Download Windows Server 2008. Guia Del Administrador...
A Dick y Pat Shepard. Los mejores vecinos del mundo y amigos maravillosos. Gracias Dick y Pat, por estar siempre ahí, sin importar la necesidad.
SOBRE EL AUTOR Martin (Marty) Matthews ha usado equipos de cómputo durante más de 40 años, desde algunos de los primeros sistemas mainframe, hasta los recientes equipos personales. Ha sido programador, analista de sistemas, administrador, vicepresidente y presidente de una firma de software. Como resultado, tiene conocimiento de primera mano no sólo de programación y uso de equipos, sino de la manera para mejorar el uso de información que un equipo puede producir. Hace más de 25 años, Marty escribió su primer libro sobre equipos de cómputo, acerca de cómo comprar minicomputadoras. Hace 23, Marty y su esposa, Carole, empezaron a escribir libros como parte primordial de sus ocupaciones. En años pasados, han escrito más de 70 libros, incluidos algunos sobre edición de publicaciones de escritorio, publicación en Web, Microsoft Office y sistemas operativos de Microsoft, desde MS-DOS hasta Windows Server 2003 y Windows Vista. Entre sus libros recientemente publicados por McGraw-Hill se incluyen Windows Server 2003: A Beginner’s Guide y varios volúmenes de la exitosa serie QuickSteps, de la que es cofundador.
CONTENIDO Agradecimientos Introducción
xiii xiv Parte I El entorno de Windows Server 2008
▼
1 Exploración de Windows Server 2008 Razones para Windows Server 2008 Comparación de las ediciones de Windows Server 2008 Consideraciones de hardware Implemente Windows Server 2008 Prepárese para Windows Server 2008 Instale Windows Server 2008 Configure Windows Server 2008 Red de Windows Server 2008 Comuníquese y use Internet con Windows Server 2008 Administre Windows Server 2008 Administración general del servidor Administración del sistema de archivos Administración de impresión
3 4 5 5 7 7 7 8 10 11 12 13 14 16
V
VI
Windows Server 2008: Guía del Administrador
Administración de seguridad Otras herramientas de administración del sistema
17 18
Parte II Implementación de Windows Server 2008
▼
2 Preparación para la instalación Considere las necesidades de la instalación Verifique los requisitos del sistema Sobre los requisitos del sistema Verifique la compatibilidad del sistema Tome las decisiones correctas sobre la instalación Decida si actualiza o hace una instalación limpia Decida si recurre a un arranque dual Decida sobre particiones Decida cómo iniciar la instalación Decida sobre las opciones Completa o Core Instalación de componentes opcionales Prepare la instalación Cree copias de seguridad de todos los discos duros Cree un inventario del software actual Limpieza de archivos actuales Actualice el hardware Deshabilite el hardware y software conflictivos Planee una migración a Windows Server 2008
▼
▼
3 Instalación de Windows Server 2008
4
Prepare Windows Server 2003 para la actualización Actualice Windows Server 2003 a SP1 o SP2 Actualice el Active Directory Escoja un método de instalación Inicio de la instalación Inicio de la instalación mediante arranque directo Inicio desde una versión de Windows reciente Ejecute la instalación Ejecución de una actualización Ejecute una instalación limpia iniciada desde una versión reciente de Windows Ejecute una instalación limpia iniciada al arranque Configure un servidor Inicialización y personalización Explore su servidor Instale funciones de servidor Servicios de implementación de Windows Instale y configure los servicios de implementación de Windows
21 22 22 23 24 29 31 32 33 35 37 38 39 40 40 41 41 41 43
45 46 46 46 48 48 48 50 52 53 56 58 59 59 67 70 81 83
Contenido
Instale los Servicios de implementación de Windows Configure los Servicios de implementación de Windows Pruebe y diagnostique los Servicios de implementación de Windows Pruebe los Servicios de implementación de Windows Detecte y solucione problemas de los Servicios de implementación de Windows
VII
83 84 89 89 89
Parte III Trabajo en red con Windows Server 2008
▼
5 Entorno de red de Windows Server 2008 Trabajo en red Esquemas de red Tipos de redes La tarea de la conexión en red Tecnologías LAN Hardware de redes Tarjetas de red Cableado Dispositivos de interconexión Topologías de red Protocolos de trabajos en red TCP/IP
▼
6 Configuración y administración de una red Configure los adaptadores de red Revise el controlador del adaptador de red Revise los recursos del adaptador de red Instale funciones de red y configure protocolos Instale funciones de red Configure un protocolo de red Pruebe la red Revise el soporte de servidor y el direccionamiento de red Direccionamiento de red Implemente DHCP, DNS y WINS El protocolo de configuración dinámica de host Entienda qué es el sistema de nombre de dominio Instale DNS y DHCP Administre DHCP Administre DNS Configure el servicio de nombre de Internet de Windows Configure cuentas de usuarios y permisos de grupo
▼
95 96 97 97 100 104 111 112 116 122 129 131 131
141 142 143 145 147 147 150 153 155 156 157 157 160 161 166 172 179 183
7 Uso de Active Directory y dominios
187
El entorno de Active Directory Integración con DNS
188 190
VIII
Windows Server 2008: Guía del Administrador
Active Directory y dominios Instale Active Directory Remplace los controladores de dominio existentes Entienda la estructura y configuración de Active Directory Objetos de Active Directory La estructura de Active Directory Sitios Replicación de Active Directory entre sitios Replicación de sitio interno Replicación de sitio a sitio Detección y resolución de colisiones Controladores de dominio de sólo lectura Resumen de Active Directory
191 194 196 200 200 203 209 210 211 211 213 214 214
Parte IV Comunicaciones e Internet
▼
8 Comunicaciones y servicios de Internet Configure y use conexiones telefónicas Instale un módem Establezca una conexión de marcado telefónico Configure el servicio de acceso remoto Agregue un servicio de enrutamiento y acceso remoto Habilite y configure RAS Configure puerto y directivas Utilice el servicio de acceso remoto Configure y dé mantenimiento al enrutador de Windows Server 2008 Configure el enrutador de Windows Server 2008 Dé mantenimiento al enrutador de Windows Server 2008 Configure una conexión compartida a Internet Configure y use una conexión a Internet Conexión a Internet Encuentre información en Internet Use las fichas
▼
9 Servicios de información de Internet (IIS) versión 7 Explore el entorno de IIS 7 Características de IIS 7 Servicios de Internet en IIS 7 Configuración de un servidor Web Instale IIS 7 Migre a IIS 7 Implemente la seguridad
217 218 219 222 223 223 224 227 228 230 231 232 234 235 235 239 244
247 248 249 252 253 253 258 261
IX
Contenido
Personalice y mantenga IIS 7 Use el Administrador de Internet Information Services (IIS) Administre servidores Web de forma remota Cree sitios Web Hospede varios sitios Administración del sitio Web Detección y resolución de problemas de IIS Entienda y administre los servicios de Windows Media Los Servicios de Windows Media Administre Servicios de Windows Media ▼
10 Red privada virtual Protocolo de entunelamiento de punto a punto Protocolo de entunelamiento de nivel dos Protocolo de entunelamiento de conectores seguros Prepare VPN Revise el hardware de red y RAS Configure la red Configure un servicio de acceso remoto Pruebe RAS Configure un servidor VPN Reconfigure RAS Configure un servidor PPTP Configure un servidor L2TP Configure un servidor SSTP Configure un cliente VPN
▼
11 Terminal Services y Escritorio remoto Terminal Services Por qué utilizar Terminal Services Modos y componentes de Terminal Services Preparación de Terminal Services Instalación de las funciones de Terminal Services Configuración de Terminal Services Administrador de Terminal Services Use el modo de servidor de aplicaciones Preparación de Terminal Services Administre RemoteApp de TS Distribuya un programa de RemoteApp Uso de Conexión a Escritorio remoto con los programas de RemoteApp Configuración y uso de Acceso Web de TS Configure la Puerta de enlace de TS Habilite el Agente de sesiones de TS
263 265 269 273 274 276 279 289 290 292
293 295 297 298 299 299 301 303 304 306 306 308 308 316 317
323 324 324 325 326 326 331 334 335 335 337 340 343 347 349 351
X
Windows Server 2008: Guía del Administrador
Implemente el Administrador de licencias de TS Licencias de Terminal Server Instale el servicio de función Administrador de licencias de TS Active un servidor de licencias de TS e instale licencias Configure y habilite usuarios Utilice el modo de administración remota Habilite Conexión a Escritorio remoto Administración mediante la Conexión a Escritorio remoto Uso de la Conexión a Escritorio remoto Ponga en funcionamiento una Conexión a Escritorio remoto
353 353 354 356 358 358 359 359 359 360
Parte V Administración de Windows Server 2008
▼
12 Administración del almacenamiento y los sistemas de archivos Almacenamiento y sistemas de archivos Tipos de almacenamiento Sistemas de archivos Administración del sistema de archivos Servicios de archivo y administración de discos Administración de almacenamiento y recursos compartidos Administración de discos Panel Administración de discos Personalice el panel Administración de discos Propiedades de unidad y volumen Agregue o quite una unidad de disco Particionamiento y formateo de unidades Compresión de datos Desfragmentación de unidad Cuotas de disco Cifrado de archivos y carpetas Implemente la administración de volúmenes dinámicos Convierta a almacenamiento dinámico Cree volúmenes Cree un volumen distribuido Uso del sistema de archivos distribuido Cree un sistema de archivos distribuido Administración del Sistema de archivos distribuido Instale y use otros servicios de archivo Copias de seguridad de Windows Server Tipos de copias de seguridad Instale e inicie Copias de seguridad de Windows Server Use Copias de seguridad de Windows Server Utilice el Asistente para recuperar copias de seguridad
367 368 368 370 373 373 376 383 384 385 386 389 391 395 398 399 400 401 402 403 403 404 405 407 412 416 416 417 418 423
XI
Contenido
Cree un disco de recuperación Utilice un disco de recuperación ▼
13 Configuración y administración de impresoras y faxes El sistema de impresión de Windows Server 2008 Conceptos básicos de impresión Requisitos básicos de impresión Configuración básica de impresión Agregue impresoras locales Configuración de impresoras de red Ajuste la configuración de la impresora Configure impresoras Configuración de impresión Configure usuarios Control de una cola de impresión Ponga en pausa, reanude y reinicie una impresión Cancele la impresión Redireccione documentos Cambie las propiedades de un documento Administre las fuentes Fuentes en Windows Server 2008 Agregue y elimine fuentes Utilice fuentes Configure y use servicios de impresión Instale los servicios de impresión Administre impresoras e impresión Configure y use un servidor de fax Instale Servidor de fax Habilite f ax y escáner de Windows Envíe y reciba faxes Cree una portada de fax Administre el envío de faxes en red
▼
425 426
427 428 428 429 429 430 432 435 436 440 441 443 443 445 445 446 447 448 450 451 452 452 453 458 458 458 461 466 466
14 Administración de Windows Server 2008
471
Use el Panel de control Reproducción automática Programas predeterminados Administrador de dispositivos Centro de accesibilidad Opciones de carpeta Teclado Mouse Configuración regional y de idioma Sistema
472 473 474 475 476 477 481 481 482 483
XII
▼
▼
Windows Server 2008: Guía del Administrador
Barra de tareas y menú Inicio Use el Administrador de tareas Use la consola de administración de Microsoft Cree una consola MMC Utilice una consola MMC Explore el Registro Claves y subárboles Claves, subclaves y subárboles Entradas y tipos de datos Trabaje con el proceso de arranque Pasos en el proceso de arranque Control del proceso de arranque Corrija problemas de arranque Use directivas de grupo Cree y cambie directivas de grupo Emplee perfiles de usuario Cree perfiles de usuario local Cree perfiles de usuario de roaming Utilice perfiles de usuario obligatorios Actualice Windows Server 2008 Actualizaciones manuales Actualizaciones automáticas
485 486 489 490 493 494 494 496 497 498 498 499 500 504 504 511 511 512 516 516 517 517
15 Control de seguridad en Windows Server 2008
521
Autentifique al usuario Autentificación de usuario de equipo local Autentificación de usuario de red Controle el acceso Propiedad Grupos Permisos Asegure los datos almacenados Cifrado de archivos y carpetas Use el cifrado de archivos y carpetas Cifre un disco con BitLocker El cifrado de clave privada y pública Cifrado de clave privada Cifrado de clave pública Cifrado combinado de clave pública y privada Claves de cifrado y certificados Transmisión segura de datos Implemente la seguridad en la transmisión de datos Índice
522 523 524 538 538 539 544 551 551 553 556 561 561 562 562 563 563 563
567
AGRADECIMIENTOS S
on necesarias varias personas para crear un libro como éste. Las siguientes y otras que no conozco directamente, han hecho grandes contribuciones al libro y posibilitado mi trabajo. Jane Brownlow, editor ejecutivo, dio el apoyo y libertad necesarios. ¡Gracias, Jane! John Cronan, editor técnico, corrigió muchos errores, aportó varios consejos y notas y, en general, mejoró el libro. John también es un gran amigo. ¡Gracias, John! Jan Jue, corrector de estilo, contribuyó a la legibilidad y claridad del libro, mientras escuchaba mis consideraciones; fue estupendo trabajar con él. ¡Gracias, Jan! Carole Matthews, mi compañera por más de 35 años, mi mejor amiga y socia en nuestra aventura paternal, proporcionó el apoyo necesario, sin el que este libro no habría sido posible. ¡Gracias, mi amor!
XIII
INTRODUCCIÓN H
oy día, Windows Server 2008 es un sistema operativo de servidor completamente maduro. Lo que empezó como Windows NT y pasó por una transición importante en Windows 2000 Server y Windows Server 2003 se convirtió en Windows Server 2008, un sistema operativo más completo, pleno en funciones y características. El resultado final es un sistema operativo de servidor más confiable, fácil de instalar y escalable. Además, goza de un servicio de directorio excelente, es de fácil manejo, ofrece mejor seguridad y entrega un soporte Web excepcional. El objetivo de presente libro es mostrar la manera de utilizar éstas y muchas otras características, así como obtener los beneficios mencionados.
Cómo está organizado este libro Windows Server 2008: Guía para el administrador está escrito de tal manera que muchas personas aprenderán con él. Comienza por la revisión de conceptos básicos y después utiliza un método didáctico para aprender con ejercicios, para demostrar en la práctica las características principales del producto. En todo el libro se usan ejemplos detallados, explicaciones claras con esquemas prácticos y capturas de pantalla, para ofrecer al lector la visión necesaria para hacer uso óptimo y completo de Windows Server 2008. Windows Server 2008: Guía para el administrador tiene cinco partes, de las cuales cada una ofrece un análisis completo de los aspectos primordiales de Windows Server 2008.
XIV
Introducción
XV
Parte I: El entorno de Windows Server 2008 En esta primera parte se presentan el entorno de Windows Server 2008 y las novedades incluidas. En esta sección se establecen las bases para el resto del libro. ▼ Capítulo 1. Exploración de Windows Server 2008: brinda una revisión general de este
sistema y guía las exposiciones a fondo que se presentan en capítulos posteriores.
Parte II: Implementación de Windows Server 2008 En la segunda parte se cubre la planeación e implementación de Windows Server 2008 en una organización. El propósito es ayudar a recorrer el proceso de planeación y realizar una instalación detallada. ▼ Capítulo 2. Preparación para la instalación: se revisan todos los pasos que deben
darse antes de instalar Windows Server 2008, incluidas las posibles dificultades que pueden evitarse. ■
Capítulo 3. Instalación de Windows Server 2008: recorre los pasos necesarios para instalar el servidor desde diferentes puntos de partida, tanto actualizaciones como instalaciones limpias.
▲ Capítulo 4. Servicios de implementación de Windows: describe cómo usar los Ser-
vicios de implementación de Windows para hacer una instalación automatizada de Windows Server 2008.
Parte III: Trabajo en red con Windows Server 2008 En la tercera parte se dedican tres capítulos al trabajo en red, la función más importante de Windows Server 2008. ▼ Capítulo 5. Entorno de red de Windows Server 2008: provee bases muy completas
para el trabajo en red, mediante la descripción de esquemas, hardware y protocolos o estándares usados para conectarse y trabajar en red. ■
Capítulo 6. Configuración y administración de una red : describe cómo se configura una red y cómo se administra en Windows Server 2008.
▲ Capítulo 7. Uso de Active Directory y dominios: revisa el uso de los dominios en
Windows Server 2008 y la función central que Active Directory juega en la administración de la red.
Parte IV: Comunicaciones e Internet La cuarta parte del libro aborda las maneras en que usted y su organización pueden salir de su LAN para conectarse con otros colegas o permitir que éstos se conecten con usted, mediante Internet o comunicaciones directas. ▼ Capítulo 8. Comunicaciones y servicios de Internet: da una revisión general a las
comunicaciones y su configuración, incluido el uso de conexión de marcado telefónico con el servicio de acceso remoto (RAS, Remote Access Service), además de utilizar una conexión a Internet con Internet Explorer.
XVI
Windows Server 2008: Guía del Administrador
Capítulo 9. Servicios de información de Internet (IIS) versión 7: describe Internet Information Services (IIS), su instalación y administración. ■ Capítulo 10. Red privada virtual: explica las VPN, su funcionamiento, configuración con PPTP, L2TP y SSTP y uso. ▲ Capítulo 11. Terminal Services y Escritorio remoto: describe Terminal Services, objeto de importantes mejoras; también se describe cómo configurarlo, cómo se usa el modo Servidor de aplicaciones, modo Administración remota y Conexión a Escritorio remoto. ■
Parte V: Administración de Windows Server 2008 El propósito de esta quinta parte es explorar las numerosas herramientas administrativas disponibles en Windows Server 2008 y analizar cómo usarlas mejor. ▼ Capítulo 12. Administración del almacenamiento y los sistemas de archivos: se concentra en el extenso conjunto de herramientas disponibles en Windows Server 2008 para manejar diferentes tipos de sistemas de almacenamiento, además de archivos y carpetas que contienen. ■ Capítulo 13. Configuración y administración de impresoras y faxes: describe lo que constituye la impresión de Windows Server 2008 y los servicios de impresión que ofrece, cómo se configuran y se administran; además del manejo de las fuentes que se requieren para ello y, por último, el uso del Servidor de fax y envío de faxes. ■ Capítulo 14. Administración de Windows Server 2008: analiza las herramientas de administración del sistema y usuario que no son parte de la instalación, trabajo en red, administración de archivos e impresión. ▲ Capítulo 15. Control de seguridad en Windows Server 2008: describe cada una de las exigencias de seguridad y funcionalidades de Windows Server 2008 a cargo de éstas, además de la forma de implementarlas.
Convenciones manejadas en este libro Windows Server 2008: Guía para el administrador utiliza varias convenciones diseñadas para facilitar el seguimiento del libro. ▼ ■ ■
Negritas: se utilizan para texto que debe escribirse en el teclado. Cursivas: se utilizan para una palabra o frase que se está definiendo o requiere especial énfasis. Un tipo de letra de espacio fijo se usa para listas de comandos, producidos por Windows Server 2008 o tecleados por el usuario.
■ ▲
Cuando deba teclear un comando, se le indicará que oprima la o las teclas. Si debe escribir texto o números, se le indicará que así lo haga.
PARTE I El entorno de Windows Server 2008
1
01 MATTHEWS 01.indd 1
1/14/09 11:22:13 AM
01 MATTHEWS 01.indd 2
1/14/09 11:22:14 AM
CAPÍTULO 1 Exploración de Windows Server 2008
3
01 MATTHEWS 01.indd 3
1/14/09 11:22:14 AM
4
Windows Server 2008: Guía del Administrador
W
indows Server 2008 es el sistema operativo más actual para servidores de Microsoft en una red cliente/servidor. Se presenta en diferentes ediciones, que van desde simples servidores Web hasta complejos servidores de centros de datos. Cada edición incluye gran cantidad de tecnologías para Web y redes de área local. Todas ellas ofrecen muchas características, sobre todo en áreas de administración y seguridad, para habilitar conexión segura entre personas, sistemas y dispositivos, para intercambio de información y recursos de cómputo. Estas características soportan la integración de personas y computadoras en situaciones de trabajo conjunto en una sola organización, al igual que entre varias organizaciones, para elevar el nivel de conectividad, colaboración e interoperabilidad.
RAZONES PARA WINDOWS SERVER 2008 Windows Server 2008 representa una mejora significativa sobre Windows Server 2003 y, particularmente, sobre Windows 2000 Server. Hay muchas razones para decir esto, pero aquí están las principales: ▼
Es más fácil de configurar y administrar: Windows Server 2008 ha añadido el Servidor del administrador para reemplazar herramientas de versiones previas de Windows Server, con el fin de crear una interfaz unificada de administración para instalar, configurar y controlar todas las funciones del servidor. ■ Ofrece mejor seguridad: Windows Server 2008 aumenta considerablemente la seguridad para proteger la red completa, a través de mejoras en autentificación del usuario, control de acceso, seguridad de los datos almacenados, seguridad de transmisión de datos y administración de seguridad. ■ Es un servidor Web más poderoso: Internet Information Services versión 7 (IIS 7) provee una plataforma completa, con nuevos y mejorados servicios Web para construir, entregar y administrar aplicaciones Web con seguridad optimizada. ■ Ofrece acceso remoto más sencillo y seguro: Terminal Services en Windows Server 2008 incorpora dos nuevos módulos: Terminal Services Gateway y Terminal Services RemoteApps, para incrementar la seguridad con que los equipos remotos acceden a la red de área local (LAN, Local Area Network), mejorando así la experiencia de ejecución remota de una aplicación. ■ Progreso sustancial de la capacidad para personalizar un servidor: la selección de funciones en el Servidor del administrador permite especificar funciones, servicios de funciones y características que desea instalar; ello reduce los componentes que requieren recursos de la computadora y administración, susceptibles a un ataque. ▲ Proporciona un nuevo entorno de línea de comandos: PowerShell de Windows Server 2008 proporciona una mayor y más poderosa capacidad para configurar y controlar el sistema operativo, sin emplear la interfaz gráfica de usuario (GUI). Esto da a Windows Server 2008 la opción de instalar únicamente el núcleo del servidor sin GUI, con sólo algunas de las funciones. El propósito de este libro es mostrar el uso de estas características y otras más. En este capítulo se echará un vistazo a Windows Server 2008, deteniéndose brevemente en sus
01 MATTHEWS 01.indd 4
1/14/09 11:22:14 AM
Capítulo 1:
5
Exploración de Windows Server 2008
principales áreas, incluida una descripción de la función que desempeña y cómo se relaciona con el resto del producto.
COMPARACIÓN DE LAS EDICIONES DE WINDOWS SERVER 2008 Windows Server 2008 abarca cinco ediciones independientes que se venden por separado: ▼
Windows Server 2008 Standard Edition. Es un completo sistema operativo de red para servidor que puede utilizarse en organizaciones de tamaño pequeño y moderado; maneja casi todas las funciones y características de un servidor. Es una actualización para Windows Server 2003 Standard Edition y Windows Server 2000. Está disponible en instalaciones Server Core y completa para procesadores de 32 bits (llamado “x86”, por su origen con los chips de Intel 8086, 386 y 486) y 64 bits (llamado “x64”, de acuerdo con los juegos de chip AMD). ■ Windows Server 2008 Enterprise Edition. Es un completo sistema operativo de red para servidor, orientado a organizaciones más grandes, sobre todo las relacionadas con el comercio electrónico. Además de las características en Standard Edition, Enterprise Edition proporciona agrupación en clúster redundante y Servicios federados de Active Directory, así como escalabilidad y disponibilidad mejoradas. Es una actualización para Windows Server 2003 Enterprise Edition y Windows 2000 Advanced Server. Se encuentra disponible con opciones de instalación Server Core y servidor completo, para procesadores de 32 y 64 bits. ■ Windows Server 2008 Datacenter Edition. Es un completo sistema operativo de red orientado a organizaciones más grandes, sobre todo las relacionadas con almacenamiento de datos y procesamiento de transacciones en línea. Brinda todas las capacidades de Enterprise Edition, con soporte para procesadores adicionales y permisos ilimitados para uso de imágenes virtuales. Es una actualización de Windows Server 2003 Datacenter Edition y Windows 2000 Datacenter Server. Se encuentra disponible en las instalaciones Server Core y completa para procesadores de 32 y 64 bits. ■ Windows Web Server 2008. Es un sistema operativo de servidor, limitado al alojamiento de sitios Web y servicio de aplicaciones Web, instrumentadas con Internet Information Services (IIS) para procesadores de 32 y 64 bits. ▲ Windows Server 2008 para sistemas Itanium. Es un sistema operativo de servidor, limitado a los procesadores de 64 bits Itanium 2 de Intel. Sólo algunas de las funciones de servidor están disponibles en esta plataforma, pero el servidor Web y la entrega de aplicaciones están incluidos. Los detalles sobre la edición basada en Itanium están fuera del alcance de este libro.
Consideraciones de hardware Las consideraciones de hardware para ediciones de Windows Server 2008 tienen un conjunto consistente de requisitos mínimos y recomendados, como se ilustra en la tabla 1-1, además de una mezcla de valores máximos, como se muestra en la tabla 1-2.
01 MATTHEWS 01.indd 5
1/14/09 11:22:14 AM
6
Windows Server 2008: Guía del Administrador
Este libro se concentrará en Windows Server 2008 Standard Edition y tocará algunos aspectos sobre Web Server y Enterprise Edition. Componente de sistema
Mínimo
Recomendado
Velocidad de procesador x86
1 GHz
2 GHz
Velocidad de procesador x64
1.4 GHz
2 GHz
Memoria (RAM)
512 MB
2 GB
Espacio en disco
10 GB
40 GB
Periféricos
DVD-ROM, monitor súper VGA, teclado y ratón
DVD-ROM, monitor súper VGA, teclado y ratón
Tabla 1-1.
Requisitos mínimos para todas las versiones de Windows Server 2008.
NOTA El significado de las abreviaturas en las tablas 1-1 y 1-2 es el que sigue: GHz (gigahertz) es la medida de la velocidad del procesador en miles de millones de ciclos por segundo; MB, GB y TB (megabyte, gigabyte y terabyte) son medidas de memoria y espacio en disco en millones, miles de millones y billones de bytes (cada uno de los cuales son ocho bits [un 0 o un 1], equivalentes, más o menos, a una letra); RAM (Random Access Memory, memoria de acceso aleatorio) es la memoria primaria de estado sólido del equipo; ROM (Read-Only Memory, memoria de sólo lectura) pueden ser dispositivos de estado sólido en el equipo o CD (Compact Disc, disco compacto) o DVD (Digital Video Disc, disco de video digital), dispositivos sin acceso de escritura para el usuario; VGA (Video Graphics Array, arreglo de gráficos de video) es un tipo de pantalla de video.
Memoria máxima
Clúster de conmutación por error
4
4 GB
Ninguno
64 bits
4
32 GB
Ninguno
Enterprise
32 bits
8
64 GB
8 nodos
Enterprise
64 bits
8
2 TB
16 nodos
Datacenter
32 bits
32
64 GB
8 nodos
Datacenter
64 bits
64
2 TB
16 nodos
Web Server
32 bits
4
4 GB
Ninguno
Web Server
64 bits
4
32 GB
Ninguno
Edición de Server 2008
Plataformas
Standard
32 bits
Standard
Tabla 1-2.
01 MATTHEWS 01.indd 6
Procesadores físicos
Máximos de hardware para las ediciones de Windows Server 2008.
1/14/09 11:22:14 AM
Capítulo 1:
7
Exploración de Windows Server 2008
En las secciones siguientes de este capítulo se ofrece un vistazo inicial a las áreas principales de Windows Server 2008, que intervienen en las siguientes funciones: ▼
Implementación de Windows Server 2008
■
Trabajo en red de Windows Server 2008
■
Comunicación y uso de Internet con Windows Server 2008
▲
Administración de Windows Server 2008
Las secciones aquí analizadas corresponden a las siguientes partes del libro, por lo que se puede saltar de la introducción a los pormenores de su interés, más adelante.
IMPLEMENTE WINDOWS SERVER 2008 Llevar exitosamente Windows Server 2008 a una organización significa no sólo que el sistema operativo está instalado, sino también que la planeación apropiada se llevó a cabo antes de la instalación, así como ajustes y optimización deseados se realizaron después de ésta. Para lograr el objetivo, debe planificar y llevar a cabo la implementación de manera completa.
Prepárese para Windows Server 2008 A fin de prepararse para Windows Server 2008, debe confirmar que: ▼
Sus equipos cumplen con los requisitos de Windows Server 2008
■
Windows Server 2008 brinda soporte a todo el hardware que necesita y está conectado a sus equipos
■
Conoce las decisiones de instalación y ha elegido las opciones ofreciendo el mejor entorno de operación
■
Sus equipos se prepararon para la instalación del sistema operativo
▲
Tiene un plan sólido para llevar a cabo la instalación
En el capítulo 2 se le ayuda a preparar la instalación revisando cada una de estas áreas, además de especificar lo que debe saber para facilitar la instalación.
Instale Windows Server 2008 Windows Server 2008 puede instalarse y ajustarse en una serie de formas ubicadas en alguna de las tres categorías siguientes: ▼
01 MATTHEWS 01.indd 7
Manual. Alguien se sienta frente al equipo en que se instalará y, en tiempo real, tanto instala como configura el software en dicha máquina
1/14/09 11:22:15 AM
8
Windows Server 2008: Guía del Administrador
■
Automatizada. Se emplea una secuencia de comandos o archivo de respuestas para llevar a cabo dicha instalación. De tal manera una persona sólo tiene que iniciarla en el equipo y dejar que la secuencia de comandos la termine ▲ Remota. Una persona se sienta frente a un servidor y efectúa la instalación en otro equipo a través de la red. Esta instalación puede ser manual o automatizada En el capítulo 3 se explica en detalle cómo emplear el estilo manual para instalar Windows Server 2008 con sus variantes. En el capítulo 4 se describe el estilo automatizado para la instalación de Windows Server 2008.
Configure Windows Server 2008 En la instalación inicial de Windows Server 2008, los pasos para poner en ejecución a Windows Server 2008, como se muestra en la figura 1-1, no instalan muchos de los componentes —llamados “funciones”— principales del servidor, en Windows Server 2008, que se instalaban automáticamente en versiones anteriores de Windows Server. La instalación de las
Figura 1-1. Cuando Windows Server 2008 termina la instalación, no tiene instaladas la mayoría de las funciones.
01 MATTHEWS 01.indd 8
1/14/09 11:22:15 AM
Capítulo 1:
9
Exploración de Windows Server 2008
funciones del servidor, además de servicios de funciones y características, es trabajo del Administrador del servidor. La ventana del Administrador del servidor provee recursos para instalar hasta 16 funciones diferentes de servidor, como Servicios de dominio de Active Directory, Servidor de aplicaciones, Servicios de archivo y Servidor Web (IIS), incluidas más de 36 características, entre ellas: Cifrado de disco BitLocker, Clúster de conmutación por error y Asistencia remota. Una vez instaladas funciones y características, la ventana del Administrador del servidor informa acerca de una función brindando los medios para configurarla y controlarla, como se ilustra en la figura 1-2, para la función Servicios de archivo.
Figura 1-2. En el Administrador del servidor puede obtener información y controlar una función, además de instalarla.
01 MATTHEWS 01.indd 9
1/14/09 11:22:16 AM
10
Windows Server 2008: Guía del Administrador
El uso del Administrador del servidor se presenta en el capítulo 3 y se menciona a lo largo del libro. Se emplea tanto para instalar como para administrar funciones y características.
RED DE WINDOWS SERVER 2008 Windows Server 2008 es un sistema operativo de red y existe por sus capacidades de red. Esto permite conectarse con otros equipos y ejecutar las siguientes funciones: ▼
Intercambio de información, como enviar archivos de un equipo a otro Comunicación, por ejemplo, mediante el envío de un correo electrónico entre usuarios de la red ■ Compartir información, al hacer que varios archivos comunes sean accesibles para varios usuarios de la red ▲ Compartir recursos en red, como impresoras y unidades de disco de copia de seguridad ■
El trabajo en red es importante para casi cualquier organización en la que dos o más personas se comunican y comparten información. Es un ingrediente primordial en la contribución de los equipos al mejoramiento de la productividad y, desde el punto de vista de este libro, es la función más importante en Windows Server 2008. El trabajo en red es un sistema que incluye la conexión física entre equipos para facilitar la transferencia de información, además del esquema para controlar dicho proceso. El esquema certifica que la información se transfiera en forma correcta y precisa, mientras muchas otras transferencias ocurren simultáneamente. Por tanto, el sistema de conectividad incorpora los siguientes componentes: ▼
Un esquema de red, para manejar la transferencia ■ Hardware de conectividad, para instrumentar la conexión física ▲ Un estándar de trabajo en red o protocolo, que maneja identificación y direccionamiento En el capítulo 5 se describen los esquemas de red disponibles en Windows Server 2008, hardware que puede usar y protocolos comunes en la industria. En ese capítulo se revisa después el amplio espectro de opciones disponibles, para proporcionar el entorno de red que mejor se ajuste a sus necesidades. En el capítulo 6 se ofrece una descripción detallada de cómo instalar la conectividad básica en Windows Server 2008 y luego se revisa la instalación de Server, para dar soporte al resto de la red, empezando con el nuevo Centro de redes y recursos compartidos, mostrado en la figura 1-3. En el capítulo 7 se exploran dominios y la manera en que Active Directory brinda un punto único de acceso y administración para las muchas funciones relacionadas con red.
01 MATTHEWS 01.indd 10
1/14/09 11:22:16 AM
Capítulo 1:
Exploración de Windows Server 2008
11
Figura 1-3. El Centro de redes y recursos compartidos proporciona el punto de entrada para establecer y controlar la conectividad.
COMUNÍQUESE Y USE INTERNET CON WINDOWS SERVER 2008 Al “trabajo en red” se le conoce como uso de una LAN. En la presente era de Internet, el trabajo en red de Windows Server 2008 tiene un significado mucho más amplio e incluye todo tipo de conexión que puede hacerse hacia afuera de la LAN, mediante lo denominado clásicamente como “comunicaciones”. El Centro de redes y recursos compartidos, recién descrito, facilita el punto de entrada para trabajar con conexiones LAN y externas. Los tipos de conexiones externas incluyen: ▼ ■
01 MATTHEWS 01.indd 11
Conexión directa a Internet desde LAN, a través de una línea de suscriptor digital (DSL, Digital Subscriber Line) o conexión por cable Conexiones inalámbricas de banda ancha
1/14/09 11:22:16 AM
12
Windows Server 2008: Guía del Administrador
■
Líneas de marcado telefónico para comunicaciones de equipo a equipo, mediante módem ■ Redes de área amplia (WAN), vía líneas arrendadas y privadas ■ Servicio de acceso remoto (RECETAS, Remote Access Service) para acceder directamente a una LAN, por marcado telefónico, líneas alquiladas o privadas ▲ Red privada virtual (VPN, Virtual Private Network) para acceder de forma segura a una LAN a través de Internet Entre las capacidades de comunicación de Windows Server 2008 se incluyen las siguientes posibles maneras para intercambiar información: ▼
Equipo o LAN a Internet ■ Equipo a LAN ■ LAN a LAN ▲ Equipo o LAN a WAN La comunicación puede incluir módem, adaptador inalámbrico u otro dispositivo para conectar determinado equipo a un medio de transmisión o usar un enrutador u otro dispositivo, para conectar una red al medio de transmisión. Las comunicaciones pueden darse mediante alambres de cobre, cable de fibra óptica, microondas, medios inalámbricos terrestres, infrarrojo o transmisión satelital. Windows Server 2008 incluye una serie de funciones, características y aplicaciones (véase la selección de funciones en el Administrador del servidor en la figura 1-4) que controlan y/o utilizan comunicaciones o una capacidad de conectividad externa. Además, el trabajo en red de Windows Server 2008 incluye programas para configurar y administrar las formas del Servicio de acceso remoto (RAS) y la red privada virtual (VPN) a mayor distancia, además de la Conexión de escritorio remoto, para vincularse con un equipo a distancia. Por último, IIS puede utilizarse para publicar páginas Web y aplicaciones Web, ya sea en Internet o intranet. En el capítulo 8 se presenta un vistazo tanto a las comunicaciones como a la forma de establecer las diferentes funciones y características a las que Windows Server 2008 da soporte. En este capítulo también se habla sobre la manera de establecer una conexión a Internet, además del uso de Internet Explorer sobre Internet. En el capítulo 9 se revisa IIS, su instalación y cómo se administra. En el capítulo 10 se describe la instalación y el uso de una VPN, mientras que en el capítulo 11 se refiere a Terminal Services, base para la Conexión de Escritorio remoto y otras operaciones a distancia.
ADMINISTRE WINDOWS SERVER 2008 El trabajo de administrar una red de Windows Server 2008, aunque sea pequeña, con un solo servidor y algunas estaciones de trabajo, representa una tarea importante. Para ayudar en esto, Windows Server 2008 tiene varias herramientas de administración que puede utilizarse para monitorear y ajustar el rendimiento del sistema, de manera local o remota. Estas herramientas pueden catalogarse dentro de las siguientes áreas:
01 MATTHEWS 01.indd 12
▼
Administración general del servidor
■
Administración del sistema de archivos
1/14/09 11:22:16 AM
Capítulo 1:
Exploración de Windows Server 2008
13
Figura 1-4. La selección de funciones en el Administrador del servidor facilita la instalación tanto de componentes primarios del servidor como de Servicios de dominio de Active Directory y el Servidor Web (IIS).
■
Administración de impresiones
■
Administración de la seguridad
▲
Otras administraciones
Administración general del servidor La principal herramienta de administración en Windows Server 2008 es el Administrador del servidor. Éste es, con frecuencia, la única herramienta necesaria para instalar, monitorear y administrar componentes principales y secundarios del servidor, como ya se describió en este capítulo y se hará en todo el libro. Muchas otras utilerías para administrar Windows Server 2008, a describirse en las siguientes secciones, también se instalan y gestionan desde el Administrador del servidor. En la figura 1-4 se muestran las funciones principales que pueden instalarse desde el Administrador del servidor. Para muchas de estas funciones, también pueden instalarse distintas opciones de servicios de función. Además de las
01 MATTHEWS 01.indd 13
1/14/09 11:22:16 AM
14
Windows Server 2008: Guía del Administrador
Figura 1-5. Además de las funciones que se pueden instalar y gestionarse con el Administrador del servidor, también es posible instalar allí ciertas características independientes.
funciones, gran cantidad de características independientes del servidor pueden instalarse con el Administrador del servidor, algunas de ellas en la figura 1-5.
Administración del sistema de archivos Windows Server 2008 está diseñado para trabajar en un amplio rango de entornos de cómputo y algunos otros sistemas operativos. Como resultado, la estructura de su almacenamiento de archivos debe ser flexible. Esto se manifiesta en los tipos de almacenamiento disponibles y en sistemas de archivo que Windows Server 2008 puede utilizar. Antes de Windows 2000 Server, sólo un tipo de almacenamiento estaba disponible, llamado almacenamiento básico, para permitir que una unidad se dividiera en particiones o volúmenes, sólo antes de formatearla de nuevo. Windows 2000 Server y Windows Server 2003 agregaron el almacenamiento dinámico, para creación dinámica y cambios a volúmenes. En Windows Server 2008 se pueden reducir y extender los volúmenes dentro de un disco de almacenamiento básico, con el mismo efecto que particionar de nueva cuenta el disco, pero existen otras características avanzadas, como volúmenes abarcando dos o más discos en demanda de almacenamiento dinámico. Cuando instala Windows Server 2008 por primera
01 MATTHEWS 01.indd 14
1/14/09 11:22:17 AM
Capítulo 1:
Exploración de Windows Server 2008
15
vez, todos los discos son de almacenamiento básico. Puede escoger después convertirlo en disco destinado a almacenamiento dinámico y tener ambos tipos en un equipo o convertir todos los discos a la variedad de almacenamiento dinámico. El sistema de archivo de Windows Server 2008 puede abarcar mucho más de un disco: desde todos los discos de un solo equipo a todos los discos en una red y, también, volúmenes almacenados fuera de línea. La administración de este sistema es significativa y, por tanto, Windows Server 2008 tiene un juego importante de herramientas para manejar la administración del sistema de archivos, a describirse en el capítulo 12. Entre estas herramientas figuran: ▼
Administración de discos
■
Administración de volúmenes dinámicos
■
Sistema de archivos distribuido
▲
Respaldo de disco y recuperación
En la figura 1-6 se muestra el panel Administración de discos en la ventana Administrador del servidor. Éste se encuentra también disponible en Administración del equipo.
Figura 1-6. La administración de discos puede manejarse desde Administrador del servidor o Administración del equipo.
01 MATTHEWS 01.indd 15
1/14/09 11:22:17 AM
16
Windows Server 2008: Guía del Administrador
Administración de impresión La capacidad para transferir información del equipo al papel u otro medio es importante, así como la de compartir impresoras es una función primordial de la red, observada en la figura 1-7. Windows Server 2008 y Windows Vista pueden compartir impresoras y funcionar como servidores de impresión. Además, Windows Server 2008 cuenta con la función Servicios de impresión, para ser instalada y administrarse desde el Administrador del servidor. Esta función permite administrar todas las impresoras de red. En el capítulo 13 se describen las partes constitutivas de la impresión en Windows Server 2008, cómo se instala y administra, además de la forma de administrar tipos de letra necesarios para imprimir.
Figura 1-7. Las versiones más recientes de Windows pueden compartir impresoras en la red. Windows Server 2008 está habilitado para administrarlas todas.
01 MATTHEWS 01.indd 16
1/14/09 11:22:17 AM
Capítulo 1:
Exploración de Windows Server 2008
17
Administración de seguridad Entre las demandas de seguridad en una red de computadoras se incluyen: ▼
Validar al usuario Conocer quién intenta usar un equipo o conexión a la red
■
Control de acceso Definir y establecer límites a la capacidad de los usuarios
■
Asegurar datos almacenados Evitar el uso de datos almacenados, aun cuando existe acceso
■
Asegurar la transmisión de datos Evitar que los datos dentro de la red sean mal utilizados
▲
Administrar la seguridad Establecer políticas de seguridad y auditar su cumplimiento
Windows Server 2008 usa un método de varias capas para implementar la seguridad y ofrecer una serie de opciones usadas para manejar las demandas de seguridad, como políticas para bitácora de entradas y acceso a recursos. Un elemento central de la estrategia de seguridad de Windows Server 2008 es el uso de permisos para controlar qué pueden hacer los usuarios, en la figura 1-8. Otras características de seguridad están disponibles con Active Directory, que proporciona la centralización de la administración de seguridad, benéfico para lograr una seguridad fuerte. En el capítulo 15 se describe cada una de las demandas de seguridad y las características atendidas por Windows Server 2008, además de la forma en que se implementan dichas características.
Figura 1-8. Un aspecto de la seguridad consiste en establecer qué puede hacer un grupo en una unidad de disco.
01 MATTHEWS 01.indd 17
1/14/09 11:22:18 AM
18
Windows Server 2008: Guía del Administrador
Otras herramientas de administración del sistema Windows Server 2008 tiene otras herramientas de administración del sistema para controlar diferentes facetas del sistema operativo. En el capítulo 14 se revisan éstas, además de las herramientas de administración del usuario, sin cobertura en otro lado. Entre estas herramientas se incluyen: ▼
Panel de control (véase la figura 1-9)
■
Administrador de tareas
■
Microsoft Management Console
■
Registro
▲
Proceso de arranque
Figura 1-9. El Panel de control facilita los medios para controlar muchas funciones básicas en Windows Server 2008.
01 MATTHEWS 01.indd 18
1/14/09 11:22:18 AM
PARTE II Implementación de Windows Server 2008
19
02 MATTHEWS 01.indd 19
1/14/09 12:12:38 PM
02 MATTHEWS 01.indd 20
1/14/09 12:12:38 PM
CAPÍTULO 2 Preparación para la instalación
21
02 MATTHEWS 01.indd 21
1/14/09 12:12:38 PM
22
Windows Server 2008: Guía del Administrador
L
a implementación de Windows Server 2008 es una tarea importante que demanda planeación a conciencia y cuidadosa atención en los detalles. El objetivo del capítulo actual y los dos siguientes es ayudarle a recorrer el proceso de planeación y, en seguida, a realizar la instalación detallada. En el capítulo 2 se revisan los pasos que deben darse antes de instalar el más reciente servidor de Windows, incluido el manejo de posibles dificultades. El capítulo 3 le lleva a recorrer la instalación de Windows Server 2008 desde diferentes puntos de partida, incluidas actualizaciones y una instalación limpia. En el capítulo 4 se muestra cómo usar los Servicios de implementación de Windows para automatizar la instalación de Windows Server 2008.
CONSIDERE LAS NECESIDADES DE LA INSTALACIÓN La instalación de Windows Server 2008 es, viéndola de manera superficial, un proceso simple: el DVD de distribución de Microsoft se inserta en la unidad o se accede a los archivos en red y se siguen las instrucciones en pantalla. Sin embargo, bajo la superficie, la instalación no es necesariamente tan simple. Antes de instalar el software, debe considerar lo siguiente: ▼
Los equipos en que realice la instalación deben cumplir con los requisitos de Windows Server 2008
■
Debe cerciorarse que Windows Server 2008 soporte todo el hardware de su sistema
■
Debe conocer las opciones que habiliten el mejor entorno de operación en cada una de las etapas de la instalación
■
Los equipos deben estar preparados para la instalación del sistema operativo
▲
Debe tener un plan consistente para llevar a cabo la instalación
Este capítulo le ayudará a preparar la instalación, revisando cada una de estas áreas para Windows Server 2008. Advertirá qué necesita para facilitar al máximo la instalación.
VERIFIQUE LOS REQUISITOS DEL SISTEMA Windows Server 2008 tiene importantes requisitos de hardware. Revise la tabla 2-1 para confirmar que los sistemas cumplen con los requisitos mínimos de instalación. NOTA En éste y los siguientes capítulos del libro, cuando vea Windows Server 2008 sin edición específica, se habla de la Standard Edition. En el capítulo 1 se muestran las diferencias entre requisitos de hardware de las cinco ediciones. Cualquier información adicional se proporciona en las siguientes secciones.
02 MATTHEWS 01.indd 22
1/14/09 12:12:38 PM
Capítulo 2:
Componente del sistema Procesador
Preparación para la instalación
Tipo de procesado x86 (32 bits)
Requisito 1 GHz mínimo 2 GHz recomendado
x64 (64 bits)
1.4 GHz mínimo 2 GHz recomendado
RAM
512 MB mínimo 2 GB recomendado
Espacio en disco duro
10 GB mínimo 40 GB recomendado
Unidad CD/DVD
Unidad DVD requerida a menos que haya una red instalada
Sistema de video
Súper VGA o mayor resolución de monitor
Dispositivos de entrada
Teclado y ratón (ambos opcionales)
Dispositivo de red
Tarjeta de red compatible
23
Tabla 2-1. Requisitos mínimos y recomendados para Windows Server 2008.
Sobre los requisitos del sistema Los requisitos de la tabla 2-1 están generalizados; existen situaciones especiales donde se aplican diferentes requisitos. Dichas situaciones especiales se mencionan en los siguientes párrafos.
Procesadores Windows Server 2008 Standard Edition da soporte a un máximo de cuatro procesadores en un equipo, lo que se conoce como multiprocesamiento simétrico (SMP). Windows Server 2008 Enterprise Edition lo suministra para un máximo de ocho procesadores. Windows Server 2008 Datacenter Edition soporta un máximo de 32 procesadores en la versión de 32 bits y 64 procesadores en la versión de 64 bits. Esto permite un rango amplio de escalamiento en una instalación de Windows Server 2008, desde un equipo con un solo procesador hasta muchos equipos, cada uno con cierto número de procesadores.
Memoria de Acceso Aleatorio (RAM) Windows Server 2008 Standard Edition, con procesador x86, da soporte a un máximo de 4 GB (gigabytes), mientras que el procesador x64 puede darse a un máximo de 32 GB. Las ediciones Enterprise y Datacenter de Windows Server 2008 con procesador x86 dan soporte a un máximo de 64 GB, mientras con procesador x64 pueden soportar hasta 2 TB (terabytes).
02 MATTHEWS 01.indd 23
1/14/09 12:12:38 PM
24
Windows Server 2008: Guía del Administrador
Espacio en disco duro La cantidad requerida de espacio libre en disco duro se sujeta a una serie de factores, sobre todo en Windows Server 2008. Entre éstos se cuentan los siguientes: ▼
Los componentes de Windows a instalar. Diferentes componentes necesitan distintas cantidades de espacio y son acumulativos; por ello, dependiendo de lo instalado, variará la cantidad necesaria de espacio en disco
■
Una instalación basada en red requiere casi 3 GB adicionales de espacio libre en disco para almacenar archivos adicionales
▲
Una actualización requiere más espacio que una instalación nueva, para expandir una base de datos de una cuenta de usuario en Active Directory, lo que consolida el acceso a todos los recursos de la red en una estructura jerárquica y un punto único de administración
DVD-ROM Es necesario contar con una unidad de DVD-ROM, si se instala desde el disco de distribución de Microsoft. Sin embargo, no es indispensable al hacer la instalación en red.
Red No es necesaria una tarjeta de red, si no desea conectarse a una red (lo que resulta poco probable) y de no recurrir a la instalación en red. En caso de usarla, es necesario un servidor preparado para distribuir archivos y medios que permitan arrancar el equipo en que se va a hacer la instalación.
Verifique la compatibilidad del sistema Tras verificar y determinar que su sistema cumple con los requisitos mínimos para instalar Windows Server 2008, necesita determinar si hardware y software, sobre todo los usados en la red, son compatibles con el sistema operativo. Puede hacerlo usando dos herramientas de Microsoft, a describirse en las siguientes secciones, para evaluar idoneidad del hardware y compatibilidad del software. Además, los archivos .txt de la carpeta raíz del DVD de Windows Server 2008 pueden contener información de última hora respecto a compatibilidad de hardware, software y alguna otra información que necesite antes de instalar. SUGERENCIA Puede ahorrar tiempo en la resolución de problemas verificando la compatibilidad de hardware y haciendo cualquier ajuste necesario antes de instalar Windows Server 2008.
Use la herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator La herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator verifica todos los equipos de la red, crea un inventario de sus componentes de hardware y prepara informes empleando hojas de cálculo de Excel, en las que se reporta la evaluación de la
02 MATTHEWS 01.indd 24
1/14/09 12:12:39 PM
Capítulo 2:
Preparación para la instalación
25
capacidad de los equipos que soportarán Windows Server 2008. Para usar este programa, requiere —como mínimo— del siguiente hardware y software en el equipo donde ejecutará el Asistente de evaluación de hardware: ▼
Hardware: procesador de 1.6 GHz, 1 GB de memoria, 1 GB de espacio en disco, tarjeta de red
▲
Software: sistema operativo de 32 bits, incluido XP SP2 o más reciente, Vista, Server 2003 R2 o Server 2008; .Net Framework versión 2; Excel 2007 o 2003 SP2; Word 2007 o 2003 SP2
NOTA Microsoft SQL Server 2005 Express se descarga como parte de la instalación del Microsoft Assessment and Planning Toolkit Solution Accelerator, si no está disponible en el equipo en que se trabaja, y agrega tiempo y necesidades de espacio al proceso.
La herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator se puede descargar del siguiente sitio de Microsoft: http://www.microsoft.com/technet/solutionaccelerators/hardwareassessment/wv/default.mspx Una vez descargado e instalado, deberá iniciar automáticamente, aunque bien, puede iniciarse de la siguiente manera:
02 MATTHEWS 01.indd 25
1.
Haga clic en Inicio|Todos los programas, diríjase a la sección inferior del menú y dé clic en Microsoft Assessment and Planning Solution Accelerator.
2.
Si lo desea, haga clic en Read the Getting Started Guide y lea el documento de ayuda mostrado. Tras cerrar la ayuda, haga clic en Select a database.
1/14/09 12:12:39 PM
26
Windows Server 2008: Guía del Administrador
02 MATTHEWS 01.indd 26
3.
Escriba el nombre de la base de datos que se creará y dé clic en OK. Elija las acciones que se realizarán como opción predeterminada y haga clic.
4.
Seleccione una de las opciones de la parte inferior para localizar los equipos en su red. Esto depende del tipo de red que tenga. Luego elija el tipo de informes y propuestas que desee. Haga clic en Next.
5.
Si especificó que se usen los protocolos de red de Windows, debe seleccionar los grupos de trabajo en red que desee incluir en el inventario y dé clic en Next.
6.
Si especificó usar los Servicios de dominio de Active Directory, necesita proporcionar información de inicio de sesión y luego haga clic en Next.
7.
Seleccione o escriba, tras hacer clic en New Account, las cuentas locales o de dominio y sus respectivas contraseñas, para acceder a los equipos que desee clasificar.
8.
Revise las acciones seleccionadas y haga clic en Back para hacer cualquier cambio necesario. Cuando las acciones estén como desea, haga clic en Start. Verá una serie de barras de registrador que mostrarán el avance de la evaluación.
9.
Cuando la evaluación haya concluido, haga clic en View Summary Operations reports. Evalúe los resultados del resumen. Éste indicará los equipos encontrados y el total de inventarios completos. Le presentará una lista incluyendo reportes de Microsoft Word y Excel que se hayan creado.
10.
Cuando esté listo, haga clic en Close y, después, en View saved Reports and proposals. Para abrirlos en sus aplicaciones, haga doble clic en cada uno de ellos. Estos reportes ofrecen mucha información, como se aprecia en la figura 2-1.
11.
Luego de haber leído o impreso los informes, cierre las aplicaciones y haga clic en Finish para cerrar el asistente.
1/14/09 12:12:39 PM
Capítulo 2:
Preparación para la instalación
27
Figura 2-1. La herramienta Microsoft Assessment and Planning Solution Accelerator proporciona información escrita y tabular respecto a la capacidad de su red para manejar Windows Server 2008.
02 MATTHEWS 01.indd 27
1/14/09 12:12:40 PM
28
Windows Server 2008: Guía del Administrador
Verifique la compatibilidad de las aplicaciones Microsoft proporciona un sitio Web para compatibilidad de aplicaciones relacionadas con series de documentos y un juego de herramientas descargables verificando la compatibilidad de las aplicaciones. El Application Compatibility Toolkit (ACT) se puede ejecutar en: ▼
Windows Vista
■
Windows XP SP2
■
Windows Server 2008
■
Windows Server 2003 SP1
▲
Windows 2000 Server SP4 y Update Rollup 1
ACT requiere que SQL Server 2000, SQL Server 2005 o SQL Server 2005 Express Edition estén en ejecución en el equipo. 1.
Empiece por abrir el sitio Web http://technet.microsoft.com/en-us/library/ cc507853.aspx y haga clic en Getting Started With Windows Vista Application Compatibility card (esto requiere de Microsoft Office PowerPoint 2007; puede obtenerse un visor gratuito de PowerPoint 2007 descargándolo de Microsoft en http://www.microsoft.com/downloads/ y deslizándose hacia abajo, hasta PowerPoint Viewer 2007). Se trata de un par de diapositivas de PowerPoint con información detallada acerca de la compatibilidad de aplicaciones, como puede verse en la figura 2-2.
02 MATTHEWS 01.indd 28
2.
Apenas haya terminado de ver la tarjeta de aplicación de compatibilidad, cierre PowerPoint y haga clic en Application Compatibility Toolkit Deployment Guide And Step By Step Guides. Haga clic en Guardar, seleccione disco y carpetas donde desee guardarlos y haga clic en Guardar.
3.
Abra la unidad y carpeta que contienen la Application Compatibility Toolkit Deployment Guide, descomprima los archivos y revise los de su interés. Cuando haya terminado, cierre la aplicación usada para ver los archivos.
4.
Haga clic en el vínculo Application Compatibility Toolkit y, en la página correspondiente, haga clic en Donwload files below, luego en Application Compatibility Toolkit.msi, en seguida en Descargar y Ejecutar. A continuación, haga clic una vez más en Ejecutar, acepte la licencia; haga clic dos veces en Next, dé clic en Install y Finish. Iniciará una presentación y explicará ACT, como se ilustra en la figura 2-3.
5.
Cuando la presentación haya terminado, dé clic en Inicio|Todos los programas|Microsoft Application Compatibility Toolkit|Application Compatibility Manager. Se abrirá el asistente de configuración de ACT.
1/14/09 12:12:40 PM
Capítulo 2:
Preparación para la instalación
29
Figura 2-2. Microsoft proporciona mucha información y un poderoso conjunto de herramientas para verificar la compatibilidad de las aplicaciones.
6.
Haga clic en Siguiente y elija las opciones adecuadas. Cuando haya completado los ajustes de configuración, emplee las instrucciones señaladas en la guía paso a paso de ACT para realizar la prueba de compatibilidad que desee.
TOME LAS DECISIONES CORRECTAS SOBRE LA INSTALACIÓN Durante el proceso de instalación de Windows Server 2008 se tienen varias opciones para instalar software. Si considera estas opciones antes de realizar la instalación y se toma tiempo para determinar cuáles son mejores para su operación, tal vez satisfaga mejor sus
02 MATTHEWS 01.indd 29
1/14/09 12:12:40 PM
30
Windows Server 2008: Guía del Administrador
Figura 2-3.
ACT incluye una presentación como introducción.
necesidades. Algunas de las opciones dependerán de decisiones previas y quizás no estén disponibles en ciertas tomas de decisión. Las opciones que tiene durante la instalación de Windows Server 2008 se relacionan con:
02 MATTHEWS 01.indd 30
▼
Actualizar una instalación de Windows existente o hacer una instalación limpia
■
Arranque dual de Windows Server 2008 con otra versión de Windows o sola
■
Escoger la partición en que se hará la instalación o usar la establecida como opción predeterminada
■
Arrancar la preparación desde una instalación de Windows existente, o bien, iniciar desde el DVD de instalación
▲
Instalar la versión completa de Windows o instalar únicamente el Server Core
1/14/09 12:12:40 PM
Capítulo 2:
Preparación para la instalación
31
Decida si actualiza o hace una instalación limpia La primera medida que debe tomar para instalar Windows Server 2008 es decidir qué tipo de instalación quiere hacer, como se indica en la pantalla Instalar Windows, de la figura 2-4. Aunque la selección toma lugar más tarde en el proceso de instalación, debe decidir antes de que comience, pues afecta la manera en que se inicia la misma. Una actualización, en este caso, significa reemplazar el sistema operativo existente con Windows Server 2008 en la misma partición del disco. Una instalación nueva, por otra parte, instalará Windows Server 2008 en un disco recién formateado o partición separada sin sistema operativo, de donde se haya eliminado el sistema operativo o no exista alguno (que también se llama instalación limpia). Se pueden actualizar las diferentes ediciones de Windows Server 2008 como se muestra a continuación: ▼
A Windows Server 2008 Standard Edition desde: Windows Server 2003 Standard Edition (todos los Service Packs y R2)
■
A Windows Server 2008 Enterprise Edition desde: Windows Server 2003 Standard Edition (todos los Service Packs y R2) Windows Server 2003 Enterprise Edition (todos los Service Packs y R2)
▲
A Windows Server 2008 Datacenter Edition desde: Windows Server 2003 Datacenter Edition (todos los Service Packs y R2)
Figura 2-4. La primera decisión que debe tomar en la instalación es actualizar o hacer una instalación limpia.
02 MATTHEWS 01.indd 31
1/14/09 12:12:41 PM
32
Windows Server 2008: Guía del Administrador
Si no usa uno de los productos identificados para actualización, tiene dos opciones: poner al día uno de esos productos y luego actualizar Windows Server 2008 o efectuar una instalación limpia. Las principales razones para actualizar, si lo desea, son las siguientes: ▼
Preservar todos los ajustes actuales (como usuarios, derechos y permisos), aplicaciones y datos en su equipo. Su entorno actual se preserva intacto mientras actualiza el nuevo sistema operativo
▲
Facilitar la instalación de Windows Server 2008. Muchas de las decisiones de la instalación ya están tomadas, usando ajustes del sistema operativo actual
Las principales razones para hacer una instalación limpia son: ▼
Dejar de lado un sistema operativo que no puede actualizarse
■
Tener arranque dual en ambos: el sistema operativo viejo y Windows Server 2008. Esto le permite usar cualquier sistema operativo. Windows Server 2008 debe estar en su propia partición
▲
Limpiar los discos duros, cosa que los hace más eficientes, desecha archivos sin uso y libera mucho espacio en disco
Si puede actualizar o hacer una instalación limpia (dejando de lado el arranque dual por un momento, lo que se tratará en la siguiente sección), esta decisión queda entre preservar su sistema actual con todos sus ajustes, aplicaciones y espacio ineficiente y desperdiciado, o hacer una instalación simple. La instalación limpia le da a su nuevo sistema operativo un entorno sin resabios de todo lo hecho en el pasado al equipo, pero significa mucho más trabajo. Con una instalación limpia, debe reinstalar todas sus aplicaciones y restablecer todos sus ajustes. Ésta no es una decisión simple. Aunque parezca innecesario pensar siquiera si se mantiene su entorno actual, ya que evita todo el trabajo extra, debe preguntarse si en realidad está tan contento con su entorno actual. Instalar un nuevo sistema operativo es una excelente oportunidad para limpiar la casa y preparar su sistema de la forma en que debió estarlo siempre, aunque requiere una cantidad importante de tiempo extra. Piense en esta decisión con todo cuidado.
Decida si recurre a un arranque dual El arranque dual posibilita seleccionar entre varios sistemas operativos siempre que inicie su computadora. Si no está seguro de querer un cambio a Windows Server 2008, o tiene una aplicación que sólo se ejecuta en otro sistema operativo, el arranque dual es una solución. Por ejemplo, si quiere mantener Windows Server 2003 en su equipo y usarlo tras instalar Windows Server 2008, el arranque dual ofrece los medios necesarios para hacer lo que desee. Si piensa en el arranque dual como una estrategia para recuperación en caso de desastres (es decir, ocasiones en que no pueda arrancar Windows Server 2008), no representa una buena razón, ya que Windows Server 2008 tiene capacidades de recuperación de desastres integradas, incluidos respaldo y restauración, recuperación de claves y arranque en modo seguro, a ser tratados en otros apartados de este libro. Puede manejar el arranque dual de Windows Server 2008 con Windows 2000 y sistemas operativos más recientes, tanto cliente como servidor. En todos los casos, debe tener ins-
02 MATTHEWS 01.indd 32
1/14/09 12:12:41 PM
Capítulo 2:
Preparación para la instalación
33
talado el otro sistema operativo antes de instalar Windows Server 2008. Si está instalando Windows Server en un equipo con entorno de arranque dual, la instalación de Windows Server 2008 creará un tercer entorno de arranque, mismos en el que podrá instalar los tres sistemas operativos. El arranque dual también tiene importantes inconvenientes: ▼
Debe instalarse Windows Server 2008 en una partición separada para no sobreescribir los archivos pertenecientes al sistema operativo original. Esto significa que debe reinstalar todas las aplicaciones que quiera ejecutar bajo Windows Server 2008 y restablecer todos sus ajustes, como haría con una instalación limpia
■
Tal vez deba manejar problemas complejos de compatibilidad de los sistemas de archivos. Consulte los comentarios en seguida de la presente lista
■
En una situación de arranque dual, las características de Plug and Play de los sistemas operativos anteriores y Windows Server 2008 pueden provocar que un dispositivo no funcione correctamente en un sistema operativo ya que el otro lo reconfiguró
■
El arranque dual consume espacio en disco adicional, con dos sistemas operativos completos
▲
El arranque dual hace que el entorno operativo sea más complejo de lo común
Cuando se recurre al arranque dual, ambos sistemas operativos deben tener la capacidad de leer los archivos que desee compartir entre ellos. Esto significa que los archivos compartidos requieren almacenarse en un sistema de archivos que ambos sistemas operativos puedan usar. Al instalar Windows Server 2008, se usa el Sistema de Archivos de Nueva Tecnología (NTFS, New Technology File System). NTFS tiene características importantes en Windows Server 2008, como Active Directory, seguridad mejorada y cifrado de archivos; sin embargo, es posible que dichas características no se puedan usar en versiones anteriores de Windows con NTFS o sistemas operativos que usan sistemas de archivos FAT y FAT32. Por tanto, corre el riesgo de que los sistemas operativos anteriores no accedan a los archivos creados en Windows Server 2008. El arranque dual es una solución intermedia que no brinda todas las ventajas de Windows Server 2008. Por tanto, no se recomienda, a menos que realice una tarea que sólo pueda integrarse de esta manera, como una aplicación indispensable, inoperante en Windows Server 2008; incluso en tales circunstancias, debe dejar la aplicación en un servidor dedicado y mover casi todo su trabajo a otro que sólo ejecute Windows Server 2008. NOTA Aunque es probable que sistemas operativos antiguos no accedan a ciertos archivos NTFS en el mismo equipo, en condiciones de arranque dual, todos los sistemas operativos pueden acceder a esos mismos archivos si el acceso se da mediante red (el servidor traduce los archivos conforme pasan por la red).
Decida sobre particiones El particionado divide un único disco duro en dos o más particiones o volúmenes. A estas particiones se les asignan letras de unidad, sea D, E o F, entre otras, denominadas unidades lógicas. Cuando se hace una instalación limpia de Windows Server 2008, se le presenta el particionado actual del disco de arranque y se le pide seleccionar la partición en que desea instalar Windows Server 2008, como se muestra en la figura 2-5.
02 MATTHEWS 01.indd 33
1/14/09 12:12:41 PM
34
Windows Server 2008: Guía del Administrador
Cuando inicia desde el DVD de distribución de Windows Server 2008, el cuadro de diálogo de particiones, mostrado en la figura 2-5, se ve ligeramente distinto. En la parte inferior derecha aparece Opciones de unidad (Avanzadas). Si hace clic en ella, verá otras opciones para trabajar con particiones. Así, puede:
Figura 2-5. Para el arranque dual, debe crear particiones en la unidad para dividirla entre los sistemas operativos. ▼
Borrar una partición existente, creando espacio libre en la unidad
■
Extender una partición existente, mientras haya espacio libre para extenderlo a una nueva partición
■
Crear una nueva partición si hay espacio libre en el cual pueda hacerlo
▲
Formatear una partición existente o una nueva
SUGERENCIA Cuando ejecute la instalación de Windows Server 2008, no puede reducir una partición existente para crear espacio libre. Debe hacerlo antes de iniciar la instalación. Windows Vista y Windows Server 2008 tienen capacidad para reducir particiones básicas (no dinámicas), al igual que productos de terceros como PartitionMagic de Symantec. Por su parte, Windows XP y Windows Server 2003 tienen capacidad para borrar particiones básicas, pero sólo pueden reducir particiones dinámicas; sin embargo, no se puede arrancar desde un disco usando particiones dinámicas.
Hay dos motivos principales para el particionamiento: tener dos sistemas de archivos diferentes en la misma unidad y proporcionar una separación lógica para la información o archivos. Si recurre al arranque dual, necesita usar por lo menos dos particiones diferentes
02 MATTHEWS 01.indd 34
1/14/09 12:12:41 PM
Capítulo 2:
Preparación para la instalación
35
para mantener ambos sistemas operativos separados, para que la instalación de Windows Server 2008 no reemplace los archivos del sistema operativo original. Otra razón para una partición separada es usar el Servicio de instalación remota (RIS, Remote Installation Service) para instalar, a distancia, Windows Vista en estaciones de trabajo. Cuando considere las opciones de particionamiento, también necesita tomar en cuenta el tamaño de cada partición. Debe dedicar al menos 10 GB para Windows Server 2008, pero también resulta inteligente dejar espacio adicional. Si trabaja con un servidor activo, deben dedicarse alrededor de 40 GB para elementos como información de Active Directory, cuentas de usuario, archivos de intercambio de RAM, componentes opcionales y futuros Service Packs. Bajo muchas circunstancias, querrá una partición única en el disco duro para tener máxima flexibilidad y usar la totalidad del disco. Puede administrarse el particionado después de completarse la instalación (consulte el capítulo 12).
Decida cómo iniciar la instalación Puede iniciar la instalación de Windows Server 2008 desde una instalación existente de Windows o arrancando desde el DVD de distribución de Microsoft. En caso de iniciar desde una instalación existente de Windows, puede hacer una actualización o instalación limpia. Las consideraciones son: ▼
Si arranca desde el DVD, sólo puede hacerse una instalación limpia y, por supuesto, necesita el DVD
■
Si inicia desde una instalación existente, puede hacerlo desde el DVD o carpeta de red que contenga el instalador
▲
Si quiere efectuar un cambio a las particiones de la unidad o formatear una partición, debe arrancar desde el DVD de la distribución
Para iniciar desde una instalación existente de Windows:
02 MATTHEWS 01.indd 35
1.
Inicie la instalación existente de Windows.
2.
Cuando haya terminado de arrancar el Windows existente, inserte el DVD de Windows Server 2008 en su unidad. Se abrirá el cuadro de diálogo de Reproducción automática.
1/14/09 12:12:42 PM
36
Windows Server 2008: Guía del Administrador
Haga clic en Ejecutar Setup.exe. Asimismo, dé clic en Inicio y Equipo, vaya a la unidad y carpeta que contienen el instalador de Windows Server 2008 y dé doble clic en Setup.
Para iniciar desde el DVD: 1.
Inserte el DVD de Windows Server 2008 en la unidad y reinicie el equipo.
2.
Inmediatamente después de la pantalla de apertura del fabricante, oprima cualquier tecla cuando vea “Presione cualquier tecla para iniciar desde el CD o DVD”.
En todos los casos, tras algunos mensajes preliminares, verá la pantalla de instalación de Windows mostrada en la figura 2-6.
Figura 2-6.
02 MATTHEWS 01.indd 36
La forma en que inicia la instalación determina las opciones que tendrá.
1/14/09 12:12:42 PM
Capítulo 2:
Preparación para la instalación
37
Decida sobre las opciones: completa o Core Las ediciones principales de Windows Server 2008 (Standard, Enterprise y Datacenter) pueden instalarse completas o en la versión Server Core, como se indica en la figura 2-7. ▼
Instalación completa incluye todos los componentes (funciones y características) disponibles en la edición de Windows Server 2008 que está instalando, además de la interfaz de usuario completa
▲
Instalación Server Core es una instalación mínima que sólo incluye un subconjunto de componentes, sin la interfaz de usuario. Una instalación Server Core puede administrarse desde la línea de comandos, ya sea localmente desde el equipo en que está instalado o remotamente desde una conexión de escritorio remoto de Terminal Services
La instalación Server Core no puede ejecutar ciertas aplicaciones de terceros, debido a la carencia de interfaz de usuario, pero reduce la carga de administración, así como áreas del servidor que pueden ser atacadas. Server Core ejecutará las siguientes funciones y características.
Figura 2-7. Server Core proporciona una instalación mínima para servidores de propósito especial.
02 MATTHEWS 01.indd 37
1/14/09 12:12:42 PM
38
Windows Server 2008: Guía del Administrador
Funciones: ▼
Servicios de dominio de Active Directory
■
Servicios de directorio ligero de Active Directory
■
Servidor del protocolo dinámico de configuración de host (DHCP, Dynamic Host Configuration Protocol)
■
Servidor del servicio de nombres de dominio (DNS, Domain Name Server)
■
Servicios de archivo
■
Servicios de impresión
■
Servicios de flujo de datos de Windows Media
▲
Servidor Web (IIS)
Características: ▼
Copias de seguridad
■
Cifrado de unidad BitLocker
■
Clúster de conmutación por error
■
E/S de múltiples rutas
■
Equilibrio de carga de red
■
Calidad de servicio (QoS)
■
Almacenamiento extraíble
■
Servicios del protocolo simple de administración de redes (SNMP, Simple Network Management Protocol)
■
Subsistema para aplicaciones UNIX
■
Cliente Telnet
▲
Servicio de nombres de Internet de Windows (WINS, Windows Internet Name Service)
Instalación de componentes opcionales El programa Setup ya no le pide elegir los componentes opcionales mientras instala Windows Server 2008. Algunos componentes, como Internet Explorer, accesorios y un paquete básico de herramientas administrativas, se instalan automáticamente con Windows Server 2008. Los componentes más grandes, como Servicios de dominio de Active Directory, servidores DHCP y DNS, además del servidor Web (IIS), pueden instalarse como funciones o características desde el Administrador del servidor (véase la figura 2-8) en seguida de haber instalado Windows Server 2008. El uso del Administrador del servidor e instalación de funciones y características se mencionan en diversos lugares de este libro, incluidos los capítulos 1 y 3.
02 MATTHEWS 01.indd 38
1/14/09 12:12:42 PM
Capítulo 2:
Preparación para la instalación
39
Figura 2-8. Casi todos los componentes importantes de Windows Server 2008 se instalan desde el Administrador del servidor, después de instalar Windows Server 2008.
PREPARE LA INSTALACIÓN La instalación de un sistema operativo conlleva el riesgo moderado de perder parte de la información en el equipo o toda ella; de esto nace la idea de respaldar los discos duros antes de la instalación. Instalar un sistema operativo también es una estupenda oportunidad para limpiar y hacer que el sistema sea más eficiente. Además, es necesario hacer ajustes al sistema para cerciorarse de que la instalación se ejecute sin contratiempos. Todas estas tareas se incluyen en los siguientes pasos para preparar la instalación de un sistema operativo:
02 MATTHEWS 01.indd 39
▼
Crear copias de seguridad de todos los discos duros
■
Inventariar software actual
■
Limpiar los archivos actuales
■
Actualizar el hardware
▲
Deshabilitar hardware o software conflictivo
1/14/09 12:12:43 PM
40
Windows Server 2008: Guía del Administrador
Cree copias de seguridad de todos los discos duros En un entorno de servidor, tal vez la creación de copias de seguridad sea más laboriosa que una estación de trabajo, a menos que el servidor se encargue también de crear las copias de las estaciones de trabajo. Por tanto, el respaldo puede ser, o no, una tarea rutinaria. En cualquier caso, es importante realizar un respaldo a conciencia antes de instalar un nuevo sistema operativo. Éste debe incluir respaldo de todos los archivos de datos, considerando archivos de correo, libretas de direcciones, formatos, ajustes, documentos, favoritos, cookies e historial. La creación de copias de seguridad de los archivos de las aplicaciones no sólo es innecesaria (generalmente), porque debe tener copias de los discos de distribución, sino también es difícil, debido a que los archivos de aplicaciones se distribuyen en varias carpetas. La mejor técnica para crear copias de seguridad de archivos de datos, si no tiene una lista de éstos, consiste en recorrer el disco duro, carpeta por carpeta, revisando cada archivo dentro de cada una de ellas. Ésta es, en definitiva, una tarea tediosa, pero no sólo sirve para crear copias de seguridad, sino también para las siguientes tareas de limpieza e inventario de aplicaciones. En muchos casos, podrá crear copias de seguridad de carpetas completas, si sabe que todos los archivos son de datos. En otros casos, muchos de los archivos de una carpeta son de aplicación y no necesitará crear copias de seguridad de ellos (aunque es probable que algunos archivos tengan plantillas personalizadas, configuraciones o archivos de datos que querrá preservar). Las herramientas (hardware y software) que use para crear copias de seguridad dependen de su disponibilidad. Es posible crearlas con el programa Copias de seguridad de Windows Server 2003. (Windows Server 2008 tiene nuevas opciones, pero necesita crear las copias antes de instalarlo). La mejor opción es usar algún programa de terceros, como Backup Exec for Windows Servers (http://www.symantec.com/business/), de Symantec (antes Veritas). Los medios de copia de seguridad pueden incluir cintas, discos duros extraíbles, DVD grabables o regrabables, discos ópticos fijos o discos duros fijos, libres en otros sistemas. Cualquier cosa que use, asegúrese de que pueda leerla y recuperarla en su sistema Windows Server 2008.
SUGERENCIA Con el bajo costo de los discos duros grandes, valdría la pena conseguir uno o más para conservar la copia de seguridad más reciente de uno o más sistemas; sin embargo, aún deberá emplear medios extraíbles para almacenar una copia de los datos del equipo, en un contenedor a prueba de fuego.
Cree un inventario del software actual A medida que recorre el disco duro para crear copias de seguridad de él, debe hacer un inventario de las aplicaciones en el disco, en caso de que necesite reinstalar cualquier cosa. Aparte de la revisión del disco, haga un inventario del Escritorio, los menús Inicio, Todos los programas, además de la barra de tareas. Por igual, abra Agregar o quitar programas (Programas y características, en Windows Vista y Server 2008), desde el Panel de control y anote los programas que se muestran instalados, asimismo los componentes de Windows instalados. Por cada aplicación, anote la versión instalada, si todavía se usa, cuáles son sus archivos de soporte (como formatos y ajustes) y dónde se almacenan los archivos en el disco duro. (Esta última información se debe proporcionar al proceso de copia de seguridad,
02 MATTHEWS 01.indd 40
1/14/09 12:12:43 PM
Capítulo 2:
Preparación para la instalación
41
para certificar que se incluyan dichos archivos.) Por último, debe asegurarse de tener los discos de distribución de cada aplicación y anotar dónde se guardan. Estos pasos le asegurarán que tendrá tanto las notas como los archivos de aplicación y datos necesarios para restaurar las aplicaciones que estaban ejecutándose en el equipo, antes de instalar Windows Server 2008.
Limpieza de archivos actuales La mayoría de nosotros intentamos limpiar los discos de que somos responsables, para librarnos de archivos y aplicaciones inútiles, pero pocos estamos acostumbrados a hacerlo. Es una tarea difícil, ¿y quiénes somos para decir que una aplicación o archivo nunca se volverá a necesitar? Además, todos hemos tenido la experiencia de necesitar un archivo recién eliminado o encontramos un archivo que no se ha usado por algún tiempo. Dado que ha hecho un trabajo eficiente al crear copias de seguridad de sus archivos de datos y que tiene un inventario completo de las aplicaciones, resulta inútil preguntarse cuándo se necesitará de nuevo algún archivo, porque siempre podrá restaurar éste o la aplicación, en caso de requerirlo. Esto sólo deja por objeción que se trata de una larga y ardua tarea, y lo es. La mejor manera de limpiar un disco duro es, también, la más sencilla y terrorífica, porque es definitiva: reformatear el disco duro y recargar únicamente aplicaciones y archivos que se sabe habrán de usarse de inmediato. Esto coloca una considerable presión para crear copias de seguridad correctas y asegurarse de que se tiene un buen inventario de aplicaciones, pero, dado que usted es quien lo hace, reformatear el disco duro es buena solución. Sin embargo, requiere mucho tiempo y trabajo, por el tiempo necesario para recargar lo que se quiere en el disco duro. La limpieza de un servidor agrega todavía otra dimensión, pues cubre la información relacionada con permisos y usuarios. En esencia, debe auditarse la base de datos de permisos y usuarios; deben eliminarse entradas duplicadas o sin uso. De nuevo, ésta es una clase de tarea que, con frecuencia, se deja a un lado, pero realmente necesaria si quiere tener un sistema limpio y eficiente. Explicar a los usuarios que van a tener un respaldo seguro, y que si en realidad necesitan un archivo podrán cargarlo de nuevo, ayuda a convencerlos de que está bien quitar del servidor la información poco usada (nadie va a aceptar que nunca se usa).
Actualice el hardware Al igual que la limpieza del disco duro, a menudo se dejan a un lado actualizaciones de hardware porque pueden perturbar al sistema. Por ello, utilice la excusa del “nuevo sistema operativo” para lograrlo. Use el inventario que hizo antes para determinar el hardware que necesita o quiera actualizar, también compre e instale hardware antes de instalar Windows Server 2008; así, el nuevo sistema operativo tendrá el beneficio del nuevo hardware. Cuando haga esto, considere actualizar el BIOS de la tarjeta madre, remitiéndose al sitio Web del fabricante para saber si hay una actualización y, en caso de haberla, pensar si ésta le beneficiará.
Deshabilite el hardware y software conflictivos Si ejecuta cierto hardware y software, es probable que falle la instalación. Por ello, deben darse los siguientes pasos en cada equipo para preparar una instalación de Windows Server 2008:
02 MATTHEWS 01.indd 41
1/14/09 12:12:43 PM
42
Windows Server 2008: Guía del Administrador
▼
Deshabilite cualquier dispositivo “no break” conectado al puerto serial del equipo, desconectando el cable. El dispositivo puede causar problemas con el proceso de detección de dispositivos del programa de instalación. Puede reconectar el cable luego de haber finalizado la instalación ■ Si usa copias de espejo de discos, necesita deshabilitarlas antes de arrancar la instalación. Podrá reiniciar está función cuando la instalación esté completa ▲ Detenga todos los programas en ejecución, sobre todo los de detección de virus, antes de arrancar la instalación. Es probable que estos programas envíen mensajes falsos advirtiendo la presencia de virus mientras la instalación escribe en el disco. En algunas ocasiones, estos programas arrancan automáticamente cuando el sistema enciende; por ello, deberá tomar medidas para encontrarlos y detenerlos, de la siguiente manera: 1. Haga clic en Inicio|Todos los programas|Inicio, y quite cualquier programa que encuentre ahí. De manera similar, quite cualquier programa en el archivo Autoexec.bat. 2. Reinicie el equipo, haga clic con el botón derecho, en cualquier icono que se encuentre en el extremo derecho de la barra de tareas y seleccione Cerrar, Deshabilitar o Salir, si existe alguna de estas opciones. 3. Oprima ctrl+alt+supr y haga clic en Administrador de tareas (o Iniciar el administrador de tareas, en Windows Vista y Server 2008) para abrir el Administrador de Tareas de Windows, mostrado en la figura 2-9. 4. Seleccione cada uno de los programas de la ficha Aplicaciones que estén en ejecución y haga clic en Finalizar Tarea. Además, puede dirigirse a la opción Agregar o quitar programas (o Programas y características en Windows Vista y Server 2008) del Panel de control y retirar cualquier programa restante que arranque automáticamente.
Figura 2-9.
02 MATTHEWS 01.indd 42
Las aplicaciones pueden detenerse en el Administrador de tareas.
1/14/09 12:12:43 PM
Capítulo 2:
Preparación para la instalación
43
PLANEE UNA MIGRACIÓN A WINDOWS SERVER 2008 El recorrido de las tareas descritas hasta ahora en este capítulo para un servidor y estaciones de trabajo es una importante cantidad de trabajo; hacerlo para cierta cantidad de servidores y muchas estaciones de trabajo son palabras mayores. En ambos casos, es de gran ayuda tener un plan sólido para hacerlo y, en el caso de una gran instalación, resulta obligatorio. El plan de migración debe reflejar a la organización para la cual se diseña, pero casi todos los planes deben cubrir los siguientes pasos: 1. 2. 3. 4. 5.
6. 7. 8.
Identificar los equipos que deberán actualizarse o instalarse con Windows Server 2008 o Windows Vista y el orden en que sus actualizaciones deberán completarse. Identificar el hardware que debe comprar e instalar para que el paso 1 puede realizarse. Asignarle a alguien la tarea de desarrollar una lista detallada de tareas necesarias para los pasos 1 y 2. Desarrollar un cronograma para completar las tareas del paso 3. Determinar un conjunto de fechas de instalación causando el menor inconveniente a las actividades normales de la compañía. Un fin de semana largo es, con frecuencia, buena idea para todo el mundo, excepto para quienes hacen el cambio. Desarrollar un presupuesto para el software, hardware y trabajo especificados en los pasos anteriores. Identificar de manera realista las posibles interrupciones al trabajo de la compañía y el costo de éstas. Identificar los beneficios de cambiar a Windows Server 2008 y la manera en que esos beneficios se traducen en reducción de costos y mejores beneficios.
Muchas organizaciones de cualquier tamaño requieren un plan como éste y la dirección ejecutiva revisará con profundidad los resultados de los pasos 6 a 8. No sólo se trata, por supuesto, de una simple comparación numérica. Los montos señalados en el paso 6 representan dinero real así como los montos en los pasos 7 y 8 pueden ser difíciles de identificar. La verdadera pregunta es si los beneficios de Windows Server 2008 cubren los costos y qué tan bien le irá a la compañía con el cambio. Cada organización debe responder a esta pregunta por sí misma. Llevar a cabo la migración de un sistema operativo a otro es un tema serio. Diversas compañías han sufrido daños significativos cuando las actualizaciones se han hecho mal; en cambio, han obtenido grandes beneficios hechas de manera correcta. Aquí hay tres elementos clave para el éxito: ▼
Tenga conocimiento detallado de sus equipos y sistema de red actual además de lo que desea lograr con Windows Server 2008 ■ Elabore un plan detallado de cómo va a llevar a cabo la conversión con el menor costo e inconvenientes para la organización ▲ Comuníquese continua y exhaustivamente con todos los involucrados
02 MATTHEWS 01.indd 43
1/14/09 12:12:44 PM
03 MATTHEWS 01.indd 44
1/14/09 12:13:14 PM
CAPÍTULO 3 Instalación de Windows Server 2008
45
03 MATTHEWS 01.indd 45
1/14/09 12:13:14 PM
46
Windows Server 2008: Guía del Administrador
E
l proceso físico de instalación del software Windows Server 2008 en un servidor es casi trivial y se ha vuelto mucho más simple que con Windows Server 2003. La configuración del servidor, una vez instalado el sistema operativo, no es mucho más difícil que la de Windows Server 2003, aunque es un proceso más sustancial. Una vez completada la preparación descrita en el capítulo 2, estará listo para iniciar la instalación real de Windows Server 2008. Si no ha leído el capítulo 2 ni completado los pasos anteriores, le recomiendo ampliamente que lo haga antes de continuar.
PREPARE WINDOWS SERVER 2003 PARA LA ACTUALIZACIÓN Para actualizar Windows Server 2003, debe actualizarlo antes, al menos al Service Pack 1 (SP1), y se recomienda actualizar al Service Pack 2 (SP2). Además, debe actualizar la estructura del dominio de Active Directory para que dé soporte a Windows Server 2008.
Actualice Windows Server 2003 a SP1 o SP2 La manera más sencilla de actualizar Windows Server 2003 para instalar Windows Server 2008 es emplear Windows Update. 1.
Mientras está en Windows Server 2003, dé clic en Inicio|Todos los programas| Windows Update. Se conectará al sitio Web de Microsoft Windows Update. Siga las instrucciones para determinar las actualizaciones necesarias, así como descargarlas e instalarlas. Esto puede tomar más de una hora para SP2.
2.
Cuando la actualización ha terminado, se le dirá que el equipo debe reiniciarse. Hágalo.
Actualice el Active Directory Para actualizar la estructura del dominio de Active Directory, es necesario estar ubicado en el equipo maestro de operaciones de infraestructura del dominio y ejecute un programa del DVD de Windows Server 2008.
03 MATTHEWS 01.indd 46
1.
Para identificar el equipo maestro de operaciones de infraestructura del dominio, haga clic en Inicio|Herramientas administrativas|Usuarios y equipos, de Active Directory, para abrir la ventana Usuarios y equipos de Active Directory.
2.
Haga clic con el botón derecho en el objeto del dominio y dé clic en Maestros de operaciones. En el cuadro de diálogo Maestros de operaciones, haga clic en la pestaña Infraestructura. Tome nota del nombre del equipo Maestro de operaciones, cierre el cuadro de diálogo y la ventana Usuarios y equipos de Active Directory.
1/14/09 12:13:14 PM
Capítulo 3:
47
Instalación de Windows Server 2008
3.
Inicie sesión en el equipo maestro de operaciones de infraestructura, con permisos para un administrador de dominio e inserte el DVD de Windows Server 2008 en la unidad. En el Explorador de Windows, ubique la carpeta \sources\adprep\ y arrástrela al disco duro del equipo.
4.
Haga clic en Inicio|Símbolo del sistema. Escriba cd \adprep\ para abrir la carpeta.
5.
Teclee adprep /forestprep y oprima enter para actualizar la información del bosque. Recibirá una advertencia de que todos los controladores de dominio de Active Directory de Windows 2000 deben actualizarse a SP4.
6.
Teclee c y oprima enter. Después de unos minutos (aunque, el tiempo puede variar), obtendrá un mensaje acerca de la actualización correcta de la información.
7.
Escriba adprep/domainprep/gpprep y oprima enter para actualizar la información de todo el dominio y las directivas de grupo.
8.
Cuando obtenga el mensaje de que Adprep ha completado correctamente la actualización, cierre el indicador de comandos y la ventana Usuarios y equipos de Active Directory.
NOTA En caso de obtener un mensaje acerca de que Adprep ha detectado que el dominio no está en modo nativo (que significa puede haber dominios de Windows NT y 2000 en el bosque), cambie al modo nativo abriendo la ventana Usuarios y equipos de Active Directory, haciendo clic con el botón derecho en el panel izquierdo y luego haciendo clic en Elevar nivel funcional del dominio. En el cuadro de diálogo que se abre, seleccione Windows Server 2003 de la lista desplegable y dé clic en Cerrar.
03 MATTHEWS 01.indd 47
1/14/09 12:13:14 PM
48
Windows Server 2008: Guía del Administrador
ESCOJA UN MÉTODO DE INSTALACIÓN Hay varias maneras de instalar Windows Server 2008, pero se dividen en tres categorías: ▼
Manual Una persona se sienta frente al equipo donde instalará el sistema operativo y, en tiempo real, efectúa la instalación en esa máquina.
■
Automatizada Se emplea un archivo de secuencia de comandos o de respuestas para llevar a cabo la instalación, de tal manera que la persona no deba estar frente al equipo para instalar el sistema operativo.
▲
Remota Una persona se sienta frente a un servidor y efectúa la instalación del equipo en red. La instalación puede ser manual o automatizada.
En este capítulo se describe de manera detallada el método manual, con algunas variaciones. En el capítulo 4 se describe el método automatizado mediante los Servicios de implementación de Windows; requiere tarjetas de red que puedan arrancarse de manera remota y tarjetas madre que les den soporte, además de un servidor dedicado o volumen (una partición) en un servidor. El proceso de instalación de Windows Server 2008, sin importar el método, tiene tres fases distintas; cada una de ellas necesita un análisis propio: ▼
Inicio de la instalación
■
Ejecución de la instalación
▲
Configuración de un servidor
INICIO DE LA INSTALACIÓN La instalación puede iniciarse al arrancar directamente desde el DVD de instalación de Windows Server 2008 o una instalación existente de Windows, donde los archivos de instalación de Windows Server 2008 estén disponibles, ya sea de manera local o en red. Ambos métodos tienen mucho en común. NOTA La instalación en red es diferente de la remota. La primera invierte posiciones. Usted se encuentra frente a la máquina en que instala y accede a la red para obtener los archivos de instalación. Con la instalación remota, está frente al servidor instalando en una máquina conectada en red.
Inicio de la instalación mediante arranque directo Puede arrancar directamente la instalación con un disco duro nuevo sin formatear o uno que tenga cualquier sistema operativo. La única pregunta es si puede arrancar desde un DVD, que es obligatorio. NOTA Si arranca la instalación directamente, no se puede hacer actualización. Debe iniciar el programa de instalación desde el producto que está actualizando.
03 MATTHEWS 01.indd 48
1/14/09 12:13:14 PM
Capítulo 3:
Instalación de Windows Server 2008
49
Si el sistema en que quiere hacer la instalación cuenta con la opción para arrancar desde un DVD, entonces puede arrancar el programa de instalación siguiendo estos pasos: 1.
Inserte el DVD de Windows Server 2008 en la unidad de DVD.
2.
Reinicie el equipo.
3.
Inmediatamente después de la pantalla inicial de arranque, arriba a la izquierda, deberá ver el mensaje: “Presione cualquier tecla para iniciar desde el CD o DVD”. Luego oprima cualquier tecla.
4.
Se cargará el programa de instalación de Windows Server 2008 y solicitará elegir idioma, formato de fecha, moneda y teclado. Cuando esté listo, haga clic en Siguiente.
5.
Aparecerá el cuadro de diálogo Instalar Windows, como se muestra en la figura 3-1. Haga clic en Instalar ahora.
NOTA Cuando arranque desde el DVD, tendrá la opción Reparar el equipo, sólo disponible cuando arranca desde el DVD y, por tanto, no se muestra en la figura 3-1 (porque sólo se puede tomar una captura de pantalla cuando la instalación se ejecuta bajo una versión distinta de Windows).
Figura 3-1. La ventana inicial de instalación se verá ligeramente diferente si arrancó desde el DVD o inició desde una versión más reciente de Windows. La figura muestra esto último.
03 MATTHEWS 01.indd 49
1/14/09 12:13:15 PM
50
Windows Server 2008: Guía del Administrador
¿No puede arrancar desde un DVD? Si no puede arrancar desde un DVD, pero cree que debe tener esta opción (casi todos los equipos recientes pueden arrancar desde un DVD, si hay unidad de DVD instalada), deberá cambiar uno o más parámetros del sistema BIOS (Basic Input/Output System, sistema básico de entrada/salida), registrados al principio del proceso de arranque. La manera en que se entra al BIOS se identifica generalmente en la primera pantalla de arranque. Con frecuencia se oprimen y mantienen oprimidas las teclas de función f1 o f2. A veces, las teclas supr y esc se usan juntas para este propósito. Una vez que haya entrado al BIOS, deberá cambiar la secuencia de arranque, para que así primero arranque desde el DVD, antes que con el disco duro. En el BIOS: 1.
2.
3.
4.
Busque una opción, menú o pestaña que digan “Boot” (arranque) o “Boot Sequence” (secuencia de arranque), haga clic en ella o utilice las flechas u otras teclas para seleccionarla o abrirla, y ver las opciones de arranque. Verá una lista con la secuencia en que se acceden los dispositivos de arranque; una lista como ésta: ▼ Disco duro interno (o HDD) ■ Unidad CD/DVD ■ Disco flexible ▲ Tarjeta de red interna Deberá cambiar el orden para que la unidad de DVD sea la primera; de otra forma, algún otro dispositivo con una prioridad más alta, como el disco duro, se utilizará para arrancar el equipo. La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los casos las instrucciones se encuentran en la pantalla. Usualmente, se manejan las teclas de flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabilitarla y se usan las teclas + y – o las teclas u o d para subir o bajar las opciones, utilice enter o una tecla de función para terminar y registrar el cambio, luego presione esc u otra tecla de función para cancelar cualquier cambio.
SUGERENCIA Si tiene dos unidades DVD, como un DVD-ROM y un DVD-RW, pruebe con ambas; es probable que una funcione y la otra no.
Si no puede arrancar desde un DVD, sólo existe otra opción: iniciar el programa de instalación de Windows Server 2008 desde una versión de Windows reciente (vea la siguiente sección).
Inicio desde una versión de Windows reciente Puede iniciar el programa de instalación de Windows Server 2008 desde una versión reciente de Windows, a partir de Windows 2000 (“iniciar” el programa de instalación desde estos sistemas operativos no significa que pueda “actualizar” desde ellos). Este arranque puede hacerse insertando el DVD mientras Windows está en ejecución o localizando el conjunto de archivos de instalación en el disco duro, la unidad DVD local o red.
03 MATTHEWS 01.indd 50
1/14/09 12:13:15 PM
Capítulo 3:
Instalación de Windows Server 2008
51
NOTA Puede actualizar a Windows Server 2008 Standard Edition, desde Windows Server 2003 Standard Edition (Service Pack 1 y posterior) y actualizar a Windows Server 2008 Enterprise Edition, desde Windows Server 2003 Standard o Enterprise Edition (Service Pack 1 y posterior).
Inicio desde una unidad de DVD local Con una versión reciente de Windows ejecutándose en el equipo que cuenta con la unidad de DVD donde quiere instalar Windows Server 2008: 1. Inserte el DVD de Windows Server 2008 en la unidad. 2. Si está activada la característica Reproducción automática, se cargará el DVD y aparecerá el cuadro de diálogo de Reproducción automática. Haga clic en Ejecutar Setup. exe para iniciar la instalación y ver el cuadro de diálogo inicial de instalación, como se mostró en la figura 3-1.
3. 4. 5.
Tal vez la característica de Reproducción automática ejecute automáticamente el programa de instalación y lo primero que vea será el cuadro de diálogo de instalación. Cuando aparezca el cuadro de diálogo inicial de instalación, haga clic en Instalar ahora. Si el cuadro de diálogo Reproducción automática no aparece o no funciona como se supone y no ve el cuadro de diálogo inicial de instalación, use las instrucciones de la siguiente sección “Inicie desde una unidad local o de red”.
Inicie desde una unidad local o de red Los archivos de instalación pueden copiarse del DVD al disco duro, ya sea en el equipo local o la red. Se puede iniciar el programa de instalación desde ese equipo, además de hacerlo, con los permisos apropiados, desde una unidad DVD remota (siempre y cuando, por supuesto, esté conectado a dicha red). 1. En cualquier equipo de red (al que se le denomina “servidor de instalación”), inserte el DVD de distribución de Windows Server 2008 en la unidad DVD-ROM. 2. Copie el contenido del DVD de distribución de Windows Server 2008 a una nueva carpeta del disco duro, en el servidor de instalación y luego comparta esa carpeta; también tiene la opción de compartir la unidad DVD-ROM de ese equipo.
03 MATTHEWS 01.indd 51
1/14/09 12:13:15 PM
52
Windows Server 2008: Guía del Administrador
Figura 3-2.
El programa de instalación puede iniciarse desde el equipo y una unidad de red.
NOTA Para compartir una unidad, ya sea de disco duro o DVD, haga clic en Inicio | Equipo. Localice el disco duro o unidad de DVD, haga clic con el botón derecho y elija Compartir. Haga clic en Uso compartido avanzado; en Continuar, del Control de cuentas de usuario; en Compartir esta carpeta y Permisos. En el cuadro de diálogo Permisos, tenga cuidado de que Todos esté seleccionado al principio de la lista y dé clic en Control Total, bajo Permisos. Haga clic en Aceptar tres veces (o dos en Aceptar y una en Cerrar, dependiendo del sistema operativo desde el que inicia).
3.
En el equipo donde quiere instalar Windows Server 2008 (se le llama equipo “que se instala”), haga clic en Inicio|Equipo. Ubique el servidor de instalación, la unidad y carpeta en que se encuentra el DVD de Windows Server 2008.
4.
Haga doble clic en Setup.exe, como se muestra en la figura 3-2, para iniciar la instalación. Si comenzó desde Windows Vista, verá un cuadro de diálogo Control de cuentas de usuario, preguntando si quiere permitir la ejecución de Setup.exe. Haga clic en Permitir.
5.
Se abrirá el cuadro de diálogo inicial de instalación. Haga clic en Instalar ahora.
EJECUTE LA INSTALACIÓN La ejecución de la instalación de Windows Server 2008 es sencilla y sólo tiene pequeñas variaciones, dependiendo de dónde se encuentre:
03 MATTHEWS 01.indd 52
▼
Ejecutar una actualización iniciada desde Windows Server 2003
■
Ejecutar una instalación limpia iniciada desde una versión reciente de Windows
▲
Ejecutar una instalación limpia iniciada desde el DVD
1/14/09 12:13:15 PM
Capítulo 3:
Instalación de Windows Server 2008
53
Ejecución de una actualización Una actualización a Windows Server 2008 debe hacerse desde Windows Server 2003 para la misma edición o una inferior (en el caso de Standard a Enterprise). Esto significa que la instalación debe iniciarse desde el producto que se actualiza. Además, algunos de los parámetros para Windows Server 2008 se toman del sistema anterior. PRECAUCIÓN Si instala Windows Server 2008 como actualización, no puede desinstalarlo, pero si falla la instalación, el sistema regresará a Windows Server 2003. NOTA
No puede actualizar a Windows Server 2008 Server Core.
Si ha iniciado desde Windows Server 2003 y ha hecho clic en Instalar ahora, debe tener el cuadro de diálogo Obtenga importantes actualizaciones para la instalación en pantalla (véase la figura 3-3), si tiene una conexión a Internet y los servicios apropiados. De ser así, vaya al paso 1. De otro modo, verá la pantalla para registrar la clave de producto y deberá iniciar con el paso 2. 1.
Aunque tomará más tiempo, le recomiendo que haga clic en Obtener las actualizaciones más recientes…, que, tras obtener las actualizaciones, mostrará el cuadro de diálogo para registrar la clave de producto.
Figura 3-3. Se recomienda que obtenga las últimas actualizaciones antes de iniciar el proceso de instalación.
03 MATTHEWS 01.indd 53
1/14/09 12:13:16 PM
54
Windows Server 2008: Guía del Administrador
2.
Ingrese la clave de producto mostrada en el sobre o estuche del DVD de Windows Server 2008 y dé clic en Siguiente.
3.
En la opción entre Instalación completa o Instalación Server Core, si quiere actualizar, debe seleccionar Instalación completa y hacer clic en Siguiente.
4.
Haga clic en Acepto los términos de licencia (de lo contrario, tendría que olvidarse de instalar Windows Server 2008) y haga clic en Siguiente.
5.
En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4, haga clic en Actualización.
NOTA Si no ha instalado por lo menos el Service Pack 1 (SP1) para Windows Server 2003, se le recordará que debe hacerlo antes de actualizar a Windows Server 2008.
6.
Se le recordará que necesita asegurarse de que sus programas actuales son compatibles con Windows Server 2008. Esto se expone en el capítulo 2. Cuando esté listo, haga clic en Siguiente.
Figura 3-4.
03 MATTHEWS 01.indd 54
Con una actualización, se preservan sus programas y ajustes actuales.
1/14/09 12:13:16 PM
Capítulo 3:
Instalación de Windows Server 2008
55
7.
El programa de instalación empezará por copiar y recopilar archivos. Pasará a expandir archivos e instalar características y actualizaciones, después completará la actualización. Durante este proceso, el equipo se reiniciará varias veces y tendrá que hacer clic en Aceptar, para facilitarlo. Tras el último reinicio, arrancará Windows Server 2008.
8.
Oprima ctrl+alt+supr y escriba la contraseña del administrador para iniciar sesión. El escritorio de Windows Server 2008 se mostrará junto con la ventana Administrador del servidor (véase la figura 3-5). Esta ventana y los pasos para configurar Windows Server 2008 se exponen más adelante en este capítulo bajo el título: “Configure un servidor”.
NOTA El tiempo que toma hacer una instalación limpia es mínimo, entre 15 y 20 minutos. Sin embargo, una actualización, puede llevar una o varias horas, dependiendo de la complejidad del servidor que actualice.
Figura 3-5.
03 MATTHEWS 01.indd 55
Cuando se hace una actualización, se omite la ventana Tareas de configuración inicial.
1/14/09 12:13:16 PM
56
Windows Server 2008: Guía del Administrador
Ejecute una instalación limpia iniciada desde una versión reciente de Windows PRECAUCIÓN Por definición, una instalación limpia se da cuando ha eliminado (y, por tanto, perdido) o habrá de eliminarse (y perderse) cualquier cosa en la partición del disco duro o volumen, para proporcionar una partición de disco duro limpia.
Si ha iniciado desde una versión reciente de Windows e hizo clic en Instalar ahora, deberá tener en su pantalla el cuadro de diálogo Obtener actualizaciones importantes para la instalación. 1.
Igual que en la actualización, recomiendo que haga clic en Obtener las actualizaciones más recientes…, lo cual, después de obtenerlas, desplegará el cuadro de diálogo para registrar la llave de producto, como se presenta en la figura 3-6.
2.
Escriba la clave de producto que se muestra ya sea en el sobre, estuche del DVD de Windows Server 2008 o documento separado y dé clic en Siguiente.
3.
En la selección entre Instalación completa e Instalación Server Core, debe decidir si quiere un servidor con propósito limitado, donde puede usar Server Core (consulte lo expuesto en el capítulo 2) o si necesita todas las características del servidor, en cuyo caso deberá seleccionar Instalación completa y hacer clic en Siguiente.
Figura 3-6. Si usted o su compañía compran en volumen las licencias de Windows Server 2008, obtendrá las claves de producto en un documento separado.
03 MATTHEWS 01.indd 56
1/14/09 12:13:16 PM
Capítulo 3:
4.
Haga clic en Acepto los términos de licencia y dé clic en Siguiente.
5.
En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4, a menos que haya iniciado desde Windows Server 2003, su única opción es hacer clic en Personalizar; después, haga clic en Siguiente.
6.
Se le preguntará dónde quiere instalar Windows Server 2008. Seleccione la partición deseada (vea la figura 3-7) y haga clic en Siguiente.
7.
La instalación empezará la copia y expansión de archivos y se instalarán características y actualizaciones, reiniciando algunas veces durante el proceso. Cuando haya terminado, se indicará que la contraseña del usuario debe cambiarse. Haga clic en Aceptar.
8.
Escriba su nueva contraseña, luego confírmela y haga clic en Aceptar. Aparecerá el escritorio de Windows y se desplegará la ventana Tareas de configuración inicial, como se ilustra en la figura 3-8. Esta ventana y los pasos para configurar Windows Server 2008 se analizan más adelante en este capítulo, bajo el tema: “Configure un servidor”.
Figura 3-7.
03 MATTHEWS 01.indd 57
57
Instalación de Windows Server 2008
Necesita tener una partición en que instalar Windows Server 2008, formateada con NTFS.
1/14/09 12:13:17 PM
58
Windows Server 2008: Guía del Administrador
Figura 3-8. Después de una instalación limpia, la opción predeterminada es una resolución menor para la pantalla.
Ejecute una instalación limpia iniciada al arranque Cuando arranca desde el DVD y hace clic en Instalar ahora, como se describió antes, no tiene oportunidad para obtener actualizaciones; en cambio, va de inmediato a la captura de la clave del producto. Esto se debe a que la obtención de las actualizaciones requiere conexión a Internet, que no está disponible si arrancó desde el DVD.
03 MATTHEWS 01.indd 58
1.
Escriba la clave de producto mostrada en el sobre, estuche del DVD de Windows Server 2008 o documento separado; bajo circunstancias normales deseará activar automáticamente Windows. Haga clic en Siguiente.
2.
En la selección entre Instalación completa o Instalación Server Core, decida si quiere un servidor de propósito limitado donde puede utilizar Server Core (consulte el capítulo 2), o si necesita todas las características del servidor, en cuyo caso deberá escoger Instalación completa. Una vez que haya decidido, haga clic en Siguiente.
1/14/09 12:13:17 PM
Capítulo 3:
Instalación de Windows Server 2008
59
3.
Haga clic en Acepto los términos de licencia y luego en Siguiente.
4.
En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrada en la figura 3-4, su única opción será hacer clic en Personalizada, después dé clic en Siguiente.
5.
Se le preguntará dónde quiere instalar Windows Server 2008. Elija la partición deseada. Si quiere extender o eliminar esa partición, o crear una nueva (extender y crear sólo son posibles si tiene espacio sin usar en el disco duro, tiene una partición formateada o ambas); haga clic en Opciones de disco (Avanzadas). De otra forma, haga clic en Siguiente. Si hizo clic en Opciones de disco y la partición que desea usar está seleccionada, haga clic en una de las opciones. Se le dará cualquier mensaje de advertencia necesario; haga clic en Aceptar o Cancelar. Cuando haya completado su trabajo con las particiones, haga clic en Siguiente.
SUGERENCIA Para formatear una partición necesita poco tiempo; mucho menos que el necesario para un formateado normal.
6.
La instalación empezará por copiar y expandir archivos, a instalar características y actualizaciones, mientras se reinicia unas cuantas veces durante el proceso. Cuando termine, se le informará que debe cambiar la cuenta del usuario. Haga clic en Aceptar.
NOTA Con Windows Server 2008 deben usarse contraseñas “fuertes”, que tengan por lo menos ocho caracteres, incluidas letras mayúsculas y minúsculas, además de números y caracteres especiales.
7.
Ingrese su nueva contraseña, luego confírmela, oprima enter y haga clic en Aceptar cuando le indique que ha cambiado la contraseña. Aparecerá el escritorio de Windows y se desplegará la ventana Tareas de configuración inicial, como se mostró en la figura 3-8. Esta ventana y los pasos para configurar Windows Server 2008 se detallan en la siguiente sección.
CONFIGURE UN SERVIDOR El tema central de la mayor parte de este libro es la configuración de un servidor. El propósito, aquí, es realizar la configuración inicial necesaria para tener un servidor útil. En el resto del libro se analiza la manera de ajustar finamente estas y muchas otras características. Por esta razón, el análisis es breve y limitado, en comparación con lo que necesita para una configuración inicial del servidor.
Inicialización y personalización Los primeros pasos que la mayoría quiere dar tras la instalación de un nuevo sistema operativo son inicializarlo y personalizarlo, para que tenga el aspecto y opere de la manera que desee. Si ha hecho una actualización, muchos de estos pasos ya no son necesarios,
03 MATTHEWS 01.indd 59
1/14/09 12:13:17 PM
60
Windows Server 2008: Guía del Administrador
porque sus preferencias o las de su organización se han transferido desde Windows Server 2003. Aun con una actualización, todavía es deseable seguir los pasos para asegurar que nada ha cambiado.
Tareas de configuración inicial La ventana Tareas de configuración inicial mostrada en la figura 3-8, la primera ventana que se abre luego de una instalación limpia, es un buen lugar para empezar la configuración de un servidor (si hizo una actualización, no verá esta ventana y muchos de los ajustes se habrán transferido desde Windows Server 2003). Recorra la ventana Tareas de configuración inicial con estos pasos:
03 MATTHEWS 01.indd 60
1.
En la ventana Tareas de configuración inicial, revise hora y zona horaria mostradas; si no son correctas, haga clic en Establecer zona horaria. Haga los cambios necesarios y cierre los cuadros de diálogo que se abran.
2.
Omita Configurar funciones de red, porque esta sección se describe más adelante. Haga clic en Proporcionar nombre de equipo y dominio. Escriba la descripción del equipo y, si lo desea, haga clic en Cambiar.
3.
Ingrese el nombre del equipo que se usará en la red, luego seleccione dominio o grupo de trabajo e ingrese un nombre del dominio o grupo de trabajo del que el equipo será miembro. Se le dará la bienvenida al dominio o grupo de trabajo. Haga clic en Aceptar. Se le pedirá reiniciar el equipo.
4.
Si quiere habilitar las actualizaciones automáticas (lo más recomendable) haga clic en esa opción y luego en Habilitar comentarios y actualizaciones automáticas de Windows.
5.
Si quiere buscar y descargar las últimas actualizaciones para Windows Server 2008 (de nuevo, es recomendable), haga clic en esa opción y siga las instrucciones. Cuando haya terminado, cierre Internet Explorer y vuelva a la ventana de Tareas de configuración inicial.
1/14/09 12:13:17 PM
Capítulo 3:
Instalación de Windows Server 2008
61
6.
Deje los ajustes de funciones y características para el análisis que comienza más adelante en este capítulo bajo “Instale funciones de servidor”, que continúa en algunos capítulos de este libro.
7.
Tal vez no necesite la ventana Tareas de configuración inicial en el futuro, una vez que haya hecho los ajustes anteriores. Todas las opciones de la ventana Tareas de configuración inicial pueden hacerse en otros lugares en Windows Server 2008. Si no quiere ver la ventana Tareas de configuración inicial siempre que inicie Windows, haga clic en No mostrar esta ventana al iniciar sesión.
8.
Cuando haya terminado con la ventana Tareas de configuración inicial, haga clic en Cerrar. Se abrirá la ventana Administrador del servidor. Esta ventana se describirá a profundidad más adelante en este capítulo, bajo el tema: “Instale funciones de servidor”. Por ahora, haga clic en minimizar para hacer otras tareas preparatorias.
Personalice el escritorio Es importante que Windows tenga el aspecto y responda de la manera deseada, para que sea lo más eficiente posible. Para esto, querrá empezar por personalizar el escritorio.
03 MATTHEWS 01.indd 61
1.
Haga clic con el botón derecho en el escritorio y seleccione Personalizar. Se abrirá la ventana Personalización, mostrada en la figura 3-9.
2.
Haga clic en Configuración de pantalla, arrastre la barra deslizable Resolución y establezca la densidad del color deseada, haga clic en Aceptar y luego responda Sí a la pregunta: ¿desea conservar esta configuración de pantalla?
1/14/09 12:13:18 PM
62
Windows Server 2008: Guía del Administrador
Figura 3-9.
03 MATTHEWS 01.indd 62
La personalización del escritorio evita que pequeñas cosas sean problemáticas.
3.
Haga clic en Color y apariencia de las ventanas. Dé clic en Efectos, realice cualquier cambio que desee (ClearType y es muy útil con pantallas planas LCD) y dé clic en Aceptar. Haga clic en Opciones avanzadas, realice cualquier cambio de su elección y haga clic dos veces en Aceptar.
4.
Haga clic en Cambiar iconos del escritorio, en la columna Tareas. Haga clic en cualquier icono adicional que prefiera tener en el escritorio, como Equipo, y haga clic en Aceptar.
1/14/09 12:13:18 PM
Capítulo 3:
Instalación de Windows Server 2008
63
5.
Haga clic en Barra de tareas y menú Inicio, revise cada una de las pestañas y sus opciones, realice los cambios de su preferencia y haga clic en Aceptar.
6.
De manera similar, revise las opciones restantes en la ventana Personalización y haga los cambios deseados. Cuando esté listo, cierre la ventana Personalización.
7.
Para ajustar la barra de herramientas Inicio rápido, ubicada junto al menú Inicio, añadiendo a ella, por ejemplo, un acceso directo a Equipo, haga clic en Inicio y arrastre la palabra Equipo a la barra de herramientas Inicio rápido. Aquí, verá que se han agregado Equipo e Internet Explorer.
Configure las funciones de red En este libro, se dedica espacio considerable al trabajo en red y a configurarla de la mejor forma para su organización. En este capítulo, sólo nos aseguraremos de que funciona y, tal vez, haremos algunos cambios rápidos de opciones para lograrlo. 1.
03 MATTHEWS 01.indd 63
Haga clic en Inicio|Panel de control. En la ventana Panel de control que se abre, haga doble clic en Centro de redes y recursos compartidos. Se abre la ventana del mismo nombre, como se aprecia en la figura 3-10.
1/14/09 12:13:18 PM
64
Windows Server 2008: Guía del Administrador
Figura 3-10. El Centro de redes y recursos compartidos es un verdadero panel de control que proporciona grandes cantidades de información y control en una sola ventana.
En la parte superior del diagrama de la figura 3-10, observará que el servidor es parte de una red, a su vez conectada a Internet; esas conexiones funcionan como se espera (si su Centro de redes y recursos compartidos no muestra que su equipo está conectado a la red, consulte “Conexión a una red”, en la página posterior de este capítulo). Si hizo una actualización o una instalación limpia y, en el caso de una actualización, si el sistema estaba en un dominio, tal vez en un controlador de dominio, su Centro de redes y recursos compartidos podría verse diferente a la figura 3-10, que representa una instalación limpia en un servidor convencional. 2.
03 MATTHEWS 01.indd 64
Dado que este servidor es parte de una red de área local (LAN, Local Area Network) en una organización, tal vez quiera cambiar el tipo de red al que está conectado, de la opción predeterminada Red pública (con una instalación limpia), a una Red privada, con más opciones para compartir y descubrir, así como facilitar mayor intercambio de información. Para esto:
1/14/09 12:13:19 PM
Capítulo 3:
65
Instalación de Windows Server 2008
a. Haga clic en Personalizar y luego en Privada. Haga clic en Siguiente y en Cerrar.
b. Haga clic en la flecha hacia abajo en el área Detección de redes; dé clic en Activar la detección de redes y en Aplicar. c. Haga clic en la flecha hacia abajo, en el área Uso compartido de archivos, haga clic en Activar el uso compartido de archivos y haga clic en Aplicar. d. Haga clic en la flecha hacia abajo en el área Uso compartido, de la carpeta Acceso público, haga clic en Activar el uso compartido para que todos los usuarios con acceso a la red puedan abrir archivos o, si lo desea, la segunda opción relacionada con abrir, cambiar y crear archivos; dé clic en Aplicar. e. Haga clic en la flecha hacia abajo, en el área Uso compartido de impresoras, haga clic en Activar el uso compartido de impresoras (sólo estará disponible si tiene una impresora conectada) y haga clic en Aplicar. f. Como opción, haga clic en la flecha hacia abajo en el área Uso compartido con protección por contraseña, haga clic en Desactivar el uso compartido con protección por contraseña; dé clic en Aplicar. 3.
Cuando esté listo, cierre el Centro de redes y recursos compartidos.
Conexión a una red En casi todos los servidores con cinco años o menos, la instalación de Windows Server 2008 podrá establecer una conexión de red y, si está disponible, una conexión a Internet. Si su Centro de redes y recursos compartidos muestra que no tiene conexión, siga estos pasos:
03 MATTHEWS 01.indd 65
1/14/09 12:13:19 PM
66
Windows Server 2008: Guía del Administrador
03 MATTHEWS 01.indd 66
1.
Asegúrese de que su equipo tiene buena conexión física a la red. Si no está seguro, pruebe con otro equipo usando el mismo cable.
2.
Asegúrese de que otros equipos en la red funcionen adecuadamente.
3.
En el Centro de redes y recursos compartidos (consulte “Configure las funciones de red”, en páginas anteriores de este capítulo), haga clic en Administrar conexiones de red, en la columna de la izquierda, Tareas. Deberá ver Conexión de área local. De no ser así, necesita revisar los capítulos 5 y 6 sobre trabajo en red, configuración y administración de una red.
4.
Haga clic con el botón derecho en Conexión de área local y seleccione Estado. Se abrirá el cuadro de diálogo Estado de Conexión de área local. Si la conexión funciona de manera apropiada, verá actividad (en bytes) de envío y recepción.
1/14/09 12:13:19 PM
Capítulo 3:
Instalación de Windows Server 2008
67
5.
Si no ve actividad de red, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades de Conexión de área local. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades.
6.
Si está seleccionada la opción Obtener una dirección IP automáticamente, haga clic en Opciones avanzadas. En el cuadro de diálogo Configuración avanzada de TCP/ IP, deberá ver DHCP habilitado, indicando que un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) resuelve la dirección del Protocolo de Internet (IP, Internet Protocol). Haga clic en Aceptar.
7.
Si no ve DHCP habilitado, regrese al cuadro de diálogo Propiedades de Protocolo de Internet versión 4. Debe hacer clic en Usar la siguiente dirección IP y capturar una dirección. También es necesario que sea un servidor DHCP. Tanto el direccionamiento como la habilitación de la función de servidor DHCP se describen bajo el tema: “Instale funciones de servidor”, en páginas posteriores de este capítulo.
8.
Cierre todos los cuadros de diálogo y las ventanas abiertas y haga clic en Inicio|flecha Apagar|Reiniciar. Escriba algo en el cuadro de texto de comentarios del Rastreador de eventos de apagado y haga clic en Aceptar.
9.
Cuando Windows Server 2008 haya reiniciado, haga clic en Inicio|Panel de control. En el Panel de control, haga doble clic en Centro de redes y recursos compartidos. Si la ventana Centro de redes y recursos compartidos todavía no muestra conexión con la red, entonces deberá consultar los capítulos 5 y 6 para preparar el trabajo en red.
Explore su servidor Antes de seguir configurando el servidor, eche un vistazo a la manera en que configura la salida de la instalación. La cantidad de configuración inicial que deberá hacer dependerá del hecho de que haya realizado una instalación limpia o actualización. Dado que esta última mantiene muchas de las configuraciones anteriores y Active Directory se configura aunque el servidor sea un controlador de dominio, tal vez haya pocas tareas para efectuar en futuras sesiones. Para revisar esto, eche un vistazo al sistema antes de iniciar la configuración, mediante los siguientes pasos: 1.
03 MATTHEWS 01.indd 67
Haga clic en Inicio y luego en Equipo. Cuando aparezca, haga clic en Carpetas, en la columna de la izquierda y arrastre la línea sobre ella; al principio de la columna. Abra Equipo y Red, para tener un aspecto de su sistema similar al de la figura 3-11.
1/14/09 12:13:19 PM
68
Windows Server 2008: Guía del Administrador
Figura 3-11.
03 MATTHEWS 01.indd 68
Al abrir Equipo y Red, se muestra lo que hay disponible y puede verse desde el servidor.
2.
Abra los discos duros y carpetas en esas unidades, haciendo doble clic en ellos para ver qué hay en los discos.
3.
Haga clic con el botón derecho en su disco o volumen de arranque (tal vez C:, que deberá tener una marca de Windows en él) y haga clic en Propiedades, para ver cuánto espacio tiene tras instalar Windows Server 2008.
1/14/09 12:13:20 PM
Capítulo 3:
4.
03 MATTHEWS 01.indd 69
Instalación de Windows Server 2008
69
Abra un equipo en su red, luego abra una de sus unidades para ver si está conectado a la red y si puede encontrar equipos a las cuales vincularse.
1/14/09 12:13:20 PM
70
Windows Server 2008: Guía del Administrador
5.
Haga clic en Inicio y señale Herramientas administrativas. Observe que puede reiniciar el Administrador del servidor en el menú Inicio, la barra de herramientas Inicio rápido y Herramientas administrativas. (Su menú de Herramientas administrativas puede ser diferente del mostrado a continuación; dependerá si hizo una actualización o no.)
6.
Revise cualquier otro elemento que desee explorar. Cuando haya terminado, cierre todos los cuadros de diálogo.
Esto da una breve revisión general de su servidor, pero debe darle una idea de qué tiene pendiente para configurarlo.
Instale funciones de servidor El Administrador de servidor es una nueva utilería en Windows Server 2008. Aunque reemplaza a la opción Administre su servidor de Windows Server 2003, ofrece una capacidad de administración del servidor más completa, además de más información. En la figura 3-5, vista en páginas anteriores de este capítulo, se muestra la ventana del Administrador del servidor para una actualización de un controlador de dominio de Active Directory.
03 MATTHEWS 01.indd 70
1/14/09 12:13:20 PM
Capítulo 3:
Instalación de Windows Server 2008
71
Figura 3-12. El Administrador del servidor es la utilería principal de administración en Windows Server 2008.
En la figura 3-12 se muestra la ventana Administrador del servidor para una instalación limpia luego de los pasos anteriores de inicialización y personalización. 1.
Reabra el Administrador del servidor (debe estar en su barra de tareas; si no, haga clic en Inicio|Herramientas administrativas|Administrador del servidor) y revise su ventana. En la parte superior, hay información del equipo, seguridad y una serie de vínculos para administrar tales áreas.
2.
Desplácese hacia abajo: verá resúmenes de funciones y características, así como vínculos para agregarlos y eliminarlos. Al final, hay vínculos con varios recursos y opciones de ayuda. Si hizo una instalación limpia, dio los pasos anteriores de inicialización y personalización, tendrá instalada una función, Servicios de archivo y ninguna característica. Si hizo una actualización, tal vez tenga cierto número de funciones y características transferidas desde Windows Server 2003. Aquí hablaremos acerca de la instalación de algunas funciones, pero en el resto del libro regresaremos con frecuencia al Administrador del servidor para instalar una serie de funciones y características.
03 MATTHEWS 01.indd 71
1/14/09 12:13:20 PM
72
Windows Server 2008: Guía del Administrador
3.
En el Administrador del servidor, en la columna de la izquierda, haga clic en Funciones; luego, bajo Resumen de funciones, haga clic a la derecha en Agregar funciones, para ver las que tiene disponibles. En seguida de comprobar que el servidor se ha preparado correctamente, haga clic en Siguiente. Se abrirá el cuadro de diálogo Asistente para agregar funciones del servidor, como se muestra en la figura 3-13 y podrá seleccionar una o más funciones para su servidor, como se describe en la tabla 3-1. Puede abrir muchas veces el Asistente para agregar funciones, así como instalar diferentes funciones y características.
4.
Seleccione la función que quiera instalar y haga clic en Siguiente (algunas funciones requieren instalación de componentes esenciales; todo lo que debe hacer es aprobar su instalación cuando se le pregunte). Siga los pasos restantes del asistente para terminar con la instalación de la función seleccionada.
Figura 3-13. Windows Server 2008 inicia ofreciendo 16 funciones, pero Microsoft puede añadir otras para su descarga.
03 MATTHEWS 01.indd 72
1/14/09 12:13:21 PM
Capítulo 3:
Función de servidor
Instalación de Windows Server 2008
73
Descripción
Servicios de Certificate Otorga y administra certificados de seguridad requeridos por Server de Active Directory muchas aplicaciones. Servicios de dominio de Active Directory
Prepara el servicio de Active Directory y crea el controlador de dominio para almacenar y administrar la información del directorio y los procesos de inicio de sesión (se abrevia AD DS).
Servicios de federación de Active Directory
Proporciona inicio de sesión único (SSO) y acceso personalizado de cliente para aplicaciones basadas en Web y red.
Servicios de directorio Una opción a AD DS para el almacenamiento en red de datos de ligero de Active Directory aplicación. Active Directory Rights Management Services
Proporciona licencias para identificar usuarios y darles derechos específicos sobre el uso de la información.
Servidor de aplicaciones
Proporciona acceso y servicios de administración a .NET Framework, así como otras aplicaciones Web para ser usada por clientes con licencia.
Servidor DHCP
Prepara el protocolo de configuración dinámica de host para asignar direcciones IP a los clientes de la red.
Servidor DNS
Prepara el sistema de nombres de dominio para traducir nombres de equipos y sus dominios a direcciones del Protocolo de Internet (IP).
Servidor de fax
Proveedor para el envío y recepción de faxes y la administración de los recursos de fax en la red.
Servicios de archivo
Almacena y administra archivos accesibles para clientes.
Servicios de acceso y directivas de redes
Instala el servidor de directivas de red, que ofrece servicios de enrutamiento, acceso remoto y la seguridad necesarios.
Servicios de impresión
Proporciona acceso a las impresoras de red y permite su administración.
Terminal Services
Instala un servicio que permite a un cliente ejecutar una aplicación en el servidor como si fuera en el equipo cliente.
Servicios UDDI
Proporciona elementos para compartir información en una intranet usando descripción, descubrimiento e integración universales (UDDI, Universal Description, Discovery and Integration).
Servidor Web (IIS)
Proporciona hospedaje de páginas Web y aplicaciones Web.
Servicios de implementación de Windows
Proporciona elementos para la implementación de sistemas operativos de Microsoft en una red.
Tabla 3-1.
03 MATTHEWS 01.indd 73
Funciones de servidor disponibles en el Administrador del servidor.
1/14/09 12:13:21 PM
74
Windows Server 2008: Guía del Administrador
Decida si usa dominios o grupos de trabajo Al instalar AD DS asume que ha decidido usar dominios en su red, en lugar de grupos de trabajo. Un grupo de trabajo es una estructura simple de conectividad empleada para compartir carpetas e impresoras con un mínimo de seguridad. En un grupo de trabajo, no hay estructura de servidor y existe poca diferencia entre servidores y clientes. Los grupos de trabajo sólo se utilizan en las redes más pequeñas. Un dominio tiene una estructura mucho más compleja que agrupa recursos de red y cuentas de usuario bajo un nombre de dominio, susceptible de emplearse con varios niveles de servidores que mantendrán copias replicadas automáticamente de la misma información y, generalmente, brindan alto nivel de seguridad. El Active Directory de Windows Server 2008 requiere uno o más dominios. A menos que posea una red muy pequeña, inferior a diez usuarios y pocas posibilidades de crecimiento, es recomendable escoger el uso de dominios.
Instalación de un servidor DNS El sistema de nombres de dominio (DNS, Domain Name System) se usa para traducir o “resolver” un nombre de equipo en dirección IP, y viceversa. DNS es obligatorio para AD DS y DHCP, de no instalarse en la red, se instalará automáticamente con AD DS. Consulte el capítulo 6 para conocer más información acerca de la instalación y uso de DNS. Aquí se tratará la instalación con AD DS.
Instalación de los Servicios de dominio de Active Directory Cuando selecciona que se instale AD DS, también elige que se instale un controlador de dominio. Active Directory, para consolidar el acceso a todos los recursos de la red en una sola estructura jerárquica y un punto único de administración, es parte importante de Windows Server 2008 y el tema al que se dedica casi todo el capítulo 7. Aquí, baste con decir que si cuenta con varios servidores, querrá usar Active Directory, por la única razón de que consolida nombre de usuario y contraseña de inicio de sesión para toda la red. Active Directory debe residir en un controlador de dominio y requiere un servidor DNS. Parte de la configuración de Active Directory se relaciona con verificar estos requisitos, además de preparar el controlador de dominio. Este proceso se realiza en dos pasos: ▼
Utilizar el Asistente para agregar funciones, del Administrador del servidor, para instalar AD DS.
▲
Utilizar el Asistente para instalación de AD DS para configurar AD DS, se trate de un dominio nuevo o uno existente.
Instale los Servicios de dominio de Active Directory
03 MATTHEWS 01.indd 74
1.
En el Administrador del servidor, haga clic en Funciones, en la columna de la izquierda, haga clic en Agregar funciones, en la parte derecha, y luego en Siguiente.
2.
En el cuadro de diálogo Asistente para agregar funciones, haga clic en Servicios de dominio de Active Directory, haga clic en Siguiente; lea introducción, notas e información y haga clic en Siguiente. Tome nota de los mensajes y haga clic en Instalar.
1/14/09 12:13:21 PM
Capítulo 3:
Figura 3-14.
3.
Instalación de Windows Server 2008
75
El asistente para agregar funciones es el primero de dos pasos para instalar AD DS.
Empezará la instalación. Verá el avance en una barra de termómetro. Cuando esté completa, se le dirá que la instalación fue correcta, como se observa en la figura 3-14. Haga clic en Cerrar.
Configure los Servicios de dominio de Active Directory en un dominio nuevo
03 MATTHEWS 01.indd 75
1.
En el área Resumen de funciones, del Administrador del servidor, haga clic en Servicios de dominio de Active Directory. En la apertura del panel de AD DS, haga clic en Ejecute el Asistente para instalar los servicios de dominio de Active Directory, en la barra de información.
2.
Haga clic en Siguiente, en el Asistente para la instalación de Servicios de dominio de Active Directory, que se abre. Escoja si va a usar un bosque existente, en cuyo caso necesita seleccionar entre un dominio nuevo u otro ya existente o, si por el contrario, quiere crear un nuevo dominio en un nuevo bosque. Haga clic en Siguiente.
1/14/09 12:13:21 PM
76
Windows Server 2008: Guía del Administrador
NOTA Si decidió crear un dominio sin usar contraseña sólida (al menos ocho caracteres con mayúsculas y minúsculas, números y caracteres especiales), entonces necesita generar una con tales características.
3.
Ya seleccionada la creación de un nuevo dominio, escriba el nombre de dominio plenamente calificado (FQDN, Fully Qualified Domain Name) para el nuevo dominio (por ejemplo, acme.org o acme.local) y haga clic en Siguiente. Escoja el nivel funcional del bosque entre Windows 2000, Windows Server 2003 y Windows Server 2008, dependiendo de lo que tenga en la red. (Cuanto más elevado sea el nivel, más características habrá disponibles.) Haga clic en Siguiente.
SUGERENCIA Si selecciona un nombre simple como “Ventas”, que es aceptable, se le advertirá que no parece tratarse de un FQDN. De todas formas, es aceptable. Haga clic en Sí para seguir adelante y utilizarlo, o No para regresar y cambiarlo.
4.
Si el servidor actual es el primer controlador de dominio para un dominio y no un servidor DNS, se le mencionará que bajo estas circunstancias, se recomienda que sea un Servidor DNS, esa sección estará marcada. Ignórelo y haga clic en Siguiente.
5.
Si el servidor tiene una dirección IP asignada dinámicamente, se le indicará que debe asignarle una dirección estática. Escoja si va a asignar una dirección estática (recomendado) o no. Si decide asignar una dirección, debe hacer clic en No, salir del Asistente para la instalación de Servicios de dominio de Active Directory, asignar una dirección (consulte la nota siguiente) y regresar aquí.
NOTA Para asignar una dirección IP estática, haga clic en Inicio | Panel de control y haga doble clic en Centro de redes y recursos compartidos. En el Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red, en la columna de la izquierda. Haga clic con el botón derecho en Conexión de área local y seleccione Propiedades. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4), luego en Propiedades. Haga clic en Usar la siguiente dirección IP e ingrese una dirección IP. Si no tiene una, puede crearla usando el rango numérico del 192.168.0.0 al 192.168.255.255. Por ejemplo, 192.168.1.9 es un número legítimo y si no la está usando otro equipo en la red, funcionará. Oprima TAB para ir a Máscara de subred. La Máscara de subred se llenará con 255.255.255.0. Oprima TAB e ingrese su Puerta de enlace predeterminada. Se trata del enrutador que lo conecta a Internet. Si usa el esquema 192.168.0.0, 192.168.1.1 suele ser la puerta de enlace predeterminada. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP/IPv4). Haga clic en Cerrar; para hacer esto en el cuadro de diálogo Propiedades de Conexión de área local, haga clic en cerrar dos veces más, para cerrar Conexiones de red y Centro de redes y recursos compartidos.
03 MATTHEWS 01.indd 76
1/14/09 12:13:22 PM
Capítulo 3:
03 MATTHEWS 01.indd 77
Instalación de Windows Server 2008
77
6.
Si éste es el segundo servidor DNS o uno adicional y no puede encontrarse la zona primaria, se le indicará que necesita crear una delegación a este servidor de manera manual, si quiere integrarlo con la infraestructura existente de DNS. Si esto es lo que busca, necesita salir del Asistente para la instalación de Servicios de dominio de Active Directory, crear la delegación y regresar aquí. De otro modo, haga clic en Sí, para continuar con un servidor DNS aislado.
7.
Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos y el archivo de registro, que puede cambiar. Se sugiere que se mantengan en volúmenes o particiones separadas. Realice las correcciones necesarias a estas rutas y haga clic en Siguiente.
8.
Ingrese y confirme la contraseña para el Administrador del modo de restauración de servicios de directorio. Es la contraseña usada cuando el controlador de dominio arranca en el modo de Restauración de servicios de directorio. Haga clic en Siguiente.
9.
Revise el resumen de las acciones seleccionadas, que debe parecerse al de la figura 3-15, si ha seleccionado crear un nuevo dominio en un nuevo bosque. Si quiere cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuando esté listo, haga clic en Siguiente. Se configurarán el controlador de dominio y Active Directory. Esto puede tomar varias horas, si se trata de un dominio complejo.
1/14/09 12:13:22 PM
78
Windows Server 2008: Guía del Administrador
Figura 3-15. La creación de un nuevo dominio en un bosque nuevo debe incluir la creación de un servidor DNS.
10.
03 MATTHEWS 01.indd 78
Cuando se le indique que AD DS se ha instalado en este servidor, haga clic en Finalizar y reinicie su equipo. Para conocer más opciones y características de administración de AD DS, consulte el capítulo 7.
1/14/09 12:13:22 PM
Capítulo 3:
Instalación de Windows Server 2008
79
Configure Servicios de dominio de Active Directory en un dominio existente
03 MATTHEWS 01.indd 79
1.
En el área Resumen de funciones, del Administrador del servidor, haga clic en Servicios de dominio de Active Directory. En el panel de AD DS que se abre, haga clic en Ejecute el Asistente para la instalación de los servicios de dominio de Active Directory, en la barra de información.
2.
Haga clic en Siguiente, en el Asistente para instalación de los Servicios de dominio de Active Directory que se abre. Elija si quiere usar un bosque, en cuyo caso necesita escoger entre un nuevo dominio y uno existente o si quiere crear un nuevo dominio en un nuevo bosque. Haga clic en Siguiente.
3.
Si ha decidido agregar un controlador de dominio a un dominio existente, ingrese el nombre del dominio existente, si no ha sido rellenado por usted y haga clic en Establecer. Escriba el nombre de usuario y contraseña de una cuenta en el dominio, haga clic en Aceptar, luego en Siguiente.
4.
Seleccione el dominio del que este nuevo servidor formará parte y haga clic en Siguiente. Seleccione el sitio del nuevo controlador y haga clic en Siguiente.
5.
Debido a que no es el primer controlador de dominio, no quiera que este servidor sea DNS; en ese caso, deje la casilla de verificación sin marcar. Es buena idea hacer que por lo menos dos o más controladores de dominio sean maestros de Catálogo global, para fines de replicación; por ello, a menudo se recomienda dejar esa opción marcada. Haga clic en Siguiente.
6.
Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos y archivos de registro, mismas que puede cambiar. Se sugiere que se mantengan en volúmenes o particiones separadas.
7.
Ingrese y confirme la contraseña para el Administrador del modo de restauración de servicios de directorio. Es la contraseña usada cuando el controlador de dominio arranca en el modo de Restauración de servicios de directorio. Haga clic en Siguiente.
8.
Revise el resumen de las acciones seleccionadas, que deberá ser similar al de la figura 3-16, si eligió agregar un controlador de dominio a un dominio existente. Si quiere cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuando esté listo, haga clic en Siguiente. El controlador de dominio y Active Directory estarán configurados. Esto puede tomar varias horas, dependiendo de la complejidad de su dominio.
