tales como los chips de memoria o procesadores. Los dispositivos mecánicos tienden a desgastarse durante cierto periodo de tiempo. Por lo tanto, los servidores pueden tener suministros de energía redundantes. Además, para resistir los apagones o incluso fuctuaciones de energía, el servidor o cuarto de servidores puede estar conectado a uno o más suministros de energía ininterrumpible (UPSs) y/o generadores de energía.
Puertos Los servidores son computadoras. Como cualquier equipo, necesita ser capaz de agregar dispositivos externos al servidor. Los Puertos son receptores de enchufe que le permiten conectar a su computadora un dispositivo externo, tal como una impresora, teclado, ratón o drive externo. Por lo general puede identifcar estos puertos por la forma del receptor de enchufe, el número de hileras de clavija y su orientación (macho o hembra), así como cuantas hay. Estos son los puertos más populares:
Visión General del Servidor
9
• Puerto paralelo: Puerto D hembra de 2 hileras y 25 clavijas; Se considera un puerto de legado que se usa para conectar impresoras. • Puerto serial: Puerto D macho de 2 hileras y 9 clavijas: Aún cuando se considera un puerto de legado, este puerto a menudo se usa para conectar a interruptores y routers para confgurarlos. También se puede usar para conectar teclados, ratones e impresoras de legado. • Puerto VGA: Conector D hembra de 3 hileras y 15 clavijas; se usa para conectar un monitor a la computadora. • Puerto de bus de serie universal (USB): Un dispositivo popular que se puede usar para conectar teclados, ratones, impresoras, módems y drives de disco externo. • Puerto de ratón o teclado PS/2: Mini-DIN de ratón de 6 clavijas; puerto que se usa para conectar un ratón de legado. • Conector RJ-45: También se conoce como conector Ethernet, se usa para conectar un cable de red 10Base-T/100Base-T/1000Base-T. • Puerto DVI-I: Interfaz de video de alta calidad diseñada para reemplazar los puertos VGA. Vea la Figura 1-2. Figura 1-2 Puertos comunes (puertos de teclado y ratón PS/2, puerto serial, puerto paralelo, puerto 1394, puerto USB, puerto Ethernet, puerto DVI-I y puerto VGA)
www.pdftron.com
10
Lección 1
Servidores y Workstations º Tome Nota Mientras los servidores por lo general son componentes de alto desempeño, a menudo no tienen los componentes más recientes y más rápidos. En cambio, el servidor tiene componentes que se desempeñan bien pero que han sido probados minuciosamente y por tanto se consideran confiables
Cuando compra cualquier computadora, por lo general puede elegir entre una portátil, una personal, una workstation o un servidor. Las computadoras portátiles no están diseñadas para ser servidores auto-soportados. La personal y las workstation están diseñadas para un usuario sencillo. Las workstations por lo general contienen componentes para desempeño más rápido sobre una computadora personal barata estándar de tal forma que pueden realizar gráfcas pesadas o costosos cálculos matemáticos, pero está diseñada para una sola persona. Un servidor, por otro lado, tiene dos objetivos. El primero; ya que los servidores están diseñados para soportar muchos usuarios, a menudo tienen una carga mayor en comparación con una computadora de un usuario sencillo. El segundo; debido a que muchos usuarios tienen acceso al servidor, este necesita ser confable. Por lo tanto, los servidores a menudo contienen componentes que son tolerantes a las fallas y confables (tales como suministros de energía redundantes, discos duros redundantes y tarjetas de red redundantes). Por lo tanto, los sistemas diseñados como servidores, generalmente contienen circuitos adicionales para detectar problemas con el sistema incluyendo condiciones como cuando el sistema se sobrecalienta, cuando falla un ventilador o incluso cuando se abre físicamente. Por supuesto, cuando se abre el sistema es más una característica de seguridad que un componente tolerante a falla.
Servidores Físicos y Servidores Virtuales
www.pdftron.com ; Listo para la certificación
¿Qué pueden hacer los servidores virtuales por una compañía?—2.5
Hasta ahora, nuestra discusión se ha enfocado en la mayoría en los servidores físicos. Durante los últimos años, la virtualización se ha vuelto más popular. Las máquinas virtuales o la tecnología de servidor virtual dan oportunidad a que múltiples sistemas operativos se ejecuten de manera concurrente en una sola máquina. Esto permite la separación de servicios de tal forma que los cambios en un servidor virtual no afectan a otros. Además, ofrece una mejor manera de utilizar el hardware ya que la mayoría permanece desocupado la mayoría del tiempo. Al colocar varios servidores virtuales en un servidor poderoso, puede utilizar mejor el hardware mientras mantiene los costos al mínimo. Además, se pueden crear entornos de prueba de Windows fácil y rápidamente en un ambiente seguro y auto-contenido.
Un líder de la virtualización es VMware. Para competir en su contra, Microsoft incluye Hyper-V, que es un reemplazo de Virtual Server y Virtual computadora de Microsoft.
Cuál es la Ubicación del Servidor Después de seleccionar y comprar el servidor y sus componentes, necesita averiguar dónde debería ubicarse. El cuarto de servidores es el área de trabajo del departamento de Tecnología de la Información (IT) que contiene los servidores y la mayoría de los dispositivos de comunicación incluyendo interruptores y routers. El cuarto debería ser seguro y con acceso permitido sólo para unas cuantas personas. Por supuesto, el cuarto debería ser seguro y estar cerrado bajo llave cuando no esté en uso e incluir posiblemente algún tipo de acceso biométrico que también proporcione un registro de quién entra al cuarto de servidores. El cuarto de servidores también debería proveer energía ininterrumpible limpia y enfriamiento adecuado. También debería contener equipo para realizar respaldos adecuados. Cuando adquiere un servidor, puede elegir a partir de numerosos tamaños y factores de forma. Los cuartos de servidores más grandes por lo general contienen algunos que se
Visión General del Servidor
11
colocan horizontalmente sobre un bastidor. Ya que estos servidores tienen el mismo ancho, puede apilar de 10 a 20 dentro de un bastidor o jaula de servidor. El tamaño de una pieza de equipo montado en bastidor frecuentemente se describe como un número en “U.” Por ejemplo, una unidad de bastidor a menudo se refere como “1U,” 2 unidades de bastidor como “2U,” y así sucesivamente. Una unidad de bastidor tiene 1.75 pulgadas (44.45 mm) de alto. Otros servidores se colocan verticales y por lo general no están hechos para ser apilados uno encima de otro. Por supuesto, los servidores que se colocan verticalmente por lo general ocupan más espacio que el servidor apilable, en especial cuando tiene múltiples servidores.
f Selección del Software El software contiene las instrucciones que son seguidas por el hardware, que hace que la computadora haga lo que hace. También nos proporciona una interfaz que podemos usar para confgurar y administrar la computadora. Con un servidor, primero elegiría el sistema de operación, elegiría los roles que provee el sistema operativo y después instalaría cualquier software adicional para hacer que el servidor haga lo que desea. Afortunadamente, Microsoft incluye un amplio rango de programas de red y servidores con sus productos Windows Server y también tiene un amplio rango de productos adicionales para expandir lo que el servidor puede hacer. Windows NT (liberado por primera vez en 1993) es una familia de sistemas operativos producidos por Microsoft. Desde entonces, Microsoft ha construido sobre la versión previa y ha liberado Windows 2000 Server, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 y Windows Server 2008 R2.
www.pdftron.com Windows Server 2008 R2 se construye sobre Windows Server 2008, expandiendo la tecnología existente y agregando nuevas características para permitir que los profesionales de IT incrementen la confabilidad y fexibilidad de sus infraestructuras de servidor. Las nuevas herramientas de virtualización, recursos web, mejoras de administración y la emocionante integración de Windows 7, ayudan a ahorrar tiempo, reducir costos, y proveen una plataforma para un centro de datos dinámico y administrado efcientemente así como también proporcionan mejoras de seguridad. Se combinan poderosas herramientas tales como Internet Information Services (IIS) versión 7.5, plataformas Server Manager y Hyper-V actualizadas y Windows PowerShell versión 2.0 para dar a los clientes mayor control, incremento de efciencia y la capacidad de reaccionar a las necesidades de negocio de vanguardia más rápido que nunca antes. Similar a los Windows Servers previos, Windows Server 2008 R2 se liberará con seis ediciones. Estas son las más comunes: • Windows Server 2008 R2 Foundation es una tecnología rentable y comprobada que proporciona una base para ejecutar la mayoría de las aplicaciones para su negocio, diseñado para propietarios de negocios pequeños con menos de 15 usuarios. Foundation es una tecnología no costosa, fácil de desplegar, comprobada y confable que proporciona a las organizaciones la cimentación para ejecutar las aplicaciones de negocio más dominantes así como compartir información y recursos. • Windows Server 2008 R2 Standard es una plataforma de servidor avanzada que provee soporte más rentable y confable para las cargas de trabajo de negocios. Ofrece características innovadoras para virtualización, ahorro de energía y manejabilidad y ayuda a hacer que los usuarios móviles tengan acceso a los recursos de la compañía. • Windows Server 2008 R2 Enterprise es una plataforma de servidor avanzada que provee soporte más rentable y confable para cargas de trabajo críticas de misión al
12
Lección 1
ofrecer una cantidad incrementada de RAM y número de procesadores soportados y agrupamiento en caso de falla (failover clustering). Ofrece características innovadoras para virtualización, ahorro de energía y manejabilidad y ayuda a hacer que los usuarios móviles tengan acceso a los recursos de la compañía. • Windows Server 2008 R2 Datacenter entrega una plataforma clase empresa para desplegar aplicaciones críticas de negocio y virtualización a gran escala en servidores grandes y pequeños. Ofrece disponibilidad mejorada, administración de energía mejorada y soluciones integradas para trabajadores móviles y de sucursal. Le permite reducir los costos de infraestructura al consolidar aplicaciones con derechos de licencia de virtualización ilimitados. En comparación con las demás ediciones, Windows Server 2008 R2 Datacenter ofrece la máxima cantidad de procesadores y memoria reconocidos en Windows. • Windows Web Server 2008 R2 es una poderosa aplicación Web y plataforma de servicios. Con Internet Information Services (IIS) 7.5 y está diseñado exclusivamente como un servidor de conexión a Internet, ofrece administración mejorada y herramientas de diagnóstico para ayudar a reducir los costos de infraestructura cuando se usa con una variedad de plataformas de desarrollo populares. Con los roles de Web Server y DNS Server, así como la confabilidad y escalabilidad mejoradas, esta plataforma le permite administrar los ambientes más demandantes: desde un servidor web dedicado hasta una granja de servidores web completa. Vea la Tabla 1-1 respecto a las características incluidas en las ediciones comunes de Windows Server 2008 R2. La sexta edición de Windows Server 2008 R2 es Windows Server 2008 R2 para Sistemas basados en procesador Itanium.
www.pdftron.com Tabla 1-1
Características de Windows Server 2008 R2 por edición
Característica .NET 3.0 Características .NET Framework 3.5.1 Herramientas Administrativas Encriptación de Drive BitLocker Extensiones de BITS Server Servidor de Contenido BranchCache Servidor Host BranchCache Desktop Experience Administración DirectAccess Failover Clustering Consola de Administración de Directiva de Grupo Servicios Ink y Handwriting
Enterprise X X
Datacenter X X
Standard X X
Web X X
Foundation X X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Visión General del Servidor
Cliente de Impresión por Internet Puerto de Monitor LPR Microsoft Message Queuing (MSMQ) Multipath I/O Protocolo de Resolución de Nombre de Pares Experiencia de Calidad de Audio Video de Windows RAS Connection Manager Administrator Kit RDC Asistencia Remota Compresión Diferencial Remota Herramientas de Administración de Servidor Remoto RPC sobre HTTP Proxy Servicios TCP/IP Simples SMTP SNMP Administrador de Almacenamiento SAN para SANS Sub-sistema para Aplicaciones basadas en Unix (SUA) Cliente Telnet Servidor Telnet Cliente TFTP Windows Biometric Framework
X
X
X
X
X
X
X
X
X
X X
X X
X X
X
X
X
X
X
X
X
X
X X
X X
X X
X X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X X X
X X X
X X X
X X
X X X
X
X
X
X X X X
X X X X
X X X X
13
X
X
X X
X X
X
X X
www.pdftron.com X
X
X
X
X
X X X
X X X X
14
Lección 1
Windows Internal Database Windows Internet Naming Service (WINS) Windows Network Load Balancing (WNLB) Windows PowerShell Integrated Scripting Environment (ISE) Windows PowerShell Windows Process Activation Server Windows Server Backup Windows Server Backup Features Herramientas de Migración de Windows Server Windows System Resource Manager (WSRM) Windows TIFF IFilter Servidor WINS Cliente Inalámbrico Servicio LAN Inalámbrico Visualizador XPS
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X X
X X
X X
X
X X
X
X
X
X
X
X
X
X
X
X
X
www.pdftron.com X
Ya que los procesadores de 64 bits se han convertido en la norma de la industria para sistemas que varían desde los servidores más escalables a computadoras de escritorio, Windows Server 2008 R2 sólo está disponible en versión de 64 bits. Esto es diferente de Windows Server 2003, Windows Server 2003 R2 y Windows Server 2008. Como Windows Server 2003 y Windows Server 2008, Windows Server 2008 R2 proporcionará aplicaciones de 32 bits en Windows 64 o WOW64. Las aplicaciones tanto de 32 bits y 64 bits pueden ejecutarse de forma nativa en procesadores x64, con Windows Server administrando las transiciones, lo que resulta en un desempeño excelente para ambos. El resultado fnal es una plataforma que utiliza la riqueza existente de las aplicaciones de 32 bits mientras también provee un camino de migración suave a la computación de 64 bits.
Visión General del Servidor
15
Introducción de roles de servidor en Windows Server 2008 R2 Un servidor está diseñado para proporcionar servicios. Por lo tanto, Windows Server 2008 R2 ha organizado los más comunes en roles de servidor, mientras que uno de ellos describe la función del servidor. Cuando defne un rol de servidor en Windows Server 2008 R2 (vea la Tabla 1.2), está instalando y confgurando un juego de programas de software que le permiten a una computadora realizar una función específca para usuarios múltiples u otras computadoras dentro de una red. Tabla 1-2 Roles disponibles en Windows Server 2008 R2
Nombre de rol Servicios de Certificado del Directorio activo
Servicios de Dominio del Directorio activo
Descripción Provee el servicio para crear y administrar certificados de clave pública usados en sistemas de seguridad de software que emplean estas mismas tecnologías para comprobar la identidad de una persona, dispositivo o servicio, que pueden ser usadas por correo seguro, redes inalámbricas seguras, redes privadas virtuales (VPN), Internet Protocol Security (IPSec), Sistema de Archivo de Encriptación (EFS), registro de tarjeta inteligente y otros. Para facilitar su uso, los certificados digitales hacen interfaz con el Directorio activo de Microsoft. Para transformar un servidor en un controlador de dominio para proporcionar un servicio de directorio por medio del Directorio activo (DA) de Microsoft, que almacena la información sobre los usuarios, computadoras y otros dispositivos en la red. El Directorio activo ayuda a los administradores a gestionar de forma segura esta información y facilita los recursos compartidos y colaboración entre usuarios. Se requiere el Directorio activo para aplicaciones de directorio activado tales como Microsoft Exchange Server (servidor de correo electrónico) y para aplicar otras tecnologías Windows Server tales como Directiva de Grupo. Active Directory Federation Services provee tecnologías de registro sencillo [single-sign-on (SSO)] web para autenticar un usuario con múltiples aplicaciones web usando una cuenta de uno solo. Se utiliza en aplicaciones que requieren un directorio para almacenar datos de aplicación como almacén de datos sin instalar los servicios de dominio del Directorio activo. Ya que se ejecuta en un servicio fuera del sistema operativo, permite que múltiples instancias de ADLDS se ejecuten concurrentemente en un servidor sencillo y que cada instancia se pueda configurar independientemente para dar servicio a múltiples aplicaciones. Tecnología que funciona con aplicaciones activas de Directorio activo RMS para ayudar a salvaguardar información digital contra el uso no autorizado al especificar quién puede usar la información y qué pueden hacer con ella (abrir, modificar, imprimir, reenviar y/o tomar otras acciones). Provee una solución completa para hosting y administración de aplicaciones de negocio distribuidas de alto desempeño construidas alrededor de Microsoft .NET Framework 3.0, COM+, Message Queuing, Web services y Transacciones Distribuidas.
www.pdftron.com Active Directory Federation Services
Active Directory Lightweight Directory Services (ADLDS)
Active Directory Rights Management Service (AD RMS)
Servidor de aplicaciones
16
Lección 1
Dynamic Host configuration Protocol (DHCP) Server Sistema de nombres de dominio (DNS)
Servidor de Fax
Servicios de Archivo
Servicios de Acceso y Directivas de Red
Permite que los servidores asignen o arrenden direcciones IP a computadoras y otros dispositivos que están activados como clientes DHCP. Provee un servicio de nombres que relaciona nombres con direcciones de Internet numéricas. Esto hace posible que los usuarios se refieran a computadoras en red utilizando nombres fáciles de recordar en lugar de una larga serie de números. Los servicios Windows DNS se pueden integrar con los servicios Dynamic Host Configuration Protocol (DHCP) en Windows, eliminando la necesidad de agregar registros DNS conforme se agreguen computadoras a la red. Envía y recibe faxes, y le permite administrar recursos de fax tales como trabajos, ajustes, reportes y dispositivos de fax en esta computadora o en la red. Provee tecnologías para la administración de almacenamiento, duplicación de archivo, administración de espacio de nombre distribuido, búsqueda rápida de archivo y acceso optimizado del cliente a los archivos. Proporciona una variedad de métodos (incluyendo el uso de servidores VPN, servidores de marcación, routers y puntos de acceso inalámbrico protegidos 802.11) para brindar a los usuarios conectividad de red local y remota, para conectar segmentos de red, y permitir que los administradores de red administren centralmente el acceso de red y client health policies. Permite a los usuarios imprimir y administrar impresoras centralizadas que se conectan directa o indirectamente a servidores de impresión. Permite a los usuarios conectarse a un servidor de terminal para ejecutar programas de manera remota, usar recursos de red y tener acceso al escritorio Windows es ese servidor. Provee capacidades para compartir información respecto a los servicios Web dentro de la intranet de una organización, entre socios de negocio en una extranet o por Internet.
www.pdftron.com Servicios de Impresión
Servicios de Terminal
Servicios de Descripción, Descubrimiento e Integración Universal (UDDI) Servidor Web (IIS)
Servicios de Despliegue Windows Servicios Windows SharePoint
Permite compartir información por Internet, una intranet, o una extranet por medio de una plataforma web unificada que integra Internet Information Server (IIS) 7.5 para proporcionar páginas, servicios o grupos de noticias File Transfer Protocol (FTP), ASP.NET, Windows Communication Foundation, y Windows SharePoint Services. Se usa para instalar y configurar sistemas operativos Microsoft Windows de forma remota en computadoras con Pre-boot Execution Environment (PXE) boot ROMs. Ayuda a las organizaciones a incrementar la productividad al crear sitios Web donde los usuarios pueden colaborar en documentos, tareas y eventos y compartir contactos u otra información fácilmente. El entorno está diseñado para el despliegue, administración, y desarrollo de aplicación flexibles.
Visión General del Servidor
Virtualización de Windows Server
17
Provee los servicios que puede usar para crear y administrar máquinas virtuales (sistemas de computadoras virtualizadas que operan en un ambiente de ejecución aislado que le permite ejecutar múltiples sistemas operativos simultáneamente) y sus recursos.
Introducción las Características de Servidor en Windows Server 2008 R2 Las características de servidor de Windows Server 2008 R2 son programas de software que no son parte directa de un rol. En cambio, a menudo se usan para aumentar la funcionalidad de uno o más roles o para mejorar la funcionalidad del servidor completo. Las características que se incluyen en Windows Server 2008 se muestran en la Tabla 1-3. Para instalar Windows Features, deberá usar la ventana de Tareas de Confguración Inicial o la consola de Server Manager. Tabla 1-3 Características disponibles en Windows Server 2008 R2
Nombre de la característica Características .NET Framework 3.0
Encriptación de Drive BitLocker Extensiones de BITS Server
Descripción Combina la Interfaz de Programación de Aplicación (APIs) de .NET Framework 2.0 para construir aplicaciones con interfaces de usuario atrayentes y para proveer varias formas de seguridad para tales servicios. Ayuda a proteger los datos en discos al encriptar el volumen completo. Abreviatura para Background Intelligence Service, permite que una computadora cliente transfiera archivos en el primer plano o segundo plano asincrónicamente de tal forma que se conserve la capacidad de respuesta de otras aplicaciones de red. Se usa para personalizar la experiencia de conexión remota para usuarios en su red al crear conexiones predefinidas a los servidores remotos y redes por medio de un servidor Virtual Private Network (VPN). Incluye características de Windows Vista tales como Windows Media Player, temas de escritorio y administración de fotografías. Permite que múltiples servidores trabajen en conjunto para proveer alta disponibilidad de servicios y aplicaciones. Si falla un servidor, un segundo servidor está disponible para hacerse cargo de su trabajo. Un complemento de Microsoft Management Console que permite la fácil administración de la Directiva de Grupo del Directorio activo para asegurar o normalizar un ambiente de red. Permite a los clientes que usen el Protocolo de Impresión por Internet (IPP) para conectarse e imprimir en impresoras de la red o en Internet. Provee servicios de descubrimiento para redes de área de almacenamiento Internet Small Computer System Interface (iSCSI). Permite que la computadora imprima en impresoras que son compartidas usando un servicio Line Printer Daemon (LPD). El servicio LPD por lo general es usado por computadoras basadas en UNIX y dispositivos que comparten impresora.
www.pdftron.com Connection Manager Administration
Desktop Experience
Failover Clustering
Administración de la Directiva de Grupo
Cliente de Impresión por Internet Internet Storage Name Server Puerto de Monitor LPR
18
Lección 1
Message Queuing
Multipath I/O
Network Load Balancing
Peer Name Resolution Protocol Experiencia de Calidad de Audio Video de Windows Asistencia Remota
Compresión Diferencial Remota Herramientas de Administración de Servidor Remoto Administrador de Almacenamiento Removible RPC sobre HTTP Proxy
Provee la entrega de mensaje garantizada, routing eficiente, seguridad y mensajes con base en la prioridad entre aplicaciones. Junto con el Microsoft Device Specific Module (DSM) o un DSM de terceros, proporciona soporte para usar múltiples trayectorias de datos a un dispositivo de almacenamiento en Windows. Distribuye el tráfico a través de varios servidores, usando el protocolo de red TCP/IP. NLP es particularmente útil para asegurar que las aplicaciones stateful como servidores web ejecutando IIS sean escalables al agregar servidores adicionales conforme se incrementa la carga. Permite que las aplicaciones registren y resuelvan nombres en su computadora de tal forma que otras computadoras se comuniquen con estas aplicaciones. Plataforma de red para aplicaciones de streaming de audio y video en redes caseras IP. Le permite a o una persona de soporte técnico que ofrezca asistencia a usuarios con problemas o preguntas de su computadora. Calcula y transfiere las diferencias entre dos objetos sobre una red usando el ancho de banda mínimo. Incluye un complemento MMC y una herramienta de línea de comando para administrar roles y características de forma remota. Administra y cataloga los medios removibles y opera dispositivos de medios removibles automatizados.
www.pdftron.com Servicios TCP/IP Simples SMTP Server
SNMP Services
Administrador de Almacenamiento para SANs Sub-sistema para Aplicaciones basadas en Unix Cliente Telnet Servidor Telnet
Releva el tráfico RPC de las aplicaciones cliente por HTTP al servidor como una alternativa para clientes que tienen acceso al servidor a través de una conexión VPN. Soporta el Generador de Caracteres, Hora de Día, Descarte, Eco y Cita del Día de los servicios TCP/IP. Soporta la transferencia de mensajes de correo electrónico entre sistemas de correo electrónico. SMTP es abreviatura de Simple Mail Transfer Protocol. Incluye el servicio SNMP y el proveedor SNMP WMI. SNMP es la abreviatura para Simple Network Management Protocol. El SNMP se usa en sistemas de administración de redes para monitorear dispositivos conectados a la red para condiciones que garanticen la atención administrativa. Ayuda a crear y administrar números de unidad lógica (LUNs) en el canal de Fibra y sub-sistemas del drive de disco iSCSI que soportan el Virtual Disk Service (VDS) Le permite ejecutar programas basados en UNIX y compilar y ejecutar aplicaciones basadas en UNIX personalizadas en el entorno de Windows. Usa el protocolo Telnet para conectarse a un servidor Telnet remoto y ejecutar aplicaciones en ese servidor. Permite que los usuarios remotos realicen administración de líneas de comando y ejecuten programas usando un cliente Telnet, incluyendo clientes basados en UNIX.
Visión General del Servidor
Cliente TFTP Windows Internal Database Windows PowerShell Windows Process Activation Service Windows Recovery Disc
Windows Server Backup Features Windows System Resource Manager WINS Server
Wireless LAN Service
19
Le permite leer y escribir archivos en un servidor remoto Trivial FTP (TFTP). Almacenamiento de datos relacional que sólo se puede usar por roles y características de Windows. Línea de comando y lenguaje de scripting. Generaliza el modelo de proceso IIS, eliminando la dependencia en HTTP. Le permite restaurar su computadora usando las opciones de recuperación del sistema si no tiene un disco de instalación de Windows o no puede tener acceso a las opciones de recuperación provistas por el fabricante de su computadora. Le permite respaldar y recuperar su sistema operativo, aplicaciones y datos. Una herramienta administrativa que puede controlar cómo se asigna el CPU y los recursos de memoria. WINS, abreviatura de Windows Internet Naming Service, provee una base de datos distribuida para registrar y poner en cola mapeos dinámicos de nombres NetBIOS para computadoras y grupos usados en su red. Configura e inicia el servicio WLAN AutoConfig, sin importar si la computadora tiene cualquier adaptador inalámbrico.
Versión Completa y Server Core
www.pdftron.com Comenzando con Windows Server 2008, puede instalar Windows de uno o dos modos: Versión completa o Server Core, ambos se proporcionan en el DVD de instalación.
La versión completa es la versión normal que esperaría de Windows con una interfaz GUI completamente funcional.
La instalación Server Core provee un entorno mínimo sin la estructura de Windows Explorer para ejecutar roles de servidor específcos y sin botón de Inicio. Vea la Figura 1-3. Casi lo único que se puede ver es la ventana de comando para escribir los comandos. Ya que el sistema tiene un entorno mínimo, el sistema se ejecuta con mayor efciencia, enfocándose en lo que necesita proveer en lugar de procesar gráfcas ostentosas para que administre el sistema. También reduce la superfcie de ataque para aquellos roles de servidor que podrían ser explotados por un hacker ya no se estarán ejecutando todos los componentes que tiene ese Windows.
Figura 1-3 Un servidor ejecutándose en Server Core
20
Lección 1
Una máquina con Server Core se puede confgurar para los siguientes roles: • • • • • • • • • •
Active Directory Lightweight Directory Services (ADLDS) Servidor DHCP Servidor DNS Controlador de dominio /Active Directory Domain Services Servicios de archivo (incluyendo DFSR y NFS) Servidor web IIS 7 (pero no incluye ASPNET, .Net Framework, IIS Management Console, IIS Legacy Snap-In, e IIS FTP Management) Servicios de Impresión Servicios de Transmisión Multimedia Servicios de Terminal incluyendo Easy Print, Programas Remotos TS, y Gateway TS Virtualización de Windows Server
Una máquina Server Core se puede confgurar para las siguientes características: • • • • • • • • • •
Respaldo Encriptación de Bitlocker Drive Failover Clustering Multipath IO Balanceo de carga de red Almacenamiento removible Simple Network Management Protocol (SNMP) Sub-sistema para aplicaciones basadas en UNIX Cliente Telnet Windows Internet Name Service (WINS)
www.pdftron.com Instalar Windows Server 2008 R2 È EN RESUMEN
Antes de que pueda comenzar a usar, administrar o confgurar un sistema operativo, primero necesitará instalarlo. ; Listo para la Certificación ¿Puede enumerar todos los métodos usados para instalar Windows?—1.3
Antes de instalar el software de Windows Server 2008 R2, debería observar los requerimientos del sistema que se muestran en la Tabla 1-4. Por supuesto, los valores mostrados son los requerimientos mínimos y por lo general requerirán recursos adicionales si desea un desempeño aceptable para la carga que debe manejar el servidor. Por lo tanto, para un sistema de producción sencillo, no debería usar nada menor a procesadores dual-core y 2 GB de memoria. Para una carga más pesada, no sería insólito usar cuatro procesadores físicos dual-core y 64 GB de memoria, en particular para instalaciones Microsoft Exchange o Microsoft SQL Server grandes.
Visión General del Servidor
21
Tabla 1-4 Requerimientos del sistema para Windows Server 2008 R2
Componente Procesador
Memoria
º Tome Nota
Requerimientos de espacio en disco
Recuerde que la cantidad de memoria RAM y el espacio en disco no son puntos en los que se deba escatimar
Display Otros
Requerimientos Mínimo: 1.4 GHz (x64 procesador) Número máximo de receptores físicos: 1 (Foundation) 4 (Web y Standard), 8 (Enterprise), 64 (Datacenter) Mínimo: 512 MB RAM Máximo: 8 GB (Foundation) o 32 GB (Web y Standard) o 2 TB (Enterprise y Datacenter) Mínimo: 32 GB o mayor Nota: Las computadoras con más de 16 GB de RAM requerirán más espacio en disco para paginación, hibernación y eliminación de archivos Súper VGA (800 × 600) o monitor de mayor resolución DVD, teclado y ratón Microsoft (o dispositivo de puntero compatible) y acceso a Internet
f Instalaciones Limpias Una instalación limpia es instalar el software desde el inicio en un drive nuevo o en un drive reformateado recientemente. Muchas personas encuentran que hacer una instalación limpia de un sistema operativo es la mejor manera de hacerlo, debido a que se empieza de cero. La desventaja es que se necesita reinstalar, parchar y confgurar el sistema y todo su software, así como copiar los datos de nuevo, algo que puede tomar horas o incluso días.
www.pdftron.com Æ Realizar una Instalación Limpia
PREPÁRESE. Para instalar Windows Server 2008 R2, deberá seguir los siguientes pasos:
1. Inserte el medio de instalación de Windows Server 2008 R2 adecuado en su unidad de DVD. 2. Reinicie la computadora y arranque desde el medio de instalación.
3. Cuando se le solicite un idioma de instalación y otras opciones regionales, haga su selección y presione Siguiente. 4. A continuación, presione Instalar Ahora. 5. Ingrese su ID de Producto en la siguiente ventana. Si desea que la computadora se active automáticamente cuando se complete la instalación, seleccione la opción apropiada. Haga clic en Siguiente. Si no tiene la ID de Producto disponible por el momento, puede dejar la casilla vacía y hacer clic en Siguiente. Necesitará proporcionar la ID de Producto más adelante, después que termine la instalación del servidor. 6. Seleccione la edición de Windows Server 2008 R2 que adquirió (vea la Figura 1-4) y haga clic en el botón Siguiente.
22
Lección 1
Figura 1-4 Seleccione la edición de Windows Server 2008 R2
www.pdftron.com 7. Lea y acepte los términos de licencia haciendo clic para seleccionar la casilla de verificación y presione Siguiente.
8. En la ventana “¿Qué tipo de instalación desea?”, haga clic en la única opción disponible: Personalizada (avanzada). Vea la Figura 1-5.
Figura 1-5
Seleccione el tipo de instalación
Visión General del Servidor
23
9. En la ventana “¿Dónde desea instalar Windows?”, si está instalando el servidor en un disco duro IDE regular, haga clic para seleccionar el primer disco, por lo general Disco 0 y después en Siguiente. Si está instalando en un disco duro que está conectado a un controlador SCSI o RAID, haga clic en Cargar Driver e inserte el medio provisto por el fabricante del controlador. Si lo desea, también puede hacer clic en Opciones de Unidad y crear manualmente una partición en el disco duro de destino. Vea la Figura 1-6. Figura 1-6 Dónde desea instalar Windows
www.pdftron.com 10. Cuando comience la instalación, primero se copiarán los archivos de configuración del DVD al disco duro. Entonces se extraerán y descomprimirán los archivos para después instalar Windows. Dependiendo de la velocidad de su sistema, esto puede tardar 20 minutos o más. Cuando la instalación esté completa, la computadora se reiniciará.
11. Cuando el servidor se reinicia el nuevo Windows Server 2008 R2 le solicitará que escriba una pantalla de registro. Presione CTRL+ALT+DEL para registrarse. 12. Haga clic en Otro Usuario. El Administrador predeterminado está en blanco, tan sólo escriba Administrador y presione la tecla Intro. 13. Se le solicitará que cambie la contraseña del usuario. En el cuadro de diálogo de cambio de contraseña, deje la contraseña predeterminada en blanco e ingrese una contraseña nueva y compleja que incluya por lo menos 7 caracteres de largo. Por supuesto, asegúrese de recordar la contraseña. 14. Cuando se cambie la contraseña, haga clic en OK. 15. Cuando se complete el proceso de registro, aparecerá la casilla de configuración inicial del servidor.
Cuando compra servidores de marca tales como HP, IBM, o Dell, a menudo los servidores incluyen un disco (por lo general un CD o DVD) con controladores y un programa de instalación guiado que confgura el hardware. Ya que el programa de instalación de Windows puede no saber cómo tener acceso a algunos controladores SCSI o RAID, tendrá que hacer clic en el disco Cargar Controlador durante la instalación para especifcar el
24
Lección 1
controlador. En otros casos, reiniciará el disco que viene con el servidor, ejecute el programa relacionado en el disco, confgure el controlador RAID y las unidades relacionadas, divida las unidades y especifque qué sistema operativo desea instalar. Entonces se copiaran los drivers a una carpeta en la unidad e instalará el sistema operativo desde el disco o le pedirá que inserte el disco de instalación del sistema operativo. Si no usa este disco, el sistema operativo no cargará los controladores de disco apropiados, lo que causará que las unidades no sean reconocidas.
f Ejecutar una Actualización En algunos casos, deseará tomar un sistema actual y actualizarlo desde una versión anterior de Windows a Windows Server 2008 R2. Puede actualizar (usando una instalación de actualización) a partir de las versiones previas de Windows a Windows Server 2008 R2 como se muestra en la Tabla 1-5. Desafortunadamente, no puede realizar una actualización en sitio desde una arquitectura de 32 bits a 64 bits ya que todas las ediciones de Windows Server 2008 R2 son únicamente de 64 bits. Tampoco puede actualizar desde un idioma a otro. Tabla 1-5 Actualización a Windows Server 2008 R2
Si está ejecutando: Windows Server 2003 Edición Standard con Service Pack 2 (SP2) o Windows Server 2003 R2 Edición Standard Windows Server 2003 Edición Enterprise con SP2 o Windows Server 2003 R2 Edición Enterprise Windows Server 2003 Edición Datacenter con SP2 o Windows Server 2003 R2 Edición Datacenter Instalación de Server Core de Windows Server 2008 Standard con o sin SP2 Instalación de Server Core de Windows Server 2008 Enterprise con o sin SP2 Instalación de Server Core de Windows Server 2008 Datacenter Instalación de Server Core de Windows Web Server 2008 con o sin SP2 Instalación completa de Windows Server 2008 Standard con o sin SP2
Puede actualizar a esta edición: Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter
www.pdftron.com Instalación completa de Windows Server 2008 Enterprise con o sin SP2 Instalación completa de Windows Server 2008 Datacenter con o sin SP2 Instalación completa de Windows Web Server 2008 con o sin SP2 Instalación de Server Core de Windows Server 2008 R2 Standard
Windows Server 2008 R2 Datacenter
Instalación de Server Core de Windows Server 2008 R2 Standard o Windows Server 2008 R2 Enterprise Instalación de Server Core de Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter Instalación de Server Core de Windows Server 2008 R2 Datacenter Instalación de Server Core de Windows Server 2008 R2 Standard o Windows Web Server 2008 R2 Instalación completa de Windows Server 2008 R2 Standard o Windows Server 2008 R2 Enterprise Instalación completa de Windows Server 2008 R2 Enterprise o Windows Server 2008 R2 Datacenter Instalación completa de Windows Server 2008 R2 Datacenter Instalación completa de Windows Server 2008 R2 Standard o Windows Web Server 2008 R2 Instalación de Server Core de Windows Server 2008 R2 Standard (reparación en sitio) o Windows Server 2008 R2 Enterprise
Visión General del Servidor
Instalación de Server Core de Windows Server 2008 R2 Enterprise Instalación de Server Core de Windows Server 2008 R2 Datacenter Instalación de Server Core de Windows Web Server 2008 R2 Instalación completa de Windows Server 2008 R2 Standard Instalación completa de Windows Server 2008 R2 Enterprise Instalación completa de Windows Server 2008 R2 Datacenter Instalación completa de Windows Web Server 2008 R2
25
Instalación de Server Core de Windows Server 2008 R2 Enterprise (reparación en sitio) o Windows Server 2008 R2 Datacenter Instalación de Server Core de Windows Server 2008 R2 Datacenter (reparación en sitio) Instalación de Server Core de Windows Web Server 2008 R2 (reparación en sitio) o Windows Server 2008 R2 Standard Instalación completa de Windows Server 2008 R2 Standard (reparación en sitio) o Windows Server 2008 R2 Enterprise Instalación completa de Windows Server 2008 R2 Enterprise (reparación en sitio) o Windows Server 2008 R2 Datacenter Instalación completa de Windows Server 2008 R2 Datacenter (reparación en sitio) Instalación completa de Windows Web Server 2008 R2 (reparación en sitio) o Windows Server 2008 R2 Standard
Cuando desee actualizar a Windows Server 2008 R2, debería seguir estas directrices: • Verifque que el servidor actual soporte Windows Server 2008 R2. Además, asegúrese de tener los controladores adecuados antes de la instalación. • Actualice su programa de antivirus, ejecútelo, y después desactívelo. Después de instalar Windows, recuerde reactivar el programa de antivirus, o instale un nuevo software antivirus que funcione con Windows Server 2008 R2. • Respalde sus archivos. Puede respaldar los archivos en un disco duro externo, un DVD o CD, o una carpeta de red. • Conéctese al Internet. Asegúrese que su conexión a Internet esté funcionando de tal forma que puede obtener las actualizaciones de instalación más recientes. Estas actualizaciones incluyen actualizaciones de seguridad y actualizaciones del controlador de hardware que pueden ayudar con la instalación. Si no tiene una conexión a Internet, todavía puede actualizar o instalar Windows.
www.pdftron.com Si su sistema es un sistema de producción, verifque y/o pruebe todas las aplicaciones para asegurarse que sean compatibles con Windows Server 2008 R2.
Æ Actualizar Windows Server 2008 R2 PREPÁRESE. Para actualizar Windows Server 2008 R2, deberá seguir los siguientes pasos: 1. Inicie la versión anterior de Windows que desea actualizar y regístrese usando una cuenta con privilegios administrativos. 2. Inserte el DVD de instalación de Windows Server 2008 R2. 3. Haga clic en el botón Instalar Ahora y la computadora comenzarla la instalación. Vea la Figura 1-7.
26
Lección 1
Figura 1-7 Inicio de proceso de actualización
www.pdftron.com 4. Después de que se copien algunos archivos, elija la opción Instalar.
5. Cuando se le pregunte para obtener actualizaciones importantes para la instalación, haga clic en Trabajar en línea para obtener las actualizaciones más recientes para la opción de instalación. 6. Cuando se le pida que acepte los términos de la licencia, haga clic en la casilla de verificación apropiada y luego en Siguiente.
7. Hacia el final del proceso de instalación, especifique un nombre de registro y contraseña de Windows. 8. Ajuste la hora y fecha.
En el pasado, Microsoft ha provisto herramientas para verifcar si su sistema está listo para el sistema operativo. En la actualidad, usaría el Kit de herramientas Microsoft Assessment and Planning (MAP), que está diseñado para darle un conocimiento de infraestructura esencial para planear su migración a Windows Server 2008 R2. El kit de herramientas MAP toma un inventario de su entorno de servidor actual, determina la compatibilidad de hardware y dispositivos y preparación y entonces genera reportes procesables de las actualizaciones recomendadas para migración. Los benefcios de ahorro de energía se calculan con la herramienta Power Savings Assessment del MAP, permitiéndolo determinar rápidamente los ahorros potenciales con Windows Server 2008 R2 antes del despliegue. Descarga El kit de herramientas Microsoft Assessment and Planning (MAP) para Windows Server 2008 R2 está ubicada en: http://technet.microsoft.com/en-us/solutionaccelerators/dd537573.aspx?ca=NOT&su=WINSV R&sa=MAP&ct=WEBS&cn=MSCOMWEBS&au=BDM&go=MAPTN&dt=04012009
Visión General del Servidor
27
f Qué es la Clonación de Disco y Herramienta de Preparación de Sistema Una manera de instalar Windows Server 2008 R2 es usar un software de clonación de disco tal como Norton Ghost para crear un archivo de imagen, que es una copia de sector por sector almacenada en un archivo grande. Para usar el software de clonación de disco, debe usar el disco de instalación para instalar Windows en una computadora maestra (también llamada computadora de referencia), actualice y parche la computadora, personalice Windows e instale cualquier software adicional. Después use el software de clonación para copiar el contenido del disco duro a un archivo. Use el software de clonación de disco para copiar el contenido de la imagen a una computadora objetivo. Si crea una copia clonada de Windows y la aplica a múltiples computadoras, cada una de ellas y que use la misma imagen tiene los mismos parámetros, incluyendo el mismo nombre de computadora e identifcador de seguridad (SID). Desafortunadamente, para que estas operen adecuadamente sin conficto en una red, estos parámetros tienen que ser únicos. Para resolver este problema, ejecute la herramienta de preparación de sistema (Sysprep), que elimina los identifcadores de seguridad y toda la demás información específca de usuario y de la computadora antes de ejecutar el software de clonación de disco para hacer la imagen del disco clonado. Cuando copie la imagen clonada a la imagen del disco, se ejecuta un pequeño asistente que le permite especifcar el nombre de la computadora y otra información específca de la computadora. El SID y otra información se recrean automáticamente. La herramienta Sysprep está ubicada en la carpeta c:\Windows\ System32\sysprep o c:\Windows\SysWOW64\sysprep.
www.pdftron.com La mayoría del tiempo, ejecutará el siguiente comando: Sysprep.exe /oobe /generalize
Vea la Figura 1-8.
Figura 1-8
Ejecución del comando Sysprep.exe
El comando /generalize prepara la instalación de Windows que se va a copiar en imagen. Si se especifca esta opción, toda la información única del sistema se elimina de la instalación de Windows. La ID de seguridad (SID) se restablece, se elimina cualquier punto de restauración del sistema y se eliminan los registros de eventos. La siguiente vez que arranque la computadora, se ejecutará un pase de confguración especializado. Se creará una nueva ID de seguridad (SID), y se restablecerá el reloj para la activación de Windows, si es que el reloj no se ha restablecido tres veces.
28
Lección 1
El comando /oobe (oobe Out of the Box Experience o experiencia fuera de la caja) reiniciará la computadora en el modo de Bienvenida a Windows. La Bienvenida a Windows permite a los usuarios personalizar su sistema operativo Windows, crear cuentas de usuario, nombrar la computadora, y otras tareas. Cualquier ajuste en la aceptación de la del sistema oobe en un archivo de respuesta se procesará inmediatamente antes que inicie la Bienvenida a Windows.
Realizar una Instalación Desatendida Una instalación desatendida es una instalación que requiere poca interacción para colocarse. Para realizarla deberá usar un archivo de respuesta. Un archivo de respuesta es un archivo XML que almacena las respuestas para una del usuario (GUI). El archivo de respuesta para la de serie de cuadros de diálogo de la interfaz Windows se llama por lo general autounattend.xml. Ya que el archivo de respuesta es un archivo XML, puede usar cualquier editor de texto tal como el bloc de notas para crear y dicho archivo. Puede encontrar un archivo de respuesta de muestra en http://technet.microsoft.com/ en-us/library/cc732280(WS.10).aspx. Sin embargo, puede ser mucho más fácil usar el Windows System Image Manager (SIM) para crear el archivo de respuesta. También se usa para validar el archivo de respuesta. Para instalar el Windows SIM, primero necesitará descargar e instalar el Kit de Instalación Automática de Windows (AIK) para Windows 7 del sitio web de Microsoft (http:// www.microsoft.com/downloads/details.aspx?FamilyID=696dd665-9f76-4177-a81139c26d3b3b34&displaylang=en). Para iniciar el Windows SIM, haga clic en el botón de Inicio, seleccione Microsoft Windows AIK, y después seleccione Windows System Image Manager (vea la Figura 1-9).
www.pdftron.com Figura 1-9
Windows Server Image Manager
Después de crear un archivo de respuesta llamado autounattend.xml, colocará el archivo en un medio removible, tal como un dispositivo USB unidad CD/DVD, o disco Entonces inserte el medio removible en la computadora de destino y reinicie la computadora de destino desde el DVD. La buscará automáticamente el autounattend.xml y realizará la instalación con los parámetros sin ninguna interacción por su parte.
Visión General del Servidor
29
f Windows Deployment Services El Windows Deployment Services (WDS) es una tecnología de Microsoft para la instalación basada en red del sistema operativo Windows que incluye Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008. El despliegue de Windows se puede automatizar y personalizar completamente por medio del uso de los archivos de script de la instalación desatendida. Los archivos de instalación de Windows se pueden distribuir dentro de un archivo Windows Imaging Format (WIM). El WIM es un formato de imagen basado en archivo que Windows Server usa para la instalación rápida en una nueva computadora. Los archivos WIM almacenan copias (conocidas como imágenes) de los sistemas operativos, tales como son el Windows PE, Windows 7 o Windows Server 2008. Dar mantenimiento a un sistema operativo en un archivo WIM es fácil debido a que se pueden agregar y eliminar drivers, actualizaciones, y componentes de Windows fuera de línea, sin siquiera arrancar el sistema operativo. El Windows Deployment Services usa los archivos WIM para instalar Windows. Si se confguran adecuadamente, necesitará reiniciar una computadora con Windows PE 2.0 o 3.0 o realizar un reinicio PXE. El Windows Preinstallation Environment (Windows PE) 2.0 es el sistema operativo Win32 con servicios limitados, construido en el núcleo de Windows. Se usa para preparar una computadora para la instalación de Windows, para copiar imágenes de disco desde un servidor de archivo en red, y para iniciar la Confguración de Windows.
www.pdftron.com Entonces, se conectará al servidor WDS e instalará Windows desde una imagen confgurada. Se ejecutará un script de confguración que verifcará la confguración de la computadora y los requerimientos de hardware. También se puede usar para ejecutar la herramienta Diskpart para particionar y formatear el disco. Si es necesario, el script puede respaldar los datos del usuario en una carpeta compartida en alguna otra computadora. Eventualmente, el script se conecta a una carpeta compartida que contiene los archivos de Confguración de Windows y ejecuta el programa de Confguración de Windows para instalar el sistema operativo completamente desatendido.
Más Información Para mayor información sobre Windows Deployment Services, visite el siguiente sitio Web: http://technet.microsoft.com/en-us/library/cc733011.aspx.
f Qué es el Licenciamiento de Windows Uno de los mayores costos para cualquier departamento TI es el costo del software. Cuando agrega copias cliente de Windows y Offce, el costo del sistema operativo del servidor y el del software adicional de la empresa tal como Exchange o SQL, pueden remontarse fácilmente hasta miles de dólares. Por lo tanto, necesita buscar opciones disponibles para obtener el mejor precio para lo que necesita hacer. Se le otorga una licencia de software a partir de una compañía como Microsoft que le da permiso de usar un paquete específco y por lo general vienen con muchas restricciones. La mayoría de las licencias de compañías como Microsoft funcionan más como un arrendamiento en lugar de una compra del software real. La restricción típica lo limita a usar sólo una copia del software por licencia y le prohíbe distribuir o copiar la licencia de cualquier manera (excepto para propósitos de respaldo). Las licencias para software de servidor clase empresa (tales como Microsoft Exchange o Microsoft SQL) también podrían requerir una Licencia de Acceso de Cliente (CAL) para cada usuario que va a tener acceso al software del servidor.
30
Lección 1
La licencia más barata que puede obtener es la licencia OEM (Fabricante Original de Equipo), que sólo se puede adquirir con una computadora nueva a partir de un fabricante de sistemas tal como HP o IBM. Desafortunadamente, estas licencias están restringidas a una máquina específca y no se pueden transferir después a una máquina nueva. El OEM por lo general es responsable del soporte técnico sobre el software que compró. La licencia minorista (adquirida por lo general en tiendas de artículos de ofcina o computadoras o por Internet) le permite moverla de una máquina a otra. Por supuesto, el software de minorista por lo general cuesta más que el software de OEM. Otra desventaja de usar software de minorista de Microsoft es que necesita ingresar un código clave para activar el software. Otra desventaja es que si mueve el software a otra computadora o hace cambios un tanto signifcativos tales como agregar memoria RAM o un disco duro nuevo, puede necesitar reactivarlo. Por último, Microsoft tiene varios programas de licencia por volumen disponibles para organizar sus licencias y mantenerlo actualizado con el software más reciente a un precio de descuento. La licencia Abierta está dirigida para negocios con por lo menos 5 computadoras, y los Select License y Enterprise Agreement Plans son programas de licencia diseñados para compañías con por lo menos 250 computadoras. Cada uno de estos programas puede tener benefcios adicionales tales como licencias para llevar a casa y capacitación gratuitas. La licencia por volumen se puede dividir aún más en clave de activación múltiple (MAK) y Servicio de Administración de claves (KMS). Con la MAK, cada clave tiene que registrarse y activarse individualmente, mientras que con el Servicio de Administración de claves se usa un servidor KMS para conectarse automáticamente al almacén de licencias de Microsoft y activar la clave.
www.pdftron.com f Activación de Windows
La activación de producto de Microsoft, incluyendo Activación de Windows, es una tecnología antipiratería diseñada para verifcar que los productos de software tengan una licencia legítima. La meta de la activación del producto es reducir la piratería de software por medio de la copia casual y clonación del disco duro. La familia Windows Server 2008 R2 de productos minoristas contienen tecnología de activación, que requiere que active su copia de licencia minorista o por volumen de Windows Server 2008 R2. Si no ha activado Windows Server 2008 R2, se le recordará cada vez que inicie sesión y en intervalos comunes hasta el periodo de gracia de activación de 30 días. Si no activa Windows Server 2008 R2 durante el periodo de gracia, el sistema estará sin licencia. Se le avisará con notifcaciones persistentes sobre la necesidad de activar su software. Mientras está en la condición de notifcación, podrá iniciar y terminar sesión y el sistema funcionará normalmente. Sin embargo, el fondo del escritorio cambiará a negro y Windows Update sólo instalará actualizaciones críticas. Las notifcaciones continuarán hasta que active el sistema operativo.
En el Centro de Bienvenida, la entrada de Estado de Activación especifcará si activó el sistema operativo. Si no se ha activado Windows Server 2008 R2, puede activar el sistema operativo haciendo clic en Más Detalles para tener acceso a la consola del Sistema y después seleccionar Clic Aquí para Activar Ahora bajo la Activación de Windows. Vea la Figura 1-10.
Visión General del Servidor
31
Figura 1-10 Estado de Activación
Si elige activar su producto por Internet, el asistente de activación detectará su conexión a Internet y se conectará con seguridad al servidor de Microsoft para transferir su ID de instalación cuando la envíe. Se regresará una ID de confrmación a su computadora, lo que activará automáticamente Windows Server 2008 R2. Este proceso por lo general sólo toma unos cuantos segundos para completarse. No se requiere información de identifcación personal para activar Windows Server 2008 R2. Si no tiene una conexión de Internet, tendrá que activarlo por teléfono.
www.pdftron.com f Actualizaciones de Windows
Después de instalar Windows, verifque si Microsoft tiene cualquier actualización de Windows incluyendo arreglos, parches, service packs y drivers de dispositivo, y aplíquelos al sistema. Al agregar arreglos y parches, mantendrá Windows estable y seguro. Si hay muchos arreglos o parches, Microsoft los liberará juntos en un service pack o un paquete acumulativo.
; Listo para la Certificación ¿Por qué es importante mantener Windows actualizado?—6.3
Para actualizar Windows Server 2008 R2, Internet Explorer y otros programas que acompañan a Windows, vaya a Windows Update en el Tablero de Control o haga clic en el botón de Inicio y seleccione Todos los Programas y después seleccione Windows Update. Entonces en el panel izquierdo, haga clic en Buscar actualizaciones. Vea la Figura 1-11. Windows revisará su sistema para determinar qué actualizaciones y arreglos necesita todavía su sistema. Entonces tendrá la oportunidad de seleccionar, descargar e instalar cada actualización.
32
Lección 1
Figura 1-11 Ejecución de Windows Update
Microsoft por rutina libera actualizaciones de seguridad el segundo martes de cada mes en lo que se conoce como “Patch Tuesday.” La mayoría de las demás actualizaciones se liberan conforme se necesitan, lo que se conoce como actualizaciones “out of band”. Ya que los servidores a menudo se usan como sistemas de producción, debería probar las actualizaciones para asegurarse que no le causen problemas. Aunque Microsoft hace pruebas extensas, ocasionalmente ocurren problemas ya sea como un bug o un problema de compatibilidad con algún software de terceros.
www.pdftron.com Para entornos pequeños, puede confgurar su sistema para realizar Auto Updates para asegurarse que las actualizaciones críticas, de seguridad y compatibilidad estén disponibles para instalación automáticamente sin afectar signifcativamente su uso regular de Internet. Auto Update funciona en segundo plano cuando está conectado a Internet para identifcar cuándo hay nuevas actualizaciones disponibles y para descargarlas a su computadora. Cuando se completa la descarga, se le avisará y solicitará que instale la actualización. Entonces puede instalarla, obtener más detalles sobre lo que incluye la actualización, o dejar que Windows le recuerde más tarde. Algunas instalaciones pueden requerir que reinicie, pero otras no.
Para cambiar los ajustes de Windows Update, haga clic en la opción Cambiar confguración en el panel izquierdo de la ventana de Windows Update. Vea la Figura 1-12. Las opciones le permiten especifcar si desea descargar o le permiten especifcar cuáles instalar, especifque qué actualizaciones instalará y después descárguelas, o sólo desactívelas todas las actualizaciones de Windows juntas. También puede especifcar si Windows Update revisará productos de Microsoft diferentes al sistema operativo y también instalar el software que recomienda Microsoft.
Visión General del Servidor
33
Figura 1-12 Elija cómo instalará Windows las actualizaciones
Si Windows update falla en obtener actualizaciones, debería revisar sus ajustes de proxy en Internet Explorer para determinar si puede pasar a través de su servidor proxy (si existe) o cortafuegos. También debería revisar si puede tener acceso a Internet intentando entrar a http://www.microsoft.com.
www.pdftron.com Para ver todas las actualizaciones que se han instalado, haga clic en el enlace Ver historial de actualizaciones en el panel izquierdo. Si sospecha algún problema con una actualización específca, puede hacer clic entonces en Actualizaciones Instaladas en la parte superior de la pantalla para abrir los Programas del Panel de Control. A partir de ahí, puede ver todos los programas y actualizaciones instalados. Si la opción está disponible, entonces puede eliminar la actualización.
Resumen de Habilidades En esta lección aprendió: • Un servidor es una computadora que está diseñada para ser un proveedor de servicio dedicado, un cliente es una computadora que solicita servicios. • Antes de seleccionar los componentes de hardware y software de un servidor, tendrá que identifcar los roles y los servicios de red que este necesitará proveer y cuántas personas tendrán acceso a él al mismo tiempo para ayudar a determinar la carga que necesita cumplir. • Los sub-sistemas primarios que constituyen un servidor son el procesador, memoria, almacenamiento y red. • La computadora, incluyendo los servidores, está construida alrededor de uno o más chips integrados llamados procesador. Se considera el cerebro de la computadora debido a que todas las instrucciones que realiza son cálculos matemáticos y comparaciones lógicas. • Un procesador de 64 bits es un procesador con un tamaño de palabra determinado de 64 bits y un bus de datos externo de esta cantidad, que le permite tener acceso a mucho más RAM que un procesador de 32 bits.
34
Lección 1
• La cantidad de RAM puede ser uno de los mayores factores en el desempeño general de su computadora. • Para que el procesador se comunique con el resto del sistema, el procesador se conecta con una gran tarjeta llamada motherboard. Esta permite que el procesador se ramifque y comunique con todos los demás componentes de la computadora. • Las instrucciones que controlan la mayoría de las funciones de entrada/salida de la computadora, tales como comunicarse con los discos, RAM y el monitor se mantienen en los chips ROM del Sistema, se conocen como BIOS (sistema de entrada/salida básico). • El proceso de actualizar el ROM BIOS de su sistema, se llama actualización por fash de BIOS. • Además de tener un desempeño sólido, el servidor necesita ser confable. • Las tecnologías de máquinas virtuales permiten que múltiples sistemas operativos se ejecuten concurrentemente en una sola máquina. • Windows Server 2008 R2 ha organizado los servicios más comunes en roles de servidor. Un rol de servidor describe la función de este. • Windows Server 2008 R2 Features son los programas de software que no son directamente parte de un rol o pueden soportar o aumentar la funcionalidad de uno o más roles, o mejorar la funcionalidad del servidor completo. • La instalación de Server Core proporciona un entorno mínimo sin la estructura de Windows Explorer para ejecutar roles de servidor específcos y sin botón de Inicio. • Antes de instalar el software, deberá observar los requerimientos del sistema como punto de inicio para asegurarse que su servidor cumpla con tales requerimientos. • Una instalación limpia es instalar el software desde el inicio en una unidad nueva o una unidad reformateada recientemente. Muchas personas descubren que hacer una instalación limpia de un sistema operativo es la mejor manera de hacerlo debido a que se comienza de cero. • En algunos casos, querrá tomar un sistema actual y actualizarlo desde una versión anterior de Windows a Windows Server 2008 R2. • Una manera de instalar Windows Server 2008 R2 es usar un software de clonación de disco como Norton Ghost para crear un archivo de imagen, que es una copia de sector por sector almacenada en un archivo grande. • Si clona una computadora, necesita ejecutar la Herramienta de Preparación del Sistema (Sysprep), que elimina los identifcadores de unidad y toda la demás información específca de usuario o de computadora antes de ejecutar el software de clonación de disco para hacer la imagen. • Un archivo de respuesta, que se usa para instalar Windows automáticamente, es un archivo XML que almacena las respuestas para una serie de cuadros de diálogo de interfaz gráfca del usuario (GUI). • Windows Deployment Services (WDS) es una tecnología de Microsoft para instalación basada en red de sistemas operativos Windows que incluyen Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008. El despliegue de Windows se puede automatizar y personalizar completamente por medio del uso de archivos de script de instalación sin asistencia. • La activación de producto Microsoft es una tecnología anti-piratería diseñada para verifcar que los productos de software tengan licencias legítimas. • Después de instalar Windows, verifque si Microsoft tiene cualquier arreglo, parche, service packs, y drivers de dispositivo, y aplíquelos al sistema Windows.
www.pdftron.com
Visión General del Servidor
35
» Evaluación de Conocimientos Complete los espacios en blanco Complete las siguientes oraciones escribiendo la palabra o palabras correctas en los espacios proporcionados. 1. Un _______ es una tarea primaria que realiza el servidor. 2. La computadora, incluyendo los servidores, se constituye alrededor de uno o más chips integrados llamados ____________. 3. Un procesador de ___________ por lo general puede procesar más datos al mismo tiempo y puede tener acceso a más memoria que un procesador de 32 bits. 4. Asegurarse que tiene sufciente ______ es uno de los mayores factores en el desempeño, incluso más que el disco y el procesador. 5. Para que el procesador se comunique con el resto del sistema, el procesador se conecta a una gran tarjeta llamada _____________. 6. El Firmware es el software contenido en los chips del _______. 7. Las instrucciones que controlan muchas de las funciones de entrada/salida de la computadora, tales como comunicarse con los discos, RAM y el monitor que se conservan en los chips ROM del Sistema, se conocen como _________.
www.pdftron.com 8. El proceso para actualizar el ROM BIOS de su sistema, se llama __________ el BIOS.
9. La instalación _____________ provee un entorno mínimo sin estructura de Windows Explorer para ejecutar roles específcos del servidor y sin botón de Inicio.
10. Un ___________ es un archivo XML que almacena las respuestas para una serie de cuadros de diálogo de interfaz gráfca del usuario (GUI). Opción Múltiple Encierre en un círculo en la letra que corresponda a la mejor respuesta. 1. ¿Qué tecnología provista por Microsoft se usa para realizar una instalación basada en red de sistemas operativos Windows incluyendo Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008? a. b. c. d.
IAS Server Core SIM WDS
2. ¿Cuál tendría que ser el nombre del archivo de respuesta en una unidad USB para realizar una instalación automática? a. b. c. d.
autounattend.xml auto.xml auto.txt automatic.xml
36
Lección 1
3. ¿Cuál es el programa que debería usar para crear o validar un archivo de respuesta usado para instalar Windows? a. b. c. d.
IAS Server Core SIM WDS
4. ¿Cuál es la cantidad máxima de memoria que requiere Windows Server 2008 R2 Standard Edition? a. b. c. d.
2 GB 4 GB 32 GB 64 GB
5. ¿Cuántos días de periodo de gracia tiene para que puede activar Windows Server 2008 R2? a. b. c. d.
3 días 10 días 15 días 30 días
6. ¿Cuál de los siguientes no es un sub-sistema primario que se encuentra en un servidor?
www.pdftron.com a. b. c. d.
Procesador Memoria Sonido Almacenamiento
7. ¿Qué tipo de instalación puede usar para comenzar desde cero? a. b. c. d.
Una actualización limpia Una instalación limpia Una instalación de formateo Una instalación de respaldo
8. ¿Qué comando usaría para preparar la instalación de Windows para copiar la imagen que borrará la SID y el nombre de la computadora? a. b. c. d.
Sys Sysprep SIDPrep WDSPrep
9. ¿Qué utiliza Microsoft para combatir copias piratas de Windows? a. b. c. d.
WDS IAS Sysprep Activación
10. ¿Qué edición de Windows Server 2008 R2 le da el mayor acceso a los procesadores y la memoria? a. Foundation
Visión General del Servidor
37
b. Standard c. Enterprise d. Datacenter Verdadero / Falso Seleccione V si la declaración es verdadera o F si la declaración es falsa. V
F
1. Si tiene un apagón mientras está actualizando por fash el BIOS, puede reanudar el proceso cuando se restaura la energía.
V
F
2. Windows Server 2008 R2 sólo se puede instalar en procesadores de 64 bits.
V
F
V
F
3. La menor edición de Windows Server 2008 R2 es la edición Standard. 4. Cuando clona un servidor con Windows Server 2008 R2, sólo necesita poner en blanco el nombre de la computadora y la contraseña del administrador.
V
F
5. El protocolo estándar para compartir archivos en Windows Server 2008 es SMB.
www.pdftron.com » Evaluación de Competencias
Escenario 1-1: Análisis de Servidor
Está diseñando una nueva red para Acme Corporation. Espera tener muchas ventas por Internet. ¿Cuántos servidores cree que necesitará, que requerimientos de hardware debería usar, y qué rol asignaría a cada servidor? Pista: cuando compra algo por Internet, ¿a qué tipo de servidor tiene acceso para comprar algo? ¿Entonces qué tipo de servidor cree que necesitará en segundo plano que mantendrá el rastro de tales ventas? Escenario 1-2: Identificar Puertos
Vea la parte posterior de su computadora y dibuje un diagrama que muestre todos los puertos y el propósito de cada puerto.
» Evaluación de Habilidad Escenario 1-3: Instalación de Windows Server 2008 R2 Visite el sitio Web de Microsoft y encuentre y descargue la copia de evaluación de Windows Server 2008 R2. Queme la imagen en un DVD. Entonces reinicie la computadora e instale Windows Server 2008 siguiendo los pasos indicados en la sección de Instalación Limpia. Cuando confgure su disco, sólo use la mitad del disco de su unidad C. Escenario 1-4: Uso de Windows Updates Use el programa Windows Update para parchar Windows.
38
Lección 1
Listo para el Lugar de Trabajo Æ Selección del Servidor Correcto Si es nuevo con la administración del servidor, intentar determinar el servidor correcto puede ser bastante desafante. Así que, ¿qué puede hacer? Primero, necesitará leer mucho incluyendo la búsqueda de los requerimientos mínimos. Siempre excédase de ellos. Si dice que necesita 2 GB de memoria, planee por lo menos 4 GB. Si necesita un procesador sencillo que opera a 2 GHz, planee procesadores duales que operen a 2.4 GHz. Siempre duplique la especifcación para el sistema operativo, como mínimo. Además, no olvide investigar las recomendaciones de carga o especifcaciones o directrices de carga. A continuación, si tiene un servidor similar, intente comparar su carga actual con la carga predicha en su nuevo servidor. También puede observar el desempeño del procesador, disco y red. Debería preguntarles a las personas que usan el servidor respecto a la percepción de desempeño para ver si es adecuado o si se debería incrementar. Entonces debería verifcar el desempeño usando la aplicación de red de la misma manera y midiendo cuánto tiempo lleva en completarse la tarea.
www.pdftron.com
Lección 2
Windows Server 2008 R2 Matriz de Dominio de objetivos Habilidades/Conceptos Uso de dispositivos y controladores de dispositivos Gestión de Servicios Uso del Panel del Control
Descripción del Dominio del objetivo Entender los controladores de dispositivos. Entender los servicios. Entender el acceso remoto.
Número del Dominio del objetivo 1.1 1.2 2.3
Términos clave • Herramientas administrativas • Consola para la Administración de Equipos • Panel de Control • Controladores de Dispositivos (Drivers) • Administrador de Dispositivos • Dominio
• Tareas de Confguración Inicial • Consola para la Administración de Microsoft (Microsoft Management Console, MMC) • Plug and Play (PnP) • Registro (Registry) • Asistencia Remota • Escritorio Remoto
• Asistencia para el Uso del Servidor • Escritorio Seguro • Servicios • Controlador frmado (Driver frmado) • Grupo de trabajo
www.pdftron.com Acaba de instalar varios equipos para Acme Corporation. Ahora tiene que conectar cada servidor a la red y añadir cada equipo al dominio. Después necesita instalar los servicios de red que cada servidor va a albergar.
40
Lección 2
Realizar Tareas de Configuración Inicial È EN RESUMEN
Debido a que la confguración de los servidores de Windows puede consumir mucho tiempo, Windows Server 2008 y Windows Server 2008 R2 incluyen Tareas de Configuración Inicial que se ejecutan automáticamente cuando inicia sesión por primera vez en Windows después de una instalación. Con las Tareas de Confguración Inicial puede activar Windows, fjar la zona horaria, confgurar las redes, proporcionar un nombre al equipo y un dominio, actualizar Windows, añadir accesorios y funciones, habilitar Escritorio Remoto y confgurar el Firewall de Windows. Aunque se puede entrar a las Tareas de Confguración Inicial dentro del Panel de Control, éste se ejecuta automáticamente y actúa como recordatorio y como un método rápido para entrar a las Opciones de Accesibilidad, a fn de que tenga su Windows Server optimizado de una manera rápida y ejecutándose con un mínimo esfuerzo. Vea la fgura 2-1. Las Tareas de Confguración Inicial aparecerán cada vez que inicie sesión, hasta que seleccione la opción No mostrar esta ventana al iniciar sesión, que se encuentra en la parte inferior de la ventana. Figura 2-1 Tareas de Configuración Inicial
www.pdftron.com
Windows Server 2008 R2
41
Uso del Panel de Control È EN RESUMEN
Como sucede con la versión anterior de Windows, el Panel de Control es la principal herramienta gráfca para confgurar el entorno de Windows y los dispositivos del hardware. También puede visualizar el Panel de Control en cualquier ventana de Explorador de Windows, dando clic en el botón de opción al extremo izquierdo de la barra de direcciones y seleccionando Panel de Control. Para entrar al Panel de Control, puede dar clic en el botón de Inicio de la barra de tareas y seleccionar Panel de Control. Vea la fgura 2-2. De las 8 categorías que están enlistadas, cada una incluye un link de máximo nivel y bajo este se encuentran varias de las tareas que se llevan a cabo con más frecuencia. Si damos clic en el enlace de una categoría, nos proporciona una lista de herramientas. Cada herramienta enlistada dentro de una categoría incluye un enlace para abrir dicha herramienta y en ese enlace se encuentran varias de las tareas para esa herramienta que se llevan a cabo con más frecuencia. Figura 2-2 Windows Server 2008 R2 Panel de Control en Vista por Categoría
www.pdftron.com Como sucede con la versión reciente y la anterior de Windows, puede cambiar de la vista por categoría predeterminada a la vista clásica (vista de iconos grandes o vista de iconos pequeños). Vista de iconos es una vista alternativa que proporciona la apariencia y funcionalidad del Panel de Control en Windows 2000 y en versiones más antiguas de Windows, donde todas las opciones están presentadas en mini-aplicaciones o iconos Vea la fgura 2-3.
