70-411 Windows Server 2012 R2 - Administración

Windows Server 2012 R2 - Administracin
Preparacin para la certificacin MCSA - Examen 70-411
Captulo 1 Introduccin
A. Organizacin de las certificaciones 12
B. Cmo se organiza este libro 12
C. Competencias probadas tras el examen 70-411 14

1. El examen de certificacin 14
2. Preparacin del examen 14
D. Las mquinas virtuales utilizadas 14
E. El administrador del servidor 14

1. Creacin de un grupo de servidores 21
2. Instalacin remota de un rol 24
3. Eliminar un grupo de servidores 24
F. Servidor en modo instalacin mnima 25

1. Instalacin de roles con una instalacin en modo Core 28
2. Agregar/eliminar la interfaz grfica 29
3. Configuracin con sconfig 30
G. Hyper-V 34
1. Requisitos previos de hardware 34
2. Las mquinas virtuales en Hyper-V 34
3. La memoria dinmica con Hyper-V 35
4. El disco duro de las mquinas virtuales 37
5. Las instantneas en Hyper-V 39
6. Gestin de redes virtuales 39
Captulo 2 Instalacin del entorno de pruebas
www.ediciones-eni.com Ediciones ENI 1/13

A. El entorno de pruebas 42
1. Configuracin necesaria 42
2. Instalacin de Windows Server 2012 R2 42
B. Creacin de las mquinas virtuales 43

1. Esquema de la maqueta 48
2. Mquina virtual AD1 50
3. Mquina virtual AD2 60
4. Mquina virtual SV1 60
5. Mquina virtual SV2 60
6. Mquina virtual CL8-01 61
7. Mquina virtual SRV-RT 61
8. Mquina virtual CL8-02 61
9. Las instantneas 61
Captulo 3 Gestin de un directorio AD DS
A. Introduccin 64
B. Presentacin de Active Directory Domain Services 64

1. Los distintos componentes de AD DS 64
2. Visin general de las nociones de esquema y bosque de Active Directory 65
3. La estructura del directorio Active Directory 68
C. Implementacin de controladores de dominio virtualizados 69

1. Despliegue de controladores de dominio virtualizados 69
2. Gestin de los controladores de dominio virtualizados 70
D. Implementacin de un RODC 70
1. Gestin del almacenamiento en cach en un RODC 71

2. Administracin local sobre los controladores de dominio de solo lectura 71

E. Administracin de Active Directory 72

1. Presentacin de las distintas consolas de AD 72
2. Los mdulos de Active Directory para PowerShell 72
3. Gestin de los roles FSMO 73
4. Uso de una cuenta de servicio 74
5. Restauracin de una cuenta mediante la papelera de reciclaje AD 74
6. Copia de seguridad y restauracin de Active Directory 75
F. Gestin de la base de datos 75
1. La base de datos de Active Directory 75

2. Uso del comando NTDSUtil 76
3. Reinicio del servicio Active Directory 76
4. Creacin de un snapshot AD 77
5. Restaurar un objeto de dominio 77
G. Trabajos prcticos: Administracin de Active Directory 78
H. Validacin de conocimientos adquiridos: preguntas/respuestas 120
Captulo 4 Gestin del entorno
A. Introduccin 126
B. Automatizacin de la gestin de cuentas de usuario 126
1. Configuracin de la poltica de seguridad 128

2. Gestin de la directiva de contrasea muy especfica 131
3. Configuracin de las cuentas de servicio 133
C. Directivas de grupo 135
1. Gestin de la configuracin 135

2. Visin general de las directivas de grupo 135
3. Extensiones del lado cliente 136

4. Directivas de grupo por defecto 136

5. Almacenamiento de la directivas de grupo 137
6. GPO de inicio 137
7. Copia de seguridad y restauracin de una directiva de grupo 139
8. Delegacin de la administracin 139
9. PowerShell con GPO 140
D. Implementacin y administracin de las directivas de grupo 141

1. Vnculos GPO 141
2. Orden de aplicacin 141
3. Herencia y opcin de aplicacin 142
4. Implementacin de filtros para gestionar el mbito 144
5. Funcionamiento de una directiva de grupo con enlaces lentos 145
6. Recuperacin de directivas por los puestos clientes 146
E. Mantenimiento de una directiva de grupo 147

1. Directiva de grupo resultante 149
2. Informe RSOP 149
3. Uso de registros de eventos 150
4. Enlace lento y cach de directivas de grupo 151
5. Configuracin de una poltica de seguridad Kerberos 151
F. Trabajos prcticos: Gestin del entorno del usuario 152
G. Validacin de conocimientos adquiridos: preguntas/respuestas 169
Captulo 5 Implementar las directivas de grupo
A. Introduccin 174
B. Plantillas administrativas 174
1. Los archivos ADMX y ADML 174

2. Creacin del almacn central 175

3. Uso de filtros sobre las plantillas administrativas 175
C. Configuracin de la redireccin de carpetas y de scripts 176

1. Presentacin de la redireccin de carpetas 176
2. Configuracin de la redireccin 176
3. Uso de scripts en las directivas de grupo 177
D. Configuracin de las preferencias de las directivas de grupo 178

1. Visin general de las preferencias 178
2. Comparacin entre las directivas y las preferencias 179
E. Gestin de aplicaciones con ayuda de GPO 179
F. Trabajos prcticos: Gestin de los puestos de usuario 180
Captulo 6 Implementar un servidor DHCP
A. Introduccin 196
B. Rol del servicio DHCP 196
1. Funcionamiento de la concesin de una direccin IP 196

2. Uso de una retransmisin DHCP 197
C. Instalacin y configuracin del rol DHCP 198

1. Agregar un nuevo mbito 199
2. Configuracin de las opciones DHCP 201
3. Reserva de contrato DHCP 204
4. Implementacin de filtros 206
D. Base de datos DHCP 210

1. Presentacin de la base de datos DHCP 210

2. Copia de seguridad y restauracin de la base de datos 211
3. Reconciliacin y desplazamiento de la base de datos 212
E. Alta disponibilidad del servicio DHCP 216
F. IPAM 216
1. Especificaciones de IPAM 217

2. Caractersticas de IPAM 217
G. Trabajos prcticos: Instalacin y configuracin del rol DHCP 218
Captulo 7 Configuracin y mantenimiento de DNS
A. Introduccin 254
B. Instalacin de DNS 254
1. Visin general del espacio de nombres DNS 254

2. Separacin entre DNS privado/pblico 255
3. Despliegue de DNS 255
C. Configuracin del rol 256
1. Componentes del servidor 256

2. Consultas realizadas por el DNS 256
3. Registrar recursos en el servidor DNS 257
4. Funcionamiento del servidor de cach 259
D. Configuracin de las zonas DNS 259
1. Visin general de las zonas DNS 259

2. Zonas de bsqueda directa y zonas de bsqueda inversa 260

3. Delegacin de zona DNS 261
E. Configuracin de la transferencia de zona 261

1. Presentacin de la transferencia de zona 261
2. Proteccin de la transferencia de zona 262
F. Administracin y resolucin de errores del servidor DNS 262
G. Trabajos prcticos: Instalacin y configuracin del rol DNS 263
Captulo 8 Despliegue y soporte de WDS
A. Introduccin 274
B. Los servicios de implementacin de Windows 274
1. Los componentes de WDS 275

2. Por qu utilizar WDS? 276
C. Implementacin del rol WDS 276

1. Instalacin y configuracin del servidor 276
2. Gestin de los despliegues 279
D. Administracin del servicio WDS 280
E. Automatizacin del despliegue 281
F. Trabajos prcticos: Despliegue con WDS 282

Captulo 9 Configuracin del acceso remoto
A. Introduccin 312
B. Componentes de una infraestructura de acceso de red 312

1. Presentacin del rol Servicios de acceso y directivas de redes 312
2. Autenticacin y autorizacin de red 313
3. Mtodos de autenticacin 313
4. Visin general de la PKI 314
5. Integracin de DHCP con enrutamiento y acceso remoto 314
C. Configuracin del acceso VPN 314
1. Las conexiones VPN 314

2. Protocolos utilizados para el tnel VPN 315
3. Presentacin de la funcionalidad VPN Reconnect 315
4. Configuracin del servidor 315
5. Presentacin del kit CMAK 316
D. Visin general de las polticas de seguridad 316
E. Presentacin del Web Application Proxy y del proxy RADIUS 317
F. Soporte del enrutamiento y acceso remoto 318
1. Configuracin de los logs de acceso remoto 318

2. Resolucin de problemas en VPN 318
G. Configuracin de DirectAccess 319
1. Presentacin de DirectAccess 319

2. Componentes de DirectAccess 319
3. La tabla de directivas de resolucin de nombres 320
4. Requisitos previos para la implementacin de DirectAccess 320
H. Presentacin del rol Network Policy Server 320

I. Configuracin del servidor RADIUS 321

1. Nociones acerca del cliente RADIUS 321
2. Directiva de solicitud de conexin 321
J. Mtodo de autenticacin NPS 321

1. Configurar las plantillas NPS 321
2. Autenticacin 322
K. Supervisin y mantenimiento del rol NPS 322
L. Trabajos prcticos: Configuracin del acceso remoto 323
M. Validacin de conocimientos adquiridos: preguntas/respuestas 368
Captulo 10 Implementar la solucin NAP
A. Introduccin 372
B. Visin general de la solucin NAP 372
1. Forma de aplicar NAP 372

2. Arquitectura de la plataforma NAP 373
C. Proceso de aplicacin de NAP 374

1. Implementar IPsec con NAP 374
2. 802.1x con NAP 375
3. Implementar NAP con un servidor VPN 375
4. Uso de NAP para DHCP 375
D. Verificacin del cumplimiento 375
E. Supervisin y mantenimiento del servidor NAP 376

F. Trabajos prcticos: Implementar la solucin NAP 376
Captulo 11 Optimizacin de los servicios de archivos
A. Introduccin 392
B. Visin general del rol FSRM 392
C. Administracin del servidor de archivos mediante FSRM 393
1. Gestin de las cuotas 393

2. Administracin del filtrado de archivos 396
3. Los informes de almacenamiento 397
D. Implementar la clasificacin de archivos 398
1. Presentacin de las reglas de clasificacin 398

2. Tareas de administracin de archivos 399
E. El sistema DFS 399

1. Presentacin del espacio de nombres DFS 400
2. La replicacin DFS 400
3. Funcionamiento del espacio de nombres 401
4. La desduplicacin de datos 401
5. Escenarios DFS 404
F. Configuracin del espacio de nombres 406
1. Implementar el servicio DFS 406

2. Optimizacin de un espacio de nombres 406
G. Configuracin y mantenimiento de DFS-R 407

1. Funcionamiento de la replicacin 407

2. Proceso de replicacin inicial 407
3. Mantenimiento del sistema de replicacin 407
4. Operaciones sobre la base de datos 408
H. Trabajos prcticos: Gestin del servidor de archivos 409
I. Validacin de conocimientos adquiridos: preguntas/respuestas 442
Captulo 12 Cifrado de datos y auditora
A. Introduccin 448
B. Presentacin de EFS 448
1. Funcionamiento de EFS 448

2. Recuperacin de un archivo cifrado 450
C. Configuracin de la auditora 451

1. Visin general de la poltica de auditora 451
2. Definir la configuracin de auditora sobre un archivo o una carpeta 452
3. Activacin de la poltica de seguridad 455
4. Poltica de auditora avanzada 457
D. Trabajos prcticos: Configuracin de la auditora 458
E. Validacin de conocimientos adquiridos: preguntas/respuestas 469
Captulo 13 Implementacin del servidor WSUS
A. Introduccin 474