9.
Cuando se le informe que AD DS se ha instalado en el servidor, haga clic en Finalizar y reinicie su equipo. Para conocer más opciones de AD DS y sus características de administración, consulte el capítulo 7.
1/14/09 12:13:22 PM
80
Windows Server 2008: Guía del Administrador
Figura 3-16.
Existen cuatro elementos básicos de topologías de interconexión.
Instalación de un servidor DHCP Si el servidor en preparación es el primero en la red y no quiere asignar manualmente direcciones IP a todos los equipos de la red, necesita preparar el protocolo de configuración dinámica de host (DHCP), para que automáticamente asigne y administre direcciones IP para todos los demás equipos en la red. Consulte el capítulo 6 para conocer la manera de hacerlo.
03 MATTHEWS 01.indd 80
1/14/09 12:13:23 PM
CAPÍTULO 4 Servicios de implementación de Windows
81
04 MATTHEWS 01.indd 81
1/14/09 12:15:13 PM
82
Windows Server 2008: Guía del Administrador
S
ervicios de implementación de Windows (WDS) se usa para instalar Windows Vista o Windows Server 2008, además de Office 2007, en clientes desde un servidor que ejecute WDS; ello permite preparar un servidor para instalar estos productos en clientes. Se trata de una mejora sustancial, contra pasar tiempo frente a cada equipo en que se instalarán los productos. Se deben cumplir algunos requisitos para ejecutar WDS: ▼
Debe tener privilegios de administrador
■
El servidor debe cumplir los requisitos mínimos para ejecutar Windows Server 2008, sean las ediciones Standard o Enterprise, como se mencionó en el capítulo 2
■
El servidor debe tener una unidad con el sistema de archivos de nueva tecnología (NTFS, New Technology File System) o partición (o volumen) aparte, con al menos 10 GB libres (recomendado), donde puede instalarse WDS. Éste (WDS) no puede ser el volumen de arranque ni tener alguno de los archivos de sistema almacenados en él (usualmente, en la carpeta \Windows\System32\)
■
El servidor WDS u otros servidores de la red deben tener en ejecución servicios de nombres de dominio (DNS, Domain Name System), protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) y Servicios de dominio de Active Directory (AD DS, Active Directory Domain Services)
■
Los archivos de Windows y programas de aplicaciones que desee instalar en el equipo cliente deben estar en el servidor WDS
■
El cliente que instalará WDS debe cumplir con los requisitos mínimos para el sistema operativo y aplicaciones que se están instalando
■
El cliente debe tener un volumen con formato NTFS, en el que WDS instalará sistema operativo y software deseado. Esta unidad no puede usar el sistema de archivos cifrados (EFS, Encrypted File System) ni sistema de archivos distribuidos (DFS, Distributed File System), porque tal vez se pierda toda la información previa en la unidad (sólo puede hacer una instalación limpia con WDS)
■
Los componentes de red del equipo (la tarjeta de interfaz de red [NIC, Network Interface Card] o tarjeta de red integrada) deben dar soporte al protocolo de entorno de ejecución previa al arranque (PXE, Preboot Execution Environment) para permitir el arranque en red
▲
Cada equipo cliente necesitará una licencia por cada instalación de una imagen del sistema operativo. Puede ser una licencia individual o instalación por volumen
NOTA Si no se siente cómodo con los conceptos y la operación de DNS, DHCP y AD, es recomendable que primero lea la parte III de este libro acerca del trabajo en red (capítulos 5, 6 y 7) y luego regrese a este capítulo.
04 MATTHEWS 01.indd 82
1/14/09 12:15:13 PM
Capítulo 4:
Servicios de implementación de Windows
83
INSTALE Y CONFIGURE LOS SERVICIOS DE IMPLEMENTACIÓN DE WINDOWS WDS es una función del Administrador del servidor que debe instalarse de manera separada y luego configurarse.
Instale los Servicios de implementación de Windows WDS se instala con el Administrador del servidor: 1.
Seleccione el servidor que desee contenga WDS y haga clic en Inicio|Administrador del servidor. En éste, haga clic en Funciones, en la columna de la izquierda, y haga clic en Agregar funciones, a la derecha.
2.
Haga clic en Siguiente para desplegar la lista de las funciones, como se muestra en la figura 4-1. Haga clic en Servicios de implementación de Windows (WDS), haga clic en Siguiente y lea la introducción y las notas.
3.
Haga clic en Siguiente. Se le preguntará si sólo desea instalar un Servidor de transporte, subconjunto del WDS completo o la combinación de un Servidor de transporte y Servidor de implementación, que aporta la funcionalidad completa de WDS. El Servidor de transporte aislado sólo se usa en la limitada situación en que desee transmitir información a cierto número de servidores. En este capítulo se hablará sobre el WDS completo.
4.
Deje seleccionadas las opciones predeterminadas del Servidor de transporte y el Servidor de implementación; después haga clic en Siguiente e Instalar.
5.
Cuando se le indique que la instalación se ha completado, haga clic en Cerrar, luego cierre el Administrador del servidor.
Figura 4-1. El Servicio de implementación de Windows es una función en el Administrador del servidor.
04 MATTHEWS 01.indd 83
1/14/09 12:15:13 PM
84
Windows Server 2008: Guía del Administrador
Configure los Servicios de implementación de Windows Para crear un servidor de Servicios de implementación de Windows, debe configurarlo y añadir la imagen de arranque y la imagen de instalación predeterminadas. La primera se utiliza para arrancar un equipo cliente con PXE, de modo que pueda instalarse el sistema operativo. La imagen de instalación es la imagen del sistema operativo que se va a instalar.
Configure WDS La configuración de WDS indica volumen y carpeta que serán usados en el servidor, así como las opciones que se activarán.
04 MATTHEWS 01.indd 84
1.
Empiece por identificar y, tal vez, formatear un volumen y crear una carpeta en ese volumen (no puede usar el directorio raíz) que se usará con WDS. El volumen no puede contener un archivo empleado por el sistema operativo existente y debe tener, por lo menos, 10 GB. La carpeta que contendrá las imágenes para instalar debe tener un nombre sin espacios.
2.
Haga clic en Inicio|Herramientas administrativas|Servicios de implementación de Windows. Se abrirá la consola (ventana) de Servicios de implementación de Windows.
3.
Haga clic en Servidores, para abrirlos; haga clic con el botón derecho en el servidor en que desee configurar WDS y haga clic en Configurar servidor. Se abrirá el Asistente para configuración de Servicios de implementación de Windows. Lea lo que sea necesario.
1/14/09 12:15:14 PM
Capítulo 4:
Servicios de implementación de Windows
85
SUGERENCIA Si necesita formatear un volumen, una forma rápida de hacerlo es haciendo clic en Inicio | Administrador del servidor, y luego en Almacenamiento | Administración de discos; haga clic con el botón derecho en el volumen que habrá de formatearse y haga clic en Formatear. También puede crear una partición con el espacio libre, además de formatear una unidad, una partición, ambas. Consulte el capítulo 12 para conocer más detalles acerca de creación, formateo de volúmenes y particionamiento de unidades.
4.
Haga clic en Siguiente. Ingrese la ruta al volumen NTFS que habrá de usar WDS y el nombre de la carpeta dentro de ese volumen. Haga clic en Siguiente.
5.
Si DHCP se ejecuta en el mismo servidor que WDS, debe marcar ambas opciones en el cuadro de diálogo Opción 60 de DHCP y hacer clic en Siguiente.
6.
Deje la opción predeterminada No responder a ningun equipo cliente y haga clic en Finalizar. Haga clic en Agregar imágenes al Servidor de implementación de Windows, para quitar la marca de verificación y haga clic en Finalizar, una vez más.
Agregue una imagen de arranque Cuando se arranca un equipo cliente mediante un arranque de red con PXE, el WDS del servidor responderá a la solicitud de una imagen de arranque y ofrecerá una que inicie la imagen de instalación. Si hay dos o más imágenes de arranque (por ejemplo, para arrancar diferentes imágenes de instalación), WDS proporcionará un menú de arranque similar al menú Datos de configuración de arranque (BCD, Boot Configuration Data), usado por Windows Vista y Windows Server 2008.
04 MATTHEWS 01.indd 85
1/14/09 12:15:14 PM
86
Windows Server 2008: Guía del Administrador
NOTA Si desea la funcionalidad completa de WDS, debe usar el archivo boot.wim del DVD de Windows Server 2008 y no el que se encuentra en el DVD de Windows Vista.
04 MATTHEWS 01.indd 86
1.
En la ventana de WDS, abra el servidor en que acaba de configurar WDS, haga clic con el botón derecho en Imágenes de arranque y haga clic en Agregar imagen de arranque.
2.
Haga clic en Examinar y diríjase a la ubicación de los archivos y carpetas de instalación de Windows (los que se encuentran en el DVD de instalación de Windows) que desee instalar en los equipos cliente.
3.
Abra la carpeta /Sources/, dé doble clic en Boot.wim y haga clic en Siguiente. Ingrese el nombre de la imagen, descripción y haga clic en Siguiente.
1/14/09 12:15:14 PM
Capítulo 4:
Servicios de implementación de Windows
87
4.
Se le mostrará una lista con los parámetros seleccionados. Si éstos no son correctos haga clic en Atrás y efectúe los cambios necesarios. Cuando la lista ya esté correcta, haga clic en Siguiente. El asistente Servicios de implementación de Windows —Asistente para agregar imágenes— añadirá la imagen de arranque al volumen WDS que identificó en “Configure WDS”, en páginas anteriores.
5.
Cuando el asistente haya completado la operación, haga clic en Finalizar.
Agregue una imagen de instalación La imagen de instalación, que se inicia con la imagen de arranque, es un archivo único (de casi 1.5 GB para la versión x86 de Windows Server 2008), que efectúa la instalación completa de Windows Server 2008 o Windows Vista (el ejemplo aquí será de Windows Server 2008, pero los pasos pueden aplicarse de igual manera a Windows Vista).
04 MATTHEWS 01.indd 87
1.
En la ventana de WDS, abra el servidor en que configuró WDS, haga clic con el botón derecho en Imágenes de instalación y seleccione Agregar imagen de instalación.
2.
Si ésta es la primera imagen que añade al servidor, acepte el valor por omisión: Crear un nuevo grupo de imágenes; ingrese el nombre del grupo o acepte la opción predeterminada y haga clic en Siguiente.
3.
Haga clic en Examinar y vaya a la ubicación de los archivos y carpetas de instalación de Windows (los que se encuentran en el CD de instalación de Windows) que desee instalar en los equipos cliente.
4.
Abra la carpeta /Sources/, haga doble clic en install.wim y dé clic en Siguiente. Seleccione las imágenes que desee agregar y, por último, haga clic en Siguiente.
1/14/09 12:15:14 PM
88
Windows Server 2008: Guía del Administrador
5.
Se le mostrará una lista con las opciones elegidas. Si éstas no son correctas, haga clic en Atrás y realice los cambios necesarios. Cuando la lista sea correcta, haga clic en Siguiente. El asistente Servicios de implementación de Windows —Asistente para agregar imágenes— añadirá la imagen de instalación al volumen WDS que identificó en “Configure WDS”, en páginas anteriores de este capítulo.
6.
Cuando el asistente haya completado la operación, haga clic en Finalizar.
Configure un cliente para arranque por PXE Para hacer un arranque de red mediante PXE, deberá cambiar la secuencia de arranque en el BIOS (Basic Input/Output System, sistema básico de entrada/salida), al que se ingresa al principio del proceso de arranque. La manera como se entra al BIOS suele identificarse en la primera pantalla del arranque. Con frecuencia se oprimen y sostienen las teclas de función f1 o f2. También las teclas supr y esc suelen usarse con este fin. Una vez que haya entrado al BIOS, primero debe cambiar la secuencia de arranque para hacer un arranque de red PXE, antes del disco duro. En el BIOS:
04 MATTHEWS 01.indd 88
1.
Busque una opción, menú o pestaña indicando “Boot” (arranque) o “Boot Sequence” (secuencia de arranque) y haga clic en él o use flechas u otras teclas para seleccionarla o abrirla, para ver las opciones de arranque.
2.
Deberá encontrar una lista con las secuencias en que los dispositivos de arranque son ingresados como la siguiente: ▼
Internal Hard Disk Drive (o HDD)
■
CD/DVD Drive
■
Floppy Drive
▲
Tarjeta de red interna (o NIC)
3.
Querrá cambiar el orden, de tal manera que la Tarjeta de red interna (o NIC) sea la primera; de otro modo, algún dispositivo superior, como el disco duro, se usará para iniciar el equipo.
4.
La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los casos las instrucciones se encuentran en la pantalla. En general, se usan las teclas de flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabilitarla, mientras las teclas + y – o las teclas u o d sirven para subir o bajar las opciones; utilice enter o una tecla de función para terminar y grabar el cambio, así como presionar esc u otra tecla de función cancela cualquier cambio.
5.
Tal vez necesite habilitar manualmente la tarjeta de red con el arranque PXE. Necesita buscar una opción o elemento de menú que le permita cambiar los parámetros de la tarjeta de red o dispositivo integrado del equipo. Puede estar bajo otra opción, como “Onboard Devices”.
6.
Cuando encuentre los parámetros para la tarjeta de red, necesitará habilitar el arranque sólo o por PXE. Una vez que lo haya hecho, necesita grabar los cambios y cerrar su BIOS.
1/14/09 12:15:15 PM
Capítulo 4:
Servicios de implementación de Windows
89
PRUEBE Y DIAGNOSTIQUE LOS SERVICIOS DE IMPLEMENTACIÓN DE WINDOWS Con un cliente que arranque por PXE; DHCP, DNS y Active Directory en ejecución y configurados, nombre de usuario de dominio y contraseña disponibles, está listo para empezar a probar WDS y, si es necesario, para detectar y solucionar problemas relacionados con él.
Pruebe los Servicios de implementación de Windows Pruebe la capacidad de WDS para instalar Windows Server 2008: 1.
Reinicie el equipo cliente con el arranque de red PXE en que desee utilizar WDS, para instalar Windows Server 2008 o Vista. Verá una notificación de que el equipo arranca desde la tarjeta de red y que busca un DHCP.
2.
Cuando localice el servidor WDS, se le pedirá oprimir f12 para hacer un arranque de red. Esto debe hacerlo rápido o, de lo contrario, obtendrá un mensaje acerca de que sale del arranque de red. En tal caso, simplemente reinicie y oprima f12 de prisa.
3.
Si oprime f12 a tiempo y tiene más de una imagen de arranque, verá un menú con las imágenes disponibles. Use las teclas de flecha para seleccionar una y oprima enter. En cualquier caso, WDS iniciará.
4.
Seleccione región y teclado que desee usar, haga clic en Siguiente. Escriba nombre de usuario de dominio (con el formato dominio\usuario) y contraseña con privilegios administrativos para iniciar sesión en la red. Haga clic en Aceptar.
5.
Si hay más de una imagen de instalación disponible, tendrá la oportunidad para elegir cuál se instalará. Realice su selección y haga clic en Siguiente. La preparación de Windows empezará.
6.
Si se le da la opción, escoja la partición de disco en que desee instalar Windows. Puede hacer clic en Opciones de unidad (avanzadas) para trabajar con las particiones y distribuirlas. Haga clic en Siguiente cuando esté listo. La instalación empezará a copiar y expandir archivos, instalando características y actualizaciones.
7.
El sistema se reiniciará dos veces (asegúrese de no oprimir f12), por lo que se le pedirá que seleccione país, zona horaria, moneda y formato de teclado. Haga clic en Siguiente.
8.
Cuando se le pida, escriba la clave del producto y haga clic en Siguiente. Haga clic en Acepto los términos de licencia y haga clic en Siguiente. Ingrese el nombre del equipo y haga clic en Iniciar. El programa terminará la instalación, se le pedirá que ingrese y confirme una contraseña y Windows Server 2008 se iniciará por primera vez.
Detecte y solucione problemas de los Servicios de implementación de Windows Resulta obvio que varias cosas pueden salir mal durante la prueba de WDS. Los problemas más comunes son:
04 MATTHEWS 01.indd 89
1/14/09 12:15:15 PM
90
Windows Server 2008: Guía del Administrador
▼
No puede hacer un arranque de red por PXE
▲
No puede conectarse al servidor WDS
A continuación verá cada uno de ellos.
No puede hacer un arranque de red por PXE El primer paso consiste en asegurarse de que el equipo cliente pueda arrancar de red por PXE. Casi todos los equipos, sobre todo los comerciales y producidos en los últimos años, tienen esta capacidad. Si no está seguro, busque en el BIOS cualquier mención (consulte “Configure un cliente para arranque por PXE”, en este capítulo). También puede buscar en la documentación incluida en el equipo o buscar cualquier información en el sitio Web del fabricante.
No puede conectarse al servidor WDS Si ve indicios de que se intenta un arranque de red (deberá ver varias líneas de texto señalando la versión de PXE y dirección MAC [Media Access Control, control de acceso a medios] y GUID [Globally Unique Identifier, identificador global único], seguido por “DHCP” y una serie de puntos), pero obtiene un mensaje “No Boot Filename Received”, seguido por un mensaje indicando que se cancela el arranque de red, entonces, por alguna razón, el servidor no está respondiendo a las solicitudes de la ROM (el chip de memoria de sólo lectura) de arranque en red. Esto suele ocurrir porque Active Directory, DNS y DHCP no están instalados o configurados apropiadamente o porque las directivas o permisos lo impiden. En el capítulo 6 se analiza de manera detallada cómo preparar DNS y DHCP, además de introducir políticas y permisos, mientras el capítulo 7 trata acerca de Active Directory. En resumen, las tareas son las siguientes:
04 MATTHEWS 01.indd 90
▼
Configurar la red, asegurando que TCP/IP está instalado y servidor o servidores DNS y DHCP tienen direcciones IP fijas
■
Configurar DNS y DHCP, asegurando que DHCP se ejecuta en un controlador de dominio, autorizado por el servidor WDS y su ámbito se ha creado cubriendo los clientes que WDS habrá de instalar. Un servidor DHCP correctamente preparado deberá tener los componentes aquí mostrados
1/14/09 12:15:15 PM
Capítulo 4:
04 MATTHEWS 01.indd 91
91
Servicios de implementación de Windows
■
Configurar Active Directory de manera que el servidor WDS sea un controlador de dominio, en el mismo dominio en que los clientes por instalarse son miembros
■
Revisar directivas y permisos para el servidor WDS y para cliente o clientes, además de asegurar que nada se interponga para hacer la instalación remota
■
Asegurar que la persona iniciando sesión para hacer la instalación de WDS (usted) tiene privilegios de administrador en el dominio
▲
Asegurar que cliente y servidor pueden verse entre sí e intercambiar archivos en la red
1/14/09 12:15:15 PM
05 MATTHEWS 01.indd 92
1/14/09 1:13:34 PM
PARTE III Trabajo en red con Windows Server 2008
93
05 MATTHEWS 01.indd 93
1/14/09 1:13:35 PM
05 MATTHEWS 01.indd 94
1/14/09 1:13:35 PM
CAPÍTULO 5 Entorno de red de Windows Server 2008
95
05 MATTHEWS 01.indd 95
1/14/09 1:13:35 PM
96
Windows Server 2008: Guía del Administrador
E
l trabajo en red es la función más importante de Windows Server 2008. Es su razón de ser. La capacidad para conectar equipos, y permitirles compartir información y recursos con un alto grado de seguridad y control, es la razón más importante para mejorar la productividad. Al reconocer tal importancia, en esta parte se dedican tres capítulos al trabajo en red. En el capítulo 5 se ofrecen las bases completas para la comprensión de las funciones de red, describiendo esquemas, hardware y protocolos o estándares usados para hacer funcionar una red. En el capítulo 6 se describe cómo preparar y administrar la red en Windows Server 2008. El capítulo 7 se concentra en el uso de dominios en Windows Server 2008 y la función central que Active Directory juega en la administración del trabajo en red.
TRABAJO EN RED Windows Server 2008 es un sistema operativo de red. Esto permite la interconexión de varios equipos con el propósito de: ▼
Intercambiar información, como enviar archivos de un equipo a otro
■
Comunicarse (por ejemplo, mediante el envío de correos electrónicos entre usuarios de la red)
■
Compartir información al hacer que los usuarios de la red accedan a archivos comunes
■
Compartir recursos de red (impresoras, dispositivos de copia de seguridad y una conexión de banda ancha a Internet)
▲
Proporcionar alto grado de seguridad y control para datos así como su comunicación, también para los usuarios de la red
El trabajo en red es importante para casi cualquier organización de dos o más personas en comunicación y compartiendo datos. El intercambio de esta última permite a varias personas trabajar fácilmente desde su lugar y utilizar la misma información; además, previene errores provocados por falta de información reciente. Las comunicaciones de correo electrónico facilitan la coordinación rápida y fácil de información actual entre personas, como citas de reuniones. La posibilidad de compartir recursos permite a una organización comprar mejores dispositivos (con mayor capacidad y más costosos), como una impresora láser a color, que si debiera comprarlos para cada usuario. El trabajo en red es el ingrediente primario para que los equipos contribuyan al incremento de la productividad y, desde el punto de vista de este libro, es la capacidad más importante de Windows Server 2008. El trabajo en red es un sistema que incluye conexión entre equipos para facilitar la transferencia de información, además de un esquema para controlar dicha transferencia. El esquema garantiza que la información se transfiera correctamente (dirigida al receptor indicado) y de manera precisa (los datos preserven sus características entre receptor y emisor), mientras muchas otras transferencias se llevan a cabo simultáneamente. Para lograr estos objetivos, conforme transfiere información (por lo general, mucha) debe existir una forma estándar para identificar correctamente y dirigir cada transferencia, así como para detener una transferencia mientras otra se lleva a cabo. Un sistema de red tiene estos componentes:
05 MATTHEWS 01.indd 96
1/14/09 1:13:35 PM
Capítulo 5:
Entorno de red de Windows Server 2008
▼
Un esquema de red que maneje transferencia
■
Hardware de red que maneje conexión
▲
Un estándar o protocolo de trabajo en red que maneje identificación y direccionamiento
97
Windows Server 2008 da soporte a varios esquemas diferentes de trabajo en red, funciona con una gran variedad de hardware y puede manejar varios protocolos. El propósito de este capítulo es revisar las opciones posibles de trabajo en red proporcionadas por Windows Server 2008, con suficiente minucia como para decidir cuál de éstas es la mejor para su instalación. El capítulo 6 se enfocará en explicar cómo preparar y administrar el trabajo en red con Windows Server 2008, mientras en el capítulo 7 se abordarán Active Directory y dominios con mayor profundidad. NOTA Aunque en esta sección del libro se brinda gran cantidad de información sobre las funciones de red, es menor en comparación con la Encyclopedia of Networking & Telecommunications, de Tom Sheldon (McGraw-Hill, 2001). Si necesita más información de la aquí presentada, consulte el libro de Tom. Él también mantiene un sitio Web activo en: http://www.linktionary.com.
ESQUEMAS DE RED Los esquemas empleados para transferir información en una red determinan en gran medida el hardware en uso, están integrados al software y deben implementar estándares y protocolos deseados. Así, es difícil hablar sólo de esquemas, hardware o protocolos, porque están interrelacionados. Esto se complica más porque el esquema de trabajo en red es una función del tipo de trabajo en red y la tecnología empleada.
Tipos de redes El tipo de una red cambia si está confinada a una ubicación única o se extiende por un área geográfica amplia. Una red distribuida en un área geográfica amplia es una red de área amplia (WAN, Wide Area Network). Las WAN pueden utilizar líneas telefónicas compartidas y privadas, vínculos satelitales, enlaces de microondas y cableado compartido o dedicado —ya sea de fibra óptica o cobre—, para conectar nodos tanto a una calle de distancia como al otro lado del mundo. Las WAN con cantidades razonables de ancho de banda manejan, por lo menos, 1 millón de bits (megabits) por segundo (Mbps). Son caras, van de uno a varios miles de dólares por mes y exigen tecnología sofisticada. Por tanto, las WAN son proyectos de gran envergadura para grandes organizaciones. Un uso más simple y menos costoso, aunque no económico de las WAN, consiste en interconectar redes más pequeñas en un edificio o campus de edificios cercanos entre sí. Este uso de una WAN en un campus se menciona en otros párrafos de este capítulo. NOTA Muchas compañías usan Internet para hacer lo que antes sólo era posible manejar con WAN, como intercambio de correo electrónico e información privada mediante redes privadas virtuales (VPN, Virtual Private Networks), para su análisis en el capítulo 10, razón por la que el crecimiento en WAN es modesto.
05 MATTHEWS 01.indd 97
1/14/09 1:13:36 PM
98
Windows Server 2008: Guía del Administrador
A una red confinada para una ubicación única se le llama red de área local (LAN, Local Area Network). Las LAN usan cableado dedicado o canales inalámbricos y, por lo general, no salen de un solo edificio; pueden limitarse a un solo piso de un edificio o departamento en una misma compañía. Las LAN son mucho más comunes que las WAN y se tratarán en forma prioritaria en éste y los siguientes dos capítulos. Las LAN tienen dos subcategorías: LAN de igual a igual (peer-to-peer o p2p) y LAN cliente/servidor, distinguidas por la manera en que distribuyen las tareas de trabajo en red.
LAN de igual a igual Todos los equipos en una LAN de igual a igual son servidores y clientes; proporcionan y utilizan recursos. Cualquier equipo de red puede almacenar información y facilitar recursos, como una impresora, para el uso por parte de cualquier otro equipo integrado en la red. Las funciones de red de igual a igual son un sencillo primer paso para el trabajo en red, que se logra simplemente conectando equipos existentes, como se muestra en la figura 5-1. No requiere la compra de equipo nuevo ni cambios importantes en la manera en que la organización usa los equipos, pero es posible compartir recursos (como la impresora de la figura 5-1), transferir archivos y comunicaciones, además de lograr que todos accedan a información común.
Figura 5-1.
05 MATTHEWS 01.indd 98
Una red de igual a igual con topología de estrella.
1/14/09 1:13:36 PM
Capítulo 5:
Entorno de red de Windows Server 2008
99
Las LAN de igual a igual tienden a ser usadas en organizaciones pequeñas, que no requieren compartir un recurso central grande —como una base de datos— ni un alto grado de seguridad o control central. Cada equipo de una LAN igual a igual es autónomo y suele integrarse con otros equipos, tan sólo para transferir archivos y compartir equipo costoso. Como leerá más adelante en este capítulo, bajo el tema “Hardware de red”, es muy fácil construir una LAN de igual a igual con equipos existentes y puede ser barato (menos de 30 dólares por estación).
LAN cliente/servidor Los equipos en una LAN cliente/servidor desempeñan una de dos funciones: servidor o cliente. Los servidores administran la red, almacenan centralmente la información compartida en ésta y proporcionan los recursos compartidos. Los clientes o estaciones de trabajo son usuarios de la red y equipos de escritorio o portátiles normales. Para crear una red, clientes y servidor o servidores se conectan entre sí, tal vez con recursos de red independientes (por ejemplo, una impresora, como se muestra en la figura 5-2).
Figura 5-2.
05 MATTHEWS 01.indd 99
Una LAN cliente/servidor con topología de estrella.
1/14/09 1:13:36 PM
100
Windows Server 2008: Guía del Administrador
Entre las funciones de administración provistas por el servidor se incluyen seguridad de red y administración de permisos necesarios para implementar seguridad; comunicaciones entre usuarios de la red, además de la administración de archivos compartidos en red. En general, los servidores tienen más capacidad que los clientes, porque cuentan con más memoria, pueden ser más rápidos y contar con más procesadores, discos más grandes y mayor cantidad de periféricos especiales, como unidades más grandes de cinta de alta velocidad. Los servidores suelen estar dedicados a su función y, con poca frecuencia, se usan para tareas de equipo normal, como el procesamiento de palabras. Usualmente, los clientes tienen menos capacidad que los servidores y tal vez no tengan discos. Por lo general, los clientes son equipos de escritorio y portátiles que desempeñan las funciones normales para ese tipo de máquinas, además de ser parte de una red. Los clientes también pueden ser “miniservidores”, al compartir algunas o todas sus unidades de disco y otros recursos. Por tanto, la principal diferencia entre redes de igual a igual y cliente/servidor es la adición de un servidor dedicado. Windows Vista y Windows Server 2008 trabajan juntos para formar un entorno operativo de red cliente/servidor; Windows Server 2008 desempeñando su función y Windows Vista como cliente. Algunos equipos con Windows Vista pueden operar en una red de igual a igual, pero lo que se asume en todo este libro es que se está interesado primordialmente en el trabajo en red cliente/servidor, usando Windows Server 2008 y clientes Windows Vista.
La tarea de la conexión en red La tarea desempeñada por el sistema de red es importante y compleja. Por lo menos, dicha tarea incluye estos elementos:
05 MATTHEWS 01.indd 100
▼
Identificar cada uno de los equipos en una red
■
Identificar la información que habrá de transferirse como mensaje individual
■
Agregar a cada mensaje una identificación única y la dirección de los equipos que envían y reciben
■
Encerrar el mensaje en uno o más paquetes de tamaño moderado, similares a sobres, con direcciones de remitente y destino, así como el lugar al que pertenece el paquete dentro del mensaje
■
Encapsular el paquete en tramas transferidas en red
■
Monitorear el tráfico de red para saber cuándo enviar una trama, además de evitar que colisionen con otras tramas dentro de la red
■
Transmitir una trama sobre la red (dependiendo de los dispositivos de interconexión usados, la trama puede ser abierta y los paquetes puestos en nuevas tramas mientras están en camino)
■
Proporcionar medios físicos, incluidos cableados y dispositivos electrónicos inalámbricos, para trasportar la trama entre equipos
■
Monitorear el tráfico de la red, para saber cuándo se recibirá una trama
■
Recibir una trama en la red
1/14/09 1:13:37 PM
Capítulo 5:
Entorno de red de Windows Server 2008
101
■
Extraer los paquetes en una o más tramas y combinarlos en el mensaje original
▲
Determinar si el mensaje pertenece al equipo destinatario y luego enviar el mensaje para posterior procesamiento, si pertenece a éste, o ignorar el mensaje si no le pertenece
NOTA Los nombres de las piezas de información, como mensajes, paquetes y tramas, se analizan aún más bajo el tema “TCP”, en páginas posteriores de este capítulo. En la figura 5-20 de esa sección se muestran gráficamente estas piezas de información.
Para describir mejor las tareas de trabajo en red, la International Organization for Standardization o ISO (organización de las Naciones Unidas incorrectamente llamada “Organización Internacional de Estándares”; el acrónimo ISO proviene de la palabra griega isos, que significa igual) ha desarrollado un modelo de referencia para el trabajo en red. A este modelo se le denomina interconexión de sistemas abiertos (OSI, Open Systems Interconnection). NOTA El modelo OSI es útil para describir el trabajo en red y relacionar sus diversos componentes. No necesariamente representa a Windows Server 2008 o cualquier otra implementación de red, pero es una referencia muy conocida y aceptada.
El modelo OSI El modelo OSI describe la manera en que la información de un equipo se mueve a otro, a través de una red. Define el trabajo en red en siete capas; cada una de ellas desempeña un conjunto particular de funciones dentro de la tarea de trabajo en red, dividiendo la tarea de ésta en siete tareas más pequeñas. Cada capa puede comunicarse con las que se encuentran arriba y bajo ella y, también, con la capa opuesta en otro equipo de la red, como se ilustra en la figura 5-3. La comunicación entre equipos baja hasta los niveles inferiores, a través de la conexión física y vuelve a subir capas en el otro equipo. En el modelo OSI, las dos capas inferiores son implementadas en una combinación de hardware y software, mientras las cinco capas superiores son implementadas en software. El software de las capas inferiores se dedica al trabajo en red y puede estar escrito en silicio. El software de las capas superiores es una parte del sistema operativo o aplicación, mientras el trabajo en red sólo es una de sus tareas. Por ejemplo, una aplicación cliente de correo electrónico que desea obtener su correo del servidor pasa su solicitud a la capa de la aplicación del sistema de red en su equipo. Esta información se baja a través de las capas hasta alcanzar la capa física, donde la información se coloca en la red física. La capa física del servidor toma información de la red física y la sube por las capas hasta llegar a la capa Aplicación, que pasa la solicitud a la aplicación de servidor de correo electrónico. Si es necesario, cada una de las capas OSI puede agregar información específica de control a la información que se transfiere en la red. La información de control puede ser para otras capas en su propia pila o la capa opuesta en el otro equipo y pueden tratarse de solicitudes o instrucciones. La información de control puede agregarse como encabezado al principio de la información transmitida o como una cola al final. El encabezado o cola agregado en una capa se vuelve parte de la información básica que se transfiere en otra. La siguiente
05 MATTHEWS 01.indd 101
1/14/09 1:13:37 PM
102
Windows Server 2008: Guía del Administrador
Usuario final 2
Usuario final 1 7. Capa de la aplicación
6. Capa de la presentación
5. Capa de la sesión
4. Capa de transporte
3. Capa red
2. Capa de vínculo de datos
1. Capa física
Hardware/equipo 1
Figura 5-3.
Mecanismo de acceso a una red por parte de las aplicaciones
Codificación, cifrado y compresión de la información
Establecimiento, coordinación y finalización de una sesión de red
División de mensajes en paquetes y control de su transmisión
Empaquetamiento de tramas y su enrutamiento en una red
Direccionamiento, envío y recepción de tramas
Transferencia física de la información
Conexión física
7. Capa de la aplicación
6. Capa de la presentación
5. Capa de la sesión
4. Capa de transporte
3. Capa red
2. Capa de vínculo de datos
1. Capa física
Hardware/equipo 2
El modelo OSI que describe el trabajo de red entre dos equipos.
capa puede agregar otro encabezado o cola, pero si uno de éstos se dirige a esa capa, elimina el encabezado o cola. En la siguiente lista se menciona el tipo de información de control y la función definida para cada capa:
05 MATTHEWS 01.indd 102
▼
Capa física Define las especificaciones físicas, como voltajes y frecuencias, para que la interfaz de red funcione como se pretende. Estas especificaciones están implementadas en el hardware de red.
■
Capa de vínculo de datos Define el direccionamiento de tramas, así como el envío y la recepción de éstas entre dos equipos vinculados. Tras pasar una trama a la capa física para su envío, la capa de vínculo de datos espera la confirmación de que se ha recibido la trama antes de enviar otra; si la confirmación no se recibe, la capa de vínculo de datos reenvía la primera trama. Tal capa proporciona conexión
1/14/09 1:13:37 PM
Capítulo 5:
Entorno de red de Windows Server 2008
103
punto a punto entre ésta y el equipo receptor usando la dirección física. A la dirección física de la capa de vínculo de datos se le denomina dirección de control de acceso al medio (MAC, Media Access Control). Las especificaciones de la capa de vínculo de datos se implementan en una combinación de hardware y software de red dedicado.
05 MATTHEWS 01.indd 103
■
Capa de red Define la integración de paquetes en tramas y direccionamiento lógico (a diferencia del físico usado en la capa de vínculo de datos) necesario para proporcionar enrutamiento entre varias redes conectadas. Los paquetes, que pueden ser más o menos grandes que las tramas, se dividen o combinan para crear las tramas en el equipo remitente y son reensamblados o desensamblados en el equipo destinatario para reproducir los paquetes originales. La conectividad en la capa de red suele usar el direccionamiento del protocolo de Internet (IP, Internet Protocol) para identificar adónde deben enviarse las tramas. Las especificaciones de la capa de red se implementan en software de red dedicado.
■
Capa de transporte Define la división de un mensaje en paquetes, la identificación de los paquetes y el control de la transmisión del paquete para saber si se están enviando y recibiendo correctamente; si no es así, hace una pausa y reenvía la transmisión. La capa de transporte crea, regula y finaliza el flujo de paquetes usando un circuito virtual entre el equipo emisor y el receptor (el flujo todavía es hacia abajo a través de las otras capas, por la conexión y hacia arriba del otro lado, pero pasa como si las dos capas de transporte se comunicaran directamente entre sí). La capa de transporte suele usar el protocolo de control de transmisión (TCP, Transmission Control Protocol) para iniciar, regular y finalizar el flujo de paquetes. La especificación de la capa de transporte se implementa en software de sistemas operativos relacionados con el trabajo en red, como Windows Server 2008, usando protocolos de red.
■
Capa de la sesión Define el diálogo entre equipos para que ambos sepan el momento de iniciar y detener la transmisión, creando una sesión, además de cuándo repetir una sesión si no se ha recibido correctamente. La capa de la sesión también maneja asuntos relacionados con seguridad y tiene sus raíces en los entornos de tiempo compartido en el mainframe, terminal o ambos. Las especificaciones de la capa de la sesión están implementadas en el software de sistema operativo de red.
■
Capa de la presentación Define la codificación de la información para ser transmitida de manera fácil y segura, asimismo para que la lea el equipo receptor. Esto incluye conversión de información de caracteres, imágenes, audio y video en representaciones de datos comunes, cifrado y compresión de la información, incluido el retorno de la información a su forma nativa tras la recepción. Las especificaciones de la capa de la presentación están implementadas en el software de sistema operativo.
▲
Capa de la aplicación Define el mecanismo por el que las aplicaciones acceden a la red para enviar y recibir información. Esto incluye manejo bidireccional de información, además de identificación, ubicación y determinación de la disponibilidad del compañero para un intercambio de información. Las especificaciones de la capa de la aplicación están implementadas en el sistema operativo y software de aplicación.
1/14/09 1:13:38 PM
104
Windows Server 2008: Guía del Administrador
Tenga en cuenta el modelo OSI a medida que lee el resto de éste y los siguientes capítulos. Le ayudará a relacionar diversos componentes usados en el trabajo en red. No obstante, más delante en este capítulo, bajo el tema “Resumen de dispositivos de interconexión”, conocerá la manera en que el modelo OSI se relaciona con dispositivos de hardware como concentradores y conmutadores y, bajo el tema “Protocolos de red”, verá la relación del modelo OSI y los protocolos de red, además de las convenciones de nomenclatura de datos.
Tecnologías LAN Las tecnologías LAN son estándares que abarcan hardware y software, para manejar gran parte de las tareas dedicadas de trabajo en red. Las tecnologías LAN manejan la capa de vínculo de datos completa, también parte de las capas física y de red. Casi todas las nuevas redes y gran cantidad de las redes existentes usan la tecnología de red Ethernet o tecnología inalámbrica que hace interfaz con Ethernet. Por ello, representan la temática central de este apartado.
Ethernet Ethernet fue desarrollado a principios de 1970 en Xerox PARC (Palo Alto Research Center) por Bob Metcalfe y otros; casi diez años después Digital Equipment, Intel y Xerox lo convirtieron en estándar (llamado estándar DIX). El Institute of Electrical and Electronics Engineers (IEEE) hizo leves modificaciones al estándar DIX y generó su estándar IEEE 802.3 para Ethernet. Con frecuencia, a éste se le llama “Ethernet 802.3”. Desde que Ethernet 802.3 fue adoptado por ISO, haciéndolo estándar mundial, se ha vuelto lo que muchas personas y vendedores quieren decir cuando mencionan “Ethernet”, lo que se alude en este libro con ese término. Ahora hay tres estándares de IEEE 802.3 Ethernet en uso común: IEEE 802.3, el estándar original de Ethernet, que opera a 10 Mbps; IEEE 802.3u Fast Ethernet trabaja a 100 Mbps e IEEE 802.3z Gigabit Ethernet funciona a 1 000 Mbps. Se les llama “Ethernet”, “Fast Ethernet” y “Gigabit Ethernet”, respectivamente. Además, están emergiendo dos estándares Ethernet: IEEE 803.3an 10 Gigabit Ethernet (10 GbE), que opera a 10 000 Mbps y empieza a estar disponible en el mercado, al igual que 100 Gigabit Ethernet (100GbE), que opera a 100 000 Mbps y aún se encuentra en desarrollo desde mediados de 2007. Ethernet es relativamente barato, trabaja bien interconectando muchos sistemas de cómputo diferentes y es fácil de expandir a redes muy grandes. Por tanto, se ha convertido en la tecnología dominante de LAN con amplio margen, eclipsando por completo algunas otras de las tecnologías iniciales de LAN como ARCnet y ensombreciendo de manera importante a Token Ring (tecnología inicial de LAN desarrollada por IBM, que se usó mucho en organizaciones grandes). Como resultado, han proliferado el equipo relacionado con Ethernet y soporte de software a Ethernet, incluidos Windows Server 2008 y Windows Vista. Esto ha llevado a muchos proveedores de equipo al mercado, causando que el precio se vuelva razonable. Como resultado, Ethernet (y más recientemente, Fast Ethernet y Gigabit Ethernet) representa la tecnología de elección para casi todas las redes cableadas. La tecnología Ethernet cubre tres especificaciones:
05 MATTHEWS 01.indd 104
▼
Un método de acceso al medio que describe la manera en que varios equipos comparten un único canal Ethernet, sin interferir entre sí
■
Una trama Ethernet que describe una estructura de bits estandarizada para transferir información en una red Ethernet
1/14/09 1:13:39 PM
Capítulo 5:
▲
Entorno de red de Windows Server 2008
105
Una especificación de hardware que describe cableado y electrónica usada con Ethernet
Método de acceso a medios de Ethernet El objetivo de Ethernet es hacer que varios equipos operen independientemente en un canal único de conexión, sin interferencia. Esto se logra usando un método de acceso a medios llamado acceso múltiple de percepción de portador con detección de colisiones (CSMA/CD, Carrier Sense Multiple Access with Collision Detection. CSMA/CD funciona así: 1.
Un equipo de red que desea transmitir información escucha la red para determinar cuándo está desocupada.
2.
Cuando el equipo determina que la red está inactiva, pone su información en la red con la dirección de destino, haciéndola disponible para todos los demás equipos de la red.
3.
Cada equipo de la red verifica si la dirección es la adecuada y, en caso de serlo, ese equipo retira la información de la red.
4.
Cuando la red está de nuevo desocupada, todos los demás equipos tienen la misma oportunidad para iniciar la siguiente transmisión de información.
5.
Si dos equipos inician simultáneamente la transmisión, ocurrirá una colisión y será detectada. Toda la información de la red se ignorará y la red regresará al estado inactivo. Ambos equipos de envío seleccionan entonces un tiempo aleatorio de espera antes de reenviar su información, minimizando la posibilidad de colisiones repetidas.
Las colisiones son normales y representan una parte anticipada de la transmisión de red, incluidas colisiones repetidas que llevan a errores de datos; ésta es la razón por la que los niveles superiores del modelo OSI ponen especial énfasis en la detección de errores y su corrección.
Trama Ethernet La trama Ethernet es el formato estándar usado para transferir datos sobre una red Ethernet. La trama define una distribución específica que posiciona la información de encabezado, direccionamiento de origen y destino, datos e información de cola, como se muestra a continuación. En seguida se muestra la definición específica y el uso de cada campo: Preámbulo 62 bits
05 MATTHEWS 01.indd 105
SFD 2 bits
Destino 6 bytes
Origen 6 bytes
Longitud 2 bytes
Datos 0 a 1500 bytes
Relleno 46 a 0 bytes
CRC 4 bytes
▼
Preámbulo Una serie alterna de 1 y 0 usados para que el equipo en recepción sincronice la información en la trama
■
SFD (Start of Frame Delimiter, inicio de delimitador de trama) Un par de 1 empleado para marcar el inicio de la trama
■
Direcciones de destino y origen Dos números de 48 bits que representan la dirección MAC de los equipos de destino y origen. Estos números son asignados por la IEEE a los fabricantes y contienen un número único de fabricante de 24 bits y otro para una tarjeta de red (NIC, Network Interface Card) o adaptador que conecta el
1/14/09 1:13:39 PM
106
Windows Server 2008: Guía del Administrador
equipo a la red. Esto significa que cada adaptador de red viene con una dirección única y el usuario final no tiene que preocuparse al respecto. Si habrá de difundirse un mensaje a todas las estaciones de una red, la dirección de destino sólo debe contener 1 ■
Longitud El número de bytes en el campo de datos. En estándares anteriores de Ethernet esto era un tipo de código, mayor a 1 500 para evitar confusiones con la longitud, de 0 a 1 500
■
Datos Los datos que se transmiten pueden tener de 0 a 1 500 bytes de largo
■
Relleno Es obligatorio si los datos contienen menos de 46 bytes; por ello, si el campo de datos contiene 38 bytes, se incluirán 8 bytes de relleno
▲
CRC (Cyclical Redundancy Checks, verificación de redundancia cíclica) También llamada secuencia de verificación de trama (FCS, Frame Check Sequence), es un número de 32 bits (4 bytes) derivado de todos los bits en la transmisión usando una fórmula compleja. El equipo remitente calcula este número y almacena en la trama enviada al otro equipo. El equipo destinatario también calcula el número y lo compara con el de la trama. Si los números son iguales, se da por hecho que la transmisión fue recibida sin error. Si los números son diferentes, la transmisión se repetirá
La principal diferencia entre el estándar DIX Ethernet original (llamado Ethernet II, porque Ethernet I fue la especificación original antes de DIX) y Ethernet 802.3 consiste en que el primero tiene un código de tipo en lugar del largo de la trama. El código de tipo se usa para adaptar Ethernet a diferentes entornos de cómputo, que se hace fuera de la trama en 802.3. En el protocolo de Internet TCP/IP (consulte “Protocolos de trabajo en red”, en páginas posteriores de este capítulo), la trama Ethernet se maneja con un código de tipo que identifica el protocolo de Internet.
Hardware Ethernet La tecnología de LAN Ethernet define ocho estándares alternos de hardware que pueden usarse con Ethernet; un noveno se encuentra en desarrollo. Cada estándar de hardware usa un tipo específico de cable y cableado o topología y proporciona un rango de velocidad en la red en Mbps, un largo máximo de segmento y un número máximo de equipos en un solo segmento. A continuación se presentan los estándares de hardware: NOTA En los nombres de IEEE para estándares de hardware Ethernet, como 10Base5, el “10” es la velocidad en Mbps; “Base” representa la banda de base, un tipo de transmisión; el “5” es la longitud máxima del segmento en cientos de metros. En estándares más recientes, como 10BaseT, la “T” significa el tipo de cableado (“Par trenzado” en este caso).
05 MATTHEWS 01.indd 106
▼
10Base5 (también llamado Thicknet) Es la especificación original del estándar DIX. Usa un cable coaxial grueso en una topología de bus con una conexión muy compleja en cada equipo, para producir una velocidad de 10 Mbps sobre segmentos máximos de 500 metros (1 640 pies), con un tope de 100 equipos por segmento y tres segmentos. 10Base5 resulta costoso y difícil de usar, sólo se usa en raras ocasiones
■
10Base2 (también llamada Thinnet o Cheapernet) Maneja cable coaxial delgado RG58A/U en una topología de bus con un conector sencillo BNC, para producir velocidades de 10 Mbps en segmentos máximos de 185 metros (606 pies), con un tope de 30
1/14/09 1:13:39 PM
Capítulo 5:
Entorno de red de Windows Server 2008
107
equipos por segmento y tres segmentos. Hasta 1990, Thinnet era la forma más barata de trabajo en redes Ethernet para organizaciones pequeñas (30 nodos o menos)
05 MATTHEWS 01.indd 107
■
10BaseT (también llamada par trenzado) Utiliza cable parecido al de los teléfonos de par trenzado sin blindar (UTP), en una topología de estrella (véase la figura 5-2) con un conector RJ-45 muy simple, parecido al telefónico para producir una velocidad de 10 Mbps sobre segmentos de 100 metros (328 pies), con un equipo por segmento y 1 024 segmentos. En los años 90, 10BaseT bajó su precio al nivel de 10Base2; con su excepcional expansibilidad se volvió muy atractiva para la mayor parte de las organizaciones
■
10BaseF Usa cable de fibra óptica en topología de estrella a 10 Mbps para conectar dos redes separadas a una distancia de hasta 4 000 metros (13 120 pies o 2.5 millas). Se usaba con frecuencia para conectar dos o más edificios en un campus
■
100BaseT (también llamada Fast Ethernet) Tiene las mismas especificaciones que 10BaseT, con la excepción de que los requisitos del cableado son más demandantes (requiere de cable categoría 5 en lugar de categoría 3) y es diez veces más rápido. 100BaseT es más barata que 10BaseT; gracias a su significativa velocidad agregada, se ha convertido en el estándar líder de Ethernet. Con el hardware de conexión apropiado (consulte “Hardware de redes”, en páginas posteriores de este capítulo), puede mezclar hardware 10BaseT y 100BaseT en la misma red, para actualizar lentamente una red 10BaseT. Hay dos especificaciones para 100BaseT: 100BaseTX, la más común, que corre sobre UTP categoría 5 usando dos pares trenzados, y 100BaseT4, que corre sobre UTP categoría 3 usando cuatro pares trenzados
■
100BaseFX Utiliza cable de fibra óptica a 100 Mbps para conectar dos redes separadas hasta 412 metros (1 351 pies) o, si se usa full duplex (fibras separadas para enviar y recibir), hasta 2 kilómetros (más de 6 500 pies o una milla y cuarto). Como 10BaseF, 100BaseFX se usa principalmente para unir dos redes
■
1000BaseT y F (también llamada Gigabit Ethernet) Usa cable estándar categoría 5 o fibra óptica para correr a 1000 Mbps. Los estándares de distancia van de 25 metros (82 pies) a 100 metros (328 pies) para cobre UTP y 550 metros (1 800 pies) para fibra. A mediados de 2007, el equipo de Gigabit Ethernet era apenas un poco más costoso que Fast Ethernet y diez veces más veloz. Su precio ha bajado significativamente en los cinco años que lleva en el mercado
■
10GBaseT y varias configuraciones de fibra (también llamada 10 Gigabit Ethernet 10GbE) Utiliza cable categoría 6 y varios esquemas de fibra óptica para correr a 10 000 Mbps. La distancia estándar para cobre es 100 metros (328 pies). Algunos estándares de fibra 10GBase usan diferentes tipos de cable de fibra óptica con distancias de 28 metros (92 pies) a 40 kilómetros (25 millas). A mediados de 2007, el equipo 10GBase era difícil de obtener y costoso, pero si sigue los patrones de Ethernet 100Base y 1000Base, el precio caerá significativamente
▲
100GBase (también llamada 100 Gigabit Ethernet o 100GbE) Está en las etapas iniciales de desarrollo con el objetivo de un vínculo de red de fibra óptica que corra a 100 000 Mbps, lo que se aproxima a las velocidades internas del equipo. El estándar final estará disponible hasta 2010 o después; quizás resulte ligeramente más lenta que 100 000 Mbps
1/14/09 1:13:40 PM
108
Windows Server 2008: Guía del Administrador
En la sección “Hardware de redes”, en páginas posteriores de este capítulo, se profundiza en estándares de hardware Ethernet y las opciones disponibles para conectar redes Ethernet. NOTA Con mayores velocidades el número de colisiones aumenta, pero la velocidad con que se resuelven compensa con creces esto, proporcionando un incremento significativo en la velocidad, en cada paso.
Tecnologías de red inalámbrica Las tecnologías de red inalámbrica cubren un amplio espectro de capacidades, incluidas: ▼
Topologías de banda ancha inalámbricas usadas en redes WAN y redes de área metropolitana (MAN, Metropolitan Area Network)
■
Trabajo en red inalámbrica celular
■
Comunicaciones de microondas usadas en WAN
■
Sistemas de comunicación por satélite
▲
LAN inalámbricas
La banda ancha inalámbrica y microondas se usan entre edificios para conectar LAN, son costosas y, frecuentemente, sólo se usan en organizaciones grandes. Las MAN (redes de área metropolitana) se están volviendo más comunes en muchas comunidades y ofrecen conectividad inalámbrica en un área de varias manzanas. Las comunicaciones por satélite son relativamente costosas, más lentas y se usan, sobre todo, en áreas rurales, el océano y aviones. Los sistemas celulares se están usando ampliamente en ciudades, complejos de oficinas y grandes edificios. Por algún tiempo, la conectividad por celular fue muy lenta; empezaba de 16 Kbps (kilobits por segundo) a 64 Kbps y, en fechas recientes, hay opciones de 144 Kbps. Hay algunos proveedores de servicio, como Verizon, Sprint, AT&T/Cingular y T-Mobile, que ofrecen lo que se llama “Tecnología de tercera generación” (3G) con velocidades de hasta 2.4 Mbps (megabits por segundo). Las LAN inalámbricas o WLAN ya se encuentran bien implementadas, se dispone de ellas ampliamente y tienen precios razonables. Están basadas en tres estándares actuales y uno emergente:
05 MATTHEWS 01.indd 108
▼
IEEE 802.11b Utiliza la banda de 2.4 GHz, facilita transferencias de datos de hasta 11 Mbps, utiliza codificación complementaria de llaves (CCK) y fue el estándar de red inalámbrica original, ampliamente usada
■
IEEE 802.11g Utiliza la banda de 2.4 GHz, proporciona transferencias de datos de hasta 54 Mbps, usa la más eficiente multiplexión ortogonal de división de frecuencia (OFDM, Orthogonal Frequency-Division Multiplexing) y es el estándar de red inalámbrica de uso más extenso. Casi todos los puntos de acceso y adaptadores IEEE 802.11g pueden trabajar también con puntos de acceso y adaptadores IEEE 802.11b
■
IEEE 802.11a Utiliza la banda de 5 GHz, proporciona transferencias de datos de hasta 54 Mbps y utiliza multiplexión ortogonal de división de frecuencia (OFDM), pero ha sido poco adoptada pues requiere hardware exclusivo, con menor rango que las 802.11b o 802.11g de 2.4 GHz
1/14/09 1:13:40 PM
Capítulo 5:
▲
Entorno de red de Windows Server 2008
109
IEEE 802.11n Estaba en su segundo borrador como estándar a mediados de 2007, dos años antes de que el estándar final sea aprobado. El borrador del estándar requiere el uso de la banda de 2.4 o 5 GHz, con velocidades de transferencia que exceden los 100 Mbps y un máximo de 300 Mbps usando tecnología de entrada múltiple salida múltiple (MIMO, Multiple Input Multiple Output), para manejar varios flujos de datos mediante dos a cuatro antenas para transmisión y recepción. Ya hay en el mercado equipo “pre-n”, pero no es recomendable hasta que el estándar se apruebe y certifique su funcionalidad con equipo. La única excepción a esto es si se tiene una organización cerrada donde controlar todo el equipo y no espera visitantes
Una WLAN usa un punto de acceso fijo que se conecta a la red cableada mediante un concentrador, conmutador o enrutador DSL, por ejemplo. Este punto de acceso es un transceptor (transmisor y receptor) para comunicarse inalámbricamente con una tarjeta o circuito inalámbrico añadido a cada equipo que desee usar la WLAN (véase la figura 5-4). Estos equipos operan en la red, exactamente de la misma manera en que harían con un adaptador de red y una conexión por cable. Una WLAN tiene algunos beneficios importantes sobre una LAN normal cableada:
*Fotografías de Linksys®, división de Cisco Systems, Inc.
Figura 5-4. Una selección de productos de LAN inalámbrica de 54 Mbps de Linksys©, incluido punto de acceso Wireless-G, adaptador para equipos de escritorio PCI Wireless-G, adaptador para notebook Wireless-G y adaptador compacto USB Wireless-G para equipos de escritorio o laptops.*
05 MATTHEWS 01.indd 109
1/14/09 1:13:40 PM
110
Windows Server 2008: Guía del Administrador
NOTA Además del estándar WLAN, existe el estándar WIFI (fidelidad inalámbrica) que garantiza la compatibilidad del hardware de diferentes fabricantes; en consecuencia, puede entrar en cualquier oficina, aeropuerto u otro edificio con un sistema estándar WIFI y, para conectarse, sólo necesita los permisos apropiados. ▼
No tiene alto costo de cableado ni el (aun más elevado) de instalación y mantenimiento
■
Es muy sencillo agregar y eliminar usuarios de la red
■
Los usuarios pueden desplazarse fácilmente de una oficina o habitación a otra
■
Los usuarios pueden moverse en un área, digamos, cargando sus laptop a una junta
▲
Los visitantes pueden entrar fácilmente en la red
El costo y la velocidad de la red inalámbrica solían ser un obstáculo, pero el costo ha bajado demasiado y la velocidad ha subido. Un punto de acceso barato cuesta ahora menos de 70 dólares y, recordando que se divide entre 11 o 54 Mbps de ancho de banda, sirve para siete o diez usuarios o 10 dólares por usuario. Los adaptadores para cada uno cuestan alrededor de 25 dólares y ya vienen integrados en muchos equipos nuevos. Como resultado, el costo total de conectar inalámbricamente un equipo a la red es inferior a 35 dólares, que puede ser menor que el costo de una red cableada. En cambio, la diferencia en velocidad entre red inalámbrica y cableada no sólo es la diferencia entre 54 Mbps inalámbricos y 100 Mbps cableados, es la tasa neta de dividir el canal inalámbrico de 54 Mbps entre el número de personas que intentan usarlo en cualquier instante. La red inalámbrica tiene otras varias desventajas: ▼
Un punto de acceso inalámbrico o “hotspot” tiene un rango limitado de 30 a 45 metros o 100 a 150 pies, y puede verse afectado por los muros, sobre todo los que tienen metal en ellos, como plomería, ductos y otros objetos. Existen extensores de rango y repetidores que pueden extender este rango por un precio, pero también hacen más lenta la señal
■
Usualmente, la instalación predeterminada de la red inalámbrica no tiene cifrado ni otras características de seguridad activadas, que facilita a alguien sin conexión física conectarse a la red
■
Varias redes inalámbricas cercanas pueden interferirse entre ellas, causando un tráfico de red más lento, a grado tal que se vuelva imposible utilizarlo. A esto se le llama “contaminación inalámbrica”
▲
Los circuitos de red inalámbrica pueden imponer una carga importante a las baterías de los dispositivos portátiles
Aun con estos inconvenientes, la red inalámbrica es la forma de trabajo en red de más rápido crecimiento, sobre todo en el hogar y organizaciones pequeñas.
Tecnologías de red en el hogar Las tecnologías de red en el hogar (que pueden utilizarse también en oficinas pequeñas, sobre todo en oficinas caseras) suelen compartir uno de dos tipos de cableado existente en
05 MATTHEWS 01.indd 110
1/14/09 1:13:41 PM
Capítulo 5:
Entorno de red de Windows Server 2008
111
el hogar, ya sea telefónico o eléctrico. La velocidad ofrecida en ambos casos es relativamente baja y los costos no son ventajosos. Para ambas tecnologías de red en el hogar, el objetivo es evitar la instalación de un cableado separado de red. Como una red inalámbrica hace esto excelentemente, las tecnologías de red en el hogar están prácticamente muertas.
HARDWARE DE REDES En su forma más sencilla, las redes de cómputo sólo necesitan un cable para unir dos equipos y dos adaptadores, colocados en equipos y en los que se conecta el cable, como se muestra en la figura 5-5. Para ambos, adaptador y cable de red, tiene varias opciones de tipos y características, pero cuando se va más allá de dos equipos, hay componentes adicionales que presentan varias opciones. La primera y más importante decisión en la selección de estas opciones es la tecnología LAN que va a usar, porque ésta, en muchos casos, determinará su cableado (si se requiere) y el adaptador de red, o al menos lo coloca en cierta categoría de cableado y adaptadores de red. Por tanto, empezaremos este repaso del hardware con un resumen, mostrado en la tabla 5-1, de lo descrito en este capítulo acerca de las opciones de tecnologías LAN. En la selección de una tecnología de LAN Ethernet, Ethernet 100BaseT es la opción predominante actual. Tal vez más 98% de los compradores la escogen. Es probable que no se hayan dado nuevas instalaciones 10Base5 o 10Base2 por unos cuantos años y muy pocas instalaciones heredadas permanecen. Mientras algunas instalaciones 10BaseT permanecen, están desapareciendo rápidamente y no se han hecho nuevas. Lo que se usa más ahora son las opciones de fibra 100BaseF y, cada vez más, 1000BaseF, para interconectar redes, edificios y pisos dentro de un edificio. Las siguientes opciones de hardware se concentran en las necesidades de estas tecnologías.
Figura 5-5.
05 MATTHEWS 01.indd 111
Componentes necesarios para una red sencilla.
1/14/09 1:13:41 PM
112
Windows Server 2008: Guía del Administrador
Tipo de cableado (véase la nota)
Tecnología
Velocidad máxima (Mbps)
10Base5
10
Coaxial grueso
300
100
500 m
2.5 m
2 500 m
10Base2
10
Coaxial delgado
90
30
185 m
60 cm
925 m
1 024
10BaseT
10
UTP-Cat 3
10BaseFibra
10
Fibra óptica
100BaseT
100
UTP-Cat 5
100BaseFibra
100
Fibra óptica
1 000BaseT
1 000
UTP-Cat5e
1 000BaseFibra
1 000
Fibra óptica
10GBaseT
10 000
STP-Cat6
10GBaseFibra
10 000
Fibra óptica
Nodos de red (máximo)
Segmentos de red (máximo)1
Largo de Largo de segmento segmento (máximo) (mínimo)2
Largo de red (máximo)2
1 024 512
512
2
100 m
2
2 km
2
100 m
2
2 km
2
100 m
2
550 m a 100 km
2
100 m
2
30 m a 40 km
1
Para tecnologías Ethernet, con las que no se especifica el número máximo de nodos, existen subcategorías con diferentes máximos. 2 Los máximos y mínimos del largo de segmento se aplican únicamente a cable coaxial usado en 10Base5 y 10Base2.
Tabla 5-1.
Componentes necesarios para una red sencilla.
NOTA Las categorías UTP se explican más adelante en este capítulo, bajo el tema “Categorías UTP”. Además, un “nodo” es una estación de trabajo, servidor o dispositivo de interfaz, como un conmutador, enrutador o impresora de red independiente.
Tarjetas de red Aunque tal vez haya decidido usar 100BaseT, si está instalando una red cableada, la decisión de cuál adaptador de red comprar todavía merece consideraciones:
05 MATTHEWS 01.indd 112
▼
¿Cómo se conectará el adaptador?
■
¿Qué tipo de adaptador usará?
■
¿Quiere tener la capacidad para activar el equipo?
▲
¿Qué marca debe comprar?
1/14/09 1:13:41 PM
Capítulo 5:
Entorno de red de Windows Server 2008
113
Cómo se conectan los adaptadores Los adaptadores de red hoy disponibles se conectan al equipo en una de cuatro formas (véase figura 5-6): ▼
Se insertan en una ranura PCI (Peripheral Component Interface, interfaz de componente periférico) dentro del equipo de escritorio o uno de mayor capacidad
■
Se insertan en el puerto USB (Universal Serial Bus, bus serial universal), en el exterior del equipo de escritorio o laptop
■
Se insertan dentro de la ranura PCMCIA (Personal Computer Memory Card International Association) o “PC Card”, así como dentro de una ranura ExpressCard en el exterior de casi todos los equipos laptop y algunas de escritorio
▲
La capacidad para conectarse a una red está integrada en muchos equipos nuevos, tanto de escritorio como laptop y no requieren adaptador separado
*Fotografías Linksys®, división de Cisco Systems, Inc.
Figura 5-6. Una selección de adaptadores cableados Ethernet 10/100 de Linksys®, incluidos los adaptadores PCI de red administrada para equipos de escritorio, para laptops PC Card EtherFast® de 32 bits y Compact USB 2.0 para equipos de escritorio y laptops.*
05 MATTHEWS 01.indd 113
1/14/09 1:13:41 PM
114
Windows Server 2008: Guía del Administrador
Por supuesto, si la capacidad para conectarse está integrada en el equipo, no tiene que pensar más en esto. Si necesita agregar un adaptador, tal vez lo más fácil sea un adaptador USB, pero éste y el adaptador PC Card/ExpressCard son mucho más costosos que una tarjeta adaptadora PCI. Sin embargo, para este último, debe abrir el equipo de escritorio e insertar la tarjeta dentro de una ranura PCI en la tarjeta madre (la placa de circuitos principal de un equipo).
Qué tipo de tarjeta usar Casi todos los fabricantes, sobre todo de marcas reconocidas, fabrican diversos adaptadores PCI 10/100BaseT. Estas diferencias incluyen si el adaptador de red es full-duplex o half-duplex, si está hecho para un servidor y si tiene varios puertos. Todas estas características se añaden a la velocidad y eficiencia de la tarjeta, pero también suben el costo, por lo que debe pensar un poco en ello.
Comparación entre adaptadores half-duplex y full-duplex Half-duplex significa que cuando la tarjeta está recibiendo no puede transmitir y viceversa. Full-duplex permite a la tarjeta transmitir y recibir al mismo tiempo. Obviamente, full-duplex es más rápido, pero no aumenta al doble la velocidad, como se esperaría; en cambio, ofrece un incremento de 30 a 50% sobre half-duplex. En la actualidad, casi todos los adaptadores de marca reconocida 10/100 son full-duplex, pero no está de más verificar este factor cuando investigue cuáles comprar.
Adaptadores de red de servidor Los adaptadores de red de servidor fueron desarrollados para usarse en servidores y ofrecen ciertas características para dar soporte a esta función. Entre éstas se encuentran mayor confiabilidad e inteligencia. La confiabilidad suele ser una combinación de mejores partes y control de calidad. La inteligencia significa que hay un procesador o memoria en la tarjeta de red, para que no tenga que ir al CPU del equipo o memoria para manejar sus procesos. Esto hace a la tarjeta más rápida, permitiéndole manejar un mayor volumen de información. Estas características, por supuesto, cuestan dinero, por lo que tendrá que determinar si valen la pena. Las tarjetas más confiables cuestan alrededor de 30 a 50% más que los adaptadores de red de marca normales. Los adaptadores de red inteligentes cuestan de dos a tres veces más que un adaptador de red normal de marca reconocida. Aunque esto suena a mucho, se traduce en menos de 100 dólares adicionales por tarjeta y no tiene que comprar muchas. Cuando se compara esto con el costo de actualizar el CPU, es razonable.
Adaptadores de red de varios puertos Existen adaptadores de red para servidores con dos o cuatro puertos, el equivalente a dos o cuatro adaptadores de red en el servidor. Dado que las ranuras PCI son escasas en muchos servidores, estas tarjetas de varios puertos pueden ser atractivas. El problema es que un adaptador de red con puerto dual cuesta más del doble que un adaptador de red de servidor de marca reconocida y uno de cuatro puertos cuesta más de cuatro veces lo de un adaptador de red de servidor de marca reconocida. Si no tiene las ranuras PCI, entonces ésta podría ser una solución, pero otra opción consiste en usar un dispositivo de interconexión frente al adaptador de red (consulte “Dispositivos de interconexión”, en páginas posteriores de este capítulo). Se trata de una de esas situaciones donde no hay una respuesta correcta. Depende del diseño de la red que intente construir.
05 MATTHEWS 01.indd 114
1/14/09 1:13:42 PM
Capítulo 5:
Entorno de red de Windows Server 2008
115
Wake on LAN y otras características especiales Algunos fabricantes, como 3Com e Intel, por mencionar algunos, tienen adaptadores de red con la característica “Wake on LAN”, para encender el equipo a un estado de completa operación tras haberse apagado. Esto le permite al administrador de la red o personal de soporte actualizar un equipo a deshoras. Wake on LAN requiere una tarjeta madre que implemente el estándar de bus PCI 2.2 o superior. Muchos equipos producidos alrededor de 1995 manejan este estándar. Otras dos características especiales que algunos adaptadores de red ofrecen y pueden ser útiles son: administración remota y arranque remoto. La primera permite al administrador de red en un servidor con software apropiado monitorear la actividad y hacer administración remota en un equipo a través de la red. La segunda permite a un servidor arrancar un equipo sin depender del sistema operativo en el equipo. Esto es importante para diagnosticar problemas en el equipo e instalación remota de Windows y otras aplicaciones (consulte el capítulo 4 sobre los Servicios de implementación de Windows). Este arranque también requiere del estándar de bus PCI 2.2 o más reciente. Si estas características le interesan, revise cuidadosamente antes de comprar un adaptador de red y asegurarse de que la tarjeta madre que pretende usar soporta características del adaptador de red. Tal vez un arranque remoto, en particular, requiera un soporte especial en la tarjeta madre no incluido en algunas tarjetas madre.
Qué marca Si revisa los servicios de comparación de costos (como Yahoo! Shopping), verá que hay casi tres niveles de precio en adaptadores de red. Por ejemplo, con adaptadores PCI 10/100 cableados: ▼
De marca (3Com y Linksys, por ejemplo) con las características especiales ya mencionadas: de 50 a 350 dólares, dependiendo de las características.
■
Tarjetas básicas de marca (sin características especiales): de 10 a 50 dólares.
▲
Tarjetas genéricas básicas (sin características especiales): de 5 a 25 dólares.
Aunque parte del rango de precios en cada uno de los tres niveles se debe a diferencias en características, gran parte de éste es causado por variaciones del precio que los proveedores cobran por tarjeta. Usted puede verificar esto viendo en Pricewatch (http://www. pricewatch.com) y PriceScan (http://www.pricescan.com), que comparan los precios del mismo artículo con diferentes proveedores. En cualquier caso, asegúrese de saber qué está comprando y cuáles son los cargos por manejo y envío. La pregunta pertinente es si las tarjetas de marca reconocida valen la diferencia de 5 a 25 dólares. Desde mi punto de vista, la respuesta es sí. En más de diez años de trabajo con redes de PC, he trabajado con casi la misma cantidad de adaptadores de red genéricos y de marca reconocida. Me he encontrado problemas con ambos y he debido tirar algunas de las tarjetas genéricas; en el caso contrario, siempre he conseguido que las tarjetas de marca sean reparadas o reemplazadas. Respaldo y soporte de las marcas reconocidas es reconfortante (sobre todo la garantía de por vida de 3Com) y en ocasiones han añadido características, como diagnósticos, que pueden ser valiosas. Concedido, los precios más bajos de las tarjetas genéricas también son atractivos, pero cuando una red deja de funcionar, tal precio no es
05 MATTHEWS 01.indd 115
1/14/09 1:13:42 PM
116
Windows Server 2008: Guía del Administrador
tan bueno. Si compra una genérica de un mejor proveedor para obtener el soporte de éste, su precio será muy cercano al de una de marca reconocida. Mi recomendación es elegir la tarjeta de marca, con la idea de que será más fácilmente reconocida por el software, como Windows Server 2008, que ofrecerá mejor soporte cuando sea necesario.
Cableado Las principales tecnologías de red usan uno de dos tipos de cableado; cada uno de ellos tiene diversas consideraciones: ▼
Par trenzado sin blindar (UTP, Unshielded Twisted Pair) para 10BaseT, 100BaseT y 1000BaseT
▲
Fibra óptica para 10BaseF, 100BaseF y 1000BaseF
Par trenzado sin blindar El cable UTP usado en 10/100/1000BaseT es similar, aunque en general difiere del cableado telefónico. Para 10BaseT, este cable contiene dos pares de hilos (es decir, primero se tienen cuatro hilos trenzados en pares, y luego los pares se trenzan entre sí). Un conector modular RJ-45 se coloca en cada extremo. Aunque sólo dos pares se utilizan, el cable real de categorías 3 y 4 tiene cuatro pares, como se muestra en la figura 5-7. El conector RJ-45, que puede manejar cuatro pares trenzados de hilos, es similar, pero ligeramente mayor que el conector RJ-11, es capaz de manejar dos pares de hilos y se usa en conexiones telefónicas normales. 100BaseT y 1000BaseT usan cuatro pares o todos los ocho hilos en el cable de categoría 5 y el mismo conector RJ-45.
Par trenzado sin blindar, categoría 5 (UTP) Aislamiento Cubierta plástico externa
Conexiones: 1 Transmitir + 2 Transmitir – 3 Recibir + 4 Recibir –
Figura 5-7.
05 MATTHEWS 01.indd 116
Conector RJ-45
Conductor interno
Cableado de par trenzado sin blindar (UTP) utilizado con un conector RJ-45.
1/14/09 1:13:42 PM
Capítulo 5:
Entorno de red de Windows Server 2008
117
Los pares de hilos en el cable UTP son trenzados para reducir la interferencia eléctrica recibida en el cable. El número de giros por pie se ha vuelto una ciencia muy exacta y es importante mantener el cable apropiadamente trenzado hasta el conector. Una opción a UTP es STP, con varios grados de blindaje: blindaje alrededor de cada par, alrededor de todos los pares o alrededor de los pares individuales y la combinación. STP es mucho más caro que UTP y resulta más difícil de manejar. Para evitar el problema de interferencias, siga estas reglas cuando tienda el cable: ▼
No lo pase cerca de una lámpara fluorescente
■
No lo pase cerca de un motor eléctrico, como los de máquinas, ventiladores, enfriadores de agua y copiadoras
■
No lo pase junto a un cable de corriente
■
No lo doble de manera que pueda apretarlo demasiado
▲
No use engrapadora, que pueda apretarlo demasiado o crear un cortocircuito
SUGERENCIA Al apretar demasiado el cable de red puede cambiar el espacio entre hilos individuales y, por tanto, cambiar sus características eléctricas y de rendimiento.
Entre voz y datos (telefonía y de red), hay varios tipos diferentes de cable UTP. Las diferencias están en el grado de resistencia al fuego, tipo del núcleo interno y grado o categoría del cable, que también especifica el número de pares trenzados.
Grado de resistencia al fuego Los cables UTP vienen en dos grados de resistencia al fuego: cable plenum, marcado “CMP” al lado del cable, y cable PVC o riser, marcado “CMR”. El cable plenum, que con frecuencia tiene un recubrimiento de teflón, es más resistente al fuego y no libera gases peligrosos en caso de quemarse. El cable PVC o riser, aunque razonablemente resistente al fuego, está hecho de cloruro de polivinilo (PVC) y libera gases peligrosos si se quema. El cable plenum cuesta casi el doble que el PVC, pero puede usarse en pasajes de aire como pisos elevados y techos falsos, mientras el cable PVC sólo puede usarse en muros y el exterior (verifique sus códigos locales para el tipo de cable que debe usar). Tipo de núcleo interno El núcleo interno del cable UTP puede ser en hebras o sólido. El cable en hebras es más flexible y tiende a romperse menos cuando se dobla varias veces. Se utiliza en situaciones donde se mueve con frecuencia, como en paneles de parche y entre la caja de conexión en la pared y el equipo. El cable sólido tiene menor pérdida de señal y, por tanto, es mejor para tramos largos donde no se moverá con frecuencia, como muros y techos.
05 MATTHEWS 01.indd 117
1/14/09 1:13:43 PM
118
Windows Server 2008: Guía del Administrador
Categorías UTP Las siguientes son las siete categorías de cable UTP utilizados en comunicaciones de voz y de datos: ▼
Categoría 1 Usado en instalaciones telefónicas anteriores a 1983, tiene dos pares trenzados.
■
Categoría 2 Usado en instalaciones telefónicas después de 1982, tiene cuatro pares trenzados; se usa en algunas redes de datos antiguas con velocidades de hasta 4 Mbps.
■
Categoría 3 Usado en muchas de las redes de datos antiguas y en casi todos los sistemas telefónicos actuales. Usualmente tiene cuatro pares trenzados, pero puede constar de dos a 100. En general, incluye tres vueltas por pie (no está en las especificaciones) y maneja con facilidad velocidades de red de 10 Mbps con ancho de banda de 16 MHz.
■
Categoría 4 Usado en redes Token Ring, tiene cuatro pares trenzados y puede manejar velocidades de hasta 16 Mbps con ancho de banda de 20 MHz.
■
Categoría 5 Usado en casi todas las redes hasta mediados de 1990, tiene cuatro pares trenzados, con ocho vueltas por pie; puede manejar 100 Mbps con un ancho de banda de 100 MHz.
■
Categoría 5e (categoría 5 mejorada) Usado en casi todas las redes actuales, tiene las mismas características físicas y ancho de banda de la categoría 5, pero con menor tasa de errores. Puede utilizarse con Gigabit Ethernet. Normalmente sin blindar, también puede ser blindado.
▲
Categoría 6 Construido para ir más allá de Gigabit Ethernet y requerido para Ethernet a 10 Gigabit, tiene un ancho de banda de 200 MHz, el doble del ancho de banda que el categoría 5e, con menor tasa de errores. Puede ser sin blindar, pero no es frecuente; es usado donde la interferencia eléctrica es un problema. El cable de categoría 6 blindado tiene cuatro pares trenzados, envueltos en una hoja de aluminio alrededor de cada par y otra hoja alrededor de todos los pares.
Conecte UTP El cableado UTP simplemente se inserta en el adaptador de red y luego dentro del receptáculo de la pared, concentrador, conmutador o enrutador, que hace la instalación de 10/100/1 000BaseT muy simple, como verá en la figura 5-8. Para que UTP funcione entre dos equipos sin un concentrador o conmutador, los hilos deben cruzarse (los hilos de transmisión de un equipo deben convertirse en los de recepción del otro equipo). Ésta es una de las funciones del concentrador; por ello, los hilos que conectan un equipo al concentrador, deben ser los mismos en ambos extremos. Cuando dos equipos están directamente conectados entre sí, debe usarse un cable especial con las conexiones terminales invertidas. SUGERENCIA Las reglas básicas para mantenerse en el límite de 328 pies (100 metros) para un segmento de 10/100/1 000BaseT consisten en tender el cable del gabinete de cableado al receptáculo en la pared, a menos de 90 metros, además de que la distancia entre pared y equipo sea inferior a 6 metros y tener el panel de parcheo a menos de 2.5 metros.
05 MATTHEWS 01.indd 118
1/14/09 1:13:43 PM
Capítulo 5:
Entorno de red de Windows Server 2008
119
Cable de fibra óptica El cable de fibra óptica transmite luz sobre una hebra o fibra muy pura de cristal, con menor grosor que el de un cabello humano. El cristal es tan puro que hay una mínima pérdida de luz en un cable muy largo. La fuente de luz puede ser un diodo emisor de luz (LED, Light-Emitting Diode) o láser. La información se transmite encendiendo y apagando la fuente de luz para producir los 1 y 0 digitales. En el otro extremo del cable hay un detector de luz que convierte nuevamente la luz en impulsos eléctricos. El cable de fibra óptica es inmune a la interferencia eléctrica y electromagnética, sin irradiar energía por sí solo. Esto significa que es muy difícil para alguien intervenir un cable de fibra óptica y obtener la información que carga, sin ser detectado. El resultado es que el cable de fibra óptica es un medio muy seguro y eficiente para transportar información a distancias largas.
Conector RJ-45 10/100BaseT
Concentrador 10/100BaseT
Conector RJ-45 Conector RJ-45 Cableado de par trenzado sin blindar (UTP)
Tarjeta de red 10/100BaseT
Conector de bus PCI de 32 bits
Figura 5-8.
05 MATTHEWS 01.indd 119
Cableado 10/100/1000BaseT en una topología de estrella.
1/14/09 1:13:43 PM
120
Windows Server 2008: Guía del Administrador
El cable de fibra óptica, mostrado a continuación, tiene un núcleo central de cristal transparente (para distancias cortas, de unos cuantos metros, puede ser plástico). Está rodeado por un cristal reflejante llamado revestimiento, que devuelve al núcleo cualquier luz que salga de él. El revestimiento está cubierto con una o más capas de plástico y otros materiales de refuerzo, para formar la cubierta o camisa. Hay dos tipos de cable de fibra óptica: Cubierta de plástico
Revestimiento
Núcleo de la fibra
▼
Fibra de un solo modo o monomodo Usa un láser con un diminuto núcleo interno (de 4 a 10 micras para el núcleo y de 75 a 125 micras para núcleo y revestimiento combinados, escrito “4/75 a 10/125”). La fibra de un solo modo transporta la luz, esencialmente en línea recta a lo largo de la fibra. Esto tiene alta eficiencia, permitiendo mayores distancias (hasta diez veces la distancia de la fibra multimodo), pero también es la más cara: llega a costar el doble de la fibra multimodo. La fibra de un solo modo se emplea en WAN de larga distancia, en el cableado de redes de campus y con menor frecuencia en los segmentos principales de edificios
▲
Fibra multimodo Generalmente se usa con LED, tiene un núcleo mucho más grande (el estándar es 63.5 micras para el núcleo y 125 micras para el núcleo y el revestimiento). La fibra multimodo permite que la luz rebote en los muros; por tanto, tiene menor eficiencia pero un costo mucho menor. La fibra multimodo se usa en cableados dentro de edificios
El cable de fibra óptica más común es la fibra multimodo con dimensiones de 62.5/125. Viene con una sola fibra (simplex), con dos fibras (dúplex o zipcord) o con 4, 6, 12 o más fibras. Como el cable UTP, el de fibra óptica viene con cubiertas PVC (riser) y plenum. Dado que casi todos los sistemas requieren de dos fibras, una para transmitir y otra para recibir, el cable zipcord de dos fibras es el que se encuentra con más frecuencia. Al momento de escribir esto, el zipcord de PVC cuesta entre .60 y 1.20 dólares el metro, mientras el plenum cuesta entre 1 y 1.30 (ambos en carretes de 320 metros), más el costo de los conectores (visite www. controlcable.com). Gigabit sobre fibra (1000BaseF) requiere el uso de láser (los LED no son suficientemente rápidos) y, como resultado, tiene una distancia máxima más larga que 100BaseF (550 en comparación con 410 metros), cuyo estándar se basa en LED. Los estándares para 1000BaseF son los siguientes:
05 MATTHEWS 01.indd 120
Tipo de fibra
Tamaño del núcleo
Distancia máxima
Multimodo
50 a 62.5 micras
550 metros
Un solo modo
8 a 10 micras
4 800 metros, o 4.8 kilómetros
1/14/09 1:13:44 PM
Capítulo 5:
Entorno de red de Windows Server 2008
121
El costo del cable de fibra óptica no se ha reducido en los últimos años; sin embargo, se usa con más frecuencia para la columna vertebral de la red, incluso en parte del cableado horizontal en un edificio (consulte la siguiente sección).
Estándares de cableado TIA/EIA La Telecommunications Industry Association (TIA) y la Electronic Industries Association (EIA), juntas, han definido un conjunto de estándares de cableado para redes de telecomunicaciones y equipos en un edificio comercial. El propósito de los estándares es ofrecer un conjunto común de especificaciones para cablear datos, voz y video en un edificio que brinde calidad, flexibilidad, valor y funcionalidad a usuarios y dueños del edificio en su infraestructura de telecomunicaciones, mientras permita a diversos fabricantes construir equipos que puedan operar entre sí. Los más aplicables de estos estándares son: ▼
TIA/EIA-587-A Para cableado de datos, voz y video en un edificio comercial
■
TIA/EIA-569 Para las áreas y rutas que contienen medios de telecomunicaciones en un edificio
■
TIA/EIA-606 Para diseño y administración de infraestructura de telecomunicaciones
▲
TIA/EIA-607 Para requisitos de conexión a tierra y unión en equipo y cableado de telecomunicaciones
Estos estándares definen reglas y limitaciones para cada una de las partes de la infraestructura de telecomunicaciones y red en un edificio. Estos estándares descomponen tal infraestructura en un conjunto de áreas y tipos de cableado en un edificio, como se muestra en la siguiente ilustración, a definirse como sigue:
05 MATTHEWS 01.indd 121
▼
Instalaciones de entrada Donde los servicios de telecomunicaciones, la columna vertebral de la red del campus o ambos, entran en el edificio
■
Interconexiones principales La instalación central dentro de un edificio, donde todas las habitaciones de cómputo son conectadas con cableado de la columna vertebral; puede haber también una interconexión principal para un campus que reúna todas las interconexiones principales de los edificios
■
Cableado de la columna vertebral de la red El cableado rápido y de trabajo pesado que corre, generalmente, de manera vertical, desde la interconexión principal hasta las habitaciones de cómputo en un edificio o entre las interconexiones principales en un campus
■
Habitaciones de cómputo Las áreas localizadas en cada piso de un edificio, proveyendo la conexión entre el cableado de la columna vertebral que va a la interconexión principal y el cableado horizontal, que va a los gabinetes de telecomunicaciones
■
Cableado horizontal El cableado de segundo nivel que corre, generalmente a través del techo falso, desde las habitaciones de cómputo a los gabinetes de telecomunicaciones, además del cableado de tercer nivel, tendido a través del techo falso y baja por un muro desde el gabinete de telecomunicaciones a los receptáculos de la pared
1/14/09 1:13:44 PM
122
Windows Server 2008: Guía del Administrador
■
Gabinetes de telecomunicaciones Las áreas ubicadas en diferentes lugares de un piso de un edificio, que sirven a un conjunto contiguo de oficinas y proporcionan conexión entre el cableado horizontal que corre a las habitaciones de cómputo y el cableado horizontal, que corre a los receptáculos de la pared individuales
▲
Cableado del área de trabajo El cableado externo (no en un muro o techo) establece la conexión entre la terminación del cableado horizontal en un receptáculo en la pared y el equipo u otro dispositivo conectado a la red
NOTA Los estándares TIA/EIA analizan telecomunicaciones y trabajo de red de cómputo; su lectura deberá asegurar sobre qué tema se trata. Por ejemplo, UTP para voz puede tenderse hasta 800 metros o 2 624 pies, mientras UTP para datos puede tenderse sólo hasta por 100 metros o 328 pies.
Obtendrá más información sobre los estándares TIA/EIA en el sitio Web de la TIA, en http://www.tiaonline.org, o en el de Hubbell (un fabricante de conectores), en http:// www.hubbell-premise.com/standards.asp, que contiene una serie de documentos sobre estándares de cableado.
Comparación de costos de cableado En la tabla 5-2 se proporciona una comparación del costo de varios tipos de cables de red. Sólo debe usarse como comparación relativa entre tipos y no como indicador de su costo actual, que cambia con frecuencia. Además, hay diferencias significativas en los proveedores y descuentos por volumen.
Dispositivos de interconexión Si tiene más de dos equipos en una red 10/100/1000BaseT, necesita algún dispositivo para conectar equipos adicionales. El más sencillo de estos dispositivos es el concentrador, pero también puede usar un conmutador, enrutador o puente, dependiendo de qué quiera hacer. Cada uno de estos dispositivos tiene un uso particular, aunque hay superposición y cada uno tiene diversas variantes. Estos dispositivos actúan como bloques de construcción para expandir un segmento de red e interconectar varios segmentos. Tipo de cable (precios de 305 metros al 5/07) Categoría 5e sólido Categoría 5e hebrado
Costo por metro en PVC 25 centavos de dólar 30 centavos de dólar
Costo por metro en plenum 50 centavos de dólar ND
Categoría 6 sólido
35 centavos de dólar
50 centavos de dólar
Fibra óptica multimodo 63.5/125 en zipcord
95 centavos de dólar
1.25 dólares
Figura 5-2.
05 MATTHEWS 01.indd 122
Comparación de costos de cableado.
1/14/09 1:13:45 PM
Capítulo 5:
Entorno de red de Windows Server 2008
123
Concentradores Los concentradores se usan para conectar varios dispositivos en la red. En la práctica, son estaciones de trabajo, pero también pueden ser servidores, impresoras, otros concentradores o dispositivos de interconexión. Un concentrador es un dispositivo repetidor que toma lo que venga en una línea y transmite a todas las demás líneas sin filtrado ni inteligencia aplicados al flujo de información o lugar donde se dirige. Esto significa que cada estación puede oír lo que todas las demás estaciones han puesto en la red. A medida que el tráfico crece, el número de colisiones entre tramas se incrementará, causando una degradación significativa en el rendimiento de la red. Los concentradores operan en la capa física del modelo OSI, simplemente repitiendo la información que reciben. Hoy, los concentradores están prácticamente extintos, excepto para el uso en el hogar y han sido reemplazados por conmutadores y enrutadores con inteligencia interna y cuestan casi lo mismo o menos.
Conmutadores Un conmutador, como un concentrador, tiene cierta cantidad de puertos, de 4 a 48 o más, y toma la información entrante en un puerto y la envía a uno o más de los puertos restantes. A diferencia del concentrador, que no filtra ni procesa la información que fluye por él, un conmutador es un dispositivo inteligente que revisa la dirección física de destino de la trama en recepción y la dirige al puerto correcto para ese destino. Esto quita dicha trama del resto de la red, dado que la trama va sólo sobre una parte de la red, que conecta los dispositivos de origen y destino. Esto es similar a la maduración del sistema de telefonía, desde el sistema original de línea compartida al sistema actual de marcado directo. Los conmutadores, como puentes y enrutadores, segmentan la red para reducir tráfico y colisiones y, al final, mejoran el rendimiento. La segmentación por conmutador puede hacerse a cualquier nivel donde, de otra forma, tendría un concentrador, puente o enrutador. Un conmutador así funciona como puente de varios puertos y está, por tanto, operando en la capa de vínculo de datos o capa 2 del modelo OSI. Es posible agregar mayor inteligencia a algunos conmutadores convertidos en enrutadores con conmutación de varios puertos para desempacar tramas y operar sobre la dirección lógica en los paquetes. Estos enrutadores de conmutación operan en la capa de la red del modelo OSI. Por esta razón, se les denomina “conmutadores de capa 3”. Hay tres tipos de conmutadores: autónomos, apilables y modulares. Los más simples cuestan menos de 5 dólares por puerto, mientras un enrutador de conmutación de capa 3 puede acercarse a 200 dólares por puerto.
Conmutadores autónomos Los conmutadores autónomos, como se muestra en la figura 5-9, se usan en casi todas las redes con cuatro o más equipos. Los conmutadores autónomos vienen con 4 a 48 puertos para 10/100BaseT, 100BaseT, 10/100/1000BaseT, 1000BaseT, 10GBaseT y una cantidad de variedades de fibra óptica, así como fibra/cobre y sus combinaciones. Los conmutadores 10/100BaseT cuestan menos de 5 a 10 dólares por puerto, mientras los conmutadores 10/100/1000BaseT cuestan desde menos de 8 hasta 15 dólares por puerto. Hay muchas variaciones en estos precios, pero, en general, el precio por puerto baja conforme aumenta la cantidad de puertos en el conmutador.
05 MATTHEWS 01.indd 123
1/14/09 1:13:45 PM
124
Windows Server 2008: Guía del Administrador
*Fotografía de Linksys®, división de Cisco Systems, Inc.
Figura 5-9.
Conmutador Gigabit Linksys de 8 puertos 10/100/1000.*
SUGERENCIA Comprar conmutadores con capacidad de Ethernet Gigabit no eleva mucho más el costo y le da capacidad de crecimiento en el futuro.
Muchos conmutadores autónomos sólo son dispositivos para conectar de 4 a 48 dispositivos que se quieren interconectar. Si busca hacer un cambio en la configuración, debe desconectar físicamente y reconectar los dispositivos, según sea necesario, para hacer el cambio. Pueden conseguirse conmutadores inteligentes con capacidades de administración, como el ilustrado en la figura 5-10. Éste permite que un conmutador sea monitoreado y administrado remotamente a través de paquetes de software que suelen incluirse con el conmutador. Usualmente, el software sólo funciona con una marca de conmutadores, por lo que valdría la pena estandarizarse en una marca si obtiene la capacidad adicional de administración. Los conmutadores autónomos con capacidades de administración cuestan de 10 a 40 dólares más por puerto y pueden irse aún más altos dependiendo de las capacidades.
Conmutadores apilables La construcción de una red más grande, con 100 o más estaciones de trabajo y cierto número de servidores, puede darse con una estructura plana o jerárquica, como se muestra en la figura 5-11. Mediante el uso de conmutadores autónomos, la única diferencia real es dónde se ubicarán éstos. Cuando se conecta en serie un conmutador autónomo con otro para agregar más estaciones de trabajo, el cable que conecta los conmutadores es otro eslabón para reducir la velocidad general y, a medida que los conmutadores se dispersan, su administración física se vuelve más difícil. Para superar esta limitación se desarrollaron los
05 MATTHEWS 01.indd 124
1/14/09 1:13:45 PM
Capítulo 5:
Entorno de red de Windows Server 2008
125
*Fotografía de Linksys®, división de Cisco Systems, Inc.
Figura 5-10. Conmutador Ethernet 10/100 de 24 puertos de administración de capa 2 Linksys ProConnect® II 2224.*
conmutadores apilables, que agregan puertos en una ubicación, uniendo planos posteriores de los conmutadores con conexiones muy rápidas, como si fueran un solo conmutador. Por tanto, cualesquiera de dos dispositivos conectados en cualquier parte de la pila sólo tienen un conmutador entre ellos.
Servidores
Servidores
Conmutador Conmutador apilable Conmutadores
Estaciones de trabajo
Figura 5-11.
05 MATTHEWS 01.indd 125
Estaciones de trabajo
Comparación entre estructura jerárquica y plana de una red.
1/14/09 1:13:46 PM
126
Windows Server 2008: Guía del Administrador
*Fotografía de 3Com® Corporation.
Figura 5-12. Conmutador apilable 10/100/1000 de 3Com® 5500 G (modelos de 24 y 48 puertos).*
Los conmutadores apilables, mostrados en la figura 5-12, tienen un aspecto similar al de los autónomos y la única diferencia real es que los planos posteriores de los conmutadores apilables pueden conectarse. Estos conmutadores pueden apilarse en alturas de seis a ocho conmutadores y cuestan de 30 a 150 dólares por puerto, dependiendo de velocidades y características que incluyan, entre otras, puertos de fibra óptica, puertos Ethernet 10G, administración, corriente sobre Ethernet (PoE, Power over Ethernet) para distribuir energía eléctrica con el cable Ethernet, funcionalidad de capa 3 o hasta capa 4 de OSI y varias características de seguridad interconstruidas.
Conmutadores modulares Un conmutador modular, también llamado conmutador empresarial, es realmente un gran chasis o gabinete con fuente de alimentación y panel posterior en que se insertan muchas tarjetas diferentes, incluidos concentradores, conmutadores, puentes y enrutadores, como se muestra en la figura 5-13. Por usar un único panel posterior, los conmutadores modulares pueden evitar el límite de dos o cuatro capas, como los conmutadores apilables. Los conmutadores modulares preceden a los apilables y, en las funciones menos demandantes (donde todo lo que se necesita son funciones de conmutación), los conmutadores apilables se usan donde antes estaban los modulares, porque el conmutador apilable es mucho más económico. Hay muchas formas de unidades modulares, porque pueden comprarse los módulos que quiera usar (concentradores, conmutadores, puentes o enrutadores) e insertarlos en el panel posterior modular, que puede abarcar uno o varios segmentos de red o varias redes. En esencia, usted compra un chasis con fuente de alimentación y luego adquiere los módulos necesarios para construir el dispositivo que cumpla con sus requisitos de red. Los conmutadores modulares proveen mucha flexibilidad, pero a un precio elevado.
05 MATTHEWS 01.indd 126
1/14/09 1:13:47 PM
Capítulo 5:
Entorno de red de Windows Server 2008
127
*Fotografía de 3Com® Corporation.
Figura 5-13.
Conmutador LAN modular 3Com® Switch 7757.*
Además de la flexibilidad, los conmutadores modulares ofrecen otro beneficio muy importante, denominado columna vertebral colapsada. Si los módulos son dispositivos separados, los conectaría con una columna vertebral de alta velocidad corriendo a un mínimo de 100 Mbps, con frecuencia 1 Gbps —ahora 10 Gbps— y probablemente duplicaría dichos números si corre en full duplex. Si se mueven todos estos dispositivos a un conmutador modular donde estén conectados por el panel posterior, lo que en un conmutador es la conexión de la columna vertebral, ahora se colapsa en el panel posterior y corre de 100 a 600 Gbps.
Puentes Un puente se emplea para segmentar una red o unir dos redes. Un puente observa la dirección física o MAC de una trama en un lado del puente y, si la trama tiene una dirección del otro lado del puente, la trama se mueve al otro lado. Si la trama tiene una dirección en el lado que origina el puente, éste ignora la trama, porque todos los dispositivos de dicho lado ya pueden ver la trama. Dado que el puente revisa la dirección física de la trama, opera en la capa de vínculo de datos o capa 2 del modelo OSI, capa por encima de la operación del concentrador, pero en la misma que el más simple de los conmutadores. El propósito del puente es reducir tráfico en una red mediante la segmentación, aunque todavía es una red. Cuando se unen dos redes con un puente, el resultado es una red con dos segmentos, pero sólo el tráfico dirigido al otro segmento pasa por el puente. El tráfico dirigido dentro del segmento que origina permanece dentro de su segmento. Los puentes son, en esencia, dispositivos sencillos y casi todos ellos reemplazados con enrutadores y conmutadores, y realizan las mismas y otras funciones por un precio igual o aun menor.
05 MATTHEWS 01.indd 127
1/14/09 1:13:47 PM
128
Windows Server 2008: Guía del Administrador
Enrutadores Un enrutador puede efectuar las mismas funciones de segmentación y unión que un puente, pero en un nivel más elevado de complejidad, usando direcciones lógicas de la capa de la red (capa 3) del modelo OSI. Las capacidades añadidas de un enrutador son importantes: ▼
Los enrutadores conectan redes separadas, dejándolas independientes con su propio direccionamiento
■
Los enrutadores conectan diferentes tipos de redes; por ejemplo, 100BaseF y 100BaseT
■
Los enrutadores eligen una vía entre rutas alternas en redes complejas, para llegar a un destino final
▲
Los enrutadores limpian el tráfico de la red, verificando si una trama está corrompida o perdida (viajando sin fin en la red); si es así, elimina la trama
Por estas razones, los enrutadores se usan de manera rutinaria para conectarse a Internet y, ya en Internet, para conectar una WAN a una LAN. Los enrutadores suelen ser dispositivos inteligentes con un procesador y memoria. Con esta capacidad, un enrutador desempaca cada trama que llega a él; verifica cada paquete en la trama, recalcula su CRC; verifica cuántas veces ha estado el paquete alrededor de la red; verifica la dirección lógica de destino; determina el mejor camino para llegar ahí; empaca de nuevo los paquetes dentro de una nueva trama con la nueva dirección física y envía la trama. Además, los enrutadores hablan entre sí para determinar el mejor camino y mantener el registro de las rutas que han fallado. Los enrutadores hacen esto a velocidades sorprendentes. En el extremo bajo, los enrutadores procesan más de 250 000 paquetes por segundo y llegan a superar los varios millones de paquetes por segundo en el extremo alto. Los enrutadores empiezan por debajo de los 50 dólares y llegan a superar los miles, dependiendo de lo que hacen. Los enrutadores se combinan con conmutadores, como puntos de acceso inalámbricos para unir Internet con una red cableada o inalámbrica, en una única unidad. En la figura 5-14 se muestra una unidad Linksys con un enrutador para conectar Internet que llega por cable o conexión DSL a una LAN, compartida con un conmutador de 8 puertos. Esta unidad cuesta menos de 100 dólares.
*Fotografía de Linksys®.
Figura 5-14.
05 MATTHEWS 01.indd 128
Enrutador de cable/DSL Linksys EtherFast® con conmutador de 8 puertos.*
1/14/09 1:13:47 PM
Capítulo 5:
Entorno de red de Windows Server 2008
129
Modelo OSI Aplicación Presentación Sesión Transporte Red Vínculo de datos
Enrutadores Conmutadores
Física
Figura 5-15.
Puentes
Concentradores repetidores
Dispositivos de interconexión y el modelo OSI.
Resumen de dispositivos de interconexión Cuando construye una red, tiene muchas opciones relacionadas con dispositivos de interconexión. No sólo cuenta con la opción entre concentradores, puentes, enrutadores y conmutadores, sino también una serie de opciones en cada una de estas categorías, además de combinaciones de estos dispositivos. Puede obtener cierta orientación para una respuesta, revisando dónde opera cada uno de los dispositivos en el modelo OSI, como se muestra en la figura 5-15. En casi todos los casos, trabajará con conmutadores y quizás un enrutador, para conectarse a Internet. Más allá de esto, dependerá de la complejidad de su red.
TOPOLOGÍAS DE RED Topología es el diseño de una red, la forma en que está construida. En las figuras de este capítulo ha visto diferentes topologías. 10Base2 y 10Base5 usaban una topología de bus, donde todos los dispositivos de red estaban enlazados a un único cable largo. Sin embargo, estas formas de Ethernet están muertas. Las formas 10/100/1000BaseT usan una topología de estrella, donde los dispositivos de la red se dispersan con diferentes cables desde un conmutador central, como se ve en las figuras 5-1, 5-2, 5-8 y 5-11. Cuando el cableado de la columna vertebral se añade a una red 10/100/1000BaseT, se tiene una topología de estrella/bus.
05 MATTHEWS 01.indd 129
1/14/09 1:13:48 PM
130
Windows Server 2008: Guía del Administrador
La topología de bus fue la original de Ethernet, pero tiene una desventaja importante: una interrupción en cualquier parte de la red hace que deje de funcionar toda la red. En una topología de estrella, una interrupción de una línea sólo hace que dejen de funcionar las partes de la red conectadas a la misma línea, posiblemente una sola estación. El cable para la topología de estrella es relativamente económico y fácil de manejar. Puede tender el cable para una topología de estrella en el muro sin conectarlo a un conmutador si no va a ser usado. Además, es fácil mover una estación de un segmento de la red a otra, con sólo cambiar un cable de jumper que conecta la estación de un conmutador a otro. Como resultado, para una red cableada, la topología de estrella es la predominante.
Tienda una red Una vez que haya decidido la tecnología de red y el tipo de adaptador de red, cableado y dispositivos de interconexión que quiere usar, todavía tiene que decidir cómo tender la red. Esto incluye gran cantidad de preguntas como: ▼
¿Qué estaciones estarán agrupadas con cuáles conmutadores?
■
¿Apilará varios conmutadores o usará una estructura jerárquica?
■
¿Los servidores deberán centralizarse en un lugar o descentralizarse en cada departamento?
■
¿Cuándo necesitaré un enrutador?
▲
¿Cómo conectar dos edificios separados por 500 metros o más?
No hay una respuesta correcta a estas preguntas y gran diferencia entre el impacto de la primera pregunta y la última. Puede modificar fácilmente las conexiones para modificar la manera en que las estaciones de trabajo se encuentran agrupadas, pero establecer una WAN es un trabajo para profesionales porque se está hablando de dinero, para comprar el equipamiento e instalarlo, además de un gasto significativo si quiere cambiarlo. En una red Ethernet 100/1000BaseT, deben seguirse algunas reglas para el tendido. Éstas varían levemente según los fabricantes, pero las reglas básicas generales se muestran en la siguiente tabla: Regla básica Largo máximo del cable entre el concentrador y la estación de trabajo
Fast Ethernet 100/1000BaseT 100 metros o 328 pies
Tipo de cable mínimo
Categoría 5e
Máximo número de concentradores entre dos estaciones de trabajo o un conmutador y una estación de trabajo
Dos concentradores
Máximo número se segmentos de cable entre dos estaciones de trabajo o entre un conmutador y una estación de trabajo
Tres segmentos de cable con una distancia total máxima de 205 metros o 672 pies
05 MATTHEWS 01.indd 130
1/14/09 1:13:48 PM
Capítulo 5:
Entorno de red de Windows Server 2008
131
Microsoft Office Visio Professional es una buena herramienta para planear el tendido de la red, su construcción y documentación, luego de instalarse. Con Visio, puede diseñar fácilmente el tendido de la red que quiere usar, comunicar rápidamente este diseño a otros, crear una lista de materiales y tener lista una referencia durante la instalación. Después de que la red se ha terminado, Visio es buena herramienta para documentar cambios en la red. Visio, producto Microsoft Office, puede encontrarse en http://office.microsoft.com/.
PROTOCOLOS DE TRABAJO EN RED Los protocolos son estándares o reglas que permiten la interconexión y operación de varios sistemas y dispositivos diferentes en una red, sin importar que se trate de una pequeña red de oficina o de una empresa internacional. Los protocolos especifican cómo y cuándo debe suceder algo y qué es lo que debe suceder. Los protocolos se encuentran desarrollados de diferentes maneras, pero para que uno sea empleado universalmente, debe aceptarse por cierto número de organizaciones, sobre todo las que construyen software y dispositivos de red. Para ganar esta aceptación, los protocolos circulan inicialmente como borradores de protocolo, usando documentos llamados solicitudes de comentarios (RFC, Requests for Comments). Si una persona u organización desea cambiar un protocolo, un nuevo RFC se circula con un número superior al del RFC original. El Information Sciences Institute (ISI) de la Universidad del Sur de California clasifica los RFC como estándares aprobados de Internet, estándares de Internet propuestos, mejores prácticas de Internet y para su información (FYI, For Your Information). ISI también mantiene un sitio Web con una lista de RFC y su clasificación (http://www.rfc-editor.org/), desde donde es posible obtener copias de los RFC. Puede determinar la manera en que una pieza de software ha implementado un protocolo revisando qué RFC soporta. Por ejemplo, puede ir al sitio de Microsoft Technet (http://www.technet2.microsoft.com) y buscar el tema “TCP/IP RFCs” y ver la lista de los RFC soportados. Numerosos protocolos se relacionan con redes computacionales, pero “protocolos de red” aluden al direccionamiento lógico y transferencia de información. Estos protocolos trabajan con las capas de transporte y modelo de red de trabajo OSI, como se muestra en la figura 5-16. Aunque al principio se usaban ciertos protocolos de red, hoy casi todas las redes usan el protocolo de control de transmisión/protocolo de Internet, o TCP/IP.
TCP/IP El protocolo de control de transmisión/protocolo de Internet es un conjunto de reglas de red originados en Internet y depurados durante 25 años, hasta volverse una herramienta excelente para transmitir grandes cantidades de información de manera confiable y rápida en una red compleja. Los dos componentes, TCP y IP, estaban originalmente combinados y más tarde fueron separados para mejorar la eficiencia del sistema. Hasta hace poco (alrededor de 2005), si alguien decía “IP” automáticamente aludía a IPv4, la versión de IP que ha existido por más de 25 años y que proporciona direccionamiento de 32 bits o 4 bytes. Mientras el direccionamiento de 32 bits brinda gran número de direcciones (más de 2 000 millones), el direccionamiento IP se usa mundialmente y, de seguir
05 MATTHEWS 01.indd 131
1/14/09 1:13:48 PM
132
Windows Server 2008: Guía del Administrador
Modelo OSI Aplicación Presentación
Funciones de las aplicaciones y el sistema operativo
Sesión Transporte
Red Vínculo de datos Físico
Figura 5-16.
Especificación de interfaz de controlador de red (NDIS) Control de acceso a medios (MAC) Control y especificación del hardware físico (Ethernet)
Protocolos de red y el modelo OSI.
usando IPv4, pronto se agotarán las direcciones. Además, varias mejoras tecnológicas han tenido impacto en el protocolo de Internet. Por tanto, a mediados de 1990 empezaron las discusiones sobre un nuevo protocolo de Internet, llamado ahora “IPv6”, con varias mejoras, incluidas direccionamiento de 128 bits o 16 bytes. IPv6 se ha vuelto ahora un estándar oficial; así, Windows Vista y Windows Server 2008 dan soporte tanto a IPv4 como IPv6. La implementación mundial de IPv6 tomará unos años, por lo que IPv6 se ha hecho funcionar con IPv4 y los sistemas tendrán que manejar ambos por un tiempo.
IPv4 El protocolo de Internet opera en la capa de red, capa 3, del modelo OSI que controla ensamblado y enrutamiento de los paquetes (en ocasiones llamados datagramas en IP). Para enviar un paquete a un nodo remoto a través de una red compleja, como Internet, éstos son los pasos necesarios:
05 MATTHEWS 01.indd 132
1.
El paquete es ensamblado en la capa de la red y dirección IP de destino (que es una dirección lógica, no una dirección física) es agregada.
2.
El paquete se pasa a la capa del vínculo de datos, que incluye el paquete en una trama y añade la dirección física del primer enrutador que inicia el paquete en su camino a su destino.
1/14/09 1:13:49 PM
Capítulo 5:
Entorno de red de Windows Server 2008
133
3.
El paquete se pasa al enrutador más cercano, desempaca la trama, verifica la dirección lógica del paquete, lo reempaca en la trama y agrega la dirección física del siguiente enrutador que continúa el paquete en su camino a su destino.
4.
El paso 3 se repite para cada enrutador a lo largo del camino.
5.
En el último enrutador antes del destino, la dirección física del destino se agrega a la trama y la trama es enviada a su destino.
Esta técnica permite que la información siga un camino a través de la red y el enrutador local toma la decisión de cuál tomar, de acuerdo con su conocimiento de la situación local. IP es un servicio sin conexión. Envía el paquete en su camino sin saber si es recibido o qué ruta toma. La capa de transporte tiene por función determinar si se ha recibido y, de no ser así, reemplaza el paquete. Los enrutadores en la capa de vínculo de datos tienen la función de definir la ruta que el paquete toma. El paquete que IP ensambla tiene un máximo de 64 KB, incluido un encabezado variable con las direcciones de origen y destino, además de otra información de control. El encabezado, que es siempre un múltiplo de 4 bytes o 32 bits, se muestra en la figura 5-17 y tiene estos campos (cada campo muestra el largo del campo en bits): ▼
Versión Número de versión del protocolo, establecido en 4
■
IHL Longitud del encabezado a partir de la cantidad de “palabras” de 4 bytes (32 bits), con un mínimo de cinco palabras (en la figura 5-17 cada renglón es una palabra, por lo que el IHL es 6)
Versión 4 bits
IHL 4 bits
Identificación 16 bits Tiempo de vida 8 bits
Longitud total 16 bits
Tipo de servicio 8 bits Marcas 3 bits Protocolo 8 bits
Desplazamiento del fragmento 13 bits
Suma de validación de encabezado 16 bits
Dirección origen 32 bits Dirección destino 32 bits Opciones y relleno múltiplos de 32 bits
Figura 5-17.
05 MATTHEWS 01.indd 133
Encabezado IPv4.
1/14/09 1:13:49 PM
134
Windows Server 2008: Guía del Administrador
■
Tipo de servicio La velocidad y confiabilidad del servicio solicitado
■
Longitud total Longitud total del paquete en bytes u “octetos”, con un máximo de 65 535
■
Identificación Identificación del fragmento, para que pueda ser reconstruido
■
Marcas Indicador de fragmentación (DF: 0 = puede fragmentarse, 1 = no fragmentar, MF: 0 = últimos fragmentos, 1 = más fragmentos)
■
Desplazamiento de fragmento Número en un conjunto de fragmentos; el primero es 0
■
Tiempo de vida El número de veces que quedan en un enrutador antes de desechar el paquete
■
Protocolo El protocolo que habrá de usarse en la capa de transporte
■
Suma de validación del encabezado Número para validar únicamente la integridad del encabezado
■
Dirección de origen La dirección IP del equipo de origen
■
Dirección de destino La dirección IP del equipo de destino
■
Opciones Seguridad, enrutamiento y otra información especial
▲
Relleno Asegura que el encabezado sea un múltiplo de 4 bytes
Direccionamiento IPv4 Las direcciones de origen y destino en el encabezado IP son direcciones lógicas asignadas a equipos particulares, en comparación con direcciones físicas de una tarjeta de red. Estos números de 32 bits o 4 bytes, llamados direcciones IP, pueden tener uno de tres formatos, que varían con los tamaños de la red y segmentos de host de la dirección. Los bits más a la izquierda (“más significativos”) identifican el formato particular o “clase”. Todas estas clases tienen un segmento de red y otro de host que permiten ubicar un equipo o enrutador (host) particular en una red determinada, como se describe aquí: ▼
La clase A puede identificar hasta 16 777 214 hosts en cada una de sus 126 redes.
■
La clase B puede identificar hasta 65 534 hosts en cada una de sus 16 382 redes.
▲
La clase C puede identificar hasta 254 hosts en cada una de sus 2 097 150 redes.
NOTA La especificación general IP está en el RFC 791, mientras el direccionamiento se analiza adicionalmente en los RFC 790 y 796. Todos estos RFC están disponibles en http://www.ietf.org/rfc.html.
La dirección IP suele representarse como cuatro números decimales separados por puntos, por ejemplo 127.168.105.204. Cada número es 1 byte en la dirección. Para ayudar a la identificación en la manera de analizar (o dividir) una dirección IP, en los segmentos de red y host, debe especificarse la máscara de subred, que sirve como modelo para este propósito. La máscara de subred para la clase A es 255.0.0.0, para la clase B es 255.255.0.0 y para la clase C es 255.255.255.0. La máscara de subred concentra la atención en los hosts locales en la red actual. Si trabaja en ésta, la máscara de subred puede acelerar el procesamiento de la dirección IP.
05 MATTHEWS 01.indd 134
1/14/09 1:13:49 PM
Capítulo 5:
Entorno de red de Windows Server 2008
135
IPv6 El cambio único más grande en IPv6 es el encabezado y su enorme espacio de direcciones. Este espacio no sólo permite mayor cantidad de direcciones adicionales, sino también provee direccionamiento jerárquico más eficiente para facilitar más el trabajo de los enrutadores. Por ejemplo, si se encuentra en la costa oeste de Estados Unidos y quiere enviar un mensaje de correo electrónico a McGraw-Hill en la ciudad de Nueva York, con direccionamiento jerárquico, los primeros enrutadores no necesitan preocuparse por la ruta completa, sólo necesitan llegar a la región del Atlántico. Otros cambios en IPv6 incluyen características de seguridad integradas, soporte mejorado para priorización y capacidad de adición fácil para nuevas características del encabezado en el futuro. El encabezado de IPv6, mostrado en la figura 5-18, tiene los siguientes campos: ▼
Versión Número de versión del protocolo, establecido en 6
■
Clase de tráfico La velocidad y confiabilidad del servicio solicitado, similar al tipo de servicio en IPv4
■
Etiqueta de flujo Permite la secuenciación de paquetes entre el origen y el destino
■
Longitud de la carga Longitud total del paquete, excluyendo encabezado, con un máximo de 65 535 bytes
■
Siguiente encabezado El tipo de la primera extensión de encabezado (si está presente) o el protocolo a usar en la capa de transporte, como TCP, similar a protocolo en IPv4
■
Límite de saltos El número restante de vínculos que pueden atravesarse antes de descartar el paquete, similar al tiempo de vida en IPv4
■
Dirección de origen La dirección IP del equipo de origen
▲
Dirección de destino La dirección IP del equipo de destino; en algunas circunstancias puede establecerse temporalmente en la dirección IP del siguiente enrutador
Versión 4 bits
Clase de tráfico 8 bits
Largo de la carga 16 bits
Etiqueta de flujo 20 bits Siguiente encabezado 8 bits
Límite de saltos 8 bits
Dirección de origen 128 bits Dirección de destino 128 bits
Figura 5-18.
05 MATTHEWS 01.indd 135
Encabezado IPv6.
1/14/09 1:13:50 PM
136
Windows Server 2008: Guía del Administrador
A diferencia de IPv4, el encabezado de IPv6 tiene una longitud fija de 40 bytes. Se han agregado características complementarias al paquete IPv6 mediante extensiones de encabezado. Casi todos los paquetes IPv6 carecerán de una extensión de encabezado, pero los definidos son encabezados de opciones salto por salto, opciones de destino, enrutamiento, fragmento, autentificación y encapsulamiento de seguridad de la carga. El único campo nuevo en el encabezado IPv6 es la etiqueta de flujo para la secuenciación de paquetes. El principal campo eliminado en IPv6 es la suma de verificación del encabezado, cuya función es ejecutada por el paquete completo, en la capa de vínculo de datos (capa 2) cuando el paquete se coloca en una trama.
Direccionamiento IPv6 Una parte importante del espacio de direccionamiento de IPv6, definido en el RFC 4291, se subdivide en dominios de enrutamiento jerárquicos, por lo que una dirección particular puede llevar no sólo su identidad única, sino la jerarquía de enrutadores que llegan a él. Para comunicar la dirección de 128 bits o 16 bytes, ésta se subdivide en ocho bloques de 16 bits, cada uno de los cuales se convierte en cuatro números de cuatro dígitos hexadecimales (base 16), separados por puntos dobles. Los ceros a la izquierda se desechan y si un bloque entero es cero, puede eliminarse poniendo un par de dos puntos (::). Por ejemplo, he aquí una dirección IPv6: 2001:D88::2F3B:2AA:FF:FE28:9C5A
TCP El protocolo de control de transmisión opera en la capa de transporte, a cargo de las conexiones. Su propósito es asegurar la entrega confiable de información a un destino específico. TCP es un servicio orientado a la conexión, en contraste con IP, que es desconectado. TCP hace la conexión con el destino final y mantiene el contacto con el destino para asegurarse de que la información sea recibida correctamente. Sin embargo, una vez que haya establecido la conexión, TCP depende de IP para manejar la transferencia en sí. Y dado que IP es desconectado, IP depende de TCP para asegurar la entrega. Los TCP emisor y receptor (los protocolos en ejecución en cada máquina) mantienen un diálogo constante, full duplex (ambos pueden hablar al mismo tiempo), a través de la transmisión para la entrega confiable. Esto empieza con el TCP emisor, asegurándose de que el destino está listo para recibir información. Una vez que se recibe una respuesta afirmativa, el TCP emisor empaqueta un mensaje de datos dentro de un segmento, que contiene un encabezado con información de control y la primera parte de los datos. Esto es entonces enviado a IP, conforme TCP crea los segmentos faltantes mientras espera la confirmación de que se han recibido los segmentos. Si no se recibe la confirmación de un segmento en particular, éste se vuelve a crear y enviar. Este proceso continúa hasta que se envía y confirma el segmento final, en cuyo punto el emisor indica al receptor que ha terminado. En el proceso de transmisión, ambas capas de transporte están constantemente hablando para asegurarse de que todo discurre sin dificultades.
05 MATTHEWS 01.indd 136
1/14/09 1:13:50 PM
Capítulo 5:
Entorno de red de Windows Server 2008
137
NOTA Nombres diferentes y, en ocasiones, confusos se usan para aludir a piezas de datos transferibles a través de una red, dependiendo de dónde se encuentra uno en el modelo OSI y el protocolo en uso. Mediante el protocolo TCP/IP y Ethernet con el modelo OSI, como se muestra en la parte superior de la figura 5-19, las aplicaciones crean “mensajes” para enviarse por la red. El mensaje es entregado hacia abajo al nivel de transporte, donde TCP divide el mensaje en “segmentos”, que incluyen un encabezado de segmento con direcciones de puerto. Los segmentos son bajados a la capa de la red, donde IP empaqueta los segmentos en “datagramas”, con direcciones IP lógicas. El datagrama es bajado a la capa del vínculo de datos, donde Ethernet los encapsula en una “trama” con una dirección MAC física. Las tramas se pasan a la capa física, que los envía por la red a la dirección física, donde el proceso inverso se lleva a cabo. Como opción, en las capas de transporte y red, a una pieza de información se le denomina genéricamente “paquete” de información.
La comunicación entre los TCP emisor y receptor se lleva a cabo en el segmento de encabezado, mostrado en la figura 5-20 y se explica en la siguiente lista de campos. Los dos protocolos usan número de secuencia, número de confirmación, códigos, tamaño de ventana que se desplaza, apuntador de urgencia y opciones para llevar a cabo una muy
Modelo OSI
Nombre genérico
Nombres TCP/IP y Ethernet
Aplicación Presentación Mensaje Sesión Segmento
Transporte Paquete Red Vínculo de datos
Datagrama
Trama
Física
Figura 5-19.
05 MATTHEWS 01.indd 137
El modelo OSI y los nombres empleados para las piezas de información.
1/14/09 1:13:50 PM
138
Windows Server 2008: Guía del Administrador
compleja conversación acerca del avance de la transmisión. Todo esto sucede en fracciones de segundo. ▼
Puerto de origen El número de puerto en la capa de la sesión, llamado conector, que envía los datos
■
Puerto de destino El número de puerto en la capa de la sesión o conector, que recibe los datos
■
Número de secuencia Un número enviado al emisor para indicar que se ha recibido ese segmento; el número de secuencia se incrementa en 1
Puerto de origen 2 bytes
Puerto de destino 2 bytes
Número de secuencia 4 bytes
Número de confirmación 4 bytes
Longitud de encabezado 4 bits
Sin usar 6 bits
R E C M N P
Suma de verificación 2 bytes
Tamaño de ventana 2 bytes
Apuntador de urgencia 2 bytes
Opciones y relleno múltiplos de 4 bytes
Figura 5-20.
05 MATTHEWS 01.indd 138
Encabezado de un segmento TCP.
1/14/09 1:13:51 PM
Capítulo 5:
Entorno de red de Windows Server 2008
139
■
Longitud de encabezado La longitud del encabezado y, por tanto, el desplazamiento desde el inicio del encabezado a los datos
■
URG El campo Urgente; si es 1, el apuntador de urgencia es válido
■
RCN El campo Reconocimiento; si es 1, el número de reconocimiento es válido
■
EMP El campo Empujar; si es 1, el receptor no almacenará datos y, en cambio, los enviará directamente a la aplicación, como con el audio y video en tiempo real
■
RST El campo Restablecer; si es 1, debe interrumpirse la comunicación y reiniciar la conexión
■
SIN El campo Sincronizar; si es 1, el emisor solicita una conexión; si es aceptada, el receptor deja SIN = 1 y hace RCN = 1
■
FIN El campo Finalizar; si es 1, la transmisión va a terminarse
■
Tamaño de ventana El número de bytes que el receptor puede aceptar en la siguiente transmisión
■
Suma de verificación Un número con el que se verifica la integridad del segmento
■
Apuntador de urgencia Si URG = 1, éste es un número usado como desplazamiento para apuntar a una pieza urgente de información que el receptor debe revisar
■
Opciones Utilizado para circunstancias especiales; normalmente ausente
▲
Relleno Usado para asegurar que el encabezado sea múltiplo de 4 bytes
SUGERENCIA La especificación general de TCP está en el RFC 793, disponible en http://www.ietf.orf/rfc.html.
Las funciones efectuadas por TCP e IP son: empaquetado, direccionamiento, enrutamiento, transmisión y control del proceso de trabajo en red en un entorno muy complejo. Cuando agrega a esto la facilidad y confiabilidad del trabajo en red, resulta muy sorprendente. Ahora que conoce todos los ingredientes del trabajo en red presentados en este capítulo, ¿no es sorprendente que funcione aun en pequeños grupos de trabajo, dejando a un lado Internet? Que Internet sea un éxito mundial es para considerarla una de las grandes maravillas del mundo moderno. Al principio de este capítulo se estableció que el trabajo en red es la característica más importante en Windows Server 2008. Habiendo leído este capítulo, verá que el trabajo de la red es una compleja tarea con muchas exigencias y el hecho de que Windows Server 2008 la maneje bien es un gran logro. En el siguiente capítulo verá la manera en que Windows Server 2008 satisface dichas demandas y cómo controlar lo que Windows Server 2008 hace. Creo que concluirá que Windows Server 2008 está bien preparado para su función más importante.
05 MATTHEWS 01.indd 139
1/14/09 1:13:51 PM
06 MATTHEWS 01.indd 140
1/14/09 2:05:45 PM
CAPÍTULO 6 Configuración y administración de una red
141
06 MATTHEWS 01.indd 141
1/14/09 2:05:45 PM
142
Windows Server 2008: Guía del Administrador
C
uando instaló Windows Server 2008, se conformó y configuró un conjunto básico de servicios de red, a través de entradas y opciones predeterminadas del sistema. Esta configuración puede proporcionar, pero no siempre, un sistema de red funcional. En cualquier caso, tiene un espectro amplio de opciones de trabajo en red para revisar y establecer el mejor entorno de red que cumpla sus necesidades. El objetivo de este capítulo es hacer precisamente eso: primero ver cómo configurar de forma básica la red en Windows Server 2008 y luego buscar cómo configurar Windows Server 2008 para dar soporte al resto de la red. Trabajo en red básico significa que el equipo se puede comunicar con otros equipos en la red. Para ello, debe hacer lo siguiente: ▼
Asegúrese de que el adaptador o tarjeta de red (NIC, Network Interface Card) esté configurado correctamente
■
Instale las funciones de red que quiera realizar
▲
Dé clic y configure un protocolo de red
CONFIGURE LOS ADAPTADORES DE RED En un mundo perfecto, un equipo configurado debería tener un adaptador de red con soporte tanto para Windows Server 2008 como plenamente compatible con Plug and Play. Si esto describe su equipo, entonces su adaptador de red se configuró en la instalación sin problema alguno y no necesita leer esta sección. Como lo saben todos los que han instalado un sistema operativo en más de dos equipos, éste es un mundo imperfecto. Sin embargo, en esta sección se revisa cómo instalar un adaptador de red y qué necesita para ser totalmente operativo. NOTA Como se describió en el capítulo 5, el término “adaptador de red” incluye dispositivos que conectan un equipo a una red por cable o vía inalámbrica, como los adaptadores PCI para equipos de escritorio, adaptadores PC-Card y ExpressCard para laptops, adaptadores USB para equipos de escritorio o laptops, además de conexiones de red cableadas o inalámbricas, integradas en equipos de escritorio y laptops.
Si instaló Windows Server 2008 empleando las instrucciones del capítulo 3 y recorrió la sección “Configure un servidor”, entonces puede omitir esta sección, si cree que sus adaptadores de red operan en forma correcta. Si tuvo problemas con esa sección del capítulo 3 o no lo recorrió, entonces esta sección será valiosa para usted. Suponiendo que un adaptador de red está conectado en forma apropiada al equipo, cualquiera de estas tres cosas puede causar que no opere: ▼
El controlador del adaptador de red no se encuentra o no está instalado apropiadamente
■
No están disponibles los recursos necesarios
▲
El adaptador de red no funciona correctamente
Vea cada una de estas posibilidades en cada una de las secciones siguientes.
06 MATTHEWS 01.indd 142
1/14/09 2:05:45 PM
Capítulo 6:
Configuración y administración de una red
143
Revise el controlador del adaptador de red Durante la instalación, tal vez haya recibido un mensaje indicando que no encontró el controlador (aunque la instalación puede completarse sin indicarle que saltó la instalación de la red debido a la falta de controlador). Utilice los siguientes pasos para revisar si tiene un controlador instalado y, si no, trate de instalar uno. 1.
Dé clic en Inicio|Panel de control, y doble clic en Centro de redes y recursos compartidos. Se abrirá el Centro de redes y recursos compartidos. Si su ventana se ve como la de la figura 6-1, entonces su adaptador de red y controlador están instalados y funcionan apropiadamente; así podrá pasar a la siguiente sección principal. Si no es el caso, entonces el Centro de redes y recursos compartidos deberá verse como la figura 6-2.
2.
Si su red no aparece en el Centro de redes y recursos compartidos, no puede ir a ésta con una de las opciones de esa ventana. Cierre la ventana Centro de redes y recursos compartidos. Primero debe instalar el adaptador de red y su controlador al utilizar Agregar hardware, del Panel de control.
Figura 6-1.
06 MATTHEWS 01.indd 143
La red se instaló y funciona apropiadamente.
1/14/09 2:05:46 PM
144
Windows Server 2008: Guía del Administrador
Figura 6-2.
3.
La red no funciona apropiadamente.
En este punto, lo más probable es que necesite un controlador de Windows Server 2008 para el adaptador de red, así que es mejor conseguirlo antes de seguir adelante. Si su adaptador de red no incluía uno, entonces necesita usar otro equipo, ir al sitio Web del fabricante, ubicar y descargar el controlador (necesita saber la marca y modelo del adaptador de red) y después copiar el controlador en un CD.
SUGERENCIA Yo pasé por el proceso de descargar un controlador para una tarjeta 3Com “antigua” y lo encontré sin dificultad. La parte difícil es descubrir qué tarjeta es, pues a menudo no está escrito en la tarjeta, así que debe encontrar registros de compra o documentación (si sabe cuáles registros corresponden a la tarjeta).
06 MATTHEWS 01.indd 144
4.
Una vez más, haga clic en Inicio|Panel de control y haga doble clic en Agregar hardware. Se abre el asistente Agregar hardware.
5.
Dé clic en Siguiente. Se le pregunta si quiere que el asistente busque e instale el hardware automáticamente. De funcionar, el adaptador de red ya estaría instalado. En cambio, haga clic en Instalar el hardware seleccionado manualmente de una lista.
1/14/09 2:05:46 PM
Capítulo 6:
Configuración y administración de una red
145
6.
Dé clic en Siguiente. Aparecerá una lista de tipos comunes de hardware. Desplácese hacia abajo, haga clic en Adaptadores de red y en Siguiente. Se despliega la lista de fabricantes y adaptadores de red. Recorra hacia abajo los fabricantes y luego los adaptadores, para ver si se encuentra el suyo. De ser así, selecciónelo, haga clic en Siguiente dos veces y continúe en el paso 9.
7.
Si no encontró su adaptador (lo más probable) y tiene un disco con el controlador, haga clic en Usar disco. Haga clic en Examinar, seleccione un controlador en éste, localice y seleccione el controlador y después haga clic en Abrir. Cuando se despliegue, haga clic en Aceptar. Cuando se le diga que el controlador se instalará, haga clic en Siguiente.
8.
Tal vez reciba un mensaje indicando que el controlador está a punto de instalarse no tiene firma digital de Microsoft. Dé clic en Sí para instalarlo de todas formas. Se instalarán adaptador y su software controlador necesario.
9.
Haga clic en Finalizar y reinicie su equipo. Una vez que reinicie, deberá ver un mensaje en la esquina inferior derecha de su pantalla indicando que adaptador y controlador se han instalado, como se muestra a continuación.
10.
Si ahora da clic en Inicio|Panel de control y doble clic en Centro de redes y recursos compartidos, debe ver la opción Conexión de área local. Si la ve, vaya a la siguiente sección principal, “Instale funciones de red y configure protocolos”.
11.
Si todavía no tiene una Conexión de área local u ocurrió otro problema en el proceso anterior, sin apuntar a una solución obvia, recorra las dos siguientes secciones para ver si se presenta una solución.
SUGERENCIA Si su adaptador de red no está certificado para ejecutarse con Windows Server 2008, eso no significa que no funcionará con éste. Sólo quiere decir que Microsoft no lo ha revisado. Casi ninguna tarjeta antigua está certificada para nuevos sistemas operativos, pero se ejecutan bien. Revise con el fabricante si cree que funciona con Windows Server 2008.
Revise los recursos del adaptador de red Casi todas las tarjetas o adaptadores de red en una PC requieren recursos dedicados para operar. Entre los recursos se incluyen líneas de solicitud de interrupción (IRQ, Interrupt ReQuest), puertos de entrada/salida y líneas de acceso directo a memoria (DMA, Direct Memory Access). Usualmente, dos dispositivos no pueden compartir los mismos recursos, excepto si los dispositivos PCI comparten una misma IRQ. Por tanto, si dos dispositivos están asignados al mismo recurso, ocurre un conflicto y el dispositivo no opera apropiadamente. Esto causará que un adaptador de red no funcione y el icono Conexión de área local no aparezca. Revise los recursos utilizados por el adaptador de red, con estos pasos:
06 MATTHEWS 01.indd 145
1/14/09 2:05:47 PM
146
Windows Server 2008: Guía del Administrador
06 MATTHEWS 01.indd 146
1.
Haga clic en Inicio|Panel de control y doble clic en Administrador de dispositivos. Se abre la ventana Administrador de dispositivos y despliega sus adaptadores de red, como se muestra a continuación. Si ve un icono de problema (un signo de admiración) en su adaptador de red, entonces tal vez haya un problema con el recurso de ubicación.
2.
Abra la categoría Adaptadores de red y haga doble clic en el adaptador de red particular que está investigando. Se abrirá el cuadro de diálogo Propiedades de ese dispositivo y se le presentará el estado del dispositivo. Si existe un problema de recursos, entonces debe mostrarse.
3.
Haga clic en la ficha Recursos. En Lista de dispositivos en conflicto, en la parte inferior del cuadro de diálogo, verá las especificaciones de cualquier conflicto de recursos.
4.
Si tiene un conflicto, haga clic en Usar configuración automática, para desactivar esa configuración y después recorra cada una de las configuraciones de la lista desplegable Configuración basada en, para ver si cualquiera de éstas soluciona el problema.
5.
Si ninguna de las configuraciones soluciona el problema, haga clic en el problema del recurso y luego en Cambiar configuración. Dé clic en la flecha hacia arriba o hacia abajo, para cambiar la configuración y después haga clic en Aceptar, para ver si eso arregla el problema. Intente varias configuraciones.
6.
Si tiene muchos problemas para encontrar una solución, vaya de regreso al Administrador de dispositivos (puede dejar el cuadro de diálogo Propiedades del adaptador de red abierto), abra el menú Ver y haga clic en Recursos por tipo. Aquí verá todas las asignaciones de un recurso —como se muestra para las líneas de solicitud de interrupción a continuación— y encontrará uno vacío para asignar al adaptador de red.
1/14/09 2:05:47 PM
Capítulo 6:
Configuración y administración de una red
147
7.
Si encuentra un recurso no asignado, regrese al cuadro de diálogo Propiedades del adaptador de red y asígnelo al adaptador de red. Si no puede encontrar uno de estos recursos, tal vez deba tomar una decisión difícil entre el adaptador de red y un dispositivo en conflicto. La red es un servicio muy importante y si está en conflicto con una tarjeta de sonido, por ejemplo, tal vez tenga que quitar la tarjeta de sonido para adquirir funciones de red.
8.
Si ninguna de las sugerencias anteriores funciona, regrese al cuadro de diálogo Propiedades del adaptador de red, dé clic en la ficha General y después clic en Troubleshoot. Se abrirá la Ayuda de Windows Server 2008 y le guiará a través de una serie de pasos para intentar resolver el problema.
9.
Cuando haya resuelto el problema de recurso de la mejor forma posible, cierre el cuadro de diálogo Propiedades del adaptador de red y cierre el Administrador de dispositivos. Si hizo cambios en los recursos, tal vez se le indicará que necesita reiniciar el equipo y se le preguntará si quiere hacerlo ahora. Dé clic en Sí y el equipo se reiniciará.
10.
Si hizo algún cambio a los recursos de forma correcta, ahora deberá ver un icono de red en la barra de notificación, en la esquina inferior derecha. De ser así, vaya a la siguiente sección principal, “Instale funciones de red y configure protocolos”. Si no ve un icono Conexión de área local, continúe con la siguiente sección.
El adaptador de red no funciona Si instalar el controlador del adaptador de red o cambiar la ubicación del recurso no logró que el icono de red aparezca, lo más probable es que el adaptador de red no funcione de forma apropiada. La manera más sencilla de verificar esto consiste en remplazar el adaptador de red con uno que sí funcione; de manera ideal, uno certificado para ejecutarse con Windows Server 2008 compatible con Plug and Play. Es aconsejable tener varios adaptadores de red de repuesto; no son muy costosos (consulte el capítulo 5) y cambiar uno que funciona mal puede resolver problemas rápidamente.
INSTALE FUNCIONES DE RED Y CONFIGURE PROTOCOLOS Instalar y revisar el adaptador de red es la mitad de la ecuación; la otra mitad tiene que ver con configurar las funciones de red en Windows Server 2008, además de identificar y configurar los estándares de red o protocolos a ser usados.
Instale funciones de red Las funciones de red proporcionan el software para que un equipo tenga acceso a otros equipos y, de forma separada, para que otros equipos accedan al equipo en que trabaja. En otras palabras, las dos funciones principales permiten al equipo ser cliente (acceder a otros equipos) y servidor (otros equipos pueden acceder a éste). Asegúrese de que ambos servicios están instalados al seguir estos pasos:
06 MATTHEWS 01.indd 147
1/14/09 2:05:47 PM
148
Windows Server 2008: Guía del Administrador
06 MATTHEWS 01.indd 148
1.
Haga clic en Inicio|Panel de control, dé doble clic en Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red, a la izquierda, y después doble clic en Conexión de área local. Aparece el cuadro de diálogo Estado de Conexión de área local, como se muestra a continuación. En el caso particular que se muestra aquí, el equipo considera que está conectado a la red, enviando y recibiendo información.
2.
Dé clic en Propiedades. Si aparece el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar. Se abre el cuadro de diálogo Propiedades de Conexión de área local, mostrado en la figura 6-3, y despliega servicios y protocolos que se han instalado automáticamente. Bajo circunstancias predeterminadas, esto incluye tres servicios (Cliente para redes Microsoft, Compartir impresoras y archivos para redes Microsoft y Programador de paquetes QoS), asimismo cuatro protocolos: Protocolo de Internet (IPv4 y IPv6, consulte el capítulo 5) y dos para detección de redes. Si tiene los primeros dos servicios instalados, ha logrado el objetivo de esta sección; en cualquier caso, continúe y explore las opciones.
3.
Haga clic en Instalar. Se abre el cuadro de diálogo Seleccionar tipo de característica de red, en que se agregan clientes, servicios y protocolos.