42
Lección 2
Figura 2-3 Windows Server 2008 R2 Panel de Control en Vista de Iconos Grandes
www.pdftron.com f Control de Cuentas de Usuario
El Control de Cuentas de Usuario (UAC por sus siglas en inglés) es una función que comenzó con Windows Vista y que va incluida en Windows Server 2008, la cual ayuda a prevenir cambios sin autorización en su equipo. Si inicia sesión como administrador, este le pide un permiso y si inicia sesión como usuario estándar, le pide la contraseña del administrador antes de realizar acciones que pueden afectar potencialmente la operación de su equipo o que cambien las confguraciones que afectan a otros usuarios. Debido a que el UAC está diseñado para asegurarse que no se hagan cambios sin autorización, en especial los softwares maliciosos que tal vez no sabe que se están ejecutando, necesita leer con cuidado las advertencias y luego asegurarse de que el nombre de la acción o programa que va a iniciar es el que pretende iniciar. Como usuario estándar puede hacer lo siguiente en Windows Server 2008 R2 sin la necesidad de permisos o derechos del administrador: • Instalar actualizaciones desde Windows Update. • Instalar controladores desde Windows Update o aquellos que van incluidos con el sistema operativo. • Ver las confguraciones de Windows. • Conectar dispositivos Bluetooth en la computadora. • Reiniciar el adaptador de red, realizar otro diagnóstico de red y reparar tareas. Cuando una aplicación pide elevación o su ejecución como administrador, el UAC pedirá confrmación y si se da el consentimiento, entonces permitirá el acceso como administrador. El UAC no puede habilitarse o deshabilitarse por medio de ninguna cuenta de usuario individual; en lugar de eso, puede habilitarlo o deshabilitarlo en todo el equipo. Si lo deshabilita en cuentas de usuario, pierde las protecciones de seguridad adicionales que ofrece y pone en riesgo su equipo. Sin embargo, si realiza muchas tareas administrativas en una computadora, los prompts del UAC pueden ser molestos e impedirle que realice ciertas acciones, incluso guardar en el directorio de raíz de un controlador.
Windows Server 2008 R2
43
Æ Habilitar o Deshabilitar el UAC PREPÁRESE. Para habilitar o deshabilitar el UAC para una cuenta de usuario en particular, siga estos pasos: 1. En Panel de Control, haga clic en Cuentas de Usuario. 2. En la página de Cuentas de Usuario, haga clic en Cuentas de Usuario. 3. Haga clic en las Configuraciones de Control y luego en Cambiar Cuenta de Usuario. Vea la figura 2-4. 4. Luego deslice la barra de desplazamiento hasta el nivel de la opción apropiada como se muestra en la tabla 2-1. 5. Cuando se le pida reiniciar la computadora, haga clic en Reiniciar Ahora o Reiniciar Más Tarde para que los cambios surtan efecto de una manera adecuada. Figura 2-4 Configuraciones del UAC
www.pdftron.com
44
Lección 2
Tabla 2-1 Configuraciones del UAC
Configuración Notificarme siempre
Descripción Se le notificará antes de que los programas hagan cambios en su computadora o en las configuraciones de Windows que requieran el permiso de un administrador. Cuando se le notifique, su computadora de escritorio se verá con poca luz y tendrá que aprobar o rechazar la solicitud en el cuadro de dialogo del UAC antes de que pueda hacer algo más en ella.
Notificarme únicamente cuando los programas traten de hacer cambios en mi equipo.
A la disminución de la luminosidad en su computadora se le llama Escritorio Seguro porque otros programas no pueden ejecutarse mientras esté atenuada. Se le notificará antes de que los programas que requieran el permiso de un administrador hagan cambios en su equipo.
Impacto de Seguridad Esta es la configuración más segura. Cuando reciba una notificación, debe leer con cuidado el contenido de cada cuadro de diálogo antes de permitir que se hagan cambios en su equipo.
Por lo general es seguro permitir que se hagan cambios en las configuraciones de Windows sin ser notificado. Sin embargo, ciertos programas que vienen con Windows pueden solicitar que se les transfieran comandos o datos y el software malicioso puede tomar ventaja de esto utilizando estos programas para instalar archivos o configuraciones de cambio en su equipo. Siempre debe de tener cuidado con los programas que permite que se ejecuten en su equipo.
www.pdftron.com Se le notificará si intenta hacer cambios en las configuraciones de Windows que requieran del permiso de un administrador. Se le notificará si un programa fuera de Windows intenta hacer cambios en las configuraciones de Windows.
Windows Server 2008 R2
Notificarme sólo cuando los programas intenten hacer cambios en mi equipo (no disminuir la luminosidad de mi computadora)
Se le notificara antes de que los programas que requieran el permiso de un administrador hagan cambios en su equipo
Nunca notificarme
No se le notificará antes de que se haga cualquier cambio en su equipo. Si inicia sesión como administrador, los programas pueden hacer cambios en su equipo sin que lo sepa.
No se le notificará si intenta hacer cambios en las configuraciones de Windows que requieran el permiso de un administrador. Se le notificará si un programa fuera de Windows intenta hacer cambios en una configuración de Windows
45
Esta configuración es la misma que “Notificarme sólo cuando los programas intenten hacer cambios en mi equipo”, pero no se le notifica de la forma Escritorio Seguro. Debido a que el cuadro de dialogo del UAC no se encuentra en la forma Escritorio Seguro con esta configuración, otros programas pueden interferir con la apariencia del dialogo. Éste es un pequeño riesgo de seguridad si ya tiene un programa malicioso ejecutándose en su equipo. Ésta es la configuración menos segura. Cuando se configura el UAC para nunca recibir notificación, pone su equipo en riesgos potenciales de seguridad.
www.pdftron.com Si inicia sesión como usuario estándar, cualquier cambio que requiera el permiso de un administrador se rechazará de manera automática. Si selecciona esta configuración, tendrá que reiniciar la computadora para completar el proceso de desactivación del UAC. Una vez que esté desactivado, las personas que inicien sesión como administrador siempre tendrán el permiso de un administrador.
Si configura el UAC para nunca recibir notificaciones, entonces debe tener cuidado con cuales programas ejecuta porque ellos pueden tener el mismo acceso a su computadora que el que tiene. Esto incluye leer y hacer cambios en áreas protegidas del sistema, en sus datos personales, en archivos guardados y en cualquier otra cosa que se encuentre almacenada en su computadora. Los programas también podrán comunicar y transferir información hacia y desde cualquier cosa que esté conectada a su equipo, incluyendo la Internet.
46
Lección 2
f Introducción a la Configuración del Sistema Algunos de los ajustes de confguración más importantes para un administrador de servidores son las confguraciones del sistema dentro del Panel de Control. Éstas incluyen reunir información de generación sobre su sistema, cambiar confguraciones remotas, confgurar opciones de arranque y recuperación y confgurar ajustes completos de ejecución. Para entrar a la confguración del sistema, puede realizar alguna de las siguientes opciones: • Si se encuentra en vista por Categoría, dé clic en Sistema y Seguridad y seleccione el Sistema o en Ver la cantidad de memoria RAM y la velocidad del procesador. • En la vista clásica, dé doble clic en el applet Sistema. • Dé clic derecho en Equipo y seleccione Propiedades. En Windows, con frecuencia existen diferentes maneras de hacer lo mismo. En la parte superior de la pantalla puede ver la edición de Windows y el tipo de sistema que tiene. Ya que Windows Server 2008 R2 sólo viene en 64-bit, mostrará el Sistema Operativo de 64-bit a mitad de la pantalla. Hacia la parte inferior de la pantalla verá el nombre del equipo y el dominio (si lo hay), si Windows está activado, así como el ID del Producto. Vea la fgura 2-5. Figura 2-5 Configuración del Sistema desde el Panel de Control
www.pdftron.com f Cambiar el Nombre del Equipo y la Configuración del Dominio Para ayudar a identifcar la computadora, debe ponerle un nombre coherente, lo cual puede hacerse en confguración del Sistema dentro del Panel de Control. También puede añadir una computadora al dominio o un grupo de trabajo. Cada equipo debe tener un nombre único asignado a la red. Si dos computadoras tienen el mismo nombre, una de ellas o ambas tendrán problemas para comunicarse en la red. Para cambiar el nombre del equipo, abra Sistema en el Panel de Control, dé clic en la opción Cambiar Confguración en Confguración de nombre, dominio y grupo de trabajo. Cuando aparece el cuadro de Propiedades del Sistema con la fcha Nombre de Equipo seleccionada, entonces dé clic en Cambiar. Vea la fgura 2-6. Para cualquier cambio hecho al nombre del equipo o nombre del grupo de trabajo/dominio será necesario reiniciar la computadora.
Windows Server 2008 R2
47
Figura 2-6 Propiedades del Sistema en el Panel de Control
De manera predeterminada, una computadora es parte de un grupo de trabajo. Un grupo de trabajo generalmente se asocia con una red peer-to-peer en la que las cuentas de usuario están descentralizadas y almacenadas en cada equipo individual. Si varios usuarios necesitan tener acceso al equipo (al mismo tiempo que necesitan nombres de usuario y passwords únicos), será necesario crear una cuenta para cada usuario. Si quiere que esos usuarios entren a otra computadora independiente, será necesario que cree las mismas cuentas y passwords en esa también. Como puede imaginar, al tener varias computadoras, esto puede implicar mucho trabajo, ya que debe crear y manejar cuentas en cada equipo individual.
www.pdftron.com Un dominio es una unidad lógica que defne una barrera de seguridad y que generalmente se asocia con el Directorio activo de Microsoft. La seguridad del dominio generalmente está centralizada y controlada por los servidores de Windows, los cuales actúan como controladores del dominio. Como resultado, puede manejar la seguridad de manera más fácil para varias computadoras al mismo tiempo que proporciona una mejor seguridad.
Si se añade una computadora a un dominio, se crea una cuenta para representarla. Además, la información almacenada en el equipo se usa solamente para identifcarlo. Cuando estos elementos coinciden, prueba que el equipo es quien dice ser, lo que contribuye a tener un ambiente de trabajo más seguro. Para añadirla al dominio, abra Propiedades del Sistema y dé clic en Cambiar. Seleccione la opción Dominio y escriba el nombre del mismo. Después, de clic en OK. Se le pedirá que inicie sesión con una cuenta de dominio que tiene la capacidad de añadir varias computadoras al mismo, el cual es generalmente un administrador de dominio o de cuentas. Después de haber registrado las credenciales (nombre de usuario y password), aparece un cuadro de diálogo de Bienvenida; dé clic en OK para cerrarlo. Cuando cierre el cuadro de diálogo de Propiedades del Sistema, se le pedirá que reinicie. Para quitar una de un dominio, únase a un grupo de trabajo existente o cree un grupo de trabajo nuevo, seleccione la opción grupo de trabajo y escriba el nombre del mismo o dé clic en OK. Si está quitando su propia computadora del dominio, se le pedirán sus credenciales administrativas a fn de poder borrar la cuenta del Directorio activo. Si no especifca las referencias administrativas, aún así la quitará del dominio, pero la cuenta de ésta permanecerá en el Directorio activo.
48
Lección 2
f Configuración de Opciones Remotas Como con las mayoría de las versiones empresariales de Windows, incluyendo Windows Server 2008 y Windows Server 2008 R2, puede conectarse de manera remota a un servidor usando Asistencia Remota y Escritorio Remoto. ; Listo para Certificación ¿Cómo administra un servidor desde su escritorio?—2.3
Con Asistencia Remota y Escritorio Remoto, puede tener acceso a un equipo que ejecute Windows con otro equipo conectado a la misma red o a través de Internet, como si estuviera sentado frente al servidor. Podrá usar su mouse y teclado para entrar a la computadora de escritorio, a la barra de tareas y al menú de Inicio y también podrá ejecutar programas y entrar a todas las herramientas de confguración. La Asistencia Remota está diseñada para ayudar al personal a conectarse a una sesión de ingreso activa o resolver un problema. A diferencia del Escritorio Remoto, la Asistencia Remota permite a los usuarios interactuar con la sesión actual, lo cual incluye ver la misma pantalla. Si decide compartir el control de su equipo con su usuario remoto, ambos podrán controlar el cursor del mouse.
º Tome Nota Antes de que pueda usar Asistencia Remota con Windows Server 2008 R2, debe instalarla.
Para mantener el sistema seguro y asegurarse de que quiere la opción disponible, primero debe instalar el Asistente Remoto como función. La fcha Remoto del cuadro de diálogo de Propiedades del Sistema debe habilitarse también. Después, necesitará invitar a la persona mediante un correo electrónico o un mensaje instantáneo, también puede rehusar una invitación que haya enviado antes. Después de que la persona acepte la invitación, se creará una conexión encriptada de dos vías.
www.pdftron.com Para iniciar una sesión de Asistencia Remota y crear una invitación, abra el Menú de Inicio, dé clic en Todos los Programas, Seleccione Mantenimiento y después Asistencia Remota de Windows. Vea la fgura 2-7.
Figura 2-7
Asistencia Remota de Windows
Escritorio Remoto permite que un usuario que esté ejecutando el programa Escritorio Remoto entre al servidor de manera remota. De manera predeterminada, Windows Server 2008 R2 comprueba dos conexiones de escritorio remoto (tres si también cuenta la modalidad de consola, que es una conexión activa como si realmente estuviera sentado frente al teclado y al monitor del servidor).
Windows Server 2008 R2
49
A diferencia de la Asistencia Remota, Escritorio Remoto se instala pero debe habilitarse antes de que se conecte al servidor. Para habilitar el Escritorio Remoto, abra Propiedades del Sistema y seleccione una de las siguientes confguraciones: º Tome Nota Antes de que pueda usar Escritorio Remoto, debe habilitarlo usando Propiedades del Sistema. Además, de manera predeterminada, los administradores y usuarios son miembros del grupo de usuarios de Escritorio Remoto y tienen acceso al mismo.
• Permitir conexiones de un equipo que esté ejecutando cualquier versión de Escritorio Remoto (menos segura). • Permitir conexiones que ejecuten Escritorio Remoto con Autenticación del Nivel de la Red (más segura). La Autenticación del Nivel de la Red es un método de autenticación que determina la identidad del usuario antes de establecer una conexión completa de Escritorio Remoto y que aparezca la pantalla de inicio de sesión. La opción Permitir que las conexiones que ejecutan Escritorio Remoto con Autenticación del Nivel de la Red (más segura) está disponible en el programa de Escritorio Remoto incluido en Windows 7 o puede bajar una versión nueva de Escritorio Remoto desde Microsoft. Para determinar si su versión de Escritorio Remoto soporta la Autenticación del Nivel de la Red , inicie una Conexión a Escritorio Remoto (bajo Accesorios), dé clic en el botón Opciones y elija la fcha Opciones Avanzadas. Si comprueba la Autenticación del Nivel de la Red, dirá “Autenticación del Nivel de la Red comprobada”. De manera predeterminada, los administradores y usuarios son miembros de los Usuarios del Escritorio Remoto, por lo que para que alguien se conecte a un equipo que ejecuta el Escritorio Remoto, debe añadir su cuenta de usuario a alguno de estos grupos.
www.pdftron.com f Cambio de Fecha y Hora
Una de las tareas más sencillas pero esenciales es asegurarse de que el servidor tiene la fecha y hora correctas. Esto es esencial para propósitos de inicio de sesión y seguridad. Si se envía un paquete de datos con la fecha u hora incorrecta, éste puede ser rechazado automáticamente porque la fecha y la hora se usan para determinar si el paquete de datos es legítimo. Para entrar a la confguración de fecha y hora, realice uno de los siguientes pasos:
• Dé clic en Reloj, Idioma y Región en el Panel de Control si se encuentra en vista por categoría y seleccione Confgurar la hora y la fecha. • Dé doble clic en Fecha y Hora si se encuentra en vista por iconos. • Si la fecha y la hora se muestran en el área de Notifcación, dé doble clic en la fecha y hora.
Æ Configurar el Reloj PREPÁRESE. Para configurar el reloj, haga lo siguiente: 1. Dé clic en la ficha de Fecha y Hora; después en Cambiar fecha y hora. 2. Para cambiar la hora, minutos y segundos, dé doble clic en la hora, minutos o segundos y después en las flechas para aumentar o disminuir el valor. 3. Cuando termine de cambiar la configuración de la hora, dé clic en OK. Vea la figura 2-8.
50
Lección 2
Figura 2-8 Cambiar la fecha y la hora
Para cambiar la zona horaria, dé clic en Cambiar la zona horaria y elija su zona horaria actual recorriendo la lista hacia abajo. Después dé clic en OK. Si es parte de un dominio, el servidor debe sincronizarse con los controladores del mismo. Si tiene un servidor independiente, puede sincronizarlo con un servidor con horario de Internet dando clic en la fcha Hora de Internet y seleccionando el cuadro de verifcación junto a Sincronizar con un Servidor horario de Internet. Después seleccione un servidor horario y dé clic en OK.
www.pdftron.com Configurar Opciones de Dirección IP È EN RESUMEN
Para que un servidor dé servicio a otros clientes, será necesario conectarse y comunicarse a través de la red, por lo que necesita saber cómo conectar el servidor y confgurar las propiedades de TCP/IP.
Aunque los servidores pueden usar tarjetas inalámbricas para conectarse a la red, la mayoría usa conexiones alámbricas para comunicarse, pues las conexiones con cable son más rápidas, confables y seguras. En cualquier caso, necesita confgurar lo siguiente en cualquier equipo que ejecute Windows Server 2008 R2: • La dirección IP y su máscara de subred correspondiente (identifca de manera única el quipo usando una dirección lógica). • Puerta de Enlace Predeterminada (enrutador más cercano que se conecta a otras redes o a Internet). • Uno o más servidores para el sistema de nombres de dominio (DNS, por sus siglas en inglés) proporciona resolución de nombre (dominio/nombre del host hacia la dirección IP). La dirección IP, máscara de subred y servidores DNS pueden confgurarse de manera manual o automática mediante un servidor de Protocolo de Confguración Dinámica de Host (DHCP, por sus siglas en inglés). Ya que los servidores prestan servicio a varios clientes, las direcciones de la red se asignan manualmente y no cambian mucho.
Windows Server 2008 R2
51
Æ Configurar el IP PREPÁRESE. Para configurar el IP en Windows Server 2008 R2, realice lo siguiente: 1. Abra el Panel de Control 2. Para entrar a las propiedades de conexión de la red, realice una de las siguientes opciones:
• Si se encuentra en Vista por categoría, dé clic en Redes e Internet, después en Redes y Recursos Compartidos y fnalmente en Cambiar la confguración del adaptador. • Si se encuentra en Vista por Iconos, dé doble clic en Redes y Recursos Compartidos y después en Cambiar la confguración del adaptador. • Dé clic derecho en el icono de redes en el área de notifcaciones, seleccione Abrir Redes y Recursos Compartidos (Vea la fgura 2-9), y después en Cambiar la confguración del adaptador. Figura 2-9 Redes y Recursos Compartidos
www.pdftron.com 3. Dé clic derecho en la conexión que desea cambiar y después en Propiedades. 4. Bajo la ficha de Redes, dé clic ya sea en Protocolo de Internet Versión 4 (TCP/IPv4) o en Protocolo de Internet Versión 6 (TCP/IPv6) y después en Propiedades.
Para especifcar la confguración de direcciones IPv4 IP, realice lo siguiente: • Para obtener confguraciones de IP automáticamente de un servidor DHCP, dé clic en Obtener una dirección IP automáticamente y después en OK. • Para especifcar una dirección IP, dé clic en Usar la siguiente dirección IP y después en la dirección IP, máscara de subred, Puerta de Enlace Predeterminada, cuadros del servidor DNS preferido y servidor DNS alternativo y escriba la opción de dirección IP correspondiente. Vea la fgura 2-10.
52
Lección 2
Figura 2-10 Configuración de IPv4
www.pdftron.com Para especifcar la confguración de una dirección IPv6 IP, realice lo siguiente:
• Para obtener una confguración de IP automáticamente, dé clic en Obtener dirección IPv6 automáticamente y después en OK. • Para especifcar una dirección IP, dé clic en Usar la siguiente dirección IPv6 y después en la dirección IPv6, cuadros de longitud del prefjo de subred y de Puerta de Enlace Predeterminada y escriba la opción de dirección IP. Vea la fgura 2-11.
Figura 2-11
Configuración de IPv6
Windows Server 2008 R2
Referencia Cruzada Para mayor información sobre Configuración del IP, ver al Anexo B Comprensión de TCP/ IP.
53
Antes de pasar a la siguiente sección, debe comprender cómo afectan los servidores proxy su acceso a la red o a Internet. Un servidor proxy es un servidor usado para traducir entre redes públicas y privadas usando la Traducción de Direcciones de Red (NAT, por sus siglas en inglés) que generalmente se coloca al fnal de una red corporativa. Con NAT, puede tener una sola dirección pública y varias direcciones privadas. Un servidor proxy oculta las direcciones internas y le permite tener una gran variedad de direcciones privadas. Cuando compra un enrutador inalámbrico para su hogar, conecta su cable o módem DSL al enrutador inalámbrico, al cual se asignará una dirección pública externa. Entonces puede conectar varias computadoras o hosts dentro de su hogar, las cuales tienen asignadas direcciones privadas. Entonces el enrutador traducirá entre las direcciones públicas y las privadas. Generalmente, cuando entra a Internet en una compañía, necesita especifcar la dirección y puerto del servidor proxy; si no, aunque puede entrar a los recursos internos, no podrá tener acceso a recursos en Internet. Para cambiar la confguración del proxy para el Explorador de Windows (el cual es también usado por otras aplicaciones), puede realizar una de las siguientes opciones: • Iniciar el Explorador de Windows, seleccionar la fcha Conexiones y dar clic en Confguración de LAN. • Si se encuentra en Vista por Categorías, dé clic en Redes e Internet y después en Opciones de Internet. Después seleccione la fcha Conexiones y dé clic en Confguración de LAN. • Si se encuentra en Vista por Iconos, dé doble clic en Opciones de Internet, después seleccione la fcha Conexiones y dé clic en Confguración de LAN.
www.pdftron.com La mayoría de las compañías deben tener servidores que confguren las operaciones del proxy automáticamente teniendo habilitada la opción Detectar automáticamente. Sin embargo, si necesita usar un servidor proxy diferente, será necesario que deseleccione la opción Detectar automáticamente y seleccione la opción Usar un servidor proxy para la LAN. Deberá especifcar una dirección y número de puerto para su servidor proxy. Los puertos comunes son 80, 8080 y 3128. Ya que no desea pasar a través del servidor proxy para llegar a sus servidores internos, debe seleccionar el cuadro No usar servidor proxy para direcciones locales. Vea la fgura 2-12.
54
Lección 2
Figura 2-12 Configuración del proxy en el Explorador de Internet
www.pdftron.com Dispositivos y Controladores de Dispositivos È EN RESUMEN
Debido a que un equipo que ejecuta Windows Server 2008 R2 puede tener una amplia variedad de dispositivos, en ocasiones puede ser un reto hacer que todos los dispositivos operen correctamente, en especial porque con frecuencia los servidores tienen un hardware no estándar que tal vez requiera una instalación manual o una actualización de los controladores. ; Listo para Certificación ¿Cómo maneja los controladores de dispositivos en Windows?—1.1
Los Controladores de Dispositivos son programas que controlan un dispositivo. Pueden considerarse como un traductor entre el dispositivo, el sistema operativo y programas que utilizan el dispositivo. Los programadores escriben un código que da acceso a comandos genéricos como lo es enviar un sonido y el controlador de dispositivo traducirá esos comandos genéricos a comandos específcos entendidos por el dispositivo; por ejemplo, una tarjeta de sonido específca. Aunque Windows Server 2008 R2 incluye muchos controladores (integrados o incluidos en el DVD de instalación), algunos controladores vienen con el dispositivo. Debido a que estos controladores son software, habrá veces en las que será necesario acudir al sitio Web del fabricante para extraer controladores más nuevos (a pesar de que en ocasiones los controladores más antiguos trabajan mejor que los más nuevos) o descargarlos por medio de las actualizaciones de Microsoft. Con el fn de evitar que tenga que insertar constantemente el DVD de instalación, Windows Server 2008 R2 incluye un Driver Store con una extensa biblioteca de controladores de dispositivos. Estos también se ubican en C:\Windows\System32\DriverStore. En la carpeta de Driver Store encontrará subcarpetas con la información del controlador localizado, por ejemplo en US para inglés estadounidense, las cuales tendrá cientos de controladores diferentes. Cuando añade un dispositivo hardware, Windows puede revisar el Driver Store para encontrar el controlador correcto.
Windows Server 2008 R2
55
f Dispositivos Plug and Play Durante muchos años, Windows se ha benefciado de los dispositivos Plug and Play (PnP), que es donde puede instalar o conectar un dispositivo, el cual es reconocido y confgurado automáticamente con la instalación del controlador apropiado. Hoy en día, esta tecnología se ha desarrollado más que las tarjetas de expansión, para incluir otras tecnologías. Intel y Microsoft liberaron los PnP’s en 1983. Así como un técnico en equipos de cómputo, los PnP’s nos hicieron la vida mucho más fácil porque no teníamos que preocuparnos por instalar interruptores DIP y puentes en la tarjeta. Ahora, la mayoría de los dispositivos son de este tipo y se han desarrollado más que las tarjetas de expansión como los dispositivos USB, IEEE 1394 (también se les conoce como Firewire) y SCSI. Hoy en día, si utiliza un hardware PnP combinado con un sistema operativo como lo es Windows, puede conectar el hardware y Windows reconocerá automáticamente el dispositivo, cargará el controlador apropiado y lo confgurará para trabajar sin interferir con otros dispositivos. Cuando no se puede encontrar un controlador, Windows le pedirá que le proporcione un medio o una ruta para el controlador, incluso puede preguntarle si desea conectarse a Internet como un intento por encontrar un controlador. También puede abrir el Panel de Control, dar clic en Hardware y seleccionar Añadir un Dispositivo en Dispositivos y Sección de Impresoras, después buscará cualquiera de los dispositivos que en ese momento Windows no reconozca. Con el tiempo, el controlador de dispositivo será añadido al Driver Store.
www.pdftron.com Como parte del proceso de confguración, Windows asigna los siguientes recursos del sistema al dispositivo que está instalando para que el dispositivo pueda operar al mismo tiempo junto con otras tarjetas de expansión:
• Números de Líneas de Petición de Interrupción (IRQ por sus siglas en inglés): Señal enviada por un dispositivo para atraer la atención del procesador cuando el dispositivo está listo para aceptar o enviar información. Cada dispositivo debe estar asignado a un número de IRQ único. • Canales de Acceso Directo a Memoria (DMA por sus siglas en inglés): Acceso a la memoria que no involucra al procesador. • Direcciones de Puerto Entrada/Salida (I/O por sus siglas en inglés): Canal por el cual se transferen datos entre un dispositivo y el procesador. El Puerto aparece en el procesador como una o más direcciones de memoria y éste puede utilizarse para enviar o recibir datos. • Rango de Dirección de Memoria: Porción de la memoria del equipo que puede ser asignada a un dispositivo y utilizada por un programa o por el sistema operativo. Por lo general, a los dispositivos se les asigna un rango de direcciones de memoria.
56
Lección 2
f Controladores Certificados Windows fue diseñado para trabajar con una amplia selección de dispositivos. Por desgracia, en el pasado, hubo ocasiones en las que al añadir un dispositivo y cargar un controlador, éste último causaba problemas a Windows. Como resultado, Microsoft comenzó a utilizar Controladores Certificados para luchar contra los controladores que fallaban. Aunque estos no reparan un controlador defectuoso, se aseguran de que el editor sea identifcado, que no haya sido alterado y que haya sido probado a fondo para que no presente fallas y así no cause un problema de seguridad. Un controlador certifcado es un controlador de dispositivos que incluye una frma digital, la cual es una marca de seguridad electrónica que puede indicar el editor del software, cuya información puede mostrar si un controlador ha sido alterado. Cuando Microsoft lo frma quiere decir que el controlador ha sido probado a fondo, para asegurarse de que no ocasionará problemas a la fabilidad del sistema y que no ocasionará un problema de seguridad. º Tome Nota No puede instalar un controlador en Windows Server 2008 R2 que no tenga una firma digital válida o que haya sido alterado después de haber sido firmado.
Los controladores que se encuentran en el DVD de instalación de Windows o los que se descargan de la página web de actualizaciones de Microsoft, están frmados de manera digital. Si un controlador carece de una frma digital válida o si fue alterado después de haber sido autorizado, no puede ser instalado en versiones de Windows de 64-bits. Si tiene problemas con un controlador de dispositivos, debe descargar sólo los controladores que están en la página web de actualizaciones de Microsoft o en la página web del fabricante.
www.pdftron.com El Windows Server 2008 R2 se entrega sólo en versiones de 64-bits. Todos los controladores deben estar frmados por Windows Server 2008. Si está utilizando una versión más nueva de Windows que no sea una versión de 64-bits, entonces puede utilizar el programa de Verifcación de Firmas de los Archivos (Sigverif.exe) para verifcar si existen controladores de dispositivos sin frmar en el área de sistemas del equipo.
f Dispositivos e Impresoras
Empezando con Windows Server 2008 y Windows Vista, Windows incluye una carpeta de Controladores e Impresoras que permite a los usuarios ver de manera rápida todos los dispositivos conectados a la computadora, así como confgurar y solucionar los problemas de estos dispositivos. Además, le permite ver información sobre la marca, el modelo y el fabricante y le da información detallada sobre las capacidades de sincronización de un teléfono celular o de otros dispositivos móviles. El folder de Dispositivos e Impresoras le ofrece una vista rápida de los dispositivos conectados a su computadora y que puede conectar y desconectar de su equipo por medio de un puerto o conexión de red. Esto incluye dispositivos móviles como reproductores de música, cámaras digitales, dispositivos USB y dispositivos de red. Vea la fgura 2-13. Esto no incluye artículos instalados dentro de su equipo, como son los controladores del disco interno, las tarjetas de expansión o la memoria RAM y no mostrará dispositivos heredados; por ejemplo los teclados o los Mouse conectados por medio de un PS/2 o de un puerto serie.
Windows Server 2008 R2
57
Figura 2-13 Dispositivos e impresoras
Para abrir Dispositivos e Impresoras, abra el Panel de Control y haga clic en Impresoras y otro Hardware estando en Vista por Categorías o haga doble clic en Dispositivos e Impresoras en Vista en Iconos. Además puede abrir Impresoras y otros Dispositivos al dar clic en el botón de Inicio y luego en Impresoras y otros dispositivos.
www.pdftron.com Cuando da clic en un icono de dispositivo en la carpeta de Dispositivos e Impresoras, puede seleccionar de una lista de tareas que varían dependiendo de las capacidades del dispositivo. Por ejemplo, es posible que pueda ver lo que se está imprimiendo en una impresora de red, ver archivos almacenados en una memoria fash USB o abrir un programa desde el fabricante del dispositivo. Para dispositivos móviles que apoyan la nueva función de Plataforma de Dispositivos en Windows, también se puede abrir las funciones avanzadas específcas para dispositivos en Windows desde el menú que aparece haciendo clic derecho, como son la capacidad de sincronizarse con un teléfono celular o cambiar los tonos del mismo.
f Administrador de Dispositivos El Administrador de Dispositivos le proporciona una vista gráfca del hardware (interna y externa) que está instalado en su equipo y le proporciona una manera de controlar y confgurar sus dispositivos. Con el Administrador de Dispositivos puede determinar si Windows reconoce un dispositivo y si éste funciona apropiadamente; también puede habilitar, deshabilitar o desinstalar el dispositivo, regresar a la versión anterior del controlador e identifcar el controlador de dispositivos, incluyendo su versión y cambiar las opciones de confguración del hardware. Para abrir Control de Dispositivos puede seguir uno de los siguientes pasos: • Abrir el Panel de Control en Vista por Categorías, hacer clic en Hardware y después en Administrador de Dispositivos. • Abrir el Panel de Control en Vista por Iconos y luego doble clic en Administrador de Dispositivos. • Abrir Propiedades del Sistema y dar clic en Administrador de Dispositivos. • Abrir la consola de Administración de equipos y dar clic en Administración de Dispositivos.
58
Lección 2
• Abrir el Administrador de Servidores y dar clic en Administración de Dispositivos en Diagnósticos. • Iniciar el cuadro de Búsqueda o cuadro Ejecutar y ejecutar los siguientes comandos desde el comando prompt mmc devmgmt.msc. Si inicia sesión desde la cuenta del administrador integrada se abre el Control de Dispositivos. Si inicia sesión como un usuario que es miembro del grupo de administradores y tiene habilitado el Control de la Cuenta de Usuario, tendrá que dar clic en Continuar para abrir Administración de Dispositivos. Vea la fgura 2-14. Figura 2-14 Administración de Dispositivos
www.pdftron.com Si localiza y da doble clic en un dispositivo o da clic derecho en un dispositivo y selecciona propiedades, puede ver los detalles del controlador en la fcha General incluyendo el estatus del dispositivo. La fcha de Detalles/Propiedades le proporcionará las confguraciones detalladas de diversas propiedades asignadas al dispositivo hardware. Como administrador del servidor, muchos de los elementos que necesitará están ubicados en la fcha Controlador: 1. Propiedades del Controlador: Muestran el archivo(s) del controlador y su ubicación, el proveedor del controlador, la versión del archivo y el frmante digital del archivo. 2. Controlador de Actualizaciones: Le permite actualizar el software del controlador para un dispositivo. c. Controlador de Reversión: Se utiliza para regresar el controlador a una versión anterior si existen problemas al actualizar un controlador de dispositivos. Si no existe una versión previa del controlador instalada para el dispositivo seleccionado, el botón Controlador de Reversión no estará disponible. 4. Habilitar/Deshabilitar: En lugar de instalar el controlador, puede usar el Controlador de Dispositivos para deshabilitar el dispositivo. 5. Desinstalar: Se utiliza para quitar del equipo el software del controlador.
Windows Server 2008 R2
59
Las fchas adicionales como Avanzado, Recursos, (Rango de Memoria, Rango del I/O, IRQ y DMA) y Control de Energía pueden mostrarse dependiendo del tipo de dispositivo. Ver fgura 2-15.Si existe un problema con sus recursos, puede intentar usar el Control de Dispositivo para cambiar el rango de la memoria, el rango del I/O, el IRQ o el DMA del dispositivo. Además, si da clic derecho en un dispositivo en Control de Dispositivos, puede actualizar el software del controlador, deshabilitar el dispositivo, desinstalar el dispositivo o buscar los cambios del hardware. Figura 2-15 Propiedades del dispositivo
www.pdftron.com Cuando utilice el Control de Dispositivos que viene con el Windows Vista, Windows 7 y Windows Server 2008, debe tomar en cuenta lo siguiente: • Cuando aparece una fecha negra hacia abajo indica que un dispositivo está deshabilitado. Este se nota porque está presente físicamente en la computadora y porque está consumiendo recursos pero no tiene cargado un controlador. • Un signo de exclamación negro en un campo amarillo indica que el dispositivo tiene un problema. • También necesita verifcar si cualquiera de los dispositivos está enlistado en Otros Dispositivos o si tiene un nombre genérico como Controlador de Ethernet o Controlador Simple de Comunicaciones PCI, el cual indica que el controlador adecuado no está cargado.
Consola de Administración de Microsoft y Herramientas Administrativas È EN RESUMEN
La Consola de Administración de Microsoft (MMC por sus siglas en inglés) es una de las herramientas administrativas primordiales que se utiliza para administrar Windows y muchos de los servicios de red que proporciona Windows. Ésta proporciona el método estándar para crear, guardar y abrir las diferentes herramientas administrativas que proporciona Windows. Cuando abre las Herramientas Administrativas, la mayoría de estos programas son MMC. Para iniciar una MMC vacía, vaya al prompt de comando, inicie la opción de Búsqueda o Ejecutar, escriba mmc o mmc.exe. Cada MMC tiene un árbol de consola que muestra la organización por jerarquía de los complementos o de los módulos que se enchufan y extensiones (un complemento que requiere de un complemento primario). Los
60
Lección 2
usuarios pueden personalizar la consola o las herramientas de acceso que se encuentran en Herramientas Administrativas añadiendo y eliminando complementos y extensiones. Puede añadir complementos a la MMC al abrir el menú del archivo y seleccionar Añadir/ Quitar Complementos. Vea la fgura 2-16. Figura 2-16 Añadir complementos a una MMC en blanco
Herramientas Administrativas es una carpeta ubicada en el Panel de Control que contiene herramientas para los administradores del sistema y usuarios avanzados. Para entrar a las Herramientas Administrativas abra el Panel de Control, después las Herramientas Administrativas dando clic en Inicio, Panel de Control, Sistema y Seguridad en el modo de Vista por Categorías o doble clic en la mini aplicación de Herramientas Administrativas estando en el modo de Vista por Iconos. También hay un enlace de acceso rápido en Servidores de Windows y se puede tener acceso dando clic en Inicio.
www.pdftron.com Algunas de las herramientas administrativas comunes en esta carpeta son las siguientes:
• Servicios de Componentes: Confgure y administre los componentes del Modelo de Componentes (COM por sus siglas en inglés). Los Servicios de Componentes están diseñados para ser usados por programadores y administradores. • Administración de Equipos: Administre equipos locales o remotos utilizando una sola herramienta de escritorio consolidada. Al utilizar el Administrador de Equipos puede realizar muchas tareas, como monitorear los sucesos del sistema, confgurar los discos duros y administrar la ejecución del sistema. • Orígenes de Datos (ODBC): Utilice la Conectividad Abierta de Base de Datos (ODBC por sus siglas en inglés) para mover los datos de un tipo de base de datos (origen de base de datos) a otra. • Visor de Sucesos: Vea la información de un suceso importante, por ejemplo cuando un programa inicia o se detiene o los errores de seguridad que están grabados en el registro de sucesos. • Iniciador iSCSI: Confgure las conexiones avanzadas entre dispositivos de almacenamiento en una red. • Directiva de Seguridad Local: Vea y edite las confguraciones de seguridad de la Directiva de Grupo. • Monitoreo del funcionamiento: Vea la información avanzada del sistema del procesador, la memoria, el disco duro y el funcionamiento de red. • Administración de Impresión: Administre las impresoras y los servidores de impresión en una red y realice otras tareas administrativas.
Windows Server 2008 R2
61
• Asistente para Configuración de Seguridad: Un asistente que lo guía para saber cómo crear una directiva de seguridad que puede aplicar a cualquier servidor en la red. • Administrador de Servidores: Una consola que le permite administrar y garantizar múltiples funciones del servidor que incluye administrar la identidad del servidor, la información del sistema, mostrar el estatus del servidor, identifcar problemas con la confguración de las funciones del servidor y administrar todas las funciones instaladas en el servidor. • Servicios: Administre los diferentes servicios que se ejecutan dentro de su equipo. • Administración de Almacenamiento e Información Compartida: Una ubicación centralizada para que pueda administrar las carpetas que se están compartiendo en la red y sus volúmenes, así como el volumen en los discos y subsistemas de almacenamiento. • Explorador de Almacenamiento: Se utiliza para ver y administrar el Canal de Fibra y las mallas de Isasi que se encuentran disponibles en su Red de Área de Almacenamiento (SAN por sus siglas en inglés). • Configuración del Sistema: Identifque los problemas que tal vez impidan que Windows funcione correctamente. • Programador de Tareas: Establezca fecha y hora de los programas u otras tareas para que se ejecuten de manera automática. • Firewall de Windows con Seguridad Avanzada: Confgure las opciones avanzadas de cortafuegos tanto en esta computadora como en equipos remotos en su red. • Diagnostico de Memoria de Windows: Verifque la memoria de su equipo para saber si está funcionando correctamente. • Módulos en PowerShell de Windows: Una línea de comandos basado en tareas y lenguaje, diseñado especialmente para la administración del sistema. • Respaldo del Servidor de Windows: Úselo para hacer copias de seguridad y restaurar el servidor.
www.pdftron.com Cuando utilice estas herramientas, debe asumir que sólo se usan para administrar el equipo local. Sin embargo, muchas de estas herramientas pueden usarse también para administrar equipos remotos. Por ejemplo, puede usar la consola de Administración de Equipos y la de Administración de Servidores para conectar y administrar otros equipos, asumiendo que tiene derechos administrativos sobre el mismo.
f Consola de Administración de Equipos y de la Consola de Administración de Servidores La Consola de Administración de Equipos y la Consola de Administración de Servidores son dos de las herramientas primordiales para administrar el servidor de Windows y éstos incluyen los complementos de la MMC que comúnmente se usan. La consola de Administración de Equipos se encuentra disponible en Windows Server 2003, Windows Server 2008, Windows XP, Windows Vista y Windows 7. Ésta incluye complementos múltiples como el Programador de Tareas, el Visor de Sucesos, Carpetas Compartidas, Usuarios Locales y Grupos, Rendimiento, Administración de Dispositivos, Administración, Enrutamiento y Acceso Remoto, Servicios y Control WMI. Vea la fgura 2-17. Si utiliza Windows Server 2003, Windows XP, Windows Vista o Windows 7, puede entrar a la consola de Administración de Equipos por medio de las Herramientas Administrativas, dando clic derecho Mi Equipo y luego en Manage. Si está ejecutando Windows Server 2008 o Windows Server 2008 R2, puede tener acceso sólo desde la carpeta de Herramientas Administrativas.
62
Lección 2
Figura 2-17 Consola de Administración de Equipos
Si da clic derecho en Equipo, en una computadora donde se ejecuta Windows Server 2008 o Windows Server 2008 R2, se abrirá la consola de Administración de Servidores. Incluso cuando inicie sesión como administrador de un equipo donde se ejecute Windows Server 2008 o Windows Server 2008 R2, el Administrador de Servidores se abrirá automáticamente, este último le permite instalar Roles y Funciones del Servidor de Windows, ver los registros del Visor de Sucesos, entrar a Herramientas de Monitoreo de Rendimiento, Administrador de Dispositivos, Programador de Tareas, Firewall de Windows con Seguridad Avanzada, Servicios, Grupos y Usuarios Locales, Copias de seguridad del Servidor de Windows y Administración del Disco. Vea la fgura 2-18.
www.pdftron.com Figura 2-18
Consola del Administrador de Servidores
Windows Server 2008 R2
63
El paquete de Herramientas de Administración Remota del Servidor es una función que se encuentra disponible en Windows Server 2008 R2, la cual permite la administración remota del mismo, así como de Windows Server 2008 y Windows Server 2003 desde un equipo que ejecute Windows Server 2008 R2, lo cual le permite abrir y ejecutar herramientas de administración y complementos para administrar los roles, sus servicios o las funciones de un equipo remoto. Las Herramientas de Administración Remota del Servidor incluyen herramientas para las siguientes funciones: • Herramientas de Servicios del Directorio activo. • Servicios de Dominio del Directorio activo (AD DS) y Herramientas de Servicios de Directorio Jerarquizado y Directorio activo (AD LDS). • Herramientas de Servicios de Administración de Derechos del Directorio activo (AD RMS). • Herramientas del Servidor DHCP. • Herramientas del Servidor DNS. • Herramientas del Servidor de Fax. • Herramientas de Servicios de Archivos. • Herramientas Hyper-V. • Herramientas de Servicios de Acceso y Políticas de Red. • Herramientas de Servicios de Documentos e Impresión. • Herramientas de Servicios de Escritorio Remoto. • Herramientas de Servidor del Web Server (IIS). • Herramientas de Servicios de Despliegue de Windows.
www.pdftron.com Las Herramientas del Servidor Remoto incluyen herramientas para las siguientes características: • • • • • •
Utilidades de Administración del BitLocker Drive Encryption. Herramientas de Extensiones del Servidor BITS. Herramientas de Failover Clustering. Herramientas de Network Load Balancing. Herramientas del Servidor SMTP. Herramientas del Servidor WINS.
64
Lección 2
Instalar Programas, Roles y Funciones È EN RESUMEN
Muchas de los roles y funciones que se encuentran disponibles de manera automática en Windows Server 2008 deben ser instaladas o habilitadas antes de su uso. Esto con el fn de reducir la superfcie de ataque que utilizan los hackers o softwares maliciosos. Si no necesita un servicio o no necesita ejecutar un programa, entonces no es recomendable que lo instale o que lo habilite cuando esté administrando los servidores.
f Administración de Programas Windows Server 2008 R2 incluye muchas funciones y características para proporcionar una amplia variedad de servicios de red; sin embargo, con frecuencia tendrá que instalar programas. Algunos de estos programas, por ejemplo el SQL Server o Exchange, provienen de Microsoft, mientras que muchos otros programas no. Por lo tanto tendrá que averiguar cómo instalar y desinstalar estas aplicaciones. Si necesita instalar un programa en Windows, por ejemplo un paquete de un software de antivirus, Microsoft Exchange, Microsoft SQL Server o cualquier otro programa que no venga junto con Windows Server, usualmente se inserta el disco (normalmente es un CD o un DVD), y el programa de instalación iniciará de manera automática. Tal vez necesite ejecutar un comando, descargarlo e instalándolo con la ayuda del navegador o dando doble clic en un archivo ejecutable con un .exe o una extensión msi.
www.pdftron.com La mayoría de los programas de Windows le permiten desinstalar un programa desde su equipo, en caso de que ya no lo utilice o si desea liberar espacio en su disco duro. En Windows Server 2008, puede usar Programas y Funciones para desinstalar programas o para cambiar la confguración de un programa, al añadir o quitar ciertas opciones. Antes de usar Windows Server 2008, tendrá que utilizar la opción Añadir/Quitar Programas desde el Panel de Control.
Æ Desinstalar o Cambiar un Programa PREPÁRESE. Para desinstalar un programa o cambiarlo en Windows Server 2008 R2, haga lo siguiente: 1. Abra el Panel de Control. 2. Si está en Vista por Categorías, haga clic en Programas y después en Programas y Funciones. Si está en Vista por Iconos, haga doble clic en Programas y Funciones. 3. Seleccione un programa y luego dé clic en Desinstalar. Vea la figura 2-19.
Windows Server 2008 R2
65
Figura 2-19 Programas y funciones
Si el programa que desea desinstalar no se encuentra en el listado, es probable que no haya sido registrado por Windows. En ese caso debe revisar la documentación del software. Algunos programas incluyen la opción de reparar el programa junto con la de desinstalarlo, pero muchos de estos programas sólo ofrecen la opción de desinstalar. Para cambiar el programa, haga clic en Cambiar o Reparar. Si se le pide la contraseña o confrmación del administrador, escriba la contraseña o proporcione la confrmación.
www.pdftron.com f Administración de Roles y Funciones
Como se mencionó en la Lección 1, un servidor está diseñado para proporcionar servicios de red y recursos. Windows Server 2008 R2 ha organizado los servicios más comunes por jerarquía de roles del servidor. Típicamente instalaría estos roles utilizando el Administrador de Servidores. Además, Windows Server 2008 R2 incluye muchas funciones que no forman parte directamente de un rol o que se utilizan para respaldar, para ajustarse al funcionamiento de una o más roles o para mejorar el funcionamiento de todo el servidor.
Una función del servidor es un conjunto de programas del software, que cuando son instalados y confgurados de manera apropiada, permiten que un equipo desempeñe una función específca para múltiples usuarios o equipos dentro de una red. Muchas de estos roles se encuentran enlistados en la Lección 1. Los servicios de roles son programas del software que proporcionan el funcionamiento de un rol o de un servicio. Cuando instala un rol, puede escoger qué servicios proporciona a otros usuarios y equipos en su empresa. Algunos, como el Servidor DNS, poseen una sola función y no tienen servicios de roles disponibles. Otros roles, como los Servicios de Escritorio Remoto, poseen varios servicios que pueden instalarse, dependiendo de las necesidades informáticas remotas de su compañía. Para añadir roles, abra el Administrador de Servidores, dé clic en Roles en el panel del lado izquierdo y dé clic en Añadir Roles. Vea la fgura 2-20. También se pueden añadir utilizando la ventana de Tareas de Confguración Inicial. Para quitar un rol, haga clic en Quitar Roles. Para administrar uno específco que ya ha sido instalado, puede desplazarse hacia abajo hasta llegar al servicio o dé clic en el enlace dentro de Resumen de Roles. Si se presenta algún problema con alguno de ellos, verá círculos en rojo con una X o círculos en rojo con signos de exclamación.
66
Lección 2
Figura 2-20 Administración de Roles
www.pdftron.com Como se mencionó de igual manera en la Lección 1, las funciones son programas de software que no forman parte directamente de un rol; en lugar de eso, pueden respaldar o ajustarse al servidor. Como se hace para instalar y quitar roles, instalaría y quitaría funciones con la consola del Administrador de Servidores o utilizando la ventana de Tareas de Confguración Inicial. Vea la fgura 2-21.
Figura 2-21
Administración de Funciones
Windows Server 2008 R2
67
Administración de Servicios È EN RESUMEN
Un servicio es un programa, una rutina o un proceso que desempeña una función del sistema específco para asistir a otros programas o para dar servicios de red. Un servicio se ejecuta en el segundo plano del sistema sin una interfaz de usuario. Como ejemplos están las soluciones Web, los registros de sucesos y soluciones de archivos. ; Listo para Certificación ¿Cómo opera un servicio en Windows?—1.2
Para administrar los servicios, utilice la consola de servicios ubicada en Herramientas Administrativas. El complemento de servicios también está incluido en las consolas del Administrador de Servidores y en la de Administración de Equipos. También puede ejecutar mmc services.mmc desde un comando prompt, el Cuadro Iniciar Búsqueda o el cuadro Ejecutar. Vea la fgura 2-22.
Figura 2-22 La Consola de Servicios
www.pdftron.com Para iniciar, detener, hacer pausa, reanudar o reiniciar servicios, haga clic derecho en el servicio y después en la opción deseada. En el lado izquierdo del nombre del servicio se encuentra una descripción. Para confgurarlo, dé clic derecho en el servicio y después en Propiedades o doble clic en el mismo. Vea la fgura 2-23. En la fcha General en Iniciar, escriba la opción desplegar y establezca lo siguiente: • Automático: Especifca que el servicio debe iniciarse automáticamente cuando el sistema inicie. • Automático (Inicio Retardado): Especifca que el servicio debe iniciarse automáticamente después de que se los servicios marcados como automático han iniciado (lo cual es aproximadamente en 2 minutos). • Manual: Especifca que un usuario o un servicio dependiente puede iniciar el servicio. Los servicios confgurados en iniciar de modo manual no se inician automáticamente cuando el sistema inicia. • Desactivación: Evita que el servicio sea iniciado por el sistema, por un usuario o por cualquier servicio independiente.
68
Lección 2
Figura 2-23 Administración de un servicio individual
www.pdftron.com Si le agrada realizar cosas con el comando prompt o tiene la necesidad de usar un script para iniciar o detener un servicio, es mejor usar el comando sc para comunicarse con los Servicios y con el Administrador de Control de Servicios. El comando scconfg se usa para modifcar una entrada a un servicio en el registro y la Base de Datos del Servicio. Además, puede usar los comandos net start y net stop para iniciar y detener los servicios.
Cuando confgure un servicio, necesitará especifcar en qué cuenta se está ejecutando. Puede usar las cuentas incorporadas que están incluidas en Windows o puede utilizar una cuenta de servicio que cree localmente o en el dominio. Las cuentas incorporadas incluyen:
• Sistema Local: Una cuenta altamente privilegiada con la cual se puede entrar a la mayoría de los recursos en el equipo local. • Servicio Local/Autoridad NT: Tiene los mismos privilegios del grupo de Usuarios Locales en el equipo. Cuando entra a los recursos de Red, no utiliza credenciales y una sesión nula. • Servicio de Red/Autoridad NT: Tiene el mismo nivel de acceso que el grupo de Usuarios en el equipo local. Cuando entra a los recursos de red, lo hace en el contexto de la cuenta del equipo local. Siempre debe tener cuidado cuando cambie los parámetros de Inicio para un servicio, incluyendo las confguraciones Tipo de Inicio e Iniciar Sesión como, porque estos cambios pueden impedir que los servicios clave se ejecuten debidamente. Además, Microsoft recomienda que no cambie el servicio Permitir para interactuar con las confguraciones de escritorio, permitirá al servicio entrar a cualquier información mostrada en el escritorio del usuario interactivo. Un usuario malicioso puede entonces tomar el control del servicio o atacar desde el escritorio interactivo. Si especifca una cuenta que no tiene permiso para iniciar sesión como servicio, el complemento de Servicios concede automáticamente los permisos correspondientes a esa cuenta en el equipo que esté administrando. Si utiliza una cuenta de dominio o local, asegúrese de usar una contraseña larga y que no caduque.
Windows Server 2008 R2
69
Como regla general debe utilizar la cuenta con los permisos y derechos mínimos para llevar a cabo el servicio. Además de usar cuentas de servicio diferentes para cada uno. Por lo que si instala Exchange y SQL en un servidor, deberá tener una cuenta de servicio para Exchange y otra diferente para SQL. Para colocarlos en el mismo servidor, se debe considerar que se trata de una compañía pequeña con pocos empleados. Si habilita o deshabilita un servicio y ocurre un problema, puede intentar iniciarlo manualmente para ver lo que sucede. También puede revisar el Visor de Sucesos para obtener más información acerca de algunos de los errores. Si el sistema no arranca debido al servicio de habilitar y deshabilitar, debe intentar iniciar el equipo en Modo Seguro, el cual sólo inicia los servicios esenciales para operar, carga sólo los controladores necesarios para operar y carga en resolución de pantalla de 640x480 con la mínima cantidad de colores. Al utilizar el Modo Seguro, tendrá la oportunidad de arreglar el problema. Si es novato utilizando Windows, en especial en la administración y confguración de Windows, debe de tomarse un tiempo para dar clic en cada servicio y leer las descripciones. Aprenderá que muchos nombres de los servicios son muy descriptivos. Por ahora abarcaremos dos servicios específcos: • Servidor: proporciona apoyo al uso compartido de archivos, impresoras y namedpipes en la red. Si no se ha iniciado el servicio de Servicios, no podrá entrar a las carpetas compartidas, incluyendo la carpeta de Compartidos Administrativos como C$ y IPC$. • Estación de Datos: crea y mantiene las conexiones de red del cliente para quitar servidores utilizando el protocolo SMB. Sin este servicio no podrá entrar a las carpetas compartidas en otros equipos.
www.pdftron.com Entender el Registry È EN RESUMEN
El registry es una base de datos central y segura en la que Windows almacena la información de confguración del hardware y software, así como las políticas de seguridad del sistema. Los componentes que usan el registro incluyen Windows kernel, los controladores de dispositivos, los programas de confguración, los perfles de hardware y los perfles de usuario.
La mayoría del tiempo no será necesario que entre al registro, ya que los programas y aplicaciones generalmente hacen todos los cambios necesarios de manera automática. Por ejemplo, cuando cambia su fondo de escritorio o cambia el color predeterminado de Windows, entra a la opción de Apariencia y Personalización en el Panel de Control y guarda los cambios en el registry. Si necesita tener acceso al registry para hacer cambios, debe seguir detenidamente las instrucciones de una fuente confable, pues un cambio incorrecto en el registry de su computadora puede hacer su equipo inoperable. Sin embargo, puede haber un momento en el que necesite hacer cambios en él porque no hay interfaz o programa para hacer el cambio. Para visualizarlo y cambiarlo manualmente, debe usar el Editor (Regedit.exe), el cual puede ejecutarse desde el prompt de comandos, cuadro Iniciar Búsqueda o cuadro de Ejecutar. Vea la fgura 2-24.
70
Lección 2
Figura 2-24 El Editor del Registry
El registry se divide en varias secciones lógicas a las que con frecuencia se les llama hives y cuyo nombre es generalmente asignado por sus defniciones de Windows API. Los hives comienzan con HKEY y a menudo se presentan como una abreviación de tres o cuatro letras; por ejemplo, HKCU es HKEY_CURRENT_USER y HKLM es HKEY_LOCAL_ MACHINE. Windows Server 2008 R2 tiene cinco Claves Raíz/HKEYs:
www.pdftron.com • HKEY_CLASSES_ROOT: Almacena información sobre aplicaciones registradas, como la asociación de archivos que indica qué programa predeterminado abre un archivo con cierta extensión. • HKEY_CURRENT_USER: Almacena opciones específcas para el usuario que se encuentra actualmente en sesión. Cuando el usuario fnaliza su sesión, el HKEY_ CURRENT_USER se guarda en HKEY_USERS. • HKEY_LOCAL_MACHINE: Almacena opciones específcas para el equipo local. • HKEY_USERS: Contiene subclaves que corresponden a las claves HKEY_ CURRENT_USER para cada perfl de usuario activamente cargado en la máquina. • HKEY_CURRENT_CONFIG: Contiene información reunida durante la ejecución. La información almacenada en esta clave no se almacena de manera permanente en el disco, sino que más bien se genera al momento del arranque.
Las claves de registry son similares a las carpetas, las cuales pueden contener valores o subclaves. Las claves en el registro siguen una sintaxis similar a la de la ruta para carpetas o archivos de Windows, usando diagonales inversas para separar cada nivel. Por ejemplo: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows se refere a la subclave “Windows” de la subclave “Microsoft” de la subclave “Software” de la clave HKEY_LOCAL_MACHINE. Los valores de registry incluyen un nombre y un valor y existen varios tipos de valores. Algunos Tipos comunes de claves se muestran en la Tabla 2-2.
Windows Server 2008 R2
71
Tabla 2-2 Tipos comunes de claves de registry
Nombre
Tipo de datos
Descripción
Valor binario
REG_BINARY
Datos binarios sin procesar. La mayoría de la información de los componentes hardware se almacena como información binaria y se muestra en el Editor del Registry en un formato hexadecimal.
Valor DWORD
REG_DWORD
Datos representados por un número con una longitud de 4 bits (un tipo de dato entero de 32 bits). Muchos parámetros para controladores de dispositivos y servicios son de este tipo y se muestran en el Editor del Registry en formato binario, hexadecimal o decimal.
Valor de cadena expandible
REG_EXPAND_SZ
Una cadena de datos de longitud variable. Este tipo de datos incluye variables que se resuelven cuando un programa o servicio usa los datos.
Valor de cadenas múltiples
REG_MULTI_SZ
Una cadena múltiple. Los valores que contienen listas o valores múltiples en una forma que la gente puede leer son generalmente de este tipo. Las entradas se separan mediante espacios, comas u otras marcas.
www.pdftron.com Valor de cadena
REG_SZ
Una cadena de texto de longitud fija.
Valor QWORD
REG_QWORD
Datos representados por un número que es un tipo de dato entero de 64 bits. Estos datos se muestran en el Editor del Registry como valor binario y se introdujeron en Windows 2000.
Los Archivos Reg (también conocidos como Entradas al registry) son archivos de texto usados para almacenar partes del registry y terminan con la extensión de nombre de registro .reg. Si da doble clic en archivo reg, este añadirá las entradas al registro en el registro. Puede exportar cualquier subclave de registro dando clic derecho en la subclave y eligiendo Exportar. Puede respaldar todo su registro en un archivo reg dando clic derecho en Equipo en la parte superior de Editar reg y seleccionando Exportar o puede respaldar el estado del sistema con Windows Backup.
72
Lección 2
Administración del Servidor Core È EN RESUMEN
Como se mencionó en la Lección 1, la instalación de un Servidor Core proporciona un ambiente mínimo sin la línea de comandos de Windows Explorer para ejecutar funciones específcas del servidor y sin botón de Inicio. Cabe señalar que mientras generalmente usaría comandos para administrar el servidor core, estos comandos también trabajarán con una instalación completa de Windows. Para descubrir las funciones del servidor disponibles, abra un prompt de comando y escriba lo siguiente: oclist Para apagar o reiniciar el Servidor Core de Windows Server 2008, necesita usar el archivo shutdown.exe. Para apagar la computadora, use el siguiente comando: shutdown /s Para reiniciar la computadora, use el siguiente comando: shutdown /r /t 0 ó shutdown /r
www.pdftron.com La /r especifca reinicio mientras que la /t 0 (forma corta de 0 segundos) indica un rearranque inmediato. Para fnalizar la sesión use: shutdown /l
Para abrir la mini-aplicación Fecha y Hora, escriba el siguiente comando en el prompt de comando: controltimedate.cpl
Para cambiar la opción Internacional, incluyendo cambiar su teclado para diferentes caracteres, escriba lo siguiente en el prompt de comando: controlintl.cpl Para cambiar el nombre del equipo, primero debe conocer el nombre actual de la misma. Para encontrar el nombre actual, puede usar el nombre del sistema central o el comando ipconfg. Después use el siguiente comando para cambiar el nombre del equipo: netdomrenamecomputer /NewName: Después reinicie el equipo. Para unirse a un dominio, use el siguiente comando: netdom join /domain: /userd: /passwordd:*
Windows Server 2008 R2
73
Se le pedirá el password administrativo. Después reinicie el equipo. Si necesita añadir una cuenta de usuario de dominio al grupo de Administradores local, escriba el siguiente comando: netlocalgroup administrators /add \ Establecer una confguración de IP es un poco más complicado porque se hace en el prompt de comando. Para ver la confguración de IP, puede ejecutar el siguiente comando: ipconfg /all Para ver sus interfaces, ejecute el siguiente comando: netsh interface ipv4 show interfaces Cuando vea el resultado de su comando netsh, necesita anotar los números que se muestran en la columna Idx para su adaptador de red. Para confgurar una dirección IP estática y una puerta de enlace predeterminada, debe usar el siguiente comando: netsh interface ipv4 set address name=”” source=static address= mask= gateway=
www.pdftron.com Para confgurar una dirección DNS, use el siguiente comando:
netsh interface ipv4 add dnsserver name= address= index=1
Para cada servidor DNS que quiera confgurar, incremente en número en índice= número cada vez. Así, el número de índice del primer servidor DNS sería 1. Para el segundo servidor DNS el número de índice sería 2. Para cambiar la dirección IP estática de un servidor a una dirección IP generada por DHCP, use el siguiente comando: netsh interface ipv4 set address name=“” source=dhcp en donde la ID será el número del adaptador de red. Además de ejecutar estos comandos, existen algunos programas sencillos, pero esenciales, disponibles, incluyendo: • Bloc de notas (notepad.exe) • Comando del Administrador de Tareas (taskmgr.exe) o presionando las teclas Ctrl+Alt+Del. • Editor del Registro (regedit.exe) • Información del Sistema (msinfo32.exe) Puede usar cscript.exe para ejecutar scripts. Por ejemplo, para revisar las confguraciones automáticas actuales, ejecute el siguiente comando: cscript scregedit.wsf /AU /v
74
Lección 2
Para habilitar actualizaciones automáticas, ejecute el siguiente comando: cscript scregedit.wsf /AU /4 Para deshabilitar actualizaciones automáticas, ejecute el siguiente comando: cscript scregedit.wsf /AU /1 Después de que el servidor se esté comunicando en la red, puede conectarse al servidor de manera remota usando herramientas administrativas basadas en la Consola de Administración de Microsoft, incluyendo las consolas de Administración de Equipos y de Administración de Servidores.
Æ Administrar un Servidor Core usando un Complemento MMC PREPÁRESE. Para administrar un servidor core usando un complemento MMC, realice lo siguiente: 1. Inicie sesión en un equipo remoto. 2. Inicie un complemento MMC, como una consola de Administración de Equipos o de Administración de Servidores. 3. En el panel izquierdo, dé clic derecho en la parte superior del árbol y después en Conectar a otra computadora. Por ejemplo, en Administración de Equipos, dé clic derecho en Administración de Equipo (Local).
www.pdftron.com 4. En otro equipo, escriba en nombre del equipo o dirección IP del servidor que está ejecutando la instalación del Servidor Core y después clic en OK. Vea la figura 2-25.
Figura 2-25
Entrar a un equipo remoto usando la consola de Administración de Equipos
Para usar el complemento MMC de Administración de Discos de manera remota en una computadora del Servidor Core, debe iniciar el Servicio de Disco Virtual o la del Servidor Core escribiendo el comando net start VDS en el prompt de comando.
Windows Server 2008 R2
75
Resumen de la Matriz de Habilidades En esta lección aprendió: • Las Tareas de Confguración Inicial actúan como un recordatorio y un método para entrar a las opciones clave, a fn de que pueda instalar y ejecutar su servidor Windows de manera rápida y con el mínimo esfuerzo. • A cada equipo en una red se le debe asignar un nombre único. • Un grupo de trabajo generalmente se asocia con una red de compañero a compañero en la que las cuentas de usuario están descentralizadas y almacenadas en cada computadora individual. • Un dominio es una unidad lógica del equipo que defne una barrera de seguridad y que generalmente se asocia con el Directorio activo de Microsoft. • Generalmente la seguridad del dominio está centralizada y controlada por los servidores de Windows, los cuales actúan como controladores de dominio. • Con Asistencia Remota y Escritorio Remoto puede entrar a un equipo que ejecute Windows con otra computadora conectada a la misma red o a través de la Internet, como si estuviera sentado frente al servidor. • Asegúrese de que el servidor tiene la fecha y hora correctas. Es importante para efectos de registro y seguridad. • Los controladores de dispositivos son programas que controlan un dispositivo. Puede considerarlos como un traductor entre el dispositivo, el sistema operativo y los programas que usan ese dispositivo. • Plug and Play (PnP) le permite instalar o conectar un dispositivo que se reconoce automáticamente, confgurado de manera automática y queda instalado el controlador correspondiente. • Una interrupción es una señal enviada por un dispositivo para atraer la atención del procesador cuando el dispositivo está listo para aceptar o enviar información. Se debe asignar un número único de IRQ a cada dispositivo. • Un controlador frmado es un controlador de dispositivos que incluye una frma digital, la cual es una marca electrónica de seguridad que puede indicar el editor del software y mostrar si el controlador ha sido alterado. • Un controlador que carece de una frma digital válida o que fue alterado después de haber sido frmado, no puede instalarse en una versión de Windows de 64 bits. • La carpeta de Dispositivos e Impresoras le proporciona una vista rápida de los dispositivos conectados a su computadora, los cuales puede conectar o desconectar de conectándose a un puerto o red. • El Administrador de Dispositivos le proporciona una visión gráfca del hardware (interno y externo) instalado en su computadora y le proporciona una forma de manejar y confgurar sus dispositivos. • Una fecha negra hacia abajo en el Administrador de Dispositivos indica que el dispositivo está deshabilitado. • Un signo de interrogación negro (!) en un campo amarillo en el Administrador de Dispositivos indica que existe un problema con el dispositivo. • Las Herramientas Administrativas, incluyendo la consola de Administración de Servidores, es una carpeta en el Panel de Control que contiene herramientas para los administradores del sistema y usuarios avanzados. • Para instalar Roles y Funciones en Windows Server 2008, debe usar la consola del Administrador de Servidores o la ventana de Tareas de Confguración Inicial.
www.pdftron.com
76
Lección 2
• Un servicio es un programa, rutina o proceso que realiza una función específca en el sistema para apoyar a otros programas o proporcionar un servicio de red. Se ejecuta en el segundo plano del sistema sin una interfaz de usuario. • El registry es una base de datos central y segura en la que Windows almacena toda la información de confguración del hardware, la información de confguración del software y las políticas de seguridad del sistema.