B. Presentacin del rol WSUS 474
C. Requisitos previos necesarios para el rol 476
D. Despliegue de actualizaciones con WSUS 476
1. Configuracin del cliente de actualizacin 476

2. Administracin de WSUS 477
3. Presentacin de los grupos de equipos 478
4. Aprobacin de las actualizaciones 478
E. Trabajos prcticos: Implementacin del servidor WSUS 478
F. Validacin de conocimientos adquiridos: preguntas/respuestas 498
Captulo 14 Supervisin de servidores
A. El Administrador de tareas 502
B. El Monitor de recursos 512
C. El Monitor de rendimiento 517
D. Los registros de eventos 523
1. Creacin de una vista personalizada 526

2. Suscripciones 527
E. Trabajos prcticos: Implementacin de las herramientas de anlisis 528
F. Validacin de conocimientos adquiridos: preguntas/respuestas 548

Tabla de objetivos 551
ndice 555

Windows Server 2012 R2 -
Administracin
Preparacin para la certificacin MCSA 70-411
El examen 70-411 "Administracin de Windows Server 2012 R2" es el segundo de los tres
exmenes obligatorios para obtener la certificacin MCSA Windows Server 2012. Valida sus
competencias y conocimientos en la administracin de Windows Server 2012 R2 en un entorno
empresarial.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos oficiales,
tanto desde el punto de vista terico como desde un punto de vista prctico. Ha sido elaborado
por un formador profesional reconocido, tambin consultor, certificado tcnica y pedaggicamente
por Microsoft. De este modo, la experiencia pedaggica y tcnica del autor le imprime un enfoque
claro y visual, alcanzando un nivel tcnico muy elevado.
Captulo tras captulo, podr validar sus conocimientos tericos gracias a la gran cantidad
de preguntas y respuestas (171 en total) incluidas, poniendo de relieve tanto los elementos
fundamentales como las caractersticas especficas de los distintos conceptos abordados.
Cada captulo se completa con un trabajo prctico (49 en total) que le permitir medir su
autonoma. Estos ejercicios concretos, ms all incluso de los objetivos fijados por el examen, le
permitirn forjarse una experiencia relevante y adquirir verdaderas competencias tcnicas sobre
situaciones reales.
A este dominio del producto y de los conceptos se aade la preparacin especfica a la

certificacin: en el sitio web www.edieni.com podr accedergratuitamente a 1 examen en blanco
en lnea, destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web,
cada pregunta que se plantea se inscribe en el espritu de la certificacin y, para cada una, las
respuestas estn lo suficientemente desarrolladas como para identificar y completar sus ltimas
lagunas.
Los captulos del libro:

Prefacio Introduccin Instalacin del entorno de pruebas Gestin de un diccionario AD DS
Gestin del entorno Implementar las directivas de grupo Implementar un servidor DHCP
Configuracin y mantenimiento de DNS Despliegue y soporte de WDS Configuracin del acceso
remoto Implementar la solucin NAP Optimizacin de los servicios de archivos Cifrado de
datos y auditora Implementacin del servidor WSUS Supervisin de servidores Tabla de
objetivos
Nicolas BONNET
Nicolas BONNET es Consultor y Formador de sistemas operativos Microsoft
desde hace varios aos. Tiene la certificacin MCT (Microsoft Certified Trainer)
y es un reconocido Microsoft MVP (Most Valuable Professional) Windows
Expert-IT Pro que logra transmitir al lector, a travs de este libro, toda su
experiencia acerca de las tecnologas de servidor y su evolucin. Su capacidad
pedaggica hace que este libro sea realmente eficaz para la administracin
de Windows Server 2012 R2.
Introduccin
El examen 70-411 "Administracin de Windows Server 2012" es el segundo de los tres exmenes
obligatorios para obtener la certificacin MCSA Windows Server 2012. Valida sus competencias y
conocimientos en la administracin de una infraestructura Windows Server 2012 y 2012 R2, en el
marco de trabajo del entorno de una empresa existente.
Para ayudarle a preparar eficazmente el examen, este libro cubre todos los objetivos
oficiales(enumerados en un listado en el anexo) tanto desde el punto de vista terico como desde un
punto de vista prctico.
Cada captulo se organiza de la siguiente manera:
Una definicin de los objetivos a alcanzar: permite exponer, con precisin, las competencias
que se abordan en cada captulo una vez se haya validado.
Una seccin de formacin terica: permite definir los trminos y conceptos abordados y
esquematizar, mediante un hilo conductor, los distintos puntos a asimilar.
Una seccin de validacin de conocimientos adquiridos: propuesta bajo la forma de

preguntas y respuestas (171 en total). Estas preguntas, y sus respuestas comentadas, ponen
de relieve tanto los elementos fundamentales como las caractersticas especficas de los
distintos conceptos abordados.
Trabajos prcticos (49 en total): permiten ilustrar, con precisin, ciertas partes del curso y le
darn tambin los medios necesarios para medir su autonoma. Estos ejercicios concretos, ms
all incluso de los objetivos fijados por el examen, le permitirn forjarse una experiencia
relevante y adquirir verdaderas competencias tcnicas sobre situaciones reales.
A este dominio del producto y de los conceptos se le suma la preparacin especfica a la certificacin:
en el sitio web www.edieni.com podr acceder gratuitamente a 1 examen en blanco en lnea,
destinado a entrenarse en condiciones similares a las de la prueba. En este sitio web cada pregunta
que se plantea se inscribe en el espritu de la certificacin y, para cada una, las respuestas estn lo
suficientemente desarrolladas como para identificar y completar sus ltimas lagunas.
Organizacin de las certificaciones
Los anteriores cursos de certificacin permitan acceder a la certificacin MCITP (Microsoft Certified IT
Professional). Estos ltimos han pasado a llamarse MCSA (Microsoft Certified Solution Associate) y MCSE
(Microsoft Certified Solutions Expert).
Certificacin MCSA
La certificacin MCSA se compone de tres certificaciones. La 70-410, relativa a la instalacin y la

configuracin de Windows Server 2012. Es necesario obtener, a continuacin, la segunda certificacin
con numeracin 70-411. Esta ltima es relativa a la administracin de Windows Server 2012. Por
ltimo, para completar la certificacin, es necesario superar el examen 70-412, que tiene como
objetivo la administracin avanzada de Windows Server 2012.
Tambin existen tres certificaciones MCSE (Microsoft Certified Solutions Expert).
MCSE Server Infrastructure
Deben superarse dos exmenes para obtener esta certificacin. Adems de la certificacin MCSA es
necesario superar la certificacin 70-413 Diseo e implementacin de una infraestructura de servidor.
Por ltimo, debe superarse el examen 70-414 Implementacin de una infraestructura avanzada para
obtener la certificacin.
MCSE Desktop Infrastructure
Esta certificacin se compone de dos exmenes. Es necesario obtener las certificaciones 70-415
Implementacin de una infraestructura de puesto de trabajo y 70-416 Implementacin del entorno de
aplicaciones de escritorio.
MCSE Private Cloud
Para obtener la certificacin MCSE Private Cloud es necesario obtener las certificaciones 70-246
Supervisar y operar una nube privada con System Center 2012 y 70-247 Configuracin e
implementacin de una nube privada con System Center 2012.
Cmo se organiza este libro
Este libro le prepara para el examen 70-411 Administracin de Windows Server 2012. Este libro se
estructura en varios captulos que le aportarn los conocimientos tericos necesarios sobre cada rea
de conocimiento. A continuacin, se proponen al lector los trabajos prcticos, que le permitirn poner
en prctica los puntos abordados en la parte terica.
Es preferible, por tanto, seguir los captulos en orden. En efecto, stos conducen de manera
progresiva al lector por las competencias necesarias para superar el examen. Al finalizar cada
captulo, se proponen una serie de preguntas que le permitirn validar el nivel que debe alcanzarse.
Si lo supera, el lector puede pasar al siguiente captulo.
Se invita al lector a crear la maqueta, que sirve para la realizacin de los trabajos prcticos. Esta
maqueta se compone de servidores que ejecutan Windows Server 2012 R2 Standard y puestos
cliente Windows 8.1. La configuracin de los roles se realiza a medida que avanzan los captulos. El
captulo de gestin del directorio AD DS permite adquirir los conocimientos necesarios a nivel de AD.
Tras haber profundizado en los conceptos del directorio LDAP de Microsoft se aborda la virtualizacin
de los controladores de dominio. La parte terica se completa con la gestin de la base de datos
(copia de seguridad, restauracin, snapshot). La parte prctica invita al lector a crear, en primer
lugar, el bosque Active Directory llamado Formacion.local.
A continuacin, se describe la implementacin de un RODC y un controlador de dominio virtualizados.

La parte terica se completa con la administracin de la base de datos (creacin de una instantnea,
actualizacin de la papelera de reciclaje de AD y desfragmentacin).
A continuacin, se aborda la gestin del entorno del usuario. La parte terica comprende los
conceptos relativos a los parmetros de seguridad, las directivas de contrasea muy especficas y la
configuracin de cuentas de servicio. La parte prctica invita al lector a importar cuentas AD mediante
cmdlets PowerShell, a crear directivas de contrasea muy especficas (PSO), cuentas de servicio y,
para terminar, y tras haber definido una directiva de grupo, crear un informe RSOP.
Las directivas de grupo se abordan en el siguiente captulo. En esta ocasin, el lector encontrar las
distintas funcionalidades de la directiva de grupo (despliegue de software, preferencias, redireccin
de carpetas). Esta parte terica se complementa con una parte prctica que refuerza los
conocimientos adquiridos gracias a la teora.
A continuacin, se estudian los servidores DNS y DHCP, mediante el anlisis de las distintas zonas y
registros, tambin se abordan las nociones de transferencia de zona y de borrado de los datos. La
parte DHCP supone un complemento, pues no es una parte obligatoria de la certificacin oficial. Se
invita al lector, tras hablar de DHCP, a implementar IPAM, funcionalidad aparecida con Windows Server
2012 y que permite administrar los planes de direccionamiento IP de la empresa.
El estudio prosigue con el rol Servicios de implementacin de Windows. Esta funcionalidad, presente
desde Windows Server 2003 SP2, ha sufrido numerosas mejoras. La versin actual, en Windows
Server 2012 R2, ofrece posibilidades interesantes que se presentan en las partes tericas y prcticas.
Los dos captulos siguientes abordan los servicios de red e invitan el lector a estudiar las distintas
soluciones de VPN (DirectAccess o VPN clsica) y a implementarlas a continuacin. La seccin dedicada
a la red est compuesta por un segundo captulo dedicado a NAP. Una vez ms, tras la parte terica
se ponen en prctica los conceptos abordados.
Por ltimo, la parte gestin de recursos es un extenso captulo dedicado a la implementacin de

cuotas y filtros de archivos. Se invita al lector, en primer lugar, a conocer las distintas posibilidades en
lo relativo a cuotas y filtros que es posible crear. La parte terica se completa con DFS y su
funcionamiento (espacio de nombres, escenario DFS, replicacin DFS-R). La parte prctica aborda la
implementacin de ambos servicios. Con el objetivo de garantizar la seguridad de los datos y de los
accesos, el captulo Cifrado de datos y auditora presenta la funcionalidad EFS y las distintas
auditoras. Los trabajos prcticos permiten implementar distintos escenarios de auditora (acceso a
una carpeta, acceso a un recurso compartido, modificacin de un objeto AD).
El captulo Implementacin del servidor WSUS presenta la implementacin de un servidor de gestin

de actualizaciones de Microsoft, los trabajos prcticos permiten al lector instalar el servidor y realizar
aprobaciones para instalar o eliminar actualizaciones y, por ltimo, generar un informe.
Por ltimo, cierra el libro un captulo relativo a las distintas herramientas nativas de Windows Server
2012 R2 que permiten administrar los recursos (monitor de recursos, gestin de eventos).
Competencias probadas tras el examen 70-411
Puede encontrar, al final del libro, la tabla resumen de competencias probadas.
1. El examen de certificacin
El examen de certificacin se compone de varias preguntas. Para cada una de ellas se proponen
varias respuestas. Es necesario marcar una o varias de estas respuestas. Para superar el examen
es preciso obtener una puntuacin de 700.
El examen se realiza en un centro homologado Prometric, no obstante la inscripcin debe realizarse

en el sitio web www.prometric.com. Se presentan varios sitios en la regin, es necesario, una vez
seleccionado el examen deseado (70-411), seleccionar el centro as como la fecha y la hora del
encuentro.
El da D dispondr de varias horas para responder a las preguntas. No dude en tomarse el tiempo
necesario para leer bien la pregunta y todas las respuestas. Es posible marcar las preguntas para
realizar una relectura antes de finalizar el examen. El resultado se obtiene al finalizar el examen.
2. Preparacin del examen