1/14/09 2:05:48 PM
Capítulo 6:
Figura 6-3.
Configuración y administración de una red
149
Servicios y protocolos instalados para dar soporte a la red.
4.
Haga doble clic en Cliente. Si tiene Cliente para redes de Microsoft instalado, no habrá más clientes en la lista, sin software de terceros como NetWare.
5.
Si Cliente para redes de Microsoft no está instalado, escójalo y haga clic en Aceptar.
6.
De regreso en el cuadro de diálogo Seleccionar tipo de característica de red, haga doble clic en Servicio. Si hizo una instalación predeterminada, ya tiene Compartir impresoras y archivos para redes Microsoft y Programador de paquetes QoS instalados, y no tendrá más servicios sin algún software de terceros.
7.
Si Compartir impresoras y archivos para redes Microsoft no está instalado, selecciónelo y haga clic en Aceptar.
Esto debe asegurar que tiene los dos servicios principales instalados.
06 MATTHEWS 01.indd 149
1/14/09 2:05:48 PM
150
Windows Server 2008: Guía del Administrador
Configure un protocolo de red Cómo leyó en el capítulo 5, los protocolos de red son un conjunto de estándares utilizados para empaquetar y transmitir información a través de la red. El protocolo determina la manera en que la información se divide en paquetes, cómo se dirige y qué hacer para asegurar la confiabilidad de la transferencia. Por tanto, el protocolo es muy importante para el éxito de la red, pero Windows Server 2008 toma las decisiones e instala de forma predeterminada cinco protocolos: ▼
TCP/IPv4 y TCP/IPv6 Para utilizar con LAN, Internet y casi todos los nuevos sistemas Apple Macintosh y Linux. Windows Server 2008 proporciona e instala TCP/ IPv4 y el nuevo TCP/IPv6. En el capítulo 5 se describen de manera detallada. Windows Server 2008 trabaja con estos dos protocolos de manera intercambiable
■
Respondedor y Asignador de detección de topologías de nivel de vínculos Para buscar una LAN para otros dispositivos de red (equipos, impresoras y enrutadores) y para responder a otros dispositivos buscando la LAN. La búsqueda se hace en la “capa de vínculos”, descrita como la capa de vínculo de datos o capa 2 en el modelo OSI del capítulo 5
▲
Protocolo de multidifusión confiable Para utilizarse con la transmisión de archivos muy grandes, como multimedia, en especial archivos de video. Por sí solo, IPv4 no es confiable para este tipo de archivo y requiere TCP para confirmar que los datos se han recibido en forma correcta. Esto agrega más sobrecarga, que hace más lenta la transmisión. El protocolo de multidifusión confiable provee información de configuración con una sobrecarga mucho más baja, acelerando la transmisión. El protocolo de multidifusión confiable es utilizado por Microsoft Message Queuing (MSMQ)
Revise y cambie protocolos Utilice las siguientes instrucciones para revisar y tal vez cambiar protocolos instalados y configuraciones en uso. NOTA En el cuadro de diálogo Propiedades de Conexión de área local, debe ver por lo menos cuatro (y tal vez cinco) protocolos instalados, como se mostró en la figura 6-3. En casi todos los casos, TCP/IPv4 y TCP/IPv6 ya deben estar instalados; para responder y asignar la detección de protocolo de topologías de niveles de vínculo (que representa la capa de vínculo de datos, capa 2, en el modelo OSI), deben estar ahí y tal vez el protocolo de multidifusión confiable.
1.
06 MATTHEWS 01.indd 150
Con el cuadro de diálogo Seleccionar tipo de característica de red todavía abierto (si no lo está, use las instrucciones de la última sección para hacerlo), haga doble clic en Protocolo. Se abrirá el cuadro de diálogo Seleccionar el protocolo de red. En éste se muestran los protocolos disponibles (tal vez estén todos instalados). Si quiere instalar otro protocolo, hágalo ahora al hacer doble clic en él. De otra forma, dé clic en Aceptar para cerrar el cuadro de diálogo Seleccionar el protocolo de red, luego en Cancelar, para cerrar el cuadro de diálogo Seleccionar tipo de característica de red.
1/14/09 2:05:48 PM
Capítulo 6:
2.
Configuración y administración de una red
151
Seleccione Protocolo de Internet versión 4 (TCP/IPv4) en el cuadro de diálogo Propiedades de Conexión de área local y haga clic en Propiedades. Se abre el cuadro de diálogo Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), como se muestra a continuación. Aquí se hace clic para utilizar una dirección IP dinámica automáticamente, asignada por un servidor que ejecuta el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) o dirección IP estática que se inserta en este cuadro de diálogo.
Un servidor DHCP o servicio de nombre de dominio (DNS, Domain Name Service) debe tener una dirección IP estática; de otra forma, un servidor DHCP no puede asignar automáticamente una dirección IP a todos los equipos de una red. Si el servidor DHCP no funciona o es inexistente, el direccionamiento IP automático privado (APIPA, Automatic Private IP Addressing) asigna una dirección IP del bloque de 65 000 números del 169.254.0.0 al 169.254.255.255. También genera una máscara de subred 255.255.0.0. APIPA es limitada a tal grado que un equipo que lo utiliza sólo puede comunicarse con otros equipos en la misma subred con una dirección en el mismo rango de números. Si todos los equipos de una red pequeña usan Windows 98/Me/2000/XP/Vista/Server 2003/Server 2008 (todos ellos utilizan APIPA) y tienen seleccionado Obtener una dirección IP automáticamente, sin un servidor DHCP utilizarían automáticamente el rango de 169.254.0.0 a 169.254.255.255 en números IP.
06 MATTHEWS 01.indd 151
1/14/09 2:05:48 PM
152
Windows Server 2008: Guía del Administrador
3.
Si trabaja en el que será el servidor DHCP, DNS o ambos, o sabe que debe asignar una dirección IP estática a este equipo, entonces haga clic en Usar la siguiente dirección IP y después inserte una. La dirección IP que use debe estar en el bloque de direcciones IP que el proveedor de servicios de Internet (ISP, Internet Service Provider) u otra autoridad (consulte el análisis de la sección “Obtenga bloques de direcciones IP”, más adelante en este capítulo) ha asignado a su organización. Si su organización es pequeña y no planea acceder a una red externa, entonces la dirección IP estática puede ser del bloque de números APIPA (pero debe insertarla manualmente; consulte los parámetros de números en el paso 2) o varios otros bloques de direcciones IP privadas (consulte “Obtenga bloques de direcciones IP”).
4.
Si insertó una dirección IP estática, también debe ingresar una máscara de subred. Esta máscara le indica al IP la parte de la dirección IP que debe considerar como dirección de red y la parte que debe considerarse dirección de equipo o host. Si se asignó a su organización un bloque de números IP, también se le dio una máscara de subred. Si utilizó el rango de direcciones APIPA, entonces emplee 255.255.0.0 como máscara de subred.
5.
Si no tiene una razón específica para utilizar una dirección IP estática, haga clic en Obtener una dirección IP automáticamente y recurra a las direcciones de un servidor DHCP en la red o APIPA.
SUGERENCIA En redes muy pequeñas (de cinco a seis estaciones de trabajo), las direcciones IP pueden obtenerse automáticamente de un enrutador de cable o DSL.
06 MATTHEWS 01.indd 152
6.
Dé clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Cancelar para cerrar el cuadro de diálogo Propiedades de Conexión de área local. Puede dejar abierto el cuadro de diálogo Estado de Conexión de área local, así como las ventanas Conexiones de red y Centro de redes y recursos compartidos.
7.
Dé clic en Inicio, luego en la flecha de opciones Apagar y en Reiniciar, de la lista desplegable emergente. Dé clic en el cuadro Comentarios, inserte un comentario y haga clic en Aceptar.
8.
Cuando el equipo reinicie, abra otra vez el Panel de control, el Centro de redes y recursos compartidos, la ventana Conexiones de red y el cuadro de diálogo Estado de Conexión de área local, tal cual se describió en el paso 1, bajo “Instale funciones de red”, en páginas anteriores de este capítulo. Deberá ver actividad en ambos, Enviados y Recibidos. Cierre este conjunto de cuadros de diálogo y ventanas.
9.
Si no vio actividad en Enviados y Recibidos, haga clic en Inicio y, en el cuadro de texto Iniciar búsqueda, en la parte inferior del menú Inicio, escriba \\ y un nombre de equipo dentro de la misma subred y oprima enter. Se debe abrir el Explorador de Windows para desplegar tanto equipo como dispositivos compartidos, si la red funciona. Por ejemplo, si escribe \\martin en el cuadro de texto Iniciar búsqueda y oprime enter, obtendrá lo que se muestra a continuación.
1/14/09 2:05:49 PM
Capítulo 6:
10.
Configuración y administración de una red
153
Si no ve evidencia de funciones de red, vuelva a revisar todas las configuraciones posibles antes descritas. Si está utilizando APIPA, asegúrese de que el equipo con el que intenta ponerse en contacto también use dicho rango de números, como una dirección asignada estática o con asignación automática. Si todas las configuraciones son correctas, entonces revise el cableado al establecer una conexión simple con unos cuantos equipos (si hace una conexión UTP directa entre dos equipos, recuerde que necesita un cable cruzado especial con los cables de transmisión y recepción invertidos) y, por último, reemplace el adaptador de red. Con un buen adaptador de red, buen cableado y configuraciones correctas, podrá tener una red en funcionamiento.
PRUEBE LA RED Existen varias utilerías de línea de comando empleadas para probar una instalación de red. Los comandos más útiles son los siguientes:
06 MATTHEWS 01.indd 153
▼
Ipconfig Se utiliza para determinar si ha inicializado una configuración de red y asignado una dirección IP. En caso de ser devueltas una dirección IP y máscara de subred válidas, entonces la configuración está inicializada sin duplicados para la dirección IP. Si se devuelve una máscara de subred de 0.0.0.0, entonces la dirección IP está duplicada
■
Hostname Se usa para determinar el nombre del equipo local
▲
Ping Se utiliza para consultar el equipo local u otro equipo en la red, para encontrar respuesta. Si el equipo local responde, sabe que este TCP/IP está unido al adaptador de red local y ambos operan en forma correcta. Si el otro equipo res-
1/14/09 2:05:49 PM
154
Windows Server 2008: Guía del Administrador
ponde, sabe que este TCP/IP y los adaptadores de red de ambos equipos operan correctamente y la conexión entre ambos equipos funciona bien Use los siguientes pasos para probar una configuración de red con tales utilerías. En la figura 6-4 se muestran los resultados en un sistema de ejemplo. 1.
Dé clic en Inicio y después en Símbolo del sistema, en la parte superior izquierda del menú. Se abre la ventana Símbolo del sistema.
Figura 6-4.
06 MATTHEWS 01.indd 154
Prueba de una red con utilerías TCP/IP.
1/14/09 2:05:49 PM
Capítulo 6:
2.
Configuración y administración de una red
155
Escriba ipconfig y oprima enter. Deben devolverse la dirección IP (ambas IPv4 e IPv6) además de la máscara de subred del equipo actual. Si no pasa esto, existe un problema con la configuración actual.
SUGERENCIA Si escribe ipconfig ? en el indicador de comandos, abrirá la Ayuda para ipconfig; podrá ver todas las opciones disponibles para este poderoso comando.
3.
Escriba hostname y oprima enter. Le devolverá el nombre del equipo local.
4.
Escriba ping nombre del equipo y oprima enter, donde nombre del equipo es el nombre de otro equipo en su red. Debe obtener cuatro respuestas del otro equipo.
5.
Si Ping no funciona con un equipo remoto, inténtelo en el equipo actual: escriba ping 127.0.0.1 y presione enter. Nuevamente, debe obtener cuatro respuestas, esta vez del equipo actual. Si no obtiene una respuesta aquí, entonces tiene un problema con la configuración de red o el adaptador de red. Si obtiene una respuesta aquí, pero no en el paso 4, entonces hay un problema en el otro equipo o la línea que los conecta.
6.
Cuando esté listo, escriba Exit y oprima enter para cerrar la ventana Símbolo del sistema.
NOTA La IP 127.0.0.1 es una dirección especial apartada para aludir al equipo en que se inserta, también llamada “localhost”.
Si encuentra un problema aquí, utilice los pasos en “Revise y cambie protocolos”, en páginas anteriores de este capítulo, para aislar y corregir el problema.
REVISE EL SOPORTE DE SERVIDOR Y EL DIRECCIONAMIENTO DE RED Para configurar Windows Server 2008 con el fin de dar soporte al resto de la red, deben estar instalados los servicios y funciones siguientes: ▼
Protocolo de configuración dinámica de host (DHCP)
■
Sistema de nombre de dominio (DNS)
■
Cuentas de usuario y permisos de grupos
▲
Dominios y Active Directory
En el proceso para determinar las mejores configuraciones de todos estos elementos, también debe explorar los elementos por sí solos a mayor profundidad. Mientras no sea necesario para Windows Server 2008, Windows Server 2003, Windows Vista o Windows XP, quizás quiera instalar el servicio de nombre de Internet de Windows (WINS, Windows In-
06 MATTHEWS 01.indd 155
1/14/09 2:05:50 PM
156
Windows Server 2008: Guía del Administrador
ternet Name Service) para conectividad con sistemas de Windows más viejos, que también se analizará. Los dominios y Active Directory son el tema del capítulo 7, pero los elementos restantes se analizan aquí.
Direccionamiento de red Para que la red funcione, un equipo debe saber cómo dirigirse a otro. Para esto, cada equipo tiene al menos dos, quizás tres, direcciones: ■
Dirección física Dirección que el fabricante genera en cada dispositivo o adaptador de red (también llamada dirección de hardware). En las tarjetas Ethernet, es la dirección de control de acceso a medios (MAC, Media Access Control)
■
Dirección lógica Dirección asignada a un equipo por un administrador de red o servidor y, en última instancia, por una autoridad de direccionamiento. En TCP/IP, la IP es la dirección lógica e Internet Assigned Numbers Authority (IANA) es la autoridad de direccionamiento que asigna un bloque de direcciones, distribuidas de acuerdo con las necesidades de un servidor o, con menos frecuencia, por un administrador. Mientras IANA es la autoridad de nombre final, la mayoría de las compañías e individuos obtienen sus direcciones IP de su proveedor de servicio de Internet (ISP)
■
Nombre del equipo Dirección utilizada en casi todas las aplicaciones y la red de Windows. En una red de Microsoft Windows antigua, es el nombre NetBIOS. En TCP/IP, puede ser un nombre de dos partes. La primera parte, obligatoria, corresponde al equipo actual y es el nombre de host; un ejemplo es “servidor”. La segunda parte es el nombre de dominio que contiene el equipo; por ejemplo, “matthews.com”, para hacer el nombre completo “server.matthews.com”
Estas tres direccionen operan en diferentes capas del modelo de red OSI (véase la sección “El modelo OSI” en el capítulo 5), como se muestra en la figura 6-5. La dirección física opera en las capas física y de vínculo de datos, la dirección lógica opera en la capa de red y el nombre del equipo se utiliza arriba de la capa de red. Para que las tres direcciones funcionen juntas, debe existir un método para convertir una en otra. Al dar un nombre de equipo, éste debe resolverse en una dirección lógica y ésta, a su vez, en una dirección física. La tarea de resolver un nombre de equipo en una dirección lógica corresponde a DNS o WINS; de igual modo, resolver una dirección lógica en una física es tarea del protocolo de red; por ejemplo, en TCP/IP es el protocolo de resolución de dirección o ARP (Address Resolution Protocol). Además, conforme se reduce la cantidad de direcciones IP disponibles, estas direcciones suelen distribuirse conforme las necesite un servidor mediante DHCP. La selección y configuración de un protocolo de red, además de la configuración de DNS y DHCP, son los temas principales de este capítulo, así que la gran cantidad de tareas que rodean al direccionamiento serán el hilo conductor en todo el capítulo.
06 MATTHEWS 01.indd 156
1/14/09 2:05:50 PM
Capítulo 6:
Configuración y administración de una red
Modelo OSI
157
Direccionamiento utilizado
Aplicación Presentación Nombre del equipo Sesión Transporte
Red
Dirección lógica
Vínculo de datos Dirección física Físico
Figura 6-5.
Direccionamiento y modelo OSI.
IMPLEMENTE DHCP, DNS Y WINS Con una instalación normal, DHCP, DNS y WINS no están instalados y se dejan como funciones de servidor (o en el caso de WINS, como característica de servidor) para que sean de su elección. El propósito de esta sección es entender tales servicios, instalarlos y configurarlos de acuerdo con sus necesidades.
El protocolo de configuración dinámica de host DHCP, que se ejecuta en uno o más servidores, tiene el trabajo de asignar y administrar direcciones IP en una red. Un ámbito o rango de direcciones IP es asignado a DHCP; a cambio concesiona (o asigna por un periodo) una dirección IP a un cliente. DHCP suprime la posibilidad de errores heredados en asignación e inserción manual de direcciones IP y también elimina el trabajo administrativo de llevar seguimiento de quién tiene cada dirección IP. En un entorno con muchos usuarios móviles, la administración se vuelve casi imposible; incluso en un entorno muy estable, esta tarea no es fácil.
06 MATTHEWS 01.indd 157
1/14/09 2:05:50 PM
158
Windows Server 2008: Guía del Administrador
Para que DHCP realice su función, deben darse cuatro pasos: ▼
En un servidor en el que se instalará DHCP, debe asignar una dirección IP fija de forma manual, como se analizó bajo “Revise y cambie protocolos”, en páginas anteriores de este capítulo
■
DHCP debe estar habilitado y autorizado en el servidor
■
DHCP debe tener un ámbito de direcciones IP y un término de concesión
▲
Los clientes deben tener seleccionada la configuración Obtener una dirección IP automáticamente, en el cuadro de diálogo Propiedades de Protocolo de Internet (TCP/IP), como se analizó en “Configure un protocolo de red”
Cómo funciona DHCP La primera vez que se inicia un cliente con la configuración de red Obtener una dirección IP automáticamente, pasa por el siguiente proceso para obtener una dirección IP: ▼
El cliente transmite en la red la solicitud de un servidor DHCP y una dirección IP. Utiliza 0.0.0.0 como dirección de origen y 255.255.255.255 la de destino e incluye su dirección física (MAC)
■
Todos los servidores DHCP que reciben la solicitud transmiten un mensaje que incluye la dirección MAC, dirección IP ofrecida, máscara de subred, tamaño de concesión y dirección IP del servidor
■
El cliente acepta el primer ofrecimiento que le llega y transmite esa aceptación, incluida su nueva dirección IP y la IP del servidor que la ofreció
▲
El servidor que hizo el ofrecimiento reconoce esta aceptación
Cada vez que el cliente inicia luego de recibir una dirección IP, intenta utilizar la misma dirección IP del mismo servidor. El servidor puede o no aceptar esto, pero durante el término de concesión, suele aceptarse. A la mitad del término de la concesión, el cliente pedirá automáticamente que la concesión se extienda, lo que se hará bajo casi todas las circunstancias. Si la concesión no se extiende, el cliente seguirá utilizando la dirección IP y transmitirá una solicitud a cualquier otro servidor para renovar la dirección IP actual. Si esto es denegado, el cliente transmitirá una solicitud de cualquier dirección IP, como hizo al inicio.
Configure DHCP La configuración de DHCP es el proceso de definir direcciones IP individuales y en bloques o ámbitos. Para ello, necesitará los siguientes elementos:
06 MATTHEWS 01.indd 158
▼
Un bloque de direcciones IP que se utilizará en un ámbito
■
Nombre del ámbito
■
Dirección IP de inicio en el rango del ámbito
■
Dirección IP final en el rango del ámbito
1/14/09 2:05:51 PM
Capítulo 6:
Configuración y administración de una red
■
Máscara de subred que habrá de usarse con este rango de direcciones IP
■
Direcciones de inicio y final de los rangos a excluirse del ámbito
■
Duración de la concesión del cliente DHCP
▲
Configuraciones para servidor, ámbito y opciones de cliente
159
Obtenga bloques de direcciones IP Los bloques de direcciones IP a usarse en un ámbito serán diferentes si los equipos a los que se asignarán las direcciones serán públicos o privados. Si los equipos interactuarán directamente con Internet, son públicos y, por tanto, necesitan un número IP globalmente único. Si los equipos sólo operarán en una red interna, donde están separados de la red pública por un enrutador, puente, firewall o una combinación de ellos, son privados y sólo necesitan ser únicos en la organización. IANA ha apartado tres bloques de direcciones IP que cualquier organización puede utilizar para sus necesidades internas sin que necesite coordinación alguna con otra organización, pero no deben utilizarse para conectarse a Internet. Estos bloques de direcciones IP de uso privado son los siguientes: ▼
10.0.0.0 a 10.255.255.255
■
172.16.0.0 a 172.31.255.255
▲
192.168.0.0 a 192.168.255.255
Además, el rango APIPA de 169.254.0.0 a 169.254.255.255 se analizó en páginas anteriores de esta sección, aunque recuerde que APIPA sólo trabaja con equipos de su propia subred y con direcciones IP del mismo rango. Sin embargo, en una red pequeña puede mezclar direccionamiento DHCP y APIPA; el número IP siempre estará disponible, independientemente de DHCP. Si quiere un bloque de direcciones IP públicas, debe pedirlas una de varias organizaciones, dependiendo del tamaño del bloque requerido. En el nivel local para un bloque de tamaño moderadamente pequeño de direcciones IP, su ISP local puede suscribirlas a partir de un bloque asignado. Para un bloque más grande, un ISP regional puede manejar la solicitud. Si no, debe ir a una de tres oficinas internacionales de Internet: ▼
American Registry for Internet Numbers (ARIN), en http://www.arin.net/, que cubre Norteamérica y Sudamérica, el Caribe y África del Sur
■
Réseaux IP Européens (RIPE), en http://www.ripe.net/, que cubre Europa, el Medio Oriente y el norte de África
▲
Asia Pacific Network Information Center (APNI C), en http://www.apnic.net/, que cubre Asia y el Pacífico
La IANA coordina estas tres organizaciones, en http://www.iana.com/. En diciembre de 1997, la autoridad de direccionamiento IP para América se transfirió de Network Solutions, Inc. (InterNIC) a ARIN. ARIN, RIPE, APNIC y IANA son organizaciones sin fines de lucro que representan un grupo amplio de ISP, compañías de comunicación, fabricantes, otras organizaciones e individuos. El bloque más pequeño que ARIN asignará (a ISP para
06 MATTHEWS 01.indd 159
1/14/09 2:05:52 PM
160
Windows Server 2008: Guía del Administrador
reasignación u organizaciones e individuos), es de 4 069 direcciones; el costo actual de cada bloque es de 2 250 dólares al año. Los bloques más grandes pueden costar hasta 18 000 dólares al año. Cada ISP ubicará los bloques más pequeños usando su propia estructura de cuota. El tamaño mínimo de bloque y cuota de ARIN aplica al protocolo de Internet versión 4 (IPv4) actual. IPv6 está en las etapas tempranas de asignación y tiene sus propias reglas para asignación. Los bloques de números IPv6 se asignaron en forma gratuita hasta el 31 de diciembre de 2007.
Entienda qué es el sistema de nombre de dominio DNS se encarga de resolver o convertir un nombre de usuario amigable, fácil de recordar, en una dirección IP. Esto se logra a través de una base de datos pareados: direcciones IP y nombres. DNS es una aplicación en el conjunto del protocolo TCP/IP desarrollada para administrar la resolución de nombres necesaria en Internet. Como resultado, recurre a un espacio de nombres de dominio jerárquico usado en Internet. Por ejemplo, el nombre servidor1. editorial.osborne.com tiene la siguiente estructura: Dominio raíz
.
Dominio de nivel superior Dominio de segundo nivel
com osborne
Dominio de tercer nivel Nombre de host
editorial servidor1
Un nombre de host es siempre la parte del extremo izquierdo de un nombre y hace referencia a un equipo específico. Dentro de un dominio específico, necesita utilizar sólo el nombre de host. Es sólo cuando sale de un dominio que necesita utilizar los nombres de dominios. SUGERENCIA Cuando cree un espacio de nombres de dominio, hágalo sencillo. Use nombres cortos, simples, únicos, y mantenga el nivel de números al mínimo.
Para que un espacio de nombres de dominio sea más fácil de administrar, puede dividirlo en zonas o segmentos discretos. Para cada zona, se mantiene una base de datos de nombres separada, que presenta al administrador de red una tarea mucho más fácil de administrar. Un servidor DNS o un servidor de nombres puede contener una o más zonas, mientras varios servidores pueden contener la base de datos para la misma zona. En el último caso, se designa un servidor primario y los otros servidores de nombre de esa zona piden periódicamente una transferencia de zona, para actualizar la base de datos. Como resultado, todo el mantenimiento de zona debe realizarse en el servidor primario. DNS puede resolver un nombre hacia una dirección IP, en lo que se llama búsqueda directa, además de resolver una dirección IP en un nombre, denominada búsqueda inversa. En el proceso de resolución de nombres, si un servidor de nombres local no puede resolver un nombre, lo redirige a otros servidores de nombres que el servidor local conoce, incluido acceder a Internet para pedir servidores de nombres ahí. Cuando un servidor de nombres pide un nombre, almacena en caché los resultados, para no hacer la solicitud nuevamente en un
06 MATTHEWS 01.indd 160
1/14/09 2:05:52 PM
Capítulo 6:
Configuración y administración de una red
161
futuro cercano. Este proceso de almacenar en caché se hace por un periodo finito, llamado tiempo de vida (TLL, time to live), mismo que puede configurar; el tiempo predeterminado es de 60 minutos.
Instale DNS y DHCP NOTA Para instalar DHCP en su servidor y hacer que funcione apropiadamente, deberá deshabilitar cualquier servicio DHCP de un enrutador (como una conexión DSL) en su red.
Como parte normal de la instalación de Windows Server 2008, descrita en el capítulo 3, DNS y DHCP no están instalados. Puesto que DNS y DHCP son funciones de red opcionales, verá cómo instalarlos y después cómo configurar cada uno. NOTA A diferencia de versiones anteriores de Windows Server, puede instalar DNS, DHCP y otros componentes de Windows Server 2008 de una sola forma (mediante Agregar funciones, del Administrador del servidor). La opción Panel de Control | Programas y características | Activar o desactivar las características de Windows sólo abre el Administrador del servidor.
Comience por configurar una dirección IP estática para el servidor, si no lo hizo antes; después, si DNS y DHCP no están instalados o no está seguro de que lo estén, revise y, si es necesario, instálelos: 1.
Haga clic en Inicio|Símbolo del sistema. En la ventana Símbolo del sistema escriba ipconfig y oprima enter. Anote (o sólo deje la ventana Símbolo del sistema abierta y consúltela cuando la necesite) las direcciones IPv6 y IPv4, máscara de subred y puerta de enlace predeterminada. Si tiene algún problema en los siguientes pasos y secciones, deberá regresar a estas configuraciones. Escriba Exit y oprima enter para cerrar la ventana Símbolo del sistema.
2.
Haga clic en Inicio|Administrador del servidor. Se abre la ventana Administrador del servidor. Si la última actualización no es muy reciente, haga clic en Configurar actualización, seleccione Actualizar cada, seleccione cada dos minutos y haga clic en Aceptar.
SUGERENCIA En Windows Server 2008 también puede iniciar el icono del Administrador del servidor, que se encuentra, como opción predeterminada, a la izquierda de la barra de herramientas Inicio rápido.
3.
06 MATTHEWS 01.indd 161
En la sección Información del equipo, del área Resumen de servidores, en Administrador de servidor, haga clic en Ver conexiones de red y en la ventana Panel de control\Conexiones de red que se abre; haga doble clic en Conexión de área local. En el cuadro de diálogo Estado de Conexión de área local, haga clic en Propiedades. Si aparece el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar.
1/14/09 2:05:52 PM
162
Windows Server 2008: Guía del Administrador
4.
En el cuadro de diálogo Propiedades de Conexión de área local, haga clic en Protocolo de Internet versión 4, luego en Propiedades. En el cuadro de diálogo Propiedades de Protocolo de Internet versión 4, haga clic en Usar la siguiente dirección IP.
5.
A menos que tenga una dirección IP asignada específicamente para el servidor en el que trabaja, inserte la dirección IP, máscara de subred y puerta de enlace predeterminados que se obtuvieron de Ipconfig. Nuevamente inserte la dirección IP del servidor actual como Servidor DNS preferido, e ingrese la dirección IP de un segundo servidor si se aplica (utilice Ping para adquirir esto, obtenga la dirección IPv6 para uso futuro), como se muestra en la figura 6-6.
6.
Haga clic en Aceptar y Cancelar para cerrar varios cuadros de diálogo y ventanas, reinicie el servidor y vuelva a abrir Administrador del servidor.
7.
En la sección Resumen de funciones, si DHCP y DNS están instalados, verá sus funciones en la lista. En ese caso, puede pasar a la siguiente sección principal. De
Figura 6-6. Es necesaria la configuración de una dirección IP estática antes de configurar DHCP y DNS.
06 MATTHEWS 01.indd 162
1/14/09 2:05:53 PM
Capítulo 6:
Configuración y administración de una red
163
otra forma, si su Resumen de funciones no muestra DHCP y DNS instalados, use las instrucciones restantes para instalar DHCP.
8.
Haga clic en Agregar funciones. Se abre el Asistente para agregar funciones. Se despliega Antes de comenzar sugiriéndole que tenga una contraseña de administrador segura, direcciones IP estáticas y las últimas actualizaciones de Windows Server 2008.
9.
Dé clic en Siguiente. Se muestra Seleccionar funciones de servidor y deberá ver Servidor DHCP en la lista, como se muestra en la figura 6-7.
Figura 6-7.
06 MATTHEWS 01.indd 163
El administrador del servidor le permite seleccionar las funciones DHCP y DNS.
1/14/09 2:05:53 PM
164
Windows Server 2008: Guía del Administrador
10.
Si la casilla de verificación Servidor DHCP no está marcada, haga clic en ésta. Si no tiene una dirección IP estática insertada para el servidor, se le recordará hacerlo. Dé clic en Sí para confirmarlo. Repita los pasos 3 a 6.
11.
Si la casilla de verificación Servidor DNS no está marcada, haga clic en ésta y después haga clic en Siguiente. Dé clic en Siguiente dos veces más, respondiendo a las pantallas de información de DNS y DHCP. Si no ha ingresado una dirección IP preferida y alternativa para DNS, se le pide lo haga. Dé clic en Siguiente y está listo.
Habilite DHCP y DNS En seguida del Asistente para agregar funciones, las direcciones IP estáticas disponibles se despliegan para uso de un servidor DHCP.
06 MATTHEWS 01.indd 164
1.
Dé clic en la dirección IP que quiere utilizar, luego en Siguiente. Si se le pide (y no lo hizo), escriba las direcciones IP de los servidores DNS preferido y alternativo, haga clic en Siguiente. Aparece el cuadro de diálogo Especificar la configuración del servidor WINS.
2.
Si tiene equipos de Windows en su red anteriores a Windows 2000 (Windows 95/98/Me o NT), entonces necesitará configurar WINS. En ese caso, seleccione Se requiere WINS para las aplicaciones en esta red y escriba las direcciones IP para los servidores WINS preferido y alternativo. De otra forma, deje seleccionada la opción predeterminada No se requiere WINS para las aplicaciones en esta red.
3.
Haga clic en Siguiente. Aparece Agregar o editar ámbitos DHCP. Dé clic en Agregar. Aparece el cuadro de diálogo Agregar ámbito.
4.
Inserte un nombre para el ámbito. Escriba las direcciones IP de inicio y final para el rango del ámbito. Inserte la máscara de subred para el rango de direcciones IP e inserte la puerta de enlace predeterminada, como se muestra aquí:
1/14/09 2:05:53 PM
Capítulo 6:
Configuración y administración de una red
165
NOTA Una máscara de subred divide una dirección IP en una subred o dirección de red y de host. Cuando trabaja en una red local, sólo necesita la porción del host; así se agiliza el proceso sólo si busca esa porción de la dirección. Una dirección IP es de 32 bits de largo, así que cuando diga que la mitad de ésta (16 bits) es una dirección de red, la red local sólo buscará la dirección de host de 16 bits. La máscara de subred de 16 bits es 255.255.0.0.
06 MATTHEWS 01.indd 165
5.
Haga clic en Activar este ámbito y clic en Aceptar. El nuevo ámbito aparece en la lista de ámbitos. Dé clic en Siguiente. Se le pregunta cómo manejar DHCPv6. El método más simple es dejar la configuración predeterminada de configuración del servidor para operación sin estado, que no demanda más configuración de su parte.
6.
Haga clic en Siguiente. Ingrese las direcciones IPv6 para los servidores DNS preferido y alternativo que insertó antes para IPv4 y haga clic en Siguiente. Se muestra un resumen de sus configuraciones. Si no son correctas, haga clic en Anterior y después en Siguiente, como sea necesario para corregirlas.
7.
Cuando esté listo, haga clic en Instalar. Verá una barra de progreso que muestra la instalación para servidores DHCP y DNS. Cuando haya terminado, recibirá un mensaje que indica que la instalación fue correcta. Dé clic en Cerrar. En el Administrador del servidor, bajo Resumen de funciones, ahora debe ver Servidor DHCP y Servidor DNS.
1/14/09 2:05:53 PM
166
Windows Server 2008: Guía del Administrador
Administre DHCP Una vez instalado DHCP, tal vez necesite realizar varias tareas de administración, para que DHCP opere en la forma que quiere, incluidos: ▼
Crear ámbitos adicionales
■
Excluir rangos dentro de un ámbito
■
Configurar la duración de la concesión
■
Reservar direcciones para clientes particulares
■
Cambiar propiedades de ámbitos
▲
Monitorear la concesión de una dirección
La administración de DHCP se hace desde la consola DHCP, que se abre en cualquiera de estas dos formas: ▼
Desde el Administrador del servidor Haga clic en Inicio|Administrador del servidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor DHCP|Servidor, y haga clic en IPv4.
▲
Desde Herramientas administrativas Haga clic en Inicio|Herramientas administrativas|DHCP. En la ventana de consola DHCP, en el árbol de consola, abra Servidor y haga clic en IPv4.
Para los pasos restantes de esta sección, se asume que ha abierto IPv4 con el Servidor DHCP, ya sea en Administrador del servidor o la consola DHCP, como se muestra en la figura 6-8.
Agregue ámbitos DHCP
06 MATTHEWS 01.indd 166
1.
Ya sea en el Administrador del servidor o la consola DHCP con el servidor IPv4 seleccionado, haga clic en Acción|Ámbito nuevo. Se abre el Asistente para ámbito nuevo.
2.
Dé clic en Siguiente, escriba nombre y descripción y haga clic en Siguiente.
3.
Inserte una dirección IP inicial y final. Tamaño y máscara de subred se llenan automáticamente, pero puede cambiarlos si lo necesita. Haga clic en Siguiente.
1/14/09 2:05:54 PM
Capítulo 6:
Figura 6-8.
Configuración y administración de una red
167
El Administrador del servidor y la consola DHCP le permiten administrar DHCP.
Puede continuar en el Asistente para ámbito nuevo e identificar direcciones para excluirlas de la distribución, especificar tamaño de concesiones DHCP, reservar direcciones para clientes específicos y configurar opciones DHCP. También puede hacer estas funciones para todos los ámbitos DHCP del Administrador del servidor o la consola DHCP, como se describe en las siguientes secciones.
06 MATTHEWS 01.indd 167
1/14/09 2:05:54 PM
168
Windows Server 2008: Guía del Administrador
Excluya rangos en un ámbito DHCP Tal vez tenga ciertas direcciones o rango de direcciones en un ámbito DHCP que no quiere asignar. Puede excluir esas direcciones para que no se usen. 1.
Ya sea en el Administrador del servidor o la consola DHCP con IPv4 del servidor DHCP visible, en el árbol de la consola a la izquierda, abra IPv4; abra el ámbito donde quiere las exclusiones; haga clic derecho en Conjunto de direcciones y dé clic en Nuevo intervalo de exclusión.
2.
En el cuadro de diálogo Agregar exclusión, inserte las direcciones IP a excluir del ámbito en que trabaja. Esto puede ser un rango, insertar direcciones de inicio y fin, o una sola dirección, al ingresarla sólo en el cuadro Dirección IP inicial, como se muestra a continuación. Debe insertar una exclusión para cada dirección estática asignada al servidor, estación de trabajo o enrutador.
3.
Haga clic en Agregar, tras insertar cada dirección o rango de exclusión. Cuando haya insertado todas las exclusiones, haga clic en Cerrar.
Establezca la duración de la concesión DHCP Las concesiones de dirección DHCP son para un lapso fijo, establecido para un ámbito específico compuesto por días, horas y minutos que un cliente puede utilizar en una dirección IP asignada a él. 1.
06 MATTHEWS 01.indd 168
En el Administrador del servidor o consola DHCP con IPv4 del servidor DHCP y ámbito que quiere visibles en el árbol de la consola, haga clic derecho en el ámbito y seleccione Propiedades.
1/14/09 2:05:54 PM
Capítulo 6:
2.
Configuración y administración de una red
169
En el cuadro de diálogo Propiedades de Ámbito, bajo Duración de la concesión para cliente DHCP, inserte o haga clic en los contadores para días, horas y minutos que quiera permitir al cliente usar la dirección. La opción predeterminada es 6 días, pero el tiempo correcto para su operación puede ser cualquiera, desde 1 hora para clientes que activan o desactivan sobre todo un servidor de correo, a Sin límite para clientes en un entorno de escritorio estable.
3.
Cuando esté listo, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Ámbito.
Reserve direcciones DHCP Si quiere que un cliente tenga una dirección IP particular y permanente, configúrelo así al crear una reserva que especifique la dirección IP que habrá de asignarse al cliente. De esta forma, la dirección IP no expirará hasta que la reserva se elimine.
06 MATTHEWS 01.indd 169
1.
En el árbol de la consola, bajo el ámbito DHCP, seleccione Reservas y haga clic en Agregar reserva, en la barra de herramientas. Se abre el cuadro de diálogo Reserva nueva.
2.
Inserte un nombre, dirección IP y dirección física MAC asociada (puede obtener la dirección MAC de la columna Id. exclusivo, que se muestra en la lista Concesiones de direcciones). No incluya guiones, que suelen usarse para desplegar una dirección MAC (aunque no se muestran en la columna Id. exclusivo, de la lista Concesiones de
1/14/09 2:05:55 PM
170
Windows Server 2008: Guía del Administrador
direcciones). Inserte una descripción, si quiere, y deje la opción predeterminada Ambos, en Tipos compatibles. 3.
Haga clic en Agregar y repita el proceso para cada reserva que quiera hacer. Haga clic en Cerrar, para cerrar el cuadro de diálogo Reserva nueva cuando haya terminado.
4.
Haga clic en Actualizar, en la barra de herramientas. Si está seleccionada Reservas, en el panel izquierdo de la ventana DHCP, su nueva reserva aparecerá en la derecha. También si selecciona Concesiones de direcciones, verá la reserva en la lista de concesiones.
SUGERENCIA Otra forma para obtener la dirección física o MAC necesaria en el paso 2 consiste en abrir la ventana Símbolo del sistema (Inicio | Símbolo del sistema), escribir ping direcciónip (donde direccciónip es la dirección IP numérica o nombre del equipo que necesita la dirección MAC) y oprimir ENTER. Entonces, en el indicador de comandos escriba arp –a y oprima ENTER. Se desplegará la dirección física, como se indica aquí:
06 MATTHEWS 01.indd 170
1/14/09 2:05:55 PM
Capítulo 6:
Configuración y administración de una red
171
Cambiar opciones DHCP Se pueden agregar y cambiar opciones DHCP en tres niveles: ▼
Opciones en el nivel del servidor Aplica para todos los clientes DHCP
■
Opciones en el nivel del ámbito Aplica sólo para clientes que conceden una dirección del ámbito
▲
Opciones en el nivel del cliente Aplica para un cliente con una reserva 1. En el árbol de consola DHCP, haga clic derecho en Opciones de servidor y haga clic en Configurar opciones. Se abrirá el cuadro de diálogo Opciones de servidor. Aquí puede hacer varias configuraciones que apliquen a todos los clientes DHCP. Por ejemplo, mantener una lista de servidores DNS, como se muestra aquí:
2. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones de servidor, dé clic derecho en Opciones de ámbito y seleccione Configurar opciones. Verá un cuadro de diálogo similar, llamado Opciones Ámbito, con una lista similar de opciones disponibles. 3. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones Ámbito. Si creó antes una reserva, abra el objeto Reservas, en el árbol de consola, haga clic en una reserva, en el panel de la izquierda o derecha de la ventana y haga clic en Configurar opciones, para obtener una tercera lista, similar, de opciones. 4. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones Reserva.
06 MATTHEWS 01.indd 171
1/14/09 2:05:56 PM
172
Windows Server 2008: Guía del Administrador
Monitoree la concesión de dirección Puede monitorear la forma en que la operación de concesión va a determinar si DHCP está realmente trabajando y el uso de su ámbito. 1.
En el árbol de la consola DHCP, a la izquierda, ya sea en Administrador del servidor o la consola DHCP, haga clic derecho en el servidor IPv4 y haga clic en Mostrar estadísticas.
2.
En el cuadro de diálogo emergente Estadísticas del servidor, haga clic en Actualizar, para mostrar la información más reciente. Puede ver cuántas peticiones ha habido de direcciones IPv4, cuántas están en uso y qué porcentaje de ámbito representa.
3.
Cuando esté listo haga clic en Cerrar.
Administre DNS Para administrar DNS se supone que DNS se ha instalado en el servidor en que quiere ejecutarlo. Esto debió hacerse antes en este capítulo, bajo “Instale DNS y DHCP”. Al igual que con DHCP, se administra DNS desde la consola DNS, que se abre en cualquiera de estas dos formas: ▼
Desde el Administrador del servidor Dé clic en Inicio|Administrador de servidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor DNS|Servidor
▲
Desde Herramientas administrativas Haga clic en Inicio|Herramientas administrativas|DNS. En la ventana Administrador de DNS que se abre, en el árbol de la consola, abra Servidor
Para los pasos restantes de esta sección se supone tiene abierto Servidor, bajo Servidor DNS, ya sea en el Administrador del servidor o Administrador de DNS, como se muestra en la figura 6-9. Tal cual se describió antes en “El sistema de nombre de dominio”, el propósito de DNS es convertir direcciones IP y nombres de dominio, parte de los cuales es el nombre de host de un equipo particular. Para esto, DNS divide el espacio de nombre en zonas y proporciona a cada zona una tabla de búsqueda directa, para resolver un nombre de dominio/host en
06 MATTHEWS 01.indd 172
1/14/09 2:05:56 PM
Capítulo 6:
Figura 6-9.
Configuración y administración de una red
173
Administrador del servidor y Administrador de DNS le permiten administrar DNS.
una dirección IP y tabla de búsqueda inversa para resolver una dirección IP, bajo un nombre de host/dominio. Puede crear y poblar una zona DNS en forma manual o utilizar DNS dinámico para hacerlo.
Cree una nueva zona DNS Para crear una nueva zona DNS: 1.
2. 3. 4.
06 MATTHEWS 01.indd 173
Bajo Servidor DNS, escoja Zonas de búsqueda directa y haga clic en Zona nueva en la barra de herramientas. Aparece el Asistente para crear zona nueva. Haga clic en Siguiente. Dé clic en el tipo de zona que le interesa. Por lo general, querrá una zona principal en el equipo en que está trabajando. Haga clic en Siguiente. Ingrese un nombre para la zona. Puede estar contenida en un dominio, por ejemplo, principal.mcgraw-hill.com. Haga clic en Siguiente. Seleccione si quiere crear un archivo nuevo o copiar uno existente. Usualmente querrá crear un archivo nuevo.
1/14/09 2:05:56 PM
174
Windows Server 2008: Guía del Administrador
5.
Haga clic en Siguiente. Seleccione si quiere aceptar actualizaciones dinámicas no seguras o sólo actualizaciones manuales seguras. Las segundas son la opción predeterminada, pero al hacer a un lado las primeras, suprime una buena herramienta automática.
6.
Haga clic en Siguiente. Se muestra un resumen de sus opciones. Si existe algún error, haga clic en Atrás y realice los cambios necesarios. Cuando esté listo, haga clic en Finalizar. La nueva zona aparecerá en el árbol de consola, bajo Zonas de búsqueda directa.
Agregue un nombre de host a una zona La zona inicial que acaba de crear es una base de datos vacía, hasta que agregue hosts (equipos en la red) a ésta. 1.
Agregue un nombre de host a una zona, al hacer clic derecho en dicha zona, en el árbol de consola, bajo Zonas de búsqueda directa y eligiendo Host nuevo. Se abre el cuadro de diálogo Host nuevo.
2.
Ingrese nombre de host y dirección IP, haga clic en Agregar Host, después en Aceptar, cuando se indique el registro de host se creó con éxito.
3.
Repita el paso 2 para todos los hosts que quiera insertar. Una vez que haya terminado de agregar hosts, haga clic en Realizado.
Configure zonas de búsqueda inversa Las zonas de búsqueda inversa, que permiten resolver un número IP como nombre, sólo se utilizan en resolución de problemas y en Internet Information Services (IIS, servicios de
06 MATTHEWS 01.indd 174
1/14/09 2:05:56 PM
Capítulo 6:
Configuración y administración de una red
175
información de Internet), para añadir un nombre en lugar de una dirección IP en archivos de registro. A fin de implementar una capacidad de búsqueda inversa, se crea automáticamente un nombre de dominio especial In-addr.arpa cuando se configura DNS. En este dominio, los subdominios se definen para cada octeto o parte de una dirección IP entre puntos, para la porción de red de la dirección, que después se crean como registro puntero para la porción final del host de la dirección, asignándole al nombre de host una dirección IP. Vea cómo se configura una zona de búsqueda inversa con estos pasos:
06 MATTHEWS 01.indd 175
1.
En el árbol de la consola, en la parte de la izquierda, ya sea en el Administrador del servidor o Administrador de DNS, dé clic derecho en Zonas de búsqueda inversa y elija Zona nueva. Aparece el Asistente para crear zona nueva. Haga clic en Siguiente.
2.
Acepte la opción predeterminada Zona principal y haga clic en Siguiente. Acepte la opción predeterminada Zona de búsqueda inversa para IPv4 y haga clic en Siguiente.
3.
En el cuadro de texto Id. de red, escriba la porción de red de su dirección IP. Por ejemplo, si su rango de dirección IP es de 10.0.0.1 a 10.0.0.99 con una máscara de subred de 255.255.255.0, entonces su Id. de red es 10.0.0.
4.
Haga clic en Siguiente. Acepte Crear un archivo nuevo con… y el nombre invertido, como se muestra a continuación.
5.
Haga clic en Siguiente. Dé clic en Permitir todas las actualizaciones dinámicas (seguras y no seguras) y haga clic en Siguiente. Revise las opciones elegidas. Si ve algo que le interese cambiar, haga clic en Atrás, realice el cambio, regrese a la pantalla final y presione Finalizar.
6.
Haga clic derecho en la nueva zona de búsqueda inversa recién creada y haga clic en Nuevo puntero. Se abre el cuadro de diálogo Nuevo registro de recursos.
1/14/09 2:05:57 PM
176
Windows Server 2008: Guía del Administrador
7.
Inserte la porción de host (en el extremo derecho) de la dirección IP y el nombre de host correspondiente a éste.
8.
Haga clic en Aceptar. Repita los pasos 6 y 7, de acuerdo con lo necesario, para añadir punteros adicionales.
SUGERENCIA Puede crear registros de puntero automáticamente siempre que genera un nuevo registro de host para búsqueda directa, al hacer clic en Crear registro de puntero (PTR) asociado, en el cuadro de diálogo Host nuevo.
Configure un DNS dinámico El proceso de adición de hosts a una zona, aunque no es terrible, tampoco representa algo que querrá hacer siempre que DHCP cambia las asignaciones de dirección. El propósito de un DNS dinámico (DDNS, Dynamic DNS) es actualizar automáticamente un registro de host de zona, cada vez que DHCP efectúe un cambio. DDNS une DHCP y DNS para que, cuando DHCP haga un cambio, envíe la información apropiada a la zona en DNS, que después reflejará el cambio. DNS y DHCP deben estar configurados en forma correcta para este trabajo. Use los siguientes pasos para conseguirlo:
06 MATTHEWS 01.indd 176
1.
Ya sea en el Administrador de servidor o en Administrador del DNS, bajo Zonas de búsqueda directa, haga clic derecho en la zona en que quiere agregar DDNS y dé clic en Propiedades.
2.
En la ficha General, frente a Actualizaciones dinámicas, abra la lista desplegable y haga clic en Sin seguridad y con seguridad, si no está seleccionada. (Si el servidor DNS ha sido integrado con Active Directory, también tiene la opción Sólo con seguridad. En el capítulo 7 se explica cómo puede hacer clic, para permitir sólo actualizaciones seguras, si así lo desea.)
1/14/09 2:05:57 PM
Capítulo 6:
06 MATTHEWS 01.indd 177
Configuración y administración de una red
177
3.
Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, de la zona.
4.
En el Administrador del servidor, en el árbol de la consola, bajo Funciones, abra Servidor DHCP|Servidor|IPv4.
5.
Haga clic derecho en el ámbito que le interese unir a la zona DNS en que ha trabajado y clic en Propiedades.
6.
En la ficha DNS, cerciórese de que la casilla de verificación Habilitar actualizaciones DNS dinámicas… esté marcada y después haga clic en Actualizar siempre dinámicamente registros DNS A y PTR.
7.
Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Ámbito. Cierre el Administrador del servidor o Administrador de DNS (el que tenga abierto).
1/14/09 2:05:57 PM
178
Windows Server 2008: Guía del Administrador
Pruebe DNS Para probar si DNS funciona, haga lo siguiente: ▼
Intente usarlo
■
Use una opción de prueba en DNS
▲
Use Nslookup en la ventana Símbolo del sistema, si creó una zona de búsqueda inversa
Pruebe las tres de forma rápida:
06 MATTHEWS 01.indd 178
1.
Haga clic en Inicio, dé clic en el cuadro de texto Iniciar búsqueda, escriba \\ seguido por el nombre del equipo en la red y oprima enter. Si DNS y DHCP están funcionando, la búsqueda debe tener éxito y se debe encontrar el equipo. Cierre la ventana que se abrió para mostrar el equipo de red.
2.
Abra Administrador del servidor|Funciones|Servidor DNS|DNS, dé clic derecho en el servidor dentro del cual creó una zona, y en Propiedades. Abra la ficha Supervisión, seleccione Una única consulta… y Una consulta recursiva…, dé clic en Probar ahora. Debe obtener los resultados de prueba en la parte inferior del cuadro de diálogo indicando que ambas pruebas fueron correctas. Cierre el cuadro de diálogo Propiedades de SERVIDOR y el Administrador del Servidor.
1/14/09 2:05:58 PM
Capítulo 6:
Configuración y administración de una red
179
3.
Haga clic en Inicio|Símbolo del sistema, escriba nslookup y oprima enter: si creó una zona de búsqueda inversa que incluyó el servidor, obtendrá nombre del servidor y dirección IP. Escriba un nombre de host, oprima enter y obtendrá el nombre de host completo con dominio y dirección IP. Escriba una dirección IP y obtendrá el nombre de host completo con su dominio.
4.
Escriba Exit y presione enter para salir de Nslookup; escriba Exit y oprima enter nuevamente para cerrar la ventana Símbolo del sistema.
NOTA Nslookup requiere tener una zona de búsqueda inversa, una de las razones para crearla.
Configure el servicio de nombre de Internet de Windows WINS tiene el mismo trabajo que DNS: resolver o convertir un nombre amigable para el usuario, fácil de recordar en una dirección IP, pero sólo se necesita si tiene equipos en su red con versiones de Windows anteriores a Windows 2000 (Windows 95, 98 Me y NT). WINS utiliza la convención de nombre NetBIOS desarrollada por IBM y Microsoft, como parte de un esquema de red anterior. NetBIOS, que opera en la capa de la sesión (quinta) del modelo de red OSI, suele interactuar con NetBEUI en las capas de transporte y red del modelo OSI (véase la figura 6-10), que logra convirtiendo un nombre amigable de usuario directamente en di-
Modelo OSI Aplicación
Aplicaciones
Presentación Sesión
NetBIOS sobre TCP/IP
Conectores de Windows
Transporte
Red
Figura 6-10.
06 MATTHEWS 01.indd 179
Vínculo de datos
Especificación de interfaz de controlador de red (NDIS, Network Driver Interface Specification)
Físico
Controladores de hardware (Ethernet, token ring, FDDI)
WINS, NetBIOS, TCP/IP y el modelo OSI.
1/14/09 2:05:58 PM
180
Windows Server 2008: Guía del Administrador
rección física (MAC). WINS, aplicación como DNS, mantiene una base de datos de nombres NetBIOS y direcciones IP equivalentes. Los nombres NetBIOS que utilizan NetBIOS sobre TCP/IP llaman a WINS y entonces pueden usarse con TCP/IP en lugar de NetBEUI. NOTA El soporte para el protocolo NetBEUI, usado en comunicación con sistemas de red de Microsoft anteriores, ha sido eliminado de Windows Server 2008.
WINS requiere muy poco mantenimiento, al principio se genera a sí mismo y se mantiene por sí solo conforme ocurren cambios. Sólo necesita activarlo y especificar la dirección IP del servidor en los clientes. Aunque WINS todavía está disponible en Windows Server 2008, DDNS ha usurpado gran parte de sus funciones, porque éste se encuentra integrado en Active Directory y DNS ofrece características de seguridad que no están disponibles en WINS. Si su red sólo tiene Windows Server 2008 o Windows Server 2003 y clientes de Windows Vista y XP, no necesita WINS, pues no se utilizan los nombres NetBIOS. Si tiene equipos con sistemas operativos de Windows anteriores (Windows 95/98/Me o NT) en su red, entonces WINS puede ser benéfico. WINS puede coexistir en forma segura con DNS, si no tiene preocupaciones de seguridad relacionadas con el hecho de que la base de datos de WINS se cree y actualice automáticamente y la integración con Active Directory no es importante. En un entorno compartido, WINS maneja el nombre NetBIOS de una sola parte, con un máximo de 16 caracteres (el usuario puede insertar 15), usado en todos los sistemas operativos de Microsoft, hasta Windows Me y NT 4, mientras DNS maneja un nombre de dominio de varias partes, con un máximo de 255 caracteres usado en Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP. NOTA En redes más pequeñas (con un máximo práctico en el rango de 35 a 50 equipos y un máximo absoluto de 70), no necesita usar WINS ni DNS. Cada equipo de la red transmite periódicamente a los otros equipos en red sus NetBIOS y direcciones IP y después almacena esta información en un archivo de trabajo en el equipo que hizo la solicitud inicial. Esto genera mucho tráfico de red y, a medida que la red crece, ese tráfico puede ser devastador. Puede reducir este tráfico al crear y mantener manualmente un archivo de texto estático llamado Lmhosts (LM de LAN Manager, el sistema de red original de Microsoft) que se revisa antes de transmitir en la red (busque Lmhosts.sam [es probable esté en C:\Windows\System32\Drivers\Etc\], ábralo con el Bloc de notas y siga las instrucciones al principio del archivo para crearlo). Mantener este archivo en varios equipos se vuelve tarea importante y la razón por la que se desarrolló WINS. Un archivo estático similar, Hosts, puede usarse con DNS, pero ambos archivos de texto sólo son prácticos para redes pequeñas.
WINS, al igual que DNS, reside en un servidor. Para usarlo, un cliente consulta al servidor mediante un nombre NetBIOS y el servidor responde con un número IP para ese nombre. Cuando configura un servidor WINS e inicia un cliente al darle la dirección del servidor, el cliente registra automáticamente su nombre y dirección IP con el servidor. Éste responde con TTL, la cantidad de tiempo que mantendrá el registro. De ahí en adelante, cada vez que el cliente inicie repetirá este proceso o, si está a la mitad de su TTL, volverá a registrar automáticamente su nombre.
06 MATTHEWS 01.indd 180
1/14/09 2:05:58 PM
Capítulo 6:
Configuración y administración de una red
181
Configure WINS en un servidor Para configurar WINS en el servidor, siga estos pasos: 1.
Haga clic en Inicio|Administrador del servidor; en el árbol en la izquierda y haga clic en Características y luego en Agregar características. Recorra la lista de características casi hasta el final y haga clic en Servidor WINS, en Siguiente e Instalar.
2.
Cuando vea Instalación correcta, haga clic en Cerrar.
3.
En el Administrador del servidor, abra Características|WINS. Dé clic derecho en Registros activos, haga clic en Mostrar registros, después en Buscar, en la parte inferior del cuadro de diálogo que se abre. Debe mostrarse una lista de nombres NetBIOS y direcciones IP, como se muestra aquí:
NOTA Puede tomar un poco de tiempo hasta que el servidor encuentre los clientes WINS, hasta mediodía. El proceso procede mucho más rápido si filtra los clientes que quiere por nombre o dirección IP, en el cuadro de diálogo Mostrar informes.
4.
Si tiene clientes ajenos a WINS, puede agregar registros estáticos al hacer clic derecho en Registros activos y seleccionar Asignación estática nueva. Se abre el cuadro de diálogo del mismo nombre.
5.
Ingrese el nombre del equipo y ámbito NetBIOS, si lo desea (el ámbito es una extensión del nombre utilizado para agrupar equipos). Después haga clic en tipo (consulte la tabla 6-1) e inserte una o más direcciones IP, según sea necesario. Cuando haya terminado, haga clic en Aceptar, para cerrar el cuadro de diálogo y después cierre la ventana WINS.
Configure WINS en clientes La configuración de un cliente WINS a menudo se hace en equipos que ejecutan otro sistema que no sea Windows Server 2008, Windows Vista o Windows XP. Los pasos para hacerlo en Windows 98 son los siguientes:
06 MATTHEWS 01.indd 181
1.
Haga clic en Inicio|Panel de control y haga doble clic en Red. Se abre el cuadro de diálogo Propiedades de red.
2.
Seleccione TCP/IP para el adaptador de red y clic en Propiedades. Se abre el cuadro de diálogo Propiedades TCP/IP.
1/14/09 2:05:59 PM
182
Windows Server 2008: Guía del Administrador
Tipo Único
Explicación Un solo equipo con una sola dirección IP
Grupo
Un nombre de grupo con una sola dirección IP para el grupo
Nombre de dominio
Un nombre de dominio con hasta 25 direcciones IP para sus miembros
Grupo Internet
Un nombre de grupo con hasta 25 direcciones IP para sus miembros Un equipo con hasta 25 direcciones IP para varias NIC
Host múltiple Tabla 6-1.
06 MATTHEWS 01.indd 182
Tipos de registros WINS estáticos.
3.
Haga clic en la ficha Configuración de WINS y en Habilitar resolución WINS. Escriba la dirección IP del servidor WINS y haga clic en Agregar.
4.
Cuando haya terminado de insertar servidores WINS, haga clic dos veces en Aceptar, para cerrar todos los cuadros de diálogo abiertos. Haga clic en Sí para reiniciar su equipo.
5.
Repita los pasos del 1 al 4 para cada cliente de la red.
1/14/09 2:05:59 PM
Capítulo 6:
Configuración y administración de una red
183
CONFIGURE CUENTAS DE USUARIOS Y PERMISOS DE GRUPO Para obtener acceso a otro equipo u otros recursos (como una impresora) en la red, un usuario debe tener permiso para hacerlo. Estos permisos comienzan con el usuario como una entidad conocida, pues tiene una cuenta de usuario. Puede tener cuentas de usuario local, que proveen acceso a un equipo y cuentas de usuario de dominio, que ofrecen acceso a todos los recursos del dominio. Las cuentas de usuario de dominio, como se implementan en Active Directory, podrían ser muy valiosas y, en muchos casos, facilitan la manera para estructurar una red; se analizan en los capítulos 7 y 15. En lugar de asignar permisos a individuos, se asignan individuos a grupos con ciertos permisos. En esta sección se busca configurar cuentas de usuario local, configurar grupos y asignar usuarios a grupos. Las cuentas de usuario, grupos y permisos son parte importante de la seguridad de red, mientras los aspectos de seguridad de estos elementos, como estrategias de contraseña, se analizan en el capítulo 15. Esta sección se concentra en configurar elementos, no en la manera en que deben usarse para propósitos de seguridad. NOTA Si está usando o va a usar un dominio, es importante configurar cuentas de usuario de dominio, en lugar de cuentas de usuario local en equipos dentro del dominio. El dominio no reconoce las cuentas de usuario local, así que un usuario local no puede usar recursos de dominio y un administrador de dominio no puede administrar cuentas locales.
Planee los nombres de usuario y contraseñas Antes de configurar las cuentas de dominio o usuario local, su organización debe tener un plan para nombres de usuario y contraseñas que utilizará. El objetivo es que sean consistentes y usen prácticas prudentes. Aquí se muestran algunas configuraciones:
06 MATTHEWS 01.indd 183
▼
¿Va a usar el nombre e inicial del apellido, inicial del nombre y apellido o nombres y apellidos completos?
■
Si lo hace, ¿cómo va a separar nombres y apellidos? Muchas organizaciones no usan separación, mientras otras utilizan puntos o guiones de subrayado
■
¿Cómo va a manejar a dos personas con el mismo nombre y apellido? Agregar un número tras un nombre es una respuesta común; usar la inicial del segundo nombre es otra
■
¿Necesita una clase especial de nombres, por ejemplo, para los subcontratistas de su organización? De ser así, ¿cómo quiere diferenciarla de la de los otros usuarios? Un método consiste en poner antes de sus nombres uno o dos caracteres para indicar su posición, como “SC” para subcontratista
1/14/09 2:05:59 PM
184
Windows Server 2008: Guía del Administrador
■
Los nombres deben ser únicos, no pueden tener más de 20 caracteres de largo (o 20 bytes de largo, si el carácter toma más de 1 byte), no distinguen mayúsculas de minúsculas, tampoco pueden contener el carácter @ ni pueden incluir únicamente puntos y espacios. Los puntos o espacios al principio o final se ignoran
▲
Las contraseñas deben ser únicas; no pueden tener más de 127 caracteres; pueden tener mayúsculas o minúsculas; deben usar una mezcla de letras, números y símbolos, así como tener al menos 8 caracteres de largo
SUGERENCIA Si su contraseña es mayor de 14 caracteres, no podrá iniciar sesión en la red de un equipo Windows 98/98/Me.
Configure cuentas de usuario locales Windows Server 2008 y Windows Vista crean diferentes cuentas de usuario cuando se instalan; entre ellas hay dos que al principio se llaman Administrador e Invitado. Puede cambiar nombre y contraseña para cada una de estas cuentas, pero no eliminarlas. Cuando recorre la instalación de Windows Server 2008, como se describió en los capítulos 2 y 3, se establece la contraseña inicial para la cuenta Administrador, pero toda la creación y mantenimiento de cuentas se hace fuera de la instalación. NOTA Si su servidor es un controlador de dominio (DC, Domain Controller), sólo podrá configurar cuentas de usuario de dominio. Las cuentas de usuario local sólo se crean en servidores que no son DC o en clientes.
Siga estos pasos para ver cómo se configuran las cuentas de usuarios locales (recuerde que si el servidor buscado es un controlador de dominio, no podrá encontrar Usuarios y grupos locales):
06 MATTHEWS 01.indd 184
1.
Haga clic en Inicio|Administrador del servidor, después en el árbol de la consola, abra Configuración| Usuarios y grupos locales. Dé clic derecho en Usuarios y seleccione Usuario nuevo. Se abrirá el cuadro de diálogo Usuario nuevo.
2.
Inserte Nombre de usuario, Nombre completo, Descripción y Contraseña, como se muestra aquí. Seleccione cómo quiere administrar las contraseñas y haga clic en Crear.
3.
Repita el paso 2 para todos los usuarios locales que tenga. Cuando haya terminado, haga clic en Cerrar.
1/14/09 2:06:00 PM
Capítulo 6:
Configuración y administración de una red
185
Configure grupos y sus miembros Los grupos le permiten definir lo que un tipo particular de usuario tiene permitido hacer en el equipo. Una vez que haya hecho eso, los usuarios definidos pueden ser miembros de estos grupos y entonces tendrán los mismos permisos que los grupos a los que pertenecen. Windows Server 2008 incluye varios grupos ya definidos, así que el primer paso consiste en entender cuáles son. Después puede agregar uno o más grupos propios. 1.
En el árbol de la consola Administrador del servidor, con Configuración y Usuarios y grupos locales abierto, haga clic en Grupos. Aparece la lista de los grupos definidos, como se muestra aquí:
El conjunto estándar de grupos proporciona un buen espectro de permisos, como se observa al leer la columna Descripción, en la ventana Administrador del servidor. 2.
Cree un nuevo grupo al hacer clic derecho en Grupos, en el panel de la izquierda o al seleccionar Grupo nuevo. Se abre el cuadro de diálogo Grupo nuevo.
3.
Escriba el nombre de grupo y una descripción, que debe mostrar una lista de permisos que tiene el grupo.
4.
Haga clic en Agregar; se abre el cuadro de diálogo Seleccionar usuarios. Escriba los usuarios que quiere añadir en el cuadro de texto inferior, al hacer clic en Comprobar nombres después de cada entrada, o haga clic en Avanzadas y luego, en Buscar ahora, elija un nombre de la lista y dé clic en Aceptar, para transferirlo a la lista de nombres.
5.
Cuando haya terminado, haga clic en Aceptar, en Crear, para crear el nuevo grupo y haga clic en Cerrar, para cerrar el cuadro de diálogo Grupo nuevo.
NOTA
06 MATTHEWS 01.indd 185
En el capítulo 15 se analiza en detalle cómo configurar permisos.
1/14/09 2:06:00 PM
186
Windows Server 2008: Guía del Administrador
Agregue usuarios a grupos Aunque puede agregar usuarios a grupos cuando crea estos últimos, a menudo agregará usuarios a grupos sin necesidad de crearlos, como se muestra a continuación (debe tener todavía abierta la ventana Administrador del servidor y expandir Configuración|Usuarios y grupos locales, en el árbol de la consola, a la izquierda): 1.
Abra Usuarios al hacer clic en el panel de la izquierda; en el panel de la izquierda, ubique y haga clic derecho en el usuario cuya pertenencia a un grupo quiere cambiar y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.
2.
Dé clic en la ficha Miembro de y en Agregar. Se abre el cuadro de diálogo Grupos seleccionados.
3.
En el cuadro de texto inferior, escriba los grupos que quiere agregar, seleccionando Comprobar nombres, después de cada entrada o haga clic en Avanzadas y en seguida en Buscar ahora, seleccione el nombre de la lista y dé clic en Aceptar, para transferirlo a la lista de nombres, como se muestra a continuación. Cuando haya seleccionado todos los grupos, haga clic en Aceptar.
4.
Cuando haya terminado con la cuenta de usuario, haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, después haga clic en Cerrar, para cerrar la ventana Administrador del servidor.
El cuadro de diálogo Propiedades del usuario contiene varias fichas que no se mencionaron antes. Éstas se analizarán en capítulos futuros. Por ejemplo, Perfil, permite definir uno para cierto usuario, de modo que cuando inicie sesión en un equipo, el perfil configure automáticamente escritorio, menús y otras características para ese usuario. Se analiza en el capítulo 14. Otro ejemplo es Marcado, que configura la manera en que un usuario trabajará con acceso remoto y red privada; es el tema del capítulo 11. Recuerde que estas cuentas de usuario local están limitadas a un solo equipo y no pueden administrarse de forma central. La forma más amplia y sencilla de implementar las cuentas de usuarios es con dominios, que se analizan en el capítulo 7.
06 MATTHEWS 01.indd 186
1/14/09 2:06:00 PM
CAPÍTULO 7 Uso de Active Directory y dominios
187
07 MATTHEWS 01.indd 187
1/14/09 1:40:42 PM
188
Windows Server 2008: Guía del Administrador
T
al vez el cambio más grande en Windows 2000 respecto a Windows NT fue la adición de Active Directory (AD). En Windows Server 2003 y Windows Server 2008, AD se ha mejorado, haciéndolo parte mucho más importante del sistema operativo. Active Directory provee una sola referencia, llamada servicio de directorio, de todos los objetos de una red, incluidos usuarios, grupos, equipos, impresoras, directivas y permisos. Para un usuario o administrador, AD provee una sola vista jerárquica desde la que se acceden y administran todos los recursos de la red. AD utiliza protocolos y estándares de Internet, incluida la autentificación Kerberos, capa de conectores seguros (SSL, Secure Sockets Layer) y seguridad en la capa de transporte (TLS, Transport Layer Security); un protocolo de acceso a directorio ligero (LDAP, Lightwight Directory Access Protocol) y el servicio de nombre de dominio (DNS, Domain Name Service). AD requiere uno o más dominios para operar. Un dominio, como se utiliza en Windows NT, 2000 y Windows Server 2003 y 2008, es una colección de equipos que comparten un conjunto común de directivas, nombre y base de datos de sus miembros. Un dominio debe tener uno o más servidores que sirven como controladores de dominio y almacenan la base de datos, mantienen las directivas y proporcionan autentificación para inicios de sesión de dominio. Un dominio, como se utiliza en Internet, es el segmento más alto de un nombre de dominio de Internet e identifica el tipo de organización; por ejemplo, .gov para agencias gubernamentales y .net para proveedores de servicio de Internet (ISP, Internet Service Provider). Un nombre de dominio es la dirección de Internet completa, usada para alcanzar una entidad registrada en Internet. Por ejemplo, www.mcgraw-hill.com o www.mit.edu.
EL ENTORNO DE ACTIVE DIRECTORY AD juega dos funciones básicas importantes para una red: la de un servicio de directorio, que contiene una lista jerárquica de todos los objetos de la red, así como la de un servicio de autentificación y seguridad que tanto controla como proporciona acceso a recursos de red. Estas dos funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su núcleo, AD de Windows Server 2008 es un servicio de directorio integrado con DNS, además de un servicio de autentificación de usuario para el sistema operativo Windows Server 2008. Sin embargo, esta explicación introduce pocos términos e incluye varios conceptos. Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los términos no son intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en una red. Un directorio jerárquico tiene una estructura cuya configuración integrada permite que se agrupen objetos de forma lógica; de tal modo, los objetos de nivel inferior se agrupan y contienen de forma lógica en objetos de nivel superior en todos los niveles deseados. Esta agrupación puede basarse en varios criterios diferentes, pero éstos deben ser lógicos y consistentes con toda la estructura de directorio. Dos de las estructuras de directorio más comunes usadas en las redes se basan en funciones de objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una organización, que tal vez cuenten con estructura propia, como departamentos dentro de divisiones.
07 MATTHEWS 01.indd 188
1/14/09 1:40:43 PM
Capítulo 7:
Uso de Active Directory y dominios
189
Un departamento particular sería el primer punto organizativo en una organización. A un contenedor que almacena todos los objetos en un departamento se le denomina unidad organizativa (OU, Organizational Unit) y se agrupa en OU de nivel superior, basada en la estructura lógica. Tras crear un grupo de OU, verá que la estructura causa que su directorio sea confuso, de navegación compleja o ambas. Como resultado, quizás necesite cambiar su red para tener más OU de alto o bajo nivel. En la parte superior de todos los directorios está la OU maestra que contiene todas las demás OU. A este directorio se le conoce como raíz y normalmente se le designa con un solo punto. Esta estructura jerárquica se vería así: “ “
División A
Departamento A
Raíz
Unidades organizativas
Departamento B
Departamento C
División B
Departamento D
AD es tan básico como la organización recién mostrada. Sin embargo, gran parte de la estructura central de AD ya ha sido asignada por Microsoft y es consistente en todas las implementaciones de Windows Server 2008. Por esto, algunos de los contenedores, sólo OU, se han asignado a nombres específicos y funciones en AD. A medida que esta estructura de directorio preconfigurada se explica en el resto del capítulo, no deje que términos y nombres lo confundan. En realidad, todo esto es simplemente una colección de objetos en varias OU. El “servicio” en “servicio de directorio” se añade a las características de un servidor que, de otra manera, no estarían disponibles. Al principio, un servicio de directorio permite acceso a un directorio de información y a servicios brindando información acerca de la ubicación, métodos de acceso y derechos de acceso a los objetos dentro del árbol de servicio de directorio. Esto significa que los usuarios acceden a un solo directorio y después se conectan directamente a otros servidores y servicios que, en apariencia, provienen del directorio original. En gran medida, en este capítulo se analizan diferentes tipos de objetos y métodos de acceso que AD proporciona a usuarios y administradores. NOTA AD, Microsoft Exchange y Novell Directory Services (NDS) están basados en el estándar X.500, reconocido internacionalmente y usado para crear una estructura de directorio. De manera específica, AD se basa en la nueva versión X.509 de la familia X.500.
07 MATTHEWS 01.indd 189
1/14/09 1:40:43 PM
190
Windows Server 2008: Guía del Administrador
Integración con DNS Gran parte de la estructura y servicios de AD, además del espacio de nombres en uso, se basa en el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres es el esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet utilizan espacios de nombres jerárquicos separados por puntos, como se describió antes en este capítulo. En unos momentos se analizará la manera en que AD utiliza DNS, pero es necesario revisar primero estructura y funcionamiento de DNS y cómo se utiliza para generar las bases de AD. Todos los servidores y servicios en Internet tienen asignada una dirección numérica de protocolo de Internet (IP, Internet Protocol), así como todo el tráfico de Internet utiliza este número IP para llegar a su destino. Los números IP cambian y pueden hospedar varios servicios simultáneamente. Además, la mayoría tiene dificultades para recordar números arbitrarios grandes, como las direcciones IP. Éstas son descripciones decimales de números binarios, sin patrón visible. Los servicios DNS se crearon para permitir a servidores y otros objetos en la red asignar un nombre amigable para el usuario, mismo que DNS traduce en un número IP. Por ejemplo, un nombre amigable para el usuario como correo. mcgraw-hill.com puede traducirse o resolverse en un servidor DNS a una dirección IP como 168.143.56.43, que la red puede usar para ubicar el recurso deseado. Los servidores DNS manejan estructuras de directorio jerárquicas, como en el ejemplo descrito al inicio de este capítulo. En el núcleo de los servidores DNS existen dominios de raíz con un directorio raíz, al que se hace referencia con un solo punto. Los primeros grupos de OU bajo la raíz son diversos tipos de dominios que pueden existir, como COM, NET, ORG, GOV, EDU, etc. InterNIC, una rama del Departamento de Comercio de Estados Unidos, controla más de 250 de estos dominios de nivel elevado en Estados Unidos, administrados por una empresa privada sin fines de lucro llamada Internet Corporation for Assigned Names and Numbers (ICANN), que controla varios servidores raíz que contienen una lista de todas las entradas en cada subdominio. El siguiente grupo de OU tras “.COM” lo integran nombres de dominio como coke.com, microsoft.com y mcgraw-hill.com. Las organizaciones o individuos a los que pertenecen registran y administran estos dominios. Varias compañías han contratado a InterNIC/ICANN para registrar nuevos nombres de dominio añadidos a Internet; verá una lista alfabética de estas compañías en http://www.internic.com/alpha.html. Un nombre de dominio, como mcgraw-hill.com, puede obtener OU adicionales, llamadas subdominios y objetos de servidor reales. En el ejemplo anterior, correo.mcgraw-hill.com, el servidor de correo es un objeto del dominio mcgraw-hill.com. A un nombre de servidor como correo.mcgraw-hill.com, que contiene todas las OU entre éste y la raíz, se le denomina nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain Name). En la figura 7-1 se muestra el proceso de resolución de nombres requerido cuando un cliente como el de la esquina inferior izquierda de la figura 7-1 pide a un servidor DNS resolver un FQDN en una dirección IP, subiendo y bajando por la cadena de servidores DNS.
07 MATTHEWS 01.indd 190
1/14/09 1:40:43 PM
Capítulo 7:
Figura 7-1.
Uso de Active Directory y dominios
191
El proceso de resolución para un nombre de dominio en una dirección IP.
Active Directory y Dominios AD y DNS comparten la misma OU central, llamada dominio. Para quienes están familiarizados con Windows NT 4, Windows 2000 o Windows Sever 2003, el concepto de dominio debe serles familiar. Un dominio es un servicio de autentificación central y de directorio con toda la información de un grupo de equipos de cómputo. NT 4 tiene varias limitaciones importantes en el uso de dominios. Inicialmente, los dominios no eran realmente servidores de directorio, porque sólo contenían usuarios, grupos y equipos en una estructura no jerárquica. Aunque todos los equipos podían usar el depósito central de información para problemas de autentificación, el directorio no estaba disponible para la ubicación de objeto ni la administración de recursos. En AD, las características centrales y búsqueda de dominios NT heredados aún están presentes, pero se han extendido ampliamente. Entre las muchas mejoras, que se analizarán en el curso de este capítulo, está la capacidad de los dominios AD
07 MATTHEWS 01.indd 191
1/14/09 1:40:44 PM
192
Windows Server 2008: Guía del Administrador
para escalar a casi cualquier tamaño, en oposición al límite de 40 000 objetos, impuesto a estructuras de dominio NT. Otra mejora es la capacidad de AD para formar confianzas de dos vías, transitivas con otros dominios en la red (esto se analizará con mayor detalle en páginas posteriores de este capítulo). La integración temprana entre AD y DNS puede resultar, al principio, un poco confusa. Al ver AD y DNS, es fácil pensar que en realidad son lo mismo, pues utilizan los mismos nombres y esquemas de nombres. Sin embargo, no es así. En la actualidad, DNS y AD son servicios de directorio separados que utilizan los mismos nombres para diferentes espacios de nombres. Cada directorio contiene objetos e información diferentes, acerca de objetos de su propia base de datos. Sin embargo, estos nombres, además de la estructura de directorio, a menudo son idénticos. Cada equipo con Windows Server 2008 tiene un FQDN. Ésta es la combinación de su propio nombre de equipo con el nombre del dominio en que reside. Por ejemplo, los equipos de Windows Server 2008 en el dominio McGraw-Hill pueden tener un nombre de equipo idéntico a nombredelequipo.mcgraw-hill.com. Sin embargo, el mismo equipo puede ser en realidad miembro del subdominio editorial.mcgraw-hill.com. En este caso, el FQDN del equipo sería realmente nombredelequipo.editorial.mcgraw-hill.com.
Directorios DNS En realidad, un directorio DNS no almacena objetos en su base de datos. En cambio, DNS almacena dominios, la información de acceso para cada dominio e información de acceso para objetos (como servidores e impresoras) en el dominio. La información de acceso suele ser sólo FQDN y dirección IP relacionada. Todas las consultas de una dirección IP del objeto relacionarán el FQDN de la solicitud con el índice FQDN en el directorio DNS y devolverán (resolverán) la dirección IP. En algunos casos, la información de acceso (o referencia de recurso) simplemente apunta a otro objeto (o recurso) en el mismo dominio DNS o uno diferente. Un dominio DNS estándar no puede revertir este proceso al regresar un FQDN cuando se proporciona con una dirección IP. Para que este tipo de resolución sea posible, requiere una zona de búsqueda inversa, como se analizó en el capítulo 6. A estos dominios se les conoce como dominios “in-addr-arpa”, dentro de la jerarquía DNS. Entre otras funciones especiales de DNS, que añaden características a una red, está la referencia a Mail Exchanger que puede agregarse a un nombre de dominio DNS. La referencia a Mail Exchanger (conocida como MX) permite a los servidores de correo localizar servidores de correo de otros dominios, para permitir la transferencia de correo electrónico a través de Internet.
Servicios de Active Directory Los servicios de AD contienen una cantidad mayor de información que la disponible en directorios DNS, aunque nombres y estructura sean casi idénticos. AD resuelve toda la información de las solicitudes de objetos en su base de datos al utilizar consultas LDAP. El servidor AD también puede ofrecer una cantidad variable de información acerca de cada
07 MATTHEWS 01.indd 192
1/14/09 1:40:44 PM
Capítulo 7:
Uso de Active Directory y dominios
193
objeto en su base de datos. Entre la información que AD puede proporcionar se incluye la siguiente (pero no se limita a ella): ▼
Nombre de usuario
■
Información de contacto, como dirección física, números de teléfono y direcciones de correo electrónico
■
Contactos administrativos
■
Permisos de acceso
■
Propietario
▲
Atributos de objeto, como características de nombre de objeto; por ejemplo, impresora a color Laser Jet, 20 hojas por minuto, impresión dúplex
Aunque DNS no requiere AD, en cambio AD demanda que un servidor DNS esté instalado y funcionando correctamente en la red, antes de que un usuario pueda encontrar el servidor AD. Cuando Windows Server 2003 se desplazó por completo a los estándares de Internet para su red de sistema operativo (lo que se desplazó también a Windows Server 2008), debió encontrarse un método para ubicar servicios de red distintos a la transmisión NetBIOS utilizada en Windows NT. Esto se hizo mediante el uso de un nuevo tipo de dominio DNS, conocido como dominios de DNS dinámicos (DDNS, Dynamic DNS). Un dominio DDNS, que se integra en AD, permite a todos los controladores usar la misma base de datos, que se actualiza automáticamente cuando se añaden a la red nuevos equipos de Windows Server y al eliminarse. El dominio DDNS también permite que DNS funcione con redes basadas en el protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol), donde las direcciones IP de los objetos de red cambian constantemente. Además de proveer la resolución de nombre para la red, los dominios DDNS también contienen una lista de todos los dominios y controladores de dominio en red. Esto significa que, a medida que se incorporan nuevos sistemas Windows Server a una red, solicitarán a los servidores DDNS que obtengan nombre e información de conexión, incluida la dirección IP, de los controladores de dominio más cercanos. NOTA En instalaciones de Windows NT, los servidores de servicio de nombre de Internet de Windows (WINS, Windows Internet Name Service) proporcionaban estaciones de trabajo nuevas con la ubicación de controladores de dominio. Para permitir la compatibilidad con estaciones de trabajo de Windows 3.11, Windows 95 y Windows 98 que no ejecutan el cliente AD, todavía se necesitan en la red servidores WINS. Los servidores de Windows Server 2003, 2008 y Windows 2000, además de los servidores NT heredados, tienen la capacidad para hospedar servicios WINS e integrarlos con DNS.
Active Directory y el espacio de nombres DNS global Los dominios AD están diseñados (y pretenden existir) dentro del esquema de nombre de dominio DNS global operando en Internet. Esto significa que, por diseño, el dominio DNS de su red también se relacionaría con el esquema de asignación de nombres de dominio de AD. En algunas organizaciones, resulta difícil la migración de la red de área local (LAN,
07 MATTHEWS 01.indd 193
1/14/09 1:40:44 PM
194
Windows Server 2008: Guía del Administrador
Local Area Network) NT heredada, pues ya están funcionando dominios de LAN e Internet independientes. En este caso, pueden usarse los servicios DDNS para dominio AD de LAN y hospedarse en servidores DNS internos. Los servidores externos, que proporcionan servicios de hospedaje Web de Internet, como los de protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) y protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol), todavía utilizarían la estructura DNS de Internet y proporcionarían asignación de recursos necesaria en cada dominio, para permitir su coexistencia, como se muestra aquí:
NOTA Las funciones que proporciona un dominio DDNS, necesarias para AD, son la lista de información de dominio y ubicación de los servidores de dominio. Estas funciones las proporciona un objeto llamado recurso de ubicación de servicios (SRV, Service Location Resource). Los SRV no son únicos para dominios Windows DDNS y, por tanto, algunos productos de servidor DNS de terceros trabajan con AD. Sin embargo, la configuración de estos servidores DNS de terceros, para integrarse con AD, puede representar una tarea considerable.
INSTALE ACTIVE DIRECTORY Existen dos formas para instalar AD: agregarlo a un dominio existente o formar un nuevo dominio. (En el caso de quienes están familiarizados con AD, también encontrarán aquí algunos problemas relacionados con bosques y árboles, pero éstos se analizarán más adelante, en este capítulo.) Instalar AD en un servidor convierte el servidor en un controlador de dominio, un servidor que hospeda a la base de datos central de todos los usuarios y grupos dentro del dominio, para mantener todas las funciones relacionadas con el dominio, como inicio de sesión y autentificación de usuario dentro del dominio, además de relaciones de
07 MATTHEWS 01.indd 194
1/14/09 1:40:44 PM
Capítulo 7:
Uso de Active Directory y dominios
195
confianza. Este proceso se hace en los servidores NT existentes o en servidores AD de Windows Server 2008, Windows Server 2003 o Windows 2000. Windows 2000 fue la primera plataforma de Windows que permitía la promoción de servidores miembros a controladores de dominio. Si un dominio contiene varios servidores AD, entonces los servicios AD se eliminan de un controlador de dominio y el servidor se regresa a un servidor miembro estándar, dentro del dominio. Cuando se instala AD en un dominio NT heredado, el controlador de dominio primario (PDC, Primary Domain Controller) de un dominio debe ser un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 que ejecuta AD. Obviamente, esto sólo es un problema en los casos en que existen en el dominio Windows Server 2008, Windows Server 2003 o Windows 2000, además de controladores de dominio NT heredados (se les denomina red de modo mixto). En casos donde está instalando el primer servidor AD en un dominio heredado, el PDC existente deberá actualizarse a un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 y entonces AD puede agregarse. Un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 puede existir sin AD en un dominio heredado NT, pero antes de agregar AD, el PDC debe actualizarse a Windows Server 2008, Windows Server 2003 o Windows 2000. SUGERENCIA En algunos casos es aconsejable agregar un controlador de dominio sin otros servicios que las funciones de dominio NT, para simplificar lo más posible la actualización. Entonces el controlador de dominio puede actualizarse para asumir el rol PDC en el dominio heredado. Con esta migración completa, los servidores existentes pueden migrarse de cualquier forma, incluido reformateo y recarga del disco duro, que es aconsejable. Algunas compañías, como Hewlett-Packard, Dell e IBM, han automatizado los CD de instalación de Windows Server 2003 y Windows 2000 (y, en breve, tal vez los de Windows Server 2008) para muchos de sus servidores, mismos que automáticamente cargarán los controladores correctos y su hardware del sistema. Más adelante, puede eliminar el controlador de dominio extra o usarse para reemplazar uno de los controladores de dominio existentes.
Para instalar AD en Windows Server 2008, se usa el Asistente para instalación de Servicios de dominio de Active Directory, que aparece automáticamente, si está actualizando un controlador de dominio o puede iniciarse después con Agregar funciones, en el Administrador del servidor (consulte “Instale funciones de servidor”, en el capítulo 3), cuando decida que el servidor sea un controlador de dominio e instale AD. En el Asistente para instalación de los Servicios de dominio de Active Directory, se le pregunta si quiere crear un nuevo dominio o agregar un controlador de dominio a un dominio existente, como se ilustra en la figura 7-2. PRECAUCIÓN Los equipos que ejecutan Windows 95 o Windows NT 4 SP3 y anteriores no podrán iniciar en un controlador de dominio de Windows Server 2008 ni obtener acceso a recursos de dominio, a menos que instale el cliente de Active Directory para tales sistemas. NOTA Los clientes de Active Directory para Windows 95, Windows 98 y versiones anteriores en Windows NT 4 están disponibles para su descarga en el sitio Web de Microsoft, en páginas para los diferentes sistemas operativos.
07 MATTHEWS 01.indd 195
1/14/09 1:40:45 PM
196
Windows Server 2008: Guía del Administrador
Cuando instale en un dominio existente, se revisarán sus derechos administrativos en el dominio. Es posible que tenga derechos administrativos en el servidor que actualiza, pero quizás carezca de suficientes derechos en el dominio o controladores de dominio para conseguir la instalación. Tras instalar el servicio AD, se hará la configuración restante mediante Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y confianzas de Active Directory. Los primeros dos están disponibles en el árbol de la consola Administrador del servidor, mientras el tercero puede abrirse, como se presenta en la figura 7-3, con Inicio|Herramientas administrativas.
Figura 7-2. Determine si quiere crear un nuevo dominio en un nuevo bosque, un nuevo dominio en un bosque existente o agregar un controlador de dominio a un dominio existente.
Reemplace los controladores de dominio existentes Los servidores Windows Server 2008, que funcionan en dominios nativos (dominios que sólo contienen controladores de dominio de Windows Server 2008), actúan como conexión punto a punto con todos los miembros que contienen la base de datos de servicios AD, con iguales privilegios de lectura/escritura. En dominios NT heredados, sólo el PDC contiene la copia de lectura/escritura maestra del almacenamiento de directorio del dominio. A todos los demás controladores de dominio, en dominios NT, se les conoce como controladores de dominio de copia de seguridad (BDC, backup domain controllers), que contienen copias de sólo lectura del almacenamiento de información del directorio de dominio. BDC está disponible para autentificar usuarios y proporcionar información de dominio, pero todas las adiciones y modificaciones a los datos existentes deben hacerse a PDC. Cuando se instalan en modo mixto, un servidor AD todavía respondería a llamadas de procedimiento remoto (RPC, Re-
07 MATTHEWS 01.indd 196
1/14/09 1:40:45 PM
Capítulo 7:
Uso de Active Directory y dominios
197
Figura 7-3. Configuración de AD en una de tres consolas de administración de Microsoft (MMC, Microsoft Management Consoles).
mote Procedure Call), como si fueran un PDC, y después se replicarían cambios de directorio al BDC heredado. Esto significa que no todos los controladores de dominio heredados reconocen modificaciones grandes a la red. En dominios de Windows 2000, todos los controladores de dominio actúan como una conexión de punto a punto, donde todos los miembros contienen la base de datos de servicios de AD, con iguales privilegios de lectura/escritura, de manera similar a Windows Server 2003 o 2008. Pero si mezcla controladores de dominio de Windows 2000 con otros de Windows Server 2003 y 2008 en el mismo bosque, operarán como si todos fueran controladores de dominio de Windows 2000, sin estar disponibles varias de las mejoras de AD en Windows Server 2003 y 2008. Cuando todos los controladores de dominio de Windows 2000 se han actualizado a Windows Server 2003 o 2008, el nivel de funcionalidad puede mejorarse a la nueva versión, para brindar acceso a las nuevas características.
07 MATTHEWS 01.indd 197
1/14/09 1:40:45 PM
198
Windows Server 2008: Guía del Administrador
NOTA Existen controladores de dominio de sólo lectura (RODC, Read Only Domain Controller) por diseño. Consulte “Controladores de dominio de sólo lectura”, en páginas posteriores de este capítulo, para conocer más información.
El método de operación utilizado por AD es igual al de replicación de varios maestros: significa que se pueden hacer cambios a cualquier servidor AD y esos cambios se replicarán a otros servidores en red. En este esquema de replicación de varios maestros existe un par de conceptos importantes que incluyen el primer servidor AD en el dominio, que se configura automáticamente en el servidor de catálogo global y un maestro de operaciones.
Servidor de catálogo global El catálogo global es un tipo de base de datos en el núcleo de los servicios de directorio. El catálogo global contiene una lista de servicios a los que se accede en la red, no sólo desde el dominio local. El catálogo global puede almacenarse en varios controladores de dominio, pero siempre debe estar instalado al menos en uno y, como opción predeterminada, siempre se crea en el primer servidor AD instalado en un nuevo bosque. (El concepto de bosque se explica más adelante en el capítulo.) La configuración del catálogo global y su colocación en varios servidores de la red se hacen a través de sitios y servicios de Active Directory, en MMC.
GC
DC
GC
DC
DC
Dominio A DC = GC = = =
DC
Dominio B
Controlador de dominio Catálogo global Replicación de directorio de dominio Replicación de catálogo global
SUGERENCIA Cuando opera en modo mixto, todos los controladores de dominio realizan inicios de sesión de usuario de forma independiente. Sin embargo, cuando opera en modo nativo, se requiere una consulta a un servidor de catálogo global (porque determina una pertenencia al grupo global del usuario). Por tanto, las reglas para instalar varios catálogos globales en una red son muy similares a las de instalar BDC adicionales a un dominio NT 4. Cuando se instalan varios sitios distantes, el hecho de tener un servidor de catálogo global en cada sitio disminuirá la carga de red en vínculos WAN que, de otra forma, se utilizarían para ofrecer autentificación de usuario. De forma adicional, es mucho más eficiente tener varios servidores de catálogo global para distribuir la carga de red de tráfico de autentificación de manera uniforme entre varios servidores de red, en lugar de apilar esta carga para que un solo servidor la administre. Por supuesto, la necesidad de servidores de catálogo global adicionales incrementa el ancho de banda consumido para sincronización de directorios.
07 MATTHEWS 01.indd 198
1/14/09 1:40:45 PM
Capítulo 7:
Uso de Active Directory y dominios
199
En general, los servidores de catálogo global en una red proveen dos características principales: inicio de sesión y consulta. Cuando opera en un dominio en modo nativo, se permite que existan grupos universales en el bosque. Debido a que los grupos universales pueden contener usuario y grupos de varios dominios, no puede existir un grupo universal dentro de un dominio individual. Por tanto, el catálogo global mantiene los grupos universales dentro de la red, además de cada pertenencia al grupo. En los dominios de Windows 2000, esto significa que siempre que se opera una red en modo nativo, el servidor AD que hace que inicie sesión un usuario en la red debe consultar al servidor de catálogo global para determinar la pertenencia al grupo universal del que el usuario puede formar parte. En los casos en que un usuario inicia sesión y un servidor de catálogo global no está disponible, sólo se permitirá acceso al usuario en el equipo local. Esto evita cualquier problema de seguridad, en que un grupo global basado en el dominio permite acceder al usuario a un recurso del que el grupo universal lo excluyó. Sin embargo, en caso de una emergencia, se permitirá iniciar sesión en la red a cualquier cuenta de usuario que pertenezca al grupo Administrador de dominio, en el dominio local. En Windows Sever 2008, los controladores de dominio pueden almacenar en el caché pertenencias al grupo universal que se han buscado en un servidor de catálogo global durante el inicio de sesión; de tal modo que la próxima vez que un miembro del grupo universal inicia sesión en un controlador de dominio particular puede confirmarse la membresía de forma local. La segunda característica principal ofrecida por el catálogo global, la consulta, es un poco más obvia. Una red grande puede tener varios dominios coexistiendo. En este caso, el catálogo global ofrece un solo lugar para referencia de todos los usuarios de la red, cuando se buscan recursos específicos. La opción alterna al catálogo global, en este ejemplo, sería el requisito de que cada usuario conozca la ubicación exacta del recurso que quiere usar el usuario, o busque cada dominio de forma independiente. La característica de consulta de AD provee otra razón principal para tener varios servidores de catálogo global a través de la red.
Maestro de operaciones El segundo servicio principal, agregado al primer servidor AD de una red, es el maestro de operaciones. Dentro de los dominios de Windows Server 2008, existe la necesidad de centralizar algunos cambios a los servicios de directorio. Aunque AD se basa en el modelo de replicación de varios maestros, mientras todos los controladores de dominio son conexiones de punto a punto dentro de Windows Server 2008, todavía existen algunos cambios que pueden causar muchos problemas si no se configuran desde diferentes ubicaciones. Por esto, sólo se asigna un controlador de dominio de Windows Server 2008 en cualquier bosque y dentro de cualquier dominio, para convertirse en el maestro de operaciones para ese dominio o bosque. En operaciones de dominio, se asignan tres funciones al maestro de operaciones del dominio:
07 MATTHEWS 01.indd 199
▼
Emulador de PDC En un modo de red mixto, los miembros de la red heredada lo ven como un PDC
■
Maestro de ID relativo Asigna bloques de ID de seguridad a otros controladores de dominio en la red
▲
Maestro de infraestructura Actualiza los demás controladores de dominio, con cambios en nombres de usuario y referencias de grupo a usuario
1/14/09 1:40:47 PM
200
Windows Server 2008: Guía del Administrador
En un bosque sólo se asignan dos funciones al maestro de operaciones del bosque: ▼
Maestro de nombre de dominio Agrega o elimina dominios en un bosque
▲
Maestro de esquema Actualiza el esquema del directorio y vuelve a aplicar éste a otros controladores de dominio en el bosque
ENTIENDA LA ESTRUCTURA Y CONFIGURACIÓN DE ACTIVE DIRECTORY Una red AD contiene varios objetos en una estructura muy completa y puede configurarse de varias formas. Esta sección se concentra en algunos de los objetos en Active Directory, además de cierta configuración básica relacionada con cada objeto como los siguientes: ▼
Objetos AD y lo que hacen
■
Dominios, árboles, bosques y otras OU dentro de AD
▲
Sitios y replicación basada en sitio
Objetos de Active Directory Un objeto dentro de AD es un conjunto de atributos (nombre, dirección e ID) representando algo concreto, como un usuario, impresora o aplicación. Como DNS, AD agrupa e incluye estos objetos en OU, que luego se agrupan en otras OU hasta llegar a la raíz. Además, como DNS, AD proporciona después acceso e información acerca de cada uno de estos diferentes objetos. Como un servicio de directorio, AD mantiene una lista de todos los objetos en el dominio y ofrece acceso a estos objetos, ya sea directamente o mediante redireccionamiento. Esta sección se concentra en la estructura y base de los objetos en AD. Al recordar las diferencias entre AD y DNS, así como los objetos contenidos, apreciará la amplia variedad de objetos que se permiten en servicios de directorio. En el caso de AD y otros servicios de directorio basados en X.500, la creación y uso de esta variedad de objetos se determinan mediante el esquema utilizado en el directorio.
Esquema El esquema define la información almacenada y posteriormente proporcionada por AD, para cada uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador global único o GUID (Globally Unique IDentifier), un número hexadecimal único para el objeto. Un GUID permite que se cambie un nombre de objeto sin afectar la seguridad ni los permisos asignados al objeto, porque el GUID es todavía el mismo. Una vez que el objeto se crea, AD utiliza el esquema para crear campos definidos para el objeto, como número telefónico, propietario, dirección, descripción, etc. La información para cada uno de estos campos la ofrece el administrador o aplicación de terceros que obtiene la información de una base de datos o estructura de directorio preexistente, como Microsoft Exchange.
07 MATTHEWS 01.indd 200
1/14/09 1:40:47 PM
Capítulo 7:
Uso de Active Directory y dominios
201
NOTA Por razones de compatibilidad inversa, el soporte para identificadores de seguridad (SID, Security IDentifiers), la versión de GUID de NT 4, también se mantiene dentro de AD.
Agregue al esquema base Debido a que el esquema brinda las reglas para todos los objetos dentro de AD, en algún momento necesitará extender las clases de objeto predeterminadas incluidas de manera estándar en AD. Una de las primeras ocasiones en que esto ocurrirá es cuando se añade un servidor de correo a la red y requerirá que se agreguen atributos específicos de correo al esquema de AD. Es probable que esta adición también requiera crear nuevas clases de objetos. El proceso de agregar clases y atributos se hace al modificar o agregar al esquema de AD. La modificación del esquema toma lugar al usar una función de instalación automatizada que afecta al esquema para toda la red. Las actualizaciones del esquema no pueden invertirse, así que siempre tenga cuidado cuando actualiza el esquema. SUGERENCIA Es posible modificar el esquema a través de la interfaz de servicio de Active Directory (ADSI, Active Directory Service Interface) y mediante la utilería LDAP Data Interchange Format. También es posible modificar el esquema directamente al utilizar la herramienta AD Schema. Estos programas sólo deben utilizarlos los expertos en AD y siempre deben probarse en un entorno de laboratorio, antes de implementarse en servidores de producción.
Publique elementos al directorio En la superficie, Windows Server 2008 funciona de forma muy parecida a los productos de NT heredados, sobre todo en sus funciones de recursos compartidos y seguridad. Cuando un elemento se comparte o un nuevo recurso se añade a Windows Server 2008, como una impresora, el objeto se comparte y certifica utilizando casi el mismo proceso que con servidores NT heredados. De forma adicional, no todos los servidores basados en Windows NT pueden convertirse en servidores AD. Con estos dos hechos en mente, se necesita algún método para distribuir información acerca de objetos hospedados en servidores Windows Server 2008, a través de la red en AD. A este proceso se le llama publicación. Cuando un objeto se publica en AD, la información del recurso se agrega a AD y entonces los usuarios pueden acceder a ese recurso a través de AD. El principal beneficio proporcionado por la publicación es que permite redes más grandes con recursos hospedados por servidores en sus diversos sitios, para que todos compartan su información de un punto central en la red. Los usuarios de la red pueden acceder a servidores AD, buscar, ubicar y acceder a recursos que necesitan desde de un solo punto de entrada de AD. Algunos objetos se agregan a AD automáticamente, como objetos de usuario, grupo y servidor. Sin embargo, es necesario que un administrador publique algunos otros objetos. Los dos elementos más comunes que la mayoría de los administradores se encontrarán agregando a AD son directorios e impresoras.
Publicación de directorio Para agregar un directorio a AD, primero debe crearse el directorio o carpeta en el Explorador de Windows o en Equipo y asegurarlo, a través de las fichas Compartir y Seguridad, en el cuadro de diálogo Propiedades del directorio, como se mues-
07 MATTHEWS 01.indd 201
1/14/09 1:40:47 PM
202
Windows Server 2008: Guía del Administrador
tra a continuación. Esta medida debe incluir seguridad en el nivel del recurso compartido y permisos NTFS asociados con el directorio, así como todos los archivos y subdirectorios en el recurso compartido.
SUGERENCIA Con la llegada de AD, nuevos métodos de organización y apertura de acceso a recursos de red se han añadido a las herramientas del administrador de red. Sin embargo, los métodos para administrar la seguridad de red usados con Windows NT todavía siguen activos.
Publicación de impresora Publicar una impresora en AD es un proceso simple que implementa varias características nuevas inexistentes antes de Windows 2000. En primer lugar, cuando existen varias impresoras en una red AD, los usuarios de esa red pueden buscar impresoras de acuerdo con características especiales, como color, resolución o uso de impresión dúplex. Para publicar una impresora en AD, primero debe instalarse y configurarse para funcionar en el servidor de impresión correspondiente. (El servidor de impresión, en este caso, puede ser cualquier servidor Windows Server 2008, Windows Server 2003, Windows 2000 o cualquier equipo Windows Vista, XP o 2000 Profesional al que está conectado la impresora.) En seguida de configurar una impresora, se comparte y aplica la seguridad apropiada (consulte el capítulo 13 para conocer más detalles sobre la manera de hacer esto) y hasta entonces está listo para publicarse en AD. En realidad, la acción predeterminada tomada por un servidor de impresión de Server 2008/2003/2000 y Windows Vista/XP es publicar cualquier impresora automáticamente, tras instalarla y compartirla. Una vez publicada, es posible administrar la impresora y acceder a ella en todos los servidores AD en el dominio, para ser incluida automáticamente en el catálogo global de los demás dominios en el bosque.
07 MATTHEWS 01.indd 202
1/14/09 1:40:48 PM
Capítulo 7:
Uso de Active Directory y dominios
203
En algunos casos, sobre todo cuando todavía ejecuta en modo mixto, los servidores de impresión ajenos a Server 2008/2003/2000 o Windows Vista/XP pueden estar hospedando impresoras muy importantes para el dominio. En este caso, un objeto se puede agregar al dominio AD mediante el URL de la impresora compartida. Esto se logra al utilizar Usuarios y equipos de Active Directory, en MMC, resaltar el dominio y elegir Acción|Nuevo|Impresora (como se muestra a continuación).
NOTA Los recursos compartidos en la red no siempre deben publicarse en AD. Sólo los objetos utilizados por gran parte de la red o que necesitan estar disponibles para posibles búsquedas deben publicarse. Los objetos publicados en AD incrementan el tráfico de replicación del dominio que es necesario utilizar, para asegurar que todos los servidores AD tengan la información más reciente. En redes grandes con varios dominios, el tráfico de replicación para sincronizar a los servidores de catálogo globales para cada dominio puede ser agobiante si no se planea bien.
La estructura de Active Directory Existen varias OU dentro de AD con varias funciones muy específicas en la red. Estas funciones se establecen por medio del esquema. Para administrar y configurar una red AD, necesita entender qué es cada una de estas OU y qué función juegan en la red. Active Directory está integrado por uno o más dominios. Cuando se instala el primer servidor AD, se crea el dominio inicial. Todos los dominios AD se asignan a sí mismos a dominios DNS, mientras los servidores DNS juegan una función crucial en cada dominio.
Dominios Los dominios están en el núcleo de todos los sistemas operativos basados en Windows NT/2000 Windows Server 2003/2008. En esta sección se revisa la estructura de los dominios en AD, además de los diversos factores que participan en la creación de varios dominios en una red. Los dominios en AD delinean una partición dentro de la red AD. La principal razón para crear varios dominios es la necesidad de particionar la información de red. Las redes más pequeñas tienen muy poca necesidad de más de un dominio, aun con una red dispersa entre varios sitios físicos, pues los dominios pueden cubrir varios sitios de Windows Server 2008. (El concepto de sitio se cubre con más detalle en páginas posteriores de este capítulo.) Sin embargo, todavía existen razones para utilizar varios dominios en una red:
07 MATTHEWS 01.indd 203
1/14/09 1:40:48 PM
204
Windows Server 2008: Guía del Administrador
▼
Proporcionan estructura de red A diferencia de los dominios NT heredados, no existe límite real para el número de objetos que se pueden agregar a un dominio AD ejecutado en modo nativo. Por esto, casi ninguna red necesita establecer dominios separados para cada unidad de negocio. Sin embargo, en algunas redes muy grandes, es posible que varios factores de directivas necesiten varios dominios. Por ejemplo, una compañía puede tener varias subsidiarias completamente autónomas. Un AD central compartido entre las compañías ofrece varios beneficios; tal vez un dominio compartido no tenga tanto sentido. En este caso, puede configurarse un dominio separado para cada compañía
■
Replicación Los servidores AD sólo contienen información de su propio dominio. Los servidores de catálogo global se requieren para publicar información entre dominios para el acceso de usuario. Esto significa que todos los objetos en un dominio se replican a todos los demás controladores de dominio, mientras los recursos externos se replican sólo entre servidores de catálogo global. En las redes grandes esparcidas entre varios vínculos WAN, cada sitio físico debe ser su propio dominio, para asegurar que el tráfico de replicación innecesario no consuma el limitado ancho de banda de los vínculos WAN
■
Seguridad y administración Aunque AD suministra la apariencia de una infraestructura de red central a los usuarios de la red, las capacidades administrativas y permisos de usuario no cruzarán particiones de dominio. Esta limitación se supera mediante el uso de grupos globales universales y relaciones de confianza, pero los dominios son realmente grupos administrativos separados que pueden o no estar vinculados
▲
Delegación de administración Aunque la delegación de autoridad administrativa en la red hace que varios dominios sean fáciles de manejar y Windows Server 2008 provee varias herramientas administrativas, todavía pueden darse beneficios para otras redes, dividiendo los dominios entre las líneas de autoridad y responsabilidad administrativa
Bosques Además de dominios, AD se compone de bosques, árboles y otras OU personalizadas. Cada una de estas OU existe en un nivel específico de la jerarquía de AD, empezando con el bosque contenedor más alto. Un bosque es el OU más alto en la red y puede contener cualquier número de árboles y dominios. Todos los dominios en un bosque comparten el mismo esquema y catálogo global. En esencia, los bosques son similares al contenedor raíz del DNS. Casi todas las organizaciones que implementan AD tendrán un solo bosque; en realidad, es posible que las organizaciones más pequeñas con un solo dominio incluso no se percaten de la existencia del bosque, pues todas las funciones parecen existir sólo en el nivel de dominio. En efecto, el bosque se utiliza como el directorio principal para toda la red. El bosque abarca todos los árboles, dominios y otras OU, además de toda la información publicada para todos los objetos en el bosque, como se verá a continuación.
07 MATTHEWS 01.indd 204
1/14/09 1:40:48 PM
Capítulo 7:
Uso de Active Directory y dominios
205
Bosque
Dominio
ab.com
xyz.com
Árbol
oeste.ab.com
Dominio
Árbol
este.xyz.com
oeste.xyz.com
ventas.este.xyz.com
Los dominios en un bosque se configuran automáticamente con confianzas transitivas de dos vías. Una relación de confianza permite a dos dominios compartir recursos de usuario y grupo para que los usuarios autentificados por un dominio de “confianza” accedan a recursos en el dominio de “confianza”. Una confianza transitiva, como se muestra en la figura 7-4, permite a las cuentas de usuario en un dominio utilizar una segunda relación de confianza del dominio, para así acceder a recursos en un tercer dominio. Los dominios NT heredados no soportan relaciones de confianza transitivas. En la figura 7-4, una cuenta de usuario del dominio A puede acceder a recursos en el dominio C, porque los dominios A y C tienen relaciones de confianza transitivas con el dominio B. Si en la figura 7-4 se estuviera ilustrando un dominio NT heredado, una relación de confianza tendría que establecerse directamente entre los dominios A y C, antes de acceder a los recursos. La creación de bosques adicionales en una red debe hacerse con mucho cuidado. Los bosques adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo cuando se agregan plataformas de mensajería compatibles con AD, como Exchange. Aparte de los problemas obvios de directiva, existen pocas razones para que una red tenga varios bosques.
Figura 7-4. Las relaciones de confianza transitivas permiten que el dominio A acceda a recursos en el dominio C.
07 MATTHEWS 01.indd 205
1/14/09 1:40:49 PM
206
Windows Server 2008: Guía del Administrador
Árboles Dentro de AD, los árboles se utilizan principalmente para agrupaciones administrativas y problemas de espacios de nombres. En esencia, un árbol es una colección de dominios que comparten un espacio de nombres contiguo y forman un entorno jerárquico. Por ejemplo, es posible que una organización como Microsoft divida su estructura DNS para que el nombre de dominio Microsoft.com no sea el nombre principal, utilizado en correos electrónicos y referencias de recurso. Por ejemplo, suponga que Microsoft se divide primero geográficamente, para que haya una OU de la costa oeste y una OU de la costa este, en el dominio Microsoft, mientras cada una de estas OU (o dominios secundarios) contiene un árbol para más divisiones, como Ventas y Soporte técnico, que puede dividirse más en Sistemas operativos y Aplicaciones. En este ejemplo, hasta ahora, Microsoft tendría dos árboles en su estructura DNS, costa este y costa oeste. Ambos dominios se dividen más, creando un posible FQDN para un servidor dentro del departamento de soporte técnico, como se muestra a continuación: Nombredeservidor.Sistemasoperativos.Soportetécnico.Costaoeste.Microsoft.Com
Hasta ahora, el análisis completo de los árboles en AD se ha concentrado totalmente en DNS, ya que AD debe coincidir con la estructura de dominio DNS en la red, aunque los servicios de directorio contenidos por los dos servicios sean independientes. En los casos en que una organización haya decidido implementar varios dominios y estos dominios existan en un esquema de asignación de nombres DNS contiguo, como se delineó antes, la red habrá formado un árbol que conecta varios dominios. Debido a que los requisitos de DNS para hospedar este dominio son muy grandes, casi todas las organizaciones que implementan árboles hospedan servicios DNS, sólo para el árbol interno de la red y mantienen una estructura DNS separada por servicios de hospedaje de Internet. Todos los dominios en un árbol están vinculados por relaciones de confianza transitivas bidireccionales, aunque los dominios sean independientes. Los dominios en un árbol, además de los dominios dentro de un bosque, comparten relaciones de confianza y un espacio de nombres (en el caso de un árbol, es un espacio de nombres contiguo), pero la independencia e integridad de cada dominio permanecen sin cambio. La administración de cada dominio, además de la replicación de directorios de cada dominio, se conduce de forma independiente y toda la información compartida entre los dominios se efectúa mediante relaciones de confianza y el catálogo global. Cuando existen varios árboles en un bosque, es posible que cada árbol mantenga su propio esquema de nombre independiente. Al ver al ejemplo de Microsoft, si sube en la jerarquía de DNS, el bosque Microsoft puede incluir a MSN.com y Microsoft.com. En este caso, no existe capa superior clara para la estructura de dominio AD. El primer dominio creado en el bosque se denomina dominio raíz del bosque. Existen dos grupos predeterminados en todo el bosque, existentes en el dominio raíz del bosque: ▼
Administradores de empresa
▲
Administradores de esquema
De forma adicional, el dominio raíz para cada árbol establece automáticamente una relación de confianza transitiva con el dominio raíz del bosque. Esta relación es resaltada en la figura 7-5, basada en la estructura AD hipotética de Microsoft. En este ejemplo, se agrega
07 MATTHEWS 01.indd 206
1/14/09 1:40:49 PM
Capítulo 7:
Uso de Active Directory y dominios
207
Microsoft Corporation bosque
Confianza transitiva bidireccional
ventas.msn.com
ventas.msnbc.com ventas.microsoft.com
noticias.msnbc.com
soporte.msn.com Árbol MSNBC Árbol MSN
este.it.microsoft.com oeste.it.microsoft.com Árbol de Microsoft
Figura 7-5. Las relaciones de confianza transitivas entre árboles en un bosque hipotético de Microsoft.
un tercer dominio, MSNBC.com, para resaltar más la confianza transitiva formada en la red. Microsoft.com es el dominio raíz del bosque en este ejemplo. SUGERENCIA Los dominios no se pueden mover entre bosques ni pueden eliminarse si contienen dominios secundarios. Por tanto, es mejor planear la red AD completa de principio a fin, antes de instalar el primer AD. Un poco de tiempo de planeación puede ahorrarle mucho tiempo de improvisación.
Confianza de acceso rápido Las relaciones de confianza transitivas existentes entre dominios en bosques AD pueden ser un tema muy engañoso. De manera específica, a veces son enormes la sobrecarga y tiempo necesarios para que las relaciones de confianza transitivas pasen todas las solicitudes de autentificación por toda una red. Retomando el ejemplo de Microsoft en la figura 7-5, suponga que los usuarios existentes en el grupo IT de Microsoft siempre inician sesión en el dominio Noticias.MSNBC.com para arreglar algunos problemas. Esto significa que todo el tráfico de inicio de sesión se sube primero al árbol MSNBC.com y después se baja al Microsoft.com, antes de ser autentificado por el dominio IT. En casos como éste, puede crearse una confianza
07 MATTHEWS 01.indd 207
1/14/09 1:40:49 PM
208
Windows Server 2008: Guía del Administrador
de acceso rápido para pasar la información directamente entre ambos dominios. Las confianzas de acceso rápido son transitivas de una vía, utilizadas para autentificación en redes más grandes con diversas estructuras de árbol. Una versión modificada del bosque de la figura 7-5 se muestra en la figura 7-6, con la confianza de acceso rápido necesaria.
Otras OU Las OU son simples contenedores que almacenan varios objetos y OU adicionales. En AD, algunas de estas OU se predefinen y sirven de funciones específicas en la red, como crear dominios. Otras OU giran en torno a las necesidades e intereses del administrador y no de los de AD. Dentro de AD, los administradores tienen la capacidad para crear su propia estructura de AD, bajo las OU predefinidas o que sirven a una función específica. Estas OU se utilizan para agrupar usuarios, impresoras o servidores para facilitar la administración.
Microsoft Corporation bosque
Confianza transitiva
ventas.msnbc.com noticias.msnbc.com ventas.microsoft.com Confianza de acceso rápido de una vía
este.it.microsoft.com
oeste.it.microsoft.com
Figura 7-6. Una confianza de acceso rápido crea cortocircuitos para las relaciones de confianza entre dominios.
07 MATTHEWS 01.indd 208
1/14/09 1:40:50 PM
Capítulo 7:
Uso de Active Directory y dominios
209
No existen muchas reglas en la creación de OU en AD, así que debe depender de guías generales y usos prácticos. Para empezar, recuerde que los usuarios tienen la capacidad de alcanzar AD para los recursos que necesitan utilizar. Esta función de búsqueda permite a los usuarios indicar el recurso específico o tipo de recurso que quieren ubicar, así que debe considerarse como el medio principal mediante el que la mayoría de usuarios operarán con AD. Por tanto, son las necesidades administrativas y no de los usuarios las que pueden determinar la creación de OU. Las directivas de grupo pueden configurarse en OU que permiten al administrador personalizar escritorio y permisos de usuarios y recursos en ese contenedor. De igual forma, la asignación de permisos a una OU completa permite a un administrador delegar fácilmente otros derechos administrativos, para especificar objetos en el dominio sin comprometer la seguridad de la red general.
Sitios Los dominios son la raíz de los servicios de directorio en Windows Server 2008. Todo lo que hay dentro de AD es sólo una colección de uno o más dominios. Incluso con la función fundamental de dominios definidos, aún es necesario atender muchos problemas. Por ejemplo, ¿cómo se maneja la sincronización entre dominios en dominios pequeños y grandes? ¿De qué manera un dominio grande cubre varias redes físicas? ¿Cómo se controla el tráfico de replicación entre dominios? Para las respuestas a estas preguntas, debe introducirse un nuevo concepto. Los dominios de Windows Server 2008 se dividen en unidades llamadas sitios. Los sitios pueden utilizarse para regular el tráfico de replicación a través de vínculos WAN más lentos y para utilizar varios métodos de conexión y agendas de replicación, a fin de asegurar la menor sobrecarga posible de ancho de banda en la red. En general, los sitios proporcionan varios servicios básicos para redes Windows Server 2008, entre ellos: ▼
Minimización del ancho de banda utilizado para replicación entre sitios
■
Direccionamiento de clientes a controladores de dominio en el mismo sitio, donde sea posible
■
Minimización de la latencia de replicación en el sitio
▲
Facilitación del programa para replicación entre sitios
En general, los sitios no están relacionados con dominios, aunque proporcionan una solución a muchos de los problemas que enfrentan los dominios ya presentados. Los sitios se relacionan con el diseño físico de la red, como oficinas, pisos y edificios, mientras al diseño del dominio lo puede afectar todo, desde las estructuras físicas y de directivas, hasta las necesidades administrativas de una red. Las organizaciones deben dividir un dominio en varios sitios, siempre que la red cubra una conexión inferior a la velocidad LAN, históricamente de 100 Mbps, pero incrementada a 1 000 Mbps. Debido a que se enrutarán casi todas las conexiones WAN, debe existir una subred IP separada en ambos lados de la conexión WAN. Por esta razón, Microsoft ha asignado casi toda la discriminación de sitios a subredes IP. Oficialmente, un sitio es una colección de sistemas de Windows Server 2008 “bien conectados” (que significa velocidad LAN o mejor) en la misma subred IP. Los sitios se administran y crean mediante la consola Sitios y servicios de Active Directory.
07 MATTHEWS 01.indd 209
1/14/09 1:40:50 PM
210
Windows Server 2008: Guía del Administrador
REPLICACIÓN DE ACTIVE DIRECTORY ENTRE SITIOS En AD, replicación significa copiar información de directorio entre controladores de dominio, para que todos tengan la misma información y cualquiera de los controladores de dominio pueda consultarse con el mismo resultado. En un dominio AD, cuatro categorías principales de información requieren replicación: configuración, esquema, dominio e información de catálogo global. Cada una de estas categorías se almacena en particiones de directorio separadas. Estas particiones son lo que replica cada servidor AD, utilizadas por diferentes servidores a través del bosque, dependiendo de su función en la red. Las siguientes tres particiones son almacenadas por todos los servidores AD en un bosque:
07 MATTHEWS 01.indd 210
▼
Partición de datos de configuración Mantiene información almacenada y utilizada por aplicaciones que usan AD y se replican en todos los dominios del bosque
■
Partición de datos de esquema Mantiene definiciones de los diferentes tipos de objetos, además de sus atributos de permisos, que se replican a través de todos los dominios en el bosque
▲
Partición de datos de dominio Mantiene información única del dominio en que reside el servicio. Contiene todos los objetos en el directorio para el dominio y sólo se replica en el dominio. Los datos en esta partición no se replican entre dominios y diferirán en gran parte entre dominio y dominio
1/14/09 1:40:50 PM
Capítulo 7:
Uso de Active Directory y dominios
211
El cuarto tipo de partición lo utilizan servidores de catálogo global, para permitir que se comparta información de directorio entre dominios: ▼
Partición de datos de dominio global Mantiene información acerca de todos los objetos del catálogo global, pero incluye detalles sobre algunos atributos del objeto, para permitir búsquedas rápidas de recursos en dominios externos, acceder a éstos y reducir el ancho de banda utilizado en replicaciones. Esta información se replica a todos los demás servidores de catálogo global en la red. Cuando un cliente en un dominio ajeno realmente necesita acceder a los recursos o atributos no replicados de un recurso, el cliente se dirige al dominio nativo del recurso
NOTA Casi toda la replicación entre controladores de dominio se hace en la red. Esto puede ser un problema si se trata de una red de ancho de banda reducido o si se agregan en un periodo breve varios controladores de dominio. Por esto, Windows Server 2008 permite que se respalden los archivos de la base de datos de Active Directory ya sea en cinta, CD, DVD o un disco duro extraíble, como fuente de una replicación inicial en un nuevo controlador o servidor de catálogo global.
Replicación de sitio interno Siempre habrá al menos un sitio en cada implementación de AD. Cuando se instala el primer controlador de dominio de Windows Server 2008, se crea un sitio llamado Default-Fist-SiteName. Luego, el nuevo controlador de dominio se añade por sí solo a ese sitio. Siempre que se añaden nuevos controladores de dominio a la red, primero se agregan automáticamente a este nuevo sitio; después pueden moverse. Sin embargo, existe una excepción a esto. Cuando se crea un nuevo sitio, se asignan una o más subredes IP a ese sitio. Después de que hay dos o más sitios, se revisarán las direcciones IP de todos los nuevos controladores de dominio añadidos al bosque y éstos se agregarán al sitio con una dirección IP coincidente. La información de directorio en un sitio se replica automáticamente, para asegurar que todos los controladores de dominio en el sitio tengan la misma información. De forma adicional, toda replicación entre sitios ocurre en un formato sin compresión, que consume más tráfico de red pero menos recursos del sistema. Por estas razones, un sitio siempre debe ser una red LAN de conexiones de alta velocidad (10 MB o más). Cuando existen varios dominios en un solo sitio, sólo ocurre la replicación entre controladores de dominio en un dominio dado. Sin embargo, el tráfico de replicación entre servidores de catálogo global también se presenta en el sitio bajo demanda, sin compresión o con ambas opciones. En la figura 7-7 se muestra el tráfico de replicación de un solo sitio entre dos dominios.
Replicación de sitio a sitio Cuando decide dividir una red en varios sitios, se presentan varios problemas nuevos. Estos problemas y la configuración necesaria para que varios sitios funcionen son el tema del resto de esta sección.
07 MATTHEWS 01.indd 211
1/14/09 1:40:50 PM
212
Windows Server 2008: Guía del Administrador
Figura 7-7.
Tráfico de replicación entre dos dominios en el mismo sitio.
Es necesario adherirse a dos reglas principales, siempre que se planea un diseño de varios sitios, para minimizar los posibles problemas: ▼
Los sitios siempre deben dividirse en regiones geográficas. Cuando dos o más LAN se conectan mediante vínculos WAN, cada LAN debe representar su propio sitio
▲
Siempre que sea posible, cada sitio debe tener su propio AD y servidor de catálogo global. En algunas redes pequeñas, este servidor puede ser el único del sitio; en tal caso también debe servir como servidor DNS y DHCP. Esto incrementará la tolerancia a fallas, además del rendimiento del cliente, mientras disminuye la utilización del ancho de banda WAN
Conectividad de sitio Los sitios se conectan mediante vínculos de sitio, que son controladores de dominio configurados para servidor, como una conexión a un sitio particular. Los vínculos de sitios deben configurarse de forma manual usando la consola Sitios y servicios de Active Directory. Cuando se crea un vínculo de sitio, el administrador tiene varias opciones de configuración. La primera de estas opciones es la agenda de replicación. Un administrador puede determinar el momento en que debe ocurrir la replicación a través de un vínculo de sitio particular. Cuando configura una agenda de replicación, un administrador establecerá costo, disponibilidad y frecuencia de replicación asociada con este vínculo de sitio. Cuando se crea y configura el vínculo de sitio, AD crea automáticamente un objeto de conexión, que utilizará la información proporcionada por el vínculo de sitio para transferir la información entre dominios.
07 MATTHEWS 01.indd 212
1/14/09 1:40:51 PM
Capítulo 7:
Uso de Active Directory y dominios
213
Como opción y diseño predeterminados, todos los vínculos de sitio son transitivos, lo que permite a los sitios usarlos de la misma forma que las confianzas transitivas. Esto significa que un sitio puede replicar sus cambios a otro sitio por medio de un conector a un tercer sitio, siempre y cuando éste sea una conexión válida a ambos sitios. En algunas organizaciones donde varias oficinas de campo se conectan a las oficinas centrales, este tipo de replicación permite la mayor eficiencia. Todos los sitios replican su información al sitio de la oficina central que, a su vez, replica la información de regreso a las otras oficinas de campo.
Protocolos Existen dos opciones de protocolo en cualquier red para conectar sitios. Sin embargo, ambas opciones son protocolos en la pila de protocolos de TCP/IP. No existe forma de conectar dos sitios con algo distinto de IP. ▼
RPC (replicación de IP) La llamada a procedimiento remoto (RPC, Remote Procedure Call) es un protocolo orientado a conexión basado en IP, en la base de las instalaciones Exchange heredadas. RPC es rápida y confiable cuando se utiliza en redes con conexión amigable (las redes que permiten a los paquetes recorrer la misma ruta y llegar en secuencia al destino). Sin embargo, RPC es menos que confiable en redes de malla grandes, como Internet. La comunicación RPC es aún el método de replicación predeterminado para servidores en el mismo sitio, además de serlo para comunicación fuera del sitio, para otros servicios de Microsoft como Exchange
▲
SMTP Una característica introducida con Windows 2000 y Exchange 2000 es la capacidad de conectar sitios usando conectores SMTP. SMTP no puede usarse para replicación entre servidores en el mismo sitio (aunque es la opción predeterminada para Exchange Server). SMTP no puede replicar la partición de dominio y, por tanto, sólo es útil para vincular dos sitios que también son dominios separados. SMTP puede pasar de forma muy eficiente esquema, configuración y particiones de catálogo global
NOTA SMTP es, por naturaleza, muy inseguro. Todos los mensajes SMTP se envían en formatos que casi todas las herramientas básicas de espionaje pueden interpretar fácilmente. Por esto, el uso del protocolo SMTP para conectar dos sitios requiere que se instale y configure en la red una autoridad de certificados de empresa. Esto permite que todo el tráfico SMTP generado por AD se cifre al utilizar el menos cifrado de 56 bits.
Detección y resolución de colisiones ¿Qué pasa cuando el mismo objeto se modifica en dos puntos diferentes de la red al mismo tiempo, o dos objetos con el mismo nombre se crean al mismo tiempo en la red? Incluso en las redes más sencillas, si existen dos controladores de dominio, ambos directorios que existen en cada controlador de dominio no serán exactamente iguales en todos los momentos, porque la replicación toma tiempo. Las versiones heredadas de NT atienden este problema al permitir que, en cualquier momento, sólo exista una copia de lectura/escritura del directorio en la red. Esto significa que sólo un servidor puede hacer todos los cambios y que éstos se propaguen a copias de sólo lectura en directorios que mantienen los controladores de dominio restantes.
07 MATTHEWS 01.indd 213
1/14/09 1:40:51 PM
214
Windows Server 2008: Guía del Administrador
Cuando ocurre un cambio a un objeto antes de haber replicado completamente un cambio anterior, ocurre una colisión de replicación. AD puede rastrear versiones de los objetos al buscar cada número de su versión. Cuando un objeto cambia, se incrementa su número de versión, así que cuando un servidor recibe una actualización, puede comparar el número de versión del objeto entrante con el existente. Cuando el número de versión del objeto existente es menor que el entrante, la replicación continúa y todo se considera correcto. Ocurre una colisión cuando el número de versión del elemento existente es igual o mayor al entrante. En este caso, AD compara el sello de tiempo del objeto entrante con el existente, para determinar cuál se quedará. Éste es el único caso en que usará el tiempo en la replicación. En situaciones en que el número de versión entrante es inferior al de la existente, el objeto de replicación se considera averiado y descarta.
Controladores de dominio de sólo lectura En Windows Server 2008, cuando se crea un nuevo dominio, tiene la opción de crear un controlador de dominio de sólo lectura (RODC). Un RODC brinda todos los beneficios de un DC local, como inicios de sesión más rápidos y búsquedas con un índice local, pero dependerá del tráfico de la replicación de otros DC para su información. No puede insertarse información en un RODC ni replicar su información a otro DC. Esto es muy útil en oficinas remotas que tal vez no tengan un administrador u otros casos donde la seguridad física del RODC es cuestionable. Windows Server 2008 proporciona una instalación “por etapas” de RODC, en que se puede preparar un CD o DVD con toda la información de configuración de un RODC, para que alguien que no sea administrador pueda usar más adelante, y así realizar la instalación RODC (consulte el capítulo 4, “Servicios de instalación remota”).
RESUMEN DE ACTIVE DIRECTORY Active Directory es una de las características más importantes de Windows Server 2008. AD es un servicio de directorio basado en el esquema de directorio X.500 que contiene varios objetos y OU, predefinidos y preconfigurados. Gran parte de cualquier trabajo del administrador de Windows Server 2008 será la administración y configuración de objetos especiales y OU en un bosque AD. En forma adicional, el espacio de nombres AD debe coincidir con el del dominio DNS y, en los casos en que no coinciden dominios AD y DNS de Internet para la compañía, deben mantenerse dominios DNS separados, pues AD requiere que DNS permita la conectividad de cliente. Si se usa de forma correcta, AD puede ser de muchísimo valor y confiabilidad para una red, además de representar una disminución de sobrecarga administrativa asociada con el mantenimiento diario de la red. Sin embargo, si se configura de forma incorrecta o se planea mal, AD puede incrementar en gran medida la carga de trabajo del administrador y disminuir la satisfacción del comprador de la red. Cuando trate con AD, un poco de planeación y diseño puede ahorrarle mucho trabajo y dolor.
07 MATTHEWS 01.indd 214
1/14/09 1:40:51 PM
PARTE IV Comunicaciones e Internet
215
08 MATTHEWS 01.indd 215
1/14/09 2:22:14 PM
08 MATTHEWS 01.indd 216
1/14/09 2:22:14 PM
CAPÍTULO 8 Comunicaciones y servicios de Internet
217
08 MATTHEWS 01.indd 217
1/14/09 2:22:14 PM
218
Windows Server 2008: Guía del Administrador
L
as redes actuales rebasan definitivamente los alcances de la red de área local (LAN, Local Area Network) para incluir Internet, además de utilizar éste y otras formas de comunicación para acceder a su LAN u otros equipos. En esta sección del libro se cubren las maneras en que usted y su organización puede usar LAN para conectarse con otros o permitir que otros se conecten con usted. En el capítulo 8 se ofrece una revisión general de comunicaciones y cómo configurar distintas características de comunicación de Windows Server 2008. En seguida se analiza cómo establecer una conexión de marcado telefónico y usarla con el servicio de acceso remoto (RAS, Remote Access Service) y cómo se configura y administra. Este capítulo concluye al explicar cómo configurar y usar una conexión de Internet con Internet Explorer para acceder a Web. En el capítulo 9 se revisan servicios de información de Internet (IIS, Internet Information Services) y cómo se configura y administra. En el capítulo 10 se describe la red privada virtual (VPN, Virtual Private Network), al usar Internet para conectarse a una LAN remota, con un alto grado de seguridad, mientras en el capítulo 11 se analizan servicios de Terminal Server y de aplicación, el equivalente al método —con décadas de antigüedad— para acceder a un servidor de tiempo compartido con una terminal “tonta” (dumb). La comunicación puede incluir un módem u otro dispositivo para conectar un solo equipo a un método de transmisión o utilizar un enrutador u otro dispositivo para conectar una red a un método de transmisión. Las comunicaciones pueden establecerse con cables de cobre o fibra óptica, microondas, comunicación inalámbrica de celular, tierra o transmisión satelital. Windows Server 2008 incluye varios programas que controlan o utilizan comunicaciones; entre ellos se encuentran Internet Explorer, para exploración Web; el Asistente para nueva conexión, para Internet y otras conexiones, así como el cuadro de diálogo Opciones de teléfono y módem, para establecer y administrar conexiones. Además, Windows Server 2008 incluye programas para configurar y administrar redes RAD en líneas de comunicaciones. Las comunicaciones pueden dividirse en: ▼
Conexiones de telefonía distintas de Internet entre equipos
▲
Conexiones con Internet y mediante éste
CONFIGURE Y USE CONEXIONES TELEFÓNICAS La telefonía (líneas telefónicas, sus conmutadores y terminaciones) se ha usado para conectar equipos por algún tiempo. El método original era utilizar un módem (abreviatura de “modulador-demodulador”) para convertir una señal digital (patrones de 1 y 0) en un equipo a una señal análoga (fluctuaciones actuales) en una línea telefónica y luego utilizar un segundo módem en el otro extremo, para convertir la señal análoga de nuevo a digital y utilizarla en el equipo conectado. Los módems pueden ser internos (dentro del equipo), en cuyo caso la línea telefónica se conecta al equipo, o externos, donde la línea telefónica se conecta a un módem y éste, a su vez, a un puerto serial en el equipo. Los módems rápidos reciben datos hasta 56 Kbps (miles de bits por segundo) y envían datos a 33.6 Kbps. Durante casi diez años, las compañías telefónicas han ofrecido varias formas de señales digitales completas sobre líneas telefónicas, para no depender de un módem, como recién se describió (todo lo que necesita es una conexión entre línea digital y equipo). Dos formas
08 MATTHEWS 01.indd 218
1/14/09 2:22:14 PM
Capítulo 8:
Comunicaciones y servicios de Internet
219
de servicio de telefonía digital son la red digital de servicios integrados (ISDN, Integrated Services Digital Network) y la línea de suscripción digital (DSL, Digital Subscriber Line). ISDN fue el primer servicio digital, costoso y relativamente lento (una velocidad máxima de 128 Kbps) comparado con DSL. Existen varias formas de DSL; la más común es la línea de suscripción digital asimétrica (ADSL, Asymmetric Digital Subscriber Line), en que se reciben datos hasta en 5 Mbps y se envían hasta en 1 Mbps. Con mucha frecuencia, una línea ISDN o DSL termina en un enrutador que se conecta directamente a su red y no a su equipo. Sin embargo, en páginas anteriores de este capítulo verá cómo un equipo con Windows Server 2008 puede actuar como enrutador para líneas que terminan en éste a través de un adaptador ISDN o DSL. NOTA A veces, un adaptador ISDN o DSL se denomina “módem”, pero no es un convertidor analógico-digital, característica principal del acrónimo “módem”. Por tanto, en este libro no se incluye en las exposiciones sobre módems.
Instale un módem Existen varias formas de instalar soporte a módem en Windows Server 2008. Durante la instalación del sistema operativo o la primera vez que intente conectarse a Internet, el soporte a un módem se instalará automáticamente si tiene un módem Plug and Play. Si configura una conexión de marcado telefónico y no tiene instalado el soporte al módem, se instalará automáticamente, una vez más con un módem Plug and Play. Sin embargo, aquí revisaremos cómo instalar un módem y lo que necesitará hacer si no se ha instalado en forma automática. En seguida, también veremos cómo instalarlo con una conexión de Internet. Para instalar un módem, por supuesto, debe tener uno integrado o conectado a su equipo. Un módem integrado se ha construido en la tarjeta “madre” o principal de su equipo. Un módem conectado es una tarjeta conectada en una ranura de expansión de la tarjeta madre. Ambos módems, integrado y conectado, se consideran internos. Un módem externo es una pequeña caja conectada vía puerto serial o de comunicaciones (COM) fuera de su equipo. Ambos módems, interno y externo, pueden tener interruptores o jumpers que necesitan configurarse, o tal vez sean Plug and Play, lo que significa que carecen de interruptores o jumpers (el software los configura automáticamente). Cualquiera que sea el tipo de módem a su alcance, las instrucciones incluidas con él deben indicarle si es interno o externo y cómo conectarlo y configurarlo. Con un módem físico conectado a su equipo (y encendido, si es externo), use las siguientes instrucciones para instalarlo en Windows Server 2008:
08 MATTHEWS 01.indd 219
1.
En Windows Server 2008, haga clic en Inicio|Panel de control, y haga doble clic en Opciones de teléfono y módem. La primera vez que hace esto se abre el cuadro de diálogo Información de la ubicación. Si ve el cuadro de diálogo Opciones de teléfono y módem, vaya al paso 3.
2.
Haga clic en la flecha hacia abajo y seleccione el país en que está. Escriba el código de área o ciudad y, si es necesario, escriba el código de la compañía de teléfonos y número, para acceder a una línea externa. Si su teléfono requiere marcado telefónico por pulsos, haga clic en éste. Por último, haga clic en Aceptar. Se abrirá el cuadro de diálogo Opciones de teléfono y módem.