» Evaluación de Conocimientos Llenar los espacios en blanco Complete las siguientes oraciones escribiendo la palabra o palabras correctas en los espacios en blanco. 1. La herramienta principal utilizada para confgurar la apariencia de Windows y del hardware es________. 2. _____________ es una función que ayuda a evitar que un programa haga cambios sin que esté consciente de ello. 3. Cada equipo en una red debe tener asignado un nombre de equipo ________. 4. Un _________ es una unidad lógica de los equipos que comparten la misma base de seguridad y normalmente está asociado con el Directorio activo de Microsoft.
www.pdftron.com 5. ________ le permite conectarse a un servidor de manera remota para ejecutar los programas como si estuviera sentado frente al equipo.
6. Para que muchos mecanismos de seguridad puedan operar, su equipo necesita tener la __________________ correctas.
7. _______ son programas que controlan un dispositivo y actúan como traductor entre el dispositivo y el sistema operativo así como programas que utilizan ese dispositivo. 8. _______ le permite instalar o conectar un dispositivo y el sistema operativo lo reconocerá y confgurará de manera automática e instalará los controladores apropiados para el dispositivo. 9. Un _____________ es un controlador de dispositivo que incluye una frma digital, la cual muestra quien editó dicho controlador de dispositivos y si éste ha sido alterado. 10. _______ le proporciona una vista gráfca del hardware que está instalando en su equipo y le ofrece una manera de administrar y confgurar sus dispositivos. Opción Múltiple Encierre en un círculo la letra que corresponda a la respuesta correcta. 1. ¿Qué herramienta permite proporcionar apoyo al personal para interactuar con su sesión y así ayudar a encontrar errores? a. Escritorio Remoto b. Asistencia Remota c. Administrador de Registros de Usuario
Windows Server 2008 R2
77
d. Panel de Control 2. Si se conectó a la red interna, ¿Qué debe revisar si no puede conectarse a los servidores web en la Internet? a. b. c. d.
UAC Derechos Administrativos Confguraciones Proxy Permisos NTFS
3. ¿Qué tecnología confgura automáticamente los canales IRQs, DMA, las direcciones de Puerto I/O y los rangos de dirección de memoria para una tarjeta de expansión? a. b. c. d.
Administrador de Registros de Usuario Controladores Firmados Administrador de Servicios Plug and Play
4. ¿Qué cuenta de complemento ofrece acceso total al sistema del equipo? a. b. c. d.
Sistema Local Servicio Local Servicio de Red Usuario Local
5. ¿Qué es una base de datos de seguridad central que almacena toda la información de confguración del hardware, del software y las políticas de confguración de seguridad?
www.pdftron.com a. b. c. d.
Administrador de Registros de Usuario El Registry Administrador del Servidor Administración del Equipo
6. Cuando se instalan los controladores en una versión 64-bits de Windows Server 2008 R2, debe _______________. a. b. c. d.
Instalar únicamente controladores frmados Instalar el controlador con el Administrador de Dispositivos Primero deshabilitar la UAC Habilitar el servicio de Instalador de Windows
7. Para instalar una función de red, usaría _______________. a. b. c. d.
La consola de Administración de Equipos La consola del Administrador de Servidores El Administrador de Dispositivos La consola de Servicios
8. ¿Qué programa usaría para asignar un IRQ a un dispositivo? a. Administrador de Registros de Usuario b. Administrador de Dispositivos c. Editor del Registro
78
Lección 2
d. UAC 9. ¿Cuál de los siguientes no es un tipo de Inicio para un servicio? a. b. c. d.
Automático Manual Opción de Deshabilitar Autoconfguración
10. Qué clave de Registro posee las confguraciones específcas de un equipo local? a. b. c. d.
HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS
Verdadero / Falso Encierre en un círculo la letra V si la oración es verdadera o F si la oración es falsa. V
F
1. La UAC está deshabilitada automáticamente.
V
F
2. Cuando da clic derecho en Equipo en Windows Server 2008 se abrirá la consola de Administración de Equipos.
V
F
V
F
3. Puede instalar los controladores frmados de 32-bits en Windows Server 2008 R2. 4. Un signo de exclamación en negro en el Administrador de Dispositivos signifca que el dispositivo está deshabilitado.
V
F
www.pdftron.com 5. Para conectar un equipo remoto que ejecuta el Servidor Core únicamente puede usar un prompt de comando intensifcado como administrador.
» Evaluación de competencias Escenario 2-1: Administración del Servidor Core Acaba de instalar el Servidor Core de Windows Server 2008 R2 para que actúe como servidor de la web. Ahora necesita confgurar el servidor. ¿Cuáles son todas esas diferentes herramientas que puede usar? Escenario 2-2: Configuración de Servicios Está instalando un nuevo programa de red, el cual instala un servicio de red. Necesita escoger con qué tipo de cuenta desea que se ejecute el servicio. ¿Cuáles son los pasos a seguir para escoger la cuenta?
Windows Server 2008 R2
79
» Prueba de aptitud Escenario 2-3: Uso del Administrador de Dispositivos Abra el Administrador de Dispositivos. Verifque que todos los dispositivos estén habilitados y que todos tengan el controlador de dispositivos apropiado. Si es necesario, busque e instale los controladores correctos para dispositivos desconocidos. Escenario 2-4: Configuración del Adaptador de Red 1. Confgure los siguientes parámetros de IP (a menos que su instructor indique lo contrario): Dirección IP: 172.24.1.XX donde XX es su número de estudiante. Si no cuenta uno, use el .31. Máscara de Subred: 255.255.255.0 Puerta de Enlace Predeterminada: 172.24.1.20 Servidor DNS: 172.24.24.1.30 2. Guarde sus confguraciones. 3. Si es necesario, cambie sus confguraciones de nuevo a DHCP y guárdelas.
Lugar de Trabajo listo
www.pdftron.com Æ Configuración y Administración de los Servidores
Instalar el servidor normalmente es una tarea sencilla. El verdadero trabajo viene cuando hay que hacerle arreglos a Windows, como instalar roles, funciones o aplicaciones, confgurar Windows y las propias aplicaciones. También se lleva tiempo añadir usuarios o carpetas y conceder permisos a los equipos. Los respaldos le permiten recobrar datos irremplazables y datos que se lleva horas volver a crear. También le permite restaurar un servidor que tomó muchas horas instalar y confgurar si tiene que reemplazar o reconstruir el servidor.
www.pdftron.com
Lección 3
Administración de Almacenamiento Matriz de Dominio de objetivos Habilidades/Conceptos
Descripción del Dominio del objetivo
Identificar las tecnologías de almacenamiento Introducción a los discos RAID Comprender la estructura de los discos
Identificar las tecnologías de almacenamiento. Comprender los RAID. Comprender los tipos de discos.
Número del dominio del objetivo 4.1 4.2 4.3
Términos claves • Tabla de asignación de archivos, (FAT) • FAT32 • Canal de fbra • Controlador de host (Adaptador de Bus del host, HBA) • Disco de reserva (hot spare) • Integrated drive electronics (IDE) • Interfaz Estándar de equipos pequeños de internet (Internet
small computing system interfaz, ISCSI) • Número de unidad lógica, (logical unit number, LUN) • Almacenamiento conectado a red, (network attached storage, NAS) • Sistema de archivos nt (new technology fle system, NTFS) • Partición • Esquemas de particionamiento
• Conjunto redundante de discos independientes, (redundant array of independent disks, RAID) • SCSI (small computer system interfaz) • Serial ata standard (SATA) • Red de área de almacenamiento (SAN) • Clonación de volumen
www.pdftron.com Acaba de instalar muchos servidores nuevos que ejecutan Windows Server 2008 para Acme Corporation y estos han sido conectados a su red. Ahora, necesita expandir varios de estos servidores para añadirles dispositivos y confgurar mediante los RAID de modo que las unidades toleren fallos. Además, necesita conectarlos a un SAN de tal manera que varios servidores se conecten a un dispositivo de almacenamiento centralizado.
82
Lección 3
Identificar las Tecnologías de Almacenamiento È EN RESUMEN
Necesita sufciente poder de procesamiento y una cantidad sufciente de RAM, también podría necesitar una mayor cantidad de almacenamiento. Aunque los servidores más simples normalmente requieren instalar un Windows Server en un puerto local IDE (Paralelo o serial) o un disco duro SCSI, los sistemas más complejos usan arreglos de disco RAID o dispositivos de almacenamiento remotos como SAN o NAS.
f Dispositivos IDE y SCSI Actualmente los discos duros pueden ser IDE (integrated drive electronics) o SCSI (small computer system interfaz) pronunciado “skuzzy”. Aunque se utilicen RAID, NAS o SAN lo más seguro es que sean dispositivos IDE o SCSI. ; Listo para la Certificación ¿Qué recomienda en un servidor, IDE O SCSI? – 4.1
Los dispositivos IDE están diseñados para ser rápidos y de bajo costo. Tradicionalmente estos se basaron en la norma ATA paralelo la cual usa cable plano de 40 u 80 hilos. Actualmente estos dispositivos utilizan un serial ATA (SATA), que usa un conector de cuatro cables y un conector de poder más pequeño. Y aunque usa menos cables y conectores, este proporciona un rendimiento más rápido que los dispositivos IDE con ATA paralelo. Al confgurar dispositivos IDE en paralelo, los puede conectar con el mismo cable plano. Para eso necesita confgurarlos con un jumper para que uno sea el dispositivo maestro y el otro esclavo. También se puede ocupar un cable que automáticamente confgure las unidades. Actualmente si un sistema tiene dispositivos IDE, la motherboard tendrá dos conectores IDE, permitiendo cuatro dispositivos IDE. Debido a que sólo se puede conectar un dispositivo serial ATA a un cable, no es necesario que los confgure.
www.pdftron.com Los Servidores y estaciones de trabajo de alto rendimiento usualmente utilizan dispositivos SCSI. Los SCSI típicamente ofrecen un funcionamiento y rendimiento más rápido que los dispositivos IDE, y las unidades SCSI pueden soportar un número más grande de dispositivos utilizando la misma interfaz. Los dispositivos de legado SCSI usaron conectores de 50 hilos, los más recientes usan conectores de 68 hilos si es que utilizan cable de cobre, ya que algunos SCSI soportan canal de fbra.
Al conectar unidades SCSI, cada dispositivo deberá tener un número de identifcación único SCSI ID de la cadena. Además, ambos extremos de la cadena deberán terminar con resistencias. Hoy en día, la mayoría de dispositivos son autoterminantes por lo que no se tienen que confgurar mucho.
f Introducción a los discos RAID Debido a que la mayoría de los dispositivos son mitad electrónico y mitad mecánico, se pueden conectar varias unidades a los controladores especiales para proporcionar producción de datos, fabilidad en el sistema y un mejor rendimiento. Un conjunto redundante de discos independientes (RAID redundant array of independent disks) usa dos o más unidades en combinación para crear un sistema tolerante a fallos que proteja contra desperfectos físicos al disco duro y aumente el rendimiento del mismo. Un RAID se puede complementar tanto con hardware como con software y ser utilizado generalmente en servidores en red. Existen varios niveles de RAID disponibles para su uso, basados en sus necesidades particulares. RAID 0 distribuye los datos a través de todas las unidades. Con una repartición de datos (striping), en donde todos los discos duros disponibles se combinan en un único gran sistema de archivos virtual, con los bloques del sistema de archivos dispuestos para
Administración de Almacenamiento
83
que se distribuyan de forma equilibrada en todas las unidades. Por ejemplo, si se tienen tres unidades de disco duro de 500 GB, RAID 0 prevé 1,5 TB de disco duro virtual. Cuando se almacenan archivos, estos se escriben en las tres unidades. Dado lo anterior, cuando se escribe un archivo de gran tamaño, una parte de él se puede grabar en la primera unidad, otra en la segunda unidad y otra más en la tercera y quizás otra parte de nuevo se escribe en la primera unidad para iniciar la secuencia una vez más. Desafortunadamente, con RAID 0, no hay control de paridad o tolerancia a fallos, por lo tanto, no es una verdadera forma de RAID, pues si un disco falla, se perderían todos los datos del conjunto. Sin embargo, RAID 0 tiene varias ventajas, pues ofrece un mayor rendimiento a través de un equilibrio de cargas. RAID 1, es otro RAID común que se utiliza en las computadoras conectadas en red y servidores. Es conocido a veces como un refejo de disco (mirroring). Los discos refejos copian una partición en un segundo disco duro. En concreto, la información se escribe en ambos discos duros simultáneamente. Esto signifca que si una de las unidades de disco duro falla, el equipo seguirá funcionando debido a que puede acceder al otro. Por ende, los datos se copian sin las fallas a la nueva unidad y posteriormente el disco dañado se puede remplazar. Sin embargo, otro RAID que es común es el RAID 5, esté también distribuye datos, excepto que el espacio, equivalente a una de las unidades de disco duro, se utiliza para la paridad (corrección de errores) y es tolerante a fallos. Para aumentar el rendimiento, la función de corrección de error se propaga a través de todos los discos duros de la matriz para evitar que una sola unidad de disco haga todo el trabajo en el cálculo de los bits de paridad. Por lo tanto, si un disco falla, se puede seguir trabajando, porque los cálculos de paridad se completan con los datos de las demás unidades. Más tarde, cuando la unidad se sustituye, la información faltante será reconstruida. Sin embargo, si llegaran a fallar dos unidades, se perderán todos los datos del conjunto. En términos generales, RAID 5 ofrece mejor desempeño que el RAID 1. Pero el RAID 5 requiere al menos tres unidades o preferiblemente más de tres. En el caso de que se tuvieran 3 unidades de 500GB, solamente se tendrán 2 unidades de 500 GB o 1,000 GB de espacio en disco debido a que una de las tres unidades se debe utilizar para la paridad. Del mismo modo, si se tienen 6 unidades de 500 GB, se tendrían 5 unidades de500 GB o 2,500 GB de espacio disponible en disco.
www.pdftron.com Existen dos niveles RAID que es necesario mencionar, considerados híbridos o anidados: • RAID 1+0 es un conjunto de datos espejo (RAID 1), con repartición de disco (RAID 0). Un RAID 1+0 requiere un mínimo de cuatro unidades: dos duplicadas para hacer un espejo de las unidades con repartición, además de otras dos duplicadas para la otra mitad de los datos. El conjunto de datos seguirá funcionando si una o más unidades espejo del mismo conjunto falla, pero si ambos discos fallan en los dos lados del espejo, todos los datos en el sistema RAID se perderán. • RAID 0+1 es un conjunto de repartición de datos (RAID 0), que se encuentra en espejo (RAID 1). Al igual que en RAID 1+0, RAID 0+1 requiere un mínimo de cuatro unidades: dos para contener los datos de la repartición, además de otras dos para hacer espejo en el primer par. El conjunto seguirá funcionando si una o más unidades fallan dentro de los datos de repartición. Si algunas fallan en la repartición de datos, estos se perderán. RAID se puede implementar usando hardware mediante un controlador especial integrado en la tarjeta madre o con una tarjeta de expansión. Los Servidores más caros suelen utilizar hardware RAID debido a que este software requiere procesamiento en el ordenador, mientras que el controlador se encarga del hardware. Una desventaja del hardware RAID es que por lo general requiere de más tiempo para arrancar.
84
Lección 3
RAID también puede ser implementado con el software, específcamente en sistemas operativos. Los Clientes Windows como Windows XP, Windows Vista y Windows 7 cuentan con soporte RAID 0 y RAID 1; mientras que los servidores de Windows, incluyendo Windows Server 2003 y Windows Server 2008 tienen soporte RAID 0, RAID 1 y RAID 5. Un tercer elemento, que es a veces difícil de distinguir, es el frmware/controlador RAID (a veces referido como FakeRAID o HostRAID). Con el frmware/controlador basados en RAID, se implementa en un principio el frmware para después ser adoptado por el sistema operativo cuando el controlador apropiado está cargado. Por lo tanto, el frmware/ controlador, puede proteger el proceso de arranque, lo cual no siempre sucede con el sistema operativo basado en RAID. Además, el frmware /controlador RAID suele ser mucho menos costoso que el de hardware RAID.
f Introducción a los discos de reserva (Hot Spares) Un disco de reserva es eso. Cuando los dispositivos necesitan ser tolerantes a fallas, se puede combinar discos reserva en RAID. Por lo tanto, si el dispositivo falla, el sistema puede tomar de forma automática el disco de reserva para reemplazarlo por el dispositivo con fallas y restaurar los datos perdidos. No olvide que la mayoría de los discos duros son dispositivos mitad electrónicos y mitad mecánicos. Los dispositivos mecánicos fallan mucho, ya que frecuentemente sufren desperfectos más a menudo que los dispositivos electrónicos, razón por la cual los servidores utilizan algún tipo de RAID con tolerancia a fallos.
www.pdftron.com Para tener una idea acerca de la tolerancia a fallos, un disco de reserva es un dispositivo extra en un RAID que está inactivo hasta que uno activo falla. Cuando esto sucede, el sistema reemplaza el disco que ha fallado con el de reserva y vuelve a generar el conjunto con el repuesto. (Cada vez que se tiene que reconstruir un conjunto, puede durar varias horas, especialmente en los sistemas con mucha carga de trabajo.) Un disco de reserva puede ser compartido por múltiples conjuntos RAID.
Almacenamiento Conectado a Red y Redes de Área de almacenamiento È EN RESUMEN
Para las grandes empresas, los servidores pueden conectarse a dispositivos centrales los cuales tienen gran capacidad de almacenamiento. Estos ofrecen un mejor rendimiento, una mayor tolerancia a fallos, así como una rápida recuperación. El Almacenamiento conectado a red, (network attached storage, NAS) es un dispositivo de almacenamiento de datos que está conectado a una red informática para proporcionar unidades compartidas o carpetas, mediante SMB / CIFS. Los dispositivos NAS contienen varias unidades en forma de RAID para tolerancia a fallos y se administran mediante una interfaz web. Red de área de almacenamiento (storage area network, SAN) es una arquitectura utilizada en los arreglos de discos, librerías de cintas y máquinas de discos ópticos que aparecen como unidades conectadas localmente a un servidor.
Administración de Almacenamiento
85
SAN siempre utiliza algún tipo de RAID y otras tecnologías para que el sistema sea redundante contra fallas y ofrecer un alto rendimiento. SAN también suele contener discos de reserva. Para proporcionar un alto nivel de rendimiento de datos, utiliza el protocolo SCSI y una interfaz ISCSI o canal de fbra. Aunque SAN ofrece rendimiento y redundancia de redes, también hay otras ventajas a considerar. Por ejemplo, debido a que se designan zonas de almacenamiento dentro de la SAN y estas se asignan a servidores, si tiene problemas con un servidor en particular, puede rápidamente y fácilmente mover las áreas de almacenamiento a otro servidor. Algunos SAN también ofrecen una copia instantánea de volumen (snapshotting). Cuando tenga que instalar o actualizar un componente dentro de un servidor, primero se puede tomar una copia instantánea (snapshot), que es una imagen temporal del momento en que se realizó la instantánea. A continuación, puede realizar cambios o actualizaciones en el servidor. Si más adelante tiene un problema, puede retroceder la instantánea y continuar con las cosas como estaban antes de hacer los cambios. Retroceder a su estado anterior puede durar unos minutos. Algunos SAN ofrecen clonación de volumen. La clonación de volumen (volumen cloning) permite copiar una zona de almacenamiento a en una SAN o para otra SAN. Esto le permite crear rápidamente un entorno de prueba o duplicar uno existente. También puede establecer la replicación de almacenamiento SAN entre unidades, aunque las mismas se encuentren en lugares diferentes.
www.pdftron.com Un controlador de host, conocido como host bus adapter (HBA), se conecta a sistema principal (host system), como el ordenador a de una red o a un dispositivo de almacenamiento. Se usa principalmente para referirse a la conexión SCSI, canal de fbra y dispositivos eSATA; sin embargo, los dispositivos para la conexión a IDE, Ethernet, FireWire, USB y otros sistemas también pueden ser llamados controladores de host. Actualmente, un controlador de host (HBA) se utiliza más a menudo para referirse a una tarjeta de interfaz de canal de fbra.
Número de unidad lógica (normalmente denominado LUN del inglés logical unit number) permite a una SAN romper su almacenamiento en piezas manejables, que luego son asignados a uno o más servidores en la red. Es una referencia lógica que puede abarcar un disco, una sección de un disco, un conjunto de discos enteros, o una sección de un conjunto de discos. LUN sirve como un identifcador lógico que permiten asignar privilegios de acceso y control. Si un LUN no está asignado a un determinado servidor, ese no lo podrá ver ni tener acceso al mismo. Sólo necesita identifcar el servidor o el clúster que tendrá acceso al LUN y seleccionar los puertos HBA, identifcados en la SAN por su nombre a nivel mundial (World Wide name) en el servidor o clúster, que se utilizará para el tráfco del LUN.
f Introducción al canal de fibra El cableado con fbra óptica ofrece un mayor ancho de banda y se puede utilizar en distancias más largas que el de cobre ya que las señales viajan con menos pérdidas y son inmunes a las interferencias electromagnéticas. Por lo cual, los sistemas de almacenamiento suelen utilizar cableado de fbra. El Canal de fbra (FC del inglés fbre channel) es una tecnología con una velocidad de un gigabyte que se utiliza principalmente para la creación de redes de almacenamiento. Usa un protocolo de canal de fbra (FCP) como su protocolo de transporte, que permite comandos SCSI que serán transmitidos a través de dicho canal.
86
Lección 3
La topología de la red o el diseño utilizado en el canal de fbra se le conoce como fabric, en el que los que los dispositivos están conectados entre sí a través de una o más rutas de datos. Para proporcionar redundancia y un rendimiento más rápido, un canal de fbra utiliza uno o más conmutadores, permitiendo a los servidores y dispositivos de almacenamiento enlazarse entre sí mismos a través de conexiones virtuales punto a punto. Cuando se comunica un host o dispositivo con otro, el fabric enruta los datos desde la fuente hasta el destino. Un puerto, al igual que en un conmutador de red, se comunica a través de esta usualmente implementado en un dispositivo como un disco de almacenamiento, un HBA en un servidor o un conmutador de canal de fbra. Existen tres excelentes topologías de canal de fbra que describen en que tantos puertos están conectados entre sí: • Point-to-Point (P2P-FC): Esta es la topología más simple, en el cual dos dispositivos están conectados el uno con el otro. • Arbitrated loop (FC-AL): Aquí, todos los dispositivos están conectados en un bucle o anillo, similar a una red token ring. Por desgracia, agregar o quitar un elemento del anillo causa interrupción de la comunicación, así como el fallo de uno de los dispositivos, lo que provoca una ruptura en el mismo. Algunos hubs pueden eludir los dispositivos con errores. • Switched fabric (FC-SW): En esta topología, todos los dispositivos o bucles están conectados a conmutadores de canal de fbra, similar a lo que se encuentra en la redes Ethernet actual. Los conmutadores administran el estado de los fabric para proporcionar conexiones optimizadas. En un FC-SW, los medios de comunicación no se comparten. Por lo tanto, cualquier dispositivo que se comunica con otro lo hace a la velocidad del bus completo, independientemente de si otros dispositivos y hosts también se comunican. Una ventaja de FC-SW es que la falla de un puerto aislado no afecta el funcionamiento de otros.
www.pdftron.com El canal de fbra e iSCSI fabric incluyen uno o más nombres de servicio de almacenamiento de internet (iSNS) que proveen a los servidores de detectabilidad y recursos de particionamiento. Cuando un host o dispositivo está encendido, se inicia una sesión fabric y se le asigna una dirección fabric única. Además, cuando se comunica un host o dispositivo con otro, se establece una conexión con ese antes de transmitir los datos. El conmutador entonces enruta los paquetes en el fabric.
Cada dispositivo incluido en el controlador de host de bus se le llama nodo. Al igual que una MAC address utilizada en tarjetas de interfaz de red, cada nodo tiene un arreglo de 64 bits de nombre a nivel mundial (WWN) asignado por el fabricante y registrado en la IEEE para asegurarse de que es la única a nivel mundial. También similar a un servidor, cada nodo puede tener varios puertos, cada uno con un nombre de puerto único de 64 bits y un identifcador de 24 bits. Para hacer más manejable el almacenamiento, el canal de fbra utiliza zonifcación y zonifcación LUN. Que es un método para restringir la comunicación entre los puertos o WWN.
f Introducción a iSCSI Internet Small Computing System Interface o iSCSI es un Protocolo de Internet para el almacenamiento en red basado en el estándar IP, que enlaza servicios de almacenamiento de datos. El iSCSI permite a los clientes enviar comandos SCSI sobre una red TCP /IP usando el puerto TCP 3260. Al igual que el canal de fbra, iSCSI puede comunicarse usando Gigabit Ethernet o fbra y conectar una SAN para múltiples servidores a distancia.
Administración de Almacenamiento
87
Aunque iSCSI utiliza tecnologías de normales de red para comunicarse, el adaptador de red debe ser dedicado a iSCSI. Esto signifca que los servidores normalmente necesitan por lo menos dos conjuntos de tarjetas de redes, una para iSCSI y otra para la conexión en red. Sin embargo, al igual que las conexiones de red, cada iniciador iSCSI (initiator) puede tener uno o más adaptadores a través de los cuales establece la comunicación para ofrecer mayor ancho de banda y redundancia. El software iSCSI puede ser integrado en el adaptador de host iSCSI o HBA, lo que permite un mayor rendimiento para el servidor. Después de que SAN permite acceso, iSCSI emula una sesión de un disco duro para que el servidor LUN lo trate como cualquier otro. Al igual que un canal de fbra, puede defnir qué servidores se comunican entre LUN y qué tipo de comunicación es permitida. El iniciador iSCSI encuentra dispositivos de almacenamiento a través del uso del Internet Storage Name Service (iSNS). Este protocolo proporciona tanto nombres y servicios de detección de recursos para cada dispositivos de almacenamiento en la red IP. En particular, iSCSI utiliza la siguiente información para conectarse a la SAN: • • • •
Nombre de host o dirección IP Número de puerto (por defecto es el 3260) Nombre iSCSI (por ejemplo, “iqn.2003-01.com.ibm: 00.fcd0ab21.shark128”) Contraseña opcional CHAP
El nombre iSCSI seguirá uno de los siguientes formatos:
www.pdftron.com • Nombre Calificado iSCSI (IQN): IQN sigue el formato iqn.yyyy- mm {nombre de dominio invertido} formato. (Por ejemplo, iqn.2001-04.com.acme:storage. tape.sys1.xyz) direcciones IQN son el formato más común. • Identificación único extendido (EUI): EUI sigue el formato eui {dirección EUI de 64 bits}. (Por ejemplo, eui.02004567A425678D.) La Autoridad de Registro de la IEEE proporciona la EUI de conformidad con el estándar EUI-64. • T11 Autoridad de direcciones de red (NAA): NAA sigue el naa {ANA 64 o 128 bits} identifcador. (Por ejemplo, naa.52004567BA64678D.) NAA es parte OUI, que es proporcionada por la Autoridad de Registro de IEEE. Los formatos de nombre NAA se agregaron a iSCSI en el RFC 3980 para proporcionar compatibilidad con las convenciones de nomenclatura utilizada en canal de fbra y las tecnologías de almacenamiento SAS.
Sofware iSCSI Initiator Microsoft Windows Server 2008 incluye dos interfaces del software iSCSI Iniciator para conectar una conjunto de almacenamiento iSCSI o el volumen de un conjunto de almacenamiento a un servidor y montar el conjunto como un volumen local. Estas interfaces son las siguientes: • iSCSI Initiator ( localizado en Herramientas Administrativas dentro del Panel de Control) • Comando de interfaz iSCSICLI Al abrir el programa iSCSI Initiator, podrá ver las seis fchas siguientes: • Destinos: Especifca a qué dispositivos de almacenamiento tiene acceso el servidor y le permite conectarse a los mismos. • Descubrimiento: Especifca la ubicación de la SAN y servidores de Internet Storage Name Service (iSNS)
88
Lección 3
• Destinos Favoritos: Especifca cuales objetivos se reconectarán cada vez que se inicia el equipo. • Volúmenes y dispositivos: Muestra los volúmenes y los dispositivos que se conectan al servidor y le permite enlazar o conectar un dispositivo iSCSI a un volumen. • RADIUS: Especifca un servidor RADIUS para conectarse para la autenticación. • Configuración: Le permite confgurar la confguración global que afectarán cualquier conexión futura realizada con el iniciador. Vea la fgura 3-1. Figura 3-1 iSCS Initiator incluido con Windows Server 2008 R2
www.pdftron.com Æ Cómo conectarse a un arreglo iSCSI PREPÁRESE. Para conectarse a un dispositivo de destino iSCSI mediante la Conexión rápida: 1. Seleccione Inicio, escriba iSCSI en Iniciar Búsqueda y a continuación en Programas, haga clic en iSCS Initiator. 2. Si la página de UAC aparece, haga clic en Continuar. 3. Si esta es la primera vez que se ha puesto en marcha el iSCS Initiator de Microsoft, recibirá un mensaje diciéndole que el servicio iSCSI de Microsoft no se está ejecutando. Deberá iniciar el servicio de iSCS Initiator de Microsoft para que funcione correctamente. Haga clic en Sí para iniciar el servicio. Se abrirá el cuadro de diálogo de Propiedades del iSCS Initiator Microsoft y se mostrará la ficha Objetivos.
Administración de Almacenamiento
89
4. En la ficha Objetivos, escriba el nombre o la dirección IP del dispositivo de destino en el cuadro de texto de Conexión Rápida y en seguida haga clic en él. Se mostrará el cuadro de diálogo de la conexión rápida. 5. Si los objetivos múltiples están disponibles en el portal de destino que se especifica, aparecerá una lista de ellos. Haga clic en el destino deseado y a continuación, seleccione Conectar. 6. Haga clic en Hecho.
iSCSICLI iSCSICLI es una herramienta de línea de comandos adecuada para la descripción del servicio del Microsoft iSCSI initiator. Aunque algunos de los comandos pueden ser largos y complejos, le permiten acceder a todas las características de iSCSI. Algunas de las funciones son: • iSCSICLI AddTarget: Crea una conexión a un volumen o dispositivo. • iSCSICLI AddPersistentDevices: Hace un dispositivo iSCSI persistente. • iSCSICLI RemovePersistentDevices: Evita la re-conexión a un volumen especifcado. • iSCSICLI ClearPersistentDevices: Elimina todos los volúmenes y dispositivos de la lista de dispositivos persistentes.
www.pdftron.com f Explorador de Almacenamiento y el Administrador de Almacenamiento
Windows Server 2008 incluye un Explorador y un Administrador de Almacenamiento en SAN para administrar el canal de fbra, iSCSI fabrics y LUN.
El explorador de almacenamiento le permite gestionar y visualizar el Canal de Fibra y el iSCSI fabrics que están disponibles en su SAN, también puede mostrar información detallada acerca de los servidores conectados a la SAN, así como componentes en los fabrics, como controladores de host (HBA), conmutadores de canal de fbra e iniciadores iSCSI y destinos. Vea la fgura 3-2.
Figura 3-2 Explorador de almacenamiento
90
Lección 3
El Administrador de almacenamiento para SAN es una característica de Windows Server 2008 que permite crear y administrar LUN en Canal de Fibra y subsistemas de almacenamiento en disco iSCSI que soportan Virtual Disk Service (VDS) mediante el Asistente para aprovisionar almacenamiento. También puede usar el Administrador de almacenamiento para SAN y asignar un LUN a un servidor o un clúster utilizando el asistente de Asignación del mismo. Para iniciar el asistente de Asignación, haga clic en Administración de LUN en el Administrador de almacenamiento, a continuación, seleccione el que desea asignar en el panel de resultados. Por último, dé clic en Asignación de LUN en el panel Acciones.
La estructura de disco È EN RESUMEN
Antes de utilizar un disco, lo debe preparar para su uso mediante la creación de particiones o volúmenes y el formato del disco. Cuando desea utilizar un disco en Windows, tiene varias opciones a realizar: • • • •
Estilos de particionamiento de disco Tipo de disco Tipo de volumen Sistema de archivos
www.pdftron.com El particionamiento es la defnición y división de un disco físico o virtual en volúmenes lógicos llamados particiones. Cada partición funciona como una unidad de disco independiente, a la que se puede asignar una letra de unidad. Para realizar un seguimiento de cómo se divide un disco, este utiliza una tabla de particiones. Formatear un disco prepara el volumen del sistema de archivos mediante la creación de una tabla de asignación de archivos para realizar un seguimiento de los archivos y carpetas en el volumen.
f Introducción a los Estilos de Particionamiento de Disco El Estilo de particionamiento se refere al método que utiliza Windows para organizar las particiones en un disco. Windows Server 2008 admite dos tipos de estilos de partición del disco: • Master Boot Record (MBR): Este es el estilo de partición tradicional que ha existido desde DOS, así como para todas las versiones de Windows. MBR soporta particiones de hasta 2 terabytes (TB) y permite hasta 4 particiones primarias por disco. Cada partición puede contener un sistema operativo booteable. Aunque no se utiliza tanto como en el pasado, también se pueden crear tres particiones primarias y una partición extendida. La partición extendida puede abarcar un número ilimitado de unidades lógicas. • Tabla de particiones GUID (GPT): Este es un estilo de partición más reciente que soporta hasta 18 exabtyes (EB) o 18 mil millones de gygabytes y puede almacenar hasta 128 particiones en cada disco. Además, esta modalidad es más tolerante a errores, ya que almacena un duplicado de las tablas de particiones.
Administración de Almacenamiento
91
f Comparación de Tipos de Discos La mayoría de las versiones de servidores de Windows -incluyendo Windows Server 2008- admiten dos tipos de almacenamiento en disco duro: básicos y dinámicos. Los discos básicos son del tipo tradicional, mientras que los discos dinámicos ofrecen RAID basado en software y la capacidad de cambiar el tamaño de los volúmenes sin necesidad de reiniciar. ; Listo para la certificación ¿Cuáles son las diferencias entre discos básicos y dinámicos? –4.3
En Windows Server 2008, un disco básico es del mismo tipo que se encuentra en las versiones anteriores de Windows. Cuando se utilizaba el MBR, los básicos daban cuatro particiones primarias o tres particiones primarias y una extendida. La tabla de particiones y el registro de arranque maestro se encuentran en el primer sector de cada disco duro. Los discos dinámicos fueron creados para aumentar la fexibilidad. En lugar de una tabla de particiones que se encuentran en un disco básico, uno dinámico utiliza de base de datos del Logical Disk Manager (LDR) para almacenar información sobre el disco básico. Debido a que utiliza LRD, se puede dividir en dos mil volúmenes separados. Sin embargo, debe limitar el número de volúmenes a 32 para permitir que el sistema reinicie en un plazo razonable de tiempo. Los discos dinámicos están destinados a eso missmo, lo que signifca que pueden ampliar o reducir el tamaño del disco sin tener que reiniciar el sistema. Además, por ser dinámicos soportan cinco tipos de volúmenes: • Volumen simple: Consta de un espacio en un solo disco físico. Esta puede ser un área única de un disco o de varias regiones del mismo disco. • Volumen distribuido: Consta de espacio en disco de más de un disco físico. Puede agregar más espacio a un volumen distribuido, extendiéndolo en cualquier momento. También puede crear volúmenes distribuidos, pero necesita al menos dos discos dinámicos para hacer un volumen distribuido. Puede extender un volumen distribuido en un máximo de 32 discos dinámicos, sin embargo, los volúmenes distribuidos no se pueden hacer dinámicos o refejados y no son tolerantes a fallos. • Volumen seccionado: (RAID 0) almacena los datos en secciones de dos o más discos físicos. Los datos en el volumen seccionado se asignan de forma alternativa y equitativa (en secciones) entre cada uno de los discos contenidos en el volumen seccionado. Estos pueden mejorar sustancialmente la velocidad de acceso a datos. Sin embargo, no son tolerantes a fallos. Necesita al menos dos discos físicos dinámicos para crear un volumen seccionado, y se puede extender a un máximo de 32 discos. Si necesita hacer un volumen seccionado mayor mediante la adición de otro disco, primero debe eliminar el volumen y a continuación volver a crearlo. • Volumen refejado: Utiliza volúmenes almacenados en dos discos físicos separados para “refejar” (escritura) los datos en ambos discos simultáneamente y de forma redundante. Esta confguración se conoce como RAID 1. Si uno de los discos en la confguración refejada falla, Windows Server 2008 escribirá un evento en el registro del sistema del Visor de Eventos. El sistema seguirá funcionando con normalidad hasta que el disco se sustituya. • Volumen RAID-5: Un volumen RAID-5 es una forma de RAID (creación de bandas con paridad) que utiliza un mínimo de tres discos (y un máximo de 32 discos) para crear una unidad con tolerancia a errores entre ellas. Aquí, si falla una, el sistema seguirá trabajando normalmente hasta que se sustituya.
www.pdftron.com Puede crear volúmenes refejados y RAID-5 sólo en discos dinámicos que se ejecutan en Windows Server 2008, Windows Server 2003 o Windows Server 2000. Los Volúmenes refejados y RAID-5 se consideran tolerantes a fallos debido a que estas confguraciones pueden soportar un desperfecto de un solo disco y seguir funcionando normalmente. Los volúmenes refejados y RAID-5 requieren la misma cantidad de espacio en disco disponible en cada uno que sea parte de estos volúmenes. Como se mencionó anteriormente, en un
92
Lección 3
volumen refejado se deben usar dos discos físicos, y un volumen RAID-5 debe utilizar al menos tres, pero no más de 32 discos duros físicos. Muchos administradores de red y consultores están de acuerdo en que las soluciones tolerantes a fallos basados en hardware son más robustas y fables que las confguraciones tolerantes a fallos basados en software. Mediante la instalación de una o más tarjetas adaptadoras de controladores RAID en un servidor, puede confgurar varios niveles diferentes de tolerancia a fallos de hardware, tales como refejado, RAID 5, RAID 1+0 (volúmenes refejados que forman parte de un conjunto re-particionado), y RAID 0 +1 (volúmenes re-particionados que forman parte de un conjunto refejado). Cuando utiliza hardware RAID, puede conservar los discos básicos o los puede convertir en discos dinámicos; el hardware RAID está oculto de Windows Server 2008. Por supuesto, es menos costoso implementar una solución de software, que colocar un volumen refejado o RAID-5 mediante la consola Administración de discos en Windows Server 2008, pero a menudo el rendimiento, la fabilidad y la fexibilidad de RAID basado en hardware es mucho mejor que su costo extra.
f Introducción al sistema de archivos Un sistema de archivos es un método de almacenamiento y organización los archivos y los datos que contienen para que sea fácil de encontrar y acceder a esta. También mantiene la ubicación física de los archivos, para su localización y acceso en el futuro. Windows Server 2008 es compatible con sistemas de archivo FAT16, FAT32 y NTFS en discos duros.
www.pdftron.com Después de particionar un disco, lo siguiente es formatear el disco. En particular, se puede dar formato en el disco con FAT16, FAT32 o NTFS. De estas tres opciones, NTFS es el sistema de archivos preferido para su uso en los sistemas operativos Windows.
FAT16, A veces se denomina genéricamente como Tabla de asignación de archivos (File Allocation Table, FAT), Es un sistema simple de archivos que utiliza un mínimo de memoria y que incluso se utilizó en DOS. Originalmente, FAT16 apoyó el esquema de nombres 8.3, que permite hasta 8 caracteres de nombre de archivo y un nombre de archivo de 3 caracteres de extensión. Posteriormente, se corrigió para que soportara un nombre de archivo más largo. Por desgracia, FAT sólo admite volúmenes de hasta 2 GB.
FAT32 fue liberado con la segunda versión de Windows 95. Aunque este sistema de archivos puede soportar discos más grandes, las versiones actuales de Windows soportan volúmenes de hasta 32 GB. FAT32 también es compatible con nombres largos de archivo. Como se mencionó anteriormente, el NTFS (New Technology File System) es el sistema de archivos preferido, en gran parte debido a que es compatible con un disco duro de más capacidad (hasta 16 exabytes) y nombres de archivo largos. Además, NTFS es más tolerante a fallos que los sistemas de archivos anteriores utilizados en Windows, ya que utiliza un registro (journaling) para asegurarse de que las operaciones de disco están escritas correctamente antes de que puedan ser reconocidas. Por último, NTFS ofrece mejor seguridad a través de los permisos y encriptado.
Administración de Almacenamiento
93
Herramientas de la Administración de Discos È EN RESUMEN
La herramienta principal de Administración de Discos en Windows Server 2008 es el complemento MMC (snapins) llamado Administración de Discos, que también forma parte de la consola de Administración y mi Equipo. Además, puede utilizar diskpart.exe y el comando Format para particionar y dar formato a una unidad, así como el Explorador de Windows. Administración de discos es una utilidad de sistema para gestionar discos duros y los volúmenes o particiones que contienen. Con Administración de discos, puede inicializar discos, crear volúmenes y formatearlos con los sistemas de archivos FAT16, FAT32 o NTFS. Vea la fgura 3-3. Figura 3-3 Administración de Discos snap-in
www.pdftron.com Cada vez que se agrega un nuevo disco (ya sea un disco duro o una unidad virtual, como por ejemplo un SAN) a un sistema de servidor de Windows 2008, es necesario abrir Administración de Discos e inicializar el disco.
Æ Inicializar un disco nuevo PREPÁRESE. Para inicializar discos nuevos: 1. Haga clic derecho en el disco que desee iniciar y a continuación haga clic en Inicializar disco. 2. En el cuadro de diálogo Inicializar disco, seleccione el disco(s). Puede optar por usar el estilo de partición Master Boot Record o una tabla de particiones GUID (GPT). Vea la figura 3-4. Haga clic en Aceptar.
94
Lección 3
Figura 3-4 Inicialización de un disco
Si el disco que desea inicializar no aparece, es posible que tenga que hacer clic derecho en Administración de Discos y seleccionar Actualizar o Volver a examinar los discos. Si el disco sigue sin aparecer, es preciso asegurarse de que está correctamente conectado y funcionando.
www.pdftron.com Los discos nuevos se iniciarán automáticamente como discos básicos. Para convertir uno básico en uno dinámico, debe haber por lo menos 1 MB de espacio sin asignarlo. La Administración de Discos reserva automáticamente este espacio al crear particiones o volúmenes en un disco.
Æ Convertir un Disco Básico en un Disco Dinámico
PREPÁRESE. Para convertir un disco básico en un disco dinámico desde la consola de Administración de Discos, realice los pasos siguientes: 1. Abra el complemento Administración de Discos. 2. Haga clic Derecho en el disco básico que desee convertir y a continuación en Convertir en Disco Dinámico. Haga clic en Aceptar. Vea la figura 3-5.
Administración de Almacenamiento
95
Figura 3-5 Convertir un disco básico en un disco dinámico
Al convertir un disco básico en uno dinámico, las particiones existentes o las unidades lógicas del disco básico se convierten en volúmenes simples en el disco dinámico.
www.pdftron.com Después de convertir un disco, no se puede cambiar el volumen dinámico a básico. Para ello, debe eliminar todos los volúmenes dinámicos del disco y luego usar el comando Convertir A Disco Básico. Si desea mantener sus datos, debe realizar una copia de seguridad de ellos o moverlos a otro volumen.
Æ Crear o Eliminar una Partición o una Unidad Lógica
PREPÁRESE. Para crear o eliminar una partición o unidad lógica, haga lo siguiente: 1. Abra la consola Administración de Discos. 2. Realice una de las siguientes opciones: •
Haga clic en una región sin asignar un disco básico y después en Nueva Partición.
•
Haga clic en un área de espacio libre en una partición extendida y haga clic en Unidad Lógica Nueva.
•
Haga clic en una partición o unidad lógica y seleccione Eliminar Partición para borrarla. Haga clic en Sí para confirmar la eliminación.
3. Cuando elije crear una nueva partición o unidad lógica, aparecerá el Asistente para Partición Nueva. Haga clic en Siguiente para continuar. 4. Especifique el tamaño del volumen y haga clic en Siguiente. Vea la figura 3-6.
96
Lección 3
Figura 3-6 Especificación del tamaño de un volumen
5. Asigne una letra a la unidad o monte el volumen en una carpeta NTFS vacía y haga clic en Siguiente. Vea la Figura 3-7.
www.pdftron.com Figura 3-7
Asignación de una letra de unidad a un nuevo volumen
6. Especifique el sistema de archivo, el tamaño de unidad de asignación y la etiqueta de volumen. También puede realizar un formato rápido y habilitar la compresión de archivos y carpetas, si así lo desea. Haga clic en Siguiente. Vea la figura 3-8.
Administración de Almacenamiento
97
Figura 3-8 Formatear un volumen
7. Cuando el asistente haya finalizado, haga clic en Finalizar.
www.pdftron.com Para los discos básicos, primero debe crear una partición extendida antes de poder crear una unidad lógica nueva, si no hay una partición extendida existente.
Si elige eliminar una partición o unidad lógica, se perderán a menos que previamente haya realizado una copia de seguridad. Además, no puede eliminar la partición del sistema, de arranque o cualquier partición que contenga un archivo de paginación activa. Windows Server 2008 requiere que elimine todas las unidades lógicas y cualquier otra partición a la que no se les ha asignado una letra de unidad dentro de una partición extendida antes de eliminarla.
Æ Extender un volumen Simple o Distribuido PREPÁRESE. Para extender un volumen simple o distribuido, realice los siguientes pasos: 1. Abra Administración de Discos. 2. Haga clic con el botón derecho en el volumen simple o distribuido que desea extender, y luego seleccione Extender Volumen. 3. Especifique el disco disponible y el tamaño al que desea extender. Haga clic en Siguiente. Vea la figura 3-9.
98
Lección 3
Figura 3-9 Extensión de un volumen
4. Cuando el asistente haya finalizado, haga clic en Finalizar.
www.pdftron.com Æ Crear un Nuevo Volumen Reflejado Vacío
PREPÁRESE. Para crear un nuevo volumen reflejado vacío con espacio no asignado, siga estos pasos: 1. Abra Administración de Discos.
2. Haga clic derecho en un espacio de área sin espacio asignado en un disco dinámico y seleccione Nuevo Volumen.
3. Haga clic en Siguiente en la ventana de bienvenida para el Asistente de Nuevo Volumen. 4. Haga clic en Reflejado como la opción de tipo de volumen y después en Siguiente. 5. Seleccione uno de los discos dinámicos disponibles y haga clic en Agregar.
6. Ingrese la cantidad de espacio de almacenamiento que será utilizado (en MB) para este volumen reflejado, tiene hasta un máximo de espacio disponible en el primer disco que ha seleccionado y a continuación haga clic en Siguiente. 7. Asigne al nuevo volumen una letra de unidad, monte el volumen en una carpeta vacía NTFS, o puede optar por no asignar una letra de unidad o ruta de acceso, haga clic en Siguiente. 8. Seleccione si desea formatear el nuevo volumen reflejado. Si elige formatear el nuevo volumen, debe hacer lo siguiente: •
Especificar el sistema de archivos. (NTFS es la única opción para volúmenes dinámicos en la consola Administración de Discos.)
•
Especifique el tamaño de la unidad de asignación.
•
Especifique la etiqueta de volumen.
•
Marque la casilla de verificación para Realizar Un Formateo Rápido (si se desea).
•
Marque la casilla de verificación Habilitar Compresión De Archivos Y Carpetas (si se desea).
Administración de Almacenamiento
99
9. Haga clic en Siguiente para continuar. 10. Haga clic en Finalizar para completar el Asistente para Volumen Nuevo.
Æ Crear un Volumen reflejado desde un Volumen de arranque o de sistema PREPÁRESE. Para crear un volumen reflejado desde uno de arranque o de sistema, o para crear un volumen reflejado en uno existente que ya contiene datos, realice los siguientes pasos: 1. Abra Administración de Discos. 2. Haga clic derecho en un volumen dinámico existente y seleccione Agregar espejo. 3. Seleccione uno de los discos dinámicos disponibles en los que desea crear el volumen redundante y haga clic en Agregar Espejo.
Puede detener la creación de un volumen refejado quitando o dividiendo el espejo. Cuando se rompe un volumen refejado, cada uno de estos hace que el espejo se convierta en un volumen simple independiente y que no sean tolerantes a fallos. Cuando se quita un volumen refejado, el retirado se convierte en espacio no asignado en su disco, mientras que el volumen refejado restante se convierte en simple que ya no es tolerante a fallos. Todos los datos que fueron almacenados en el volumen refejado eliminado se borrarán.
www.pdftron.com Æ Dividir un Volumen reflejado
PREPÁRESE. Para dividir un volumen reflejado, realice los siguientes pasos: 1. Abra Administración de Discos.
2. Haga clic derecho en uno de los volúmenes duplicados que desea romper y seleccione Dividir Volumen Reflejado. 3. Haga clic en Sí en el cuadro de mensaje de Romper Volumen Reflejado.
Si desea destruir por completo uno de los volúmenes refejados y dejar sólo uno intacto, es necesario realizar un procedimiento de remoción en lugar de simplemente romper el volumen refejado.
Æ Quitar un Volumen reflejado PREPÁRESE. Para eliminar un volumen reflejado, realice los siguientes pasos: 1. Abra Administración de Discos. 2. Haga clic derecho en un volumen reflejado y a continuación seleccione Quitar Espejo. 3. En el cuadro de diálogo Eliminar Espejo, seleccione el disco desde el que desea borrar por completo el volumen reflejado y convertirlo en espacio no asignado. El volumen restante se quedará, con todos sus datos intactos como un volumen simple. 4. Haga clic en Quitar Espejo. 5. Haga clic en Sí para confirmar la acción de remoción en el cuadro de mensaje que aparece en Administración de Discos.
100
Lección 3
Æ Crear un Volumen seccionado PREPÁRESE. Para crear un volumen seccionado desde el espacio no asignado, siga estos pasos: 1. Haga clic derecho en un área de espacio no asignado y seleccione Nuevo Volumen Seccionado. 2. Cuando aparezca la pantalla de Bienvenida, haga clic en Siguiente. 3. Seleccione el disco restante y haga clic en Agregar. A continuación haga clic en Siguiente. 4. Asigne la unidad F y haga clic en Siguiente. 5. Cuando se le pregunte si desea formatear el volumen, haga clic en Siguiente. 6. Cuando el asistente haya finalizado haga clic en Finalizar.
Æ Crear un Volumen RAID-5 PREPÁRESE. Para crear un volumen RAID-5 usando la Administración de Discos, realice los siguientes pasos: 1. Abra la Administración de Discos. Asegúrese de que el equipo tiene tres o más discos dinámicos, cada uno con espacio no asignado.
www.pdftron.com 2. Haga clic derecho en un área de espacio no asignado en uno de los discos dinámicos que desea utilizar para el volumen RAID-5 a continuación, seleccione Nuevo Volumen. 3. Haga clic en Siguiente en la ventana de bienvenida Asistente para Nuevo Volumen. 4. Seleccione RAID-5 en el botón de opción y haga clic en Siguiente.
5. Seleccione cada disco disponible que desee utilizar como volumen RAID-5 dentro del cuadro de lista disponible y haga clic en Agregar para cada uno de ellos. Debe seleccionar al menos tres discos y no más de 32.
6. Seleccione los discos que no desea utilizar como parte del Volumen RAID-5 en el cuadro de la lista seleccionado y haga clic en Quitar. 7. Ingrese la capacidad de almacenamiento que desee para el volumen RAID-5 en el cuadro Seleccione La Cantidad De Espacio, a continuación, haga clic en Siguiente para continuar. 8. Asigne una letra de unidad al volumen, para montarlo en una carpeta NTFS vacía, o para no asignar una letra de unidad o ruta de acceso al nuevo volumen RAID-5 y haga clic en Siguiente. 9. Seleccione si desea formatear el nuevo volumen RAID-5. Si elige formatear el volumen, debe hacer lo siguiente: •
Especificar el sistema de archivos. (NTFS es la única opción para volúmenes dinámicos en la consola Administración de discos).
•
Especifique el tamaño de la unidad de asignación.
•
Especifique la etiqueta de volumen.
•
Marque la casilla de verificación para realizar un formateo rápido (si se desea).
•
Marque la casilla de verificación Habilitar Compresión de Archivos y Carpetas (si se desea).
Administración de Almacenamiento
101
10. Haga clic en Siguiente para continuar. 11. Haga clic en Finalizar para completar el Asistente para Volumen Nuevo.
Si un disco dentro de un volumen RAID-5 tiene fallas intermitentes, puede intentar reactivarlo dando clic con el botón derecho del ratón en el disco y seleccionando Reactivar disco. Además, si un disco dentro de un volumen RAID-5 parece haber fallado de forma permanente, puede reemplazar el disco que ha fallado con otro disco dinámico conectado a la computadora, o puede instalar uno nuevo. Para regenerar el volumen RAID-5, haga clic en el volumen RAID-5 en el disco que ha fallado y seleccione Reparar volumen. El disco de reemplazo debe contener al menos el espacio utilizado no asignado en el disco que ha fallado. Para formatear un disco, puede hacer clic en el volumen en Administración de discos y seleccione Formatear. También puede hacer clic en la unidad en el Explorador de Windows y seleccionar Formato. A continuación, puede especifcar la etiqueta de volumen, el sistema de archivos, y el tamaño de la unidad de asignación (el espacio más pequeño asignado a un archivo). También puede realizar un formato rápido, el cual sólo vaciará la tabla FAT y puede habilitar la compresión de archivos y carpetas. Al preparar un volumen en Windows, puede asignar una letra de unidad al nuevo volumen, o puede crear un punto de montaje como una carpeta NTFS vacía. La letras disponibles para las unidades van desde la unidad C hasta la unidad Z (es decir, hay 24 letras de unidades diferentes). Las unidades A y B están reservadas para unidades de disquete. Para asignar o cambiar una letra de unidad para un volumen, haga clic derecho en el volumen en la consola Administración de discos y seleccione Cambiar letras de unidad y ruta de acceso. A continuación, haga clic en el botón Agregar o Cambiar.
www.pdftron.com Mediante el uso de puntos de montaje de volumen, puede insertar o montar una partición de destino en una carpeta en otra unidad. El montaje se maneja de forma transparente para el usuario y aplicaciones. Con las características de montado de un volumen NTFS, se puede superar la limitación de 26 letras de unidad.
Æ Asigne una Ruta de Carpeta de punto de montaje PREPÁRESE. Para asignar una Ruta de Carpeta de punto de montaje a una unidad utilizando la interfaz de Windows, siga estos pasos: 1. En Administración de discos, haga clic derecho en la partición o en el volumen que desee de punto de montaje en la ruta de la carpeta, a continuación, seleccione Cambiar la letra y rutas de acceso de unidad. 2. Para asignar una ruta de carpeta de punto de montaje, elija Agregar. Haga clic en Montar en las siguientes carpetas vacías NTFS, escriba la ruta de una carpeta vacía en un volumen NTFS o seleccione Examinar para buscar la carpeta.
102
Lección 3
Resumen de Habilidades En esta lección aprendió: • En la actualidad los discos son dispositivos IDE (la mayoría en las computadoras de los consumidores) o dispositivos SCSI (la mayoría en servidores). • Un disco RAID (redundant array of independent disks) usa dos o más unidades en combinación para crear un sistema tolerante a fallos que protege el disco duro contra desperfectos físicos e incrementa el rendimiento del mismo. • Con el seccionado (RAID 0), todas las unidades de disco duro disponible se combinan en un único gran sistema de archivos virtual, con los bloques del sistema de archivos dispuestos para que se distribuyan de forma equilibrada en todas las unidades. Desafortunadamente, el seccionado de datos no ofrece tolerancia a fallos. • Con el refejo de disco (RAID 1) se copia un disco o una partición en un segundo disco duro. Luego, al escribir la información, lo hace simultáneamente en ambos. • RAID 5 es similar al seccionado de datos, salvo que una de las unidades de disco duro se utiliza para la paridad (corrección de errores) y así ofrecer tolerancia a fallos. • RAID 1+0 es un conjunto de datos refejados (RAID 1), el cual es entonces seccionado (RAID 0). • Cuando una unidad falla, algunos sistemas usan discos de reserva (hot spares) para que automáticamente el sistema reemplace la unidad que ha fallado y reconstruya o restaure los datos perdidos. • El almacenamiento conectado a red (NAS) es un dispositivo de almacenamiento a nivel de archivo de datos que está conectado a una red de computadoras para proporcionar unidades o carpetas compartidas, por lo general mediante SMB. • Una red de área de almacenamiento (SAN) es una arquitectura utilizada para conjuntos de discos, librerías de cintas y máquinas de discos ópticos que aparecen como unidades conectadas localmente en un servidor. • Un controlador de host, a veces conocido como host bus adapter (HBA), conecta un sistema de host como una computadora a la red o a un dispositivo de almacenamiento. • El Número de unidad Lógica (normalmente denominado LUN del inglés logical unit number) permite una SAN romper su almacenamiento en piezas manejables, que luego son asignados a uno o más servidores en la SAN. • El Canal de fbra e iSCSI son tecnologías con una velocidad de un gigabyte que se utilizan principalmente para la creación de redes de almacenamiento. • Microsoft Windows Server 2008 incluye dos interfaces de software iSCSI Iniciator (iniciador iSCSI y la interfaz de comandos iSCSICLI) para conectar un conjunto de almacenamiento iSCSI o el volumen de un conjunto de almacenamiento a un servidor y montar el conjunto o el volumen como local. • Windows Server 2008 incluye un explorador de almacenamiento y un administrador de almacenamiento para SANs para la gestión de Canal De Fibra, iSCSI fabrics y LUN. • El particionamiento es la defnición y división de un disco físico o virtual en volúmenes lógicos llamados particiones. Cada partición funciona como si se tratara de una unidad de disco independiente, al que se puede asignar una letra de unidad. • Formatear un disco prepara el sistema de archivos del disco. • Windows Server 2008 admite dos tipos de estilos de partición del disco: Master Boot Record (MBR) y la tabla de particiones GUID (GPT). • En Windows Server 2008, un disco básico es el mismo tipo de disco que se encuentran en las versiones anteriores de Windows.
www.pdftron.com
Administración de Almacenamiento
103
• Cuando se utiliza el MBR, los discos básicos dan cuatro particiones primarias o sólo tres de estas más una extendida. • Los discos dinámicos ofrecen una mayor fexibilidad, incluyendo más de 2,000 volúmenes y la posibilidad de ampliar o reducir el tamaño del disco sin necesidad de reiniciar. • Los discos dinámicos soportan cinco tipos de volúmenes: simples, distribuidos, seccionados, refejados y volúmenes RAID-5. • Un sistema de archivos es un método de almacenamiento y organización de archivos de computadora y los datos que ellos contienen, de manera que sea fácil de encontrar y acceder a esta información. Un sistema de archivos también mantiene la ubicación física de los archivos, para que se pueda encontrar y acceder a los en el futuro. • En la actualidad, NTFS es el sistema de archivos preferido, en parte porque admite discos duros más grandes (hasta 16 exabytes) y nombres de archivo largos. • NTFS utiliza un registro (journaling) para asegurarse de que las operaciones de disco están escritas correctamente antes de que puedan ser reconocidas. • NTFS ofrece mejor seguridad a través de los permisos y la encriptación. • La herramienta principal usada para la administración de discos en Windows Server 2008 es el complemento MMC llamada Administración de discos, que también forma parte de la consola Administración y de equipos. • Al preparar un volumen en Windows, puede asignar una letra de unidad a uno nuevo, o puede crear un punto de montaje para este como una carpeta NTFS vacía.
www.pdftron.com » Evaluación del Conocimiento
Complete el espacio en blanco
Complete las siguientes oraciones, escribiendo la palabra o palabras correctas en los espacios proporcionados.
1. _________ utiliza dos o más unidades usadas en combinación para crear un sistema tolerante a fallos. 2. __________ es una tecnología de uso común RAID que no ofrece tolerancia a fallos. 3. Un(a) ___________ es un disco extra que puede ser cambiado de forma automática cuando falla una unidad. 4. Un(a)___________ es una arquitectura utilizada para conjuntos de discos, librerías de cintas y máquinas de discos ópticos basadas en tecnología de red. 5. El ________ envía comandos SCSI a una SAN sobre una red TCP / IP. 6. El ________________ es una característica de Windows Server 2008 que permite crear y administrar números de unidad lógica (LUN) tanto en canal de fbra como en subsistemas de almacenamiento en disco iSCSI que soportan VDS. 7. Un(a) ________ es un método de almacenamiento y organización de archivos de computadora que le permite encontrarlos fácilmente y acceder a ellos. 8. NTFS puede soportar hasta ___________ de espacio de almacenamiento para cada volumen. 9. El programa _________ es la interfaz de comando para las unidades de partición.
104
Lección 3
10. Un(a) _________________ utiliza el volumen almacenado en dos discos físicos separados para escribir datos en ambos simultáneamente y de forma redundante. Opción múltiple Encierre en un círculo la letra que corresponde a la mejor respuesta. 1. ¿Qué tipo de unidades ofrecen un rendimiento más rápido y por lo general se encuentran en servidores? a. b. c. d.
SCSI IDE RLL MFM
2. ¿Qué forma común de RAID utiliza tres o más discos para ofrecer tolerancia a fallos? a. b. c. d.
RAID 0 RAID 1 RAID 3 RAID 5
3. ¿Cuánto espacio en disco tiene si utiliza cuatro unidades de 2 TB en una confguración RAID 5?
www.pdftron.com a. b. c. d.
2 TB 4 TB 6 TB 8 TB
4. Qué tipo de RAID usa un conjunto de datos a seccionado que se refeja con un RAID 1? a. b. c. d.
RAID 4 b. RAID 5 RAID 1 +0 RAID 0 +1
5. ¿Qué dispositivo es una unidad de nivel de archivo de almacenamiento de datos que proporciona acceso a archivos y carpetas compartidas? a. b. c. d.
SAN NAS RAID Disco de repuesto (hot spares)
6. ¿Cuál es el puerto por defecto utilizado por iSCSI? a. b. c. d.
3000 8080 3260 443
7. Windows Server 2008 utiliza un __________ para comunicarse con una SAN basada en iSCSI. a. Conector iSCSI b. Iniciador iSCSI
Administración de Almacenamiento
105
c. Plug-in iSCSI d. Complemento iSCSI 8. ¿Qué topología de Canal De Fibra proporciona una conexión optimizada cuando aislamos puertos con fallas? a. b. c. d.
FC-P2P FC-AL FC-SW FC-SNP
9. ¿Qué unidades utilizadas en SAN se pueden asignar a un servidor? a. b. c. d. 10. 10. a. b. c. d.
HBA Snapshots LUN ANSIs ¿Qué tipo de volumen no admiten los discos dinámicos? Volumen simple Volumen seccionado Volumen seccionado en espejo Volumen RAID-5
www.pdftron.com Verdadero / Falso
Encierre en un Círculo V si la declaración es verdadera o F si la declaración es falsa. V
F
V
F
V
F
V
F
V
F
1. Al confgurar las unidades IDE, hay que confgurar un ID de SCSI y terminar los extremos de la cadena. 2. MBR y GPT son dos tipos de volúmenes utilizados por Windows Server 2008. 3. NTFS es el sistema de archivos preferido usado por Windows Server 2008. 4. Los discos básicos pueden cambiar de tamaño sin necesidad de reiniciar. 5. Los tipos de particiones GUID pueden soportar hasta 18 unidades de EB.
» Evaluación de Competencias Escenario 3-1: Planificación de los discos Está confgurando un equipo que ejecuta Windows Server 2008 R2 y quiere ejecutar Microsoft Exchange 2010. Hasta ahora, tiene una sola unidad de 80 GB con Windows ejecutándose en ella. ¿Qué unidades y confguración de la unidad debe agregar el servidor para que admita Microsoft Exchange si se requiere de 100 GB de buzones de correo?
106
Lección 3
Escenario 3-2: Investigación de Discos Cada día, los discos son más rápidos y tienen más capacidad. En adición, los discos están empezando la transición de discos magnéticos mecánicos a discos de estado sólido. Haga una búsqueda en Internet, encuentre el mejor disco disponible actualmente, e investigue sus características. Enliste el dispositivo, sus puntos fuertes, y donde encontró la información.
» Evaluación de Competencias Escenario 3-3: Conexión de un segundo Disco Duro Conecte un segundo disco duro a su sistema. Después, cree un volumen en el segundo disco que ocupe la mitad del espacio disponible. Formatee el disco con un sistema de archivos NTFS. Luego expanda la unidad para ocupar el resto del espacio disponible. Cuando acceda al volumen con éxito, elimine los volúmenes en el segundo disco duro. Escenario 3-4: Crear un Volumen Seccionado Usando el espacio libre en disco del primer dispositivo y el espacio en el segundo disco, para crear un volumen seccionado.
www.pdftron.com Listo para el Lugar de trabajo
Æ Software de Administración de Discos
Puede hacer mucho con el complemento de Administración de discos y con el comando diskpart. Sin embargo, estas herramientas no lo pueden hacer todo. Por ejemplo, en algunas situaciones, no se puede extender ciertos discos, porque hay algo en el camino o porque funcionan como discos de sistema. Las herramientas como Partition Magic pueden ser muy útiles. Además, aunque la utilidad Check Disk puede ayudarle a corregir algunos errores básicos, es posible que necesite usar una herramienta de terceros para recuperar o reconstruir discos.
Lección 4
Monitoreo y Solución de Problemas de Servidores Matriz de Dominio de objetivos Habilidades/Conceptos
Descripción del Dominio del objetivo
Comprender el Desempeño Uso de Visor de Evento Reinicio del Sistema
Comprender el monitoreo del desempeño. Entender los registros y alertas. Identificar los pasos en el proceso de arranque. Entender la continuidad de negocio.
Introducción de Continuidad de Negocio Introducción de Metodología de Solución de Problemas
Entender la metodología de solución de problemas.
Número del Dominio del objetivo 5.2 5.3 6.1 6.2 6.4
Términos Clave • Clúster activo-pasivo • Opciones Avanzadas de Reinicio • Respaldo • Datos de confguración de inicio (Boot Confguration Data, BCD) • Archivo boot.ini • Clúster • Respaldo diferencial • Visor de Eventos • Failover cluster (Clúster en caso de falla) • Respaldo completo • Grandfather-father-son (GFS) • Respaldo incremental
• Information Technology Infrastructure Library (ITIL) • Base de Conocimiento • Última confguración correcta conocida • Registro de arranque maestro (Master boot record, MBR) • Microsoft TechNet • Balanceo de carga de red (Network load balancing, NLB) • Archivo de paginación • Monitor de Desempeño • Prueba automática de encendido (Power-On Self Test, POST)
• Consola de recuperación • Monitor de Recurso • Modo seguro • Copias sombra (Shadow copy) • Información del Sistema • Administrador de Tareas • Trabajo en equipo • Suministro de energía ininterrumpible (UPS) • Memoria virtual • Volume boot record (VBR) • Windows Preinstallation Environment (Windows PE)
www.pdftron.com Tiene ya varios meses en Acme Corporation. Desde entonces, ha actualizado e instalado varios servidores; también ha realizado el inventario de los mismos así como de sus servicios de administración. Cuando su jefe le pregunta, “Si tuviéramos un desastre, ¿cómo lo enfrentaría?”, no le da respuesta minuciosa. Unas semanas después, uno de los servidores falla y ya no arranca.