Para preparar el examen de forma ptima es necesario, en primer lugar, disponer de tiempo para
leer los distintos captulos y, a continuacin, trabajar en los trabajos prcticos.
Las preguntas disponibles al finalizar cada mdulo le permiten validar sus conocimientos. No pase al
siguiente captulo sin haber comprendido bien el anterior, y vuelva a trabajarlo tantas veces como
sea necesario. Con el libro se ofrece un examen en blanco que le permitir poner a prueba sus
conocimientos antes de realizar el examen.
Las mquinas virtuales utilizadas
Para poder realizar los trabajos prcticos y para evitar multiplicar el nmero de mquinas se utiliza un
sistema de virtualizacin. El captulo presenta, por ello, la instalacin de una maqueta. Esta ltima
utiliza el hipervisor de Microsoft (Hyper-V). Tambin puede, si lo desea, utilizar su propio sistema de
virtualizacin.
A continuacin se instalan varias mquinas virtuales que ejecutan Windows Server 2012 R2 o
Windows 8.1.
Es posible descargar las versiones de evaluacin de estos productos en los siguientes enlaces:
Windows 8.1: http://technet.microsoft.com/es-es/evalcenter/hh699156.aspx
Windows Server 2012 R2: http://technet.microsoft.com/es-ES/evalcenter/dn205286.aspx

El administrador del servidor
La consola Administrador del servidor permite administrar el conjunto del servidor. Presente desde
Windows Server 2008 se produjo, con Windows Server 2012, un cambio importante.
Permite agregar/eliminar roles, y tambin la administracin de equipos remotos: es posible, con ayuda
de WinRM, instalar roles y caractersticas. Tambin es posible configurar un conjunto de servidores
para administrarlos mediante esta consola.
La gestin del servidor local se lleva a cabo, tambin, mediante esta consola. Es posible modificar
cierta informacin muy rpidamente, como por ejemplo el nombre del equipo, el grupo de trabajo o el
dominio al que pertenece. La configuracin del escritorio remoto, o la gestin remota, tambin son
configurables.
La propiedad Configuracin de seguridad mejorada para Internet Explorer permite activar o
desactivar la seguridad mejorada de Internet Explorer. Por defecto, esta opcin est activa.
El Panel permite, tambin, asegurar rpidamente que no existe ningn problema en el servidor.
De este modo, es posible ver en la captura de pantalla anterior que los roles Hyper-V y Servicios de
archivos y de almacenamiento funcionan correctamente.
Se auditan varios elementos: Eventos, Servicios, Rendimiento y Resultados de BPA. Servicios est
precedido por una cifra, lo que indica al administrador que algn servicio tiene un error, est
detenido
Haciendo clic en Servicios se abre una ventana que muestra los detalles del servicio afectado.
Detengamos el servicio de spooler ejecutando el comando net stop spooler.
La detencin del servicio spooler provocar la creacin de un nuevo evento. El comando anterior
permite detener el servicio spooler.
Volviendo a la consola Administrador del servidor, se ejecuta un nuevo anlisis. Tambin es posible
actualizar la consola para ver el cambio.
La consola le indica, ahora, que existen problemas sobre dos servicios.

Se abre una nueva ventana indicando el o los servicios que presentan problemas, haciendo clic en el
vnculo Servicios.
Es posible iniciar el o los servicios deseados haciendo clic con el botn derecho en la fila
correspondiente al servicio que presenta el problema y, a continuacin, seleccionando la opcinIniciar
servicios. Actualizando la consola Administrador del servidor comprobar que el problema relativo al
spooler ha desaparecido.
El problema del servicio desaparece. Es posible realizar la misma operacin para los servicios remotos.
Es, no obstante, obligatorio crear un grupo que incluya estos servidores (este punto se aborda ms
adelante en este captulo).
El men Herramientas permite acceder a un conjunto de consolas (Administracin de equipos,

Servicios, Firewall de Windows con seguridad avanzada) y de herramientas (Diagnstico de memoria
de Windows, Windows PowerShell).
Haciendo clic en Administrar aparece un men contextual que permite acceder a un conjunto de
opciones:
Propiedades del Administrador del servidor: es posible especificar el perodo de actualizacin

de los datos del Administrador del servidor. Por defecto, el valor est configurado a 10 minutos.
El Administrador del servidor puede configurarse para que no se ejecute automticamente tras
iniciar sesin.
Crear grupo de servidores: con el objetivo de poder administrar varios servidores desde esta
mquina, conviene crear un grupo de servidores. Es posible agregar/quitar roles o,
simplemente, supervisarlos. Es posible agregar servidores escribiendo su nombre o una
direccin IP en la pestaa DNS.
Es posible realizar la bsqueda del puesto con ayuda de Active Directory, seleccionando la ubicacin
(raz del dominio, unidad organizativa) y, a continuacin, seleccionando el nombre de la mquina.
Agregar/Quitar roles y caractersticas: las operaciones para agregar o quitar roles pueden
realizarse sobre el servidor local o sobre una mquina remota. Se utiliza el protocolo WinRM
para llevar a cabo esta accin.
Cuando se agrega un nuevo rol aparece un nodo en la columna izquierda. Haciendo clic sobre l, el
panel central da acceso a las propiedades y eventos del rol.
1. Creacin de un grupo de servidores

Como hemos podido ver, la creacin de un grupo nos permite realizar la administracin de manera
remota.
Esto se realiza desde la consola Administrador del servidor. El men Administrar permite llevar a
cabo esta operacin (seleccione la opcin Crear grupo de servidores). En la etapa de creacin es
necesario asignar un nombre al grupo mediante el campo Nombre de grupo de servidores.
A continuacin, basta con agregar los servidores con ayuda de las distintas pestaas. La
pestaaActive Directory da acceso a una lista desplegable Sistema operativo. Permite filtrar sobre
un tipo de sistema concreto (por ejemplo: Windows Server 2012 / Windows 8).
Basta, entonces, con hacer clic en el botn Buscar ahora, seleccionar los servidores deseados (AD1,
AD2) y, a continuacin, incluirlos en el grupo mediante el botn ubicado entre los campos de
seleccin y el campo Seleccionada.
El nuevo grupo est disponible en la consola Administrador del servidor.
Este grupo permite recuperar el estado de salud de los puestos.

2. Instalacin remota de un rol
Se ha creado el grupo en un servidor, vamos, a continuacin, a utilizarlo para instalar el rol Servidor
de fax en un servidor remoto. En la consola, es necesario hacer clic en el vnculo Agregar roles y
caractersticas.
En la ventana de seleccin del servidor de destino es posible seleccionar el servidor sobre el que se
quiere realizar la instalacin.
A continuacin, seleccione el rol que desea instalar y contine con la instalacin.
3. Eliminar un grupo de servidores

La eliminacin de un grupo de servidores se opera de manera tan sencilla como su creacin. La
operacin se realiza desde la consola Administrador del servidor.
Haciendo clic con el botn derecho sobre el grupo afectado, aparece la opcin Eliminar grupo de
servidores disponible.
A pesar de eliminar el grupo, los puestos siguen estando presentes en la seccin Todos los
servidores.
Es preciso eliminarlos manualmente haciendo clic con el botn derecho sobre la fila del servidor
afectado.
Servidor en modo instalacin mnima
Cuando se instala un servidor en modo Instalacin mnima o modo Core, el
programa explorer.exeno se encuentra instalado. Slo est presente la ventana de comandos.
La administracin del servidor se realiza mediante comandos DOS. Escribiendo el

comando hostname es posible obtener el nombre genrico asignado al servidor. Durante la
instalacin, dado que no se provee el nombre, se asigna un nombre generado aleatoriamente al
servidor.
Para cambiar el nombre, es posible utilizar la herramienta sconfig (vase ms adelante en este mismo
captulo) o el comando netdom.
La sintaxis del comando netdomes la siguiente:
netdom renamecomputer NombreActual /NewName:SRVCore
NombreActualpuede remplazarse por %computername%(el nombre de su servidor).
Es necesaria una validacin, para ello basta con presionar la tecla S y, a continuacin, la tecla [Enter].
Para hacer efectivo el nombre, el servidor debe reiniciarse. Para realizar esta operacin puede
ejecutar el comando shutdown -r -t 0.
La opcin -r permite reiniciar el servidor, -t 0indica que se desea un reinicio inmediato.
Antes de configurar la tarjeta de red es preciso recuperar su nombre. Para realizar esta operacin
puede utilizar el comando netsh interface ipv4 show interfaces.
El nombre de la tarjeta de red es Ethernet, el comando que permite configurar la interfaz es,
entonces:
netsh interface ipv4 set address name="NombreTarjeta" source=static

address=192.168.1.15 mask=255.255.255.0 gateway=192.168.1.254
Remplace NombreTarjetapor el verdadero nombre de la tarjeta de red, Etherneten este

caso.
Ha configurado la tarjeta, aunque la direccin del servidor DNS no se ha informado. El

comando netshpermite agregar el servidor DNS:
netsh interface ip set dns "NombreTarjeta" static 192.168.1.10 primary
Remplace NombreTarjeta por el verdadero nombre de la tarjeta de red, Ethernet en

nuestro caso.
El comando ipconfig /allpermite verificar la correcta configuracin del puesto.
Es, ahora, posible acceder al servidor de dominio, para ello conviene utilizar el siguiente comando:
netdom join SRVCore /domain:Formacion.local /UserD:Administrador

/passwordD:*
Debe informarse la contrasea, puesto que se ha pasado un asterisco en la

opcin /passwordD. Cuando la informe, no se mostrar ningn carcter.
La ltima etapa consiste en reiniciar el servidor con el objetivo de aplicar la configuracin y unirlo al
dominio.
Continuando con la configuracin de nuestro servidor, vamos a desactivar a continuacin el firewall.