1/14/09 2:22:15 PM
220
Windows Server 2008: Guía del Administrador
08 MATTHEWS 01.indd 220
3.
Haga clic en la ficha Módems. Si se muestra Módem desconocido, selecciónelo y haga clic en Quitar. Si muestra un módem como el que se presenta a continuación, ya tiene uno instalado y puede pasar a la siguiente sección.
4.
Haga clic en Agregar. Se indica que Windows intentará detectar su módem, recordándole que conecte y encienda el módem, así como salir de todos los programas que hagan uso de él, si los hay. Haga clic en Siguiente. Si no encuentra un módem, haga clic en Siguiente para mostrar una lista de posibles módems. Si sólo se muestra el módem correcto, vaya al paso siguiente. Si se muestran varios y uno es correcto mientras los demás no, quite la marca de los incorrectos y continúe. Si se muestra un módem incorrecto o desconocido, selecciónelo y haga clic en Cambiar.
5.
De la lista de módems, elija el fabricante correcto de la lista a la izquierda y el modelo correcto de la lista en la derecha y haga clic en Siguiente. Si su módem no está en la lista pero tiene un disco, haga clic en Usar disco, inserte el disco, seleccione la unidad, haga clic en Aceptar, seleccione fabricante y modelo y haga clic en Aceptar.
6.
Seleccione el puerto COM en que se encuentra el módem y haga clic en Siguiente. Windows empieza a instalar su módem. Si está usando un módem antiguo, tal vez se indique que el controlador no tiene una firma digital. Si es así, haga clic en Sí para continuar. Por último, se le indica que su módem se ha instalado correctamente. Haga clic en Finalizar.
7.
De regreso en el cuadro de diálogo Opciones de teléfono y módem, seleccione su nuevo módem instalado y haga clic en Propiedades. En el cuadro de diálogo Propiedades, haga clic en la ficha Diagnóstico y después en Consultar módem. Se le
1/14/09 2:22:15 PM
Capítulo 8:
Figura 8-1.
Comunicaciones y servicios de Internet
221
Comandos y respuestas que son resultado de ejecutar el diagnóstico del módem.
indicará que el proceso de consulta tardará varios segundos. Si su módem se instaló correctamente, verá un conjunto de comandos y respuestas, como se muestra en la figura 8-1. No todas las respuestas deben ser positivas. Lo importante es que Windows Server 2008 se comunica con el módem. Si no obtiene el conjunto de comandos y respuestas, tal vez obtendrá algún tipo de mensaje de error, como Módem no encontrado, que tiene tres posibles causas: el módem no opera correctamente, está instalado el controlador incorrecto o utiliza el puerto COM incorrecto. En general, puede saber si el puerto COM es correcto determinando cuál es el que detectó Windows. Tal vez no detecte el tipo de módem correctamente, pero suele detectar el puerto que tiene un módem conectado. Para encontrar el fabricante y el modelo correctos para el controlador, tal vez necesite ver el módem real abriendo el equipo físicamente. Para obtener un controlador que no figura en la base de datos de controladores de Windows, use otro equipo para conectarse a Internet, busque el sitio Web del fabricante del módem y descargue el controlador correcto. Ponga ese controlador en un disco y llévelo al equipo en que está instalando. Si está seguro de que puerto y controlador son correctos, entonces es probable que el módem no funcione bien. 8.
08 MATTHEWS 01.indd 221
Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, y otra vez en Aceptar, para cerrar el cuadro de diálogo Opciones de teléfono y módem.
1/14/09 2:22:16 PM
222
Windows Server 2008: Guía del Administrador
Establezca una conexión de marcado telefónico El establecimiento de una conexión de marcado telefónico en Windows Server 2008 identifica un destino particular al que desea marcar (un número telefónico que se marca y una conexión que se establece con su módem). En los siguientes pasos, en que se supone ya ha configurado un módem (como hizo en la sección anterior), se muestra cómo establecer una conexión de marcado telefónico (si trabaja en un controlador de dominio, puede crear una conexión de marcado telefónico en esta sección o crear un servicio de acceso remoto en la siguiente sección, “Configure el servicio de acceso remoto”): 1.
2.
Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Configurar una conexión o red. Se abre el cuadro de diálogo Configurar una conexión o red. Haga clic en Configurar una conexión de acceso telefónico, luego en Siguiente. Como se muestra en la figura 8-2, escriba el número telefónico que será el destino de la conexión. Inserte su nombre de usuario y contraseña. Si quiere desplegar los caracteres de la contraseña, haga clic en Mostrar caracteres y si quiere que el equipo recuerde la contraseña para no volver a ingresarla, haga clic en Recordar esta contraseña.
Figura 8-2. Necesita número telefónico, nombre de usuario y contraseña para una conexión de marcado telefónico.
08 MATTHEWS 01.indd 222
1/14/09 2:22:16 PM
Capítulo 8:
Comunicaciones y servicios de Internet
223
3.
Inserte un nombre para la conexión de marcado telefónico y, si quiere crear esta conexión para que la use cualquiera, haga clic en Permitir que otras personas usen esta conexión.
4.
Haga clic en Conectar. Verá un cuadro de diálogo mostrando el progreso de la conexión. Al momento de completarse, con un número telefónico, usuario y contraseña correctos, debe conectarse al equipo que llamó.
NOTA En seguida de la configuración inicial para la conexión de marcado telefónico, puede conectarse utilizándola de nuevo al hacer clic en Inicio | Panel de control, hacer doble clic en Centro de redes y recursos compartidos, clic en Conectarse a una red y doble clic en esta conexión. Si va a las propiedades del menú Inicio, puede poner Conectar a en el menú Inicio, con lo que ahorrará varios clics.
Una conexión de marcado telefónico puede usarse con RAS, que se analiza a continuación.
CONFIGURE EL SERVICIO DE ACCESO REMOTO El servicio de acceso remoto ofrece acceso a una LAN desde una línea de marcado, línea concesionada u otra conexión. RAS actúa como host o servidor para marcado telefónico u otro invitado o conexión de red. Las personas que viajan mucho y cuentan con equipos portátiles que incluyen una conexión de marcado telefónico son quienes suelen utilizar ésta desde una ubicación remota para conectarse mediante RAS a la LAN de su oficina. Para configurar RAS, se requieren tres tareas separadas: agregar una función de servidor RAS, habilitar y configurar RAS, además de configurar el puerto y directivas para dar soporte a RAS.
Agregue un servicio de enrutamiento y acceso remoto La primera tarea es añadir una función Servicios de enrutamiento y acceso remoto al servidor. 1.
Haga clic en Inicio|Administrador del servidor. Bajo Resumen de funciones, haga clic en Agregar funciones. Se abrirá el Asistente para agregar funciones. Haga clic en Siguiente.
2.
Haga clic en Servicios de acceso y directivas de redes, después haga clic en Siguiente. Lea el mensaje de introducción y haga clic de nuevo en Siguiente.
3.
Haga clic en Servicios de enrutamiento y acceso remoto, como se muestra en la figura 8-3, haga clic en Siguiente y luego en Instalar. El proceso puede tomar varios minutos. Cuando haya terminado, se le indicará que la instalación tuvo éxito. Haga clic en Cerrar. De regreso al Administrador del servidor verá, bajo Funciones, Servicios de acceso y directivas de red, pero tendrá una “X” en un círculo rojo, que indica que no se ha habilitado y activado.
08 MATTHEWS 01.indd 223
1/14/09 2:22:17 PM
224
Windows Server 2008: Guía del Administrador
Figura 8-3.
Selección de Servicios de enrutamiento y acceso remoto como función de servidor.
Habilite y configure RAS La segunda tarea consiste en habilitar y configurar RAS, que se hace con el Asistente para instalación del servidor de enrutamiento y acceso remoto. 1.
08 MATTHEWS 01.indd 224
Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. En el panel de la izquierda, haga clic en SERVIDOR (local).
1/14/09 2:22:18 PM
Capítulo 8:
225
2.
Haga clic en el menú Acción, luego en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acceso remoto.
3.
Haga clic en Siguiente y asegúrese de que esté seleccionado Acceso remoto (acceso telefónico o red privada virtual), como se muestra en la figura 8-4.
4.
Haga clic en Siguiente. Se le pregunta si quiere que RAS use VPN, Acceso telefónico o ambos; haga clic en Acceso telefónico y después en Siguiente. Si tiene más de una conexión de red, elija la que quiera para clientes RAS asignados y haga clic en Siguiente.
5.
Se le pregunta cómo quiere que se asignen las direcciones; deje la opción predeterminada Automáticamente y haga clic en Siguiente.
6.
Cuando se le pregunte si quiere usar Enrutamiento y acceso remoto para autentificar solicitudes de conexión o usar el servidor RADIUS, deje la opción predeterminada No y use Enrutamiento y acceso remoto para autentificar las solicitudes de conexión, haga clic en Siguiente.
Figura 8-4.
08 MATTHEWS 01.indd 225
Comunicaciones y servicios de Internet
Configuración del servicio de acceso remoto.
1/14/09 2:22:18 PM
226
Windows Server 2008: Guía del Administrador
7.
Por último, se le muestra un resumen de sus configuraciones, como el que se presenta a continuación. Seleccione si quiere ver las páginas de Ayuda sobre la organización de un servidor de acceso remoto y haga clic en Finalizar.
En el panel de la izquierda, el servidor Enrutamiento y acceso remoto ahora debe tener una flecha verde hacia arriba, indicando que está habilitado.
NOTA Si está configurando RAS en un servidor en Active Directory que no es el controlador de dominio primario y usted no es un administrador de dominio, un administrador de dominio debe agregar el servidor en que trabaja al grupo Servidores RAS y IAS en la carpeta Computers, de la ventana Usuarios y equipos de Active Directory, incluyendo la lista de servidores en Enrutamiento y acceso remoto, en el controlador de dominio primario. Para dar soporte a la confianza de mensajes DHCP de clientes de acceso remoto, el administrador de dominio debe configurar las propiedades del Agente de retransmisión con la dirección IP de su servidor DHCP.
08 MATTHEWS 01.indd 226
1/14/09 2:22:18 PM
Capítulo 8:
Comunicaciones y servicios de Internet
227
Configure puerto y directivas La tarea final consiste en configurar puerto y directivas de red en el servidor para dar soporte a RAS. 1.
En el panel de la izquierda, bajo el servidor de Enrutamiento y acceso remoto, haga clic derecho en Puertos y seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.
2.
Haga clic en su módem (su puerto de marcado telefónico) y haga clic en Configurar. Se abrirá el cuadro de diálogo Configurar dispositivo.
3.
Haga clic en Conexiones de acceso remoto (sólo de entrada), escriba el número telefónico para este dispositivo, como se muestra a continuación, haga clic en Aceptar y después nuevamente en Aceptar.
4.
De regreso en la ventana Enrutamiento y acceso remoto, haga clic derecho en Directivas y registro de acceso remoto y seleccione Iniciar NPS. Se abrirá Servidor de directivas de redes.
5.
Haga clic en Directivas de red. En el panel de la derecha, haga clic derecho en Conexiones al servidor de Enrutamiento y acceso remoto de Microsoft y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Conexiones al servidor de Enrutamiento y acceso remoto de Microsoft.
6.
Ya debe estar marcada la casilla de verificación Directiva habilitada. Si no, haga clic en ésta. Haga clic en Conceder acceso. Para hacer la vida más sencilla, pero menos segura, puede hacer clic en Omitir propiedades de marcado de cuentas de usuario. Bajo Tipo de servidor de acceso a la red, haga clic en la flecha hacia abajo y seleccione Servidor de acceso remoto (VPN-Dial up). Su cuadro de diálogo debe parecerse al de la figura 8-5.
7.
Haga clic en Aceptar y cierre las ventanas Servidor de directivas de redes, Enrutamiento y acceso remoto y Administrador del servidor que ya están abiertas.
NOTA También debe tener al cliente que llega en la configuración del servidor RAS con una cuenta de usuario en el servidor. Consulte el capítulo 6.
08 MATTHEWS 01.indd 227
1/14/09 2:22:19 PM
228
Windows Server 2008: Guía del Administrador
Figura 8-5.
Sus directivas de red deben permitir el acceso a Servicio de acceso remoto.
Utilice el servicio de acceso remoto Con una conexión de marcado en el equipo cliente o invitado (consulte “Establezca una conexión de marcado telefónico”, en páginas anteriores de este capítulo, para este ejemplo, equipo portátil en una ciudad remota ejecutando Windows Vista) y un servidor de acceso remoto configurado y habilitado en el equipo host (consulte las secciones anteriores, para este ejemplo, servidor en la oficina casera ejecutando Windows Server 2008), puede usar RAS con estos pasos: 1.
08 MATTHEWS 01.indd 228
Inicie sesión en el cliente de marcado telefónico (aquí el equipo portátil con Vista) cuyo nombre de usuario y contraseña es posible autentificar con RAS. Después, en el cliente, haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Conectarse a una red y dé doble clic en la conexión de marcado telefónico que quiere usar. Se abre el cuadro de diálogo Conectar a Conexión de acceso telefónico.
1/14/09 2:22:19 PM
Capítulo 8:
Comunicaciones y servicios de Internet
229
2.
Ingrese nombre de usuario y contraseña apropiados, haga clic en el botón Marcar. Verá mensajes indicando que se marca el número ingresado, se revisa número de usuario y contraseña, se registra el equipo en la red y se completó la conexión. Haga clic en Aceptar. El icono de conexión aparecerá en la parte derecha de la barra de tareas.
3.
Utilice la conexión al abrir Explorador de Windows|Mis sitios de red|Toda la red|Red de Microsoft Windows y finalmente los dominios o grupos de trabajo, equipos y recursos compartidos a los que quiere acceder.
4.
Transfiera información a través de la conexión de marcado telefónico de la misma forma en que transfiere cualquier información en el Explorador de Windows, ubique la carpeta de destino en el panel de la izquierda, escoja los archivos o carpetas que se transferirán en el panel de la derecha, después arrastre la información del panel de la derecha a la carpeta en el panel de la izquierda.
5.
Cuando haya terminado de usar la conexión RAS, puede terminarla al hacer doble clic en el icono de la conexión, en la barra de tareas y clic en el icono de la conexión, en la ventana Conectarse a una red (que se abrirá en el Centro de redes y recursos compartidos), después haga clic en Desconectar.
Mientras una conexión de marcado telefónico sea operable, podrá verla en la ventana Enrutamiento y acceso remoto del servidor; así sabrá quién es al abrir el servidor y hacer clic en Clientes de acceso remoto, en el panel de la derecha, como se ilustra en la figura 8-6. Si da clic derecho en el panel de la derecha y clic en Estado, verá cuánta información se ha transferido; podrá desconectar al usuario, si así se desea.
08 MATTHEWS 01.indd 229
1/14/09 2:22:20 PM
230
Windows Server 2008: Guía del Administrador
Figura 8-6.
Puede ver quién usa el servidor RAS.
CONFIGURE Y DÉ MANTENIMIENTO AL ENRUTADOR DE WINDOWS SERVER 2008 Los enrutadores son dispositivos de red usados para unir dos redes separadas e independientes, como una LAN e Internet. Los enrutadores operan en la capa de red (la tercera) del modelo de red de interconexión de sistemas abiertos (OSI, Open Systems Interconnection) y, por tanto, utiliza la dirección IP completa, que consta de los componentes de red y host (consúltense las secciones del capítulo 5, “El modelo OSI” y “Enrutadores”). Un enrutador ve todo el tráfico en ambas redes, pero sólo transfiere los paquetes que se direccionan específicamente a la otra red. Los enrutadores también proveen una función de traducción de direcciones de red (NAT, Network Address Translation). NAT permite que su LAN use un conjunto de direcciones IP que no pueden usarse en Internet, como 10.0.0.9, pero cuando los usuarios de la LAN acceden a Internet, se les asigna una dirección que puede usarse en Internet, mientras el enrutador hace la traducción entre ambos. Por último, puede usar un enrutador para conectar dos redes que utilizan diferentes protocolos, como el de control de transmisión/protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) e intercambio de paquete entre red (IPX, Internetwork Packet eXchange). En general, un enrutador es un dispositivo (o “caja”) electrónico independiente separado del equipo, al que se conectan dos redes. Una de las conexiones de red puede ser una conexión telefónica (línea DSL, ISDN o T1) y la otra una conexión Ethernet 10/100BaseT estándar; también pueden ser dos conexiones Ethernet u otra combinación. Windows Server 2008 suministra algunas de las capacidades del enrutador; las más importantes son funciones para conectar una LAN a Internet o red de área amplia (WAN, Wide Area Network), NAT y conectar dos redes con protocolos distintos. Para funcionar, Windows Server 2008 debe estar conectado a ambas redes (por ejemplo, Internet y LAN). La conexión LAN es sólo
08 MATTHEWS 01.indd 230
1/14/09 2:22:20 PM
Capítulo 8:
Comunicaciones y servicios de Internet
231
la tarjeta de red (NIC, Network Interface Card) estándar, mientras la conexión a Internet o WAN es algún tipo de terminal de línea telefónica en el equipo o directamente conectado a él, como un módem, adaptador ISDN o terminal DSL.
Configure el enrutador de Windows Server 2008 Si quiere configurar una conexión de servidor a Internet capaz de ser usada en toda la red, entonces el servidor que quiere que sea el enrutador deberá tener conexiones de comunicaciones y LAN. Además, debe ser un administrador o tener privilegios de Administrador. Entonces podrá configurar tal función de enrutador a través de la ventana Enrutamiento y acceso remoto. Siga estos pasos: SUGERENCIA Si no está utilizando DHCP, necesita configurar la conexión compartida a Internet de Conexiones de red. Consulte la siguiente sección “Dé mantenimiento a un enrutador de Windows Server 2008”.
08 MATTHEWS 01.indd 231
1.
Si aún no está abierta la ventana Enrutamiento y acceso remoto, haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. Si ya configuró RAS de acuerdo con las páginas anteriores de este capítulo y está en ejecución, debe deshabilitarlo para instalar Servidor de conexión a Internet, al hacer clic en Deshabilitar Enrutamiento y acceso remoto. Haga clic en Sí cuando se le pregunte si quiere continuar. Si no configuró RAS antes, necesita habilitar la función de servidor Servicios de Enrutamiento y acceso remoto, como se describió en “Agregue un servicio de enrutamiento y acceso remoto”, en páginas anteriores de este capítulo.
2.
Haga clic derecho en Servidor de Enrutamiento y acceso remoto y, en cualquier caso, haga clic en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente.
3.
Haga clic en Traducción de direcciones de red (NAT) y en Siguiente. Si quiere usar una conexión de Internet existente, haga clic en Utilizar esta interfaz pública para conectarse a Internet (si su conexión de Internet tiene enrutador propio, como es el caso con DSL, esta opción estará atenuada). Si quiere crear una nueva conexión a Internet de marcado telefónico, como la que podría usarse con un módem, haga clic en Crear una conexión a Internet de marcado a petición y, en cualquier caso, haga clic en Siguiente. Para crear una interfaz de marcado a petición, haga clic de nuevo en Siguiente, para abrir el Asistente para interfaz de marcado a petición, donde necesita hacer clic en Siguiente.
4.
Acepte el nombre predeterminado de Enrutador remoto o escriba el nombre que quiera usar para la interfaz y haga clic en Siguiente. Haga clic en Conectar usando módem, adaptador ISDN (RDSI) u otro dispositivo y haga clic en Siguiente. Seleccione el módem o adaptador específico que habrá de usar, dé clic en Siguiente. Inserte el número telefónico y haga clic en Siguiente.
5.
Escoja las opciones que quiere usar. En casi todos los casos, todo lo que necesitará es la opción predeterminada Enrutar paquetes IP en esta interfaz. Tras seleccionar
1/14/09 2:22:20 PM
232
Windows Server 2008: Guía del Administrador
las opciones necesarias, haga clic en Siguiente. Escriba nombre de usuario, nombre de dominio y contraseña; confirme la contraseña; y haga clic en Siguiente. Haga clic en Finalizar dos veces.
Dé mantenimiento al enrutador de Windows Server 2008 Puede ver, probar y dar mantenimiento al enrutador que ha instalado en la ventana Enrutamiento y acceso remoto. Con los siguientes pasos, puede localizar el nuevo enrutador, conectarlo a su destino y ver cómo configurar filtros IP y las horas en que puede usar el enrutador:
08 MATTHEWS 01.indd 232
1.
Si la ventana Enrutamiento y acceso remoto aún no está abierta, haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.
2.
Haga clic en Interfaces de red. En el panel de la derecha, deberá ver su interfaz de marcado a petición, similar a la del autor (Enrutador remoto) como se muestra aquí:
1/14/09 2:22:20 PM
Capítulo 8:
08 MATTHEWS 01.indd 233
Comunicaciones y servicios de Internet
233
3.
Haga clic derecho en la entrada de marcado a petición y en Establecer credenciales. Aquí, puede cambiar nombre de usuario, dominio y contraseña usados para conectarse al ISP. Cuando abre este cuadro de diálogo, la contraseña se elimina y debe reescribirse. Además, es probable que no requiera insertar un dominio. Haga clic en Aceptar tras completar la entrada.
4.
Haga clic derecho en la entrada de marcado a petición y clic en Conectar. Tal vez escuche el módem marcando y vea un mensaje con el estado “Conectando”. Cuando se establece la conexión real, el Estado de conexión en el cuadro de diálogo Enrutamiento y acceso remoto cambia a Conectado.
5.
Haga clic derecho en la interfaz de marcado a petición y clic en Establecer los filtros de marcado a petición IP. Esto le permite especificar direcciones IP que serán las únicas permitidas en la red o, en su defecto, direcciones IP no permitidas en la red. Haga clic en Nuevo y añada las direcciones IP, que pueden estar dentro de la LAN o red remota. Luego de haber establecido los filtros que quiere, haga clic en Aceptar.
6.
Haga clic derecho en la interfaz de marcado a petición y clic en Horas para marcado de salida. Aquí, puede especificar las horas que la conexión de marcado a petición no estará disponible, al seleccionar una hora determinada y hacer clic en Denegado. Por ejemplo, si quiere que se bloquee de las 11:00 p.m. del sábado a las 3:00 a.m. del domingo, el cuadro de diálogo se verá como la imagen siguiente, tras seleccionar las horas. Después de realizar sus selecciones, haga clic en Aceptar.
7.
Haga clic derecho en la interfaz de marcado a petición y clic en Propiedades. Esto le permite configurar las propiedades de la conexión, incluido número telefónico, tipo de conexión, varias opciones de seguridad y propiedades de red. Cuando esté listo, haga clic en Aceptar y después cierre la ventana Enrutamiento y acceso remoto.
1/14/09 2:22:21 PM
234
Windows Server 2008: Guía del Administrador
Para utilizar el enrutador, necesita instalar una conexión a Internet en el cliente que se conecta mediante LAN. Consulte “Configure y use una conexión a Internet” en seguida de la siguiente sección.
Configure una conexión compartida a Internet Una conexión compartida a Internet es un pequeño sistema alterno al enrutamiento de servidor. La conexión compartida a Internet permite que una red pequeña de equipos se conecte a Internet mediante un solo equipo que ejecuta Windows Server 2008 y se conecta físicamente a Internet mediante líneas telefónicas, un módem por cable u otro medio. En primer lugar, necesita configurar la conexión a Internet, como ya se explicó en este capítulo y después usar los siguientes pasos para compartir esa conexión. NOTA La conexión compartida a Internet es una opción al uso del enrutador de Windows Server 2008 con traducción de dirección de red (NAT), como ya se describió en “Configure un enrutador de Windows Server 2008”, que no pueden estar habilitadas ambas en el mismo equipo simultáneamente. SUGERENCIA Debe tener al menos dos conexiones o comunicaciones de red: una para conectar el equipo a Internet y otra para conectarlo a otros equipos.
08 MATTHEWS 01.indd 234
1.
Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos y clic en Administrar conexiones de red.
2.
Haga clic derecho en la conexión que quiere compartir y dé clic en Propiedades. En el cuadro de diálogo Propiedades que se abre, haga clic en la ficha Compartir.
3.
Bajo Conexión compartida a Internet, dé clic en Permitir que los usuarios de otras redes se conecten a través de la conexión a Internet de este equipo, como se muestra en la figura 8-7.
4.
Si lo desea, haga clic en Establecer una conexión de marcado cada vez que un equipo de la red intente acceder a Internet.
5.
Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades. En el cuadro de diálogo Conexiones de red, deberá ver “Compartida” en la conexión que comparte. Haga clic en Cerrar, para clausurar el cuadro de diálogo Conexiones de red.
1/14/09 2:22:21 PM
Capítulo 8:
Figura 8-7.
Comunicaciones y servicios de Internet
235
Opción para compartir una conexión a Internet.
CONFIGURE Y USE UNA CONEXIÓN A INTERNET Una conexión a Internet es una de las razones principales (y en ciertas ocasiones la única razón) para ser dueño de un equipo. En los negocios, se hace más trabajo mediante transacciones de negocio a negocio mediante Internet. Por tanto, es muy importante obtener lo mejor de la conexión a Internet.
Conexión a Internet Si un equipo puede conectarse a Internet a través de LAN, la instalación de Windows Server 2008 automáticamente conecta ese equipo a Internet y sin hacer más trabajo. El problema es que no resulta obvio si está conectado. La única forma de saberlo es usar Internet y ver qué pasa. Intente esto con el siguiente conjunto de pasos. Para darlos, se supone que no ha configurado una conexión por módem o marcado telefónico, aunque se asume también que ha establecido una conexión física entre el equipo e Internet. Esto podría ser una línea
08 MATTHEWS 01.indd 235
1/14/09 2:22:22 PM
236
Windows Server 2008: Guía del Administrador
telefónica o módem, línea telefónica y enrutador DSL, cable de TV y módem de cable u otro dispositivo que permita la conexión. NOTA Para conectarse a Internet, necesita una cuenta existente con un proveedor de servicios de Internet (ISP); si usa un módem, necesita saber el número telefónico de su módem para marcar (el número telefónico del ISP del módem); en todos los casos, necesita nombre de usuario y contraseña para su cuenta. Si quiere usar correo de Internet, necesita conocer su dirección de correo electrónico, tipo de servidor de correo (POP3, IMAP o HTTP), nombres de los servidores de correo entrante y saliente, así como nombre y contraseña de su cuenta de correo.
1.
Abra Internet Explorer al hacer doble clic en su icono, si está en el escritorio, al hacer clic en el menú Inicio y luego en su icono, clic en Inicio|Todos los programas|Internet Explorer. Se abrirá Internet Explorer. Si es la primera vez que abre Internet Explorer, se le dirá acerca de la seguridad mejorada de Internet Explorer. Lea esto y haga clic en el vínculo para aprender más. En esencia, debe identificar cada sitio que visita como un sitio de confianza.
SUGERENCIA Si no quiere identificar cada sitio y subsitio que visita como sitio de confianza, puede desactivar la seguridad mejorada de Internet Explorer al hacer clic en Inicio | Administrador del servidor. En Resumen de servidores, bajo Información de seguridad, haga clic en Configurar ESC de Internet Explorer. En el cuadro de diálogo Configuración de seguridad mejorada de Internet Explorer, puede desactivar seguridad mejorada para grupos de Administradores, Usuarios o ambos.
08 MATTHEWS 01.indd 236
1/14/09 2:22:22 PM
Capítulo 8:
2.
Comunicaciones y servicios de Internet
237
En la barra de dirección, escriba http://prodigy.msn.com y oprima enter. Si no ha desactivado la seguridad mejorada de Internet Explorer, se le preguntará si quiere agregar el sitio a su zona de sitios de confianza. Haga clic en Agregar, en caso de que lo desee, haga clic de nuevo en Agregar y luego en Cerrar. Estos pasos son necesarios para cada nuevo sitio que visita, pero no se repetirá aquí. Si Internet Explorer se abre con la página inicial de MSN (un ejemplo se muestra en la figura 8-8), ya sabe que tiene una conexión a Internet y puede omitir el resto de los pasos de esta sección.
08 MATTHEWS 01.indd 237
3.
Si no tiene una conexión a Internet o no está en funcionamiento, verá uno de varios cuadros de diálogo: un mensaje que le pregunta si quiere trabajar sin conexión, otro en Internet Explorer indicando que IE no puede desplegar la página Web o un cuadro de diálogo Configurar una conexión o red. En todos los casos necesita crear una nueva conexión a Internet o reparar la existente. Si Internet Explorer no encuentra Internet y no se abre el cuadro de diálogo Configurar una conexión o red, inícielo al hacer clic en Iniciar|Panel de control, haga doble clic en Centro de redes y recursos compartidos y haga clic en Configurar una conexión o red.
4.
Haga clic en el tipo de conexión que quiera usar luego en Siguiente. Se le pregunta cómo quiere conectarse a Internet. Verá opciones que coinciden con los medios que tiene para establecer una conexión, entre marcado telefónico, banda ancha, conexión inalámbrica u otras posibilidades. Haga clic en la que sea adecuada.
1/14/09 2:22:22 PM
238
Windows Server 2008: Guía del Administrador
Figura 8-8.
08 MATTHEWS 01.indd 238
Conexión a Internet y la página de inicio de MSN.
5.
Dependiendo de lo que seleccione, se le pedirá la información de inicio de sesión necesaria para esa opción, como número telefónico, nombre de usuario y contraseña para una opción de marcado telefónico. Inserte la información y, si es necesario, haga clic en Conectar; de otra forma, haga clic en Cerrar.
6.
Una vez más abra Internet Explorer; si se le pregunta, haga clic en Conectar. Si todavía no puede conectarse a Internet, tal vez tenga un problema de hardware y, por ejemplo, necesite reinstalar su módem, en cuyo caso debe ir a “Instale un módem”, en páginas anteriores de este capítulo, y después regrese aquí; de otra forma, vaya al paso siguiente.
1/14/09 2:22:22 PM
Capítulo 8:
Comunicaciones y servicios de Internet
239
SUGERENCIA Si cree que tiene un módem instalado y no puede conectarse cuando abre Internet Explorer, revise las Opciones de Internet, en Internet Explorer, al hacer clic en el botón Herramientas en la barra de comandos, seleccionar Opciones de Internet y hacer clic en la ficha Conexiones. Vea si tiene una conexión especificada y si marca el teléfono de la conexión. Si no, haga las correcciones necesarias.
7.
Cuando haya instalado en forma correcta su conexión a Internet, se le mostrará una pantalla de información sobre seguridad. En la barra de direcciones, escriba http//prodigy.msn.com y oprima enter. Se conectará a la página de inicio de MSN, similar a la que se muestra en la figura 8-8.
Encuentre información en Internet Cuando se haya conectado a Internet, tal vez quiera ir a páginas diferentes de la página de inicio de MSN. Existen varias formas de hacerlo, incluidas las siguientes: ▼
Navegar en un sitio Web
■
Ir directamente a un sitio Web
■
Buscar un sitio Web
▲
Configurar una página de inicio predeterminada diferente
Navegue dentro de un sitio Web Un buen sitio Web ofrece muchas formas de navegar en él. Mientras ve la página de inicio de MSN, en la figura 8-8, se observan varios términos o frases que se subrayan cuando coloca el cursor sobre ellos. Se trata de vínculos que, cuando se hace clic en ellos, lo llevan a otra parte del sitio Web. La página de inicio incluye gran cantidad de vínculos de varios tipos, entre los que se encuentran encabezados, términos y listas de artículos. Además, es común que exista una opción de Búsqueda, similar a la mostrada en la parte superior de la página de inicio de MSN. Aquí, puede seleccionar donde quiere buscar (Web, Imágenes, etc.). Inserte un término o frase para buscar y haga clic en Buscar.
SUGERENCIA A menudo, si inserta una frase en una búsqueda de texto, se buscará palabra por palabra, no la frase completa. Para corregir eso, en muchos buscadores de texto puede encerrar la frase entre comillas y la búsqueda se hará para la frase completa.
Internet Explorer también provee herramientas para navegar un sitio: las flechas Regresar y Adelante, en la barra de herramientas, lo llevan a páginas previas y siguientes, respectivamente. Además, las flechas hacia abajo, a la derecha de las flechas Regresar y Adelante, mostrarán una lista de varias páginas vistas en cada dirección.
08 MATTHEWS 01.indd 239
1/14/09 2:22:23 PM
240
Windows Server 2008: Guía del Administrador
Vaya directamente a un sitio Web Para ir directamente a un sitio, debe conocer la dirección o localizador uniforme de recursos (URL, Uniform Resource Locator), para ese sitio. Con la creciente presencia en publicaciones, membretes y publicidad, encontrará fácilmente un URL de la organización. Cuando lo tenga, puede insertarlo en la barra de direcciones, en la parte superior de Internet Explorer, como se muestra a continuación y después oprima enter o dé clic en la flecha verde apuntando a la derecha, que lo llevará directamente al sitio. Puede almacenar los URL que usa con frecuencia en la carpeta Favoritos, el escritorio y la barra Vínculos de Internet Explorer. Si selecciona una de estas direcciones sin estar conectado a Internet, se le conectará automáticamente (o tal vez deba hacer clic en Conectar, en un cuadro de diálogo de conexión), se abrirá Internet Explorer y se desplegará el sitio correspondiente a la dirección.
Coloque un URL en Favoritos Puede almacenar un URL en la carpeta Favoritos, al ingresarla o desplegarla de otra forma en la barra de direcciones de Internet Explorer y hacer clic en el botón Agregar un favorito. Se abrirá el cuadro de diálogo Agregar un favorito, mostrándole el nombre que tendrá el sitio en la carpeta Favoritos y permitiéndole colocar el URL en una subcarpeta, con la opción Crear en.
SUGERENCIA La carpeta Favoritos está en cada área del usuario en el disco duro. Como opción predeterminada, es C:\Users\nombredeusuario\Favoritos. Debe crearse una copia de seguridad de vez en cuando.
Coloque un URL en el escritorio Puede colocar un URL en el escritorio o barra de herramientas de Inicio rápido, al arrastrar el icono a la izquierda de la barra de direcciones de Internet Explorer, hacia el escritorio o la barra de herramientas Inicio rápido. Esto crea un acceso directo que, cuando se hace clic o doble clic en él, se conecta a Internet, abre Internet Explorer y despliega el sitio. Coloque un URL en la carpeta Vínculos La carpeta Vínculos es una subcarpeta de Favoritos y puede estar en la parte superior de la ventana de Internet Explorer. Haga clic derecho en el área de barras de herramientas y haga clic en Bloquear las barras de herramientas, para bloquear la barra Vínculos. Una vez más, haga clic derecho en el área de barras de herramientas
08 MATTHEWS 01.indd 240
1/14/09 2:22:23 PM
Capítulo 8:
Comunicaciones y servicios de Internet
241
y clic en Vínculos. La barra Vínculos aparecerá arriba de las fichas. Puede agregar un URL a la carpeta Vínculos y a la barra, arrastrando el icono en la barra de direcciones a la barra Vínculos. También colocarlo en la barra Vínculos, en la ubicación preferida. Puede asimismo eliminar cualquier vínculo no deseado al hacer clic derecho en éste y seleccionar Eliminar.
Busque un sitio Web Si no sabe la dirección URL del sitio Web, puede buscarla de dos formas. Si es un sitio Web recién visitado, puede encontrarlo en el historial de sitios Web. Si no ha entrado al sitio recientemente, puede hacer una búsqueda completa en Internet para encontrarlo.
Revise el historial Para revisar el historial de sus visitas a sitios Web, haga clic en el Centro de Favoritos y clic en Historial, en la barra de herramientas de Centro de Favoritos. Su historial aparecerá a la izquierda de Internet Explorer y, como opción predeterminada, mostrará los sitios visitados por día de la semana actual y después por semana en las últimas semanas. Al abrir un día o semana, puede ver y elegir una URL visitada y hacer que se despliegue rápidamente. Puede determinar cuántos días quiere mantener el Historial o eliminarlo al hacer clic en el botón Herramientas, en la barra de comandos y seleccionar Opciones de Internet. En la ficha General, del cuadro de diálogo que se abre, bajo Historial de exploración, haga clic en Configuración; puede configurar Conservar páginas en el historial por estos días. También en el cuadro de diálogo Opciones de Internet, en la ficha General, bajo Historial de exploración, puede hacer clic en Eliminar y después en Eliminar historial. NOTA Puede ordenar la lista Historial al hacer clic en la flecha hacia abajo y luego en el botón Historial, en la barra de herramientas Centro de Favoritos.
Busque en Internet Puede buscar un sitio Web en Internet en tres niveles: ▼
Escriba en la barra de direcciones lo que crea parte de la dirección URL e Internet Explorer buscará un sitio con la URL del texto que insertó. Por ejemplo, al insertar “3com” (la compañía) o “united” (por United Airlines), se le llevará al sitio Live Search de Microsoft, que despliega una lista de posibles URL, como se observa en la figura 8-9, donde usualmente encontrará el sitio que quiere
SUGERENCIA Puede cambiar la manera en que Internet Explorer responde a la búsqueda en la barra direcciones (escribir un URL incompleto) al hacer clic en el botón Herramientas, en la barra de comandos y seleccionar Opciones de Internet; haga clic en la ficha Opciones avanzadas y desplácese hacia abajo hasta Buscar, desde la barra de direcciones. ■
08 MATTHEWS 01.indd 241
Haga clic en el cuadro Live Search, en la barra de herramientas en la parte superior de Internet Explorer; escriba una palabra o frase y dé clic en Buscar (el icono de lupa). Se desplegará una lista de sitios Web que contiene tal frase o palabra. Luego puede hacer clic en un sitio en la lista, mismo que se desplegará. Como se describió en la sugerencia anterior, si quiere buscar una frase completa, necesita colocar la frase entre comillas
1/14/09 2:22:24 PM
242
Windows Server 2008: Guía del Administrador
Figura 8-9.
▲
08 MATTHEWS 01.indd 242
Puede insertar parte de un nombre de sitio Web para buscarlo.
Utilice otro sitio de búsqueda como Google, Yahoo, Ask o AltaVista, al escribir el nombre en la barra de direcciones (véase la figura 8-10 para conocer la página de inicio de AltaVista). En Windows Server 2008, Internet Explorer 7.0 (IE7) depende completamente del motor de búsqueda de MSN, sin suministrar vínculos directos a otros motores de búsqueda disponibles. Estos otros sitios de búsqueda proporcionan diferentes resultados para las mismas búsquedas y a menudo vale la pena revisar varios sitios. Puede hacer esto no sólo cuando busca páginas Web, sino también cuando busca la dirección postal o de correo electrónico de una persona o quiere encontrar un negocio, ubicar un mapa, buscar una palabra, encontrar una imagen, o la referencia en un grupo de noticias y revisar sus búsquedas anteriores
1/14/09 2:22:25 PM
Capítulo 8:
Figura 8-10.
Comunicaciones y servicios de Internet
243
Existen varios sitios alternos para buscar en Web.
Configure una página de inicio predeterminada diferente La página que se abre cuando inicia por primera vez Internet Explorer o al hacer clic en el icono con una casa en la barra de comandos de Internet Explorer es la página principal, su página de inicio. Por ejemplo, si quiere que la página de inicio de CNN sea su página principal, puede hacerlo con estos pasos:
08 MATTHEWS 01.indd 243
1.
Abra Internet Explorer y despliegue la página que desea como su página principal.
2.
Haga clic en la flecha hacia abajo después del icono Página principal y luego haga clic en Agregar o cambiar la página principal.
3.
Haga clic en Usar esta página Web como la única página principal y haga clic en Sí.
1/14/09 2:22:25 PM
244
Windows Server 2008: Guía del Administrador
Use las fichas Internet Explorer 7 (IE7), incluido en Windows Server 2008, ha aumentado la capacidad para tener varias páginas Web abiertas al mismo tiempo, de modo que se puede ir de forma sencilla de una a otra, al hacer clic en la ficha asociada con la página. Las fichas residen en la fila de fichas, inmediatamente bajo la barra de direcciones, junto con Centro de Favoritos y Agregar un favorito, como se muestra en la figura 8-11. Bajo condiciones normales, sólo se abre una página a la vez, como en versiones anteriores de Internet Explorer. Si abre una segunda página, reemplazará la primera. Sin embargo, IE7 le da la capacidad para abrir varias páginas en fichas separadas e ir de una a otra al hacer clic en sus fichas.
Abra páginas en una nueva ficha Para abrir una página en una nueva ficha: 1.
Abra su primera página Web en cualquiera de las formas descritas antes en este capítulo.
2.
Haga clic en Nueva pestaña, a la derecha de la fila de fichas u oprima ctrl-t abra una segunda página Web en cualquiera de las formas ya mencionadas en este capítulo. O Escriba una página Web en la barra de direcciones y oprima alt-enter. O Escriba una solicitud de búsqueda en el cuadro de búsqueda y oprima alt-enter. U Oprima y deje oprimida ctrl, mientras hace clic en un vínculo en una página abierta. U Oprima y deje oprimida ctrl conforme hace clic en la flecha a la derecha de un sitio, en su Centro de Favoritos.
Centro de Pestañas Favoritos rápidas
Agregar Lista de Favorito pestañas
Figura 8-11.
08 MATTHEWS 01.indd 244
Página principal
Fichas
Página abierta
Nueva pestaña
Las fichas le permiten cambiar de forma rápida entre varios sitios Web.
1/14/09 2:22:25 PM
Capítulo 8:
3.
Comunicaciones y servicios de Internet
245
Repita cualquiera de las opciones del paso 2, cuando sea necesario para abrir más páginas.
Vaya de una ficha a otra Para ir de una ficha abierta a otra: ▼ ■
■
Haga clic en la ficha de la página que quiere abrir O Haga clic en Pestañas rápidas, en la fila de fichas u oprima ctrl-q y haga clic en la vista previa de la página que quiere abrir (véase la figura 8-12) O Haga clic en Lista de pestañas y luego en la página que quiere abrir
U Oprima ctrl-tab para ir a la siguiente ficha a la derecha, o ctrl-mayús-tab para ir a la siguiente ficha a la izquierda U ▲ Oprima ctrl-n, donde N es un número del 1 al 8, para ir a una de las primeras ocho fichas numeradas, de izquierda a derecha, en el orden en que se abrieron. También puede oprimir ctrl-9 para ir a la última ficha abierta, que se muestra a la derecha de la fila de fichas ■
NOTA Para usar CTRL-N para ir de una ficha a otra en Internet Explorer, necesita usar una tecla numérica en el teclado principal, no en el numérico.
08 MATTHEWS 01.indd 245
1/14/09 2:22:26 PM
246
Windows Server 2008: Guía del Administrador
Figura 8-12. Mediante el botón Pestañas rápidas, puede ver vistas miniatura de todas sus páginas abiertas, dispuestas de manera contigua.
Cierre fichas Para cerrar una o más fichas: ▼
Haga clic derecho en la ficha de la página que quiere cerrar, haga clic en Cerrar, en el menú contextual o en Cerrar las otras pestañas, para cerrar todas las páginas excepto en la que hizo clic U ■ Oprima ctrl-w o haga clic en su “X”, para cerrar la página actual O ■ Haga clic en el botón central del ratón (si su ratón tiene uno) en la página que quiera cerrar U ▲ Oprima alt-f4 para cerrar todas las fichas (confirme al hacer clic en Cerrar pestañas, en el cuadro de diálogo que aparece) u oprima ctrl-alt-f4 para cerrar todas las fichas excepto la seleccionada SUGERENCIA Oprima sólo la tecla ALT para ver los menús de Internet Explorer; como una opción alternativa use las opciones de la barra de comandos de IE7.
08 MATTHEWS 01.indd 246
1/14/09 2:22:26 PM
CAPÍTULO 9 Servicios de información de Internet (IIS) versión 7
247
09 MATTHEWS 01.indd 247
1/14/09 1:33:47 PM
248
Windows Server 2008: Guía del Administrador
E
n este capítulo se hace una introducción a los servicios de información de Internet versión 7 (IIS 7, Internet Information Services) y la función que juega IIS para Windows Server 2008. En el capítulo se describe cómo instalar, personalizar, mantener, administrar y migrar a IIS para cumplir varias metas de negocios y trabajo en red.
EXPLORE EL ENTORNO DE IIS 7 IIS es una colección de servicios, protocolos y aplicaciones, integradas en Windows Server 2008 para manejar la interacción del servidor con “la Web”, Internet, intranet (dentro de una organización) o una extranet, que combina Internet con una o más intranets. IIS es un servidor Web primario, que hospeda páginas Web y aplicaciones para responder a solicitudes de otros equipos que ejecutan exploradores Web. IIS hace esto al enviar texto, imágenes, audio y video al equipo que hace la solicitud y al realizar otros servicios Web con éste. NOTA Windows Vista incluye una versión limitada de IIS 7. Esta versión está diseñada para gente que desarrolla sitios Web y pequeños negocios, con el fin de integrar un sitio de intranet muy limitado dentro del negocio. Las limitaciones en Vista dependerán de la versión utilizada. En el mejor de los casos, con Windows Vista Ultimate, Business o Enterprise, IIS puede dar servicio sólo a diez conexiones a la vez y algunas características de IIS no están disponibles. En Windows Server 2008, IIS 7 puede manejar un número ilimitado de clientes y tiene todas las características disponibles. En este libro se analizará sólo la versión de servidor de IIS 7.
Siempre que utiliza un explorador Web para conectarse a un sitio Web, como www.microsoft.com, se conecta a un servidor Web; descarga texto, medios e imágenes alojados allí; después ve esta información en su equipo local. Obviamente, es muy variable la calidad y complejidad de cada sitio Web, además de la calidad y estabilidad de servidores Web. En este capítulo se analizarán características y funciones únicas que IIS 7 ofrece y que dan soporte a sitios Web de alta calidad y estabilidad de servidor mejoradas. Aunque es fácil pensar en IIS sólo como un servidor Web, IIS realmente da soporte a gran variedad de servicios. Las siguientes son algunas de las áreas que representan la diversidad de funciones ofrecidas por IIS:
09 MATTHEWS 01.indd 248
▼
ASP.NET Las páginas activas de servidor (ASP, Active Server Pages) que usan .NET Framework de Microsoft son un método para crear elementos dinámicos en páginas Web. ASP.NET le permite a una página Web responder a cada acción del usuario (como cargar la página o hacer clic en un objeto en la página), además de manejar y autentificar formularios basados en Web
■
Web DAV Autoría y versión distribuidas de Web (Web-based Distributed Authoring and Versioning) son un protocolo utilizado para generar aplicaciones Web que permiten la colaboración en la creación, búsqueda, desplazamiento, copia y eliminación de información basada en Web
■
SharePoint Services Da servicios para crear, actualizar, organizar y retener información entre un equipo de individuos que comparten información. SharePoint Services utiliza una estructura de sitio Web generada previamente, en la que pueden agregarse páginas Web personalizadas y ya elaboradas. Muchas personas
1/14/09 1:33:47 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
249
pueden agregar información en forma sencilla y actualizar la información en estas páginas, con la información organizada y almacenada en una base de datos SQL ■
FTP El protocolo de transferencia de archivos (FTP, File Transfer Protocol) es de intercambio de archivos estándar en la industria, que permite a varios tipos de equipo, incluidos servidores, equipos de tamaño mediano y laptops, ejecutar varios sistemas operativos para intercambiar archivos en Internet o intranet, en forma rápida y eficiente. Con FTP, los datos que se ingresan y procesan en un entorno de servidor, pueden enviarse por FTP a un equipo basado en Windows y entrar automáticamente en una base de datos SQL sin interacción de usuario, mediante el uso de secuencias de comandos que se ejecutan en cada terminal
▲
SMTP El protocolo de transferencia de correo simple (Simple Mail Transfer Protocol) permite la formación y transferencia de mensajes de texto entre sistemas. En pocas palabras, SMTP es correo electrónico. Si alguna vez ha usado correo electrónico en Internet, ha usado SMTP. En Windows Server 2008, SMTP es parte de Active Directory y puede utilizarse para vincular sitios de Active Directory mediante Internet. Con SMTP, las organizaciones de Windows Server 2008 pueden integrarse a través de Internet con nada más que las tecnologías estándar de Internet
NOTA Windows Server 2008 utiliza el servidor de certificado IIS para mantener intercambio de información cifrada y segura entre dos sitios de Active Directory.
Características de IIS 7 Mientras IIS 7 se basa en una línea importante de versiones anteriores, tiene varias características mejoradas o nuevas. La versión 7 está integrada de manera más modular, que permite ajustar a la medida una instalación a tareas particulares necesarias, para seleccionar sólo los módulos deseados. Además, ahora IIS 7 ofrece una plataforma de servidor unificada para hospedaje Web, ASP.NET, SharePoint Services y Windows Communication Foundation (que permite la comunicación entre varios equipos en red). En forma adicional, existen mejoras en las áreas de seguridad, confiabilidad, administración y escalabilidad.
Seguridad Microsoft hace un esfuerzo continuo para mejorar la seguridad de IIS, incluidos cambios para reducir áreas de vulnerabilidad sospechosa. Además, IIS 7 incluye varias características para mejorar la seguridad, como autentificación implícita avanzada, un proveedor de servicio criptográfico (Cryptographic Service Provider) seleccionable, configuración de identidad de proceso de trabajo y deshabilitación de extensiones desconocidas.
09 MATTHEWS 01.indd 249
▼
Autentificación implícita avanzada Mejora la autentificación implícita mediante almacenamiento y transmisión de credenciales de seguridad, como contraseñas, en una técnica de cifrado difícil de romper, llamada hash MD5
■
Proveedor de servicio criptográfico seleccionable Permite que un administrador permute entre el uso de hardware (CPU, RAM y disco duro) y software (Windows y el Registro) básicos para el cómputo de funciones de cálculo y almacenamiento de claves públicas y privadas, utilizadas en cifrado, así como manejo de algunas o todas estas funciones en una tarjeta inteligente o aceleradora de criptografía
1/14/09 1:33:47 PM
250
Windows Server 2008: Guía del Administrador
■
Configuración de identidad del proceso de trabajo Permite la configuración de almacenes de aplicaciones, donde se ejecutan procesos Web de servidor, para tener un conjunto particular, limitado, de privilegios y bloquear a hackers
▲
Deshabilitación de extensiones desconocidas Permite configurar IIS para que pase sólo extensiones de archivo conocidas y bloquee las desconocidas con un mensaje de error “acceso denegado”
Confiabilidad La confiabilidad puede dividirse en dos áreas principales: prevenir que las aplicaciones fallen (que se finalicen sin solicitarlo) y contener estas fallas para que no afecten al IIS ni al sistema operativo. Evitar que las aplicaciones de terceros fallen es competencia compartida entre Microsoft y desarrolladores de aplicaciones, además de que el enfoque para mejorar la confiabilidad de IIS consiste en la mejor contención de aplicaciones, de modo tal que no afecten al resto del sistema. Microsoft ha hecho varios cambios en IIS para lograr esto, incluidos establecimiento de una forma de operación dedicada; aislamiento de aplicaciones, mediante procesos de trabajo y almacenes de aplicaciones; limitación de solicitudes en cola para una aplicación; establecimiento de un servicio de administración Web (WAS, Web Administration Service) separado y monitoreo del estado del proceso de trabajo.
09 MATTHEWS 01.indd 250
▼
Modo de operación dedicado Permite que se ejecuten aplicaciones en un entorno aislado, en contraste con el modo de aplicación estándar usado en versiones anteriores de IIS, donde se ejecutan aplicaciones como parte de un servicio Web. Muchas de estas mejoras de confiabilidad dependerán del uso de modo de operación dedicado
■
Almacenes de aplicaciones y procesos de trabajo Sirve al aislamiento de aplicaciones, mediante la asignación de almacenes de aplicaciones particulares para su ejecución en procesos de trabajo específicos. Los almacenes de aplicaciones pueden configurarse con un conjunto de límites de espacio y tiempo, así como para usar un conjunto de recursos determinado, incluido un procesador particular en un servidor de varios procesadores. Los almacenes de aplicaciones y recursos de trabajo requieren el modo de aplicación dedicado
■
Límite de solicitudes en cola Permite la configuración de límites, con un modo de aplicación dedicado en el número de solicitudes que pueden consultarse para un almacén de aplicaciones particular. Esto limita la cantidad de recursos de sistema que un almacén de aplicaciones puede utilizar
■
Servicio de administración Web (WAS) Ofrece un espacio de administración Web separado de procesos de aplicación, para así mantener funciones aisladas de cualquier problema en las aplicaciones Web. WAS se utiliza para configurar almacenes de aplicaciones y para determinar su estado (estén o no en ejecución) y reiniciarlos
▲
Monitoreo del estado Permite, en el modo de aplicación dedicado, determinar la manera en que se ejecuta un almacén de aplicaciones y, bajo circunstancias prescritas, lo termina; asimismo, de forma opcional, lo reinicia. Si el almacén de aplicaciones ha fallado, se puede terminar y reiniciar de inmediato; si el almacén de aplicaciones está inactivo, puede cerrarse y reiniciarse bajo pedido; si ha fallado varias veces,
1/14/09 1:33:48 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
251
puede deshabilitarlo e impedir que reinicie; y si ha fallado una parte detectable del almacén, puede separarlo del proceso y reiniciarlo como otro proceso
Administración La administración de IIS 7 se maneja mediante una interfaz basada en tareas en el Administrador de Internet Information Services (IIS) o con una opción de línea de comandos. IIS 7 permite ver el diagnóstico e información de estado acerca del servidor, incluido lo que está en ejecución. También IIS 7 permite ahora la configuración de permisos de usuario y funciones para sitios y aplicaciones. En IIS 7, todavía puede utilizar todas las herramientas de administración de IIS 6, requeridas para la administración de FTP. ▼
Mejoras de metabase Permite la lectura y edición directa de la información de configuración y esquema de IIS, aunque se esté ejecutando, regresar fácilmente a versiones anteriores de la información de configuración y esquema en caso de corromperse, además del respaldo y restauración de la información con una contraseña
■
Importación y exportación de configuraciones de sitio Web Proporciona medios para exportar desde un nodo a un árbol completo de información de configuración de un sitio Web a un archivo legible que se importa en otro servidor
■
Scripts de líneas de comando Permite la administración directa o indirecta de sitios Web, FTP, directorios virtuales, aplicaciones Web y configuración de información mediante scripts de líneas de comando
▲
Proveedor IIS en WMI Permite administrar y configurar IIS mediante programación, usando interfaces de programa de instrumentación de administración de Windows (WMI, Windows Management Instrumentation) para consultar y configurar la metabase
Escalabilidad A medida que crece un sitio Web o servicio de hospedaje Web, es necesario que se interrumpa lo menos posible al comprador. IIS 7 ha agregado varias características para mejorar esta capacidad para crecer sin problemas, llamada escalabilidad, que incluye una versión de 64 bits de IIS; uso de agrupación completa en clústeres de Windows; varios procesos de trabajo; guardado de plantillas ASP en la memoria caché; el uso de seguimiento para capacidad de planeación y mejor administración del ancho de banda.
09 MATTHEWS 01.indd 251
▼
Una versión de 64 bits de IIS Permite ejecutar IIS y sus aplicaciones Web en procesadores Intel y AMD de 64 bits con capacidad para manejar mayores cargas
■
Uso de clústeres de Windows Al permitir el uso de la capacidad de clústeres integrada en el sistema operativo, la conexión de varios equipos con recursos compartidos y la capacidad de equilibrar la carga entre equipos. Ante la falla de un equipo en un clúster, la carga se cambia automáticamente a otro equipo. IIS 7 usa completamente la capacidad de clústeres de Windows Server 2008
■
Varios procesos de trabajo Permite ejecutar varias aplicaciones de forma simultánea, cada una en su propio entorno protegido. En equipos con varios procesadores, es posible ejecutar un determinado trabajo en un procesador dedicado. IIS 7 ofrece varios procesos de trabajo, cada uno ejecutando una o más aplicaciones
1/14/09 1:33:48 PM
252
Windows Server 2008: Guía del Administrador
■
Guardado de plantillas ASP en la caché Provee fragmentos comunes de secuencias de comandos ASP, llamados “plantillas”, para almacenamiento en caché (que lo mantiene en memoria activa, susceptible de ser RAM o disco duro), para que cuando vuelvan a utilizarse plantillas, puedan usarse de forma muy rápida, ya que están disponibles de forma inmediata y no necesiten recompilarse
■
Seguimiento para planeación de capacidad Permite el análisis de la manera en que se manejan varias cargas de trabajo con diferentes configuraciones para planear el hardware necesario a medida que crece la carga de trabajo
▲
Administración de ancho de banda En el caso del control del nivel y calidad del servicio de usuario a través de la regulación del flujo de ancho de banda, ofrece límites de cola del almacén de aplicaciones, contabilidad del proceso y límites de conexión y pausas
Servicios de Internet en IIS 7 IIS 7 publica información mediante servicios y protocolos de Internet estándar, incluidos World Wide Web (WWW), FTP, SMTP y el protocolo de transferencia de noticias de red (NNTP, Network News Transfer Protocol).
09 MATTHEWS 01.indd 252
▼
Servicios WWW Utiliza el protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol) para permitir a los usuarios publicar contenido en Web, al utilizar el lenguaje de marcado de hipertexto (HTML, HyperText Markup Language), el lenguaje extensible de marcado (XML, Extensible Markup Language) y ASP. Los archivos se colocan en carpetas o subdirectorios conectados a un sitio Web. Estos documentos pueden verse mediante un explorador de Internet, como Internet Explorer. Debido a la naturaleza gráfica de HTML, los negocios pueden usar este formato para desplegar y explicar productos y servicios, además de crear aplicaciones de comercio electrónico para comprar estos productos y servicios
■
Servicios FTP Se utiliza para transmitir archivos en Internet. Se trata de un protocolo antiguo que sirve para la transferencia confiable y rápida de archivos. FTP puede usarse con un explorador Web por medio de FTP de Web, para agilizar el proceso de descarga de archivos grandes de sitios Web normales, además de un cliente FTP heredado independiente, conectado al servidor FTP, que permita el acceso a archivos independientes de los protocolos HTTP. Mientras algunos exploradores Web pueden utilizarse para acceder a servidores FTP, a menudo se usan clientes FTP separados. Aunque todos los clientes de Microsoft contienen un cliente FTP como parte de la pila TCP/IP, este cliente está orientado a DOS y la línea de comandos (escriba ftp en el indicador de comandos). Varios clientes FTP de 32 bits de terceros pueden ejecutarse en Windows y proporcionar características adicionales que no figuran en el cliente FTP integrado. Varios ejemplos son WS_FTP, disponible en http://www.ipswitch.com/; SmartFTP, disponible en http://www. smartftp.com/ y Core FTP, disponible en http://www.coreftp.com
■
Servicios SMTP Utilizado para correo electrónico en Internet, SMTP depende de los protocolos TCP/IP y utiliza servidores de sistema de nombre de dominio (DNS,
1/14/09 1:33:48 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
253
Domain Name System) en Internet para traducir un nombre de correo electrónico, como
[email protected] en una dirección IP como 207.46.230.219 ▲
Servicios NNTP Permite a un sitio Web hospedar grupos de noticias, que suministran intercambio de mensajes encadenados relacionados con un solo tema. Los mensajes se envían al servidor de noticias y se publican en el grupo de noticias apropiado. Un grupo de noticias es una comunidad interesada en un tema específico. La gente de esa comunidad inicia sesión en el grupo de noticias para leer y replicar los mensajes sobre el tema del grupo de noticias
Como opción predeterminada, los servicios WWW están instalados en todos los casos. Mediante los servicios WWW, es posible hospedar sitios HTTP gráficos. Los servicios FTP, SMTP y NNTP añaden elementos a IIS y pueden instalarse de forma opcional en éste. Estos servicios permiten varias opciones de comunicación. Al utilizar servicios FTP, los archivos pueden distribuirse en Internet. Los servicios WWW y FTP permiten configurar varios sitios en un servidor IIS, de modo que, para un usuario en Internet, podría parecer que el servidor Web incluye varios sitios WWW, FTP o ambos.
CONFIGURACIÓN DE UN SERVIDOR WEB Cuando configura IIS para hospedaje Web, necesita crear uno o más servidores Web dedicados. En algunas organizaciones más grandes, la posible carga en servidores Web puede ser importante. Sin embargo, a menudo lo adecuado en organizaciones pequeñas es la instalación de un solo servidor. Es raro que el diseño de dos redes sea exactamente igual, porque diferentes demandas afectan aun a las instalaciones de red más sencillas. Cuando se diseña y, por último, instala un servidor Web basado en IIS 7 y Windows Server 2008, necesita considerar varios factores, sobre todo los servicios que hospedarán el sitio Web y la conexión de seguridad que implementará el sitio. En el caso de sitios Web que hospedan información gratuita y disponible para cualquiera, puede usarse el acceso anónimo, donde todos los usuarios que se conectan al servidor Web obtendrán automáticamente acceso al servidor basado en la cuenta Invitado, sin que se les pida nombre de usuario o contraseña. Entonces, esta situación permite al usuario pasar información segura al servidor (como los datos de una tarjeta de crédito en la colocación de un pedido), por medio de tecnología como SSL (analizada en el capítulo 15). Cuando los datos se hospedan en el servidor que necesita asegurarse ante el acceso no autorizado, se requiere algún formulario o autentificación, como la de Windows o Kerberos.
Instale IIS 7 La instalación de Windows Server 2008 no incluye IIS como opción predeterminada, aunque puede obtener una edición Web Server especializada, donde sí se instala. En los casos donde IIS no está instalado como opción predeterminada, puede instalarse al seleccionar la función apropiada en el Administrador del servidor, como se explica más adelante en este capítulo. Al utilizar la instalación predeterminada de IIS del Administrador del servidor, sólo se instalan algunas de las muchas características de IIS. En la tabla 9-1 se presenta una comparación entre los servicios predeterminados y los opcionales (algunos más allá del alcance de este libro).
09 MATTHEWS 01.indd 253
1/14/09 1:33:49 PM
254
Windows Server 2008: Guía del Administrador
Categoría
Servicio
Opción predeterminada
Descripción
Características HTTP comunes
Contenido estático
Sí
Páginas de texto HTML e imágenes descargadas a cada cliente.
Desarrollo de aplicaciones
Estado y diagnóstico
Tabla 9-1.
09 MATTHEWS 01.indd 254
Documento predeter- Sí minado
Especifica una página que se carga automáticamente cuando se abre el sitio.
Navegación de direc- Sí torios
Permite al cliente ver el directorio del sitio Web.
Errores HTTP
Permite la personalización del mensaje de error para el cliente.
Sí
Redirección HTTP
Redirecciona las consultas del cliente a una ubicación diferente.
ASP.NET
Permite programación orientada a objetos en un sitio Web.
Extensibilidad de .NET
Permite a los desarrolladores de código agregar y cambiar las funciones del servidor.
ASP y CGI
Capacidad de programación de páginas activas de servidor (Active Server Page) e interfaz común de puerta de enlace (CGI, Common Gateway Interface) para automatizar páginas Web.
Extensiones ISAPI
La interfaz de programación de aplicaciones de servidor de Internet (Internet Server Application Programming Interface) le permite programar contenido Web dinámico compilado.
Filtros ISAPI
Permite la inclusión en programas de una revisión de todas las solicitudes hechas al servidor Web.
Inclusión del lado servidor
SSI (Server-Side Includes) es una opción para secuencia de comandos en tiempo real que genera dinámicamente páginas HTML.
Registro HTTP
Sí
Actividad de registro en un sitio Web.
Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.
1/14/09 1:33:49 PM
Capítulo 9:
Categoría
Servicio
Servicios de información de Internet (IIS) versión 7
Opción predeterminada
Herramientas de registro Monitor de solicitudes
Seguridad
Descripción
Permite la administración de registros de servidor Web. Sí
Captura las solicitudes HTTP para monitorear la actividad de aplicaciones.
Seguimiento
Da seguimiento a solicitudes fallidas para detectar y solucionar problemas de rendimiento Web.
Registro personalizado
Permite la creación de su propio módulo de registro.
Registro ODBC
Permite la actividad de registro en una base de datos ODBC.
Autentificación básica
Proporciona autentificación compatible con explorador para intranets pequeñas. No se recomienda para Internet.
Autentificación de Windows
Autentificación de bajo costo para intranets sin firewalls.
Autentificación implícita
Autentificación de nivel superior que funciona con firewalls y servidores proxy.
Autentificación de asignaciones de certificado de cliente
Utiliza certificados de cliente (ID digitales) mediante Active Directory para autentificar usuarios de sitios Web.
Autentificación de asignaciones de certificado de cliente IIS
Utiliza certificados de cliente (ID digitales) a través de IIS para autentificar usuarios de sitio Web.
Autorización para URL
Permite adjuntar reglas a un sitio Web para limitar quién lo usa.
Filtro de solicitudes
Sí
Restricciones de IP y dominio Rendimiento
255
Compresión de contenido estático
Filtra solicitudes de servidor para limitar los ataques en éste. Limita el acceso a sitios Web a dominios e IP específicos.
Sí
Provee compresión de contenido estático para acelerar su transmisión. Este contenido puede guardarse en caché para reducir la carga en tiempo real.
Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008 (continúa).
09 MATTHEWS 01.indd 255
1/14/09 1:33:49 PM
256
Windows Server 2008: Guía del Administrador
Categoría
Servicio
Opción predeterminada
Compresión de contenido dinámico
Herramientas de administración
Servicio de publicación FTP
Tabla 9-1.
09 MATTHEWS 01.indd 256
Consola de administración de IIS
Descripción
Proporciona compresión de contenido dinámico para acelerar su transmisión. No puede guardarse en caché; por tanto, incrementa la carga en tiempo real. Sí
La interfaz de administración primaria de IIS 7 para servidores Web remotos y locales (no se usa para FTP ni SMTP).
Scripts y herramientas de administración de IIS
Se usa para administrar la capacidad de programación de un servidor Web desde un indicador de comandos.
Servicio de administración
Se usa para configurar la interfaz de usuario de IIS 7, el Administrador de Internet Information Services (IIS) y administración remota de IIS 7.
Compatibilidad con la administración de IIS 6
Se usa para ver y administrar secuencias de comandos y aplicaciones de IIS 6.
Compatibilidad con la metabase de IIS 6
Se utiliza para configurar y consultar la metabase usada por secuencias de comandos y aplicaciones de versiones anteriores de IIS.
Compatibilidad con WMI de IIS 6
Permite el uso de la interfaz de escritura de secuencia de comandos, de instrumentación de administración de Windows (WMI) en IIS 7.
Herramientas de script de IIS 6
Permite el uso de herramientas de escritura de secuencia de comandos de IIS 6 en IIS 7.
Consola de administración de IIS 6
Permite el uso de la consola de administración IIS 6, así como la administración de FTP y SMTP.
Servidor FTP
Permite la creación de un servidor FTP.
Consola de administración de FTP
Ofrece opciones para la administración de un servidor FTP.
Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.
1/14/09 1:33:49 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
257
Cuando hace una nueva instalación de Windows Server 2008 y hasta indicar otra cosa, Tareas de configuración inicial se abre automáticamente al concluir la Instalación e iniciar Windows Server. Cuando cierra la ventana Tareas de Configuración inicial, se abre automáticamente el Administrador del servidor. En cualquier momento, también puede abrir el Administrador del servidor e instalar IIS 7 con estos pasos: 1.
Si el Administrador del servidor no se abre automáticamente en su escritorio, haga clic en Inicio|Administrador del servidor. Se abrirá la ventana Administrador del servidor.
2.
En Resumen de funciones, haga clic en Agregar funciones, luego en Siguiente; tras leer Antes de comenzar, aparecerá una lista de las funciones de servidor en Seleccionar funciones de servidor, del Asistente para agregar funciones.
3.
Haga clic en Servidor Web (IIS). Se le pregunta si quiere agregar características requeridas para el Servidor Web (IIS). Haga clic en Agregar características requeridas, luego en Siguiente. Lea Introducción a Servidor Web (IIS) y cualquier información adicional que quiera. Cuando esté listo, haga clic en Siguiente.
4.
De la lista de funciones de servicios, como se observa en la figura 9-1, escoja las que quiera instalar, con base en lo que quiere hacer con el servidor Web (véase la tabla 9-1).
Figura 9-1.
09 MATTHEWS 01.indd 257
IIS 7 tiene muchas características y módulos que se pueden instalar en forma opcional.
1/14/09 1:33:50 PM
258
Windows Server 2008: Guía del Administrador
5.
Cuando esté cómodo con su selección, haga clic en Siguiente. Se muestran funciones y servicios seleccionados. Si cambia de parecer, haga clic en Anterior, realice los cambios necesarios y haga clic en Siguiente. Cuando esté listo, haga clic en Instalar. IIS se instalará con sus selecciones para servicios opcionales y será configurado por el Asistente para agregar funciones.
6.
Cuando la instalación esté completa (puede tomar varios minutos), se le indica que la instalación tuvo éxito. Haga clic en Cerrar, para completar la instalación.
Migre a IIS 7 El proceso de migración o actualización es dependiente del tipo de servidor Web que se actualiza: ▼
Usuarios actuales de IIS La instalación de Windows Server 2008 se actualizará a la versión 7. Una vez que la instalación esté completa, puede ver que IIS se instaló en la ventana Administrador del servidor, como se muestra en la figura 9-2. Instalación y configuración se hacen de manera automática, en su mayor parte y los usuarios actuales de IIS tendrán pocos problemas para hacer la transición a IIS 7
■
Usuarios de otros servidores Web Necesitan transferir opciones de configuración y contenido, además de aplicaciones Web, al entorno de IIS
Figura 9-2. Si está actualizando desde un servidor que ejecuta IIS, IIS 7 se instalará automáticamente.
09 MATTHEWS 01.indd 258
1/14/09 1:33:50 PM
Capítulo 9:
▲
Servicios de información de Internet (IIS) versión 7
259
Sitios con extensiones de servidor de FrontPage La instalación de Windows Server 2008 se actualizará a la versión 7, pero no se actualizarán las extensiones de servidor de FrontPage y el servicio de publicación WWW de IIS se deshabilitará, para no destruir los metadatos de FrontPage. Puede descargar las extensiones de servidor FrontPage para IIS 7 en http://www.iis.net/downloads/
SUGERENCIA Si está actualizando desde un servidor Web de Windows y ha eliminado IIS antes de hacer la actualización mediante Agregar o quitar programas, la instalación de Windows Server 2008 todavía instalará IIS 7.
Planee la migración Cuando una organización tiene uno o varios sitios de Internet, intranet o ambos, la planeación es parte esencial de la migración, para mantener la presencia del sitio. Al elegir una ruta de migración, las consideraciones principales son las siguientes: ▼
Riesgo para el sistema actual y tiempo de reposo total aceptable
■
La función del hardware existente en la nueva instalación
■
Los cambios de contenido esperados para datos Web (¿se esperan las nuevas páginas Web con los nuevos servidores?)
■
La posible carga de red y recursos de red disponibles
▲
Los servicios adicionales que las organizaciones planean agregar
NOTA En algunas organizaciones, cierta cantidad de tiempo de reposo es aceptable y esperado; sin embargo, en otras organizaciones, como los negocios de comercio electrónico, se supone que un sitio Web siempre debe estar disponible. Las migraciones existentes son posibles, con tiempo de reposo de cero, pero resultan muy costosas y es engañoso planearlas. Cuando se pide a la mayoría de administradores que definan tiempos de reposo aceptables del sistema, definen un número muy bajo. Sin embargo, cuando estos mismos administradores se presentan con costos de soporte para mantener dicho número, en general establecen una meta mucho más realista. Así, lo aceptable es encontrar una relación exponencial e inversa entre el tiempo de reposo permitido, recursos y planeación necesarios para que la migración tome lugar (cuanto menos sea el tiempo de reposo, mayor será la planeación).
Métodos de migración Existen al menos tres formas de llevar a cabo una migración a IIS 7, como se describe en las siguientes secciones. NOTA Cuando se actualizan servidores Web de Windows, Windows Server 2008 selecciona automáticamente las opciones de instalación, que coinciden con las del sistema en actualización. Esto significa que IIS sólo se instalará si se encuentra actualmente en un servidor Web de Windows o al eliminarlo con Agregar o quitar programas.
Migre a una instalación limpia de Windows Server 2008 Realizar una instalación limpia de Windows Server 2008 y luego usar el Administrador del servidor para instalar IIS 7 en un
09 MATTHEWS 01.indd 259
1/14/09 1:33:50 PM
260
Windows Server 2008: Guía del Administrador
equipo distinto del servidor Web de producción se denomina servidor de “puesta en funcionamiento”. Migre configuraciones, contenido y aplicaciones del servidor Web de producción al nuevo servidor IIS 7. Pruebe y depure el nuevo servidor antes de implementarlo. Aunque ésta es una solución ideal, tal vez en muchos casos no sea práctica, debido a software, hardware y factores de costo. Hardware necesario
Pros
Contras
Un segundo equipo es necesario, además del servidor Web de producción existente.
Tiempo muerto mínimo. Puede colocar hardware nuevo actualizado en el lugar, al mismo tiempo que realiza la migración. También evita desactivar su servidor Web de producción hasta que se pruebe e implemente el nuevo servidor. Luego de implementar, si se presentan problemas con el nuevo servidor que no aparecieron durante la prueba, puede usar el servidor original como respaldo.
Costo elevado. Tal vez necesite hardware nuevo. Sin embargo, el costo será compensado, al menos parcialmente, por el tiempo ahorrado al realizar la migración, además de detectar y solucionar problemas que puedan ocurrir durante la migración. Si está ejecutando un sitio de comercio electrónico, el ingreso agregado por dejar el sitio activo puede cubrir parte o todo el costo del nuevo equipo.
Migre a un espejo del servidor Web existente Si migra desde un equipo que ejecuta Windows de Microsoft, puede usar este método. En un segundo equipo, un duplicado de hardware del que quiere migrar, copie el disco duro existente en el servidor Web de producción usando un producto como Ghost de Symantec; después emplee la instalación de Windows Server 2008 para actualizar Windows Server 2008 e IIS 7. Las opciones de configuración Web, contenido y aplicaciones deberían estar en el nuevo servidor Web como parte de la creación del espejo. Pruebe y depure el nuevo servidor Web antes de implementarlo. Esta opción le permite verificar aplicaciones de terceros que se instalarán en el nuevo servidor de espejo, para ensayar la compatibilidad con Windows Server 2008 e IIS 7. Hardware necesario
Pros
Contras
Se requiere un segundo equipo, duplicado del servidor Web existente. También necesita un programa como Ghost de Symantec.
Tiempo de reposo mínimo. Puede colocar hardware nuevo actualizado Tiempo muerto mínimo. Puede colocar hardware nuevo actualizado en el lugar, al mismo tiempo que realiza la migración. También evita desactivar su servidor Web de producción, hasta que el nuevo servidor se pruebe e implemente. En seguida de la implementación, si se presentan problemas con el nuevo servidor que no aparecieron durante la prueba, puede usar el servidor original como respaldo.
Costo elevado. Tal vez necesite nuevo hardware. Sin embargo, el costo será compensado, al menos parcialmente, por el tiempo ahorrado al realizar la migración, además de detectar y solucionar problemas que puedan ocurrir durante la migración. Si ejecuta un sitio de comercio electrónico, el ingreso agregado por dejar el sitio activo puede cubrir parte o todo el costo del equipo nuevo.
09 MATTHEWS 01.indd 260
1/14/09 1:33:51 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
261
Actualice el servidor Web de producción Si sus circunstancias lo permiten, puede tomar su servidor Web de producción que ejecuta actualmente Windows e IIS 5 o 6, desactivarlo por tiempo suficiente para actualizarlo y hacer que se instale Windows Server 2008 e IIS 7. Casi todas las opciones de configuración Web, contenido y aplicaciones deben migrar completamente al IIS 7 “existente”, en el servidor Web de producción. No obstante, necesitará probar y depurar completamente el servidor antes de implementarlo. Hardware necesario
Pros
Contras
No se requiere nuevo hardware, a menos que se requiera para ejecutar Windows Server 2008, como en el caso de la memoria.
No hay costo de hardware.
Tiempo muerto. Si la instalación del servidor no se realiza de acuerdo con lo planeado, puede ser uno de esos fines de semanas muy largos (temidos por los administradores). Sin embargo, en casi todas las tiendas de tecnología de la información, donde el costo es un factor, ésta puede ser la opción donde no necesita un segundo servidor.
Implemente la seguridad IIS 7 inicia “bloqueado”. Necesita instalar ciertos procesos IIS para ejecutar aplicaciones que pueden causar daño. Entre los elementos de esta condición de bloqueo se incluyen: ▼
No instalar IIS como opción predeterminada en todas las ediciones de Windows Server 2008, con excepción de Web Server Edition
■
No instalar como opción predeterminada un contenido Web dinámico o servicios de automatización Web, incluidos ASP, ASP.NET, Inclusión del lado del servidor y WebDAV, y autorizar que IIS sólo entregue páginas estáticas. Véase la tabla 9-1 para conocer una lista completa (como opción predeterminada, la Web Edition de Windows Server 2008 tiene ASP y ASP.NET habilitados)
■
No permitir que una aplicación ejecute lo que no se ha asignado ni registrado en IIS
▲
No permitir la edición directa del archivo de configuración de metabase de IIS
No obstante, como opción predeterminada, IIS 7 habilita en todas las ediciones el acceso anónimo a todo, excepto sitios Web administrativos. Esto significa que una vez en ejecución el servidor Web, debe tomarse en cuenta la seguridad. Todos los sitios necesitan algún nivel de seguridad. Es importante asegurar el sitio, pese al tamaño de la compañía o de quién utilizará el sitio; asimismo, es importante considerar usuarios internos y externos. Estadísticamente, es probable que los usuarios de su propia organización requieran directivas de seguridad. Al haber seguridad interna débil, es cuando se presentan los problemas grandes. Al configurar la seguridad, debe desarrollar e implementar directivas para manejar los siguientes problemas:
09 MATTHEWS 01.indd 261
1/14/09 1:33:51 PM
262
Windows Server 2008: Guía del Administrador
▼
Instalación de IIS ¿En qué servidores quiere ejecutar IIS?
■
Contenido Web dinámico ¿Qué tipos de contenido Web dinámico quiere habilitar?
■
Ejecución de aplicaciones ¿Qué extensiones de aplicación quiere asignar en IIS?
■
Configuración de NTFS y permisos IIS ¿Cuáles son las asignaciones a varios grupos?
▲
Certificados de seguridad ¿Cómo se utilizarán y se administrarán?
La instalación de IIS se analizó en páginas previas de este capítulo, mientras la configuración de permisos y el uso de certificados se expondrán brevemente en secciones posteriores de este capítulo y en el 15. En las dos secciones siguientes se analiza la habilitación de contenido Web dinámico y aplicaciones.
Habilite el contenido Web dinámico Debido a que, como opción predeterminada, no se instalan servicios de contenido Web dinámico, como ASP y ASP.NET, proporcionados para ejecutar secuencias de comandos y aplicaciones en el servidor Web, para habilitarlas sólo necesita instalarlas. En Windows Server 2008, esto significa añadir servicios completos en el Administrador del Servidor (debe ser miembro de la función Administrador del servidor Web, en el servidor local):
09 MATTHEWS 01.indd 262
1.
Haga clic en Inicio, luego en Administrador del servidor. En el árbol del Administrador del servidor, a la izquierda, abra Funciones y haga clic en Servidor Web (IIS).
2.
En el panel de contenido, a la derecha, desplácese hacia abajo, hasta ver Servicios de función, como se ilustra en la figura 9-3.
3.
Haga clic en Agregar servicios de función. Haga clic en los servicios de función deseados. Si aparece el cuadro de diálogo Agregar servicios de función, haga clic en Agregar características requeridas. Cuando esté listo, haga clic en Siguiente.
4.
Revise la lista de servicios de función a ser instalados. Si quiere cambiar algo, haga clic en Anterior. De otra forma, haga clic en Instalar.
5.
Cuando el proceso esté completo, se le notificarán los servicios de función que se instalaron en forma apropiada. Haga clic en Cerrar y cierre el Administrador del servidor.
1/14/09 1:33:51 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
263
Figura 9-3. Habilite el contenido dinámico añadiendo servicios de función específicos requeridos en el Administrador del servidor.
PERSONALICE Y MANTENGA IIS 7 Tras completar la instalación de IIS, se administra con el Administrador de Internet Information Services (IIS). El Administrador de Internet Information Services (IIS) permite la administración de componentes y servicios de IIS, además de sitios Web hospedados. Puede abrirse mediante el Administrador del servidor el menú Herramientas administrativas o la línea de comandos. El administrador IIS es el mismo en todos los casos. La vista del Administrador del servidor se muestra en la figura 9-4.
09 MATTHEWS 01.indd 263
1/14/09 1:33:52 PM
264
Windows Server 2008: Guía del Administrador
Figura 9-4.
El administrador IIS abierto en el Administrador del servidor.
Las tres opciones para abrir el Administrador de Internet Information Services (IIS) (Administrador del servidor, menú Herramientas administrativas y línea de comandos) se aplican de la siguiente forma: ▼
Haga clic en el icono del Administrador del servidor, en la barra de herramientas Inicio rápido. En el árbol del Administrador del servidor, a la izquierda, abra Funciones y Servidor Web y haga clic en el Administrador de Internet Information Services (IIS). Dependiendo de los servicios de función instalados, su ventana Administrador del servidor deberá verse parecida a la figura 9-4
SUGERENCIA También puede abrir el Administrador del servidor, al hacer clic derecho en Equipo y luego en Administrar. ■
09 MATTHEWS 01.indd 264
Haga clic en Inicio y en seguida en Herramientas administrativas|Administrador de Internet Information Services (IIS), como se observa en la figura 9-5. Se abre el Administrador de Internet Information Services (IIS) de manera independiente
1/14/09 1:33:52 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
265
SUGERENCIA Para abrir de manera más sencilla el Administrador de IIS en el futuro, arrastre al escritorio la opción Administrador de Internet Information Services (IIS), del menú Herramientas administrativas con el botón derecho (oprima y deje oprimido el botón derecho del ratón conforme lo hace) o arrastre a la barra Inicio rápido y haga clic en Copiar aquí. ▲
Haga clic en Inicio, luego en Ejecutar. Escriba inetmgr y oprima enter. Se abrirá de nuevo el Administrador de Internet Information Services (IIS) en una ventana independiente
En todos los casos, la ventana del Administrador de Internet Information Services (IIS) es la misma. Esto abrirá el acceso a componentes y servicios de IIS, que varían dependiendo de los servicios de función instalados, además de la capacidad para administrar sitios Web.
Use el Administrador de Internet Information Services (IIS) El Administrador de Internet Information Services (IIS), mostrado en las figuras 9-4 y 9-5, posee varios controles para personalizar la manera en que opera el servidor Web, para mantener un nivel de operación alto, a la vez que administrar sitios Web y aplicaciones. Existen cuatro elementos en las ventanas Administrador de Internet Information Services (IIS): Barra de navegación, panel Conexiones, Espacio de trabajo y panel Acciones. Hay un quinto elemento en la ventana, aunque no en el Administrador del servidor: los menús (Archivo, Ver y Ayuda).
09 MATTHEWS 01.indd 265
1/14/09 1:33:52 PM
266
Windows Server 2008: Guía del Administrador
Figura 9-5. El Administrador de Internet Information Services (IIS) se abre de manera independiente, desde Herramientas administrativas y la línea de comandos.
Barra de navegación La barra de navegación, en la parte superior de la ventana Administrador de Internet Information Services (IIS), es muy similar a la barra de dirección en el Explorador de Windows, con los siguientes controles: ▼ Los botones Atrás y Adelante se desplazan una página en cualquiera de ambas
direcciones ■
Conexiones de servidor permite la selección del servidor que se administrará y sus conexiones
■
Actualizar página actualiza la página desplegada actualmente
■
Detener detiene la acción actual
■
Página principal abre la página principal del servidor Web seleccionado o el sitio Web
▲ Ayuda abre la Ayuda de IIS
Panel Conexiones El panel Conexiones, a la izquierda de la ventana del Administrador de Internet Information Services (IIS), provee los medios para navegar dentro de un servidor; entre los sitios
09 MATTHEWS 01.indd 266
1/14/09 1:33:52 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
267
Web y aplicaciones en un servidor; en un sitio Web y dentro de un almacén de aplicaciones. El árbol de navegación opera de forma similar al de carpetas en el Explorador de Windows, con la capacidad para abrir y cerrar nodos. En la parte superior del panel Conexiones se encuentra la barra de herramientas Conexiones, que contiene hasta cuatro botones, dependiendo de su instalación y permisos: ▼
Crear nueva conexión permite conectarse a un servidor Web adicional, sitio Web o aplicación usando el asistente para conexión
■
Guardar conexiones actuales guarda el conjunto de conexiones actuales desplegado en el panel Conexiones
■
Subir lo lleva un nivel arriba en el panel Conexiones
▲
Eliminar conexión elimina el nodo seleccionado en el árbol Conexiones
Espacio de trabajo El espacio de trabajo en el centro de la ventana Administrador de Internet Information Services (IIS) tiene dos vistas: Vista características y Vista contenido. En las figuras 9-4 y 9-5 se muestra la Vista características predeterminada. Con la instalación mínima predeterminada de IIS, se pueden utilizar 15 características para administrar IIS:
09 MATTHEWS 01.indd 267
▼
Autentificación se utiliza para determinar la manera en que los usuarios acceden al servidor Web o, si están en un sitio Web, la manera en que acceden a éste. Como opción predeterminada, se habilita la autentificación anónima y debe deshabilitarse si quiere usar otros tipos de autentificación, para la instalación de servicios de función para esos tipos. Véase “Instale IIS 7” y la tabla 9-1, presentadas en páginas anteriores de este capítulo
■
Compresión reduce el tamaño de los archivos enviados a exploradores para manejar la compresión y, como resultado, acelerar la transmisión. Como opción predeterminada, se habilita la compresión de archivos estáticos, pero no la de archivos dinámicos (véase la tabla 9-1), debido a los recursos de CPU utilizados en archivos dinámicos comprimidos, simultáneamente conforme se transmiten
■
Documento predeterminado especifica los nombres de archivo que pueden usarse en un sitio Web hospedado y abrirse automáticamente cuando el usuario de sitio Web no especifica nombre
■
Examen de directorios permite a un usuario de sitio Web ver y explorar carpetas y archivos del sitio Web. Aquí no sólo puede habilitar un directorio, deshabilitado como opción predeterminada, sino también especificar la información disponible
■
Páginas de errores crea y administra mensajes de error personalizados o páginas Web que se devolverán a los usuarios del sitio Web cuando encuentran determinado código de estado. En la figura 9-6 se muestra una lista de las páginas predeterminadas en uso. Se trata de archivos HTML que puede editar o reemplazar directamente en la página predeterminada, con otra página o URL
■
Asignaciones de controlador determina la manera en que un servidor Web responde a solicitudes de tipos específicos de archivos y carpetas. Por ejemplo, en el caso de un archivo estático, se devuelve el propio archivo
1/14/09 1:33:53 PM
268
Windows Server 2008: Guía del Administrador
Figura 9-6.
09 MATTHEWS 01.indd 268
IIS inicia con un conjunto de páginas de error que puede cambiar o reemplazar.
■
Encabezados de respuesta HHTP define información específica (“encabezado”) acerca de una página Web y especifica el o los valores relacionados con ese encabezado. Por ejemplo, un encabezado denominado “autor” tendría al autor o autores de la página
■
Registro determina cómo y cuándo IIS registra información acerca del servidor Web, sitio Web o aplicación. Puede determinar cuándo inician nuevos registros y qué información se recolecta
■
Tipos MIME administra la lista de tipos de página de extensiones de correo multipropósito de Internet (MIME, Multipurpose Internet Mail Extensions) que puede regresar el servidor Web
■
Módulos administra la lista de módulos de código usados por el servidor Web para procesar solicitudes
■
Almacenamiento en caché de resultados determina los tipos de archivos almacenados en caché y la manera en que se hace
■
Certificados de servidor pide y administra certificados enviados a sitios Web hospedados por sus operaciones seguras
■
Procesos de trabajo muestra y administra aplicaciones (“procesos de trabajo”) ejecutadas en el servidor Web, que muestran porcentaje de CPU y cantidad de memoria utilizada
■
Delegación de características determina si cada una de las configuraciones de características anteriores puede ser de sólo lectura o lectura y escritura, como se muestra en la figura 9-7
▲
Configuración compartida determina si la configuración y las claves de cifrado del servidor Web se comparten con otro servidor Web IIS
1/14/09 1:33:53 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
269
Figura 9-7. Cuando delega en el nivel de servidor Web, también lo hace en el nivel de sitio Web. Cuando delega en el nivel de sitio Web, también lo hace en el nivel de aplicación Web.
Panel Acciones El panel Acciones, a la derecha de la ventana Administrador de Internet Information Services (IIS), despliega acciones disponibles para las características seleccionadas en el Espacio de trabajo, como verá en las figuras 9-6 y 9-7.
Administre servidores Web de forma remota Debido a que no siempre es conveniente realizar tareas de administración en el equipo que ejecuta el servidor Web IIS, IIS 7 ofrece una capacidad de administración remota. Para facilitar esto, primero debe habilitar el Servicio de administración. SUGERENCIA También puede administrar de forma remota un servidor Web, al abrir el escritorio de cualquier equipo en que tiene permiso, usando la Terminal Servicios de Windows Server 2008, como se explicará en el capítulo 11, para abrir el Administrador de Internet Information Services (IIS) del servidor remoto desde ese escritorio.
09 MATTHEWS 01.indd 269
1/14/09 1:33:53 PM
270
Windows Server 2008: Guía del Administrador
Instale Servicio de administración Servicio de administración le permite activar y configurar la administración remota de un servidor Web, además de delegar la administración de servidor Web a no administradores. Como opción predeterminada, Servicio de administración no está instalado. Para instalarlo: 1.
Haga clic en Inicio|Administrador del servidor. En el árbol del servidor en la parte izquierda de la pantalla, abra Funciones y dé clic en Servidor Web (IIS).
2.
Bajo Servidor Web (IIS), a la derecha, recorra la pantalla hacia abajo y haga clic en Agregar servicios de función.
3.
En el Asistente para Agregar servicios de función, diríjase hacia abajo en la lista Servicios de función, hasta hacer clic en Servicio de administración. Si se le pregunta, haga clic en Agregar características requeridas.
4.
Haga clic en Siguiente y después en Instalar. Cuando la instalación esté completa, haga clic en Cerrar.
Configure Servicio de administración Una vez instalado, Servicio de administración se vuelve una característica de IIS para configurarse desde IIS. Como opción predeterminada no se ejecuta y es necesario iniciarlo. Hágalo así y configúrelo con estos pasos:
09 MATTHEWS 01.indd 270
1.
Abra el Administrador de Internet Information Services (IIS), ya sea al hacer doble clic en su icono del escritorio, si lo puso ahí como se sugirió antes, o al hacer clic en Inicio|Herramientas administrativas|Administrador de Internet Information Services (IIS). Se abrirá el Administrador de Internet Information Services (IIS), con una nueva página de inicio, como se muestra en la figura 9-8.
2.
En el panel de la derecha, en la página de inicio, haga clic en Conectarse a localhost, bajo Tareas de conexión.
3.
En el panel central de Espacio de trabajo, busque la sección Administración y haga doble clic en Servicio de administración.
1/14/09 1:33:54 PM
Capítulo 9:
Figura 9-8.
Servicios de información de Internet (IIS) versión 7
271
La página de inicio de IIS aparece cuando se inicia el Administrador de servicio.
4.
En el espacio de trabajo de Servicio de administración, haga clic en Habilitar conexiones de manera remota y haga cualquier otro cambio a la configuración que sea correcto para su situación. Mis configuraciones se muestran en la figura 9-9.
5.
En el panel Acciones, haga clic en Iniciar. Se le pregunta si quiere guardar las configuraciones de servicio. Haga clic en Sí. Se inicia el servicio y se inmovilizan las configuraciones.
Use administración remota de IIS Una vez que los servicios de administración funcionan, puede abrir y administrar cualquier servidor IIS en la red de área local con los permisos apropiados. Aquí se muestra cómo:
09 MATTHEWS 01.indd 271
1.
Abra Administrador de Internet Information Services (IIS) al hacer doble clic en su icono en el escritorio o al hacer clic en Inicio|Herramientas administrativas|Administrador de Internet Information Services (IIS).
2.
En la página de inicio, haga clic en Conectarse a un servidor. Se abrirá el asistente Conectar a servidor.
1/14/09 1:33:54 PM
272
Windows Server 2008: Guía del Administrador
Figura 9-8. Debe iniciarse Servicio de administración para administrar un servidor Web de forma remota.
3.
Inserte el nombre del equipo (el nombre de un equipo en la red, como “Servidor2”, o puede ser una dirección IP, como 192.168.57.62), haga clic en Siguiente, escriba el nombre de usuario y contraseña y haga clic en Siguiente. Si se le pregunta acerca de un certificado, haga clic en Conectar y, cuando indique que la nueva conexión se creó con éxito, haga clic en Finalizar. El nuevo servidor aparecerá en el árbol de servidor, en la parte izquierda del Administrador de Internet Information Services (IIS).
NOTA El puerto administrativo predeterminado en el servidor es 8172, como tal vez haya notado al configurar Servicio de administración. Si deja ese puerto, no necesita especificar el puerto cuando inserta el nombre de servidor. Si utiliza algún otro puerto, necesitará insertarlo. Por ejemplo, “Servidor2:8081” o “192.168.57.62:8081”.
4.
09 MATTHEWS 01.indd 272
Abra el nuevo servidor y después las carpetas bajo éste, como se muestra en la figura 9-10. Cuando haya terminado de revisar el servidor remoto, cierre el Administrador de Internet Information Services (IIS).
1/14/09 1:33:54 PM
Capítulo 9:
Figura 9-10.
Servicios de información de Internet (IIS) versión 7
273
Administración remota de un servidor Web IIS.
Cree sitios Web Una vez que se hayan configurado servidor y administración, IIS 7 puede hospedar y administrar los sitios Web, con la capacidad para manejar uno o varios sitios. Cada sitio puede aparecer como ubicación separada para los navegadores Web de Internet. Cuando instala IIS 7, se configura un sitio Web predeterminado. Puede publicar su contenido en este sitio de forma inmediata. Sin embargo, casi todas las organizaciones inician con un sitio nuevo, para personalizarse de acuerdo con las necesidades de la organización. Puede agregar nuevos sitios a un equipo al lanzar el Asistente para creación de sitio Web con las siguientes instrucciones: 1.
09 MATTHEWS 01.indd 273
En el Administrador de Internet Information Services (IIS) (que se abre mediante Inicio|Herramientas administrativas|Administrador de Internet Information Services [IIS]), abra el servidor deseado como host y dé clic en la carpeta Sitios.
1/14/09 1:33:55 PM
274
Windows Server 2008: Guía del Administrador
2.
En el panel Acciones, haga clic en Agregar sitio Web. Se abrirá el cuadro de diálogo Agregar sitio Web. Ingrese un nombre para el sitio e inserte o explore la ubicación física de los archivos del sitio Web.
3.
Bajo Enlace, inserte los elementos de la dirección que requiere enlazar a este sitio (consulte la NOTA relacionada). Por ejemplo, escriba la dirección IP que habrá de usarse con el sitio o abra el cuadro desplegable y dé clic en la dirección IP del servidor. Acepte el puerto predeterminado 80 y deje Nombre de host en blanco.
NOTA Cada sitio debe tener al menos un componente único de tres elementos de dirección (dirección IP, puerto TCP o nombre de host); de otra forma, el sitio no iniciará y obtendrá un mensaje de error indicando el problema cuando intenta instalarlo. Consulte “Hospede varios sitios”, en la sección siguiente.
4.
Cuando esté listo, haga clic en Aceptar. El nuevo sitio aparecerá en el Administrador de Internet Information Services (IIS), como se muestra en la figura 9-11.
5.
Haga clic en Examinar sitio Web para abrir el verdadero sitio Web en su explorador predeterminado.
Hospede varios sitios Varios sitos Web pueden hospedarse de manera simultánea en un solo equipo al ejecutar IIS. Esto da la apariencia de sitios separados y distintos al navegante Web. Cada servidor IIS tiene capacidad para hospedar uno o más nombres de dominio. Por esta razón, los sitios son algunas veces conocidos como servidores virtuales.
09 MATTHEWS 01.indd 274
1/14/09 1:33:55 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
275
Figura 9-11. El sitio Web predeterminado está enlazado a un puerto TCP, mientras el segundo sitio está enlazado a una dirección IP.
Un sitio Web tiene tres elementos usados para identificarse en Internet o intranet. Cuando se consulta, debe tener la capacidad para responder con cada una de las siguientes configuraciones: ▼
Número de puerto
■
Dirección IP
▲
Nombre de encabezado host
Al cambiar uno de estos tres identificadores, puede hospedar varios sitios en un solo equipo:
09 MATTHEWS 01.indd 275
▼
Números de puerto Al utilizar números de puerto adjuntos, su sitio sólo necesita una dirección IP para hospedar más de un sitio. Para llegar a su sitio, los clientes necesitarían adjuntar un número de puerto (a menos que utilicen el número de puerto predeterminado, 80) al final de la dirección IP estática. El uso de este método de hospedaje de varios sitios requiere que los clientes escriban la dirección IP numérica real seguida por un número de puerto, por ejemplo: 192.168.57.62:81. No se pueden utilizar nombres de host ni “nombres amigables”
■
Varias direcciones IP Para usar varias direcciones IP, debe agregar el nombre de host y dirección IP correspondiente a su sistema de resolución de nombre, que es DNS en Windows Server 2008. Entonces los clientes sólo necesitan escribir el nombre
1/14/09 1:33:55 PM
276
Windows Server 2008: Guía del Administrador
de texto en un explorador para llegar a su sitio Web. Es posible hospedar varias direcciones IP en la misma tarjeta de red NOTA Si usa el método de varias direcciones IP para hospedar varios sitios en Internet, también necesitará registrar los nombres de texto con un registrador acreditado InterNIC. Puede encontrar una lista de registradores acreditados InterNIC en http://www.internic.net/. ▲
Nombres de encabezado de host Los sitios también emplean nombres de encabezado de host con una dirección IP estática para hospedar varios sitios. Al igual que con el método anterior, todavía tendría que agregar el nombre de host a su sistema de resolución de nombres. La diferencia es que tan pronto llega una solicitud al equipo, IIS emplea el nombre de host asignado en el encabezado HTTP para determinar qué sitio solicita un cliente. Si está utilizando este método para hospedar varios sitios en Internet, también necesitará registrar los nombres de encabezado de host con InterNIC
NOTA Esté consciente de que los exploradores antiguos no dan soporte a nombres de encabezado de host. Sólo funcionarán IE 3.x y posterior, o Netscape Navigator 3.x y posterior.
Casi todo el hospedaje de varios sitios Web se hace con varios encabezados de host.
Administración del sitio Web Siempre que su sitio esté en una intranet o Internet, los principios para publicar información son los mismos. Aquí se muestran los pasos: 1.
Los archivos Web se colocan en directorios en el servidor.
2.
Los directorios se identifican en IIS como pertenecientes a un sitio Web.
3.
Cuando el usuario establece una conexión HTTP con ese sitio, IIS envía los archivos solicitados al explorador del usuario.
Aunque el proceso para almacenar archivos es simple, parte del trabajo del administrador del sitio Web debe consistir en determinar cómo se implementa el sitio, en qué forma evolucionará éste y el almacenamiento. La mayoría de administradores Web exitosos se mantienen ocupados acomodando el contenido Web que cambia de manera constante. Retírese un minuto del contenido y revise los conceptos de administración de la infraestructura de un sitio Web, desde solicitudes de redireccionamiento hasta modificación dinámica de páginas Web.
Defina directorios principales Cada sitio Web debe tener un directorio principal, donde se almacena la información del sitio raíz. Cuando un usuario inicia sesión en un sitio específico, IIS conoce directorio principal y primer documento predeterminado que todos los usuarios ven cuando se conectan, ofreciendo ese documento al explorador del usuario que lo pide para su traducción y despliegue. Por ejemplo, si el nombre de dominio de Internet del sitio es www.miempre-
09 MATTHEWS 01.indd 276
1/14/09 1:33:55 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
277
sa.com, su directorio inicial es C:\website\mysite\, mientras el documento predeterminado es Default.htm; entonces los exploradores usarán el URL www.miempresa.com, que causa el acceso de IIS a su directorio inicial C:\website\mysite\ y también la transmisión del archivo Default.htm. En una intranet, si su nombre de servidor es Mercadotecnia, entonces los exploradores usarán el URL http://mercadotecnia para acceder a los archivos de su directorio principal. Cuando se instala IIS o crea un nuevo sitio Web, se crea un directorio principal predeterminado. Las propiedades del sitio Web determinan la ubicación de los archivos.
Cambie el directorio principal Cuando configura sitios Web y FTP en el mismo equipo, se especifica un directorio inicial diferente para cada servicio (WWW y FTP). El directorio inicial predeterminado para el servicio WWW es C:\inetpub\wwwroot\. El directorio predeterminado para el servicio FTP es C:\ inetpub\ftproot\. El directorio inicial puede cambiar a cualquier ubicación de la red y presentarse como URL o expresión de ruta. Aquí se muestra cómo cambiar el directorio de inicio: 1.
En el Administrador de Internet Information Services (IIS), abra servidor local y carpeta Sitios, haga clic en Default Web Site para elegirlo y haga clic en Configuración básica en el panel Acciones.
2.
Vaya a Ruta de acceso física y escriba el nombre de ruta, el nombre compartido o URL (sólo WWW) de su directorio, como se muestra a continuación, para el sitio Web predeterminado. Tiene las siguientes opciones:
▼
Un directorio ubicado en un disco duro de su equipo
■
Un directorio compartido ubicado en otro equipo
▲
Un redireccionamiento a un URL (no disponible con FTP)
Directorios virtuales Los directorios virtuales permiten acceder a archivos ubicados en un directorio ajeno al directorio principal. Es una gran ventaja cuando intenta acceder a información para publicar en una intranet alojada en varias ubicaciones de la red. El uso de directorios virtuales es una
09 MATTHEWS 01.indd 277
1/14/09 1:33:56 PM
278
Windows Server 2008: Guía del Administrador
forma de vincular esta información de manera más sencilla. Para el explorador, todo parece estar en una misma ubicación. Para el administrador que debe recolectar todo, tal vez sea más sencillo almacenar los datos de cada persona en un directorio virtual separado. Un directorio virtual cuenta con un alias que el explorador Web utiliza para acceder a dicho directorio. Como beneficio agregado, el uso de un alias suele ser más conveniente que escribir una ruta de acceso larga y un nombre de archivo. Se hace innecesario cambiar el URL del sitio cuando cambia el directorio; sólo es indispensable que cambie la asignación entre alias y ubicación física.
Cree directorios virtuales Tiene la opción de crear directorios virtuales para incluir esos archivos en su sitio Web, ubicado en directorios distintos del principal. Para usar un directorio en otro equipo, especifique nombre de convención universal de asignación de nombres (UNC, Universal Naming Convention) del directorio, bajo la forma \\nombredeservidor\ unidad\ruta\nombredearchivo; provea nombre de usuario y contraseña para el permiso de acceso. Use los siguientes pasos para crear un directorio virtual: 1.
En el panel Conexiones, del Administrador de Internet Information Services (IIS), haga clic en el sitio Web al que quiere añadir un directorio virtual.
2.
En el panel Acciones, haga clic en Agregar directorio virtual (o clic derecho en el sitio y después seleccione esta misma opción en el menú contextual). Se abrirá el cuadro de diálogo Agregar directorio virtual.
3.
Inserte el alias que quiere utilizar e inserte o explore la ruta que contiene los archivos reales.
4.
Haga clic en Aceptar. El directorio virtual aparecerá en el Administrador de Internet Information Services (IIS), como se indica en la figura 9-12.
Elimine directorios virtuales Para eliminar un directorio virtual, recurra a los siguientes pasos:
09 MATTHEWS 01.indd 278
1.
En el panel Conexiones, del Administrador de Internet Information Services (IIS), dé clic en el sitio Web con el directorio virtual que quiere eliminar.
2.
En el panel Acciones, haga clic en Ver directorios virtuales, en el directorio y luego en Quitar, en el panel Acciones. Haga clic en Sí, mientras esté seguro de que quiere eliminar el elemento.
1/14/09 1:33:56 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
279
Figura 9-12. Los directorios virtuales permiten hacer referencia a archivos fuera del directorio principal del sitio.
NOTA La eliminación de un directorio virtual no suprime directorio ni archivos físicos correspondientes.
Detección y resolución de problemas de IIS Muchos problemas afectan el rendimiento de IIS y sitios Web hospedados. Los problemas tienen cuatro causas principales: hardware, software, actividad de sitio y configuraciones incorrectas. El truco está en determinar cuáles de éstos están involucrados y después implementar una reparación. IIS 7 y el hardware que lo ejecuta son muy complejos e incluyen gran cantidad de áreas que pueden utilizar configuraciones alternas. Además, efectuar cambios en un área puede tener consecuencias no previstas en otra. Para atacar la complejidad de esta situación, IIS 7 ha implementado varias herramientas nuevas y mejores para diagnosticar problemas, además de varias características que facilitan la resolución de problemas. Un beneficio muy obvio de IIS 7 es su diseño modular, que permite suspender la instalación de servicios de función o características que no están en uso y, por tanto, eliminar dicha área para evitar que sea un problema. Diagnóstico y resolución de problemas de servidores Web comienzan por aprender cuanto puedan respecto a lo que pasa; para ellos, se empieza por examinar los mensajes de
09 MATTHEWS 01.indd 279
1/14/09 1:33:56 PM
280
Windows Server 2008: Guía del Administrador
error. Entonces podrá revisar los registros que IIS mantiene de la actividad Web e intenta dar seguimiento a la manera en que responde el sitio a solicitudes Web. Por último, puede buscar el rendimiento del servidor y ver dónde se encuentran los cuellos de botella.
Revisión de los mensajes de error Como opción predeterminada, los mensajes de error producidos por Internet Explorer (IE) son “amigables” y poco informativos, como se muestra en la figura 9-13. Es posible mejorar esto al desactivar la característica “amigable”: 1.
Haga clic en Inicio|Todos los programas|Internet Explorer.
2.
En la barra de herramientas de Internet Explorer, haga clic en Herramientas|Opciones de Internet y clic en la ficha Opciones avanzadas.
3.
Recorra hacia abajo la lista de opciones y, bajo el encabezado Examinar, haga clic para quitar la marca de Mostrar mensajes de error HTTP descriptivos.
Figura 9-13. Los mensajes de error predeterminados de Internet Explorer no son muy informativos.
09 MATTHEWS 01.indd 280
1/14/09 1:33:57 PM
Capítulo 9:
09 MATTHEWS 01.indd 281
Servicios de información de Internet (IIS) versión 7
281
4.
Intente abrir de nuevo la página que generó el error. Si todavía obtiene el mismo error o uno con todavía menos información, intente revisar el mensaje de error en IE, en el equipo servidor. Aquí, como opción predeterminada, deberá ver mensajes de error detallados, como se muestra en la figura 9-14.
5.
Si obtiene mensajes de error “amistosos” cuando abre IE directamente en el servidor, abra el Administrador de Internet Information Services (IIS), haga clic en el sitio Web, en el árbol Conexiones, en la parte izquierda, haga doble clic en Páginas de errores, en el centro del panel Espacio de trabajo, y en el panel Acciones haga clic en Modificar configuración de características.
6.
En el cuadro de diálogo Modificar configuraciones de páginas de errores, haga clic en Errores detallados para solicitudes… luego en Aceptar. Ahora, cuando abra el sitio con error, obtendrá un mensaje detallado como el mostrado en la figura 9-14.
1/14/09 1:33:57 PM
282
Windows Server 2008: Guía del Administrador
Figura 9-14. En las páginas de error detalladas obtendrá sugerencias sobre causas y posibles reparaciones.
Revise los registros IIS 7 mantiene extensos registros de lo que ocurre en un servidor Web y sitios hospedados. Puede personalizar estos registros de acuerdo con sus necesidades y revisarlos de manera sencilla. 1.
09 MATTHEWS 01.indd 282
Haga clic en Inicio|Herramientas administrativas|Administrador de Internet Information Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en el servidor cuyos registros quiere configurar; si es necesario, desplácese hacia abajo en el panel Espacio de trabajo y haga doble clic en Registro.
1/14/09 1:33:57 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
283
2.
Efectúe cualquier cambio deseado a Registro, observe el directorio donde se mantienen los registros y, en el panel Acciones, haga clic en Aplicar. Intente abrir el sitio Web.
3.
Haga clic en Inicio|Equipo y navegue al directorio examinado en el último paso (%SystemDrive% suele ser la unidad C:). Despliegue las carpetas en el panel de la izquierda; si no están allí, abra las carpetas Logs y LogFiles y haga doble clic en el archivo de registro del día que quiera revisar. Se abrirá el Bloc de notas y desplegará el archivo de registro.
La línea #Fields: del archivo de registro muestra los campos desplegados. (Puede controlar los campos mostrados al hacer clic en Campos, en la característica Registro.) El significado de los campos predeterminados se muestra en la tabla 9-2.
09 MATTHEWS 01.indd 283
1/14/09 1:33:58 PM
284
Windows Server 2008: Guía del Administrador
Nombre de campo
Descripción
date time s-ip cs-method cs-uri-stem
La fecha en que ocurrió la solicitud. La hora en que ocurrió la solicitud. La dirección IP del servidor. Método HTTP utilizado en la solicitud. Identificador universal de recursos (URI) que es el objetivo de la solicitud. Dirección del puerto del servidor. Nombre del usuario autentificado. Un guión es un usuario anónimo. Dirección IP del usuario. El explorador utilizado para generar la solicitud. Código de estado HTTP (código de error, como 404). Código de subestado HTTP (código decimal de error, como 1 en 404.1). Código de estado de Windows. Tiempo que toma la solicitud en milisegundos.
s-port cs-username c-ip cs (user-agent) sc-status sc-substatus sc-win32-status Time-taken Tabla 9-2.
Campos predeterminados utilizados en archivos de registro de IIS.
Los códigos de estado y subestado HTTP se describen en varios lugares de Internet, pero tal vez el mejor sea TechNet de Microsoft en: http://technet2.microsoft.com/windowsserver/en/library/852e7f92-58c347f3-8b37-8a630839a90d1033.mspx\mfr=true.
Los métodos HTTP se describen en: http://www.w3.org/Protocols/rfc2616/rfc2616sec9.html.
Implemente el seguimiento Seguimiento, un servicio de función de IIS 7 que no está instalado como opción predeterminada, da seguimiento a solicitudes fallidas para diagnóstico y resolución de problemas del rendimiento Web. Cuando instala, puede establecer un conjunto de reglas que generarán entradas de registro mientras las reglas se cumplan. Las reglas pueden especificar códigos de estado, métodos y demás productos finales. Utilice los siguientes pasos para instalar el servicio de la función, configurar las reglas e implementar el seguimiento: 1.
09 MATTHEWS 01.indd 284
Haga clic en Inicio|Administración del servidor. En el árbol Administrador del servidor, en la parte izquierda, abra Funciones y dé clic en Servidor Web (IIS). Desplácese hacia abajo, en el panel de la derecha y haga clic en Agregar servicios de función.
1/14/09 1:33:58 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
285
2.
Desplácese a Servicios de función, haga clic en Seguimiento y luego en Siguiente, en Instalar y luego en Cerrar.
3.
Haga clic en Inicio|Herramientas administrativas|Administrador de Internet Information Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en el sitio Web al que quiere dar seguimiento.
4.
En el panel Acciones, bajo Configurar, dé clic en Seguimiento de solicitudes con error, clic en Habilitar, realice cualquier cambio deseado en directorio, número máximo de archivos de seguimiento o ambos y clic en Aceptar.
5.
Desplácese el Espacio de trabajo, en el centro, y haga doble clic en Reglas de seguimiento de solicitudes con error.
6.
En el panel Acciones, haga clic en Agregar, seleccione el contenido al que dará seguimiento y clic en Siguiente. Seleccione las condiciones e inserte las especificaciones que generarán una entrada de registro de seguimiento. Seleccione los proveedores de seguimiento y clic en Finalizar. La norma se agregará a las reglas de seguimiento.
7.
Haga clic en Inicio|Equipo, navegue al directorio C:\inetpub\logs\FailedReqLogFiles y abra la carpeta que ve. Por último, haga doble clic en el archivo XML. Internet Explorer abrirá y desplegará el resumen.
8.
Haga clic en la ficha Vista compacta, para ver los pasos de seguimiento y detalle de cada paso, como se ilustra en la figura 9-15.
Revise el rendimiento del servidor A medida que aumenta el tráfico del servidor Web y comienza a escuchar quejas acerca de sitios lentos, querrá ver el rendimiento del servidor. El “servidor”, por supuesto, cubre mucho, incluidos uso de memoria, carga del CPU, velocidad del disco y tráfico de red. El Monitor de confiabilidad y rendimiento, mostrado en la figura 9-16, puede darle una idea sustancial del rendimiento de su hardware.
09 MATTHEWS 01.indd 285
1/14/09 1:33:58 PM
286
Windows Server 2008: Guía del Administrador
Figura 9-15.
El seguimiento puede darle muy buena idea de lo que está causando el problema.
Cuando diagnostique y repare problemas de IIS, necesita recolectar una línea base contra la que pueda comparar los problemas. Para ello, aplique una carga de red típica y registre características de rendimiento del servidor, al utilizar el Monitor de confiabilidad y rendimiento (“Perfmon”). Esto proporciona una imagen de la manera en que se evalúa el servidor en relación con CPU, disco, red y memoria. Después, cuando el rendimiento sea cuestionable, puede comparar la línea base con la situación actual y determinar dónde ocurre un posible cuello de botella. Abra el Monitor de confiabilidad y rendimiento y después considere y seleccione las medidas de rendimiento que quiere utilizar para establecer una línea base para su servidor Web. 1.
09 MATTHEWS 01.indd 286
Haga clic en Inicio|Herramientas administrativas|Monitor de confiabilidad y rendimiento o, de forma alterna, haga clic en Inicio, clic en Iniciar búsqueda, escriba Perfmon y oprima enter. Se abrirá el Monitor de confiabilidad y rendimiento, como se muestra en la figura 9-16.
1/14/09 1:33:58 PM
Capítulo 9:
Figura 9-16.
09 MATTHEWS 01.indd 287
Servicios de información de Internet (IIS) versión 7
287
El Monitor de confiabilidad y rendimiento da seguimiento al uso de recursos.
2.
Haga clic en las flechas hacia abajo, en la parte derecha de cada una de las áreas de recursos (CPU, Disco, Red y Memoria) y considere la forma en que la información puede serle de utilidad.
3.
En el panel de la izquierda, abra Herramientas de supervisión y haga clic en Monitor de rendimiento. Al principio, sólo verá el tiempo del procesador. Haga clic en Agregar (la “X” verde en la barra de herramientas). En el cuadro de diálogo Agregar contadores, que se abre, desplácese hacia abajo en la lista de contadores disponibles y dé doble clic en los que esté interesado.
4.
Haga clic en los contadores que quiera rastrear y haga clic en Agregar. Apenas haya agregado todos los contadores que le interesan, haga clic en Aceptar. El Monitor de rendimiento desplegará el seguimiento de todos los contadores que añadió, como se muestra en relación con mis opciones, en la figura 9-17 (tal vez obtenga más información de seguimiento de la que pueda leer).
1/14/09 1:33:59 PM
288
Windows Server 2008: Guía del Administrador
Figura 9-17. El Monitor de confiabilidad y rendimiento le permite dar seguimiento a varias medidas de rendimiento.
El número de medidas de rendimiento o contadores y su diversidad puede ser atemorizante. En el cuadro de diálogo Agregar contadores, obtendrá más información acerca de cada contador, al seleccionarlo y hacer clic en Mostrar descripción. La explicación del contador y cómo se utiliza aparecerá en la parte inferior del cuadro de diálogo, como se observa en la figura 9-18.
09 MATTHEWS 01.indd 288
1/14/09 1:33:59 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
289
Figura 9-18. En la parte inferior del cuadro de diálogo se presenta información acerca de cada contador disponible.
ENTIENDA Y ADMINISTRE LOS SERVICIOS DE WINDOWS MEDIA Servicios de Windows Media le permite la transmisión por secuencias de contenido multimedia en todo tipo de redes. Estas redes pueden ser desde conexiones a Internet de marcado telefónico y ancho de banda reducido, hasta redes de área local de ancho de banda elevado. Servicios de Windows Media (denominado “Servicios de multimedia de transmisión por secuencias”) es una función de servidor que se instala desde el Administrador del servidor:
09 MATTHEWS 01.indd 289
1.
Haga clic en Inicio|Administrador del servidor. En el árbol del servidor, en la parte de la izquierda, haga clic en Funciones.
2.
Bajo Resumen de funciones, en el panel de la derecha, haga clic en Agregar funciones y haga clic en Siguiente.
1/14/09 1:33:59 PM
290
Windows Server 2008: Guía del Administrador
3.
En la lista de funciones, haga clic en Servicios de multimedia de transmisión por secuencias y en Siguiente. Lea la introducción a los servicios de multimedia de transmisión por secuencias y dé clic en Siguiente.
4.
Si piensa que habrá de utilizarlo, haga clic en Administración basada en Web y Agente de registro. Si se le pregunta si quiere agregar características requeridas para Administración basada en Web y Agente de registro, haga clic en Agregar servicios de función requeridos y en Siguiente.
5.
Se le pregunta si quiere usar Protocolo de transmisión en tiempo real (RTSP) o Protocolo de transferencia de hipertexto (HTTP), pero HTTP está atenuada porque el puerto 80 es utilizado por conexiones HTTP normales (sin transmisión por secuencias), haga clic en Siguiente, tres veces (pues también está instalando características adicionales de IIS) y haga clic en Instalar.
6.
Cuando se le indica que la instalación terminó, haga clic en Cerrar.
NOTA La transmisión de audio y video por secuencia permite la reproducción de multimedia en equipos receptores mientras se descargan, en lugar de esperar que se descarguen completamente antes de reproducirlos. El Reproductor de Windows Media, incluido en Windows XP y Vista, puede usarse para reproducir audio y video por medio de transmisión por secuencias.
Los Servicios de Windows Media Al utilizar Servicios de Windows Media, un servidor de medios puede transmitir contenido de audio y video por secuencias en Web. Para entender por qué esto es importante, es útil comprender la forma en que trabaja una sesión HTTP típica. En primer lugar, un explorador Web envía una solicitud de un URL en la red. El servidor Web que hospeda el URL responde a la solicitud y descarga la información apropiada al explorador. Una vez que las páginas Web se descargan del sitio, el explorador las despliega. Cuando el usuario hace clic en otro vínculo, el explorador pide otro URL y el servidor responde. Esto funciona muy bien en archivos de tamaño pequeño, como una página Web, pero los archivos de video y audio son tan grandes, que esperar la descarga de los archivos en esta forma es como esperar el horneado de un pastel. Los servicios de Windows Media utilizan la tecnología de transmisión por secuencias para permitir la carga de un archivo de audio o video mientras todavía se está descargando. Esto aumenta bastante la satisfacción del usuario que descarga el archivo.
Métodos de transmisión por secuencias Existen dos formas de transmisión de audio y video por secuencias. Una utiliza un solo servidor Web; la otra separa las tareas Web de las de transmisión de multimedia por secuencias. El segundo método utiliza un servidor de transmisión de multimedia por secuencias, para transmitir el audio o video, junto con un servidor Web utilizado para descargar el resto de la información de la página Web.
Transmisión por secuencia con un Servidor Web El servidor envía los archivos de audio y video en la misma forma que haría al enviar cualquier otro archivo. El cliente de transmisión
09 MATTHEWS 01.indd 290
1/14/09 1:34:00 PM
Capítulo 9:
Servicios de información de Internet (IIS) versión 7
291
por secuencias almacena, o incluye en búfer una pequeña cantidad del audio o video transmitido por secuencias, y después comienza la reproducción mientras continúa la descarga. El almacenamiento temporal permite que la multimedia siga reproduciéndose sin interrumpirse durante periodos de congestión de red. En realidad, es normal que se interrumpa en una conexión de marcado telefónico o cualquier otra conexión de baja velocidad. El cliente recupera los datos en cuanto servidor Web, red y conexión de cliente lo permitan. Transmisión por secuencia con un servidor multimedia Con un servidor multimedia, el primer paso consiste en comprimir el archivo multimedia y copiarlo a un servidor multimedia de transmisión por secuencias especializado (como Servicios de Windows Media de Microsoft). Después, se hace una referencia en la página Web para que IIS sepa cuándo y dónde recuperar los datos de transmisión por secuencias para la página. Luego, los datos se envían al cliente de tal forma que el contenido se entregue a la misma velocidad que transmite audio y video comprimido. Servidor y cliente se mantienen en contacto durante el proceso de entrega mientras el servidor multimedia de transmisión por secuencias puede responder a cualquier retroalimentación del cliente. Transmisión por secuencia con Servicios de Windows Media Diseñado de manera específica para la tarea de entregar multimedia mediante transferencia por secuencia bajo pedido o en vivo, en lugar de varios archivos pequeños de imagen y HTML, un servidor de Servicios de Windows Media ofrece muchas ventajas sobre servidores Web estándar: ▼
Un rendimiento de red más eficiente ■ Mejor calidad de audio y video para el usuario ■ Soporte a características avanzadas ■ Escalabilidad a un buen costo para un gran número de usuarios ■ Protección de contenido con derechos de autor ▲ Varias opciones de entrega Servicios de Windows Media, mostrados en forma de diagrama en la figura 9-19, cambia automáticamente al protocolo apropiado, así que la configuración del lado del cliente se vuelve innecesaria.
Figura 9-19. Los Servicios de Windows Media interactúan con un servidor Web para proporcionar contenido al explorador del cliente.
09 MATTHEWS 01.indd 291
1/14/09 1:34:00 PM
292
Windows Server 2008: Guía del Administrador
Administre Servicios de Windows Media Después de instalar Servicios de Windows Media, puede configurarlo y administrarlo de manera continua, directamente con la ventana Servicios de Windows Media o mediante administración Web. Revise la ventana de administración de Windows Media: Haga clic en Inicio|Herramientas administrativas|Servicios de Windows Media.
Se abrirá la ventana Servicios de Windows Media. Abra el servidor local y haga clic en la ficha Introducción para desplegar las ventanas mostradas en la figura 9-20. Los vínculos abren archivos de ayuda que explican cómo completar varias funciones, mientras los botones realizan funciones específicas. Empiece por probar el servidor Servicios de Windows Media. Esto no sólo prueba su servidor de transmisión por secuencias, sino también configura la transmisión por secuencias bajo pedido y describe ciertos conceptos clave sobre los medios de Windows. Cuando haya terminado, cierre la ventana Servicios de Windows Media. SUGERENCIA Además de utilizar la ventana Servicios de Windows Media, puede administrar Servicios de Windows Media con el Administrador Web, si lo ha instalado. Haga clic en Inicio | Herramientas administrativas | Servicios de Windows Media (Web).
Figura 9-20. Servicios de Windows Media ofrece los medios de transmisión por secuencias en varios formatos.
09 MATTHEWS 01.indd 292
1/14/09 1:34:00 PM
CAPÍTULO 10 Red privada virtual
293
10 MATTHEWS 01.indd 293
1/14/09 1:30:45 PM
294
Windows Server 2008: Guía del Administrador
U
na red privada virtual (VPN, Virtual private network) utiliza una red pública insegura para administrar el trabajo seguro en red. Lo más común hoy día es que esto signifique extender o conectarse a una LAN mediante Internet, que reemplaza las líneas arrendadas, redes agregadas de valor dedicado (VAN, Value Added Networks) o ambas, con un ahorro considerable. VPN permite a un trabajador que viaja conectarse y utilizar la LAN de una organización al conectarse a Internet y utilizarlo. El ingrediente clave en VPN es la seguridad. VPN permite utilizar una red pública con un alto grado de certeza de que los datos que se enviarán estarán asegurados. Puede pensar en VPN como una canalización segura mediante Internet, que conecta equipos en cualquier punto, como se observa en la figura 10-1. La información puede viajar a través de la canalización en forma segura, sin preocuparse por el hecho de que sea parte de Internet. A este concepto de una canalización en Internet se le denomina entunelamiento. El “túnel” asegurado se logra primero al cifrar los datos, incluido su direccionamiento e información de secuencia (donde el fragmento individual de datos, llamado “datagrama”, cabe en un mensaje más largo), que después encapsula o envuelve esos datos cifrados en un nuevo encabezado de protocolo de Internet (IP, Internet Protocol), con información de enrutamiento y direccionamiento, como se muestra a continuación. El paquete saliente puede entonces hilar su camino a través de servidores y enrutadores de Internet sin exponer su datagrama interno y, como siempre debe ser, todavía cifrado. Trama encapsulada Encabezado IP
Datagrama cifrado
VPN reemplaza las líneas concesionadas entre instalaciones y la necesidad de conexión de marcación de larga distancia. Por ejemplo, antes de VPN, una compañía necesitaba una línea concesionada entre la oficina principal y una sucursal en otra ciudad. Con VPN, cada oficina sólo necesita una conexión local a Internet, tal vez de alta velocidad, que después se utiliza con VPN para transmitir información en forma segura entre oficinas. En otro ejemplo, antes de VPN un trabajador en viaje de negocios debía hacer una llamada de larga distancia en un servidor de acceso remoto para conectarse a la LAN de la compañía incurría en un cargo de larga distancia. Con VPN, el trabajador utiliza una conexión a Internet del hotel o coloca una llamada local a un proveedor de servicios de Internet (ISP, Internet Service Provider) para conectarse a Internet, que después se utiliza con VPN para conectarse a la LAN de la compañía. En ambos casos, se logran ahorros de costo importantes. VPN establece una ruta de acceso segura a través de Internet desde un cliente conectado a Internet en un extremo, hacia un servidor conectado a Internet en el otro. A esto se llama conexión punto a punto. Una vez que la conexión se establece entre ambos puntos, transporta la información como si se usara una línea privada, sin preocuparse de los demás servidores ni enrutadores en la ruta, incluido un alto grado de seguridad. Esto se hace en Windows Server 2008 y Windows Vista con uno de estos tres protocolos:
10 MATTHEWS 01.indd 294
▼
Protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol)
■
Protocolo de entunelamiento nivel dos (L2TP, Layer Two Tunneling Protocol)
▲
Protocolo de entunelamiento de conectores seguros (SSTP, Secure Socket Tunneling Protocol)
1/14/09 1:30:46 PM
Capítulo 10:
Figura 10-1. de Internet.
Red privada virtual
295
La red privada virtual puede hacerse mediante un túnel seguro a través
Protocolo de entunelamiento de punto a punto El protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol) fue desarrollado originalmente por Microsoft para crear una VPN con Windows NT 4 y Windows 9x/Me. PPTP, que incorpora y extiende el protocolo de punto a punto (PPP, Point-to-Point Protocol) así como cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption), es el protocolo VPN más simple de instalar de todos y el estándar de la industria (RFC 2637). Consulte el capítulo 5, bajo “Protocolos de red”, para conocer un análisis sobre documentos estándar de red denominados solicitudes de comentarios (RFC, Requests for Comments). NOTA
Si quiere utilizar VPN con Windows NT 4 o Windows 9x/Me, tiene que usar PPTP.
Protocolo de punto a punto El protocolo de punto a punto (PPP), protocolo base para los tres protocolos de entunelamiento (PPTP, L2TP y SSTP), se utiliza en muchas áreas de Internet —incluidas conexiones de correo electrónico— y es un estándar de la industria definido en varios RFC, pero principalmente 1661. PPP opera en la segunda capa, o de vínculo de datos del modelo de
10 MATTHEWS 01.indd 295
1/14/09 1:30:46 PM
296
Windows Server 2008: Guía del Administrador
interconexión de sistemas abierto (OSI, Open Systems Interconnection), como se ve en el capítulo 5, bajo “El modelo OSI”; ofrece las funciones de compresión y encapsulamiento de información, además de la autentificación de cliente y servidor. PPP está construido a partir de dos protocolos más: el de control de vínculo (LCP, Link Control Protocol), para manejar conexiones y autentificación, así como el de control de red (NCP, Network Control Protocol), para manejar compresión y encapsulamiento. El protocolo de red TCP/IP determina las propiedades de NCP y la forma en que hace su trabajo. PPP define la generación de una trama que toma el datagrama generado en la tercera capa o red del modelo OSI (consulte el capítulo 5, “IP”, bajo “Protocolos de red”), lo comprime, encapsula, y añade información de dirección y control, para que se vea como esto: Delimitador Control de Protocolo Dirección Variable inicial marco de red 1 byte de datos 1 byte 1 byte 1 byte
FCS 2 bytes
Delimitador final 1 byte
La trama PPP
▼
Delimitadores inicial y final marcan el inicio y final de la trama
■
Dirección es la dirección de destino
■
Control de marco es un número de secuencia para mantener el orden apropiado
■
Protocolo de red es el protocolo (IP) usado
■
Dato es el datagrama real que se transfiere
▲
FCS es una secuencia de revisión de marco usada para revisar errores
En PPP, LCP establece la conexión entre servidor y cliente y en seguida negocia entre ambos equipos para determinar el tipo de autentificación que utilizará, además de varios parámetros de vínculo, como la duración máxima de la trama. NCP se utiliza para determinar el protocolo de red que habrá de utilizarse y después, basado en eso, la manera en que el datagrama se comprimirá y encapsulará. Aunque PPP tiene una función prominente en la autentificación, realmente no la lleva a cabo; esa función la realiza uno de varios protocolos de autentificación. VPN y Windows Server 2008 tienen varias opciones de protocolo de autentificación, cada uno con variantes. Las dos recomendadas son: ▼
Protocolo de autentificación de desafío de saludo de Microsoft versión 2 (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol versión 2)
▲
Protocolo de autentificación extensible-Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol-Transport Level Security)
Protocolo de autentificación de desafío de saludo CHAP, el más común de los principales métodos de autentificación y con más soporte; depende del uso de una contraseña conocida por cliente y servidor en la autentificación. (CHAP se define en varios RFC, sobre todo el 1994.) Sin embargo, a diferencia de los métodos de autentificación anteriores, la contraseña no se transmite durante la autentificación. En cambio, el servidor envía una cadena única de caracteres llamada “cadena de desafío”. El cliente utiliza su contraseña y cadena de desafío
10 MATTHEWS 01.indd 296
1/14/09 1:30:46 PM
Capítulo 10:
Red privada virtual
297
para calcular un hash de Compendio de mensaje que devuelve al servidor. Éste también calcula el hash de acuerdo con su conocimiento de contraseña y cadena, que envía y compara con el hash enviado al cliente. Si ambos hash son idénticos, el cliente se autentifica. Un hash es un algoritmo o función muy fácil de calcular si conoce el origen de los datos, pero muy difícil, si no imposible, calcular los datos del hash. Microsoft ha desarrollado dos variantes de CHAP: MS-CHAP y MS-CHAP v2, diseñados para trabajar desde Windows 9x hasta Vista, además de Windows Server 2003 y 2008, que se usa con VPN. MS-CHAP difiere de CHAP sobre todo por el uso de un algoritmo de hash de Compendio de mensaje, al cifrar desafío y forma. MS-CHAP v2 difiere de MSCHAP sobre todo porque es más seguro con claves de cifrado más fuertes, al autentificar el cliente al servidor (como en CHAP y MS-CHAP) y el servidor al cliente, además de proporcionar claves de cifrado separadas para enviar y recibir información.
Protocolo de autentificación extensible Si en lugar de una contraseña, utiliza una tarjeta pequeña u otro dispositivo para identificación, entonces EAP se utiliza para la autentificación. EAP, un estándar de red definido en la RFC 2284, es una trama de trabajo general que permite un método de autentificación arbitrario para negociarse y usarse. Con Windows Server 2008, VPN y pequeñas tarjetas, EAP-TLS (seguridad de capa de transporte, Transport Layer Security) es el protocolo de elección. EAP-TLS causa que los certificados se almacenen en el servidor y en una tarjeta pequeña en el cliente que se intercambiará y, si los certificados se aceptan, para autentificar cliente y servidor. En el proceso, las claves de cifrado compartidas pueden intercambiarse, junto con otra información. EAP-TLS proporciona un nivel muy alto de autentificación mutua.
Cifrado punto a punto de Microsoft Una vez que se ha establecido la conexión PPTP, los extremos autentificados y los detalles de transmisión negociados (todos ellos funciones de PPP), los datos que se transmiten deben estar cifrados para ser seguros en Internet. Ésa es la función de MPPE. MPPE puede ofrecer tres capas de cifrado mediante una clave privada de 40 bits, 56 bits o 128 bits (consulte el capítulo 15 para conocer una descripción acerca de las claves públicas y privadas, además del uso de cifrado). Las claves se generan como parte del proceso de autentificación en MS-CHAP, MS-CHAP v2 o EAP-TLS, así que debe usarse uno de estos métodos de autentificación.
Protocolo de entunelamiento de nivel dos Mientras Microsoft estaba desarrollando PPTP, Cisco desarrolló un protocolo llamado Reenvío de capa dos (L2F, Layer Two Forwarding) para hacer VPN. Esto se ha combinado con PPTP para crear el segundo protocolo soportado por Microsoft en Windows 2000, hasta Server 2008: L2TP. L2TP se ha vuelto el estándar más reciente de la industria, definido sobre todo en RFC 2667 y aunque es el protocolo más seguro y robusto de los primeros dos VPN, tiene muchas similitudes con PPTP, porque usa por completo PPP y, particularmente, lo extiende para la autentificación, compresión y encapsulamiento. Sin embargo, a diferencia de PPTP L2TP, como se ha implementado en las últimas versiones de Windows, usa seguridad de protocolo de Internet (IPSec, Internet Protocol Security) para manejar cifrado en lugar de MMPE (consulte RFC 2888). Esto es lo que hace L2TP más robusto y seguro. NOTA En Windows Server 2008, L2TP está diseñado para ejecutar redes IP como Internet, sin soporte directo a la ejecución en redes X.25, retransmisión de trama o ATM.
10 MATTHEWS 01.indd 297
1/14/09 1:30:47 PM
298
Windows Server 2008: Guía del Administrador
Seguridad de protocolo de Internet IPSec es, en realidad, un conjunto de protocolos de autentificación y seguridad para operar sin interferencia y en adición a otros protocolos utilizados. Por tanto, L2TP puede utilizar servicios de autentificación de PPP y luego emplear la autentificación integrada en IPSec. Como resultado, IPSec suministra seguridad sin divisiones de varios segmentos de una red que, por ejemplo, comienza en una red privada, sale a una red pública y después vuelve a la red privada, con la condición de que todas las redes empleen la misma IP. IPSec logra esto mediante su autentificación y cifrado en la tercera capa o red del modelo OSI, más allá de PPP, que opera en la segunda capa o vínculo de datos, como se ilustra en la figura 10-2. IPSec puede utilizarse en una clave de 56 bits estándar de cifrado de datos (DES, Data Encryption Standard) o DES triple (3DES), que maneja tres claves DES de 56 bits para seguridad más elevada.
Protocolo de entunelamiento de conectores seguros SSTP es el más reciente de los protocolos de entunelamiento, desarrollado para mejor manejo de firewalls y proxies Web. SSTP sólo puede utilizarse con Windows vista Service Pack 1 o posterior y Windows Server 2008. SSTP utiliza la capa de conector seguro (SSL, Secure Socket Layer), con el protocolo de transferencia de hipertexto seguro (HTTPS, HyperText Transfer Protocol Secure) para cifrar y encapsular tramas PPP, a la vez que transferirlas a través del puerto 443 de TCP para pasar a través de firewall y proxies Web. Como en los otros dos protocolos de entunelamiento, el uso de PPP por parte de SSTP proporciona autentificación EAP-TLS y MS-CHAP v2, mientras el uso de SSL emplea una opción de seguridad, utilizada ampliamente en el nivel de transporte para hacer cifrado, negociación de clave y revisión de integridad. En la tabla 10-1 se muestra una comparación de los tres protocolos de entunelamiento.
Modelo OSI
Protocolos VPN
Protocolos de red
Aplicación Presentación
Aplicaciones
Sesión Transporte Red Vínculo de datos Física
Figura 10-2.
10 MATTHEWS 01.indd 298
Cómo se relacionan los protocolos VPN con el modelo OSI y los protocolos de red.