108
Lección 4
Administración de Tecnología de Información È EN RESUMEN
Para la mayoría de las compañías, el departamento de Tecnología de Información (TI) puede ser muy complejo. Con todos los servicios y aplicaciones que están disponibles, las compañías más grandes por lo general necesitan contar con un equipo de personas especializadas debido a la gran carga de trabajo. Para ayudar a administrar este departamento, se han creado normas a seguir. º Tome Nota Recuerde que el departamento de TI está ahí para dar servicio al resto de la organización, no por el contrario
Cuando esté administrando sistemas complicados de los que depende su compañía, necesitará tener procesos bien establecidos para planear, diseñar, implementar, monitorear y retirar servidores, servicios y aplicaciones; para asegurar que su tiempo y dinero estén correctamente administrados y que se cumplan las necesidades de su organización. La Information Technology Infrastructure Library (ITIL) es un juego de conceptos
y prácticas para administrar sistemas de Tecnología de Información (TI),
Administración de Servicio de TI (ITSM), desarrollo y operaciones de TI. La ITIL da descripciones detalladas de una gran cantidad de prácticas de TI importantes y provee listas de verifcación, tareas y procedimientos comprehensivos; que cualquier organización de TI puede diseñar conforme a sus necesidades. La ITIL se publica en una serie de libros, cada uno de los cuales cubre un tema de administración de TI.
www.pdftron.com Los libros fundamentales de ITIL versión 3 incluyen:
• Estrategia de Servicio: Una vista de ITIL que conjunta los negocios y la TI. Se enfoca en los resultados del cliente. Los títulos subsecuentes en el juego básico, enlazarán tareas para cumplir las metas del negocio y los principios de administración del servicio descritos en esta publicación. • Diseño de Servicio: Provee la orientación sobre la producción y mantenimiento de políticas, arquitecturas y documentos de TI para el diseño de soluciones y procesos de servicio de la infraestructura TI apropiados e innovadores. • Transición de Servicio: Provee la orientación y actividades de proceso para la transición de servicios en el ambiente empresarial operativo. Cubre el papel de administración de cambio a largo plazo; la liberación y prácticas de despliegue, de tal forma que se consideren los riesgos, benefcios, mecanismos de entrega, y el soporte de los servicios operativos continuos. • Operación de Servicio: Introduce, explica y detalla las actividades de entrega y control para lograr la excelencia operativa día a día. • Mejora Continua de Servicio: Se enfoca en los elementos del proceso involucrados en identifcar e introducir mejoras de administración de servicio. Esta publicación también trata con temas que rodean el retiro del servicio.
Más Información Para mayor información sobre la ITIL, visite los siguientes sitios Web: http://www.itil-officialsite.com http://en.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
En cualquier caso, las publicaciones de ITIL sólo le darán un punto de partida en el desarrollo de los procesos de su organización, para ayudar a administrar su departamento de TI. También necesitará discutir las necesidades de su empresa con varios gerentes, incluyendo a los de su negocio y de otros departamentos de soporte, tales como recursos humanos, contabilidad y legales; para recabar qué servicios proporcionará su organización y qué otros procedimientos se deben seguir.
Monitoreo y Solución de Problemas de Servidores
109
Por ejemplo, si trabaja con registros médicos, tiene ciertas normas que necesita seguir para mantener los datos seguros, tales como el Health Insurance Portability and Accountability Act (HIPAA). En una compañía que cotice en la bolsa, tiene que seguir ciertos requisitos fnancieros, incluyendo el archivo de datos. Por último, su organización puede establecer sus propias normas. Cuando requiere usar un servidor, servicio o aplicación, debe implementar ciertos pasos adecuadamente. Los cuales son: • • • •
Recolección de requerimientos Diseño y planeación Implementación Administración y monitoreo inquirir
Mediante la recopilación de necesidades, defna lo que hará el servidor, si será un servicio o una aplicación, incluyendo su carga de trabajo. Sin un examen adecuado de los requerimientos podría no seleccionar el hardware o software correcto que favorecerá sus objetivos. Debe por lo tanto planear y diseñar el servidor, servicio o aplicación para garantizar que haga lo que debe hacer sin interferir con otros servidores, servicios o aplicaciones. A continuación instalará el servidor, servicio o aplicación, incluyendo su confguración. Por último, necesita administrarlo y monitorearlo para asegurarse que haga sus funciones que los usuarios y servicios apropiados puedan tener acceso a éste. Si ocurre un problema, necesitará solucionarlo. Conforme monitoree el sistema, deberá observar el desempeño del mismo de tal forma que sepa cuándo debe reemplazar su servidor, servicio o aplicación. También deberá identifcar los problemas potenciales antes de que afecten su servidor, servicio o aplicación; para evitar su deterioro o que llegue al punto en que no se pueda usar.
www.pdftron.com La mayoría de la información disponible en Microsoft para diseñar, planear, administrar y monitorear los productos Microsoft se pueden encontrar en el sitio Web de Microsoft, en particular en Microsoft TechNet (http://technet.microsoft.com). Éste incluye Microsoft Knowledge Base, service packs, actualizaciones de seguridad, juegos de recursos, capacitación técnica, guías de operación y despliegue de artículos técnicos, y estudios de casos.
Dentro de estos documentos y sitios Web, siempre debe poner atención a las secciones de las Mejores Prácticas. Al seguir estas directrices, el sistema o aplicación funcionarán con mayor efciencia y confanza, estarán más seguros y serán más escalables. Algunos de los componentes de software más complejos incluyen Microsoft Exchange y Microsoft SQL Server incluyen el software Best Practices Analyzer, que analizará automáticamente el servidor y proporcionará recomendaciones. Al administrar sus servidores, puede tomar uno de dos enfoques: proactivo o reactivo. Ser proactivo signifca que planea, con anticipación y previendo los problemas antes que sucedan y dañen su servidor, servicio o aplicación. Ser reactivo signifca que está esperando a que ocurran los problemas antes de atenderlos. La mejor opción es ser proactivo de tal forma que pueda evitar problemas que ocasionen que el sistema quede inactivo. Por supuesto, debe dedicar tiempo y esfuerzo así como invertir en hardware y software adicional para ayudarlo a monitorear efcientemente sus servidores, servicios y aplicaciones. Por último, recuerde que aunque se esfuerce por ser proactivo, tarde o temprano tendrá que tratar con problemas imprevistos e inesperados.
110
Lección 4
Introducción a la Metodología de Solución de Problemas È EN RESUMEN
Como técnico de computadoras, administrador de servidor o de red, tarde o temprano tendrá que enfrentar ciertos problemas. Algunos de ellos tendrán soluciones obvias y fáciles de arreglar. Otros tantos necesitarán ser encontrados, siguiendo una metodología de solución de problemas para resolverlos efcazmente. ; Listo para la Certificación ¿Qué pasos utilizará para solucionar algún problema? —6.4
La principal razón para usar una metodología de solución de problemas efectiva es porque reduce la cantidad de trabajo necesario para solucionar problemas y arreglarlos de manera oportuna. Los ingenieros de Servicios de Soporte del Producto Microsoft, usan el “método de detección”, que consiste en los siguientes pasos: 1. Descubrir el problema: Identifcar y documentar los síntomas del problema, así como buscar los recursos de información técnica, incluyendo la investigación en los artículos de Microsoft Knowledge Base (KB) para determinar si el problema es una situación conocida. 2. Evaluar la confguración del sistema: Preguntar al cliente y revisar la documentación del sistema para determinar si se ha hecho algún cambio de hardware, software o red; incluyendo cualquier adición reciente. También verifcar los registros disponibles incluyendo el Visor de Eventos.
www.pdftron.com 3. Enumerar o rastrear las posibles soluciones e intentar aislar el problema retirando o desactivando los componentes de hardware o software: También puede considerar recurrir a programas de diagnóstico de registro o ejecución adicionales para reunir más información y probar con otros componentes.
4. Ejecutar un plan: Probar potenciales soluciones y tener un plan de contingencia si estas no funcionan o tienen un impacto negativo en la computadora. Por supuesto, no desea empeorar el problema, si es posible, respalde cualquier archivo de sistema o aplicación crítica. 5. Revisar los resultados: Si el problema no tiene arreglo, regrese para rastrear posibles soluciones. 6. Tomar un enfoque proactivo: Documente los cambios que realizó en la solución del problema. Avise al cliente y registre los síntomas internos del problema. En caso de que esta información sea necesario en problemas similares que sucedan posteriormente o de que los cambios que arreglaron el problema afecten otras áreas.
Cuando solucione problemas, tiene varias herramientas que pueden ayudar a aislar y arreglar las fallas. Como el Administrador de Dispositivo que ya se discutió en la Lección 2. Otras herramientas son: • • • • • •
Información del Sistema Visor de Eventos Administrador de Tareas Monitor de Recursos Monitor de Desempeño Confguración del Sistema
Monitoreo y Solución de Problemas de Servidores
• • • •
111
Herramienta de Diagnóstico de Memoria Asistente de Solución de Problemas Menú de Reinicio incluyendo modo Seguro Reparación de Windows
Al solucionar problemas dentro de Windows y en programas relacionados, tarde o temprano enfrentará difcultades que sabrá cómo arreglar. No obstante, puede preguntar a colaboradores y hacer alguna investigación en Internet.; utilizando buenos buscadores tales como Google y Bing que son de gran utilidad. También necesitará verifcar los sitios Web del proveedor incluyendo el de Microsoft (www.microsoft.com). Microsoft Corporation cuenta con una Base de Conocimientos (Knowledge Base) y varios foros en línea (http://social.microsoft.com/forums y http://social.technet.microsoft.com/ Forums) foros en línea, en los que puede encontrar ayuda para solución de una amplia gama de problemas, así también le permiten dejar mensajes para que otras personas los contesten. La Knowledge Base de Microsoft es el depósito de miles de artículos que están disponibles para el público y que cuenta con información sobre los problemas encontrados por los usuarios de los productos de Microsoft. Cada artículo tiene un número de ID y por lo general se referen con respecto a su ID de la Base de Conocimiento (KB), al ingresar las palabras clave o la ID en http://support.microsoft.com/search/.
f Información del Sistema Cuando comience a solucionar problemas por primera vez en un servidor, necesitará saber lo que este contiene, como el tipo y número de procesadores, así como la cantidad en RAM. También, qué programas y servicios se están ejecutando en el mismo. Las propiedades del sistema pueden proporcionarle información sobre el procesador y la memoria RAM. Al buscar en el Administrador de dispositivos puede ver qué hardware es reconocido y cuales controladores están cargados. Sin embargo, si desea ver con mayor detalle las características de sistema y lo qué se está ejecutando en él , puede usar el programa de Información de Sistema.
www.pdftron.com Información del Sistema (también conocido como msinfo32.exe) muestra detalles sobre la confguración de hardware, componentes y software de su computadora, así como de los controladores. Se incluyó originalmente con Windows, para ayudar a las personas de soporte de Microsoft a determinar lo qué contiene una máquina en particular, en especial cuando hablan con los usuarios fnales. La Información del Sistema enumera categorías en el panel izquierdo y detalles sobre cada categoría en el panel derecho. Vea la fgura 4-1. Las categorías son: • Resumen de Sistema: Muestra la información general sobre su computadora y el sistema operativo, tal como el nombre de la misma y fabricante; el tipo de sistema básico de entrada/salida (BIOS) que usa su computadora y la cantidad de memoria instalada. • Recursos de Hardware: Muestra detalles avanzados respecto al hardware de su computadora y está diseñado para profesionales de TI. • Componentes: Muestra la información sobre las unidades de disco, dispositivos de sonido, módems y otros componentes instalados en su computadora. • Ambiente de Software: Muestra información respecto a los controladores, conexiones de red y otros detalles relacionados con programas.
112
Lección 4
Figura 4-1 Información del Sistema
Para encontrar un detalle específco en la Información del Sistema, escriba lo que busca en la casilla Buscar esto en la parte inferior de la ventana. Por ejemplo, para encontrar la dirección de protocolo de Internet (IP) de la computadora, escriba “dirección IP” en la casilla Buscar esto y en seguida haga clic en Buscar.
www.pdftron.com f Visor de Eventos
Una de las herramientas de solución de problemas más útil, es el complemento Visor de eventos MMC, que esencialmente es un visor de registro. Cada vez que tenga problemas, debe buscar en el Visor de eventos para encontrar cualquier error o advertencia que le pueda revelar cuál es el problema.
; Listo para la Certificación ¿Cómo ve los errores y advertencias en los registros de Windows? —5.3
El Visor de eventos es un complemento de la Consola de Administración Microsoft (MMC) que le permite navegar y administrar registros de eventos. Se encuentra en la MMC de Administración de la computadora y Administrador de Servidor así también en las Herramientas de Administración como una consola autosoportable. También puede ejecutar el comando eventvwr.msc. El Visor de eventos le permite realizar las siguientes tareas: • Ver eventos a partir de múltiples registros de eventos (Vea la fgura 4-2.) • Guardar los fltros de eventos como vistas personalizadas que se pueden volver a utilizar • Programar una tarea para ejecutar en respuesta a un evento • Crear y administrar suscripciones de eventos
Monitoreo y Solución de Problemas de Servidores
113
Figura 4-2 Visor de Eventos de Windows
www.pdftron.com La categoría de Registros de Windows incluye registros que estaban disponibles en versiones previas de Windows. Estos son:
• Registro de aplicación: Contiene eventos registrados por aplicaciones o programas. • Registro de seguridad: Contiene eventos, tales como registro válido e inválido en intentos y acceso a objetos designados, tales como archivos y carpetas, impresoras, y objetos del Directorio activo. De forma determinada, el registro de Seguridad está vacío hasta que habilite la auditoría. • Registro de configuración: Contiene eventos relacionados con la confguración de aplicación. • Registro de sistema: Contiene eventos registrados por los componentes de sistema de Windows que incluyen errores mostrados por Windows durante el inicio y errores con los servicios. • Registro de Eventos Reenviados: Se usa para almacenar eventos recopilados desde computadoras remotas, para lo que debe crear una suscripción de eventos. Cabe señalar que los Eventos Reenviados no aparecerán en los sistemas operativos anteriores a Windows 7 y Windows Server 2008.
Con base en los papeles y programas instalados en un servidor, Windows puede tener registros adicionales tales como DHCP, DNS o Directorio activo. Los registros de Aplicaciones y Servicios se introdujeron por primera vez en Windows Vista. Estos registros almacenan eventos a partir de una aplicación o componentes sencillos en lugar de eventos que pudieran tener un impacto en todo el sistema. • Admin: Estos eventos están enfocados principalmente a los usuarios fnales, administradores y personal de soporte. Los eventos que se encuentran en los canales Admin. indican un problema así como una solución bien defnida con la que un administrador puede actuar. • Operacional: Los eventos operacionales se usan para analizar y diagnosticar un problema u ocurrencia. Se pueden usar para activar herramientas o tareas basadas en el problema u ocurrencia.
114
Lección 4
• Analítico: Los eventos analíticos se publican en alto volumen. Estos describen la operación del programa e indican problemas que no pueden ser manejados por la intervención del usuario. • Depurar: Los eventos de depuración son usados por los desarrolladores en la solución de problemas con sus respectivos programas. La Tabla 4-1 muestra los campos comunes mostrados en los registros del Visor de Eventos. Tabla 4-1 Campos comunes mostrados en registros del Visor de Eventos
Nombre de Propiedad Fuente
ID de Evento Nivel
Descripción El software que registró el evento, que puede ser ya sea un nombre de programa tal como “SQL Server” o un componente del sistema o de un programa grande, tal como el nombre de un controlador. Un número que identifica el tipo de evento particular. Clasificación de la severidad del evento: Información: Indica que ocurrió un cambio en una aplicación o componente; tal como cuando la operación se completó exitosamente, el recurso fue creado o se inició el servicio. Advertencia: Indica que ocurrió un problema que puede tener impacto en el servicio o resultar en un serio problema si no se toma una acción. Error: Indica que ocurrió un problema, que podría tener un impacto funcional externo a la aplicación o al componente que activó el evento. Crítico: Indica que ocurrió una falla a partir de que la aplicación o componente que activó el evento no se puede recuperar automáticamente. Auditoría Exitosa: Se muestra en los registros de seguridad para indicar que el ejercicio de un derecho de usuario fue exitoso. Falla de Auditoria: Se muestra en los registros de seguridad para indicar que fracasó el ejercicio de un derecho de usuario.
www.pdftron.com Cuando abre cualquiera de estos registros, particularmente el de Aplicación, Seguridad y Sistema, pueden tener miles de entradas. Desafortunadamente, esto signifca que puede tomar un poco de tiempo encontrar lo que está buscando si lo hace de entrada en entrada. Para ahorrar tiempo en encontrar lo que desea, puede usar un fltro para reducir el número de entradas. Para fltrar un registro, abra el menú Acción y haga clic en Filtro de Registro Actual. El Visor de eventos le permite ver sucesos en un equipo remoto. Sin embargo, solucionar un problema podría requerir que examine un juego de eventos guardados en registros múltiples en varios equipos. El Visor de eventos actual se puede usar para recolectar copias de eventos desde múltiples computadoras remotas y guardarlas localmente. Para especifcar qué eventos se van a recolectar, debe crear una subscripción de eventos. Entre otros detalles, la subscripción especifca exactamente los eventos que se recolectarán y en qué registros se guardarán localmente. Una vez que la subscripción esté activa y los eventos se recolecten, puede observar y manipular estos eventos reenviados como lo haría con cualquier otro evento guardado localmente.
Monitoreo y Solución de Problemas de Servidores
115
Arranque del Sistema È EN RESUMEN
Uno de los problemas más frustrantes en la solución de difcultades, es cuando Windows no arranca y no se puede iniciar sesión. Para superar estos problemas, necesita entender cómo arranca la computadora y familiarizarse con las herramientas disponibles durante el arranque. ; Listo para la Certificación Si su servidor falla en arrancar adecuadamente, ¿sabe cómo aislar el punto en el que falla? —6.1
Cada vez que enciende una computadora, pasa a través de la Power-On Self Test o prueba automática de Encendido (POST), que inicializa el hardware y encuentra el sistema operativo para cargarlo, e incluye los siguientes pasos: 1. La computadora realiza una verifcación rápida de energía para asegurarse que tenga la sufciente energía para suministrar al sistema. 2. Cuando el procesador recibe una buena señal de energía, se inicializa y prueba los componentes esenciales de la computadora como se especifca en el ROM BIOS del Sistema. 3. Si encuentra un problema, la computadora lo identifca con una serie de bips basados en el ROM BIOS del sistema. 4. El procesador entonces inicializa la tarjeta de video y envía información al monitor. A continuación, el sistema inicializa los componentes adicionales. Si se descubre un problema, muestra el mensaje para indicarlo.
www.pdftron.com 5. El sistema buscará un dispositivo de arranque (tal como el disco duro, disco óptico o unidad USB) a partir del que arrancará.
6. El sistema leerá el registro de arranque maestro en el dispositivo de arranque para determinar los archivos de arranque del sistema.
Si el sistema ejecuta Windows XP o Windows Server 2003, pasará a través de los siguientes pasos: 1. Se cargará NT loader (NTLDR), que lee el archivo boot.ini para desplegar el menú de arranque o para arrancar desde una partición o volumen. 2. NTDetect.com reúne información sobre el hardware de la computadora como lo reporta el BIOS. 3. NTOSKRNL.EXE es la parte principal de Windows, responsable de varios servicios y procesos del sistema y la administración de la memoria. 4. HAL.DLL implementa una serie de funciones de diferentes maneras por varias plataformas de hardware en base al procesador y al chipset.
Si el sistema ejecuta Windows Vista, Windows 7 o Windows Server 2008, hará como sigue: 1. Se carga BOOTMGR que accesa a Boot Confguration Data Store para desplegar el menú de arranque o para arrancar desde una partición o volumen. 2. WINLoad es el cargador de arranque del sistema operativo, que carga el resto del sistema operativo. 3. NTOSKRNL.EXE es la parte principal de Windows, responsable de varios servicios y procesos del sistema así como de la administración de la memoria.
116
Lección 4
4. Los controladores de dispositivo de clase de arranque, implementan una cantidad de funciones de diferentes maneras por medio de varias plataformas de hardware con base en el procesador y al chipset. Un registro de arranque maestro (MBR) es el primer sector de arranque de 512 bytes, de un dispositivo de almacenamiento de datos dividido tal como un disco duro. Se usa para mantener la tabla de partición primaria del disco, contiene el código para arrancar un sistema operativo, que por lo general transfere el control al registro de arranque del volumen e identifca de manera única los medios de disco. De manera predeterminada, el registro de arranque maestro contiene las entradas de partición primaria en su tabla. Un registro de arranque de volumen (VBR), también conocido como sector de arranque de volumen o sector de arranque de partición, es un tipo de sector de arranque, que se almacena en un volumen en el disco duro, disco fexible o un dispositivo de almacenamiento de datos similar que contiene el código para arrancar un sistema operativo tales como NTLDR y BOOTMGR. La partición activa, es el volumen que está marcado como la partición a partir del que se va a arrancar. La partición activa o volumen activo que contiene el archivo de arranque (NTLDR o BOOTMGR) se conoce como la partición/volumen del sistema. El área que contiene los archivos del sistema operativo de Windows (por lo general Windows o la carpeta WINNT) se llama partición de arranque. Es común que los sistemas tengan una unidad y una partición/volumen que constituyen la partición, la partición del sistema y la partición de arranque.
www.pdftron.com La variable %SystemRoot% es una variable de ambiente a lo largo del sistema especial, que se encuentra en los sistemas de Microsoft Windows. Su valor es la ubicación de la carpeta del sistema, incluyendo la unidad y la ruta. De manera determinada, en una instalación limpia de Windows, la variable %SystemRoot% es C:\Windows.
f Qué es Boot.ini
El NTLDR de Windows XP y Windows Server 2003 leerá el archivo boot.ini para determinar qué sistema operativo va a cargar, incluso si su unidad tiene sólo un sistema operativo. Si su equipo cuenta con múltiples sistemas operativos, el archivo boot.ini puede desplegar un menú de arranque, de tal forma que puede elegir qué sistema operativo cargar y seleccionar automáticamente uno predeterminado si no se selecciona durante el arranque. Las opciones de menú se guardan en boot.ini, que se ubica en la raíz del mismo disco como NTLDR. Éste es un archivo de sistema oculto de sólo lectura. El archivo boot.ini se divide en dos secciones, [cargador de arranque] y [sistema operativo]. La sección de [cargador de arranque] confgura la cantidad de segundos que aparece en el menú de Selección de Sistema Operativo de Cargador de Arranque en la pantalla y al sistema operativo predeterminado y cargado. Por ejemplo, la siguiente sección: [cargador de arranque] Tiempo=30 Predeterminado=multi(0)disco(0)ridsk(0)partición(1)\Windows mostrará el menú de Selección de Sistema Operativo de Cargador de Arranque durante 30 segundos. Si no se selecciona el sistema de operación, Windows cargará la carpeta Windows.
Monitoreo y Solución de Problemas de Servidores
117
La sección de [sistema operativo] contiene la lista de sistemas operativos disponibles. La ubicación del sistema operativo se escribe como una ruta Advanced RISC Computing (ARC). Un ejemplo de la sección del [sistema operativo] es: [sistemas operativos] multi(0)disco(0)rdisk(0)partición(1)\WINNT=“Microsoft Windows Server 2003” / fastdetect La ruta ARC se usa para especifcar la ubicación del sistema operativo. Sigue el formato: multi(x)disk(y)rdisk(z)partition(a) o scsi(x)disk(y)rdisk(x)partition(a) SCSI se usa para un disco con su BIOS desactivado. Multi se usa para discos diferentes o un SCSI con su BIOS activado. La cantidad después de Multi es el número ordinal del adaptador del hardware que comienza con 0. El número después de Disk es el número de bus SCSI y siempre será 0 para un disco diferente o para un disco de estos con su BIOS activado. El número después de Rdisk es el número ordinal del disco que comienza desde 0. El número después de la partición, es el número ordinal de la partición que comienza en 1. Después de la partición, especifca entonces la carpeta que contiene la carpeta Windows. Ésta por lo general es \Windows o \Winnt.
www.pdftron.com Hay varias opciones que se pueden usar en la sección del [sistema operativo]. Algunos de los ajustes populares son:
/FASTDETECT[:comx[,comy]]: Apaga la detección de ratón en serie y de bus para el (los) puerto(s) especifcado(s), o para todos los puertos si no se especifca ninguno. Use este interruptor cuando exista un componente diferente a un ratón, conectado al puerto en serie durante el proceso de arranque. Los puertos se pueden separar con comas para apagar más de un puerto.
/BASEVIDEO: Fuerza el sistema en el modo VGA de 640x480 16 colores estándar, usando un controlador de dispositivo de video que es compatible con cualquier adaptador de video. Si el sistema operativo falla en cargar debido a un controlador de video defectuoso o confgurado incorrectamente, este interruptor permite que se cargue el sistema, de tal forma que el usuario pueda retirar, actualizar o restaurar el controlador de video con problemas. /3GB: Fuerza a los sistemas basados en x86 a incrementar el espacio de dirección virtual asignado por programas de usuario a 3 GB, y disminuye a 1 GB asignado al kernel y componentes de ejecución. Algunas confguraciones de Windows Server 2003 que ejecutan aplicaciones intensivas de memoria virtual, tales como servidores de base de datos o Microsoft Exchange Server 2003 pueden requerir este interruptor para un mejor desempeño. /PAE: Activa el soporte de Extensión de Dirección Física (PAE), que permite que el sistema vea más de 4 GB de memoria. Nota: En el modo seguro, la computadora arranca usando los kernels normales, incluso si se especifca /PAE. /NOEXECUTE: La Prevención de Ejecución de Datos (DEP) usa una característica de procesador, para evitar que un código malicioso explote los errores de sobrefujo de
118
Lección 4
buffer, con una entrada de programa inesperada para ejecutar un código arbitrario. La opción /NOEXECUTE sólo está disponible con versiones de 32 bits de Windows que se ejecutan en procesadores que soportan DEP y siempre está activa en versiones de 64 bits de Windows. Para desactivar la DEP, debería incluir /NOEXECUTE=ALWAYSOFF. Al utilizar Windows XP o Windows Server 2003, puede modifcar el sistema operativo predeterminado y la cantidad de tiempo durante el que aparece la lista de sistemas operativos, haciendo clic derecho en Mi Equipo, seleccionado Propiedades, posteriormente la fcha Avanzado y oprimiendo Ajustes en la sección de Arranque y Recuperación. También puede editar el archivo boot.ini haciendo clic en Editar y especifcando qué tipo de descarga ocurre durante la falla. Vea la fgura 4-3. Figura 4-3 Opciones de Arranque y Recuperación de Windows
www.pdftron.com f Qué es BCDEdit
Los Datos de Configuración de Arranque (BCD) son una base de datos independiente del frmware, para datos de confguración de tiempo de arranque, que usa Windows Boot Manager de Microsoft, que se encuentra con Windows Vista, Windows 7, y Windows Server 2008. Para editar la Confguración de Arranque, usa por lo general Bcdedit. exe. A diferencia de las versiones previas de Windows que usaban el archivo boot.ini para designar la confguración de arranque, las versiones más recientes de Windows guardan la confguración en \Boot\bcd en el volumen de sistema, en máquinas que usan frmware compatible con PCs IBM. Para editar las Opciones de Menú de Arranque de Windows, se usa el Editor de Datos de Confguración de Arranque (Bcdedit). Se puede usar la línea de comando Bcdedit.exe para agregar, eliminar y editar entradas en el almacenamiento BCD, que contiene objetos. Cada objeto se identifca por un GUID (Identifcador Único Global). Cada unidad o partición en el sistema tendrá su propio GUID y puede ser • {legacy}: Describe una unidad o partición en un sistema operativo previo a Windows Vista, • {default}: Describe la unidad o partición que contiene el sistema operativo predeterminado actual, o • {current}: Describe la unidad o partición actual a partir de la que se arranca.
Monitoreo y Solución de Problemas de Servidores
119
Por ejemplo {c34b751a-ff09-11d9-9e6e-0030482375e7} describe otra unidad o partición en la que se instaló un sistema operativo. Algunas de las opciones disponibles para el comando BCDEdit son: • /createstore: Crea un nuevo almacenamiento BCD vacío. • /export: Exporta el contenido del almacenamiento BCD del sistema, a un archivo especifcado. • /import: Restaura el estado del almacenamiento BCD del sistema desde un archivo especifcado. • /copy: Hace copias de las entradas de arranque. • /create: Crea nuevas entradas de arranque. • /delete: Elimina entradas de arranque. • /deletevalue: Elimina elementos de una entrada de arranque. • /set: Crea o modifca los elementos de una entrada de arranque. • /enum: Enumera las entradas de arranque en un almacenamiento. • /bootsequence: Especifca una secuencia de arranque de un tiempo. • /default: Especifca la entrada de arranque predeterminada. • /displayorder: Especifca el orden en el que el Administrador de Arranque muestra su menú. • /timeout: Especifca el Valor de Expiración de Administrador de Arranque. • /toolsdisplayorder: Especifca el orden en el que el Administrador de Arranque muestra su menú de herramientas. • /bootems: Activa o desactiva los Servicios de Administración de Emergencia (EMS) para una aplicación de arranque especifcada. • /ems: Activa o desactiva el EMS para una entrada de arranque de sistema operativo. • /emssettings: Especifca los parámetros de los EMS globales. • /store: Especifca el almacenamiento BCD en el que actúa un comando. • bcdedit /?: Especifca las opciones disponibles.
www.pdftron.com Para cambiar el título de la entrada del menú de arranque, tal como su tipo, use el siguiente comando, que cambia el título a Windows XP a partir de “Versión Previa de Windows”: bcdedit /set {ntldr} description “Windows XP” Para cambiar la expiración de tiempo que se muestra en el menú de arranque: bcdedit /timeout 5 Para cambiar el OS predeterminado que arranca primero: bcdedit /default {ntldr} Más Información Para mayor información sobre Bcdedit, visite los siguientes sitios Web: http://technet.microsoft.com/en-us/library/cc709667(WS.10).aspx http://www.windows7home.net/how-to-use-bcdedit-in-windows-7
120
Lección 4
Cuando usa Windows Vista, Windows 7 y Windows Server 2008, puede modifcar el sistema operativo predeterminado y la cantidad de tiempo que aparece la lista de sistemas operativos haciendo clic derecho en Equipo, seleccionando Propiedades, haciendo clic en Ajustes avanzados de sistema, eligiendo la fcha Avanzado y oprimiendo Ajustes en la sección de Arranque y Recuperación. También puede especifcar el tipo de descarga que ocurre durante una falla de sistema.
f Menú de Arranque Avanzado Cuando hay problemas durante el arranque, debe tomar medidas adicionales para hacer que la computadora esté en un estado utilizable de forma tal que pueda arreglar el problema. Desde la liberación de Windows XP, puede tener acceso a las Opciones Avanzadas de Arranque para llegar a los modos avanzados de solución de problemas. Para tener acceso a la pantalla de Opciones Avanzadas de Arranque encienda su computadora y presione F8 antes que aparezca el logo de Windows. Vea la fgura 4-4. Si tiene Windows Server 2008 R2, entonces puede seleccionar una de las siguientes opciones: • Reparar su computadora: Muestra una lista de herramientas de recuperación de sistema que puede usar para reparar los problemas de arranque, ejecutar diagnósticos o restaurar su sistema. Esta opción sólo está disponible si las herramientas están instaladas en su disco duro. • Modo Seguro: Arranca Windows con un mínimo de controladores y servicios. Si hace algún cambio al sistema y Windows no arranca, puede intentar el modo seguro. • Modo Seguro con conexión en red: Arranca Windows en modo seguro e incluye los controladores y servicios de red necesarios para tener acceso a Internet u otras computadoras en su red. • Modo Seguro con Solicitud de Comando: Arranca Windows en modo seguro con una ventana de solicitud de comando en lugar de la interfaz Windows usual. • Activar Registro de Arranque: Crea un archivo, ntbtlog.txt, que indica los controladores que se instalan durante el arranque y que podrían ser útiles para solución avanzada de problemas. • Activar video de baja resolución (640×480): Arranca Windows usando su controlador de video actual y los ajustes de baja resolución y velocidad de actualización. Puede usar este modo para restablecer los ajustes de su monitor. • Última configuración correcta conocida (avanzado): Arranca Windows con el último registro y confguración de controlador que funcionaron correctamente, por lo general se marca como el último inicio de sesión exitoso. • Modo de Restauración de Servicios de Directorio: Arranca el controlador de dominio de Windows ejecutando el Directorio activo de tal forma que se puede restaurar el servicio de directorio. • Modo de Depuración: Arranca Windows en el modo de solución avanzada de problemas, diseñado para profesionales de TI y administradores de sistemas. • Desactivar reinicio automático en falla del sistema: Previene que Windows reinicie automáticamente si un error hace que falle. Elija esta opción sólo si Windows falla, intenta reiniciar y falla de nuevo. • Desactivar Ejecución de Firma de Controlador: Permite que carguen los controladores que contienen frmas inadecuadas. • Inicio Normal de Windows: Arranca Windows en su modo normal.
www.pdftron.com
Monitoreo y Solución de Problemas de Servidores
121
Figura 4-4 Opciones Avanzadas de Arranque
El modo seguro y sus derivados, activar registro de arranque, activar baja resolución, última confguración correcta conocida y modo de restauración de servicios de directorio, han existido desde hace varios años.
www.pdftron.com También es útil para solucionar problemas con programas y controladores que podrían no arrancar correctamente o que podrían evitar que Windows lo haga. Si el problema ya no aparece cuando arranque en modo seguro, puede eliminar los ajustes predeterminados y los controladores de dispositivos básicos como causas posibles. Si un programa, dispositivo o controlador recién instalado evita que Windows funcione correctamente, puede arrancar su computadora en modo seguro y después retirar el programa que está causando el problema. Mientras está en modo seguro, abra el Panel de Control para tener acceso al Administrador de Dispositivo, Visor de Eventos, Información del Sistema, avisos de comando y Editor de Registro. Los dispositivos y controladores que arrancan en modo seguro son: • • • • • • • • • •
Unidades de disco fexible (internas y USB) Controladores de CD-ROM internos (ATA, SCSI) Controladores de CD-ROM externos (USB) Controladores de DVD-ROM internos (ATA, SCSI) Controladores de DVD-ROM externos (USB) Unidades de disco duro interno (ATA, SATA, SCSI) Unidades de disco duro externo (USB) Teclados (USB, PS/2, serie) Ratones (USB, PS/2, serie) Tarjetas de video VGA (PCI, AGP)
Los servicios de Windows que también arrancan en modo seguro son: • Registro de eventos de Windows • Plug and Play
122
Lección 4
• Llamada de procedimiento remoto (RPC) • Servicios Criptográfcos • Instrumentación de Administración de Windows (WMI) Los dispositivos y servicios que de igual forma arrancan en modo seguro con conexión a red son los siguientes: • • • • • •
Adaptadores de red (Ethernet cableados e inalámbricos 802.11x) Protocolo de Confguración de Host Dinámico (DHCP) DNS Conexiones de red Asistente TCP/IP-NetBIOS Cortafuegos de Windows
f Herramienta de Configuración del Sistema El modo seguro le permite arrancar Windows cuando no lo hace debido a un controlador, servicio o aplicación defectuosos que cargan cuando arranca Windows, la herramienta de Confguración del Sistema le permite seleccionar o deseleccionar los servicios o aplicaciones que arrancan automáticamente cuando Windows inicia. La Confguración del Sistema (msconfg.exe) es una herramienta que puede ayudarlo a identifcar problemas que podrían evitar que Windows arranque correctamente. Cuando ocurra un problema, asumiendo que pueda arrancar e iniciar sesión exitosamente, puede abrir la Confguración del Sistema y desactivar ciertos programas o servicios de arranque. Si el problema desaparece cuando vuelva a arrancar Windows, sabrá que el problema es causado por el programa o el servicio que desactivó.
www.pdftron.com Las siguientes pestañas y opciones están disponibles en la Confguración del Sistema:
• Ficha general: Muestra las selecciones de arranque (Vea la fgura 4-5): • Arranque normal: Arranca Windows en la manera regular. • Arranque de diagnóstico: Arranca Windows únicamente con los servicios y controladores básicos. • Arranque selectivo: Arranca Windows con servicios, controladores básicos y demás servicios y programas de arranque que seleccione.
Figura 4-5 Herramienta de Configuración del Sistema que muestra la ficha General
Monitoreo y Solución de Problemas de Servidores
123
• Ficha de arranque: Muestra opciones de confguración para el sistema operativo y ajustes de depuración avanzada (Vea la fgura 4-6) que son: • Arranque seguro: Mínimo: Durante el arranque, abre la interfaz gráfca del usuario de Windows (Explorer) en modo seguro ejecutando únicamente los servicios críticos del sistema. Se desactiva la conexión a red. • Arranque seguro: Capa alterna: Durante el arranque, abre el aviso de comando de Windows en modo seguro ejecutando únicamente los servicios críticos del sistema. Se desactivan la conexión a red y la interfaz gráfca de usuario. • Arranque seguro: Activar reparación de Directorio: Durante el arranque, abre la interfaz gráfca de usuario de Windows en modo seguro ejecutando los servicios críticos del sistema y el Directorio activo. • Arranque seguro: Red: Durante el arranque, abre la interfaz gráfca de usuario de Windows en el modo seguro ejecutando únicamente los servicios críticos del sistema. Se activa la conexión en red. • Arranque sin GUI: No muestra la pantalla de Bienvenida a Windows cuando arranca. • Registro de arranque: Almacena toda la información del proceso de arranque en el archivo %SystemRoot%Ntbtlog.txt. • Video base: Durante el arranque, abre la interfaz gráfca de usuario de Windows en modo VGA mínimo. Éste carga los controladores VGA estándar en lugar de los controladores específcos con el hardware de video de la computadora. • Información de arranque de OS: Muestra los nombres de los controladores conforme se cargan durante el proceso de arranque. • Hacer todos los ajustes de arranque permanentes: No rastrea los cambios hechos en la Confguración del Sistema. Las opciones se pueden cambiar más adelante usando la Confguración del Sistema, pero se deben hacer manualmente. Cuando se selecciona esta opción, no puede restablecer sus cambios al seleccionar el arranque Normal en la fcha General.
www.pdftron.com Figura 4-6
Herramienta de Configuración del Sistema que muestra la ficha de Arranque
124
Lección 4
• Opciones avanzadas de arranque: Le permite confgurar Windows para cargar más rápido o más lento en base a sus necesidades. • Número de procesadores: Limita el número de procesadores usados en un sistema de multiprocesadores. Si se selecciona la casilla de verifcación, el sistema arranca usando sólo el número de procesadores de la lista desplegable. Se selecciona un procesador de manera determinada. • Memoria máxima: Especifca la cantidad máxima de memoria física usada por el sistema operativo para simular una confguración de baja memoria. El valor de la casilla de texto es en megabytes (MB). • Bloqueo de PCI: Previene que Windows reasigne los recursos de I/O e IRQ resources en el bus PCI. Se conservan los recursos de I/O y memoria establecidos por el BIOS. • Depuración: Permite la depuración de modo de kernel para el desarrollo del controlador de dispositivo. • Ficha de Servicios: Enumera todos los servicios que arrancan cuando inicia la computadora, junto con su estado actual (en operación o detenidos). Use esta pestaña para activar o desactivar los servicios individuales durante el arranque, para solucionar las fallas que podrían contribuir con los problemas de arranque. También puede seleccionar la opción Ocultar todos los servicios Microsoft para mostrar sólo aplicaciones de terceros en la lista de servicios. • Ficha de arranque: Enumera las aplicaciones que se ejecutan cuando arranca la computadora, junto con el nombre de su editor, la ruta al archivo ejecutable y la ubicación de la clave de registro o atajo que hace que la aplicación se ejecute (Vea la fgura 4-7).
www.pdftron.com Figura 4-7
Herramienta de Configuración del Sistema mostrando la ficha de Arranque
Monitoreo y Solución de Problemas de Servidores
125
Comprender el Desempeño È EN RESUMEN
El desempeño es la efcacia general que muestra cómo se mueven los datos a través del sistema. Por supuesto, es importante seleccionar el hardware adecuado (procesador, memoria, sistema de disco y red) para satisfacer las metas de desempeño esperadas. Sin el hardware adecuado, los embotellamientos del mismo pueden limitar la efectividad del software. ; Listo para la Certificación Cuando su sistema está lento, ¿qué para saber la razón? —5.2
Cuando un componente limita el desempeño, se conoce como embotellamiento. Lo que haga para solucionar algún embotellamiento puede causar otros. Por ejemplo, uno de los más comunes es la cantidad de memoria que tiene un sistema. Al incrementar la memoria, a menudo puede incrementar el desempeño general de un sistema (hasta un punto). Sin embargo, cuando agrega más RAM, ella necesita alimentarse de más datos desde el disco, por lo tanto el disco podría convertirse en el embotellamiento o el procesador no puede mantener el ritmo con los datos adicionales. Sobre todo, el sistema se puede volver más rápido, pero si su desempeño todavía no es lo que desea, entonces necesita prever la posibilidad de otro embotellamiento. No puede identifcar problemas de desempeño dando una mirada rápida en el mismo. En su lugar, necesita una línea base, que pueda crear analizando el desempeño cuando el sistema funciona normalmente y dentro de las especifcaciones de diseño. Entonces cuando ocurra un problema, compare el desempeño actual con su línea base, para ver la diferencia. Ya que el desempeño también puede cambiar gradualmente con el paso del tiempo, se recomienda ampliamente que realice una línea base de su servidor con regularidad, de tal forma que pueda grafcar sus mediciones de desempeño e identifcar las tendencias. Así sabrá cuando el servidor necesite actualizarse, tal vez reemplazarse o reducir su carga de trabajo.
www.pdftron.com Existen varias herramientas disponibles en Windows para que analice el desempeño. Estas son: • Administrador de Tarea • Monitor de Desempeño • Monitor de Recurso
f Memoria Virtual y Archivo de Paginación Si su computadora carece de sufciente memoria RAM para ejecutar un programa o realizar una operación, Windows usa la memoria virtual para compensarlo. La memoria virtual se combina con la RAM de su equipo con espacio temporal en su disco duro. Cuando la RAM se agota, la memoria virtual mueve datos desde la RAM a un espacio llamado archivo de paginación. Mover los datos a y desde el archivo de paginación libera la RAM, de tal forma que su computadora pueda completar su trabajo. Desafortunadamente, cuando se necesita tener acceso a algo desde la memoria virtual en el disco, es mucho más lenta que tener el acceso directo desde la RAM. Cuando tiene una amplia cantidad de RAM, no necesita tanta memoria virtual.
126
Lección 4
Æ Administrar del Archivo de Paginación PREPÁRESE. Para administrar el archivo de paginación en Windows, hará lo siguiente: 1. Haga clic derecho en Mi PC y seleccione Propiedades. 2. En el panel izquierdo, haga clic en los ajustes de sistema Avanzados. Si se le solicita una contraseña de administrador o confirmación, escríbala o proporcione la confirmación. 3. En la ficha Avanzado, bajo desempeño, haga clic en Ajustes. 4. Haga clic en la ficha Avanzado, en seguida bajo memoria virtual seleccione Cambiar. Vea la figura 4-8. Figura 4-8 Administración de Archivos de Paginación
www.pdftron.com 5. Quite la marca de la casilla de verificación Administrar automáticamente el tamaño de archivo de paginación para todas las unidades. 6. Bajo Unidad {Etiqueta de Volumen}, haga clic en la unidad que contiene el archivo de paginación que desee cambiar.
7. Haga clic en el botón de radio Tamaño personalizado, escriba un nuevo tamaño en megabytes en la casilla Tamaño inicial (MB) o Tamaño máximo (MB), seleccione Ajustar y después OK.
Los incrementos de tamaño por lo general no requieren un reinicio para que los cambios tengan efecto, pero si disminuye el tamaño, necesitará reiniciar su comunicación. Se recomienda que no desactive o elimine el archivo de paginación. El tamaño de archivo de paginación predeterminado es igual a 1.5 veces la RAM total. Sin embargo, esta confguración predeterminada puede no ser óptima en todos los casos, en particular con servidores que contienen bases de datos grandes. Por lo tanto, a menos que tenga una aplicación que use un archivo de paginación mayor (por lo general si su sistema utiliza más de 1.5 veces su memoria RAM), deberá considerar agregar más capacidad de RAM a su sistema. Además, si tiene unidades físicas múltiples, puede mover el archivo de paginación desde el volumen de arranque a otro volumen.
Monitoreo y Solución de Problemas de Servidores
127
f Uso del Administrador de Tareas El Administrador de Tareas le da una mirada rápida al desempeño y provee información sobre los programas y procesos que se ejecutan en su computadora. El Administrador de Tareas es uno de los programas más útiles que puede usar para dar una mirada rápida al desempeño y poder ver los programas que están usando la mayoría de los recursos del sistema en su computadora. Puede observar el estado de los programas en operación y los que han dejado de responder, además de detener un programa que se ejecute en la memoria, usando el Administrador de Tareas. Para iniciar el Administrador de Tareas, haga clic derecho en el espacio vacío de la barra de tareas y seleccione Administrador de Tareas o abra el menú de seguridad presionando las teclas Ctrl+Alt+Del y seleccione Iniciar el Administrador de Tareas. Cuando inicie por primera vez el monitor de desempeño en una computadora que ejecute Windows Server 2008 R2, verá seis pestañas en el Administrador de Tareas: • Aplicaciones: Muestra el estado de los programas activos en ejecución y programas que han dejado de responder. Puede terminar, cambiar o iniciar un programa incluyendo Windows Explorer (explorer.exe) si se detiene inesperadamente. • Procesos: Muestra todos los procesos que se ejecutan en la memoria y qué tanto procesamiento y memoria usa cada uno. Para ver los procesos que son propiedad de otros usuarios, necesita seleccionar mostrar procesos de todos los usuarios. Para detener un proceso, haga clic derecho del proceso y seleccione Terminar Proceso. • Servicios: Muestra todos los servicios en ejecución. • Desempeño: Muestra la cantidad de memoria física, uso de CPU y uso de archivo de paginación. • Conexión de red: Muestra cómo se están usando las interfaces de red. • Usuarios: Muestra los usuarios que están registrados actualmente y le da la capacidad de terminar la sesión de otros usuarios.
www.pdftron.com La fcha Desempeño incluye cuatro gráfcas. Las dos gráfcas superiores muestran qué tanto CPU se está usando al momento o minutos antes. (Si la gráfca de Historia de Uso de CPU parece dividida, su computadora tiene múltiples CPUs, un CPU dual-core sencillo o ambos.) Un alto porcentaje, signifca que los programas o procesos requieren de mayores recursos de CPU, que pueden alentar su equipo. Si el porcentaje parece congelado en o cerca de 100%, entonces algún programa podría no estar respondiendo. Vea la fgura 4-9.
128
Lección 4
Figura 4-9 Ficha de Rendimiento de Administrador de Tareas
www.pdftron.com Las dos gráfcas inferiores muestran la cantidad de memoria RAM o física, que se está usando en megabytes (MB) tanto en el momento actual como minutos antes. Si tiene Windows 7 o Windows Server 2008, también puede iniciar el Monitor de Recursos haciendo clic en Monitor de Recursos. El porcentaje de memoria que se usa, se indica en la parte inferior de la ventana del Administrador de Tareas. Si el uso de memoria parece consistentemente alto o el desempeño de su computadora es perceptiblemente bajo, intente reducir el número de programas que tiene abiertos al mismo tiempo o instale más RAM. Para ver el uso de memoria para procesos individuales en su equipo, haga clic en la fcha Procesos. Vea la fgura 4-10. Para ver todos los procesos que se ejecutan actualmente en la computadora, haga clic en Mostrar procesos de todos los usuarios. Para fnalizar un proceso, dé clic en un proceso y posteriormente en Finalizar Proceso.
Monitoreo y Solución de Problemas de Servidores
129
Figura 4-10 Ficha Procesos del Administrador de Tareas
www.pdftron.com Si es un usuario avanzado, podría desear ver otros valores de memoria avanzada en la fcha Procesos. Para hacerlo, haga clic en Ver, luego en Seleccionar Columnas y después seleccione un valor de memoria: • Memoria—Juego de Trabajo: Cantidad de memoria en el juego de trabajo privado más la cantidad de memoria que el proceso está usando, que se puede compartir por otros procesos. • Memoria—Juego de Trabajo Pico: Cantidad máxima de memoria de juego de trabajo usada por el proceso. • Memoria—Delta de Juego de Trabajo: Cantidad de cambio en la memoria de juego de trabajo usada por el proceso. • Memoria—Tamaño Comprometido: Cantidad de memoria virtual que está reservada para uso por un proceso. • Memoria—Pool Paginado: Cantidad de memoria virtual comprometida para un proceso que se puede escribir en otro medio de almacenamiento, tal como el disco duro. • Memoria—Pool No Paginado: Cantidad de memoria virtual comprometida que no se puede escribir en otro medio de almacenamiento.
130
Lección 4
f Monitor de Desempeño El Monitor de Desempeño de Windows es un complemento de la Consola de Administración Microsoft (MMC) que provee herramientas para analizar el desempeño del sistema. Se incluye en las consolas de Administración de computadoras y Administrador de Servidor y se puede ejecutar usando perfmon. Desde una consola sencilla, puede monitorear el desempeño de aplicación y hardware en tiempo real, especifcar qué datos desea recolectar en los registros, defnir umbrales para alertas y acciones automáticas, generar reportes y ver datos de desempeño pasado en una variedad de formas. El monitor de Desempeño provee una muestra visual de los contadores de desempeño de Windows integrados, ya sea en tiempo real o como una manera de revisar los datos históricos. Vea la fgura 4-11. Figura 4-11 Monitor de Desempeño
www.pdftron.com Puede agregar contadores de desempeño al Monitor de Desempeño al hacer clic derecho en el panel principal y seleccionar Agregar Contadores o creando Juegos de Recolector de Datos personalizados (Vea la fgura 4-12). Este presenta múltiples vistas gráfcas que le permiten revisar visualmente los datos de registro de desempeño. Consigue crear vistas personalizadas en el Monitor de Desempeño que se pueden exportar como Juegos de Recolector de Datos para uso con características de desempeño y registro.
Monitoreo y Solución de Problemas de Servidores
131
Figura 4-12 Contadores de Monitor de Desempeño
El Monitor de Desempeño de Windows usa contadores de desempeño, datos de rastreo de eventos e información de confguración, que se pueden combinar en Juegos de Recolector de Datos.
www.pdftron.com • Los contadores de desempeño son mediciones del estado o actividad del sistema. Se pueden incluir en el sistema operativo o pueden ser parte de aplicaciones individuales. El Monitor de Desempeño de Windows solicita el valor actual de los contadores de desempeño en intervalos de tiempo especifcados. • Los datos de rastreo de evento se recolectan de proveedores de rastros, que son componentes del sistema operativo o de aplicaciones individuales que reportan acciones o eventos. La salida de múltiples proveedores de rastreo se puede combinar en una sesión de rastreo. • La Información de Confguración se recolecta a partir de valores clave en el registro de Windows. El Monitor de Desempeño de Windows puede registrar el valor de una clave de registro en un tiempo o intervalo especifcado como parte de un archivo.
Existen cientos de contadores que se pueden agregar. A menudo puede buscar en el Administrador de Tareas. Otros se pueden encontrar en el Monitor de Desempeño. Estos son: • Procesador: %Processor Time mide qué tan ocupado está el procesador. Aunque el procesador puede saltar hasta el 100% de uso no debe estar arriba de 80% la mayoría del tiempo. Si no es así, tiene que actualizarlo (usando un procesador más rápido o agregar procesadores adicionales) o mover algunos de los servicios a otros sistemas. • Ocurre una falla de página cuando un proceso intenta tener acceso a una página de memoria virtual, que no está disponible en su juego de trabajo en RAM. Si las páginas/seg. son 20 o más, debe incrementar la memoria. • Si el archivo de paginación es 1.5 veces la memoria RAM (o mayor para aplicaciones especializadas) debe incrementar la memoria. • Physical Disk:%Avg. La Longitud de Cola de Disco es el número promedio de solicitudes de lectura o solicitudes de escritura en cola para el disco en cuestión. Un promedio sostenido mayor a 2 indica que el disco se está usando en exceso.
132
Lección 4
f Monitor de Recursos El Monitor de Recursos de Windows es una herramienta de sistema que le permite ver información sobre el uso del hardware (CPU, memoria, disco y red) y recursos de software (manejadores y módulos de archivo) en tiempo real. Puede fltrar los resultados de acuerdo con procesos o servicios específcos que desee monitorear. Además, puede usar el Monitor de Recursos para arrancar, parar, suspender y reanudar procesos y servicios como para solucionar problemas cuando una aplicación no responda como se espera. El Monitor de Recursos de Windows es una poderosa herramienta para entender cómo se usan los recursos de su sistema por procesos y servicios. Además de monitorear el uso de recursos en tiempo real, el Monitor de Recursos puede ayudarlo a analizar procesos que no responden, identifcar las aplicaciones que están usando archivos y controlar procesos y servicios. Para iniciar el Monitor de Recursos, ejecute el comando resmon.exe. Vea la fgura 4-13. Figura 4-13 Monitor de Recursos
www.pdftron.com El Monitor de Recursos tiene cinco fchas: Revisión, CPU, Memoria, Disco y Red. La fcha Revisión despliega la información de uso básico de recursos del sistema; las otras muestran la información sobre cada recurso específco. Cada fcha en el Monitor de Recursos incluye múltiples tablas que proporcionan información detallada sobre el recurso presentado en ella. Para identifcar el proceso más alto con el uso de CPU actual: 1. Haga clic en la fcha CPU. 2. En Procesos, haga clic en CPU para clasifcar los procesos por consumo de recurso de CPU actual. Para ver el uso de CPU de servicio por proceso: 1. Haga clic en la fcha CPU.
Monitoreo y Solución de Problemas de Servidores
133
2. En Procesos, en la columna de Imagen, seleccione la casilla de verifcación junto al nombre del servicio para el cual desee ver los detalles de uso. Puede seleccionar múltiples servicios. Los seleccionados se mueven a la parte superior de la columna. 3. Haga clic en la barra de título de Servicios para expandir la tabla. Revise los datos en Servicios para ver la lista de procesos alojados por los servicios seleccionados y para ver su uso de CPU. Para identifcar los procesos que usan un archivo: 1. Haga clic en la fcha de CPU y posteriormente en la barra de título de Manejadores Asociados para expandir la tabla. 2. Haga clic en la casilla Buscar Manejadores, escriba el nombre del archivo que desea buscar y a continuación en Buscar. Para identifcar la dirección de red a la que está conectada un proceso: 1. Haga clic en la fcha Red y después en la barra de título de Conexiones TCP para expandir la tabla. 2. Ubique el proceso para el que quiere identifcar la conexión de red. Si hay una cantidad grande de entradas en la tabla, puede hacer clic en Imagen para clasifcar el nombre de archivo ejecutable. 3. Revise las columnas Dirección Remota y Puerto Remoto, para ver a qué dirección de red y puerto está conectado el proceso.
www.pdftron.com Introducción a la Continuidad de Negocio È EN RESUMEN
Cuando se descompone un servidor, es muy probable que su compañía pierda dinero. Si su red contiene un sitio Web externo o base de datos que controla sus ventas, pedidos, inventario o producción, el tiempo de inactividad del servidor puede ser perjudicial para las necesidades de negocio. Si es un servidor interno, no permite que sus usuarios realicen sus trabajos. En cualquier caso, su compañía está perdiendo dinero, ya sea porque no hay ingresos o por no haber productividad. ; Listo para la Certificación Si falla el servidor, ¿sabe cómo podría haber prevenido la falla? —6.2
Como administrador de servidor, necesita minimizar el tiempo de inactividad al identifcar fallas potenciales y tomar pasos para evitarlas reduciendo así sus efectos. High availability es un protocolo de diseño de sistema e implementación relacionado, que asegura cierto grado de continuidad operativa durante un periodo de medición determinado. Por lo general, el término tiempo de inactividad se usa para referirse a los periodos en los que un sistema no está disponible. La disponibilidad, por lo general, se expresa como porcentaje de tiempo de actividad en un año determinado, como se muestra en la Tabla 4-2.
134
Lección 4
Tabla 4-2 Directrices de disponibilidad
99% 99.9% (“tres nueves”) 99.99% (“cuatro nueves”) 99.999% (“cinco nueves”) 99.9999% (“seis nueves”)
Tiempo de Inactividad por Año 3.65 días 8.76 horas 52.6 minutos 5.26 minutos 31.5 segundos
Tiempo de Inactividad por Mes 7.20 horas 43.2 minutos 4.32 minutos 25.9 segundos 2.59 segundos
Cuando se diseñan los servidores y los servicios que estos proporcionan, a menudo se les asignan acuerdos de nivel de servicio (SLA), que mencionan el nivel de disponibilidad que deben mantener tales servidores o servicios. Por supuesto, tener un diseño de servidor que pueda soportar cinco o seis nueves es mucho más costoso que soportar una disponibilidad de 99%.
Introducción a los Componentes tolerantes a falla Para hacer al servidor más tolerante a fallas, lo primero que debe hacer es estar seguro de cuales componentes son más proclives a fallar e implementar la tecnología para reducir las probabilidades de errores en el sistema. Algunos de los componentes que son redundantes dentro de un sistema son:
www.pdftron.com • Discos: Use alguna forma o RAID y hot spares. • Suministros de energía: Use suministros de energía redundantes. • Tarjetas de red: Use tarjetas de red redundantes.
Los discos RAID y hot spares ya se discutieron en la Lección 3.
Se ha mencionado en este libro que los dispositivos mecánicos frecuentemente fallan más que los dispositivos eléctricos. Un suministro de energía es un dispositivo mecánico que convierte energía CA en energía CD limpia y posee ventiladores para enfriamiento. Para sistemas que no se pueden tener inactivos, estos deben contar con suministros de energía redundantes.
Si no puede instalar procesadores tolerantes a falla y memoria redundante, los servidores de alto rendimiento tienen características adicionales para hacerlo más resistente a errores del hardware y cuentan con monitoreo adicional de los componentes clave incluyendo procesadores, RAM, la motherboard y el almacenamiento. Por ejemplo, los servidores de alto rendimiento usan una memoria de Código de Corrección de Error (ECC) más costosa, que tiene circuitos especiales para probar la precisión de los datos conforme entran y salen de la memoria. Además la memoria ECC corrige un bit sencillo con falla en un bloque de 64 bits. Algunos de estos servidores cuando se combinan con la versión Windows Server 2008 Enterprise y Datacenter le permiten agregar o reemplazar en caliente los procesadores y la memoria sin retirar el servidor del servicio.
Teaming de Tarjetas de Red El teaming de NIC es el proceso de agrupar dos o más NIC físicas en una sola NIC lógica, que se pueden usar para tolerancia a falla de red y un incremento de ancho de banda por medio de balanceo de carga. Para hacer un sistema tolerante a fallas, también necesita tener interruptores redundantes, donde una tarjeta de red de un equipo se conecte a un interruptor y la otra tarjeta de red se conecta a otro. De esta forma, si el interruptor falla, todavía se puede comunicar por medio de la red.
Monitoreo y Solución de Problemas de Servidores
135
Para soportar el teaming NIC, la tarjeta de red, el controlador de la tarjeta de red y el interruptor,deben soportar la misma tecnología de teaming; tal como agregación de enlace 802.3ad. Entonces, lo más probable es que tendrá que instalar y confgurar software especializado para activar el equipo.
f Qué es el Clúster El clúster de la computadora es un grupo de equipos enlazados que trabajan juntos, como uno solo. En base a la tecnología usada, los clústers pueden proporcionar tolerancia a fallas (a menudo referidos como disponibilidad), balanceo de carga o ambos. Si el sistema falla, incluyendo el procesador, la memoria o la motherboard; un clúster que proporciona tolerancia todavía puede atender solicitudes. Las dos formas más populares de clústers, son los de caso de falla y los de balanceo de carga. Un uso común de los clústers incluye: • Un clúster en caso de falla para servidores de extremo trasero, tal como una base de datos (como SQL Server) o servidor de correo (tal como Exchange Server). • Un clúster de balanceo de carga para el extremo frontal que proporcione la interfaz de web para los servidores de extremo posterior.
Introducción de Clústers en caso de falla
www.pdftron.com Un clúster en caso de falla es un juego de computadoras independientes que trabajan juntas para incrementar la disponibilidad de los servicios y aplicaciones. Los servidores con clústeres (llamados nodos) se conectan por medio de cables físicos y software. Si uno de los nodos falla, otro comienza a proporcionar los servicios (un proceso conocido como failover o en caso de falla). Los clústers en caso de falla se pueden usar para un amplio rango de servicios de red incluyendo aplicaciones de base de datos como Exchange Server o SQL Server, servidores de archivos, servicios de impresión o servicios de red como los servicios DHCP. El clúster a prueba de falla más común es el clúster activo-pasivo, en este, ambos servidores se confguran para trabajar como uno, pero sólo uno a la vez (aunque únicamente uno es el que da servicios). El nodo activo proporciona los servicios de red mientras que el pasivo espera alguna falla del otro al grado de que no pueda proporcionar servicios de red. Si el nodo activo sale de servicio, el pasivo se vuelve el activo y continúa proporcionando los servicios de red.
Otro tipo de clúster en caso de falla, es el nodo activo-activo que está diseñado para proporcionar tolerancia a fallas y balanceo de carga. Los servicios de red se dividen en dos grupos. Un nodo del clúster ejecuta un juego de servicios de red mientras que el otro ejecuta otro juego de servicios. Ambos nodos están activos. Si uno falla, el nodo óptimo restante absorberá el trabajo encargándose de proporcionar todos los servicios de red. Para crear un failover usando Windows Server 2008, necesitará dos servidores que sean compatibles con Windows Server 2008 y que tengan componentes de hardware idénticos. Además, deben ejecutar el mismo Windows Server 2008 Enterprise o Windows Server 2008 Datacenter incluyendo la misma versión de hardware, de 32 o 64 bits y requieren tener las mismas actualizaciones de software y service packs. Además, tienen que ser parte del mismo dominio. Los nodos de clúster se mantienen alertas respecto al estado de los otros nodos y servicios a través del usuario, usando latidos que se envían a través de una tarjeta de red dedicada.
136
Lección 4
Por lo tanto, necesitará tener por lo menos dos adaptadores de red; uno para el latido y otro para enlazar el tráfco normal. Ya que los servidores proporcionan acceso a los mismos archivos o bases de datos, regularmente utilizarán el mismo almacenamiento central tal como un SAN. Para crear un clúster en Windows Server 2008, primero debería instalar la característica Failover Cluster (Clúster en Caso de Falla). En seguida valide la confguración de su hardware y posteriormente elabore un clúster usando el Administrador de Clúster en Caso de Falla.
Introducción a los Clústers de balanceo de carga El balanceo de carga /balanceo de carga de red (NLB), es cuando múltiples computadoras están confguradas como un servidor virtual para compartir la carga de trabajo entre múltiples equipos. En lo que se refere a los usuarios, tienen acceso a la máquina virtual y las solicitudes se distribuyen entre los nodos dentro del clúster. El NLB permite la disponibilidad y escalabilidad de las aplicaciones del servidor de Internet como son las que se usan en Web, FTP, frewall, proxy, red privada virtual (VPN) y otros servidores críticos de misión. Cada nodo en el clúster NLB tiene asignado un juego único de direcciones IP de clúster, de forma tal que los usuarios puedan tener acceso al mismo y las solicitudes se distribuyen entre los varios nodos. Además, cada nodo tiene sus propias direcciones IP dedicadas para cada host. Para aplicaciones balanceadas de carga, cuando un host falla y sale de línea, la carga se redistribuye automáticamente entre las computadoras que todavía están en operación.
www.pdftron.com Para que cada nodo mantenga el monitoreo del estado de cada uno, el clúster NLB intercambia mensajes de latido. De manera determinada, cuando un host falla en enviar mensajes de latido dentro de cinco segundos, es porque tiene falla. Cuando el host falla, los restantes en el clúster convergen para determinar cuáles todavía son miembros activos; eligen el host con mayor prioridad como el nuevo host predeterminado y asegurar que se manejen todas las solicitudes nuevas de cliente por medio de los hosts sobrevivientes. La convergencia comúnmente sólo toma unos cuantos segundos, así que la interrupción en el servicio del cliente por parte del clúster es mínima. Durante la convergencia, los hosts que todavía están activos continúan manejando las solicitudes de clientes sin afectar las conexiones existentes. La convergencia termina cuando todos los hosts reportan una vista consistente de la membresía del clúster y el mapa de distribución durante varios periodos de latido.
f Qué es la Energía Sin electricidad, no funcionará el servidor. Incluso si tiene suministros de energía redundantes, no puede protegerlo contra un apagón u otras formas de fuctuaciones de energía. En estas situaciones, su compañía debe buscar suministros de energía ininterrumpibles y generadores para proporcionar energía cuando no esté disponible desde la compañía eléctrica. Un suministro de energía ininterrumpible (UPS) es un dispositivo eléctrico que consiste en una o más baterías que proporcionan energía de respaldo cuando ocurre un apagón. Las unidades UPS varían en tamaño desde las diseñadas para proteger una computadora sencilla sin monitor de video (alrededor de 200 VA nominal), hasta grandes unidades que proveen energía a centros de datos o edifcios completos. Para los cuartos de servidores con buena cantidad de ellos, lo más probable es que instale uno o más bastidores llenos
Monitoreo y Solución de Problemas de Servidores
137
de baterías o dispositivos UPS. Para despliegues menores, puede tener un UPS sencillo conectado a un servidor individual o computadora esencial. También necesita que el UPS proteja otros sistemas y dispositivos clave, como los routers primarios, interruptores y dispositivos de telecomunicación. Lo que la mayoría de las personas nuevas en TI ignoran es que las UPSs no están diseñadas para proporcionar energía por periodos prolongados de tiempo. Generalmente fueron diseñadas para proporcionar energía por corto tiempo en situación de apagones momentáneos y permitir el tiempo adecuado para realizar un paro en un servidor o cambiar al generador de energía. Un generador de energía o generador de energía de reserva, es un sistema eléctrico de respaldo que opera automáticamente dentro de unos cuantos segundos en caso de apagón. Los sistemas de generación de energía de reserva automáticos, también pueden ser requeridos por los códigos de construcción para sistemas de seguridad críticos, tales como elevadores en edifcios altos, sistemas de protección contra incendios, iluminación de reserva, o equipo médico o de soporte de vida. Por supuesto, ya que la energía es un componente imprescindible para su servidor y red, necesitará realizar pruebas periódicas para asegurarse que el UPS suministre energía durante el tiempo necesario y que el generador pueda encender conforme lo necesite.
Qué son los Respaldos
www.pdftron.com È EN RESUMEN
Los datos almacenados en una computadora o en la red, son vitales para los usuarios y la organización. Representan horas de trabajo y pueden ser irremplazables. Uno de los componentes más esenciales de cualquier diseño de servidor es el proceso de respaldo. No importa qué tanto esfuerzo, hardware y software ponga en su sistema; en cualquier momento puede experimentar una falla. En ocasiones cuando ocurre el tiempo de inactividad, puede suceder una pérdida de datos. º Tome Nota ¡El mejor método para la recuperación de datos es respaldar, respaldar, respaldar!
Un respaldo o el proceso de respaldar se refere a hacer copias de los datos, de tal forma que estas se puedan usar para restaurar los originales, después de un evento de pérdida de datos. Se pueden usar para restaurar sistemas completos después de un desastre o para restaurar pequeños juegos de archivos que se eliminaron accidentalmente o corrompieron. Cuando planee sus respaldos, también necesita decidir dónde va a almacenarlos archivos. Es muy difícil respaldar todos los archivos, si los tiene almacenados en toda su corporación, incluso si permite a los usuarios conservar los archivos en sus máquinas locales. Seguramente necesitará usar alguna forma de tecnología que mantenga sus archivos dentro de un número limitado de ubicaciones. Por ejemplo, puede usar la redirección de archivo para el Escritorio y Mis Documentos para almacenar en un servidor de archivos al confgurar los perfles de usuario. Existen múltiples tecnologías disponibles para ayudar a concentrar sus datos. Microsoft ofrece el Sistema Distribuido de Archivos (DFS), que se puede usar para replicar carpetas compartidas a otros servidores. Además, tanto Microsoft SQL Server como Microsoft Exchange Server tienen tecnología para replicar bases de datos a otros servidores, incluso en otras ubicaciones.