Una vez ms, el comando netshnos permite realizar esta accin:
netsh firewall set opmode disable
1. Instalacin de roles con una instalacin en modo Core

El servidor no posee una interfaz grfica, por lo que la instalacin debe realizarse por lnea de
comandos. Vamos a utilizar el comando dism para enumerar, habilitar o eliminar cualquier
funcionalidad del sistema operativo.
Para enumerar la lista de roles y caractersticas es preciso utilizar el comando dism:
dism /online /get-features > Caracteristicas.txt
Las caractersticas disponibles en el sistema operativo en ejecucin (opcin /online) se enumeran

(/get-features). El resultado se escribe en el archivo Caracteristicas.txt.
El archivo muestra el nombre de cada funcionalidad y su estado. Para agregar el rol o la
caracterstica es preciso utilizar el comando dism. Antes de cualquier intento de instalacin, debe
recuperarse el nombre de la funcionalidad concreta. Por ejemplo, para DNS, el nombre es DNS-
Server-Full-Role.
Ejecutando el comando dism /online /Enable-Feature /FeatureName:DNS-Server-
Full-Roleen una ventana de comandos DOS es posible realizar su instalacin.
Ahora es posible administrar el rol desde un servidor que posea interfaz grfica. En el caso de que el
firewall est habilitado, piense en que debe autorizar la administracin remota.
Por ltimo, dismpuede, a su vez, eliminar una funcionalidad. Para realizar esta operacin debe
ejecutar el siguiente comando:
dism /online /Disable-Feature /FeatureName:DNS-Server-Full-Role
Se elimina el rol del servidor.
2. Agregar/eliminar la interfaz grfica

Desde Windows Server 2008 es posible instalar servidores que no posean interfaz grfica. No
obstante, una vez instalado el servidor, es imposible la marcha atrs. Desde Windows Server 2012
es posible agregar o eliminar la interfaz grfica. La eliminacin/agregacin puede afectar
al shell(interfaz grfica completa) o a las herramientas e infraestructuras de administracin grfica
(incluye las herramientas necesarias para administrar el servidor sin el explorador Internet
Explorer).
Para llevar a cabo esta operacin es preciso agregar o eliminar la funcionalidad Infraestructura e
interfaces de usuario. Es posible instalar o eliminar dos opciones:
Infraestructura y herramientas de administracin grfica
Shell grfico de servidor

Al finalizar la instalacin, la consola le indica que es necesario reiniciar el servidor.
La interfaz grfica est, ahora, presente. Basta con eliminar la funcionalidad recin instalada para
volver al servidor en modo instalacin mnima.
3. Configuracin con sconfig

Un servidor Core no posee interfaz grfica, por lo que la configuracin debe realizarse por lnea de
comandos. El comando sconfig, presente en las instalaciones mnimas, evita al administrador
tener que introducir los distintos comandos utilizados para configurar el nombre del servidor o la
configuracin IP.
Es posible realizar ms operaciones:
Configuracin del grupo de trabajo o de la unin a un dominio Active Directory.
Cambio del nombre de equipo.
Agregar una cuenta de administrador local.
Descargar e instalar las actualizaciones de Windows Update.
Configuracin de la fecha y la zona horaria.
Desconexin, parada y reinicio del servidor.
Para acceder a la interfaz basta con ejecutar el comando sconfigen una ventana de comandos
DOS.
Para seleccionar la zona horaria debe seleccionar la opcin nmero 9. Para ello, escriba 9 y, a
continuacin, presione la tecla [Enter]. Podr modificar la zona horaria as como la fecha y la hora del
servidor.
El men le permite, tambin, acceder a la Configuracin de red (opcin 8).
En primer lugar, conviene seleccionar la tarjeta de red deseada mediante su ndice.
Una vez seleccionada la interfaz de red es preciso seleccionar el parmetro que desea modificar
(direccin de la tarjeta de red, servidor DNS).
Escriba e (para realizar una configuracin esttica) y, a continuacin, valide su eleccin presionando
la tecla [Enter]. Es necesario configurar, a continuacin, la direccin IP, la mscara de subred y la
puerta de enlace predeterminada.
No debe olvidar la configuracin DNS, para ello se presenta la opcin 2.

De este modo, la configuracin de un servidor en modo instalacin mnima resulta mucho ms
sencilla.
Hyper-V
El captulo dedicado a la instalacin de un entorno de pruebas presenta la instalacin de una maqueta,
en la que el sistema de virtualizacin propuesto es Hyper-V. Este sistema se presenta en este captulo.
Se trata de un sistema de virtualizacin disponible en los sistemas operativos de servidor desde

Windows Server 2008, y actualmente est disponible la versin 3. La ventaja de este hypervisor es el
acceso inmediato al hardware de la mquina host (obteniendo as mejores tiempos de respuesta). Es
posible instalar el rol Hyper-V con Windows Server 2012 R2 en modo instalacin completa (con la
interfaz grfica instalada) o en modo instalacin mnima (sin interfaz grfica).
1. Requisitos previos de hardware

Como ocurre con muchos roles en Windows Server 2012 R2, Hyper-V tiene ciertos requisitos previos.
El hardware de la mquina host est afectado por estos requisitos previos.
La mquina o servidor host debe poseer un procesador de 64 bits y soportar SLAT (Second
LevelAddress Translation). La capacidad del procesador debe, tambin, responder a ciertas exigencias
de las mquinas virtuales. stas pueden soportar un mximo de 32 procesadores virtuales. La
cantidad de memoria en el servidor host debe ser superior a la memoria configurada en las mquinas
virtuales. Durante la asignacin de memoria a las mquinas virtuales es preciso reservar una parte
para el funcionamiento de la mquina fsica. Si la mquina host posee 32 GB de memoria disponible,
se recomienda reservar 1 o 2 GB para el funcionamiento del servidor fsico (el tamao de la reserva
vara en funcin de los roles que estn instalados en la mquina fsica).
2. Las mquinas virtuales en Hyper-V

Por defecto, una mquina virtual utiliza los siguientes componentes:
BIOS: se simula la BIOS de un ordenador fsico, es posible configurar varias opciones:
El orden de arranque para la mquina virtual (red, disco duro, DVD).
La activacin o bloqueo automtico del teclado numrico.
Memoria RAM: a la mquina virtual se le asigna una cantidad de la memoria disponible. Como
mximo, es posible asignar 1 TB de memoria. Desde Windows Server 2008 R2 SP1 es posible
asignar memoria dinmicamente (se ver ms adelante en este mismo captulo).
Procesador: como con la memoria, es posible asignar uno o varios procesadores (en funcin
del nmero de procesadores y del nmero de ncleos de la mquina fsica). Es posible
asignar, como mximo, 32 procesadores a una mquina virtual.
Controlador IDE: es posible configurar dos controladores IDE en la VM (Virtual Machine), cada
uno con dos discos como mximo.
Controlador SCSI: agrega un controlador SCSI a la mquina virtual. De este modo, es posible
agregar discos duros o lectores de DVD.
Tarjeta de red: por defecto, la tarjeta de red de la mquina virtual no se hereda, lo que
permite obtener una mejor tasa de transferencia, pero impide a la mquina realizar un
arranque PXE (arranque del servidor en la red y carga de una imagen). Para poder iniciar en
red es preciso agregar una tarjeta de red heredada.
Tarjeta de vdeo 3D RemoteFX: este tipo de tarjetas permiten una representacin grfica de
mejor calidad, aprovechando DirectX.
Seleccionando una mquina virtual y, a continuacin, haciendo clic en Configuracin en el

menAcciones, aparece la siguiente ventana.
Es posible configurar los siguientes componentes durante la creacin de una mquina virtual (tarjeta
de red, disco duro, lector DVD) o accediendo a la configuracin de la mquina correspondiente.
3. La memoria dinmica con Hyper-V

Tras la aparicin de Windows Server 2008, el sistema de virtualizacin Hyper-V permita asignar
nicamente una cantidad de memoria esttica. De este modo, el nmero de mquinas virtuales se
vea reducido. Si se deseaba asignar 4 GB de RAM a un servidor, la cantidad de memoria reservada
era idntica, incluso si no exista ninguna actividad sobre la mquina virtual.
La memoria dinmica permite asignar una cantidad mnima de memoria. No obstante, si la mquina
virtual necesita ms memoria, est autorizada a solicitar una cantidad suplementaria (esta ltima no
puede exceder la cantidad mxima acordada). Esta funcionalidad se ha incluido en los sistemas
operativos de servidor desde Windows Server 2008 R2 SP1.
A diferencia de Windows Server 2008 R2, cualquier administrador puede modificar, en Windows
Server 2012 R2, los valores mnimo y mximo de la memoria dinmica que una mquina puede
consumir cuando sta se encuentra encendida.
La memoria buffer es una funcionalidad que permite a la mquina virtual aprovechar una cantidad de
RAM suplementaria si fuera necesario.
El peso de la memoria permite implementar prioridades acerca de la disponibilidad de la memoria.
4. El disco duro de las mquinas virtuales

Un disco duro virtual es un archivo que utiliza Hyper-V para representar los discos duros fsicos. De
este modo, es posible almacenar, en estos archivos, sistemas operativos o datos. Es posible crear un
disco duro utilizando:
La consola Administrador de Hyper-V.
La consola Administrador de discos.
El comando de DOS diskpart.
El comando de PowerShell New-VHD.
Con la llegada de la nueva versin de Hyper-V, contenida en Windows Server 2012, es posible utilizar
un nuevo formato, el VHDX.
Este nuevo formato ofrece varias ventajas respecto a su predecesor, el formato VHD (Virtual Hard
Disk). De este modo, el tamao de los archivos no est limitado a 2 TB, cada disco duro virtual puede
tener un tamao mximo de 64 TB. El VHDX es menos sensible a la corrupcin de archivos tras un
corte inesperado (debido a un fallo de corriente, por ejemplo) del servidor. Es posible convertir los
archivos VHD existentes en VHDX (este punto se aborda ms adelante en este mismo captulo).
Windows Server 2012 R2 soporta el almacenamiento de los discos duros virtuales sobre particiones
de archivo SMB 3. Tras la creacin de una imagen virtual Hyper-V bajo Windows Server 2012 R2 es
posible especificar un recurso compartido de red.
Los distintos tipos de discos
Durante la creacin de un nuevo disco duro virtual, es posible crear distintos tipos de discos,
incluyendo discos de tamao fijo, dinmico o pass-through. Durante la creacin de un disco virtual de
tamao fijo se reserva en disco el tamao total correspondiente al archivo. De este modo, es posible
limitar la fragmentacin en el disco duro de la mquina host y mejorar el rendimiento. No obstante,
este tipo de discos ofrecen el inconveniente de que consumen el espacio de disco incluso si el archivo
VHD no contiene datos.
Durante la creacin de un disco de tamao dinmico se define un tamao mximo para los archivos. El
tamao del archivo aumenta en funcin del contenido hasta alcanzar el tamao mximo. Durante la
creacin de un archivo VHD de tipo dinmico, este ltimo tiene un tamao de 260 KB frente a los
4096 KB necesarios para un formato VHDX. Es posible crear un archivo VHD mediante el cmdlet de
PowerShell New-VHDy el parmetro -Dynamic.
El disco virtual de tipo pass-through permite a una mquina virtual acceder directamente al disco
fsico. El disco se considera como un disco interno para el sistema operativo de la mquina virtual.
Esto puede resultar muy til para conectar la mquina virtual a una LUN (Logical Unit Number) iSCSI.
No obstante, esta solucin requiere un acceso exclusivo de la mquina virtual al disco fsico
correspondiente. Este ltimo debe dejarse fuera de servicio mediante la consola Administrador de
discos.
Administracin de un disco virtual
Es posible realizar ciertas operaciones sobre los archivos VHD. Es posible, por ejemplo, comprimirlo
para reducir el volumen utilizado o convertir el formato VHD en VHDX. Durante la conversin del disco
virtual, el contenido se copia sobre un nuevo archivo (conversin de un archivo de tamao fijo en uno
de tamao dinmico, por ejemplo). Una vez copiados los datos e implementado el nuevo disco, el
anterior archivo se elimina.
Es posible realizar otras operaciones tales como la reduccin de un archivo dinmico. Esta opcin
permite reducir el tamao de un disco siempre que no utilice todo el espacio que se le ha asignado.
Para los discos de tamao fijo es necesario convertir antes el archivo VHD en un archivo de tipo
dinmico.
Estas acciones pueden llevarse a cabo mediante el Asistente para editar discos duros virtuales,
opcin Editar disco en el panel Acciones. La ventana nos da acceso a varias opciones.
Tambin es posible utilizar los cmdlets de PowerShell resize-partitiony resize-vhd para realizar la
compresin de un disco duro virtual dinmico.
Los discos de diferenciacin
Un disco de diferenciacin permite reducir el tamao necesario para el almacenamiento. En efecto,