1/14/09 1:30:47 PM
Capítulo 10:
Red privada virtual
Área
PPTP
L2TP
SSTP
Uso con Windows 98/Me y NT 4 Uso con Windows 2000, XP, Vista, Server 2003 Uso con Windows Vista SP1 y Server 2008 Instalación sencilla Facilidad de uso Grado de seguridad (los datos no se pueden leer) Grado de integridad (los datos no se pueden modificar) Grado de autentificación (fuente de datos verificada)
Sí Sí
No Sí
No No
Sí
Sí
Sí
Más fácil Más fácil Bueno
Más difícil Más difícil Mejor
Difícil Difícil Mejor
Ninguno
Bueno
Bueno
Ninguno
El mejor
Mejor
Tabla 10-1.
299
Comparación entre los tres protocolos de entunelamiento.
PREPARE VPN Para configurar VPN, necesita tener la red y los servicios de acceso remoto (RAS) configurados y en funcionamiento. Una vez hecho eso, configurar VPN es sólo una tarea de habilitación y configuración. En el capítulo 6 se describió la manera de configurar la red, y en el 8 se analizó cómo configurar RAS. Aquí, estos temas se revisarán brevemente, pero debe consultar los primeros capítulos si tiene preguntas acerca de estos temas. NOTA Es muy importante que sepa si RAS opera en forma correcta antes de configurar VPN. Muy a menudo, un problema en RAS hace que VPN no funcione correctamente.
Revise el hardware de red y RAS El hardware de red y RAS incluye como mínimo un adaptador de red y tal vez un dispositivo de interfaz de comunicación, como un módem, adaptador de red digital de servicios integrados (ISDN, Integrated Services Digital Network), línea de suscriptor digital (DSL, Digital Suscriber Line) o enrutador en la red con conexión a una línea de comunicación DSL, T-1 o retransmisión de tramas. Suponiendo que este hardware se ha instalado según las instrucciones del fabricante, entonces lo más probable es que se haya configurado en forma automática en Windows Server 2008, cuando se instaló el sistema operativo o hardware y lo detectó el sistema operativo. Aquí sólo debe asegurarse de haber instalado la unidad correcta y que el dispositivo opera en forma adecuada. Puede hacer ambas cosas con el Administrador de dispositivos y estas instrucciones:
10 MATTHEWS 01.indd 299
1.
Haga clic en Inicio|Panel de control y haga doble clic en Administrador de dispositivos.
2.
Abra el equipo local y Adaptadores de red y dé doble clic en el adaptador de red que quiera revisar. Se abrirá el cuadro de diálogo Propiedades correspondiente a ese dispositivo, como se muestra en la figura 10-3.
1/14/09 1:30:47 PM
300
Windows Server 2008: Guía del Administrador
Figura 10-3. Puede revisar si un dispositivo está funcionando mediante el Administrador de dispositivos.
10 MATTHEWS 01.indd 300
3.
Si el dispositivo trabaja en forma correcta, deberá ver una frase que lo indique, como se observa en la figura 10-3. En este caso, haga clic en Aceptar y cierre el cuadro de diálogo Propiedades.
4.
Si la NIC no opera en forma correcta, es posible que se le den indicaciones sobre cuál es el problema. Si se indica que existe un problema con el controlador, haga clic en la ficha Controlador y luego en Actualizar controlador. En caso de que haya un problema para compartir recursos, haga clic en la ficha Recursos y vea si señala dónde está el problema; de ser así, haga clic en Cambiar configuración y realice los cambios necesarios. Si existe otro inconveniente, no pudo corregir un controlador o resolver el problema, regrese al capítulo 6, con más detalles sobre la configuración de un nuevo adaptador de red.
5.
Cuando tenga el adaptador de red instalado apropiadamente, cierre su cuadro de diálogo Propiedades y, si está presente, abra el cuadro de diálogo Propiedades, del dispositivo de comunicaciones en su equipo. Debe ver, una vez más, un resumen del estado del dispositivo. Si se trata de un módem, haga clic en la ficha Diagnóstico, luego en Consultar módem. Después de esperar unos momentos, deberá ver una lista de comandos y respuestas. No importa si obtiene “Comando no permitido”, siempre y cuando obtenga respuestas con un aspecto normal, como aquí se ve (en el capítulo 8 se muestra información más detallada sobre la configuración de un módem):
1/14/09 1:30:48 PM
Capítulo 10:
6.
Red privada virtual
301
Si el dispositivo opera en forma correcta, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. De otra forma, utilice un procedimiento similar al paso 4 para aislar y corregir el o los problemas. Cuando haya terminado, cierre el cuadro de diálogo Propiedades y la ventana Administrador de dispositivos.
Aunque tal vez considere que el hardware no es problema, es sabio revisarlo y eliminarlo como una posible razón por la que VPN no funciona.
Configure la red Cuando se instala hardware Plug and Play o Windows Server 2008 está instalado y detecta hardware de red Plug and Play, los componentes de red de Windows Server 2008 se instalan automáticamente. Ya que ha determinado que su hardware está instalado y en operación, lo más probable es que la red también lo esté. Revise esto aquí:
10 MATTHEWS 01.indd 301
1.
Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos y observe si está conectado a una red y tal vez a Internet. Si es así, la red se ha configurado en el servidor que revisa.
2.
Haga clic en Ver estado. Se abrirá el cuadro de diálogo Estado de Conexión de área local y mostrará una importante actividad de bytes enviados y recibidos.
1/14/09 1:30:48 PM
302
Windows Server 2008: Guía del Administrador
10 MATTHEWS 01.indd 302
3.
Haga clic en Propiedades. Debe abrirse el cuadro de diálogo Propiedades y mostrar los componentes configurados para la conexión. Éstos deben incluir, como mínimo, Compartir impresoras y archivos para redes Microsoft y Protocolo de Internet versión 4 (TCP/IPv4), y tal vez Cliente para redes de Microsoft, como se muestra aquí.
4.
Haga doble clic en Protocolo de Internet versión 4 (TCP/IPv4) para abrir su cuadro de diálogo Propiedades. Lo que aparece aquí dependerá de la función de este equipo en la red. Al menos, un servidor debe tener una dirección IP estática o fija (al seleccionar la opción Usar la siguiente dirección IP) y ser el servidor DHCP (protocolo de configuración de host dinámico) y DNS (sistema de nombre de dominio).
5.
Cierre Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), Propiedades de Conexión de área local, Estado de Conexión de área local y Centro de recursos y redes compartidas.
6.
Si encontró en el paso 4 que este servidor tenía una dirección IP fija, entonces revise DHCP al hacer clic en Inicio|Herramientas administrativas|DHCP y al abrir el servidor local. Debe ver que la lista de servidores incluya una flecha verde apuntando hacia arriba (indicando que el servicio está habilitado) y al menos un ámbito.
1/14/09 1:30:48 PM
Capítulo 10:
Red privada virtual
303
7.
Cierre la ventana DHCP. Si cualquiera de los pasos anteriores no produjo los resultados esperados o se observó algún problema, regrese al capítulo 6 y revise la configuración de red.
8.
Si está utilizando Active Directory, haga clic en Inicio|Herramientas administrativas|Usuarios y equipos de Active Directory, abra el dominio local y después haga clic en Users. Haga doble clic en el usuario al que quiere permitir la conexión por marcado telefónico (o cree un nuevo usuario, si es necesario; consulte el capítulo 6), haga clic en la ficha Marcado, en Permitir acceso y en Aceptar. Cierre la ventana Usuarios y equipos de Active Directory.
SUGERENCIA Para RAS y, en especial, VPN, necesita una dirección IP estática asignada por una autoridad de Internet. En otras palabras, necesita una dirección IP aceptable a través de Internet, no una, como 10.0.0.2, asignada por usted.
Configure un servicio de acceso remoto RAS se habilita en Windows Server 2008, al establecer una función de servidor para éste como parte de Servicios de directivas y acceso a red, como se describió en el capítulo 8. Una vez que los Servicios de directivas y acceso de red están configurados, RAS se habilita y configura a través de Herramientas administrativas. Para esto, deberá tener privilegios administrativos y usar estos pasos:
10 MATTHEWS 01.indd 303
1.
Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto, para abrir la ventana del mismo nombre. El servidor local debe tener una flecha roja apuntando hacia abajo, si no está habilitado, o una flecha verde hacia arriba, si lo está.
2.
Si RAS no está habilitado, elija el servidor local (el equipo en que trabaja), haga clic en el menú Acción y clic en Configurar y luego en habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente.
3.
Haga clic en Acceso remoto (acceso telefónico o red privada virtual), luego en Siguiente. Haga clic en Acceso telefónico (asegúrese de que funciona, antes de seleccionar VPN) y dé clic en Siguiente.
4.
Si tiene varias conexiones de red, haga clic en la que quiera que sus clientes RAS utilicen, luego en Siguiente. Haga clic en Automáticamente, en la opción de asignar direcciones IP, pues no tiene un servidor DHCP.
5.
Haga clic en Siguiente. Seleccione si quiere utilizar el servicio de usuario de acceso telefónico de autentificación remota (RADIUS, Remote Authentication Dial-In User Service) para más de una RAS. Proporciona otro nivel de autentificación, necesario o no. Haga clic en Siguiente.
6.
Revise el resumen de su selección, haga clic en Atrás para efectuar cualquier cambio, después haga clic en Finalizar. Se indica que dé soporte a transmisión de mensajes DHCP del cliente; el Agente de transmisión DHCP debe estar configurado. Haga clic en Aceptar. Si su servidor DHCP está en la misma subred que el RAS, como suele estarlo, no necesita un Agente de transmisión DCHP.
1/14/09 1:30:48 PM
304
Windows Server 2008: Guía del Administrador
Cuando RAS se ha habilitado y configurado, como se hace en los pasos anteriores, su ventana RAS deberá verse como ésta.
Pruebe RAS Es muy tentador en este punto adelantarse y configurar VPN; después de todo, ése es el objetivo. Pero es prudente cerciorarse de que RAS funciona apropiadamente antes de seguir adelante. Para probar RAS, debe tener una conexión por marcado en un cliente. Se supone que el cliente ejecuta XP o Vista y que el servidor es Windows Server 2008; ambos tienen conexión de comunicación, tal vez ya instalada y en ejecución al utilizar el módem (en el capítulo 8 se muestran instrucciones para instalar un módem).
Configure una conexión de marcado telefónico Si no ha configurado aún una conexión de marcado telefónico en el cliente, hágalo con estos pasos: NOTA Tal vez la interfaz de usuario del cliente sea diferente si utiliza un sistema operativo diferente de Windows Vista.
10 MATTHEWS 01.indd 304
1.
En un equipo de cliente Windows Vista, haga clic en Iniciar. Si tiene una red o conexión a Internet, haga clic en Conectar a. Si tiene una conexión de marcado telefónico, vaya a la siguiente sección.
2.
Si tiene una conexión de red, pero no una conexión de marcado telefónico, haga clic en Configurar una conexión o red.
3.
Si no tiene una conexión de red existente, haga clic en Inicio|Panel de control y haga doble clic en Centro de redes y recursos compartidos. En el cuadro de diálogo Centro de redes y recursos compartidos que se abre, haga clic en Configurar una conexión o red, en el panel Tareas, a la derecha.
4.
En cualquier caso, haga clic en Configurar una conexión de acceso telefónico y en Siguiente. Inserte el número telefónico del servidor incluyendo, si es necesario, un “1” en el código de área. Escriba nombre de usuario y contraseña provistas por el administrador del servidor. 1/14/09 1:30:49 PM
Capítulo 10:
5.
Red privada virtual
305
Ingrese un nombre para la conexión. Si tiene varios perfiles en el cliente, determine si quiere la conexión para que cualquiera la use y haga clic en Conectar. Debe ser capaz de conectarse al servidor. Asegúrese de esto antes de seguir adelante.
Utilice RAS Con una conexión de marcado telefónico configurada en el cliente y un servidor de acceso remoto, configurado y habilitado en el servidor, puede utilizar RAS con estos pasos:
10 MATTHEWS 01.indd 305
1.
Inicie sesión en el cliente de marcado, como haría normalmente. Después, en el cliente, haga clic en Inicio|Conectar a, haga clic en la conexión de acceso telefónico que quiere usar y en Conectar.
2.
Conforme sea necesario, ingrese el nombre de usuario apropiado, contraseña y tal vez el dominio y haga clic en Marcar. Verá mensajes indicando que marca el número escrito, se revisan nombre de usuario y contraseña, el equipo se está registrando en la red y la conexión se efectuó. Haga clic en Cerrar. El icono de conexión aparecerá a la derecha de la barra de tareas.
3.
Pruebe la conexión en el cliente al hacer clic en Inicio|Red, y los dominios o grupos de trabajo, equipos, unidades y carpetas a los que quiera acceder. Si puede ver carpetas y archivos, la conexión de acceso remoto está funcionando.
4.
Pruebe la conexión en el servidor al hacer clic en Inicio|Herramientas administrativas | Enrutamiento y acceso remoto. En la ventana Enrutamiento y acceso remoto, abra el servidor local y haga clic en Clientes de acceso remoto. Deberá ver que al menos está conectado un cliente, como éste:
5.
Cuando haya terminado de probar la conexión RAS, puede concluirla al hacer doble clic en el icono de la conexión en la barra de tareas del cliente y después en Desconectar, en el cuadro de diálogo que se abre.
1/14/09 1:30:49 PM
306
Windows Server 2008: Guía del Administrador
Con RAS totalmente accesible desde un cliente de marcado remoto, sabe que todo, excepto los componentes VPN únicos, es totalmente operativo en ambos equipos que probó. Si no funciona su conexión RAS de marcado telefónico, vaya al capítulo 8, donde se analiza esto en detalle.
CONFIGURE UN SERVIDOR VPN VPN, como RAS, tiene componentes de cliente y servidor. La instalación más común, descrita aquí, es para el cliente (suponiendo que ejecuta Windows Vista) para tener una conexión a Internet y que el tráfico viaje por Internet al servidor (suponiendo que ejecuta Windows Server 2008), donde una terminación VPN se encuentra activa y abre el acceso a la LAN. Revise cómo se hace esto, primero en cuanto a la configuración del servidor, después en la configuración necesaria en el cliente.
Reconfigure RAS VPN requiere que tenga RAS configurado para VPN, así que en las siguientes instrucciones se supone que ha recorrido los pasos en secciones previas y debe volver a configurar RAS:
10 MATTHEWS 01.indd 306
1.
Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. Haga clic derecho en el servidor local, clic en Deshabilitar Enrutamiento y acceso remoto. Responda Sí si quiere eliminar el servicio RAS.
2.
Con el servidor local todavía seleccionado, haga clic en el menú Acción y dé clic en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación de Enrutamiento y acceso remoto. Haga clic en Siguiente.
3.
Si tiene dos adaptadores de red en su servidor (uno para VPN y otro para LAN), haga clic en Acceso remoto (acceso telefónico o red privada virtual), como se muestra en la figura 10-4; de otro modo, haga clic en Configuración personalizada. Después dé clic en Siguiente. También en Acceso a VPN y en Siguiente. Si aparece, acepte la opción predeterminada de asignar la dirección IP automáticamente al utilizar su servidor DHCP. En seguida haga clic en Siguiente.
4.
Si se le ofrece la opción, decida si usará Servicio de usuario de acceso telefónico de autentificación remota (RADIUS), para administrar la autentificación de varios servidores RAS. Si sólo tiene un servidor RAS, la respuesta es obvia; si tiene varios, entonces RADIUS valdría la pena. Haga clic en Siguiente.
5.
Se le indica que ha completado con éxito el Asistente para la instalación del servidor de enrutamiento y acceso remoto. Haga clic en Finalizar.
6.
Haga clic en Iniciar servicio. Tal vez se le diga que para dar soporte a la transmisión de mensajes de cliente DHCP, debe estar configurado el Agente de transmisión DHCP. Si es así, haga clic en Aceptar. Si su servidor DHCP está en la misma subred que su servidor VPN, no necesita un Agente de transmisión DHCP. RAS se configurará para VPN.
7.
En la ventana Enrutamiento y acceso remoto, abra el servidor local y dé clic en Puertos. Aquí existen inicialmente los puertos 128 PPTP, 128 L2TP y 128 SSTP configurados para VPN, algunos de los cuales se muestran en la figura 10-5.
1/14/09 1:30:49 PM
Capítulo 10:
Figura 10-4.
Configuración de RAS para VPN.
Figura 10-5.
Puertos VPN que se han configurado en RAS.
10 MATTHEWS 01.indd 307
Red privada virtual
307
1/14/09 1:30:50 PM
308
Windows Server 2008: Guía del Administrador
En este punto, necesita seleccionar cuál de los tres protocolos VPN quiere usar y después configurarlo.
Configure un servidor PPTP De los tres protocolos de VPN, PPTP es el que se configura con mayor facilidad y puede utilizarse con gran variedad de clientes, desde Windows 95 (con una actualización 1.3 de Red de marcado telefónico) hasta Windows Server 2008, pero proporciona un nivel de seguridad más bajo. Puede configurar PPTP y ajustar el número de puertos con estos pasos: 1.
Haga clic derecho en Puertos, en el panel de la izquierda, de la ventana Enrutamiento y acceso remoto, haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.
2.
Haga clic en Minipuerto WAN (PPTP), después en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (PPTP), como éste.
3.
Dado que usa VPN en Internet y no quiere que el cliente marque y entre a través del módem del servidor, quite la marca de Conexiones de enrutamiento de marcado a petición (entrada y salida). Configure un número de puertos PPTP razonable que utilizará y haga clic en Aceptar. Haga clic en Sí, en caso de preferir un número bajo de puertos (si así lo desea); haga clic en Aceptar para cerrar Propiedades de Puertos. Cierre la ventana Enrutamiento y acceso remoto.
NOTA En este punto, suele ser una buena idea pasar a “Configure un cliente VPN”, configurar el cliente e intentar la conexión PPTP como se describe aquí. Cuando PPTP funcione, puede regresar e intentar L2TP y SSTP, que causan muchos problemas para la mayoría.
Configure un servidor L2TP L2TP puede utilizarse con Windows 2000 y versiones más recientes de Windows, que suministra mayor grado de integridad, autentificación y confidencialidad de datos. También es más difícil configurar por la necesidad de definir seguridad adicional e infraestructura
10 MATTHEWS 01.indd 308
1/14/09 1:30:50 PM
Capítulo 10:
Red privada virtual
309
de autentificación. Debido a que L2TP utiliza IPSec y la forma más común de IPSec usa certificados de equipo para autentificación, debe tener una autoridad de certificación activa en red y tenerla configurada para enviar certificados en forma automática a equipos de VPN. Entonces, los primeros pasos consisten en instalar o confirmar la presencia de una autoridad de certificado y autentificar que está configurada en forma adecuada. Después es posible configurar los filtros —parte integral de IPSec— y, por último, elegir L2TP a través de IPSec y configurar sus puertos.
Instale y configure una autoridad de certificado Si no está seguro de tener instalada una autoridad de certificado en su LAN o sabe que no lo está, siga estas instrucciones para revisarla o instalarla y configurarla (debe iniciar sesión como administrador o administrador de dominio): SUGERENCIA Si no tiene instalado Active Directory, lo va a necesitar, así que debe instalarlo antes de instalar Servicios de certificado de Active Directory. Consulte el capítulo 7.
10 MATTHEWS 01.indd 309
1.
Haga clic en Inicio|Administrador del servidor; en el árbol de la izquierda, haga clic en Funciones; en el panel de la derecha, bajo Funciones, haga clic en Agregar funciones, luego en Siguiente.
2.
Haga clic en Servicios de Certificate Server de Active Directory, si no está ya marcado (en caso de estarlo, Servicios de Certificate Server se encuentra instalado en este quipo y puede saltarse a la siguiente sección). Haga clic en Siguiente, lea el aviso que pregunta si instala Servicios de Certificado, no podrá cambiar el nombre del equipo y haga clic una vez más en Siguiente.
3.
Haga clic en cada una de las opciones de autoridad de certificación para determinar los que necesita. Para usar sólo L2TP, es necesaria la primera opción, Entidad de certificación. Haga clic en Siguiente cuando esté listo.
4.
Si no está utilizando Active Directory, deje la opción predeterminada Independiente; de otra forma, haga clic en Empresa y, en ambos casos, haga clic en Siguiente.
5.
Si está instalando la primera autoridad de certificación, haga clic en CA raíz; de otra forma, haga clic en CA subordinada, luego en Siguiente.
6.
Si no tiene una clave privada o quiere crear una nueva, haga clic en Crear una nueva clave privada; de otra forma, haga clic en Usar clave privada existente. En cualquier caso, haga clic en Siguiente. Si está creando una nueva clave, puede seleccionar proveedor de servicios de cifrado (CSP, Cryptographic Service Provider), tamaño de la clave y algoritmo de hash. En casi todos los casos, excepto si usa tarjetas inte-
1/14/09 1:30:50 PM
310
Windows Server 2008: Guía del Administrador
ligentes, quizás quiera dejar las opciones predeterminadas, como se muestra en la figura 10-6. Si está utilizando tarjetas inteligentes, tal vez necesite seleccionar un CSP manejado por la tarjeta.
Figura 10-6. Puede configurar las opciones criptográficas para su clave privada, pero en casi todos los casos las predeterminadas son adecuadas.
7.
Haga clic en Siguiente, inserte el nombre de la CA y dé clic de nuevo en Siguiente. Seleccione el periodo de validez o deje la opción predeterminada de 5 años y una vez más dé clic en Siguiente.
8.
Se le muestra dónde se almacenarán las bases de datos de certificado y registro. Cámbielo si así lo desea y haga clic en Siguiente. Se despliega el resumen de sus opciones. Si quiere cambiar cualquier cosa, haga clic en Anterior. Cuando esté listo, haga clic en Instalar.
9.
Dé clic en Cerrar cuando se le indique que completó exitosamente la instalación. Cierre el Administrador del servidor.
Administre una autoridad de certificado Una vez instalado CA, puede administrarse en la ventana Entidad de certificación. Aquí se muestra cómo:
10 MATTHEWS 01.indd 310
1/14/09 1:30:51 PM
Capítulo 10:
1. 2.
3.
4.
5.
6.
10 MATTHEWS 01.indd 311
Red privada virtual
311
Haga clic en Inicio|Herramientas administrativas|Certification Authority (si acaba de instalarlo, es probable que Certification Authority esté fuera de la secuencia alfabética). En el panel de la izquierda, abra el servidor local y haga clic en Certificados emitidos. Deberá ver al menos el certificado emitido al servidor, como se muestra aquí (si no ve el certificado, reinicie el servidor y deberá aparecer el certificado):
Haga clic derecho en el certificado, en el panel de la derecha y haga clic en Abrir. Aquí, puede ver quién lo envió, las fechas en que será válido y el tipo de clave pública usada. Haga clic en Aceptar para cerrar el certificado. Haga clic derecho en el servidor local; en el panel de la izquierda, seleccione Todas las tareas. En el submenú, puede detener la emisión de certificados, realizar copias de seguridad y restaurar el CA. De regreso en el menú contextual con Todas las tareas, haga clic en Propiedades. En el cuadro de diálogo Propiedades que se abre, haga clic en la ficha Módulo de directivas y, de nuevo, haga clic en Propiedades. En la ficha Tratamiento de la solicitud puede seleccionar envío manual o automático de certificados, como se observa aquí:
Cierre el cuadro de diálogo Propiedades. De regreso en la ventana Entidad de certificación, verá una carpeta Solicitudes pendientes. Si seleccionó la emisión manual de certificados, entonces todas las solicitudes de certificados irán en esta carpeta. Cuando haya terminado de ver la ventana Autoridad de certificación, ciérrela.
1/14/09 1:30:51 PM
312
Windows Server 2008: Guía del Administrador
Inicie y configure IPSec IPSec se controla mediante directivas de grupo, que pueden configurarse en varios niveles, de los cuales el principal es el dominio. Esto significa que debe tener Active Directory (AD) configurado y el servidor que hospeda VPN debe ser un controlador de dominio. Consulte el capítulo 7 para conocer cómo configurar AD y los controladores de dominio. Suponiendo que está en un controlador de dominio AD, inicie y configure IPSec en el nivel de dominio al configurar primero la administración de directiva de grupo: 1. Haga clic en Inicio|Administrador del servidor, luego haga clic en su servidor, en el árbol de la izquierda. Abra Funciones y dé clic en Servicios de acceso y directivas de redes. 2. En el panel de la derecha, haga clic en Agregar servicios de función. Dé clic en Servidor de directivas de redes, Servicios de enrutamiento y acceso remoto, así como en Protocolo de autorización de credenciales de host. Cuando haga clic en cada uno, lea su descripción a la derecha. Dé clic en Protocolo de autorización de credencial de host. Haga clic en Agregar servicios de función requeridos. 3. Dé clic en Siguiente. Acepte la opción predeterminada de seleccionar un certificado existente para cifrado SSL, haga clic en su nuevo servidor de certificado, y clic en Siguiente. Haga clic de nuevo en Siguiente en la página Servidor Web (IIS). En la lista Servicios de función, verá que se han marcado varios servicios. 4. Haga clic en Siguiente y revise las funciones y servicios que está a punto de instalar. Si quiere cambiar algo, haga clic en Anterior. Cuando esté listo, dé clic en Instalar. Cuando se le diga que la instalación terminó, cierre. 5. Mientras sigue en el Administrador del servidor, en el árbol en la izquierda, haga clic en Características y, en el panel de la derecha, clic en Agregar características. En la lista de características, dé clic en Administración de directiva de grupo (si no está instalado), clic en Siguiente y luego en Instalar. Cuando la instalación esté completa, dé clic en Cerrar y cierre el Administrador del servidor. 6. Haga clic en Inicio|Herramientas administrativas|Administración de directivas de grupo. Abra el bosque y los dominios, después abra su dominio. Dé clic derecho en Default domain policy y luego clic en Editar. 7. En el panel de la izquierda, haga doble clic en Configuración del equipo, Directivas, Configuración de Windows, Configuración de seguridad y Directivas de seguridad IP en Active Directory. Haga clic en el menú Acción y en Crear directiva de seguridad IP. Se abre el Asistente para directivas de seguridad IP. Haga clic en Siguiente. 8. Ingrese nombre y descripción de directiva y dé clic en Siguiente. Si sólo usa equipos con Windows Vista como clientes VPN, no acepte la activación automática de la regla de respuesta predeterminada, que responde automáticamente a los equipos remotos requiriendo seguridad. Haga clic en Siguiente, asegúrese de marcar Editar propiedades, dé clic en Finalizar. 9. Se abrirá el cuadro de diálogo Propiedades para su nueva directiva, con un solo filtro IP. Haga clic en Agregar. Se abrirá el Asistente para reglas de seguridad. Clic en Siguiente.
10 MATTHEWS 01.indd 312
1/14/09 1:30:51 PM
Capítulo 10:
Red privada virtual
313
10.
Haga clic en los extremos del túnel que se especifican con estas direcciones IP e inserte la dirección IP del equipo con el que se conectará el servidor. Clic en Siguiente, Acceso remoto y Siguiente.
11.
Haga clic en All IP Traffic, para usar el filtro IP, dé clic en Siguiente y en Permit y, de nuevo, en Siguiente; después en Finalizar. Cierre el cuadro de diálogo Propiedades de la directiva.
12.
En la ventana Editor de administración de directivas de grupo, dé clic derecho en su nueva directiva IPSec, en el panel de la derecha, y clic en Asignar, como se muestra en la figura 10-7. Deje Directivas de seguridad IP, bajo Configuración de seguridad en la ventana abierta Editor de administración de directivas de grupo.
Empiece a emitir certificados Certificados como IPSec se controlan mediante directivas de grupo en varios niveles. Empiece por enviar certificados en el nivel del dominio; al conectar los equipos que los requieran a la LAN, siga estos pasos: 1.
En el panel de la izquierda de la ventana Editor de administración de directiva de grupo, bajo Configuración de seguridad, haga clic en Directivas de clave pública. En el panel de la derecha, dé clic derecho en Configuración de la solicitud de certificados automática y clic en Nuevo|Solicitud de certificados automática. Se abrirá el Asistente para instalación de solicitud automática de certificado.
Figura 10-7.
10 MATTHEWS 01.indd 313
La configuración de IPSec es parte importante de la configuración de L2TP.
1/14/09 1:30:51 PM
314
Windows Server 2008: Guía del Administrador
10 MATTHEWS 01.indd 314
2.
Haga clic en Siguiente, luego en Equipo, como la plantilla de certificado que habrá de usarse; clic en Siguiente, luego en Finalizar.
3.
Con Directivas de clave pública|Configuración de la solicitud de certificados automática abierta en el panel de la izquierda de la ventana Editor de administración de directivas de grupo, en el panel de la derecha debe mostrarse Equipo y su icono, como aquí:
4.
Haga clic derecho en Equipo y seleccione Propiedades. Deberá ver Equipo, en Tipo de certificado, además de la autoridad de certificado que configuró y seleccionó antes. Cierre el cuadro de diálogo Equipo y ambas ventanas de Administración de directiva de grupo.
1/14/09 1:30:52 PM
Capítulo 10:
Red privada virtual
315
Seleccione y configure L2TP sobre IPSec El paso final en la configuración de L2TP para ser usado con VPN es seleccionar L2TP sobre IPSec y configurar los puertos L2TP. 1.
Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. En el panel de la izquierda, abra el servidor local e IPv4 y dé clic en General. En el panel de la derecha, observe la dirección IP de la LAN, después, clic derecho en Conexión de área local y en Propiedades.
2.
Haga clic en Filtros entrantes, luego en Nuevo. En el cuadro de diálogo Agregar filtro IP, haga clic en Red de destino e inserte la dirección IP de la LAN y una máscara de subred 255.255.255.255. En Protocolo, clic en UDP, después en Puerto de origen y Puerto de destino, escriba 500 (dado que se trata de su primer filtro de entrada IPSec), como se observa en la figura 10-8, y después haga clic en Aceptar.
3.
Lo regresa al cuadro de diálogo Filtros entrantes, donde debe seleccionar Descartar todos los paquetes que no cumplan con los siguientes criterios. Haga clic en Aceptar.
4.
De regreso al cuadro de diálogo Propiedades de conexión de área local, haga clic en Filtros salientes, luego en Nuevo. En el cuadro de diálogo Agregar filtro IP, haga clic en Red de origen e inserte la dirección IP de la LAN y una máscara de subred 255.255.255.255. En Protocolo, haga clic en UDP, después en Puerto de origen y Puerto de destino, inserte 500 (dado que éste es su primer filtro de salida IPSec), luego en Aceptar.
Figura 10-8.
10 MATTHEWS 01.indd 315
L2TP depende sobremanera de los filtros IP.
1/14/09 1:30:52 PM
316
Windows Server 2008: Guía del Administrador
5.
En el cuadro de diálogo Filtros salientes, haga clic en Descartar todos los paquetes que no cumplan con los siguientes criterios. Haga clic en Aceptar dos veces. Cierre el cuadro Propiedades de Conexión de área local, regrese a la ventana Enrutamiento y acceso remoto.
6.
Haga clic derecho en Puertos, en el panel de la izquierda de la ventana Enrutador y acceso remoto, dé clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.
7.
Dé clic en Minipuerto WAN (L2TP), después en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (L2TP), similar al que se observa en “Configure un servidor PPTP”.
8.
Quite la marca de la casilla de verificación Conexiones de enrutamiento de marcado a petición (de entrada y salida). Establezca un número razonable de puertos L2TP que utilizará y dé clic en Aceptar y en Sí, en caso de querer reducir el número de puertos; haga clic en Aceptar para cerrar Propiedades de Puertos; cierre la ventana Enrutamiento y acceso remoto.
Configure un servidor SSTP NOTA
SSTP sólo trabaja con Windows Vista SP1 o posterior y Windows Server 2008.
Si ha configurado L2TP, SSTP es fácil, pues en el proceso de configurar L2TP también estableció la capa de conector seguro (SSL, Secure Sockets Layer), empleada con SSTP. Así que, de no haber configurado L2TP, recorra dichos pasos y después continúe aquí:
10 MATTHEWS 01.indd 316
1.
Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. Abra el servidor local, haga clic en Puertos, en el panel de la izquierda de la ventana Enrutamiento y acceso remoto, y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.
2.
Haga clic en Minipuerto WAN (SSTP), después clic en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (L2TP).
3.
Establezca un número razonable de puertos SSTP que serán usados y dé clic en Aceptar. Haga clic en Sí, en caso de reducir el número de puertos (si así lo desea), y dé clic en Aceptar, para cerrar Propiedades de Puertos.
4.
Abra IPv4 en el panel de la izquierda, haga clic en General y en el panel de la derecha, clic derecho en Conexión de área local y clic en Propiedades.
5.
En la ficha General, dé clic en Filtros entrantes, luego en Recibir todos los paquetes excepto aquellos que cumplan los siguientes criterios. Clic en el filtro que estableció para L2TP, en Eliminar y Aceptar.
6.
Clic en Filtros salientes, luego en Transmitir todos los paquetes que no cumplan con los siguientes criterios. Clic en el filtro que estableció para L2TP, en Eliminar y Aceptar.
7.
Clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Conexión de área local, cierre la ventana Enrutamiento y acceso remoto.
1/14/09 1:30:52 PM
Capítulo 10:
Red privada virtual
317
Figura 10-9. La firewall se configura automáticamente con excepciones para PPTP y L2TP, pero debe habilitarse SSTP.
8.
Clic en Inicio|Herramientas administrativas|Firewall de Windows con seguridad avanzada. En el panel a la izquierda de la ventana Firewall de Windows, clic en Reglas de entrada; recorra hacia abajo el panel central, dé clic en Protocolo de túnel de sockets seguros (SSTP de entrada), en el panel de la derecha haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades SSTP de entrada, como se observa en la figura 10-9.
9.
Asegúrese de que Habilitado está marcado bajo General, después haga clic en Permitir las conexiones. Clic en Aceptar para cerrar el cuadro de diálogo Propiedades, luego cierre la ventana Firewall de Windows con seguridad avanzada.
CONFIGURE UN CLIENTE VPN La configuración de un cliente VPN es una tarea relativamente simple. Tal vez necesite configurar una conexión para el cliente que se conecta a Internet, después una conexión entre cliente y servidor VPN. En Windows 2000, XP y Vista, así como en Server 2003 y 2008, existe un método automatizado e integrado para ambas tareas, mientras en versiones anteriores de Windows, debía configurar la conexión de marcado telefónico a Internet y después, sin la ayuda de un asistente, crear la conexión VPN.
10 MATTHEWS 01.indd 317
1/14/09 1:30:53 PM
318
Windows Server 2008: Guía del Administrador
Aunque la conexión a VPN de Windows Vista está integrada y automatizada, todavía se hace en dos pasos: conexión a Internet y al servidor.
Seleccione una conexión a Internet de Windows Vista Es la conexión estándar a Internet, analizada en otro lugar de este libro; por tanto, si tiene una conexión a Internet que funciona, puede pasar esta sección. 1.
Haga clic en Inicio|Panel de control y doble clic en Centro de redes y recursos compartidos. Clic en Configurar una conexión o red.
2.
Clic en Conectarse a Internet, luego en Siguiente. Si tiene varias formas de conectarse, elija la que desea usar para conectarse y haga clic en Siguiente. Dependiendo de su selección, escriba cualquier otra información necesaria para la conexión y dé clic en Siguiente, según lo necesario, después haga clic en Finalizar.
3.
Si está utilizando una conexión de marcado telefónico, haga clic en Conectar o Marcar, según sea necesario, para probar la conexión. Si todas sus opciones son correctas, debe conectarse. Si no, recorra los tres pasos anteriores para hacer las correcciones necesarias.
Conéctese a un servidor VPN La conexión VPN es sólo otra conexión de red.
10 MATTHEWS 01.indd 318
1.
Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel de control y dé doble clic en Centro de redes y recursos compartidos. En la ventana del mismo nombre, clic en Configurar una conexión o red.
2.
Haga clic en Conectarse a un área de trabajo, después en Siguiente. Clic en No, Crear una conexión nueva, luego en Siguiente.
1/14/09 1:30:53 PM
Capítulo 10:
319
3.
Haga clic en Usar mi conexión a Internet (VPN), inserte un nombre de host registrado (como osborne.com) o dirección IP como 123.10.78.100, su nombre de destino, según se ilustra en la figura 10-10.
4.
Si tiene varios perfiles en el cliente, determine si quiere permitir que otras personas usen dicha conexión y haga clic en Siguiente.
5.
Escriba nombre de usuario y contraseña requeridos por el servidor VPN; seleccione si quiere guardar nombre de usuario y contraseña para usted o cualquiera empleando este equipo, dé clic en Conectar. Verá varios mensajes breves indicando que se conecta, luego que está conectado. Haga clic en Cerrar.
6.
Dé clic en el tipo de red (Hogar, Trabajo, Público) que la conexión VPN representa, después haga clic en Cerrar. Debe estar conectado al servidor VPN y ver su conexión en la ventana Centro de redes y recursos compartidos.
7.
Haga clic en Administrar conexiones de red. Debe abrirse la ventana Conexiones de red y tener un aspecto similar al de la figura 10-11. Debe tener la capacidad para explorar las porciones de la red para la que tiene permisos.
Figura 10-10.
10 MATTHEWS 01.indd 319
Red privada virtual
Una conexión VPN dependerá de un nombre de host o dirección IP.
1/14/09 1:30:53 PM
320
Windows Server 2008: Guía del Administrador
Figura 10-11.
8.
10 MATTHEWS 01.indd 320
En la ventana Conexiones de red, deberá ver una conexión de red y otra VPN.
En el servidor VPN, debe aparecer la conexión en la ventana Enrutamiento y acceso remoto, al abrir el servidor local y Clientes de acceso remotos. Además, haga clic en Puertos y desplácese hacia abajo en la lista. Tiene que mostrarse un puerto activo, como éste:
1/14/09 1:30:53 PM
Capítulo 10:
9.
Red privada virtual
321
Si abrió la ventana Enrutamiento y acceso remoto, ciérrela. En el cliente, en la ventana Conexiones de red, haga clic derecho en conexión VPN, clic en Desconectar.
Si no se conectó, anímese: el autor tampoco lo logró la primera vez. Existen varias razones para que la conexión no se establezca. Si RAS funcionó, eso elimina muchas posibilidades. Primero intente conectarse con PPTP. Si configuró PPTP y L2TP antes de intentar la conexión, entonces regrese a “Reconfigure RAS” y use las instrucciones dadas allí y en las secciones posteriores a “Reconfigure RAS”; para deshabilitar RAS, reestablézcalo sólo para PPTP, después intente la conexión. Si todavía no funciona, recorra con cuidado todos los pasos para configurar el servicio que quiere usar y vea qué hizo diferente.
Conéctese con L2TP y SSTP Una vez que tenga PPTP funcionando y sólo entonces (porque si tiene PPTP funcionando, ha eliminado muchas posibles áreas de problemas), pruebe L2TP y SSTP (si su hardware lo permite) con estos pasos:
10 MATTHEWS 01.indd 321
1.
Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel de control, dé doble clic en Centro de redes y recursos compartidos. En la ventana Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.
2.
Haga clic derecho en su conexión VPN en funcionamiento, dé clic en Propiedades. Haga clic en la ficha Funciones de red, en la flecha hacia bajo Tipo de red privada virtual VPN, en el tipo que quiera usar y, por último, en Aceptar, para cerrar el cuadro de diálogo Propiedades de VPN.
1/14/09 1:30:54 PM
322
Windows Server 2008: Guía del Administrador
3.
Haga doble clic en su conexión VPN actualizada, ingrese su nombre y contraseña, dé clic en Conectar.
4.
Vaya al paso 5 en “Conéctese a un servidor VPN”, inmediatamente antes, y vaya al final de esa sección.
Como ya se mencionó varias veces, L2TP (y en un grado menor SSTP) es demasiado complejo y tiene muchos elementos que necesita configurar correctamente. Si puede hacerlo, su seguridad mejora mucho. VPN es una herramienta muy útil para trabajadores móviles y, en realidad, vale la pena todo el problema que toma configurarlo (bueno, casi todo el problema que toma PPTP, ¡no es seguro que L2TP compense el problema extra!).
10 MATTHEWS 01.indd 322
1/14/09 1:30:54 PM
CAPÍTULO 11 Terminal Services y Escritorio Remoto
323
11 MATTHEWS 01.indd 323
1/14/09 12:19:23 PM
324
Windows Server 2008: Guía del Administrador
T
eerminal Services (TS) para Windows Server 2008 permite que un equipo mínimo llamado cliente delgado o terminal se conecte con un servidor de Windows, despliegue el escritorio y utilice remotamente Windows, mientras éste y sus aplicaciones se ejecutan en el servidor. El cliente delgado (llamado simplemente “cliente”, a lo largo de este capítulo) puede ejecutar los sistemas operativos Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, software de terceros e incluso diversos sistemas operativos. El cliente puede acceder al servidor vía Internet. Sólo la interfaz de usuario se ejecuta en el cliente. La interfaz de usuario envía caracteres de teclado y clics del ratón al servidor. El equipo cliente puede tener un procesador lento, cantidad modesta de memoria, disco duro pequeño e incluso carecer de disco duro. Para la aplicación que se ejecuta en el servidor, pareciera que el usuario trabaja en esa máquina, mientras para los clientes, la aplicación pareciera ejecutarse en sus máquinas, siempre y cuando haya velocidad razonable en la red. Es posible ejecutar varias sesiones de terminal en el servidor, pero cada cliente verá solamente su propia sesión. Un uso apropiado de los clientes delgados con TS, consiste en utilizar al servidor como base de datos centralizada y definir para los clientes un propósito específico, como la captura de órdenes de compra, etiquetado o seguimiento del inventario, casos en los que resulta benéfico que la aplicación y su base de datos relacionada se encuentren en un servidor.
TERMINAL SERVICES Terminal Services en Windows Server 2008 representa mejoras importantes sobre las versiones previas de TS, que facilitan sobremanera su uso y admininistración. Entre las mejoras más importantes están RemoteApp de TS, Acceso Web de TS, Puerta de enlace de TS, Agente de sesiones de TS y Conexión a Escritorio remoto 6.0. Estos y otros servicios serán descritos en este capítulo.
Por qué utilizar Terminal Services Existen muchas razones para utilizar TS; entre ellas destacan:
11 MATTHEWS 01.indd 324
▼
Permitir que varios usuarios empleen la misma aplicación, tal vez con una base de datos común, sobre todo aplicaciones del tipo “línea del negocio” y aplicaciones en constante actualización o de uso escaso (aplicaciones con gran carga gráfica y multimedia no son buenas candidatas para ejecutarse con TS)
■
Centralizar el enfoque de implementación, administración y mantenimiento de las aplicaciones en servidores centralizados
■
Controlar las aplicaciones disponibles para los usuarios y cómo configurarlas
■
Utilizar equipos con sistemas operativos anticuados, debido a que no dan soporte a la última versión de Windows
■
Tener acceso remoto a un equipo (por ejemplo, acceder al equipo de la oficina desde casa o cuando se está de viaje)
▲
Administrar cantidades variables de servidores mediante administración remota
1/14/09 12:19:23 PM
Capítulo 11:
Terminal Services y Escritorio remoto
325
Modos y componentes de Terminal Services TS maneja dos modos distintos: ▼
Modo de servidor de aplicaciones, posibilita que un equipo cliente despliegue un escritorio de Windows y ejecute aplicaciones remotamente en un servidor
▲
Modo de administración remota, suministra los medios para administrar remotamente un equipo que funciona con Windows Server 2008, incluido IIS (Internet Information Services, servicios de información de Internet)
TS es parte integral de Windows Server 2008, como lo fue en Windows Server 2003, y ofrece un conjunto de servicios poderosos de gran alcance. Compañías ajenas a Microsoft, como Citrix, proveen aplicaciones avanzadas en el área de TS. Dichas aplicaciones pueden ser ejecutadas sobre Windows Server 2003 y 2008. Se encontrará más información sobre Citrix en el sitio web http://www.citrix.com. TS trabaja con el protocolo de control de transmisión/protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Protocol), de uso común en Windows Server 2008 e Internet en general; además, utilizan el protocolo de escritorio remoto (RDP, Remote Desktop Protocol). RDP es un protocolo extenso que facilita la transmisión simultánea de amplia gama de datos, incluida información de usuario, la aplicación, licencia de uso y cifrado. RDP también tiene la capacidad para transmitir información de audio y video. Los dos modos se implementan en Windows Server 2008, a través de nueve componentes independientes, como se muestra en la figura 11-1: ▼
Administrador de TS, que proporciona las funciones administrativas para TS y Terminal Server, incluidos visualización y control de las sesiones, así como procesos de usuario Terminal Services para Windows Server 2008
Servidor
Administrador de TS
Servidor Web IIS
Terminal Server RemoteApp de TS
Cliente
Acceso Web de TS
Configuración de Terminal Services
Administrador de licencias TS
Puerta de enlace de TS
Agente de sesiones de TS
Conexión a Escritorio remoto 6.0
Figura 11-1. Terminal Services utiliza un grupo de nueve componentes independientes para realizar su función.
11 MATTHEWS 01.indd 325
1/14/09 12:19:23 PM
326
Windows Server 2008: Guía del Administrador
■
Configuración de Terminal Services, permite determinar las conexiones de TS presentes en el equipo y sus características, además de la configuración del servidor
■
Terminal Server, es un servicio de función TS que proporciona el núcleo central de TS; este servicio es responsable de implementar multitareas en el servidor
■
RemoteApp de TS, es un elemento de Terminal Server que ofrece acceso remoto a los programas estándar de Windows
■
Acceso Web de TS, se instala como un servicio de función, pero es en realidad una aplicación Web (ejecutable sobre IIS) provee acceso al RemoteApp de TS por medio de un navegador Web
■
Administrador de licencias TS, es el servicio de función que proporciona la licencia de acceso de cliente de TS en Windows
■
Puerta de enlace de TS, es el servicio de función que permite acceso, seguro y cifrado, desde los usuarios remotos hasta los recursos de una red corporativa conectada a Terminal Server
■
Agente de sesiones de TS, es el servicio de función a cargo de equilibrar la carga entre varios servidores de terminal (una “granja”) y realiza la reconexión de un cliente TS a una sesión existente en dicha granja
▲
Conexión a Escritorio remoto 6.0, es un cliente de software aparte preinstalado en Windows Server 2008, Windows Vista Business y Ultimate y también puede obtenerse vía Internet una versión para Windows Server 2003 SP1 o SP2 y para Windows XP Professional SP2. La conexión de Escritorio remoto 6.0 es necesaria para utilizar Terminal Services de Windows Server 2008, Terminal Server, RemoteApp de TS, Acceso Web de TS y Puerta de enlace de TS
PREPARACIÓN DE TERMINAL SERVICES En esta sección, hablaremos sobre la preparación, configuración y administración de TS, Terminal Server y otros servicios de función, excepto el Administrador de licencias TS y Conexión a Escritorio remoto, que se analizarán en secciones posteriores.
Instalación de las funciones de Terminal Services TS es una función que se instala desde el Administrador del servidor, mientras Terminal Server, Acceso Web de TS, Administrador de licencias de TS, Puerta de enlace de TS y Agente de sesiones de TS son servicios de función y pueden seleccionarse por separado cuando se instala la función TS. Configuración de Terminal Services y Administrador de TS se instalan automáticamente con los servicios de TS, mientras RemoteApp de TS se instala automáticamente con Terminal Server. NOTA No se recomienda instalar TS en un controlador de dominio de Active Directory (AD), pues aumenta los riesgos de seguridad, además de que degrada el rendimiento de Active Directory, ya que TS utiliza demasiados recursos del equipo. Es necesario ejecutar TS en un dominio de AD para acceder a ciertas funcionalidades, como el Agente de sesiones de TS y ofrecer capacidades adicionales a otros TS, como el Administrador de licencias de TS.
11 MATTHEWS 01.indd 326
1/14/09 12:19:24 PM
Capítulo 11:
Terminal Services y Escritorio remoto
327
NOTA Para instalar la función de TS y servicios de función analizados aquí, en caso de no haberlo hecho ya, será necesario instalar también los Servicios de acceso y directivas de red, el servidor Web (IIS) y el Servicio de activación de procesos de Windows. El asistente para agregar funciones nos guiará automáticamente por tales instalaciones adicionales.
11 MATTHEWS 01.indd 327
1.
Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. Haga clic en la opción Funciones, en el panel de la izquierda del Administrador del servidor, luego clic en la opción Agregar funciones, ubicada en el panel de la derecha. Haga clic en Siguiente dos veces, luego seleccione Terminal Services y haga clic en Siguiente dos veces más.
2.
Haga clic en los servicios de función que se deseen instalar. Por ejemplo, clic en Terminal Server, Agente de sesiones de TS (debe estar dentro de un dominio), Puerta de enlace de TS (haga clic en Agregar características requeridas) y Acceso Web de TS (haga clic en Agregar características requeridas) y, por último, haga clic en Siguiente.
1/14/09 12:19:25 PM
328
Windows Server 2008: Guía del Administrador
3. Lea la nota sobre la necesidad de instalar cualquier aplicación que se desee ejecutar con TS y, después de instalar TS, haga clic en Siguiente. 4.
Lea sobre la Autentificación a nivel de red y decida si desea utilizarla. Considere que ésta mejora en forma importante la seguridad, aunque únicamente se encuentra disponible con el protocolo de Escritorio remoto (RDP) 6.0, incluido sólo en Windows Vista y Windows Server 2008; RDP también puede descargarse vía Internet para Windows XP SP2 y Windows Server 2003 SP1 o SP2. Haga clic en la opción deseada, luego en Siguiente.
5. Se solicitará que determine el modo de licencia de TS que desea utilizar. Deje la decisión para más adelante. Cuenta con 120 días para tomar la decisión. Deje marcada la opción predeterminada, Configurar más adelante, y haga clic en Siguiente. 6. Agregue los usuarios o grupos de usuarios que utilizarán TS haciendo clic en Agregar, Avanzadas y Buscar ahora. Haga doble clic sobre un usuario o grupo de usuarios de la lista, dé clic en Aceptar. Repita el procedimiento anterior todas las veces que sea necesario. Al terminar de agregar usuarios y grupos, haga clic en Siguiente. 7.
Se nos indicará que la puerta de enlace TS requiere un certificado para utilizar el protocolo de capa de conector seguro (SSL, Secure Socket Layer) y cifrar las transmisiones; tiene tres opciones para un certificado (véase la figura 11-2). Dos de ellas se explican a continuación: a.
Si ya tiene un certificado en el servidor, haga clic en la primera opción; si el certificado está en el almacén de certificados de Windows, aparecerá en la lista. En caso contrario, haga clic en Importar y siga los pasos del Asistente para importación de certificados. Haga clic en Siguiente todas las veces que sea necesario. b. Si no tiene certificado, haga clic en la segunda opción; esto creará un certificado autofirmado. 8. Haga clic en Siguiente. Verá la explicación de una directiva de autorización de conexiones de TS (TS CAP), que permite a los usuarios pasar por la Puerta de enlace de TS y acceder a la red; y la explicación de una directiva de autorización de recursos de TS (TS RAP), que permite a los usuarios pasar por la Puerta de enlace de TS y usar equipos que ejecuten Terminal Server y otros recursos. Haga clic en Ahora para crear las directivas y, por último, haga clic en Siguiente. 9. Agregue los grupos de usuario que utilizarán la Puerta de enlace de TS, como se describió en el paso 7, y dé clic en Siguiente.
11 MATTHEWS 01.indd 328
10.
Escriba el nombre para su TS CAP, acepte la opción predeterminada de usar una contraseña, haga clic en Siguiente. Escriba el nombre de su TS RAP, escoja la opción utilizar grupos específicos de equipos o todos los equipos de la red, dé clic en Siguiente.
11.
Si no está instalada, lea la introducción a los servicios de acceso y directivas de red (Network Policy And Access Services) y haga clic en Siguiente. Acepte la opción predeterminada para instalar el servicio de función llamado “Servidor de directivas de redes” y haga clic en Siguiente.
12.
Lea la introducción al servidor Web (IIS) y haga clic en Siguiente. Acepte los servicios de función predeterminados que ya se encuentran marcados y haga clic en Siguiente.
1/14/09 12:19:25 PM
Capítulo 11:
Terminal Services y Escritorio remoto
329
Figura 11-2. Debe tener o crear un certificado de seguridad para utilizar la Puerta de enlace de TS.
13. Revise funciones y servicios de función que serán instalados para implementar TS y sus servicios. Si desea realizar cualquier cambio, haga clic en Anterior y realice los cambios. Cuando todo esté listo, haga clic en Instalar. El proceso de instalación tardará algunos minutos. 14. Haga clic en Cerrar y luego en Sí, para reiniciar su equipo. Después de reiniciar, se configurarán funciones y servicios de función y se desplegará un mensaje de advertencia indicando que el Administrador de licencias TS no está instalado y se cuenta con 119 días para instalarlo (el día en que se instaló cuenta como el primero). Por último, se desplegará un mensaje indicando que el proceso ha concluido con éxito. Haga clic en Cerrar. NOTA El mensaje de advertencia desplegado para notificar que el Administrador de licencias TS no está instalado y se cuenta con tantos días para instalarlo reaparecerá siempre que el equipo reinicie. A esto se le llama “nagware” (software regañón) y, por desgracia, Microsoft lo utiliza.
15.
11 MATTHEWS 01.indd 329
Abra Funciones, en la columna de la izquierda del Administrador del servidor, y haga clic en Terminal Services. En el panel de la derecha, se despliegan cuatro eventos informativos señalando, entre otras cosas, que se crearon TS RAP, TS CAP y un nuevo certificado autofirmado; también podemos observar en pantalla los servicios del sistema en ejecución y los servicios de función instalados, como se ilustra en la figura 11-3.
1/14/09 12:19:25 PM
330
Windows Server 2008: Guía del Administrador
Figura 11-3. Los resultados de la instalación de las funciones de TS se muestran en el Administrador del servidor.
SUGERENCIA Para obtener información detallada de cada uno de los eventos informativos, seleccione uno a la vez y haga clic en Propiedades. NOTA El componente de Conexión a Escritorio remoto no se instala de manera predeterminada en Windows Server 2008, pero se instala automáticamente junto con TS. Consulte la sección “Use el modo de servidor de aplicaciones”, en páginas posteriores de este capítulo.
11 MATTHEWS 01.indd 330
1/14/09 12:19:25 PM
Capítulo 11:
Terminal Services y Escritorio remoto
331
Configuración de Terminal Services Una vez instalada la función TS y el servicio de función Terminal Server, puede configurar TS utilizando la configuración de TS. Ésta nos permite determinar las conexiones de TS en el equipo y sus características, además de la configuración del servidor. Sólo puede existir una conexión por cada tarjeta de red (NIC, Network Interface Card) o adaptador de red en el equipo, cuando todas las conexiones utilizan RDP con TCP/IP. Por tanto, si sólo tenemos una NIC o adaptador de red, lo único indispensable es la conexión predeterminada. Sin embargo, es necesario realizar algunos ajustes importantes en el cuadro de diálogo Propiedades de conexión. Revise las configuraciones de la conexión y servidor, disponibles en la configuración de TS, mediante los siguientes pasos: 1.
Abra la ventana de configuración de TS haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Configuración de Terminal Services. O bien, en la ventana Administrador del servidor, escoja Funciones y Terminal Services, luego haga clic en Configuración de Terminal Services. En ambos casos, se abrirá la configuración de Terminal Services, dentro del Administrador del servidor, como se muestra en la figura 11-4 o en su propia ventana.
Figura 11-4. Es en Configuración de Terminal Services donde se añaden y configuran conexiones y otras características.
11 MATTHEWS 01.indd 331
1/14/09 12:19:26 PM
332
Windows Server 2008: Guía del Administrador
2.
Agregue conexiones adicionales en caso de contar con más de una NIC o adaptador de red, al hacer clic en “Crear una conexión nueva”, en el panel Acciones, a la derecha. Se abrirá el Asistente para la conexión de Terminal Services. Haga clic en Siguiente, escriba nombre de la conexión y comentario opcional, luego dé clic en Siguiente. Seleccione el adaptador de red que habrá de utilizarse y el número de conexiones. Dé clic en Siguiente, revise la configuración seleccionada, clic en Finalizar.
3.
Para cambiar las propiedades de una conexión existente, haga clic derecho en la conexión, como la RDP-TCP predeterminada, después clic en Propiedades. Se abrirá un cuadro de diálogo mostrando las propiedades de la conexión RDP-TCP.
4.
Revisemos cada una de las fichas. Las propiedades que se pueden modificar son las siguientes: ▼ General
Añada un comentario a la descripción de la conexión y cambie el nivel de CIFRADO a Alto
11 MATTHEWS 01.indd 332
■
Configuración de inicio de sesión Provee un inicio de sesión automático, al especificar la información de inicio de sesión que se usará siempre y si se solicitara una contraseña
■
Sesiones Decida cuándo terminar una sesión de terminal y cómo conectarse de nuevo, si ocurre una desconexión
■
Entorno Aquí se especifica cuál programa, si existe alguno, deberá iniciarse cuando el usuario abre una sesión, y a qué carpeta debe señalar
1/14/09 12:19:26 PM
Capítulo 11:
Terminal Services y Escritorio remoto
333
■
Control remoto Aquí se determina si permitirá control remoto u observación de una sesión de terminal de usuario y se establecen las condiciones bajo las cuales se permite
■
Configuración de cliente Especifica cuáles dispositivos y las capacidades del cliente estarán disponibles durante una sesión de terminal
■
El adaptador de red Especifica la NIC o adaptador de red que será utilizado para esta conexión y el número máximo de conexiones que serán permitidas
▲ Seguridad Aquí se determinan los permisos para un grupo o usuario particu-
lar, así como añadir grupos y usuarios elegidos
11 MATTHEWS 01.indd 333
5.
Cuando haya completado cualquier cambio deseado, haga clic en Aceptar para cerrar el cuadro de diálogo y volver a la ventana Configuración de Terminal Services.
6.
Haga clic en Configuración del servidor. La configuración aparecerá en la parte derecha de la ventana. Estas propiedades se explican por sí solas. Las modificaciones se realizan haciendo clic derecho sobre la propiedad, luego clic en Propiedades y al elegir los parámetros deseados, como se muestra a continuación.
7.
Cuando termine de realizar los cambios, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
1/14/09 12:19:26 PM
334
Windows Server 2008: Guía del Administrador
Administrador de Terminal Services El administrador de TS nos permite revisar y administrar servidores de terminal en sus dominios de confianza, incluidos usuarios, procesos y sesiones activos en cada servidor. Con la Configuración de Terminal Services, es posible abrir el Administrador de TS desde el menú Inicio y el Administrador del servidor. NOTA Cuando abrimos el Administrador de TS, se presenta un mensaje que notifica algunas características, como Control remoto y Conectar, sólo funcionan cuando la herramienta se ejecuta en una sesión de cliente e inhabilitan cuando lo hace en una sesión de consola o servidor. Es decir, se debe acceder al servidor y ejecutar el Administrador de TS desde un cliente para usar las características de Control remoto y Conectar.
1.
Abra el Administrador de TS haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Administrador de Terminal Services, haga clic en Aceptar para cerrar la ventana con el mensaje sobre Control remoto y Conectar. O bien, en el Administrador del servidor, abra Funciones y Terminal Services y, por último, clic en Administrador de Terminal Services. En ambos casos, se abrirá el Administrador de TS correspondiente al servidor local.
11 MATTHEWS 01.indd 334
2.
Haga clic en la ficha, en la parte media del panel y la ventana del Administrador del servidor se verá como en la siguiente figura, si el único usuario fuese el administrador:
3.
Si hace clic derecho en una sesión de cliente del panel central, por ejemplo, Administrador y abre su menú contextual, es posible desconectar, reconectar si está desconectado, enviar un mensaje al cliente, tomar control del cliente si este cliente lo permite, reiniciar el cliente y mostrar el estado de la sesión, que indica los bytes entrantes y salientes, asimismo tramas y errores generados.
1/14/09 12:19:26 PM
Capítulo 11:
Terminal Services y Escritorio remoto
335
NOTA Muchas de las opciones del menú contextual descritas están disponibles también en el panel de Acciones ubicado del lado derecho.
4.
Al hacer clic en la ficha Procesos se muestran los programas en ejecución en la sesión remota.
5.
Cuando termine de explorar el Administrador de TS, ciérrelo.
USE EL MODO DE SERVIDOR DE APLICACIONES El modo servidor de aplicaciones de TS es un verdadero entorno multiusuario, similar a los sistemas de tiempo compartido en mainframes populares durante la década de 1970, antes de la aparición de los equipos personales. Cada uno de los usuarios de los servidores de aplicaciones tiene una parte independiente del servidor y sus recursos. Eso significa que el servidor podría sobrecargarse. Los servidores de aplicaciones con cualquier número importante de usuarios simultáneos (más de cinco) requieren un equipo poderoso (quizás 64 bits), con una cantidad sustancial de memoria (4 gigabytes [GB] o más, que sólo puede obtenerse en equipos con procesadores de 64 bits). El cliente, por otra parte, como se describió antes, no requiere mucho poder para desplegar la interfaz de usuario, recolectar eventos tanto del ratón como del teclado y transmitir esta información al servidor. Casi todo el procesamiento se hace en el servidor. El modo de servidor de aplicaciones usa Terminal Server conjuntamente con RemoteApp de TS para ofrecer acceso a aplicaciones específicas del servidor desde un cliente remoto mediante Conexión a Escritorio remoto (RDC). En la sección anterior, “Preparación de Terminal Services”, se describió cómo instalar y preparar el servicio completo. En esta sección, veremos cómo preparar una de ambas formas para utilizar dicho servicio, la ejecución de programas o aplicaciones en el servidor desde un equipo remoto. Para ello, revisaremos un par de pasos preparatorios que es necesario dar, luego veremos cómo preparar y administrar RemoteApp de TS y, por último, cómo preparar y utilizar RDC.
Prepare Terminal Services Es necesario realizar varios pasos tras instalar TS y antes de continuar con RemoteApp de TS y RDC: ▼
11 MATTHEWS 01.indd 335
Instale programas Después de instalar TS, necesita instalar los programas que utilizarán los clientes remotos de TS. Si el servidor cuenta con programas instalados antes de TS, es buena idea desinstalarlos y reinstalarlos. Si están instalando varios programas con archivos compartidos, como Microsoft Office, es buena idea instalar todos los programas en el mismo servidor. Por otra parte, si se cuenta con varios programas de uso excesivo o que tal vez no sean compatibles, es una buena idea instalarlos en diferentes servidores de TS
1/14/09 12:19:27 PM
336
Windows Server 2008: Guía del Administrador
■
▲
11 MATTHEWS 01.indd 336
Verifique la configuración Aunque al instalar TS se habilitaron conexiones remotas, es recomendable verificar que estén activas en el servidor 1.
Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Del lado izquierdo, bajo el texto Tareas, haga clic en Configuración de Acceso remoto.
2.
En el cuadro de diálogo Propiedades del sistema, haga clic en la ficha Acceso remoto. En la parte inferior de la ventana verá las tres opciones de Escritorio remoto. Deberá estar seleccionada la segunda opción, como se muestra a continuación.
3.
Si sus usuarios usan RDC 6.0 (disponible como opción predeterminada en Windows Vista, Windows Server 2008 y descargable tanto para Windows XP como Windows Server 2003), podemos elegir la tercera opción para usar el nivel de seguridad más alto utilizando Autentificación a nivel de red.
4.
Deje el cuadro de diálogo Propiedades de sistema abierto para dar el último paso preparatorio.
Añada usuarios Los clientes o usuarios de TS deben configurarse como usuarios en Terminal Server. Pueden ser miembros del grupo Usuarios de Escritorio remoto o del grupo Administradores. Para aplicar de mejor forma las directivas de grupo (consulte el capítulo 15); es recomendable que todos los usuarios remotos sean miembros del grupo Usuarios de Escritorio remoto, aunque sean además miembros de otros grupos
1/14/09 12:19:27 PM
Capítulo 11:
Terminal Services y Escritorio remoto
337
1.
En el cuadro de diálogo Propiedades de sistema, que ya debe estar abierto tras los últimos pasos realizados, haga clic en Seleccionar usuarios.
2.
Haga clic en Agregar. En el cuadro de diálogo Seleccionar Usuarios o Grupos, escriba los nombres ya configurados en la red o haga clic en Avanzadas, luego en el botón Buscar ahora para encontrar los nombres. Haga clic sobre uno (o varios, si mantiene oprimida la tecla ctrl) de la lista Resultado de la búsqueda y dé clic en Aceptar.
3.
Cuando haya añadido los nombres deseados, haga clic en Aceptar. Los nombres deben aparecer en la lista del grupo Usuarios de Escritorio remoto.
4.
Si los usuarios de la lista son correctos, haga clic en Aceptar para cerrar el cuadro de diálogo Usuarios de Escritorio remoto, después haga clic en Aceptar una vez más, para cerrar el cuadro de diálogo Propiedades del sistema y, por último, cierre la ventana Sistema.
Administre RemoteApp de TS Antes de Windows Server 2008, una conexión remota a Terminal Server desplegaba el escritorio del servidor, mientras el cliente podía iniciar las aplicaciones que el usuario deseaba usar. Con RemoteApp de TS en Windows Server 2008, las aplicaciones específicas están disponibles para clientes remotos y cuando se ejecutan, dada una velocidad de red razonable, para el usuario parecerá que la aplicación se ejecuta en su propio equipo. RemoteApp de TS provee el medio para elegir las aplicaciones que el cliente remoto puede utilizar, así como el medio para empaquetar y entregar el programa al usuario, además de la forma principal de administrar a los clientes remotos y su acceso al Terminal Server. Estas funciones son realizadas con el Administrador de RemoteApp de TS, que puede ser abierto, ya sea desde el menú Inicio o desde el Administrador del servidor.
11 MATTHEWS 01.indd 337
1/14/09 12:19:27 PM
338
Windows Server 2008: Guía del Administrador
1.
Abra el Administrador de RemoteApp de TS haciendo clic en el menú Inicio|Herramientas administrativas|Terminal Services|Administrador de Remote App de TS. O, en el Administrador del servidor, abra Funciones y Terminal Services, luego dé clic en Administrador de RemoteApp de TS. En cualquiera de los casos, se abrirá el Administrador de RemoteApp de TS y mostrará los datos del servidor local, como se observa en la figura 11-5.
Figura 11-5. El Administrador de RemoteApp de TS determina qué pueden hacer los clientes remotos.
11 MATTHEWS 01.indd 338
1/14/09 12:19:27 PM
Capítulo 11:
11 MATTHEWS 01.indd 339
Terminal Services y Escritorio remoto
339
2.
En el panel Acciones, ubicado del lado derecho, haga clic en Agregar programas RemoteApp. Se abrirá el Asistente para RemoteApp.
3.
Seleccione los programas que desee que los clientes remotos ejecuten. Para cada uno de los programas, haga clic en Propiedades. Aparecerá un cuadro de diálogo donde es posible realizar cambios al nombre, ubicación, alias; marcar si el programa estará disponible a través de Acceso Web de TS y si el usuario podrá utilizar argumentos de línea de comando.
1/14/09 12:19:28 PM
340
Windows Server 2008: Guía del Administrador
4.
Haga clic en Aceptar cuando termine de configurar las propiedades del programa. Una vez que haya seleccionado todos los programas que se desean disponibles, haga clic en Siguiente. Aparecerá la lista de programas seleccionados y sus propiedades. Si desea realizar algún cambio, haga clic en Atrás, de otro modo, en Finalizar. Los programas aparecerán en la lista, en la parte inferior del Administrador de RemoteApp de TS.
5.
En el cuerpo del Administrador de RemoteApp de TS, se puede hacer clic en la palabra “Cambiar” ubicada en varias áreas o clic en cualquiera de las tres opciones del panel de Acciones, ubicada bajo Agregar programas RemoteApp; en cualquiera de los casos, se abrirá el cuadro de diálogo Configuración de implementación de RemoteApp.
6.
En general, usará la Configuración de implementación de RemoteApp predeterminada; sin embargo, es bueno revisarla para conocer en qué consiste y realizar cambios en el futuro, si fuera necesario. Por ejemplo, si se desea utilizar una firma digital, la ficha Firma digital es el lugar para añadirla. Haga clic en Aceptar, para cerrar el cuadro de diálogo Configuración de implementación de RemoteApp.
Distribuya un programa de RemoteApp Después de identificar una RemoteApp, el Administrador de RemoteApp ofrecerá dos formas para empaquetar y entregar el programa a un usuario remoto: ▼
Crear un archivo de tipo protocolo de escritorio remoto (.rdp) que el usuario pueda colocar en su escritorio y al hacer doble clic en él, el programa se ejecuta remotamente
▲
Crear un paquete de instalación de Windows (.msi) que el usuario puede colocar en su menú de Inicio o escritorio y hacer clic o doble clic para ejecutar remotamente el programa
SUGERENCIA Existe una tercera forma para acceder a un programa de RemoteApp mediante el Acceso Web de TS, que se analizará más adelante en este capítulo. NOTA Para que un cliente remoto utilice un programa de RemoteApp, el cliente deberá ejecutar Conexión a Escritorio remoto (RDC) 6.0, incluido en Windows Vista y Windows Server 2008. RDC 6.0 también está disponible para ser descargado para Microsoft Windows XP SP2 y Windows Server 2003 SP1 o SP2. Consulte la siguiente dirección en Internet http://support.microsoft.com/default.aspx/kb/925876.
11 MATTHEWS 01.indd 340
1/14/09 12:19:28 PM
Capítulo 11:
Terminal Services y Escritorio remoto
341
Cree un archivo .rdp Un archivo de protocolo de escritorio remoto es un pequeño programa que, cuando recibe doble clic, se pone en contacto con Terminal Server e inicia al programa con el que está asociado en el escritorio del cliente remoto, aunque el programa realmente se ejecute en el servidor.
11 MATTHEWS 01.indd 341
1.
En el Administrador de RemoteApp de TS (véase cómo abrirlo en la sección “Administración de RemoteApp de TS”), haga clic en el programa o mantenga presionada la tecla CTRL y haga clic en varios programas (si se seleccionan varios programas, se creará un archivo .rdp independiente para cada uno, aunque la configuración será la misma para todos los programas seleccionados). Haga clic en Crear archivo de .rdp, en el panel de Acciones.
2.
En el Asistente para RemoteApp, haga clic en Siguiente. Acepte la ubicación predeterminada para guardar el archivo o busque una ubicación diferente. Realice cualquier otro cambio a la configuración (estos ajustes son los mismos que los establecidos en el Administrador de RemoteApp), dé clic en Siguiente.
3.
Revise la configuración que será utilizada para crear el archivo .rdp. Si desea realizar algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar. Se abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccionada (véase la figura 11-6).
4.
Cierre el Explorador de Windows.
1/14/09 12:19:28 PM
342
Windows Server 2008: Guía del Administrador
Figura 11-6. Como opción predeterminada, los archivos de programa .rdp y .msi se almacenan en el directorio C:\Archivos de programa\Packaged Programs.
Cree un paquete.msi Un paquete de instalación de Microsoft Windows se instalará por sí solo en el equipo del cliente, de modo que cuando haga clic en él, en el menú de Inicio o por doble clic en el escritorio, se pondrá en contacto con Terminal Server e iniciará la ejecución del programa al que representa en el escritorio del cliente remoto, aunque en realidad el programa se estará ejecutando en el servidor.
11 MATTHEWS 01.indd 342
1.
En el Administrador de RemoteApp de TS (consulte la sección anterior “Administre RemoteApp de TS”, para conocer la forma de abrirlo), haga clic en un programa o mantenga oprimida la tecla ctrl para elegir varios programas y haga clic en cada uno de ellos. (Si se seleccionan varios programas, se creará un paquete .msi independiente para cada programa, pero la configuración será la misma para todos los programas seleccionados al mismo tiempo.) Haga clic en Crear paquete de Windows Installer, en el panel Acciones.
2.
En el Asistente para RemoteApp que se abre, haga clic en Siguiente. Acepte la ubicación predeterminada para guardar el archivo o busque un directorio diferente. Realice cualquier cambio deseado en la configuración (estos ajustes son los mismos establecidos en el Administrador de RemoteApp de TS) y haga clic en Siguiente.
3.
En Configurar paquete de distribución, determine dónde aparecerá el icono de acceso directo al archivo .msi en la máquina cliente, el escritorio o menú Inicio, y dé clic en Siguiente.
1/14/09 12:19:29 PM
Capítulo 11:
Terminal Services y Escritorio remoto
343
4.
Revise la configuración que se usará para crear el paquete .msi. Si se desea realizar algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar. Se abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccionada (véase la figura 11-6).
5.
Cierre el Explorador de Windows.
Distribuya un programa de RemoteApp Tras crear un paquete .msi o archivo .rdp, éste puede distribuirse mediante una de las siguientes acciones: ▼
Colocar los archivos en una carpeta compartida en el servidor y que el cliente los copie en su equipo
■
Colocar los archivos en un CD y que el cliente copie del CD a su equipo
■
Utilizar un proceso existente para la distribución de software como Microsoft System Management Server
▲
Para el paquete .msi se puede utilizar también una directiva grupal de Active Directory (consulte el capítulo 15)
Es posible exportar e importar programas y configuración de RemoteApp a otro Terminal Server o archivo, mediante Exportar configuración de RemoteApp e Importar configuración de RemoteApp en el panel Acciones, del Administrador de RemoteApp de TS. También se pueden realizar cambios en las propiedades y eliminar un programa de RemoteApp haciendo clic derecho en la lista Programas RemoteApp y clic en Propiedades o Quitar.
Uso de Conexión a Escritorio remoto con los programas de RemoteApp Para utilizar los programas de RemoteApp se requiere que RDC 6.0 esté instalado en el equipo del cliente. Esto se hace automáticamente en Windows Vista Business y Ultimate, además de Windows Server 2008. Además, en Windows Vista se activa automáticamente y está listo para su uso. En Windows Server 2008 es necesario activarlo, lo que se realiza de manera automática cuando instala TS y puede conseguirse manualmente en la ventana Tareas de configuración inicial o el Administrador del servidor, en la sección Resumen del servidor. En una nota anterior se explicó cómo obtener RDC 6.0 para Windows XP y Windows Server 2003.
11 MATTHEWS 01.indd 343
1/14/09 12:19:29 PM
344
Windows Server 2008: Guía del Administrador
Con los programas de RemoteApp, RDC sólo tiene un uso tangencial; lo verá al momento de arrancar el programa de RemoteApp y luego desaparece.
Uso de un archivo .rdp Un archivo .rdp es, en cierto modo, un acceso rápido a un programa remoto localizado en Terminal Server. Su uso es muy simple. Cuando se pone a disposición del cliente en cualquiera de las formas mencionadas en “Distribuya un programa de RemoteApp”, el cliente debe: 1.
Arrastrar el archivo .rdp a su escritorio, en caso de estar allí.
2.
Ejecutar el programa haciendo doble clic en él. Escriba un nombre de usuario y contraseña previamente registrada en el servidor. Haga clic en Aceptar.
3.
Verifique lo relacionado con el editor, efectúe los cambios deseados en la lista de dispositivos locales disponibles y dé clic en Sí. Se abrirá la ventana Seguridad de Windows.
4.
Ingrese en Terminal Server con el nombre de usuario y contraseña adecuados. Se cerrará la ventana de RDC y abrirá la ventana con el programa remoto. El cliente puede utilizar el programa como si funcionara en su equipo.
5.
Cierre el programa para desconectarse o termine la sesión con Terminal Server.
En la figura 11-7 se muestran dos instancias de WordPad (el procesador de palabras más elemental de Windows Server 2008, usado como ejemplo en esta sección), en ejecución desde un cliente con Windows Vista.
11 MATTHEWS 01.indd 344
1/14/09 12:19:29 PM
Capítulo 11:
Terminal Services y Escritorio remoto
345
Figura 11-7. Dos instancias del mismo programa pueden ejecutarse en el cliente en modo nativo y como programas de RemoteApp.
El programa de la izquierda funciona en modo nativo en el cliente, como verá por las barras del título y menú con el estilo de Windows Vista. El programa a la derecha funciona remotamente desde Terminal Server y tiene barras de título y menú con el estilo de Windows Server 2008, además de que en la barra de tareas aparece su icono, con la palabra “(remoto)” al final. NOTA En la figura 11-7, un archivo de .rdp y un paquete de .msi se muestran como iconos de escritorio del lado izquierdo. El archivo .rdp es el icono de WordPad ubicado en la parte superior.
Uso de un paquete .msi Un archivo .msi es un paquete de instalación que instalará el vínculo al programa de RemoteApp en el equipo del cliente. Una vez que el vínculo está instalado, hay una opción en el menú de inicio que brinda acceso al programa remoto ubicado en Terminal Server. Cuando el paquete .msi se pone a disposición del cliente, en cualquiera de las formas mencionadas en “Distribuya un programa de RemoteApp”, el cliente debe:
11 MATTHEWS 01.indd 345
1.
Arrastrar el paquete .msi al escritorio, si no está ya allí.
2.
Hacer doble clic en el paquete .msi para comenzar la instalación. Aparecerán varios cuadros de diálogo mostrando información del estado de la instalación y le preguntarán si está de acuerdo con hacer la instalación. Haga clic en Permitir.
1/14/09 12:19:29 PM
346
Windows Server 2008: Guía del Administrador
3.
Ejecute el programa haciendo clic en Inicio|Todos los programas. Mueva la barra de desplazamiento hasta llegar a Programas remotos y haga clic en el programa remoto que habrá de ejecutarse. Seleccione un nombre de usuario y escriba la contraseña correspondiente. Haga clic en Aceptar.
4.
Verifique la confiabilidad del servidor, realice los cambios deseados en la lista de dispositivos locales disponibles y haga clic en Sí. La ventana de conexión con escritorio remoto se abrirá.
5.
Ingrese en el Terminal Server con el mismo nombre de usuario y contraseña escritos anteriormente. Aparecerá una ventana que nos pregunta si estamos de acuerdo en realizar la instalación.
6.
Haga clic en Permitir. La ventana de RDC se cerrará y abrirá la ventana con el programa remoto. El cliente puede usar el programa como si éste funcionara en su computadora.
7.
Cierre el programa para desconectarse o cierre la sesión de Terminal Server.
SUGERENCIA Es posible colocar un acceso directo al programa instalado con el paquete .msi en el escritorio, al abrir el Explorador de Windows, localizar C:\Archivos de programa\Remote Packages, hacer clic derecho en el programa y seleccionando Enviar a | Escritorio (crear acceso directo).
11 MATTHEWS 01.indd 346
1/14/09 12:19:29 PM
Capítulo 11:
Terminal Services y Escritorio remoto
347
Configuración y uso de Acceso Web de TS El acceso Web de TS es una conexión vía Internet a Terminal Server, que permite a un cliente utilizar un navegador para ejecutar los programas de RemoteApp de TS en Internet o intranet. Esto requiere que Internet Information Services (IIS) ya se encuentre instalado en Terminal Server, como se describió antes en la sección “Instale las funciones de Terminal Services”. El acceso Web de TS es un servicio de función de Terminal Services que debe instalarse independientemente de TS. En esa sección se sugirió la instalación de IIS, en caso de no haber realizado la instalación, regrese a esa sección y hágalo ahora. Con el servicio de función instalado, configure y use Acceso Web de TS. NOTA Es necesario tener instalado RDC 6.0 en el cliente para que Acceso Web de TS funcione. RDC 6.0 está disponible en Windows Vista y Windows Server 2008; además, puede descargarse para Windows XP SP2 y Windows Server 2003 SP1 o SP2.
Configure Acceso Web de TS Si el servidor de Acceso Web de TS con IIS 7 y el Terminal Server de RemoteApp de TS están en el mismo equipo y se han seguido todos los pasos anteriores para configurar y distribuir los programas de RemoteApp de TS, entonces no es necesaria una configuración adicional para Acceso Web de TS. Si ambos servidores se encuentran ubicados en diferentes equipos, entonces continúe con los pasos descritos a continuación. El Acceso Web de TS es una aplicación Web que funciona en el servidor Web IIS. Esta aplicación puede configurarse desde el menú Inicio o la página Web correspondiente, usando un navegador. 1.
Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administración de Acceso Web de TS. En su defecto, en el servidor de terminal, haga clic en Inicio|Internet, para abrir Internet Explorer. En el campo de dirección, escriba http://localhost/ts. En cualquier caso, si es necesario, escriba nombre de usuario y contraseña de un administrador local y haga clic en Aceptar. El Acceso Web de TS se abrirá en Internet Explorer y, si hay un servidor de terminal con programas de RemoteApp de TS en el servidor Web, Acceso Web de TS mostrará los programas de RemoteApp de TS configurados, como se muestra en la figura 11-8.
2.
Haga clic en Configuración. Aparecerá el Editor de zona en el extremo derecho de la ventana del navegador. En el campo Nombre de servidor de Terminal Server, escriba el nombre del servidor en que se han instalado los programas de RemoteApp de TS que desea hacer accesibles vía Web.
3.
Haga clic en Aplicar, después en Programas RemoteApp. Deberán aparecer los programas de RemoteApp de TS que desea que estén disponibles.
Use Acceso Web de TS Dado que ya efectuó toda instalación y configuración anteriores, el uso por parte del cliente de Acceso Web de TS es muy simple.
11 MATTHEWS 01.indd 347
1/14/09 12:19:30 PM
348
Windows Server 2008: Guía del Administrador
Figura 11-8.
11 MATTHEWS 01.indd 348
Acceso Web de TS puede usarse para que se configure a sí mismo.
1.
En el equipo del cliente, haga clic en Inicio|Internet para abrir Internet Explorer. En el campo de dirección, escriba http://nombre_servidor/ts donde nombre_servidor es el nombre de un equipo en la red local, dirección IP o nombre de dominio plenamente calificado (FQDN, Fully Qualified Domain Name).
2.
Escriba un nombre de usuario y contraseña, luego haga clic en Aceptar. Si aparece un mensaje “Control ActiveX no permitido”, haga clic en el mensaje de alerta, en la barra de la información y clic en Complemento deshabilitado|Ejecutar el control ActiveX. Por último, haga clic en Ejecutar, en el mensaje de advertencia de seguridad. Acceso Web de TS se abrirá en el navegador desplegando los programas de RemoteApp de TS que se han instalado, de manera similar a como se mostró en la figura 11-8, pero sin la opción Configuración.
3.
Haga clic en el programa que desea ejecutar. Aparecerá un mensaje de alerta. Dé clic en Aceptar para seguir adelante. Quizás aparezca un nuevo mensaje de alerta; si se muestra, haga clic en Permitir.
1/14/09 12:19:30 PM
Capítulo 11:
Terminal Services y Escritorio remoto
349
SUGERENCIA Si nada ocurre cuando hace clic en el programa, entonces es necesario añadir el servidor de Acceso Web de TS a la zona de sitios confiables en Internet Explorer. Para ello, en Internet Explorer, dé clic en la opción Herramientas en la barra de herramientas, luego en Opciones de Internet. Haga clic en la ficha Seguridad; en seguida, en la lista de sitios, clic en Sitios de confianza, después en el botón Sitios. En el campo de texto Agregar este sitio Web a la zona de e ingrese la dirección Web escrita en el paso 1; si no se encuentra allí, quite la marca de la casilla Requerir comprobación del servidor…, haga clic en Agregar, en Cerrar, luego en Aceptar para cerrar el cuadro de diálogo Opciones de Internet.
4.
Escriba el nombre de usuario y contraseña y dé clic en Aceptar. Aparecerá un mensaje ofreciendo información sobre el equipo con que reestablece la conexión y los recursos están disponibles. Realice cualquier cambio que desee en la lista de recursos y dé clic en Conectar.
5.
El programa se abrirá en el cliente y es posible utilizarlo como se haría normalmente.
6.
Cuando termine de usar el programa RemoteApp de TS, cierre el programa y, luego, el navegador Web.
Configure la Puerta de enlace de TS La Puerta de enlace de TS provee acceso seguro a la red interna de una organización donde, con las credenciales apropiadas, el usuario puede acceder a los recursos en la red, incluidos equipos, discos e impresoras. La Puerta de enlace de TS cuenta con la misma o más seguridad que la disponible en L2TP VPN; pero es más fácil instalarla y utilizarla. Más importante aún, la Puerta de enlace de TS funciona bien con firewalls, de forma que se puede tener una configuración muy férrea de la firewall y pese a ello tener acceso remoto a la red protegida por la firewall y a través de un traductor de direcciones de red (NAT, Network Address Translator).
11 MATTHEWS 01.indd 349
1/14/09 12:19:30 PM
350
Windows Server 2008: Guía del Administrador
La Puerta de enlace de TS es un servicio de función en TS. En la sección “Instalación de las funciones de Terminal Services”, se recomendó instalar Puerta de enlace de TS al mismo tiempo que TS. Si no ha instalado el servicio de función Puerta de enlace de TS, regrese a la sección indicada y realice los pasos correspondientes, incluida la identificación o creación de un certificado de seguridad y directivas de TS CAP y TS RAP. La Puerta de enlace de TS se controla por el Administrador de Puerta de enlace de TS, donde es posible controlar, entre otras cosas, quién se conecta, qué recursos utiliza, si el redireccionamiento está permitido y las características específicas de seguridad en uso. El Administrador de Puerta de enlace de TS se abre desde el menú Inicio o Administrador del servidor. 1.
Abra al Administrador de Puerta de enlace de TS haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Administrador de Puerta de enlace de TS. O bien, en Administrador del servidor, abra Funciones y luego Terminal Services, dé clic en Administrador de Puerta de enlace de TS. En cualquier caso, se abrirá el Administrador de Puerta de enlace de TS. Haga doble clic en el nombre del servidor, que se mostrará en el panel central para abrir el servidor de Puerta de enlace de TS, como verá en la figura 11-9.
2.
En el panel central: a.
Haga clic en Supervisar conexiones activas para ver una lista de conexiones, cambiar el límite de conexiones o editar y desconectar una conexión.
Figura 11-9. El Administrador de Puerta de enlace de TS determina lo que pueden hacer los clientes remotos.
11 MATTHEWS 01.indd 350
1/14/09 12:19:31 PM
Capítulo 11:
Terminal Services y Escritorio remoto
351
b. Haga clic en Ver o modificar propiedades de certificado para examinar la lista de certificados y sus propiedades o crear uno nuevo. c.
3.
Haga clic en Ver directivas de autorización de conexiones o en Ver directivas de autorización de recursos para crear una nueva directiva, cambiarla, inhabilitarla o eliminar una directiva existente.
En el panel Acciones, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades de servidor. En este cuadro es posible limitar el número de conexiones, elegir el certificado que habrá de utilizarse o crear uno nuevo y administrar diversas características de la Puerta de enlace de TS. Cierre el cuadro de diálogo Propiedades cuando todo esté listo.
En el panel Acciones, también es posible importar las directivas del servidor de la Puerta de enlace de TS desde un archivo o exportarlas a éste, para ser usadas con otros servidores. La Puerta de enlace de TS debe considerarse una excelente opción a la VPN, que se supone más segura o al menos tan segura como L2TP o SSTP, en definitiva más fácil de instalar y configurar.
Habilite el Agente de sesiones de TS El Agente de sesiones de TS trabaja con una “granja” de dos a cinco servidores de terminal, en la que todos sus miembros suministran los mismos programas y servicios a clientes remotos. El Agente de sesiones de TS separará y equilibrará la carga de TS entre diversos servidores y reconectará al cliente a una sesión existente en la granja, manteniendo además la carga equilibrada. Cuando un cliente busca al principio los servicios de terminal, Agente de sesiones de TS revisará los servidores y asignará al cliente el servidor menos congestionado. Si el cliente debe terminar la sesión o, por alguna razón, se desconecta y luego regresa, Agente de sesiones de TS reconectará al cliente con el servidor y sesión de los que antes se desconectó. Si un servidor deja de funcionar, Agente de sesiones de TS pasará automáticamente ese servidor y buscará uno de los activos. Por último, a cada uno de los servidores se le puede dar peso relativo en cuanto a su capacidad para manejar la carga de TS, de modo que a los servidores más poderosos y capaces se les asigne una carga más grande.
11 MATTHEWS 01.indd 351
1/14/09 12:19:31 PM
352
Windows Server 2008: Guía del Administrador
Para utilizar Agente de sesiones de TS, todos los servidores de la granja deben ejecutar Windows Server 2008 con la función Terminal Services, los servicios de función Terminal Server y Agente de sesiones de TS instalados, ya descritos en la sección “Instalación de las funciones de Terminal Services”, en este mismo capítulo. Para crear la granja, se asigna una dirección IP a la misma, mientras a todos los servidores se les asigna un registro de DNS a dicha dirección IP. Este registro activa el Agente de sesiones de TS y la asignación del peso relativo se realiza en cada servidor de la granja mediante Configuración de Terminal Services.
11 MATTHEWS 01.indd 352
1.
Abra Configuración de Terminal Services haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Configuración de Terminal Services. En su lugar, en la ventana del Administrador del servidor, abra Funciones, luego Terminal Services y dé clic en Configuración de Terminal Services. En cualquier caso, se abrirá Configuración de Terminal Services, en la ventana del Administrador de servidor o en su propia ventana, como ya se mostró en páginas anteriores de este capítulo, en la figura 11-4.
2.
En la parte inferior del panel central (en el Administrador del servidor), bajo Agente de sesiones de TS, dé clic derecho en Miembro de una granja del Agente de sesiones y clic en Propiedades.
1/14/09 12:19:31 PM
Capítulo 11:
Terminal Services y Escritorio remoto
353
3.
Haga clic en Unirse a una granja del Agente de sesiones de TS y escriba el nombre de un servidor registrado, dirección IP para el primer servidor o servidor líder de la granja (esta dirección IP se convierte en la dirección de la granja) y un nombre para la granja.
4.
Haga clic en Participar en el equilibrio de carga del Agente de sesiones, escriba el peso relativo del servidor, haga clic en Usar redirección de direcciones IP (de lo contrario, no se presentará el equilibrio de carga); haga clic en la dirección IP que habrá de utilizarse para la reconexión y, por último, clic en Aceptar.
Con un número moderado de servidores de terminal, el Agente de sesiones de TS ofrece una forma excelente para equilibrar y administrar la carga de TS entre ellos.
IMPLEMENTE EL ADMINISTRADOR DE LICENCIAS DE TS Un cliente con acceso a Terminal Services puede usar la última versión de Microsoft Windows y sus aplicaciones, sin contar con una versión de Windows reciente ni las aplicaciones instaladas. Por tanto, Microsoft cobra cuotas por este servicio mediante un servidor de licencias para administrar tal función. El servidor de licencias es cualquier servidor en que está instalada la función de administración de licencias de TS. La forma en que trabaja el Administrador de licencias de TS es la siguiente: cuando un cliente se pone en contacto con el servidor de terminal para establecer una conexión, el servidor se pone en contacto con el servidor de licencias, para determinar si el cliente cuenta con una licencia de cliente para acceso a Terminal Services (TS CAL, TS Client Access Licence). De lo contrario, el servidor de terminal solicitará una. Dado que se han comprado e instalado suficientes TS CAL, el servidor de licencias expedirá la TS CAL y registrará el hecho en su base de datos. En los primeros 120 días no será necesario contar con un servidor de licencias y, si se instala uno, publicará licencias temporales gratuitas. Después de los 120 días, se deberán comprar TS CAL de Microsoft e instalarlas en el servidor. Con las TS CAL adquiridas, el servidor de licencias expedirá licencias de largo plazo o permanentes para dispositivos (equipos) y usuarios.
Licencias de Terminal Server Para utilizar las licencias del servidor de terminal, la función Administración de licencias de TS debe estar instalada, activa en la red y también TS CAL. El servidor de licencias puede ser cualquier servidor en la red que ejecute Windows Server 2008 y, debido al tráfico que generará, no es recomendable que también sea servidor de terminal. No es necesario que el servidor de licencias sea un equipo demasiado poderoso y trabaje con servidores de terminal usando Windows Server 2000 y 2003, además de 2008. El servidor de licencias almacena todas las TS CAL instaladas para la red y todos los servidores de terminal en la red deben tener acceso rápido al servidor de licencias, antes de permitir a los clientes conectarse con el servidor de terminal. NOTA No es necesario tener licencias o un servidor de licencias para utilizar el Escritorio remoto.
11 MATTHEWS 01.indd 353
1/14/09 12:19:31 PM
354
Windows Server 2008: Guía del Administrador
Durante la instalación del servicio de función Terminal Server, se le preguntó el tipo de TS CAL que deseaba utilizar: ▼
Por dispositivo, requiere una TS CAL para cada equipo conectado al servidor de terminal. Una TS CAL establecida por dispositivo puede ser útil para cualquier usuario
▲
Por usuario, requiere una TS CAL para cada usuario conectado con el servidor de terminal y sólo puede ser utilizada en forma conjunta con Active Directory. Una TS CAL establecida por usuario puede utilizarse en cualquier equipo
SUGERENCIA Para decidir el tipo de licencia necesaria, determine si tiene relativamente pocos usuarios que utilizan gran cantidad de equipos con TS; entonces debe utilizar TS CAL por usuario. En casi todos los demás casos, tal vez prefiera TS CAL por dispositivo, que es la opción predeterminada.
Quizás haya elegido, como se recomendó, dejar la decisión para el periodo de gracia de 120 días. Se revisará con más detalle este tema cuando se exponga la configuración del Administrador de licencias de TS. NOTA Las TS CAL por dispositivo se extienden a un espacio finito de tiempo y se renuevan mientras se mantengan en uso. Si la TS CAL no se ha utilizado en su tiempo de asignación, se retira del cliente y añade nuevamente al conjunto de TS CAL disponibles, para ser utilizado con el siguiente dispositivo que intente acceder al servidor de terminal. El administrador también puede retirar las TS CAL por dispositivo del cliente.
Instale el servicio de función Administrador de licencias de TS La instalación del servicio de función de Administrador de licencias de TS es similar a la de otros servicios de función (suponiendo que haya instalado Terminal Services):
11 MATTHEWS 01.indd 354
1/14/09 12:19:32 PM
Capítulo 11:
Terminal Services y Escritorio remoto
355
1.
Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. En cualquier caso, en el panel de la izquierda de la ventana del Administrador del servidor, haga clic en Funciones y en Terminal Services, y desplace el panel de la derecha hasta que vea Servicios de función.
2.
Haga clic en Agregar servicios de función, seleccione Administrador de licencias TS y dé clic en Siguiente.
3.
Seleccione el alcance con que el servidor de licencias expedirá cada una (véase la figura 11-10): el grupo de trabajo del que es parte el servidor de licencias, dominio al que pertenece o el bosque de dominios en que se incluye.
4.
Ingrese o seleccione la ruta de la carpeta en que se almacenará la base de datos de licencias. Haga clic en Siguiente y en el botón Instalar. Por último, cuando se muestre el mensaje indicando que la instalación está completa, haga clic en Cerrar.
Figura 11-10. Para instalar el Administrador de licencias de TS, es necesario establecer el alcance del servidor de licencias.
11 MATTHEWS 01.indd 355
1/14/09 12:19:32 PM
356
Windows Server 2008: Guía del Administrador
Active un servidor de licencias de TS e instale licencias Para emitir licencias, debe activar un servidor de licencias de TS y tener un conjunto de licencias instaladas. Esto se logra mediante el asistente, para activar el servidor de administración de licencias de TS a través de una de las siguientes formas: ▼
Conexión automática el servidor de licencias se conecta directamente con el centro de activación de Microsoft a través de Internet. Esto implica que el servidor de licencias cuente con una conexión a Internet
■
Navegador Web un administrador proporciona manualmente la información necesaria en una página Web, conectado vía Internet al sitio Web de Microsoft, recurriendo a una URL suministrada por el asistente de activación del servidor
▲
Telefónica el administrador puede llamar al centro de soporte a clientes de Microsoft en su localidad, utilizando el número telefónico proporcionado por el asistente de activación del servidor
Una vez que haya decidido la manera en que se pondrá en contacto con el centro de activación de Microsoft, abra el Administrador de licencias de TS y ejecute el asistente para activar el servidor:
11 MATTHEWS 01.indd 356
1.
Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administrador de licencias de TS. Se abrirá la ventana del Administrador de licencias de TS y mostrará el nombre del servidor instalado en pasos anteriores, bajo el estado “No activado”, como se muestra en la siguiente figura:
2.
Haga clic en la opción Todos los servidores, para ver su nuevo servidor en el árbol de consola del panel de la izquierda; dé clic derecho en el nombre del servidor en el panel de la izquierda o derecha y, en el menú desplegado, haga clic en Activar servidor. Se abrirá el Asistente para activar servidor. Dé clic en Siguiente.
3.
Seleccione el método de conexión que desee utilizar (Conexión automática, Navegador Web, Telefónica) y haga clic en Siguiente. Suponiendo que seleccionó el método de Conexión automática, escriba su nombre, compañía y país o región; dé clic en Siguiente. Escriba su dirección de correo electrónico, unidad organizativa, dirección postal y haga clic en Siguiente.
4.
Aparecerá un mensaje indicando que su servidor de licencias se ha activado con éxito. Deje seleccionada la opción correspondiente y haga clic en Siguiente para instalar licencias del cliente (en este caso, simuladas). Como opción, quite la marca de la casilla de verificación y haga clic en Finalizar para dejar la instalación de licencias del cliente para otro momento. Suponiendo que tomó la primera opción, se abrirá el Asistente para instalación de licencias, como se ilustra en la figura 11-11.
1/14/09 12:19:32 PM
Capítulo 11:
Figura 11-11.
11 MATTHEWS 01.indd 357
Terminal Services y Escritorio remoto
357
Instalación de licencias del cliente en el Terminal Server.
5.
Haga clic en Siguiente. Escoja el tipo de programa de licencia que usted o su organización ha comprado. Tras seleccionar un programa, el cuadro de diálogo desplegará información sobre este programa y mostrará un ejemplo de código de licencia. Si la información y código de ejemplo coinciden con el que usted tiene, haga clic en Siguiente.
6.
Ingrese el o los códigos de licencia, haga clic en Agregar, para cada uno y, cuando haya terminado, dé clic en Siguiente. Dé clic en Finalizar cuando se avise que las licencias se instalaron con éxito.
1/14/09 12:19:32 PM
358
Windows Server 2008: Guía del Administrador
NOTA Si desea instalar licencias en otro momento, puede hacerlo desde la ventana del Administrador de licencias de TS, haciendo clic derecho en el nombre del servidor y al seleccionar la acción Instalar licencias. El asistente de instalación de licencias se abrirá de la manera descrita en pasos anteriores.
Configure y habilite usuarios Una vez que haya manejado la administración de licencias, es necesario configurar y activar usuarios. Para esto, el servidor o dominio deberán tener cuentas de usuario establecidas para dicho proceso (esto significa que los usuarios deben ser miembros de los grupos Usuarios de Escritorio remoto, Administradores en el servidor o dominio), la cuenta de usuario debe tener una contraseña y las cuentas deben estar activadas para TS o conexiones remotas. A continuación se explica cómo lograrlo en un dominio de Active Directory (con un grupo de trabajo, haría esto con los usuarios y grupos locales del servidor: Inicio|Herramientas administrativas|Administración de equipos, abra Herramientas del sistema además de Usuarios y grupos locales, luego lleve a cabo pasos similares a los descritos a continuación para un dominio): 1.
Haga clic en Inicio|Herramientas administrativas|Usuarios y equipos de Active Directory. Abra el dominio local, dé clic derecho sobre la opción Users y clic en Nuevo|Usuario. Se abrirá el cuadro de diálogo Nuevo objeto - Usuario.
2.
Ingrese Nombre completo y Nombre de inicio de sesión del usuario y haga clic en Siguiente. Escriba y confirme la contraseña que habrá de utilizarse, defina cómo podrá cambiarse dicha contraseña, haga clic en Siguiente y luego en Finalizar. Repita estos pasos para registrar a todos los nuevos usuarios que desee.
3.
En el panel derecho de la ventana Usuarios y equipos de Active Directory, haga doble clic en uno de los nuevos usuarios recién creados para abrir el cuadro de diálogo Propiedades de usuario.
4.
Haga clic en la ficha “Miembro de”, luego en Agregar. En el cuadro de diálogo Seleccionar grupos, haga clic en Avanzadas y después en Buscar ahora, para localizar grupos. Ubique el grupo Usuarios de Escritorio remoto y dé clic en Aceptar tres veces. Repita este proceso para todos los usuarios que utilizarán TS o Escritorio remoto.
5.
Cierre la ventana Usuarios y equipos de Active Directory, haga clic en Inicio|Panel de control y doble clic en Sistema. Dé clic en Configuración de Acceso remoto. En la sección “Acceso remoto” del cuadro de diálogo, haga clic en Permitir las conexiones desde equipos que ejecutan cualquier versión de Escritorio remoto, como ya se mostró en la sección “Prepare Terminal Services”, después clic en Aceptar y cierre la ventana Sistema.
UTILICE EL MODO DE ADMINISTRACIÓN REMOTA El modo de administración remota utiliza el entorno TS en forma similar al modo de servidor de aplicaciones, pero limitada a un máximo de dos usuarios, quienes deben ser miembros del grupo de administradores; no exige mucho al servidor ni requiere licencias y puede usarse fácilmente para administrar un servidor sin impacto importante en otros procesos ejecutándose
11 MATTHEWS 01.indd 358
1/14/09 12:19:33 PM
Capítulo 11:
Terminal Services y Escritorio remoto
359
en el servidor. Para lograr lo anterior, no es necesario contar con los componentes de multiusuario ni planificación de procesos presentes en todo TS, pero sí se utiliza RDC.
Habilite Conexión a Escritorio remoto Conexión a Escritorio remoto usa el mismo RDC 6.0 ya expuesto en este capítulo. Como ya se vio, Windows Server 2008 tiene instalado RDC 6.0 en forma predeterminada; por ello, no requiere acción adicional para tener disponible la aplicación. Sin embargo, como opción predeterminada, Windows Server 2008 tiene desactivada RDC y, para utilizarla, es necesario activarla. La activación de RDC es muy simple y se realiza mediante los siguientes pasos: 1.
Haga clic en Inicio|Panel de control|Sistema y dé clic en Configuración de Acceso remoto para abrir la ficha del cuadro de diálogo Propiedades del sistema, que maneja la asistencia y Escritorio remoto, mostrado en páginas anteriores de este capítulo bajo “Prepare Terminal Services”.
2.
En la sección Escritorio remoto, en la sección inferior de la ficha, haga clic en Permitir las conexiones desde equipos que ejecuten cualquier versión de Escritorio remoto.
3.
Haga clic en Aceptar cuando se le indique que se habilitará la excepción de Firewall en Escritorio remoto y dé clic en Aceptar para cerrar el cuadro de diálogo.
Administración mediante la Conexión a Escritorio remoto Utilizando RDC, es posible realizar casi cualquier función administrativa que sea capaz de hacer sentado frente al equipo y a través de una LAN, conexión de acceso remoto (RAS) —como se revisó en el capítulo 8— o Internet, mediante una VPN (consulte el capítulo 10). Es posible utilizar todas las opciones del Panel de control y Herramientas administrativas, incluidas las de Active Directory, Administración de equipo, DHCP, DNS, Administrador del servidor, Escritorio remoto y Programador de tareas. Dado que el cliente remoto puede tener control total sobre el servidor, es muy importante mantener un esquema de seguridad sólido. Entre los elementos de seguridad que deben considerarse se encuentran: ▼
Implementación de un firewall en el servidor
■
Utilizar una VPN o puerta de enlace de TS para el acceso vía Internet
■
Utilizar contraseñas robustas para todos los administradores
■
Limitar con cuidado a los individuos o grupos con acceso administrativo remoto
▲
Revisar cuidadosamente las directivas que afectan la administración remota
Uso de la Conexión a Escritorio remoto RDC no requiere servidor en los extremos de la conexión. Por ejemplo, puede tener Windows Vista Business en un equipo que ejecuta en su oficina y Windows XP Professional SP2 con RDC 6.0 descargado e instalado en casa, mientras desde el equipo en casa con los permisos apropiados puede acceder al equipo de la oficina utilizando RDC mediante RAS o VPN y hacer casi todo en el equipo de la oficina: casi cualquier cosa que podría hacer si
11 MATTHEWS 01.indd 359
1/14/09 12:19:33 PM
360
Windows Server 2008: Guía del Administrador
estuviera sentado frente a ella. Dado que el equipo de oficina no es realmente un servidor, se le denomina “host”. El equipo en casa es el cliente. El host debe ser un equipo con Windows Vista Business, Ultimate o Windows Server 2008, pero el cliente puede ser cualquier equipo en que pueda ejecutar Conexión a Escritorio remoto 6.0 (consulte la sección “Uso de Conexión a Escritorio remoto con los programas de RemoteApp”, de este capítulo). En Windows Vista, el cliente está instalado y habilitado como opción predeterminada, pero en Windows Server 2008 debe habilitarse como se describió en la sección “Habilite Conexión a Escritorio remoto”. El usuario de RDC debe ser por lo menos miembro del grupo de usuarios de Escritorio remoto en el equipo host y necesita ser un administrador, si desea ejecutar funciones limitadas a los administradores. Con RDC, sólo un usuario puede usar el equipo host simultáneamente, aunque pueden estar activas varias sesiones de usuario. Cuando el cliente remoto inicia sesión en el host, éste se “bloquea” de modo que ningún otro usuario acceda a él; aunque los programas en ejecución continuarán ejecutándose, es posible realizar una conmutación de usuario para moverse a otra sesión de usuario. La conmutación de usuario también puede usarse en el cliente para cambiar del usuario que usa RDC en el host a otro usuario y luego volver al anterior.
Ponga en funcionamiento una Conexión a Escritorio remoto Después de conectarse a un host RDC o servidor TS, puede hacer casi cualquier cosa que haría si estuviera sentado frente al host. Puede ejecutar programas, acceder a datos y realizar casi todas las funciones administrativas disponibles. Además, la barra de herramientas de RDC, o “Barra de conexión”, permite cerrar la ventana de RDC sin cerrar la sesión, de manera que los programas sigan en ejecución, minimizar la ventana, para trabajar en el escritorio de la máquina local y maximizar la ventana. Además, existe un icono en forma de alfiler que determina si la barra de conexión estará siempre visible sobre el escritorio o sólo aparecerá cuando se coloque el cursor del ratón en la parte superior del centro de la pantalla.
Configure la Conexión a Escritorio remoto RDC ofrece la capacidad para transferir información entre el equipo host y cliente local en uso. Esto significa que puede imprimir en la impresora local conectada al cliente (la opción predeterminada), trabajar con archivos en el host remoto y el cliente local en la misma ventana (no es la opción predeterminada), además de cortar y pegar entre ambos equipos y documentos en cualquiera de ellas (tampoco es la opción predeterminada). Los recursos del cliente local se encuentran disponibles en una sesión de RDC y se controlan en las opciones del cuadro de diálogo de Conexión a Escritorio remoto. Use los siguientes pasos para explorar las diferentes configuraciones que pueden usarse:
11 MATTHEWS 01.indd 360
1.
En cualquier equipo que ejecute RDC 6.0 (en este caso el cliente), haga clic en Inicio|Todos los programas|Accesorios|Conexión a Escritorio remoto. Se abrirá el cuadro de diálogo del mismo nombre. Haga clic en Opciones y la ventana se expandirá mostrando los diferentes controles para el Escritorio remoto en seis fichas, como se muestra en la figura 11-12.
2.
Haga clic en la ficha Mostrar. La opción predeterminada para una LAN es usar Pantalla completa y la más alta calidad de color (32 bits), si su equipo lo soporta y
1/14/09 12:19:33 PM
Capítulo 11:
Figura 11-12.
Terminal Services y Escritorio remoto
361
Controles de configuración de Conexión a Escritorio remoto.
deja activa la opción Mostrar la barra de conexión… Si su LAN tiene una elevada cantidad de tráfico y es lenta, tal vez quiera reducir el tamaño de pantalla y la cantidad de colores diferentes.
11 MATTHEWS 01.indd 361
3.
Haga clic en la ficha Recursos locales. Como se observa en la figura 11-13, en esta ficha es posible determinar si desea traer el sonido del host al cliente y el uso de métodos abreviados en el teclado. Una vez más, si tiene una conexión de red lenta, ninguna de las dos cosas anteriores es recomendable. Si desea transferir una pequeña cantidad de información entre dos equipos usando copiar y pegar, deje seleccionada la opción Portapapeles; si desea imprimir en la impresora conectada al cliente local, deje seleccionada la opción Impresora; si busca transferir una cantidad grande de información entre ambos equipos, haga clic en Más y escoja la opción Unidades.
4.
Si quiere ejecutar un programa cuando abra RDC, haga clic en la ficha Programas, elija la opción Iniciar el siguiente programa al conectarse y escriba nombre de archivo y ruta de acceso del programa, además de la carpeta de inicio que habrá de utilizarse.
5.
Haga clic en la ficha Rendimiento y escoja la velocidad de la conexión en uso. Con ello se determinará automáticamente cuáles de las opciones bajo la lista desplegable de velocidades se seleccionan. Puede realizar cambios en la selección de opciones, si lo desea.
1/14/09 12:19:33 PM
362
Windows Server 2008: Guía del Administrador
Figura 11-13.
11 MATTHEWS 01.indd 362
Control de los recursos disponibles con RDC.
6.
Haga clic en la ficha Opciones avanzadas y, bajo Autentificación del servidor, haga clic en la lista desplegable. La opción predeterminada, Avisarme, es buena selección. Si va a realizar una conexión a un servidor de TS de Windows Server 2008 con puerta de enlace de TS instalada, haga clic en Configuración. La opción predeterminada, Detectar automáticamente la configuración del servidor de puerta de enlace de TS, es también la más recomendable. Haga clic en Aceptar, para cerrar el cuadro de diálogo Configuración del servidor de Puerta de enlace de TS.
7.
Haga clic en la sección General y escriba el nombre del equipo remoto. Si se van a utilizar varias configuraciones, guarde la configuración actual haciendo clic en Guardar como, escriba un nombre de archivo y haga clic en Guardar.
8.
Por último, dé clic en Conectar, escriba su contraseña y haga clic en Aceptar. Si en la configuración especificada las unidades de disco locales deberán estar disponibles, aparecerá un mensaje indicando que continúe con el proceso de conexión sólo si confía plenamente en el equipo al que conecta. Haga clic en Sí o No.
1/14/09 12:19:34 PM
Capítulo 11:
Terminal Services y Escritorio remoto
363
9.
Dependiendo de la seguridad en el equipo remoto, es posible que deba escribir su nombre de usuario y contraseña nuevamente. El escritorio host se abrirá en el escritorio del cliente, tal vez ocupando la pantalla completa, si así fue configurado.
10.
Mueva el puntero del ratón a la parte central superior de la ventana y aparecerá la barra de la conexión de RDC. Si desea conservar la barra de conexión en la pantalla, haga clic en el alfiler del lado izquierdo.
11.
En este momento puede realizar cualquier acción en el host para la que tenga permiso. Cuando termine de utilizar RDC, salga realizando lo siguiente: ▼
Haga clic en Cerrar, de la barra de conexión. Esto deja al usuario conectado y cualquier programa en ejecución permanecerá así. Si se reinicia la conexión de RDC con el equipo remoto y nadie ha ingresado de manera local, la conexión regresa a la misma sesión que dejó
▲
Haga clic en Inicio|Cerrar sesión. Esto terminará su sesión con el equipo remoto y detendrá la ejecución de todos los programas en uso. Si se reinicia la conexión de RDC con el equipo remoto, se iniciará una nueva sesión
Utilice Escritorio remoto Casi todo lo que puede hacer en las ventanas de Escritorio remoto o Terminal Server resulta obvio; es lo mismo que utilizar directamente Windows. Sin embargo, existen dos funciones únicas en este entorno. En el siguiente ejemplo muestra cómo trabajan.
Guardado en un disco local Con la configuración predeterminada, todos los archivos y directorios a los que se hace referencia durante una sesión de RDC o TS están en el host o servidor. Si se hace referencia a una carpeta del disco C:, la opción predeterminada corresponderá al disco C: del host o servidor. Si en el cuadro de diálogo Conexión a Escritorio remoto se especifica que las unidades de disco local estén disponibles, entonces podrán usarse los discos del host/servidor así como los del equipo local. Por ejemplo, si tras habilitar las unidades de disco local cuando se conecta, trabaja en el host/servidor y hace clic en Guardar como, las unidades de disco en que guarda los archivos serán host y cliente. Se recomienda tener cuidado con la terminología. Es necesario conocer los nombres asignados a los equipos cliente y host, además de sus unidades. Usualmente, los discos host o servidor aparecen primero y, si carecen de nombre, se denominarán “Disco local (C:)”, donde la palabra local se refiere al host o servidor. Los discos del cliente se denominarán “C en cliente”, donde cliente es el nombre del equipo cliente. De esta forma, es muy sencillo utilizar cualquiera de las unidades.
Uso de la impresora local Con la configuración predeterminada, todas las impresiones se realizan directamente en la impresora predeterminada del cliente. Por ejemplo, si se abre el cuadro de diálogo Imprimir, desde un programa que se ejecuta en el host, aparecerá la impresora predeterminada del cliente.
11 MATTHEWS 01.indd 363
1/14/09 12:19:34 PM
364
Windows Server 2008: Guía del Administrador
Si desea utilizar una impresora diferente, tiene tres opciones:
11 MATTHEWS 01.indd 364
▼
Instale otra impresora en Windows durante la sesión de RDC o TS haciendo clic, si está en Windows Vista, en Inicio|Panel de control. Luego, haga doble clic en Impresoras
■
Seleccione una impresora diferente a la predeterminada en el equipo cliente antes de iniciar una sesión de RDC o TS
▲
Desactive el uso de la impresora local en el cuadro de diálogo Conexión a Escritorio remoto, al iniciar la conexión. Esto le permitirá utilizar la impresora predeterminada en el host/servidor
1/14/09 12:19:34 PM
PARTE V Administración de Windows Server 2008
365
12 MATTHEWS 01.indd 365
1/14/09 2:16:03 PM
12 MATTHEWS 01.indd 366
1/14/09 2:16:03 PM
CAPÍTULO 12 Administración del almacenamiento y los sistemas de archivos
367
12 MATTHEWS 01.indd 367
1/14/09 2:16:03 PM
368
Windows Server 2008: Guía del Administrador
L
a tarea fundamental de un servidor es almacenar, recuperar y administrar archivos. Si esto no se realiza de manera fácil y eficiente, entonces hay pocas razones para tener un servidor. En este capítulo se describe cómo maneja Windows Server 2008 tal función. En el proceso, se analizarán estructura y sistemas utilizados para almacenamiento de archivos y características administrativas de Windows Server 2008 en esta área.
ALMACENAMIENTO Y SISTEMAS DE ARCHIVOS Windows Server 2008 está diseñado para trabajar en una amplia gama de ambientes computacionales, en conjunto con otros sistemas operativos. Por tanto, la estructura de su almacenamiento de archivos debe ser flexible. Esto se manifiesta en los tipos de almacenamiento disponibles y los sistemas de archivos que Windows Server 2008 puede utilizar.
Tipos de almacenamiento Antes de Windows 2000, sólo existía un tipo de almacenamiento, llamado almacenamiento básico, que permitía una unidad dividida en particiones. Windows Server 2000 añadió el almacenamiento dinámico, para la creación dinámica de volúmenes. Hoy día es posible elegir (disco por disco) el tipo de almacenamiento que se desea utilizar, pero sólo puede usarse un tipo de almacenamiento por unidad. Así que para tener ambos tipos de almacenamiento en un equipo, es necesario que cuente con dos o más unidades.
Almacenamiento básico El almacenamiento básico, para particionar un disco duro, es el tipo predeterminado de almacenamiento en Windows Server 2008 y el utilizado en las versiones de Windows anteriores a 2000, incluidos Windows NT y MS-DOS. Particionar un disco significa utilizar software para dividir una unidad de disco en particiones, que actúan como si fueran unidades de disco independientes. Existen particiones primarias y extendidas. (Las particiones son iguales que los volúmenes simples, analizados a lo largo de este capítulo.) NOTA Windows Server 2008 hace una distinción poco clara entre particiones y volúmenes. En general, a las divisiones de discos primarios se les denominaba particiones, mientras a las divisiones de los discos dinámicos se les denominaba volúmenes. En Windows Server 2008, los discos primarios tienen “particiones primarias” y “particiones extendidas” bajo el encabezado “Volumen”. Además, si hace clic derecho en un objeto con capacidad de almacenamiento, aparece un menú desplegable con las opciones “Extender volumen”, “Reducir volumen” y “Eliminar volumen”. En general, se puede considerar que volúmenes y particiones son lo mismo. La única diferencia verdadera es que los volúmenes se pueden extender en dos o más unidades, mientras las particiones se limitan a una sola. Debido a las opciones de menús en Windows Server 2008, hablaremos de objetos de almacenamiento “volúmenes” y utilizaremos también los términos “partición primaria” y “partición extendida”.
Las particiones primarias reciben una letra de unidad, se formatean por separado y utilizan para arrancar o iniciar el equipo. Pueden existir hasta cuatro particiones primarias en una sola unidad. Sólo una partición a la vez puede ser la activa (es decir, la partición usada
12 MATTHEWS 01.indd 368
1/14/09 2:16:04 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
369
para arrancar el equipo). Es posible colocar sistemas operativos diferentes en distintas particiones y arrancarlos con independencia de cualquiera de ellas (se le denomina arranque “dual”, aunque hoy día se pueden tener tres o más particiones de arranque). Como cada partición se formatea por separado, otro uso de las mismas es colocar los datos en una partición, mientras programas y sistema operativo en otra, que permite dar formato nuevamente en cualquier momento a la partición donde residen los programas y el sistema operativo, sin afectar los datos y viceversa. NOTA El arranque dual tiene algunas limitaciones o desventajas. Consulte “Decida si recurre a un arranque dual”, en el capítulo 2.
Una partición en una unidad de disco puede ser partición extendida, en lugar de partición primaria, de forma que sólo puede haber tres particiones primarias si existe una partición extendida. Una partición extendida no tiene letra de unidad ni recibe formato; en cambio, una partición extendida se divide en unidades lógicas, cada una de las cuales recibe una letra de unidad y un formato independiente. Una partición extendida con unidades lógicas permite dividir un disco en más de cuatro segmentos. No es necesario contar con una partición primaria para crear una partición extendida. Usualmente, las particiones o volúmenes se crean y modifican mientras realiza una instalación en limpio del sistema operativo. Sin embargo, en Windows Server 2008 es posible utilizar Administración de discos (consulte “Administración de discos”, en páginas posteriores de este capítulo) para crear un nuevo volumen, si hay espacio suficiente sin particionar, eliminar o comprimir un volumen, para crear espacio adicional sin particionar. Si elimina un volumen, se pierde todo su contenido y debe formatear de nuevo cualquier partición nueva creada. Sólo se puede reducir un volumen si existe espacio libre.
Almacenamiento dinámico El almacenamiento dinámico utiliza una sola partición que abarca un disco completo, actualizado a partir de un almacenamiento básico. Esta partición única se puede dividir en volúmenes. Los volúmenes, en su forma más simple son iguales a las particiones, pueden llegar a contar con características adicionales. Los cinco diferentes tipos de volúmenes son los siguientes:
12 MATTHEWS 01.indd 369
▼
Volúmenes simples Identifican el espacio en disco de una sola unidad y son lo mismo que las particiones
■
Volúmenes distribuidos Identifican al espacio de disco en 2 a 32 unidades de disco. El espacio se utiliza secuencialmente, como haría en un disco único. Cuando se llena la primera unidad, se utiliza la segunda y así sucesivamente. Si algún disco del volumen distribuido falla, el volumen completo también
■
Volúmenes reflejados Son un par de volúmenes simples ubicados en dos unidades de disco separadas, en las que se escribe simultáneamente la misma información. Si un disco falla, el otro puede ser usado sin problema
■
Volúmenes en franjas Identifican al espacio de disco de 2 a 32 unidades de disco, donde un fragmento de datos se escribe en cada unidad al mismo tiempo. Esto hace lectura y escritura muy rápidas, pero si cualquiera de los discos falla, el volumen completo se colapsa
1/14/09 2:16:04 PM
370
Windows Server 2008: Guía del Administrador
▲
Volúmenes RAID-5 Se trata de volúmenes en franjas que incluyen al menos tres discos donde se ha agregado información de corrección de errores, de tal forma que si algún disco falla, puede reconstruirse la información. (RAID son las siglas de Redundant Array of Independent Disks: conjunto redundante de discos independientes; como opción, de Redundant Array of Inexpensive Disks: conjunto económico de discos independientes)
SUGERENCIA De hecho, almacenamiento reflejado y seccionado son dos de los tres niveles RAID compatibles con Windows Server 2008, RAID-5 es el tercero. El almacenamiento reflejado es el nivel 1 y el seccionado es el 0. Es necesario contar con hardware especial (controladores de disco) para realizar almacenamiento reflejado, seccionado y en volúmenes RAID-5.
Es posible modificar el almacenamiento en tiempo real sin necesidad de reiniciar el equipo. Mediante Administración dinámica de volúmenes (analizada más adelante en este capítulo), es posible actualizar de almacenamiento básico a almacenamiento dinámico, además de agregar, eliminar y modificar el tamaño de los volúmenes, sin reiniciar el equipo (aunque sí es necesario reiniciar tras la conversión inicial a almacenamiento dinámico). No es posible actualizar hacia almacenamiento dinámico en equipos portátiles ni discos extraíbles.
Sistemas de archivos Los sistemas de archivos determinan la forma en que los datos se almacenan en un disco e integran la estructura o formato de los datos. Cuando formatea un disco, se debe especificar el sistema de archivos que utilizará. En Windows Server 2008 es posible elegir entre FAT (File Allocation Table, tabla de asignación de archivos), FAT32 y NTFS (New Technology File System, sistema de archivos de nueva tecnología).
Sistemas de archivos FAT y FAT32 FAT fue el sistema de archivos originalmente utilizado en MS-DOS y las primeras versiones de Windows, desde Windows 3.x hasta Windows para trabajo en grupos. Las versiones iniciales de Windows 95 utilizaron VFAT (virtual FAT), Windows 95 OSR2 (por el fabricante del equipo original, OEM Service Release 2, versión 2 de servicio de OEM) y en el caso de Windows 98, FAT32. FAT es un sistema de archivos de 16 bits con un tamaño máximo de partición de disco de 512 MB; FAT usa un nombre de archivo con un máximo de ocho caracteres y extensión de tres. VFAT es también un sistema de archivos de 16 bits, pero con soporte a particiones de disco de hasta 2 GB y permite nombres de archivo largos de hasta 255 caracteres. FAT32 es un sistema de archivos de 32 bits, permite particiones de disco de más de 2 TB (Terabyte o billones de bytes) y funciona con nombres de archivo largos. En Windows NT, 2000, Server 2003 y 2008, las particiones FAT pueden llegar a 4 GB. FAT, VFAT y FAT32 almacenan información mediante un incremento de tamaño fijo del disco, llamado clúster. Los clústeres extienden su tamaño de 512 bytes a 64 KB, dependiendo del tamaño de la partición de disco, como se muestra en la tabla 12-1. Por tanto, a medida que se incrementa el tamaño de la partición, el tamaño mínimo del clúster también. Un clúster grande puede ser muy ineficiente si almacena gran cantidad de archivos. FAT32 lleva a cabo una mejora significativa en el tamaño mínimo del clúster y es un beneficio importante en los discos grandes de hoy día.
12 MATTHEWS 01.indd 370
1/14/09 2:16:04 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
Partición del disco
Clústeres FAT y VFAT
Clúster FAT32
0 a 31 MB 32 a 63 MB 64 a 127 MB 128 a 255 MB 256 a 511 MB 512 a 1023 MB 1024 a 2047 MB 2 a 4 GB 4 a 8 GB
512 bytes 1 KB 2 KB 4 KB 8 KB 16 KB 32 KB 64 KB
512 bytes 512 bytes 512 bytes 512 bytes 4 KB 4 KB 4 KB 4 KB 4 KB
8 a 16 GB 16 a 32 GB 33 GB y más Tabla 12-1.
371
8 KB 16 KB 32 KB
Tamaños de clúster que corresponden a varios tamaños de partición.
Como casi todos los archivos son considerablemente más grandes que el tamaño del clúster, se requieren varios clústeres para almacenar un archivo. La FAT cuenta con un registro para cada archivo, que contiene nombre del archivo, fecha de creación, tamaño total y dirección en el disco del primer clúster utilizado por el archivo. Cada clúster tiene la dirección del que le sigue y precede. Un clúster dañado puede romper la cadena de clústeres, que a menudo causa que el archivo sea ilegible. En ocasiones, algunos programas de utilerías pueden recuperar el archivo utilizando diversas técnicas, incluida la lectura inversa de la cadena de clústeres. El resultado común es la obtención de clústeres huérfanos que sólo pueden eliminarse. Los clústeres pueden escribirse en cualquier parte del disco. Si existe espacio disponible, se escriben en secuencia; si no, se distribuyen a lo largo del disco. A esto se le llama fragmentación y puede causar que el tiempo de carga de archivos sea realmente largo. Existen programas de utilerías, incluido Windows Server 2008, para desfragmentar una partición, reubicando los clústeres de manera tal que todos los de un archivo sean colocados continuamente (consulte “Desfragmentación de unidad”, en páginas posteriores de este capítulo).
Sistema de archivos NTFS NTFS fue desarrollado para Windows NT con características que lo hacen más seguro y menos susceptible a errores de disco que FAT o FAT32. Se trata de un sistema de archivos de 32 bits que puede utilizar volúmenes realmente grandes (mayores a 2 TB) y nombres de archivo de hasta 255 caracteres, incluidos espacios, mayúsculas y minúsculas. Lo más importante es que NTFS representa el único sistema de archivos que utiliza completamente todas las características de Windows Server 2008, como dominios y Active Directory. NOTA NTFS también puede utilizarse en Windows 2000, Windows XP, Windows Server 2003 y Windows Vista.
12 MATTHEWS 01.indd 371
1/14/09 2:16:04 PM
372
Windows Server 2008: Guía del Administrador
Una de las características más importantes de NTFS es la que suministra seguridad de archivo y directorio, mientras FAT y FAT32 no lo hacen. Esto significa que en FAT o FAT32, si alguien obtiene acceso al disco, tendrá a su disposición todos los archivos y directorios. Con NTFS, cada archivo y directorio tiene una lista de control de acceso (ACL, Access Control List), que contiene los identificadores de seguridad (SID, Security Identifiers) de los usuarios y grupos con permiso de acceso al archivo. Otras características disponibles en NTFS, que no están en FAT o FAT32, son las siguientes: ▼ Cifrado de archivos ■ Compresión de archivos ■ Administración de almacenamiento remoto (sólo en Windows 2000 Server y Windows Server 2003 y 2008) ■ Cuotas de disco ▲ Rendimiento mejorado con unidades de disco grandes Las primeras cuatro características se analizan en páginas posteriores de este capítulo. El rendimiento mejorado con unidades de disco grandes ocurre porque NTFS no tiene el problema para aumentar el tamaño del clúster conforme aumenta el tamaño del disco. La suma de todo esto indica que NTFS es muy recomendable. La única situación en que no sería deseable utilizar NTFS es cuando quiere tener dos sistemas operativos en el mismo equipo y uno de ellos no puede leer NTFS; aun en este caso, la mejor solución será utilizar otro equipo para ejecutar dicho sistema operativo y utilizar NTFS con Windows Server 2008.
Convierta una unidad FAT o FAT32 a NTFS En general, convertiría una unidad FAT o FAT32 a NTFS mientras instala Windows Server 2008. En el capítulo 3 se presentan las instrucciones para hacerlo. También es posible convertir un volumen o unidad FAT o FAT32 en cualquier momento realizando lo siguiente: ▼
Dar formato al volumen o a la unidad ▲ Ejecutar el programa Convert.exe En la sección “Administración de discos”, ilustrado en páginas posteriores de este capítulo, se analiza el formateo, que elimina todo el contenido del volumen o unidad. Con el uso de Convert.exe se preserva este contenido. Dé los siguientes pasos para utilizar el programa Convert.exe: NOTA Para muchos de los pasos descritos en este capítulo es necesario iniciar sesión como Administrador o alguien con permisos de Administrador.
1. 2.
3.
12 MATTHEWS 01.indd 372
Haga clic en Inicio|Símbolo del sistema. Se abrirá la ventana Símbolo de sistema. En el indicador de comandos, escriba convert unidad: /fs:ntfs y oprima enter, donde unidad es la letra del volumen o unidad física que se desea convertir. Si le interesa ver una lista con los nombres de archivos que se están convirtiendo, puede añadir un espacio en blanco y /v después de /fs:ntfs. Se convertirá el volumen o unidad. Cuando vea el mensaje “conversión completa” en el indicador de comandos, escriba exit y oprima enter.
1/14/09 2:16:05 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
373
Convert.exe tiene los siguientes interruptores: ▼
/fs:ntfs Especifica que el volumen se convertirá a NTFS
■
/v Especifica que Convert se ejecutará en modo detallado
■
/cvtarea:nombre_archivo Especifica un archivo contiguo en el directorio raíz que será el marcador de posición para los archivos de sistema NTFS. Convert utilizará este archivo para almacenar los metadatos de los archivos de NTFS, como la tabla maestra de archivos (MFT, Master File Table), para incrementar la eficiencia de Convert y disminuir la fragmentación del volumen NTFS resultante
■
/nosecurity Especifica que la configuración de seguridad en los archivos y directorios convertidos permitirá a todos los usuarios acceder a ellos
▲
/x Indica que el volumen se desmontará, de modo que se desconectarán todas las conexiones establecidas con el volumen
La única forma de regresar un volumen o unidad a FAT o FAT32 después de convertido a NTFS es reformateándolo.
Administración del sistema de archivos El sistema de archivos de Windows Server 2008 se extiende más allá de una sola unidad, incluso de las unidades en un solo equipo, a todas las unidades de una red. También puede incluir volúmenes almacenados fuera de línea en una cinta o disco. La administración de este sistema es compleja y Windows Server 2008 cuenta con un conjunto importante de herramientas para manejarlo. Entre ellas están las siguientes: ▼
Función Servicios de archivo
■
Administración de acceso y almacenamiento
■
Administración de discos
■
Administración volúmenes dinámicos
■
Sistema de archivos distribuido
▲
Copias de seguridad de Windows Server
SERVICIOS DE ARCHIVO Y ADMINISTRACIÓN DE DISCOS En Windows Server 2008, la función de servicios de archivo abarca todas las funciones necesarias para administración del almacenamiento y el disco, incluidos:
12 MATTHEWS 01.indd 373
▼
Proveer la funcionalidad de un servidor independiente de archivos
■
Administrar y compartir los recursos del sistema del almacenamiento
▲
Configurar y administrar dispositivos y opciones del sistema del almacenamiento
1/14/09 2:16:05 PM
374
Windows Server 2008: Guía del Administrador
La función Servicios de archivo no se instala, como opción predeterminada, pero en el momento en que se ingresa al Centro de redes y recursos compartidos, se activa la opción Uso compartido de archivos y la función Servicios de archivo se instala automáticamente. Si por alguna razón no está instalada, siga estos pasos. En todos los casos, abra la ventana Servicios de archivo, como se describe en el paso 4: 1.
Haga clic en Inicio|Administrador del servidor. En la sección Resumen de funciones, haga clic en Agregar funciones. Se abrirá el Asistente para añadir funciones. Haga clic en Siguiente.
2.
Haga clic en Servicios de archivo, después en Siguiente. Lea el mensaje de introducción y clic en Siguiente, una vez más.
3.
Haga clic en Servicios de archivo, en Siguiente y, por último, en Instalar. El proceso puede tardar unos minutos. Cuando termine, aparecerá un mensaje indicando que la instalación ha terminado con éxito. Haga clic en Cerrar.
4.
En el panel de la izquierda, abra Funciones y luego dé clic en Servicios de archivo, en el panel de la derecha, como lo muestra la figura 12-1.
Figura 12-1. Servicios de archivo es un depósito para almacenamiento y administración del disco en Windows Server 2008.
12 MATTHEWS 01.indd 374
1/14/09 2:16:05 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
375
Con la habilitación de la función Servicios de archivo, también se instalan las funciones Servidor de archivo y Administrador de almacenamiento y recursos compartidos. El conjunto completo de servicios de funciones disponibles con Servicios de archivo se describe a continuación.
12 MATTHEWS 01.indd 375
▼
Servidor de archivos, suministra un recurso de red para almacenar información (archivos o programas) que otros miembros de la red pueden utilizar, siempre y cuando cuenten con los permisos apropiados. El servidor de archivos también facilita el respaldo de recursos de almacenamiento de red
■
Administración de almacenamiento y recursos compartidos, permite compartir directorios, unidades y otros objetos de almacenamiento en una sola consola de administración, en lugar de requerir cuadros de diálogo separados para cada dispositivo. Administración de almacenamiento y recursos compartidos se utiliza también en las redes de almacenamiento local (SAN, Storage Area Network), para ofrecer números de unidad lógica (LUN, Logical Unit Numbers) para asignar espacio de almacenamiento
■
Sistema de archivos distribuido (DFS), facilita un medio flexible y tolerante a fallas para compartir archivos y realizar réplicas, utilizando: ▼
Espacios de nombres DFS, permiten agrupar directorios compartidos en varios servidores bajo un único espacio de nombres estructurado, como si se tratara de un solo directorio con varios subdirectorios ubicados en un único servidor
▲
Replicación DFS, sincroniza el contenido de carpetas comunes en varios servidores en una red. Con el uso del protocolo de compresión diferencial remota (RDC, Remote Differential Compression), porciones de archivos que han cambiado en un servidor se replican a través de la red
■
Administrador de recursos del servidor de archivos (FSRM), brinda los informes, filtros y controles para administrar contenido, tipo y cantidad de información almacenada en servidores mediante cuotas y vigilancia de archivo definidas
■
Servicios para el sistema de archivos de red (NFS), proporciona elementos para intercambio y transferencia de archivos entre servidores que ejecutan Windows Server 2008 y UNIX, a través del protocolo NFS (Network File System)
■
Servicio de búsqueda de Windows, permite que los clientes de la red busquen rápidamente archivos en el servidor donde tal servicio está activo. El Servicio de búsqueda de Windows y la indización (que se verá más adelante) no pueden ejecutarse al mismo tiempo
▲
Servicios de archivo de Windows Server 2003, proporciona compatibilidad con sistemas antiguos, por medio de dos servicios: ▼
Servicio de replicación de archivos (FRS), para sincronizar el contenido de carpetas comunes ubicadas en varios servidores, de manera similar a la Replicación DFS, que permite la inclusión de servidores Windows 2000 y Windows Server 2003
▲
Servicio de indización, es una opción heredada del Servicio de búsqueda de Windows concentrada en la catalogación de información antes de realizar la búsqueda, luego utiliza dicho catálogo o índice para encontrar rápidamente la información
1/14/09 2:16:06 PM
376
Windows Server 2008: Guía del Administrador
Administración de almacenamiento y recursos compartidos Administración de almacenamiento y recursos compartidos, nueva característica de Windows Server 2008, suministra una ubicación única para crear, administrar y compartir almacenamiento en una red. Administración de almacenamiento y recursos compartidos administran las unidades de almacenamiento lógico en una red, en contraste con Administración de discos, descrita más adelante, para manejar unidades de almacenamiento físico en la red. Administración de almacenamiento y recursos compartidos utiliza su propio panel dentro del Administrador del servidor y cuenta con dos asistentes para proporcionar las siguientes funciones: ▼
Asistente para aprovisionar almacenamiento, para crear y configurar particiones o volúmenes, dividiendo el sistema de almacenamiento en unidades lógicas, cada una con un número de unidad lógica (LUN, Logical Unit Number); también configura dichas unidades, que incluyen asignación de nombre compartido, tipo de almacenamiento y tamaño, además de identificación de los servidores que las utilizarán
▲
Asistente para aprovisionar carpetas compartidas ofrece recursos para crear, compartir y administrar directorios, incluida la asignación del nombre compartido de la carpeta y sus permisos, ubicación y protocolo para compartir archivos
Es posible abrir Administración de almacenamiento y recursos compartidos desde el Administrador del servidor o Herramientas administrativas:
12 MATTHEWS 01.indd 376
1.
Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. Luego abra Funciones y dé clic en Servicios de archivo y Administración de almacenamiento y recursos compartidos. En su defecto, haga clic en Inicio|Herramientas administrativas|Administración de almacenamiento y recursos compartidos. En cualquier caso, se abrirá la ventana del Administrador de almacenamiento y recursos compartidos (mostrada en la figura 12-2) o el panel correspondiente en el Administrador del servidor. El panel central tiene dos fichas: Recursos compartidos y Volúmenes. Como se muestra en la figura 12-2, la sección de Recursos compartidos muestra las carpetas compartidas o recursos compartidos del servidor local en dos partes: una para recursos compartidos públicos y otra para recursos compartidos privados o administrativos, que incluyen $ como último carácter en su nombre. Esto evita que se muestren a usuarios convencionales.