138
Lección 4
f Introducción a los Medios de Respaldo Con las primeras redes y servidores, el respaldo se realizaba con discos fexibles. Desafortunadamente, los discos fexibles eran muy limitados en su capacidad, velocidad, y periodo de vida. Eventualmente, se desarrollaron cintas magnéticas y se convirtieron en el mecanismo estándar, usado por las corporaciones para realizar respaldos y almacenamiento. Más recientemente, la tecnología competitiva es el almacenamiento en disco duro y los discos ópticos se han vuelto más comunes para los respaldos. Tradicionalmente, las cintas magnéticas han sido el medio usado más común para almacenamiento, respaldo, y archivo de datos en volumen. La cinta es un medio de acceso de secuencia, así que aunque los tiempos de acceso pueden ser defcientes, la velocidad para escribir o leer datos continuamente puede ser en realidad muy rápida. Para organizaciones mayores, puede usar múltiples unidades de cinta conectadas entre sí, con una biblioteca de cinta que puede cambiar y administrar las cintas automáticamente. Recientemente, debido al incremento de capacidad de menor costo, los discos duros se han convertido en una opción viable para los respaldos. Los discos duros se pueden incluir en la SAN, NAS, discos duros internos y externos. Algunos sistemas de respaldo basados en disco, tal como las bibliotecas de cinta virtual, soportan la des-duplicación de datos, que puede reducir considerablemente la cantidad de almacenamiento de disco, consumida por los datos de respaldo diario y semanal. Por lo general cuando se usan discos duros para respaldos, los mismos se emplean para proporcionar un respaldo de datos recientes, estos se copian a una cinta y se retiran del sitio para almacenamiento y archivado a largo plazo. Si ocurriese una falla, se puede restaurar rápidamente desde los discos. Si necesita recuperar o leer datos pasados, entonces tendrá que recuperar las cintas del lugar, fuera del sitio y leerlas.
www.pdftron.com Otro medio que se está volviendo más muy popular para los respaldos, son los discos ópticos grabables, tales como CDs, DVDs e incluso Blue-ray. Desafortunadamente, los formatos más recientes son más caros, lo que puede prohibir su uso para los respaldos. También existe preocupación respecto al periodo de vida del disco óptico seleccionado, ya que algunos se degradan y pierden los datos dentro de un par de años.
f Introducción a los artículos de respaldo Cuando personas inexpertas piensan en respaldos, probablemente quieran respaldar archivos de datos como documentos de Microsoft Word o Excel. Sin embargo, hay muchas cosas y no sólo archivos de datos. También hay archivos de programa que hacen que su computadora realice lo requerido. Además, tiene buzones de correo, bases de datos de correo electrónico, bases de datos SQL y otros tipos de datos que necesitan software especial para leerse y respaldarse. Además, cuando determine qué y cuán a menudo respaldar, también debe tomar en cuenta el tiempo que tomará reinstalar, reconfgurar o recuperar el artículo. Por ejemplo, Microsoft Exchange puede llevar días para instalarse y confgurarse, pero sólo un periodo de tiempo relativamente corto para reinstalar desde el respaldo. Cuando planee respaldos, debe aislar sus archivos de programa y de datos. Los archivos de programa por lo general no cambian, así que no se tienen que respaldar a menudo. Los archivos de datos cambian a menudo por lo tanto se deben respaldar con mayor frecuencia. Si los aísla en áreas diferentes, puede crear diferentes políticas de respaldo para cada área. Las bases de datos consisten en uno o más archivos de base de datos y uno o más archivos de registro. El archivo primario de datos es el punto de inicio y apunta a los demás archivos. Cada base de datos tiene uno o más archivos primarios. La extensión del nombre de archivo recomendada para los archivos primarios de datos es .mdf.
Monitoreo y Solución de Problemas de Servidores
139
Los archivos de registro conservan toda la información que se usa para recuperar la base de datos. Por ejemplo, puede restaurarla completa tal como está o sólo hasta cierto punto en el tiempo, si tiene los archivos de registro completos. La extensión de nombre de archivo recomendada para los archivos de registro es .ldf. Otro artículo que se debe cubrir es el estado del sistema, que es la recolección de los componentes del sistema, que no están contenidos en un archivo simple, pero que se pueden respaldar fácilmente. Estos son: • • • • • • • • •
Archivos de arranque (boot.ini, NTLDR, NTDetect.com) Carpeta DLLScache Registro (incluyendo los ajustes COM) SYSVOL (Directiva de Grupo y scripts de registro) Directorio activo NTDS.DIT (controladores de dominio) Almacenamiento de Certifcado (si el servicio está instalado) Perfles de usuario Información COM+ y WMI Metabase IIS
El respaldo de Windows y los paquetes de software de respaldo más comerciales, permiten almacenar el estado de sistema de Windows. Si desea realizar una restauración completa del sistema que ejecuta, necesitará respaldar todos los archivos del disco y del estado del sistema.
www.pdftron.com f Métodos de respaldo
Cuando planee o implemente respaldos, necesitará determinar cuándo y qué tan a menudo los va a hacer; qué hardware y software va a usar, así como dónde y por cuánto tiempo los almacenará.
Métodos de administración de medios Cuando planee un respaldo, este necesita equilibrarse entre accesibilidad, seguridad y costo. Las organizaciones más grandes frecuentemente combinan uno de los siguientes métodos de administración: • En línea: El tipo más accesible de almacenamiento de datos por lo general es usando discos duros o conjuntos de ellos. La restauración puede comenzar en milisegundos, pero puede ser relativamente costoso. Además, el almacenamiento en línea se puede eliminar o sobrescribir fácilmente por accidente, así como de manera intencional. • Near-line: Comúnmente menos accesible y menos costoso que el almacenamiento en línea. Consiste en una biblioteca de cinta con tiempo de restauración que puede comenzar en segundos o minutos. • Fuera de línea: Requiere un poco de acción humana directa, para cargar físicamente las cintas en una biblioteca o unidad de cinta. El tiempo de acceso puede variar desde minutos hasta horas, incluso días, si tiene que pedir las cintas desde un área de almacenamiento fuera del sitio. • Sitio de respaldo o sitio DR: En el caso de un desastre, puede cambiar al sitio de respaldo/sitio DR mientras arregla o repara el sitio primario. Desafortunadamente, este método es la solución más costosa y la más difícil de implementar adecuadamente.
140
Lección 4
Mirada a los tipos de respaldo Cuando planee y realice un respaldo, el software de respaldo especializado por lo general incluirá diferentes tipos de respaldo; cada uno con variación en el tiempo que le toma hacer un respaldo y restaurar. Los respaldos tradicionales son: • Respaldo completo • Respaldo completo con respaldos de incremento • Respaldo completo con respaldo diferencial Los respaldos completos preservan todos los archivos y datos designados. Para los archivos, puede desactivar un atributo del mismo para indicar que fue respaldado. Por ejemplo, con un respaldo completo, puede respaldar una vez al día, una vez a la semana o una vez al mes dependiendo de la importancia de los datos y qué tan a menudo cambien. Para realizar una restauración a partir de un respaldo completo, sólo necesita tomar el último: este ofrece la restauración más rápida. Los respaldos completos con respaldo incrementales comienzan con uno completo seguido por varios de incremento. Por ejemplo, una vez a la semana, realiza un respaldo completo la noche del viernes, que desactiva el atributo del archivo el cual indica que los archivos fueron protegidos. Entonces, cualquier archivo nuevo o con cambio tendría el atributo de archivo activado. Así realizaría un respaldo de incremento en la noche del lunes, martes, miércoles y jueves, que sólo respalda los archivos nuevos y con cambios y desactiva el atributo de archivo. Cuando hace una restauración, sustituye el último respaldo completo y después cada uno desde el más viejo al más nuevo y ofrecen una restauración más rápida.
www.pdftron.com El respaldo completo con respaldo diferencial comienza con el primero seguido por varios de los segundos. Por ejemplo, una vez a la semana, realizaría un respaldo completo en la noche del viernes, que desactiva el atributo de archivo e indica que los mismos fueron respaldados. Entonces, cualquier archivo nuevo o con cambios, tendrían el atributo de uno activado. Así realizaría un respaldo diferencial la noche del lunes, martes, miércoles y jueves, que sólo respalda los archivos nuevos o con cambios desde el último respaldo completo, pero no desactiva el atributo de archivo. Cuando realice una restauración, restaure el último respaldo completo y el último respaldo diferencial.
Otro tipo de respaldo que está disponible y que contiene el software de respaldo de Microsoft, es el de copia. Un respaldo de copia resguarda los archivos designados, pero no desactiva el atributo de archivo. Éste se usa para respaldos improvisados, tal como antes de hacer un cambio al sistema o aplicación. Ya que no modifca el atributo de archivo y no interferirá con sus programas de respaldo normales.
Mirada a los Esquemas de Rotación de Respaldo Algo que se debe preguntar es: “¿Qué tan a menudo debo hacer un respaldo?” La respuesta variará con base en sus necesidades. Primero debe considerar qué tan importantes son sus datos y qué tanto esfuerzo se requiere para restaurarlos. También debe considerar cuanto afectaría a su compañía si perdiera su información. Los datos importantes o críticos se deben respaldar cada noche. Los datos que no cambian demasiado se pueden respaldar cada semana y los que no sufren cambios mensualmente. La siguiente pregunta debería ser “¿Con qué frecuencia debo guardar mis respaldos?” La respuesta no es tan fácil de contestar debido a que en realidad está basada en las necesidades de su organización incluyendo los requerimientos legales que debe seguir la misma.
Monitoreo y Solución de Problemas de Servidores
141
Otra consideración que debería tener en mente, es que los respaldos también fallan de vez en cuando. Por lo tanto, los debe probar periódicamente haciendo una restauración para asegurarse que el respaldo esté funcionando y que está respaldando los archivos necesarios. Segundo, debe tener algún tipo de rotación. Un esquema de rotación de respaldo común es el grandfather-father-son (GFS). El respaldo “son” (hijo) se hace una vez al día y se rotan en una base diaria. Al fnal de la semana, el respaldo diario se promueve a uno semanal. Los respaldos semanales o “father” (padre) se rotan en una base semanal con uno promoviéndose a estado “grandfather” (abuelo) cada mes. Los respaldos mensuales por lo general se enviarán fuera del sitio; por supuesto, esto se basa en sus necesidades sobre cuales deben mandarse.
f Introducción al respaldo de Microsoft Windows Windows incluye el Respaldo de Microsoft Windows, que le permitirá respaldar el sistema. Sin embargo, los paquetes de software de respaldo de terceros usualmente ofrecen más características y opciones. Para tener acceso a las herramientas de respaldo y recuperación para Windows Server 2008, debe instalar las Herramientas de línea de Comando de Respaldo de Windows Server y los artículos de Windows PowerShell, que están disponibles en el Asistente de Agregar Características en el Administrador de Servidor. Para ejecutar el Respaldo de Windows Server, debe ser miembro del grupo de Operadores o Administradores de Respaldo.
www.pdftron.com Puede crear un respaldo usando el Asistente de Programación de Respaldo o usando la opción Respaldar Una Vez. Puede respaldar cualquier disco local o una carpeta compartida en otro servidor.
Æ Crear un Programa de Respaldo
PREPÁRESE. Para crear un programa de respaldo usando la interfaz de usuario de Respaldo de Windows Server: 1. Haga clic en Inicio después en Herramientas Administrativas y después en Windows Server Backup.
2. En el panel de Acciones de la página predeterminada del complemento, bajo Windows Server Backup, haga clic en Programar Respaldo. Esto abre el Asistente de Programación de Respaldo. 3. En la página Comenzando, haga clic en Siguiente. 4. En la página Seleccionar Configuración de Respaldo, haga clic en Servidor Completo o Personalizado y seleccione Siguiente (Servidor Completo respalda todos los volúmenes en el servidor y Personalizado respalda sólo ciertos volúmenes). En la página de Seleccionar artículos de respaldo, seleccione las casillas de verificación para los volúmenes que desea respaldar y elimine las casillas de verificación para los volúmenes que desee excluir. Vea la figura 4-14.
142
Lección 4
Figura 4-14 Selección de Configuración de Respaldo
5. En la página Especificar Hora de Respaldo (Vea la figura 4-15), haga clic en Una vez al día o en Más de una vez al día. En seguida ingrese la hora u horas para comenzar los respaldos. Cuando lo complete, dé clic en Siguiente.
www.pdftron.com Figura 4-15
Especificar Hora de Respaldo
Monitoreo y Solución de Problemas de Servidores
143
6. En la página Seleccionar disco de destino, seleccione la casilla de verificación para el disco que desee conectar para este propósito y después haga clic en Siguiente. 7. En la página Etiquetar disco de destino, se indica el disco que seleccionó. Una etiqueta que incluye el nombre de su computadora, la fecha y hora actual y el nombre del disco se asigna al mismo. Haga clic en Siguiente. 8. En la página Confirmación, revise los detalles y a continuación haga clic en Terminar. El asistente formatea el disco, lo que puede tomar varios minutos dependiendo del tamaño del mismo. 9. En la página Resumen, haga clic en Cerrar.
Windows Server Backup almacena los detalles sobre sus respaldos en un archivo llamado catálogo de respaldo. Este se almacena en el mismo lugar que sus respaldos. Ya que el catálogo especifca lo que está dentro de un respaldo, necesita el catálogo de respaldo para usar un archivo de respaldo de Windows.
Æ Recuperar de catálogo de respaldo PREPÁRESE. Para recuperar un catálogo de respaldo usando el Asistente de Recuperación de Catálogo: 1. Haga clic en Inicio seleccione en Herramientas Administrativas y después en Windows Server Backup.
www.pdftron.com 2. En el panel de Acciones de la página predeterminada del complemento, bajo Windows Server Backup, haga clic en Recuperar Catálogo. Esto abre el Asistente de Recuperación de Catálogo.
3. En la página Especificar tipo de almacenamiento, si no tiene un respaldo que pueda usar para recuperar el catálogo y sólo desea eliminarlo, haga clic en No tengo ningún respaldo utilizable, posteriormente en Siguiente y después en Terminar. Si tiene un respaldo que pueda usar, especifique si el mismo está en una unidad local o una carpeta compartida remota, y después en Siguiente. 4. Si el respaldo está en una unidad local (incluyendo DVDs), en la página Seleccionar ubicación de respaldo, seleccione la unidad que contiene el respaldo que desee usar a partir de la lista desplegable. Si utiliza DVDs, asegúrese que el último DVD de la serie esté en la unidad. Haga clic en Siguiente. 5. Si el respaldo está en una carpeta compartida remota, en la página Especificar carpeta remota, escriba la ruta a la carpeta que contiene el respaldo que desea usar y después haga clic en Siguiente. 6. Recibirá un mensaje de que no puede tener acceso a los respaldos tomados, después del respaldo que esté usando para la recuperación. Haga clic en Sí. 7. En la página Confirmación, revise los detalles y después haga clic en Terminar para recuperar el catálogo. 8. En la página de Resumen, haga clic en Cerrar.
144
Lección 4
Una vez completada la recuperación del catálogo o que lo haya eliminado, debe cerrar y después volver a abrir Windows Server Backup para actualizar la vista. Shadow Copy (Servicio de Instantánea de Volumen o Servicio de copia Sombra de Volumen o VSS) es una tecnología incluida con Microsoft Windows que le permite tomar una instantánea de los datos, incluso si están bloqueados en un volumen y punto específco en el tiempo que evitaría realizar una copia. Hoy en día, la mayoría del software de respaldo usa VSS para hacer respaldos de archivos dentro de Windows.
f Qué son las instantáneas de carpetas compartidas Windows Server 2003 introduce una nueva característica llamada instantáneas de carpetas compartidas, que también se usa en Windows Server 2008. Las instantáneas, cuando se confguran, crean automáticamente copias de respaldo de los datos almacenados en las carpetas compartidas en volúmenes de unidad NTFS específca en tiempos programados. Las Instantáneas permiten a los usuarios recuperar versiones previas de archivos y carpetas por sí mismos, sin requerir que el personal de TI restaure los archivos o carpetas desde el medio de respaldo. Por supuesto, necesita tener sufciente espacio en disco para almacenar las instantáneas, por lo menos 100 MB de espacio libre.
Æ Activar y configurar las instantáneas
www.pdftron.com PREPÁRESE. Para activar y configurar las Instantáneas de Carpetas Compartidas:
1. Haga clic en Inicio, clic en Herramientas Administrativas y después en Administración de computadoras. 2. En el árbol de la consola, haga clic derecho sobre Carpetas Compartidas, posteriormente en Todas las Tareas y después en Configurar Instantáneas. 3. En Seleccionar un volumen, haga clic en el volumen para el que desea activar las Instantáneas de Carpetas Compartidas y después en Activar. Vea la figura 4-16.
4. Verá una alerta diciendo que Windows creará una instantánea ahora con los ajustes actuales y que los ajustes podrían no ser adecuados para servidores con altas cargas de I/O. Haga clic en Sí si desea continuar o No si desea seleccionar un volumen o ajustes diferentes. 5. Para realizar los cambios al programa predeterminado y área de almacenamiento, haga clic en Ajustes.
Monitoreo y Solución de Problemas de Servidores
145
Figura 4-16 Activación de Instantáneas
www.pdftron.com Una vez que active las Instantáneas de Carpetas Compartidas y comience a crear instantáneas, puede usar la característica de Versiones Previas para recuperar las versiones previas de los archivos y carpetas o archivos, así como carpetas que se han renombrado o fueron eliminados.
Æ Restaurar una versión previa de un archivo o carpeta
PREPÁRESE. Para restaurar una versión previa de un archivo o una carpeta:
1. Ubique el archivo o carpeta que desee restaurar, haga clic derecho en él y seleccione Propiedades. Aparecerá el cuadro de diálogo de Propiedades. 2. Haga clic en la ficha Versiones Previas, luego en la versión del archivo que desee restaurar y después haga clic en Restaurar. Aparecerá un mensaje de advertencia respecto a restaurar a la versión previa. Haga clic en restaurar para completar el procedimiento. Vea la figura 4-17.
146
Lección 4
Figura 4-17 Restauración de Versión Previa
www.pdftron.com Restaurar a una versión previa eliminará la versión actual. Si elije restaurar una versión previa de una carpeta, la carpeta se restaurará en su estado en la fecha y hora de la versión que seleccionó. Perderá cualquier cambio que haya hecho a los archivos en la carpeta desde esa ocasión. En su lugar, si no desea eliminar la versión actual de un archivo o carpeta, haga clic en Copiar para copiar la versión previa a una ubicación diferente.
Realizar reparación de servidor È EN RESUMEN
Cuando un servidor no arranca, existen varias herramientas que están disponibles para ayudarlo. Algunas de ellas ya se han discutido, tales como el arranque de la computadora en modo seguro o usar la herramienta de Confguración del Sistema. Se incluyen otras herramientas con el disco de instalación de Windows. Para computadoras que ejecutan Windows Server 2003, puede usar la Consola de Recuperación, que es una herramienta de línea de comando que puede usar para reparar Windows si la computadora no arranca correctamente. Puede iniciar la Consola de Recuperación desde el CD de Windows Server 2003, o durante el arranque por medio del menú de arranque si instaló anteriormente la Consola de Reparación.
Monitoreo y Solución de Problemas de Servidores
147
Æ Ejecute la Consola de Recuperación PREPÁRESE. Para ejecutar la Consola de Recuperación desde el CD o DVD de Windows, siga estos pasos: 1. Inserte el disco de Windows Server 2003 en la unidad de CD o DVD y reiníciela. 2. Cuando reciba el mensaje que le solicita que presione cualquier tecla para iniciar desde el CD, presione una tecla para arrancar la computadora desde el CD de Windows Server 2003. 3. Cuando aparece la pantalla de Bienvenido a la Configuración, presione la tecla R para iniciar la Consola de Reparación (Vea la figura 4-18). Figura 4-18 Presione R para iniciar la Consola de Recuperación
www.pdftron.com 4. Seleccione la instalación de Windows a la que debe tener acceso desde la Consola de Recuperación. 5. Siga las instrucciones que aparecen en la pantalla, escriba la contraseña de Administrador y presione Intro.
6. En el aviso de comando, escriba los comandos de la Consola de Recuperación apropiados para reparar su instalación de Windows Server 2003. Vea la figura 4-19. Figura 4-19 Consola de Recuperación
148
Lección 4
7. Para salida de la Consola de Recuperación y reiniciar la computadora, escriba salida en el aviso de comando, y después presione Intro.
Æ Instalar la Consola de Reparación PREPÁRESE. Para instalar la Consola de Recuperación como opción de arranque: 1. Mientras se esté ejecutando Windows, inserte el CD de Windows Server 2003 en la unidad de CD o DVD. 2. Haga clic en Inicio y luego en Ejecutar. 3. En el cuadro Abrir, escriba la siguiente línea, donde “drive” es la letra de la unidad de CD o unidad de DVD de la computadora que contiene el CD de Windows Server 2003 y después haga clic en OK: drive:\i386\winnt32.exe /cmdcons 4. Para instalar la Consola de Recuperación como opción de arranque para Windows Server 2003 edición x64, escriba la siguiente línea: drive:\amd64\winnt32.exe /cmdcons 5. Haga clic en Sí cuando aparezca el mensaje, para instalar la Consola de Recuperación.
www.pdftron.com 6. Cuando reciba el mensaje que menciona que la Consola de Reparación se instaló exitosamente, haga clic en OK.
7. Para usar la Consola de Recuperación, reinicie el equipo y entonces use las teclas de flecha para seleccionar la Consola de Recuperación de Microsoft Windows en la lista Por favor seleccione el sistema operativo para arrancar.
Algunos de los comandos disponibles en la Consola de Recuperación son:
• Attrib: Cambia los atributos en un archivo o carpeta. • Bootcfg: Se usa para arrancar la confguración y recuperación. Puede usar el comando bootcfg para hacer cambios al archivo boot.ini. • CD (chdir): Cambia el directorio actual. • Chkdsk: Verifca el disco respecto a errores. • Cls: Limpia la pantalla. • Copy: Copia un archivo a la ubicación seleccionada. • on Elimina un archivo. De manera determinada, no puede usar caracteres tipo comodín. • Dir: Despliega una lista de todos los archivos, incluyendo los archivos ocultos y de sistema. • on: Desactiva el servicio de sistema de Windows o un controlador de Windows. • Diskpart: Administra las particiones en los volúmenes de disco duro. • Enable: Activa un servicio de sistema de Windows o un controlador de Windows. • Exit: Cancela la Consola de Recuperación y después reinicia la computadora. • Expand: Expande un archivo comprimido. • Fixboot: Escribe un nuevo sector de arranque en la partición del sistema. El comando fxboot sólo es soportado en computadoras basadas en x86. • Fixmbr: Repara el registro de arranque maestro (MBR) de la partición de arranque.
Monitoreo y Solución de Problemas de Servidores
149
• Format: Formatea un disco. El interruptor /q realiza un formato rápido. El interruptor /fs:fle-system especifca el sistema de archivo. • Listsvc: Despliega todos los servicios y controladores disponibles en el equipo. • Md (Mkdir): Crea un directorio. • Rd (rmdir): Elimina un directorio. • Ren (rename): Renombra un archivo sencillo. Para Windows Server 2008, use el disco WinPE en lugar de la Consola de Recuperación. El Ambiente de Preinstalación de Windows (Windows PE) 3.0 es un sistema operativo Win32 mínimo con servicios limitados, construido en el kernel de Windows 7. Se usa en la preparación de una computadora para instalación de Windows, copiar las imágenes de disco desde un servidor de archivo en red y para iniciar la Confguración de Windows. Además de ser usado para desplegar los sistemas operativos, es un componente integral en tecnología de recuperación con el Ambiente de Recuperación Windows (Windows RE). Algunas de las herramientas incluidas en el disco Windows PE son: • BCDBoot: Una herramienta usada para confgurar rápidamente una partición del sistema o para reparar el ambiente de arranque ubicado en la partición del sistema. • BCDEdit: Herramienta de línea de comando para administrar el Almacenamiento BCD, que describe la aplicación de arranque y los ajustes de aplicación de arranque tales como el menú de arranque. • BootSect: Se usa para restaurar el sector de arranque en su computadora. • Deployment Image Servicing and Management (DISM): Se usa para dar servicio a las imágenes de Windows fuera de línea antes del despliegue. • DiskPart: Intérprete de comando de modo de texto para administrar discos, particiones y volúmenes. • DrvLoad: Agrega controladores fuera de la caja. • OscdImg: Herramienta de línea de comando para crear un archivo de imagen (.iso) de una versión de 32 bits o 64 bits personalizada de Windows PE. • Winpeshl: Controla ya sea si la capa personalizada se carga en Windows PE o la ventana de aviso de Comando predeterminado. Para cargar una capa personalizada, elabore un archivo llamado Winpeshl.ini y colóquelo en %SYSTEMROOT%\ System32 de su imagen de Windows PE personalizada. • WpeInit: Herramienta de línea de comando que inicializa Windows PE cada vez que arranca Windows PE. Instala los dispositivos Plug and Play, procesa ajustes Unattend.xml y carga los recursos de red. • WpeUtil: Herramienta de línea de comando que le permite ejecutar varios comandos en una sesión de Windows PE.
www.pdftron.com Más Información Para mayor información sobre Windows PE y sus herramientas, visite los siguientes sitios Web: http://technet.microsoft.com/en-us/library/cc749538(WS.10).aspx http://technet.microsoft.com/en-us/library/cc749055(WS.10).aspx http://download.microsoft.com/download/5/b/5/5b5bec17-ea71-4653-9539-204a672f11cf/ WindowsPE_tech.doc
150
Lección 4
Æ Reparar la Instalación de Windows Server 2003 PREPÁRESE. Puede reparar una instalación de Windows Server 2003 dañada ejecutando la Configuración de Windows desde el CD de Windows. Para reparar su instalación, siga estos pasos: 1. Inserte el CD de Windows Server 2003 en la unidad de CD-ROM o DVD-ROM y arranque desde el disco de instalación de Windows. 2. Después que comience la Configuración, presione Intro para continuar con el proceso de configuración. 3. Presione Intro para seleccionar la opción Para configurar Windows y nuevamente dé clic en Intro. No seleccione la opción de la Consola de Recuperación. 4. Presione F8 para aceptar el acuerdo de licencia. 5. La configuración busca instalaciones previas de Windows. Si la Configuración no encuentra una instalación previa de Windows Server 2003, podría tener una falla del hardware. Si la Configuración la encuentra, puede recibir el siguiente mensaje: Si una de las siguientes instalaciones de Windows Server 2003 está dañada, la configuración intentará repararla. Utilice las flechas arriba y abajo para seleccionar una instalación. Para reparar la instalación seleccionada, presione R. Para continuar sin reparar, presione Esc. 6. Siga las instrucciones en la pantalla para reparar la instalación.
www.pdftron.com Después de reparar su Windows Server 2003, se le puede requerir que reactive su copia.
Æ Ejecutar de SFC en la Consola de Recuperación para reparar archivos de arranque
PREPÁRESE. Para ejecutar SFC en la Consola de Recuperación para reparar archivos de arranque, siga estos pasos:
1. Arranque desde el Medio de Instalación de Windows (DVD de Windows Vista o Windows Server 2008). 2. En la pantalla Bienvenido a la Configuración elija el enlace para reparación en lugar de hacer clic en OK. 3. En el menú de reparación elija el Aviso de Comando. 4. En el aviso de comando escriba el siguiente comando: “SFC /Scannow /OffBootDir=C:\ / OffWinDir=C:\Windows”.
La herramienta de verifcador de archivo de sistema, Sfc.exe, permite que los administradores examinen todos los recursos protegidos para verifcar sus versiones. Los archivos críticos para reiniciar Windows que no concuerdan con la versión de Windows esperada, se pueden reemplazar con las versiones correctas. Si se repara un archivo, los datos de registro correspondientes también se reparan. Los archivos protegidos que no son críticos para reiniciar Windows no se reparan. SFC ofrece las siguientes opciones: • /SCANNOW: Examina todos los archivos de sistema protegidos inmediatamente. • /OFFBOOTDIR: Use esta opción para reparaciones fuera de línea. Especifque la ubicación del directorio de arranque fuera de línea.
Monitoreo y Solución de Problemas de Servidores
151
• /OFFWINDIR: Use esta opción para reparaciones fuera de línea. Especifque la ubicación del directorio Windows fuera de línea. Desafortunadamente, Windows Server 2008 no tiene una opción de reparación similar a Windows Server 2003. En cambio, podría realizar una actualización en el sitio de Microsoft o realizar una actualización.
Æ Recuperar el Sistema Operativo Windows Server 2008 desde el Respaldo PREPÁRESE. Si todo lo demás falla, tendrá que recuperar su sistema operativo usando el disco de Configuración de Windows y un respaldo: 1. Inserte el disco de Configuración de Windows en la unidad de CD o DVD y encienda la computadora. Si se necesita, presione la tecla requerida para arrancar desde el disco. Debería aparecer el Asistente de Instalación de Windows. 2. Especifique los ajustes de idioma y después haga clic en Siguiente. 3. Haga clic en Reparar su computadora. Vea la figura 4-20. Figura 4-20 Reparación de Windows 2008 R2
www.pdftron.com 4. La configuración busca en las unidades de disco duro alguna instalación de Windows existente y entonces muestra los resultados en las Opciones de Recuperación de Sistema. Si está recuperando el sistema de operación en un hardware separado, la lista debería estar vacía (no debería haber sistema operativo en la computadora). Haga clic en Siguiente. 5. En la página de Opciones de Recuperación de Sistema (Vea la figura 4-21), haga clic en Recuperación de Imagen de Sistema.
152
Lección 4
Figura 4-21 Opciones de Recuperación de Sistema Windows 2008
6. Realice uno de los siguientes: •
Haga clic en Usar el respaldo disponible más reciente (recomendado) y después en Siguiente.
•
Haga clic en Restaurar un respaldo diferente y después haga clic en Siguiente.
www.pdftron.com 7. Si elige restaurar un respaldo diferente, en la página de Seleccione la ubicación del respaldo, realice uno de los siguientes: •
Haga clic en la comunicación que contiene el respaldo que desea utilizar y después haga clic en Siguiente.
•
Haga clic en Avanzado para examinar si hay un respaldo en la red, y después haga clic en Siguiente.
8. En la página Elegir cómo restaurar el respaldo, realice las siguientes tareas opcionales, y después haga clic en Siguiente: •
Seleccione la casilla de verificación Formatear y re-partición de discos para eliminar las particiones existentes y reformatear los discos de destino que tienen que ser los mismos que el respaldo.
•
Seleccione la casilla de verificación Sólo restaurar discos de sistema para realizar una recuperación únicamente del sistema operativo.
•
Haga clic en Instalar controladores para instalar los controladores de dispositivo para el hardware que está recuperando.
•
Haga clic en Avanzado para especificar si se reinicia la computadora y se verifican los discos respecto a errores inmediatamente después de la recuperación.
9. Confirme los detalles para la restauración y después haga clic en Terminar.
Monitoreo y Solución de Problemas de Servidores
153
Resumen de Habilidades En esta lección aprendió: • Necesita tener procesos establecidos para planear, diseñar, implementar, monitorear, y retirar servidores, servicios y aplicaciones. • La Biblioteca de Infraestructura de Tecnología de Información (ITIL) es un juego de conceptos y prácticas para administrar servicios (ITSM) de Tecnología de Información (TI), su desarrollo y sus operaciones. • Una metodología de solución de problemas efectiva es reducir la cantidad de trabajo de conjetura y soluciones aleatorias de tal forma que pueda solucionarlos y arreglarlos de manera oportuna. • La Información del Sistema (también conocida como msinfo32.exe) muestra los detalles sobre la confguración del hardware de su computadora, los componentes y el software, incluyendo los controladores. • El Visor de Eventos es un complemento de la Consola de Administración Microsoft (MMC) que le permite explorar y administrar registros de eventos. • Cada vez que enciende una computadora, realiza la Prueba Automática de Encendido (POST), que inicializa el hardware y encuentra el sistema operativo que va a cargar. • Cuando carga Windows XP o Windows Server 2003, estará cargando NTLDR, NTDetect.com, NTOSKRNL.EXE, y HAL.DLL. • Cuando carga Windows Vista, Windows 7, o Windows Server 2008, estará cargando BOOTMGR, WINLoad, NTOSKRNL.EXE, y los controladores de dispositivo de clase de Arranque. • Un registro de arranque maestro (MBR) es el primer sector de arranque de 512 bytes de un dispositivo de almacenamiento de datos particionado tal como el disco duro. Se usa para mantener la tabla de partición primaria, contiene el código para arrancar un sistema operativo (que por lo general transfere el control al registro de arranque de volumen) e identifca de manera única los medios de disco. • Un registro de arranque de volumen (VBR), también conocido como sector de arranque de volumen o sector de arranque de partición, es un tipo de sector de arranque almacenado en un volumen de disco en un disco duro, disco fexible o dispositivo de almacenamiento de datos similar que contiene el código para arrancar un sistema operativo tal como NTLDR y BOOTMGR. • El NTLDR de Windows XP y Windows Server 2003 leerá el archivo boot.ini para determinar qué sistema operativo va a cargar incluso si su sistema sólo tiene un sistema operativo. • Los Datos de Confguración de Arranque (BCD) son una base de datos independiente del frmware para datos de confguración de tiempo de arranque usados por el Administrador de Arranque de Windows de Microsoft que se encuentra en Windows Vista, Windows 7 y Windows Server 2008. • Cuando ocurren problemas durante el arranque, puede necesitar tomar algunos pasos adicionales para conseguir que la computadora esté en un estado utilizable de tal forma que pueda arreglar el problema. Desde la liberación de Windows XP, puede tener acceso a las Opciones Avanzadas de Arranque para obtener modos de solución avanzada de problemas, incluyendo el modo seguro y la última confguración correcta conocida. • Para tener acceso a la pantalla de Opciones Avanzadas de Arranque encienda su equipo y presione F8 antes que aparezca el logo de Windows.
www.pdftron.com
154
Lección 4
• El modo seguro arranca Windows con un juego mínimo de controladores y servicios. Si puede hacer un cambio al sistema y Windows ya no arranca, puede intentar el modo seguro. • La última confguración correcta conocida arranca Windows con el último registro y confguración de controlador que funcionaron exitosamente, por lo general se marca como el último inicio de sesión exitoso. • La Confguración del Sistema (msconfg.exe) es una herramienta que puede ayudar a identifcar problemas que podrían evitar que Windows arranque correctamente al desactivar programas y servicios que arrancan automáticamente. • El desempeño es la efectividad general sobre cómo se mueven los datos a través del sistema. • Si su computadora carece de la memoria RAM necesaria para ejecutar un programa o realizar una operación, Windows usa la memoria virtual. • Cuando escasea la memoria RAM, la virtual mueve datos desde esta hacia un espacio llamado archivo de paginación. Mover los datos a y desde el archivo de paginación libera la memoria RAM de tal forma que pueda completar su trabajo. • El Administrador de Tareas le proporciona una vista rápida del desempeño y proporciona información sobre los programas y procesos que se ejecutan en su computadora. • Windows Performance Monitor es un complemento de la Consola de Administración de Microsoft (MMC) que proporciona herramientas para analizar el desempeño del sistema. • El Monitor de Recursos de Windows es una herramienta del sistema que le permite ver la información respecto al uso de hardware (CPU, memoria, disco y red) y los recursos de software (manejadores y módulos de archivo) en tiempo real. • Como administrador de servidor, necesita minimizar el tiempo de inactividad al identifcar fallas potenciales y tomar los pasos para evitarlas y para reducir su efecto as. • NIC teaming es el proceso de agrupar dos o más NIC físicas en una sola lógica, que se pueden usar para tolerancia de fallas de red e incrementar el ancho de banda por medio de balanceo de carga. • Un clúster es un grupo de computadoras enlazadas que funcionan juntas como una sola. En base a la tecnología usada, los clústeres pueden proporcionar tolerancia a fallas (a menudo referida como disponibilidad), balanceo de carga o ambos. • Un clúster en caso de falla es un juego de computadoras independientes que funcionan juntas para incrementar la disponibilidad de los servicios y aplicaciones. Los servidores de clústeres (llamados nodos) se conectan por medio de cables físicos y por software. • En un clúster activo-pasivo, ambos servidores se confguran para trabajar como uno a la vez. • El balanceo de carga de red (NLB) es cuando se confguran múltiples computadoras como un servidor virtual para compartir la carga de trabajo entre computadoras múltiples. • Un uso común de clústers incluiría uno en caso de falla (failover) para los servidores de extremo posterior tales como uno de base de datos (como un SQL Server) o uno de correo (tal como Exchange Server) y un clúster de balanceo de carga para el extremo frontal que proporciona la interfaz web a los servidores de extremo posterior. • Un suministro de energía ininterrumpible o UPS es un dispositivo eléctrico que consiste en una o más baterías para proporcionar energía de respaldo cuando ocurre un apagón.
www.pdftron.com
Monitoreo y Solución de Problemas de Servidores
155
• Un respaldo o proceso de respaldo se refere a hacer copias de los datos de tal forma que se puedan usar estas copias adicionales para se pueden usar para restaurar el original después de un evento de pérdida de datos. • El mejor método para la recuperación de datos es respaldar, respaldar, y respaldar. • El estado del sistema Windows es una recolección de componentes del sistema que no están contenidos en un archivo simple que se pueda respaldar fácilmente. Incluye los archivos de arranque y el registro. • Los respaldos completos respaldan todos los archivos u datos designados. • Los respaldos completos con respaldos en incremento arrancan con uno completo seguido por varios incrementales. Cuando realiza una restauración, repone el último completo y entonces restaura cada uno en incremento desde el más viejo al más reciente. Los respaldos completos con respaldos en incremento ofrecen la manera más rápida de resguardar datos. • El respaldo completo con respaldo diferencial comienza con uno completo seguido por varios diferenciales. Cuando realiza una restauración, repone el último respaldo completo y el último diferencial. • Las instantáneas, cuando están confguradas, crean copias de respaldo automáticamente de los datos almacenados en las carpetas compartidas en volúmenes de unidad NTFS específcos en momentos programados.
» Evaluación de Conocimiento
www.pdftron.com Rellene los espacios
Complete las siguientes oraciones escribiendo la palabra o palabras correctas en el espacio en blanco provisto. 1. El _________ es el primer sector de arranque de 512 bytes de un dispositivo de datos particionado tal como un disco duro.
2. El __________ es un archivo de texto sencillo que define qué sistema operativo se va a cargar en los sistemas Windows XP y Windows Server 2003. 3. ________ arranca Windows con un juego mínimo de controladores y servidores.
4. La herramienta ___________ se puede usar para desactivar fácilmente los programas de arranque individuales. 5. En Windows, la memoria virtual usa un archivo de ________. 6. ________ es la combinación de tarjetas de red para proporcionar tolerancia a fallas. 7. Un ________ es un grupo de equipos que trabajan juntas como una computadora virtual para proporcionar tolerancia a fallas o incremento de desempeño. 8. El clúster en caso de falla (failover) más común es el clúster _____________ en el que sólo un servidor está activo a la vez. 9. En un clúster, una computadora individual es conocida como un ________. 10. Un ____________ es un dispositivo eléctrico para proporcionar energía temporal durante apagones.
156
Lección 4
Opción Múltiple Encierre en un círculo la letra que corresponda a la mejor respuesta. 1. ¿Qué publicaciones incluyen un juego de conceptos y prácticas para administrar los servicios, desarrollo, y operaciones de TI? a. b. c. d.
Libro rojo Guía de desarrollo de TI Libros básicos ITIL Manual de Transición de TI
2. ¿Qué herramienta se usa para ver el hardware y software cargado en un servidor Windows? a. b. c. d.
Información del Sistema Confguración del Sistema Herramienta KB POST
3. ¿Dónde encontraría NTLDR o BOOTMGR en un disco duro? a. b. c. d.
MBR VBR Boot.ini Carpeta WINNT
www.pdftron.com 4. ¿Qué determina cuál sistema operativo se debería cargar cuando ejecute Windows Vista, Windows 7 o Windows Server 2008? a. b. c. d.
RAID b. GUID boot.ini BCD
5. Cargó un programa y reinició Windows. Desafortunadamente, Windows ya no arranca. ¿Qué debería intentar primero? a. b. c. d.
Activar el registro de arranque Cargar la Última Confguración Correcta Conocida Desactivar el archivo boot.ini Reinstalar Windows
6. ¿Qué programa le da una vista rápida del desempeño del sistema y los procesos que se están ejecutando? a. b. c. d.
Administrador de Tareas Monitor de Desempeño Monitor de Recursos Información del Sistema
7. __________ son múltiples computadoras confguradas como un servidor virtual para compartir la carga de trabajo. a. b. c. d.
Balanceo de carga de red Clúster activo-pasivo Clúster SAN Servidor terminal
Monitoreo y Solución de Problemas de Servidores
157
8. ___________ es hacer copias de los datos de tal forma que estas copias adicionales se puedan usar para restaurar los originales después de un evento de pérdida de datos. a. b. c. d.
DFS RAID Respaldo EMS
9. ¿Qué tipo de respaldo, respalda todos los archivos designados y desactiva el atributo de archivo? a. b. c. d.
Completo Diferencial En incremento Copia
10. ¿Qué tipo de respaldo toma más tiempo para la restauración? a. b. c. d.
Completo Diferencial Incremental Copia
Verdadero / Falso
www.pdftron.com Encierre en un círculo V si la declaración es verdadera o F si la declaración es falsa. V V
F F
V
F
V
F
V
F
1. El mejor método para la recuperación de datos es el respaldo. 2. Las instantáneas sólo están disponibles bajo sistemas de archivo anteriores 3. Para ver el registro de Windows, se usa la aplicación de Visor de Registro. 4. Una disponibilidad de 99.9999 signifca que el sistema puede estar inactivo durante 4.32 minutos al año. 5. Los nodos de clústers protegerán contra suministros de energía defectuosos, procesadores defectuosos, y memoria RAM defectuosa.
158
Lección 4
» Evaluación de Competencia Escenario 4-1: Uso de Metodología de Solución de Problemas Su computadora no arranca, no tiene luces y no escucha sonidos de bip. ¿Cuáles serían los pasos para solucionar este problema? Escenario 4-2: Planeación de Estrategia de Respaldo Tiene varios servidores que incluyen datos importantes que cambian a menudo. Desafortunadamente, cuando intenta respaldar estos servidores, toma aproximadamente 30 horas en completarse. ¿Qué recomendaría como estrategia de respaldo?
» Evaluación de Destreza Escenario 4-3: Respecto a Respaldos Tiene respaldos de confguración y realiza respaldos completos una vez a la semana y respaldos de incremento de lunes a jueves. ¿Así que qué debería hacer después?
www.pdftron.com Escenario 4-4: Respecto al Visor de Eventos
Está experimentando algunos problemas en un servidor que ejecuta Windows Server 2008 R2.Inicia sesión y abre la consola de Administración de Servidor y decide ver los registros del Sistema en el Visor de Eventos. Desafortunadamente, ve muchos errores y advertencias. ¿Qué debió hacer antes de tener problemas para tomar ventaja del Visor de Eventos?
Lugar de Trabajo Listo
Æ Monitoreo y Administración de Servidores Después de que se construye y se confgura un servidor, toma mucho tiempo hacerlo funcionar tan efcientemente como debería de tal forma que pueda realizar su trabajo adecuadamente. Mantener el sistema actualizado puede consumir tiempo, en especial si tiene muchos servidores que debe mantener parchados. Por lo tanto, debería invertir en algún tipo de software de monitoreo tal como el Administrador de Operaciones de Centro de Sistema Microsoft (SCOM), que asegurará que el servidor esté en funcionamiento constantemente poniéndose en contacto con el agente que opera el servidor. También verifcará constantemente el Visor de Eventos respecto a errores. Por último, dependiendo de los papeles que el servidor tiene y los paquetes de administración cargados en el servidor SCOM, puede probar constantemente los componentes clave para asegurarse que estén activos y en funcionamiento.
Lección 5
Servicios Esenciales Matriz de Dominio de objetivos Habilidades/Conceptos
Descripción del dominio del objetivo
Número del dominio del objetivo
Análisis de Objetos
Comprender las cuentas y grupos.
3.1
Comprender unidades organizativas (OUs) y contenedores.
3.2
Introducción a los Servicios de Directorio con Directorio activo
Comprender la infraestructura del Directorio activo.
3.3
Introducción a las Políticas de Grupo
Comprender la Directiva de Grupo.
3.4
Introducción a Grupos Introducción a los Dominios, Árboles y Bosques Introducción a las Unidades Organizacionales
Términos clave
www.pdftron.com • Directorio active (Active Directory) • Grupo predefnido (Built-in group) • Cuentas de computadora • Servicio de directorio • Grupo de distribución • Controlador de dominio • Grupo de dominio local • Servicio de nombres de dominio (Domain Name System, DNS) • Protocolo de confguración dinámica de host (Dynamic Host Confguration Protocol, DHCP)
• Roles FSMO • Bosque • Fully qualifed domain name (FQDN) • Nivel funcional • Catálogo global • Grupo global • Grupo • Directivas de grupo • Archivo de host • Lightweight Directory Access Protocol (LDAP) • Servidor Miembro
• Objetos • Unidad organizativa • Permisos • Derecho • Grupos de seguridad • Sitio • Árbol • Relación de Confanza • Grupo Universal • Cuenta de usuario • Windows Internet Name Service (WINS)
Está construyendo una nueva red y necesita que todo comience ya. Se da cuenta que el mejor lugar para empezar es creando servidores que puedan hospedar servicios esenciales, incluyendo DHCP y DNS. Cuando estos servidores están ubicados, puede crear controladores de dominio, a los cuales les puede establecer usuarios y cuentas de equipo y además asignarles derechos y permisos.
160
Lección 5
Resolución de Nombres È EN RESUMEN
En las redes de la actualidad, se puede asignar direcciones lógicas como direcciones IP. Desafortunadamente, estas pueden ser difíciles de recordar, especialmente en el caso de las nuevas versiones de IP tales como las direcciones IPv6. Por lo tanto, necesita utilizar alguna forma para nombrar los servicios y que le permita traducir nombres lógicos, ya que son fáciles de recordar. El método más común para nombrar servicios es el Domain Name System o DNS. Hay dos tipos de nombres para traducir. El primer tipo consiste en nombres de los host, que residen en el Domain Name System y son los mismos utilizados en Internet. Cuando escribe el nombre de una página Web o de un servidor que se encuentra en Internet, como www.microsoft.com o www.cnn.com esta especifcando un dominio/nombre del host. El segundo tipo de nombre es el de su computadora, también conocido como NetBIOS. Si se encuentra en una red corporativa o en la de su hogar, el nombre del host es generalmente el de la computadora. De hecho, para muchos equipos, el nombre del host y el NetBIOS es el mismo.
f HOSTS y Archivos LMHOSTS Las primeras redes TCP/IP utilizaban hosts (usados con dominio/nombre del host asociado a un DNS) y archivos lmhost (usados con NetBIOS/nombres de equipo asociados con WINS), los cuales eran archivos de texto que podían enlistar un nombre y estaban asociados a una dirección IP. Sin embargo, con este sistema, cada vez que necesitaba añadir o modifcar un nombre o una dirección, tenía que ir a cada computadora y modifcarlo de cada una que requiriera conocer la dirección. Para grandes organizaciones, esto podía ser increíblemente inefciente, ya que esto involucraba cientos o incluso miles de computadores con archivos de texto extremadamente grandes.
www.pdftron.com En Windows, ambos archivos están localizados en la carpeta C:\WINDOWS\system32\ drivers\etc. El archivo de host (Vea la fgura 5-1) puede ser editado y está listo para utilizarse. El lmhosts.sam es un archivo de ejemplo y necesita ser copiado sin la extensión de nombre del archivo .sam.
Aunque el host y el archivo lmhosts sean considerados métodos de legado para nombrar una resolución, ellos siguen siendo útiles para solucionar problemas o pruebas. Por ejemplo, digamos que acaba de instalar un nuevo servidor pero no puede dejarlo disponible para cualquier usuario. En esta situación, puede agregar una entrada en el archivo local de hosts, así cuando la computadora determine un cierto nombre, deberá de determinarlo con la dirección IP del nuevo servidor. Esto evita cambiar la entrada del DNS, lo cual sólo afectaría a todos los usuarios en la red de su organización, hasta que esté listo.
Servicios Esenciales
161
Figure 5-1 Ejemplo de archivo host
www.pdftron.com Explorar el DNS
DNS (Domain Name System) es un sistema de administración jerárquico/basado en servidor de bases de datos distribuidos que traduce el dominio/nombre de hosts a direcciones IP. En otras palabras, su organización probablemente tenga uno o más servidores DNS que pueden proveer resolución de nombres para su compañía. En su casa, su ISP provee un servidor de este tipo y así cuando escribe una URL o trata de conectarse a un servidor sobre el Internet, su computadora puede encontrar los que hospedan las direcciones IP. Lo que hace que un DNS sea poderoso y escalable, es el hecho de que todos estos en Internet, se encuentran enlazados para proveer mundialmente la resolución de nombres, mientras le permite manejar el DNS de su organización y como los proporcionan, en algunas ocasiones son denominados servidores de nombres.
La parte superior de un árbol es conocido como la ruta del dominio. Debajo de esta, puede encontrar dominios de primer nivel, como son .com, .edu, .org y .net, así como el código de país de dos letras, como .mx, .es o .us. Debajo del dominio del primer nivel, puede encontrar el nombre de la variable registrada que corresponde a una organización o un nombre registrado. El segundo nivel para dominio de nombres puede ser registrado por un distribuidor autorizado, como puede ser www.networksolutions.com o www.godaddy. com. Por ejemplo, www.microsoft.com está registrado para Microsoft Corporation. Cuando busca esta dirección URL, su computadora empieza contactando con el servidor DNS .com, para determinar el nombre del servidor para esta dirección. Después este va a contactar al servidor de microsoft.com. Las grandes organizaciones pueden subdividir su espacio de nombres DNS en subdominios, como pueden ser technet.microsoft.com, msdn. microsoft.com o social.microsoft.com. con un Un nombre de host es un nombre asignado para una computadora dominio o un subdominio para el host TCP/IP. Pueden ser asignados múltiples nombres de host por la misma dirección IP, aunque sólo puede ser asignado un nombre para una computadora física o virtual.
162
Lección 5
Un (FQDN) describe la posición exacta de un host con una jerarquía DNS. Entre los ejemplos de FQDNs se incluyen los siguientes: • www.microsoft.com • technet.microsoft.com • server1.sales.microsoft.com Entonces, dentro de una zona DNS, existen registros de recursos (RR) que proveen la resolución de los nombres. Estos RRs, son los siguientes: • SOA (Start of Authority): el nombre del servidor que es un recurso de autoridad de la información para un dominio o zona DNS. También incluye parámetros de cuantas entradas DNS deben de ser almacenadas en cache en un sistema. • NS (name server): Proporciona una lista de nombres de servidores que son asignados por un dominio. • A (host address): Proporciona un nombre de host a una dirección IPv4. • AAA (host address): Proporciona un nombre de host a una dirección IPv6. • PTR: Determina una dirección IP a un nombre de host (reverse mapping). • CNAME (canonical name): Crea un alias o nombre de dominio DNS alternativo Los ejemplos incluyen www.acme.com o ftp. de un nombre de host acme.com, que apuntan a un servidor en la red acme.com, tales como server01. acme.com. Estos tipos de RR son usualmente utilizados con servidores virtuales que apuntan a múltiples servidores, tales como servidores que proporcionan balanceo de carga en la red para que el trabajo pueda ser distribuido. • SRV (service): Localiza servidores que están hospedando un servicio en particular, incluyendo servidores LDAP o controladores de dominio. • MX (mail exchanger): cual mail exchanger debe contactar un dominio y qué orden debe de utilizar cada host de mail.
www.pdftron.com Vea la
Figura 5-2
Los registros de recursos se muestran en una zona de búsqueda
5-2.
Servicios Esenciales
163
Cuando defne las zonas DNS, crea una zona de búsqueda directa o una de búsqueda inversa. La de búsqueda directa (como technet.microsoft.com o microsoft.com) tiene la mayoría de los registros de recursos, incluyendo registros A y CNAME, mientras que la de búsqueda inversa tiene registros PTR y está defnida por el formato de búsqueda inversa. Por ejemplo, si tiene una subnet 172.24.1.x, se mostrará como 1.24.172. Los servidores DNS usan un mecanismo llamado round-robin para compartir y distribuir cargas para un recurso de la red. Este mecanismo rota el orden de los registros de los recursos con el mismo nombre para que apunten a una dirección IP diferente. Los Sistemas Unix y Linux usan implementaciones BIND de DNS, que soportan dos tipos de zonas: una zona primaria estándar y una secundaria estándar. La primera es una copia maestra de una nueva zona que es copiada a las otras. Por lo tanto, si se necesita hacer un cambio, este se puede realizar en la primaria para que pueda ser copiado a la secundaria. Desde el lanzamiento de Windows Server 2000, también lo ha sido de una zona integrada del Directorio activo que es almacenada en éste último en lugar de un archivo. Con estas zonas integradas, cada servidor actúa en par con el servidor primario, esto signifca que puede actualizar cualquiera ejecutando las zonas integradas en el Directorio activo y los cambios se irán copiando como parte de la replicación a otros servidores DNS. Utilizando las zonas integradas del Directorio activo, éstas deben incrementar la tolerancia a fallos (asumiendo que tiene dos o más servidores DNS con las mismas características), ya que tiene un mínimo de tráfco por la zona de replicación y son más seguros.
www.pdftron.com Las consultas y las transferencias de DNS entre las zonas primarias y secundarias pueden ocurrir sobre TCP/UDP en el Puerto 53. Por lo tanto si tuviera algún cortafuegos entre los servidores (incluyendo los que se ejecutan en los servidores), necesitaría abrir el puerto que se señala. Desde que el DNS se ha vuelto una herramienta de resolución primaria, se ha creado el DNS dinámico; cuando éste se utiliza se registrará automáticamente y actualizará los registros de los servidores DNS, esto sucederá cuando el host obtenga la dirección IP. Para servidores que tienen direcciones estáticas, se deben de añadir entradas estáticas.
Cuando confgura un servidor DNS para manejar la resolución de nombres para su organización, generalmente este es la autoridad para su organización. Si necesita resolver un nombre de otra organización, deberá enviar respuestas a otro servidor DNS. Puede confgurar servidores DNS para enviar respuestas a otro igual y específco, tales como los servidores DNS externos que puede también manejar o un servidor proporcionado por su ISP. También puede mantener el determinado y dejar acceder al servidor a las rutas del mismo para que determine la dirección del servidor de nivel superior y trabajar de este modo hacia abajo, para encontrar el servidor autoritario de la zona que trata de resolver. Las sugerencias de los archivos raíz proveen una lista de las direcciones IP para el servidor DNS que son consideradas autoritarias en el nivel de rutas de la jerarquía del DNS.
164
Lección 5
f WINS Windows Internet Name Service (WINS) es el servicio de nombres que traducen del NetBIOS (nombre de la computadora) para especifcar los recursos de la red. El servidor WINS contiene una base de datos de direcciones IP y nombres NetBIOS que se actualizan dinámicamente. Desafortunadamente, WINS no es un sistema jerárquico como el DNS, así que es bueno únicamente para su organización; además, funciona sólo para el sistema operativo Windows. Típicamente, otros dispositivos de red y servicios no se pueden registrar con un servidor WINS. Por lo tanto, tiene que añadir entradas estáticas para estos dispositivos si es que quiere una resolución de nombre utilizando WINS. Cuando un cliente WINS se ha puesto en marcha, este registra su nombre, dirección IP y tipo de servicios dentro de los servidores de bases de datos WINS. Vea la fgura 5-3. El tipo de servicio es designado por un valor hexadecimal: 00h
estación de trabajo
03h
messenger
20h
servidor de archivos
El nombre NetBIOS puede ser de 15 caracteres máximo, sin contar los valores hexadecimales. Figure 5-3
www.pdftron.com Servidores WINS
Para proveer tolerancia a fallos, debe tener más de un servidor WINS con la misma base de datos. Se puede añadir Un replication partner y este puede ser confgurado ya sea como un pull partner, un push partner o un push/pull partner. Un pull partner es un servidor WINS que puede solicitar nuevas entradas de base de datos desde su partner en un intervalo de tiempo normal. Un push partner es un servidor WINS que manda mensajes de notifcación actualizados basados en un número de cambios a la base de datos WINS. Un push/pull partner hace un push update basado en el número de cambios y el pull partner actualiza en un intervalo normal de tiempo. Si confgura WINS y los clientes usan un broadcast (conocido como b-node) para encontrar un servidor WINS, necesita confgurar un agente proxy similar para escuchar en subnets remotos donde un servidor de estos no existe y enviar aquellas solicitudes directamente. Los proxies WINS no siempre son necesarios para todas las redes, ya que la mayoría de los clientes están confgurados con nodos pares (conocidos como p-node), que enviaran paquetes directamente a los servidores WINS en lugar de un broadcast.
Servicios Esenciales
165
Zonas DNS GlobalName La mayoría de las veces, cuando especifca un FQDN, sólo necesita señalar un nombre del host y cada cliente tendrá una búsqueda de lista en los sufjos DNS que los añade al nombre del host. Por lo tanto, cuando desee conectarse al servidor01, el cliente anexará el dominio de búsqueda del sufjo DNS tales como acme.com para crear server01.acme.com. Una ventaja del WINS es que utiliza un nombre en una sola etiqueta en lugar de FQDNs que requieren de un nombre completo, incluyendo el dominio. Desafortunadamente, nombres del NetBIOS /nombres en una sola etiqueta no son soportados en IPv6. Para ayudar a que una organización retire WINS, Windows Server 2008 brinda una zona especialmente nombrada GlobalNames, que le permite defnir registros estáticos globales con un nombre de una sola etiqueta sin soportarse en ella. Estas entradas deben ser usadas normalmente por servidores que tienen direcciones estáticas y que están manejados por un administrador de red.
Convención de Nomenclatura Universal Cuando comparte un directorio, unidades, o impresoras en una computadora ejecutando Microsoft Windows o en una máquina de Linux que ejecute Samba, accede a los recursos utilizando el Universal Naming Convention (UNC), también llamado como Convención de Nomenclatura Universal, para especifcar la localización de los recursos. Tradicionalmente, la UNC utiliza el siguiente formato:
www.pdftron.com \\computername\sharednamed\optionalpathname
Por ejemplo, para acceder a directorios compartidos en una computadora llamada servidor1, puede escribir el siguiente nombre: \\servidor1\data
Sin embargo, ahora que el DNS se ha vuelto más popular, puede además utilizar nombres de host con la UNC. Por ejemplo, puede escribir: \\servidor1.microsoft.com\data
166
Lección 5
Servicios DHCP È EN RESUMEN
Como se explicó anteriormente, tomaría horas confgurar de todas las IP de cada host, incluyendo las direcciones IP, direcciones de DNS y servidores WINS o algún otro parámetro. Por tal motivo, la mayoría de las organizaciones utilizan servicios Dynamic Host Confguration Protocol (DHCP) para asignar automáticamente direcciones IP y parámetros relacionados (incluyendo mascaras de subnet, gateway por default y duración del contrato) para que un host pueda comunicarse inmediatamente con una red IP cuando esta comience. Un servidor DHCP mantiene una lista de direcciones IP llamada pool. Cuando un cliente de DHCP inicia y necesita una dirección IP asignada para él, transmite a éste servidor solicitándole una dirección prestada. El cliente envía el mensaje al UDP en el Puerto 67 y el servidor envía el mensaje al UDP en el puerto 68.
Æ Instalar roles de servicio DHCP PREPÁRESE. Para instalar el rol de servicio DHCP, realice los siguientes pasos: 1. Iniciar Server Manager. 2. En Resumen de Roles, dé clic en Agregar Roles, después en Siguiente y seleccione el servidor DHCP. Haga clic nuevamente en Siguiente.
www.pdftron.com 3. Seleccione el servidor DHCP y dé clic en Siguiente.
4. Cuando se muestre la introducción a la página del servidor DHCP, dé clic en Siguiente. 5. Cuando la página Conexión a enlaces de red se muestre, escoja el adaptador de red/ direcciones IP que será utilizado para repartir las direcciones IP, dé clic en Siguiente.
6. En la página de la especificación de configuración del servidor DNS IPv4, se necesita especificar un dominio padre y dos direcciones IP en un servidor DNS, dé clic en Siguiente.
7. En la página especificaciones de la configuración para servidores WINS IPv4, defina la dirección de los servidores WINS (si es necesario) y posteriormente haga clic en Página Siguiente. 8. Cuando la página para añadir o editar el Alcance de DHCP aparezcan, dé clic en Agregar. Especifique el nombre del Alcance, la dirección IP de inicio, la dirección IP final, el tipo de subnet, una máscara de subnet y el gateway por default. Además se debe seleccionar Activar el Alcance. Haga clic en OK para cerrar el cuadro de dialogo Agregar Alcance. Seleccione Siguiente. 9. En la página de configuración del DHCPv6 stateless mode, dé clic en Habilitado DHCPv6 stateless mode para este servidor (si fuera necesario). Si no fuera necesario, oprimir Deshabilitado DHCPv6 stateless mode para este servidor. De clic en Siguiente. 10. Si seleccionó Habilitado DHCPv6 stateless mode para este servidor, especificar el dominio padre y más de dos servidores IPv6 DNS. Dé clic en Siguiente. 11. Para trabajar en una red con entorno Windows, el servidor DHCP debe ser autorizado dentro del Directorio activo. Por lo tanto, especifique una cuenta que tenga permisos administrativos para el Directorio activo y dé clic en siguiente. 12. Cuando aparezca la página de confirmación para la instalación, dé clic en Instalar.
Servicios Esenciales
167
Antes de que su servidor DHCP pueda proveer las asignaciones de direcciones IP, debe defnir un alcance que incluya un rango de direcciones IP que pueden ser distribuidos. Vea la fgura 5-4. Un alcance debe defnir una sola subred física para los servicios DHCP que se ofrecen. Para los servidores DHCP que repartan direcciones a las subredes, necesitan estar físicamente conectados a la subred o será necesario que instale un agente relay DHCP en una subred que pueda transmitir el relay de las peticiones DHCP a los servidores DHCP. El agente relay DHCP puede ser un Windows server o una estación de trabajo, también puede ser implementado dentro de un router o un conmutador. Figure 5-4 Consola DHCP en Windows Server 2008 R2
www.pdftron.com El servidor DHCP puede tener un solo alcance por subred para cada servidor DHCP. Sin embargo, puede asignar el rango de las direcciones y excluirlas dentro del él, para todas las que están manualmente asignadas a los servidores u otros dispositivos de red. Después de crear un alcance debe activarlo y que esté disponible para las asignaciones de arrendamiento. Para activar el alcance en una consola DHCP, dé clic en el botón derecho en la consola y seleccione Activar.
Cuando un host recibe una dirección IP y una confguración IP relacionada de un servidor DHCP, este asigna los tiempos de concesión, que especifcan qué tanto tiempo la dirección estará asignada al host. Cuando una concesión DHCP alcance el 50% del tiempo total asignado, el cliente automáticamente hará un intento para renovarla en segundo plano. La concesión por default es de 8 días. Si, por alguna razón, el host no puede tener contacto con el servidor DHCP, este tratará una y otra vez en el tiempo restante de concesión hasta que lo logre o hasta que se acabe el tiempo de concesión. Si tiene un cliente que siempre utiliza la misma dirección, debe reservar la dirección utilizando un cliente reservado. Con este, la dirección es asignada a un host específco y no lo será más para otros hosts. Si existen servidores múltiples DHCP manejando la entrega de direcciones, debe de reservar las mismas direcciones a cada servidor DHCP.
168
Lección 5
Introducción al Servicio de Directorio con Directorio activo (Active Directory) È EN RESUMEN
Un servicio de directorio almacena, organiza y provee el acceso a la información en un directorio, además de que es utilizado para localizar, manejar, administrar y organizar artículos en común y recursos en la red, tales como volúmenes, folders, archivos, impresoras, usuarios, grupos, dispositivos, números de teléfono y otros objetos. Un servicio de directorio popularmente utilizado por muchas organizaciones es Microsoft Active Directory. ; Listo para la Certificación ¿Cómo se utiliza un dominio para administrar los recursos de red? —3.3
El Directorio activo (Active Directory) es una tecnología creada por Microsoft que proporciona una variedad de servicios en la red, incluyendo los siguientes: • • • •
LDAP Base de Kerberos en una sola autenticación sign-on. Nombrado basado en DNS y otra información de la red. Una ubicación central para la administración de la red y delegación de autoridad.
El lightweight Directory Access Protocol o LDAP es un protocolo de aplicación que consulta y modifca datos utilizando servicios de directorio que se ejecuta sobre TCP/IP. Dentro del directorio, los conjuntos de objetos son organizados en forma de jerarquía lógica, de modo que puede fácilmente buscarlos y manejarlos. La estructura puede refejar límites organizacionales o geográfcos, aunque tiende a usar nombres DNS para estructurar el más alto nivel de la jerarquía. Internamente en el directorio, puede haber entradas representando personas, unidades organizacionales, impresores, documentos, grupo de personas o cualquier otra cosa que represente un árbol de entrada (o múltiples entradas). LDAP utilizan TCP puerto 389.
www.pdftron.com Kerberos es un protocolo de autentifcación para las redes de computadoras, que permite a los hosts proveer su identidad sobre una red no segura haciéndola segura. Además puede proveer autentifcación mutua para que tanto el usuario como el servidor verifquen cada uno su identidad. Por razones de seguridad, los mensajes de protocolos Kerberos son protegidos en contra del espionaje y repetición de ataques.
El Single sign-on (SSO) permite iniciar la sesión una vez que accede a varios sistemas de software relacionado pero independiente, sin tener que conectarse de nuevo. Mientras se encuentra autentifcado en Windows utilizando Directorio activo, se le asigna un token, este se utiliza para que pueda entrar a otros sistemas automáticamente. Finalmente, el Directorio activo le permite organizar todos los recursos de la red, incluyendo usuarios, grupos, impresoras, computadoras y otros objetos; para que pueda asignar contraseñas, permisos y derechos para los usuarios en una red. También puede asignar quién va a manejar el grupo de objetos.
Servicios Esenciales
169
f Introducción a Dominios, Árboles y Bosques Los dominios del Directorio activo, árboles y bosques, son representaciones lógicas para la red de su organización, que le permite organizarlos de una mejor manera para su administración. Esto da como resultado el poder identifcar dominios, árboles, bosques y el Directorio activo que estén estrechamente vinculados a DNS. ; Listo para la Certificación ¿Por qué razón podría utilizar OUs en su dominio? —3.2
Como mencionamos anteriormente, el dominio de Windows es una unidad lógica para computadoras y recursos de red que defnen un límite de seguridad. El domino utiliza una sola base de datos de Directorio activo para compartir los criterios de seguridad más comunes y su información de cuentas de usuarios de todas las computadoras incluyendo, el dominio y permitiendo la administración central para todos los usuarios, grupos y recursos de la red. Debido a que algunas organizaciones contienen miles de usuarios y de computadoras, esto podría tener mejor resultado si se divide una organización en uno o más dominios. Un bosque de Directorio activo contiene uno o más árboles transitivos, que son de enlaces confables, con cada enlace de árbol en una transición de jerarquía confable, para que los usuarios y sus computadoras de cada uno de los dominios puedan acceder a recursos en otro dominio. El Directorio activo está muy unido a un DNS y, de hecho, es lo que se requiere.
º Tome Nota Sin los registros DNS y SRV, el Directorio activo no puede funcionar adecuadamente
Un árbol esta hecho de uno o más dominios (aunque hay quienes piensan que un árbol son dos o tres dominios) con espacios contiguos en los nombres. Por ejemplo, puede tener un dominio asignado a varias organizaciones de desarrolladores y otro dominio asignado a sus vendedores:
www.pdftron.com Desarrolladores.microsoft.com Ventas.microsoft.com
Los dominios Desarrolladores y Ventas pueden ser hijos del nombre de dominio microsoft. com.