este tipo de discos consiste en crear un disco padre comn a varias mquinas virtuales y un disco que
contiene las modificaciones que se realizan respecto al disco padre, disco que es propio de cada
mquina.
El tamao necesario para almacenar las mquinas virtuales se ve, de este modo, reducido. Preste
atencin, la modificacin de un disco padre provoca errores en los vnculos con los discos de
diferenciacin. Es, por tanto, necesario volver a conectar los discos de diferenciacin utilizando la
opcin Inspeccionar disco... en el panel Acciones.
Es posible crear un disco de diferenciacin utilizando el cmdlet de PowerShell New-VHD. El siguiente

comando permite crear un disco de diferenciacin llamado Diferencial.vhd, que utiliza un disco padre
llamado Padre.vhd.
New-VHD c:\Diferencial.vhd -ParentPath c:\Padre.vhd
5. Las instantneas en Hyper-V

Un snapshot (instantnea) se corresponde con una "foto" de la mquina virtual en el momento en
que se realiza. Este ltimo est contenido en un archivo con la extensin avhd o avhdx en funcin del
tipo de archivo de disco duro seleccionado. Es posible realizar un snapshot seleccionando la mquina
y haciendo clic en la opcin Instantnea en el panel Acciones.
Cada mquina puede poseer hasta 50 snapshots. Si este ltimo se crea mientras la mquina se
encuentra iniciada, el snapshot incluir el contenido de la memoria viva. Si se utiliza un snapshot para
restablecer un estado anterior, es posible que la mquina virtual no pueda conectarse al dominio. En
efecto, se produce un intercambio entre el controlador de dominio y la mquina virtual unida al
dominio. Restaurando una mquina, este intercambio (contrasea) se restablece tambin. No
obstante, la contrasea restablecida puede no seguir siendo vlida, de modo que se rompera el
canal seguro. Es posible reiniciarla realizando una nueva unin al dominio o utilizando el
comando netdom resetpwd.
Preste atencin, el snapshot no remplaza, en ningn caso, a la copia de seguridad, pues los avhd o
avhdx se almacenan en el mismo volumen que la mquina virtual. En caso de degradacin en el disco,
se perderan todos los archivos.
6. Gestin de redes virtuales

Es posible crear varios tipos de redes y aplicarlos a una mquina virtual, lo cual permite a las distintas
estaciones comunicarse entre s o con los equipos externos a la mquina host (router, servidor).
Los conmutadores virtuales
Un conmutador virtual se corresponde con un conmutador fsico, que podemos encontrar en cualquier
red informtica. Tambin conocido como red virtual, con Windows Server 2008, hablamos ahora de
conmutador virtuales desde Windows Server 2012. Es posible gestionarlos utilizando la opcin
Administrador de conmutadores virtuales en el panel Acciones.
Es posible crear tres tipos de conmutadores:
Externo: con este tipo de conmutador virtual es posible utilizar la tarjeta de red de la
mquina host en la mquina virtual. De este modo, este conmutador virtual tiene una
conexin sobre la red fsica que le permite acceder a los equipos o servidores de la red fsica.
Interno: permite crear una red entre la mquina fsica y las mquinas virtuales. Es imposible,
para las mquinas de la red fsica, comunicarse con las VM.
Privada: la comunicacin puede realizarse nicamente entre las mquinas virtuales, la

mquina host no puede conectarse con ninguna de las VM.
Una vez creado, conviene volver a vincular la tarjeta de red de la VM con el conmutador deseado.
Requisitos previos y objetivos
1. Requisitos previos
Poseer ciertas nociones sobre virtualizacin de servidores.
Tener nociones sobre el funcionamiento de un sistema operativo.
2. Objetivos
Configuracin del servidor Hyper-V.
Instalacin de la maqueta que permitir realizar los trabajos prcticos.

El entorno de pruebas
El entorno de pruebas permite crear un entorno virtual o fsico para llevar a cabo las pruebas. stas
se realizan sin poner en riesgo mquinas o servidores en produccin.
La virtualizacin permite disminuir el nmero de mquinas fsicas necesarias. Todas las mquinas
virtuales funcionan sobre el mismo servidor fsico. Ser, no obstante, necesario disponer de una
cantidad de memoria y un espacio de disco suficientes.
1. Configuracin necesaria
Se requiere una mquina potente para soportar todas las mquinas virtuales; la maqueta descrita
ms adelante est equipada con un procesador Pentium Core i7 con 8 GB de RAM. El sistema
operativo instalado es Windows Server 2012 R2.
Si su configuracin es inferior, bastar con arrancar solamente aquellas mquinas virtuales

necesarias. Es til prever un mnimo de 1 GB para la mquina host, y unos 7 GB para el conjunto de
mquinas virtuales.
La solucin de virtualizacin que se ha escogido es Hyper-V, integrada en las versiones servidor de

Windows desde la versin 2008. Es posible, desde Windows 8, utilizar Hyper-V en los sistemas
operativos cliente.
2. Instalacin de Windows Server 2012 R2

Antes de instalar Windows Server 2012 R2 en el puesto fsico es necesario respetar los requisitos
previos del sistema operativo.
Procesador: 1,4 GHz como mnimo, y arquitectura de 64 bits.
Memoria RAM: 512 MB como mnimo. No obstante, un servidor equipado con 1024 MB es, en
mi opinin, el mnimo aceptable.
Espacio de disco: una instalacin bsica, sin ningn rol, requiere un espacio de disco de 15
GB. Habr que prever un espacio ms o menos adecuado en funcin del rol del servidor.
Desde Windows 2008 se proporcionan dos tipos de instalacin.
Una instalacin completa: con una interfaz grfica que permite administrar el servidor de
manera visual o por lnea de comandos.
Una instalacin mnima: el sistema operativo se instala sin ninguna interfaz grfica. Slo se
muestra en pantalla una lnea de comandos: la instalacin de roles y caractersticas, o la
administracin cotidiana del servidor, se realizan por lnea de comandos. Es, no obstante,
posible administrar los distintos roles de forma remota instalando archivos RSAT en un puesto
remoto. Ciertos criterios, tales como las caractersticas tcnicas del servidor o la voluntad de
reducir la administracin, facilitan la eleccin entre ambos tipos de instalacin. Si el servidor
posee caractersticas limitadas o si desea reducir el nmero de actualizaciones que tendr
que instalar se recomienda realizar una instalacin mnima.
Una vez terminada la instalacin del servidor es necesario reconfigurar el nombre del servidor y
definir su configuracin IP.
Creacin de las mquinas virtuales
La siguiente etapa consiste en la instalacin del rol Hyper-V y la creacin, instalacin y configuracin
posterior de las distintas mquinas virtuales.
Haga clic en el Administrador del servidor .
En la consola, haga clic en Agregar roles y caractersticas.
Se abre el asistente, haga clic en Siguiente.
Dado que Hyper-V es un rol, deje marcada la opcin por defecto Instalacin basada en
caractersticas o en roles y, a continuacin, haga clic en Siguiente.
Verifique que el servidor de destino es el suyo y haga clic en Siguiente.
Marque la opcin Hyper-V y, a continuacin, haga clic en Agregar caractersticas.
Haga clic en Siguiente en la ventana de instalacin de caractersticas.
Es necesario crear un conmutador virtual: haga clic en la tarjeta de red para realizar un puente
entre la red fsica y la mquina virtual.
Haga clic dos veces en Siguiente y, a continuacin, en Instalar.
Reinicie el servidor una vez terminada la instalacin.
Haga clic en el botn Inicio y, a continuacin, acceda a las Herramientas administrativas y haga
clic en el Administrador de Hyper-V.
Ahora es preciso configurar la interfaz de red. Es posible utiliza la tarjeta fsica o crear una tarjeta
interna. Para esto ltimo, existen dos opciones:
Red interna: se crea una red virtual entre la mquina host y las mquinas virtuales. Es
imposible alcanzar una mquina en la red fsica (servidor, impresora de red).
Red privada: las mquinas virtuales estn aisladas de la mquina host, es imposible conectar
con la mquina fsica y las mquinas de la red fsica.
Haga clic en Administrador de conmutadores virtuales en la consola Hyper-V (panel Acciones).

Haga clic en Nuevo conmutador de red virtual y, a continuacin, seleccione el tipo Interno.
Acepte la seleccin haciendo clic en el botn Crear conmutador virtual.
D nombre a la tarjeta creada en la red virtual "Interna".
Repita la operacin para crear el conmutador de red virtual Interna 2.

Haga clic en Aplicar y, a continuacin, en Aceptar.
1. Esquema de la maqueta
Se van a crear siete mquinas virtuales, los sistemas operativos utilizados sern Windows Server
2012 R2 y Windows 8.1.
Durante la instalacin de las mquinas virtuales, stas sern miembro del grupo de trabajo
Workgroup. A continuacin, crearemos el dominio de Active Directory Formacion.local. Se utilizarn
dos redes, con dos rangos diferentes de direcciones IP, enlazadas mediante un servidor SRV-RT.
La maqueta contiene cinco servidores y dos puestos cliente:
AD1, controlador de dominio del dominio Formacion.local.
AD2, controlador de dominio del dominio Formacion.local.
SV1, servidor miembro del dominio Formacion.local.
SV2, servidor miembro del dominio Formacion.local.
SRV-RT, servidor miembro con el rol de enrutador.
CL8-01, puesto de cliente Windows 8.1 miembro del dominio Formacion.local.
CL8-02, puesto de cliente Windows 8.1 miembro del dominio Formacion.local.

Roles instalados y configuracin de los servidores y puestos:
Rol instalado Configuracin IP
AD1 Active Directory, DNS y Direccin IP: 192.168.1.10

DHCP Mscara de subred: 255.255.255.0
Puerta de enlace predeterminada:
192.168.1.254
Servidor DNS primario: 192.168.1.10
AD2 Active Directory y DNS Direccin IP: 192.168.1.11

Mscara de subred: 255.255.255.0
192.168.1.254
SV1 Ningn rol Direccin IP: 192.168.1.12

192.168.1.254
SV2 Ningn rol Direccin IP: 192.168.1.13

192.168.1.254
CL8- Ningn rol Configuracin atribuida por el servidor DHCP

01y CL8-
02
SRV-RT Enrutador Tarjeta de red 1:

Direccin IP: 192.168.1.254
Tarjeta de red 2:
Direccin IP: 172.16.1.254
La instalacin y la configuracin de los roles se detallan ms adelante en este libro.