2.
Haga clic en la ficha Volúmenes, que presenta una lista de las particiones físicas o volúmenes, creados en los dispositivos de almacenamiento conectados con el servidor local. Como se observa en la figura 12-3, a menudo existe una elevada correlación entre directorios y recursos compartidos y los volúmenes físicos, pero no hay limitante para compartir carpetas individuales en una partición, pues casi todos los sistemas tienen una carpeta pública compartida.
3.
Regrese a la ficha Recursos compartidos, haga clic derecho en uno de los recursos de la lista, luego seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades. Puede ingresar una descripción del recurso y hacer clic en Avanzadas para abrir un nuevo cuadro de diálogo. En éste, es posible establecer una cantidad límite
1/14/09 2:16:06 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
377
de usuarios para el recurso, habilitar filtros que determinan quién podrá ver las carpetas y, en la ficha Almacenamiento en caché, seleccione cómo estará disponible el
Figura 12-2. Administración de almacenamiento y recursos compartidos permite gestionar recursos.
Figura 12-3. Administración de almacenamiento y recursos compartidos también permite gestionar volúmenes físicos.
12 MATTHEWS 01.indd 377
1/14/09 2:16:06 PM
378
Windows Server 2008: Guía del Administrador
contenido del recurso compartido sin conexión. Cuando haya terminado, haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones avanzadas.
4.
12 MATTHEWS 01.indd 378
De regreso al cuadro de diálogo de Propiedades, haga clic en la ficha Permisos. Ahí, en la parte superior, es posible establecer permisos para usuarios con acceso a este directorio en la red; en la parte inferior, puede establecer permisos para quienes tienen acceso local. Abra los cuadros de diálogo respectivos, establezca los permisos deseados, cierre los cuadros de diálogo convenientes y, cuando esté listo, cierre el cuadro de diálogo Propiedades.
1/14/09 2:16:06 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
379
5.
Haga clic en la ficha Volúmenes, luego clic derecho en un volumen. El menú contextual muestra opciones para extender el tamaño de la partición, formatearla o eliminarla y modificar sus propiedades. Haga clic en Propiedades.
6.
El cuadro de diálogo Propiedades que se abre es muy similar al cuadro de diálogo de unidades en varias versiones de Windows. Aquí puede cambiar el nombre del volumen, elegir entre comprimir o indizarlo; además de revisar, desfragmentar y respaldar el volumen; revisar características del hardware y propiedades de seguridad, así como crear copias “instantáneas”. Cierre el cuadro de diálogo Propiedades cuando esté listo para continuar.
NOTA Las opciones en el menú contextual que se abre cuando hace clic derecho en un recurso compartido o volumen están disponibles en la parte inferior del panel Acciones, luego de seleccionar un recurso compartido o volumen.
12 MATTHEWS 01.indd 379
1/14/09 2:16:07 PM
380
Windows Server 2008: Guía del Administrador
Use el Asistente para aprovisionar almacenamiento El Asistente para aprovisionar almacenamiento permite crear, configurar y administrar volúmenes. 1.
En el panel Acciones del Administrador de almacenamiento y recursos compartidos, haga clic en Aprovisionar almacenamiento. Se abrirá el Asistente para aprovisionar almacenamiento solicitando información sobre el lugar donde desea crear el nuevo volumen (un disco existente o dispositivo de almacenamiento conectado). Haga su elección y clic en Siguiente.
2.
Seleccione el disco específico, LUN o subsistema y dé clic en Siguiente. Ingrese el tamaño del volumen y, una vez más, haga clic en Siguiente. Especifique la letra de unidad o punto de montaje y clic en Siguiente.
3.
Elija si desea dar formato a la unidad, ingrese una etiqueta para volumen y tamaño de la unidad de asignación, decida si desea dar formato rápido a la unidad y dé clic en Siguiente.
4.
Revise su configuración, haga clic en Anterior si requiere realizar algún cambio y en seguida haga clic en Crear. Cuando el proceso se complete, obtendrá una confirmación similar a la mostrada en la figura 12-4. Haga clic en Cerrar.
Figura 12-4. El Asistente para aprovisionar almacenamiento permite crear un volumen para compartirlo mediante el Asistente para aprovisionar carpetas compartidas.
12 MATTHEWS 01.indd 380
1/14/09 2:16:07 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
381
Utilice el Asistente para aprovisionar carpetas compartidas El Asistente para aprovisionar carpetas compartidas permite crear, configurar y administrar recursos compartidos. 1.
En el panel Acciones del Administrador de almacenamiento y recursos compartidos, haga clic en Aprovisionar recurso compartido. Se abrirá el Asistente para aprovisionar carpetas compartidas, solicitando que identifique el recurso que se desea compartir, como se muestra en la figura 12-5.
2.
Haga clic en Examinar, seleccione una carpeta o clic en Crear nueva carpeta, escriba el nombre y haga clic en Aceptar. Clic en Siguiente. Si desea cambiar los permisos NTFS, clic en Sí, cambiar los permisos NTFS; clic en Editar permisos; realice los cambios necesarios; clic en Aceptar.
SUGERENCIA Si no se ejecutó el Asistente para aprovisionar almacenamiento y desea crear un volumen para compartir con el Asistente para aprovisionar carpetas compartidas, puede aprovisionar almacenamiento desde este último asistente haciendo clic en el botón Aprovisionar almacenamiento, ubicado en la primera pantalla del asistente.
Figura 12-5. El Asistente para aprovisionar carpetas compartidas permite crear recursos compartidos en los volúmenes del servidor.
12 MATTHEWS 01.indd 381
1/14/09 2:16:07 PM
382
Windows Server 2008: Guía del Administrador
3.
Haga clic en Siguiente. Seleccione el protocolo para compartir archivos entre el protocolo de bloque de mensaje de servidor SMB (Server Message Block) —recurso primario para compartir archivos en Windows— y el protocolo del sistema de archivos de red (NFS), requerido si existen servidores con sistema operativo UNIX en la red. Haga clic en Siguiente.
4.
Escriba cualquier comentario respecto al uso del recurso compartido y, si alguna de las configuraciones avanzadas necesita modificarse, haga clic en el botón Avanzadas, realice los cambios necesarios y haga clic en Aceptar y en Siguiente.
5.
Seleccione el tipo de permisos que serán utilizados con este recurso compartido y dé clic en Siguiente. Elija si desea publicar el nuevo recurso compartido en un espacio de nombres del sistema de archivos distribuido (DFS, Distributed File System), que agrupa carpetas compartidas en múltiples servidores para incrementar y simplificar la disponibilidad (debe crear antes un espacio de nombres DFS), dé clic en Siguiente.
6.
Revise la configuración creada (un ejemplo se muestra en la figura 12-6 y, de ser necesario, haga clic en Anterior para realizar cambios y una vez finalizado, haga clic en Crear). Dé clic en Cerrar cuando se indique que el recurso compartido se creó correctamente.
Figura 12-6. El proceso para aprovisionar un recurso compartido permite configurar todas las características del recurso compartido.
12 MATTHEWS 01.indd 382
1/14/09 2:16:08 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
383
Administración de discos Administración de discos ofrece los medios para gestionar dispositivos de almacenamiento físico, local y remotamente a través de la red. La administración del disco incluye partición, compresión, desfragmentación y establecimiento de cuotas, además de la seguridad del almacenamiento. Como ya se mencionó, Administración de discos trabaja con los dispositivos de almacenamiento físico, mientras Administración de almacenamiento y recursos compartidos lo hace con objetos de almacenamiento lógicos. Diversas funciones de almacenamiento pueden realizarse en ambos entornos. Administración de discos se abre desde el Administrador de equipos o el Administrador del servidor: Haga clic en Inicio|Herramientas administrativas|Administración de equipos. En la ventana del Administrador de equipos, haga clic en Almacenamiento, en el panel de la izquierda, luego clic en Administración de discos. De no ser así, clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, abra Almacenamiento y haga clic en Administración de discos. En cualquier caso, aparecerá el panel Administración de discos, como se muestra en la figura 12-7.
Figura 12-7. Administración de discos proporciona una vista física desde la que puede administrar el almacenamiento.
12 MATTHEWS 01.indd 383
1/14/09 2:16:08 PM
384
Windows Server 2008: Guía del Administrador
Panel Administración de discos El panel Administración de discos tiene dos secciones principales: una lista de texto de particiones o volúmenes y unidades en la parte superior, asimismo una representación gráfica de los mismos objetos en la parte inferior. Explore el panel Administración de discos: 1.
Haga clic derecho en un objeto en la columna de volúmenes de la lista de texto, aparecerá un menú contextual.
Desde este menú, es posible abrir o explorar el volumen para ver su contenido en el Explorador de Windows (ambas opciones hacen lo mismo); seleccionar el volumen que será el activo (de arranque); cambiar la letra y ubicación de la unidad; dar formato o eliminar el volumen, si no es el activo o del sistema; ampliar o reducir el tamaño del volumen; abrir el cuadro de diálogo Propiedades del volumen y obtener ayuda. 2.
Haga clic derecho en uno de los volúmenes a la derecha de la representación gráfica, en la parte inferior del panel. Verá un menú similar al mostrado en el paso 1 (dependiendo del tipo de partición, tal vez vea algunas diferencias).
3.
Haga clic derecho en una unidad, a la izquierda de la representación gráfica. Verá un menú contextual para la unidad que permite convertirla en disco dinámico, en caso de hacer clic en un disco básico que no es extraíble y se encuentra en un equipo de escritorio, no en una laptop. Este menú también permite convertir la unidad en un disco GPT, abrir el cuadro de diálogo Propiedades de la unidad y hacer clic en Ayuda.
NOTA El uso de una tabla de partición GUID (GPT, GUID Partition Table), en lugar de discos MBR, permite tener más de cuatro particiones y es necesario en discos cuyo tamaño excede los 2 TB.
12 MATTHEWS 01.indd 384
1/14/09 2:16:08 PM
Capítulo 12:
4.
Administración del almacenamiento y los sistemas de archivos
385
Haga clic en el menú Acciones o en Acciones adicionales, en el panel Acciones. Aquí puede actualizar rápidamente el estado actual de los objetos de almacenamiento; reexaminar los discos, que sólo suele hacerse cuando el equipo se reinicia y utiliza para mostrar una unidad añadida o extraída sin reiniciar el equipo (intercambio en caliente); mostrar el menú correspondiente al volumen o unidad seleccionado (Todas las tareas) y acceder a la opción de ayuda.
Personalice el panel Administración de discos Es posible personalizar el panel Administración de discos con la barra de herramientas y el menú Ver. Tal vez use mucho Administración de discos, de modo que valdrá la pena tomarse tiempo para personalizarlo:
12 MATTHEWS 01.indd 385
1.
Haga clic en el menú Ver. Las primeras dos opciones nos permiten determinar lo que habrá en las secciones superiores e inferiores del panel. Como opción predeterminada, la lista de volúmenes aparece en la parte superior mientras la vista gráfica en la inferior. La tercera opción a ambas vistas consiste en desplegar una lista de unidades de disco, que contiene la misma información presente en la vista gráfica.
2.
Pruebe varios cambios para ver si alguna le agrada más que la predeterminada. En la figura 12-8 se muestra una opción compacta con una lista de discos en la parte superior y una lista de volúmenes en la inferior. Seleccione la distribución de su preferencia.
3.
Haga clic en el botón Configuración, a la derecha de la barra de herramientas o abra nuevamente el menú Ver y haga clic en Configuración. Se abrirá el cuadro de diálogo Configuración. En la ficha Apariencia, es posible seleccionar colores y tramas utilizados para representar los diversos tipos de particiones y volúmenes.
1/14/09 2:16:08 PM
386
Windows Server 2008: Guía del Administrador
Figura 12-8.
Una distribución alterna para el panel Administración de discos.
4.
Seleccione los colores que desee utilizar y luego haga clic en la ficha Escala. En ésta es posible seleccionar la forma en que los discos y sus regiones (volúmenes) se muestran gráficamente en relación con los demás. Mostrar los discos de acuerdo con su capacidad utilizando una escala logarítmica es quizá la mejor opción, si se cuenta con unidades y volúmenes de tamaños sustancialmente diferentes.
5.
Tome las decisiones que considere más apropiadas y haga clic en Aceptar. Abra nuevamente el menú Ver y haga clic en la opción Personalizar. Se abrirá el cuadro de diálogo Personalizar lista. En éste es posible personalizar la ventana principal (denominada “MMC” en el cuadro de diálogo, por Microsoft Management Console, consola de administración de Microsoft), además del panel Administración de discos (llamado Complemento).
6.
Realice diversos cambios, vea su efecto y configure la ventana según su agrado. Cuando haya terminado, haga clic en Aceptar para cerrar el cuadro de diálogo Personalizar vista.
Propiedades de unidad y volumen Existen cuadros de diálogo de propiedades independientes para unidades y volúmenes. Lo que antes pudo considerarse propiedades de una unidad son en realidad propiedades de un volumen. Lo verá por sí mismo a continuación:
12 MATTHEWS 01.indd 386
1/14/09 2:16:09 PM
Capítulo 12:
Figura 12-9.
12 MATTHEWS 01.indd 387
Administración del almacenamiento y los sistemas de archivos
387
Cuadro de diálogo Propiedades del dispositivo para una unidad de disco.
1.
Haga clic derecho en una unidad, en la parte izquierda de la vista gráfica, y dé clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades del dispositivo, similar al de la figura 12-9. Se trata de un cuadro principalmente informativo, aunque es posible detectar y solucionar fallas en la unidad, establecer directivas de escritura en caché, abrir el cuadro de diálogo Propiedades de cada uno de los volúmenes de la unidad, actualizar o cambiar controladores de la unidad y visualizar la nomenclatura de la unidad.
2.
Haga clic en la ficha Volúmenes y después en uno de los volúmenes de la lista, en la sección inferior del cuadro de diálogo, después en Propiedades. Se abrirá el cuadro de diálogo Propiedades del volumen, como se observa en la figura 12-10 (muy similar al cuadro de diálogo mostrado en “Administración de almacenamiento y recursos compartidos”, pero con secciones adicionales). Este cuadro de diálogo también provee información, pero, a diferencia del de Propiedades del dispositivo, es un lugar primordialmente dedicado a la realización de tareas con volúmenes. Muchas de estas tareas se analizan en otras partes de este capítulo, aunque las opciones para compartir y seguridad se exponen en el capítulo 15.
3.
Haga clic en cada una de las secciones del cuadro de diálogo Propiedades, para ver las diferentes características y herramientas disponibles. Dos de éstas, que no se analizarán en otro lugar, son el panel de Comprobación de errores ubicado en la ficha Herramientas y la ficha Hardware.
1/14/09 2:16:09 PM
388
Windows Server 2008: Guía del Administrador
Figura 12-10.
12 MATTHEWS 01.indd 388
Cuadro de diálogo Propiedades de una partición o volumen.
4.
Haga clic en la ficha Herramientas y luego en Comprobar ahora, en la sección Comprobación de errores. Se abrirá el cuadro de diálogo Comprobar disco; explica que tiene la opción de reparar automáticamente errores en el sistema de archivos —como clústeres perdidos—, además de examinar y tratar de recuperar datos en un sector defectuoso del disco.
5.
Seleccione el tipo de comprobación de disco que desea realizar y haga clic en Iniciar. Si la unidad que revisa se encuentra en un servidor activo, aparecerá un mensaje indicando que la revisión no podrá realizarse; al mismo tiempo consulta si desea realizar la comprobación la siguiente ocasión que reinicie el equipo. Seleccione la opción deseada haciendo clic en Programar comprobación de disco o Cancelar.
6.
Haga clic en la ficha Hardware. Aquí se presenta una lista de todas las unidades del equipo. Si selecciona una unidad y hace clic en Propiedades, aparecerá otro cuadro de diálogo Propiedades del dispositivo (el mismo abierto en el paso 1 y que se muestra en la figura 12-9).
1/14/09 2:16:09 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
389
7.
Haga clic en la ficha Personalizar (no en el cuadro de diálogo Propiedades del volumen en que se ha instalado Windows Server 2008). Esta ficha permite seleccionar la plantilla para el contenido de la carpeta y la imagen a utilizar como icono de la carpeta. Todas las demás fichas se analizan en otro lugar.
8.
Al terminar de revisar el cuadro de diálogo Propiedades del volumen, haga clic en Aceptar para cerrarlo.
NOTA El cuadro de diálogo Propiedades de un volumen puede abrirse haciendo clic derecho en el volumen y seleccionando la opción Propiedades.
Agregue o quite una unidad de disco Si tiene hardware que permita intercambio “en caliente” (adición y eliminación de unidades de disco estándar, que no suelen ser extraíbles, mientras el equipo está en funcionamiento) o cuenta con unidad de disco extraíble, que puede retirarse mientras el equipo está en funcionamiento, Windows Server 2008 provee diversas herramientas para dar soporte a esta acción sin reiniciar el equipo. En general, un equipo realiza una exploración de sus unidades de disco para determinar los recursos disponibles cuando arranca y reinicia. Windows Server 2008 puede realizar esta exploración mientras el equipo está en funcionamiento, mediante la opción Volver a examinar los discos, ubicada en el menú Acción o en el menú Acciones adicionales, ubicado en el panel Acciones. Si una unidad de disco se retira sin la preparación necesaria, se pueden generar errores, como la pérdida de información o suspensión del equipo. Para solucionar esto, el asistente Hardware de Windows Server 2008 cuenta con una opción para desconectar o expulsar, e incluso colocar un icono en la barra de tareas para esta acción. PRECAUCIÓN No agregue o quite una unidad de disco mientras el equipo está en ejecución, a menos que esté seguro de que el hardware del disco da soporte a esa acción. Podrían ocurrir daños significativos tanto en la unidad como en el equipo, incluso ambos.
Agregue un disco Es posible agregar un disco extraíble o con soporte para intercambio activo, simplemente colocándolo en su ranura y empujándolo. Después de agregar físicamente el disco, Windows Server 2008 lo reconocerá con frecuencia y mostrará un mensaje con una o más opciones de lo que puede hacer con el disco. Si Windows no reconoce el disco, haga clic en el panel Administración de discos y después en la opción Volver a examinar los discos, ubicada en el menú Acción. En seguida de la exploración, la unidad debe aparecer en el panel Administración de discos y se puede trabajar en ella, incluidos partición y formateo de acuerdo con lo que desee (consulte la siguiente “Particionamiento y formateo de unidades”, en una sección posterior).
12 MATTHEWS 01.indd 389
1/14/09 2:16:10 PM
390
Windows Server 2008: Guía del Administrador
Si utiliza un disco con datos ya empleado en otro equipo, simplemente use la opción Volver a examinar los discos, como ya se indicó. Tras la exploración, el nuevo disco será marcado como “externo”, si Windows Server 2008 detecta que es un disco dinámico de otro equipo con Windows Server 2008 (que almacena sus propios datos de configuración). Haga clic derecho en el disco, haga clic en Importar disco y siga las indicaciones que se presenten.
Quite una unidad Si desea quitar una unidad que cuente con las características de intercambio activo o extraíble, es importante preparar la unidad para dicho evento, notificando a Windows Server 2008 que la unidad será retirada, antes de hacerlo. Sabiendo esto, Windows evitará realizar escrituras adicionales en la unidad y efectuará cualquier tarea específica del hardware, como detener el giro de la unidad, la expulsión del disco o ambas. Dependiendo de la unidad y la manera en que se ha implementado en Windows Server 2008, se tienen distintas formas de indicarle al sistema operativo que desea quitar la unidad. En algunos dispositivos, como las unidades extraíbles, es posible hacer clic derecho en la unidad, a la izquierda de la vista gráfica del panel Administración de discos, y hacer clic en la opción Expulsar. El disco será preparado y expulsado. Otros dispositivos cuentan con comandos similares. Con los discos extraíbles se cuenta con un icono Quitar hardware de manera segura; está ubicado del lado derecho de la barra de tareas. Al hacer doble clic en este icono, se abre un cuadro de diálogo en que es posible hacer clic en Detener, seleccionar el dispositivo y hacer clic en Aceptar para preparar el retiro del disco. Aparecerá un mensaje indicando que el disco puede retirarse. Haga clic en Aceptar para cerrar el cuadro de diálogo.
12 MATTHEWS 01.indd 390
1/14/09 2:16:10 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
391
Particionamiento y formateo de unidades El primer paso en la preparación de un disco para su uso consiste en particionarlo y luego formatearlo. La partición sólo puede realizarse cuando existe espacio sin asignar en la unidad (espacio no utilizado por una partición o volumen existente). Si no cuenta con espacio sin asignar, entonces la única manera de crear un nuevo volumen es borrando o reduciendo (comprimiendo) el tamaño de una partición existente. Por tanto, empiece por borrar y reducir volúmenes; agregar y extender volúmenes, formatearlos, agregar unidades lógicas y cambiar letras de unidad. NOTA Espacio libre es la cantidad de espacio disponible para crear unidades lógicas de particiones extendidas. El espacio sin asignar no está disponible para nadie. PRECAUCIÓN Al eliminar un volumen y luego formatearlo se elimina toda la información del volumen. Asegúrese de que eso busca hacer antes de ejecutar los comandos.
Elimine volúmenes Para eliminar un volumen, al igual que con el resto de las funciones de partición y formateo, debe tener abierto el panel Administración de discos. Haga clic derecho en el volumen que habrá de eliminarse y clic en Eliminar volumen. Aparecerá un mensaje notificándole que todos los datos se perderán en el volumen. Clic en Sí, para continuar con la eliminación del volumen. El volumen es eliminado y el espacio que utilizaba queda sin asignar.
Reduzca volúmenes La capacidad para reducir y ampliar volúmenes directamente es nueva en Windows Server 2008. Haga clic derecho en el volumen que desea reducir y escoja la opción Reducir volumen. Ingrese la cantidad de espacio que habrá de reducir del volumen y haga clic en Reducir. La reducción tomará algunos minutos. Cuando esté completa, el espacio liberado quedará sin asignar.
12 MATTHEWS 01.indd 391
1/14/09 2:16:11 PM
392
Windows Server 2008: Guía del Administrador
Agregue volúmenes simples La adición de un volumen simple es un poco más compleja y, por ello, hay un asistente especial para ello. Para agregar un volumen: 1.
Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple. Se abrirá el Asistente para nuevo volumen simple.
2.
Haga clic en Siguiente. Seleccione el tamaño de la partición. El tamaño máximo corresponde al espacio sin asignar y el mínimo es 8 MB, como se muestra en la figura 12-11. Cuando haya seleccionado el tamaño, haga clic en Siguiente.
3.
Asigne una letra a la unidad. Aparecerá una lista con las opciones disponibles, según las letras del alfabeto, excepto las que ya están en uso como letras de unidad en el equipo. Aparecen dos opciones más: puede hacer que este nuevo volumen sea una carpeta en cualquier otra unidad que dé soporte a rutas de unidad (casi todas lo hacen) y puede dejar la letra de la unidad sin asignar. Seleccione la opción deseada y haga clic en Siguiente.
4.
Seleccione cómo desea formatear el volumen (si lo hay), la etiqueta que habrá de utilizarse y si se desea habilitar la compresión de archivos y carpetas, como se muestra en la figura 12-12. Después haga clic en Siguiente.
5.
Revise las opciones seleccionadas y, si desea realizar algún cambio, utilice el botón Atrás para realizarlos.
6.
Cuando todas las opciones estén como desea, haga clic en Finalizar. Se creará y formateará el volumen de acuerdo con sus indicaciones.
Figura 12-11.
12 MATTHEWS 01.indd 392
Es posible elegir el tamaño del volumen que desea crear.
1/14/09 2:16:11 PM
Capítulo 12:
Figura 12-12.
Administración del almacenamiento y los sistemas de archivos
393
Al crear un nuevo volumen, puede etiquetarlo y formatearlo.
SUGERENCIA Una buena razón para adjuntar un nuevo volumen a una unidad y carpeta existentes es aumentar el espacio disponible en una carpeta compartida vacía del servidor, de tal forma que los usuarios puedan seguir utilizando un directorio existente para almacenar y acceder a archivos. NOTA Los primeros tres volúmenes que se crean automáticamente son particiones primarias. Al crear un cuarto volumen con espacio sin asignar, la cuarta partición y espacio sin asignar se convierten en una partición extendida con un nuevo volumen y espacio libre. Sólo es posible tener cuatro volúmenes en una partición primaria. Sin embargo, una partición extendida puede dividirse en 23 unidades lógicas.
Extienda volúmenes La capacidad para extender y reducir directamente los volúmenes es nueva en Windows Server 2008. Para extender volúmenes, debe contarse con espacio sin asignar en el disco. 1.
12 MATTHEWS 01.indd 393
Haga clic derecho en el volumen que desea extender y luego haga clic en Extender volumen. Se abrirá el Asistente para extender volúmenes. Haga clic en Siguiente.
1/14/09 2:16:11 PM
394
Windows Server 2008: Guía del Administrador
2.
Seleccione el espacio sin asignar que utilizará para extender el volumen y haga clic en Siguiente.
3.
Revise su configuración. Haga clic en Atrás si quiere cambiarla, luego clic en Finalizar cuando esté listo. Puede tardar algunos minutos realizar la extensión. Cuando haya terminado, el volumen mostrará el espacio adicional.
Formatee volúmenes Por lo general, un volumen se formateará cuando lo cree, como se describió en la sección anterior, pero es posible formatear el volumen en cualquier momento. Los siguientes pasos describen cómo hacerlo: NOTA Si intenta formatear el volumen en que está instalado Windows Server 2008, aparecerá un cuadro de diálogo con un mensaje indicando que esto no es posible.
1.
Haga clic derecho en el volumen al que se desea dar formato, luego clic en Formatear. Se abrirá un pequeño cuadro de diálogo pidiéndole la etiqueta, sistema de archivos y tamaño de la unidad de asignación.
2.
Elija los parámetros adecuados y haga clic en Aceptar. Aparecerá un mensaje de advertencia notificando que se borrarán todos los datos en el volumen. Haga clic en Aceptar para que se formatee la unidad.
Agregue unidades lógicas El proceso para agregar unidades lógicas a una partición extendida es exactamente el mismo que se sigue para crear un nuevo volumen, como se describió en la sección “Agregue volúmenes simples”, en páginas anteriores de este capítulo: 1.
Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple. Se abrirá el asistente para Nuevo volumen simple. Haga clic en Siguiente.
2.
Especifique el tamaño del volumen y haga clic en Siguiente. Si lo desea, escoja la letra de unidad o identifique la carpeta en que se montará el volumen y haga clic en Siguiente.
3.
Seleccione la forma en que desea se formatee la unidad lógica, haga clic en Siguiente, revise las opciones seleccionadas y haga clic en Finalizar. La unidad lógica se creará como usted especificó.
4.
Repita del paso 1 al 3 para todas las unidades lógicas que desee (recuerde que el límite máximo es 23).
Cambie letras de unidad El cambio de la letra de una unidad es un proceso similar al de las funciones previas:
12 MATTHEWS 01.indd 394
1/14/09 2:16:12 PM
Capítulo 12:
1.
2.
3.
Administración del almacenamiento y los sistemas de archivos
395
Haga clic derecho en el volumen o unidad lógica cuya letra de unidad desea cambiar y haga clic en la opción Cambiar la letra y rutas de acceso de unidad. Se abrirá el cuadro de diálogo con el mismo nombre. Se pueden añadir letras de unidad y rutas de acceso adicionales a las existentes, editar letras de unidad existentes para modificarlas, y eliminar (borrar) unidades, rutas existentes o ambas. Haga clic en Agregar, Cambiar o Quitar; complete la información necesaria; haga clic en Aceptar (aparecerá un mensaje notificando que el cambio en las letras de unidad puede causar que un programa que dependa de la unidad deje de funcionar); y haga clic en Cerrar.
Compresión de datos La compresión de datos permite almacenar más información en determinada cantidad de espacio en disco. Diferentes tipos de archivo se comprimen en forma diferente. Por ejemplo, algunos formatos de archivos gráficos, como .tif, pueden comprimirse por debajo del 20% de su tamaño original, mientras otros formatos de archivos gráficos, como .jpg, no pueden llegar al 90% de su tamaño debido a que, por su naturaleza, ya cuentan con cierto grado de compresión. Archivos, carpetas y volúmenes comprimidos pueden utilizarse de la misma manera que datos sin comprimir. Se descomprimen a medida que se leen y se comprimen nuevamente al guardarse. El lado negativo de la compresión es que todas las acciones relacionadas con archivos (lectura, escritura, copiado, etc.) toman más tiempo. La compresión de datos en Windows Server 2008 es muy diferente de esquemas de compresión anteriores, con los que la única opción era comprimir el volumen completo. En Windows Server 2008 es posible comprimir un volumen, carpeta o archivo. También comprimir automáticamente archivos sin uso en un periodo determinado, como una forma de archivarlos. NOTA La compresión de datos en Windows Server 2008 sólo puede aplicarse en volúmenes formateados en NTFS; el tamaño del clúster no debe ser mayor de 4 KB.
Comprima volúmenes Para comprimir un volumen, abra el panel Administración de discos y siga los siguientes pasos: 1. Haga clic derecho en el volumen que habrá de comprimirse y luego haga clic en la opción Propiedades. Aparecerá el cuadro de diálogo Propiedades, mostrado ya en la figura 12-10. 2. Haga clic en la casilla de verificación Comprimir esta unidad para ahorrar espacio en disco y dé clic en Aceptar. Aparecerá un cuadro de diálogo preguntando si desea comprimir sólo la carpeta raíz (por ejemplo, D:\) o todas las subcarpetas y archivos en la carpeta raíz.
12 MATTHEWS 01.indd 395
1/14/09 2:16:12 PM
396
Windows Server 2008: Guía del Administrador
NOTA Es posible comprimir una carpeta sin afectar sus subcarpetas y, a su vez, éstas pueden comprimirse sin hacerlo con la carpeta que las contiene.
3.
Realice la selección que considere adecuada y haga clic en Aceptar. Aparecerá un cuadro de mensaje indicando que realiza la compresión. Cuando el cuadro desaparezca, la compresión estará completa.
NOTA Para descomprimir datos, siga los pasos dados para comprimirlos, pero en orden inverso. En el caso de un volumen, quite la selección de la opción del cuadro de diálogo Propiedades y confirme que desea realizar la descompresión.
Comprima archivos y carpetas Es posible comprimir archivos y carpetas de manera individual. Esto se realiza desde el Explorador de Windows o desde Equipo, como se describe a continuación: 1.
Abra el Explorador de Windows o Equipo, haga clic derecho sobre el archivo o la carpeta, y seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades del archivo o carpeta.
2.
Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanzados, como se muestra en la figura 12-13.
Figura 12-13.
12 MATTHEWS 01.indd 396
Es posible comprimir volúmenes, carpetas y archivos.
1/14/09 2:16:13 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
397
3.
Haga clic en Comprimir contenido para ahorrar espacio en disco y luego haga clic en Aceptar, dos veces, para cerrar los cuadros de diálogo Atributos avanzados y Propiedades. Se abrirá el cuadro de diálogo Confirmación de cambio de atributos, preguntando si desea aplicar los cambios sólo a la carpeta o si desea incluir sus subcarpetas y archivos contenidos en ella.
4.
Seleccione la opción que prefiera y luego dé clic en Aceptar. La compresión se realiza. Si el archivo o carpeta es suficientemente grande como para que la compresión tome un minuto o más, verá un mensaje que indica cómo se realiza la compresión.
Si se abre de nuevo el cuadro de diálogo Propiedades del archivo o carpeta, se mostrarán los tamaños real y en el disco, como se ilustra en la figura 12-14. NOTA Todos los archivos y carpetas tienen un valor de Tamaño en disco, pero en archivos y carpetas sin comprimir suele ser más grande que el real, pues el tamaño mínimo del clúster requiere más espacio del necesario para el archivo o carpeta.
Figura 12-14.
12 MATTHEWS 01.indd 397
La compresión de una carpeta puede ahorrar una buena cantidad de espacio.
1/14/09 2:16:13 PM
398
Windows Server 2008: Guía del Administrador
Utilice archivos comprimidos NTFS Si realiza la compresión únicamente de algunos archivos y carpetas, será deseable conocer cuáles están comprimidos y cuáles no, además de entender cómo se comportan cuando se les copia o mueve. Para saber qué archivos y carpetas están comprimidas y cuáles no, Windows Server 2008 cambia, como opción predeterminada, el color con que se despliegan archivos y carpetas comprimidos (el color de fondo de sus etiquetas). Si desea modificar esta característica, haga clic en el menú Herramientas del Explorador de Windows, haga clic en Opciones de carpeta y, en la ficha Ver, del cuadro de diálogo Opciones de carpeta que se abre y localice la opción Mostrar con otro color los archivos NTFS comprimidos o cifrados.
Cuando está copiando o moviendo archivos y carpetas comprimidas, el proceso es un poco más lento y no siempre termina como comenzó. Las siguientes reglas aplican cuando se copian o mueven archivos comprimidos: ▼
Cuando copia un archivo o carpeta comprimido en su volumen original o entre volúmenes NTFS, el archivo o carpeta hereda la compresión de la carpeta al que se copia
■
Cuando copia un archivo o carpeta comprimido a un volumen FAT o disco flexible, el archivo o carpeta se descomprime
■
Cuando mueve un archivo o carpeta comprimido en su volumen original, el archivo o carpeta conserva su compresión original
■
Cuando mueve un archivo o carpeta comprimido entre volúmenes NTFS, se hereda la compresión de la carpeta a la que se mueve
▲
Cuando mueve un archivo o carpeta comprimido a un volumen FAT o disco flexible, el archivo o carpeta se descomprime
Desfragmentación de unidad Como ya se explicó en la sección “Sistemas de archivos”, los archivos se componen de pequeños segmentos llamados clúster y estos clústeres no siempre pueden almacenarse en una región contigua del disco. El resultado es la fragmentación de archivos, lo que ocasiona un incremento en el tiempo de acceso al archivo. Windows Server 2008 tiene una utilería para desfragmentar archivos de un volumen, que podría estar formateado como FAT, FAT32 o NTFS. Para desfragmentar un volumen siga los pasos:
12 MATTHEWS 01.indd 398
1.
En el panel Administración de discos, haga clic derecho sobre el volumen a desfragmentar, luego clic en la opción Propiedades.
2.
En el cuadro de diálogo Propiedades, haga clic en la ficha Herramientas, luego en Desfragmentar ahora. Se abrirá el cuadro de diálogo Desfragmentador de disco.
1/14/09 2:16:13 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
399
3.
Windows Server 2008 analizará las unidades y notificará si el rendimiento del equipo podría mejorar aplicando la desfragmentación. Si es así, haga clic en Desfragmentar ahora.
4.
Seleccione los discos o volúmenes a desfragmentar, haga clic en Aceptar. Dependiendo de la cantidad de información en el volumen, esta operación tomará tiempo.
5.
Cuando la desfragmentación esté completa, haga clic en botón Cerrar, en Desfragmentador de disco, después clic en Aceptar en el cuadro de diálogo Propiedades.
NOTA Desfragmentador de disco consume una cantidad considerable de recursos del procesador y hace muy lento el acceso al disco. Por ello es importante realizar la desfragmentación cuando el uso del equipo sea mínimo. SUGERENCIA Puede programar el proceso de desfragmentación para que se realice de manera periódica.
Cuotas de disco Con NTFS, puede monitorear, establecer directivas y límites al espacio en disco utilizado en un volumen, así como asegurarse que un usuario no ocupe más espacio en disco del deseado. Esto es muy importante en servidores de archivos conectados a Internet o intranet. Para establecer cuotas, dé los siguientes pasos: 1.
En el panel Administración de discos, haga clic derecho en el volumen en que desee establecer cuotas y clic en Propiedades.
2.
En el cuadro de diálogo Propiedades, haga clic en la ficha Cuota y, luego, en Habilitar la administración de cuota. Establezca límites y opciones de registro de cuota para este volumen. En la figura 12-15 se muestra un ejemplo de configuración.
3.
Una vez realizada la configuración, haga clic en Aceptar. Tras haber utilizado el volumen por un tiempo, abra nuevamente la ficha Cuota, en el cuadro de diálogo Propiedades y dé clic en Valores de cuota para abrir la ventana Entradas de cuota. En ésta se muestra quién usa el volumen y cómo dicho uso afecta las cuotas establecidas.
4.
Cierre la ventana Entradas de cuota y haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades.
NOTA Las cuotas de disco se reportan utilizando el nombre de inicio de sesión del usuario dentro de un volumen. Cuando se calcula el uso de cuotas, se ignora compresión y espacio libre reportado al usuario es el espacio restante de su cuota.
12 MATTHEWS 01.indd 399
1/14/09 2:16:14 PM
400
Windows Server 2008: Guía del Administrador
Figura 12-15. La configuración de cuotas de disco evita que un usuario use un espacio compartido desproporcionado en un volumen.
Cifrado de archivos y carpetas El sistema de archivos NTFS de Windows Server 2008 permite el cifrado individual de archivos y carpetas. Con un archivo cifrado, aunque alguien acceda al equipo, no tendrá acceso al archivo. El usuario que cifró el archivo será el único con acceso de lectura al archivo. Ningún otro usuario podrá leer el archivo (en el capítulo 15 se analiza en mayor detalle el cifrado de archivos y carpetas). Para cifrar un archivo o carpeta siga los siguientes pasos:
12 MATTHEWS 01.indd 400
1.
En Explorador de Windows o Equipo, haga clic derecho en el archivo o carpeta que desea cifrar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.
2.
Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanzados, como ya se mostró en la figura 12-13.
1/14/09 2:16:14 PM
Capítulo 12:
3.
Administración del almacenamiento y los sistemas de archivos
401
Haga clic en Cifrar contenido para proteger datos; luego, clic dos veces en Aceptar. Si en el paso 1 seleccionó un archivo, aparecerá un mensaje indicándole que ha elegido cifrar un archivo sin cifrar su carpeta y que, en caso de modificarse, el software de edición podría almacenar una copia temporal no cifrada del archivo. Se le pedirá que elija entre cifrar el archivo y su carpeta (recomendado) o cifrar sólo el archivo. Seleccione la opción que considere apropiada y haga clic en Aceptar.
NOTA Si trata de cifrar una carpeta, aparecerá un mensaje de advertencia, preguntando si se desea aplicar el cifrado sólo a la carpeta o también a subcarpetas y archivos de la carpeta.
Si cierra sesión en el equipo y alguien más inicia sesión en éste o alguien intenta acceder al archivo en red, el archivo será ilegible. Además, si observa el archivo en el Explorador de Windows, tendrá, como opción predeterminada una etiqueta en un color diferente, que indica que está cifrado. NOTA No es posible cifrar y comprimir un archivo o carpeta. Una vez realizada una de estas acciones, la otra no podrá ser realizada.
IMPLEMENTE LA ADMINISTRACIÓN DE VOLÚMENES DINÁMICOS La administración de volúmenes dinámicos permite crear, modificar o replicar un volumen sin reiniciar el equipo, utilizando discos y almacenamiento dinámicos. Un disco dinámico tiene sólo una partición en la que es posible crear volúmenes. Los volúmenes simples son iguales a los dinámicos, con excepción de que estos últimos son dinámicos (pueden modificarse sobre la marcha), pueden abarcar varios discos e incluyen tipos adicionales de hardware avanzado (seccionado, reflejado y RAID-5). NOTA Server 2008 ha negado un beneficio importante a los discos dinámicos: la capacidad para extender y comprimir volúmenes, acciones que sí son realizables en discos comunes.
12 MATTHEWS 01.indd 401
1/14/09 2:16:14 PM
402
Windows Server 2008: Guía del Administrador
Convierta a almacenamiento dinámico Casi todos los discos comunes pueden convertirse fácilmente a discos dinámicos. Esto aplica a la mayor parte de discos, excepto los de equipos portátiles y extraíbles. Además, el disco debe contar con 1 MB de espacio sin asignar y Windows Server 2008 sólo puede instalarse en un volumen dinámico, si dicho volumen se ha generado desde un volumen de arranque. Para realizar la conversión siga los siguientes pasos: PRECAUCIÓN La única forma de regresar un disco dinámico a su estado original, es eliminando todos sus volúmenes y, por tanto, cada archivo en esos volúmenes, luego hacer clic derecho en la unidad y seleccionar Convertir en disco básico.
12 MATTHEWS 01.indd 402
1.
En el panel Administración de disco, haga clic derecho en uno de los discos a la izquierda de la vista gráfica y después seleccione Convertir en disco dinámico, en el menú contextual.
2.
Confirme la selección del disco que desea convertir y haga clic en Aceptar. Se abrirá el cuadro de diálogo Discos para convertir, mostrando la información del disco o discos que habrán de convertirse. Si hace clic en Detalles, se mostrarán los volúmenes a ser creados automáticamente en el disco.
3.
Haga clic en Aceptar, si abrió Convertir detalles, luego clic en Convertir. Aparecerá un mensaje advirtiendo que no será posible iniciar un sistema operativo desde el disco, excepto desde el volumen de arranque actual, en caso de existir. Se solicitará confirmación para continuar.
4.
Si desea, en realidad, realizar la conversión, haga clic en Sí y luego en Aceptar. La conversión comenzará. Cuando termine, si se ha convertido un volumen de arranque, aparecerá un mensaje notificando que el equipo reiniciará. Haga clic en Aceptar; en caso contrario verá que todas las particiones primarias y unidades lógicas han sido cambiadas a volúmenes simples, como se muestra en la siguiente figura.
1/14/09 2:16:15 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
403
Cree volúmenes Puede crear un nuevo volumen dentro del espacio sin asignar de una unidad dinámica. Esto se realiza siguiendo estos pasos: 1.
Haga clic derecho en el espacio sin asignar de una unidad dinámica y clic en la opción Nuevo volumen simple. Aparecerá el Asistente para nuevo volumen simple.
2.
Elija o escriba el tamaño del nuevo volumen y haga clic en Siguiente. Asigne una letra de unidad o elija montar el volumen en una carpeta NTFS vacía y dé clic en Siguiente. Elija la forma en que quiere formatear la unidad y dé clic una vez más en Siguiente.
3.
Confirme los pasos que desee dar; si es necesario, vuelva y corrija los innecesarios, y dé clic en Finalizar. El volumen será creado y formateado.
NOTA Para extender o reducir un volumen dinámico se sigue el mismo proceso que para un volumen simple, mismo que ya se describió en este capítulo, en la sección “Particionamiento y formateo de unidades”.
Cree un volumen distribuido Un volumen distribuido puede incluir espacio de 2 a 32 discos, aunque para el usuario tendrá el aspecto de un solo volumen. De esta forma se obtiene un volumen más grande, pero riesgoso, pues cada disco añadido al volumen incrementa la posibilidad de que éste falle si uno de los discos se colapsa. Para crear un volumen distribuido proceda con los pasos siguientes: SUGERENCIA En Windows Server 2008 puede crear volúmenes distribuidos, seccionados y reflejados a partir de unidades básicas o dinámicas, pero las primeras se convertirán en dinámicas en el proceso, con la desventaja de que cualquier sistema operativo que incluyan, aparte del actual, ya no podrá utilizarse para arrancar el equipo. Además, una unidad distribuida, seccionada o reflejada no puede utilizar espacio del disco de arranque actual.
12 MATTHEWS 01.indd 403
1.
En Administración de discos, haga clic derecho en un área de espacio sin asignar en uno de los discos que se incluirá en el volumen y clic en Nuevo volumen distribuido. Se abrirá el Asistente para nuevo volumen distribuido. Dé clic en Siguiente.
2.
Seleccione los discos que desea incluir en el volumen distribuido y la cantidad de espacio que utilizará en cada uno, como se muestra en la figura 12-16.
3.
Haga clic en Siguiente. Asigne una letra de unidad o carpeta para montar el volumen y clic una vez más en Siguiente.
4.
Especifique cómo desea formatear la carpeta o escoja que el nuevo volumen se monte en una carpeta NTFS vacía y dé clic en Siguiente. Seleccione cómo formatear el nuevo volumen y haga clic una vez más en Siguiente.
5.
Confirme las tareas que desee realizar y haga clic en Finalizar. El volumen se creará y formateará; el resultado final se mostrará en ambos discos.
1/14/09 2:16:15 PM
404
Windows Server 2008: Guía del Administrador
Figura 12-16. Los volúmenes distribuidos pueden usar espacio de varios discos básicos y dinámicos.
PRECAUCIÓN Un volumen distribuido no puede ser seccionado ni reflejado, ni es tolerante a fallas, y cualquier error en uno de los discos se convierte en falla para todo el volumen.
USO DEL SISTEMA DE ARCHIVOS DISTRIBUIDO El sistema de archivos distribuido (DFS, Distributed File System) permite crear un directorio, llamado espacio de nombres, que abarca varios directorios de archivos y permite a los usuarios buscar y localizar fácilmente archivos o carpetas distribuidos en la red. Para los usuarios de DFS (archivos diseminados a lo largo de la red) colocados en un espacio de nombres, aparecerán como si estuvieran ubicados en un mismo servidor, lo que facilita su uso si tuviera que accederse a ellos en los servidores donde realmente están ubicados. Los usuarios sólo necesitan dirigirse a un único lugar en la red, el espacio de nombres, para acceder a archivos ubicados en diferentes lugares. DFS también puede recolectar (o replicar en grupos de replicación) archivos y carpetas de diferentes servidores para uso local, como crear una copia de seguridad de ellos. DFS también puede ser parte de un grupo de trabajo o dominio de Active Directory, donde la distribución de la información en diversos controladores de dominio ofrece cierto grado de tolerancia a las fallas. Existen varias razones importantes para utilizar dominios basados en DFS. Éstos utilizan Active Directory para almacenar la topología DFS, o configuración, de DFS, proporcionando una interfaz común para la gestión de archivos. Además, al utilizar Active Directory, tiene replicación automática a los otros controladores de dominio dentro del dominio.
12 MATTHEWS 01.indd 404
1/14/09 2:16:15 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
Servidor de archivos
Equipo uno
Espacio de nombres uno Espacio de nombres
Carpeta uno
405
Equipo dos
Carpeta dos
Carpeta tres
Carpeta cuatro
Carpeta uno Carpeta dos Espacio de nombres dos
Destinos de carpeta
Carpeta cinco
Carpeta seis
Equipo tres
Figura 12-17. Un espacio de nombres DFS puede contener diversos destinos de carpetas a partir de varios equipos diferentes.
Puede considerar que un espacio de nombres DFS es como una carpeta principal virtual, con capacidad para contener subcarpetas virtuales con vínculos, como accesos directos de Windows, llamados destinos de carpetas, a las carpetas reales en diferentes equipos (tal vez servidores de archivos) en toda la red, como se muestra en la figura 12-17.
Cree un sistema de archivos distribuido DFS es un servicio de función en Servicios de archivo que debe instalarse. En este proceso puede crear uno o más espacios de nombres. Luego podría utilizar Administración de DFS para agregar, modificar y administrar espacios de nombres, además de añadir y administrar grupos de replicación.
Instale y configure DFS Para agregar DFS a Servicios de archivo, crear y agregar datos en uno o más espacios de nombres:
12 MATTHEWS 01.indd 405
1.
Dé clic en Inicio|Administrador del servidor. Abra Funciones y haga clic en Servicios de archivo. Recorra el panel derecho hasta ver la ficha Servicios de función. Haga clic en Agregar servicios de funciones.
2.
En el asistente Agregar servicios de función, haga clic en Sistema de archivos distribuido (DFS) y haga clic en Siguiente.
3.
Ingrese un nombre para el espacio de nombres DFS o escoja la opción para crear un espacio de nombres más adelante. Haga clic en Siguiente. Si debe elegir entre crear un espacio de nombres basado en dominios o uno independiente, lea la descripción de cada uno de ellos en la ventana del asistente y haga clic en la opción deseada y luego en Siguiente.
1/14/09 2:16:16 PM
406
Windows Server 2008: Guía del Administrador
4.
En la ventana Configurar espacio de nombres, haga clic en Agregar para añadir carpetas de destino al espacio de nombres. En el cuadro de diálogo Agregar carpeta a espacio de nombres, haga clic en Examinar para seleccionar una carpeta de destino.
5.
En el cuadro de diálogo Buscar carpetas compartidas, el servidor predeterminado es el local. Si desea compartir carpetas de ese servidor en su espacio de nombres, haga clic en Mostrar carpetas compartidas. Seleccione la primera unidad o carpeta en ese servidor que desea agregar a su espacio de nombres y pulse Aceptar. Escriba el nombre a utilizar en el espacio de nombres y haga clic en Aceptar.
6.
Repita los pasos 4 y 5 todas las veces que necesite para agregar todas las carpetas compartidas al espacio de nombres del servidor local y servidores remotos. Cuando haya agregado todas las carpetas al espacio de nombres, como se muestra en la figura 12-18, haga clic en Siguiente.
7.
Revise los mensajes informativos que aparecen y dé clic en Instalar. Cuando aparezca el mensaje de que la instalación se ha completado correctamente, haga clic en Cerrar.
Inicie Administración de DFS La administración de DFS puede iniciarse a través del menú Herramientas administrativas y el Administrador del servidor: Haga clic en Inicio|Herramientas administrativas|DFS Management. En el panel de la izquierda, haga clic en Administración de DFS. O bien, haga clic en Inicio|Administrador del servidor. En el panel izquierdo del Administrador del servidor, abra el menú Funciones y Servicios de archivo y dé clic en Administración de DFS. En cualquier caso, el panel Administración de DFS aparecerá, como se muestra en la figura 12-19. NOTA Tras instalar DFS, es probable que pasen varios minutos antes de que aparezca la opción Administrador de DFS, en Administrador del servidor.
12 MATTHEWS 01.indd 406
1/14/09 2:16:17 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
407
Figura 12-18. Un espacio de nombres puede contener carpetas compartidas, incluidas las unidades de disco, de cualquier equipo en la red.
Administración del Sistema de archivos distribuido En Administración de DFS, es posible agregar un nuevo servidor de espacio de nombres, en seguida añadir en él nuevos espacios de nombres, o añadir nuevos espacios de nombres al servidor local. Ambos procesos duplican esa parte de instalación y configuración DFS. Consulte “Instale y configure DFS”, en páginas anteriores de este capítulo. Además, en Administración de DFS es posible administrar espacios de nombres existentes, así como crear y administrar grupos de replicación.
Administre espacios de nombres en DFS En Administración de DFS, es posible realizar diversas funciones administrativas sobre espacios de nombres existentes, incluidas adición y eliminación de carpetas del espacio de nombres, además de la administración de carpetas de destino en una carpeta en el espacio de nombres, como se describe a continuación (el panel DFS debe estar abierto en este momento en su pantalla):
12 MATTHEWS 01.indd 407
1/14/09 2:16:17 PM
408
Windows Server 2008: Guía del Administrador
Figura 12-19. Administración de DFS permite acceder y administrar datos tanto en una red LAN como en una red WAN.
12 MATTHEWS 01.indd 408
1.
Con el Administrador de DFS abierto en la ventana del Administrador del servidor o la propia ventana, abra la opción Administración de DFS, ubicada en el panel de la izquierda, haga clic en la opción Espacios de nombres. Aquí es posible añadir un nuevo servidor de espacio de nombres o añadir más espacios de nombres que se van a mostrar mediante las opciones correspondientes en el panel Acciones.
2.
Abra la opción Espacios de nombres en el panel de la izquierda, dé clic en el servidor y espacio de nombres con los que desea trabajar. Las carpetas en el espacio de nombres se muestran en el panel central, como se puede ver en la figura 12-20. Desde el panel Acciones es posible añadir nuevas carpetas al espacio de nombres seleccionado, además de identificar la carpeta de destino para esas nuevas carpetas. También es posible delegar permisos de administración para el espacio de nombres, quitar espacios de la pantalla y eliminarlos.
1/14/09 2:16:18 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
409
Figura 12-20. Administración de DFS permite agregar, eliminar y replicar espacios de nombres, carpetas de espacios de nombres y carpetas de destino.
3.
Con un espacio de nombres seleccionado, haga clic en una de las carpetas de la lista en el panel central. Haga clic derecho en la carpeta elegida o use las opciones del panel Acciones, para adicionar una carpeta de destino y replicar, mover, cambiar nombre o eliminar carpetas del espacio de nombres.
Administre la replicación DFS La replicación DFS sincroniza datos iguales ubicados en varios servidores. Cuando la replicación DFS detecta que estos datos han cambiado en cualquiera de los servidores, replica los bloques modificados, no los archivos completos, en todos los servidores. La replicación DFS usa el protocolo de compresión remota diferencial (RDC, Remote Differential Compression) para determinar cuáles bloques se han modificado en un archivo y luego replicar rápidamente estos cambios. Si dos o más servidores cambian un archivo simultáneamente, la replicación DFS emplea una heurística de resolución de conflictos llamada “El último escritor gana”, para escoger cuál archivo será replicado en la red. Sin embargo, los archivos perdedores se mueven a una carpeta especial, de manera que se conservan, en caso de ser necesarios. NOTA
Para utilizar la replicación debe estar en un dominio.
Para configurar y utilizar replicación DFS, debe crear primero un grupo de replicación, luego establecer una agenda de ésta y, por último, habilitar la replicación. El proceso de administración abarca edición del grupo, cambios de agenda y deshabilitación de la replicación. Revisemos brevemente el proceso a través de los pasos siguientes, para los cuales se asume que el Administrador de DFS está abierto en su propia ventana o el panel central del Administrador del servidor:
12 MATTHEWS 01.indd 409
1/14/09 2:16:18 PM
410
Windows Server 2008: Guía del Administrador
1.
En el panel de la izquierda, abra la opción Administración de DFS y dé clic en Replicación. En el panel Acciones, haga clic en Nuevo grupo de replicación. Se abrirá el Asistente para nuevo grupo de replicación.
2.
Seleccione el tipo de grupo de replicación que desea crear, ya sea multipropósito o para recopilación de datos, y dé clic en Siguiente.
3.
Ingrese el nombre del grupo de replicación, escriba una descripción e ingrese o explore, si lo desea, el nombre del dominio. Haga clic en Siguiente. Haga clic en Agregar, para seleccionar dos o más equipos para el grupo de replicación.
4.
En el cuadro de diálogo Seleccionar equipos, haga clic en Avanzadas y, luego, en el botón Buscar ahora. Mantenga oprimida la tecla ctrl mientras hace clic en los equipos que desea incluir, como se muestra en la figura 12-21. Una vez que haya terminado, haga clic en Aceptar dos veces y después clic en Siguiente.
5.
Haga clic en Aceptar, para iniciar el servicio de replicación. Lea acerca de los tipos de topología, seleccione el correcto para usted y haga clic en Siguiente. Determine si la replicación será continua o sujeta a una agenda específica. En el segundo caso, haga clic en Editar agenda, escoja los horarios de replicación y ancho de banda que habrá de utilizarse y haga clic en Aceptar y luego en Siguiente.
Figura 12-21. Los equipos que formarán parte del grupo de replicación deben pertenecer a un mismo bosque de dominio.
12 MATTHEWS 01.indd 410
1/14/09 2:16:19 PM
Capítulo 12:
12 MATTHEWS 01.indd 411
Administración del almacenamiento y los sistemas de archivos
411
6.
Seleccione el miembro principal, que será autoridad en caso de que dos o más miembros contengan la misma información o los mismos cambios. Haga clic en Siguiente.
7.
Haga clic en Agregar para seleccionar las carpetas que habrán de replicarse. Haga clic en Examinar, seleccione la carpeta que habrá de replicar, pulse Aceptar, escoja un nombre para la carpeta y permisos deseados y dé clic en Aceptar. Repita estos pasos para todas las carpetas que desee replicar. Cuando termine, haga clic en Siguiente.
8.
Al principio, todos los miembros están deshabilitados. Haga clic en un miembro y luego en Editar. Haga clic en Habilitar y en Examinar, seleccione una ruta y haga clic dos veces en Aceptar. Repita este paso para todos los miembros y después haga clic en Siguiente.
1/14/09 2:16:19 PM
412
Windows Server 2008: Guía del Administrador
9.
Revise la configuración elegida. Si desea realizar algún cambio, haga clic en Anterior. Cuando todo esté listo, haga clic en Crear. Cuando aparezca el aviso de que el grupo de replicación se creó, haga clic en Cerrar. Aparecerá un mensaje notificando que se puede presentar cierto retraso conforme Active Directory replica la configuración. Haga clic en Aceptar.
10.
En el panel central, haga clic en el nuevo grupo de replicación; en el panel Acciones verá que puede añadir un nuevo miembro, nuevas carpetas de replicación, nuevas conexiones y nueva topología. También es posible crear un informe de diagnóstico, verificar la topología, delegar permisos de administración, editar la agenda, eliminar al grupo de la pantalla y borrar al grupo.
Instale y use otros servicios de archivo Existen otros cuatro servicios de archivo que no hemos analizado aún: ▼
Administrador de recursos del servidor de archivos (FSRM), provee los medios para administrar tipo y cantidad de información en los servidores y para establecer cuotas, generar informes e implementar vistas con esa información
■
Servicios para Network File System (NFS), implementa el protocolo NFS para permitir la transferencia de archivos entre equipos con sistema operativo UNIX y Windows Server 2008
■
Servicio Búsqueda de Windows, ofrece una búsqueda rápida y mejorada de archivos en el servidor para los clientes
▲
Servicios de archivo de Windows Server 2003, provee compatibilidad con los servicios de archivo de Windows 2000 Server y Windows Server 2003, agregando el servicio de replicación de archivos (FORMULARIOS, File Replication Service) y el servicio de Index Server en Windows Server 2008
Instale otros servicios de archivo Todos éstos son servicios de función, que se instalan desde el Administrador del Servidor:
12 MATTHEWS 01.indd 412
1.
Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, abra Funciones y haga clic en Servicios de archivo. En el panel central localice la ficha Servicios de función y haga clic en Agregar servicios de función.
2.
En el asistente Agregar servicios de función, haga clic en el servicio de función que desee añadir (veremos FSRM y el Servicio Búsqueda de Windows) y dé clic en Siguiente.
3.
Seleccione los volúmenes que desea supervisar con FSRM y haga clic en Opciones. En el cuadro de diálogo Opciones de supervisión de volumen, especifique el umbral de uso de volumen en que desea ser notificado y seleccione los informes que habrán de generarse (haciendo clic en un informe fuera de la casilla de verificación, con una descripción del informe que aparece del lado derecho). Cuando esté listo, haga clic en Aceptar y luego en Siguiente.
1/14/09 2:16:19 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
413
4.
Seleccione la carpeta en que desea almacenar los informes, o seleccione la opción de recibir informes por correo electrónico y escriba la información necesaria; después haga clic en Siguiente.
5.
Escoja los volúmenes que desea indizar para el servicio Búsqueda de Windows y haga clic en Siguiente.
6.
Revise la configuración realizada, haga clic en Anterior si desea realizar algún cambio y luego clic en Instalar. Cuando aparezca un mensaje indicando que la instalación ha concluido correctamente, haga clic en Cerrar.
NOTA Se le indicará que los volúmenes elegidos para indización quizás no se añadan a la lista que habrá de indizarse, pues el Servicio Búsqueda de Windows no ha sido iniciado. Esto se puede realizar más adelante mediante el Panel de control.
Uso del Administrador de recursos del servidor de archivos FSRM se abre desde Herramientas administrativas o Administrador del servidor. 1.
Haga clic en Inicio|Herramientas administrativas|Administrador de recursos del servidor de archivos. En su defecto, haga clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, abra Funciones, Servicios de archivo, Administrador de almacenamiento y recursos compartidos; haga clic Administrador de recursos del servidor de archivos.
12 MATTHEWS 01.indd 413
1/14/09 2:16:20 PM
414
Windows Server 2008: Guía del Administrador
En cualquier caso, aparecerá la ventana o panel del Administrador de recursos del servidor de archivos.
2.
En el panel de la izquierda, elija Administrador de recursos del servidor de archivos y dé clic en Configurar opciones en el panel Acciones. Se abrirá el cuadro de diálogo Opciones del Administrador de recursos del servidor de archivos. En el cuadro de diálogo es posible modificar la configuración del correo electrónico al que se enviarán notificaciones e informes; especificar el intervalo de tiempo entre notificaciones, además de editar y revisar diversos informes (véase la figura 12-22); especificar dónde se desea guardar los informes y determinar si desea registrar la actividad de filtrado de archivos. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones del Administrador de recursos del servidor de archivos.
Figura 12-22. Windows Server 2008 proporciona diversos informes para apoyar la administración de los servicios de archivo.
12 MATTHEWS 01.indd 414
1/14/09 2:16:20 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
415
3.
Haga doble clic en Administración de cuotas y luego en Cuotas. Aparecerán las unidades que identificó durante la instalación para administración de cuotas.
4.
Haga clic en una de las unidades, luego en la opción Crear cuota, del panel Acciones. En el cuadro de diálogo Crear cuota: a.
Escriba o examine la ruta que describe el volumen o carpeta para la que desea crear una cuota.
b. Elija ya sea crear cuota en la ruta especificada, crear cuotas en subcarpetas nuevas o según una ruta especifica, pulsando Aplicar plantilla autom. c.
Seleccione entre Derivar propiedades de esta plantilla de cuota, que deberá seleccionar o Definir propiedades de cuota personalizadas, que deberá ingresar en el cuadro de diálogo Propiedades de cuota.
d. Revise el resumen de propiedades de cuota, realice cualquier cambio necesario y, cuando todo esté listo, haga clic en Crear.
5.
12 MATTHEWS 01.indd 415
Haga clic en Plantillas de cuota, en el panel de la izquierda, para ver una lista de cuotas disponibles. Haga doble clic en una plantilla para revisar y editar sus detalles o clic en la opción Crear plantilla de cuota, ubicada en el panel Acciones, para crear una.
1/14/09 2:16:20 PM
416
Windows Server 2008: Guía del Administrador
6. En el panel de la izquierda, abra la opción Administración del filtrado de archivos y dé clic en Filtros de archivos y, en el panel Acciones, haga clic en Crear filtro de archivos. En el cuadro de diálogo Crear filtro de archivos ingrese o examine en busca de una ruta a la que aplicará el filtro; decida si desea utilizar una plantilla de filtro de archivos o crear una nueva y luego haga clic en Crear. 7. En el panel Acciones, haga clic en Crear excepción al filtro de archivo para identificar una ruta y grupos de archivos que serán excluidos del filtrado. 8. En el panel de la izquierda haga clic en Plantillas de filtro de archivos para obtener una lista de plantillas de filtro de archivos actual. Haga clic derecho en una de ellas para editar, eliminar esa plantilla o crear un nuevo filtro de archivos a partir de esa plantilla. En el panel Acciones haga clic en Crear plantilla de filtro de archivos, para crear una nueva plantilla de filtros desde cero. 9. En el panel de la izquierda, haga clic en Grupos de archivos para crear, editar y borrar grupos de tipos de archivo, con base en la extensión de los archivos, para utilizarlos en los filtros de archivo. 10. En el panel de la izquierda, haga clic en Administración de informes de almacenamiento, para programar una nueva tarea de informes, agregar o quitar informes de una tarea de informes, generar un informe de inmediato y editar o eliminar tareas de informes.
COPIAS DE SEGURIDAD DE WINDOWS SERVER Copias de seguridad de Windows Server es nueva en Windows Server 2008, empleada para minimizar el impacto que tendría perder información en un volumen, a causa de una falla en el hardware de una unidad o equipo, así como el borrado accidental de uno o más archivos por cualquier razón. Copias de seguridad de Windows Server reemplaza la característica copias de seguridad de NT, utilizada en versiones anteriores de Windows Server, con base en tres asistentes, y es más rápida y fácil de utilizar. Se pueden crear copias de seguridad de un servidor completo o volúmenes seleccionados. A su vez, copias de seguridad en otro disco o discos duros, discos extraíbles, así como en CD y DVD reescribibles, pero ya no es posible crear copias de seguridad en cintas. Una vez que haya creado una copia de seguridad de cualquier información de interés, es posible restaurar dicha información en el equipo y disco original u otros equipos y discos.
Tipos de copias de seguridad Los siguientes son tres tipos de copias de seguridad:
12 MATTHEWS 01.indd 416
▼
Copia de seguridad regular o completa Duplica todos los archivos seleccionados para el medio de almacenamiento de la copia de seguridad, además de marcar los archivos como archivados (el bit de archivado se coloca en cero)
■
Incremental Copia todos los archivos nuevos o modificados desde la última copia de seguridad regular o incremental. El bit de archivado se coloca también en cero, para que los archivos no se respalden nuevamente
1/14/09 2:16:21 PM
Capítulo 12:
▲
Administración del almacenamiento y los sistemas de archivos
417
Copia Copia todos los archivos seleccionados, pero sin colocar en cero el bit de archivado, de forma que no afecte la creación de copias de seguridad regulares o incrementales
Si sólo utiliza el tipo regular de copias de seguridad, el tiempo de creación será mayor, pero el de recuperación de datos menor. Si usa una combinación de creación de copias de seguridad regulares e incrementales, las copias serán más rápidas y utilizarán menos espacio de almacenamiento, pero la recuperación de datos tomará más tiempo. Es necesario determinar cuáles recursos son más importantes (tiempo de creación de copias o recuperación, o espacio de almacenamiento). Dado que es más común crear copias de seguridad con frecuencia y recuperarlas en ocasiones, la mejor opción es optimizar el tiempo de creación de copias.
Instale e inicie Copias de seguridad de Windows Server Copias de seguridad de Windows Server no está instalada por omisión. Para utilizarla, es necesario instalarla en el Administrador del servidor.
12 MATTHEWS 01.indd 417
1.
Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, haga clic en Características, luego en la opción Agregar características, ubicada en el panel de la derecha.
2.
En el Asistente para agregar características, abra Características de Copias de seguridad de Windows Server y haga clic en Copias de seguridad de Windows Server. Como muchas otras características de Windows Server 2008, Copias de seguridad de Windows Server cuenta con un conjunto completo de herramientas de línea de comando para configurar y operar las copias de seguridad de Windows Server desde una ventana de símbolo de sistema. El uso de herramientas en línea de comando está más allá del alcance de este libro.
3.
El Asistente para agregar características le indicará que el disco de recuperación de Windows es necesario para instalar Copias de seguridad de Windows Server. Haga clic en Agregar características requeridas. Haga clic en Siguiente y, por último, en Instalar. Cuando se le notifique que la instalación ha concluido correctamente, haga clic en Cerrar.
4.
Inicie Copias de seguridad de Windows Server desde el Administrador del servidor, que deberá estar abierto, al abrir Almacenamiento y hacer clic en Copias de seguridad de Windows Server. Como opción, es posible iniciar las copias de seguridad de Windows Server desde Herramientas administrativas haciendo clic en Inicio|Herramientas administrativas|Copias de seguridad de Windows. En cualquier caso, se abrirá el panel o ventana Copias de seguridad de Windows Server. En la figura 12-23 se muestra el panel Copias de seguridad de Windows Server, posterior a la configuración de una copia de seguridad de programada y la configuración de una copia de seguridad de una vez.
1/14/09 2:16:21 PM
418
Windows Server 2008: Guía del Administrador
Use Copias de seguridad de Windows Server Copias de seguridad de Windows Server utiliza tres asistentes para: ▼
Hacer copia de seguridad de programación: asistente para programar copia de seguridad
■
Hacer copia de seguridad una vez: asistente para hacer copia de seguridad una vez
▲
Recuperar desde una copia de seguridad: asistente para recuperación
Figura 12-23. Copias de seguridad de Windows Server proporciona una interfaz sencilla y fácil de utilizar.
Programe una copia de seguridad La mejor forma de realizar copias de seguridad consiste en realizarlas de manera periódica o programada, de modo que continuamente se crean copias de seguridad de la información nueva y modificada. Para programar una copia de seguridad se utiliza el Asistente para programar copia de seguridad (el panel o ventana Copias de seguridad de Windows Server debe estar abierto): NOTA Para crear una copia de seguridad, es necesario conocer cuáles volúmenes desea incluir en la copia, con cuánta frecuencia se realizarán las copias, en qué momento y dónde se almacenarán. Es necesario, además, dedicar un disco completo (no sólo un volumen) para la copia de seguridad.
12 MATTHEWS 01.indd 418
1.
En el panel Acciones, haga clic en Hacer copia de seguridad de programación. Se abrirá el Asistente para programar copia de seguridad. Lea la introducción y haga clic en Siguiente.
2.
Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de copias de seguridad previas o si ésta es la primera copia de seguridad o no necesita acceder a copias de seguridad anteriores. Haga clic en Sí para continuar; en
1/14/09 2:16:21 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
419
caso contrario haga clic en No, dé clic en Cancelar para cerrar el Asistente para programar copia de seguridad, haga clic en Inicio|Símbolo de sistema, haga clic en Ejecutar como administrador y escriba wbadmin restore catalog-backuptarget: ubicación de la última copia. Cuando termine, regrese al paso 1. 3.
Elija si desea programar una copia de seguridad completa del servidor o copia de seguridad personalizada donde sea posible decidir cuáles volúmenes incluyen la copia y dé clic en Siguiente.
4.
Si se va a realizar una copia de seguridad personalizada, seleccione los volúmenes a ser incluidos en la copia, quite la marca de los que no se desea incluir (véase la figura 12-24) y haga clic en Siguiente. Los volúmenes que contienen un sistema operativo deben incluirse en la copia de seguridad.
5.
Seleccione si desea crear la copia de seguridad una o más veces al día y la hora en que desea realizarla. Haga clic en Siguiente. Haga clic en Mostrar todas las unidades disponibles, seleccione el disco en que desea almacenar la copia de seguridad, haga clic en Aceptar, luego en el disco deseado y, por último, en Siguiente. Se le
Figura 12-24. Es posible crear una copia de seguridad de todo el servidor o sólo algunos volúmenes.
12 MATTHEWS 01.indd 419
1/14/09 2:16:22 PM
420
Windows Server 2008: Guía del Administrador
recordará que los discos seleccionados serán formateados; haga clic en Sí para continuar y formatear las unidades seleccionadas, o haga clic en No.
6.
Se solicitará la etiqueta para identificar al disco. Haga clic en Siguiente. Se le mostrará la agenda de creación de copias de seguridad. Si desea hacer modificaciones, haga clic en Anterior. Cuando todo esté listo, haga clic en Finalizar. Se formateará el disco destinado a copias de seguridad. Cuando el formateo esté completo, haga clic en Cerrar.
En el panel Copias de seguridad de Windows Server, verá cómo está programada la próxima copia de seguridad, tal cual se muestra en la siguiente figura:
NOTA La unidad que se utilizará para almacenar las copias de seguridad estará dedicada a dicho propósito y no será posible explorarla con Explorador de Windows, pero sí será visible en el Administrador de discos con la etiqueta definida en el paso 5.
12 MATTHEWS 01.indd 420
1/14/09 2:16:22 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
421
Cambie una copia de seguridad programada Para cambiar una copia de seguridad programada, regrese al Asistente para programar copia de seguridad: 1.
Con el panel Copia de seguridad de Windows Server abierto, haga clic en Asistente para programar copia de seguridad, ubicado en el panel Acciones. El asistente se abrirá indicando que ya está programada la realización de una copia de seguridad y preguntará si se desea modificarla o detenerla, como se muestra en la figura 12-25.
2.
Si hace clic en Modificar y luego en Siguiente, se recorren de nuevo los mismos pasos seguidos en la programación de la copia de seguridad. Si se hace clic en Detener y luego en Siguiente, se le notificará que la programación de la copia de seguridad será cancelada y el disco destinado a las copias de seguridad será liberado. En ambos casos, haga clic en Finalizar para completar el proceso.
3.
Cuando la programación de la copia de seguridad se haya modificado o detenido, haga clic en Cerrar.
Figura 12-25. Utilice el Asistente para programar copias de seguridad para modificar y detener una copia de seguridad programada.
12 MATTHEWS 01.indd 421
1/14/09 2:16:23 PM
422
Windows Server 2008: Guía del Administrador
Realice una copia de seguridad de una vez Una copia de seguridad de una vez puede ser copia manual, donde se eligen los volúmenes que se copiarán y luego se ejecute la acción (de nuevo se supone que el panel de Copias de seguridad de Windows Server está abierto):
12 MATTHEWS 01.indd 422
1.
En el panel Acciones, abra el Asistente para hacer copia de seguridad una vez. Elija entre utilizar las mismas opciones empleadas en el Asistente para programar copias de seguridad o elegir opciones diferentes y dé clic en Siguiente.
2.
Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de copias de seguridad previas, si ésta es la primera copia de seguridad o no necesita acceder a copias de seguridad previas. Haga clic en Sí para continuar; en caso contrario, haga clic en No y Cancelar, para cerrar el Asistente para hacer copia de seguridad una vez. Haga clic en Inicio|Símbolo de sistema, haga clic en Ejecutar como administrador y escriba wbadmin restore catalog-backuptarget: ubicación de la última copia. Cuando termine, regrese al paso 1.
3.
Elija entre realizar una copia de seguridad de todo el servidor o personalizada, eligiendo los volúmenes que habrán de copiarse. Haga clic en Siguiente.
4.
Seleccione el volumen o volúmenes que habrán de respaldarse (si está marcada la opción Habilitar la recuperación del sistema, entonces los volúmenes del sistema operativo se incluirán en la copia de seguridad). Haga clic en Siguiente.
5.
Seleccione el tipo de almacenamiento para la copia de seguridad, entre unidades locales o carpetas compartidas remotas, y dé clic en Siguiente. Elija el volumen de destino. Haga clic en Siguiente.
6.
Haga clic en Copia de seguridad de copia para dejar sin cambio los registros de estatus y aplicación de la copia de seguridad, o haga clic en Copia de seguridad completa de VSS para actualizar los registros. Haga clic en Siguiente.
7.
Confirme la configuración de la copia de seguridad. Si es necesario, haga clic en Anterior y realice cualquier modificación necesaria. Cuando todo esté listo, haga clic en Copia de Seguridad. La creación de la copia de seguridad comienza generando una copia instantánea de los volúmenes incluidos en la copia de seguridad. Luego se realiza la copia de seguridad, como se muestra en la figura 12-26.
8.
Cuando la copia de seguridad esté completa, haga clic en Cerrar.
1/14/09 2:16:23 PM
Capítulo 12:
Figura 12-26.
Administración del almacenamiento y los sistemas de archivos
423
El proceso de creación de la copia de seguridad generalmente es lento.
Optimice el rendimiento de las copias de seguridad Es posible realizar tres tipos de copias de seguridad: completas, incrementales o una combinación de ambas. Una adecuada selección del tipo de copia de seguridad permite optimizar la velocidad del proceso y el impacto en la carga de trabajo en el servidor. 1.
Con el panel Copias de seguridad de Windows Server abierto, haga clic en la opción de Configurar opciones de rendimiento, en el panel Acciones. Se abrirá el cuadro de diálogo para optimizar el rendimiento de las copias de seguridad, como se muestra en la figura 12-27.
2.
Lea la configuración alterna de cada una de las opciones y seleccione la que considere más apropiada. Si escoge la opción Personalizar, deberá elegir las opciones de copias de seguridad de cada volumen. Haga clic en Aceptar cuando todo esté listo.
Utilice el Asistente para recuperar copias de seguridad El propósito de crear copias de seguridad es recuperar información que por alguna razón se ha perdido. Existen diferentes circunstancias bajo las cuales se pierde información y ésta puede afectar desde un solo archivo o carpeta hasta un disco completo. Por tanto, debe ser posible recuperar datos considerando diversas circunstancias. Copias de seguridad de Windows Server puede hacer esto y la manera de lograrlo se define con los pasos siguientes:
12 MATTHEWS 01.indd 423
1/14/09 2:16:23 PM
424
Windows Server 2008: Guía del Administrador
Figura 12-27. Es posible acelerar el proceso de realización de copias de seguridad a costa del rendimiento del servidor, o no.
12 MATTHEWS 01.indd 424
1.
Haga clic en Inicio|Herramientas administrativas|Copias de seguridad de Windows Server. Se abre la ventana de Copias de seguridad de Windows Server. En el panel Acciones, haga clic en la opción Recuperar.
2.
Seleccione el servidor desde el que desea recuperar la información, ya sea el servidor local u otro. Haga clic en Siguiente. Seleccione la fecha y hora en que fue realizada la copia de seguridad, como se muestra en la figura 12-28.
3.
Haga clic en Siguiente. Seleccione los objetos que quiere recuperar, archivos y carpetas, volúmenes o aplicaciones y dé clic en Siguiente. Si se seleccionan archivos y carpetas, abra volumen y carpetas necesarias y haga clic en carpetas y archivos a recuperar. Mantenga oprimida la tecla ctrl para seleccionar varios elementos.
4.
Cuando se hayan seleccionado todos los elementos que desee recuperar, pulse Siguiente. Escoja el destino de la recuperación y cómo desea manejar los casos de archivos duplicados. Cuando todo esté listo, haga clic en Siguiente.
5.
Revise la configuración. Haga clic en Anterior para realizar cualquier cambio necesario, después clic en Recuperar. La recuperación se llevará a cabo. Cuando se le notifique que la recuperación está completa, haga clic en Cerrar.
1/14/09 2:16:24 PM
Capítulo 12:
Administración del almacenamiento y los sistemas de archivos
425
Figura 12-28. Las copias de seguridad que habrá de recuperar se seleccionan de acuerdo con la fecha y hora en que se realizaron.
Cree un disco de recuperación Si algo le sucede a la unidad del sistema, es posible utilizar una copia de seguridad para recuperar los archivos, pero es necesario contar con algo que nos permita arrancar el equipo y restaurar el sistema para luego recuperar los archivos. Este “algo” es un disco de recuperación. Para crearlo, es necesario contar con los discos de instalación de Windows Server 2008 o los archivos de dichos discos copiados en el disco duro.
12 MATTHEWS 01.indd 425
1.
Haga clic en Inicio|Todos los programas|Mantenimiento|Crear un disco de recuperación.
2.
Seleccione la unidad donde escribirá el disco de recuperación, inserte un disco en blanco en dicha unidad y haga clic en Crear disco.
3.
Inserte el disco de instalación de Windows Server 2008 en la unidad y pulse Continuar. Los archivos serán tomados del disco de instalación, luego se le pedirá que retire el disco de instalación e inserte un disco nuevo.
4.
Haga clic en Aceptar. Cuando se haya creado el disco, se le explicará cómo utilizarlo (consulte la siguiente sección); haga clic dos veces en Cerrar.
1/14/09 2:16:24 PM
426
Windows Server 2008: Guía del Administrador
Utilice un disco de recuperación Un disco de recuperación sustituye los discos de instalación de Windows Server 2008 en modo de recuperación. Con un disco de recuperación y una copia de seguridad del sistema, es posible recuperarse de diferentes fallas. Para utilizar un disco de recuperación:
12 MATTHEWS 01.indd 426
1.
Inserte el disco de recuperación en su unidad, reinicie el equipo y oprima la tecla enter para arrancar desde el CD/DVD. Iniciará la instalación de Windows Server 2008. En las pantallas de idioma, hora y teclado haga clic en Siguiente.
2.
En la pantalla de instalación, haga clic en Reparar el equipo. Se le indicará que el acceso a la unidad está bloqueado. Se le dará la opción de cargar la contraseña de acceso desde un medio extraíble (una clave USB) o escribirla manualmente.
3.
Haga clic en la opción deseada y luego en Siguiente. Cuando se introduzca la contraseña, se le indicará que tiene acceso a la unidad. Haga clic en Finalizar.
4.
Si cuenta con varios sistemas operativos en el equipo, elija el que desea recuperar y dé clic en Siguiente.
5.
A continuación tendrá la opción de realizar una restauración completa del servidor, mediante una herramienta de diagnóstico de memoria o abriendo una ventana de Símbolo de sistema, donde es posible utilizar comandos en línea para solucionar el problema.
6.
Si elige realizar una restauración completa, todas las unidades, incluidos los discos externos y DVD, se analizan en busca de una copia de seguridad. Si cuenta con una copia de seguridad conformada por múltiples DVD, es necesario colocar el último DVD del conjunto en la unidad.
7.
Cuando se localice la copia de seguridad, haga clic en Siguiente y siga las instrucciones para completar la restauración.
1/14/09 2:16:24 PM
CAPÍTULO 13 Configuración y administración de impresoras y faxes
427
13 MATTHEWS 01.indd 427
1/14/09 1:27:55 PM
428
Windows Server 2008: Guía del Administrador
A
unque se sigue hablando de una sociedad donde los medios electrónicos eliminarán la necesidad de usar papel, no parece que esto vaya a ocurrir a corto plazo. Por ello, la capacidad para transferir información de un equipo de cómputo al papel y otros medios resulta muy importante y es una funcionalidad relevante de Windows Server 2008. Windows Server 2008, Windows Vista Business y Windows Vista Ultimate pueden funcionar como servidores de impresión. NOTA Pese a que Windows Vista Business y Ultimate pueden utilizarse como servidores de impresión, están limitados a diez usuarios concurrentes y no pueden dar servicio a usuarios Macintosh ni UNIX, mientras Windows Server 2008 no cuenta con límite de usuarios y sí es capaz de dar soporte a usuarios de Macintosh y UNIX.
En este capítulo veremos cómo se estructura el sistema de impresión de Windows Server 2008, cómo instalarlo y administrarlo y las fuentes requeridas para impresión, además de configurar y utilizar los Servicios de impresión, nueva característica en Windows Server 2008. Por último, el capítulo terminará con un análisis del servidor de fax, otra característica nueva de Windows Server 2008.
EL SISTEMA DE IMPRESIÓN DE WINDOWS SERVER 2008 Mientras Windows Server 2008 puede imprimir de forma muy similar a las versiones anteriores de Windows y la mayoría de conceptos son idénticos, incorpora una nueva función (Servicios de impresión) que incluye servicios de función de Servidor de impresión, Impresión vía Internet y el Servicio Line Printer Daemon (LPD) para UNIX. Sin embargo, tómese un momento para asegurarse de que está familiarizado con los conceptos básicos de impresión y comprende los requisitos de recursos.
Conceptos básicos de impresión Podrá parecer obvio lo que es una impresora, pero al utilizar el término “imprimir”, debemos recordar que también es posible “imprimir” en un archivo e “imprimir” en un fax. Además, aunque al “imprimir” en una impresora de red se usa un dispositivo de impresión físico, para el equipo local esta forma de “imprimir” sólo representa una dirección de red como destino. Entonces ¿qué es una “impresora” para Windows Server 2008? ▼
Impresora Es el nombre con que se identifica un conjunto de especificaciones utilizadas para imprimir, entre las que se encuentran, sobre todo, puertos de hardware (LPT1 o USB1), puertos de software (ARCHIVO o FAX) y direcciones de red ■ Controlador de impresión El software que indica al equipo cómo llevar a cabo la tarea de impresión; el controlador es parte del sistema de especificaciones ■ Dispositivo de impresión La pieza de hardware que realiza la impresión. Los dispositivos de impresión locales están conectados mediante un puerto de hardware al equipo que solicita la impresión; los dispositivos de impresión en red se conectan con otro equipo o directamente a la red ▲ Servidor de impresión Es el equipo a cargo de la impresión y al que se conecta el dispositivo de impresión
13 MATTHEWS 01.indd 428
1/14/09 1:27:55 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
429
Requisitos básicos de impresión La impresión básica en Windows Server 2008 tiene los siguientes requisitos obligatorios: ▼
Uno o más equipos en la red configurados como servidores de impresión, con uno o más dispositivos de impresión locales conectados, así como una o más impresoras independientes, conectadas directamente a la red
■
El servidor de impresión debe funcionar con Windows Server 2008, Windows Vista Business o Ultimate, pero recuerde que si usa Windows Vista Business o Ultimate, habrá un límite de diez usuarios concurrentes, al que ni los usuarios de Macintosh o UNIX en red podrán acceder para emplear impresora
■
El servidor de impresión debe contar con espacio suficiente en disco para manejar la carga de impresión esperada. Ésta varía enormemente según el caso, por lo que no existe regla al respecto. Observe el tamaño de los documentos que suelen imprimirse en su organización y analice, en un caso extremo, cuántos de esos documentos podrían ser enviados a impresión simultáneamente. Si diez personas de una oficina comparten una impresora y sus impresiones más grandes son de casi 2 MB, entonces tal vez 20 MB sea suficiente espacio, pero sería ideal asignar entre 50 y 100 MB
▲
Debe contar con memoria suficiente para manejar la carga de impresión. Se requiere un mínimo de 128 MB y, para una carga realista de impresión, 256 MB sería adecuado. Al abastecer un servidor con la cantidad adecuada de memoria, se asegura su mejor funcionamiento
CONFIGURACIÓN BÁSICA DE IMPRESIÓN La configuración básica de la impresión se realiza a través del panel de control: Haga clic en Inicio|Panel de control y luego haga doble clic en Impresoras. La ventana Impresoras que se abre contiene un icono Agregar impresora que da paso al Asistente para agregar impresoras. Este asistente nos guiará en el proceso de configurar las impresoras disponibles en el equipo local.
13 MATTHEWS 01.indd 429
1/14/09 1:27:56 PM
430
Windows Server 2008: Guía del Administrador
Tras hacer doble clic en el icono Agregar impresora (o clic en la opción Agregar impresora, de un panel de tareas), la primera pregunta que hará el asistente será si se desea agregar una impresora local o de red: ▼
Impresora local Se encuentra directamente conectada al equipo frente en el que está sentado
▲
Impresora en red Se conecta a otro equipo o directamente a la red y está compartida o configurada para que otros puedan utilizarla
Agregue impresoras locales Para agregar una impresora conectada al equipo local, dé los siguientes pasos (se supone que el asistente Agregar impresoras está abierto, como se describió en la sección anterior): SUGERENCIA Antes de instalar una impresora local, asegúrese de que está unida al conector (puerto) correcto del equipo; está conectada a la corriente eléctrica; los cartuchos de tinta estén en buen estado y correctamente instalados; cuenta con papel y está encendida. ¡Estas recomendaciones simples incluyen casi todas las razones por las que una impresora no funciona! NOTA Si cuenta con una impresora conectada al equipo mediante un puerto serial universal (USB, Universal Serial Bus), como casi todas las impresoras nuevas, Windows Server 2008 la instalará automáticamente y aparecerá en la ventana Impresoras. En este caso, no es necesario dar los pasos siguientes.
1.
2.
3.
4.
13 MATTHEWS 01.indd 430
Haga clic en Agregar una impresora local. El asistente Agregar impresora intentará detectar la impresora. Si la detección es correcta, el asistente le indicará que ha encontrado la impresora y la instalará. Luego le preguntará si desea probarla imprimiendo una página. Si no se detecta la impresora, aparecerá un mensaje de notificación, en este caso vaya al paso 3. Haga clic en Sí, para probar la impresora y luego en Siguiente. Aparecerá el nombre de la impresora, el puerto al que está conectada e información adicional. Pulse Finalizar. Si seleccionó Imprimir una página de prueba, ésta se imprimirá. Si la página se imprime en forma satisfactoria, haga clic en Aceptar; en caso contrario, haga clic en Solucionar problemas de impresora y siga las indicaciones mostradas en pantalla. A partir de aquí puede omitir el resto de las instrucciones de esta sección. Si la impresora local que desea configurar no es detectada, será necesario instalarla manualmente; comience por seleccionar el puerto al que está conectada la impresora. Además del puerto USB, otro también muy común y que se detecta automáticamente es LPT1, el primer puerto paralelo. Si se trata de una impresora serial, será necesario utilizar el puerto COM2, debido a que, en general, el puerto COM1 tiene conectado un módem. Seguido de elegir un puerto, haga clic en Siguiente. Aparecerá una lista de fabricantes y sus modelos de impresoras. Haga clic en el nombre del fabricante de la impresora en la lista ubicada en el lado izquierdo y luego elija el modelo de la impresora en la lista de la derecha, como se
1/14/09 1:27:56 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
431
muestra a continuación. Si la impresora no aparece en la lista, pero cuenta con un disco que incluye el controlador reciente de Windows, haga clic en el botón Usar disco. Si la impresora no aparece en la lista ni se cuenta con los discos de los controladores, haga clic en Windows Update para conectarse al sitio de Microsoft en Internet y buscar ahí un controlador para la impresora.
5.
Cuando seleccione el fabricante de la impresora y modelo, haga clic en Siguiente. Si se le pregunta cuál versión de controlador desea utilizar (el controlador instalado u otro), decida por su opción deseada y haga clic en Siguiente. Acepte el nombre predeterminado o escriba uno para la impresora, indique si desea que esta impresora sea la predeterminada y dé clic en Siguiente.
6.
Seleccione si desea compartir la impresora, acepte el nombre de recurso compartido asignado o escriba uno nuevo. Si ha elegido compartir la impresora, escriba ubicación y cualquier comentario adicional en los campos correspondientes después dé clic en Siguiente. Decida si desea imprimir una página de prueba y haga clic en Finalizar.
7.
Si decide imprimir una página de prueba, ésta se imprime de inmediato. Si la impresión es satisfactoria, dé clic en Cerrar. En caso contrario, haga clic en Solucionar problemas de impresora y siga las instrucciones que ahí se presentan.
Cuando se cierra el cuadro de diálogo del asistente Agregar impresora, deberá ver la impresora que recién añadió, representada con un icono, en la ventana Impresoras.
13 MATTHEWS 01.indd 431
1/14/09 1:27:57 PM
432
Windows Server 2008: Guía del Administrador
SUGERENCIA Si su impresora se instaló automáticamente y tiene CD para ella, quizá se pregunte si debe reinstalar la impresora recurriendo al CD. Casi todos los controladores de impresión en Windows Server 2008 son proporcionados por el fabricante y probados por Microsoft, por lo que deben funcionar perfectamente. A menos que la impresora haya sido fabricada luego del lanzamiento de Windows Server 2008 (febrero de 2008) el controlador provisto por Windows Server 2008 deberá ser, al menos, la misma versión, si no es que una más reciente que la incluida en el CD. Por otra parte, el CD para la impresora puede incluir software para habilitar características adicionales de la impresora como fax, escáner, copiadora, etcétera.
Configuración de impresoras de red La configuración de impresoras de red requiere configurar un equipo cliente, de manera que pueda utilizar impresoras localizadas en algún lugar de la red: ▼
Las conectadas a otro equipo
▲
Las conectadas directamente a la red
Los procesos para configurar cada una de éstas difieren entre sí
Configure impresoras conectadas a otros equipos El proceso para configurar el acceso a impresoras conectadas a otros equipos (que suele considerársele configuración de una impresora de red) se logra mediante los pasos siguientes (asumiendo que el asistente Agregar impresora aún se encuentra abierto, como se describió en la sección “Configuración básica de impresión”):
13 MATTHEWS 01.indd 432
1.
En la pantalla del asistente Agregar impresora, haga clic en la opción Agregar una impresora de red, inalámbrica o Bluetooth, y dé clic en Siguiente. Windows buscará una impresora en Active Directory, si se encuentra conectada a uno o en la red, si se encuentra conectada a un grupo de trabajo. En caso de que no se encuentre la impresora a instalar, haga clic en la opción La impresora deseada no está en la lista.
2.
Se abrirá la siguiente pantalla del asistente Agregar impresora. Es posible añadir una impresora escribiendo un nombre de impresora único, mediante la notación de la convención universal de asignación de nombres (UNC, Universal Naming Convention), como \\Servidor1\HPLJ4550), buscando una impresora en la red local o escribiendo la dirección de red TCP/IP de la impresora (si el equipo se encuentra en un dominio de Active Directory, el cuadro de diálogo podría ser diferente).
1/14/09 1:27:57 PM
Capítulo 13:
3.
Configuración y administración de impresoras y faxes
433
Cuando haya seleccionado una impresora, haga clic en Siguiente. Decida si la impresora que está instalando será la predeterminada y dé clic en Siguiente. Aparecerá un mensaje notificándole que la impresora se ha instalado con éxito. Si desea probar la impresora, haga clic en el botón Imprimir una página de prueba. Si la página se imprime correctamente, haga clic en Cerrar; en caso contrario, dé clic en Solucionar problemas de impresora y siga las instrucciones que ahí se indican. Cuando todo esté listo, cierre la ventana de ayuda y haga clic en Cerrar y luego en Finalizar.
Una vez más, cuando regrese a la ventana de Impresoras, aparecerá un icono para la nueva impresora en red. Este icono incluye un cable en la parte inferior para indicar que es una impresora de red.
13 MATTHEWS 01.indd 433
1/14/09 1:27:57 PM
434
Windows Server 2008: Guía del Administrador
Configure impresoras conectadas directamente a la red Una impresora conectada directamente a la red cuenta con un protocolo en su interior para comunicarse en la red. Este protocolo, en casi todas las impresoras recientes, es TCP/IP. Si la impresora usa el protocolo TCP/IP, el servidor DHCP le asignará una dirección IP (consulte el capítulo 6 para conocer más sobre TCP/IP y DHCP); también es posible asignar una dirección IP directamente a la impresora durante su configuración. Antes de comenzar el proceso de configuración de este tipo de impresora, es necesario conocer el protocolo empleado y cómo se direcciona. A continuación se presentan los pasos para configurar una impresora conectada directamente a la red mediante el protocolo TCP/IP y una dirección IP conocida: SUGERENCIA Las impresoras recientes que se conectan directamente a las redes, cuentan con una forma de determinar la dirección IP asignada por el servidor de DHCP o para recibir manualmente una dirección IP. Por ejemplo, en las impresoras de las series HP OfficeJet 7200, 7300, 7400 y Photosmart 2570, 2600 y 2700, se oprime el botón Setup, se elige Network y View Network Settings para ver o imprimir una página de configuración, incluida la dirección IP. En lugar de seleccionar View Network Settings, si selecciona Advanced Setup es posible asignar una dirección IP.
13 MATTHEWS 01.indd 434
1.
En la ventana Impresoras, haga doble clic en Agregar impresora y clic en Agregar una impresora de red, inalámbrica o Bluetooth. Si la impresora no se localiza automáticamente, haga clic en la opción La impresora deseada no está en la lista.
2.
Haga clic en Agregar una impresora por medio de una dirección TCP/IP o nombre de host y clic en Siguiente.
3.
En Tipo de dispositivo, elija la opción Dispositivo TCP/IP de la lista desplegable e ingrese la dirección IP. Observe cómo se llena automáticamente el campo Nombre de puerto.
1/14/09 1:27:57 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
435
4.
Haga clic en Siguiente. El asistente intentará identificar y configurar la impresora. Si la operación es correcta, aparecerá un mensaje con el nombre por omisión, preguntando si desea utilizar la impresora como predeterminada. Elija una opción y haga clic en Siguiente.
5.
Decida si quiere compartir la impresora; si es así, escriba el nombre con el que desea compartirla, ubicación y cualquier comentario adicional. Cuando todo esté listo, haga clic en Siguiente.
6.
Aparecerá un mensaje indicando que la nueva impresora se ha añadido correctamente. Si lo desea, puede imprimir una página de prueba. Si la página de prueba se imprime en forma satisfactoria, haga clic en Cerrar; en caso contrario, haga clic en Solucionar problemas de impresión y siga las instrucciones que ahí se presentan, cierre la ventana de ayuda cuando haya terminado y, por último, haga clic en Cerrar. Haga clic en Finalizar cuando la configuración esté completa.
Al volver a la ventana de Impresoras, aparecerá la nueva impresora; sin embargo, el icono de ésta no incluirá un cable en la sección inferior para indicar que es una impresora de red, sino un icono tradicional, como si la impresora estuviera directamente conectada al equipo y no a la red, como se muestra en la siguiente figura:
AJUSTE LA CONFIGURACIÓN DE LA IMPRESORA Como regla general, la configuración predeterminada de una impresora trabaja bien en casi todas las situaciones, de manera tal que, a menos que exista una situación única, es recomendable mantener la configuración predeterminada. Sin embargo, es importante conocer las opciones con que cuenta; por tanto, revise las configuraciones que pueden utilizarse para controlar su impresora (tales opciones varían dependiendo de la impresora que se está configurando). Las opciones de configuración están contenidas en el cuadro de diálogo Propiedades, mostrado en la figura 13-1. Se accede a éste al abrir la ventana Impresoras (haga clic en menú Inicio|Panel de control, luego doble clic en Impresoras); dé clic derecho en el icono de la impresora que se desea configurar y escoja la opción Propiedades. Para hacer más clara la explicación, es posible agrupar las fichas del cuadro de diálogo Propiedades en configuración impresora, impresión y usuario.
13 MATTHEWS 01.indd 435
1/14/09 1:27:58 PM
436
Windows Server 2008: Guía del Administrador
Figura 13-1.
Una impresora es configurada en su cuadro de diálogo Propiedades.
Configure impresoras La configuración de la impresora se relaciona con el control de la propia impresora. En la sección General (mostrada en la figura 13-1), es posible cambiar el nombre de la impresora, identificar su ubicación y escribir un comentario sobre ella. También es posible cambiar la configuración de diseño, papel y, si está disponible, el color, además de imprimir una página de prueba; en la ficha Puertos, puede modificar el puerto de la impresora, añadir, borrar y configurar puertos, habilitar y deshabilitar la comunicación bidireccional con la impresora y configurar la cola de impresión. En la ficha Configuración del dispositivo, es posible modificar el formato asignado a cada bandeja, cómo manejar la sustitución de fuentes y opciones de configuración disponibles para instalarse. Su impresora puede tener opciones diferentes o adicionales, por lo que se recomienda revisar estas fichas para su impresora. Casi todas las opciones de configuración de una impresora se explican por sí solas, como nombre y localización; hay otras cuyo valor original sólo se modifica en raras ocasiones, como puerto y comunicación bidireccional. Sin embargo, otros elementos requieren una explicación adicional: cola de impresión, prioridad de la impresora y asignación de bandejas de impresión.
13 MATTHEWS 01.indd 436
1/14/09 1:27:58 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
437
Cola de impresión La cola de impresión permite tener dos o más dispositivos de impresión asignados a una impresora. Los dispositivos de impresión pueden ser locales o conectados directamente a la red, pero deben compartir el mismo controlador. Cuando los trabajos de impresión se envían a la impresora, Windows determina cuál de los dispositivos físicos está disponible y envía el trabajo a dicho dispositivo. Esto elimina la necesidad de que el usuario determine cuál dispositivo de impresión está disponible, permite mejor distribución de carga entre dispositivos de impresión y administración de varios dispositivos, a través de una sola definición de impresora. Es posible configurar una cola de impresión siguiendo los pasos descritos a continuación: 1.
Instale todas las impresoras, como ya se describió en la sección “Configuración básica de impresión”.
2.
En la ventana Impresoras, haga clic derecho en la impresora a la que se dirigirán todos los trabajos y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.
3.
Haga clic en la ficha Puertos y luego en la opción Habilitar la cola de la impresora.
4.
Haga clic en cada uno de los puertos a los que está conectado un dispositivo de impresión que desea agregar a la cola de impresión, como se muestra a continuación:
5.
Cuando se hayan elegido todos los puertos, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.
6.
Si la impresora que contiene la cola de impresión no está seleccionada como predeterminada, haga clic derecho en la impresora y clic en la opción Establecer como impresora predeterminada.
NOTA El icono de la impresora predeterminada tiene una marca de selección sobre él, sin la opción Establecer como impresora predeterminada.
13 MATTHEWS 01.indd 437
1/14/09 1:27:58 PM
438
Windows Server 2008: Guía del Administrador
Prioridad de la impresora Se puede realizar la acción inversa a la creación de colas de impresión asignando varias impresoras a un solo dispositivo de impresión. La principal razón para esto es contar con dos o más configuraciones para un mismo dispositivo. Por ejemplo, si desea que se asignen automáticamente dos o más prioridades a los trabajos dirigidos a un mismo dispositivo de impresión, es posible crear dos o más impresoras apuntando al mismo puerto de impresión y dispositivo físico, pero con diferentes prioridades. Así, puede tener trabajos de alta prioridad asignados a una impresora con prioridad de 99, así como trabajos de baja prioridad asignados a impresoras con prioridad 1. Para crear varias impresoras con un solo dispositivo de impresión, utilice los siguientes pasos: 1.
Instale todas las impresoras, como ya se describió en la sección “Configuración básica de impresión”, sólo que deberá asignar el mismo puerto a todas las impresoras. Establezca un nombre para cada impresora en el que indique, además, su prioridad, por ejemplo, “Impresora de alta prioridad” e “Impresora de baja prioridad”.
2.
En la ventana Impresoras, haga clic derecho en la impresora de alta prioridad y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.
3.
Haga clic en la ficha Opciones avanzadas, escriba 99 como valor de prioridad, como se muestra en la figura 13-2, y dé clic en Aceptar.
4.
De manera similar, haga clic derecho en las otras impresoras, haga clic en Propiedades, vaya a la ficha Opciones avanzadas, escriba valores de prioridad entre 1 y 98 y haga clic en Aceptar.
Figura 13-2.
13 MATTHEWS 01.indd 438
Es posible tener diferentes prioridades para una misma impresora.
1/14/09 1:27:58 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
439
Los trabajos con prioridad alta se imprimirán antes que los trabajos con prioridad baja, si se colocan en la cola al mismo tiempo.
Asigne bandejas de impresión Dependiendo de su impresora, ésta puede tener más de una bandeja y, como resultado, es posible colocar diferentes tipos y tamaños de papel en cada bandeja. Si asigna tipos y tamaños de papel a cada bandeja en el cuadro de diálogo Propiedades, mientras un usuario solicita un tipo y tamaño de papel en el momento de imprimir, Windows Server 2008 designará automáticamente la bandeja correcta para dicho trabajo de impresión. A continuación se explica cómo asignar tipo y tamaños de papel a las bandejas: 1.
En la ventana Impresoras, haga clic derecho en la impresora cuyas bandejas desea configurar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.
2.
Haga clic en la sección Configuración del dispositivo. Abra cada una de las bandejas, escoja tipo y tamaño de papel que contendrá, de forma similar a como se muestra en la figura 13-3.
3.
Cuando haya establecido tipo y tamaño de papel de cada bandeja, haga clic en Aceptar.
Figura 13-3. Es posible asignar diferentes tipos de papel a diferentes bandejas que serán utilizados de manera automática cuando lo requiera un trabajo de impresión.
13 MATTHEWS 01.indd 439
1/14/09 1:27:59 PM
440
Windows Server 2008: Guía del Administrador
Configuración de impresión La configuración de la impresión se relaciona con el control del proceso de impresión, no de la impresora ni de los trabajos de impresión. La configuración de la impresión se gestiona en la ficha Opciones avanzadas del cuadro de diálogo Propiedades de la impresora, como el ya mostrado en la figura 13-2. Como se mencionó antes, en casi todos los casos la configuración predeterminada es la correcta y sólo debe modificarse en situaciones particulares. Dos excepciones a esto son la configuración de la cola impresión y el uso de página de separación, que se revisan a continuación.
Configure la cola de impresión Casi siempre, el tiempo que toma imprimir un documento es considerablemente más largo que transferir la información de una aplicación a una impresora. Por tanto, la información almacenada en disco en un formato especial de preimpresión y luego Windows, en una tarea en segundo plano, alimenta a la impresora con toda la información que puede manejar. A este almacenamiento temporal en disco se le denomina inclusión en cola. En casi todos los casos, será deseable utilizar la cola de impresión, en lugar de que la aplicación espere a la impresora. Sin embargo, existe un par de opciones de configuración que deben tomarse en cuenta. ▼
Iniciar la impresión cuando la última página haya entrado en la cola Al esperar la impresión hasta que la última página se coloque en la cola, esta acción termina más rápido y el usuario regresa lo antes posible a la aplicación, pero la impresión tomará más tiempo
▲
Empezar a imprimir de inmediato La impresión terminará lo antes posible, pero la aplicación estará más tiempo detenida
No existe una opción correcta. Usualmente, la opción predeterminada, Empezar a imprimir de inmediato, proporciona una buena solución; pero si usted desea volver a la aplicación en el menor tiempo posible, entonces elija esperar hasta que la última página haya entrado en la cola.
Use páginas de separación Si tiene diferentes trabajos en una impresora, quizás valga la pena tener una página de separación entre ellos (una hoja de papel en blanco entre los trabajos), para identificar más fácilmente dónde termina un trabajo y comienza el otro. También es posible utilizar el archivo que crea una página de separación para que una impresora pase de PostScript (un lenguaje de impresión) a PCL (Printer Control Language, lenguaje de control de impresora) en impresoras Hewlett-Packard (HP) y compatibles. Cuatro ejemplos de archivos de separación (con extensión .sep) se incluyen en Windows Server 2008:
13 MATTHEWS 01.indd 440
▼
Pcl.sep Imprime una página de separación antes del inicio de cada trabajo de impresión en impresoras compatibles con PCL. Si la impresora maneja PostScript y PCL, se colocará en modo PCL
■
Pscript.sep No imprime una página de separación, pero las impresoras que manejan PostScript y PCL son colocadas en modo PostScript
1/14/09 1:27:59 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
441
■
Sysprint.sep Imprime una página de separación antes del inicio de cada trabajo de impresión, en impresoras compatibles con PostScript
▲
Sysprtj.sep Realiza la misma acción que Sysprint.sep, pero en idioma japonés
NOTA Los archivos de separación funcionan para impresoras compatibles con HP y PostScript. No funcionan con todas las impresoras.
Si conoce o cuenta con un manual de lenguajes PCL o PostScript (incluso ambos), es posible abrir y modificar estos archivos (o copias de ellos), con cualquier editor de textos, como el Bloc de notas, para ajustarlos a propósitos particulares. Estos archivos se encuentram como opción predeterminada, en la carpeta C:\Windows\System32.
Configure usuarios La configuración de usuarios se relaciona con el control de aquellos que utilizan una impresora. Cuando se configuró la impresora por vez primera, se le pidió definir si deseaba compartirla y qué otros usuarios de la red la utilizarían. La configuración de usuarios permite cambiar dicha decisión en la ficha Compartir, del cuadro de diálogo Propiedades de impresora, en que se habilita y deshabilita esta opción, mientras en la ficha Seguridad del mismo cuadro de diálogo se establecen los permisos para varios grupos de usuarios. NOTA Las opciones para compartir y de seguridad son controladas por el equipo al que está conectada directamente la impresora. Una impresora en red es vista como si tuviera conexión directa con todos los equipos de la red y, por tanto, todas ellas pueden configurarla; sin embargo, cada configuración sólo se aplica en trabajos de impresión del equipo donde fue realizada.
Si comparte una impresora, la ficha Seguridad determina quién tiene permiso para utilizarla, controlarla y hacer cambios, como se observa en la figura 13-4. Los cuatro tipos de permisos y funciones permitidos son los siguientes:
13 MATTHEWS 01.indd 441
▼
Imprimir Permite al usuario conectarse a una impresora y utilizarla, así como cancelar, detener, reanudar y reiniciar sus propios trabajos de impresión
■
Administrar impresoras Permite al usuario controlar las propiedades de la impresora, que incluye establecer permisos, compartir la impresora, cambiar sus propiedades, eliminarla y cancelar todos los trabajos de impresión
■
Administración de documentos Permite a los usuarios controlar todos los trabajos de impresión, incluidas las acciones para cancelar, detener, reanudar y reiniciar trabajos de impresión de otros usuarios
1/14/09 1:27:59 PM
442
Windows Server 2008: Guía del Administrador
Figura 13-4. Si comparte una impresora, debe determinar los permisos para cada grupo de usuarios. ▲
Permisos especiales Indica que al usuario se le han asignado permisos especiales, mediante el botón Opciones avanzadas y el cuadro de diálogo Configuración de seguridad avanzada
Para cada persona o grupo en la lista Nombres de grupos o usuarios, es posible seleccionar los permisos que desea otorgar. Los permisos determinan si se permite o niega cierto conjunto de funciones. Denegar un permiso tiene precedencia sobre permitirlo; por tanto, si una función es denegada en un lugar y permitida en otro, será denegada. PRECAUCIÓN Si se niega un conjunto de funciones para el grupo Todos, entonces se estará negando a todos los usuarios la posibilidad de realizar esas funciones, aunque en lo individual alguno de ellos tuviera permiso para realizarla.
Si se desea tener un nivel más detallado de permisos, haga clic en el botón Opciones avanzadas, ubicado en la parte inferior de la ficha Seguridad. Se abrirá el cuadro de diálogo Configuración de seguridad avanzada. Seleccione ahí un permiso específico y haga clic en Editar. Esto permite refinar los detalles de lo que el permiso incluye, como se muestra a continuación:
13 MATTHEWS 01.indd 442
1/14/09 1:28:00 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
443
Cuando termine de revisar los permisos, cierre los tres cuadros de diálogo abiertos. NOTA
En el capítulo 15 se explican con mayor detalle los permisos.
CONTROL DE UNA COLA DE IMPRESIÓN Conforme las aplicaciones envían trabajos a impresión, éstos se colocan, como opción predeterminada, en el disco para luego enviarse a la impresora según la velocidad que ésta puede manejar. Si se envían varios trabajos de impresión casi al mismo tiempo, se formarán en cola esperando que el trabajo previo termine. Controlar esta cola es una función administrativa importante que incluye detener y reanudar impresiones, cancelar impresiones, redirigir documentos y cambiar las propiedades de un documento. Estas tareas se manejan en una ventana de la impresora, similar a la que se muestra en la figura 13-5, que se abre al hacer doble clic en la impresora correspondiente, en la ventana Impresoras.
Ponga en pausa, reanude y reinicie una impresión Mientras se realiza la impresión, quizás necesite ponerla en pausa. Esto puede ser causado por la impresora (por ejemplo, para cambiar el papel), en cuyo caso sería necesario detener por un momento todos los trabajos de impresión. Esto también puede ser provocado por un documento, situación en que podría detener la impresión de ese documento (por ejemplo, debido a algún problema con el mismo, como algún carácter provocando que la impresora se comporte erráticamente). En Windows Server 2008, es posible poner en pausa y reanudar
13 MATTHEWS 01.indd 443
1/14/09 1:28:00 PM
444
Windows Server 2008: Guía del Administrador
Figura 13-5. Los documentos en la cola de una impresora pueden ponerse en pausa, cancelarse, reanudarse y reiniciarse.
la impresión de todos los documentos, además de poner en pausa, reanudar y reiniciar la impresión de un documento.
Ponga en pausa y reanude la impresión de todos los documentos Poner en pausa y reanudar la impresión de todos los documentos significa, en esencia, pausar y reanudar la impresora. Los siguientes pasos indican cómo hacerlo:
13 MATTHEWS 01.indd 444
1.
En la ventana de la impresora, como la mostrada en la figura 13-5, haga clic en el menú Impresora y luego en la opción Pausar la impresión. En la barra de título aparecerá la palabra “Pausado”, y en el menú Impresora, del lado izquierdo de la opción Pausar impresión, aparecerá una marca de selección.
2.
Para reanudar la impresión, haga clic una vez más en el menú Impresora y luego en la opción Pausar la impresión, que está marcada. El texto “Pausado” desaparecerá de la barra de título y la marca de selección desaparecerá de la opción Pausar la impresión, en el menú Impresora.
1/14/09 1:28:00 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
445
Ponga en pausa, reanude y reinicie la impresión de un documento Cuando desea interrumpir la impresión de uno o más documentos en la cola de impresión, pero no todos, puede hacerlo y reanudar la impresión donde se quedó o reiniciarla desde el principio del documento. Los siguientes pasos indican cómo hacerlo: 1.
En la ventana de la impresora, seleccione el documento o documentos que desea detener, haga clic en el menú Documento y seleccione la opción Pausa. En la columna Estado correspondiente al documento seleccionado aparecerá el valor “Pausado”.
2.
Para reanudar la impresión donde el documento se quedó, haga clic derecho en el documento y clic en Reanudar. En la columna Estado aparecerá el valor “Imprimiendo” para el documento seleccionado.
3.
Para reiniciar la impresión desde el inicio del documento, seleccione el documento y haga clic en Reiniciar. En la columna Estado aparecerán los valores “Reiniciando” e inmediatamente después “Imprimiendo”.
NOTA Si desea modificar el orden de impresión de los documentos, no es posible detener el documento en impresión y esperar que ocurra un cambio en el orden. En primer lugar, deberá terminar o cancelar la impresión del documento actual. Es posible detener documentos que no se están imprimiendo. Por ejemplo, si desea imprimir de inmediato el tercer documento en la cola de impresión y en ese momento se imprime el primero, deberá permitir que termine la impresión del primer elemento o cancelarla. Luego, puede poner en pausa el segundo documento antes de que comience su impresión; el tercer documento comenzará a imprimirse cuando haya terminado el primer documento.
Cancele la impresión Es posible cancelar una impresión al nivel de la impresora, que retira todos los trabajos en la cola de esa impresora o el nivel del documento, que cancela los documentos seleccionados. Un trabajo cancelado se elimina de la cola de impresión. A continuación se indica cómo cancelar, primero, un trabajo de impresión, luego todos los trabajos en la cola de impresión. 1.
En la ventana de la impresora, seleccione el trabajo o trabajos que desea cancelar. Haga clic en el menú Documento y seleccione Cancelar. Se le preguntará si está seguro de cancelar los trabajos seleccionados. Haga clic en Sí. El trabajo o trabajos desaparecerán de la ventana y no estarán más en la cola de impresión.
2.
Para cancelar todos los trabajos en la cola de impresión, haga clic en el menú Impresora y escoja Cancelar todos los documentos. Se le preguntará si está seguro de que desea cancelar todos los documentos. Haga clic en Sí. Todos los trabajos desaparecerán de la cola de impresión y la ventana.
Redireccione documentos Si cuenta con dos impresoras que comparten el mismo controlador, puede redirigir los trabajos localizados en la cola de impresión de una de ellas a la cola de la otra, aunque esté en red, donde los trabajos se imprimirán sin que el usuario se vea obligado a reenviarlos. Esto se logra cambiando el puerto al que se dirige la impresora:
13 MATTHEWS 01.indd 445
1/14/09 1:28:01 PM
446
Windows Server 2008: Guía del Administrador
1. En la ventana de la impresora, haga clic en el menú Impresora, seleccione Propiedades y dé clic en la ficha Puertos. 2. Si la segunda impresora se encuentra en la lista de puertos, selecciónela y haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades. En caso contrario, haga clic en Agregar puerto, con lo que se abrirá el cuadro de diálogo Puertos de impresora. Haga clic en el tipo de puerto “Local Port”, luego en el botón Puerto nuevo; se abrirá el cuadro de diálogo Nombre del puerto. 3. Escriba el nombre UNC de la impresora (por ejemplo, \\Servidor1\HPCLJ4550) dé clic en Aceptar. 4. Haga clic dos veces en Cerrar. La cola de impresión se redirigirá a la otra impresora.
Cambie las propiedades de un documento Un documento en la cola de impresión cuenta con un cuadro de diálogo Propiedades, mostrado en la figura 13-6, que se abre al hacer clic derecho en el documento y elegir la opción Propiedades. Esto le permite establecer la prioridad relativa que se usará en la impresión del documento, de 1 —la más baja— a 99 —la más elevada—, a cuál usuario en sesión se le notificará cuando el documento esté impreso y la hora del día en que se desea imprimir el documento.
Establezca la prioridad Un documento impreso en una impresora cuyo valor predeterminado es de prioridad (consulte “Prioridad de la impresora”, en páginas anteriores del capítulo) se define en prioridad 1, la menor. Si desea imprimir otro documento antes que el primero y éste aún no ha empezado a imprimirse, asigne al segundo documento una prioridad superior a 1, arrastrando el deslizador de prioridad a la derecha.
A quién notificar La impresora puede notificar al propietario de un documento cualquier situación especial que ocurra durante la impresión del documento y también cuando la impresión del documento termine. El propietario es el usuario que envió el documento a la impresora. En algunas ocasiones es útil notificar a otro usuario. Esto se logra colocando el nombre del otro usuario en el cuadro de texto Notificar, ubicado en el cuadro de diálogo Propiedades del documento.
Establezca la hora de impresión En general, un trabajo se imprime apenas alcanza el inicio de la cola de impresión. Es posible modificar esto para establecer un periodo en particular, en la ficha General, del cuadro de diálogo Propiedades del documento (véase la figura 13-6). Esto permite que trabajos grandes, capaces de acaparar la cola de impresión, se impriman en un momento con poca o nula carga en la impresora.
13 MATTHEWS 01.indd 446
1/14/09 1:28:01 PM
Capítulo 13:
Figura 13-6.
Configuración y administración de impresoras y faxes
447
Cuadro de diálogo Propiedades de un documento en la cola de impresión.
ADMINISTRE LAS FUENTES Una fuente es un conjunto de caracteres con el mismo diseño, tamaño, grosor y estilo. Una fuente es un miembro de una familia de tipos, donde todos los miembros tienen el mismo diseño. La fuente de 12 puntos Arial negrita cursiva es miembro del tipo Arial con tamaño de 12 puntos, grosor en negritas y estilo cursivo. Los sistemas que ejecutan Windows Server 2008 tienen muchas fuentes, incluidas las siguientes:
13 MATTHEWS 01.indd 447
▼
Fuentes residentes Incorporadas en la impresora
■
Fuentes de cartucho Almacenadas en cartuchos conectados a la impresora
▲
Fuentes de software Almacenadas en un disco del equipo al que está conectada la impresora y que se transfieren a la impresora cuando son requeridas
1/14/09 1:28:01 PM
448
Windows Server 2008: Guía del Administrador
Windows Server 2008 incluye varias fuentes de software, y existen muchas más que agregar de otros orígenes, incluido Internet o automáticamente cuando se instala una aplicación. El trabajo de administración de fuentes consiste en minimizar el tiempo que toma transferir las fuentes a la impresora y mantener disponibles las necesarias. Minimizar el tiempo de descarga significa que, siempre que sea posible, se utilizarán las fuentes residentes y de cartucho. Disponibilidad de una fuente significa que las fuentes a usar están en el disco del servidor de impresión, mientras las que no desea no se encuentran en el disco, desperdiciando espacio y tiempo de manejo. En esta sección, revisará las fuentes de Windows Server 2008, cómo agregar y quitar fuentes y cómo utilizar fuentes.
Fuentes en Windows Server 2008 Hay tres fuentes de software en Windows Server 2008: ▼
Fuentes de contorno Almacenadas como conjunto de comandos para dibujar un carácter particular. Como resultado, las fuentes pueden ser escaladas a cualquier tamaño (por ello se les denomina fuentes escalables) y pueden girarse. Las fuentes de contorno son las utilizadas en pantalla e impresora. Windows Server 2008 da soporte a tres tipos de fuentes de contorno: TrueType desarrolladas por Microsoft para Windows 95; OpenType (también desarrolladas por Microsoft), como extensión del tipo TrueType con mayor cantidad de formas —versales y versalitas—, incluso más detalle en las mismas; asimismo, Type 1 y PostScript, desarrolladas por Adobe Systems, Inc. Todas las fuentes de contorno en Windows Server 2008 son fuentes OpenType
NOTA En Windows 95/98, las fuentes de contorno de Microsoft fueron identificadas como TrueType y se colocaron en su icono las letras “TT” para identificarlas. De Windows 2000 en adelante, las mismas fuentes fueron identificadas OpenType con esquemas TrueType y se les agregó una “O” a sus iconos para identificarlas. ■
Fuentes de mapa de bits También llamadas fuentes de barrido, se encuentran almacenadas como imagen de mapa de bits para un tamaño, grosor e impresora específicos. No pueden escalarse ni girarse. Se incluyen para compatibilidad con sistemas antiguos y casi nunca se utilizan. Las fuentes de mapa de bits, en Windows Server 2008, tienen una letra A en sus iconos
▲
Fuentes vectoriales Son creadas con segmentos de línea que pueden ser escaladas y giradas. Se utilizan principalmente en plotters, pero no en impresoras ni pantalla
Se puede ver y trabajar con las fuentes instaladas en Windows Server 2008 abriendo la ventana Fuentes, mostrada en la figura 13-7, haciendo clic en Inicio|Panel de control y haciendo doble clic en Fuentes. Si no ha instalado ninguna otra fuente y tampoco una aplicación ha instalado fuentes propias, verá 197 fuentes en el sistema de Windows Server 2008. Las fuentes con una O en el icono
13 MATTHEWS 01.indd 448
1/14/09 1:28:02 PM
Capítulo 13:
Figura 13-7.
Configuración y administración de impresoras y faxes
449
Algunas de las muchas fuentes de Windows Server 2008.
son OpenType o TrueType, están firmadas digitalmente y son archivos con extensión .ttf. Las fuentes con las letras TC en sus iconos son fuentes de tipo OpenType o TrueType sin firma digital y son archivos con extensión .ttc. Las fuentes con una A en el icono son fuentes de tipo mapa de bits o vectoriales, sin firma digital y con extensión .fon. Las fuentes de tipo TrueType antiguas que están disponibles en versiones antiguas de Windows tienen las letras TT en su icono, sin firma digital, con extensión .ttf. En la ventana Fuentes, es posible ver una fuente haciendo doble clic en su icono. Esto abre una ventana donde se muestra la fuente en varios tamaños e información acerca de ella, como se ilustra en la figura 13-8. En esta ventana, es posible imprimir la fuente haciendo clic en el botón Imprimir. En algunas ocasiones es práctico guardar un cuaderno con ejemplos impresos de todas las fuentes disponibles en el servidor de impresión.
13 MATTHEWS 01.indd 449
1/14/09 1:28:02 PM
450
Windows Server 2008: Guía del Administrador
Figura 13-8.
Haga doble clic en una fuente para desplegar ejemplos de ella en varios tamaños.
Agregue y elimine Fuentes Es posible agregar fuentes adicionales a las instaladas en Windows Server 2008, aplicando los siguientes pasos:
13 MATTHEWS 01.indd 450
1.
Haga clic en Inicio|Panel de control y doble clic en Fuentes. Se abrirá la ventana Fuentes, como en la figura 13-7.
2.
Haga clic en el menú Archivo y escoja la opción Instalar nueva fuente. Abra la unidad y carpeta donde está contenida la fuente que se desea instalar (puede ser un CD-ROM, dispositivo USB u otro disco duro en la red), como se muestra a continuación:
1/14/09 1:28:02 PM
Capítulo 13:
3.
Configuración y administración de impresoras y faxes
451
Seleccione de la lista las fuentes que desea instalar (mantenga oprimida la tecla mayús y haga clic para seleccionar fuentes contiguas en la lista o mantenga oprimida la tecla ctrl y haga clic para seleccionar fuentes que no son contiguas) y después dé clic en Instalar. Cuando la instalación esté completa, haga clic en Cerrar. Las nuevas fuentes instaladas aparecerán en la ventana Fuentes.
Es posible eliminar fuentes; para ello, sólo necesita seleccionar la fuente y luego oprimir la tecla supr. Como opción, es posible hacer clic derecho en la fuente y luego en la opción Eliminar. En cualquier caso, se le preguntará si está seguro de eliminar la fuente. Haga clic en Sí para confirmar la eliminación de la fuente. En caso de que haya cometido un error y desee recuperar la fuente, la encontrará en la Papelera de reciclaje.
Utilice fuentes Las fuentes suelen utilizarse o aplicarse en las aplicaciones. Por ejemplo, en Microsoft Word es posible seleccionar una línea de texto y luego abrir la lista de fuentes, como se muestra en la figura 13-9. Cada aplicación es diferente, pero todas tienen una función similar. Una característica interesante de las versiones recientes de Microsoft Word y muchas aplicaciones es que puede revisar el aspecto de la fuente en la lista, como se ve en la figura 13-9.
Figura 13-9.
13 MATTHEWS 01.indd 451
Las fuentes se utilizan en aplicaciones como se muestra aquí en Microsoft Word 2007.
1/14/09 1:28:03 PM
452
Windows Server 2008: Guía del Administrador
El uso correcto de las fuentes puede ser un activo importante en la transmisión de un mensaje de forma correcta, pero también puede afectar al mismo si se utiliza en forma inapropiada. Las dos reglas principales que habrán de considerarse en el uso de las fuentes son: no utilizar demasiadas fuentes y emplear fuentes complementarias juntas. En un documento de una sola página, tal vez baste utilizar dos tipos (y se pueden usar los estilos negritas y cursivas para tener hasta ocho fuentes distintas), mientras en un documento más largo es apropiado utilizar tres (y hasta cuatro) tipos. Las fuentes complementarias son más subjetivas. Arial y Times Roman suele considerárseles complementarias entre sí, al igual que Futura y Garamond, además de Palatino y Optima. En cada uno de estos pares, un tipo (por ejemplo, Arial) es sans serif (sin los pequeños decorados en los extremos) usada para títulos y encabezados, mientras el otro tipo (por ejemplo, Times Roman) es serif (con decorados en los extremos) empleada para el cuerpo del texto. Existen, por supuesto, muchas otras opciones y consideraciones en el uso sofisticado de fuentes.
CONFIGURE Y USE SERVICIOS DE IMPRESIÓN Servicios de impresión ofrece un medio centralizado para administrar la impresión en red, tanto a otros servidores de impresión e impresoras en red (las conectadas directamente a la red), como al servidor local. Es posible instalar y vigilar la actividad de las impresoras en red y servidores de impresión, además de configurar sus permisos, prioridades e impresión temporal a disco. Además de observar las colas de impresión y redirigir las colas de impresión, si es necesario. Los servicios de impresión tienen tres servicios de función: Servidor de impresión, Impresión en Internet y el Servicio LPD, para UNIX.
Instale los servicios de impresión Servicios de impresión son una función instalada en el Administrador del servidor. 1.
Haga clic en Inicio|Administrador del servidor. En el panel a la izquierda del Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de funciones, haga clic en la opción Agregar funciones ubicada en el lado derecho. En el Asistente para añadir funciones que se abre, haga clic en Siguiente.
2.
En la lista de funciones, haga clic en Servicios de impresión y clic en Siguiente. Lea la introducción a los servicios de impresión y la información adicional y haga clic en Siguiente.
3.
Seleccione los servicios de función que desee instalar, entre los siguientes:
a.
13 MATTHEWS 01.indd 452
Servidor de impresión, ofrece la función de Administrador de impresión para varias impresoras en red y servidores de impresión.
1/14/09 1:28:03 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
453
b. Servicio LPD, permite a equipos basados en UNIX imprimir en las impresoras compartidas conectadas al servidor local. c.
Impresión en Internet, permite a los usuarios con el cliente de impresión en Internet instalado, recurrir a un navegador Web para conectarse a las impresoras compartidas del servidor e imprimir en ellas mediante el protocolo de impresión en Internet (IPP, Internet Printing Protocol). El servicio de función Impresión en Internet también crea un sitio Web desde el que los usuarios pueden administrar trabajos de impresión en el servidor.
4.
Si selecciona Impresión en Internet sin el servidor Web (IIS) instalado, se abrirá el cuadro de diálogo Agregar servicio de función requerido, indicando que se instalará el servidor Web (IIS) y otros servicios de función necesarios. Haga clic en el botón Agregar servicios de función requeridos.
5.
Haga clic en Siguiente. Si eligió impresión en Internet y necesita instalar el servidor Web (IIS), lea la página de introducción al servidor Web (IIS) (consulte el capítulo 9), haga clic en Siguiente, escoja los servicios de función de IIS o deje la selección predeterminada (esto último es lo más recomendable) y una vez más haga clic en Siguiente.
6.
Se le muestran funciones y servicios de función elegidos para su instalación. Si los datos que aparecen no son correctos, haga clic en Anterior y realice las modificaciones necesarias. Cuando todo esté listo, haga clic en Instalar.
7.
Cuando la instalación finalice, haga clic en Cerrar.
NOTA Administración de impresión puede administrar un servidor de impresión (un equipo al que se ha conectado una impresora), que ejecute Windows 2000 o una versión posterior.
Administre impresoras e impresión Los servicios de impresión instalan Administración de impresión en el Administrador del servidor (véase la figura 13-10) y en el menú Herramientas administrativas. En esencia, son lo mismo, excepto que Administración de impresión, ubicado en la ventana Administrador del servidor, sólo permite la administración de impresoras locales conectadas al servidor donde se ejecuta el Administrador de servidor. En el resto de esta sección se utilizará Administración de impresión, localizado en el menú Herramientas administrativas, pero cuando haga referencia al servidor de impresión local y sus impresoras, se utilizará Administración de impresión ubicado en la ventana del Administrador del servidor.
13 MATTHEWS 01.indd 453
1/14/09 1:28:03 PM
454
Windows Server 2008: Guía del Administrador
Figura 13-10. Administración de impresión está disponible en la ventana Administrador de servidor como en el menú Herramientas administrativas.
Administre servidores de impresión en red De acuerdo con la instalación inicial, Administración de impresión sólo administra al servidor de impresión local y sus impresoras. Para administrar otros servidores de impresión e impresoras, los servidores deben añadirse al Administrador de impresión. Para ello:
13 MATTHEWS 01.indd 454
1.
Haga clic en Inicio|Herramientas administrativas|Administración de impresión. En el panel de la izquierda, haga clic derecho en Administración de impresión y escoja la opción Agregar o quitar servidores.
2.
Escriba los nombres de uno o más servidores de impresión, separándolos con comas o haga clic en el botón Examinar, busque el servidor y haga clic en el botón Seleccionar servidor. Haga clic en el botón Agregar a la lista.
3.
Cuando todos los servidores que desee administrar estén en la lista, haga clic en Aceptar. Abra servidores de impresión en el panel de la izquierda de Administración de impresión: deberá ver todos los servidores recién añadidos, como se muestra a continuación:
1/14/09 1:28:04 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
455
Agregue impresoras a Servidores de impresión Para administrar las impresoras ubicadas en servidores de impresión remotos, debe notificar al Administrador de impresión sobre su existencia. 1.
Con la ventana Administración de impresión abierta, como se describió en la sección anterior, haga clic derecho en el servidor al que está conectada la impresora y haga clic en la opción Agregar impresora.
2.
Se abrirá el Asistente para la instalación de impresoras de red, haga clic en un método de instalación y clic en Siguiente.
3.
Haga clic en la impresora que desea instalar y después en Siguiente. Si se le pide, identifique el controlador que desea utilizar y haga clic en Siguiente. Ingrese el nombre de la impresora y determine si desea compartirla. De hacerlo así, escriba el nombre del recurso compartido, su ubicación y un comentario. Después haga clic en Siguiente.
4.
Revise la configuración de la impresora mostrada; haga clic en Atrás para realizar cualquier cambio necesario; luego clic en Siguiente. Se instalan la impresora y su controlador.
5.
Cuando se le indique que la instalación ha concluido, puede elegir entre imprimir una página de prueba o instalar otra impresora. Una vez todo listo, haga clic en Finalizar.
Administre la impresión Una vez que haya instalado los servidores de impresión e impresoras conectadas a ellos, es posible seleccionar una o más impresoras, en un servidor o mediante un filtro en todos los servidores, en Administración de impresión y administrar esa impresora o grupo de impresoras, como se describió en páginas anteriores de este capítulo. Esto le permite, entre otras tareas, administrar las acciones para compartir, pausar, reanudar, cancelar todos los trabajos, cambiar nombre y eliminar la impresora.
13 MATTHEWS 01.indd 455
1/14/09 1:28:04 PM
456
Windows Server 2008: Guía del Administrador
Los filtros permiten especificar un atributo de impresora y seleccionar sólo las impresoras que cuentan con dicho atributo. Además de utilizar filtros durante el proceso de administración, también es posible recibir un aviso vía correo electrónico o solicitar que se ejecute una secuencia de comandos cuando una impresora cuenta con los atributos especificados por un filtro. Es posible utilizar uno de los cuatro filtros personalizados estándar, mostrados a la derecha o crear un filtro personalizado. Para crear un nuevo filtro personalizado haga lo siguiente: 1.
Abra Administración de impresión, como ya se describió en “Administre servidores de impresión en red”, en el panel de la izquierda, haga clic derecho en Filtros personalizados y seleccione Agregar nuevo filtro de impresora.
2.
En el Asistente para nuevo filtro de impresora que se abre, escriba un nombre para el filtro, ingrese una descripción, haga clic en Mostrar número total de impresoras junto al nombre del filtro de impresora y dé clic en Siguiente.
3.
Seleccione un campo y una condición y escriba un valor. Repita esta operación todas las veces que sea necesario, como se muestra en la figura 13-11. Cuando todo esté listo, haga clic en Siguiente.
Figura 13-11. Los filtros pueden ser muy específicos para seleccionar un conjunto determinado de impresoras en una red.
13 MATTHEWS 01.indd 456
1/14/09 1:28:04 PM
Capítulo 13:
4.
Configuración y administración de impresoras y faxes
457
Si desea recibir una notificación por correo electrónico, haga clic en la opción correspondiente y capture la información necesaria. Si desea ejecutar una secuencia de comandos, elija Ejecutar script, capture la ruta de acceso y los argumentos de la secuencia de comandos y luego haga clic en Finalizar.
Transfiera una carga de impresión Si una impresora tiene una cantidad considerable de trabajo acumulado y desea descargarla, para acelerar la impresión u otro motivo, es posible hacerlo con Administración de impresión.
13 MATTHEWS 01.indd 457
1.
Con la ventana Administración de impresión abierta, como se describió en la sección “Administre servidores de impresión en red”, en el panel de la izquierda, haga clic derecho en el servidor con la carga a transferir y haga clic en la opción Exportar impresoras a un archivo.
2.
En el asistente Migración de impresoras que se abre, revise los objetos que se exportarán y haga clic en Siguiente. Escriba un nombre para el archivo o haga clic en Examinar para localizar un archivo y haga clic en Siguiente. Se exportarán las colas de impresión e información de los archivos. Haga clic en Finalizar.
3.
De regreso a Administración de impresión, en el panel de la izquierda, haga clic derecho en el servidor al que desea transferir la carga haga clic en Importar impresoras desde un archivo. Una vez más, se abrirá el asistente Migración de impresoras.
4.
Ingrese el nombre del archivo o haga clic en el botón Examinar, para localizar el archivo, clic en Siguiente. Se importarán las colas de impresión y su información. Seleccione el modo de importación, escoja entre sobrescribir impresoras existentes o mantener impresoras existentes e importar copias y seleccione cómo se mostrará la lista de impresoras en el directorio.
5.
Haga clic en Siguiente. Se realizará la importación. Cuando se indique que la importación está completa, dé clic en Finalizar.
1/14/09 1:28:05 PM
458
Windows Server 2008: Guía del Administrador
CONFIGURE Y USE UN SERVIDOR DE FAX El Servidor de fax ofrece una opción de administración centralizada para el envío de faxes en el servidor local y la red a que se está conectado. Con Servidor de fax, es posible enviar y recibir faxes, además de administrar dispositivos de fax conectados a la red, su uso y configuración.
Instale Servidor de fax El Servidor de fax es una función de servidor instalada desde el Administrador del servidor: NOTA El Servidor de fax requiere que se hayan configurado Servicios de impresión. En las siguientes instrucciones se supone que ya se han instalado los servicios de impresión, como se describió antes en este capítulo.
1.
Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de funciones, dé clic en la opción Agregar funciones, ubicada en el panel a la derecha. En el Asistente para agregar funciones que se abre, haga clic en Siguiente.
2.
En la lista de funciones, haga clic en Servidor de fax. (Si no instaló Servicios de impresión, como ya se indicó en este capítulo, se le notificará que debe instalarlos; para ello, haga clic en Añadir servicios de función requeridos.) Haga clic en Siguiente. Lea la introducción al Servidor de fax, así como cualquier información adicional que requiera y después clic en Siguiente.
3.
Agregue usuarios de fax al hacer clic en Agregar, ingresar nombres de usuarios o clic en el botón Avanzadas, en Buscar ahora, en los nombres que desee añadir (mantenga oprimida la tecla ctrl para seleccionar varios usuarios) y dos veces en Aceptar.
4.
Haga clic en Siguiente y escoja los usuarios que pueden acceder a la bandeja de entrada del servidor de fax: sólo los asistentes de enrutamiento o todos los usuarios. Haga clic en Siguiente. Si escogió la primera opción, será necesario que los elija usando el mismo proceso descrito en el paso 3. Haga clic en Siguiente cuando todo esté listo.
5.
Revise sus opciones. Si desea realizar un cambio, haga clic en Anterior. Cuando esté listo, haga clic en Instalar, después en Cerrar cuando se le indique que la instalación ha concluido correctamente.
Una vez completada la instalación y, tal vez, después de reiniciar el servidor, aparecerá la función Servidor de fax y sus servicios de función, como se muestra en la figura 13-12. El servicio de función de fax también está disponible al hacer clic en Inicio|Herramientas administrativas|Administrador del servicio de fax.