Un bosque esta hecho por uno o más árboles (aunque la mayoría de las personas considera que un bosque es de dos o tres arboles). Un bosque difere de un árbol porque utiliza un nombre inconexo con espacios entre los árboles. Por ejemplo, en el bosque, puede tener microsoft.com como una raíz de otro árbol. Ambos árboles puede ser combinados dentro de un bosque, sin embargo, cada identidad de árbol se puede guardar por separado.
Para permitir usuarios en uno o más dominios para acceder a los recursos en otro dominio, el Directorio activo utiliza trust relationship. Como ya se ha mencionado, algunos dominios con un árbol o bosque son automáticamente creados en un carácter de confanza transitiva de dos lados. Una confanza transitiva está basada en los siguientes conceptos: Si el dominio A confía en el dominio B y el dominio B confía en el dominio C, entonces el dominio A confía en el dominio C. Sin embargo, si tiene una asociación con otra compañía y necesita usuarios de un dominio dentro de una organización que puedan acceder a recursos de otro dominio, puede confgurar una confanza no transitiva explícita para que pueda ser de una u otra manera.
170
Lección 5
f Introducción a Páginas y Controladores de Dominio Aunque los dominios, los árboles y los bosques son representaciones lógicas para su organización; los sitios y los controladores de dominio representan una estructura física de la red. Un sitio es una o más subredes de IP que son conectadas por un enlace de alta velocidad, típicamente defnidos por una ubicación geográfca. Por ejemplo, se puede decir que puede tener una ofcina de cuatro pisos. Aunque el edifcio incluya varias subredes, todas las computadoras dentro del edifcio utilizan capa 2 y 3 en los conmutadores para comunicarse entre sí. Si tiene múltiples sitios, cada uno está conectado a otros mucho más lentos que los links WAN (por lo menos más lentos que la velocidad de la LAN que podría encontrar en un sitio individual). Va a poder limitar varios patrones de tráfco de red basados en la manera como son defnidos. Cuando un usuario se autentifca, los clientes del Directorio activo localizan el servidor (utilizando los registros de recursos DNS SRV) conocidos como controladores de dominio en el mismo sitio como los equipos. Cada dominio tiene su propio conjunto de controladores de dominio que proporciona accesos a los recursos de dominios, como los usuarios y equipos. Para tolerar fallos, el sitio debe tener dos o más controladores de dominio. De esta manera, si falta uno, el otro puede seguir dando el servicio a los clientes. Hay que tener en cuenta que cada vez que un objeto se modifque (tales como usuario o contraseña), este automáticamente aplicará a otros controladores de dominio.
www.pdftron.com Un controlador de dominio es un servidor Windows que guarda y replica una cuenta, la información de seguridad de un dominio y defne los límites de éste. Para hacer que una computadora de Windows Server 2008 lo ejecute, debe instalar los Servicios de Dominio del Directorio activo y ejecutar el comando dcpromo (abreviatura de dc promotion).
Después de que haya promovido una computadora en el controlador de dominio, debe utilizar varios complementos de las consolas MMC para manejar el Directorio activo. Estas consolas son las siguientes: • Active Directory Users and Computers: Se utiliza para manejar usuarios, grupos, computadoras y unidades organizacionales. • Active Directory Domains and Trusts: Se utiliza para administrar dominios de confanza, dominio y niveles funcionales de bosques y sufjos User Principal Name (UPN). • Active Directory Sites and Services: Se utiliza para administrar replicación de la información de directorios entre todos los sitios en un bosque de Active Directory Domain Services (ADS) (Figura 5-5). • Active Directory Administrative Center: Se utiliza para administrar y publicar información en un directorio, incluyendo el manejo de usuarios, grupos, computadoras, dominios, controladores de dominio y unidades organizacionales. El Active Directory Administrative Center es nuevo en Windows Server 2008 R2. • Group Policy Management Console (GPMC): Provee una sola herramienta administrativa para manejar directivas de grupo a través de la empresa. GPMC es instalado automáticamente en Windows Server 2008 y los controladores de dominio subsecuentes deben ser descargados e instalados en los controladores del dominio de Windows Server 2003.
Servicios Esenciales
171
Figure 5-5 Sitios del Directorio activo y consolas de servicios
www.pdftron.com Aunque estas herramientas son instaladas en controladores de dominio, también pueden serlo en computadora de clientes, para que puedan manejar Directorio activo sin autentifcarse en el controlador de dominio. Un servidor que no se está ejecutando como controlador de dominio es conocido como servidor miembro. Para darlo de baja, debe repetir el programa dcpromo.
La ruta de acceso de replicación o sitio de topología, dentro de un cierto sitio, es manejado automáticamente por un servicio llamado Knowledge Consistency Checker (KCC). Generalmente, la replicación dentro de un sitio pasa más rápido que una replicación entre sitios. Los sitios del Directorio activo y sus complementos de servicio MCC permiten que controle la replicación entre sitios. Puede usarlo para crear objetos de unión entre sitios y confgurar los patrones de replicación.
Dentro del Directorio activo, necesita defnir cada subred. Una vez que pueda hacer esto, el Directorio activo puede averiguar la mejor manera de replicar la información localmente y entre sitios. Para minimizar el tráfco que se genera en el enlace WAN, los servidores que hacen bridgehead realizan una replicación de directorio entre dos sitios, mientras sólo dos de ellos son designados como controladores de dominio y se comunican entre sí. Cuando tiene controladores de dominio de múltiples dominios, debe de utilizar servidores bridgehead para cada uno.
Flexible Single Master Operations El Directorio activo utiliza replicaciones multi-maestras, esto signifca que no hay controladores de dominio maestro, refriéndose comúnmente como un controlador de dominio primario dentro de los dominios de Windows NT. Sin embargo, dado que hay ciertas funciones que sólo se pueden soportar por un controlador de dominio en su tiempo;
172
Lección 5
también utiliza roles de Flexible Single Master Operations (FSMO), también conocido como roles de operaciones maestras. Vea la tabla 5-1 y la fgura 5-6. Tabla 5-1 Roles FSMO
Nombre del Rol Esquema Maestro
Scope (Alcance) 1 por bosque
nombres de dominio Maestro
1 por bosque
Emulador de PDC
1 por dominio
RID Maestro
1 por dominio
Descripción Controla y gestiona las actualizaciones o modificaciones al esquema del Directorio activo. Controla la adición y la eliminación de los dominios del bosque si está presente en el dominio raíz. PDC es la abreviatura de controlador de dominio principal, este era el controlador de dominio principal que se utilizaba con Windows NT. El emulador de PDC proporciona compatibilidad con versiones anteriores a clientes NT4. También actúa como servidor principal de los cambios de contraseña y como el servidor de tiempo maestro dentro del dominio. Asigna pools de identificadores únicos a los controladores de dominio para poder utilizarse al crear objetos. Sincroniza entre dominios cambios de configuración entre grupos de miembros. La Infraestructura maestra no se puede ejecutar en un servidor de catálogo global a menos que todos los DCs también sean GC.
www.pdftron.com Infraestructura Maestra
Figura 5-6 Roles de FMSO a Nivel de dominio
1 por dominio
Servicios Esenciales
173
Análisis de los Catálogos Globales Debido a que el controlador de dominio sólo tiene información para éste y no almacena una copia de los objetos de otros, todavía necesita una manera de encontrar y acceder a objetos en otros dominios dentro de su árbol y bosque. Un Catálogo global replica la información de cada objeto en un árbol y el bosque. Sin embargo, en vez de almacenar todo el objeto, almacena sólo los atributos que con más frecuencia son utilizados en las operaciones de búsqueda, tales como nombre y apellido del usuario, nombre de equipo y así sucesivamente. De forma predeterminada, un catálogo global se crea automáticamente en el primer controlador de dominio en el bosque, pero cualquier controlador de dominio se puede hacer en un catálogo global. Vea la fgura 5-7. Figura 5-7 Configuración de un controlador de dominio como un catálogo global
www.pdftron.com Más allá de ser usado para encontrar objetos en un bosque, los catálogos globales también son utilizados durante la autenticación de usuario de la siguiente manera: • En Windows 2000 en modo nativo y por encima de los niveles funcionales de dominio, los controladores de dominio deben solicitar la enumeración de membresía a grupos universales de un servidor de catálogo global. • Cuando un user principal name (UPN) se utiliza en el inicio y el bosque tiene más de un dominio, es necesario un servidor de catálogo global para resolver el nombre. Un UPN sigue el mismo formato que una dirección de correo electrónico (es decir,
[email protected]). Por último, un catálogo global es necesario para el almacenamiento en caché de la membresía de grupos universales. En un bosque que cuenta con más de un dominio y en los sitios que tienen los usuarios del dominio, pero no hay ningún servidor de catálogo global, el almacenamiento en caché de la membresía de grupos universales se puede utilizar para activar la caché de credenciales de inicio de sesión, para que el catálogo global no tenga qué ser contactado para un usuario posteriormente autentifcado en el inicio de sesión. Esta característica elimina la necesidad de recuperar la membresía de grupos universales a través de un enlace WAN desde un servidor de catálogo global en un sitio diferente. Además de tener un catálogo global en cada sitio geográfco, es una buena práctica para activar la caché de la membresía de grupos universales en cada sitio geográfco.
174
Lección 5
Definición de los niveles funcionales En el Directorio activo, puede haber controladores de dominio que ejecutan diferentes versiones de servidores con ambiente Windows, como Windows 2000, Windows Server 2003 o Windows Server 2008. El nivel funcional de un dominio o bosque depende de que las versiones del sistema en ambiente Windows Server se ejecuten en los controladores de dominio en alguno de éstos. El nivel funcional, que también controla las características avanzadas, está disponible en el dominio o bosque. Para obtener todas las características disponibles con Directorio activo, debe tener la última versión del sistema operativo Windows Server y tiene que utilizar el bosque más alto y el nivel funcional de dominio. Por supuesto, debe tener cuidado antes de migrar al nivel funcional más alto, ya que hacerlo podría cerrar algunas de las características heredadas que sólo estaban disponibles con los niveles funcionales más altos. Actualizar a un nivel superior funcional es un proceso unidireccional que no se puede revertir. Los seis niveles funcionales de dominio disponibles en el momento de escribir estas líneas son: • • • • • •
Windows 2000 mixto (predeterminado en Windows Server 2003) Windows 2000 nativo Windows Server 2003 provisional Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
www.pdftron.com Ajustar el nivel funcional para el dominio, permite que las características afecten únicamente a este en su totalidad. Si todos los controladores de dominio se encuentran ejecutándose en un dominio con ambiente Windows Server 2008 R2 y el nivel funcional se establece en Windows Server 2008 R2, todas las características del dominio estarán disponibles. Los cinco niveles funcionales de bosque disponible en el momento de escribir estas líneas son:
• Windows 2000 (predeterminado en Windows Server 2003 y Windows Server 2008) • Windows Server 2003 provisional • Windows Server 2003 (el valor predeterminado en Windows Server 2008 R2) • Windows Server 2008 • Windows Server 2008 R2 Al establecer el nivel funcional para un bosque permite funciones en todos los dominios en el mismo. Además, si todos los controladores de dominio de un bosque ejecutan Windows Server 2008 R2 y el nivel funcional se establece en Windows Server 2008 R2, todas las características del bosque se encontrarán disponibles. Por ejemplo, aunque Windows 2000 se encuentre en modo mixto puede ser compatible con los controladores del respaldo de Windows NT 4.0, si se actualiza a Windows 2000 nativo, puede utilizar grupos de seguridad universales, el anidamiento de grupos (grupos dentro de otros grupos) y el security identifer (SID) con sus capacidades históricas. Windows Server 2003 a nivel funcional de dominio admite el atributo LastLogonTimestamp, que se actualiza con el tiempo de inicio de la última sesión de usuario o de equipo. Este atributo se replica dentro del dominio. Al ejecutarse el Windows Server 2008 R2 en el nivel de dominio funcional, el Directorio activo se hace compatible con una papelera de reciclaje para recuperar objetos eliminados.
Servicios Esenciales
175
Más información Para obtener una lista de funciones disponibles en cada dominio y en el nivel funcional del bosque, visite el siguiente sitio Web: http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels (WS.10). aspx
f Introducción a las Unidades Organizacionales Como se mencionó anteriormente, una sola organización puede tener miles de usuarios y miles de equipos. Con Windows NT, un dominio sólo puede manejar un número limitado de objetos antes de que encuentre algunos problemas de rendimiento. Con las versiones posteriores de Windows, el tamaño del dominio se incrementó muy signifcativamente. Aunque puede haber requerido varios dominios con Windows NT para defnir su organización, ahora podría tener un solo dominio para representar a una gran organización. Sin embargo, todavía necesita una forma de organizar y administrar los objetos dentro de ese dominio. ; Listo para la Certificación ¿Cuál es la mejor manera de asignar usuarios para gestionar otros usuarios y equipos en el Directorio activo? —3.2
Para ayudar a organizar los objetos dentro de un dominio y reducir al mínimo el número de dominios requeridos, puede utilizar unidades organizacionales, Conocidos comúnmente como OUs (organizational units). Las OUs pueden ser usadas para soportar a los usuarios, grupos, equipos y otras unidades organizativas. Vea la fgura 5-8. Una unidad organizacional sólo puede contener objetos que se encuentran en un dominio. Aunque no hay restricciones respecto al número de OUs anidadas (una OU dentro de otra OU) que pueda tener, debe tratar de diseñar una jerarquía de poca profundidad para un mejor rendimiento.
www.pdftron.com Figura 5-8
Unidad organizacional del Directorio activo
La primera vez que instala el Directorio activo, hay varias unidades de la organización que ya han sido creadas. Estas incluyen los equipos, los usuarios, los controladores de dominio y la construcción de las OUs; a diferencia de las que se crean, estas no permiten delegar o asignar permisos de directivas de grupo para ellos. (Las directivas de grupo se explicarán más adelante.) Vale la pena mencionar que las OU son los controladores de dominio, que poseen el dominio predeterminado de controladores de políticas.
176
Lección 5
Los contenedores son objetos que pueden almacenar o mantener otros objetos. Estos incluyen el bosque, árbol, dominio y unidad organizativa. Para ayudar a administrar los objetos, puede delegar autoridad a un contenedor, en particular al dominio o unidad organizativa. Por ejemplo, digamos que tiene su dominio dividido por ubicaciones físicas. Se puede asignar un control de administrador autorizado del sitio a la OU que representa un lugar físico, para que el usuario sólo tenga el control administrativo de los objetos dentro de esa OU. También puede estructurar sus OUs por su función o áreas de gestión. Por ejemplo, podría crear una OU de ventas para mantener a todos los usuarios de ventas. También puede crear unas impresoras OU para contener todos los objetos de impresora y asignar un administrador de impresora. Al delegar la administración, se puede asignar una serie de tareas administrativas a los usuarios y grupos adecuados. Por ejemplo, puede asignar tareas básicas de administración a los usuarios regulares o grupos y dejar la administración de todo el dominio y todo el bosque, a los miembros de los Domain Admins y a los grupos de Enterprise Admin. Al delegar la administración, permite a los grupos dentro de su organización tener más control de sus recursos de la red local. También ayuda a proteger la red frente a daños accidentales o maliciosos, al limitar el número de miembros de los grupos de administrador. Puede delegar el control administrativo a cualquier nivel de un árbol de dominio mediante la creación de unidades organizacionales dentro de un dominio, así como delegar el control administrativo de unidades específcas de organización para determinados usuarios o grupos.
www.pdftron.com Æ Delegar control
PREPÁRESE. Para delegar el control de una unidad organizacional, siga estos pasos: 1. Abra Usuarios y equipos del Directorio activo.
2. En el árbol de la consola, haga clic en la unidad organizacional para la que desea delegar el control. 3. Haga clic en Delegar control para iniciar el Asistente para delegación de control y luego siga las instrucciones en pantalla.
f Una mirada a los Objetos Un objeto es conocido como un conjunto de atributos o características que representan un recurso de red. Los Objetos comunes que se usan dentro del Directorio activo son equipos, usuarios, grupos e impresoras. Los atributos tienen los valores que defnen un objeto en específco. Por ejemplo, un usuario podría tener el primer nombre de Juan, el apellido de Smith y el nombre de usuario como jsmith que identifca al usuario. ; Listo para la Certificación ¿Por qué es importante definir los usuarios del Active Directory? —3.1
Cuando se trabaja con objetos, los administradores utilizan los nombres de los objetos, tales como nombres de usuario. Sin embargo, a los objetos del Directorio activo se les asigna un número único de 128 bits llamado globally unique identifer (GUID), a veces referido como un security identifer (SID), para identifcar un objeto. Por lo tanto, si un usuario cambia su nombre, lo puede hacer mientras siga accediendo a todos los objetos y tendrá todos los derechos que tenía anteriormente, ya que estos se asignan a los GUID. GUID también ofrecen una cierta seguridad. En particular, si un usuario se borra, no se puede crear una nueva cuenta con el mismo nombre de usuario y esperar a tener acceso
Servicios Esenciales
177
a todos los objetos y los derechos del anterior. Por lo tanto, si decide despedir a alguien dentro de su organización; pero lo va a sustituir, puede deshabilitar la cuenta, contratar a la nueva persona, cambiar el nombre de la cuenta de usuario, así como la contraseña y volver a habilitar la cuenta para que el nuevo empleado pueda tener acceso a todos los recursos y todos los derechos que el usuario anterior tenía. El esquema del Directorio activo defne el formato de cada objeto y los atributos o campos dentro de cada objeto. El esquema predeterminado contiene defniciones de objetos de uso común, tales como cuentas de usuario, equipos, impresoras y los grupos. Por ejemplo, el esquema defne que una cuenta de usuario debe tener su nombre, los apellidos y el número de teléfono. Para permitir que sea fexible para que pueda soportar otras aplicaciones, puede ampliar el esquema para incluir atributos adicionales. Por ejemplo, puede agregar su número de placa o número de identifcación del empleado al objeto del usuario. De hecho, al instalar algunas aplicaciones, como Microsoft Exchange, extenderá el esquema mediante la adición de los atributos o campos adicionales para que el esquema pueda apoyar la solicitud.
Análisis de los Usuarios Una cuenta de usuario permite iniciar sesión en un equipo y al dominio. Como resultado, puede ser utilizada para probar su identidad y esta información se puede utilizar para determinar a lo que el usuario puede acceder y qué tipo de autorización tiene. También se puede usar para una auditoría, de manera que si hay algún problema de seguridad por algo a lo que se accedió o eliminó, se pueda determinar quién lo hizo.
www.pdftron.com En las redes Windows de hoy, hay dos tipos de cuentas de usuario: • Cuentas de usuario locales • Cuentas de usuario tipo Dominio
Una cuenta de usuario permite conectarse y acceder a los recursos en el equipo en el que se creó la cuenta. La cuenta de usuario local se almacena en la base de datos de la Security Account Manager (SAM) en el equipo local. El único equipo con Windows que no tiene una base de datos SAM es el controlador de dominio. La cuenta de administrador de usuario local es la única cuenta que por única ocasión se crea y activa por defecto en Windows. A pesar de que esta cuenta no se puede eliminar si es posible renombrar.
La única cuenta creada (pero no habilitada) de forma predeterminada es la cuenta de invitado. Esta se ha creado en una red de baja seguridad para el usuario ocasional que necesita tener acceso a los recursos de la misma. El uso de la cuenta de invitado no se recomienda y está deshabilitada por defecto. Una cuenta de usuario de dominio se almacena en el controlador de dominio y le permite acceder a los recursos dentro del mismo, suponiendo que se han concedido permisos para acceder a esos objetos. El administrador de dominio de cuenta de usuario, es la única cuenta que se ha creado y activado por defecto en Windows, desde que se creó el dominio. Aunque el administrador de dominio no se puede eliminar, sin embargo se puede renombrar. Al crear una cuenta de usuario de dominio, debe proporcionar un nombre y apellido, así como el nombre de inicio de sesión de usuario. El nombre de inicio debe ser único en el dominio. Vea la fgura 5-9. Después de que la cuenta de usuario se crea, puede abrir las propiedades de cuenta de usuario y confgurar el nombre de usuario de una persona, las horas de inicio de sesión, números de teléfono y direcciones; los equipos en los que el usuario puede iniciar sesión, en qué grupos es miembro, etcétera. También puede
178
Lección 5
especifcar si una contraseña expira o si se puede cambiar y si la cuenta está deshabilitada. Por último, en la fcha Perfl, puede defnir el directorio home del usuario, el script de inicio de sesión y la ruta del perfl. Vea la fgura 5-10. Figura 5-9 Cuentas de usuario en el Directorio activo
www.pdftron.com Figura 5-10
Ficha de Perfil
Servicios Esenciales
179
El perfl de usuario está asociado a una cuenta, esta es una colección de carpetas, los datos que almacenan son del entorno del usuario actual del escritorio y la confguración de la aplicación. Un perfl de usuario también registra todas las conexiones de red que se establecen, de modo que cuando un usuario inicia sesión en un equipo, recordará las unidades asignadas a las carpetas compartidas, y así recibirá el mismo entorno de escritorio que previamente tenía en el equipo. De forma predeterminada, los perfles de usuario para Windows XP y Windows Server 2003 se almacenan en el directorio C: \ Documents and Settings con el nombre de la persona. Por ejemplo, si jsmith inicia la sesión, su carpeta de perfl de usuario sería C: \ Documents and Settings \ jsmith. Para Windows Vista, Windows 7 y Windows Server 2008, los perfles de usuario se almacenan en la carpeta C: \ usuario. En la carpeta de cada usuario, algunas de las carpetas disponibles incluyen Escritorio, Mis documentos, Inicio y Favoritos. Vea la fgura 5-11. Así que, cuando jsmith accede directamente a su escritorio o Mis Documentos, jsmith realmente está accesando a C: \ Documents and Settings \ jsmith \ escritorio o C: \ Documents and Settings \ jsmith \ mis documentos. Figura 5-11 Carpeta de perfil de usuario
www.pdftron.com Hay tres tipos de perfles de usuario: • Perfil de usuario local: Este tipo de perfl se almacena en el disco duro de la computadora en el que el usuario inicia sesión. Por lo tanto, si el usuario inicia sesión en un equipo diferente, obtendrá los ajustes por defecto para ese equipo. • Perfil de usuario móvil: Este tipo de perfl se crea y se almacena en una carpeta compartida en un servidor a través de la red. Por lo tanto, no importa el equipo al que el usuario se conecte dentro del dominio, tendrá los mismos ajustes. • Perfil del usuario mandatorio: Este tipo de perfl se utiliza como uno móvil en el que la confguración se puede cambiar, pero cuando el nuevamente inicia sesión, todos los ajustes se restablecen a sus valores por defecto.
180
Lección 5
Análisis de los Equipos Al igual que las cuentas de usuario, las cuentas de equipo de Windows proporcionan un medio para autenticar y auditar el acceso de un ordenador a una red de Windows y el acceso a los recursos del dominio. Cada equipo con el ambiente Windows a los que desea conceder acceso, debe tener una cuenta única. Vea la fgura 5-12. Una cuenta de equipo también se puede utilizar para fnes de auditoría, lo cual especifcará el sistema utilizado cuando se accedió a algo. Figura 5-12 Cuenta de Equipo
www.pdftron.com Introducción a Grupos
; Listo para la Certificación ¿De qué manera los grupos simplifican la seguridad? —3.1
Un grupo es una colección o una lista de cuentas de usuario o cuentas de equipo. A diferencia de un contenedor, un grupo no almacena usuarios o información de la computadora, sino sólo la enlista. La ventaja de utilizar grupos, es que simplifcan la administración, especialmente en la asignación de derechos y permisos. Un grupo se utiliza para agrupar usuarios y equipos, así que cuando se asignan derechos y permisos, se les asigna a todo el grupo en lugar de a cada usuario de manera individual. Los usuarios y equipos pueden ser miembros de varios grupos y en algunos casos, un grupo puede ser asignado a otro grupo.
Comparando los Tipos de Grupos En el Directorio activo de Windows, hay dos tipos de grupos: de seguridad y de distribución. Un grupo de seguridad se utiliza para asignar derechos y permisos y obtener acceso a recursos de red. También puede ser utilizado como un grupo de distribución. Un grupo de distribución sólo es utilizado para las funciones sin seguridad, como la distribución de correo electrónico y no se puede utilizar para asignar derechos y permisos. Vea la fgura 5-13.
Servicios Esenciales
181
Figura 5-13 Grupo del Directorio activo
Grupos de Alcance
www.pdftron.com Cualquier grupo, ya sea de seguridad o de distribución, se caracteriza por un alcance que identifca la medida en el que se encuentra, si es aplicado al dominio de árbol o de bosque. Los tres ámbitos de grupo (también se describen en la Tabla 5-2) son los siguientes: • Dominio de grupo local: Un grupo de dominio local contiene grupos globales y universales, aunque también pueden contener cuentas de usuario y otros grupos de dominio local. Por lo general, en el dominio con el recurso al que desea asignar permisos o derechos. • Grupo global: Los grupos globales pueden contener cuentas de usuario y otros grupos globales, pues están diseñados para ser integrales para todo el dominio. Después de colocar las cuentas de usuario, estos grupos se colocan normalmente en grupos de dominio local. • Grupos universales: Este ámbito está diseñado para contener grupos globales de varios dominios. Los grupos universales pueden contener grupos globales, universales y cuentas de usuario. Debido a que los catálogos generales replican la membresía del grupo universal, debe limitar el número de miembros de los globales. De esta manera, si cambia un miembro dentro de un grupo global, el catálogo general no tendrá que repetir el cambio.
182
Lección 5
Tabla 5-2 Grupo de Alcance
Alcance
El Grupo puede tener entre sus miembros ...
El Grupo puede tener diferentes permisos en ...
Universal
Cuentas de cualquier dominio en el bosque en el que reside el grupo universal; grupos globales de cualquier dominio en el bosque en el que reside el grupo universal; grupos universales de cualquier dominio en el bosque en el que reside el grupo universal. Cuentas del mismo dominio que el grupo padre global; grupos globales del mismo dominio que el grupo padre global.
Cualquier dominio o bosque
Global
Cualquier dominio
El Grupo de Alcance puede ser convertido en ... Dominio local Global (siempre y cuando no existen otros grupos universales como miembros)
Universal (siempre y cuando no sea miembro de ningún grupo global de otro tipo) Universal (siempre y cuando no de dominio de otros grupos locales que existan como miembros)
www.pdftron.com Dominio local
Cuentas de cualquier dominio, grupos globales de cualquier dominio, los grupos universales de cualquier dominio, los grupos de dominio local, pero sólo desde el mismo dominio que el grupo de dominio padre local.
Sólo el mismo dominio que el grupo de dominio local de padres
Cuando se asignen derechos y permisos, siempre debe tratar de organizar a los usuarios en grupos y asignar los derechos y permisos para el grupo, en lugar de usuarios individuales. Esto se utiliza para gestionar efcazmente el uso de grupos en la asignación de acceso a un recurso de red utilizando los grupos globales y grupos locales de dominio, recuerde la regla mnemotécnica AGDLP (Accounts, Global, Domain Local, Permissions): • Agregar la cuenta de usuario (A) en el grupo global (G) en el dominio en el que el usuario existe. • Agregue el grupo global (G) del dominio del usuario en el grupo de dominio local (DL) en el dominio de recursos. • Asignar permisos (P) en el recurso al grupo de dominio local (DL) en su dominio. Si está utilizando grupos universales, la tecla de acceso se amplía a AGUDLP: • Agregar la cuenta de usuario (A) en el grupo global (G) en el dominio en el que el usuario existe. • Añadir grupos globales (G) del dominio del usuario en el grupo universal (U). • Añadir grupo universal (U) para el grupo de dominio local (DL). • Asignar permisos (P) en el recurso al grupo de dominio local (DL) en su dominio.
Servicios Esenciales
183
Análisis de Grupos Integrados Al igual que en las cuentas de administrador e invitado, Windows tiene grupos predeterminados llamados grupos integrados. Estos grupos predeterminados tienen concedidos derechos específcos y permisos para que pueda empezar. Varios grupos integrados son los siguientes: • Administradores de dominio: Los miembros de este grupo puede realizar tareas administrativas en cualquier equipo dentro del dominio. El valor por defecto, cuenta de administrador, es un miembro. • Usuarios del dominio: Windows agrega automáticamente cada nueva cuenta de usuario de dominio en el grupo Usuarios del dominio. • Operadores de cuentas: Los miembros de este grupo pueden crear, eliminar y modifcar cuentas de usuario y grupos. • Operadores de respaldo: Los miembros de este grupo puede respaldar y restaurar todos los controladores de dominio con Windows Backup. • Usuarios autenticados: Este grupo incluye a todos los usuarios con una cuenta válida en el equipo o en el Directorio activo. Utilice el grupo Usuarios autenticados en lugar del grupo Todos para impedir el acceso anónimo a un recurso. • Todos: Este grupo incluye a todos los usuarios que tienen acceso a una computadora, aún cuando, un usuario en particular, no tenga una cuenta válida. Más información
www.pdftron.com Para obtener más información sobre los grupos disponibles, visite el siguiente sitio Web: http://technet.microsoft.com/en-us/library/cc756898 (WS.10). aspx
f Introducción a la Directiva de Grupo
La Directiva de grupo es una de las características más potentes del Directorio activo que controla el entorno de trabajo para las cuentas de usuario y de equipo. La Directiva de grupo proporciona una gestión centralizada y una confguración de sistemas operativos, aplicaciones y confguraciones de usuario en un entorno del Directorio activo. Por ejemplo, puede utilizar Directiva de grupo para especifcar la frecuencia con que un usuario tiene que cambiar su contraseña, qué imagen de fondo tiene una computadora personal o si la corrección ortográfca se requiere antes de que un usuario puede enviar un correo electrónico. Listo para la Certifcación ¿Qué es la directiva de grupo, y cómo ayuda a administrar su red? —3.4
Literalmente hay miles de opciones que pueden utilizarse para restringir ciertas acciones, hacer un sistema más seguro o estandarizar un ambiente de trabajo. Una confguración puede controlar un registro de la computadora, la seguridad NTFS, la auditoría y la política de seguridad; instalación de software, la redirección de carpetas aunque estas no tengan conexión o iniciar y cerrar la sesión en las secuencias de comandos. La Directiva de grupo es una de las características más potentes del Directorio activo que controla el entorno de trabajo para las cuentas de usuario y cuentas de equipo. La directiva de grupo (Vea la fgura 5-14) proporciona la gestión centralizada y la confguración de sistemas operativos, aplicaciones y confguraciones de usuario en un entorno del Directorio activo. A medida que cada versión de servidor se libera, Microsoft suele añadir parámetros adicionales. Los Objetos de Directivas de Grupo (GPO) son recopilaciones de confguraciones tanto del usuario como de la computadora, como las siguientes: • Configuración del sistema: Confguración de las aplicaciones, la apariencia del escritorio y el comportamiento de los servicios del sistema. • Configuraciones de seguridad: Equipo local, dominio y la confguración de seguridad en la red.
184
Lección 5
• Configuración de instalación del software: Gestión de instalación del software, actualizaciones y eliminación. • Configuración de Scripts: Scripts para cuando un equipo se enciende o se apaga y para cuando un usuario inicia sesión y la cierra. • Configuración de redirección de carpetas: Almacenamiento de las carpetas de los usuarios en la red. Figura 5-14 Editor de las directivas de grupo
www.pdftron.com Aplicar la Directiva de Grupo La directiva de grupo puede confgurarse localmente, en una estación de trabajo o a distintos niveles (sitio, dominio o unidad organizativa) con el Directorio activo. Hablando en general, no encontrará muchas confguraciones a nivel local como si entrará en el sitio, dominio o en el nivel OU. Cuando las directivas de grupo se aplican, se realizan en el siguiente orden: 1. Local 2. Sitio 3. Dominio 4. OU Si confgura una directiva de grupo en el sitio, dominio o en el nivel OU y esa confguración contradice lo confgurado al nivel de política local, la confguración de directiva local se reemplaza. Hablando en general, si tiene una confguración de directiva que entra en conficto con una confguración anteriormente ejecutada, el ajuste más reciente que se ha ejecutado permanece en activo (Vea la fgura 5-15).
Servicios Esenciales
185
Figura 5-15 Consola de Administración para Políticas de Grupo
Æ Editor de directivas de grupo local PREPÁRESE. Puede abrir el Editor de directivas de grupo local utilizando gpedit.msc en una línea de comando o utilizando el Microsoft Management Console (MMC). Para abrir el Editor de directivas de grupo local desde la línea de comando, realice los siguientes pasos:
www.pdftron.com 1. Abra el MMC. (Haga clic en Inicio, después haga clic en el cuadro de Iniciar búsqueda, escriba mmc y a continuación, presione Intro.) 2. En el menú de Archivo, haga clic en Agregar o quitar complemento.
3. En el cuadro de diálogo de la opción Agregar o quitar complemento, haga clic en el Editor de Objeto de Directivas de Grupo y, a continuación haga clic en Agregar. 4. En el cuadro de diálogo Seleccione Objeto de Directivas de Grupo, y haga clic en Examinar.
5. Haga clic en Este equipo para editar el Objeto de Directivas de Grupo Local, o en Usuarios para editar el administrador o no administrador o por usuario de Objetos de Directivas de Grupo Local. 6. Haga clic en Finalizar.
La mayoría de las veces, sólo necesita accesar a la confguración de seguridad que se encuentra en las políticas locales. Esto lo puede hacer abriendo la Directiva de seguridad local desde las Herramientas administrativas.
186
Lección 5
Los Derechos y Permisos Precisamente lo que un usuario puede o no puede hacer en un sistema o en un recurso está determinado por dos aspectos: • Derechos • Permisos Un derecho autoriza a un usuario para realizar ciertas acciones en un equipo, así como iniciar sesión en un sistema de forma interactiva o realizar copias de seguridad de los archivos y directorios de un sistema. Los derechos de usuario se asignan a través de directivas locales o por el Directorio activo Group Policy. Vea la fgura 5-16. Figura 5-16 Asignación de Derechos por medio de Directiva de Grupo
www.pdftron.com Un permiso defne el tipo de acceso que se concede a un objeto (un objeto puede ser reconocido con un identifcador de seguridad) o a un atributo del mismo. Los objetos más comunes a los que se asignan permisos son los archivos y carpetas NTFS, impresoras y objetos del Directorio activo, los cuales son registrados en la Lista de Control de Acceso (ACL) y así los usuarios que pueden acceder a un objeto y a las acciones que están autorizados a realizar. El NTFS y los permisos de impresión se discutirán en la próxima lección.
Servicios Esenciales
187
Resumen de Habilidades En esta lección aprendió: • Además de convertirse en el estándar para Internet, el DNS siglas para el Sistema de nombre de dominio, es una base jerárquica relación cliente/servidor distribuido en un sistema de gestión de almacenamiento de datos que traduce los nombres del dominio/ host a una dirección IP. • Un fully qualifed domain name (FQDN) describe la posición exacta de un host dentro de una jerarquía de DNS. • Windows Internet Name Service o WINS es el legado de servicio de nombres que se traduce de NetBIOS (nombre del equipo) para especifcar un recurso de la red. • Cuando comparte un directorio, unidad o una impresora en una computadora que ejecuta Windows o un equipo Linux ejecutando Samba, se puede acceder a los recursos mediante la Universal Naming Convention (UNC), también conocida como la Convención de Nombramiento Uniforme, para especifcar la ubicación del recurso. • Los servicios del Dynamic Host Confguration Protocol (DHCP) asignan automáticamente direcciones IP y los parámetros relacionados (incluyendo la máscara de subred y el Gateway por defecto, así como la duración) para que un host pueda comunicarse inmediatamente a una red IP cuando esta inicie sesión. • El Protocolo Ligero de Acceso a Directorios o LDAP, es un protocolo de aplicación para consultar y modifcar información usando los servicios del directorio ejecutados a través de la TCP / IP. • Los dominios del Directorio activo, árboles y bosques son representaciones lógicas de la organización de la red, que le permiten organizarlos para administrarlos de la mejor manera. • Los controladores de dominio y sitios representan la estructura física de una red. • Un sitio es una o varias subredes IP que están conectadas por un enlace de alta velocidad, por lo general defnidos por una ubicación geográfca. • Un controlador de dominio es un servidor de Windows que almacena una copia de la cuenta y de la información de seguridad para el dominio y defne los límites de éste. • Un servidor que no se ejecuta como un controlador de dominio se conoce como un servidor miembro. • Para minimizar el tráfco a través de un enlace WAN, los servidores a la cabeza realizan una réplica entre dos sitios, mientras que dos controladores de dominio designados hablan el uno con el otro. • El Directorio activo utiliza replicaciones multi-maestras, lo que signifca que no hay ningún controlador de dominio principal. • Debido a que hay ciertas funciones que sólo pueden ser manejadas por un controlador de dominio a la vez, el Directorio activo utiliza las funciones del Flexible Single Master Operations (FSMO). • Un catálogo global mantiene las copias de la información de cada objeto en un árbol y bosque. • El nivel funcional de los controladores de dominio o de un bosque con funciones avanzadas están disponibles en cualquiera de los dos anteriores. • Para ayudar a organizar los objetos dentro de un dominio y reducir el número de dominios, puede utilizar unidades organizacionales, conocidas comúnmente como OUs.
www.pdftron.com
188
Lección 5
• Puede delegar el control administrativo a cualquier nivel de un árbol mediante la creación de unidades organizacionales dentro del dominio y delegar el control administrativo para una unidad organizativa específca a determinados usuarios o grupos. • Una cuenta de usuario permite iniciar sesión en un equipo y en el dominio. Como resultado, se puede utilizar para probar la identidad del mismo y esta información puede ser usada para determinar quién puede acceder y el tipo de acceso que tendrá (autorización). • Las cuentas de un equipo de Windows proporcionan un medio para autenticar y auditar el acceso de un equipo a una red de Windows y a los recursos del dominio. • Un grupo es un conjunto de cuentas de usuarios o cuentas de equipos. • La Directiva de grupo proporciona la gestión centralizada y confguración del sistema operativo, aplicaciones y confguraciones de usuario en un entorno del Directorio activo. • Un derecho autoriza a un usuario para realizar determinadas acciones en un equipo. • Un permiso defne el tipo de acceso que se le concede a un objeto (un objeto puede ser reconocido con un identifcador de seguridad) o atributo de éste.
» Examen de Conocimiento Complete los espacios en blanco
www.pdftron.com Complete las siguientes oraciones, escribiendo la palabra o palabras correctas en los espacios proporcionados. 1. El archivo que se utiliza para resolver nombres de host a direcciones IP es _________.
2. El registro de recursos utilizado en el DNS para resolver direcciones IP a nombres de host es _______. 3. La _______ asigna automáticamente direcciones IP y otras confguraciones de IP a un host. 4. ________ es un servicio de directorio popular con los objetos en una jerárquica lógica. 5. El ____________ son los roles que cumplen ciertas funciones y solo pueden ser manejados por un controlador de dominio. 6. Un(os) _______ se utilizan para organizar los objetos dentro de un dominio. 7. Las impresoras, usuarios y equipos son ejemplos de ________ en el Directorio activo. 8. La base de datos de seguridad local que se encuentran en un servidor miembro es conocida como __________. 9. Una colección o una lista de usuarios se conoce como ________. 10. Las ________________ grupo se utiliza para crear, eliminar y modifcar cuentas de usuario y grupos.
Servicios Esenciales
189
Opción múltiple Encierre en un círculo la letra que corresponde a la mejor respuesta. 1. El servicio de nombres primarios utilizados en Windows es ____________. a. b. c. d.
AD WINS DNS DHCP
2. ¿Cual es el registro de recursos que traduce del nombre de host a una dirección IP en el DNS? a. b. c. d.
PTR H IP A
3. _______ es un sistema de legado de nombres utilizado para traducir nombres de los equipos / nombres NetBIOS a direcciones IP. a. b. c. d.
AD WINS DNS DHCP
www.pdftron.com 4. ¿Cuál es el master time server? a. b. c. d.
Schema Master Domain Naming Master PDC Emulator RID Master
5. ¿Que es lo que mantiene la copia de la información de cada objeto en un árbol y bosque? a. b. c. d.
Infraestructure Master Schema Master Global Catalog PDC Emulator
6. ¿Qué grupo competente está destinado a ser utilizado para asignar permisos a un recurso local? a. b. c. d.
Grupo de distribución Dominio local Global Capturado
7. ¿Qué grupo competente puede contener grupos globales de múltiples dominios? a. b. c. d.
Emulación Dominio local Global Universal
190
Lección 5
8. ¿Qué se puede utilizar para especifcar cuántas veces un usuario puede entrar e iniciar sesión con una contraseña incorrecta antes de que la cuenta sea deshabilitada? a. b. c. d.
Perfl de usuario Directiva de Grupo Directiva de Software Colección de cuentas de usuario
9. ¿A cuál de las siguientes no puede ser aplicada una directiva de grupo directamente? a. b. c. d.
Grupo Sitio Dominio OU
10. ¿Qué es lo que autoriza a un usuario realizar determinadas acciones en un equipo? a. b. c. d.
Permiso UNC Derecho Tarea
Verdadero / Falso Encierre en un círculo la letra V si el enunciado es verdadero o F si el enunciado es falso.
www.pdftron.com V V
F F
V
F
V
F
V
F
1. Una colección son dos o más árboles. 2. Los controladores de sitio y de dominio son los aspectos físicos de la red. 3. Un servidor miembro ejecuta los servicios de dominio del Directorio activo. 4. Un mayor dominio y los niveles funcionales de bosque mejorarán la funcionalidad del Directorio activo. 5. El Directorio activo está estrechamente ligado al DNS.
» Evaluación de Competencias Escenario 5.1: Diseño del Directorio activo Tiene diez sitios en todo el país y cinco departamentos principales. ¿Cómo va a diseñar la estructura del Directorio activo? Escenario 5-2: Diseñando la Estructura Física AD ¿Cómo se puede definir que los controladores de dominio copien información a otros controladores de dominio?
Servicios Esenciales
191
» Evaluación de la Habilidad Escenario 5-3: Instalación del Directorio activo Instalar los servicios del Directorio activo y promover el equipo a un controlador de dominio con el nombre de dominio dominioxx donde xx es su número de estudiante. Si no tiene un número de estudiante, use 01. Escenario 5.4: Administración de un dominio A continuación, debe crear tres usuarios en cada OU. A continuación, debe crear un grupo en cada OU que albergue a los miembros de la OU. Crear un usuario llamado JSmith en la Ingeniería OU. Añadir al usuario JSmith al grupo de Ingenieros.
Listo para el lugar de trabajo Æ Usuario Administrador y Cuentas de Servicio El Directorio activo es una parte importante de muchas empresas y es fundamental para la autenticación, autorización y auditoría. Sin embargo, hay que ser muy perspicaz para sacar todo lo posible de él, incluyendo la creación de su red lo más segura posible.
www.pdftron.com Ejecutar su sistema como administrador le da un gran poder y responsabilidad. Debido a que tiene acceso a tanta información, sin saberlo puede causar problemas. Por ejemplo, si su sistema está infectado con malware, por ejemplo un virus; el malware puede propagarse a otros equipos, ya que tiene permiso para acceder a ellos. Como medida de precaución, debe considerar la creación de dos cuentas para administradores. La cuenta de usuario “normal” debe ser utilizada para realizar las tareas cotidianas, como el acceso a los archivos personales de alguien, consultar el correo electrónico o ejecutar informes. La cuenta de “administrador» se debe utilizar para acceder a servidores y aplicaciones que necesitan ser gestionados o reconfgurados. Incluso puede iniciar la sesión como cuenta “normal” y cambiar temporalmente su contexto ejecutando el comando ejecutar como en el indicador de mando, utilizando la opción de ejecutar u oprimiendo el botón derecho en un archivo ejecutable y seleccionando Ejecutar como Administrador.
Algunas aplicaciones y servicios se deben ejecutar como administrador o con permisos administrativos. Por lo tanto, puede crear una cuenta de usuario y asignar los permisos mínimos necesarios para que la aplicación se ejecute correctamente. Como nota, no se recomienda el uso de cuentas «normales» de usuario para ejecutar aplicaciones o servicios porque algunas veces la gente hace mal uso de ellas. Si deshabilita una cuenta que una aplicación o servicio ejecuta, la aplicación o servicio no se ejecutará.
www.pdftron.com
Lección 6
Servicios de archivo e impresión Matriz de Dominio de objetivos Habilidades / Conceptos
Descripción del dominio del objetivo
Número del dominio del objetivo
Introducción a NTFS
Entender los archivos y servicios de impresión.
2.4
Compartir unidades y carpetas Búsqueda de impresoras Habilitación de auditoría
Términos clave • Acciones administrativas • Auditoría • Permisos efectivos • Sistema de archivos encriptados (EFS) • Encriptación
• Permiso explícito • Permiso heredado • Impresión en Internet • Permisos NTFS • Propietario • Dispositivo de impresión
• Trabajos de impresión • Impresora • Permisos de impresora • Permiso compartido • Carpeta compartida
www.pdftron.com Supongamos que tiene varios servidores que ejecutan Windows Server 2008 R2. Desea centralizar el almacenamiento de documentos e impresión para que los usuarios puedan acceder fácilmente a los archivos mientras proporcionan una manera efcaz de realizar las copias de seguridad de datos. Además, quiere comprar dos impresoras a color grandes y rápidas que serán situadas en el centro para manejar varios trabajos grandes de impresión.
194
Lección 6
Introducción a NTFS È EN RESUMEN
En la lección 3, aprendió que NTFS es el sistema de archivos preferido, en parte, porque apoya a discos duros mucho más grandes y con un mayor nivel de confanza. Además, NTFS ofrece mejor seguridad a través de los permisos y el encriptado. ; Listo para la Certificación ¿Por qué NTFS es el sistema de archivos preferido? —2.4
En esta lección, el permiso se defne cómo el tipo de acceso que se concede a un objeto, como a los archivos y carpetas NTFS. Cuando los archivos y carpetas se crean en la unidad NTFS, es creada una lista de seguridad conocida como Access Control List (ACL). Esta lista incluye información que controla qué usuarios y grupos pueden tener acceso al archivo o carpeta, así como el tipo de acceso se concede a determinados usuarios y grupos. Cada asignación de permisos es representado como un Access Control Entry (ACE).
º Tome Nota Los permisos NTFS se administran mediante el Explorador de Windows (explorer. exe)
f Establecer permisos NTFS
www.pdftron.com Los permisos NTFS permiten controlar qué usuarios y grupos pueden acceder a los archivos y carpetas en la unidad NTFS. La ventaja de los permisos NTFS es que afecta a los usuarios locales, así como los de la red.
Por lo general, cuando se asignan los permisos NTFS, podrá asignar los siguientes criterios para éstos:
• Control total: Este es un permiso para leer, escribir, modifcar y ejecutar archivos en una carpeta, cambiar los atributos y permisos; y hacer uso de ella o de los archivos que se encuentran ahí. • Modificar: Este es un permiso para leer, escribir, modifcar y ejecutar archivos en una carpeta, así como cambiar sus atributos o los archivos dentro de ella. • Leer y ejecutar: Este es un permiso para sólo mostrar el contenido de una carpeta; mostrar los datos, atributos, propietario y permisos para los archivos que se encuentran dentro de ella. • Lista del contenido de la carpeta: Este es un permiso para sólo mostrar el contenido de una carpeta; así como los datos, atributos, propietario y permisos para los archivos, y ejecutar los que se encuentran dentro de ella. • Leer: Este es un permiso para sólo mostrar los datos de un archivo, atributos, propietario y permisos. • Escribir: Este es un permiso para escribir en un archivo, adjuntarlo y leer o cambiar sus atributos.
Tome Nota Mientras el permiso de Lista del contenido de la carpeta y el permiso Leer y ejecutar parecen tener los mismos permisos especiales, estos permisos se heredan de forma diferente. La Lista de carpetas de contenido es heredado por carpetas, pero no los archivos, mientras que Leer y ejecutar lo heredan tanto los archivos y carpetas.
Servicios de archivo e impresión
195
Para administrar los permisos de NTFS, puede hacer clic derecho en una unidad, carpeta o archivo y seleccionar Propiedades y, a continuación seleccionar la fcha Seguridad. Vea la fgura 6-1, deberá ver el grupo y los usuarios que tienen permisos de NTFS y sus respectivos permisos estándar. Para cambiar los permisos, debe hacer clic en Editar. Figura 6-1 Permisos NTFS
www.pdftron.com Cada uno de los permisos estándar consiste en un grupo lógico de permisos especiales, los cuales son los siguientes:
• Recorrer la carpeta / Ejecutar archivo: Recorrer la carpeta permite o niega el movimiento a través de estas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para recorrerlas. Por defecto, el grupo Todos se les concede el derecho de usuario para omitir la comprobación del recorrido. (Esto se aplica sólo a las carpetas.) Ejecutar archivo permite o niega la ejecución de archivos de programa. (Esto se aplica sólo a los archivos.) Al establecer el permiso de Recorrer la carpeta, no se establece automáticamente el permiso de Ejecutar el archivo en todos los documentos dentro de la misma. • Mostrar carpeta / Leer datos: Mostrar carpeta permite o niega la visualización de los nombres de archivos y los nombres de la subcarpetas. También afecta el contenido de esa carpeta solamente y no afecta si esta tiene establecido el permiso que se le está asignando a la lista. (Esto se aplica sólo a las carpetas.) Leer los datos permite o niega la vista de los datos en los archivos. (Esto se aplica sólo a los archivos.) • Leer atributos: Permite o niega la vista de los atributos de un archivo o carpeta, como sólo lectura y oculto. • Leer atributos extendidos: Este permiso permite o niega la vista de los atributos extendidos de un archivo o carpeta. Los atributos extendidos están defnidos por los programas y pueden variar según el programa. • Crear archivos / Escribir datos: Crear archivos permite o niega la creación de archivos dentro de una carpeta. (Esto se aplica sólo a las carpetas.) Escribir datos permite o impide realizar cambios en un archivo y sobreescribir el contenido existente. (Esto se aplica sólo a los archivos.) • Crear carpetas / Anexar datos: Crear carpetas permite o niega la creación de estas dentro de otra. (Esto se aplica sólo a las carpetas.) Anexar datos permite o impide
196
Lección 6
•
•
• • • •
realizar cambios al fnal de un archivo, pero no cambiar, eliminar o sobrescribir los ya existentes. (Esto se aplica sólo a los archivos.) Escribir atributos: Permite o niega el cambio de los atributos de un archivo o carpeta, así como sólo lectura u oculto. No implica crearlos o eliminarlos; sólo incluye el permiso para realizar cambios en sus atributos. Para permitir (o negar) crear o eliminar las operaciones, es necesario ver Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar. Escribir atributos extendidos: Este permiso permite o niega el cambio de los atributos extendidos de un archivo o carpeta. Los atributos extendidos están defnidos por los programas y pueden variar según estos. El permiso de Escribir atributos extendidos no implica crear o eliminar archivos o carpetas; sólo incluye el permiso para realizar cambios en sus atributos. Para permitir (o negar) crear o eliminar las operaciones, es necesario ver Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar. Eliminar subcarpetas y archivos: Este permiso permite o impide eliminar subcarpetas y archivos, incluso si el permiso de Eliminar no se ha concedido en estos. Eliminar: Permite o niega la eliminación del archivo o carpeta. Si no tiene permiso de Eliminarlo, aún puede hacerlo si se le ha concedido el permiso de Eliminar subcarpetas y archivos en la carpeta principal. Permiso de lectura: Este permiso permite o niega la lectura de un archivo o carpeta, como el control total, leer y escribir. Cambiar permisos: Esto permite o niega el cambio de los permisos de un archivo o carpeta, como el control total, leer y escribir. Tomar posesión: Este permiso permite o impide hacer uso de un archivo o carpeta. El propietario del archivo o carpeta siempre puede cambiar los permisos sobre el mismo, independientemente de los permisos existentes en el archivo o carpeta. Sincronizar: Permite o impide que distintos sub-procesos que esperan un archivo o carpeta se sincronicen con otro sub-proceso que pueda enviarles señales. Este permiso sólo se aplica a programas multithreaded y multiproceso.
www.pdftron.com •
•
La Tabla 6-1 muestra los permisos especiales asignados a cada estándar de los permisos NTFS. Si por alguna razón necesita un control más detallado, puede asignar permisos especiales. Para asignarlos, haga clic en una unidad, carpeta o archivo, haga clic en Propiedades y seleccione la fcha Seguridad. A continuación, haga clic en Opciones Avanzadas para abrir la Confguración de seguridad avanzada, haga clic en Cambiar permisos y seleccione Agregar, Editar, Quitar. Vea la fgura 6-2.
Servicios de archivo e impresión
197
Tabla 6-1 Permisos NTFS
Leer
x
Lista de contenido de la carpeta (sólo carpetas) x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Permisos especiales
Control total
Modificar
Leer y ejecutar
Recorrer carpeta / Ejecutar archivo Lista de carpetas / Leer datos Leer atributos Leer atributos extendidos Crear archivos / Escribir datos Crear carpetas / Anexar datos Escribir atributos Escribir atributos extendidos Eliminar subcarpetas y archivos Eliminar Permisos de lectura Permisos de Cambio Tomar posesión Sincronizar
x
x
x
Escribir
x
www.pdftron.com x
x
x
x
x
x
x
x
x
x
x x
x x
x
x
x
x
x
x
x
x
x
x x x
198
Lección 6
Figura 6-2 Configuración avanzada de seguridad
Los grupos o usuarios a los que se le concede el permiso de Control total sobre una carpeta pueden eliminar cualquier archivo en esa independientemente de los permisos de proteger el archivo. Además, la función de mostrar el contenido de la carpeta es heredada por las carpetas pero no por los archivos y sólo deberá constar al ver los permisos. En Windows Server 2008, el grupo Todos no incluye el grupo de Inicio de sesión anónimo de forma predeterminada, por lo que los permisos que se aplican para el grupo Todos no afectan al grupo Inicio de sesión anónimo.
www.pdftron.com Para simplifcar la administración, se recomienda que conceda permisos mediante grupos. Mediante la asignación de permisos NTFS, se le está otorgando permisos a una o más personas, reduciendo el número de entradas en cada lista de acceso y la cantidad de esfuerzo para confgurar situaciones en las que varias personas necesitan tener acceso a determinados archivos o carpetas.
f Permisos efectivos de NTFS
La estructura de carpetas/archivos en una unidad NTFS puede ser muy complicada e incluye muchas carpetas y subcarpetas. Además, debido a que se recomienda asignar permisos a grupos y a diferentes niveles en un volumen NTFS, conocer los permisos efectivos de una determinada carpeta o archivo para un usuario en particular puede ser complicado. Hay dos tipos de permisos utilizados en NTFS:
• Permisos explícitos: Permisos concedidos directamente a un archivo o carpeta. • Permisos heredados: Permisos concedidos a una carpeta (objeto o contenedor primario) que se transmiten a los objetos secundarios (archivos o subcarpetas) dentro de esa carpeta. Al asignar permisos a una carpeta, por defecto, se aplican también a las subcarpetas y archivos dentro de ella. Para detener los permisos heredados, puede seleccionar la casilla “Reemplazar todos los permisos heredables existentes en todos los descendientes con permisos heredables de este objeto” en el cuadro de diálogo de Confguración de seguridad avanzada. A continuación, se le preguntará si está seguro de que desea continuar. También puede deseleccionar la casilla “Permitir que los permisos heredables del primario se propaguen a este objeto”. Cuando esta casilla está vacía, Windows mostrará un cuadro de diálogo de seguridad. Al hacer clic en Copiar, el permiso explícito se copiará de la carpeta principal a la subcarpeta o archivo. A continuación, puede cambiar los permisos explícitos en la subcarpeta o archivo. Si hace clic en Eliminar, se retira el permiso heredado por completo.
Servicios de archivo e impresión
199
De forma predeterminada, los objetos dentro de una carpeta heredan los permisos de esa carpeta cuando se crean (Tabla 6-2). Sin embargo, los permisos explícitos tienen prioridad sobre los permisos heredados (Tabla 6-3). Así que, si concede diferentes permisos a un nivel inferior, el menor nivel tiene prioridad. Por ejemplo, supongamos que tiene una carpeta llamada Datos. Dentro de ésta, tiene la Carpeta1, y dentro tiene la Carpeta2. Si concede Permitir el control total a una cuenta de usuario, el permiso Permitir control total se pasará a las subcarpetas y archivos dentro de la carpeta de Datos. Tabla 6-2 Permisos heredados
Objeto Datos Carpeta 1 Carpeta 2 Archivo 1
Permisos NTFS Permite Permiso de Control Total (explícito) Permite Control Total (heredado) Permite Control Total (heredado) Permite Control Total (heredado)
Por lo tanto, si concede Permitir Control Total en la carpeta Datos para una cuenta de usuario, el Permiso de Control Total normalmente afectará a la Carpeta 1. Sin embargo, si concede Permiso de Lectura a la carpeta 1 en la misma cuenta de usuario, el permiso Permitir leer sobrescribirá el permiso heredado y también se transmitirá a la carpeta 2 y al archivo 1. Tabla 6-3
www.pdftron.com Permisos explícitos para sobrescribir los permisos heredados
Objeto Datos Carpeta 1 Carpeta 2 Archivo 1
Permisos NTFS Permite Permiso de Control Total (explícito) Permitir la lectura (explícito) Permitir la lectura (heredado) Permitir la lectura (heredado)
Si un usuario tiene acceso a un archivo, podrá seguir teniendolo incluso si él o ella no tienen acceso a la carpeta que lo contiene. Si el usuario no tiene acceso a la carpeta entonces no podrá navegar o explorarla para abrir el archivo. Por lo tanto, el usuario tendría que utilizar el Universal Naming Convention (UNC) o la ruta de acceso local para abrir el mismo. Estos son los diferentes tipos de permiso que tendrá: • Verificado: Se han asignado explícitamente los permisos. • Desactivados (sin marca): No hay permisos asignados. • Sombreados: Se conceden permisos a través de la herencia de una carpeta principal.
Además de conceder Permitir permisos, también puede conceder Denegar permiso. El Denegar permisos siempre reemplaza a los otros permisos que se hayan concedido, incluidas las situaciones en las que a un usuario o grupo se le haya dado un Control total. Por ejemplo, si a un grupo le han sido concedidos permisos de Leer y Escribir pero a uno de los miembros del grupo se le ha denegado el de escritura, los derechos efectivos de ese usuario sólo incluyen el de lectura. Cuando se combina aplicar Denegar permisos frente a Permitir permisos; y permisos explícitos contra permisos heredados, la jerarquía de la precedencia es la siguiente: 1. Denegación Explícita 2. Permitir Explícito
200
Lección 6
3. Denegación Heredada 4. Permitir Heredado Debido a que los usuarios pueden ser miembros de varios grupos, es posible que tengan varios conjuntos de permisos explícitos para una carpeta o archivo. Cuando esto ocurre, los permisos se combinan para formar los permisos efectivos, que son los permisos reales al iniciar sesión y acceder a un archivo o carpeta. Se componen de los permisos explícitos más cualquier permiso heredado. Al calcular los permisos efectivos, debe calcular en primer lugar los permisos explícitos y heredados para un individuo o grupo y en seguida, combinarlos. Cuando se combinan permisos de usuario y de grupo para la seguridad NTFS, el efectivo es el permiso acumulativo. La única excepción es que siempre se aplica Denegar permisos. Por ejemplo, supongamos que tiene una carpeta llamada Datos. Dentro de ésta tienes una Carpeta 1 y dentro, tienes una Carpeta 2. Imaginemos también que el Usuario 1 es un miembro del Grupo 1 y del Grupo 2. Si asigna el permiso Permitir escritura a la Carpeta Datos para el Usuario 1, el Permitir lectura a la Carpeta 1 del Grupo 1 y el permiso Permitir modifcar a la Carpeta 2 para el Grupo 2, entonces los permisos efectivos del Usuario 1 sería como se muestra en la Tabla 6-4. Tabla 6-4 Cálculo de los permisos efectivos
Objeto
Permisos de NTFS de usuario 1 Permiso de Permitir escritura (Explicito) Permiso de Permitir escritura (heredado)
Permisos de grupo 1
Permisos de grupo 2
Permiso de Permitir lectura (Explícito) Permiso de Permitir lectura (heredado)
Permiso de Permitir modificar (Explícito)
Permisos efectivos Permiso de permitir escritura Permiso de Permitir lectura y escritura Permiso de Permitir modificar
www.pdftron.com Datos
Carpeta 1
Carpeta 2
Permiso de Permitir escritura (heredado)
* El permiso de Modifcar incluye los permisos de Lectura y Escritura. Ahora, supongamos que tiene una carpeta llamada Datos. Dentro de ésta, tiene la Carpeta 1 y dentro la Carpeta 2. El Usuario 1 es un miembro del Grupo 1 y del grupo 2. Asigna el permiso Permitir escritura a la carpeta Datos del Usuario 1, el permiso Permitir lectura a la Carpeta 1 del Grupo 1 y el permiso Denegar modifcar a la Carpeta 2 para el grupo 2. Los permisos efectivos del Usuario 1 serían como se muestra en la Tabla 6-5.
Servicios de archivo e impresión
201
Tabla 6-5 Permisos efectivos afectados por los permisos de Denegar
Objeto
Datos
Carpeta 1
Permisos de NTFS de usuario 1 Permiso de Permitir escritura (Explicito) Permiso de Permitir escritura (heredado)
Carpeta 2
Permiso de Permitir escritura (heredado)
Archivo 1
Permiso de Permitir escritura (heredado)
Permisos de grupo 1
Permiso de Permitir lectura (Explicito) Permiso de Permitir lectura (heredado) Permiso de Permitir lectura (heredado)
Permisos de grupo 2
Permisos efectivos Permiso de Permitir escritura Permiso de Permitir lectura y escritura
Permiso de Denegar modificación (Explicito) Permiso de Denegar modificación (heredado)
Permiso de Denegar modificación Permiso de Denegar modificación
Æ Ver permisos efectivos de NTFS
www.pdftron.com PREPÁRESE. Para ver los permisos efectivos de NTFS concedidos a un usuario de un archivo o carpeta, realice los pasos siguientes: 1. Haga clic derecho en el archivo o carpeta y seleccione Propiedades. 2. Seleccione la ficha Seguridad.
3. Haga clic en Opciones avanzadas.
4. Haga clic en la ficha Permisos Efectivos (Vea la figura 6-3).
Figura 6-3
Ficha Permisos efectivos de NTFS
5. Haga clic en Seleccionar y escriba el nombre del usuario o grupo que desee ver. Haga clic en Aceptar.
202
Lección 6
f Copiar y mover archivos Cuando se mueven o copian los archivos de una ubicación a otra, es necesario entender lo que ocurre con los permisos de NTFS asociados con estos. Al copiar y mover archivos, encontrará uno de los tres escenarios: • Si copia un archivo o carpeta, el nuevo adquirirá automáticamente los mismos permisos que la unidad o carpeta a donde se está copiando. • Si un archivo o carpeta se mueve dentro del mismo volumen, conservará los mismos permisos que ya le fueron asignados. • Si un archivo o carpeta se mueve desde un volumen a otro volumen, ese archivo o carpeta adquirirá automáticamente los permisos de la unidad o carpeta a donde se está copiando.
f Analizar los propietarios de carpetas y archivos El propietario de un objeto controla qué permisos se establecen en el objeto y a quién se conceden los permisos. Si por alguna razón, se les ha negado el acceso a un archivo o carpeta y necesitan restablecer los permisos, pueden hacer uso del archivo o carpeta y en seguida, modifcar los permisos. Automáticamente, todos los administradores tienen el permiso de Hacer uso de todos los objetos NTFS.
www.pdftron.com Æ Hacer uso de un archivo o carpeta
PREPÁRESE. Para hacer uso de un archivo o carpeta, realice los siguientes pasos:
1. Abra el Explorador de Windows y busque el archivo o la carpeta de los que desea usar. 2. Haga clic derecho en el archivo o carpeta, después en Propiedades y a continuación seleccione la ficha Seguridad.
3. Haga clic en Propiedades Avanzadas y a continuación seleccione la ficha Propietario. 4. Haga clic en Editar y a continuación realice una de las siguientes acciones: •
Para cambiar el propietario a un usuario o grupo que no aparece, haga clic en Otros usuarios y grupos y en Escribir el nombre de objeto a seleccionar (ejemplos) escriba el nombre de usuario o grupo. Dé clic en Aceptar.
•
Para cambiar el propietario a un usuario o grupo que aparece, haga clic en el nombre del nuevo propietario en el cuadro de Cambiar propietario.
5. Para cambiar el propietario de todos los contenedores secundarios y objetos dentro del árbol, selecciona la casilla de verificación Reemplazar propietario en objetos y subcontenedores.
Servicios de archivo e impresión
203
f Encriptar archivos con NTFS Encriptación es el proceso de convertir datos en un formato que no pueden ser leídos por otro usuario. Una vez que un usuario ha encriptado un archivo, automáticamente lo mantiene cuando se almacena en el disco. La desencriptación es el proceso de convertir datos de un formato codifcado de nuevo a su formato original. Una vez que un usuario ha desencriptado un archivo, el archivo permanece así cuando se almacena en el disco. Si un disco duro fuera robado de un sistema, el ladrón podría instalar el disco duro en un sistema Windows para que él o ella se convierta en un administrador. Como administrador, el ladrón podría asumir como propietario y tener el acceso a cada archivo y carpeta en el disco. Esta es una razón por la que los servidores deben tener una seguridad física. Para ayudar a proteger sus datos en situaciones como ésta, puede utilizar la encriptación. Encrypting File System (EFS) es un archivo principal de tecnología de encriptación utilizado para almacenar archivos encriptados en unidades NTFS de sistema de archivos. Los archivos encriptados no se pueden utilizar a menos que un usuario tenga acceso a las claves necesarias para desencriptar la información. Después de que un archivo se ha encriptado, no tiene que desencriptarse manualmente antes de poder usarlo. Más bien, una vez que encripta un archivo o carpeta, se puede trabajar con ese al igual que lo haría con cualquier otro. Tome Nota
www.pdftron.com El encriptado también se puede utilizar para proteger los datos en laptops, que tienen una probabilidad mucho mayor de ser robadas, ya que son dispositivos móviles. En Windows 7, se puede utilizar EFS para encriptar archivos o carpetas individuales y BitLocker para encriptar la unidad completa.
Æ Encriptar una carpeta o archivo con EFS
PREPÁRESE. Para encriptar una carpeta o archivo, realice las siguientes acciones:
1. Haga clic derecho en la carpeta o archivo que desee encriptar y a continuación seleccione Propiedades. 2. Haga clic en la ficha General. A continuación, haga clic en Opciones avanzadas. 3. Seleccione la casilla Encriptar contenido para proteger datos, haga clic en Aceptar y nuevamente presione Aceptar. Vea la figura 6-4.
204
Lección 6
Figura 6-4 Encriptar contenido utilizando EFS
º Tome Nota No puede encriptar un archivo con EFS, mientras comprime un archivo con NTFS. Sólo puede hacer una cosa o la otra
Æ Desencriptar un archivo o carpeta
www.pdftron.com PREPÁRESE. Para desencriptar una carpeta o archivo, realice las siguientes acciones: 1. Haga clic derecho en la carpeta o archivo que desea desencriptar, y luego elija Propiedades. 2. Haga clic en la ficha General. A continuación, seleccione Opciones avanzadas.
3. Desactive la casilla Encriptar contenido para proteger datos, haga clic en Aceptar y a continuación oprima Aceptar de nuevo.
La primera vez que encripta una carpeta o archivo, un certifcado de encriptado se creará automáticamente. Si su certifcado y la clave se han perdido o dañado y no tiene una copia de seguridad, no podrá utilizar los archivos que se han encriptado. Por lo tanto, debe hacer una copia de seguridad del certifcado del encriptado.