2. Mquina virtual AD1
El procedimiento detallado a continuacin debe reproducirse para los dems servidores.
a. Creacin y configuracin de la VM
En la consola Hyper-V, haga clic en Nuevo dentro del panel Acciones y, a continuacin,
enMquina virtual.
En la ventana Antes de comenzar, haga clic en Siguiente.
Escriba AD1 en el campo Nombre y, a continuacin, haga clic en Siguiente.
Seleccione la opcin Generacin 2 y, a continuacin, haga clic en el botn Siguiente.

Escriba 1024 en el campo Memoria de inicio. Haga clic en Siguiente.
En la ventana Configurar funciones de red, seleccione la tarjeta de red deseada (interna o

tarjeta de red fsica) y haga clic en Siguiente.
Escriba 60 en el campo Tamao del disco y valide con el botn Siguiente.

Conecte, a la mquina virtual, la ISO o el DVD de Windows Server 2012 R2 y haga clic
enSiguiente.
En la ventana de resumen, haga clic en Finalizar.
Aparece la nueva mquina en la ventana central de la consola.
El disco duro de la mquina se ha creado, pero est virgen. Es preciso particionarlo e instalar un
sistema operativo.
b. Instalacin del sistema operativo
En la consola Hyper-V, haga doble clic en la mquina que acaba de crear y, a continuacin,
haga clic en el botn que permite iniciar la VM (icono verde).
La mquina arranca y se inicia la instalacin de Windows Server 2012 R2.
Haga clic en Siguiente en la ventana que permite escoger el idioma (el idioma Espaol est
seleccionado por defecto).
Haga clic en Instalar ahora para iniciar la instalacin.
Haga clic en la versin Estndar (instalacin con interfaz de usuario).
Acepte el contrato de licencia y, a continuacin, haga clic en Siguiente.
Seleccione el tipo de instalacin Personalizada: instalar solo Windows (avanzado).

Con ayuda de la opcin Opciones de unidad (avanz.), cree dos particiones de 30 GB.
Haga clic en la primera particin de 30 GB y, a continuacin, en Siguiente.
Se completa la instalacin
Escriba la contrasea Pa$$w0rd y, a continuacin, confrmela.
Termina la instalacin. La siguiente etapa consiste en la modificacin del nombre del equipo y la
configuracin IP de la mquina. Los roles se instalarn a lo largo de los siguientes captulos.
c. Configuracin post-instalacin
Realice un [Ctrl][Alt][Fin] en la mquina virtual recin instalada, o haga clic en el primer icono de la
barra de herramientas para escribir un nombre de usuario y una contrasea.
Abra una sesin como administrador, introduciendo la contrasea configurada en la seccin
anterior.
En el Administrador del servidor, haga clic en Configurar este servidor local.
Haga clic en Nombre de equipo para abrir las propiedades del sistema.
Haga clic en Cambiar y, a continuacin, escriba AD1 en el campo Nombre de equipo.
Haga clic dos veces en Aceptar y, a continuacin, en Cerrar.
Reinicie la mquina virtual para que se hagan efectivos los cambios.
A continuacin es preciso configurar la direccin IP de la tarjeta de red.
Haga clic con el botn derecho en Centro de redes y recursos compartidos y, a continuacin,
haga clic en Abrir.
Haga clic en Cambiar configuracin del adaptador.
Haga doble clic en la tarjeta de red y, a continuacin, en Propiedades.
En la ventana de Propiedades, haga doble clic en Protocolo de Internet versin 4

(TCP/IPv4).
Configure la interfaz de red como se muestra a continuacin.

Estas manipulaciones hay que reproducirlas, con otros parmetros, en las siguientes mquinas
virtuales.
Las modificaciones que hay que llevar a cabo son el nombre del equipo y su configuracin IP.
3. Mquina virtual AD2

Este servidor es el segundo controlador de dominio de la maqueta, llamado AD2. La cantidad de
memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos particiones.
Puerta de enlace predeterminada: 192.168.1.254
Servidor DNS preferido: 192.168.1.10
Contrasea del administrador local: Pa$$w0rd
Los roles se instalarn en los siguientes captulos.
La mquina no debe unirse al dominio.
4. Mquina virtual SV1

Servidor miembro del dominio. Se instalarn distintos roles ms adelante.
La cantidad de memoria asignada es de 1024 MB y el disco virtual de 60 GB, repartido en dos

particiones.
Nombre de equipo: SV1
5. Mquina virtual SV2


particiones.
Nombre de equipo: SV2
6. Mquina virtual CL8-01

Puesto cliente con Windows 8.1, miembro del dominio. La configuracin IP se realizar mediante un
contrato DHCP.
La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola
particin.
Nombre de equipo: CL8-01
7. Mquina virtual SRV-RT


particiones. Este servidor virtual contiene dos interfaces, cada una conectada a un conmutador
virtual distinto.
Nombre de equipo: SRV-RT
Tarjeta de red 1:
Direccin IP: 192.168.1.254
Tarjeta de red 2:

8. Mquina virtual CL8-02

Puesto cliente con Windows 8.1, miembro del dominio. La configuracin IP se realizar mediante un
contrato DHCP.
La cantidad de memoria asignada es de 1024 MB y el disco virtual de 30 GB, repartido en una sola
particin.
Nombre de equipo: CL8-02
9. Las instantneas
Las instantneas permiten salvaguardar el estado de la mquina virtual. Es, as, posible restablecer
la captura instantnea y volver con facilidad a un estado anterior.
Abra la consola Administrador de Hyper-V.
Haga clic con el botn derecho sobre la VM elegida y, a continuacin, seleccione Instantnea.
En la consola aparece la captura instantnea.
Una vez realizada la misma operacin sobre el conjunto de mquinas virtuales, es posible restaurar
el estado de una o varias VM de la maqueta.
Poseer competencias en Active Directory.
Tener conocimientos acerca de sistemas de virtualizacin.
2. Objetivos
Presentacin del servicio AD DS (Active Directory Domain Services).
Presentacin de las novedades relativas a la virtualizacin del controlador de dominio.
Mantenimiento de la base de datos de Active Directory.

Introduccin
El directorio Active Directory es un componente esencial en un sistema de IT. Gestionado por un
controlador de dominio, es importante realizar la administracin cotidiana de este servidor
minuciosamente.
Presentacin de Active Directory Domain Services
Active Directory utiliza una base de datos donde se almacena la informacin necesaria para realizar la
identificacin de los distintos objetos de Active Directory (equipos, grupos, usuarios).
Esta base de datos se almacena y administra mediante un servidor llamado controlador de dominio.
ste se encarga de autenticar a los distintos usuarios y equipos del dominio. Esta autenticacin les
permite acceder a los recursos de la red.
1. Los distintos componentes de AD DS

Los componentes de Active Directory pueden clasificarse en dos categoras, componentes fsicos y
componentes lgicos.
Los componentes fsicos
Los controladores de dominio son un componente fsico, contienen una copia de la base de datos.
La carpeta SYSVOL es una carpeta compartida y se encuentra una rplica en cada servidor que
tenga el rol de controlador de dominio. Los servidores tienen un rol de catlogo global y poseen la
lista de objetos que se han creado en el bosque, as como parte de sus atributos (aquellos que se
replican en el catlogo global). De este modo, las bsquedas de un objeto presente en el bosque
son mucho ms rpidas. Por ltimo, el componente RODC (Read Only Domain Controller) aparece con
Windows Server 2008 y consiste en la instalacin de un controlador de dominio de solo lectura. A
diferencia de un controlador de dominio que posea permisos de escritura, es imposible realizar
modificaciones sobre un RODC.
Los componentes lgicos
Como complemento a los componentes fsicos, una solucin Active Directory posee, tambin,
componentes lgicos. Hemos visto, antes, que toda la informacin de un objeto se contiene en una
base de datos. sta se compone de varias particiones:
Dominio
Esquema
DNS
Configuracin
La particin de dominio contiene los distintos objetos que se han creado en el dominio. A diferencia
de esta ltima, la particin de esquema contiene todos los objetos que pueden crearse. Adems, las
dos particiones contienen, a su vez, distintos atributos de los objetos. La seccin Configuracin est
compuesta por la topologa del bosque, de modo que encontramos informacin relativa al dominio,
sitios y conexiones entre controladores de dominio. Por ltimo, la particin DNS contiene las distintas
zonas del servidor. Para ello, es preciso que el servidor DNS se instale sobre un controlador de
dominio. Es posible clasificar otros componentes dentro de la familia de componentes lgicos, la
arborescencia de dominio y el bosque forman parte de esta familia. El bosque Active Directory
consiste en una serie de dominios vinculados entre s por una relacin de confianza bidireccional
transitiva. Cuando varios nombres de dominio tienen una raz DNS comn
(Formacion.local, ES.Formacion.local, EU.Formacion.local), estos ltimos se presentan bajo la misma
arborescencia de dominio. Por ltimo, tambin es posible encontrar sitios AD as como unidades
organizativas. Los sitios Active Directory permiten dividir un dominio de cara a su replicacin. Esto
permite ahorrar en ancho de banda entre ambos sitios remotos, por ejemplo. La unidad organizativa
es un objeto de Active Directory sobre el que es posible posicionar directivas de grupo. Este objeto
puede, a su vez, servir para implementar delegaciones.
2. Visin general de las nociones de esquema y bosque de Active Directory

Un bosque Active Directory se compone de una o varias arborescencias de dominio. Cada una de
estas arborescencias contiene, a su vez, varios dominios. El nombre del bosque es idntico al del
primer dominio creado. Este ltimo, llamado dominio raz, contiene, por lo general, objetos que slo
estn presentes en l. De este modo, podemos encontrar cuentas de administradores de empresa,
administradores del esquema o los roles FSMO (Flexible Single Master Operation) Maestro de esquema
y Maestro de nomenclatura de dominios. Un usuario externo al bosque no puede acceder a un
recurso presente en un dominio del bosque. En el caso de que existan dos bosques de Active
Directory es preciso crear una relacin de confianza entre bosques para permitir a los usuarios del
bosque A acceder a los recursos del bosque B, y viceversa. No obstante, este tipo de relacin de
confianza posee dos requisitos previos:
Nivel funcional mnimo Windows Server 2003 en ambos bosques.
Redirector condicional configurado sobre los servidores DNS (generalmente sobre el

controlador de dominio raz de ambos bosques).
La implementacin de una relacin de confianza de este tipo permite a todos los usuarios del
bosque A acceder a todos los recursos del bosque B (en funcin de las ACL) y viceversa. Es, por
tanto, necesario limitar las personas que tendrn acceso a los recursos o pueden conectarse a un
equipo, conviene implementar la autenticacin selectiva. El administrador debe configurar las
autorizaciones para el usuario del segundo dominio sobre la cuenta de equipo del o de los
servidores deseados. Debe utilizarse, para ello, el permiso NTFS Permiso para autenticar.
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, as como sus
atributos. Cuando se ejecuta un proyecto de migracin o de instalacin de un servidor Exchange, es
preciso actualizar el esquema. Esta etapa se realiza automticamente tras una migracin de
Windows Server 2008 R2 a Windows Server 2012 o superior. En efecto, la etapa de promocin de
un controlador de dominio se ha visto simplificada para determinar si es necesario llevar a cabo la
etapa de actualizacin. Esta operacin debe realizarse sobre el servidor que posea el rol FSMO
Maestro de esquema, adems la cuenta que ejecuta la operacin debe ser miembro del grupo
Administradores de esquema. La consola Esquema de Active Directory no est accesible por defecto,
para habilitarla es preciso ejecutar el comando Regsvr32 Schmmgmt.dll.
A continuacin, es posible agregar el componente visual Esquema de Active Directory a la consola.
La consola permite visualizar las distintas clases de objeto as como sus atributos.
3. La estructura del directorio Active Directory