Habilite fax y escáner de Windows Fax y escáner de Windows es la herramienta de fax en Windows Vista, disponible una vez que ha instalado la función de Servidor de fax. Fax y escáner de Windows suministran el medio para enviar y recibir faxes en el servidor, tanto para administrar la recepción como
13 MATTHEWS 01.indd 458
1/14/09 1:28:05 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
459
para enviar faxes. Es posible enviar un fax al escanear directamente un documento y luego enviarlo, además de “imprimir” en el fax desde una aplicación como Microsoft Word. Fax y escáner de Windows requieren que el servidor cuente con un fax módem y línea telefónica conectada (consulte el capítulo 8 para conocer cómo configurar y trabajar con módems).
Figura 13-12. La función Servidor de fax permite envío y recepción de faxes en el servidor local, además de la administración del envío y recepción de faxes en la red.
Fax y escáner de Windows es una herramienta del Administrador de servidor que se instala por separado. Además, es necesario instalar un dispositivo de fax.
Instale Fax y escáner de Windows
13 MATTHEWS 01.indd 459
1.
Haga clic en Inicio|Administrador de servidor. En el panel de la izquierda, haga clic en Características y, en el panel de la derecha, clic en Agregar características.
2.
En la lista de características, haga clic en Experiencia de uso y en Siguiente. Dé clic en Instalar y en Cerrar; cuando se le indique que el equipo debe reiniciarse, haga clic en Sí para reiniciarlo.
3.
Tras reanudar la instalación y completarla, haga clic en Cerrar para terminar.
1/14/09 1:28:05 PM
460
Windows Server 2008: Guía del Administrador
Instale un dispositivo de fax NOTA Es posible abrir la ventana Fax y escáner de Windows desde el Administrador del servidor, ya sea con el Administrador del servicio de fax abierto, o desde la ventana Administrador del servicio de fax abierta desde Herramientas administrativas, haciendo clic en el icono Consola de fax, ubicado en la barra de herramientas.
1.
Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la ventana Fax y escáner de Windows, como se muestra en la figura 13-13.
2.
Haga clic en Nuevo fax, clic en Conectarse a un módem fax, escriba el nombre del módem fax y dé clic en Siguiente.
3.
Seleccione si el módem fax deberá responder automáticamente a las llamadas entrantes o notificar al usuario.
4.
Si aparece un mensaje indicando que el Firewall de Windows ha bloqueado algunas funciones de este programa, haga clic en Desbloquear.
5.
Cuando la configuración termine, aparecerá la ventana Nuevo fax. Consulte la sección “Envíe un mensaje por fax”, en la siguiente página.
Figura 13-13. Fax y escáner de Windows permite el envío y la recepción de faxes en Windows Server 2008.
13 MATTHEWS 01.indd 460
1/14/09 1:28:06 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
461
Envíe y reciba faxes Fax y escáner de Windows permite enviar y recibir faxes de manera directa, de la misma forma que haría con un correo electrónico; se envía un fax desde un programa, como Microsoft Word, lo que se logra especificando “fax” como impresora; y luego se permite escanear documentos que serán incluidos en el fax.
Envíe un mensaje por fax Para enviar un mensaje por fax como si fuera correo electrónico: 1.
Haga clic en Inicio|Todos los programas|Fax y escáner de Windows, dé clic en Nuevo fax. Después de la primera vez que haya hecho clic en Nuevo fax, la ventana Nuevo fax aparecerá de inmediato, como se muestra en la figura 13-14.
2.
Seleccione una portada, si desea una (consulte “Cree una portada de fax”, en páginas posteriores de este capítulo), escriba el número telefónico que habrá de utilizarse para enviar el fax (o clic en el botón Para y seleccione un número telefónico de su lista de contactos), escriba el asunto del nuevo fax y cualquier comentario adicional para la portada y luego el mensaje.
Figura 13-14. La ventana de mensaje Nuevo fax tiene el aspecto de un formulario de mensaje de correo electrónico.
13 MATTHEWS 01.indd 461
1/14/09 1:28:06 PM
462
Windows Server 2008: Guía del Administrador
3.
Haga clic en Vista previa, en la barra de herramientas, para ver la portada antes o después de añadir el texto al fax. También es posible incluir documentos e imágenes haciendo clic en los botones respectivos en la barra de herramientas.
4.
Cuando todo esté listo, haga clic en el botón Enviar. Se cerrará la ventana Nuevo fax y aparecerá el cuadro de diálogo Revisión del estado del fax, donde, al dar clic en el botón Ver detalles, es posible revisar el estado de los faxes que se envían. (Si no aparece el cuadro en la ventana Fax y escáner de Windows, dé clic en Herramientas y seleccione Monitor de estado del fax.)
5.
Apenas se haya enviado el fax, se verá reflejado en su estado en el cuadro de diálogo. Al terminar, cierre el cuadro de diálogo y la ventana Fax y escáner de Windows.
Envíe un fax al “imprimirlo” Imprimir un fax es tan fácil como cualquier otro método de impresión. 1.
13 MATTHEWS 01.indd 462
Abra un documento en un programa, Microsoft Word, por ejemplo. En éste, haga clic en el menú Archivo o el botón de Microsoft Office y clic en Imprimir. Abra la lista de impresoras, dé clic en fax y Aceptar. Aparecerá el cuadro de diálogo Nuevo fax con el documento de Word incluido en la sección de archivos adjuntos.
1/14/09 1:28:06 PM
Capítulo 13:
2.
Configuración y administración de impresoras y faxes
463
Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”. Si ésta es la primera vez que utiliza el fax, aparecerá primero el cuadro de diálogo de configuración, como se describió en la sección “Instale un dispositivo de fax”.
Digitalice y envíe por fax un documento Para digitalizar y enviar por fax un documento (asumiendo que tiene un escáner conectado al servidor):
13 MATTHEWS 01.indd 463
1.
Encienda el escáner y coloque el documento que desea digitalizar en él.
2.
Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la ventana Fax y escáner de Windows.
3.
Haga clic en Nueva digitalización, en la barra de herramientas. Se abrirá el cuadro de diálogo Nueva digitalización. El escáner recién instalado deberá aparecer en el área superior izquierda. Cambie de escáner, si lo desea.
4.
Elija color, tipo de archivo y resolución que desea utilizar y haga clic en Vista previa. La imagen en el escáner aparecerá en un cuadro de diálogo.
5.
Ajuste los márgenes alrededor de la página, arrastrando las líneas punteadas en los cuatro lados. Cuando todo esté listo, haga clic en Digitalizar.
1/14/09 1:28:07 PM
464
Windows Server 2008: Guía del Administrador
Figura 13-15.
Con un escáner, es posible digitalizar y enviar por fax cualquier documento.
6.
La imagen digitalizada aparecerá en la ventana Fax y escáner de Windows. Cuando la digitalización esté completa, haga clic en Reenviar como fax, como se presenta en la figura 13-15. La ventana Nuevo fax se abrirá con la imagen digitalizada incluida como documento adjunto.
7.
Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”. Si es la primera vez que utiliza el fax, aparecerá el cuadro de diálogo de configuración, como se describió en la sección “Instale un dispositivo de fax”.
Reciba un fax Para recibir un fax se utiliza la ventana Fax y escáner de Windows y es necesario tener configurado el fax, como se describió en la sección anterior “Instale un dispositivo de fax”.
13 MATTHEWS 01.indd 464
1/14/09 1:28:08 PM
Capítulo 13:
13 MATTHEWS 01.indd 465
Configuración y administración de impresoras y faxes
465
1.
Con el módem fax conectado al equipo y una línea telefónica, con el fax configurado, cuando recibe una llamada telefónica también recibirá un mensaje en la pantalla indicando una llamada entrante; en estas condiciones puede dar clic en el mensaje para recibir la llamada como fax. Es posible descolgar el teléfono y ver si se escucha un tono de fax para luego hacer clic en el mensaje.
2.
Si se seleccionó que no se le notifique de la recepción de un fax (recepción automática) en la configuración del fax (véase la sección anterior “Instale un dispositivo de fax”), es posible ver el estado de un fax haciendo clic en el menú Herramientas —de la ventana Fax y escáner de Windows— y clic en la opción Monitor de estado de fax. Ahí, es posible revisar cuándo se recibe un fax.
3.
Si se hace clic en el mensaje entrante, aparecerá el cuadro de diálogo Revisar estado del fax. Al hacer clic en el botón Ver detalles, es posible consultar los eventos del fax conforme ocurren. Una vez recibido el fax, también se recibirá un mensaje al respecto y lo desplegará el cuadro de diálogo Revisar estado del fax.
4.
Para ver y posiblemente imprimir un fax, haga clic en Inicio|Todos los programas|Fax y escáner de Windows y haga clic en la opción Fax ubicada en la parte inferior izquierda.
5.
Si se abre la ventana Fax y escáner de Windows mientras el fax es recibido, haga clic en Entrante —del panel de navegación— y observe cómo se recibe el fax.
6.
Cuando haya recibido el fax, haga clic en Bandeja de entrada en el panel de navegación, recorra la lista de faxes ubicada en la parte superior y haga clic en el fax que desea ver. Éste será desplegado en la parte inferior del panel.
1/14/09 1:28:08 PM
466
Windows Server 2008: Guía del Administrador
7.
Con un fax seleccionado y desplegado, es posible utilizar la barra de herramientas para responder el fax, enviando un nuevo fax al remitente; reenviar el fax a uno o más destinatarios; reenviar el fax como correo electrónico o eliminar el fax. También es posible hacer clic derecho en la imagen del fax del panel y, en el menú desplegado, ver, aumentar o disminuir el tamaño, guardar e imprimir el fax.
8.
Cuando termine, cierre la ventana Fax y escáner de Windows.
Cree una portada de fax Windows Server 2008 incluye cuatro portadas de fax, además de un editor de portadas de fax, donde es posible modificar una de las portadas incluidas o crear una propia. Para modificar una portada existente haga lo siguiente: 1.
Haga clic en Inicio|Todos los programas|Fax y escáner de Windows y en la opción Fax, ubicada en la esquina inferior izquierda.
2.
Haga clic en el menú Herramientas y en la opción Portadas. Haga clic en Copiar, seleccione una de las cuatro portadas estándar y haga clic en Abrir (para este ejemplo se seleccionó el archivo generic.cov). Seleccione la portada y haga clic en Abrir. La portada se abrirá en el Editor de portadas de fax, como se ilustra en la figura 13-16.
PRECAUCIÓN Las cuatro portadas estándar contienen campos codificados añadiendo datos en forma automática. Si se modifican, se perderá la capacidad del llenado automático.
3.
Utilice las herramientas ubicadas en la barra de herramientas Dibujo, para modificar una portada existente, de tal modo que cree una nueva portada.
4.
Cuando haya formado la portada de su agrado, dé clic en el botón Guardar, para almacenarla con el nombre actual o clic en el menú Archivo y seleccione Guardar como, para darle a la portada un nuevo nombre. Cierre el Editor de portadas de fax y el cuadro de diálogo Portadas de fax, además de la ventana Fax y escáner de Windows.
Administre el envío de faxes en red La administración del envío de faxes en red es manejada por el Administrador de servicio de fax, al que tiene acceso desde el Administrador del servidor o Herramientas administrativas. Haga clic en Inicio|Herramientas administrativas|Administrador del servicio de fax. En su defecto, haga clic en Inicio|Administrador del servidor y, en el panel de la izquierda, abra la opción Funciones, luego la opción Servidor de fax.
13 MATTHEWS 01.indd 466
1/14/09 1:28:09 PM
Capítulo 13:
Configuración y administración de impresoras y faxes
467
Figura 13-16. La creación de una portada de fax propia le permite dar identidad propia a su negocio o actividad.
En cualquier caso, abra Fax en el panel de la izquierda, en caso de que ésta no se encuentre ya desplegada, como se muestra en la figura 13-17.
Agregue un dispositivo de fax Windows Server 2008 reconoce e instala automáticamente todos los dispositivos de fax Plug and Play. Para que el Administrador del servicio de fax muestre el dispositivo, cierre y abra de nuevo el Administrador de servidor, abra Servidor de fax|Fax|Dispositivos y proveedores|Dispositivos y, si es necesario, oprima f5 para actualizar la vista.
13 MATTHEWS 01.indd 467
1/14/09 1:28:09 PM
468
Windows Server 2008: Guía del Administrador
Figura 13-17. El Administrador del servicio de fax es la opción “Fax”, disponible en el Administrador del servidor y la ventana Administrador del servicio Microsoft fax.
Configure un dispositivo de fax 1.
13 MATTHEWS 01.indd 468
En el panel de la izquierda del Administrador del servicio de fax, abra la opción Fax|Dispositivos y proveedores|Dispositivos, haga clic derecho en el módem que aparece en el panel derecho o central, dependiendo del Administrador del servicio de fax que esté utilizando y haga clic en Propiedades, para abrir el cuadro de diálogo Propiedades del módem.
1/14/09 1:28:09 PM
Capítulo 13:
13 MATTHEWS 01.indd 469
Configuración y administración de impresoras y faxes
469
2.
En la sección General, escriba una descripción, identificador del destinatario y remitente (en general, el número telefónico), seleccione si desea contar con respuesta manual o automática.
3.
En la ficha Módem FSP de Microsoft, puede habilitar la opción de respuesta adaptable, si el módem cuenta con esta característica.
4.
Tras configurar el módem, haga clic en Aceptar.
1/14/09 1:28:10 PM
14 MATTHEWS 01.indd 470
1/14/09 12:21:31 PM
CAPÍTULO 14 Administración de Windows Server 2008
471
14 MATTHEWS 01.indd 471
1/14/09 12:21:31 PM
472
Windows Server 2008: Guía del Administrador
U
na de las fortalezas más grandes de Windows Server 2008 es la disponibilidad de herramientas administrativas para controlar las diversas facetas del sistema operativo. El propósito de este capítulo es dar un vistazo a las herramientas de propósito general, que no forman parte de la configuración de red, administración de archivos ni impresión. La descripción de estas herramientas se divide en dos partes: herramientas de administración del sistema y usuarios. Las primeras son para facilitar la ejecución de diferentes áreas del sistema operativo y equipo que no se han descrito antes. La administración de usuarios del equipo con sus diversas necesidades y particularidades, tanto en grupos como de manera individual, es una tarea importante para la que Windows Server 2008 ha destinado recursos considerables. El área de administración del sistema tiene tres características principales para administrar Windows Server 2008: el Administrador del servidor, Herramientas administrativas y Panel de control. Las tres se han mencionado en diversas ocasiones en este libro, sobre todo el Administrador del servidor. Por ello, este capítulo se concentrará en las áreas del Panel de control y las Herramientas administrativas no mencionadas.
USE EL PANEL DE CONTROL La ventana Panel de control, en la figura 14-1, ha sido parte de Windows durante mucho tiempo. Es una carpeta con diversas herramientas para controlar y mantener la información de configuración, sobre todo del hardware de sistema. El contenido del Panel de Control de Windows Server 2008 puede variar en gran medida respecto a versiones previas de Windows, debido a la capacidad del Administrador del servidor para instalar sólo las funciones, servicios de función y características necesarias. Algunas herramientas del Panel de control relacionadas con funciones específicas se describieron cuando se habló de esas funciones. Aquí se describirán las siguientes herramientas del Panel de control: SUGERENCIA En Windows Server 2008, puede elegir entre dos vistas del Panel de control, la Vista clásica predeterminada y la Ventana principal del Panel de control, la predeterminada en Windows Vista. La Vista clásica, que muestra todas las herramientas disponibles, suele ser más fácil de usar y ahorra algunos pasos. ▼
Reproducción automática ■ Programas predeterminados ■ Administrador de dispositivos ■ Centro de accesibilidad ■ Opciones de carpeta ■ Teclado ■ Mouse ■ Configuración regional y de idioma ■ Sistema ▲ Barra de tareas y menú Inicio
14 MATTHEWS 01.indd 472
1/14/09 12:21:31 PM
Capítulo 14:
Administración de Windows Server 2008
473
Figura 14-1. La Vista clásica predeterminada del Panel de control muestra todas las herramientas instaladas.
Muchas de las otras herramientas del Panel de control se describen en otros lugares de este libro o están fuera del alcance de éste. Antes de analizar cualquiera de las herramientas, abra el Panel de control y observe las herramientas disponibles haciendo clic en Inicio|Panel de control. Debido a la gran cantidad de variaciones, es probable contar con herramientas diferentes a las mostradas en la figura 14-1, dependiendo del hardware y software con que cuente y los componentes de Windows Server 2008 instalados.
Reproducción automática Reproducción automática permite determinar qué debe ocurrir cuando se inserta o conecta en el equipo un CD, DVD, tarjeta de memoria, memoria USB u otro objeto. 1.
14 MATTHEWS 01.indd 473
En el Panel de control, haga doble clic en Reproducción automática. Se abrirá la ventana Reproducción automática, como se ilustra en la figura 14-2.
1/14/09 12:21:31 PM
474
Windows Server 2008: Guía del Administrador
Figura 14-2. La especificación de las acciones de Reproducción automática evita determinarlas una y otra vez.
2.
Para cada tipo de dispositivo multimedia, haga clic en la lista desplegable y escoja la acción de su interés cuando ese tipo de dispositivo multimedia se conecte al equipo.
3.
Al terminar, haga clic en Guardar.
NOTA Si no elige un tipo de dispositivo en la ventana Reproducción automática y luego inserta ese tipo de medio, surgirá un cuadro de diálogo preguntando qué desea hacer. En ese cuadro de diálogo, puede especificar que siempre desea ejecutar la acción seleccionada.
Programas predeterminados Hacer doble clic en el icono Programas predeterminados, del Panel de control, le permite abrir una de tres ventanas que, en dos casos, son para especificar una asociación entre tipos de archivo y programas. La tercera ventana es de Reproducción automática, ya descrita.
14 MATTHEWS 01.indd 474
1/14/09 12:21:32 PM
Capítulo 14:
Administración de Windows Server 2008
475
La primera opción, Establecer programas predeterminados, permite seleccionar el programa que se desea utilizar para un fin particular y todos sus archivos relacionados. Por ejemplo, es posible seleccionar el uso de Internet Explorer para navegar y abrir archivos Web relacionados. La segunda opción, Asociar un tipo de archivo o protocolo con un programa, permite identificar el programa que se desea abrir con un tipo de archivo particular. Haga clic en la extensión del archivo que desea cambiar, después en Cambiar programa y doble clic en el programa que desea utilizar.
Administrador de dispositivos El Administrador de dispositivos, mostrado en la figura 14-3, sirve para visualizar y configurar todo su hardware en un solo lugar. De inmediato verá si tiene un problema de hardware; por ejemplo, en la figura 14-3 el controlador de sonido multimedia tiene un problema, que se indica con un icono de signo de admiración. Es posible abrir el dispositivo directamente haciendo doble clic en él y resolver el problema. En muchos casos, esto se logra actualizando los controladores. El botón Reinstalar el controlador, ubicado en la ficha General, abrirá el cuadro de diálogo Actualizar software de controlador, que le será de ayuda. Dos problemas comunes que suelen solucionarse son un controlador faltante o erróneo (como en el caso de la figura 14-3), o el uso incorrecto de recursos, algunas veces debido a que los correctos no estaban disponibles. Si se abre el cuadro de diálogo Propiedades de un dispositivo y se observa la sección General, se obtiene un reporte rápido del estado del dispositivo. La ficha Controlador permite actualizar, desinstalar o deshabilitar el controlador, mientras la ficha Detalles ofrece información detallada sobre el dispositivo.
14 MATTHEWS 01.indd 475
1/14/09 12:21:32 PM
476
Windows Server 2008: Guía del Administrador
Figura 14-3. El Administrador de dispositivos provee información de cualquier falla en el hardware.
Centro de accesibilidad El Centro de accesibilidad permite al usuario con limitaciones físicas usar más fácilmente Windows Server 2008. El cuadro de diálogo Centro de accesibilidad, mostrado en la figura 14-4, se abre al hacer doble clic en la opción Centro de accesibilidad, del Panel de control. En la mitad superior de la ventana aparecen cuatro opciones predeterminadas y todo lo que necesita hacer es oprimir la barra espaciadora cuando la opción que quiera esté seleccionada (tiene un borde rectangular). En la mitad inferior de la ventana aparecen siete opciones para facilitar el uso o reemplazo de monitor, teclado, ratón y audio. En cada ventana que se abre con dichas opciones se presenta una serie de opciones que habilitan y configuran la mejor accesibilidad. Muchas de estas características se repiten en diferentes ventanas. En la tabla 14-1 se presenta un resumen de estas características, así como la manera en que se habilitan y deshabilitan.
14 MATTHEWS 01.indd 476
1/14/09 12:21:32 PM
Capítulo 14:
Administración de Windows Server 2008
477
Figura 14-4. Windows Server 2008 provee diversas características para mejorar la accesibilidad al equipo para personas con limitaciones físicas.
Opciones de carpeta El elemento Opciones de carpeta, en el Panel de control, permite personalizar la forma en que carpetas y archivos se muestran y manejan en diferentes ventanas de Windows Server 2008, incluidas las del explorador de Windows y Equipo. El cuadro de diálogo Opciones de carpeta se abre al hacer doble clic en el icono Opciones de carpeta, del Panel de control; también es posible acceder al cuadro de diálogo haciendo clic en el menú Herramientas y seleccionando Opciones de carpeta en el Explorador de Windows o en Equipo. El cuadro de diálogo Opciones de carpeta tiene tres fichas: General, Ver y Buscar.
14 MATTHEWS 01.indd 477
1/14/09 12:21:33 PM
478
Windows Server 2008: Guía del Administrador
Área
Opción
Descripción
Habilitar o deshabilitar
Teclado
Teclado en pantalla
Permite que el ratón u otro dispositivo Centro de accesibilidad. puntero seleccione teclas a partir de una imagen en pantalla.
Teclado
Teclas especiales
Permite al usuario simular el efecto de pulsar un par de teclas, como ctrl+a, oprimiendo una tecla a la vez. Las teclas mayús, ctrl y alt “permanecen” oprimidas hasta que oprime una segunda tecla, que Windows Server 2008 interpreta como si se hubieran oprimido ambas teclas al mismo tiempo.
Teclado
Teclas interruptoras
Emite un sonido cuando se oprimen la Mantenga oprimida la teteclas bloq mayús, bloq num o bloq cha bloq num por cinco despl. segundos.
Teclado
Teclas de filtro Permiten al usuario oprimir dos veces Mantenga oprimida la teuna tecla en sucesión rápida y que se cha mayús derecha por interprete como un solo tecleo, además ocho segundos. de reducir la velocidad de repetición del teclado.
Teclado
Configuración Controla el retardo entre repeticiones, Centro de accesibilidad. del teclado velocidad de repetición y velocidad de parpadeo del cursor.
Sonido
Notificación Despliega un indicador visual cada visual de vez que el equipo emite un sonido. El sonidos indicador puede ser una barra de títulos activa, una ventana activa o un escritorio intermitentes.
Sonido
Subtítulos de texto
Indica a los programas compatibles Abra el Centro de accesique desplieguen leyendas cuando se bilidad y haga clic en Usar usan sonidos y pronunciaciones. texto y alternativas visuales para los sonidos y haga clic en Activar los subtítulos de texto para los diálogos leídos.
Monitor
Ampliador
Aumenta el tamaño del área de la pan- Centro de accesibilidad. talla alrededor del puntero del ratón.
Monitor
Narrador
Lee el texto en la pantalla.
Monitor
Contraste alto
Utiliza colores de alto contraste y fuen- Oprima juntas las teclas tes especiales para facilitar el uso de la mayús izquierda, alt e pantalla. impr pant.
Oprima la tecla mayús, a la derecha o izquierda del teclado, cinco veces consecutivas.
Abra el Centro de accesibilidad y haga clic en Usar texto y alternativas visuales para los sonidos.
Centro de accesibilidad.
Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad (Continúa).
14 MATTHEWS 01.indd 478
1/14/09 12:21:33 PM
Capítulo 14:
Administración de Windows Server 2008
Área
Opción
Descripción
Monitor
Opciones del cursor
Cambia la velocidad a la que parpadea Siempre activo. el cursor, además del ancho del cursor y el punto de inserción de texto.
Ratón
Punteros del ratón
Establece el color y tamaño de los punteros del ratón. Centro de accesibilidad.
Ratón
Teclas de ratón
Permite al usuario utilizar el teclado Oprima al mismo tiempo numérico para mover el puntero del las teclas mayús izquierda, ratón en la pantalla, en lugar de utili- alt y bloq num. zar el ratón.
Ratón
Configuración Controla la velocidad del doble clic e Centro de accesibilidad del ratón intercambio de los botones primario y secundario entre otras opciones.
479
Habilitar o deshabilitar
Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad.
14 MATTHEWS 01.indd 479
1/14/09 12:21:33 PM
480
Windows Server 2008: Guía del Administrador
SUGERENCIA Existe una diferencia importante entre abrir Opciones de carpeta desde el Panel de control y desde Equipo o Explorador de Windows. Desde el Panel de control, se configura como opción predeterminada para aplicar la configuración a todas las carpetas; desde Equipo o Explorador de Windows, se establece que la configuración afecte sólo a la carpeta en uso, a menos que se haga clic en la opción Aplicar a todas las carpetas, en la ficha Ver.
General La ficha General permite seleccionar la manera de manejar tres situaciones distintas: ▼
Tareas Permite seleccionar entre mostrar el panel de tareas del lado izquierdo de la ventana o utilizar la Vista clásica de Windows. La mejor opción depende de cada usuario. El panel de tareas ofrece un medio sencillo de ejecutar tareas comunes, como copiar o mover archivos o carpetas; sin embargo, ocupa más espacio y no puede mostrarse con el panel de carpetas
■
Examinar carpetas Permite elegir entre abrir una nueva ventana siempre que una carpeta nueva se abre o utilizar repetidamente la misma ventana. Abrir una nueva ventana para cada carpeta es conveniente si le interesa comparar el contenido de dos carpetas, pero también congestiona la pantalla. La opción predeterminada, también la más popular, es utilizar la misma ventana
▲
Acciones al hacer clic en un elemento Permite configurar si quiere abrir una carpeta o archivo mediante un clic —como haría en un navegador Web— o con doble clic, como se hace tradicionalmente en Windows. Si se elige un solo clic, entonces es posible elegir elementos con sólo señalar el elemento seleccionado. Si elige doble clic, un solo clic servirá para seleccionar el elemento. Para los nuevos usuarios, la opción de un solo clic ahorra tiempo y confusión entre lo que significa un clic o dos. Si ha utilizado el doble clic por años, es difícil dejar de hacerlo, de modo que si intenta probar el uso de un solo clic, podría terminar confundido
Ver La ficha Ver determina cómo se visualizan los archivos, carpetas y sus atributos en Equipo o Explorador de Windows. La lista Configuración avanzada cuenta con diversas opciones que pueden ser activadas y desactivadas según las preferencias personales. En particular, el autor prefiere activar las opciones Mostrar la ruta completa en la barra de título, Mostrar todos los archivos y carpetas ocultos, además de desactivar Ocultar extensiones de archivos y Ocultar archivos protegidos. Cada usuario puede probar diferentes opciones de configuración y siempre es posible regresar a la configuración predeterminada, al hacer clic en el botón Restaurar valores predeterminados.
14 MATTHEWS 01.indd 480
1/14/09 12:21:33 PM
Capítulo 14:
Administración de Windows Server 2008
481
Buscar La ficha Buscar determina qué buscará y cómo opera una búsqueda. En general, la configuración predeterminada es el punto medio ideal entre velocidad y una búsqueda satisfactoria. El uso de un índice puede aumentar la velocidad de búsqueda, pero si se activa la función Servicio de Búsqueda en Windows (inhabilitada como opción predeterminada), se reemplazan las opciones de indizado con las asociadas al servicio. El uso de lenguaje natural en las búsquedas permite rastrear mediante frases comunes en español como “reporte financiero de la semana pasada”.
Teclado La opción Teclado, en el Panel de control, permite establecer una configuración para el teclado. El cuadro de diálogo puede abrirse desde la opción de configuración del teclado en el Centro de accesibilidad. La ficha Velocidad permite configurar la rapidez y retraso de la repetición. Es posible hacer clic en el cuadro de texto de esta sección para verificar la configuración. En esta sección también es posible configurar la velocidad de intermitencia del cursor (aunque la relación con el teclado es mínima). La ficha Hardware muestra la descripción del dispositivo que Windows cree está utilizando y, mediante Propiedades, se abre el acceso a los controladores que el dispositivo utiliza.
Mouse La opción Mouse en el Panel de control permite establecer una configuración para el ratón. Se trata del mismo cuadro de diálogo que puede abrirse desde la opción de configuración del ratón en el Centro de accesibilidad. La ficha Botones permite configurar el ratón para utilizarlo con la mano derecha o izquierda. Esto se logra invirtiendo el orden de los botones primario y secundario. Es posible también ajustar la velocidad con que dos clics se interpretan como doble clic, además de activar y desactivar el Bloqueo de clic, para arrastrar objetos sin mantener oprimido el botón del ratón.
14 MATTHEWS 01.indd 481
1/14/09 12:21:34 PM
482
Windows Server 2008: Guía del Administrador
La ficha Punteros permite seleccionar o crear un esquema del aspecto de los punteros del ratón en diferentes situaciones. La ficha Opciones de puntero permite configurar la rapidez con que se mueve el puntero, activar la opción de que éste se desplace automáticamente al botón predeterminado de un cuadro de diálogo al abrirlo, mostrar el rastro del puntero mientras se mueve el ratón, ocultar el puntero mientras se escribe y mostrar la ubicación del puntero cuando se oprima la tecla ctrl. Esta última opción es muy útil en una laptop, donde tiende a perderse de vista el puntero. La ficha Rueda (en caso de contar con un ratón que tenga incluida una rueda) permite determinar el grado de desplazamiento vertical y horizontal que realizará la rueda. De forma similar a la ficha Hardware del cuadro de diálogo Teclado, la de este cuadro de diálogo muestra la descripción del dispositivo, le permite detectar y solucionar problemas relacionados con él y, al hacer clic en Propiedades, se permite acceso a los controladores que el dispositivo usa.
Configuración regional y de idioma Se abre desde el Panel de control, ilustrado en la figura 14-5. Permite determinar cómo se visualizarán números, fechas, moneda y horas en el equipo, además del idioma que habrá de utilizarse. Al seleccionar la ubicación primaria del equipo, Francia, por ejemplo, el resto de las configuraciones, incluidos formatos de número, monedas, hora y fecha, cambian automáticamente para aplicar los formatos estándares de la ubicación actual. Luego es posible realizar cambios en las configuraciones de números, moneda, tiempo, etcétera, además de personalizar cómo desea desplegar esos elementos haciendo clic en Personalizar este formato.
Figura 14-5. Configuración regional e idioma controla el formato que se da a números, fechas, horas y monedas.
14 MATTHEWS 01.indd 482
1/14/09 12:21:34 PM
Capítulo 14:
Administración de Windows Server 2008
483
La ficha Ubicación permite establecer la ubicación utilizada por el software para determinar dónde se encuentra el usuario, para varios fines, como el reporte del clima. La ficha Teclados e idiomas permite seleccionar el idioma en que el usuario escribirá en forma predeterminada, además de instalar o desinstalar paquetes de idiomas complementarios. La ficha Administrativo permite establecer el idioma utilizado por los programas que no utilizan codificación Unicode, además de copiar la configuración regional e idioma a la cuenta predeterminada del usuario o cuentas de usuario de sistema. NOTA La configuración personalizada para números, moneda, hora y fechas sólo se mantiene mientras se use la misma ubicación. Cuando se cambia a una nueva región y luego se vuelve a la original, la configuración personalizada no regresará, pero es posible utilizar un perfil independiente para evitar que esto ocurra. Consulte la sección “Emplee perfiles de usuario” en páginas posteriores de este capítulo.
Sistema Al hacer doble clic en Sistema, en el Panel de control, se abrirá la ventana Sistema, mostrada en la figura 14-6. También puede abrirse al dar clic derecho en Equipo y seleccionar Propiedades. Al hacer clic en Administrador de dispositivo, se abre la ventana Administrador de dispositivos, ya descrita en este capítulo y mostrada en la figura 14-3. Al pulsar clic en Configuración de Acceso remoto, Configuración avanzada del sistema y Cambiar la configuración, se abren las secciones respectivas del cuadro de diálogo Propiedades del sistema.
Figura 14-6. La ventana Sistema es una pantalla informativa y puerta de enlace a otras opciones de configuración.
14 MATTHEWS 01.indd 483
1/14/09 12:21:34 PM
484
Windows Server 2008: Guía del Administrador
La primera ficha permite dar al equipo una descripción, así como cambiar su nombre e identificación en la red. Al hacer clic en Cambiar, es posible escribir un nuevo nombre y unirse a un dominio o grupo de trabajo.
NOTA Si el equipo es un controlador de dominio, no será posible modificar su identificación en la red ni conectarla a un dominio diferente.
Hardware La ficha Hardware permite abrir el Administrador de dispositivos, que también se abre al hacer doble clic en la opción Administrador de dispositivos ubicada en el Panel de control, como ya se describió en este capítulo. También es posible abrir el cuadro de diálogo Configuración de controladores de Windows Update, que maneja la forma en que Windows Update busca nuevos controladores de dispositivo.
Opciones avanzadas La ficha Opciones avanzadas, del cuadro de diálogo Propiedades del sistema, brinda acceso a la configuración de dos características del sistema operativo: NOTA También existe una sección llamada Perfiles de usuario, que se describe más adelante en este mismo capítulo, bajo el tema “Emplee perfiles de usuario”.
14 MATTHEWS 01.indd 484
1/14/09 12:21:35 PM
Capítulo 14:
Administración de Windows Server 2008
485
▼
Rendimiento Optimiza el rendimiento entre las aplicaciones en ejecución y servicios ejecutándose en segundo plano, como sucedería en un servidor de archivos o impresión; también es posible identificar los efectos visuales que se desean y determinar la cantidad de espacio en disco, a destinar para archivos temporales de paginación y almacenamiento de memoria en disco. Por último, en opciones de rendimiento se le pregunta cómo quiere usar la Prevención de ejecución de datos, que evita que los programas ejecuten código en las áreas reservadas de la memoria de sistema. Esto proporciona protección contra amenazas a la seguridad
▲
Inicio y recuperación Aquí es posible seleccionar el sistema operativo que se utilizará para iniciar el sistema, el tiempo que habrá de esperarse para la selección manual del sistema operativo y las acciones que habrán de seguirse, si se presenta una falla del sistema
Barra de tareas y menú Inicio La ventana Propiedades de la barra de tareas y el menú Inicio, mostrada en la figura 14-7, puede abrirse desde el Panel de control (con la opción “Barra de tareas y menú Inicio”) o haciendo clic derecho en un área vacía de la barra de tareas y eligiendo la opción Propiedades. Esta ventana permite determinar cómo deberá visualizarse la barra de tareas, qué elementos están presentes en ésta, si se utilizará el menú Inicio con su nueva apariencia o en su versión clásica, además de personalizar apariencia y contenido del menú Inicio.
14 MATTHEWS 01.indd 485
1/14/09 12:21:35 PM
486
Windows Server 2008: Guía del Administrador
Figura 14-7. Debido a su uso frecuente, la barra de tareas y el menú Inicio deberían configurarse para facilitar su uso.
USE EL ADMINISTRADOR DE TAREAS El Administrador de tareas de Windows permite ver y controlar qué se ejecuta en Windows Server 2008. Puede abrir el Administrador de tareas, mostrado en la figura 14-8, al dar clic derecho en un área vacía de la barra de tareas, elegir el Administrador de tareas (o la combinación de teclas ctrl+alt+supr) y seleccionar Iniciar el Administrador de tareas. La ficha Aplicaciones muestra las tareas en ejecución y permite finalizar una tarea, cambiarla o crear una nueva abriendo un programa, carpeta, documento o recurso de Internet. La ficha Procesos muestra los procesos cargados. Éstos incluyen los programas necesarios para aplicaciones en ejecución, además de los procesos del sistema operativo activos. Es posible visualizar gran cantidad de información para cada uno de los procesos y seleccionar lo que se desea desplegar seleccionando el menú Ver|Seleccionar columnas, como
14 MATTHEWS 01.indd 486
1/14/09 12:21:35 PM
Capítulo 14:
Administración de Windows Server 2008
487
Figura 14-8. El Administrador de tareas de Windows es el “tablero de instrumentos” que suministra controles e información sobre lo que ocurre.
se muestra a continuación. Tras seleccionar las columnas que desea desplegar, es posible organizarlas al arrastrar sus encabezados y ordenar la lista al hacer clic en la columna que desea ordenar. Para terminar cualquier proceso, escójalo y haga clic en Finalizar proceso.
14 MATTHEWS 01.indd 487
1/14/09 12:21:35 PM
488
Windows Server 2008: Guía del Administrador
Figura 14-9. La ventana Servicios permite control manual de muchos de los servicios de Windows.
La ficha Servicios muestra muchos de los ya disponibles en Windows Server 2008. Al hacer clic en Servicios se abre la ventana Servicios, que muestra cada uno y sus detalles; permite iniciar, detener y configurar cada uno de los servicios. Si hace doble clic en un servicio, se abre el cuadro de diálogo Propiedades (mostrado en la figura 14-9). PRECAUCIÓN Windows inicia y detiene casi todos los servicios de manera automática; sólo deben iniciarse o detenerse de manera manual en situaciones en que busque corregir alguna falla.
La ficha Rendimiento, mostrada en la figura 14-10, despliega la manera en que las tareas en ejecución usan el CPU y la memoria del equipo y cuáles son los componentes de ese uso. Esta información es muy importante en servidores con gran carga de trabajo. Es posible ver si CPU o memoria (incluso ambos) alcanzan su límite y qué hace el sistema para manejarlo. Si se cuenta con múltiples CPUs, es posible ver el uso de cada uno y asignar actividades a determinado procesador haciendo clic derecho en los procesos, en la ficha Procesos. También es posible establecer la prioridad de un proceso al hacer clic derecho en él, en la ficha Procesos. Si hace clic en Monitor de recursos, se abre la ventana del mismo nombre, que ilustra el uso del disco y red, además de CPU y memoria. La ficha Funciones de red muestra cómo se usa una conexión de red en particular. Si cuenta con varias tarjetas o adaptadores de red en el equipo, aparecerán en la parte inferior de la ventana y es posible seleccionar la que se desea revisar. La escala en la gráfica cambia automáticamente para dar la lectura más precisa posible.
14 MATTHEWS 01.indd 488
1/14/09 12:21:36 PM
Capítulo 14:
Figura 14-10.
Administración de Windows Server 2008
489
La ficha Rendimiento puede indicarle si CPU o memoria están sobrecargados.
La ficha Usuarios muestra los usuarios conectados al servidor. Es posible desconectar, terminar la sesión o enviar un mensaje a cualquiera de ellos.
USE LA CONSOLA DE ADMINISTRACIÓN DE MICROSOFT La consola de administración de Microsoft (MMC, Microsoft Management Console) es una interfaz a la que puede agregar herramientas de administración y luego personalizarlas. Es posible crear varias consolas diferentes que contengan, cada una, diferentes herramientas para distintos propósitos administrativos y almacenar dichas consolas como archivos .msc. Existen dos tipos de herramientas administrativas que es posible agregar en una MMC: herramientas independientes —denominadas complementos— y funciones añadidas —llamadas extensiones—. Las extensiones funcionan con complementos determinados, disponibles para éstos. Las extensiones se añaden automáticamente a algunos complementos, mientras otros requieren una selección manual de sus extensiones. El ejemplo de un complemento con extensiones automáticas es el Administrador de equipos y una de sus muchas extensiones: el Desfragmentador de disco. Existen dos modos para crear consolas: el modo Autor, en el que las consolas pueden agregarse y revisarse, mientras en el modo Usuario, la consola está inmovilizada y no puede modificarse. El modo Usuario tiene, además, una opción de acceso completo y dos opciones de acceso limitado.
14 MATTHEWS 01.indd 489
1/14/09 12:21:36 PM
490
Windows Server 2008: Guía del Administrador
Windows Server 2008 incluye varias consolas predeterminadas utilizadas en capítulos anteriores. Éstas, a las que hemos llamado “ventanas” (porque eso son), se localizan en la carpeta Herramientas administrativas (Inicio|Herramientas administrativas) e incluyen el Administrador de equipos, la Herramienta de diagnóstico de memoria, el Programador de tareas y muchas otras. Todas las consolas preconstruidas se encuentran en modo Usuario y no pueden modificarse.
NOTA El contenido del menú Herramientas administrativas depende de las funciones instaladas por el Administrador de servidor.
Cree una consola MMC Permite administrar varios equipos remotos en la red. En esta consola única, se añadiría al Administrador de equipos para tales unidades. Por tanto, como administrador del servidor, sería posible ver en forma remota gran parte de la información administrativa de los equipos remotos, como se muestra en la figura 14-11. Utilice las siguientes instrucciones para crear una consola similar a la mostrada en la figura: NOTA Para dar el siguiente conjunto de pasos, como en casi todo este capítulo, es necesario iniciar una sesión como administrador.
1.
14 MATTHEWS 01.indd 490
Haga clic en Inicio|Ejecutar. En el cuadro de diálogo Ejecutar, escriba mmc y haga clic en Aceptar. Se abrirá la MMC mostrando únicamente Raíz de consola, la ventana en que se añaden los complementos.
1/14/09 12:21:36 PM
Capítulo 14:
Figura 14-11.
2.
14 MATTHEWS 01.indd 491
Administración de Windows Server 2008
491
MMC permite administrar discos en varios equipos.
Haga clic en el menú Archivo y escoja Agregar o quitar complemento. Se abrirá el cuadro de diálogo del mismo nombre.
1/14/09 12:21:37 PM
492
Windows Server 2008: Guía del Administrador
14 MATTHEWS 01.indd 492
3.
Haga clic en cualquiera de los complementos que desconozca para ver su descripción, en la parte inferior del cuadro de diálogo.
4.
Tras echar un vistazo a todos los complementos deseados, dé doble clic en Administrador de equipos. Se abrirá el cuadro de diálogo Administrador de equipos, pidiendo que elija entre el equipo local u otro. Tal vez quiera o no incluir el equipo local en esta consola. Suponga que sigue las instrucciones y hace clic en Finalizar. En el cuadro de diálogo Agregar o quitar complementos aparecerá la opción Administrador de equipos (Local).
5.
Haga doble clic en Administrador de equipos por segunda vez, haga clic en la opción Otro equipo, busque el de su elección, luego de localizarlo, haga clic en Finalizar. Aparecerá el Administrador de equipos correspondiente al segundo equipo, en el cuadro de diálogo Agregar o quitar complementos.
6.
Repita el paso 5 para todos los equipos que desee administrar desde la nueva consola. En el cuadro de diálogo Agregar o quitar complementos, seleccione una instancia del Administrador de equipos, del lado derecho y clic en Editar extensiones. Se desplegará la lista de extensiones, como se muestra a continuación.
7.
Verá que la opción predeterminada es seleccionar todas las extensiones, que ya hizo. Si se desea eliminar algunas de las extensiones, haga clic en la opción Sólo habilitar las extensiones seleccionadas, quite la marca de las extensiones no deseadas (al hacer esto una vez, se aplicará a todos los complementos del Administrador de equipos).
1/14/09 12:21:37 PM
Capítulo 14:
Administración de Windows Server 2008
493
8.
Luego de completar todos los cambios deseados para las extensiones, haga clic en Aceptar para cerrar el cuadro de diálogo Extensiones, dé clic de nuevo en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos. Se le regresa a la MMC y sus complementos aparecen en el panel de la izquierda. Abra varios de los complementos y extensiones para tener una vista similar a la figura 14-11.
9.
En la MMC, haga clic en el menú Archivo y escoja Opciones, para abrir el cuadro de diálogo Opciones. Ahí es posible seleccionar entre Modo autor y Modo usuario. Revise la descripción de lo que significa cada modo, así como la descripción de cada una de las opciones del modo Usuario.
10.
Cuando haya seleccionado el modo que desea utilizar, haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones y volver a la ventana MMC.
11.
Una vez más, dé clic en el menú Archivo y seleccione Guardar como. Escriba un nombre que signifique algo y dé clic en el botón Guardar. Por último, cierre la MMC.
Utilice una consola MMC Las consolas personalizadas se almacenan en la carpeta Herramientas administrativas del área del administrador en su disco duro (C:\Usuarios\Administrador\AppData\Roaming\Microsoft\Windows\Menú Inicio\Programas\Herramientas administrativas). Si no ha creado una o más consolas personalizadas, tampoco tendrá aquí una carpeta Herramientas administrativas, pero, tras crear la primera consola, la carpeta se crea en forma automática y la nueva consola se coloca en su interior. Ésta no es la misma carpeta Herramientas administrativas con todas las consolas integradas, aunque cuando inicia sesión como Administrador, ambas carpetas Herramientas administrativas se abrirán como si fueran la misma desde el menú Inicio|Todos los programas:
14 MATTHEWS 01.indd 493
1.
Haga clic en Inicio|Todos los programas | Herramientas administrativas | su consola (no el menú Herramientas administrativas que se encuentra a la derecha del menú Inicio).
2.
Abra uno de sus equipos remotos y revise Administrador de almacenamiento y discos.
3.
Cuando termine de ver qué puede hacer con la nueva consola, ciérrela.
1/14/09 12:21:37 PM
494
Windows Server 2008: Guía del Administrador
EXPLORE EL REGISTRO El Registro es el depósito central de toda la información de configuración en Windows Server 2008. Contiene las configuraciones aplicadas en el Administrador del servidor, el Panel de control, muchos de los cuadros de diálogo Propiedades y Herramientas administrativas. Casi todos los programas obtienen información sobre el equipo local y el usuario actual desde el Registro y escriben información en éste para ser usada por el sistema operativo y otros programas. El Registro es una base de datos jerárquica compleja que casi en ningún caso puede modificarse directamente. La mayor parte de los valores almacenados en el Registro puede modificarse en el Administrador del servidor, el Panel de control, cuadros de diálogo Propiedades o Herramientas administrativas. PRECAUCIÓN Si edita el Registro directamente, podría realizar algún cambio erróneo que inutilice el sistema fácilmente, por lo que es muy recomendable editar el Registro de manera directa, sólo como última opción para aplicar un cambio.
Una vez consciente de la advertencia anterior, vale la pena entender y dar un vistazo al Registro. El Editor del registro de Windows Server 2008 permite ver y hacer cambios al Registro. SUGERENCIA Si se realiza un cambio inservible en el Registro, es posible restaurarlo con la información que contenía la última vez que el equipo inició, si reinicia el equipo y oprime la tecla F8 inmediatamente después de la pantalla inicial. Haga clic en La última configuración válida conocida utilizada y oprima la tecla ENTER. Se utilizará la copia de seguridad más reciente del Registro para arrancar el equipo.
Inicie el Editor del Registro al hacer clic en Inicio|Ejecutar, escriba regedit y dé clic en Aceptar. En el panel de la izquierda, abra varias carpetas para darse una idea de lo que es el Registro, como se muestra en la figura 14-12.
Claves y subárboles El Registro consta de dos claves primarias, o subárboles (HKEY_USERS y HKEY_LOCAL_ MACHINE) y tres claves subordinadas, también llamadas subárboles (HKEY_CURRENT_ USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT). HKEY_CURRENT_USER está subordinada a HKEY_USERS, mientras HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT están subordinadas a HKEY_LOCAL_MACHINE. Cada uno de los cinco subárboles es una carpeta en el Editor del Registro, todas mostradas en el mismo nivel para facilitar su uso. El propósito de cada subárbol es el siguiente:
HKEY_USERS Contiene la información predeterminada común a todos los usuarios y usada siempre que un usuario inicia sesión. ▼
14 MATTHEWS 01.indd 494
HKEY_CURRENT_USER Contiene las preferencias o perfil del usuario conectado al equipo. Esto incluye contenido del escritorio, colores de la pantalla, configuración del Panel de control y contenido del menú Inicio. La configuración aquí almacenada
1/14/09 12:21:37 PM
Capítulo 14:
Figura 14-12.
Administración de Windows Server 2008
495
El Registro es una base de datos con estructura jerárquica compleja.
tiene precedencia sobre la almacenada en HKEY_LOCAL_MACHINE, donde están duplicadas. En páginas posteriores de este capítulo, en la sección “Emplee perfiles de usuario”, se describe cómo configurar y administrar los perfiles de usuario
HKEY_LOCAL_MACHINE Contiene la configuración del equipo y sistema operativo sin relación con el usuario. Incluye tipo y modelo de CPU; cantidad de memoria; teclado, ratón y puertos disponibles en hardware; controladores, fuentes y configuración de los diversos programas.
14 MATTHEWS 01.indd 495
▼
HKEY_CURRENT_CONFIG Maneja el perfil de hardware de la configuración actual del equipo. Incluye unidades, puertos y controladores necesarios para el hardware instalado
▲
HKEY_CLASSES_ROOT Contiene el registro de los tipos de archivo, relacionados con sus respectivas extensiones de archivo, para los programas que pueden abrirlos
1/14/09 12:21:38 PM
496
Windows Server 2008: Guía del Administrador
Claves, subclaves y subárboles En cada una de las claves primarias o subárboles existen claves de nivel inferior y, dentro de tales claves, subclaves; a su vez, dentro de las subclaves hay subclaves de nivel inferior y así sucesivamente para muchos niveles. Por ejemplo, en la figura 14-13 se muestra una subclave nueve niveles abajo de HKEY_LOCAL_MACHINE. Puede asumirse que claves y subclaves son carpetas con otras carpetas en su interior y más carpetas dentro de esas carpetas. Varias de las claves inmediatamente bajo las dos claves primarias (HKEY_LOCAL_MACHINE y HKEY_USERS) son agrupaciones profundas de claves y subclaves. Estas claves (BCD, Components, SAM, Security, Software y System), llamadas subárboles, se almacenan en archivos separados en la carpeta C:\Windows\System32\Config (asumiendo una instalación predeterminada). Cada subárbol tiene al menos dos archivos y muy a menudo tres o más. El primer archivo, sin extensión, es el Registro que contiene la información actual del registro. El segundo archivo, con la extensión .log, es una bitácora de cambios efectuados en el archivo Registro. El tercer archivo, con la extensión .sav, es el respaldo de La última configuración válida conocida del Registro (se dice que es la última configuración válida conocida pues el equipo inició con dicha configuración). El último tipo de archivo Registro, con extensión .evt, da seguimiento a los eventos conforme ocurren en el Registro.
Figura 14-13.
Por lo general, existen muchas subclaves dentro de cada clave en el Registro.
NOTA La clave SAM toma su nombre de Security Account Manager (administrador de cuenta de seguridad). Ésta se utiliza para almacenar nombre de usuario y contraseña en equipos locales.
14 MATTHEWS 01.indd 496
1/14/09 12:21:38 PM
Capítulo 14:
Administración de Windows Server 2008
497
Es posible trabajar con los subárboles para almacenar un grupo determinado de valores de configuración, hacer cambios en dichos valores y luego restaurar los valores originales o añadir éstos a los nuevos. A continuación se describen los comandos del menú Archivo en el Editor del Registro que permiten hacerlo: ▼
Exportar Se utiliza para guardar un subárbol seleccionado en el disco o dispositivo de almacenamiento externo. Para utilizar este comando, haga clic en el subárbol, después en el menú Archivo. Seleccione Exportar, haga clic en una carpeta, escriba un nombre y haga clic en Guardar. Es posible restaurar o cargar un subárbol almacenado; o hacer clic derecho en un subárbol y clic en Exportar, para lograr el mismo objetivo
■
Importar Se utiliza para reemplazar un subárbol existente en el Registro. Para utilizar este comando, seleccione el subárbol que habrá de reemplazarse. Haga clic en el menú Archivo, seleccione Importar, dé clic en una unidad y carpeta, escriba o seleccione un nombre y haga clic en Abrir. El subárbol restaurado sobrescribirá al actual
■
Cargar subárbol Se utiliza para agregar un subárbol almacenado a uno existente. Para utilizar este comando seleccione HKEY_LOCAL_MACHINE o HKEY_USERS, haga clic en el menú Archivo y seleccione Cargar subárbol. Haga clic en una unidad y carpeta, escriba o seleccione un nombre y haga clic en Abrir. Cuando se solicite, escriba el nombre que desea asignar al subárbol que habrá de cargarse y clic en Aceptar. Se crea una nueva subclave con el nombre establecido. Ahora, el software que ya conoce de su existencia puede utilizar este recurso
▲
Descargar subárbol Se utiliza para eliminar un subárbol cargado (este proceso no puede realizarse si se trata de un subárbol restaurado). Para descargar un subárbol cargado, elíjalo, haga clic en el menú Archivo y escoja Descargar subárbol.
NOTA Es posible realizar una copia completa del Registro sin identificar las claves o subárboles de manera individual. En el Editor del Registro, haga clic en el icono Equipo, ubicado en la parte superior del árbol del Registro. Haga clic en el menú Archivo, seleccione Exportar, haga clic en una unidad y carpeta en que se almacenará el archivo, escriba un nombre y haga clic en Guardar.
Entradas y tipos de datos En el nivel más bajo del árbol del Registro, se pueden observar entradas de datos en el panel de la derecha para una clave seleccionada. Todas las entradas de datos cuentan con tres elementos: un nombre del lado izquierdo, un tipo de datos al centro y un dato en el lado derecho. En la figura 14-13 se observan dos entradas de datos del lado derecho. El tipo de datos determina cómo interpretar y utilizar el dato. Además, el Editor del Registro tiene un editor para cada tipo de datos. En la tabla 14-2 se ofrece el nombre de cada tipo de datos, su editor y descripción. SUGERENCIA Es posible abrir de manera automática el editor correspondiente a cada tipo de datos haciendo doble clic en el nombre ubicado en la columna izquierda de la entrada de datos.
14 MATTHEWS 01.indd 497
1/14/09 12:21:38 PM
498
Windows Server 2008: Guía del Administrador
Tipo de datos
Editor
Descripción
REG_BINARY
Binary
Un valor simple expresado en el Editor del Registro como número hexadecimal; en general es un número complejo, analizado y utilizado para establecer directivas.
REG_DWORD
Dword
Un valor simple compuesto por un número hexadecimal de ocho dígitos como máximo; usualmente es un número simple, como los decimales 16, 60 o 1 024.
REG_SZ
String
Una cadena de caracteres simple, como un nombre de archivo; puede incluir espacios en blanco.
REG_EXPAND_SZ
String
Una cadena de caracteres simple con una variable que el sistema operativo reemplaza con su valor actual; un ejemplo es la variable de entorno Systemroot, reemplazada con el directorio raíz de Windows Server 2008 (como opción predeterminada, C:\Windows).
REG_MULTI_SZ
MultiString
Varias cadenas de caracteres separadas por espacios en blanco, comas u otro signo de puntuación, de manera que cada cadena no puede contener espacios en blanco, comas u otro signo de puntuación.
REG_FULL_RESOURCE_DESCRIPTOR Array
Una serie de números hexadecimales que representan una matriz, utilizada para almacenar una lista de valores.
Tabla 14-2.
Tipos de datos usados en el Registro.
TRABAJE CON EL PROCESO DE ARRANQUE El proceso de arranque o encendido de Windows Server 2008 es nuevo y, de alguna manera, más simple que en Windows Server 2003. Este proceso puede ser controlado y es probable que presente problemas que pueden ser atendidos. Por ello, es importante entender qué sucede durante el arranque, qué se ve en la pantalla y los archivos en uso.
Pasos en el proceso de arranque El proceso de arranque tiene cinco etapas principales: prearranque, arranque, carga, inicialización e inicio de sesión. En cada una de estas etapas se dan varios pasos que cargan y utilizan archivos. En cada una de estas etapas revise el proceso que ocurre, la manera en que se usa cada archivo determinado y lo que se despliega en pantalla.
Prearranque El prearranque es un proceso dependiente del hardware, habilitado por el sistema básico de entrada-salida (BIOS, Basic Input-Output System). Este proceso se inicia cuando
14 MATTHEWS 01.indd 498
1/14/09 12:21:38 PM
Capítulo 14:
Administración de Windows Server 2008
499
enciende o reinicia el equipo. El primer paso que se da es la revisión del hardware disponible y su condición, empleando la rutina de prueba automática de encendido (POST, Power-On Self Test). Luego el BIOS ejecuta la carga inicial de programa (IPL, Initial Program Load), que localiza el dispositivo de arranque y, si el dispositivo es un disco duro, se lee el registro maestro de arranque (MBR, Master Boot Record) del primer sector del disco. En caso contrario, se obtiene la información equivalente del dispositivo de arranque. A partir de esta información, se obtienen datos de la partición, se lee el sector de arranque e inicia el programa del administrador de arranque de Windows (Bootmgr.exe). En la pantalla, verá la comprobación de la memoria, identificación del hardware y búsqueda del dispositivo de arranque.
Arranque El administrador de arranque de Windows lee los datos de configuración de arranque (BCD, Boot Configuration Data) y, si existe más de una partición de arranque, preguntará al usuario cuál partición desea utilizar, además del sistema operativo. Si no se realiza una selección en un tiempo preestablecido, se cargarán la partición predeterminada y el sistema operativo correspondiente. Si Windows Server 2008 está en proceso de arranque, se ejecutará el programa cargador de arranque de Windows (Winload.exe). Si tiene más de un perfil de hardware, puede oprimir la tecla barra espaciadora para seleccionar el que desea utilizar (por ejemplo, una laptop que en ocasiones usaría con una estación fija). Si oprime la tecla barra espaciadora, puede elegir el perfil de hardware que desee; en caso contrario, se utiliza el predeterminado.
Carga Una vez realizada la selección de sistema operativo y el perfil de hardware, se despliega la pantalla de “presentación” de Windows Server 2008, con una barra móvil al centro. Mientras esto sucede, el cargador de arranque de Windows carga al núcleo del sistema operativo, la capa de abstracción de hardware ofrece la interfaz entre el sistema operativo y un conjunto particular de hardware, el archivo de Registro y los controladores de los dispositivos básicos de hardware, como teclado, monitor y ratón. Inicialización El núcleo del sistema operativo se inicializa y toma control sobre el cargador de arranque de Windows, inicia la interfaz gráfica, completa el Registro con la clave HKEY_LOCAL_MACHINE\HARDWARE y la subclave HKEY_LOCAL_MACHINE\SYSTEM\SELECT (conocida como “conjunto clon de control”), además de cargar el resto de los controladores de dispositivo. Por último, inicia el administrador de la sesión, que ejecuta cualquier archivo de comandos en tiempo de ejecución, crea un archivo de paginación para el Administrador de memoria virtual, genera vínculos con el sistema de archivos que pueden utilizarse con los comandos de DOS y, al final, inicia el subsistema de E/S para manejar todas las entradas y salidas de Windows Server 2008. Inicio de sesión Inicia la interfaz gráfica de usuario (GUI, Graphic User Interface) de Windows Server 2008 y despliega la pantalla de inicio de sesión. Tras iniciar correctamente una sesión se arrancan los servicios necesarios, el último conjunto de control correcto se escribe en la base del conjunto clon de control y se ejecutan los programas de inicio.
Control del proceso de arranque Windows Server 2008 proporciona la utilería Configuración del Sistema (véase la figura 14-14) para ejercer cierto control en el proceso de arranque. Con él, es posible determinar el modo de inicio: normal, de diagnóstico y selectivo; determine cuál de los diversos sistemas
14 MATTHEWS 01.indd 499
1/14/09 12:21:39 PM
500
Windows Server 2008: Guía del Administrador
Figura 14-14.
La utilería Configuración del sistema permite controlar el proceso de arranque.
operativos es el predeterminado, cuáles opciones utilizar, cuáles servicios están habilitados y cuáles aplicaciones se ejecutan desde el inicio, además de ejecutar diversas herramientas, como Restauración del sistema y Monitor de rendimiento. Para ejecutar la utilería Configuración del sistema: 1.
Haga clic en Inicio|Herramientas administrativas|Configuración del sistema.
2.
En ficha General, seleccione el modo de inicio.
3.
Haga clic en la ficha Arranque, escoja el sistema operativo que se utilizará como opción predeterminada y dé clic en Establecer como predeterminado.
4.
Haga clic en la ficha Servicios, revise los servicios en ejecución y desmarque cualquier servicio que no desee ejecutar la próxima vez que el equipo arranque.
5.
Haga clic en la ficha Inicio de Windows, revise las aplicaciones en ejecución y desmarque cualquier aplicación que no desee ejecutar la próxima vez que el equipo arranque.
6.
Haga clic en la ficha Herramientas, seleccione la herramienta que desee abrir y haga clic en Iniciar.
7.
Haga clic en Aceptar cuando termine de utilizar la utilería Configuración del sistema.
Corrija problemas de arranque Diversas situaciones pueden causar que un equipo no arranque. Para contrarrestar este hecho, Windows Server 2008 cuenta con varias características que ayudan a sortear el problema y le permiten corregirlo. Entre estas características se encuentran:
14 MATTHEWS 01.indd 500
1/14/09 12:21:39 PM
Capítulo 14:
Administración de Windows Server 2008
▼
Volver a la última configuración válida conocida de los archivos de Registro
▲
Utilizar la opción de arranque en Modo seguro y Opciones avanzadas
501
Regrese a la última configuración válida conocida de los archivos de Registro Si un equipo no completa correctamente el proceso de arranque y hace poco intentó instalar un nuevo elemento de hardware o software o modificó el Registro, el problema suele deberse a que el Registro intenta cargar un controlador de dispositivo que no funciona apropiadamente, así como el resultado de algún otro problema en el Registro. En general, conocería la razón del problema tras la etapa de inicialización o inicio de sesión. La solución más rápida para un problema con el Registro consiste en volver a la última configuración correcta de los archivos del Registro, siguiendo los pasos descritos a continuación: 1.
Reinicie el equipo y oprima f8, inmediatamente después de seleccionar el dispositivo de arranque (u oprima f8, inmediatamente después de que aparezca la pantalla de presentación del equipo).
2.
Utilice las flechas del teclado para elegir La última configuración válida conocida y luego oprima enter. Se utilizará La última configuración válida conocida de los archivos de Registro para iniciar Windows Server 2008.
SUGERENCIA Los archivos de La última configuración válida conocida del Registro se almacenaron la última vez que completó correctamente el proceso de arranque e inicio de sesión en Windows Server 2008.
El uso de La última configuración válida conocida y la Recuperación automática del sistema son los únicos medios automatizados para reparar un problema al arrancar Windows Server 2008. El resto de las técnicas requieren que trabaje manualmente con los archivos necesarios para arrancar Windows Server 2008.
Utilice el Modo seguro y otras opciones avanzadas Modo seguro utiliza los controladores mínimos predeterminados para arrancar los servicios básicos de Windows Server 2008, con la idea de que, en este modo, pueda solucionar el problema que evita el arranque normal. Modo seguro inicia con los mismos pasos utilizados para iniciar la última configuración válida conocida, excepto que selecciona uno de los tres modos seguros: Modo seguro, Modo seguro con funciones de red y Modo seguro con símbolo del sistema. El modo seguro básico no incluye funciones de red y trabaja con una interfaz gráfica de Windows mínima. La segunda opción de modo seguro añade capacidades de red y la tercera coloca al usuario en un símbolo del sistema; por lo demás, estas dos opciones son iguales a la primera. Cuando arranca en Modo seguro, se observa en la pantalla una lista de controladores, a medida que se cargan. Si el arranque falla en algún punto, es posible observar el último controlador cargado. Una vez que se ingresa en Windows, si no cuenta con un ratón disponible, será necesario recordar la combinación de teclas rápidas con las que se realizan funciones importantes, como las mostradas en la tabla 14-3.
14 MATTHEWS 01.indd 501
1/14/09 12:21:39 PM
502
Windows Server 2008: Guía del Administrador
Mientras trabaja en Modo seguro, es muy útil la ventana Información del sistema, como se muestra en la figura 14-15. Para abrir la ventana Información del sistema haga clic en Inicio|Todos los programas|Accesorios|Herramientas de sistema|Información del sistema. En la ventana Información del sistema, son muy valiosas las secciones Recursos de hardware|Conflictos/uso compartido, Componentes|Dispositivos con problemas y Entorno de software|Ejecutando tareas. Función
Combinación de teclas rápidas
Abrir menú Inicio
ctrl+esc
Abrir menú contextual
mayús+f10
Cerrar ventanas activas
alt-f4
Abrir la ayuda
f1
Abrir Propiedades
alt+enter
Buscar por archivos o carpetas
f3
Cambiar de tarea
alt+esc
Cambiar de programa
alt+tab
Cambiar de sección
ctrl+tab
Activar las teclas del ratón
mayús izquierda+alt izquierda+bloq num
Deshacer
crtl+z
Tabla 14-3.
Combinación de teclas rápidas disponibles al trabajar en Modo seguro.
De manera adicional a las opciones de Modo seguro y La última configuración válida conocida, el menú Opciones avanzadas tiene las siguientes opciones. Éstas son adicionales a la opción Iniciar Windows normalmente y a oprimir la tecla esc (con lo que vuelve al menú de opciones del sistema operativo). ▼
14 MATTHEWS 01.indd 502
Habilitar el registro de arranque Registra en el archivo ntbtlog.txt todos los eventos que toman lugar durante el arranque, localizadas como opción predeterminada en la carpeta C:\Windows. En el archivo se registra la carga de todos los archivos del sistema y los controladores, como se muestra a continuación, de manera tal que puede observar si alguno falló mientras se cargaba. El registro de los eventos que toman lugar durante el arranque se realiza en todas las opciones avanzadas de arranque, excepto en La última configuración válida conocida
1/14/09 12:21:39 PM
Capítulo 14:
Figura 14-15.
Administración de Windows Server 2008
503
La ventana Información de sistema puede ser útil para rastrear un problema.
■
Habilitar video de baja resolución (640x480) Inicia Windows en modo de pantalla de baja resolución (VGA), con una definición de 640×480, utilizando un controlador válido conocido, como opción predeterminada. El resto de los controladores y capacidades se carga normalmente. El modo VGA también se utiliza en la opción de Modo seguro
■
Modo de restauración de servicios de directorio Restaura Active Directory en controladores de dominio y luego inicia en Modo seguro, utilizando el modo normal de video y mantiene disponible el ratón. En los equipos que no son controladores de dominio, esta opción es igual a Modo seguro
▲
Modo de depuración Esta opción habilita el depurador de Windows y luego arranca el equipo con la configuración normal. Esto permite trabajar en secuencias de comandos que podrían interferir con el proceso correcto de arranque
NOTA Si usa un equipo de 64 bits y la versión x64 de Windows Server 2008, aparecerán dos opciones avanzadas adicionales: Deshabilitar el reinicio automático cuando se presenta una falla (que permite observar la causa de la falla) y Deshabilitar la firma forzada de controladores (que permite el uso de controladores sin firma).
14 MATTHEWS 01.indd 503
1/14/09 12:21:40 PM
504
Windows Server 2008: Guía del Administrador
USE DIRECTIVAS DE GRUPO Las directivas de grupo proporcionan los medios para establecer los estándares y pautas que una organización desea aplicar al uso de sus equipos. Las directivas de grupo pretenden reflejar las políticas generales de una organización y pueden establecerse de manera jerárquica desde un equipo local en el extremo inferior, a un sitio particular, dominio y varios niveles de unidades organizativas (OU, Organizational Unit) en el extremo superior. En general, las unidades de nivel inferior heredan directivas de las unidades superiores, aunque es posible bloquear las de alto nivel, además de forzar su herencia, si se desea. Las directivas de grupo se dividen en directivas de usuario, que prescriben lo que puede hacer un usuario, mientras las directivas del equipo determinan lo que está disponible en un equipo. Las directivas de usuario son independientes del equipo en que el usuario trabaja y se mantienen aunque el usuario cambie de equipo. Cuando el equipo se enciende (arranca), las directivas de grupo del equipo correspondientes se cargan y almacenan en el Registro en HKEY_LOCAL_MACHINE. Cuando el usuario inicia una sesión en un equipo, las directivas de grupo para el usuario correspondiente se cargan y almacenan en el Registro en HKEY_CURRENT_USER. Las directivas de grupo pueden ser muy benéficas para la organización e individuos que la integran. Todos los equipos de una organización pueden ajustarse automáticamente a cualquier usuario que inicie una sesión. Entre esto se incluye un escritorio personalizado con un menú Inicio personalizado y un conjunto único de aplicaciones. Las directivas de grupo controlan el acceso a archivos, carpetas y aplicaciones, además de la capacidad para cambiar configuración del sistema y aplicaciones, así como eliminar archivos y carpetas. Las directivas de grupo pueden automatizar tareas cuando un equipo se enciende o apaga y cuando un usuario inicia o cierra una sesión. Además, las directivas de grupo pueden almacenar automáticamente archivos y accesos directos en carpetas específicas.
Cree y cambie directivas de grupo Las directivas de grupo pueden existir en el nivel del equipo local, sitio, dominio y la OU. Aunque el proceso para crear o cambiar directivas de grupo es el mismo para niveles de sitio, dominio y OU, es suficientemente diferente en el nivel del equipo local para que valga la pena describirlo por separado.
Cambie directivas de grupo en el nivel del equipo local Cada equipo con Windows Server 2008 sólo tiene una directiva de grupo local creada durante la instalación y almacenada por omisión en C:\Windows\System32\GroupPolicy. Dado que sólo puede existir una directiva de grupo local, no es posible crear otra, pero sí es posible editar la directiva existente siguiendo los pasos descritos a continuación:
14 MATTHEWS 01.indd 504
1.
Haga clic en Inicio|Ejecutar, escriba gpedit.msc y oprima enter o haga clic en Aceptar. Se abrirá la ventana Editor de directivas de grupo local.
2.
Abra varios niveles del árbol ubicado del lado izquierdo, de manera que llegue a un nivel que muestre directivas y sus valores asignados del lado derecho, como se muestra en la figura 14-16.
1/14/09 12:21:40 PM
Capítulo 14:
Figura 14-16.
14 MATTHEWS 01.indd 505
Administración de Windows Server 2008
505
Edite las directivas de grupo propiedades como inicio para el uso de directivas.
3.
Haga doble clic en una directiva para abrir su cuadro de diálogo. En éste es posible cambiar los valores de la directiva local, habilitándola o deshabilitándola y también agregando o eliminando usuarios o grupos.
4.
Agregue usuarios o grupos adicionales haciendo clic en Agregar usuarios o grupo y seleccionando los usuarios o grupos que desea añadir.
5.
Expanda Configuración de usuario | Plantillas administrativas | Componentes de Windows | Internet Explorer | Configuración de Internet | Configuración avanzada | Exploración, dé doble clic en la primera configuración y luego dé clic en Valor siguiente para revisar todos los valores. Todos ellos tienen seleccionada la opción “No configurada”.
6.
Haga clic en la ficha Explicación, en cualquier cuadro de diálogo Propiedades, para obtener una descripción detallada de la directiva y los efectos de habilitarla, deshabilitarla o dejar la directiva sin configurar.
7.
Realice cualquier cambio que desee a las directivas de grupo en el equipo local y luego cierre los cuadros de diálogo abiertos y la ventana Directiva de grupo.
1/14/09 12:21:40 PM
506
Windows Server 2008: Guía del Administrador
Aunque las directivas de grupo puedan implementarse en el nivel del equipo local y son para el equipo, como opción predeterminada se espera que se sobrescriban en los niveles de dominio u OU.
Revise las directivas de grupo en los niveles de dominio y OU Las directivas de grupo arriba del nivel del equipo local son objetos de Active Directory y, por tanto, se denominan objetos de directiva de grupo (GPO, Group Policy Object). Se crean como un objeto, pero se almacenan en dos piezas: un contenedor de directiva de grupo y una plantilla de directiva de grupo. Los contenedores de directiva de grupo (GPC, Group Policy Container) se almacenan en Active Directory y contienen pequeñas piezas de información que rara vez cambian. Las plantillas de directiva de grupo (GPT, Group Policy Template) son un conjunto de carpetas almacenadas, como opción predeterminada, en C:\Windows\Sysvol\Sysvol\nombre dominio\Policies\ con componentes del usuario y la máquina, como se muestra en la figura 14-17. Las GPT almacenan grandes piezas de información que cambia frecuentemente. Es posible revisar un GPO relacionado con un dominio u OU, abriendo Administración de directivas de grupo, en el Administrador del servidor o su propia MMC. Vea, a continuación, cómo se hace esto:
Figura 14-17. Cuando instala la función Servicios de dominio de Active Directory, se crea una estructura de carpetas para almacenar las plantillas de directiva de grupo.
14 MATTHEWS 01.indd 506
1/14/09 12:21:41 PM
Capítulo 14:
Administración de Windows Server 2008
507
PRECAUCIÓN Aunque vale la pena comprender cuáles son la directiva de dominio predeterminada y la directiva de controlador de dominio predeterminada, éstas se encuentran en la parte superior de la pirámide de directivas y no deben modificarse, excepto cuando un programa lo requiera.
1.
Haga clic en Inicio|Administrador del servidor y abra Características|Administración de directivas de grupo. O bien, haga clic en Inicio|Ejecutar y escriba gpmc.msc. En cualquier caso, abra Bosque|Dominios|nombre de dominio|Objetos de directiva de grupo y haga clic en Default Domain Policy.
2.
En el panel de la derecha, haga clic en la ficha Configuración y clic en la opción Mostrar todo, ubicada en el extremo derecho de las directivas, para ver los detalles, como se muestra en la figura 14-18 (si se está ejecutando gpmc.msc).
3.
En el panel de la izquierda, haga clic derecho en Default Domain Policy y seleccione Editar. Se abrirá el Editor de administración de directivas de grupo. En la ventana del editor abra, por ejemplo, Configuración del equipo | Directivas | Configuración de Windows|Configuración de seguridad|Directivas locales y dé clic en Opciones de seguridad, para ver la lista de directivas mostrada en la figura 14-19.
Figura 14-18. La configuración de directivas de grupo puede ser revisada en Administración de directivas de grupo.
14 MATTHEWS 01.indd 507
1/14/09 12:21:41 PM
508
Windows Server 2008: Guía del Administrador
Figura 14-19. La Administración de directivas de grupo se puede realizar a un nivel muy detallado.
14 MATTHEWS 01.indd 508
4.
Haga doble clic en una directiva, para abrir su cuadro de diálogo Propiedades y luego dé clic en la sección Explicación, para ver una descripción de la directiva, los efectos de su configuración y algunas notas. Cuando termine, cierre el cuadro de diálogo Propiedades.
5.
Abra, revise y después cierre otros objetos y propiedades bajo Configuración del equipo y después bajo Configuración de usuario. Cuando termine, cierre el Editor de administración de directivas de grupo.
1/14/09 12:21:41 PM
Capítulo 14:
Administración de Windows Server 2008
509
Trabaje con objetos de directivas de grupo Es posible respaldar, restaurar, copiar, eliminar y cambiar el nombre de los GPO al hacer clic derecho en ellos. También crear un nuevo GPO utilizando la opción GPO de inicio. He aquí cómo:
SUGERENCIA Un “GPO de inicio” ofrece un conjunto de plantillas administrativas necesarias en un GPO que pueden modificarse y luego utilizarse para crear un nuevo GPO.
14 MATTHEWS 01.indd 509
1.
En Administración de directivas de grupo, abra Bosque|Dominios|nombre de dominio y dé clic en GPO de inicio.
2.
Si es la primera vez que se crean GPO de inicio, haga clic en el botón Crear carpeta de GPO de inicio.
3.
En el panel de la izquierda, haga clic derecho en la opción GPO de inicio y clic en Nuevo. Escriba un nombre para el GPO de inicio, añada los comentarios deseados y haga clic en Aceptar.
4.
En el panel de la derecha, haga clic derecho en el nuevo GPO de inicio y haga clic en Editar. Se abrirá la ventana del Editor de GPO del iniciador de directivas de grupo.
5.
Abra, por ejemplo, Configuración del equipo|Plantillas administrativas|Red|Conexiones de red|Firewall de Windows|Perfil de dominio y haga clic en una de las configuraciones para ver su descripción, como lo muestra la figura 14-20.
6.
Haga doble clic en una configuración para abrir su cuadro de diálogo Propiedades, donde es posible modificar la configuración y añadir comentarios. Haga clic en Aceptar cuando termine.
7.
Abra, modifique y cierre todas las directivas que desee y sus configuraciones correspondientes. Cuando esté listo, cierre el Editor de GPO del iniciador de directivas de grupo.
8.
Para crear un nuevo GPO a partir de un GPO de inicio, haga clic derecho en el GPO de inicio que desee utilizar y haga clic en la opción Nuevo GPO a partir de GPO de inicio. Escriba un nombre para el nuevo GPO y haga clic en Aceptar.
1/14/09 12:21:42 PM
510
Windows Server 2008: Guía del Administrador
Figura 14-20. Con el uso de un GPO de inicio, es posible configurar un GPO para un propósito particular y utilizarlo para crear uno o más GPO.
9.
14 MATTHEWS 01.indd 510
En el panel de la izquierda, bajo Administración de directivas de grupo, abra Bosque | Dominios | nombre del dominio | Objetos de directiva de grupo y haga clic derecho en el nuevo GPO. En el menú contextual, es posible editar y realizar diversas operaciones con un GPO predeterminado.
1/14/09 12:21:42 PM
Capítulo 14:
Administración de Windows Server 2008
511
10.
Una vez que tiene un GPO, puede vincularlo con un dominio, OU o sitio, al hacer clic derecho en el dominio, OU o sitio; dar clic en la opción Vincular un GPO existente, seleccionar el GPO y clic en Aceptar.
11.
Cuando todo esté listo, cierre la ventana Administración de directivas de grupo.
EMPLEE PERFILES DE USUARIO Si usted es el único usuario del equipo, puede modificar a la medida de sus gustos y necesidades individuales escritorio, menú Inicio, carpetas, conexiones de red, Panel de control y aplicaciones. Si varios usuarios utilizan el mismo equipo, como suele suceder con un servidor, éstos sólo podrían molestarse entre sí en el caso de que se realizara este tipo de cambios. La forma de evitar esto es creando un perfil de usuario para cada usuario que contiene la configuración individual sólo para él, que se carga cuando inicia una sesión en el equipo. Cuando crea una nueva cuenta de usuario e inicia una sesión en un equipo con Windows Server 2008, automáticamente se crea un perfil de usuario, y cuando cierra la sesión la configuración se almacena en dicho perfil. Al iniciar nuevamente una sesión, la configuración almacenada se utiliza para ajustar el sistema a la forma que tenía cuando la sesión cerró por última vez. Al instalar Windows Server 2008, establece un perfil de usuario predeterminado, utilizado por todos los nuevos usuarios como opción predeterminada, almacenado con el nombre del usuario cuando éste cierra la sesión. El primer usuario que se crea al instalar Windows Server 2008 es Administrador, mientras la configuración inicial se almacena con dicho usuario. Un perfil de usuario es un conjunto de carpetas almacenadas en la carpeta Usuarios, en el volumen del sistema en que instala el sistema operativo. En la figura 14-21 se muestran las carpetas de un perfil de usuario llamado Administrador. En la misma figura puede observarse una carpeta para todos los usuarios y una predeterminada, con archivos, carpetas y configuraciones aplicables a todos los usuarios. Existen tres tipos de perfiles de usuario: local, roaming y obligatorio. NOTA Los accesos directos en la lista de la carpeta Usuarios (carpetas con una flecha) son carpetas donde se colocan programas antiguos configurados para versiones antiguas de Windows.
Cree perfiles de usuario local Los perfiles de usuario local se generan automáticamente cuando se crea un nuevo usuario e inicia sesión en el equipo; el perfil cambia cada vez que el usuario hace cambios al entorno, como los hechos al escritorio o al menú Inicio. Cuando el usuario cierra la sesión, cualquier cambio realizado se almacena en el perfil de usuario. Éste es un proceso automático y estándar en Windows Server 2008. Sin embargo, una cuenta de usuario local se limita al equipo en que se crea. Si el usuario inicia una sesión en un equipo diferente, se crea un nuevo perfil de usuario local en ese equipo. Un perfil de usuario de roaming elimina la necesidad de tener un perfil diferente en cada equipo.
14 MATTHEWS 01.indd 511
1/14/09 12:21:42 PM
512
Windows Server 2008: Guía del Administrador
Figura 14-21. Los perfiles de usuario cuentan con un conjunto de carpetas para su uso en el equipo.
Cree perfiles de usuario de roaming Un perfil de usuario de roaming se configura en un servidor de manera tal que cuando inicie una sesión por primera vez en un equipo en el mismo dominio que el servidor, será autentificado por el servidor y su perfil de usuario completo será enviado al equipo, donde se almacenará como perfil de usuario local. Cuando cierre la sesión en el equipo, cualquier cambio realizado en la configuración del perfil se almacenará en equipo y servidor. La próxima vez que inicie sesión en el equipo, su perfil local se comparará con su perfil en el servidor y sólo los cambios en éste se descargarán al equipo, reduciendo así el tiempo de inicio para la sesión.
14 MATTHEWS 01.indd 512
1/14/09 12:21:43 PM
Capítulo 14:
Administración de Windows Server 2008
513
El proceso para crear un perfil de usuario de roaming consta de cinco pasos: 1.
Cree una carpeta para almacenar los perfiles.
2.
Cree una cuenta de usuario.
3.
Asigne la carpeta de los perfiles a la cuenta de usuario.
4.
Cree un perfil de usuario de roaming.
5.
Copie una plantilla de perfil al usuario.
Cree una carpeta de perfiles Los perfiles de usuario de roaming pueden almacenarse en cualquier servidor (no es necesario que el servidor se encuentre en un controlador de dominio). En realidad, debido al tamaño de la descarga, la primera vez que un usuario inicia sesión en un nuevo equipo, tiene sentido no almacenar los perfiles de usuario de roaming en el controlador del dominio. No existe carpeta predeterminada para almacenar perfiles de roaming, así que debe crear una dando los pasos siguientes: 1.
Inicie sesión como Administrador en el servidor donde desea que resida la carpeta de perfiles y abra el Explorador de Windows (Inicio|Equipo).
2.
Haga clic en Disco local (C:) en la lista de carpetas. Dé clic derecho en un área en blanco del panel de la derecha y haga clic en Nuevo|Carpeta.
3.
En el cuadro de nombre de la nueva carpeta, escriba el nombre que asignará a la carpeta donde se ubicarán los perfiles. Debe ser un nombre que reconozca fácilmente, como “Perfiles”. Oprima enter.
4.
Haga clic derecho en la nueva carpeta y clic en Compartir. En el cuadro de diálogo de Archivos compartidos, haga clic en la flecha al lado del botón Agregar y en la opción Todos, en Agregar y en Compartir.
5.
Dé clic en Listo, para cerrar el cuadro de diálogo Archivos compartidos. Deje abierta la ventana del Explorador de Windows.
Cree una cuenta de usuario Todos los usuarios de un dominio deben tener una cuenta de usuario en ese dominio. Ha visto cómo crear una cuenta de usuario en capítulos anteriores (3 y 7) y se tocará el tema de nuevo en el capítulo 15, pero aquí se incluyen algunos pasos, para refrescar esos conocimientos:
14 MATTHEWS 01.indd 513
1.
Mientras se encuentra en una sesión iniciada como Administrador, abra la ventana Usuarios y equipos de Active Directory (Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory).
2.
Abra el dominio en que desea crear la cuenta; luego abra Users. Eche un vistazo a los usuarios existentes para asegurarse de que el usuario que desea crear no se ha generado aún.
1/14/09 12:21:43 PM
514
Windows Server 2008: Guía del Administrador
3.
Haga clic en el menú Acción, luego en Nuevo|Usuario. Se abrirá el cuadro de diálogo de Nuevo objeto–Usuario. Escriba nombre de usuario y de inicio de sesión de usuario y después dé clic en Siguiente.
4.
Ingrese la contraseña del usuario, seleccione cuándo deberá cambiarla el usuario y haga clic en Siguiente. Revise la configuración realizada. Si quiere cambiar algo, haga clic en el botón Atrás y realice los cambios necesarios. Cuando todo esté listo, haga clic en Finalizar.
Para continuar con estos ejercicios, cree varias cuentas nuevas: por lo menos una con perfil de roaming regular y otra que será plantilla para perfil preconfigurado. Deje abierta la ventana Usuarios y equipos de Active Directory cuando termine.
Asigne la carpeta de perfiles a una cuenta de usuario Para utilizar un perfil de roaming, la cuenta del usuario debe especificar que su perfil está almacenado en la carpeta de perfiles antes establecida. De otra forma, Windows Server 2008 buscará en la carpeta de Usuarios del equipo la información del usuario que inició la sesión. En los pasos siguientes se muestra cómo asignar la carpeta de perfiles a una cuenta de usuario:
14 MATTHEWS 01.indd 514
1.
En la carpeta Usuarios y equipos de Active Directory\nombre del dominio\Users, donde añadió al nuevo usuario, haga clic derecho en uno de los usuarios creados en el paso anterior y luego seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades del usuario.
2.
Haga clic en la ficha Perfil. En el cuadro de texto Ruta de acceso al perfil escriba \\nombreservidor\nombrecarpeta\nombreiniciosesión. Por ejemplo, si el nombre de servidor en que está almacenado el perfil es ServidorCentral, la carpeta es Perfiles y el nombre de inicio de sesión del usuario Manuel, entonces debe escribir \\servidorcentral\perfiles\manuel.
1/14/09 12:21:43 PM
Capítulo 14:
3.
Administración de Windows Server 2008
515
Cierre el cuadro de diálogo Propiedades y repita el proceso para el otro usuario.
Cree un perfil de usuario de roaming Una vez configurada una carpeta compartida en un servidor y especificada en la cuenta del usuario que el perfil del usuario localizará en dicha carpeta del servidor, se creará el perfil de usuario y almacenará en el servidor, en el momento en que el usuario inicie una sesión en cualquier equipo de la red. Dé los pasos siguientes: 1.
Inicie sesión con una de las nuevas cuentas de usuario creadas en cualquier equipo de la red. Realice algunos cambios en el escritorio y menú Inicio y después cierre la sesión.
2.
Eche un vistazo a la carpeta creada en el servidor para almacenar los perfiles de usuario. Verá cómo ha creado una nueva carpeta de perfiles con el nombre de inicio de sesión del usuario utilizado en el paso 1.
3.
Inicie sesión con este mismo usuario en otro equipo de la red. Los cambios realizados al escritorio y menú Inicio estarán presentes.
Aunque la técnica anterior es apropiada para alguien a quien se desea dar libertad absoluta en el sistema y está bien informado sobre cómo adaptarlo a sus necesidades y deseos, si desea poner límites al usuario o alguien que no tiene mucho conocimiento sobre cómo cambiar el sistema, es posible crear una plantilla de perfil y después asignarla a uno o más usuarios. Para construir una plantilla, simplemente inicie sesión con el usuario de “plantilla”, creado en el equipo que desea utilizar para el perfil y después efectúe los cambios necesarios que quiere reflejar en el perfil. Si la plantilla se asignará a varias personas, asegúrese de que hardware y aplicaciones son los mismos tanto en el grupo que utilizará el perfil como en el equipo usado para crear el perfil.
14 MATTHEWS 01.indd 515
1/14/09 12:21:43 PM
516
Windows Server 2008: Guía del Administrador
Copie o asigne una plantilla de perfil a un usuario Puede manejar una plantilla de dos diferentes maneras. Puede “copiarla” para crear un nuevo perfil que luego se asigna a un usuario o asignar la plantilla tal como está a varios usuarios. Verá cómo hacer esto, siguiendo los pasos descritos a continuación: NOTA El proceso de “copia” en este caso utiliza una técnica especial y no puede realizarse con el comando Copiar de Equipo o el Explorador de Windows.
1.
En la carpeta Usuarios y equipos de Active Directory\nombre de dominio\Users en que se añadió al nuevo usuario, dé clic derecho en la plantilla de perfil ya creada y clic en Copiar. Se abrirá el cuadro de diálogo Copiar objeto – Usuario.
2.
En este cuadro de diálogo, escriba nombre de usuario, nombre de inicio de sesión y contraseña.
3.
Repita los pasos 1 y 2 para asignar la plantilla a varios usuarios.
4.
Inicie sesión con cada uno de los nuevos usuarios en uno o más equipos y asegúrese de que todo funciona correctamente. Una posibilidad en caso de que la conexión no funcione es un error de escritura en la ruta del perfil capturada en el cuadro de diálogo Propiedades del usuario.
Utilice perfiles de usuario obligatorios Un perfil de usuario obligatorio es un perfil de roaming que no puede modificarse; es sólo para lectura. Esto es muy valioso cuando varios usuarios comparten el mismo perfil. En el momento en que un usuario termina una sesión en un equipo donde se ha utilizado un perfil obligatorio no se almacenan los cambios realizados por el usuario. El perfil no evita que el usuario realice cambios mientras está abierta su sesión, pero los cambios no se almacenan. Un perfil de usuario obligatorio se crea tomando un perfil de usuario de roaming y, en la carpeta con el nombre del usuario, cambiando el nombre del archivo del sistema Ntuser.dat por Ntuser.man.
ACTUALICE WINDOWS SERVER 2008 Cuando termina la instalación de Windows Server 2008 y después, se generan recordatorios en un pequeño globo, de manera periódica, en la parte inferior derecha de la pantalla, para “Mantenerse al día con actualizaciones automáticas”. Si se habilita la opción de actualizaciones automáticas, el sistema determinará por sí mismo si existen actualizaciones disponibles para Windows Server 2008 y de manera automática o manual las descargará de Internet; asimismo, las instalará periódicamente. Esto garantiza que el sistema cuente con las últimas correcciones generadas por Microsoft. Si se opta por no instalar las actualizaciones de manera automática, aún es posible descargarlas de Internet e instalarlas manualmente.
14 MATTHEWS 01.indd 516
1/14/09 12:21:44 PM
Capítulo 14:
Administración de Windows Server 2008
517
Actualizaciones manuales Para obtener e instalar manualmente las actualizaciones, debe abrir el sitio Web de Windows Update y permitir que rastree su sistema para determinar si es necesaria una actualización, descargarla y después instalarla. Siga los pasos descritos a continuación para realizar una actualización manual: 1.
Haga clic en Inicio | Todos los programas | Windows Update. Se abrirá la ventana Windows Update.
2.
Haga clic en Buscar actualizaciones. Se establecerá una conexión con Internet, se buscarán actualizaciones en el sitio de Microsoft y se le indicará si hay alguna.
3.
Si se tienen actualizaciones que necesitan o pueden ser instaladas, haga clic en Instalar actualizaciones.
4.
Haga clic en Aceptar cuando se muestre el contrato de licencia; después de ello comenzará la descarga. Cuando la transferencia esté completa, las actualizaciones se instalarán automáticamente. Cuando la instalación esté completa, dependiendo de la actualización, quizás necesite reiniciar el equipo. Si el equipo lo solicita, haga clic en Aceptar.
5.
En caso de que no se le solicite reiniciar el equipo, cierre la ventana Windows Update. Las actualizaciones están instaladas y listas para usarse.
Actualizaciones automáticas Si se activa la opción de actualizaciones automáticas, Windows se conecta a Internet, va al sitio Web de Windows Update y determina si hay actualizaciones necesarias para descargar. En ese caso, Actualizaciones automáticas, de acuerdo con la opción seleccionada, le notificarán la disponibilidad de la actualización o bien si la descargará automáticamente. De igual forma, es posible elegir entre instalarlas automática o manualmente, una vez concluida la descarga. Si decide dar los tres pasos automáticamente (detectar las actualizaciones necesarias, descargarlas e instalarlas), es posible programar un horario para que se realice esta tarea.
14 MATTHEWS 01.indd 517
1/14/09 12:21:44 PM
518
Windows Server 2008: Guía del Administrador
Active la opción de actualizaciones automáticas Las actualizaciones automáticas se activan de dos maneras. Poco después de instalar Windows Server 2008, el sistema preguntará si se desea activar la opción de actualizaciones automáticas. Esto abre el asistente para configuración de actualizaciones automáticas. Siguiendo las instrucciones del asistente, es posible activarlas. También puede acceder a la opción de actualizaciones automáticas en cualquier momento mediante el Panel de control. Con los siguientes pasos se describe cómo activar la opción de actualizaciones automáticas desde el Panel de control: 1.
Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Se abrirá la ventana Sistema; en ella, haga clic en el vínculo Windows Update ubicado en la parte inferior izquierda de la pantalla.
2.
Haga clic en Cambiar configuración. Se abrirá la ventana Cambiar configuración, como se muestra en la figura 14-22. Determine el nivel de automatización deseado, haciendo clic en una de las tres opciones mostradas:
Figura 14-22. Puede seleccionar el nivel de automatización para la instalación de actualizaciones del sistema operativo.
14 MATTHEWS 01.indd 518
1/14/09 12:21:44 PM
Capítulo 14:
a.
Administración de Windows Server 2008
519
La primera opción revisa si existen actualizaciones disponibles, las descarga e instala, todo de manera automática en un día y hora especificados.
b. La segunda opción determina automáticamente si existen actualizaciones disponibles y las descarga automáticamente; luego pregunta al usuario antes de instalarlas. c.
La tercera opción determina automáticamente si existen las actualizaciones necesarias, después pregunta al usuario si desea descargarlas y pregunta de nuevo antes de instalarlas.
d. La cuarta opción es manual y todo el proceso se realiza a petición directa del usuario. 3.
Haga clic en Aceptar para cerrar la ventana.
Use actualizaciones semiautomáticas Si se selecciona la segunda o tercera opción, se visualizará un aviso cada vez que existan actualizaciones listas para descargarse o instalarse. Al hacer clic en el aviso, se abrirá el cuadro de diálogo de actualizaciones automáticas. Si hace clic en el botón Detalles, es posible ver las actualizaciones disponibles, además de una descripción de cada una. Es posible seleccionar de manera individual la descarga e instalación de cada una de las actualizaciones propuestas haciendo clic en el cuadro de selección.
Conserve las actualizaciones automáticas Una vez instaladas las actualizaciones automáticas, la ventana Windows Update mostrará la fecha de la última búsqueda de actualizaciones, la última vez que se instalaron actualizaciones, cuál es la configuración actual para la realización de actualizaciones; además de permitir la revisión de las actualizaciones instaladas y permitirá realizar una búsqueda de actualizaciones disponibles, además de modificar la configuración actual.
14 MATTHEWS 01.indd 519
1/14/09 12:21:44 PM
15 MATTHEWS 01.indd 520
1/14/09 12:22:18 PM
CAPÍTULO 15 Control de seguridad en Windows Server 2008
521
15 MATTHEWS 01.indd 521
1/14/09 12:22:18 PM
522
Windows Server 2008: Guía del Administrador
L
a seguridad es un tema tan amplio que resulta difícil obtener una imagen general. Una forma de lograr esto consiste en ver las demandas de seguridad en una red computacional. Una vez que las demandas se definen, también puede ver cómo las maneja Windows Server 2008. Entre las demandas de seguridad se incluyen las siguientes (son también las secciones más importantes de este capítulo): ▼
Autentificar al usuario Conocer quién usa el equipo o conexión de red
■
Control del acceso Establecer y mantener límites sobre lo que un usuario puede hacer
■
Aseguramiento de los datos almacenados Evitar que los datos almacenados se usen incluso con acceso
▲
Aseguramiento de la transmisión de datos Evitar que se dé mal uso a los datos en una red
Windows Server 2008 utiliza un método de varias capas para implementar seguridad y suministra varias funciones empleadas para manejar demandas de seguridad. La estrategia central de seguridad de Windows Server 2008 es el uso de Active Directory para almacenar cuentas de usuario y proporcionar servicios de autentificación, aunque las características de seguridad están disponibles sin Active Directory. Éste proporciona una centralización de administración de seguridad, muy benéfica para la imposición fuerte de seguridad. En cada una de las siguientes secciones, una demanda de seguridad se explica con más detalle y se analizan las opciones que atienden tal demanda en Windows Server 2008, siendo éstas la forma de implementarlas. NOTA En casi todos los conjuntos de pasos de este capítulo se requiere inicio de sesión como Administrador.
AUTENTIFIQUE AL USUARIO Autentificación es el proceso de verificar que usuarios u objetos sean lo que se supone deben ser. En su forma más simple, la autentificación de usuario de un equipo incluye validación de nombre de usuario y contraseña contra entrada almacenada, como se hace en un equipo estándar. En su forma más completa, la autentificación de usuario requiere el uso de métodos sofisticados para validar un posible usuario, al usar, tal vez, una tarjeta inteligente o dispositivo biométrico en cualquier lugar de la red, contra credenciales en Active Directory. En el caso de objetos, como documentos, programas y mensajes, la autentificación requiere usar validación de certificados. En Windows Server 2008, las tres formas de autentificación están disponibles y ambas formas de usuario emplean un solo concepto que permite a los usuarios, una vez autentificados, obtener acceso a otros servicios en el equipo local o red, dependiendo de su entorno y permisos, sin reinsertar su nombre de usuario y contraseña. En la instalación predeterminada, cuando inicia un equipo con Windows Server 2008, existe una petición para oprimir ctrl+alt+supr. Esto detiene todos los programas que se ejecutan en el equipo, excepto la petición para insertar su nombre de usuario y contraseña. El propósito de detener todos los programas es evitar que un programa de caballo de Troya
15 MATTHEWS 01.indd 522
1/14/09 12:22:18 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
523
capture su nombre de usuario y contraseña. Si la combinación de nombre de usuario/contraseña ingresada no es correcta, se le dan cinco oportunidades para corregirla, después de las cuales el equipo se inmoviliza 30 segundos. Luego se da, como opción, una oportunidad y cinco oportunidades, separadas por 30 segundos de inactividad, luego el patrón se repite para insertar nombre de usuario y contraseña correctos. Este patrón hace más difícil descifrar una contraseña pues no puede intentar una nueva contraseña de manera repetida. Una vez ingresados nombre de usuario y contraseña, deben autentificarse. Esto puede hacerse en el equipo local, donde el usuario estará limitado a ese equipo, o en un servidor que da soporte a una red, tal vez con Active Directory, en cuyo caso el usuario accederá a la red.
Autentificación de usuario de equipo local Para tener un nombre de usuario y contraseña aceptados en un equipo independiente local, deben insertarse antes una cuenta de usuario con ese nombre de usuario y contraseña, en la base de datos Usuarios y grupos locales, en el archivo del administrador de cuentas de seguridad (SAM, Security Account Manager) o HKEY_LOCAL_MACHINE en Registro. Aquí se muestran los pasos para configurar una cuenta de usuario: NOTA Si está en un controlador de dominio de Active Directory, no tendrá Usuarios ni grupos locales en Administración de equipos. Debe utilizar Usuarios y equipos de Active Directory.
1.
Mientras siga en la sesión como Administrador, haga clic en Inicio | Herramientas administrativas | Administración de equipos. Se abre la ventana Administración de equipos.
2.
En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos locales, haga clic en Usuarios, clic derecho en el panel derecho y luego en Usuario nuevo, para abrir el cuadro de diálogo Usuario nuevo.
3.
Inserte un nombre de usuario de hasta 20 caracteres. No puede contener sólo puntos o espacios; tampoco puede tener “ / \ [ ] : ; | = , + * ¿ @; asimismo, espacios o puntos se eliminan.
4.
Inserte un nombre completo, descripción (opcional), contraseña de hasta 14 caracteres con mayúsculas o minúsculas, confirmación y después seleccione lo que debe hacer el usuario con la contraseña, como se muestra en la figura 15-1. Una contraseña debe tener al menos ocho caracteres de largo y una mezcla de mayúsculas, minúsculas, números y caracteres especiales.
5.
Cuando haya ingresado esta información en forma correcta, dé clic en Crear y después en Cerrar. Ahora podrá salir de la sesión de Administrador e iniciar como su nuevo usuario. Inténtelo para confirmar que funciona.
Con la entrada de nombre de usuario y contraseña, el nuevo usuario podrá hacer cualquier acción en ese nivel de permiso de usuario en dicho equipo. Si éste se conecta después a una red, la cuenta debe restablecerse ahí para que el usuario pueda usar dicha red.
15 MATTHEWS 01.indd 523
1/14/09 12:22:18 PM
524
Windows Server 2008: Guía del Administrador
Figura 15-1. Un nuevo usuario o equipo individual insertado a través de Administración de equipos.
Autentificación de usuario de red En un entorno de red, la autentificación de usuarios es manejada por uno de varios métodos, dependiendo si está habilitado Active Directory. Si no lo está utilizando, entonces la autentificación se maneja en un nivel más básico. Si Active Directory está en uso, habrá disponibles varias técnicas de autentificación más avanzadas en Windows Server 2008. Si los usuarios vienen de Internet, también podrán utilizar certificados, además de protocolos de autentificación capa de conector seguro (SSL, Secure Sockets Layer) o seguridad de capa de transporte (TLS, Transport Layer Security). En el caso de los certificados, Windows Server 2008 puede tomar un certificado autentificado y asignarlo a un usuario para que se integre con el resto del sistema (consulte “Autentificación de certificado”, en páginas posteriores de este capítulo). En todos estos métodos, primero debe establecer una cuenta de usuario en el servidor antes de que la autentificación se efectúe. Sin Active Directory, el procedimiento para configurar una cuenta de usuario es el mismo que con el equipo local, analizado en la sección anterior, excepto que debe hacerse en cada servidor de la red. Con Active Directory y Servicios de Certificate Server de Active Directory, que requieren Active Directory para uso completo, el procedimiento es un poco diferente. Aquí se muestran los pasos:
15 MATTHEWS 01.indd 524
1.
Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Se abre el cuadro de diálogo Usuarios y equipos de Active Directory.
2.
En el panel de la izquierda, abra el dominio aplicable y después la carpeta Users. Haga clic en el menú Acción y en Nuevo | Usuario.
1/14/09 12:22:18 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
525
3.
En el cuadro de diálogo Nuevo objeto – Usuario, escriba el nombre del usuario y de inicio de sesión, como verá aquí, y después haga clic en Siguiente.
4.
Inserte y confirme la contraseña, seleccione cómo quiere que el usuario cambie la contraseña y después haga clic en Siguiente.
5.
Revise sus opciones, utilice Atrás, si es necesario, para realizar cualquier cambio, y haga clic en Finalizar cuando la cuenta esté a su gusto.
Al establecer esta cuenta de usuario en Active Directory, con las directivas apropiadas, el usuario podrá iniciar sesión en cualquier lugar de la red, que puede extenderse a Internet y autentificarse.
Autentificación Kerberos Kerberos versión 5 es el protocolo de autentificación predeterminado de Windows Server 2008, y Kerberos, en sus diferentes versiones, es el protocolo predeterminado de casi todo Internet. Esto significa que las mismas rutinas de autentificación de Windows Server 2008 pueden validar un cliente de Windows Server 2008 local y un cliente UNIX conectado a Internet. Kerberos fue desarrollado originalmente por MIT para autentificación de Internet (http://Web.mit.edu/kerberos/www/). La Internet Engineering Task Force (IETF) da mantenimiento a la especificación de Kerberos versión 5, que, junto con una revisión general, se encuentra en la solicitud de comentario 1510 (RFC, Request For Comment; consulte el capítulo 5 para conocer un análisis de las RFC), disponible en línea en http://www.ietf. org/rfc/rfc1510.txt. Además de la semejanza con Internet y varios sistemas, Kerberos aporta otro beneficio importante para usuarios de Windows Server 2008. En otros esquemas de autentificación, cada vez que un usuario intenta acceder a diferentes servicios de red, tal servicio debe ir al servidor de autentificación para configurar la autenticidad del usuario. Esto no significa
15 MATTHEWS 01.indd 525
1/14/09 12:22:19 PM
526
Windows Server 2008: Guía del Administrador
que el usuario deba iniciar sesión de nuevo, pero cada servicio tiene que obtener su propia confirmación, creando bastante tráfico de red. Éste no es el caso con Kerberos, que suministra para cada usuario un boleto cifrado con el ID de usuario y contraseña que los dispositivos de red pueden usar para identificar y validar. El sistema de boleto de Kerberos también valida el servicio de red para el usuario, proporcionando autentificación entre usuario y servicio. NOTA El boleto de Kerberos también se conoce como boleto de servicio o de usuario. Todos son el mismo objeto.
Kerberos usa un centro de distribución de claves (KDC, Key Distribution Center) en cada controlador de dominio, que almacena las cuentas de usuario ingresadas en Active Directory de la red. Cuando un usuario intenta iniciar sesión en cualquier parte de la red, tiene lugar el siguiente proceso: 1.
El nombre de usuario y contraseña se cifran y envían a KDC.
2.
KDC valida la combinación del nombre de usuario y contraseña.
3.
Se construye un boleto que cifra nombre de usuario y contraseña, además de una clave para transferir información entre el usuario y cualquier otro servicio de red.
4.
El boleto se devuelve al punto de inicio de sesión del usuario, donde se presenta al servicio de red, que proporciona la autenticidad para el usuario.
5.
La capacidad del servicio para aceptar y utilizar el boleto prueba la autenticidad del servicio ante el usuario.
6.
Cualquier información transferida entre usuario y servicio se hace mediante la clave de cifrado en el boleto.
7.
Si el usuario ingresa a otro servicio de red, mientras aún está en la sesión del primer servicio de red, el boleto se presenta automáticamente al segundo servicio, que ofrece una autentificación mutua inmediata y la capacidad para transferir información de forma segura.
En los pasos anteriores seguramente habrá visto otro gran beneficio de Kerberos: la inclusión de una clave de cifrado en el boleto, que permite al usuario y servicio de red transferir información de forma segura. Esto resuelve automáticamente otra de las demandas de seguridad: asegurar los datos en la transmisión. Kerberos es un medio poderoso de autentificación y un valor importante de Windows Server 2008.
Reemplazos de contraseñas El vínculo más débil en el esquema de seguridad de Windows Server 2008 es, tal vez, el uso de contraseñas. Los usuarios dan contraseñas a otros o las olvidan y las contraseñas se roban o sólo se “encuentran” de varias formas. No existe nada que relacione una contraseña con un individuo. Con la contraseña de alguien a la mano, nada puede evitar que se haga pasar por esa persona en un sistema protegido por contraseña. Dos posibles reemplazos a las contraseñas son las tarjetas inteligentes y los dispositivos biométricos.
15 MATTHEWS 01.indd 526
1/14/09 12:22:19 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
527
Tarjetas inteligentes Las tarjetas inteligentes son piezas de plástico del tamaño de una tarjeta de crédito con un circuito resistente a falsificaciones incrustado y que almacena permanentemente un ID, contraseña, firma digital, clave de cifrado o cualquier combinación de éstas. Las tarjetas inteligentes requieren número de identificación personal (PIN, Personal Identification Number), para añadir un segundo nivel (tarjeta inteligente además de PIN, en lugar de contraseña) que una persona haciéndose pasar por otra debería obtener, para iniciar sesión en un sistema. Además, es posible configurar tarjetas inteligentes para que se bloqueen tras varios intentos incorrectos de insertar un PIN. Windows Server 2008 da soporte completo a tarjetas inteligentes y le permite usarlas para iniciar sesión en un equipo o red, también para habilitar autentificación basada en certificado, con el fin de abrir documentos o realizar otras tareas. Las tarjetas inteligentes requieren un lector conectado al equipo mediante un puerto USB, PCMCIA o sólo una ranura “PC Card” o ExpressCard. Con un lector de tarjetas inteligentes, los usuarios no tienen que oprimir ctrl+alt+supr. Sólo necesitan insertar su tarjeta y en ese momento se les pide su PIN. Con una tarjeta válida y un PIN, los usuarios se autentifican y se les admite en el sistema de la misma forma que se haría al insertar un nombre de usuario y contraseña válidos. Varios lectores de tarjeta inteligente son compatibles con Plug and Play; los controladores para esos dispositivos están incluidos en Windows Server 2008 o se encuentran disponibles por parte del fabricante. Para instalarlos se requiere un poco más que conectarlos. Con un lector de tarjetas inteligentes instalado, puede configurar nuevas cuentas (como se describió antes); después, en caso de cuentas nuevas y viejas, puede abrir el cuadro de diálogo Propiedades del usuario, al dar doble clic en un usuario, en la ventana Usuarios y equipos de Active Directory (consulte “Autentificación de usuario de red”, en páginas anteriores de este capítulo, para conocer las instrucciones sobre la manera de abrir esta ventana). En el cuadro de diálogo Propiedades del usuario, haga clic en la ficha Cuenta, desplace la lista Opciones de cuenta y ponga una marca en La tarjeta inteligente es necesaria para un inicio de sesión (si no está instalada una tarjeta inteligente o Windows Server 2008 no la detecta, tal vez esta opción no esté visible). NOTA En caso de duda, el PIN está cifrado y se coloca en la tarjeta inteligente cuando se fabrica. No está almacenado en el equipo ni en Active Directory.
Las tarjetas inteligentes son muy valiosas para ingresos remotos a una red; un miembro del personal que se encuentra de viaje podría usarlas con una laptop, tal vez mediante una red privada virtual (VPN, Virtual Private Network) en Internet. Las tarjetas inteligentes también se utilizan con frecuencia en la emisión de certificados de autenticidad para documentos y otros objetos (consulte la exposición relacionada con certificados, en páginas posteriores de este capítulo, bajo “Transmisión segura de datos”).
Dispositivos biométricos Las tarjetas inteligentes proveen un grado adicional de seguridad sobre las contraseñas, pero si alguien obtiene la tarjeta y PIN, es libre de hacer lo que quiera. La única forma de estar totalmente seguro de que el equipo se comunica con la persona real es solicitar alguna identificación física. Éste es el propósito de los dispositivos biométricos, que identifican a la persona por rasgos físicos, como voz, palma de la mano, huella digital, cara u ojos. A menudo, estos dispositivos se usan con una tarjeta inteligente para reemplazar el PIN. Ahora los dispositivos biométricos están entrando al mundo comercial con algunas
15 MATTHEWS 01.indd 527
1/14/09 12:22:19 PM
528
Windows Server 2008: Guía del Administrador
laptops, que tienen lectores de huella digital incorporados. Aunque no se ha integrado ninguna función en Windows Server 2008 para manejarlos específicamente, sí están disponibles controladores y tecnología implementada. Los escáneres de huella digital conectados por USB y software pueden comprarse por menos de 50 dólares. Otros dispositivos pueden costar varios cientos o incluso varios miles de dólares para un escaneo de rostro. En los próximos años, estos dispositivos estarán en todos lados, así que, dependiendo de sus necesidades, tal vez sea conveniente que los tenga en mente.
Autentificación de certificado Si quiere que los usuarios ingresen en la red a través de Internet, pero le preocupa que enviar nombres de usuario y contraseñas en forma pública los ponga en peligro, entonces reemplácelos con un certificado digital (o sólo “certificado”), expedido por una autoridad de certificación (CA, Certification Authority), que lo firma digitalmente e indica que el portador es quien dice ser o qué objeto y emisor son lo que representan. Existen CA públicas y privadas. Una organización puede ser su propio CA y enviar certificados a sus empleados, vendedores o clientes, para que dichas personas puedan autentificarse cuando intentan entrar a la red de la organización. Además, una CA pública muy confiable, como VeriSign (http://www.verisign.com/), puede enviar un certificado a una persona, objeto, organización o sitio Web. Una persona u organización que recibe el certificado, si confía en la CA, puede estar razonablemente segura de que quien lo presenta es la persona que pretende ser. Además de un certificado, la mayoría de los CA suministran un portador con clave de cifrado en el certificado, para que se den transmisiones seguras de datos. Para configurar un certificado de autentificación, deben darse estos pasos: 1. El usuario debe obtener un certificado. 2. Debe establecerse una cuenta para el usuario. 3. La autoridad de certificación debe estar en Lista de certificados confiables. 4. El certificado debe asignarse a la cuenta de usuario.
Configure Servicios de Certificate Services de Active Directory El usuario puede obtener un certificado de varias formas; una de ellas es mediante un controlador de dominio de Windows Server 2008 con Servicios Certificate Services de Active Directory (AD CS) instalado. AD CS es una función que debe instalarse en el Administrador del servidor. Aquí se muestra como: 1.
2.
15 MATTHEWS 01.indd 528
Haga clic en Inicio|Administrador del servidor, después en Funciones, en el panel de la izquierda. Haga clic en Agregar funciones, para abrir el cuadro de diálogo Asistente para agregar funciones. Haga clic en Servicios de Certificate Server de Active Directory, si no está marcada (si lo está, AD CS ya se encuentra instalado en este equipo y puede pasar a la siguiente sección). Haga clic en Siguiente.
1/14/09 12:22:19 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
529
3. Lea las notas y cualquiera de los artículos de Ayuda, si lo desea. Observe que si instala AD CS, no podrá cambiar el nombre del equipo, dé clic en Siguiente. 4. Seleccione los servicios de función que quiera usar con AD CS: ▼ Entidad de certificación para enviar y administrar certificados, se requiere en todos los casos ■ Inscripción Web de entidad de certificación para proporcionar una interfaz Web que solicite y renueve certificados ■ Servicio de respuesta en línea para proporcionar información de certificado disponible en redes complejas ▲ Servicio de inscripción de dispositivos de red para enviar y administrar certificados a enrutadores y otros dispositivos sin cuentas de red NOTA La exposición en este capítulo cubrirá Entidad de certificación e Inscripción Web de entidad de certificación, pero Servicio de respuesta en línea y Servicio de inscripción de dispositivos de red están fuera del alcance de este libro.
5. Haga clic en Siguiente y seleccione el tipo de autoridad de certificado (CA) que habrá de instalarse entre las siguientes opciones: ▼ Empresa Si este servidor es parte de un dominio, puede utilizar Servicio de directorio para enviar y administrar certificados ▲ Independiente Si el servidor no puede usar Servicio de directorio para enviar y administrar certificados, todavía puede ser parte de un dominio 6. Haga clic en Siguiente y seleccione el nivel de CA para este servidor: ▼ CA raíz Si éste es el primero y único CA, enviará sus propios certificados ▲
CA subordinado Si este CA obtendrá sus certificados de un CA más alto
7. Haga clic en Siguiente y elija entre crear una nueva clave privada o usar una existente. 8. Haga clic en siguiente y seleccione el proveedor de servicios de cifrado (CSP, Cryptographic Service Provider) que quiere usar para generar la clave privada, el algoritmo hash (que se explica bajo “Protocolo de autentificación de desafío de saludo”, en el capítulo 10), y la longitud de la clave, como se muestra en la figura 15-2. Bajo circunstancias normales, excepto si usa tarjetas inteligentes, querrá dejar las opciones predeterminadas. Si está usando tarjetas inteligentes, tal vez necesite seleccionar un CSP manejado por la tarjeta inteligente. 9. Haga clic en Siguiente, acepte el nombre predeterminado o inserte un nombre y sufijo para la CA y dé clic de nuevo en Siguiente. Seleccione el periodo de validez para los certificados generados por esta CA. 10. Haga clic en Siguiente. Se le muestra dónde se almacenará el certificado de base de datos y el registro. Una vez más, haga clic en Siguiente. Si IIS está en ejecución, haga clic en Sí, para detener temporalmente los servicios de información de Internet (IIS, Internet Information Services). Si la función IIS no está instalada, puede seleccionar los servicios de función que quiere instalar (consulte el capítulo 9 para conocer más información sobre IIS).
15 MATTHEWS 01.indd 529
1/14/09 12:22:20 PM
530
Windows Server 2008: Guía del Administrador
Figura 15-2. El envío de certificados requiere una clave privada para firmarlos, después la clave privada se utiliza para validarlos.
11. Revise las selecciones hechas. Si quiere realizar cambios, dé clic en Anterior. Cuando esté listo, haga clic en Instalar. Se instalarán la función (o funciones) y los servicios de función. 12. Haga clic en Cerrar cuando se le indique que ha completado la instalación en forma correcta. Cierre el Administrador del servidor. Reinicie el equipo (aunque no se le pide).
Revise la CA Una vez instalada la autoridad de certificación, puede revisarla con estos pasos: 1.
15 MATTHEWS 01.indd 530
Haga clic en Inicio|Herramientas administrativas|Certification Authority. En el panel de la izquierda, abra la nueva CA recién creada y dé clic en Certificados emitidos. Deberá ver uno o más certificados, como éste (si no ve ningún certificado y reinició el equipo, haga clic en Actualizar en el menú Acción).
1/14/09 12:22:20 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
531
2.
Haga doble clic en uno de los certificados; para abrirlo, haga clic en la ficha Detalles y luego en los campos, para ver los detalles del certificado abierto. Haga clic en Aceptar cuando haya terminado de revisar el certificado.
3.
De regreso a la ventana Entidad de certificación, haga clic en Plantillas de certificado, en el panel de la izquierda. A la derecha, puede ver los tipos de certificados disponibles y su propósito.
4.
Haga doble clic en una de sus plantillas para abrir su cuadro de diálogo Propiedades. Cuando haya terminado de ver las propiedades, cierre el cuadro de diálogo y la ventana Entidad de certificación.
Solicite un certificado Con AD CS instalado, usuarios, equipos y otros servicios pueden solicitar certificados para identificarse a sí mismos. Por lo general, los certificados se emiten automáticamente a equipos y usuarios como entidades conocidas y confiables en la red. El certificado que se creó automáticamente cuando AD CS se instaló, fue enviado al servidor en que reside AD CS. También es posible pedir explícitamente un certificado a través de intranet, Internet o el servidor con AD CS. Solicite un certificado a través de una conexión Web La forma más común de que los usuarios pidan un certificado para su uso es a través de Internet o una intranet. Al hacer esto, el usuario accede a una página Web creada y mantenida por AD CS. Use estos pasos para solicitar un certificado a través de un intranet o Internet:
15 MATTHEWS 01.indd 531
1.
Abra su explorador e inserte el URL o dirección del servidor con AD CS. La dirección deberá verse como esta http://nombredelservidor/certsrv/. La página debe aparecer como se muestra en la figura 15-3.
2.
Haga clic en Solicitar un certificado y dé clic en Certificado de usuario. Si quiere que el usuario tenga una tarjeta inteligente, haga clic en Más opciones, donde puede seleccionar un proveedor de servicios de cifrado (CSP) y el formato de solicitud.
1/14/09 12:22:20 PM
532
Windows Server 2008: Guía del Administrador
Figura 15-3.
Es posible solicitar certificados en una red.
3.
Haga clic en Enviar. Se le indica que el sitio Web está solicitándole un nuevo certificado y pregunta si quiere continuar. Haga clic en Sí. Si el usuario o equipo ya es conocido por el servidor, se expedirá un certificado. De otra forma, se le dirá que la solicitud está pendiente.
4.
Cuando vea Certificado emitido, haga clic en Instalar este certificado. Se le indica que el sitio Web está agregando un certificado al equipo y le pregunta si está seguro de realizar eso. Haga clic en Sí, pues es lo que quiere hacer. Se le indica que el certificado está instalado y puede cerrar su explorador.
Solicite directamente un certificado Solicitar un certificado directamente de AD CS es algo común para documentos, otros objetos o servicios. Requiere la consola Certificado en la consola de administración de Microsoft (MMC, Microsoft Management Console). Aquí se muestra cómo configurar la consola Certificado (suponiendo que no lo haya hecho antes) y cómo solicitarle un certificado: 1.
15 MATTHEWS 01.indd 532
Haga clic en Inicio | Ejecutar, escriba mmc y dé clic en Aceptar. Se abre la consola MMC.
1/14/09 12:22:20 PM
Capítulo 15:
2.
Control de seguridad en Windows Server 2008
533
Haga clic en el menú Archivo y seleccione Agregar o quitar complemento. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Certificados, en Agregar, en Mi cuenta de usuario (dependiendo de dónde quiere administrar los certificados) y en Finalizar.
NOTA Si selecciona administrar certificados para Mi cuenta de usuario, el complemento que cree sólo emitirá certificados para usted. Si selecciona administrar certificados para Cuenta de servicio o Cuenta de equipo, debe seleccionar el servicio o equipo que habrá de administrarse —servidor Web o equipo local— y podrá enviar certificados para el servicio o equipo.
3.
Haga clic en Aceptar para completar el proceso de adición o retiro de complementos. En la consola de la izquierda, abra Certificados: usuario actual | Personal | Certificados, como se muestra aquí.
4.
Haga clic en el menú Acción y seleccione Todas las tareas|Solicitar un nuevo certificado. Se abre el asistente Inscripción de certificados.
5.
Haga clic en Siguiente, seleccione un tipo de certificado que apoye el propósito del certificado por enviar (seleccione Administrador, al menos para un certificado) y dé clic en Inscribir.
6.
Cuando se indique que el certificado está instalado, haga clic en Finalizar y se emitirá un nuevo certificado.
7.
Cierre la consola Certificados, haga clic en Sí, para guardar las opciones de esta nueva consola en un archivo llamado Certificados.msc, haga clic en Guardar y, por último, cierre MMC.
Haga una lista de las autoridades de certificado Para aceptar certificados presentados a la red, la CA debe conocerse en la red. Esto se logra al aparecer en una lista como CA confiable, entre los certificados de confianza (CTL, Certificate Trust List), que se mantiene como parte de las directivas de grupo. En los siguientes pasos se muestra cómo abrir la directiva de grupo, analizada en el capítulo 14, crear una CLT y una entrada en ésta (para tales pasos, se asume que desea trabajar con la CTL en el nivel de dominio, pero también puede hacerlo en el nivel del equipo local y OU):
15 MATTHEWS 01.indd 533
1/14/09 12:22:21 PM
534
Windows Server 2008: Guía del Administrador
1.
Haga clic en Inicio|Administrador del servidor y abra Características|Administración de directiva de grupo|Bosque|Dominios |nombre de dominio|Objetos de directiva de grupo, como se muestra en la figura 15-4.
2.
Haga clic derecho en Default Domain Policy y seleccione Editar. Se abre la ventana Editor de administración de directiva de grupo.
3.
En el panel de la izquierda, abra Configuración del equipo | Directivas | Configuración de Windows | Configuración de seguridad | Directivas de clave pública. Haga clic en Confianza empresarial. Haga clic en el menú Acción y seleccione Nuevo | Lista de certificados de confianza. Se abre el Asistente para crear lista de certificados de confianza.
4.
Haga clic en Siguiente. Si así lo desea, inserte un prefijo de identificación para la CTL, inserte los meses o días que serán válidos, seleccione los propósitos de la CTL y haga clic en Siguiente.
Figura 15-4. Una lista de certificados de confianza puede mantenerse en un objeto de directiva de grupo (GPO).
15 MATTHEWS 01.indd 534
1/14/09 12:22:21 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
535
5. En el cuadro de diálogo Certificados en la CTL, haga clic en Agregar desde el almacén. Se abre el cuadro de diálogo Seleccionar certificado, en que se eligen los certificados cuyos emisores quiere incluir en la CTL. Al principio de la lista, encontrará los certificados que su nueva CA emitió mientras seguía los pasos anteriores en este capítulo.
6. Haga doble clic en uno de los certificados que creó. Cuando se abre, tal vez encuentre que no es de confianza, aunque se creó en el mismo equipo. Se le indica que debe agregarse a la CTL para ser de confianza. 7. Seleccione los certificados cuyos emisores quiere en la CTL y oprima y mantenga oprimida ctrl mientras selecciona más de un certificado. Haga clic en Aceptar. La nueva lista de certificados aparecerá en el Asistente para crear la lista de certificados de confianza. 8. Haga clic en Siguiente. Debe adjuntar un certificado, tal vez el suyo, para que sirva como firma digital para la CTL; la clave de cifrado utilizada con la firma de certificado se utilizará con el archivo que contenga la CTL. NOTA El usuario actual debe crear, con la plantilla Administrador, el certificado que seleccione para agregar la firma digital a la CTL, de manera similar al certificado Firma creado en “Solicite un certificado”.
9. Haga clic en Seleccionar de almacén, escoja el certificado que quiere usar y haga clic en Aceptar y después en Siguiente. Si así lo desea, puede agregar una marca de tiempo; en seguida haga clic una vez más en Siguiente. 10. Inserte un nombre fácil de recordar y una descripción para la CTL, dé clic en Siguiente. Revise las configuraciones elegidas y dé clic en Atrás, si necesita corregir algo; cuando esté listo, haga clic en Finalizar. Se le dirá si la CTL se ha creado con éxito. 11. Haga clic en Aceptar. La nueva CTL aparece a la derecha de la ventana Editor de administración de directiva de grupo. Haga doble clic en ésta. Se abre la CTL y, en la ficha Lista de confianza, verá una lista de entidades de certificado agregadas a su CTL.
15 MATTHEWS 01.indd 535
1/14/09 12:22:21 PM
536
Windows Server 2008: Guía del Administrador
12. Haga clic en una CA. Verá detalles tras un certificado, como se muestra a continuación, y si hace clic en Ver certificado, verá el certificado completo. Cierre la CTL y el Editor de administración de directiva de grupo.
Asigne certificados a cuentas de usuario El núcleo de la seguridad orientada al usuario de Windows Server 2008 son las cuentas de usuario con nombre de usuario y contraseña para iniciar sesión, la base de los permisos del sistema que controlan el acceso a los recursos del equipo y la red. Alguien que llega a Windows Server 2008 con un certificado, pero sin nombre de usuario ni contraseña para una cuenta de usuario y permisos inherentes, no podrá iniciar sesión. La solución es asignar o relacionar un certificado con una cuenta de usuario, para que alguien que presente un certificado aceptable se adjunte a una cuenta de usuario y reciba los permisos para iniciar sesión con nombre de usuario y contraseña. Windows Server 2008 asigna certificados de dos formas: mediante Servicios de dominio de Active Directory e Internet Information Services (IIS). También se pueden asignar certificados a una cuenta de usuario (asignaciones uno a uno) o varios certificados a una cuenta (asignaciones varios a uno). La asignación mediante IIS se analizó en el capítulo 9. La asignación de certificados mediante Servicios de dominio de Active Directory se hace con los siguientes pasos:
15 MATTHEWS 01.indd 536
1/14/09 12:22:22 PM
Capítulo 15:
15 MATTHEWS 01.indd 537
Control de seguridad en Windows Server 2008
537
1.
Haga clic en Inicio | Herramientas administrativas | Usuario y equipos de Active Directory.
2.
Haga clic en el menú Ver y elija Características avanzadas (si no está marcada).
3.
En el panel de la izquierda, abra el dominio con la cuenta de usuario que quiere asignar y después dé clic en Users.
4.
En la lista de usuarios, a la derecha, escoja la cuenta de usuario a la que se asignará un certificado.
5.
Haga clic en el menú Acción, seleccione Asignaciones de nombre (si no lo ve, repita el paso 2) para abrir el cuadro de diálogo Asignación de identidad de seguridad. Haga clic en la ficha Certificados X.509, en seguida en Agregar, para abrir el cuadro de diálogo Agregar certificado.
6.
Busque una identificación o tipo, ruta y nombre del certificado que quiere usar, dé clic en Abrir. A menudo los certificados, con la extensión .cer, están en la carpeta C:\Windows\System32\Certsrv.
7.
Si no encuentra un archivo CER, tal vez necesite encontrar uno en la consola Certificados, de MMC. Para ello, haga clic en Inicio|Ejecutar, escriba mmc y oprima enter. Después dé clic en el menú Archivo, seleccione Abrir y, luego, el archivo Certificados. msc. Haga clic en Abrir, abra Raíz de consola | Certificados: usuario actual | Personal | Certificados, y seleccione el certificado que quiera usar.
8.
Haga clic en el menú Acción y seleccione Todas las tareas|Exportar. Haga clic en Siguiente, en No exportar la clave privada y en Siguiente. Acepte el formato DER binario codificado, haga clic en Siguiente, inserte un nombre de archivo útil y explore dónde quiere almacenarlo. Haga clic en Siguiente, Finalizar y Aceptar, cuando se le indique que la exportación fue correcta. Cierre la consola Certificados.
9.
Haga doble clic en el certificado que utilizará, éste se despliega en un segundo cuadro de diálogo Agregar Certificado.
1/14/09 12:22:22 PM
538
Windows Server 2008: Guía del Administrador
10. Si quiere una asignación uno a uno, deben marcarse Usar emisor para seguridad de identidad alternativa y Usar Asunto para seguridad de identidad alternativa (siempre está marcada Usar emisor para seguridad de identidad alternativa, como opción predeterminada y está atenuada casi siempre, así que no puede cambiarla). Si quiere una asignación varios a uno, sólo debe marcarse Usar emisor para seguridad de identidad alternativa. 11. Haga clic en Aceptar. El certificado se despliega de nuevo en el cuadro de diálogo Asignación de identidad de seguridad; haga clic una vez más en Aceptar. Cierre la ventana Usuarios y equipos de Active Directory. Ahora, cuando un usuario presenta este certificado, se asignarán a la cuenta de usuario relacionada y se le darán los permisos asociados con ésta.
CONTROLE EL ACCESO Las cuentas de usuario identifican a la gente y le permiten iniciar sesión en un equipo y, tal vez, en una red. Lo que pueden hacer después dependerá de los permisos dados a éste o a los grupos a los que pertenecen, así como de la propiedad del objeto que quieren usar. Cuando Windows Server 2008 usa el sistema de archivo de nueva tecnología (NTFS, New Technology File System), permite a un administrador asignar varios niveles de permisos para usar un objeto (archivo, carpeta, disco duro, impresora), además de asignar propietarios y derechos de propietario. (No puede hacer esto con sistemas de archivo FAT o FAT32.) Cuando instala Windows Server 2008, casi todos los archivos, carpetas, discos duros e impresoras contienen permisos de la mayoría de usuarios —excepto los administradores—, para realizar casi todas las tareas con estos objetos. Puede cambiar los permisos predeterminados de forma rápida al usar una propiedad llamada herencia, que indica que todos los archivos, subcarpetas y archivos en subcarpetas heredan automáticamente (toman) los permisos de sus carpetas contenedoras. Sin embargo, cada archivo, carpeta y otros objetos en NTFS de Windows Server 2008 tiene su propio conjunto de descriptores de seguridad que se adjuntan a éstos cuando se crean, y con el permiso apropiado estos descriptores pueden cambiarse individualmente.
Propiedad Inicialmente, el creador de un objeto o administrador otorga todos los permisos. El creador de un objeto es el propietario. El propietario de un objeto tiene derecho de conceder o negar permisos, además de otorgar a otros el permiso Tomar posesión, que permite ser el propietario. Un administrador puede tomar propiedad de alguien más, pero un administrador no puede otorgar la propiedad a objetos que el administrador no creó. Puede revisar la propiedad y cambiarla mediante el cuadro de diálogo Propiedades del objeto. En el caso de un archivo o carpeta, abra el cuadro de diálogo Propiedades —en el Explorador de Windows— y vea cómo cambiar la propiedad con estos pasos:
15 MATTHEWS 01.indd 538
1/14/09 12:22:22 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
539
1.
Haga clic en Inicio|Equipo. En el panel de la izquierda, arrastre Carpetas a la parte más alta del panel; abra disco y carpetas necesarias para ver, en el panel de la derecha, la carpeta o archivo cuya propiedad quiere ver o cambiar.
2.
En el panel de la derecha, haga clic derecho en la carpeta o archivo y escoja Propiedades.
3.
En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad y después en Opciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad avanzada.
4.
Haga clic en la ficha Propietario, donde verá quién es el propietario actual y las personas a quienes se puede transferir la propiedad. Cuando haya terminado, dé clic en Aceptar, dos veces, para cerrar los dos cuadros de diálogo aún abiertos. También cierre el Explorador de Windows.
La concesión de permisos para tomar propiedad se describe en “Permisos”, en páginas posteriores de este capítulo.
Grupos Los grupos o cuentas de grupo son colecciones de cuentas de usuario que pueden tener permisos asignados, al igual que las cuentas de usuario. Casi todos los permisos se otorgan a grupos, no individuos, y después se hace que los individuos sean miembros de grupos. Por tanto, es importante tener un conjunto de grupos que manejen la mezcla de personas en su organización, así como la mezcla de permisos que quiere establecer. En Windows Server 2008 están integrados varios grupos estándar con permisos asignados previamente, pero puede crear sus propios grupos y asignar usuarios a éstos. Revise los grupos pertenecientes a Windows Server 2008, vea qué permisos contienen y después cree los propios si es necesario. Al igual que con las cuentas de usuario, se ven los grupos de forma diferente, dependiendo de si están en un servidor independiente o un controlador de dominio de Active Directory.
15 MATTHEWS 01.indd 539
1/14/09 12:22:22 PM
540
Windows Server 2008: Guía del Administrador
Grupos en servidores y estaciones de trabajo independientes Para ver y agregar grupos a servidores y estaciones de trabajo, necesita utilizar la ventana Administración de equipos, de la siguiente manera:
15 MATTHEWS 01.indd 540
1.
Haga clic en Inicio|Herramientas administrativas | Administración de equipos.
2.
En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos locales, dé doble clic en Grupos. Se desplegará la lista de grupos integrados, como ésta:
3.
Haga doble clic en varios grupos para abrir sus respectivos cuadros de diálogo Propiedades, donde verá los miembros de cada grupo.
4.
Haga clic en el menú Acción y clic en Nuevo grupo. Se abre el cuadro de diálogo Grupo Nuevo.
5.
Inserte un nombre de grupo de hasta 256 caracteres en mayúsculas o minúsculas. No puede contener sólo puntos o espacios; tampoco puede contener “ / [ ] : ; | = , + * ? < > @; los espacios o puntos se eliminan. Ingrese la descripción de lo único que puede hacer un grupo y haga clic en Agregar. Se abre el cuadro de diálogo Seleccionar usuarios.
1/14/09 12:22:23 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
541
6.
Haga clic en Avanzadas, ingrese nombre de usuario y contraseña, si se le pide. Haga clic en Buscar ahora, mantenga oprimida ctrl y seleccione los usuarios que quiere incluir en el grupo. Haga clic en Aceptar. Cuando haya seleccionado todos los que quiere incluir, haga clic en Aceptar. Su nuevo grupo debe parecerse a éste:
7.
Cuando su grupo está de la forma que quiere, haga clic en Crear y después clic en Cerrar. El nuevo grupo aparecerá en la lista en la derecha de la ventana Administración de equipos. Cierre tal ventana cuando esté listo.
Grupos en controladores de dominio de Active Directory Para ver y agregar grupos en un controlador de dominio de Active Directory, necesita usar la ventana Usuarios y equipos de Active Directory. En esta ventana encontrará dos conjuntos de grupos: los de la carpeta Builtin —parecidos a los que vio en el servidor independiente— y los de las carpetas Users —creados por Active Directory—. Los grupos de Builtin están limitados a un dominio local (denominados de ámbito local de dominio), mientras los grupos de Users pueden estar limitados por el dominio o no ser ilimitados (denominados de ámbito global). Revise ambos conjuntos de grupos y agregue un nuevo grupo a Users con los siguientes pasos: 1.
15 MATTHEWS 01.indd 541
Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Se abre la ventana Usuarios y equipos de Active Directory.
1/14/09 12:22:23 PM
542
Windows Server 2008: Guía del Administrador
15 MATTHEWS 01.indd 542
2.
En el panel de la izquierda, abra el dominio en que quiere trabajar y después abra la carpeta Builtin. Verá una lista de grupos con muchos de los mismos grupos que vio en el servidor independiente.
3.
Haga clic en Users, en el panel de la izquierda. Verá una mezcla de usuarios y grupos, pero un conjunto diferente de grupos que dan soporte a Active Directory y sus operaciones de red.
4.
Haga clic en el menú Ver y seleccione Opciones de filtro. Haga clic en Mostrar sólo los siguientes tipos de objetos, escoja Grupos, como se muestra a continuación y clic en Aceptar. Una vez más, abra la carpeta Users; su ventana Usuarios y equipos de Active Directory se parecerá a la figura 15-5.
5.
Haga doble clic en varios grupos para abrirlos. Contienen mucha información, más que los grupos en servidores y estaciones de trabajo independientes.
1/14/09 12:22:23 PM
Capítulo 15:
Figura 15-5.
15 MATTHEWS 01.indd 543
Control de seguridad en Windows Server 2008
543
Active Directory proporciona varios grupos estándar.
6.
Mientras Users aún está seleccionado en el panel de la izquierda, haga clic en el menú Acción y seleccione Nuevo|Grupo. Se abre el cuadro de diálogo Nuevo objeto – Grupo.
7.
Inserte un Nombre de grupo de hasta 256 caracteres. No puede contener sólo puntos o espacios, estos se eliminan. Observe que el nombre anterior a Windows 2000 se llena automáticamente. Sólo se utilizarán los primeros 20 caracteres de este nombre, de modo que, si lo desea, puede insertar su propio nombre de grupo corto en este campo.
8.