Æ Hacer una copia de seguridad de certificados EFS PREPÁRESE. Para realizar una copia de seguridad del certificado EFS, realiza las siguientes acciones: 1. Ejecute el comando certmgr.msc. Si se le pide una contraseña de administrador o una confirmación, escriba su contraseña o proporcione la confirmación. 2. En el panel izquierdo, haga doble clic en Personal. 3. Haga clic en Certificados. 4. En el panel principal, haga clic en el certificado que enlista el Encrypting File System con los fines previstos. Si hay más de un certificado de EFS, deberá hacer una copia de seguridad de todos ellos. 5. Haga clic en el menú Acción, seleccione Todas las tareas y en seguida, haga clic en Exportar.
Servicios de archivo e impresión
205
6. En el Asistente para exportación de certificados, haga clic en Siguiente, dspués en Si, exporte la clave privada, y después oprima Siguiente. 7. Haga clic en Intercambio de información personal y a continuación, haga clic en Siguiente. 8. Escriba la contraseña que desea usar, confírmela y a continuación, haga clic en Siguiente. El proceso de exportación va a crear un archivo para almacenar el certificado. 9. Escriba un nombre para el archivo y la ubicación (incluir la ruta completa), o haga clic en Examinar, desplácese a una ubicación, escriba un nombre de archivo y a continuación, en Guardar. 10. Haga clic en Siguiente y a continuación en Finalizar.
Deberá colocar el certifcado en un lugar seguro.
Uso compartido de Unidades y Carpetas È EN RESUMEN
La mayoría de los usuarios no van a iniciar una sesión en un servidor directamente para acceder a sus archivos de datos. En lugar de eso será compartida una unidad o carpeta (conocida como una carpeta compartida), y accederá a los archivos de datos en la red. Para ayudar a proteger contra el acceso no autorizado a dichas carpetas, se van a usar permisos de recursos compartidos junto con los permisos de NTFS (suponiendo que la carpeta compartida está en un volumen NTFS). Entonces, cuando los usuarios necesiten tener acceso a un recurso compartido de red, usarán la UNC, que es \\nombredelservidor\nombrecompartido.
www.pdftron.com ; Listo para la Certificación
¿Cómo haría una carpeta disponible para otros usuarios a través de una red? —2.4
Æ Compartir una carpeta
PREPÁRESE. Para compartir una unidad o carpeta, siga estos pasos:
1. En Windows Server 2003, haga clic en la unidad o carpeta deseada y seleccione Compartir y seguridad. En Windows Server 2008, haga clic derecho en la unidad o carpeta, seleccione Propiedades y seleccione la ficha Compartir y elija Opciones avanzadas. A continuación, siga estos pasos: 2. Seleccione Compartir esta carpeta. 3. Escriba el nombre de la carpeta compartida. 4. Si es necesario, especifique el número máximo de personas que pueden acceder a la carpeta compartida al mismo tiempo. 5. Haga clic en Permisos. 6. De manera predeterminada, a todos se les da el permiso de lectura compartida. A continuación, puede eliminar a todos y/o ampliar el permiso de lectura compartida, o incluir más personas. 7. Después de que los usuarios y grupos se han añadido con los permisos adecuados, haga clic en Aceptar para cerrar el cuadro de diálogo de Permisos. Vea la figura 6-5. 8. Haga clic en Aceptar para cerrar el cuadro de diálogo de Propiedades.
206
Lección 6
Figura 6-5 Compartir una carpeta
Los permisos del recurso compartido que están disponibles son los siguientes: • Control total: Son usuarios a quienes les permiten usar el permiso de Lectura y Cambio, así como las capacidades adicionales para cambiar los permisos de archivos y carpetas y tomar posesión de archivos y carpetas. • Cambiar: Son usuarios a quienes les permiten usar el permiso de Lectura y la capacidad adicional para crear archivos y subcarpetas, modifcar archivos, cambiar atributos y eliminarlos. • Leer: Los usuarios con este permiso pueden ver los nombres de archivos y subcarpetas, acceder a las subcarpetas de la carpeta compartida, leer datos de archivos y atributos y ejecutar archivos de programa.
www.pdftron.com Al igual que con NTFS, puede permitir o negar el permiso de cada acción. Para simplifcar la administración de permisos de recursos compartidos y NTFS, Microsoft recomienda que se conceda el control total de todo el nivel de compartir, después se necesita controlar el acceso mediante permisos NTFS. Además, debido a que un usuario puede ser miembro de varios grupos, es posible que un usuario en particular tenga varios conjuntos de permisos en una unidad compartida o carpeta. Los permisos de recursos compartidos se basan en una combinación de los permisos de usuario y los permisos de todos los grupos de los cuales el usuario es miembro.
Cuando una persona inicia sesión en el servidor y los archivos de acceso y carpetas no usan la UNC, sólo se aplican los permisos NTFS y no los permisos del recurso compartido. Cuando una persona accede a una carpeta compartida utilizando la UNC, debe combinar NTFS y los permisos del recurso compartido para ver lo que un usuario puede hacer. Para calcular el acceso general, primero hay que calcular los permisos NTFS efectivos. Entonces se determinan los permisos efectivos para compartir. Por último aplique los permisos más restrictivos entre el NTFS y los compartidos.
f Detección de redes y de navegación En Windows Server 2003, necesita sólo dos servicios para proporcionar y para acceder a las carpetas compartidas. El servicio Estación de trabajo (Workstation service) le permite acceder a las carpetas e impresoras compartidas, y el servicio Servidor (Server sevice) le permite proporcionar carpetas e impresoras compartidas. A partir de Windows Server 2008, también hay que activar los servicios de red en la confguración Uso Compartido Avanzado del Centro de Redes y Recursos Compartidos.
Servicios de archivo e impresión
207
Cuando utilice servidores, sólo debe permitir aquellos servicios que necesita para reducir el uso del servidor, lo cual reduce la capacidad de explotar vulnerabilidades. Por lo tanto, para proveer servicios en una red, el servidor debe ser visible en la red.
Æ Habilitar la detección de redes PREPÁRESE. Para habilitar la detección de redes, realice las siguientes acciones: 1. Abra el Centro de redes y Recursos Compartidos. 2. Haga clic en Cambiar la configuración de Uso Compartido Avanzado. 3. Seleccione Activar la detección de redes. Vea la figura 6-6. 4. Haga clic en Guardar cambios. Figura 6-6 Detección de redes
www.pdftron.com Los servicios de red confgurables que pueden existir en la confguración de Uso Compartido Avanzado son los siguientes: • Detección de redes: Permite a una computadora ver otros equipos y dispositivos de red y ser visible para las computadoras de la red. • Compartir impresoras y archivos: Permite a los usuarios de la red tener acceso a los archivos e impresoras que ha compartido en este equipo. • Uso compartido de la carpeta pública: Permite a los usuarios de la red obtener acceso a los archivos en la carpeta pública. • Transmisión por secuencias de multimedia: Permite a los usuarios y dispositivos de la red tener acceso a fotos, música y videos en la computadora. Además, esto permite que la computadora también pueda encontrar multimedia en la red. • Uso compartido con protección por contraseña: Permite que sólo los usuarios con una cuenta y contraseña en este equipo puedan obtener acceso a los archivos compartidos, a las impresoras conectadas a este equipo y las carpetas públicas. Para dar acceso a otros usuarios, es necesario desactivar el uso compartido con protección por contraseña.
208
Lección 6
f Recursos Administrativos Compartidos Especiales En Windows, hay varias carpetas que se comparten de manera especial, las cuales se crean automáticamente por Windows para el uso administrativo y del sistema. A diferencia de las carpetas compartidas de manera regular, esta forma de compartir no se muestra cuando un usuario navega por los recursos del equipo usando el entorno de red, Mis sitios de red o algún software similar. En la mayoría de los casos de las carpetas compartidas especiales no deben ser eliminadas o modifcadas. Para Windows Server, sólo los miembros de los grupos Administrador, Operadores de Respaldo y Operadores de Servidor pueden tener acceso a estas carpetas compartidas. Un recurso administrativo compartido es una carpeta compartida que se suele utilizar para fnes administrativos y por lo general está oculta. Para hacer cualquier carpeta o unidad compartida oculta, el nombre del recurso compartido debe tener un signo $ al fnal del mismo. Debido a que la carpeta compartida o unidad no se puede ver durante la navegación, tiene que utilizar un nombre UNC para encontrar la carpeta o unidad, que incluye el nombre del recurso compartido (incluyendo $). Por defecto, todos las unidades de disco duro con las letras de unidad automáticamente tienen recursos compartidos administrativos (C $, D $, E $ y así sucesivamente). Cuando sea necesario también puede crear otros recursos compartidos ocultos para las carpetas individuales. Además de las partes compartidas administrativas de cada unidad, también cuenta con los siguientes recursos compartidos especiales: • ADMIN$: Es un recurso utilizado por el sistema durante la administración remota de una computadora. La ruta de acceso de este recurso siempre es el camino a la raíz del sistema de Windows 2008 (el directorio en el cual está instalado Windows 2008, por ejemplo, C:\Windows). • IPC$: Es un recurso que comparte los “Named pipes” que son esenciales para la comunicación entre programas. Se utiliza durante la administración remota de una computadora y al visualizar los recursos compartidos de un equipo. • PRINT$: Es un recurso que se utiliza durante la administración remota de impresoras. • NETLOGON: Es un recurso utilizado por el servicio Net Logon de un equipo de Windows Server 2008, mientras se procesan las solicitudes de inicio de sesión de dominio.
www.pdftron.com Analizar las Impresoras È EN RESUMEN
Uno de los servicios de red básicos es la impresión en red, en la que varios usuarios pueden compartir la misma impresora. Esta es una solución rentable cuando se tienen varios empleados en diferentes lugares. ; Listo para la Certificación ¿Cómo se puede limitar la impresión en las impresoras costosas? —2.4
Como administrador, puede instalar dos tipos de impresoras: locales y de red. Hoy en día, la mayoría de las impresoras locales se conectan mediante puertos USB, aunque algunas antiguas pueden utilizar los puertos paralelos o en serie. Las impresoras de red pueden compartir impresoras locales o impresoras que se conectan directamente a una red por medio de las tarjetas de red o las tarjetas expandibles jet-direct. Al instalar una impresora física, a la cual Microsoft se refere como un dispositivo de impresión, primero debe conectar la impresora y luego encenderla. Después, necesita crear una impresora lógica (Microsoft se refere a esto como la impresora), que proporcionará una interfaz de software entre el dispositivo de impresión y las aplicaciones. Cuando
Servicios de archivo e impresión
209
se crea, también carga un controlador de impresión que actúa como un traductor para Windows y los programas que ejecuta, por lo que no tiene que preocuparse de los detalles específcos del hardware y el idioma de la misma. Al imprimir un documento en Windows, la impresora utiliza la impresora lógica y el controlador de la misma para dar formato al documento en una manera que sea entendible, incluyendo las que lo hacen en un lenguaje de impresión, tales como el lenguaje de control de la HP Printer o el PostScript de Adobe para crear un Enhanced MetaFile (EMF). Los trabajos de impresión son entonces enviados a la cola de impresión local, que proporciona una impresión en segundo plano, lo que le permite imprimir documentos y enviarlos a una cola adicional, mientras su primer documento se está imprimiendo. Si un trabajo de impresión se envía al dispositivo de impresión local, ésta temporalmente lo guardará en el archivo de cola del disco duro. Cuando la impresora esté disponible, enviará el trabajo de impresión al dispositivo de impresión local. Si Windows determina que el trabajo es para un dispositivo de impresión de red, Windows envía el trabajo a la cola de impresión del servidor de impresión. La cola del servidor de impresión, guardará el archivo en el disco duro del servidor de impresión. Entonces, cuando el dispositivo de impresión de red esté disponible, el trabajo se imprimirá en el dispositivo de impresión en red.
f Instalar Impresoras Si tiene los permisos correctos para añadir una impresora local o una compartida remota, puede utilizar el Asistente para agregar impresoras e instalarla. Después de que la impresora está instalada, aparecerá en la carpeta de Dispositivos e impresoras, así como en el Administrador de dispositivos.
www.pdftron.com Æ Agregar una impresora local
PREPÁRESE. Para añadir una impresora local en Windows Server 2008, lleve a cabo las siguientes acciones: 1. Haga clic en Inicio y después seleccione Panel de control. 2. En Hardware y Sonido haga clic en Ver dispositivos e impresoras.
3. Para iniciar el Asistente para agregar impresoras haga clic en Agregar una impresora. 4. Seleccione Agregar una impresora local. 5. Cuando el cuadro de diálogo Agregar impresora aparezca, especifique el puerto al que está conectada la impresora. Vea la figura 6-7. Si el puerto ya existe, tal como LPT1 o un puerto de red especificada por una dirección IP, seleccione el puerto de la opción de Utilizar de una lista de puertos existentes. Si el puerto no existe, haga clic en Crear nuevo puerto, seleccione el estándar TCP / IP Port y seleccione Siguiente. Por el tipo de dispositivo, puede seleccionar cualquiera de detección automática, TCP / IP del dispositivo, o un dispositivo de servicios Web. A continuación especifique la dirección IP o el nombre DNS de la impresora y el nombre del puerto. Si escribe la dirección en el nombre de host o dirección IP, se llenará la dirección IP en el nombre del puerto. A continuación, tratará de comunicarse con la impresora utilizando la dirección que ha especificado.
210
Lección 6
Figura 6-7 Agregar una impresora local
www.pdftron.com 6. Si el Plug and Play no detecta e instala automáticamente la impresora correcta, se le pedirá que especifique el controlador de impresora (fabricante de la impresora y el modelo de la impresora). Si la impresora no aparece, tendrá que utilizar la opción Utilizar disco.
7. Cuando el cuadro de diálogo de Escriba el nombre de la impresora aparezca, especifique el nombre de la impresora. Si desea que esta sea la impresora predeterminada para el sistema, seleccione la opción Establecer como impresora predeterminada. Haga clic en Siguiente. 8. En el cuadro de diálogo Compartir impresoras, especifique el nombre del recurso compartido. También puede especificar la ubicación o comentarios. Aunque Windows Server 2008 admite nombres largos de impresora y de recursos compartidos (incluyendo espacios y caracteres especiales), es mejor mantener los nombres cortos, sencillos y descriptivos. El nombre completo calificado, incluyendo el nombre del servidor (por ejemplo, \ \ Servidor1 \ HP4100N-1), deberá ser de 32 caracteres o menos.
9. Cuando la impresora se ha agregado correctamente, puede imprimir la página estándar de prueba de Windows, haga clic en Imprimir página de prueba. Oprima Finalizar.
Æ Agregar una impresora de red PREPÁRESE. Para agregar una impresora de red en Windows Server 2008, siga estos pasos: 1. Haga clic en Inicio y seleccione Panel de control. 2. En Hardware y Sonido haga clic en Ver dispositivos e impresoras. 3. Para iniciar el Asistente para agregar impresoras haga clic en Agregar una impresora. 4. Seleccione Agregar una impresora de red, Inalámbrica o Bluetooth. 5. Si la impresora no se encuentran de manera automática seleccione la impresora que desea no aparece la lista de opción.
Servicios de archivo e impresión
º Tome Nota El puerto TCP / IP de la impresora utiliza el puerto 9100 para comunicarse
211
6. Si tiene una impresora publicada en el Directorio activo (asumiendo que son parte de un dominio), seleccione Buscar una impresora en el directorio, basado en la ubicación o característica. Si conoce la UNC, elija Seleccionar una impresora compartida por su nombre. Si conoce la dirección TCP / IP, elija la última opción. Haga clic en Siguiente. 7. En el cuadro de diálogo Escriba un nombre de impresora, especifique el nombre de la impresora. Si desea que esta sea la predeterminada, seleccione la opción Establecer como impresora predeterminada. Haga clic en Siguiente. 8. Cuando la impresora se ha agregado correctamente, puede imprimir la página estándar de prueba de Windows, seleccionando Imprimir página de prueba. Haga clic en Finalizar.
Windows Servers puede proporcionar un controlador para los clientes si se carga en el servidor. Por ejemplo, debido a que Windows Server 2008 R2 está disponible sólo en versiones de 64 bits, tendrá un controlador de impresión de 64 bits para que el servidor pueda imprimir. Sin embargo, la mayoría de los equipos que se utilizan dentro de las organizaciones hoy en día lo más probable es que sean clientes de 32 bits que necesiten usar controladores de impresión de 32 bits. Por lo tanto, deberá cargar en el servidor controladores de impresión de 64 bits y de 32 bits para que pueda utilizar los dos controladores, según sea necesario.
Æ Agregar controladores de impresión adicionales
www.pdftron.com PREPÁRESE. Para agregar controladores de impresión adicionales en Windows Server 2008 R2, siga estos pasos: 1. Abrir Dispositivos e Impresoras. 2. Haga clic en Print Server.
3. Seleccione la ficha Controladores.
4. Haga clic en Cambiar la configuración del controlador. 5. Haga clic en Agregar.
6. Cuando la pantalla de Bienvenido del Asistente para agregar controladores de impresora aparezca, haga clic en Siguiente. Vea la figura 6-8.
212
Lección 6
Figura 6-8 Asistente para agregar controlador de impresora
www.pdftron.com 7. Seleccione los controladores adecuados del procesador y del sistema operativo y haga clic en Siguiente.
8. Si es necesario, proporcione una ruta para el controlador de la impresora y haga clic en Aceptar. 9. Cuando el asistente haya finalizado, haga clic en Finalizar.
º Tome Nota
También puede utilizar las políticas del grupo para instalar y configurar impresoras
Las impresoras de red suelen ser utilizadas por más de un usuario. Si tiene un gran volumen de trabajos de impresión, la impresora puede congestionarse y los usuarios tendrán que esperar a que los documentos se impriman. Aunque cualquiera puede comprar una impresora más rápida o puede crear un grupo de impresoras llamado grupo de impresora que funciona como una virtual con una cola de impresión. Los usuarios imprimen en una sola máquina, y los trabajos de impresión se distribuyen entre las impresoras dentro del grupo.
Para crear un conjunto de impresoras, debe tener dos o más impresoras del mismo modelo y utilizar el mismo controlador de impresora. Ellos pueden usar el mismo tipo de puertos o diferentes. Ya que no sabe qué trabajo de impresión va a dirigirse a cual impresora, se recomienda que coloque las coloque todas agrupadas en una misma ubicación física.
Æ Crear un Conjunto de Impresoras PREPÁRESE. Para crear un conjunto de impresoras, siga estos pasos: 1. En el Panel de control, abra la carpeta Impresoras y faxes, haga clic en la impresora apropiada y seleccione Propiedades. 2. En la ficha de Puertos, seleccione la casilla Habilitar la cola de la impresora. 3. En la lista de puertos, seleccione las casillas de los puertos conectados a las impresoras que desea que formen parte del grupo.
Servicios de archivo e impresión
213
4. Repita los pasos 2 y 3 para cada impresora adicional que desee incluir en el grupo de impresoras.
Si desea asegurarse que los documentos se envían primero a la impresora más rápida, agregue las impresoras más rápidas del grupo primero y las impresoras más lentas después. Los trabajos de impresión se envían en el orden en que se crean los puertos.
f Análisis de las Propiedades de la Impresora Con la mayoría de las impresoras, tiene una amplia gama de opciones. Aunque estas opciones varían de una impresora a otra, estas son fácilmente accesibles dándole clic derecho en la impresora en la carpeta de Dispositivos e Impresoras y seleccionando Propiedades de la Impresora. Al abrir Propiedades de la Impresora (Vea la fgura 6-9), encontrará las siguientes opciones: • Ficha General: Le permite confgurar el nombre de la impresora, la ubicación y los comentarios y para imprimir una página de prueba. Además, si hace clic en Preferencias de impresión en la fcha General podrá seleccionar, el tamaño predeterminado de papel, bandeja de papel, calidad de impresión y resolución, páginas por hoja, el orden de impresión (por ejemplo, de adelante hacia atrás o de atrás hacia adelante), y el número de copias que mostrará. Las opciones actuales que estén disponibles pueden variar dependiendo de su impresora. • Ficha Compartir: Le permite compartir una impresora. También puede publicarla en Directorio activo si eligió la lista en la opción de directorio. Debido a que una impresora en un servidor puede ser utilizada por otros clientes conectados a la red, puede agregar controladores adicionales, haga clic en Controladores adicionales. • Ficha Puertos: Le permite especifcar qué puerto (físico o TCP / IP) utilizará la impresora, así como también para crear nuevos puertos TCP / IP. • Ficha Opciones avanzadas: Le permite confgurar el controlador para utilizar con la impresora así como la prioridad de la misma, indica cuando esta está disponible, y cómo se ponen en cola los trabajos de impresión. • Ficha Seguridad: Sirve para especifcar los permisos para la impresora. • Ficha Configuración del dispositivo: Le permite confgurar las bandejas, la sustitución de fuentes y otras confguraciones de hardware.
www.pdftron.com
214
Lección 6
Figura 6-9 Propiedades de la impresora
www.pdftron.com f Configurar los Permisos de Impresora
Las impresoras se consideran objetos. Por lo tanto, como con los archivos y carpetas NTFS, le puede asignar permisos para que pueda especifcar quién puede utilizarla, quien puede administrarla, y quien puede administrar los trabajos de impresión. Windows Server 2008 proporciona 3 niveles de permisos de impresora (Vea la fgura 6-10): • Imprimir: Permite a los usuarios enviar documentos a la impresora. • Administrar esta impresora: Permite a los usuarios modifcar la confguración de la impresora y las confguraciones, incluida la propia ACL. • Administrar documentos: Ofrece la posibilidad de cancelar, pausar, reanudar o reiniciar un trabajo de impresión.
Servicios de archivo e impresión
215
Figura 6-10 Permisos de la impresora
www.pdftron.com De manera predeterminada, el permiso de impresión se le asigna al grupo Todos. Si necesita restringir quién puede imprimir en la impresora, tendrá que quitar el grupo Todos y añadir otro grupo o usuario y asignar el permiso Permitir impresión para el usuario o grupo. Por supuesto, todavía se recomienda que utilice grupos en lugar de usuarios. Al igual que con los permisos de archivos, también puede negar permisos de impresión.
f Administrar los trabajos de impresión La cola de impresión es un archivo ejecutable que administra el proceso de impresión, el cual incluye la recuperación de la ubicación del controlador de impresión correcto, cargar el controlador, la creación de los trabajos de impresión individuales, y la programación de los trabajos de impresión para la impresión. En ocasiones, puede enviar un trabajo de impresión aunque esa no era la intención, o un trabajo que decidió que no es necesario imprimir. Por lo tanto, es necesario eliminar el trabajo de la cola de impresión.
Æ Ver la cola de impresión PREPÁRATE. Para ver la cola de impresión, siga estos pasos: 1. Abra la carpeta Dispositivos e impresoras. 2. Haga doble clic en las impresoras en las que desea ver los trabajos de impresión en espera de imprimir.
216
Lección 6
3. Para ver la cola de impresión, haga clic en la impresora: documento listo o # (s) de documentos en la cola. Vea la figura 6-11. Figura 6-11 Viendo la cola de impresión
www.pdftron.com La cola de impresión muestra información acerca de un documento, como lo es el estado de impresión, propietario y el número de páginas a imprimir. Para pausar un documento, abra la cola de impresión, haga clic derecho sobre el documento que desea hacer una pausa y seleccione la opción Detener. Si desea detener la impresión del documento, haga clic derecho sobre el documento del que desea detener la impresión y seleccione la opción Cancelar. Puede cancelar la impresión de más de un documento al mantener pulsada la tecla Ctrl y haciendo clic en cada documento que desea cancelar.
Por defecto, todos los usuarios pueden pausar, reanudar, reiniciar y cancelar sus propios documentos. Para administrar los documentos que se imprimen por otros usuarios, debe tener los permisos de Administrar Documentos. Cuando el dispositivo de impresión está disponible, la cola selecciona el siguiente trabajo de impresión y lo envía al dispositivo de impresión. De forma predeterminada, la carpeta de cola se encuentra en C:\Windows\\System32\ Spool\Printers. Si tiene un servidor que maneja una gran cantidad de trabajos de impresión o grandes trabajos de impresión, asegúrese de que la unidad en la carpeta de cola tenga sufciente espacio en el disco.
Æ Cambiar la ubicación de la carpeta de la cola de impresión PREPÁRATE. Para cambiar la ubicación de la carpeta de cola en Windows Server 2008 R2, siga estos pasos: 1. Abra la carpeta Dispositivos e Impresoras. 2. Haga clic en la impresora y seleccione las propiedades del servidor de impresión.
Servicios de archivo e impresión
217
3. Haga clic en la ficha Opciones Avanzadas. 4. Haga clic en Configuración Avanzada de Cambios. 5. Especifique la nueva ubicación y haga clic en Aceptar.
En ocasiones, la cola de impresión se puede congelar o dejar de responder. Puede reiniciar la cola de impresión siguiendo estos pasos: 1. Abra la consola de servicios ubicada en Herramientas administrativas. 2. Haga clic derecho en Cola de Impresión y seleccione Reiniciar. También puede detener e iniciar el servicio.
f Configurar Impresión en Internet Para habilitar Impresión en Internet en un equipo que ejecuta Windows Server 2008, sólo tiene que instalar el servicio de función de impresión de Internet. Para instalar el Cliente de impresión en Internet en Windows Server 2008, haga clic en Agregar funciones en el Administrador de Servidores, seleccione la casilla Cliente de Impresión en Internet y a continuación, haga clic en Aceptar. Para administrar un servidor utilizando el sitio Web creado por la impresión en Internet, abrir un navegador web y vaya a http://servername/printers.
www.pdftron.com Habilitar la Auditoría È EN RESUMEN
La seguridad puede ser dividida en tres áreas. La autenticación se utiliza para probar la identidad de un usuario. La Autorización da acceso al usuario que ha sido autentifcado. Para completar el panorama de seguridad, necesita habilitar Auditoría para que pueda tener un registro de los usuarios que han iniciado sesión y lo que el usuario accede o intenta acceder. ; Listo para la Certificación ¿Cuáles son los pasos para habilitar la auditoría de una carpeta NTFS? —2.4
Es importante que proteja su información y recursos de los servicios de personas que no deberían tener acceso a ellos, y al mismo tiempo hacer que los recursos disponibles para los usuarios autorizados. Junto con la autenticación y autorización, también puede habilitar la auditoría para que pueda tener un registro de: ¿Quién ha ingresado con éxito? • • • • • •
¿Quién ha intentado iniciar sesión, pero no ha podido? ¿Quién ha cambiado las cuentas en el Directorio activo? ¿Quién tiene acceso o cambiar ciertos archivos? ¿Quién ha utilizado una impresora determinada? ¿Quién ha reiniciado el sistema? ¿Quién ha hecho algunos cambios en el sistema?
La auditoría no está activada por defecto. Para habilitar la auditoría, debe especifcar qué tipos de eventos del sistema se van a auditar usando la Directiva de Grupo o la Directiva de Seguridad Local (En Confguración de seguridad seleccione Directiva local y haga clic en
218
Lección 6
Directiva de auditoría). Vea la fgura 6-12. La Tabla 6-6 muestra las actividades básicas de auditoría que están disponibles en Windows Server 2003 y 2008. Windows Server 2008 tiene opciones adicionales para un control más granular. Después de habilitar el registro, a continuación abra el Visor de sucesos de seguridad de registros para ver los eventos de seguridad. Figura 6-12 Auditoría de los acontecimientos en la política de seguridad local
www.pdftron.com Tabla 6-6
Auditoría de eventos
Evento Inicio de sesión de cuenta
Administración de cuentas
Acceso del Servicio de Directorio Eventos Inicio de sesión
Acceso a objetos
Explicación Determina las auditorías de sistema operativo cada vez que el equipo valida las credenciales de una cuenta, tales como acceso a la cuenta. Determina si se debe auditar cada caso de la administración de cuentas en un equipo incluyendo el cambio de contraseñas y crear o eliminar cuentas de usuario. Determina si se deben hacer las auditorías de usuario del sistema operativo, con los intentos de acceso a objetos de Directorio activo. Determina las auditorías del sistema operativo de cada instancia cuando un usuario intenta iniciar o cerrar la sesión en su equipo. Determina las auditorías del sistema operativo cuando el usuario intenta tener acceso a objetos que no son de Directorio activo incluyendo archivos NTFS y carpetas e impresoras.
Servicios de archivo e impresión
Cambio de Directivas
Uso de Privilegios Seguimiento de Procesos
Eventos del Sistema
219
Determina las auditorías del sistema operativo de cada instancia cuando se intentan cambiar las asignaciones de derechos de usuario, la directiva de auditoría, la directiva de contabilidad, o la directiva de confianza. Determina si se debe auditar cada instancia de un usuario que ejerce su derecho de usuario. Determina los eventos de las auditorías relacionadas con el proceso operativo, tales como su creación, terminación, duplicación y acceso indirecto a objetos. Esto se utiliza generalmente para solucionar problemas. Determina las auditorías del sistema operativo, si se cambia la hora del sistema, si el sistema se inicia o se apaga, si hay un intento de cargar componentes de autenticación extensibles, si hay una pérdida de eventos de auditoría debido a una falla del sistema de auditoría, y si la seguridad de registro está excediendo a un nivel de advertencia de umbral configurable.
Para auditar los archivos NTFS, las carpetas NTFS e impresoras es un proceso de dos pasos. En primer lugar, debe permitir el acceso de objetos usando la Política del Grupo. A continuación, debe especifcar los objetos que desee auditar. ¡Atención!
www.pdftron.com Habilitar la auditoría de eventos exitosos puede afectar el rendimiento del servidor, en particular para carpetas muy utilizadas.
Æ Auditar Archivos y Carpetas
PREPÁRATE. Para auditar los archivos y carpetas, siga estos pasos: 1. Abra el Explorador de Windows.
2. Haga clic derecho en el archivo o carpeta que desea auditar, seleccione Propiedades y a continuación dé clic en la ficha Seguridad. 3. Haga clic en Opciones avanzadas. 4. En el cuadro de diálogo de Configuración de seguridad avanzada, haga clic en la ficha Auditoría. 5. Haga clic en Editar. 6. Haga una de las siguientes opciones: •
Para configurar la auditoría para un nuevo usuario o grupo, haga clic en Agregar. En Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo que quiera y a continuación haga clic en Aceptar. Vea la figura 6-13.
•
Para quitar la auditoría de un grupo o un usuario existente, haga clic en el grupo o nombre de usuario, seleccione Quitar, luego en Aceptar y a continuación omita el resto de este procedimiento.
•
Para ver o cambiar la auditoría de un grupo o un usuario existente, haga clic en su nombre y después en Modificar.
220
Lección 6
Figura 6-13 Auditoría de una carpeta NTFS
7. En el cuadro Aplicar en, haga clic en la ubicación donde desea que se realice la auditoría. 8. En el cuadro Acceso, indique las acciones que desee auditar seleccionando las casillas correspondientes: •
Para auditar los eventos de éxito, active la casilla de verificación Con éxito.
•
Para detener la auditoría de los eventos con éxito, desactive la casilla de verificación Con éxito.
www.pdftron.com •
Para auditar los eventos sin éxito, active la casilla de verificación Error.
•
Para detener la auditoría de los eventos sin éxito, desactive la casilla de verificación Error.
•
Para detener la auditoría de todos los eventos, haga clic en Borrar todo.
9. Si desea evitar que los archivos y subcarpetas del objeto original hereden estas entradas de auditoría, seleccione la casilla de Aplicar estos valores de auditoría a los objetos y / o contenedores dentro de este contenedor. 10. Haga clic en Aceptar para cerrar la seguridad avanzada del cuadro de diálogo de Configuración. 11. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
Æ Auditoría de impresión PREPÁRATE. Para la auditoría de impresión en Windows Server 2008, siga estos pasos: 1. Haga clic derecho en la impresora en la carpeta de Dispositivos e impresoras y seleccione la opción Propiedades de Impresora. 2. Seleccione la ficha Seguridad y haga clic en Opciones avanzadas. 3. Seleccione la ficha Auditoría. 4. Haga clic en Agregar y •
Para configurar la auditoría de un nuevo usuario o grupo, haga clic en Agregar. En Escriba el nombre de objeto a seleccionar, escriba el nombre del usuario o grupo que desee; en seguida dé clic en Aceptar.
Servicios de archivo e impresión
221
•
Para quitar la auditoría de un grupo o un usuario existente, haga clic en el grupo o nombre de usuario, después en Quitar, seleccione Aceptar y a continuación omita el resto de este procedimiento.
•
Para ver o cambiar la auditoría de un grupo o un usuario existente, haga clic en su nombre y a continuación elija Modificar.
5. Haga clic en Aceptar para cerrar la seguridad avanzada del cuadro de diálogo de Configuración. 6. Haga clic en Aceptar para cerrar el cuadro de diálogo de Propiedades.
Debido a que el registro de seguridad tiene un tamaño limitado, seleccione sólo aquellos objetos que necesita para la auditoría y considere la cantidad de espacio en disco que va a necesitar el registro de seguridad. El tamaño máximo del registro de seguridad se defne en el Visor de sucesos dando clic derecho en registro de seguridad y seleccionando la opción Propiedades.
Resumen de Habilidades En esta lección aprendió: • Los Permisos NTFS que le permiten controlar qué usuarios y grupos pueden acceder a los archivos y carpetas en una unidad NTFS. • Cada uno de los permisos estándares consistentes en un grupo lógico de permisos especiales. • Los permisos explícitos son los permisos concedidos directamente al archivo o carpeta. • Los permisos heredados son los permisos que se conceden a una carpeta (objeto o contenedor primario) y que se transmiten a los objetos secundarios (subcarpetas o archivos dentro de la carpeta principal). • El negar el permiso siempre prevalece sobre los permisos que se han concedido, incluso cuando a un usuario o grupo se le ha dado el permiso de control total. • Los permisos efectivos son los permisos reales al iniciar sesión y al acceder a un archivo o carpeta. Se componen de permisos explícitos, además de los permisos heredados como usuario o de cualquier grupo del cual el usuario es miembro. • Si un archivo o carpeta se copia el nuevo archivo o carpeta adquiere automáticamente los permisos de la unidad o carpeta a la que se está copiando. • Si un archivo o carpeta se mueve dentro de la misma unidad, el archivo o carpeta conserva los mismos permisos que ya fueron asignados a la misma. • Si un archivo o carpeta se mueve de una unidad a otra unidad, se adquieren automáticamente los permisos de la unidad o carpeta a la que se está copiando. • El propietario del objeto controla como son establecidos los permisos en el objeto y a quien se le conceden los permisos. • Si por alguna razón, se le ha negado el acceso a un archivo o carpeta, es necesario restablecer los permisos, seleccionar un archivo o carpeta y modifcar los permisos. • El encriptado es el proceso de convertir datos en un formato que no pueden ser leídos por otro usuario. • Encrypting File System (EFS) es un archivo principal de tecnología de encriptado utilizado para almacenar archivos encriptados en unidades de sistema de archivos NTFS.
www.pdftron.com
222
Lección 6
• La mayoría de los usuarios no van a iniciar sesión en un servidor directamente para acceder a sus archivos de datos. En su lugar, será compartida una unidad o carpeta (conocida como una carpeta compartida), y tendrá acceso a los archivos de datos a través de la red. • Al igual que NTFS, puede permitir o negar el permiso para compartir. • Para simplifcar la administración de recursos compartidos y los permisos de NTFS, Microsoft recomienda darles un control total a todos, y luego controlar el acceso mediante permisos NTFS. • Un recurso administrativo compartido es una carpeta compartida que suele utilizarse para fnes administrativos. • Microsoft se refere a la propia impresora como un dispositivo de impresión. • Una impresora en Windows es una impresora lógica, que proporcionará una interfaz de software entre el dispositivo de impresión y las aplicaciones. • Para que un Conjunto de impresoras actúe como una sola impresora virtual con una cola de impresión, es necesario que contenga dos o más impresoras físicas. • Debido a que las impresoras son consideradas objetos, puede asignar permisos a una impresora. Puede especifcar quién puede utilizar la impresora, quien puede administrar la impresora, y quien puede administrar los trabajos de impresión. • De forma predeterminada, el permiso de impresión se le asigna al grupo Todos. • En la cola de impresión se muestra información acerca de un documento como es el estado de impresión, propietario y número de páginas a imprimir. • Cuando se utiliza la impresión en Internet, es posible imprimir o administrar documentos desde un navegador web utilizando el Internet Print Protocol (IPP), que está encapsulado en el Hypertext Transfer Protocol (HTTP). • La auditoría proporciona un registro de los usuarios que han iniciado sesión y lo que el usuario accede o ha intentado acceder. • La auditoría no está activada por defecto. Para habilitar la auditoría, debe especifcar qué tipos de eventos del sistema se auditarán usando las directivas de grupo o la directiva de seguridad local. • Para auditar los archivos NTFS, NTFS carpetas e impresoras es un proceso de dos pasos. En primer lugar, se debe permitir el acceso de objetos utilizando las Directivas del Grupo. Y Después, debe especifcar cuáles objetos desea auditar.
www.pdftron.com » Evaluación del conocimiento Complete los espacios en blanco Complete las siguientes oraciones escribiendo la palabra o palabras correctas en los espacios proporcionados. 1. Para imprimir en una impresora, se necesita el permiso ________. 2. El permiso NTFS especial que le permite moverse a través de una carpeta para llegar a archivos menores o carpetas es __________. 3. El componente de Windows que le permite administrar los recursos compartidos y los permisos NTFS es ______________. 4. Los permisos que se derivan de un objeto primario a un objeto secundario se llaman ______________.
Servicios de archivo e impresión
223
5. Los ______________ son los permisos reales cuando un usuario ingresa y accede a un archivo o carpeta. 6. La tecnología de encriptado incluido en NTFS es ______________. 7. Para que Windows Server 2008 pueda ser visto en la red, debe habilitar ___________________. 8. Un (a) _______________ compartido no se ve cuando se navega. 9. Cuando alguien ha quitado todos los usuarios de una carpeta, puede ____________ de la carpeta. 10. La ubicación predeterminada de la carpeta de cola es ________________________. Opción múltiple Encierre en un círculo en la letra que corresponda a la mejor respuesta. 1. ¿Cuál es el estándar de los permisos NTFS necesarios para cambiar los atributos de una carpeta NTFS? a. b. c. d.
Escribir Leer Modifcar Control Total
www.pdftron.com 2. ¿Cuál permiso tiene prioridad? a. b. c. d.
Denegar explícito Permitir explícito Denegar heredado Permitir heredado
3. ¿Cuál de los siguientes NO es un permiso de recurso compartido? a. b. c. d.
Control total Escribir Cambiar Leer
4. Las impresoras TCP/IP utilizan el puerto _______. a. b. c. d.
443 23 9100 3000
5. ¿Qué es una impresora virtual con una cola de impresión individual que consta de dos o más impresoras? a. b. c. d.
Colección de impresoras Impresoras directas Grupo de impresora Conjunto de impresras
224
Lección 6
6. ¿Qué símbolo hace que una parte administrativa no se vea cuando se busca? a. b. c. d.
# * ! $
7. Cuando se habilita la Impresión en Internet, es necesario instalar ___________. a. b. c. d.
DFS IIS GPO Manager Administrador de tareas
8. ¿Cuál es el permiso de compartir mínimo que le permite cambiar los permisos de archivos y carpetas? a. b. c. d.
Control total Cambiar Leer Administrar
9. Cuando copia archivos de una carpeta a otra carpeta dentro de la misma unidad, se obtienen ____________. a. b. c. d.
Los mismos permisos que la fuente Los mismos permisos que el objetivo No se establecen permisos Todas tienen permiso completo
www.pdftron.com 10. Es un administrador en un equipo. Por desgracia, hay una carpeta a la cual no puede tener acceso debido a que no tiene permisos para la carpeta. ¿Qué puede hacer? a. b. c. d.
Tomar posesión de la carpeta. Eliminar la carpeta y volver a crearla. Deshabilitar el atributo de denegar. Otorgar el permiso completo a cualquiera.
Verdadero / Falso Seleccione V si el enunciado es verdadero o F si la declaración es falsa. V
F
V
F
V
F
V
F
V
F
1. Si el control total se asigna a un objeto primario para un usuario, el permiso de control total se sobrepone a permisos explícitos en un objeto secundario. 2. Para ver quién tiene acceso a un archivo con el tiempo, solamente necesita activar auditoría de eventos del Acceso a objetos. 3. Cuando está buscando los permisos NTFS que están sombreados, signifca que no tiene los permisos necesarios para modifcar los permisos NTFS. 4. Puede encriptar y comprimir un archivo en NTFS, al mismo tiempo. 5. Al calcular los permisos NTFS y permisos de recurso compartido, debe aplicar los permisos más restrictivos entre el permiso NTFS y el permiso para compartir.
Servicios de archivo e impresión
225
» Evaluación de Competencias Escenario 6-1: Creación de una carpeta compartida Tiene una carpeta de Datos que tiene que compartir para que todos los Administradores tengan acceso y puedan hacer cambios, pero nadie más deberá acceder a ella. ¿Qué debe hacer para confgurar esta carpeta en un nivel más alto? Escenario 6-2: Auditoría de la carpeta de Administradores Acaba de crear una carpeta de Datos para sus Administradores y lo que necesita es verifcar que no se está permitiendo el acceso a cualquier usuario, que no deba tener acceso a los archivos y si alguien elimina o hace cambios en el sistema. ¿Qué debería hacer?
» Evaluación de habilidad Escenario 6-3: Administración de una carpeta 1. Crear una carpeta de Datos. En la carpeta de Datos, crear una carpeta de Administradores y una carpeta de Ventas.
www.pdftron.com 2. Compartir la carpeta de Datos y Permitir a Todos el Control Total.
3. Modifcar los permisos NTFS para la carpeta de Gerentes de modo que sólo el grupo de Administradores y el grupo Administradores tengan acceso a la carpeta de Administradores. Permitir modifcar los permisos NTFS para el grupo de Administradores.
4. Modifcar los permisos NTFS para la carpeta de Ventas para que sólo los grupos de Ventas y Administradores y los grupos de administradores tengan acceso a la carpeta de Administradores. Permitir modifcar los permisos NTFS para el Administrador y el grupo de Ventas. Escenario 6-4: Administración de impresoras 1. Instalar una impresora local en el servidor. 2. Compartir la impresora.
3. Confgurar los permisos para que el grupo de Administradores sea el único grupo que puede imprimir en la impresora.
226
Lección 6
Listo para el lugar de trabajo Æ Sistema de Archivos Distribuido El Sistema de Archivos Distribuido (Distributed File Systems DFS) es una extensión de los servicios de archivo. Los espacios de nombres DFS le permiten crear un recurso compartido de otro recurso compartido. Le permiten tomar múltiples carpetas compartidas y colocarlas en una única carpeta compartida, incluso si existen carpetas compartidas entre varios servidores, lo cual facilita a los usuarios encontrar y acceder a esos recursos compartidos. La replicación DFS utiliza el Servicio de replicación de archivos (File Replication Service FRS) para duplicar una carpeta de recursos compartidos entre dos equipos. Puede usarlo como una redundancia para facilitar el acceso a esos archivos cuando uno de los servidores ya no es accesible. También se puede utilizar para centralizar los archivos que pueden ser repartidos entre los sitios de tal manera que pueda tener copias de seguridad con mayor facilidad.
www.pdftron.com
Lección 7
Servicios de Red y Aplicaciones Populares en Windows Matriz de Dominio de objetivos Habilidades/Conceptos
Descripción del dominio del objetivo
Número del dominio del objetivo
Introducción al Servidor Web
Entender los Servicios Web.
2.2
Comprender la Virtualización de Servidores.
2.5
Comprensión del Acceso Remoto Introducción a la Administración Remota Comprender la Virtualización de Servidores
Términos clave • Aplicación • Grupos de aplicaciones (application pool) • Certifcado digital • Protocolo de Transferencia de Archivos (File Transfer Protocol FTP) • Lenguaje de Marcado de Hipertexto (HTML) • Hypervisor
• Servicios de Información en Internet (IIS) • Conversión física a virtual (P2V) • Asistencia Remota • Servicios de Escritorio Remoto • Capa de sockets seguros (Secure Sockets Layer SSL) • Protocolo Simple de Transferencia de Correo (SMTP)
• Instantánea (Memoria interna) • Directorio virtual • Máquina virtual (VM) • Red privada virtual (VPN) • Servidor web • World Wide Web (WWW)
www.pdftron.com Ha instalado varios servidores que ejecutan Windows Server 2008 R2 para formar una nueva red y ha confgurado el Directorio activo y DNS. Ahora tiene que instalar un servidor web que soportará HR forms. Por lo tanto, está listo para tomar uno de los equipos que ejecutan Windows Server 2008 R2 y confgurarlo como un servidor web. También necesita un servidor FTP para proporcionar archivos a los usuarios a través de su empresa. Sin embargo, desea mantener los dos servidores aislados y reducir al mínimo el costo. Por lo que, decide instalar Hyper-V para crear un servidor virtual para el servidor web y otro virtual para el servidor FTP.
228
Lección 7
Introducción a los Servicios Web È EN RESUMEN
El Internet es una WAN mundial que consiste en redes interconectadas que utilizan Internet Protocol Suite (TCP / IP). Es una red de redes que se compone por millones de computadoras, incluyendo las del hogar, empresa, público, académico y computadoras del gobierno. El Internet permite a los usuarios acceder a una amplia gama de recursos de información y servicios; incluidos los servidores web que conforman la World Wide Web (WWW) y soporte para enviar y recibir correo electrónico. También ha cambiado la industria editorial periodística; conforme los sitios web, blogs y vínculos Web han crecido en popularidad y la circulación de periódicos ha disminuido. Y por último, los medios de transmisión de Voz sobre Protocolo de Internet (VoIP) como el Protocolo de Televisión para IP (IPTV) se han convertido en algo muy común. ; Listo para la Certificación ¿Cómo crear un servidor web en un servidor Windows? —2.2
La World Wide Web es un sistema de documentos de hipertexto interconectados, conocidos como páginas web que pueden ser vistos con un navegador web como Internet Explorer. Las páginas web pueden contener texto, imágenes, vídeos y otros archivos multimedia, entre los que se puede navegar utilizando hipervínculos localizables generalmente mediante el uso de un motor de búsqueda como Google o Bing. HTML, siglas de HyperText Markup Language, es el lenguaje de marcado predominante interpretado por los navegadores de páginas web. Incluye texto, encabezados, párrafos, listas e hipervínculos. También puede contener objetos incrustados, como imágenes y videos. Es lo sufcientemente fexible ya que puede admitir scripts y otros lenguajes como JavaScript.
www.pdftron.com º Tome Nota
Debido a que los sitios Web que usan HTML se han vuelto comunes en Internet y son fácilmente accesibles en cualquier computadora con un navegador, esta tecnología se utiliza a menudo dentro de una empresa para acceder a las aplicaciones internas
Las páginas web tradicionales consistían en páginas estáticas que no cambiaban de contenido a menos que se hiciera manualmente. Páginas Active Server (ASP) es una tecnología que le permite hacer páginas web dinámicas e interactivas. En lugar de utilizar. htm o html., las páginas ASP utilizan la extensión. asp. El lenguaje de scripts por defecto utilizado para escribir ASP es VBScript, aunque se pueden utilizar otros lenguajes de script como JScript (la versión de Microsoft de JavaScript).
Al ver las páginas Web, se conecta a un servidor web a través del puerto TCP 80. Sin embargo, el contenido no está encriptado y podría ser leído por cualquier persona que acceda al fujo de datos. Dado que la información personal puede ser enviada a través de Internet, incluyendo números de tarjeta de crédito, se desarrolló un protocolo adicional llamado SSL. Esta es la abreviatura de Capa de sockets seguros (Secure Sockets Layer), el cual usa el puerto TCP 443, que utiliza un certifcado digital que encripta el paquete para que no pueda ser leído por nadie más, excepto por la fuente y destino. Cuando se utiliza SSL, el URL del navegador empieza por https (por ejemplo, https://www.acme.com). Otro de los servicios comunes ofrecidos a través de Internet es el FTP. El Protocolo de Transferencia de Archivos (File Transfer Protocol FTP) es un protocolo de red estándar que se utiliza para transferir un archivo desde un host a otro a través de una red basada en TCP / IP. A diferencia de HTTP, que utiliza dos puertos TCP para operar (los puertos 20 y 21). El FTP se puede utilizar con la autenticación de contraseña de usuario, basada en o con el acceso de usuarios anónimos. Desafortunadamente, el nombre de usuario, contraseña y transferencias de datos son enviados sin encriptar. Por lo tanto, cuando el encriptado es necesario, debe usar SFTP (SSH File Transfer Protocol), o FTPS (FTP sobre SSL), que añade encriptado SSL o TLS. Para que los mensajes de correo electrónico viajen a través de Internet, servidores de correo electrónico (o cualquier servidor o cliente que envía un correo electrónico directamente) usan Simple Mail Transfer Protocol (SMTP) como un transporte de correo saliente. SMTP utiliza el puerto TCP 25.
Servicios de Red y Aplicaciones Populares en Windows
229
f Administración de Sitos Web con IIS El servidor web de Microsoft/aplicación de servidor es el Servicio de Información de Internet (IIS). El Servidor Windows 2008 R2 incluye IIS 7.5, el Servidor Windows 2008 contiene IIS 7.0 y el Servidor Windows 2003 incluye IIS 6.0. IIS 7.0 y 7.5 soporta FTP, FTPS, SMTP y HTTP / HTTPS, mientras que el IIS 6.0 admite FTP, SMTP y HTTP / HTTPS.
Æ Instalar IIS en el Servidor Windows 2008 R2 PREPÁRESE. Para instalar IIS en el Servidor Windows 2008 R2: 1. Haga clic en Inicio, diríjase a Herramientas Administrativas y a continuación seleccione Server Manager. 2. En Resumen de Roles, haga clic Añadir Roles. 3. Use el Asistente para Añadir Roles y así agregar la función del servidor web. 4. Para abrir IIS Manager, haga clic en Inicio. Después seleccione Todos los Programas, elija Herramientas Administrativas y dé clic en el Administrador de Servicios de Información de Internet (IIS). Vea la figura 7-1. Figura 7-1
www.pdftron.com Administrador IIS
Crear Sitios Web y Directorios Virtuales Cuando se instala IIS, el servidor sólo tiene un sitio Web predeterminado. IIS fue diseñado para administrar múltiples sitios Web. Por lo tanto, si su empresa representa a varias subsidiarias, cada una con su propio sitio Web o es una empresa que aloja los servicios web para otras empresas, entonces puede crear múltiples sitios dentro de IIS.
230
Lección 7
Crear un Sitio Web PREPÁRESE. Para crear sitios Web adicionales: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, haga clic derecho en el nodo Sitios en el árbol y luego en Agregar Sitio Web. 3. En el cuadro de diálogo Agregar sitio Web, escriba un nombre para su sitio Web en el cuadro nombre del sitio Web. 4. Haga clic en Seleccionar si desea seleccionar un grupo de aplicaciones diferente al que aparece en el cuadro Grupo de aplicaciones. En el cuadro de diálogo seleccione Aplication Pool, luego seleccione un grupo de aplicaciones de la lista del grupo de aplicaciones y haga clic en Aceptar. Estos grupos se verán más adelante. 5. En el cuadro Ruta de acceso física, escriba la ruta de acceso física de la carpeta del sitio Web o haga clic en Examinar (...) para navegar hasta el sistema de archivos y buscar la carpeta. 6. Si la ruta de acceso física que ha introducido en el paso 5 es un recurso compartido remoto, haga clic en Conectar para especificar las credenciales que tienen permiso para acceder a la ruta. Si no utiliza credenciales específicas, seleccione la opción de usuario de aplicaciones (paso a través de autenticación) en el cuadro de diálogo Conectar cómo. 7. Seleccione el protocolo para el sitio Web de la lista de Tipos.
www.pdftron.com 8. El valor predeterminado en el cuadro de Dirección IP es Todos sin asignar. Si debe especificar una dirección IP estática para el sitio Web, escriba la dirección IP en el cuadro de dirección IP. 9. Escriba un número de puerto en el cuadro de texto Puerto.
10. Opcionalmente, escriba un nombre de encabezado de host para la página Web en el cuadro Encabezado de Host.
11. Si no tiene que realizar ningún cambio en el sitio y desea que el sitio Web esté disponible inmediatamente, seleccione la casilla de verificación de Iniciar el sitio Web inmediatamente. 12. Haga clic en Aceptar.
El sitio Web predeterminado está para responder a todas las direcciones IP asignadas al puerto del servidor 80 y al puerto 443. Además, el servidor web responderá a cualquier nombre que corresponda a una de las direcciones IP del servidor web. Para soportar múltiples sitios Web, puede asignar direcciones IP adicionales y asignar un sitio Web para cada dirección IP. También puede un puerto diferente en vez del puerto 80 o 443. Cuando un usuario intenta acceder a http://acme.com, realmente están accediendo a http://acme.com:80. El: 80 el puerto 80. Si desea crear un sitio web de para responder al puerto 8080, deberá accesar al sitio web mediante la http://acme.com:8080. Un método que le permite compartir la misma dirección IP y el puerto, es el de utilizar un nombre al cual el sitio Web responderá encabezados de host, que se usan para en vez de hacerlo a todos los nombres que apuntan a la dirección. puerto y el nombre a los cuales responderá un sitio Web, es necesario configurar el sitio de enlace. Para cambiar los enlaces del sitio,
Servicios de Red y Aplicaciones Populares en Windows
231
haga clic derecho en el sitio en el Administrador del IS y seleccione Editar Enlaces. Para cambiar el enlace, haga clic en el enlace que desea cambiar y luego en editar. Para 7-2. Si desea que el sitio web añadir un nuevo enlace, dé clic en Agregar. Vea la responda a dos nombres diferentes, tales como www.acme.com y acme.com, es necesario Figura 7-2 Creando un Sitio
www.pdftron.com Cuando se crea un sitio Web, se una carpeta que representa la raíz del sitio Web. Dentro de esa carpeta, puede crear subcarpetas. Por ejemplo, tiene un sitio Web para acme.com. Cuando accede a http://acme.com, éste va a la raíz de la carpeta para acceder a las páginas web por defecto. A continuación, puede crear una subcarpeta denominada ventas. Escriba una dirección URL similar a http://acme.com/ventas o haga clic en un hipervínculo en la página principal que apunta a la carpeta http://acme.com/ventas y ejecute una página web predeterminada en la carpeta de ventas.
Un directorio virtual es usado en un sitio Web que corresponde a un directorio físico en otro lugar en el servidor determinado, en algún otro o en un sitio Web. Esto le permite volver a utilizar la misma carpeta para múltiples sitios o para conectarse a contenido sin moverlo físicamente.
Agregar un directorio virtual PREPÁRESE. Para agregar un directorio virtual dentro de su sitio Web: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, expanda el nodo Sitios en el árbol y haga clic para seleccionar el sitio en el que desea crear un directorio virtual. 3. En el panel Acciones, haga clic en Ver Directorios Virtuales. 4. En la página de Directorios Virtuales, en panel Acciones haga clic en Agregar Directorio Virtual.
232
Lección 7
5. En el cuadro de diálogo Agregar Directorio Virtual, escriba un nombre en el cuadro de texto Alias. Este alias se usa para acceder al contenido de una URL. 6. En el cuadro de texto Ruta de acceso física, escriba la ruta de acceso física del contenido de la carpeta o haga clic en Examinar para navegar a través del sistema de archivos y buscar la carpeta. 7. Opcionalmente, haga clic en Conectar, como para especificar las credenciales que tienen permiso para acceder a la ruta de acceso física. Si no utiliza credenciales específicas, seleccione la opción usuario de Aplicaciones (paso a través de autenticación) en el cuadro de diálogo Conectar cómo. 8. Opcionalmente, haga clic en Configuración de Prueba para que verifique la configuración que ha especificado para el directorio virtual. 9. Haga clic en Aceptar.
Explorando Aplicaciones y Grupo de Aplicaciones Una aplicación es una agrupación de los contenidos de un sitio Web, que se defne a nivel de la raíz o en una carpeta separada que tiene propiedades específcas, tales como el grupo de aplicaciones en las que se ejecuta la aplicación y los permisos que se conceden en ella. Cada sitio debe tener al menos una aplicación denominada la raíz de la aplicación o la aplicación por defecto.
www.pdftron.com Un Grupo de aplicaciones es un conjunto de recursos (un proceso de trabajo o un conjunto de procesos de trabajo) utilizado por un sitio Web o aplicación que defne los límites de memoria para el sitio Web. Obligar a cada aplicación a tener su propio grupo de aplicaciones garantiza que un sitio Web no interfera con otro en el mismo servidor, lo que garantiza el desempeño de la aplicación y mejor disponibilidad de las mismas. Por lo tanto, si una aplicación tiene una pérdida de memoria o se bloquea, no afectará a los otros sitios.
Æ Crear una aplicación en IIS PREPÁRESE. Para crear una aplicación: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, expanda el nodo Sitios. 3. Haga clic derecho en el sitio en el que desea crear una aplicación y luego en Agregar Aplicación. 4. En el cuadro Alias, escriba un valor para la URL de la aplicación, tal como ventas. 5. Haga clic en Seleccionar si desea elegir un grupo de aplicaciones diferente al que aparece en el cuadro Grupo de Aplicaciones. En el cuadro de diálogo, seleccione Aplicación Pool List, después elija un grupo de aplicaciones de la Lista del Grupo de Aplicaciones y haga clic en Aceptar. 6. En el cuadro Ruta de Acceso Física, escriba la ruta de acceso de la carpeta de la aplicación o haga clic en Examinar para navegar por el sistema de archivos y buscar la carpeta. 7. Opcionalmente, haga clic en Conectar Cómo para especificar las credenciales que tienen permiso para acceder a la ruta de acceso física. Si no utiliza credenciales específicas,
Servicios de Red y Aplicaciones Populares en Windows
233
seleccione la opción usuario de Aplicaciones (paso a través de autenticación) en el cuadro de diálogo Conectar Cómo. 8. Opcionalmente, haga clic en Configuración de prueba para verificar la configuración que ha especificado para la aplicación. 9. Haga clic en Aceptar.
Æ Crear un grupo de Aplicaciones PREPÁRESE. Para crear un grupo de aplicaciones: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, expanda el nodo del servidor y haga clic en Grupos de aplicaciones. 3. En la página Grupos de aplicaciones en el panel Acciones, haga clic en Agregar Grupos de Aplicaciones. 4. En el cuadro de diálogo Agregar Grupos de Aplicaciones, escriba un nombre descriptivo para el grupo de aplicaciones en el cuadro Nombre. 5. De la lista NET Framework, seleccione la versión de. NET Framework requerida por las aplicaciones de gestión, módulos y controladores o seleccione Sin Código Administrado si las aplicaciones que se ejecutan en este grupo de aplicaciones no requieren de. NET Framework.
www.pdftron.com 6. En la lista Modo de canalización Administrada, seleccione una de las siguientes opciones: a. Integrado si desea utilizar el IIS integrado y canalización de ASP.NET de procesamiento de solicitudes.
b. Clásico si desea utilizar IIS y ASP.NET modos de procesamiento de solicitudes por separado. En el modo clásico, el código administrado se procesa mediante Aspnet_ isapi.dll en lugar de la canalización integrada de IIS 7.
7. Seleccione el grupo de aplicaciones de inicio de inmediato, para iniciar el grupo de aplicaciones cada vez que el servicio WWW ha iniciado. Esta opción está activada de forma predeterminada. 8. Haga clic en Aceptar.
Æ Cambiar un grupo de aplicaciones PREPÁRESE. Para cambiar un grupo de aplicaciones para una aplicación: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, expanda el nodo del servidor y haga clic en Grupos de Aplicaciones. 3. En la página Grupos de Aplicaciones, seleccione el grupo de aplicaciones que contiene la aplicación que desea cambiar. 4. En el panel Acciones, haga clic en Vista de Aplicaciones. 5. Seleccione la aplicación cuyo grupo de aplicaciones desea cambiar y haga clic en Cambiar Grupo de Aplicaciones en el panel Acciones.
234
Lección 7
6. En el cuadro de diálogo Seleccione el Grupo de aplicaciones, seleccione un grupo de aplicaciones de la lista y haga clic en Aceptar.
Si tiene una aplicación problemática y no puede corregir fácilmente el código que causa los problemas, puede limitar el alcance de estos problemas al reciclar periódicamente el proceso de trabajo que proporciona servicio a la aplicación.
Reciclar manualmente un proceso de trabajo PREPÁRESE. Para reciclar manualmente un proceso de trabajo: 1. Abra el Administrador de IIS. 2. En el panel Conexiones, expanda el nodo del servidor y haga clic en Grupos de Aplicaciones. 3. En la página Grupos de Aplicaciones, seleccione el grupo de aplicaciones que desea reciclar inmediatamente. 4. En el panel Acciones, haga clic en Reciclaje y a continuación en Aceptar.
En lugar de reciclar manualmente un proceso de trabajo, puede optar por grupo de aplicaciones para que sean recicladas a una hora programada.
un
www.pdftron.com Configurar un grupo de aplicaciones para un reciclaje Programado
PREPÁRESE. Para configurar un grupo de aplicaciones que sean recicladas a una hora programada. 1. Abra el Administrador de IIS.
2. En el panel Conexiones, expanda el nodo del servidor y haga clic en Grupos de Aplicaciones.
3. En la página Grupos de Aplicaciones, seleccione un grupo de aplicaciones y haga clic en Reciclaje en el panel Acciones. 4. Seleccione el (los) tiempo(s) específico (s) y en el cuadro correspondiente escriba la hora en la que desea que el grupo de aplicaciones sea diariamente reciclado. Por ejemplo, escriba 11:30 o 11:30 PM. También puede especificar intervalos de tiempo, como cada 60 minutos. 5. Haga clic en Siguiente, seleccione los eventos que se deban registrar cuando un grupo de aplicaciones se recicla y seleccione Finalizar.
Explorando los Documentos por Defecto y Listados de Directorio De forma predeterminada, cuando escribe en la dirección URL de un sitio Web como http://acme.com, irá a la carpeta raíz diseñada para acme.com y buscará por uno de los siguientes archivos: 1. Default.htm 2. Default.asp 3. Index.htm
Servicios de Red y Aplicaciones Populares en Windows
235
4. Index.html 5. Isstart.htm 6. Default.aspx La característica de Documentos por Defecto le permite confgurar la lista de documentos predeterminados, que automáticamente se presentarán a un navegador si un documento no es especifcado, por ejemplo http://acme.com/start.html. Por tanto, primero buscará http://acme.com/default.htm. Si no encuentra default.htm, a continuación intentará http:// acme.com/default.asp y así sucesivamente. Puede cambiar el orden de los documentos por defecto o añadir documentos adicionales por defecto haciendo clic en el sitio Web o carpeta y después dando doble clic en Documento Predeterminado en IIS en el panel izquierdo. Para cambiar el orden, haga clic en el archivo que desea cambiar y luego en las fechas Subir o Bajar en el panel Acciones. Si quiere añadir un nuevo documento predeterminado, haga clic en la opción Agregar en el panel Acciones. En algunos casos, es posible que sólo desee proporcionar una lista de directorios de archivos, de manera que los usuarios los puedan descargar rápidamente. Utilice la página de la función Directorio de Navegación para modifcar la confguración de contenido y navegar por un directorio en el servidor web. Al confgurar la exploración de directorios, todos los subdirectorios utilizan la misma confguración, a menos que los invalide a un nivel inferior.
www.pdftron.com Seguridad de IIS
Puesto que los sitios web están diseñados para proporcionar información y en algunos casos la información puede ser vulnerable, habrá ocasiones en las que tenga que proteger esos datos. Lo puede hacer mediante la limitación de acceso al sitio Web, la forma en que los usuarios se autentifcan, y/o cifrando el contenido cuando se realiza una solicitud.
Puede conceder o denegar equipos específcos, grupos de equipos o dominios de acceso a sitios; aplicaciones, directorios o archivos en el servidor mediante el uso de reglas de Autorización.
Æ Ver las Reglas URL de Autorización PREPÁRESE. Para ver las reglas URL de autorización usando el administrador de IIS: 1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. 2. En Vista de Características, haga doble clic en Reglas de Autorización.
Æ Crear una nueva Regla de Autorización PREPÁRESE. Para crear una nueva regla de autorización mediante el Administrador IIS: 1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. 2. En Vista de Características, haga doble clic en Reglas de Autorización. 3. En el panel Acciones, haga clic en Agregar Regla de Autorización.
236
Lección 7
4. En el cuadro de diálogo Complemento Para la Regla de Autorización, seleccione uno de los siguientes tipos de acceso: a. Todos los usuarios: Especifica que todos los usuarios, ya sean anónimos o identificados, pueden acceder al contenido. b. Todos los usuarios anónimos: Especifica que los usuarios anónimos pueden acceder a los contenidos. c. Funciones específicas o grupos de usuarios: Especifica que sólo los miembros de determinadas funciones o grupos de usuarios pueden acceder a los contenidos. Escriba el grupo de funciones o usuarios en el cuadro de texto. d. Usuarios específicos: Especifica que sólo determinados usuarios puedan acceder a los contenidos. Escriba el ID de usuario en el cuadro de texto. 5. Opcionalmente, active la casilla Aplicar esta regla para especificar verbos si quiere disponer, además, que los usuarios, roles o grupos autorizados para acceder al contenido sólo puedan usar una lista específica de los verbos o acciones HTTP. Escriba esos verbos en el cuadro de texto. 6. Haga clic en Aceptar.
Para crear una Regla de Denegación, seleccione Agregar Regla de Denegación en lugar de seleccionar Agregar Regla de Autorización.
www.pdftron.com Æ Limitar acceso al Sitio Web por dirección y dominio
PREPÁRESE. Para limitar acceso al Sitio Web por dirección IPv4 y dominio:
1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar.
2. En Vista de Características, haga doble clic en Direcciones IPv4 y Restricciones de Dominio. 3. En el panel Acciones, haga clic en Agregar Permitir la Entrada.
4. En el cuadro de diálogo Agregar Permitir Regla de Restricción, seleccione la dirección IPv4 Específica, rango de direcciones IPv4 o el nombre de dominio, agregue la dirección IPv4, la gama, la máscara o nombre de dominio y haga clic en Aceptar.
Utilice el menú Edición IP y Restricciones de Dominio del cuadro de diálogo, para defnir las restricciones de acceso para clientes no especifcados o para permitir a las restricciones de nombres de dominio para todas las reglas. La autenticación se utiliza para confrmar la identidad de los clientes que soliciten el acceso a sus sitios y aplicaciones. IIS 7.0 admite las siguientes formas de autenticación: • Anónimo: Permite el acceso sin proporcionar un nombre de usuario y contraseña. • ASP.NET Suplantación: Permite ejecutar aplicaciones ASP.NET bajo un contexto que no sea la cuenta de ASP.NET predeterminada. • Autenticación básica: Requiere que los usuarios proporcionen un nombre de usuario y contraseña válidos, para acceder al contenido. Dado que la autenticación básica transmite contraseñas a través de la red en texto sin encriptar, debe utilizarla con un certifcado digital para encriptar los nombres de usuario y contraseñas que se envían a través de la red. • Autenticación de texto implícita: Utiliza un controlador de dominio de Windows para autenticar a los usuarios que soliciten acceso a contenidos en su servidor.
Servicios de Red y Aplicaciones Populares en Windows
237
• Autenticación de formularios: Utiliza la redirección del lado del cliente para reenviar a los usuarios no autenticados a un formulario HTML, donde pueden introducir sus credenciales; las cuales, por lo general, son un nombre de usuario y contraseña. • Autenticación de Windows: Utiliza NTLM o protocolos Kerberos para autenticar a los clientes. • Agregar Certificado de Autenticación de Cliente: Le permite utilizar las funciones de servicio de Directorio activo para asignar a los usuarios a los certifcados de cliente para la autenticación. Para confgurar la autenticación en un sitio Web, una aplicación o carpeta virtual, haga clic en el sitio, aplicación o carpeta virtual y doble clic en Autenticación. El valor predeterminado para la autenticación de Windows es Negociar. Este valor signifca que el cliente puede seleccionar al proveedor de seguridad un apoyo adecuado.