Un dominio Active Directory consiste en un grupo de usuarios y equipos que pertenecen a una
misma entidad. Esta agrupacin se realiza con el objetivo de simplificar la seguridad y la
administracin de la red informtica.
Hemos visto que un bosque est compuesto de varios dominios y, estos ltimos, pueden contener
varios controladores de dominio, por lo que resulta necesario que la base de datos de Active
Directory (ntds.dit) se replique sobre varios servidores. Hablamos, en este caso, de replicacin
intersitio para una replicacin entre servidores de sitios diferentes (por ejemplo, un sitio creado en
Barcelona y otro en Madrid). La replicacin intrasitio se corresponde con una replicacin entre dos
controladores de dominio de un mismo sitio AD. Un usuario o equipo puede, por tanto, autenticarse
en todos los controladores de dominio que componen su dominio, los cuales le autorizan el acceso a
los distintos recursos.
Slo es posible realizar el inicio de sesin si la cuenta de usuario y la cuenta de equipo estn
autenticadas. Tras haber unido un equipo al dominio, se crea una cuenta para l. Como ocurre con
los usuarios, esta cuenta de equipo posee una contrasea que cambia cada 30 das, de modo que
se establece un canal seguro entre el controlador de dominio y la estacin. En el caso de la
restauracin de un equipo de trabajo o, incluso peor, de un controlador de dominio, tambin se
restaura la contrasea de una o varias mquinas. Desgraciadamente es diferente a la contrasea
almacenada en el servidor, o a la inversa. En este momento, se rompe el canal seguro y no es
posible realizar ningn inicio de sesin. Existen diversos comandos que permiten realizar el cambio
de contrasea en ambos lados. Es posible, a su vez, sacar y volver a meter el equipo de trabajo en
el dominio, con el objetivo de repararlo.
De este modo, es fcil comprobar la importancia de un controlador de dominio. A modo de

recordatorio, contiene adems de la base de datos una carpeta compartida llamada SYSVOL que
contiene parte de las directivas de grupo creadas y los scripts de usuario (estos puntos se abordan
en captulos posteriores). Para evitar modificaciones fraudulentas o accidentales sobre los objetos
contenidos en la base de datos es posible, desde Windows Server 2008, instalar un controlador de
dominio de solo lectura (RODC, Read Only Domain Controller). Este punto se desarrolla ms adelante
en este captulo.
Tras la creacin del directorio Active Directory se crean varios objetos, adems de los distintos
usuarios, grupos o cuentas de equipos. Las carpetas de sistema Builtin y Users contienen los
distintos grupos y usuarios por defecto (Administrador, Administradores de dominio, Operador de
copia de seguridad). A nivel de unidades organizativas nicamente se crea por defecto la OU
(Organizational Unit) Domain Controllers. Es posible proceder a la creacin de varias unidades
organizativas y anidarlas si es necesario. Permiten asignar directivas de grupo al conjunto de
usuarios o equipos que la componen, adems de implementar delegaciones. Esta accin consiste en
otorgar a otro usuario permisos ms o menos limitados (restablecer la contrasea, agregar/eliminar
una cuenta).
Implementacin de controladores de dominio virtualizados
La virtualizacin es una solucin que se utiliza, a da de hoy, en la gran mayora de parques
informticos. Adems de permitir obtener una ganancia de sitio en las salas de servidores, permite
alcanzar un mejor uso de los recursos de los servidores. En efecto, trabajando con servidores fsicos,
los recursos de hardware no siempre se utilizaban en su totalidad. Entre los servidores virtualizados
es frecuente encontrar servidores con el rol de controlador de dominio. Microsoft recomienda tener,
como mnimo, un controlador de dominio instalado sobre un servidor fsico, puesto que este tipo de
servidores arrancan con mayor velocidad que un servidor virtual que necesita, previamente, el
arranque de la mquina host. Esta recomendacin es principalmente til en caso de producirse algn
corte de corriente y la detencin de todos los servidores.
1. Despliegue de controladores de dominio virtualizados

A partir de Windows Server 2012 se implementa una nueva funcionalidad a nivel de la virtualizacin
de controladores de dominio. Ahora es posible realizar un clonado de un controlador de dominio. En
los sistemas operativos anteriores, los controladores de dominio no conocan su estado virtualizado.
Los snapshots sobre las mquinas virtuales no estaban, por tanto, recomendados. Con la aparicin
de Windows Server 2012 los servidores con el rol de controlador de dominio tienen, ahora,
consciencia de su estado virtualizado. De este modo, en lo sucesivo es posible realizar el clonado de
un controlador de dominio virtualizado o implementar snapshots sobre DC virtualizados.
La operacin de clonado requiere ciertas precauciones, es imposible tener, en el mismo bosque, dos
controladores de dominio con el mismo nombre, GUID (Globally Unique Identifier) o SID (Security
Identifier).
El despliegue de controladores de dominio se ve, de este modo, enormemente facilitado. No

obstante, es preciso tener en cuenta ciertos requisitos previos:
El servidor que posee el rol FSMO Emulador PDC debe, obligatoriamente, encontrarse sobre
un controlador de dominio que ejecute Windows Server 2012 o superior. El maestro Emulador
PDC procede a la creacin de los distintos identificadores necesarios para el nuevo
controlador de dominio clonado para ser considerado servidor rplica. Este servidor debe
estar disponible durante la etapa de clonado.
El hypervisor que gestiona las mquinas virtuales debe incluir la funcionalidad que permite
generar el ID. Hyper-V 3.0, presente desde Windows Server 2012, posee esta funcionalidad.
La etapa de clonado utiliza archivos XML para llevar a cabo las distintas etapas de la operacin. La
configuracin del nuevo controlador de dominio se encuentra en el archivo DcCloneConfig.xml. Este
archivo se genera mediante un cmdlet PowerShell si no existe ninguna aplicacin no autorizada
sobre el servidor. En efecto, algunos roles tales como DHCP, Entidad certificadora, etc., no son
compatibles con el clonado de DC, de modo que es necesario, previamente, desplazar estos roles a
algn otro servidor. Adems, es posible que algunas de sus aplicaciones estn consideradas como
excluidas (no autorizadas), en cuyo caso es primordial asegurarse en primer lugar con el fabricante
acerca de la compatibilidad del software con la funcionalidad de clonado. A continuacin, es
necesario crear una excepcin y autorizar as la aplicacin excluida anteriormente. Esta operacin se
realiza mediante cmdlets PowerShell. Una vez realizada la verificacin, y si no existe ninguna
aplicacin excluida presente en el servidor, se crea el archivo de clonado DcCloneConfig.xml en la
carpeta NTDS. A continuacin, es necesario exportar la mquina virtual e importarla. Al arrancar la
mquina clonada, se realizan las etapas de configuracin.
Si la mquina original se ha detenido, piense en arrancarla antes de la VM clonada.
2. Gestin de los controladores de dominio virtualizados

Desde Windows Server 2012 es posible aplicar un snapshot sobre un servidor virtualizado y
utilizarlo si fuera necesario. Tras la restauracin de un estado anterior (uso del snapshot), el
controlador de dominio va a intentar realizar una restauracin no autoritativa. De este modo, tratar
de replicarse con sus servidores asociados de replicacin. Se recomienda, en tal caso, no restaurar
todos los controladores de dominio en el mismo momento, pues la replicacin no podr llevarse a
cabo y ningn servidor har de autoridad. Se inicia una replicacin y se elimina el pool de RID
(Relative ID) del controlador de dominio restaurado. Tras esta eliminacin se le atribuye un nuevo
pool de RID (esto permite evitar una duplicacin de los SID en AD DS). Tambin se inicia una
replicacin no autoritativa de la carpeta SYSVOL.
Es posible utilizar cmdlets PowerShell para realizar la gestin de los snapshots de Hyper-V.
La creacin de un snapshot se realiza mediante el cmdlet Checkpoint-VM mientras que la

exportacin se lleva a cabo mediante el cmdlet Export-VMSnapshot. Es posible obtener la lista de
snapshots asociados a una mquina virtual mediante el comando Get-VMSnapshot. Es posible
eliminar, renombrar o restaurar un snapshot mediante las instrucciones Remove-
VMSnapshot,Rename-VMSnapshoty Restore-VMSnapshotrespectivamente.
Por ltimo, para terminar con los snapshots, es preciso tener en cuenta los puntos siguientes:
Los snapshots no remplazan a la copia de seguridad cotidiana.
No se debe restaurar un snapshot que se haya tomado antes de realizar la promocin de un

servidor pues la promocin del servidor tendr que realizarse manualmente. Preste atencin,
no obstante, a que es necesario realizar una limpieza previa de la base de datos de AD. El
procedimiento (cleanup metadata) est disponible en el sitio web de
Microsoft:http://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
Implementacin de un RODC
El RODC (Read Only Domain Controller) es un servidor con el rol de controlador de dominio. Este
servidor posee, nicamente, permisos de solo lectura sobre la base de datos. Es, por tanto, imposible
realizar modificaciones desde este servidor. Los atributos considerados como crticos (contrasea, por
ejemplo) no se replican sobre los RODC. Por defecto, entonces, un controlador de dominio de solo
lectura slo transmite la solicitud de autenticacin a su controlador de dominio de escritura. Este
mecanismo puede suponer, rpidamente, un problema en caso de ruptura de una lnea WAN (Wide
Area Network), por lo que es necesario realizar el almacenamiento en cach de las contraseas. Para
ello es preciso indicar al servidor con permisos de escritura sobre la base de datos de AD los usuarios
y equipos a los que se quiere aplicar este almacenamiento en cach. Tras la siguiente replicacin se
produce el almacenamiento en cach.
El almacenamiento en cach de la cuenta de equipo es necesario puesto que el inicio de sesin

requiere la validacin de la contrasea del equipo y del usuario. Si alguna de las dos
contraseas no fuera vlida o no pudiera comprobarse (lnea WAN cortada) sera imposible realizar
el inicio de sesin.
La administracin de un controlador de dominio (para la instalacin de una impresora, por ejemplo)

supone poseer una delegacin o ser miembro del grupo Administradores de dominio. Con un RODC es
posible delegar la administracin local a un usuario de dominio. ste no podr administrar Active
Directory (salvo si es miembro del grupo Administradores de dominio).
Es frecuente ver zonas DNS integradas con Active Directory con el objetivo de facilitar la replicacin y
securizar las actualizaciones dinmicas. Sobre un RODC es posible instalar el rol DNS e integrar las
zonas con AD. No obstante, como con Active Directory, el servidor DNS es de solo lectura.
La instalacin del RODC supone el cumplimiento de ciertos requisitos previos. De este modo, es
necesario tener un nivel funcional Windows Server 2003 o superior a nivel del bosque. La
actualizacin del esquema se realiza mediante el comando adprep /RODCPrepantes de cualquier
intento de instalacin. Por ltimo, es preciso disponer de al menos un controlador de dominio con
Windows Server 2008 o superior.
Preste atencin, solo es posible tener un servidor con el rol RODC por sitio AD.
Una vez validados los requisitos previos, es posible pasar a la instalacin. Para ello, hay que crear
previamente la cuenta o realizar la promocin del servidor como controlador de dominio. La primera
solucin permite delegar a una tercera persona la etapa de promocin, mientras que la segunda
requiere permisos de administracin.
1. Gestin del almacenamiento en cach en un RODC