Seleccione el ámbito del grupo. Aquí se muestran las opciones de ámbito: ▼
Dominio local Puede contener usuarios y grupos globales o universales de cualquier dominio de Windows Server 2008 o Windows NT, pero sus permisos se limitan al dominio actual
■
Global Puede contener grupos y usuarios globales sólo del dominio actual, pero se pueden dar permisos en cualquier dominio
▲
Universal Puede contener usuarios y grupos globales o universales de cualquier dominio de Windows Server 2008, y tener permisos en cualquier dominio, pero se limitan a grupos de distribución
1/14/09 12:22:23 PM
544
Windows Server 2008: Guía del Administrador
9.
Seleccione el tipo de grupo. Los grupos de Distribución se usan para distribuir correo electrónico y fax, donde los grupos de seguridad se utilizan para asignar permisos. Haga clic en Aceptar cuando haya terminado.
10.
Haga clic derecho en su nuevo grupo y elija Propiedades. Se abre el cuadro de diálogo Propiedades. Inserte una descripción y dirección de correo electrónico, como se muestra aquí:
11.
Haga clic en Miembros, Agregar, Avanzadas y en Buscar ahora; después, mantenga oprimida ctrl y escoja las cuentas de usuario que quiera incluir en el grupo. Cuando esté listo, haga clic dos veces en Aceptar. Vea las otras fichas y realice cualquier cambio necesario. La ficha Seguridad se analizará en la siguiente sección.
12.
Cuando haya completado el grupo de la forma que quiere, haga clic en Aceptar y cierre Usuarios y equipos de Active Directory.
Permisos Los permisos autorizan a un usuario o grupo para realizar funciones en un objeto. Los objetos, como archivos, carpetas e impresoras, tienen un conjunto de permisos asociados que pueden asignarse a usuarios y grupos. Los permisos específicos dependerán del objeto, pero todos los objetos tienen al menos dos permisos: Lectura y Modificar o Cambiar. Los permisos se configuran inicialmente en una de tres formas: ▼
15 MATTHEWS 01.indd 544
La aplicación o proceso que crea un objeto puede establecer sus permisos al crearlo
1/14/09 12:22:24 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
545
■
Si el objeto permite heredar permisos y no se establecieron en la creación, un objeto contenedor puede propagar los permisos al objeto. Por ejemplo, una carpeta contenedora puede propagar sus permisos a una subcarpeta
▲
Si ni el creador ni la carpeta superior establecen los permisos para un objeto, entonces las opciones predeterminadas del sistema de Windows Server 2008 lo harán
Una vez creado el objeto, sus permisos pueden cambiarse por su propietario, administrador o cualquiera con autoridad para cambiar los permisos. En las siguientes secciones se ven los permisos predeterminados para tres objetos utilizados comúnmente (carpetas, recursos compartidos y archivos) y cómo estos permisos predeterminados se cambian.
Permisos de carpeta Los permisos de carpeta se establecen en la ficha Seguridad, del cuadro de diálogo Propiedades, como se muestra en la figura 15-6. Puede hacer clic en esta ficha y cambiar los permisos con estos pasos: 1.
Haga clic en Inicio | Equipo. Se abre el Explorador de Windows.
Figura 15-6. Un conjunto de permisos predeterminados se configura automáticamente para cada objeto en Windows Server 2008.
15 MATTHEWS 01.indd 545
1/14/09 12:22:24 PM
546
Windows Server 2008: Guía del Administrador
2.
En el panel Carpetas, a la izquierda, abra el disco de arranque, haga clic derecho en un área en blanco del panel de la derecha y seleccione Nuevo|Carpeta. Escriba un nombre para la nueva carpeta y oprima enter.
3.
Haga clic derecho en la nueva carpeta y seleccione Propiedades. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad. Deberá ver un cuadro de diálogo similar al de la figura 15-6.
Encontrará que con una instalación predeterminada de Windows Server 2008, hay cuatro grupos para permisos. Dos de éstos son de dominio (los grupos Administradores y Usuarios), mientras los dos restantes son grupos de sistemas: uno para las funciones del sistema operativo interno (grupo System) y otro representando al propietario y dueño del objeto. Si hace clic en cada grupo y revisa sus permisos, verá que Administradores y System tienen permisos para todo. Todos los permisos mostrados aquí están atenuados, esto significa que se han heredado de un objeto contenedor (la carpeta raíz en este caso) y no se han establecido específicamente para este objeto. NOTA Los permisos predeterminados en Windows Server 2003 y 2008 son muy diferentes de Windows 2000 y versiones anteriores de Windows NT, donde el grupo Todos tenía permiso para hacer cualquier cosa en casi todas las carpetas del sistema operativo. Windows Server 2003 y 2008 empezaron con la filosofía opuesta, donde sólo Administradores tienen permiso para hacer todo, y Usuarios (todos los demás) tienen permisos limitados. Éste es un fortalecimiento de la seguridad por parte de Microsoft.
Agregue nuevos permisos Para agregar nuevos permisos: 1.
Haga clic en Editar, en la parte media de la ficha Seguridad, para abrir el cuadro de diálogo Permisos. Haga clic en Agregar.
2.
En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en Avanzadas y luego en Buscar ahora. Haga doble clic en un solo usuario, grupo o equipo al que quiere asignar el permiso; en su lugar, mantenga oprimida ctrl mientras hace clic en varios objetos y después clic en Aceptar. Dé clic en Aceptar una vez más. Si selecciona el nuevo grupo que creó antes en la sección Grupos para añadirlo aquí, verá que el grupo eligió automáticamente los mismos permisos que para el grupo Usuarios, porque el nuevo grupo recién creado es automáticamente un miembro de ese grupo.
3.
15 MATTHEWS 01.indd 546
Seleccione uno de los nuevos usuarios, grupos o equipos a los que se darán permisos y después haga clic en Permitir, en los permisos que quiera asignar a esa entidad; de no ser así, haga clic en Negar, para excluir específicamente un permiso. Las tareas que pueden realizarse con cada permiso son las siguientes: ▼
Control total La suma de todos los otros permisos, además de eliminar subcarpetas, cambiar permisos y tomar posesión
■
Modificar La suma de los permisos Lectura y ejecución y Escritura, además de eliminar permisos de carpeta
1/14/09 12:22:24 PM
Capítulo 15:
4.
Control de seguridad en Windows Server 2008
547
■
Lectura y ejecución Igual que Mostrar el contenido de la carpeta, pero heredado por las carpetas y archivos
■
Mostrar el contenido de la carpeta Permisos de Lectura, además de ver la lista de subcarpetas y archivos en una carpeta, así como ejecutar archivos y desplazarse entre carpetas para llegar a otros archivos y carpetas, donde el usuario tal vez no tenga permiso para acceder a carpetas intermedias (heredados sólo por carpetas)
■
Lectura Ver los contenidos de subcarpetas y archivos en la carpeta, además de ver los atributos de la carpeta (Archivo, Oculto, Sólo lectura), propietario y permisos
■
Escritura Crear subcarpetas y archivos dentro de la carpeta, además de ver al propietario y permisos para la carpeta y cambiar sus atributos
▲
Permisos especiales Permisos detallados contenidos en los otros seis permisos
Seguido de seleccionar los permisos que quiere usar, haga clic en Aceptar y después en Opciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad avanzada, como se muestra en la figura 15-7. Observe que casi todos los permisos se han heredado y Creator Owner aparece aquí con un permiso Especial. Esto que parece inconsistente se debe al permiso de la carpeta contenedora, aplicado sólo a las subcarpetas y archivos.
Figura 15-7. Los permisos detallados tras los permisos de carpetas pueden verse en el cuadro de diálogo Configuración de seguridad avanzada.
15 MATTHEWS 01.indd 547
1/14/09 12:22:24 PM
548
Windows Server 2008: Guía del Administrador
5.
Seleccione un usuario o grupo y haga clic dos veces en Editar. Aparece el cuadro de diálogo Entrada de permiso, como se muestra a continuación. Contiene un nivel más detallado de permisos, llamados Permisos especiales, dentro de los permisos primarios descritos en el paso 3. Los permisos especiales otorgados por cada permiso primario se muestran en la tabla 15-1.
NOTA Sincronizar no es un permiso predeterminado, a menos que la carpeta esté configurada para éste.
6.
Haga cualquier cambio requerido a los permisos detallados, y marque la casilla de verificación en la parte inferior, si quiere que los permisos se propaguen a subcarpetas y archivos de esta carpeta; haga clic en Aceptar cuatro veces para cerrar todos los cuadros de diálogo.
SUGERENCIA Denegar a todos el permiso Control completo evita que cualquiera haga lo que guste con la carpeta, incluidos los administradores. La carpeta aparece como si estuviera bloqueada permanentemente para todos y si, por ejemplo, intenta borrarla, se le negará el acceso. Sin embargo, un administrador todavía puede cambiar los permisos por algo más razonable y después puede eliminarse la carpeta.
15 MATTHEWS 01.indd 548
1/14/09 12:22:25 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
549
Permisos primarios Permisos especiales
Lectura
Escritura
Recorrer carpeta/ ejecutar archivo
Mostrar el contenido de la carpeta
Lectura y ejecución
Modificar
Control total
Sí
Sí
Sí
Sí
Mostrar carpeta/ leer datos
Sí
Sí
Sí
Sí
Sí
Leer atributos
Sí
Sí
Sí
Sí
Sí
Leer atributos extendidos
Sí
Sí
Sí
Sí
Sí
Crear archivos/ escribir datos
Sí
Sí
Sí
Crear carpetas/ anexar datos
Sí
Sí
Sí
Escribir atributos
Sí
Sí
Sí
Escribir atributos extendidos
Sí
Sí
Sí
Eliminar subcarpetas y archivos
Sí
Eliminar
Sí
Permisos de lectura
Sí
Sí
Sí
Sí
Sí
Sí Sí
Cambiar permisos
Sí
Tomar posesión
Sí
Sincronizar Tabla 15-1.
Sí
Sí
Sí
Sí
Sí
Sí
Permisos espaciales otorgados por permisos primarios para carpetas.
Comparta permisos Los recursos compartidos son carpetas compartidas y existe un conjunto un poco diferente de permisos para quienes no tienen o administran las carpetas. Al igual que con las carpetas regulares, los permisos de carpetas compartidas se establecen en la ficha Seguridad, del cuadro de diálogo Propiedades de la carpeta. Los primeros tres grupos estándar se ven iguales, pero Usuarios ahora tiene más permisos, aunque todavía pueden estar limitados y no se pueden agregar o cambiar permisos. Un administrador está en condiciones de abrir este cuadro de diálogo y cambiar el permiso de la misma forma que haría para carpetas no compartidas.
15 MATTHEWS 01.indd 549
1/14/09 12:22:25 PM
550
Windows Server 2008: Guía del Administrador
Permisos de archivo Los permisos de archivo se establecen en la ficha Seguridad, del cuadro de diálogo Propiedades del archivo, como se muestra a continuación. Como verá, son muy similares a los permisos de carpeta excepto porque se limitan a archivos. Esto significa que el permiso Mostrar el contenido de la carpeta no está disponible y las definiciones de permisos individuales cambian un poco.
15 MATTHEWS 01.indd 550
▼
Control total La suma de todos los otros permisos, además de cambiar permisos y tomar posesión
■
Modificar La suma de los permisos Lectura y ejecución y Escritura, además de eliminar permisos y modificar el archivo
■
Lectura y ejecución El permiso Lectura, además de ejecutar aplicaciones
■
Lectura Ver el contenido del archivo, además de revisar sus atributos (Archivo, Oculto, Sólo lectura), permisos y propietarios
■
Escritura Escribir en un archivo, además de ver permisos y propietario del archivo, así como cambiar sus atributos
▲
Permisos especiales Permisos únicos que deben establecerse para usuarios o grupos con nombre, como se describió en el cuadro de diálogo Configuración de seguridad avanzada
1/14/09 12:22:25 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
551
ASEGURE LOS DATOS ALMACENADOS La autentificación de usuarios coloca una cerradura en las puertas exteriores del equipo, mientras el control de acceso coloca cerraduras en las puertas interiores, pero si alguien pasa esas barreras, los datos estarán disponibles para cualquiera que lo desee. Por ejemplo, alguien puede tomar un disco duro y acceder a éste con otro sistema operativo; robar una laptop y descifrar metódicamente las contraseñas. Incluso, más simple y común, un empleado puede acceder, a propósito o por error, a datos que no debe tener y decide darles mal uso. La respuesta a estos escenarios es que los datos no se puedan usar sin clave. Esto se hace al cifrar un archivo, carpeta o todo el disco; así, no importará cómo se acceda a éste, ya sea con otro sistema operativo o utilería de bajo nivel, cifrado e ilegible sin una clave; también la clave estará cifrada para ser excepcionalmente difícil de obtener y usar.
Cifrado de archivos y carpetas El cifrado de archivos y carpetas se ha integrado en NTFS de Windows Server 2008, denominada sistema de cifrado de archivos (EFS, Encrypting File System). Una vez que EFS se activa para un archivo o carpeta, sólo la persona que cifró el archivo o carpeta podrá leerlo, con la excepción de que un administrador especialmente designado tendrá una clave de recuperación para acceder al archivo o carpeta. La persona que cifró el archivo no tendrá que dar pasos adicionales para acceder a él, y el archivo se cifra de nuevo siempre que se guarda. Todo cifrado y descifrado se hace tras bambalinas sin ser evidente para el usuario. NOTA Ni archivos ni carpetas del sistema, ni los archivos o carpetas comprimidas pueden cifrarse. Tiene la opción de descomprimir un archivo o carpeta comprimido y después cifrarlo.
El proceso de cifrado El cifrado real de un archivo o carpeta se hace con una clave de cifrado simétrica, la misma para cifrado y descifrado, además muy rápida. La clave de cifrado simétrica (también denominada clave secreta) se cifra por sí sola mediante la clave pública del propietario incluida en su certificado EFS. (Consulte “El cifrado de clave pública y privada”, en páginas posteriores de este capítulo.) Por tanto, el propietario con una clave privada que coincide con la clave pública es el único que puede abrir el archivo cifrado (excepto por el administrador de recuperación). Cuando se crea o regenera el archivo y asigna una clave asimétrica, ésta se cifra dos veces, una para el propietario y otra para el administrador de recuperación. Después, si surge la necesidad, el administrador de recuperación puede usar su clave privada o pública para descifrar el archivo. La clave asimétrica cifrada se almacena como parte de un archivo. Cuando una aplicación pide el archivo, NTFS va y la obtiene, ve si el archivo está cifrado y llama a EFS. EFS trabaja con protocolos de seguridad para autentificar al usuario, usa su clave privada para descifrar el archivo y pasa el archivo descifrado a la aplicación que la pide, todo en segundo plano, sin signo de que esto toma lugar. Las rutinas de cifrado y descifrado son tan rápidas en casi todos los equipos que ejecutan Windows Server 2008, que rara vez nota el tiempo agregado.
15 MATTHEWS 01.indd 551
1/14/09 12:22:26 PM
552
Windows Server 2008: Guía del Administrador
SUGERENCIA Debido a que muchas aplicaciones guardan archivos temporales y secundarios durante la ejecución normal, se recomienda que los contenedores de cifrado sean carpetas en lugar de archivos. Si luego se indica a una aplicación almacenar todos los archivos en esa carpeta, donde todos los archivos se cifran automáticamente al guardar, se mejora la seguridad.
Consideraciones relacionadas con el cifrado Se deben cumplir varios requisitos para usar cifrado de archivos y carpetas: ▼
En Windows 2000 o posterior, NTFS debe estar en uso. Cualquier otro sistema de archivos, ya sea NTFS o FAT de Windows NT 4, no funcionará con EFS
■
AD CS debe estar instalado y en ejecución en un equipo independiente o en un dominio. Si no lo está, EFS enviará sus propios certificados, pero Windows Server 2008 los considerará “no confiables”
■
El usuario del archivo o carpeta debe tener un certificado EFS. Si no existe uno, se creará automáticamente
▲
Deben existir uno o más administradores de agente de recuperación de certificados. Si no existe uno, se designa automáticamente a un administrador predeterminado y se envía un certificado. El administrador predeterminado en un equipo independiente es el administrador local; en un dominio, es el administrador de dominio, en el primer controlador de dominio instalado
Administradores de agente de recuperación La razón para requerir un administrador de agente de recuperación se pone en evidencia por la situación en que alguien deja una organización —tal vez por un accidente— y se necesitan sus archivos cifrados. Otra situación es cuando un empleado malhumorado cifra archivos compartidos antes de dejar la organización. EFS se deshabilita sin un agente de recuperación, para que los archivos no puedan cifrarse sin un medio de descifrarlos. Es posible asignar varios agentes de recuperación a un archivo o carpeta EFS, pero debe haber por lo menos uno. Para cada agente de recuperación y el usuario, una copia de la clave de cifrado simétrica cifrada con la clave pública de la persona se almacena con el archivo cifrado. Quien descifre el archivo sólo revelará los datos y no cualquiera de las otras claves. Copie y mueva archivos EFS Copiar y mover archivos y carpetas EFS tiene un significado especial. Aquí se muestran las reglas:
15 MATTHEWS 01.indd 552
▼
Si copia o mueve un archivo o carpeta sin cifrado a una carpeta cifrada, el elemento copiado se cifrará
■
Copiar o mover archivos o carpetas cifradas a otro sistema de archivos, como NTFS de Windows NT 4 o FAT32 de Windows 98, elimina el cifrado, aunque sólo el propietario o agente de recuperación puede hacer esto. Todos los demás tienen acceso denegado
▲
La creación de copias de seguridad de archivos o carpetas cifrados con Copias de seguridad de Windows Server 2008 deja los elementos cifrados
1/14/09 12:22:26 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
553
SUGERENCIA Cuando cree copias de seguridad de datos cifrados, asegúrese de que las claves del usuario y el agente de recuperación también se respalden, lo que se puede hacer con AD CS.
Use el cifrado de archivos y carpetas El proceso real de cifrar un archivo o carpeta es muy sencillo; sólo se activa el atributo Cifrado. Dado que existe un administrador de agente de recuperación y el usuario que activa el cifrado tiene un certificado EFS, queda muy poco por hacer. En las siguientes secciones verá el proceso completo, incluida la certificación.
Cree certificados EFS En páginas anteriores de este capítulo, bajo “Autentificación de certificado”, se expuso la configuración de AD CS y la solicitud de certificados. Con los siguientes pasos se muestra cómo pedir un certificado de Agente de recuperación de EFS:
15 MATTHEWS 01.indd 553
1.
Mientras siga en su sesión como el administrador que será el agente de recuperación, abra MMC al hacer clic en el menú Inicio, seleccione Ejecutar, escriba mmc y dé clic en Aceptar.
2.
En la Consola, haga clic en el menú Archivo, seleccione Abrir y haga doble clic en su consola Certificados. En el panel de la izquierda, abra Raíz de consola|Certificados: usuario actual|Personal|Certificados.
3.
Haga clic en el menú Acción y escoja Todas las tareas|Solicitar un nuevo certificado. Se abre el asistente Inscripción de certificado. Haga clic en Siguiente.
4.
Seleccione Agente de recuperación de EFS como plantilla de certificado, mostrada a continuación, y haga clic en Inscribir y luego en Finalizar.
5.
Cierre MMC.
1/14/09 12:22:26 PM
554
Windows Server 2008: Guía del Administrador
Cifre un archivo y una carpeta El cifrado de archivos o carpetas puede hacerse desde el Explorador de Windows o la línea de comandos. NOTA Los archivos y carpetas cifrados se despliegan en verde en el Explorador de Windows.
Cifre un archivo desde el Explorador de Windows Aquí se muestran los pasos para cifrar un archivo desde el Explorador de Windows.
15 MATTHEWS 01.indd 554
1.
Haga clic en Inicio|Equipo. En el árbol de carpetas, a la izquierda, abra el disco y carpetas necesarias para desplegar el archivo correcto que quiere cifrar.
2.
Haga clic derecho en el archivo y escoja Propiedades. En la ficha General, haga clic en Avanzadas. Se abre el cuadro de diálogo Atributos avanzados.
3.
Haga clic en Cifrar contenido para proteger datos.
4.
Haga clic dos veces en Aceptar. Se obtiene una Advertencia de cifrado acerca de que el archivo no está en una carpeta cifrada; esto significa que cuando edite el archivo, no se cifrarán los archivos temporales o de seguridad que pudieran crearse.
5.
Seleccione la opción correcta. Si no quiere ver esta advertencia en el futuro, haga clic en Siempre cifrar sólo el archivo. Haga clic en Aceptar.
1/14/09 12:22:26 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
555
SUGERENCIA Para descifrar un archivo o una carpeta, sólo siga los mismos pasos utilizados para cifrarlo y elimine la marca de verificación en Cifrar contenido para proteger datos. Por supuesto, debe ser la persona que cifró originalmente el archivo o carpeta, o un agente de recuperación.
Cifre una carpeta desde el Explorador de Windows El cifrado de una carpeta desde el Explorador de Windows es muy similar, como verá en estos pasos: 1.
Abra el Explorador de Windows y despliegue, en el panel de la derecha, la carpeta que quiere cifrar.
2.
Haga clic derecho en la carpeta y dé clic en Propiedades. En la ficha General, haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanzados.
3.
Haga clic en Cifrar contenido para proteger datos y haga clic dos veces en Aceptar. Se abre el cuadro de diálogo Confirmar cambio de atributos.
4.
Se le pregunta si quiere aplicar el cifrado sólo a esta carpeta o a la carpeta, sus achivos y subcarpetas. Si selecciona Aplicar cambios sólo a esta carpeta, los archivos o carpetas existentes en la carpeta que está cifrando no se cifrarán, mientras sí se cifrarán los archivos y carpetas que se crean o copian en la carpeta a continuación del cifrado. Si selecciona Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos, se cifrarán los archivos y carpetas existentes, además de los elementos que se creen o copien en el futuro.
5.
Seleccione las opciones correctas. Haga clic en Aceptar.
PRECAUCIÓN Si seleccionó que se aplicarán cambios a esta carpeta y a todas sus subcarpetas y archivos para una carpeta compartida con archivos y subcarpetas pertenecientes a otros, se cifrarán esos archivos y carpetas con su clave, de tal modo que los propietarios no podrán usarlos.
Pruebe el cifrado de archivos ¿Qué pasa cuando alguien intenta acceder a un archivo cifrado? Inténtelo. Salga de su sesión, inicie sesión como otro usuario y después pruebe abrir el archivo. Parece como si se fuera a abrir y después se presenta un pequeño mensaje:
15 MATTHEWS 01.indd 555
1/14/09 12:22:27 PM
556
Windows Server 2008: Guía del Administrador
El mensaje real varía dependiendo de la aplicación con que intente abrir el archivo. Si el acceso es apropiado, el administrador de agente de recuperación podrá resolver el problema. Muy bien, ¿y qué pasa cuando quiere copiar el archivo a un sistema de archivos que no es NTFS de Windows Server 2008, como una máquina con FAT32 de Windows 98 en la red? El archivo ya no está cifrado cuando hace eso, ¿correcto? Inténtelo de nuevo, primero al iniciar sesión con el usuario que cifró el archivo. Todo funcionará como se supone (el archivo se copiará y ya no estará cifrado). Después salga de su sesión e inicie sesión como otro usuario e intente copiar el archivo. Una vez más, parece como si fuera a funcionar y después aparece otro pequeño mensaje.
Cifre un disco con BitLocker Windows Vista y Windows Server 2008 tienen una nueva característica llamada Cifrado de unidad BitLocker. BitLocker cifra todo el disco o volumen en que está instalado Windows (y en Windows Server 2008 también pueden cifrarse discos o volúmenes adicionales); de este modo, si le roban el equipo, se pierde o le quitan el disco, la información en esa unidad estará protegida. BitLocker requiere que esté conectado un dispositivo USB, como una unidad flash que contenga la clave para iniciar el equipo o restaurarse de una suspensión (la llamaremos “clave USB”). Si el equipo tiene un Módulo de plataforma confiable (TPM Trusted Platform Module) versión 1.2 —un componente de hardware—, BitLocker verificará además la integridad del sistema cuando inicia, usará la clave USB opcional y permitirá el uso de un número de identificación personal (PIN) como opción. Si BitLocker con TPM encuentra que la integridad del sistema se ha comprometido, empezando con los archivos de arranque inicial o el disco ya no está en el equipo original, el sistema se bloqueará y no iniciará. En ese momento, puede iniciarse un proceso de recuperación de BitLocker. Por tanto, BitLocker tiene cuatro métodos de autentificación: ▼
BitLocker solo y una clave USB
■
BitLocker con TPM y sin componente de autentificación
■
BitLocker con TPM y una clave USB
▲
BitLocker con TPM y un PIN
El uso de BitLocker es todo, menos transparente; aparte de conectar la clave USB o insertar un PIN, no existe evidencia de que está en uso. Si BitLocker bloquea el sistema debido
15 MATTHEWS 01.indd 556
1/14/09 12:22:27 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
557
a una brecha de seguridad o una falla de hardware, alguien con la clave de recuperación apropiada podrá implementar de forma sencilla el proceso de recuperación, en general con un dispositivo USB o contraseña de recuperación.
Instalación de BitLocker En Windows Server 2008, BitLocker no está instalado y debe añadirse como una característica en el Administrador del servidor. 1.
Haga clic en Inicio | Administrador del servidor. Haga clic en Características, en el panel de la izquierda y clic en Agregar características, en el panel de la derecha. Se abrirá el Asistente para agregar características.
2.
Haga clic en Cifrado de unidad BitLocker, en Siguiente y, por último, en Instalar.
3.
Haga clic en Cerrar luego en Sí para reiniciar el equipo. Al reiniciar, la instalación continuará. Cuando se le indique que la instalación tuvo éxito, haga clic en Cerrar.
Configure y controle Bitlocker BitLocker se configura y controla en el panel de control BitLocker. Si el equipo que está configurando no tiene TPM, necesita primero cambiar una directiva de grupo para permitir el uso de una clave USB en lugar de TPM. Si piensa que tiene TPM (se le dirá rápidamente si no tiene), puede omitir los tres primeros pasos en la siguiente serie.
15 MATTHEWS 01.indd 557
1.
Si va a usar una clave USB, insértela. Después haga clic en Inicio|Ejecutar, escriba gpedit.msc y oprima enter para abrir el Editor de directivas de grupo local.
2.
En el panel de la izquierda, abra Configuración del equipo | Plantillas administrativas | Componentes de Windows | Cifrado de unidad BitLocker. En el panel de la derecha, haga doble clic en Configuración del panel de control: habilitar opciones de inicio avanzadas, para abrir el cuadro de diálogo con ese nombre.
1/14/09 12:22:27 PM
558
Windows Server 2008: Guía del Administrador
3.
Haga clic en Habilitada y asegúrese de que exista una marca de verificación, a un lado de Permitir BitLocker sin TMP compatible. Haga clic en ésta; si no está seleccionada, dé clic en Aceptar y cierre el Editor de directivas de grupo local.
4.
Haga clic en Inicio | Panel de control y dé doble clic en Cifrado de unidad BitLocker.
5.
En la ventana Cifrado de unidad BitLocker que se abre, haga clic en Activar BitLocker, bajo la unidad de Sistema, como se muestra en la figura 15-8. Se le pregunta si realmente quiere usar el Cifrado de unidad BitLocker en un servidor, porque reduce el rendimiento y sólo se necesita si el servidor está en una ubicación insegura (como una oficina).
6.
Si quiere seguir adelante, haga clic en Continuar con el Cifrado de unidad BitLocker. Si tiene un TPM, puede decidir que se use BitLocker sin claves adicionales, sin necesidad de PIN o clave USB, al hacer clic. Sin TPM, sólo tiene la opción Requerir llave de inicio USB en cada inicio y necesita hacer clic en ella.
7.
Si decide usar un PIN, se le pide que inserte y confirme su PIN. Si selecciona usar una clave USB y tiene varias unidades extraíbles, haga clic en la unidad correcta. En cualquier caso, dé clic en Guardar.
8.
Se le pregunta dónde quiere almacenar la contraseña de recuperación e indica que es recomendable almacenar la contraseña en varios lugares. Se recomienda que, cómo mínimo, la almacene en una clave USB y un disco duro, en lugar de almacenarla en cada equipo que esté cifrando (porque si roban el equipo, el ladrón tendrá la clave). Haga clic en una opción y después repita para guardar o imprimir la clave las veces que quiera.
Figura 15-8. Primero debe habilitar BitLocker en la unidad de Sistema y después puede cifrar las unidades restantes en el servidor.
15 MATTHEWS 01.indd 558
1/14/09 12:22:28 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
559
9. Haga clic en Siguiente. Se le indica que el cifrado está por iniciar y se le da la opción de ejecutar una revisión del sistema para ver si las claves que almacenó están disponibles. Es muy recomendable hacer la revisión. Haga clic en Continuar. 10. Asegúrese de que la clave USB esté conectada y dé clic en Reiniciar ahora. Tras reiniciar, debe ver un mensaje en un globo, en la bandeja del sistema que dice “Cifrado de unidad BitLocker (xx% completado)”. Si vuelve a abrir el panel de control BitLocker, verá que el cifrado de unidad está en proceso.
15 MATTHEWS 01.indd 559
1/14/09 12:22:28 PM
560
Windows Server 2008: Guía del Administrador
Use un equipo con BitLocker Usar un equipo con BitLocker no es muy diferente a usar uno sin éste, excepto que, a menos que tenga TPM, debe conectar la clave USB antes de iniciar el equipo. Existen varios problemas lógicos que debe tener en mente: ▼
Si crea, copia o mueve un archivo de una unidad o volumen BitLocker, se cifrará automáticamente, pero sólo permanecerá así en esa unidad. Dado que el sistema se inicia con la clave USB, PIN o TPM, el archivo estará disponible de la misma forma que estaba antes de instalar BitLocker
■
Si copia o mueve un archivo de una unidad o volumen BitLocker a otra unidad sin cifrado, el archivo se descifrará automáticamente en la segunda unidad
■
Si comparte archivos en la unidad BitLocker, otros usuarios con permisos apropiados podrán ver y usar los archivos como harían en una unidad sin BitLocker. Los archivos permanecerán cifrados en la unidad BitLocker, pero el usuario podrá copiar, con el permiso correcto, el archivo a una unidad no cifrada donde puede descifrarse
▲
Si el equipo en que trabaja tiene TPM e instaló BitLocker, cuando inicia, busca cualquier condición que puede representar algún intento de intrusión. Puede tratarse de cambios a los archivos de inicio, errores de disco o cambios al sistema básico de entrada y salida (BIOS, Basic Input/Output System). Cuando TPM con BitLocker perciba cualquiera de estas condiciones, bloqueará el sistema y evitará que inicie. Los mismos elementos que TPM/BitLocker revisa pueden verse afectados por una falla de hardware, que causaría el bloqueo del sistema. Sin embargo, con la clave de recuperación el sistema puede desbloquearse fácilmente
SUGERENCIA Una vez iniciado el equipo con la clave USB, es buena idea quitarla y mantenerla en un lugar seguro.
Puede deshabilitar temporalmente BitLocker o desactivarlo por completo al hacer clic en Desactivar BitLocker, en el panel de control Cifrado de unidad BitLocker. Deshabilitar la unidad le permite al sistema reiniciar sin clave, como tal vez quiera hacerlo para actualizar el sistema, cambiar el BIOS o cualquiera de los archivos de inicio, pero la unidad permanece cifrada y usa una clave de texto simple almacenada en su equipo. Desactivar BitLocker descifra el disco, que quizás tarde un poco.
15 MATTHEWS 01.indd 560
1/14/09 12:22:28 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
561
Puede duplicar la clave de inicio o contraseña de recuperación al hacer clic en Administrar claves de BitLocker, en el panel de control Cifrado de unidad BitLocker. Cuando haga clic en Duplicar la contraseña de recuperación, se abrirá el mismo cuadro de diálogo Guardar la contraseña de recuperación ya visto y podrá guardar una copia de la contraseña de recuperación en otra clave USB, carpeta de un disco duro o imprimirla. Si hace clic en Duplicar la clave de inicio, puede seleccionar otra clave USB para guardarla.
Recupere BitLocker Si la clave USB no está presente o el sistema se bloquea por alguna otra razón, tendrá un mensaje indicando que BitLocker ha evitado que el sistema inicie y debe insertar una clave USB (puede ser una con clave de inicio o contraseña de recuperación) y oprimir esc para reiniciar, u oprimir enter para ver una pantalla donde puede insertar la contraseña de recuperación. Si no tiene teclado numérico, puede usar las claves de función como números (F1=1, F2=2, F10=0, etc.). Una vez que haya insertado la contraseña correcta, el proceso de inicio continúa automáticamente.
EL CIFRADO DE CLAVE PRIVADA Y PÚBLICA En la actualidad, existen varios esquemas de cifrado para asegurar la transmisión de datos: cifrado de clave privada, cifrado de clave pública y la combinación de ambos. Al conjunto de los tres esquemas, tecnología y estándares o protocolos que los rodean se les conoce colectivamente como infraestructura de clave pública (PKI, public key infrastructure). En Windows Server 2008, PKI es parte integral del sistema operativo, sobre todo en Active Directory. Windows Server 2008 ha implementado los tres esquemas de clave de cifrado, que dan soporte completo con AD CS.
Cifrado de clave privada El cifrado de clave privada o cifrado simétrico (también usado en el cifrado de archivos y carpetas, como ya se expuso) es relativamente antiguo y utiliza una sola clave para cifrar y descifrar un mensaje. Esto significa que la clave por sí sola debe transferirse de un emisor a un receptor. Si esto se hace a través del teléfono, Internet e incluso un servicio de mensajería, una persona no autorizada simplemente necesita interceptar la transferencia de clave para obtenerla y descifrar dicho mensaje. Sin embargo, el cifrado de clave privada tiene un beneficio importante: es mucho más rápido (mil veces más rápido) que otras opciones. Los esquemas de clave privada son, por tanto, valiosas en situaciones donde no tiene que transferir la clave o puede hacerlo con seguridad (para uso personal en cifrado de datos, como ya se analizó, o durante el envío de información a alguien conocido). En Windows Server 2008 hay varios esquemas de clave privada para intercambiar información. Si transfiere información entre equipos de Windows Server 2008 y Windows Vista, el estándar de cifrado avanzado (AES, Advanced Encryption Standard) 128 se utilizará como opción predeterminada, con la aplicación de una clave de 128 bits. Entre las mismas versiones de Windows, AES-192 y AES-256, también hay disponibles con claves mayores. Para intercambios con versiones más antiguas de Windows y otros sistemas operativos, la
15 MATTHEWS 01.indd 561
1/14/09 12:22:28 PM
562
Windows Server 2008: Guía del Administrador
opción predeterminada es 3DES (cifrado de tres pasos instrumentado con el estándar de cifrado de datos: Data Encrypting Standard). El DES más antiguo, que usa una clave 56 bits, ya no se considera muy seguro.
Cifrado de clave pública El cifrado de clave pública o cifrado asimétrico, desarrollado a mediados de la década de 1970, utiliza un par de claves (pública y privada). La clave pública es conocida y transferida en forma pública para cifrar un mensaje. La clave privada nunca deja a su creador y se usa para descifrar el mensaje. Si dos personas utilizan dicha técnica, cada una genera una clave pública y una privada y después intercambian la clave pública abiertamente, sin importar quién las copie. Cada persona cifra su mensaje para el otro mediante la clave pública de la otra persona y después se envía el mensaje. Entonces puede descifrarse y leerse el mensaje con la clave privada almacenada por el receptor. Las claves públicas y privadas usan un algoritmo matemático que las relaciona con el mensaje cifrado. Con el uso de otros algoritmos matemáticos es muy sencillo generar pares de claves, pero sólo si se tiene la clave pública, es extremadamente difícil generar la clave privada. El proceso de cifrado de clave pública es lento, en comparación con el cifrado de clave privada. El de clave pública es mejor para entornos abiertos, donde emisor y receptor no se conocen.
Cifrado combinado de clave pública y privada Casi todos los cifrados en Internet realmente son una combinación de métodos de cifrado de clave pública y privada. La combinación más común, capa de conector seguro (SSL), fue desarrollada por Netscape para desplazamientos entre HTTP y TCP/IP. SSL proporciona una seguridad alta y medios muy rápidos para autentificación y cifrado. Recuerde que el cifrado de clave privada es muy rápido, pero tiene el problema de que transfiere la clave, mientras el cifrado de clave pública es muy seguro pero lento. Si quisiera iniciar una transmisión segura a través de una clave pública para cifrar y enviar una clave privada, entonces puede usar la clave privada de forma segura para enviar rápidamente la cantidad de datos que desee. Así funciona SSL. Utiliza una clave pública para enviar una clave privada elegida en forma aleatoria y, al hacerlo, configura un “conector seguro” con el que cualquier cantidad de datos puede cifrarse, enviarse y descifrarse rápidamente. En seguida de que el encabezado SSL ha transferido la clave privada, el emisor cifra automáticamente toda la información transferida en ambas direcciones durante una sesión dada (incluido URL, cualquier solicitud de un ID de usuario y contraseña, toda la información Web HTTP y cualquier dato insertado en un formulario) y el receptor la descifra automáticamente. Existen varias versiones de SSL; la versión 3 es la más usada. Provee más seguridad que las versiones anteriores y ofrece autentificación mejorada. Otra combinación de métodos de clave pública y privada es seguridad de capa de transporte (TLS), estándar de seguridad abierto similar a SSL 3. TLS, que fue diseñado por Internet Engineering Task Force (IETF), emplea algoritmos de cifrado diferentes de SSL. Por otra parte, TSL es muy similar a SSL, incluso tiene la opción de revertir SSL si fuera necesario. SSL 3 y TLS han sido propuestos por el comité de estándares World Wide Web Consortium (W3C) como estándares de seguridad.
15 MATTHEWS 01.indd 562
1/14/09 12:22:29 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
563
Claves de cifrado y certificados El uso de PKI en Windows Server 2008 e Internet depende de certificados digitales para enviar, autentificar y mantener claves de cifrado. (Consulte “Autentificación de certificado”, en páginas anteriores de este capítulo, para conocer una exposición acerca de los certificados y cómo enviarlos y usarlos.) Para obtener una clave de cifrado, se obtiene un certificado que incluye la clave. Para autentificar ésta, se utiliza el certificado que la incorpora. La clave se almacena en un certificado, que es el medio por el que se mantienen las claves en una organización. AD CS suministra todos estos servicios en Windows Server 2008. NOTA Windows Server 2008 incluye una característica llamada siguiente generación de cifrado (CNG, Criptography Next Generation) que interactúa con PKI para permitir la creación y uso de algoritmos de cifrado personalizados. No obstante, el uso de éstos está más allá del alcance de este libro.
TRANSMISIÓN SEGURA DE DATOS Hasta el momento, en este capítulo se ha expuesto la relación entre seguridad de equipos y su contenido, sin mencionar transmisión de datos entre equipos, mediante correo electrónico u otra forma de transferencia de información en una LAN, intranet o Internet. Sin embargo, la necesidad de extender una red a partes remotas de una organización, clientes y proveedores es muy real y requiere la transmisión segura de datos. Transmisión segura de datos significa que el cifrado de la información se transmite para no ser leída ni mal empleada por quienes no deben hacerlo. El cifrado de la información es tan antiguo como la humanidad y realmente ha florecido con el advenimiento de los equipos de cómputo. El cifrado de datos se ha vuelvo tan sofisticado, que el gobierno de Estados Unidos ha expresado su preocupación temiendo no descifrarlos (¿puede imaginarse eso?); hasta hace pocos años tenía prohibido movilizarlos hacia tecnología más avanzada (de todas formas, todos accedían a ellos por Internet).
Implemente la seguridad en la transmisión de datos Puede pensar que SSL y TLS son estupendos, pero que su uso es complejo. En realidad, ambos son fáciles de usar, ya sea a través de Internet o internamente en una LAN.
Implemente transmisiones seguras en Internet y la intranet Para implementar transmisiones seguras en Internet e intranet, requiere un servidor Web compatible con SSL o TLS, como Microsoft IIS 7, además de un explorador Web que le dé soporte, como Microsoft Internet Explorer 7, ambos incluidos en Windows Server 2008. En el explorador, para visitar un sitio Web con SSL o TSL implementados, simplemente necesita comenzar el URL con https://en lugar de http:// (consulte el capítulo 9 sobre IIS, para adquirir detalles respecto a la manera de implementar sitios Web seguros). SSL entrará en acción, sin siquiera percatarse de lo que pasa; explorador y servidor deciden qué algoritmo de cifrado usar para transferir una clave privada y después emplean dicha clave, al igual que el esquema de cifrado de clave privada elegido para cifrar y descifrar todos los demás datos durante la sesión.
15 MATTHEWS 01.indd 563
1/14/09 12:22:29 PM
564
Windows Server 2008: Guía del Administrador
Una vez conectado mediante SSL, su explorador indicará que se ha establecido una conexión segura. IE7 despliega un icono de candado a la derecha de la barra de direcciones. NOTA Aunque la combinación de cifrado público y privado es relativamente fácil, aun resulta mucho más lento que si no se tuviera cifrado. Por eso, se recomienda sólo utilizar SSL cuando envía información importante, como datos financieros o de una tarjeta de crédito, no para todo el sitio Web.
Implemente una transmisión segura LAN Aunque SSL puede usarse en una LAN e intranet, requiere un servidor de seguridad (cuya función cumple IIS) y puede interponerse en el camino de aplicaciones que trabajan en una LAN. La respuesta a esto es la seguridad de protocolo de Internet (IPSec, Internet Protocol Security), funcionando entre dos equipos de una red para proporcionar transmisión cifrada de información sin un servidor de seguridad ni bloqueos entre aplicaciones. IPSec es parte de IP y funciona en la tercera capa (de red), bajo cualquier aplicación, por ello no interfiere con éstas (consulte el análisis de las capas de red en “El modelo OSI” en el capítulo 5).
El proceso IPSec IPSec está automatizado casi en su totalidad; una vez que las directivas de grupo se establecen para esta operación, los usuarios de red no perciben que su comunicación de red está tomando lugar en forma segura. El proceso para establecer y aplicar IPSec es el siguiente: 1.
Se definen las directivas de dominio o equipo local para especificar cuál es el tráfico de red que necesita asegurarse y cómo se manejará esa seguridad.
2.
Con base en las directivas, IPSec establece un conjunto de filtros para determinar cuáles paquetes de red demandan transmisiones seguras.
3.
Cuando IPSec recibe de una aplicación remitente una serie de paquetes de red que requieren transmisión segura, el equipo emisor notifica esto al equipo receptor. Ambos equipos intercambian credenciales y se autentifican entre sí, según las directivas IPSec.
4.
Dada la autentificación, los dos equipos establecen un algoritmo con el que cada equipo puede generar la misma clave privada sin retransmitirla en red, nuevamente de acuerdo con las directivas IPSec.
5.
El equipo emisor utiliza la clave privada para cifrar los paquetes que transmite, los firma de forma digital para que el equipo receptor conozca quién envía los paquetes y después transmite los paquetes.
6.
El equipo receptor autentifica la firma digital y utiliza la clave para descifrar los paquetes y enviarlos a la aplicación receptora.
Configure IPSec Para configurar y usar IPSec, sólo necesita establecer o revisar las directivas predeterminadas de IPSec. Puede hacer esto mediante el complemento Seguridad IP en MMC, con estos pasos:
15 MATTHEWS 01.indd 564
1.
Haga clic en Inicio | Ejecutar, escriba mmc y oprima enter. Se abre la consola MMC.
2.
Haga clic en el menú Archivo y seleccione Agregar o quitar complementos; vaya hacia abajo y dé doble clic en Administrador de las directivas de seguridad IP.
1/14/09 12:22:29 PM
Capítulo 15:
Control de seguridad en Windows Server 2008
565
3.
Seleccione si quiere administrar las directivas de seguridad para el equipo local, dominio AD del que es miembro este equipo, otro dominio AD o equipo (en este ejemplo se usa un dominio) y dé clic en Finalizar.
4.
Si está abierto, cierre el cuadro de diálogo Agregar complementos independientes y dé clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos. Abra Raíz de consola y dé clic en Directivas de seguridad IP en Active Directory, para que su MMC se vea como aquí:
5.
Haga clic derecho en Secure Server y clic en Propiedades. En la ficha Reglas verá una lista de Reglas de seguridad IP, como se muestra aquí:
6.
Seleccione la regla All IP Traffic y haga clic en Editar. Se abre el cuadro de diálogo Propiedades de Modificar la regla. Revise cada una de las fichas y regrese a la ficha Acción de filtrado.
7.
Haga clic en Request Security y luego en Editar, con lo que desplegará una lista de métodos de seguridad similar a la lista en la figura 15-9. Puede seleccionar cada uno de éstos y dar clic de nuevo en Editar, para elegir el método de seguridad particular que quiere para una situación dada.
8.
Cuando haya terminado, haga clic dos veces en Aceptar, después clic dos veces en Cerrar para volver a la consola IPSec, donde también puede hacer clic en el botón Cerrar, contestando Sí para guardar la configuración de la consola con el nombre IPSec.
Verá que la acción predeterminada de IPSec en Windows Server 2008 es pedir seguridad en todo el tráfico. Se trata de una opción predeterminada segura; sus datos estarán mejor protegidos. El lado negativo de esta opción predeterminada es que la negociación de seguridad entre equipos, cifrado y descifrado de datos, además de los bits adicionales
15 MATTHEWS 01.indd 565
1/14/09 12:22:29 PM
566
Windows Server 2008: Guía del Administrador
Figura 15-9. Windows Server 2008 presenta muchas opciones para especificar el nivel de seguridad utilizado.
que se transmitirán, toman tiempo. Esto también usa mucho más ancho de banda en la red. Sólo usted y su organización pueden determinar qué es más importante (tiempo y ancho de banda o la seguridad). Lo importante es que Windows Server 2008 concede la opción, permitiéndole determinar qué aspecto de la red tiene mayor prioridad.
15 MATTHEWS 01.indd 566
1/14/09 12:22:30 PM
ÍNDICE Números 100BaseF, 111 100BaseFX, 107 100BaseT (Fast Ethernet), 107 adaptadores, 114, 115 instalación, 111 100GBase (100 Gigabit Ethernet, 100GbE), 107 1000Base (Gigabit Ethernet): diseño, 130 instalación, 111 1000BaseF (fibra 1000Base), 107 especificaciones, 112 estándares, 120 y láseres, 120 1000BaseT, 107, 112 10Base2 (Thinnet, Cheapernet), 106-107 especificaciones, 112 instalación, 111 10Base5 (Thicknet), 106 especificaciones, 112 instalación, 111 10BaseF (fibra 10Base), 107, 112 10BaseT (par trenzado), 107 adaptadores, 114, 115 especificaciones, 112 instalación, 111 10GBaseF (fibra l0GBase), 112 10GBaseT (10 Gigabit Ethernet, l0GbE), 107, 112 3Com: conmutadores, 127
y adaptadores de red, 115 3DES (cifrado de tres pasos con el estándar de cifrado de datos), 298, 561 64 bits, versión, 251
A Acceso directo a memoria directo (DMA), 145 Acceso múltiple de percepción de portador con detección de colisiones (CSMA/CD), 105 Acceso rápido, barra de herramientas, 161 Acceso remoto (véase Terminal Services) Acceso Web de Terminal Services, 326, 347-349 configuración, 347 e IIS 7, 347 uso, 347-349 y Conexión de escritorio remoto, 347 y Sitios de confianza, 347 Acceso Web de TS (véase Acceso Web de Terminal Services) Accesos directos (objetivo de carpetas): a confianzas, 207-208 creación, 346 y nombre de espacio DFS, 405 Acciones, panel, 269 Acciones al hacer clic, 480 ACL (lista de control de acceso), 371 ACT (véase Conjunto de herramientas de compatibilidad de aplicaciones) Active Directory (AD), 17, 188, 214
567
INDICE MATTHEWS 01.indd 567
1/14/09 12:23:07 PM
568
Windows Server 2008: Guía del Administrador
acceso directo a confianzas, 207-208 actualización, 46-47 árboles, 205-207 bosques, 204-205 configuración, 200 controladores de dominio en, 188, 196-198, 541-544 copias de seguridad, 211 detección y resolución de colisiones, 213-214 e IPSec, 312 entorno, 188-189 esquemas, 200-201 estructura, 200, 203-209 funciones, 188 información, 193 instalación, 194-200 mejora, 46-47 objetos, 200-203 OU, 208-209 publicar elementos, 201-203 RAS, 226 replicación, 210-213 servicios, 209 unidades organizativas, 189, 190 y autentificación de usuario, 524 y controladores de dominio primarios, 196 y DNS, 190-192 y dominios, 46-47, 188, 191-194, 203-204 y el maestro de operaciones, 46-47, 199-200 y MMC, 197 y nombre de espacio, 190 y nombre de espacio DNS global, 193-194 y publicación de directorio, 201-202 y publicación de impresora, 202-203 y seguridad, 522 y servidor de catálogo global, 198-199 y sitios, 209-210 y Terminal Services, 326 y VPN, 309, 312 Active Directory Rights Management Services, 73 Actualizaciones, 516-519 automáticas, 517-519 automáticas de mantenimiento, 519 automáticas, uso, 518 con Windows Update, 46 manuales, 517 para Active Directory, 46-47 semiautomáticas, 519 Actualizar página, 266 AD (véase Active Directory) AD CS (véase Certificate Services de Active Directory) AD DS (véase Servicios de dominio de Active Directory) Adaptadores, 113, 114, 142-147 conexiones, 113-114 configuración, 142-147 consideraciones, 112 controladores, 143-145 costo, 110 de Linksys, 113
INDICE MATTHEWS 01.indd 568
de red multipuerto, 114 de red que no funcionan, 147 memoria, 114 multipuerto, 114 nombres de marcas, 115 para administración remota, 115 para inicio remoto, 115 que no funcionan, 147 recursos, 145-147 y la interfaz de componente periférico, 113-115 Adelante, botón, 266 Administración (véase Administración del sistema) Administración de almacenamiento y recursos compartidos, 376-382 Asistente para aprovisionamiento de almacenamiento, 376, 380 Asistente para aprovisionamiento de carpetas compartidas, 376, 381-382 Funciones, 376 y Servicios de archivo, 375 Administración de directivas de grupo, 507, 508 Administración de discos, 369, 373-375, 383 Administración de discos, panel, 15, 384-386 Administración de dispositivos, 475-176 Administración de documentos, 441 Administración de equipos, 15, 524 Administración de impresión, 16, 71 Administración de impresoras, 441 Administración de seguridad, 17 Administración de sistema, 12-18 administración de impresión, 16 administración de seguridad, 17 administración de sistema de archivos, 14-15 administración del sistema, 13-14 con Panel de control, 18 e IIS 7, 251, 269-273 en Windows NT, 202 herramientas, 12, 13, 18 remota, 269-273 y Active Directory, 202 y licencias, 353 Administración de volumen dinámico, 401-404 Administración del servidor, 13-14 Administración del Sistema de archivos distribuido, 407-416 de Espacios de nombres DFS, 407-409 de Replicación DFS, 409-412 inicio, 406-107 Administración DFS (véase Administración de sistema de archivos distribuido) Administración remota, 269-273 con IIS 7, 269-273 con Servicio de administración, 269, 270-271 de servidores Web, 269-273 Administrador de cuentas de seguridad (SAM), 497, 523 Administrador de Internet Information Services (IIS), 265-269 abrir, 264-266
1/14/09 12:23:07 PM
Índice
barra de herramientas de Navegación, 266 en Administrador del servidor, 264 panel Acciones, 269 panel Conexiones, 266-267 Administrador de licencias de Terminal Services, 326, 353-358 activación de servidor, 356-358 configuración de usuario, 358 implementación, 353 servicio de función, 354-356 Administrador de licencias de TS (véase Administrador de licencias de Terminal Services) Administrador de memoria virtual, 499 Administrador de Puerta de enlace de Terminal Services, 350-351 Administrador de recursos del servidor de archivos (FSRM), 375, 412-116 Administrador de RemoteApp de TS, 338 Administrador de servicios de Fax, 460, 467 Administrador de Terminal Services, 325, 334-335 Administrador del servidor, 4, 13, 70-80 Administrador de impresión, 71 Administrador de Internet Information Services (IIS), 264 e instalación, 9, 13, 253 Herramientas administrativas, 490 y características, 14 y DFS, 406 y el panel Administración de discos, 15 y Fax y escáner de Windows, 460 y funciones, 13 y funciones de servidor, 72-73 y Terminal Services, 330 Administrador Web, 292 Administradores de agente de recuperación, 552 Administradores, grupo, 546 Adobe Systems, Inc., y fuentes, 448 Adprep, 47 ADSI (Interfaz de servicio de Active Directory), 201 ADSL (línea asimétrica de suscripción digital), 219 AES (estandar de cifrado avanzado), 561 Agente de sesiones de Terminal Services, 326 habilitación, 351-353 y Active Directory, 326 Agregar funciones, 489 Agrupación en clústeres, 6, 251, 370 Alámbrica, red, 110 Almacenamiento en caché: plantilla, 252 reglas de almacenamiento en caché de salida, 268 AltaVista, 240 Ámbitos, 157 adición, 166-167 de dominio local, 541 de servidor de licencias, 355 global, 541 globales, 543 opciones de nivel, 171
INDICE MATTHEWS 01.indd 569
569
rangos, 168 universales, 543 y DHCP, 166-168, 171 American Registry for Internet Numbers (ARIN), 159, 160 Ampliador, 479 Ancho de banda, administración, 252 Antes del arranque, 499 APIPA (véase Direccionamiento IP automático privado) Aplicación, capa, 103 delegación, 269 APNIC (Asia Pacific Network Information Center), 159 Apuntador urgente, 139 Árboles: en Active Directory, 205-207 y DNS, 206 y dominios, 206, 207 Archivos: cifrado, 396, 400-101, 551-556 cifrado de archivos de prueba, 555-556 compresión de datos, 396-397 comprimidos con NTFS, 398 de Registro, 501 descifrado, 555 EFS, 552-553 permisos, 550 permisos especiales, 550 ARCnet, 104 Área de trabajo, cableado, 122 Arial, 452 ARIN (véase American Registry for Internet Numbers) ARP (Protocolo de resolución de direcciones), 156 Arranque, 499 arranque de red PXE, 88 desde una unidad de DVD, 48, 49, 50, 58 directo, 48-50 dual, 32-33 e instalación limpia, 58-59 imágenes, 85-87 remoto, 115 y BIOS, 50 Arriba, en panel Conexiones, 267 Asia Pacific Network Information Center (APNIC), 159 Asignación: de Active Directory, 189 de certificados, a cuentas de usuario, 536-538 de controlador, en espacio de trabajo del Administrador de Internet Information Services (IIS), 267 de nombres a dominios, 200 de nombres a servidores, 160 Asignador de descubrimiento de topología, 150 de nivel de vínculos, 150 Asistente para agregar funciones, 74, 75, 327 Asistente para agregar impresora, 429-431 Asistente para aprovisionar almacenamiento, 376, 380 Asistente para aprovisionar una carpeta compartida, 376, 381-382 Asistente para carpeta compartida, 380
1/14/09 12:23:07 PM
570
Windows Server 2008: Guía del Administrador
Asistente para la instalación de Servicios de dominio de Active Directory, 195, 196 Asistente para programación de copias de seguridad, 418, 421 Asistente para recuperación, 423-425 Ask (sitio Web), 240 ASP (véase Páginas activas de servidor) ASP.NET (páginas de servidor activo con el uso de Microsoft .NET Framework), 248, 249, 254 Atrás, botón: de Internet Explorer, 239 de la barra de herramientas Navegación, 266 Audio, transmisión por secuencia, 290, 292 Autentificación, 522-538 básica, 255 con contraseñas, 526-528 de asignaciones de certificado de cliente de IIS, 255 de certificado, 528-538 de certificado con AD CS, 528-530 de certificado en servidores enpresariales, 529 de certificado en servidores independientes, 529 de usuario, 522-526 de usuario en el equipo local, 523-524 de Windows, 255 espacios de trabajo en el Administrador de Internet Information Services (IIS), 267 integrada, 249, 255 usuario, 524 Windows, 255 y Active Directory, 524 y capa de conector seguro, 524 Autor, modo, 489 Autoría y versión distribuidas de Web (WebDAV), 248 Autoridad de certificación (CA), 309-311, 528 administración, 310-311 con AD CS, 529 configuración, 309-310 instalación, 309-310 lista, 533-536 raíz, 529 resumen, 530-531 subordinada, 529 y servidor VPN, 309-311 Autoridad de certificado subordinada, 529 Autorización de URL, 255 Avanzado, ficha, 484-485 Ayuda, en la barra de herramientas Navegación, 266
B Bandejas de alimentación de papel, 439 BDC (véase Controladores de dominio de copia de seguridad) “Bien conectados”, sitios, 209-210 Biométricos, dispositivos, 527 BIOS (véase Sistema de entrada/salida básico) Bloque de mensaje de servidor (SMB), 382 Bloqueo de clic, 481
INDICE MATTHEWS 01.indd 570
Bob Metcalfe, 104 Boletos, sistema, 526 Bosques: en Active Directory, 204-205 y replicación, 410 Botones, ficha, 481 Botones del ratón, 479 Búfer, inclusión, 290 Bus serial universal (USB): adaptadores, 113, 142 e impresoras, 430 escáner de huella digital, 527 y BitLocker, 556 Buscar, ficha, 481 Búsqueda capacidad, 239 de sitios Web, 241-243 en idioma natural, 481 inversa, 160 zonas de bosque inversa, 160, 174-176, 192
C CA (véase Autoridad de certificación) Cableado, 116-122 área de trabajo, 122 cable de fibra óptica, 118-121 comparaciones de costos, 122 doblado, 117 dúplex, 120 en topología de estrella, 119 espina dorsal, 121 estándares TIA/EIA, 121-122 horizontal, 121 largo del, 118 par trenzado sin blindar, 116-118 simplex, 120 y topología de estrella, 119, 130 zipcord, 120, 122 Canalizar, 435 Cancelar impresión, 445 Capa de conectores seguros (SSL): para autentificación de usuario, 524 y cifrado, 562 Capacidad, rastreo para planeación, 252 Carga de impresión, 457 Carga de procesos de arranque, 499 Carga inicial del programa (IPL), 499 Cargador de arranque de Windows, 499 Cargar subárbol, 497 Carpetas: cifrado, 396, 400-401, 551-556 compartidas, 376 compresión de datos, 396-397 descifrado, 555 exploración, 480 perfiles, 513 permisos, 545-547
1/14/09 12:23:08 PM
Índice
permisos especiales, 547 Cartucho, fuentes, 447 Caseras, tecnologías de red, 110-111 CCK (codificación complementaria de llaves), 108 CD (disco compacto), 6 Centro de accesibilidad, 476-477 Centro de distribución de claves (KDC), 526 Centro de Favoritos, 241 Centro de redes y recursos compartidos, 63-64, 66, 76 Certificados: asignar a cuentas de usuario, 536-538 cifrado, 563 EFS, 552, 553 emisión, 313-315 mediante conexión Web, 531-532 seguridad, 262 solicitud, 531-533 solicitud directa, 532-533 y servidor VPN, 313-315 Certificados de seguridad: en IIS 7, 262 en Puerta de enlace de Terminal Services, 329 CGI, 254 CHAP (protocolo de autentificación de desafío de saludo), 296-297 Cheapernet (véase 10Base2) Cifrado, 551-563 archivos EFS, 552-553 asimétrico (cifrado de clave pública), 562 certificados, 563 certificados EFS, 553 cifrado de archivos de prueba, 555-556 cifrado de clave privada, 561, 562 cifrado de clave pública, 562 claves, 563 con BitLocker, 556-561 consideraciones, 552-553 de archivos, 396, 400-401, 551-556 de carpetas, 396, 551-556 de clave privada (cifrado asimétrico) para certificados, 529 de clave privada (cifrado simétrico), 561, 562 de clave privada y de clave pública, 562 de clave pública (cifrado asimétrico), 562 de discos duros, 400-401 de PIN, 527 de unidades, 556-561 desde el Explorador de Windows, 554-555 en sistema de boletos, 526 proceso, 551-552 simétrico (secreto), claves, 551 y administradores de agente de recuperación, 552 y la capa de conectores seguros, 562 y sistemas de archivo FAT, 552 Cifrado de sistema de archivos (EFS), 551-552 certificados, 552, 553 copia y movimiento de archivos, 552-553 para cifrado, 553
INDICE MATTHEWS 01.indd 571
571
y WDS, 82 Cifrado de unidad BitLocker, 556-561 cifrado con, 556-561 configuración, 557-559 controles, 557-559 instalación, 557 modos de autentificación, 556 recuperación con, 561 uso de equipos, 560-561 y PIN, 556 Cifrado de punto a punto de Microsoft (MPPE), 295, 297 C-ip, campo, 284 Circuitos virtuales, 103 Citrix, 325 Claves (subárboles), 494-497 cifrado, 563 HKEY_LOCAL_MACHINE, 495 HKEY_USERS, 494 y subárboles, 496-497 y subclaves, 496-497 Claves de producto, 56 Claves secretas (cifrado simétrico), 551 Clic en el Monitor de recursos, 488 Clientes: diferencia entre servidores y, 100 en redes, 99, 100 opciones de nivel, 171 Servicios de nombre de Internet, 181-182 servidor, LAN, 99-100 Cloruro de polivinilo (PVC), 117 Clúster de conmutación por error, 6 CMP (véase Plenum, cable) CMR (véase PVC, cable) CNG (Siguiente generación de cifrado), 563 Codificación complementaria de llaves (CCK), 108 Cola de impresión, 437, 440 Cola de impresora, 443-447 Colisiones, 105 detección/resolución, 213-214 y replicación, 214 y velocidad, 108 .COM, 190 COM, puertos, 219, 430 Compartir, permiso, 549 Compatibilidad de aplicaciones, 28-29 Compatibilidad del sistema, 24-27 Compendio de mensajes, 296, 297 Complementarias, fuentes, 452 Complementos, 489 Compresión de datos, 395-398 archivos comprimidos NTFS, 398 en discos duros, 395-398 en el espacio de trabajo del Administrador de Internet Information Services (IIS), 267 para archivos, 396-397 para carpetas, 396-397 para volúmenes, 395-396 y cuotas, 399
1/14/09 12:23:08 PM
572
Windows Server 2008: Guía del Administrador
y sin compresión, 396 Compresión diferencial remota (RDC), 409 Comunicaciones, 11-12, 218 conexión a Internet, 11-12, 235-246 en Windows Server 2008, 12 externas, 11-12 hardware, 12 Servicio de acceso remoto, 12, 223-230 telefonía, 218-223 y enrutador de Windows Server 2008, 230-235 Concentradores, 123 Concesiones, 157 dirección de monitor, 172 duración, 168-169 Conectores seguros, 562 Conexión a Escritorio remoto (RDC), 360 administración mediante, 359 con RemoteApp de TS, 343-346 configuración, 360-363 habilitación, 359 uso, 359-360 y Acceso Web de TS, 347 y modo de servidor de aplicaciones, 335 y RemoteApp de TS, 340 y Terminal Services, 326, 330 Conexiones automáticas, 356 externas, 11-12 principales cruzadas, 121 Conexiones, panel, 266-267 Confiabilidad, 250 Confianza, relaciones, 205 Configuración compartida, 268 de partición de datos, 210 de Windows Server 2008, 8-10 Configuración del sistema, utilería, 499, 500 Configuración regional y de idioma, 482-483 Conjunto de aplicaciones, 250 Conjunto de clon de control, 499 Conjunto de herramientas de compatibilidad de aplicaciones (ACT), 90, 92 Conjunto redundante de discos independientes/económicos (RAID), 369 Conmutadores, 123-127 apilables, 124-126 de capa 3, 123 empresariales (modulares), 126-127 independientes, 123-124 modulares (empresariales), 126-127 segmentación, 123 Consola Administración, 256 Consola de administración de IIS, 256 Consola de administración de Microsoft (MMC), 489-493 creación, 490-493 uso, 493 y Active Directory, 197 y certificados, 532-533
INDICE MATTHEWS 01.indd 572
Consolas, 489, 490 Contadores, 288, 289 Contaminación inalámbrica, 110 Contenedores, 188 (véase también Grupos) Contenedores de directiva de grupo (GPC), 506 Contenido dinámico, 262, 263 Contenido estático: compresión, 255-256 e IIS 7, 254, 255 Contenido Web dinámico, 262-263 Contorno, fuentes, 448 Contraseñas, 526-527 autentificación, 526-528 configuración, 183-184 fortaleza, 59, 76 largas, 184 para dominios, 76 y dispositivos biométricos, 527 y nombres de usuario, 183-184 y tarjetas inteligentes, 527 Contraste alto, 479 Control de acceso, 17, 538-550 con grupos, 539-544 con permisos, 544-550 propietario, 538-539 Control remoto y conectar, 334 Control total, permisos, 546, 548, 550 Controladores: en Administrador de dispositivos, 475 para adaptadores de red, 143-145 para impresoras, 428 para tarjetas inteligentes, 527 Controladores de dominio (DC), 188, 194 adición, 195 detección/resolución de colisión, 213-214 en Active Directory, 188, 196-198 en modo mixto, 198 PDC, 195, 196 remplazar existente, 196-198 replicación, 211 servidor como, 184 sólo lectura, 198, 214 y Terminal Services, 326 Controladores de dominio de copia de seguridad (BDC), 196, 198 Controladores de dominio de sólo lectura (RODC), 198, 214 Controladores de dominio primarios (PDC), 195, 196 emulador, 199 y Active Directory, 196 Convención universal de asignación de nombres (UNC), 278 Convert.exe, 372-373 Copias de seguridad, 416 antes de la instalación, 40 completas (regulares), 416 copia, 416 de Windows Server, 416-426
1/14/09 12:23:08 PM
Índice
incrementales, 416 para Active Directory, 211 para optimizar el rendimiento, 423 programadas, 421 regulares (completas), 416 tipos, 416-117 una vez, 422-423 y el Asistente para recuperación, 423-425 Copias de seguridad de Windows Server, 416-426 cambio de copias de seguridad programadas con, 421 inicio, 417 instalación, 417 optimización del rendimiento, 423 para copia de seguridad de una sola vez, 422-423 programación de copias de seguridad con, 418-420 uso, 417-423 y Asistente para recuperación, 423-125 y discos de recuperación, 425-426 CoreFTP, 252 Correo, servidores, 190 CRC (revisión de redundancia cíclica), 106 Creación de volúmenes reflejados, 260, 370 Crear nueva conexión, 267 Cs (user-agent), campo, 284 CSMA/CD (Acceso múltiple de percepción de portador con detección de colisiones), 105 Cs-method, campo, 284 CSP (véase Proveedor de servicio de cifrado; Proveedor de servicio de cifrado seleccionable) Cs-uri-query, campo, 284 Cs-username, campo, 284 CTL (lista de certificados de confianza), 533-535 ctrl+alt+supr: para seguridad, 522 y tarjetas inteligentes, 527 ctrl+n, 245 Cuartos de equipo, estándares, 121 Cuentas de equipo, 533 de grupo (véase Grupos) de servicio, 533 de usuario locales, 184 Cuentas de usuario, 523 certificados asignados a, 536-538 configuración, 183, 184 creación, 513-514 dominio, 183, 184 en Terminal Services, 336-337 local, 184 perfiles de usuario conectados a, 514-515 y certificados, 533 Cuotas, 399-400
D Daemon de impresora de línea (LPD), servicio, 428, 452 Datacenter, edición, 6, 31 Datagramas, 132-133, 294
INDICE MATTHEWS 01.indd 573
573
Date, campo, 284 Datos almacenados asegurados, 17, 551 Datos de configuración de arranque (BCD), 84, 499 Datos, transmisión de: aseguramiento, 17 en trama ethernet, 106 DC (véase Controladores de dominio) DDNS, dominios (véase Dominios DNS dinámicos) Default-Fist-Site-Name, 211 Delegación de características, 268 Delimitador de inicio de trama (SFD), 105 DEP (Prevención de ejecución de datos), 485 Departamento de comercio (Estados Unidos), 190 DES (véase Estándar de cifrado de datos) Desafío, serie, 296 Desarrollo de aplicaciones, 254 Descargar subárbol, 497 Descifrado, 551-552, 555 con BitLocker, 560 de archivos, 555 de carpetas, 555 Descripción, descubrimiento e integración universal (UDDI) Servicios, 73 Descriptores de seguridad, 538 Desfragmentación, 398-399 Desfragmentador de disco, 489 Destino de la trama de Ethernet, 105 Destinos de carpetas (véase Accesos directos) Detección y resolución de problemas: con rastreo, 284-285 con registros, 282-284 de IIS 7, 279-289 mensajes de error, 280-282 Servicios de implementación de Windows, 89-91 y rendimiento del servidor, 285-289 Detener, en la barra de herramientas Navegación, 266 DFS (véase Sistema de archivos distribuido) DHCP (véase Protocolo de configuración dinámica de host) Digitales certificados (véase Certificados) equipo, 104 servicios telefónicos, 218-219 Diodo emisor de luz (LED), 119, 120 Dirección de control de acceso a medios (MAC): en capa de vínculo de datos, 103 obtención, 122 y dirección física, 156 y trama Ethernet, 105-106 Direccionamiento IP automático privado (APIPA), 151, 159 Direcciones IP jerárquicas, 135 lógica, 156 Direcciones, barra, 239 Directiva de autorización de conexión de Terminal Services (TS CAP), 328 Directiva de autorización de recursos de Terminal Services (TS RAP), 328
1/14/09 12:23:08 PM
574
Windows Server 2008: Guía del Administrador
Directivas de controlador de dominio predeterminadas, 507 de dominio predeterminadas, 507 de equipo, 504 de red para RAS, 227-228 Directivas de grupo, 504-511 cambiar, 504-506 en el nivel de dominio, 506-508 en el nivel de equipo local, 504-506 en el nivel de OU, 506-508 resumen, 506-508 y AD DS, 506 Directorios, 188 creación de directorios virtuales, 278 eliminación de directorios virtuales, 278-279 inicial, 276-277 jerárquicos, 190 principales, 276-277 publicación, 201-202 virtuales, 277-279 y función de objeto, 188 Disco compacto (CD), 6 Disco de video digital (DVD), 6, 24 arranque desde, 48, 50, 58 instalación desde, 51 varias unidades, 50 y ROM, 6 Discos de recuperación, 425-426 desconocidos, 390 dinámicos, 368 duros compartidos, 52 espacio, 6 limpieza, 41 Discos duros: adición, 389-390, 394 cifrado, 400-401, 556-561 compartir, 52 compresión de datos, 395-398 cuotas, 399-400 de red, 51-52 desconocido, 390 desfragmentación, 398-399 DVD, 51 eliminación, 389, 390 expansión, 14 formateo, 391 letras asignadas, 394-395 locales, 51-52 lógicos, 394 nueva exploración, 389-390 partición, 14, 391 propiedades, 386-389 rastreo, 389-390 reducción, 14 Dispositivos de impresión, 428 DIX estándar (Ethernet II), 104, 106 DMA (acceso directo a memoria), 145
INDICE MATTHEWS 01.indd 574
DNS (véase Sistema de nombre de dominio) Documento predeterminado, 254 Dominios, 74, 188 accesos directos a confianzas, 208 almacenamiento, 192 contraseñas, 76 cuentas de usuario, 183, 184 (véase también Usuario, cuentas) de ámbito local, 541, 543 DFS, 404 diferencia entre grupos de trabajo y, 74 división, 209 en Active Directory, 188 en modo nativo, 47 estructura de Active Directory, 46-47 instalación, 74 nativos, 196 nivel, 506-508 para ISP, 188 partición de datos, 210 raíz de bosque, 206 registrar, 190 relaciones de confianza, 205 secundarios, 207 y Active Directory, 191-194, 203-204 y árboles, 206, 207 y replicación, 409 (véase también tipos específicos, como Dominios DNS dinámicos) Dominios DNS Dinámicos (DDNS), 176-178, 193 funciones, 194 y zonas DNS, 172 DS (Servicios de dominio), 75-80 DSL (línea de suscriptor digital), 219 Dúplex, cableado, 120 DVD (véase Disco de video digital)
E EAP (Protocolo de autentificación extensible), 297 EAP-TLS (Protocolo de autentificación extensibleseguridad en la capa de transporte), 297 Editor de registro, 497 EFS (véase Cifrado de sistema de archivos) EFS, archivos, 552-553 EIA (Electronic Industries Association), 121 Electronic Industries Association (EIA), 121 Electronic Industries Association, estándares (véase TIA/EIA, estándares) Elevación del nivel funcional de dominio, 47 Eliminar conexión, 267 EMP (Empujar), campo, 139 Empujar (EMP), campo, 139 Encabezados: de host, 276 de respuesta HTTP, 267 en espacio de trabajo del Administrador de Internet Information Services (IIS), 267
1/14/09 12:23:09 PM
Índice
encabezados de respuesta, 267 host, 276 HTTP, 276 IPv4, 133-134 IPv6, 135 para varios sitios Web, 276 soporte, 276 y exploradores, 276 Encyclopedia of Networking & Telecommunications (Sheldon), 97 Enrutadores, 128 adición, a RAS, 223-224 capacidades, 128 enrutadores remotos, 232 para servicio de acceso remoto, 223-224 remotos, 232 Windows Server 2008, 230-235 (véase también Windows Server 2008, enrutadores) Enrutamiento y acceso remoto, 229, 232 Enterprise, edición, 31 actualización, 51 requisitos, 6 Servicios de federación de Active Directory, 5 Entorno de ejecución previo al arranque (PXE), 82-85, 88-91 configuración, 88 problemas con, 90-91 Entradas en el Registro, 497-498 Error, mensajes, 280-282 con direccionamiento, 274 en el Espacio de trabajo del Adminsitrador de IIS, 267 en IIS 7, 280-282 en Internet Explorer, 280 Escalabilidad, 251-252 Escalables, fuentes, 448 Escaneo y envío por fax, 463-464 Escritorio: Escritorio remoto, 363-364 personalización, 61-63 URL, 240 Escritorio remoto, 324, 363-364 uso, 363-364 usuarios, 358 y licencias, 353 Escritura, permisos, 547, 550 Espacio de nombres, 190, 404, 407 del Sistema de archivos distribuido, 375, 407-409 DNS global, 193-194 Sistema de archivos distribuido, 375, 407-409 y Active Directory, 190 Espacios de trabajo del Administrador de Internet Information Services (IIS), 267-269 en disco duro, 24, 40 libre, 82, 391 Espina dorsal cableado, 121 colapsada, 126
INDICE MATTHEWS 01.indd 575
575
Esquemas: básicos, 201 de Active Directory, 200-201 en Active Directory, 200-201 modificar, 201 partición de datos, 210 y maestro de operaciones, 200 Estaciones de trabajo: grupos, 540-541 independientes, 540-541 nodos, 111 Estado de la concesión de dirección, 172 Estado y diagnóstico, 254 Estados Unidos, Departamento de Comercio, 190 Estandar de cifrado avanzado (AES), 561 Estándar de cifrado de datos (DES), 298, 561 Estándares de telecomunicaciones, 122 para opciones de entrada, 121 Estrella, topología, 129, 130 cableado, 119 redes de área local, 98 y cableado, 119, 130 Estrella/bus, topología, 129 Ethernet, 104-108 especificaciones, 104-105 hardware, 106-108 método de acceso a medios, 105 topología, 106 trama, 105-106 Ethernet 802.3 (IEEE 802.3), 104, 106 Ethernet I, 106 Ethernet II (véase DIX, estándar) Ethernet, trama, 106 Expansión de discos duros, 14 Exploración de carpetas, 480 Exploración de directorio: e IIS, 7, 254 Espacio de trabajo del Administrador de Internet Information Services (IIS), 267 Explorador de Windows: cifrado, 420 Opciones de carpeta, 480 y copias de seguridad, 398-399 Exploradores: y encabezados de host, 276 y licencias, 356 (véase también tipos específicos, como Internet Explorer) Exportaciones: de configuraciones de sitio Web, 251 de subárboles, 497 ExpressCard: adaptadores, 113, 114, 142 costo, 114 Extendidas, particiones, 368, 369 Extendidos, volúmenes, 369, 403-404 Extensibilidad de .NET, 254 Extensiones, 489
1/14/09 12:23:09 PM
576
Windows Server 2008: Guía del Administrador
Extensiones de archivo, 250 Extensiones de correo multipropósito de Internet (MIME), 268 Extensiones de servidor de FrontPage, 258 Extensiones ISAPI, 254
F Fast Ethernet (véase 100BaseT) Fast Internet (IEEE 802.3u), 104 FAT, sistema de archivos, 370-373 conversión a NTFS, 372-373 y cifrado, 552 FAT32, sistemas de archivos, 370-373 Favoritos, carpeta, 240 Fax, dispositivos de: adición, 467-468 configuración, 468-469 instalación, 459 Fax y escáner de Windows, 458-466 envío de faxes con, 461-464 escaneo con, 463-464 habilitación, 458-159 impresión para enviar con, 462-463 instalación de, 459 recepción de faxes con, 461-462, 464-466 y Administrador del servidor, 460 y portadas, 466 Faxes: envío, 461-162 escaneo antes de enviar por fax, 463-464 impresión para envío, 462-463 portada, 466 recepción, 464-466 Fechas, opciones, 483 Fibra óptica, cables, 118-121 costo, 121 fibra de varios modos, 120 un solo modo, 120 y Ethernet, 107 Fichas: apertura de sitios Web, 244-245 cambio entre, 245-246 cierre, 246 en el explorador de Internet, 244-246 filas, 244 y sitios Web, 244-246 Fidelidad inalámbrica (WiFI), estándar, 110 Filtro de solicitudes, 255 Filtros ISAPI, 254 FIN (Finalizar), campo, 139 Firewalls, 317 Física capa, 102 dirección (hardware), 156, 170 partición (véase Volúmenes) .Fon, archivos, 449 Formateo:
INDICE MATTHEWS 01.indd 576
de discos duros, 391 de volúmenes, 85 y particionamiento, 59 FQDN (véase Nombres de dominio plenamente calificados) Fragmentación, 370 FRS (Servicio de replicación de archivos), 375 FSRM (véase Administrador de recursos del servidor de archivos) FTP (véase Protocolo de transferencia de archivos) Fuentes, 447-452 adición, 450-451 complementarias, 452 de cartucho, 447 de contorno, 448 de mapa de bits, 448 eliminación, 450-451 en Windows Server 2008, 448-450 escalables, 448 instalación, 448-449 PostScriptx, 448 residentes, 447 revisión, 449, 450 sans serif, 452 serif, 452 suaves, 447 TrueType, 448, 449 uso, 451-452 vectoriales, 448 Full-duplex, tarjetas de red, 114 Funciones, 9 de servicio de acceso remoto, 223-224 de servidores, 8 selección, 13 servidor, 70-80 y Administrador del servidor, 9, 13 y Servicios de archivo, 375 y Terminal Services, 326-331, 354-356 (véase también tipos específicos, como Servicios de impresión) Futura, 452 FYI (Para su información), 131
G Garamond, 452 GB (gigabyte), 6 General, ficha, 480 Ghost (Symantec), 260 GHz (gigahertz), 6 Gigabit Ethernet (véase 1000Base) Gigabyte (GB), 6 Gigahertz (GHz), 6 Google, 240 gov…, 188 GPC (contenedores de directiva de grupo), 506 GPO (objetos de directiva de grupo), 508-511 GPO (véase Objetos de directiva de grupo)
1/14/09 12:23:09 PM
Índice
GPO de inicio, 509-510 GPT (plantillas de directiva de grupo), 506 GPT (tabla de partición GUID), 384 Grupos de Internet, registro, 182 de noticias, hospedaje, 253 de trabajo, 74 permisos, 17 registro, 182 Grupos (cuentas de grupo): adición de usuarios, 186 configuración, 183, 185 en controladores de dominio de Active Directory, 541-544 en servidores/estaciones de trabajo independientes, 540-541 permisos, 183 Guardar conexiones actuales, 267 Guardar en el disco local, 363 GUI (véase Interfaz gráfica de usuario) GUID (véase Identificadores globalmente únicos)
H Habilitar registro de arranque, 502 Habilitar video de baja resolución, 503 Half-duplex, tarjetas de red, 114 Hardware: actualización, antes de la instalación, 41 conflicto, 41-42 deshabilitación antes de la instalación, 41-42 dirección (véase Dirección física) ficha, 484 para comunicaciones, 12 para ethernet, 106-108 para instalación, 41 para migración, 260 para red, 111-129, 299-301 para red privada virtual, 299-301 para servicio de acceso remoto, 299-301 para Windows Server 2008, 5-7 y Administrador de dispositivos, 476 Heredado, 538 Herramientas administrativas, 70, 256, 490 Hewlett Packard (HP), impresoras, 434, 440, 441 Historial, carpeta, 241 HKEY_CLASSES_ROOT, 495 HKEY_CURRENT_CONFIG, 495 HKEY_CURRENT_USER, 494 HKEY_LOCAL_MACH1NE, 495, 523 HKEY_USERS, 494 Hora, configuraciones, 483 Hora de impresión, establecimiento, 446 Hospedaje: de sitios Web, 274-276 en IIS 7, 249 y tiempo de espera, 259 Host local, 155 Host múltiple, registro, 182
INDICE MATTHEWS 01.indd 577
577
HP, impresoras (véase Hewlett-Packard, impresoras) HTML (lenguaje de marcado de hipertexto), 252 HTTP (véase Protocolo de transferencia de hipertexto) encabezados, 267, 276 errores, 254 inicio de sesión, 254 redireccionamiento, 254 HTTPS (protocolo seguro de transferencia de hipertexto), 298
I IANA (véase Internet Assigned Numbers Authority) IBM, 104 ICANN (Internet Corporation for Assigned Names and Numbers), 190 ICT (véase Tareas de configuración inicial) ID (identificadores) (véase tipos específicos, como Identificadores globalmente únicos) ID relativos, 199 Identidad de proceso, 250 Identificadores (véase tipos específicos, como Identificadores globalmente únicos) Identificadores de seguridad (SID), 201, 371 Identificadores globalmente únicos (GUID), 200 en NT, 201 tabla de particiones, 384 y replicación, 214 IE (véase Internet Explorer) IE ESC (seguridad mejorada de Internet Explorer), 236 IEEE (véase Institute of Electrical and Electronics Engineers) IEEE 802.11a, 108 IEEE 802.11b, 108 IEEE 802.11g, 108 IEEE 802.11n, 109 IEEE 802.3 (Ethernet 802.3), 104 IEEE 802.3u, Fast Internet, 104 IEEE 802.3z, Gigabit Ethernet, 104 IETF (véase Internet Engineering Task Force) IIS, permisos, 262 IIS 6, 256 IIS 7 (véase Internet Information Services versión 7) Implementación de Windows Server 2008, 7-10, 18, 22 (véase también Instalación de Windows Server 2008) Importaciones: de configuraciones de sitio Web, 251 de subárboles, 497 Impresión, 428-447 administración, 455-457 Administrar documentos, 441 cancelación, 445 con impresoras de red, 432-435 conceptos, 428 configuración, 435-443 configuración de usuario, 441-443 de todos los documentos, 444 de un solo documento, 444 en impresoras locales, 430-432
1/14/09 12:23:09 PM
578
Windows Server 2008: Guía del Administrador
en la impresora local, 363-364 faxes, 462-163 hora, 446-447 inicio, 440 notificación, 446-447 pausado, 443-445 permisos especiales, 442 reanudación, 443-445 redireccionamiento de documentos, 445-446 reinicio, 443-445 requisitos del sistema, 429 y cola de impresión, 440 y envío para fax, 462-463 y páginas de separación, 440-441 y propiedades de documentos, 446-447 Impresoras, 428 adición, 430-432 administración, 441, 453-157 bandejas de papel, 439 compartidas, 16, 441, 442 configuración, 436 controladores, 428 de Hewlett-Packard, 434, 440, 441 detección y resolución de problemas, 430 en Internet, 71, 452 locales, 430-432 permisos, 442 prioridad, 438-439, 446-147 red, 428, 430, 434-135 reinstalación, 430 solicitud, 443-447 y DHCP, 434 Impresoras de red, 428, 432-435 compartidas, 430 conectadas a la red, 434-435 conectadas a otros equipos, 432-433 configuración, 432-435 Impresoras locales: adición, 430-432 imprimir, 363-364, 430-432 Inclusión del lado del servidor (SSI), 254 Inclusión en el Registro: de dominio, 190 de nombres de dominio, 182 para grupos, 182 Incrementales, copias de seguridad, 416 Information Sciences Institute (ISI), 131 Infraestructura de clave pública (PKI), 561, 563 Inicio de sesión de proceso de arranque, 199, 499 personalizado, 255 Inicio y recuperación, 485 Inscripción Web de autoridad de certificación, 529 Instalación, 35-36, 48-59 arranque directo, 48 automatizada, 8, 48 completa, 37 con imagen, 87-88
INDICE MATTHEWS 01.indd 578
desde disco duro local, 51-52 desde unidad de red, 51-52 desde unidad DVD, 49, 51 ejecución, 52-59 fallida, 53 manual, 7, 48 para actualizar, 53-55 para instalación limpia, 56-59 particionamiento, 59 por arranque directo, 48-50 variaciones con, 52 y actualizaciones, 53 y mejoras, 48 y Windows, 50-51 Instalación de Windows Server 2008, 7-8, 22-43, 46-80 a través de la red, 48 actualización, 31-32, 46-47 automatizada, 8, 48 completa, 37 configuración, 35-36, 48-59 consideraciones, 22 copia de seguridad previa, 40 de componentes opcionales, 38-39 de funciones, 8 fases, 48 limpia, 31-32, 56-59 limpieza previa del disco, 41 manual, 7 núcleo del servidor, 37-38 opciones, 29-30 preparación, 7, 22, 39-43, 46-47 red, 48 remota, 8, 48 requisitos del sistema, 22-29 tipo, 31-32 y arranque dual, 32-33 y configuración de servidor, 59-80 y edición Datacenter, 31 y edición Enterprise, 31 y edición Standard, 31 y hardware, 41 y migración, 43 y particionado, 33-35 y software, 40-42 Instalación limpia, 31-32, 56 configuración, 56-59 de una nueva versión de Windows, 56-58 diferencia entre actualizaciones y, 93 ejecución, 56-59 resolución posterior, 58 y arranque, 58-59 Institute of Electrical and Electronics Engineers (IEEE): IEEE 802.3/Ethernet 802.3, 104 IEEE 802.3u, Fast Internet, 104 IEEE 802.3z, Gigabit Ethernet, 104 y estándar DIX, 104 y trama Ethernet, 105-106
1/14/09 12:23:10 PM
Índice
Instrumentación de administración de Windows (WMI), 251 en IIS 6, 256 en IIS 7, 251 Intel: y adaptadores de red, 115 y Ethernet, 104 Intercambio activo, 385 Interconexión básica, 142 Interconexión de sistemas abiertos (OSI), modelo, 101-104 capa de la aplicación, 103 capa de la sesión, 103, 179 capa de presentación, 103 capa de red, 103, 179, 230 capa de transporte, 103, 179 capa de vínculo de datos, 102-103 capa física, 102 y dispositivos de interconexión, 129 y PPTP, 295 y TCP/IP, 137 y VPN, 298 Interconexión, dispositivos, 122-129 conmutadores, 123-127 enrutadores, 128 puentes, 127 Interfaz de componente periférico (PCI): costo, 114 en la tarjeta principal, 114 y adaptadores, 113-115 y la característica Wake on Lan, 115 Interfaz de servicio de Active Directory (ADSI), 201 Interfaz gráfica de usuario (GUI): para inicio de sesión, 499 PowerShell, 4 International Organization for Standardization (ISO), 101 Internet Assigned Numbers Authority (IANA), 156, 159 Internet Corporation for Assigned Names and Numbers (ICANN), 190 Internet Engineering Task Forcé (IETF): y Kerberos, 525 y TLS, 562 Internet Explorer (IE): búsqueda, 239, 241 detección y solución de problemas de conexiones con, 239 mensajes de error, 280 menú, 246 Sitios de confianza, 347 y encabezados de host, 276 Internet Information Services versión 7 (IIS 7), 4, 248-292 administración, 251 administración remota, 269-273 Administrador de Internet Information Services (IIS), 265-269 beneficios, 279 características, 249-252 confiabilidad, 250 descripción, 73
INDICE MATTHEWS 01.indd 579
579
detección y resolución de problemas, 279-289 e impresión en Internet, 71 en Windows Web Server 2008, 5 escalabilidad, 251-252 funciones, 248-249 hospedaje de sitios Web, 274-276 instalación, 253-258, 262 mantenimiento, 263-265 mensajes de error, 280-282 personalización, 263-265 problemas, 279 protocolo simple de transferencia de correo, 249, 252 rastreo, 284-285 registros, 282-284 seguridad, 249-250, 261-263 servicios de Internet, 252-253 servicios NNTP, 253 servicios WWW, 252 SharePoint Services, 248-249 WebDAV, 248 y Accesos Web de TS, 347 y AD CS, 529 y ASP.NET, 248, 249 y contenido Web dinámico, 262-263 y páginas activas de servidor, 254 y protocolo de transferencia de archivos, 249, 252 y rendimiento del servidor, 285-289 y Servicios de Windows Media, 289-292 y servidores Web, 253-263 y sitios Web, 273-279 Internet, 11-12, 235-246 autentificación, 525 búsqueda, 241-243 conexión a, 11-12, 235-246 diferencia entre WAN y, 97 localización de información, 239-243 nombres de dominio, 188 sitios Web, 239-243 transmisión segura, 563-564 y página principal predeterminada, 243 y pestañas, 244-246 InterNIC (Network Solutions, Inc.): registradores acreditados, 276 y direccionamiento IP, 159 y DNS, 190 Intranet, transmisiones, seguras, 563-564 Invitado, cuentas, 253 IP estáticas, direcciones, 76 IP, direcciones (véase Protocolo de Internet, direcciones) IP, replicación (RPC), 213 Ipconfig, 153 IPL (carga inicial de programa), 499 IPSec (véase Seguridad de protocolo de Internet) IPv4 (véase Protocolo de Internet versión 4) IPv6 (véase Protocolo de Internet versión 6) IPX (intercambio de paquetes entre redes), 230 IRQ (solicitud de interrupción), líneas, 145 ISDN (Red digital de servicios integrados), 219
1/14/09 12:23:10 PM
580
Windows Server 2008: Guía del Administrador
ISI (Information Sciences Institute), 131 ISO (International Organization for Standardization), 101 ISP (véase Proveedores de servicio de Internet) Itanium, sistemas, 5
K KDC (Centro de distribución de claves), 526 Kerberos versión 5, 525-526
L L2F (Reenvío de capa dos), 297 L2TP (véase Protocolo de entunelamiento de capa dos) La última configuración válida conocida, 494, 499, 501 LAN (véase Redes de área local) LAN inalámbrica (WLAN), 108-110 costo, 110 desventajas, 110 diferencia entre red alámbrica y, 110 estándares, 108-109 LCP (véase Protocolo de control de vínculos) LDAP, consultas, 192 LDAP Data Interchange Format, utilería, 192 Lectores de tarjeta inteligente, 527 Lectura, permisos, 547, 550 Lectura y ejecución, permisos, 547, 550 LED (véase Diodo emisor de luz) Lenguaje de control de impresora (PCL), 440, 441 Lenguaje de marcado de hipertexto (HTML), 252 Lenguaje de marcado extensible (XML), 252 Letras para unidades de disco, 394-395 Licencia de acceso de clientes a Terminal Services (TS CAL), 353, 354 Licencias de Terminal Services, 329, 353-354, 356-358 Licencias y asignación de éstas: administración, 353 instalación, 356-358 selección, 354 y Escritorio remoto, 353 y exploradores, 356 Línea de comandos, entorno, 4 Línea de comandos, secuencias de comandos, 251 “Línea de negocios”, aplicaciones, 324 Línea de suscripción digital (DSL), 219 Línea de suscripción digital asimétrica (ADSL), 219 Líneas base, 286 Linksys: adaptadores, 113 conmutadores, 124-126 enrutadores, 128 productos LAN, 109 Lista de certificados de confianza (CTL), 533-535 Lista de control de acceso (ACL, Access control list), 371 Live Search, 239 Lmhosts, 180 Localizadores uniformes de recursos (URL), 240 en Escritorio, 240
INDICE MATTHEWS 01.indd 580
en la carpeta Favoritos, 240 en la carpeta Vínculos, 240-241 para compartir impresora, 203 LPD, servicio (véase Daemon de impresora de línea, servicio) LPT1, 430 LUN (números de unidad lógicos), 376
M MAC, dirección (véase Dirección de control de acceso a medios) Macintosh y servidores de impresión, 428 Maestros de operaciones, 46-47 Mail Exchanger, referencia (MX), 192 Mapa de bits (rastreo), fuentes, 448, 449 Marcado telefónico, conexiones, 222-223 configuración, 304-305 establecimiento, 222-223 y servicio de acceso remoto, 304-306 Marcas de tarjetas de red, 115-116 Marcas genéricas, 115 MB (megabyte), 6 Mbps (megabits por segundo), 97 MBR (véase Registro de maestro de arranque) Megabyte (MB), 6 Mejoras: de edición Enterprise, 51 desinstalación, 53 diferencia entre instalación limpia y, 93 e instalación, 31-32, 46-17 ejecución, 53-55 instalación, 53-55 para hardware, 41 preparación, 46-47 servidores Web, 261 tiempo invertido, 54 Windows Server 2008 como, 4-5 y Active Directory, 46-47 y Windows Server 2003, 46 Memoria: para adaptadores, 114 recomendación, 6 Memoria de acceso directo (RAM), 6, 23 Metabase, 251, 256 Método de acceso a medios, 105 Microsoft: Reproductor de Windows Media Player, 290 y CHAP, 297 y cuota de licensia, 353 y fuentes, 448 y nagware, 329 y problemas de compatibilidad, 91 Microsoft .NET, framework, 248 Microsoft Assessment and Planning Toolkit Solution Accelerator, 24-27, 87 Microsoft Exchange, 189 Microsoft Message Queuing (MSMQ), 150
1/14/09 12:23:10 PM
Índice
Microsoft Office, Visio Professional, 131 Microsoft SQL Server 2005 Express, 87 Microsoft Windows Installer, paquete (véase .msi, paquete) Microsoft Word: y envio de fax, 458, 461 y fuentes, 451 Migración, 43 a espejo de servidor Web, 260 de servidores Web, 258-261 hardware, 260 métodos, 259-261 planeación, 259 MIME (extensiones de correo multipropósito de Internet), 268 MIMO (varias entradas varias salidas), 109 Minipuerto WAN, 308, 316 Miniservidores, 100 MIT y Kerberos, 525 Mixto, modo, 198 MMC (véase Consola de administración de Microsoft) Módems (modulador-demulador), 218-222 conectados, 219 detección y resolución de problemas, 239 externos, 219 instalación, 219-222 integrados, 219 internos, 219 Modificar permisos, 546, 550 Modo de administración remota, 325, 358-364 Modo de depuración, 503 Modo de restauración de servicios de directorio, 503 Modo de servidor de aplicación de Terminal Services, 335-353 y RemoteApp de TS, 337-346 y Terminal Services, 335-337 Modo seguro, 501-504 Modo único (fibra monomodo), cables, 120 Módulo de plataforma confiable (TPM), 556, 557 Módulos, 268 Moneda, opciones, 483 Monitor de confiabilidad y rendimiento, 286-288 Monitor de recursos, 488 Monitor de rendimiento, 499 Monitor de solicitudes, 254-255 Monitoreo del estado, 250 Monomodo (un solo modo), cables de fibra óptica, 120 Mostrar el contenido de la carpeta, 547 MPPE (véase Cifrado punto a punto de Microsoft) MS-CHAP v2 (Protocolo de autentificación de desafío de saludo de Microsoft versión 2), 296 .msi (Microsoft Windows Installer), paquete: creación, 342-343 uso, 345-346 MSMQ (Microsoft Message Queuing), 150 Multimaestro, replicación, 198 Multimodo, cables de fibra, 120 Multiplexado de división de frecuencia ortogonal (OFDM), 108
INDICE MATTHEWS 01.indd 581
581
Multiprocesamiento simétrico (SMP), 85 MX (referencia de Mail Exchanger), 192
N Nagware, 329 Narrador, 479 NAT (véase Traducción de dirección de red) Nativos dominios, 196 modo, 47 Navegación, barra de herramientas, 266 NCP (protocolo de control de red), 296 NDS (servicios de directorio de Novell), 189 .Net, 188 .NET Framework: e IIS 7, 248 páginas activas de servidor, 248 NetBEUI, 179, 180 NetBIOS, 156, 179, 180 Netscape Navigator, 276 Network Solutions, Inc. (véase InterNIC) NFS (véase Sistema de archivos de red) NIC (véase Tarjetas de red) Nivel de equipo local, 504-506 NNTP, servicios, 253 No break (UPS), 41 Nodos, 111 Nombres de equipo, 156 de marca, 115 de puerto, 275 de usuario, 183-184 “Nombres amigables” (véase Nombres de host) Nombres de dominio, 156, 188, 190 plenamente calificados, 76, 190, 192 registro, 182 resolución, 190, 191 Nombres de dominio plenamente calificados (FQDN), 76, 190, 192 Nombres de host, 156 en zona DNS, 174 para probar redes, 153 y nombres de puerto, 275 Notificación visual de sonidos, 478 Notificación, cuadro de texto, 446 Novell Directory Services (NDS), 189 NTFS (Sistema de archivos de nueva tecnología), 33, 371-373 archivos comprimidos, 398 conversión de sistemas de archivo FAT, 372-373 conversión de sistemas de archivo FAT32, 372-373 para WDS, 82 permisos, 202, 262 y cifrado, 400, 538 y control de acceso, 551 Núcleo interno, 117 Nuevo rastreo, 389-390
1/14/09 12:23:11 PM
582
Windows Server 2008: Guía del Administrador
Número de identificación personal (PIN), 527 cifrado, 527 y BitLocker, 556 Números configuraciones, 483 de puerto, 275 de reconocimiento, 138 de secuencia, 138 Números de unidad lógicos (LUN), 376
O Objetos de Active Directory (ADO), 200-203 Objetos de directiva de grupo (GPO), 506, 508-511 GPO inicial, 509-510 y la lista de certificados de confianza, 533-534 Obligatorios, perfiles de usuario, 516 Octetos, 175 OFDM (multiplexado de división de frecuencia ortogonal), 108 OfficeJet, impresoras, 434 Opciones de carpeta, 477-480 Opciones de cursor, 479 OpenType, fuentes, 448, 449 Operaciones, maestro, 199-200 como emulador PDC, 199 e infraestructura, 199 para ID relativos, 199 y Active Directory, 199-200 y esquemas, 200 y nombre de dominio, 200 Operativo, modo, 250 Óptima, 452 Origen, dirección, 105 OSI, modelo (véase Modelo de interconexión de sistemas abiertos) OU (véase Unidades organizativas)
P Página principal, en la barra de Navegación, 266 Página principal predeterminada, 243 Páginas activas de servidor (ASP): e IIS, 7, 252, 254 plantilla de almacenamiento en caché, 252 y CGI, 254 Palatino, 452 Palo Alto Research Center (PARC), 104 Panel de control, 472-486 Administración de dispositivos, 475-176 Centro de accesibilidad, 476-177 Configuración regional y de idioma, 482-483 ficha Buscar, 481 ficha General, 480 ficha Hardware, 484 ficha Opciones avanzadas, 484-485 ficha Ver, 480 Mouse, 481-482
INDICE MATTHEWS 01.indd 582
Opciones de carpeta, 477-480 Programas predeterminados, 474-475 Propiedades de barra de tareas y del menú Inicio, 485-186 Reproducción automática, 473-174 Teclado, 481 ventana Sistema, 483-184 vista Principal, 472 Pantalla, opciones, 479 Pantallas iniciales, 499 Papel, tipos, 439 Paquetes, 137 en capa de red, 103 y datagramas, 132-133 Par trenzado (véase 10BaseT) Par trenzado sin blindar (UTP), 116-118 categorías, 111, 118 conectar, 118 núcleo, 117 resistencia al fuego, 117 y ethernet, 107 y STP, 117 Para su información (FYI), 131 PARC (Palo Alto Research Center), 104 Particiones y particionado: activas, 368 datos de configuración, 210 datos de dominio, 210 de configuración, 59 de discos duros, 14, 391 diferencia entre volúmenes y, 368 e instalación, 33-35 extendidas, 368, 369 formateo, 59 para WDS, 82 partición de datos de esquema, 210 primarias, 368, 393 reducción, 34 sistemas de almacenamiento dinámicos, 368 y replicación, 210 PartitionMagic (Symantec), 34 Pausar impresión: de un solo documento, 445 para todos los documentos, 444 PC Card (véase Personal Computer Memory Card International Association) PC-Card, 142 PCI (véase Interfaz de componente periférico) PCI, adaptadores, 142 PCL (véase Lenguaje de control de impresora) Pcl.sep, 440 PCMCIA (véase Personal Computer Memory Card International Association) PDC (véase Controladores de dominio primarios) Perfiles, carpetas, 513 Perfiles de usuario locales, 511-512 Periféricos, 6 Permisos, 544-550
1/14/09 12:23:11 PM
Índice
adición, 546-549 compartir permisos, 549 de impresión, 441 en IIS, 262 grupo, 17 para archivos, 550 para carpetas, 545-546 para grupos, 183 para impresoras, 442 predeterminado, 545, 546 primarios, 549 (véase también tipos específicos, como Control total, permisos) Permisos especiales, 547 para archivos, 550 para carpetas, 547 para impresión, 442 Personal Computer Memory Card International Association (PCMCIA, PC Card): costo, 114 y adaptadores, 113, 114 Photosmart, impresoras, 434 PIN (véase Número de identificación personal) Ping, 153-154, 170 PKI (véase Intraestructura de clave pública) Plantillas almacenamiento en caché, 252 para perfiles de usuario, 515, 516 Plantillas de directiva de grupo (GPT), 506 Plenum, cable (CMP): costo, 122 fibra óptica, 120 UTP, 117 Plug and Play: adaptadores, 147 hardware de red, 301 módems, 219 tarjetas inteligentes, 527 Por dispositivo, CAL de TS, 354 Por usuario, CAL de TS, 354 Portada para faxes, 466 POST (prueba automática de encendido), 499 PostScript, 440 PostScriptx, fuentes, 448 PowerShell, 4 PPTP (véase Protocolo de entunelamiento de punto a punto) Preámbulo, 105 Presentación, capa, 103 Prevención de ejecución de datos (DEP), 485 PriceSCAN, 115 Pricewatch, 115 Prioridad, establecimiento, 446 Procesador, 23 Procesos de arranque, 498-504 arranque, 499 arranque previo, 499 carga, 499
INDICE MATTHEWS 01.indd 583
583
control del, 499-500 corrección, 500-504 de inicialización de arranque, 499 etapas, 498-499 Habilitar registro de arranque, 502 Habilitar video de baja resolución, 503 inicialización, 499 inicio de sesión, 499 modo de depuración, 503 modo de restauración de servicios de directorio, 503 Modo seguro, 501-504 Procesos de trabajo: en espacio de trabajo del Administrador de Internet Information Services (IIS), 268 identidad, 250 varios, 251 Programas predeterminados, 474-175 Propiedad, 538-539 Propiedades de la barra de tareas y del menú Inicio, 485-486 Propiedades, cuadro de diálogo, 435, 436, 447 Propietarios, 538 Protocolo de autentificación de desafío de saludo (CHAP), 296-297 Protocolo de autentificación de desafío de saludo de Microsoft versión 2 (MS-CHAP v2), 296 Protocolo de autentificación extensible (EAP), 297 Protocolo de autentificación extensible-Seguridad en la capa de transporte (EAP-TLS), 297 Protocolo de configuración dinámica de host (DHCP): administración, 166 agente de retransmisión, 226, 303 configuración, 158-159 consola, 168 duración de la concesión, 168-169 e impresoras, 434 habilitación, 164-165 implementación, 157-160 instalación, 80, 161-164 opciones, 171 opciones en el nivel del cliente, 171 opciones en el nivel del servidor, 171 rangos, 168 reserva de direcciones IP, 168-171 servidor, 73, 226 vigilancia de concesión de direcciones, 172 y ámbito, 166-168, 171 y dominios DDNS, 193 y WDS, 82 Protocolo de control de red (NCP), 296 Protocolo de control de transmisión (TCP), 136-139 encabezado, 138 funciones, 139 y la capa de transporte, 103 Protocolo de control de transmisión/Protocolo de Internet (TCP/IP), 131-139 e impresoras, 434 IPv4, 132-134
1/14/09 12:23:11 PM
584
Windows Server 2008: Guía del Administrador
IPv6, 135-136 y enrutadores, 230 y Ethernet, 106 y Terminal Services, 325 Protocolo de control de vínculos (LCP), 295, 296 Protocolo de entunelamiento de capa dos (L2TP), 297-298 conexiones, 321-322 configuración, 315-316 diferencia entre TS Gateway y, 349 e IPSec, 298, 309, 315-316 y red privada virtual, 297-298, 315-316 Protocolo de entunelamiento de capa dos, servidor, 308-309 Protocolo de entunelamiento de conector seguro (SSTP), 298-299 Protocolo de entunelamiento de conector seguro (SSTP), servidor, 316-317 conexiones al utilizar, 321-322 configuración, 316-317 Protocolo de entunelamiento de punto a punto (PPTP), 295-297 y CHAP, 296-297 y EAP, 297 y MPPE, 297 y red privada virtual, 295-297 Protocolo de entunelamiento de punto a punto (PPTP), servidor, 308 Protocolo de Escritorio remoto (RDP), 325 Protocolo de Internet (IP): e IIS 7, 255 funciones, 139 números, 190 y la capa de red, 103 y TCP (véase Protocolo de control de transmisión/Protocolo de Internet) Protocolo de Internet versión 4 (IPv4), 132-134, 150 direccionamiento, 131-132, 134 encabezado, 133-134 y ARIN, 160 y direcciones IP, 76, 77 Protocolo de Internet versión 6 (IPv6), 135-136, 150 direccionamiento, 132, 136 encabezado, 135 y ARIN, 160 Protocolo de Internet, direcciones (direcciones IP), 131, 134, 190 asignación, 76, 190 bloques, 159-160 en DHCP, 168-171 especificaciones, 134 estáticas, 76 jerárquico, 135 mensajes de error con, 274 para varios sitios Web, 275-276 reserva, 168-171 resolución, 191 y FQDN, 192 y Sistema de nombre de dominio, 190
INDICE MATTHEWS 01.indd 584
Protocolo de multidifusión confiable, 150 Protocolo de resolución de dirección (ARP), 156 Protocolo de transferencia de archivos (FTP): Consola de administración, 256 e IIS 7, 249, 252, 253 Servicio de publicación, 256 Protocolo de transferencia de hipertexto (HTTP): e IIS 7, 252, 254 y estructura DNS, 193 Protocolo seguro de transferencia de hipertexto (HTTPS), 298 Protocolo simple de transferencia de correo (SMTP), 213, 249, 252 e IIS 7, 252, 253 y cifrado, 213 y estructura DNS, 193, 252 y seguridad, 213 Protocolos, 213 Protocolos de red, 131, 149 Asignador de detección de topologías de nivel de vínculos, 150 configuración, 149-153 de multidifusión, 150 IPv4, 132-134, 150 IPv6, 135-136, 150 multidifusión, 150 Respondedor de detección de topologías de nivel de vínculos, 150 revisión y cambio, 150-153 TCP, 136-139 Proveedor de servicio de cifrado (CSP), 249, 309, 531 seleccionable, 249 Proveedor de servicios de Internet (ISP), 236 dominios, 188 y VPN, 294 Prueba: de redes, 153-155 para servicio de acceso remoto, 304-306 para Servicios de implementación de Windows, 89 Sistema de nombres de dominio, 178-179 Prueba automática de encendido (POST), 499 Pscript.sep, 440 Publicación, 201 de impresoras, 202-203 de recursos compartidos, 203 directorio, 201-202 en Active Directory, 201-203 impresora, 202-203 Puentes, 127 Puerta de enlace de Terminal Services, 326 certificados de seguridad, 329 configuración, 349-351 diferencia entre L2TP y, 349 y acceso remoto, 4 Puerto a puerto, redes: en Windows Vista, 100 LAN, 98-99
1/14/09 12:23:11 PM
Índice
Puertos, 227-228 de destino, 138 de origen, 138 8172, 272 Puesta en funcionamiento de servidores, 259 Punteros, ficha, 482 Punteros de ratón, 479 Punto a punto, conexiones, 294 Puntos activos (véase Puntos de acceso inalámbricos) Puntos de acceso de red (puntos activos), 109, 110 Puntos de acceso fijos, 109 PVC (cloruro de polivinilo), 117 PVC, cable (cable riser, CMR): costo, 122 fibra óptica, 120 UTP, 117 PXE (véase Entorno de ejecución antes del arranque)
R RADIUS (Servicio de usuario de marcado telefónico de autentificación remota), 303 RAID (conjunto redundante de discos independientes/económicos), 369 RAID-5, volúmenes, 369, 370 Raíz, autoridad de certificado, 529 RAM (véase Memoria de acceso directo) Rangos, 168 RAS (véase Servicio de acceso remoto) Rastreo, 284-285 e IIS 7, 255, 284-285 para capacidad de planeación, 252 Rastreo, fuentes (véase Mapa de bits, fuentes) Ratón, 479, 481-482 RDC (compresión diferencial remota), 409 RDC (véase Conexión a Escritorio remoto) RDP (protocolo de escritorio remoto), 325 .Rdp, archivos: creación, 341-342 uso, 344-345 Reanudación de la impresión: de un solo documento, 445 para todos los documentos, 444 Recuperación con BitLocker, 561 Recurso, referencias, 192 Recursos compartidos, 203 Recursos de ubicación de servicios (SRV), 194 Red, adaptadores de (véase Adaptadores) Red, autentificación de usuario, 524-525 Red, capa, 103, 179, 230 paquetes, 103 y protocolo de Internet, 103 Red, esquemas, 10-11, 97-111 LAN de cliente/servidor, 99-100 LAN punto a punto, 98-99 modelo OSI, 101-104 tarea, 100-104 tecnologías LAN, 104-111
INDICE MATTHEWS 01.indd 585
585
tipos, 97-100 Red, ficha, 488 Red, hardware, 111-129 cableado, 116-122 dispositivos de interconexión, 122-129 tarjetas de interfaz de red, 112-116 Red, instalación, 48 Red, servidor, 63-67 Red, sistema operativo, 96 Red, tecnologías de: hogar, 110-111 inalámbricas, 108-110 Red digital de servicios integrados (ISDN), 219 Red privada virtual (VPN), 294-322 configuración, 301-303 direcciones IP, 303 e IPSec, 315-316 e ISP, 294 hardware, 299-301 L2TP, 297-298, 315-316 PPTP, 295-297 preparación, 299-306 SSTP, 298-299 y Active Directory, 309, 312 y comunicaciones, 12 y modelo OSI, 298 y Puerta de enlace de TS, 351 y servicio de acceso remoto, 299-301, 303-306 y tarjetas inteligentes, 527 Red privada virtual, cliente, 317-322 Red privada virtual, servidor, 306-317 conectar a, 318-322 configuración, 306-317 e IPSec, 312-313 servidor L2TP, 308-309 servidor PPTP, 308 servidor SSTP, 316-317 y autoridad de certificados, 309-311 y certificados, 313-315 y servicio de acceso remoto, 306-308 Redes: clientes, 99, 100 conexión, 65-67 configuración, 142, 155-156 direccionamiento, 156-157 diseño, 130-131 estructura plana, 125 exploración, 67-70 jerárquica, 125 prueba, 153-155 punto a punto, 100 Redes de área ámplia (WAN), 97 DFS, 408 diferencia entre Internet y, 97 diferencia entre redes de área local y, 98 y replicación, 204 Redes de área local (LAN), 98, 104-111 cliente, 99-100
1/14/09 12:23:12 PM
586
Windows Server 2008: Guía del Administrador
con topología de estrella, 98 diferencia entre redes de área amplia y, 98 en topología de estrella, 98 ethernet, 104-108 punto a punto, 98-99 servidor, 99-100 sistema heredado, 193 tecnologías de red caseras, 110-111 tecnologías de red inalámbrica, 108-110 transmisiones seguras, 564-566 y NAT, 230 y replicación, 211 y Terminal Services, 4 Redes de valor agregado (VAN), 294 Redes jerárquicas, 125 Reducir: discos duros, 14 volúmenes, 391 Reenvío de nivel dos (L2F), 297 REG_BINARY, 498 REG_DWORD, 498 REG_EXPAND__SZ, 498 REG_FULL_RESOURCE_DESCRIPTOR, 498 REG_MULTI_SZ, 498 REG_SZ, 498 Registro, 494-498 claves, 494-497 copia, 497 edición, 494 entradas, 497-498 HKEY_LOCAL_MACHINE, 495, 523 La última configuración válida conocida, 494, 499, 501 subárboles, 496-497 subclaves, 496-497 tipos de datos, 497-498 Registro de arranque, 502 Registro maestro de arranque (MBR), 384, 499 Registro ODBC, 255 Registros de puntero, 175 Registros e inclusión en el registro, 282-284 campos usados, 284 e IIS 7, 254, 282-284 en espacio de trabajo del Administrador de Internet Information Services (IIS), 268 herramientas, 254 HTTP, 254 ODBC, 255 Registros de arranque, 502 Reinicio de la impresión: de un solo documento, 445 para todos los documentos, 444 Relleno, 106, 139 Remota administración, 115 instalación, 8, 48 RemoteApp de Terminal Services, 326 acceso, 340 administración, 337-340 Conexión a Escritorio remoto con, 343-346
INDICE MATTHEWS 01.indd 586
distribución del programa, 340-343 y acceso remoto, 4 y Acceso Web de TS, 340 y archivos .rdp, 341-342, 344-345 y Conexión a Escritorio remoto, 340 y el modo de servidor de aplicaciones de Terminal Services, 337-346 y paquete .msi, 342-343, 345-346 Rendimiento: e IIS 7, 255-256 optimización, 485 Rendimiento, ficha, 488, 489 Reparar equipo, opción, 49 Replicación, 210-213 de Active Directory, 210-213 de controladores de dominio, 211 de sitios, 210-213 del Sistema de archivos distribuido, 375, 409-412 interna de sitio, 211 replicación interna de sitio, 211 replicación sitio a sitio, 211-212 Sistema de archivos distribuido, 375, 409-412 y bosques, 410 y colisiones, 214 y configuración de partición de datos, 210 y dominios, 210, 409 y GUID, 214 y partición de esquema de datos, 210 y particionamiento, 210 y WAN, 204 Replicación DFS (véase Replicación de sistema de archivos distribuidos) Reproducción automática, 473-474 Reproductor de Windows Media (Microsoft), 290 Requisitos del sistema, 22-29 DVD-ROM, 24 espacio en disco duro, 24 memoria de acceso aleatorio, 23 para compatibilidad de aplicación, 28-29 para compatibilidad del sistema, 24-27 para impresión, 429 para instalación, 22-29 para procesadores, 23 para red, 24 Réseaux IP Européans (RIPE), 159 Reservas, 169 Residentes, fuentes, 447 Resistencia al fuego, 117 Respondedor de detección de topologías de nivel de vínculos, 150 Restaurar (RST), campo, 139 Restricciones de dominio, 255 Revestimiento, 120 Revisión de redundancia cíclica (CRC), 106 RFC (véase Solicitudes de comentarios) 1510, 525 2284, 297 4291, 136 790, 134
1/14/09 12:23:12 PM
Índice
791, 134 793, 139 796, 134 RIPE (Réseaux IP Européans), 159 RIS (servicio de instalación remota), 35 Riser, cable (véase PVC, cable) RJ-45, conectores, 116-117 Roaming, perfiles de usuario, 512-513, 515 RODC (véase Controladores de dominio de sólo lectura) RPC (replicación IP), 213 RST (Restaurar), campo, 139 Rueda, ficha, 482
S SAM (véase Administrador de cuentas de seguridad) Sans serif, fuentes, 452 Scripts y herramientas de administración de IIS, 256 Sc-status, campo, 284 Sc-substatus, campo, 284 Sc-win32-status, campo, 284 Secuencia de comandos, 251, 256 Segmentación de conmutadores, 123 Segmentos, 136 Seguridad, 4, 522-566 administrar, 17 autentificación, 522-538 con cifrado, 551-563 con transmisión segura de datos, 563-566 de servidores Web, 261-263 e IIS 7, 255 en IIS 7, 249-250, 261-263 para datos almacenados, 551 y Active Directory, 522 y ctrl+alt+supr, 522 Seguridad de capa de transporte (TLS): e Internet Engineering Task Force, 562 para autentificación de usuario, 524 y cifrado, 562 Seguridad de Protocolo de Internet (IPSec), 564 configuración, 313, 564-566 proceso, 564 y Active Directory, 312 y el protocolo de entunelamiento de capa dos, 298, 315-316 y L2TP, 309 y VPN, 312-313, 315-316 Seguridad mejorada de Internet Explorer (IE ESC), 236 SEP, archivos, 440 Separadoras, páginas, 440-141 Serif, fuentes, 452 Server Core, 37-38 Servicio de acceso remoto (RAS), 223-230 configuración, 223, 224-226, 303-304 configuración de puerto, 227-228 direcciones IP, 303 directivas de red, 227-228 en Active Directory, 226
INDICE MATTHEWS 01.indd 587
587
enrutamiento, 223-224 función, 223-224 habilitación, 224-226 hardware, 299-301 prueba, 304-306 reconfiguración, 306-308 Servicios de directivas y acceso a red, 303 uso, 228-230, 305-306 y comunicaciones, 12 y conexiones de marcado telefónico, 304-305 y red privada virtual, 299-301, 303-306 y servidor VPN, 306-308 Servicio de activación de procesos de Windows, 327 Servicio de administración, 270-271 administración remota con, 269, 270-271 configuración, 270-271 e IIS 7, 256, 271 instalación, 270 Servicio de administración Web (WAS), 250 Servicio de búsqueda de Windows, 375, 412 Servicio de indizado, 375 Servicio de inscripción de dispositivos de red, 529 Servicio de instalación remota (RIS), 35 Servicio de nombre de Internet de Windows (WINS), 179-182 configuración, 179-182 en clientes, 181-182 en servidor, 179-181 registros estáticos, 182 y compatibilidad, 156 Servicio de publicación FTP, 256 Servicio de replicación de archivos (FRS), 375 Servicio de respuesta en línea, 529 Servicio de usuario de marcado telefónico de autentificación remota (RADIUS), 303 Servicios de archivo de Windows Server 2003, 375, 412 de indización, 375 de replicación de archivo, 375 Servicios de archivos, 373-375 Administración de almacenamiento y recursos compartidos, 375, 376-382 Administración de discos, 373-375, 383 Administrador de recursos del servidor de archivos, 375, 412-416 compresión de datos, 395-398 descripción, 73 instalación, 412-413 Servicio de búsqueda de Windows, 375, 412 servicios de función, 375 Sistema de archivos de red, 375, 412 Sistema de archivos distribuidos, 375, 404-116 Windows Server 2003, 375, 412 Servicios de Certificate Services de Active Directory (AD CS), 528-530 configurar, 528 descripción, 73 pasos para usar, 524-525 Servicios de directivas y acceso a red: descripción, 73
1/14/09 12:23:12 PM
588
Windows Server 2008: Guía del Administrador
para RAS, 303 y funciones de Terminal Services, 327 Servicios de directorio, 188, 189 Servicios de directorio ligero de Active Directory, 73 Servicios de dominio (DS), 75-80 Servicios de dominio de Active Directory (AD DS): Asistente para la instalación, 78, 80 configuración, 75-80 descripción, 73 instalación, 74-75 y directivas de grupo, 506 y WDS, 82 Servicios de federación de Active Directory: descripción, 73 en la edición Enterprise, 5 Servicios de implementación de Windows (WDS), 82-91 configuración, 74, 84-88 descripción, 73 detección y resolución de problemas, 89-91 e imagen de instalación, 87-88 e imágenes de arranque, 85-87 espacio libre, 82 instalación, 82-83 particiones, 82 prueba, 89 requisitos del sistema, 82 y AD DS, 82 y arranque de red PXE, 88, 90-91 y DHCP, 82 y DNS, 82 y Sistema de archivos distribuido, 82 y Sistema de cifrado de archivos, 82 y tarjetas de interfaz de red, 82 Servicios de impresión, 16, 452-157 descripción, 73 instalación, 452-453 para administración de impresión, 453-457 Servicios de Internet, 252-253 Servicios de multimedia de transmisión por secuencias (véase Servicios de Windows Media) Servicios de Windows Media, 289-292 administración, 292 e IIS 7, 289-292 métodos de transmisión por secuencias, 290-291 Servidor de aplicaciones, 325 de Terminal Services, 325 descripción, 73 modo, 335 Servidor de archivos, 375 Servidor de fax, 458-469 administración, 466-469 descripción, 73 instalación, 458 y Fax y escáner de Windows, 458-466 Servidor de licencias, 355 Servidor de Windows Media, transmisión por secuencia, 291 Servidor, adaptadores (véase Adaptadores)
INDICE MATTHEWS 01.indd 588
Servidor, nivel: delegación, 269 opciones DHCP, 171 Servidores, 59-80, 99 como controladores de dominio, 184 conexiones, 266 configuración, 59-80 de aplicaciones, 335 diferencia entre clientes y, 100 empresariales, 529 exploración, 67-70 funciones, 8, 72-73 inicialización, 59-61 instalación de funciones, 70-80 pasos, 259 personalización, 4, 59-63 primarios, 160 red, 63-67 rendimiento, 285-289 Servicio de nombres de Internet de Windows, 179-181 virtuales, 274 Servidores de catálogo global, 198-199 características, 199 consulta, 199 en varios sitios, 198 y replicación, 204 Servidores de impresión, 428, 452 adición de impresoras, 455 red, 454 Servidores IAS, grupo, 226 Servidores independientes: certificado de autentificación, 529 grupos, 540-541 Sesión, capa, 103, 179 Sesiones, 103 SFD (inicio de delimitador de trama), 105 SharePoint Services, 248-249 Sheldon, Tom, 97 SID (véase Identificadores de seguridad) Siguiente generación de cifrado (CNG), 563 Simples, volúmenes, 369, 392-393 Simplex, cableado, 120 SIN (Sincronizar), campo, 139 S-ip, campo, 284 Sistema básico de entrada/salida básico (BIOS): antes del arranque, 499 y arranque, 50 y BitLocker, 560 Sistema de archivos de nueva tecnología (véase NTFS) Sistema de archivos de red (NFS): servicios, 375, 412 y recursos compartidos, 382 Sistema de archivos distribuido (DFS), 375, 404-416 basado en dominio, 404 configuración, 405-406 creación, 405-407 Espacios de nombres DFS, 375 instalación, 405-406
1/14/09 12:23:12 PM
589
Índice
Replicación DFS, 375 y Administrador del servidor, 406 y WDS, 82 Sistema de nombres de dominio (DNS), 160-161 administración, 172-173 dinámico, 176-178 directorios, 190, 192 espacio de nombres DNS global, 193-194 instalación, 74, 161-164 jerárquico, 190 prueba, 178-179 servidor, 73 y Active Directory, 190-192 y árboles, 206 y direcciones IP, 190 y HTTP, 193 y unidades organizativas, 190 y WDS, 82 zona DNS, 173-176 Sistema de nombre de dominio, zona, 172, 173-176 creación de uno nuevo, 173-174 y nombre de dominio, 174 zonas de búsqueda inversa, 174-176 Sistema operativo, instalación, 46 Sistema, grupos, 546 Sistema, ventana, 483-484 Sistemas de almacenamiento, 368-370 básicos, 14-15, 368-369 dinámicos, 14, 368, 369-370 para dominios, 192 tipos, 368-370 Sistemas de almacenamiento dinámico, 14, 368, 369-370 conversión, 402 particionamiento, 368 volúmenes, 369 Sistemas de archivos, 368, 370-373 administración, 14-15, 373 FAT, 370-373 FAT32, 370-373 herramientas para administrar, 15 NTFS, 371-373 Sistema de archivos distribuidos, 375, 404-407 Sitio a sitio, replicación, 211-212 Sitios, 209-210 conectividad, 212-213 nivel, 269 protocolos, 213 vínculos, 212 y Active Directory, 209-210 y replicación, 210-213 Sitios de confianza (IE), 347 Sitios Web, 239-243 administración, 276-279 apertura en pestaña nueva, 244-245 búsqueda, 241-243 cambio entre, 245-246 carpeta Historial, 241 cierre, 246
INDICE MATTHEWS 01.indd 589
como página principal predeterminada, 243 creación, 273-274 directorios principales, 276-277 directorios virtuales, 277-279 en carpeta Favoritos, 240 en la carpeta Vínculos, 240-241 hospedaje, 274-276 navegación directa a, 240-241 navegación, 239 predeterminados, 275 y pestañas, 244-246 SmartFTP, 252 SMB (Bloque de mensaje de servidor), 382 SMP (multiprocesamiento simétrico), 85 SMTP (protocolo simple de transferencia de correo), 249 SMTP (véase Protocolo simple de transferencia de correo) Software: conflicto, 41-42 e instalación, 40-12 inventario, 40 Solicitud de interrupción (IRQ), líneas, 145 Solicitudes de comentarios (RFC): y CHAP, 296 y protocolos, 131 Solicitudes en cola, 250 Sonido, opciones, 479 S-port, campo, 284 SQL Server 2005 Express (Microsoft), 87 SRV (Recursos de ubicación de servicios), 194 SSI (Inclusión del lado del servidor), 254 SSL (véase Capa de conectores seguros) SSTP (Protocolo de entunelamiento de conector seguro), 298-299 SSTP, servidor (véase Protocolo de entunelamiento de conector seguro, servidor) Standard, edición, 31 actualización desde, 51 requisitos, 6 Suaves, fuentes, 447 Subárboles (véase Claves), 496-197 Subclaves, 496-497 Subdominios, 190 Subred, máscaras, 76, 134, 165 Subtítulos de texto, 478 Suma de verificación, 139 de encabezado, 136 Symantec: Ghost, 260 PartitionMagic, 34 Sysprint.sep, 441 Sysprtj.sep, 441
T Tabla de particiones GUID (GPT), 384 Tareas de configuración inicial (ICT), 60-61, 257 Tareas: en la ficha General, 480
1/14/09 12:23:13 PM
590
Windows Server 2008: Guía del Administrador
y red, 100-101 Tarjeta principal PCI, 114 Tarjetas de red (NIC), 112-116 adaptadores de red de servidor, 114 adaptadores de red multipuerto, 114 característica Wake on LAN, 115 conexión de adaptador, 113-114 Entorno de ejecución antes del arranque, 82-85 full-duplex, 114 half-duplex, 114 marcas, 115-116 para conexiones de área local, 231 selección, 114 y trama Ethernet, 106 y WDS, 82 Tarjetas inteligentes, 527 TB (terabyte), 6 TCP (véase Protocolo de control de transmisión) TCP, protocolos de red, 136-139 TCP/IP (véase Protocolo de control de transmisión/ Protocolo de Internet) TechNet, 131, 284 Teclado, 478, 481 en pantalla, 478 Teclas de filtro, 478 especiales, 478 interruptoras, 478 Telecommunications Industry Association, 121 Telecommunications Industry Association, estándares (véase TIA/EIA, estándares) Telefonía, 218-223 conexiones de acceso telefónico, 222-223 módems, 219-222 Teléfono, dar licencia por, 356 Terminal Server, 326 Terminal Services (TS), 324-335 componentes, 325-326 configuración, 326, 331-334 descripción, 73 instalación de funciones, 326-331 Modo de administración remota, 325, 358-364 modos, 325-326 para administrar servidores Web, 269 preparación, 335-337 razones para usar, 324 y acceso remoto, 4 y Active Directory, 326 y Administrador del servidor, 330 y Conexión de escritorio remoto, 326, 330 y controladores de dominio, 326 y modo de servidor de aplicaciones de Terminal Services, 335-337 y Servicios de directiva y acceso a red, 327 Thicknet (véase 10Base5) Thinnet (véase 10Base2) TIA/EIA, estándares, 121-122 para cableado del área de trabajo, 122
INDICE MATTHEWS 01.indd 590
para cableado horizontal, 121 para conexión de espina dorsal, 121 para conexiones cruzadas principales, 121 para cuartos de equipos, 121 para facilidades de entrada, 121 para telecomunicaciones, 122 TIA/EIA-569, 121 TIA/EIA-587-A, 121 TIA/EIA-606, 121 TIA/EIA-607, 121 Tiempo de inactividad, 259 Tiempo de vida (TTL), 161, 180 Time, campo, 284 Times New Roman, 452 Time-taken, campo, 284 Tipos de datos en el Registro, 497-198 Tipos de fuentes, 447, 452 TLS (véase Seguridad de capa de transporte, Transport Layer Security) Todos, grupo, 442, 548 Token Ring, 104 Topología: de bus, 129, 130 para DFS, 404 para Ethernet, 106 TPM (véase Módulo de plataforma confiable) Trabajo en red, 10, 96-139 básico, 142 componentes, 10 configuración, 63-65 exposición, 96-97 funciones, 147-149 hardware, 111-129, 299-301 requisitos del sistema, 24 TCP/IP, 131-dl39 topologías, 129-131 y adaptadores de red, 142-147 y redes de área local, 11 (véase también tipos específicos, como Red privada virtual) Trabajos de impresión en cola, 437 Traducción de dirección de red (NAT): para compartir conexiones de Internet, 234 y redes de área local, 230 Tramas, 296 Transitivas, relaciones de confianza, 205-207 Transmisión por secuencia de audio, 290, 292 Transmisión por secuencia, métodos, 290-291 con servidor de medios, 291 con servidor Web, 290 de Servicios de Windows Media, 290-291 Transmisión por secuencias de video, 290, 292 Transmisiones seguras de datos, 563-566 en Internet, 563-564 en la Intranet, 563-564 Transmisor receptor, 109 Transporte, capa, 103, 179
1/14/09 12:23:13 PM
Índice
TrueType, fuentes, 448, 449 TS (Terminal Services), configuración, 326 TS (véase Terminal Services) TS CAL (véase Licencia de acceso de cliente de Terminal Services) .Tt, archivos, 449 .Ttc, archivos, 449 TTL (véase Tiempo de vida) Túnel, 294
U Ubicación, ficha, 483 UDDI (Descripción, descubrimiento e integración universal) Servicios, 73 UNC (convención universal de asignación de nombres), 278 Único, registro, 182 Unidad, letras, 394-395 Unidad de red, instalación, 51-52 Unidad local, configuración, 51-52 Unidades (véase Discos duros) Unidades lógicas, 33, 369, 394 Unidades organizativas (OU): directivas de grupo, 506-508 en Active Directory, 189, 190, 208-209 subdominios, 190 y DNS, 190 (véase también tipos específicos, como Dominios) Unión, 274 Universal, ámbito, 543 UNIX: servicio de daemon de impresora de línea, 428 y Kerberos, 525 y recursos compartidos, 382 y servidores de impresión, 428 UPS (no break), 41 URG (Urgente), campo, 139 Urgente (URG), campo, 139 URL (véase Localizadores uniformes de recursos) URL, autorización, 255 USB, clave, 556s, 559-561 User-agent (es), campo, 284 Usuario, autentificación, 17, 522-526 autentificación de usuario de red, 524-525 autentificación de usuario del equipo local, 523-524 con Kerberos versión 5, 525-526 y Active Directory, 524 y capa de conectores seguros, 524 Usuario, directivas, 504 Usuario, modo, 489 Usuario, perfiles, 511-516 asignación a cuenta de usuario, 514-515 creación, 511-512 local, 511-512 obligatorio, 516 plantillas, 515 roaming, 512-513, 515
INDICE MATTHEWS 01.indd 591
591
Usuarios y equipos de Active Directory, 527 Usuarios, ficha, 489 Usuarios, grupo, 546 UTP mejorado de categoría 5 (véase UTP de categoría 5e) UTP, cableado (véase Par trenzado sin blindar) UTP Categoría 1, 118 Categoría 2, 118 Categoría 3, 107, 118 Categoría 4, 118 Categoría 5, 107, 118 Categoría 5e (categoría 5 mejorada), 118, 122 Categoría 6, 107, 118, 122
V VAN (redes de valor agregado), 294 Varias entradas varias salidas (MIMO), 109 Vectoriales, fuentes, 448, 449 Verisign, 528 Video, transmisión por secuencia, 290, 292 Vínculo de datos, capa, 102-103 Vínculos, carpeta, 240-241 Visio Professional, 131 Vista (véase Windows Vista) Vista clásica, 472 Vista principal, 472 Volúmenes: adición, 392-393 compresión de datos, 395-396 creación, 403-404 de sistemas de almacenamiento dinámicos, 369 diferencia entre particiones y, 368 distribuidos, 369, 403-404 eliminación, 391 extensión, 393-394 formateo, 85, 394 propiedades, 386-389 RAID-5, 369 reduccción, 391 reflejados, 369, 403 seccionados, 369, 370, 403 simples, 369, 392-393 y Administración de volumen dinámico, 401-404 Volver a examinar los discos, 389 VPN (véase Red privada virtual, Virtual Private Networking) VPN, cliente, 317-322 VPN, servidor (véase Red privada virtual, servidor)
W W3C (World Wide Web Consortium), 562 Wake on LAN, característica, 115 WAN (véase Redes de área amplia) WAS (servicio de administración Web), 250 WDS (véase Servicios de implementación de Windows)
1/14/09 12:23:13 PM
592
Windows Server 2008: Guía del Administrador
Web Server 2008 (véase Windows Web Server 2008) Web, servidores, 253-263 actualización, 261 administración remota, 269-273 descripción, 73 e IIS 7, 253-263 métodos de transmisión por secuencias con, 290 migración, 258-261 y funciones de Terminal Services, 327 y seguridad, 261-263 WebDAV (autoría y versión distribuidas de Web), 248 WIFI (fidelidad inalámbrica), estándar, 110 Windows 2000: fuentes, 448 permisos, 546 y Active Directory, 196, 199 y cifrado, 396 y dominios, 191 Windows 95: fuentes, 448 y Active Directory, 195 Windows 98: fuentes, 448 y Active Directory, 195 Windows Communication Foundation, 249 Windows NT: en GUID, 201 en WINS, 193 permisos, 546 y Active Directory, 195 y cifrado, 396 y dominios, 191-192 Windows Server 2003, 375 Active Directory, 188 actualizaciones, 46 actualizar a SP1 o SP2, 46 instalación, 46 permisos, 546 Service Pack 1, 54 y dominios, 191, 193 Windows Server 2008 Datacenter, Edición, 5 Windows Server 2008 Enterprise, Edición, 5 Windows Server 2008 para sistemas basados en Itanium, 5 Windows Server 2008, 4-18 administración, 12-18 como actualización, 4-5 comparación de edición, 5 conexiones externas con, 11-12 configuración, 8-10 consideraciones de hardware, 5-7 e impresión, 16 esquemas de red, 10-11 fuentes, 448-150 funciones, 7 implementación, 7-10 instalación, 7-8 preparación, 7 (véase también Ediciones especiales,
INDICE MATTHEWS 01.indd 592
como Edición Enterprise) Windows Server 2008, Edición Standard, 5 Windows Server 2008, enrutadores, 230-235 configuración, 231-232 mantenimiento, 232-234 y compartir conexión a Internet, 234-235 Windows Vista: como servidores de impresión, 428 conexión a Internet con, 318 e impresión, 16 IIS 7, 248 Panel de control, 472 particionamiento, 34 redes puerto a puerto, 100 SSTP, 316 transmisión por secuencia de audio y video, 290 y Ethernet, 104 y Microsoft Assessment and Planning Toolkit Solution Accelerator, 87-89 y redes cliente/servidor, 100 y VPN, 294 Windows Web Server 2008, 5, 6 Windows XP: particionamiento, 34 transmisión por secuencia de audio y video, 290 Windows, sistemas: compatibilidad AD, 193 e instalación, 50-51 WINS (véase Servicio de nombre de Internet de Windows) WMI (véase Instrumentación de administración de Windows) Word (Microsoft) (véase Microsoft Word) World Wide Web Consortium (W3C), 562 WS_FTP, 252 WWW, servicios, 252 (véase también tipos específicos, como Protocolo de transferencia de hipertexto)
X X.25, estándar, 297 X.500, estándar, 189 X.509, estándar, 189 X64, velocidad del procesador, 6 X86, velocidad del procesador, 6 Xerox PARC (Palo Alto Research Center), 104 Xerox, 104 XML (Lenguaje de marcado extendible), 252
Y Yahoo!, 240
Z Zipcord, cableado, 120, 122 Zona, transferencias, 160 Zonas DNS (véase Sistema de nombre de dominio)
1/14/09 12:23:13 PM