Capa de sockets seguros y certificados digitales Cuando utiliza SSL para encriptar el tráfco de Internet, está utilizando el encriptado asimétrico, que consiste en una clave privada y una pública. La clave pública es proporcionada a cualquier persona que quiera acceder al servidor web y la privada es mantenida en secreto, por lo general por el servidor web que está tratando de proteger. La clave pública se utiliza para encriptar los datos, que sólo la clave privada puede desencriptar.
www.pdftron.com Para habilitar SSL, debe obtener e instalar un certifcado válido de servidor en el servidor web de una entidad de certifcación reconocida (CA) o utilizar un certifcado con frma personal. Este puede ser su dominio interno de Windows o un tercero público de confanza, tales como Entrust o Verisign. Mientras que el certifcado auto-frmado no es un certifcado de confanza, no obstante se puede utilizar para solucionar problemas, hacer pruebas o desarrollar aplicaciones. Cuando visita un sitio Web SSL mediante Internet Explorer, verá un icono de candado en la parte superior de la ventana de IE. Para ver el certificado digital, haga clic en el candado y seleccione Ver Certifcados. El tipo más común de certifcado digital es el certifcado digital X.509. Vea la fgura 7-3.
238
Lección 7
Figura 7-3 Certificado Digital
www.pdftron.com Æ Adquirir un Certificado Digital
PREPÁRESE. Para adquirir un certificado digital usando IIS7:
1. Solicite un certificado de servidor de Internet desde el servidor IIS. Para solicitar un certificado de servidor de Internet, haga clic en el servidor desde el Administrador de IIS y después doble clic en Certificados de Servidor en Vista de Características. A continuación, seleccione Crear Solicitud de Certificado desde el panel de Acciones.
2. Envíe la solicitud de certificado generada a la CA, por lo general utilizando el sitio Web del proveedor. 3. Reciba un certificado digital de la CA e instálelo en el servidor IIS. Una vez más, abra IIS Administrar, haga doble clic en el servidor desde el Administrador de IIS y nuevamente doble clic en Certificados de Servidor en Vista de Características. A continuación, seleccione la Solicitud de Certificado Completo. 4. En la página de Propiedades de Nombre Completo de Solicitud de Certificado Asistente, escriba la siguiente información y haga clic en Siguiente. a. En el cuadro de texto Nombre común, escriba un nombre para el certificado. b. En el cuadro Organización, escriba el nombre de la organización en la que el certificado se utilizará. c. En el cuadro de texto de Unidad Organizativa, escriba el nombre de la unidad organizativa de la organización en la que se utilizará el certificado. d. En el cuadro de texto Ciudad / localidad, escriba el nombre sin abreviar de la ciudad o localidad donde se encuentra su organización o unidad organizativa. e. En el cuadro de texto Estado / provincia, escriba el nombre sin abreviar del estado o provincia donde se encuentra su organización o unidad organizativa.
Servicios de Red y Aplicaciones Populares en Windows
f.
239
En el cuadro de texto País/ región, escriba el nombre del país o región donde se encuentra su organización o unidad organizativa.
5. En la página de Propiedades del Proveedor del Servicio Encriptado, seleccione Microsoft RSA SChannel Cryptographic Provider o Microsoft DH SChannel Cryptographic Provider de la lista desplegable de proveedores de servicios criptográficos. De forma predeterminada, IIS 7 utiliza el Proveedor Criptográfico Microsoft RSA SChannel. 6. En la lista desplegable de la longitud de bits, seleccione una longitud en bits que pueden ser utilizados por el proveedor. De forma predeterminada, el proveedor de RSA SChannel utiliza una longitud de 1024 bits. El proveedor de DH SChannel utiliza una longitud de 512 bits. Una longitud de bit más larga es más segura, pero puede afectar el rendimiento. 7. Haga clic en Siguiente. 8. En la página Nombre de Archivo, escriba un nombre de archivo en el cuadro, especifique un nombre de archivo para el cuadro de texto de solicitud de certificado o haga clic en Examinar (...) para buscar un archivo y haga clic en Finalizar. 9. Enviar la solicitud de certificado a una CA pública.
De vez en cuando, es posible que deba importar y exportar certifcados digitales. Los formatos más comunes, utilizados en la actualidad son: • X509 format (extensiones de archivos .cer y.crt para Windows): Un certifcado digital respaldado ampliamente que representa al certifcado individual. • Cryptographic Message Syntax—PKCS #7 Format (extensión de archivo .p7b para Windows): Se utiliza para la exportación de la cadena completa de certifcados digitales. • Personal Information Exchange Syntax—PKCS #12 Format (extensión de archivo .pfx y .p12 para Windows): Se utiliza para exportar el par de claves públicas/ privadas. • Certificate Signing Request (CSR) Syntax—PKCS #10 Format: Se utiliza en la generación de solicitudes frmadas para autoridades de certifcación y confanza frmantes.
www.pdftron.com Si tiene una “Granja” que consta de varios servidores web, es necesario instalar el certifcado digital del primer servidor y a continuación exportar el certifcado digital a un formato pfx. Para copiar la clave pública y privada a los otros servidores. Por lo tanto, tendrá que exportar la clave del primer servidor e importarla a los otros servidores.
Æ Exportar un Certificado Digital PREPÁRESE. Para exportar un certificado digital: 1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. 2. En la Vista de Características, haga doble clic en Certificados de Servidor. 3. En el panel Acciones, haga clic en Exportar. 4. En el cuadro de diálogo Exportar, escriba un nombre de archivo o haga clic en Examinar para desplazarse hasta el nombre de un archivo, en el cual almacena el certificado para la exportación. 5. Escriba una contraseña en el cuadro Contraseña si desea asociar una con el certificado exportado. Vuelva a escribir la contraseña en el cuadro Confirmar contraseña. 6.
Haga clic en Aceptar.
240
Lección 7
Æ Importar un Certificado Digital PREPÁRESE. Para importar un certificado digital: 1. Abra el Administrador de IIS y navegue hasta el nivel que desee administrar. 2. En Vista de Características, haga doble clic en Certificados de Servidor. 3. En el panel Acciones, haga clic en Importar. 4. En el cuadro de diálogo de Importación de Certificados, escriba un nombre de archivo en el cuadro de archivo de certificado o haga clic en Examinar para desplazarse hasta el nombre de un archivo donde está almacenado el certificado exportado. Escriba una contraseña en el cuadro Contraseña si el certificado se ha exportado con una. 5. Seleccione Permitir que este certificado sea exportado si desea que este pueda ser exportado o desactive Permitir que este certificado sea exportado si no desea permitir exportaciones adicionales de este certificado. 6. Haga clic en Aceptar.
f Administrar FTP con IIS Con IIS 7.5, puede administrar FTP a través del Administrador de IIS. Aunque el Servidor Windows 2008 incluye IIS 7.0, puede administrarlo desde IIS 6.0.
www.pdftron.com La mayoría de los sitios FTP se utilizan principalmente para descargar archivos. En la mayoría de estas situaciones, estos utilizan la autenticación anónima en donde no son necesarios el nombre de usuario ni la contraseña.
Æ Instalar FTP
PREPÁRESE. Para instalar FTP en Windows Server 2008 R2:
1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas Administrativas posteriormente en Administrador de Servidores. 2. En el panel de Jerarquía de Servidor, expanda Funciones y haga clic en Web Server (IIS). 3. En el panel del Servidor Web (IIS), vaya a la sección de Servicios de Función y haga clic en Agregar Servicios de Función. 4. En la página Seleccionar Servicios de Función del Complemento Servicios de Asistente de Función, expanda el servidor FTP. 5. Seleccione el servicio FTP. (Nota: Para soporte de Miembros de ASP.NET o la Autenticación del Administrador de IIS para el servicio FTP, también tendrá que seleccionar la Extensibilidad de FTP.) 6. Haga clic en Siguiente. 7. En la página Confirmar Selecciones de Instalación, haga clic en Instalar. 8. En la página Resultados, haga clic en Cerrar.
Servicios de Red y Aplicaciones Populares en Windows
241
Æ Configurar FTP PREPÁRESE. Para configurar un sitio FTP para acceso anónimo: 1. Abra el Administrador de IIS 7. En el panel de Conexiones, haga clic en el nodo del árbol de los sitios. 2. Cree un folder en “%SystemDrive%\inetpub\ftproot.” 3. Establezca los permisos para permitir el acceso anónimo mediante la apertura de un comando, escribiendo el siguiente comando: 4. ICACLS “%SystemDrive%\inetpub\ftproot” /Grant IUSR:R /T Cierre el símbolo de sistema. 5. Haga clic derecho en el nodo Sitios en el árbol y haga clic en Agregar un Sitio FTP o haga clic en Agregar un Sitio FTP en el panel de Acciones. 6. Cuando aparezca el asistente Agregar FTP del sitio, introduzca “Mi Nuevo Sitio FTP” en el cuadro Nombre del sitio FTP, a continuación, vaya a la carpeta %SystemDrive%\inetpub\ ftproot que creó en la sección Requisitos previos. Tenga en cuenta que si elige escribir en la ruta hacia su carpeta de contenido, puede utilizar variables de entorno en sus rutas. Haga clic en Siguiente. 7. En el enlace y la página Configuración de SSL, llene lo siguiente: •
Elija una dirección IP para su sitio FTP desde la dirección IP desplegable o elija entre aceptar la selección predeterminada de “Todos sin Asignar”.
•
Introduzca el puerto TCP / IP del sitio FTP en el cuadro Puerto. Para este recorrido, elija aceptar el puerto predeterminado de 21.
•
Para este ejemplo, no utilice un nombre de host. Asegúrese de que el cuadro de Virtual Host esté en blanco.
•
Asegúrese de que los Certificados desplegable estén fijados en “No Seleccionado” y que la opción Permitir SSL está activada.
•
Haga clic en Siguiente.
www.pdftron.com 8. En la página de Autenticación y Autorización de la Información, seleccione Anónimo para la configuración de Autenticación. Para la configuración de la Autorización, seleccione “Los usuarios anónimos” desde el acceso desplegable Permitir y seleccione la opción de Lectura para los Permisos. Haga clic en Finalizar.
242
Lección 7
Entender el acceso remoto È EN RESUMEN
Actualmente, es muy común que una empresa utilice un servidor de acceso remoto (RAS). Esto permite a los usuarios conectarse remotamente a una red utilizando diferentes protocolos y tipos de conexión. Mediante la conexión a la RAS a través de Internet, los usuarios pueden conectarse a la red de su empresa para que puedan acceder a los archivos de datos, leer correo electrónico y acceder a otras aplicaciones como si estuvieran en el lugar de trabajo. ; Listo para Certificación ¿Cómo podría conectarse a los servidores estando en casa? —2.2
Las redes privadas virtuales (VPNs) conectan dos ordenadores a través de una red de área amplia, tal como el Internet. Para mantener la conexión segura, los datos enviados entre los dos equipos son encapsulados y encriptados. En un escenario, un cliente se conecta al servidor RAS para acceder a los recursos internos desde fuera. Otro escenario sería para conectar dos sitios remotos, junto con la creación de un túnel VPN entre un servidor RAS situado en cada sitio. Los tres tipos de protocolos de túnel que se utiliza con un servidor VPN/RAS que se ejecuta en Windows Server 2008 son: • Point-to-Point Tunneling Protocol (PPTP): Un protocolo VPN basado en el legado de protocolo punto a punto se utiliza con los módems. Por desgracia, PPTP es fácil de confgurar, pero utiliza tecnología de encriptado débil. • Layer 2 Tunneling Protocol (L2TP): Se utiliza con IPSec para proporcionar seguridad. L2TP es el estándar de la industria al establecer túneles seguros. • Secure Socket Tunneling Protocol (SSTP): Se Introdujo con Windows Server 2008, para que los usuarios del protocolo HTTPS a través del puerto TCP 443 pudieran pasar a través de frewalls y proxies web que podrían bloquear PPTP y L2TP/IPSec.
www.pdftron.com Cuando se usan VPNs, en Windows 7 y Windows Server 2008 estos soportan las siguientes formas de autenticación:
• Password Authentication Protocol (PAP): Utiliza texto sin encriptar (contraseñas no encriptadas). PAP es la autenticación menos segura y no se recomienda. • Challenge Handshake Authentication Protocol (CHAP): Es una autenticación challenge-response que utiliza el esquema de hash estándar md5 de la industria para encriptar la respuesta. CHAP fue el estándar de la industria durante años y sigue siendo muy popular. • Microsoft CHAP version 2 (MS-CHAP v2): Proporciona dos vías de autenticación (autenticación mutua). MS-CHAP v2 proporciona una mayor seguridad que CHAP. • Extensible Authentication Protocol (EAP-MS-CHAPv2): Un marco de autenticación universal que permite a los proveedores de terceros desarrollar esquemas de autenticación personalizados, incluyendo escáner de retina, reconocimiento de voz, identifcación de huellas digitales, tarjetas inteligentes, Kerberos y certifcados digitales. También proporciona un método de autenticación mutua que soporta la autenticación del usuario basada en contraseñas o de equipos.
Servicios de Red y Aplicaciones Populares en Windows
243
Æ Acceso Remoto y Enrutamiento PREPÁRESE. Para hacer que una computadora que ejecuta Windows Server 2008 cargue el Acceso Remoto y el Enrutamiento: 1. Inicie el Asistente para Agregar Funciones, utilizando el Administrador de Servidores o la ventana Tareas de Configuración Inicial. 2. En la página Antes de Comenzar, haga clic en Siguiente. 3. En la página Seleccionar Funciones de Servidor, elija la Directiva de Redes y Servicios de Acceso y haga clic en Siguiente dos veces. 4. En la página Seleccionar Servicios de Función, elija Servicios de Enrutamiento y Acceso Remoto. 5. En la página Confirmar Selecciones de Instalación, haga clic en Instalar. 6. En la página Resultados de la Instalación, revise la situación y haga clic en Cerrar.
Æ Configurar un servidor VPN PREPÁRESE. Habilite RRAS y configúrelo como un servidor VPN: 1. Abra el complemento MMC RRAS.
www.pdftron.com 2. Haga clic derecho en el nombre del servidor para el que desea habilitar el enrutamiento y a continuación, haga clic en Configurar y Habilitar Enrutamiento y Acceso Remoto. Si está utilizando el Administrador de Servidores, haga clic en Enrutamiento y Acceso Remoto, luego seleccione Configurar y Habilitar Enrutamiento y Acceso Remoto. 3. En la página Bienvenido, haga clic en Siguiente.
4. En la página Configuración, haga clic en Acceso Remoto (acceso telefónico o VPN) y haga clic en Siguiente. 5. En la página de Acceso Remoto, seleccione VPN y haga clic en Siguiente. 6. En la página Conexión VPN, seleccione la interfaz de red que está conectada al Internet público desde el que los clientes VPN remotos se conectarán a este servidor. 7. Para configurar filtros de paquetes que restringen el acceso a la red a través del adaptador de la red pública especificada sólo a los puertos requeridos por los clientes de VPN, seleccione Habilitar la seguridad en la interfaz seleccionada mediante la creación de filtros de paquetes estáticos. 8. En la página Selección de Red, seleccione la red privada a la que se les concederá acceso a los clientes VPN remoto. El adaptador de red y su dirección IP se muestran para ayudarle a determinar qué seleccionar. 9. En la página Asignación de Direcciones IP, especifique la forma en que el servidor RRAS adquirirá direcciones IP para los clientes de VPN remotos. Si tiene un servidor DHCP con un rango de direcciones disponibles, haga clic en Automático. Si desea que el servidor RRAS administre las direcciones IP, haga clic en Desde un rango especificado de direcciones. 10. Si no ha seleccionado Automático en la página Asignación de Rango de Direcciones, haga clic en Nuevo y escriba las direcciones IP de inicio y de final para crear un rango de clientes de VPN remotos a quienes son asignados direcciones. Puede introducir varios rangos si es necesario. Haga clic en Siguiente una vez que ha creado los rangos de direcciones.
244
Lección 7
11. En la página Administración de Múltiples Servidores de Acceso Remoto, seleccione si desea utilizar un servidor centralizado de RADIUS para la autenticación de los clientes de su red. Si selecciona No, entonces RRAS utiliza su base de datos de cuenta local o, si el servidor RRAS está unido a un dominio del Directorio activo, utiliza la base de datos cuenta de dominio. Nota: Para utilizar los Servicios de Dominio de Directorio activo (AD DS), debe inscribirse en el servidor RRAS a un dominio y agregar la cuenta del equipo de este servidor de RAS y el grupo IAS de seguridad de Servidores de dominio de la que este servidor es un miembro. El administrador del dominio puede agregar la cuenta de equipo a la RAS e IAS grupo de seguridad de servidores mediante el uso de usuarios de Directorio activo y equipos o mediante el comando netsh ras add registeredserver. 12. En la página Finalización, haga clic en Finalizar.
Æ Crear un túnel VPN PREPÁRESE. Para crear un túnel VPN en un equipo que ejecuta Windows 7 para que pueda conectarse a un servidor de acceso remoto: 1. Desde el Panel de control, seleccione conexiones de Red e Internet para tener acceso al Centro de Redes y Recursos Compartidos. 2. Desde el Centro de Redes y Recursos Compartidos, seleccione Crear una nueva conexión o asistente.
www.pdftron.com 3. En la página Configurar una Conexión o Página de Red, seleccione Conectar a un Lugar de Trabajo. 4. En la página Conectar a un Lugar de Trabajo, responda a la pregunta “¿Desea utilizar una conexión que ya tiene?” Elija para crear una nueva conexión o seleccione una conexión existente. 5. En la siguiente página, seleccione Usar mi conexión a Internet (VPN).
6. En la siguiente pantalla, seleccione la conexión VPN o especificar la Dirección de Internet del servidor VPN y un Nombre de Destino. También puede especificar las opciones para utilizar una tarjeta inteligente para la autenticación; Permitir que otras personas usen esta conexión o No se conecte ahora, solo configurar para poderme conectar más tarde.
Es posible que tenga que hacer una confguración adicional para la conexión VPN, por ejemplo, especifcar el tipo de protocolo, protocolo de autenticación y el tipo de encriptado. Para conectarse a través de la VPN una vez que la conexión VPN es creada y confgurada, abra el Network and Sharing Center y haga clic en Administrar conexiones de red. A continuación, haga clic derecho en su conexión VPN y luego en Conectar. Vea la fgura 7-4.
Servicios de Red y Aplicaciones Populares en Windows
245
Figura 7-4 Conexión VPN
www.pdftron.com De forma predeterminada, cuando se conecta a una VPN utilizando la confguración anterior, toda la navegación web y el tráfco de red pasa por la puerta de enlace predeterminada en la Conexión de Red Remota, a menos que se esté comunicando con computadoras locales. Tener esta opción activada ayuda a proteger la red corporativa, porque todo el tráfco también va a través de cortafuegos y servidores proxy, lo que previene que una red sea vulnerable o infectada.
Si desea dirigir su navegación por Internet a través de su conexión a Internet en casa, en lugar de ir a través de la red corporativa, puede deshabilitar la opción “Usar Puerta de Enlace Predeterminada en la Red Remota”. El desactivar esta opción se llama Utilizando un túnel de división.
Æ Habilitar un Split Tunnel PREPÁRESE. Para habilitar un Split Tunnel: 1. Haga clic en una conexión VPN y después en Propiedades. 2. Haga clic en la ficha Funciones de red. 3. Haga doble clic en Protocolo de Internet Versión 4 (TCP/IPv4). 4. Haga clic en Opciones Avanzadas. 5. Anule la selección de la puerta de enlace predeterminada en red remota.
Puede ser mucho trabajo confgurar múltiples clientes para que se conecten a un servidor de acceso remoto y puede ser demasiado complicado para un principiante.
246
Lección 7
Si tiene que confgurar múltiples clientes para que se conecten a un servidor remoto, esto puede ser demasiado trabajo y fácilmente podría cometer algún error. Para ayudar a simplifcar la administración del cliente VPN en un dispositivo ejecutable fácil de instalar, puede utilizar el Kit de Administración de Administrador de Conexión (CMAK), que también se puede instalar como una característica de Windows Server 2008.
Introducción a la Administración Remota È EN RESUMEN
Con las primeras redes, los usuarios utilizaron terminales tontas (sistemas que consisten en un monitor y un teclado sin procesador) para conectarse a una computadora central. Posteriormente, los equipos usarían telnet para conectarse a un servidor y ejecutar comandos en el símbolo del sistema. Remote Desktop Services, anteriormente conocido como Servicios de Terminal, es uno de los componentes de Microsoft Windows que permite a un usuario acceder a aplicaciones y datos en una computadora remota a través de una red. ; Listo para la Certificación ¿Puede hacer una lista y describir varias maneras de administración remota de un servidor? —2.2
De forma predeterminada, los servidores de Windows están confgurados para utilizar el Escritorio Remoto para el modo de administración de licencia, que soporta hasta dos sesiones remotas (tres si contamos la sesión de consola, que es la que se utiliza cuando se conecta directamente a la computadora) y se usa principalmente para conectarse a un servidor y administrarlo. Sin embargo, si desea ejecutar aplicaciones que requieren más que el estándar de dos sesiones remotas, primero tendrá que cargar y confgurar el equipo que ejecuta Windows Server 2008 R2 como un rol de servidor de host de Sesión de Escritorio Remoto. También necesitará un administrador de licencias de RD para realizar un seguimiento de las licencias utilizadas y tendrá que comprarlas e instalarlas.
www.pdftron.com Para acceder a un equipo que ejecuta Servicios de Escritorio remoto, deberá utilizar Conexión a Escritorio Remoto, para acceder a la interfaz de una computadora gráfca de usuario incluyendo el escritorio, menú de inicio y programas como si estuviera sentado frente a la computadora. Vea la fgura 7-5. Dos tecnologías que le permiten acceder de forma remota a una computadora de escritorio son: Escritorio Remoto y Asistencia Remota a través del puerto TCP 1389.
Servicios de Red y Aplicaciones Populares en Windows
247
Figura 7-5 Conexión a Computadora de Escritorio Remoto
www.pdftron.com Para conectarse a una computadora remota: • • • •
La computadora debe estar encendida. Debe tener conexión de red. Debe estar habilitada en las Propiedades del Sistema. Debe tener permiso para conectarse (ser miembro del grupo de administradores o del grupo Usuarios de Computadora de Escritorio Remoto).
Æ Habilitar la Computadora de Escritorio Remoto PREPÁRESE. Para habilitar La Computadora de Escritorio Remoto: 1. Haga clic en Inicio. Elija Computadora y seleccione Propiedades. 2. Haga clic en Configuración Remota y seleccione una de las siguientes opciones: a. Permitir conexiones desde una computadora que ejecute cualquier versión de Escritorio Remoto (menos seguro). b. Permitir sólo las conexiones desde equipos que ejecuten Escritorio Remoto con autenticación de nivel de red (más seguro). 3. Si se le pide una contraseña de administrador o una confirmación, escriba la información completa. 4. Haga clic en Seleccionar Usuarios. En caso de habilitar Escritorio Remoto para su cuenta de usuario actual, su nombre se agregará automáticamente a esta lista de usuarios remotos y podrá omitir los dos pasos siguientes. 5. En el cuadro de diálogo Usuarios de Escritorio Remoto, haga clic en Agregar. Esto agregará usuarios al grupo Usuarios de Escritorio Remoto. 6. En el cuadro de diálogo Seleccionar Usuarios, escriba el nombre del usuario y haga clic en Aceptar.
248
Lección 7
Æ Acceso a un Escritorio Remoto PREPÁRESE. Para iniciar un Escritorio Remoto en la computadora desde la que desea trabajar: 1. Abra Conexión a Escritorio Remoto haciendo clic en Inicio, seleccione Accesorios y en seguida Conexión a Escritorio Remoto. También puede ejecutar el comando mstsc.exe. 2. Escriba el nombre de la computadora a la que desea conectarse y haga clic en Conectar. (También puede escribir la dirección IP en lugar del nombre de la computadora si lo desea.)
Para obtener más opciones avanzadas antes de la conexión, haga clic en Opciones. Vea la fgura 7-6. Figura 7-6 Configuración de Conexiones a Escritorio Remoto
www.pdftron.com
Servicios de Red y Aplicaciones Populares en Windows
º Tome Nota Si por alguna razón, en la barra de tareas no está disponible el Explorer, también puede presionar las teclas Ctrl + Alt + Fin para abrir la misma ventana del Administrador de Tareas, desde donde puede iniciar un explorer.exe
249
RemoteApp (o TS RemoteApp) es un modo especial de Servicios de Escritorio Remoto, que le permite ejecutar una aplicación en su propia ventana, en lugar de abrir una sesión con Conexión a Escritorio Remoto. Generalmente, la aplicación se ve como una aplicación de funcionamiento normal en su computadora local, pero en realidad se está ejecutando de forma remota desde un servidor. Un RemoteApp se puede empaquetar, ya sea como un archivo. rdp o distribuido a través de un paquete .msi de Windows Installer. Además de utilizar un túnel VPN, puede utilizar un servicio de función de escritorio remoto Gateway (Puerta de enlace) y permitir a usuarios remotos autorizados conectarse a los recursos, en una red interna privada a través de Internet, utilizando una conexión de escritorio remoto (RDC). La Puerta de Enlace RD utiliza el protocolo de escritorio remoto (RDP), a través de HTTPS para establecer una conexión encriptada y segura entre usuarios remotos en Internet y los recursos de red interna con los que se ejecutan sus aplicaciones de productividad.
Qué es la Virtualización de Servidores È EN RESUMEN
La virtualización se ha vuelto muy popular en los últimos años. Mediante el uso de tecnología de máquina virtual, puede ejecutar varios sistemas operativos simultáneamente en una sola máquina, lo que permite la separación de los servicios, manteniendo los costos al mínimo. También se puede utilizar para crear sistemas de prueba de Windows, en un entorno seguro y autónomo. Microsoft Hyper-V es un sistema de virtualización, basada en hipervisor de 64 equipos a partir de Windows Server 2008. El hipervisor se instala entre el hardware y el sistema operativo y es el principal componente que administra las computadoras virtuales.
www.pdftron.com ; Listo para la Certificación
¿Cuáles son las ventajas de utilizar servidores virtuales? —2.5
Para ejecutar varias máquinas virtuales en una sola computadora, necesita tener sufciente poder de procesamiento, así como memoria para manejar la carga. Sin embargo, dado que la mayoría de servidores a menudo permanecen inactivos, la virtualización utiliza el hardware del servidor de manera más efciente. Para mantener a cada servidor virtual seguro y confable, cada servidor se coloca en su propia partición. Una partición es una unidad lógica de almacenamiento en los sistemas operativos que ejecutan. Cada máquina virtual tiene acceso al hipervisor, que se ocupa de las interrupciones al procesador y las re-direcciona a la partición respectiva.
En Hyper-V, cada máquina virtual utiliza un máximo de procesador, sin embargo, puede compartir el procesador que utiliza con otras máquinas virtuales, en función del número de procesadores en el equipo físico y el número de máquinas virtuales en ejecución. Además, cada máquina virtual requiere de sufciente memoria para ejecutar el sistema operativo y las aplicaciones, como también de aproximadamente 32 MB para la memoria RAM de vídeo emulado y la memoria de código caché. También son necesarios una placa base y BIOS que soporten la virtualización. De forma predeterminada, Hyper-V almacena todos los archivos que componen una máquina virtual en una carpeta con el mismo nombre, que el servidor virtual para una administración sencilla y portabilidad. Cambiar el nombre de una máquina virtual no cambia el nombre de la carpeta de esta. De forma predeterminada, estas carpetas se encuentran en la carpeta Shared Virtual Machines, que se encuentra en Documents and Settings \ All Users \ Documentos \ Shared Virtual Machines.
250
Lección 7
En Hyper -V, cada máquina virtual utiliza los siguientes archivos: • Una confguración de máquina virtual (.vmc). Archivo en formato XML que contiene la información de confguración de máquina virtual, incluyendo todos los ajustes de la máquina virtual. • Una o más carpetas de discos duros virtuales (. vhd) para almacenar el sistema operativo invitado, aplicaciones y datos de la máquina virtual. Así que si crea una partición de 12 GB para el disco duro de la máquina virtual, el archivo de disco duro virtual será de 12 GB. Además, una máquina virtual también puede usar un estado guardado (. VSV) del archivo, si la máquina se ha colocado en un estado guardado. Para instalar Hyper-V, se necesita: • Una versión x64 de Windows Server 2008. • Procesadores de 64 bits y BIOS que admitan la virtualización asistida por la tecnología hardware (Intel VT o AMD). • Hardware Data Execution Prevention (DEP), el cual es descrito por Intel como eXecuted Disable (XD) y descrito por AMD como No Execute (NS), ésta es una tecnología utilizada en CPUs para separar las zonas de memoria para su uso, ya sea para almacenamiento de instrucciones del procesador o para almacenamiento de datos.
www.pdftron.com Æ Instalar Hyper-V
PREPÁRESE. Para agregar la función de Hyper-V:
1. Haga clic en Inicio y a continuación en Administrador de Servidores.
2. En el área Resumen de Funciones de la ventana principal del Administrador del Servidor, haga clic en Agregar Funciones. 3. En la página Seleccionar Funciones de Servidor, haga clic en Hyper-V.
4. En la página Crear Redes Virtuales, haga clic en uno o más adaptadores de red si desea hacer que su conexión de red esté disponible para máquinas virtuales. 5. En la página Confirmar Selecciones de Instalación, haga clic en Instalar. 6. Reinicie la computadora para completar la instalación. Haga clic en Cerrar para finalizar el asistente y en Sí para reiniciar la computadora. 7. Después de reiniciar la computadora, inicie sesión con la misma cuenta que utilizó para instalar la función. Después de que el Asistente de Configuración complete la instalación, dé clic en Cerrar para finalizar el asistente.
Servicios de Red y Aplicaciones Populares en Windows
251
f Máquinas Virtuales Después de la instalación de Hyper-V, está listo para crear algunas máquinas virtuales e instalar el sistema operativo en cada máquina virtual que creó.
Æ Crear una Máquina Virtual en Hyper-V PREPÁRESE. Para crear y configurar una máquina virtual: 1. Abra el Administrador Hyper-V de las Herramientas Administrativas. Vea la figura 7-7. Figura 7-7 Administración Hyper-V
www.pdftron.com 2. Desde el panel de Acciones, haga clic en Nuevo y a continuación en Máquina Virtual. 3. Desde el Asistente de la Nueva Máquina Virtual, haga clic en Siguiente. 4. En Especificar Nombre y Ubicación de la Página, especifique el nombre que le quiere dar a la máquina virtual y dónde desea guardarlo. 5. En la página de Memoria, especifique la memoria suficiente para ejecutar el sistema operativo invitado que desea utilizar en la máquina virtual. 6. En la página de Red, conecte el adaptador a una red virtual existente, si desea establecer la conectividad en este momento. Si desea utilizar un servidor de imágenes a distancia para instalar un sistema operativo en su máquina de prueba virtual, seleccione la externa. 7. En la página Conectar Disco Duro Virtual, especifique un nombre, ubicación y tamaño para crearlo y que pueda instalar un sistema operativo en él. 8. En la página Opciones de Instalación, elija el método que desea utilizar para instalar el sistema operativo: •
Instale un sistema operativo desde un CD de arranque / DVD-ROM. Puede utilizar ya sea un medio de comunicación física o un archivo de imagen (.iso).
252
Lección 7
•
Instale un sistema operativo desde un disquete de arranque.
•
Instale un sistema operativo desde un servidor de instalación basada en red. Para utilizar esta opción, debe configurar la máquina virtual con un adaptador de red conectado a la misma red que el servidor de imágenes.
9. Haga clic en Finalizar.
Æ Instalar un Sistema Operativo en una Máquina Virtual PREPÁRESE. Para instalar el sistema operativo: 1. Desde la sección de Máquinas Virtuales del panel de resultados, haga clic derecho en el nombre de la máquina virtual que acaba de crear y posteriormente en Conectar. La herramienta Conexión de Máquina Virtual se abrirá. 2. En el menú Acciones en la ventana de Conexión de la Máquina Virtual, haga clic en Inicio. 3. 3. Continúe con la instalación.
Algunos de los controladores incorporados en Windows no funcionan de manera efciente en un entorno virtual. Por lo tanto, es necesario instalar Integration Services, que incluye algunos de los controladores básicos. Para instalar los componentes de integración, abra el menú Acción de la Conexión de la Máquina Virtual y haga clic en Insertar Disco de Instalación de Servicios de Integración. Si la ejecución automática no inicia la instalación automáticamente, puede hacerlo manualmente mediante la ejecución del comando % windir% \ support \ amd64 \ setup.exe.
www.pdftron.com Ahora está listo para confgurar y administrar el servidor virtual como si estuviera trabajando en un servidor físico. Esto incluye la confguración de la IP, lo que permite el escritorio remoto, la instalación de las funciones y características correspondientes, la instalación de software adicional y así sucesivamente.
En muchas empresas, es posible que necesiten consolidar varios servidores físicos a una máquina que ejecuta múltiples servidores virtuales. Microsoft System Center Virtual Machine Manager (VMM) le permite convertir las computadoras físicas en máquinas virtuales a través de un proceso conocido como conversión física a virtual (P2V). VMM simplifca el P2V proporcionando un asistente basado en tareas para automatizar gran parte del proceso de conversión. Dado que el proceso P2V es totalmente programable, puede iniciar conversiones P2V a gran escala a través de la línea de comandos de Windows PowerShell.
f Administrar una Máquina Virtual Cuando se trabaja con servidores físicos, puede haber ocasiones en que tiene que añadir una tarjeta de red, ampliar un disco duro o mover un cable de la tarjeta de red desde un conmutador a otro. Los servidores virtuales tienen las mismas necesidades, pero debe realizar estas tareas también de forma virtual.
Servicios de Red y Aplicaciones Populares en Windows
253
Administración de Discos Cuando se crea una unidad de disco duro virtual, puede defnir los discos duros virtuales como: • Discos duros virtuales de tamaño fijo: Ocupan la cantidad total de espacio de disco cuando son creados, aun cuando no haya datos utilizando sus piezas. • Discos duros de expansión dinámica: Se expanden a medida que necesitan espacio hasta llegar a su capacidad total. Uno de los puntos fuertes de los servidores virtuales es la capacidad de tomar instantáneas. Una instantánea es una imagen en algún punto en el tiempo de una máquina virtual a la cual puede regresar. Por lo tanto, si hace un cambio al sistema, tal como cargar un componente o instalar una actualización, que causa problemas, puede utilizar la instantánea para volver rápidamente al punto anterior al momento en que se hizo el cambio. • Los archivos de instantánea consisten en: • Una copia de la confguración de la VM. xml. • Los archivos de estado guardado. Un disco de diferenciación (. avhd) es el nuevo disco de trabajo para todas las escrituras y es descendiente del disco de trabajo antes de la instantánea. Con Hyper-V, puede crear 10 niveles de instantánea por servidor virtual.
www.pdftron.com Para crear una instantánea en Hyper-V, seleccione Instantánea en el menú o panel de Acción, haciendo clic en Instantánea en la barra de herramientas. Cuando se crea una imagen, aparecerá un cuadro de diálogo que le permite introducir un nombre. Puede descartar este cuadro de diálogo y hacer que utilice el nombre generado automáticamente, si lo prefere, el cual estará compuesto por el nombre de la máquina virtual seguido de la fecha y hora en que se tomó.
Administración de redes virtuales y tarjetas de red
Las redes virtuales consisten en una o más máquinas virtuales confguradas para poder acceder a recursos de red local o externa. La red virtual está confgurada para utilizar un adaptador en la computadora física. Si está seleccionado un adaptador de red en la computadora física, todas las máquinas virtuales conectadas a la red virtual pueden tener acceso a las redes a las que el adaptador físico está conectado. Si la red virtual está confgurada para no utilizar un adaptador, entonces cualquier máquina virtual conectada a la red virtual, se convierte en parte de ella. Una red interna de la máquina virtual, se compone de todas las máquinas virtuales conectadas a una red virtual, que está confgurada para utilizar un adaptador de red. Cada red interna de la máquina virtual está completamente aislada de todas las demás.
254
Lección 7
Æ Agregar una Red Virtual PREPÁRESE. Para agregar una red virtual: 1. Abra el administrador de Hyper-V. 2. En el menú Acciones, haga clic en Virtual Network Manager. Vea la figura 7-8. Figura 7-8 Administrador de Red Virtual
www.pdftron.com 3. En Crear Red Virtual, seleccione el tipo de red que desea crear. 4. Haga clic en Agregar. La Nueva Red Virtual de la página aparecerá. 5. Escriba un nombre para la nueva red. Revise las otras propiedades y modifíquelas si es necesario. 6. Haga clic en Aceptar para guardarla y cierre el Administrador de Red Virtual, o en Aplicar para guardarla y seguir utilizando el Administrador.
Æ Modificar una Red Virtual PREPÁRESE. Para modificar una red virtual: 1. Abra el Administrador de Hyper-V. 2. En el menú Acciones, haga clic en Administrador de Red Virtual. 3. En Redes Virtuales, haga clic en el nombre de la red que desea modificar. 4. En Propiedades de Red Virtual, edite las propiedades adecuadas para modificarla.
Servicios de Red y Aplicaciones Populares en Windows
255
5. Haga clic en Aceptar para guardar los cambios y cierre el Administrador de Red Virtual o haga clic en Aplicar para guardar los cambios y seguirlo utilizando.
Æ Eliminar una Red Virtual PREPÁRESE. Para eliminar una Red Virtual: 1.
Abra el administrador de Hyper-V.
2. En el menú Acciones, haga clic en Administrador de Red Virtual. 3. En Redes Virtuales, haga clic en el nombre de la red que desea eliminar. 4. En Propiedades de Red Virtual, haga clic en Eliminar. 5. Haga clic en Aceptar para guardar los cambios y cerrar el Administrador o haga clic en Aplicar para guardar los cambios y seguirlo utilizando.
Æ Agregar un Adaptador de Red PREPÁRESE. Para agregar un adaptador de red: 1. Abra administrador de Hyper-V. Seleccione Inicio, posteriormente Herramientas Administrativas y haga clic en Administrador de Hyper-V.
www.pdftron.com Más Información
Para obtener más información acerca del administrador de Hyper-V, visite el siguiente sitio Web: http://technet. microsoft.com/en-us/ virtualization/default. aspx
2. En el panel de resultados en Máquinas Virtuales, seleccione la máquina virtual que desea configurar. 3. En el panel de Acciones bajo el nombre de la máquina virtual, haga clic en Configuración. 4. En el panel de navegación, haga clic en Agregar Hardware.
5. En la página para Agregar Hardware, seleccione un adaptador de red o un adaptador de red legacy. 6. Haga clic en Agregar. Aparecerá la página del Adaptador de Red o Red Legacy. 7. En Red, seleccione la red virtual a la que desea conectarse. 8. Si desea configurar una dirección MAC estática o identificador LAN virtual, especifique los números que desea utilizar. 9. Haga clic en Aceptar.
256
Lección 7
Resumen de Habilidades En esta lección aprendió: • Cuando abre páginas Web, se conecta al servidor a través del puerto TCP 80. • SSL, abreviatura de Secure Sockets Layer, utiliza el puerto TCP 443, que a su vez usa un certifcado digital para encriptar los datos enviados hacia y desde un sitio Web para que no puedan ser leídos por nadie, excepto al de origen y destino. Cuando se utiliza SSL, el URL del navegador comenzará con https. • File Transfer Protocol (FTP) es un protocolo de red estándar que se utiliza para transferir un archivo desde un host a otro a través de una red TCP / IP. • El servidor web de Microsoft/servidor de aplicaciones, es Internet Information Services (IIS). • Para soportar a varios sitios Web, puede asignar direcciones IP adicionales y asignar un lugar a cada dirección IP con puertos diferentes para cada sitio o encabezados de host. • Para confgurar la dirección IP, el puerto y el nombre a los que un sitio Web va a responder, debe confgurar el enlace del sitio. • Un directorio virtual es un directorio usado en un sitio Web que corresponde a un directorio físico en otro lugar en el servidor, en otro servidor o en una página web. • La aplicación es una agrupación de los contenidos de un sitio web que se defne a nivel de la raíz o en una carpeta separada que tiene propiedades específcas, tales como el grupo de aplicaciones en las que se ejecuta la aplicación y los permisos que se conceden en la carpeta. • Un grupo de aplicaciones es un conjunto de recursos (un proceso de trabajo o un conjunto de procesos de trabajo) que utiliza un sitio Web o aplicación que defne los límites de memoria para el sitio Web. • La función de los Documentos Predeterminados le permite confgurar la lista de documentos predeterminados que automáticamente se presentarán a un navegador si no se especifca un documento. • Una red privada virtual (VPN) conecta dos computadoras a través de una red de área amplia tal como el Internet. Para mantener la conexión segura, los datos enviados entre las dos computadoras se encapsulan y encriptan. • Para acceder a un equipo que ejecuta Servicios de Escritorio Remoto, puede utilizar la Conexión a Escritorio remoto, para acceder a la interfaz de un usuario de los gráfcos de la computadora incluido el escritorio, menú de inicio y programas como si estuviera sentado frente a la computadora. • La asistencia Remota es similar al escritorio remoto, excepto que es utilizada para conectarse a la sesión de otro usuario, de manera que pueda ver e interactuar con esa sesión. • Mediante el uso de tecnología de máquina virtual, puede ejecutar varios sistemas operativos simultáneamente en una sola máquina, lo que permite la separación de los servicios, manteniendo los costos al mínimo. • El hipervisor se instala entre el hardware y el sistema operativo y es el principal componente que administra a los equipos virtuales. • Algunas de los controladores incorporados en Windows no funcionan de manera efciente en un entorno virtual. Por lo tanto, es necesario instalar Integration Services, que incluye algunos de los controladores básicos. • Microsoft System Center Virtual Machine Manager (VMM) le permite convertir las computadoras físicas en máquinas virtuales, a través de un proceso conocido como conversión física a virtual (P2V).
www.pdftron.com
Servicios de Red y Aplicaciones Populares en Windows
257
• Una instantánea es una imagen de un punto en el tiempo de una máquina virtual a la cual se puede regresar.
» Evaluación de Conocimientos Complete los espacios en blanco Complete las siguientes oraciones, escribiendo la palabra o palabras correctas en los espacios proporcionados. 1. El _____________ es un sistema de documentos de hipertexto interconectados conocidos como páginas web que se navegan con un navegador web. 2. El lenguaje de marcado predominante para las páginas web es __________. 3. El Servidor web de Microsoft se conoce como _________________. 4. En IIS, un _____________ es un directorio usado en un sitio Web que corresponde a un directorio físico en otro lugar en el servidor, en otro servidor o en un sitio Web. 5. HTTPS utiliza el puerto____________. 6. _______ es el certifcado digital más utilizado. 7. Lo más reciente de Microsoft en tecnología de máquina virtual es ___________.
www.pdftron.com 8. Una __________ es una imagen en un punto en el tiempo de una máquina virtual a la cual se puede regresar. 9. Normalmente, se utiliza ___________ para conectarse de forma remota y administrar un servidor, el cual le permite ejecutar programas directamente en el escritorio. 10. ______________ es un modo especial de Servicios de Escritorio Remoto que le permite ejecutar una aplicación en su propia ventana. Opción Múltiple Encierre en un círculo la letra que corresponda a la mejor respuesta. 1. ¿Cuál es el protocolo usado para la transferencia de archivos entre computadoras? a. b. c. d.
DNS HTTP FTP Telnet
2. ¿Cuál es el Puerto que usa el SMTP? a. b. c. d.
21 25 80 443
3. ¿Cuál Puerto usa el HTTP? a. 21 b. 25
258
Lección 7
c. 80 d. 443 4. Un(a) ___________ defne un conjunto de recursos utilizados por un sitio Web o aplicación que defne los límites de memoria de un sitio Web. a. b. c. d.
Directorio virtual Directorio de raíz Agrupación de aplicación Port forwarder
5. ¿Cuál autenticación envía el nombre de usuario y la contraseña sin encriptar? a. b. c. d.
Anónimo Autenticación básica Autenticación digerida Autenticación Windows
6. Cuando confgura VPN, L2TP, usa ______ para el encriptado. a. b. c. d.
SSTP PPTP MPE IPSec
www.pdftron.com 7. ¿Qué método de autenticación utilizado con los clientes VPN puede ser utilizado con un scanner de retina e identifcaciones de huella digital? a. b. c. d.
PAP CHAP MS-CHAPv2 EAP-MS-CHAPv2
8. Mediante el uso de la tecnología de _____________, puede ejecutar múltiples sistemas operativos simultáneamente en una sola máquina. a. b. c. d.
Máquina virtual Directorio virtual Terminal Server Acceso remoto
9. Después de crear un servidor virtual en Hyper-V e instalar el sistema operativo, a continuación, es necesario instalar _____________ para que el servidor virtual pueda funcionar con más efciencia. a. b. c. d.
Herramientas de cliente VMWare Herramientas de escritorio remoto El programa de instalación de Integration Services Herramientas de disco P2V
10. ¿Qué protocolo se utiliza para enviar correo electrónico? a. b. c. d.
POP2 IMAP HTTP SMTP
Servicios de Red y Aplicaciones Populares en Windows
259
Verdadero / Falso Encierre en un círculo V si el enunciado es verdadero o F si el enunciado es falso. V
F
V
F
V
F
V V
F F
1. Al escribir en una dirección URL que no especifca un directorio, el navegador siempre enviará un error 404. 2. Si está utilizando Autenticación Básica, deberá utilizar certifcados digitales para encriptar. 3. Para copiar un certifcado digital que incluye el par de claves pública y privada, se utiliza RSE. 4. Hoy en día, PTTP es el protocolo de túnel VPN recomendado. 5. El archivo. vhd contiene la información de confguración de la máquina virtual.
» Evaluación de Competencias Escenario 7-1: Permitir Trabajar desde Casa Recién ha iniciado trabajo como administrador de sistemas para Acme Corporation. Su empresa decide que como un benefcio para sus empleados, algunos de ellos pueden trabajar desde su casa un día a la semana. Explique lo que puede hacer para ayudar a que se lleve a cabo, ¿qué tecnología clave usaría y cómo la confguraría?
www.pdftron.com Escenario 7-2: Aislamiento de Aplicaciones de Servidor
Tiene dos aplicaciones de red (una red de aplicación de contabilidad y una red de aplicación HR) que no necesitan de procesador. Ambas aplicaciones deben mantenerse totalmente aisladas y ambas tendrán acceso a un servidor centralizado de base de datos. ¿Qué recomendaría?
» Evaluación de Habilidades Escenario 7-3: Crear un Sitio Web 1. Instalar IIS. 2. Crear un sitio web que responda a contoso.com y www.contoso.com utilizando el puerto 80 que apunta a C: \ Inetpub \ wwwroot \ Contoso. 3. Añadir una entrada en el archivo de host que apunte hacia contoso.com a la dirección IP de su servidor. 4. Crear una carpeta llamada virtual en la carpeta c: \ inetpub. 5. Crear un directorio virtual que apunte a c: \ inetpub \ virtual. 6. Crear un grupo de aplicaciones denominado contoso. 7. Cambiar el sitio Web de Contoso para utilizar el grupo de aplicaciones contoso.
260
Lección 7
Escenario 7-4: Usar un Escritorio Remoto 1. Asegúrese que el escritorio remoto esté habilitado en su computadora. 2. Conéctese a otra computadora con Windows utilizando el Escritorio Remoto.
Listo para el Lugar de Trabajo Æ Servidor Exchange y SQL Esta lección cubrió las aplicaciones de red y servicios más populares que se incluyen con Windows Server 2008 R2. Sin embargo, Microsoft y muchas otras compañías han creado otras aplicaciones o servicios que utilizan o dependen de las aplicaciones y servicios que vienen con Windows Server 2008 R2. Por ejemplo, Microsoft Exchange depende del Directorio activo para la autenticación, autorización y la resolución de nombres para los buzones. También utiliza IIS para permitir el acceso a las versiones basadas en la web de Microsoft Outlook y permitir que los dispositivos móviles tales como teléfonos inteligentes, se sincronicen al correo electrónico y a los elementos de calendario y tareas. SQL Server también utiliza el Directorio activo y IIS para acceder y ejecutar reportes. A medida que se profundice más en ser un administrador de sistemas, podrá ver que apenas está comenzando.
www.pdftron.com
Apéndice A
Fundamentos de Administración de Windows Server » Fundamentos: Examen 98-365 Dominio del Objetivo
Número de la Habilidad
Número de la Lección
Entender los controladores de dispositivos.
1.1
2
Entender los servicios.
1.2
2
Entender las opciones de instalación del servidor.
1.3
1
Identificar los servidores de aplicaciones.
2.1
1
Entender los servicios web.
2.2
7
Entender el acceso remoto.
2.3
2
Entender los archivos y servicios de impresión.
2.4
6
Comprender la virtualización de Servidores.
2.5
1, 7
Comprender las cuentas y grupos.
3.1
5
Comprender unidades organizativas (OUs) y contenedores.
3.2
5
Comprender la Infraestructura del Directorio activo.
3.3
5
Comprender la directiva de grupo.
3.4
5
Identificar las tecnologías de almacenamiento.
4.1
3
Comprender los RAID.
4.2
3
Comprender los tipos de discos.
4.3
3
Identificar los principales componentes de hardware del servidor.
5.1
1
Comprender el monitoreo del desempeño.
5.2
4
Entender los registros y alertas.
5.3
4
Identificar los pasos en el proceso de arranque.
6.1
4
Entender la continuidad de negocio.
6.2
4
Entender las actualizaciones.
6.3
1
Entender la metodología de solución de problemas.
6.4
4
Entendiendo la Instalación del Servidor
Entendiendo las Funciones del Servidor
www.pdftron.com Entendiendo el Directorio activo
Entendiendo el Almacenamiento
Entendiendo la Administración del Desempeño del Servidor
Entendiendo el Mantenimiento del Servidor
www.pdftron.com
Apéndice B
Qué es TCP/IP TCP/IP È EN RESUMEN
De la misma forma que el Internet se ha vuelto popular, ha sucedido lo mismo con el protocolo TCP/IP en el que se ejecuta el Internet. Uno de los dos principales protocolos es el responsable de dirigir y enrutar los paquetes entre los hosts. Tal como cuando se envía una carta por medio de su ofcina postal a una dirección ubicada dentro de una ciudad o un código postal, cada host debe tener su dirección IP única de tal forma que pueda enviar y recibir paquetes de datos. Un host es cualquier dispositivo que se conecta directamente a una red. Aunque la mayoría de los host son computadoras, pueden incluir impresoras de red, routers, conmutadores de capa 3, conmutadores administrados, y cualquier otro dispositivo que tenga una tarjeta o interfaz de red.
www.pdftron.com Una dirección de Protocolo de Internet (IP) es una dirección lógica y etiqueta numérica que se asigna al dispositivo conectado a una red de computadora. Aunque se tienen que seguir ciertos criterios basados en el protocolo TCP/IP, al fnal son direcciones lógicas que se asignan conforme se necesiten.
Hoy en día, la mayoría de las direcciones IP se basan en direcciones IPv4 tradicionales, las cuales están basadas en números de 32-bits. Desafortunadamente, ya que ha crecido la popularidad del Internet, las 4 mil millones de direcciones usadas en una red IPv4 casi se han agotado. Por esta razón existen diseños para migrar el Internet a direcciones IPv6, que están basadas en direcciones de 128-bits. Dado que cada bit duplica el número de direcciones disponibles, las direcciones de 128-bits permiten hasta 3.403 × 1038 direcciones.
f Redes IPv4 En la actualidad, la mayoría de las redes serán redes IPv4. Aunque la IPv4 permite 232 o 4,294,867,296 direcciones, la IPv4 ha madurado a través de los años y han sido inventadas varias técnicas para utilizar las direcciones con mayor efciencia. Como se mencionó antes, las direcciones IPv4 están basadas en 32-bits. Cuando se expresa una dirección IPv4, se expresa en notación de punto decimal que consiste en cuatro números (a.b.c.d.), cada uno variando de 0 a 255. Cada número es llamado octeto debido a que se basa en 8 bits. Ejemplos de direcciones IPv4 son: 192.168.1.1 16.23.212.214 127.0.0.1
262
Lección 7
Las primeras direcciones IPv4 se basaron en un diseño de red Classful donde los tres primeros bits del primer octeto defnirían la clase: clase A, B y C. Al observar la Tabla B-1, puede crear 128 redes clase A, 16,384 redes clase B, y 2,097,151 redes clase C. Aunque una red de clase A sencilla puede tener más de 16 millones de hosts, una clase C puede tener sólo 254 hosts. Por supuesto, para que pueda generar todas estas redes, debe de tener una extensa red propia que no sea compartida con el Internet. La mayoría de estas direcciones ya está en uso. Tabla B-1 Red IPv4 de Clase
Clase
A B C
Rango del Primer Octeto 0–127 128–191 192–223
Máscara de Subred Predeterminada 255.0.0.0 255.255.0.0 255.255.255.0
ID de Red
ID de Host
Número de Redes
a a.b a.b.c
b.c.d c.d d
128 16,384 2,097,151
Número de Direcciones por Red 16,777,214 65,534 254
Las máscaras de subred especifcan qué bits son de red y cuales son de host. Cuando se tiene una máscara de subred de 255.0.0.0, signifca que los primeros 8 bits se usan para describir los bits de red, mientras que los últimos 24 se usan para los bits de host. Por lo tanto, si tiene una dirección 12.212.34.5 con una máscara de subred de 255.0.0.0, tiene entonces una dirección de red 12.0.00 y una dirección de host 0.212.34.5.
www.pdftron.com Las direcciones Clase A, B, y C son conocidas como direcciones unicast que especifcan un dispositivo de red sencillo. Los paquetes enviados a una dirección unicast se entregan al nodo sencillo que contiene la interfaz identifcada por la dirección.
Las direcciones Clase D se defnen desde 224.0.0.0 a 239.255.255.255 y son usadas para direcciones multicast: las cuales son direcciones sencillas que se refere a múltiples dispositivos de red. Puede pensar en las direcciones multicast como direcciones de grupo que se pueden usar para reducir el tráfco al enviar un juego de paquetes de datos para múltiples hosts.
Cuando se usa una dirección de red Classful se puede conocer automáticamente cuáles bits se asignan para defnir la red y cuáles defnen el host en la red. Por ejemplo, si tiene una dirección 130.34.34.2, la máscara de subred predeterminada es 255.255.0.0. Por lo tanto, para una red Classful la dirección de red sería el 130.34.0.0 y la dirección de host 0.0.34.2. Desafortunadamente, con una red Classful, se desperdiciaron muchas direcciones. Por ejemplo, aunque podría asignar una red clase A a una red sencilla, no se utilizaría la mayoría de las 16 millones de direcciones. Por lo tanto, se desarrolló el enrutamiento inter-dominio sin clases (classless inter-domain routing - CIDR) para utilizar las redes con mayor efciencia. En lugar de usar las máscaras de subred predefnidas, el CIDR se basa en máscaras de subred de longitud variable (variable-length subnet masking - VLSM) donde se puede tomar una red y subdividirla en subredes más pequeñas. Por ejemplo, podría tomar una red clase B (130.5.0.0), que se podría asignar a una compañía grande. Cada host dentro de la compañía debe empezar con 130.5.0.0. Entonces asigna una dirección de red 130.5.1.0 a la primera subred o sitio y 130.5.2.0 a la segunda subred o sitio. Cada dirección ubicada en la primera subred debe comenzar con 130.5.1. La notación CIDR usa una sintaxis para especifcar la dirección IP seguida por una diagonal seguida por el número de bits enmascarados. Por ejemplo, si tiene una dirección IPv4 de 12.23.52.120 con una máscara de subred de 255.255.0.0, escribiría la dirección como 12.23.52.120/16.
Servicios de Red y Aplicaciones Populares en Windows
263
f Redes Privadas y NAT Aunque el CIDR ayudó a usar las direcciones IPv4 con mayor efciencia, tuvieron que existir pasos adicionales que previnieran el agotamiento de las direcciones IPv4. NAT (Network Adress Translation) se usa con el enmascaramiento para esconder un espacio de dirección completo detrás de una dirección IP sencilla. En otras palabras, permite que varias computadoras en una red se conecten a Internet a través de una sola dirección IP. La NAT permite que la red de área local (LAN) use un juego de direcciones IP para tráfco interno y un segundo juego de direcciones para tráfco externo. La casilla NAT por lo general es un router (que incluye routers hechos para conexiones de Internet para casa y ofcinas pequeñas) o un servidor proxy. Como resultado, la NAT sirve para dos propósitos principales: • Provee un tipo de cortafuegos al esconder las direcciones IP internas. • Permite que una compañía use más direcciones IP internas. Las direcciones privadas son direcciones reservadas no asignadas a ninguna organización específca. Ya que estas direcciones privadas no se pueden asignar a direcciones globales usadas en Internet y no se pueden enrutar a Internet, debe usar un gateway NAT o servidor proxy para convertir las direcciones privadas y públicas. Las direcciones de red privadas como se expresan en RFC 1918 son: • 10.0.0.0–10.255.255.255 • 172.16.0.0–172.31.255.255 • 192.168.0.0–192.168.255.255
www.pdftron.com La NAT obscurece una estructura de red interna al hacer que todo el tráfco parezca originado desde el dispositivo NAT o del servidor proxy. Para lograr esto, el dispositivo NAT o servidor proxy usan tablas de traducción con control de estado para mapear las direcciones “escondidas” en una dirección sencilla y luego reescribe los paquetes de datos de Protocolo de Internet (IP) salientes mientras salen de tal forma que parezcan que se originan desde el router. Conforme los paquetes de datos son regresados desde Internet, los paquetes de datos de respuesta se mapean de regreso a la dirección IP de origen usando las entradas almacenadas en las tablas de traducción.
f Redes IPv6 Como se mencionó antes, el número de direcciones IPv4 públicas están agotándose. Para superar este problema así como otros tantos, se desarrolló el IPv6 como la siguiente generación de la versión del Protocolo de Internet. IPv6 provee una cantidad de benefcios para la conectividad en red basada en TCP/IP, incluyendo: • Utiliza un espacio de dirección de 128-bits para proporcionar direcciones para cada dispositivo en el Internet con una dirección única global. • Permite un enrutamiento más efciente que IPv4. • Soporta confguración automática. • Ofrece seguridad avanzada para proteger contra ataques de rastreo de dirección y puertos, utilizando un IPSec para proteger el tráfco IPv6.
264
Lección 7
Dado que el IPv6 usa 128 bits, las direcciones por lo general se dividen en grupos de 16 bits, escritos como 4 dígitos hexadecimales. Los dígitos Hexadecimales incluyen 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, y F. Dos puntos (:) separan los grupos. Un ejemplo de una dirección sería: FE80:0000:0000:0000:02C3:B2DF:FEA5:E4F1 De manera similar a las direcciones IPv4, las IPv6 se dividen en bits de red y dirección de host. Sin embargo, los primeros 64 bits defnen la dirección de red, y los siguientes 64 bits defnen la dirección de host. Por lo tanto, en nuestra dirección de ejemplo, FE80:0000:0000:0000 defne los bits de red y 02C3:B2DF:FEA5:E4F1 defne los bits de host. Los bits de red también se dividen de manera adicional donde se usan 48 bits para el prefjo de red y los siguientes 16 bits se usan para la subred. Para facilitar la asignación de dirección automática simplifcada, el tamaño de la subred IPv6 se ha normalizado y fjado a 64 bits, y la dirección MAC se usa para generar los bits de host dentro de la dirección de red unicast o la dirección local de enlace cuando se use la confguración automática stateful. Con el IPv6, todavía tendrá asignación de dirección unicast y multicast. Sin embargo, la asignación de dirección unicast se puede dividir en: • Dirección unicast global: Direcciones públicas que se pueden enrutar y alcanzar globalmente en la porción IPv6 de Internet. • Direcciones locales de enlace: Direcciones privadas no enrutables confnadas en una subred sencilla. Los hosts las usan cuando se comunican con hosts vecinos en el mismo enlace pero también se pueden usar para crear redes temporales, para conferencias o reuniones, o para la instalación permanente de una LAN pequeña. Los routers procesarán los paquetes destinados a una dirección local de enlace, pero no los reenviarán a otros enlaces. • Direcciones locales únicas: Diseñadas para la asignación de direcciones privadas, además de ser únicas, de tal forma que al unir dos subredes no se causan colisiones de dirección.
www.pdftron.com También puede tener una dirección anycast, que es una dirección que se asigna a computadoras múltiples. Cuando el IPv6 dirige comunicaciones a una dirección anycast, sólo responde el host más cercano. Por lo general se usa esto para localizar servicios o el router más cercano.
f Gateway Predeterminado Un gateway predeterminado es un dispositivo, por lo general un router, que conecta la red local con otras redes. Cuando necesita comunicarse con un host en otra subred, envía todos los paquetes al gateway predeterminado. El gateway predeterminado permite que un host se comunique con hosts remotos. Cada vez que un host necesita enviar paquetes, primero determinará si es local (misma subred) o si es remoto, teniendo que pasar a través de un router para llegar al host remoto. El router entonces determinará la mejor manera de llegar a la subred remota y reenvía los paquetes de nuevo hacia la misma. Para determinar si la dirección de destino es local o remota, buscará en los bits de red tanto del host de envío y de destino. Si los bits de red son los mismos, asumirá que el host de destino es local y envía los paquetes directamente al host local. Si los bits de red son diferentes, asumirá que el host de destino es remoto y envía los paquetes al gateway determinado.
Servicios de Red y Aplicaciones Populares en Windows
265
Por ejemplo, tiene lo siguiente: Dirección de host de envío: 10.10.57.3 Máscara de subred de host de envío: 255.255.255.0 Dirección de host de destino: 10.10.89.37 Al aislar la dirección de red para el host, tiene 10.10.57.0. Al aislar la dirección de red para la dirección de host de destino, tiene 10.10.89.0. Ya que son diferentes, el paquete se enviará al gateway predeterminado y el router determinará la mejor manera de llegar ahí. Por supuesto, si la máscara de subred está equivocada, el host puede equivocarse al un host como local o remoto. Si el gateway predeterminado es incorrecto, puede ser que los paquetes no abandonen la subred local.
Resolución de Nombre En las redes actuales, asigna direcciones lógicas tales como la asignación de dirección IP. Desafortunadamente, estas direcciones tienden a ser difíciles de recordar, en especial con las direcciones IPv6 más complicadas y recientes. Por lo tanto, necesita usar alguna forma de nombrar el servicio que le permitirá traducir nombres lógicos, que sean direcciones lógicas más fáciles de recordar.
www.pdftron.com Existen dos tipos de nombres para traducir. Los primeros son los nombres de host, que residen en el Sistema de Nombre de Dominio (DNS) y son los mismos usados con el Internet. Cuando escribe un nombre de una página o servidor de Internet, tal como www. microsoft.com o cnn.com, está un nombre de dominio/host. El otro nombre es el nombre de su computadora, también conocido como el nombre NetBIOS. Si está en una red corporativa o su red de casa, el nombre de host por lo general es el nombre de la computadora.
Archivos HOSTS y LHMOSTS Las primeras redes TCP/IP usaban archivos hosts (usados con el DNS asociado a los nombres de dominio/host) y lmhosts (usados con los nombres de NetBIOS/Computadora relacionados con WINS), que eran archivos de texto que listarían un nombre y su dirección IP relacionada. Sin embargo, cada vez que necesitaba agregar o un el archivo de texto en cada computadora de la nombre y dirección, tendría que que necesitara conocer la dirección. Para organizaciones grandes, esto era muy debido a que podría incluir no cientos si no miles de computadoras y los archivos de texto se podían volver muy grandes. En Windows, estos dos archivos están ubicados en la carpeta C:\Windows\system32\ B-1) se puede editar y es fácil de usar. lmhosts. drivers\etc. El archivo hosts (Vea la sam es un archivo de muestra y se tendrá que copiar como lmhosts sin la extensión de nombre de archivo .sam. Aunque los archivos hosts y lmhosts se consideran métodos de legado para resolución de asignación de nombres, todavía pueden ser útiles cuando se solucionan problemas o se hacen pruebas debido a que la resolución del nombre estos dos archivos antes de ponerse en contacto con los servidores de asignación de nombres. Por ejemplo, acaba de instalar un nuevo servidor pero no desea que esté disponible para nadie más. Puede agregar una entrada en su archivo hosts local de tal forma que cuando su computadora resuelve
266
Lección 7
un cierto nombre lo resolverá a la dirección IP del nuevo servidor. Esto le evita cambiar el ingreso del DNS, que afectaría a todos los usuarios en la red de su organización hasta que esté listo. Figura B-1 Muestra del Archivo host
www.pdftron.com Sistema de Nombre de Dominio
Además de convertirse en la norma para el Internet, el Sistema de Nombre de Dominio (Domain Name System - DNS), es un sistema de gestión de base de datos distribuido jerárquicamente como cliente/servidor que traduce los nombres de dominio/hosts a una dirección IP. En otras palabras, aunque puede tener un servidor DNS (o varios servidores), a veces referidos como servidores de nombre, para proporcionar una resolución de asignación de nombres para su organización, todos los servidores DNS en Internet están enlazados entre sí para proporcionar resolución de asignación de nombres mundialmente, mientras a le permite administrar el DNS para su organización. La parte superior del árbol es conocido como el dominio raíz. Debajo del dominio raíz, encontrará los dominios de nivel superior tales como.com, .edu, .org, y .net y códigos de país de dos letras tales como.es, .mx, y .us. Debajo de los dominios de nivel superior, encontrará el nombre variable registrado que corresponde a su organización u otro nombre registrado. El nombre de dominio de segundo nivel se debe registrar por un tercero autorizado tal como networksolutions.com o godaddy.com.
Por ejemplo, microsoft.com está registrado para Microsoft Corporation. Cuando lo busca, primero entrará en contacto con los servidores DNS.com para determinar el servidor de nombre para microsoft.com. Entonces se tendrá contacto con los servidores DNS de microsoft.com para determinar la dirección que está asignada para microsoft.com. Las grandes organizaciones pueden subdividir su espacio de nombre DNS en sub-dominios, tales como technet.microsoft.com, msdn.microsoft.com, o social.microsoft.com.
Servicios de Red y Aplicaciones Populares en Windows
267
Un nombre host es un nombre asignado a una computadora dentro del dominio el host TCP/IP. Se pueden asignar múltiples nombres de o sub-dominio para host a la misma dirección IP aunque sólo se puede asignar un nombre a una computadora física o computadora virtual. (fully domain name - FQDN) Un nombre de dominio totalmente describe la posición exacta de un host dentro de la jerarquía DNS. Por ejemplo de nombre completo incluye: www.microsoft.com technet.microsoft.com server1.sales.microsoft.com Servicio de Nombre de Internet de Windows Otra tecnología de resolución de nombre es el Servicio de Nombre de Internet de Windows (WINS), que traduce desde el NetBIOS (nombre de computadora) para el recurso de red. Desde el crecimiento del Internet y la escalabilidad de DNS, WINS se considera un sistema de legado. Un servidor WINS contiene una base de datos de direcciones IP y nombres NetBIOS que se actualizan dinámicamente. Desafortunadamente, WINS no es un sistema de jerarquía como el DNS así que sólo es bueno para su organización y fue diseñado únicamente para sistemas operativos Windows. Por lo general, no se pueden registrar otros dispositivos y servicios de red con un servidor WINS. Por lo tanto, tendría que agregar entradas estáticas para estos dispositivos si desea una resolución de nombre usando WINS.
www.pdftron.com Cuando comparte un directorio, unidad, o impresora en una computadora que ejecuta Microsoft Windows o máquinas con Linux que ejecutan Samba, tendría acceso al recurso usando la Convención de Nomenclatura Universal (UNC), también conocida como Uniform Naming Convention para la ubicación de los recursos. Por lo general, la UNC usa el siguiente formato: \\nombredelacomputadora\nombre compartido\rutaopcional Por ejemplo para tener acceso al directorio compartido en una computadora llamada server1, tendría que escribir el siguiente nombre: \\server1\data Sin embargo como el DNS se ha vuelto más popular, también puede usar nombres de host con UNC. Por ejemplo, podría usar: \\Server1.microsoft.com\data
www.pdftron.com