Tras la instalacin de un RODC, es posible almacenar en cach las credenciales. Esta funcionalidad
consiste en enviar las contraseas de los objetos deseados. Esta operacin se realiza tras la
replicacin del controlador de dominio hacia el RODC. Almacenando en cach los objetos usuarios y
equipos, la solicitud de autenticacin puede procesarse localmente mientras que, en caso contrario,
se enva al controlador de dominio. En el momento de la promocin de un servidor como RODC se
crean dos grupos:
Grupo de replicacin de contrasea RODC permitida
Grupo de replicacin de contrasea RODC denegada
El primer grupo permite el alojamiento en cach de las contraseas, mientras que el segundo no
permite realizar esta operacin. Basta, por tanto, con agregar objetos a uno u otro grupo segn la
necesidad.
Una buena prctica consiste en crear grupos globales para cada RODC y no almacenar en cach ms
que las cuentas que posean permisos de administracin.
2. Administracin local sobre los controladores de dominio de solo lectura

A diferencia de los otros controladores de dominio, es posible administrar de manera local los RODC.
Es, por tanto, posible alojar en cach una delegacin sin que el usuario afectado obtenga permisos
de administracin. La delegacin puede llevarse a cabo mediante los comandos ntdsutil o dsmgmt.
Administracin de Active Directory
La administracin de Active Directory puede realizarse de varias formas (por lnea de comando, a
travs de una herramienta grfica).
1. Presentacin de las distintas consolas de AD

Existen varias consolas disponibles para realizar la administracin de Active Directory. La
consolaUsuarios y equipos de Active Directory permite crear, modificar o eliminar todos los objetos
de Active Directory tales como las cuentas de usuario y equipos, los grupos o las unidades
organizativas. La consola Sitios y servicios de Active Directory tiene como objetivo administrar la
topologa de Active Directory. Es, as, posible realizar operaciones (agregar un sitio, agregar una
conexin) sobre los sitios de Active Directory, con el objetivo de gestionar las replicaciones
intersitio. La consola Dominios y confianzas de Active Directory permite, por su parte, gestionar
las relaciones de confianza o los niveles funcionales del bosque y del dominio. El esquema Active
Directory contiene un conjunto de objetos con sus atributos, los cuales pueden examinarse
mediante la consola Esquema Active Directory. Esta consola no est habilitada por defecto.
La consola Centro de administracin de Active Directory
La consola Centro de administracin de Active Directory permite proveer opciones suplementarias

(interfaz grfica de la papelera de reciclaje de Active Directory). Permite, a su vez, realizar todas
las operaciones ms comunes, del tipo:
Creacin y administracin de las cuentas de usuario, equipos y grupos.
Gestin de las unidades organizativas.
La consola presente en Windows Server 2012 R2 aporta su conjunto de novedades:
Interfaz grfica para utilizar la papelera de reciclaje de Active Directory.
Creacin y administracin de las directivas de contrasea muy especficas (PSO - Password

Security Object) mediante una interfaz grfica.
Es posible visualizar el comando PowerShell que se utiliza para realizar alguna accin desde
la consola. Esto facilita la creacin de scripts.
2. Los mdulos de Active Directory para PowerShell

El mdulo de Active Directory presente en Windows Server 2012 R2 contiene una lista de los cmdlets
que permiten administrar los distintos tipos de objetos de Active Directory.
Gestin de las cuentas de usuario, equipos y grupos
Gestin de la poltica de contraseas
Bsqueda y modificacin de objetos en Active Directory
Gestin del bosque y de los dominios
Administracin de los controladores de dominio y de los roles FSMO
Administracin de las cuentas de servicio
Gestin de los sitios AD
Este mdulo se instala automticamente tras la promocin del servidor como controlador de dominio
o tras instalar el rol ADLDS (Active Directory Lightweight Directory Services).
3. Gestin de los roles FSMO
Un bosque de Active Directory se compone de cinco roles FSMO (Flexible Single Master Operation)
distribuidos en uno o varios servidores.
Maestro de esquema
Se ubica, generalmente, en un controlador de dominio del dominio raz, dado que es el nico
servidor con permisos de escritura sobre el esquema de Active Directory (los dems tienen,
nicamente, permisos de lectura).
Maestro de nomenclatura de dominios
Como con el maestro de esquema, este rol se asigna, por lo general, a un controlador de dominio
del dominio raz del bosque. Este rol se utiliza tras agregar o eliminar un dominio o una particin de
aplicacin. Si el servidor que posee este rol no est accesible, no se puede realizar la operacin
deseada.
A diferencia de los dos roles anteriores, los tres siguientes roles se presentan en cada dominio que
compone el bosque.
Maestro RID
El maestro RID permite distribuir el pool de RID a los dems controladores de dominio de su dominio.
Estos RID se utilizan para generar los SID durante la creacin de un nuevo objeto. En efecto, un SID
est compuesto por el SID del dominio (comn a todos los objetos de este dominio) as como del RID
(nico). Si el maestro RID est fuera de servicio, los dems controladores de dominio tienen la
posibilidad de continuar con la creacin de objetos hasta que se agote el pool.
Maestro de infraestructura
Este rol es til en un bosque multidominio. Su responsabilidad es supervisar los objetos de los
dems dominios del bosque que son miembros de objetos de su dominio.
Maestro Emulador PDC
El maestro Emulador PDC (Primary Domain Controller) permite gestionar las actualizaciones de las
directivas de grupo en un dominio. Ofrece, a su vez, la funcionalidad de sincronizacin de los relojes
Una diferencia superior a 5 minutos entre un puesto y su controlador de dominio implica la
imposibilidad de iniciar sesin o acceder a un recurso. Tras haberse sincronizado a travs de
Internet, el servidor con el rol de Maestro Emulador PDC sincroniza con su hora al conjunto de
puestos y del dominio.
Buenas prcticas para la distribucin de roles FSMO
Los roles FSMO Maestro de esquema y Maestro de nomenclatura de dominios se instalan sobre un
controlador de dominio raz del bosque. En un bosque multidominio, el rol maestro de infraestructura
no debe estar presente sobre un servidor con la funcin de catlogo global. Si el bosque se
compone de un nico dominio, y solamente en este caso, el maestro de infraestructura puede
instalarse sobre el servidor catlogo global.
Para conocer los servidores que poseen los roles FSMO, hay que ejecutar el comando netdom
query fsmo.
4. Uso de una cuenta de servicio

Antes de poder utilizar una cuenta de servicio, es interesante comprender la utilidad de este tipo de
cuenta.
Es habitual tener que ejecutar servicios de ciertas aplicaciones (backup, sql) con cuentas de AD. A
excepcin de los permisos que poseen, no existe ninguna otra diferencia entre una cuenta de
usuario y una cuenta de servicio. Este tipo de cuenta est, evidentemente, exento de realizar
cambios de contrasea; adems, la aplicacin de una poltica de bloqueo puede requerir un mayor
trabajo de administracin.
Las necesidades descritas ms arriba suponen un fallo de seguridad que debera tenerse en cuenta.
En efecto, una persona malintencionada que conozca la contrasea podra utilizar los privilegios de
la cuenta para realizar operaciones malintencionadas.
Con el objetivo de resolver este problema, Microsoft pone a disposicin del administrador las
cuentas de servicio, que tienen en cuenta la gestin de las contraseas. Ahora es posible asociar
una poltica de seguridad a estas cuentas sin tener que reconfigurar el conjunto de servicios para
que conozcan la nueva contrasea.
Estos objetos son del tipo de la clase de objetos msDS-ManagedServiceAccount y se almacenan en

el contenedor Managed Service Accounts (presente en la raz). Es posible acceder a este contenedor
desde la consola de Usuarios y equipos de Active Directory.
Adems, para utilizar esta funcionalidad, es necesario respetar ciertos requisitos previos:
Sistema operativo Windows Server 2008 R2 o Windows 7 como mnimo.
Un esquema en versin Windows Server 2008 R2.
Disponibilidad de los cmdlets PowerShell necesarios.
Se dedica un trabajo prctico a la creacin de una cuenta de servicio en el captulo siguiente.
5. Restauracin de una cuenta mediante la papelera de reciclaje AD

La eliminacin accidental de uno o varios objetos de AD puede tener consecuencias ms o menos
graves en la produccin de una empresa.
Para evitar esto, Microsoft ha implementado, desde hace varios aos, la proteccin de objetos
contra la eliminacin accidental o el Tombstoned. Esta ltima funcionalidad permite, durante un
periodo de 180 das, recuperar una cuenta. No obstante, ser necesario reconfigurar el conjunto de
propiedades del objeto (nmero de telfono, etc.).
Con la aparicin de Windows Server 2008 R2 se incluye la papelera de reciclaje AD. Es posible, en
adelante, restaurar una cuenta junto a todas sus propiedades. El nmero de das puede alcanzar,
tambin, hasta 180 das.
Esta funcionalidad requiere un nivel funcional igual a Windows Server 2008 R2 o superior. Adems,
la activacin es irreversible. Las distintas operaciones de activacin y de gestin se realizan, en
Windows Server 2008 R2, mediante PowerShell.
Windows Server 2012 R2 mejora la administracin cotidiana de esta funcionalidad permitiendo

realizar la gestin y la activacin mediante una interfaz grfica.
El mtodo, en PowerShell, se describe en la siguiente

direccin:http://blogs.technet.com/b/canitpro/archive/2013/04/10/step-by-step-enabling-active-
directory-recycle-bin-in-windows-server-2012.aspx. Existe, adems, un trabajo prctico al final de
este captulo que nos permite descubrir la nueva interfaz grfica.
6. Copia de seguridad y restauracin de Active Directory

La copia de seguridad de Active Directory requiere la copia de seguridad del estado del sistema en
las versiones anteriores a Windows Server 2012. Es, por tanto, necesario realizar la copia de
seguridad de los volmenes crticos. La restauracin propone dos opciones distintas.
Restauracin no autoritativa
Tambin llamada restauracin normal, consiste en restaurar el sistema a una fecha precisa. Tras el
arranque del controlador de dominio, realiza una replicacin con sus socios para actualizar su base
de datos. Este tipo de replicacin debe utilizarse si slo el controlador de dominio restaurado ha
sufrido algn mal funcionamiento o la eliminacin de objetos. Los dems controladores de dominio
deben estar en lnea para permitir la replicacin del servidor restaurado.
Restauracin autoritativa
Esta operacin consiste en restaurar un controlador de dominio con la ltima versin correcta
(idntica a una restauracin normal) y, a continuacin, marcar los objetos eliminados
accidentalmente o daados (estos objetos tienen el mismo estado por replicacin sobre los dems
controladores de dominio). Marcando el objeto, el nmero de versin es ms alto. Tras el arranque
del servidor, provoca una replicacin notificando a sus socios del cambio y del nmero de versin.
Siendo mayor, el servidor restaurado impone su autoridad.
Gestin de la base de datos
La base de datos de Active Directory contiene informacin importante (cuentas de usuario, cuentas de
equipo) para el funcionamiento del usuario. Es, por tanto, preciso supervisar y mantener la base de
datos para evitar eventuales problemas.
1. La base de datos de Active Directory

La base de datos de Active Directory se descompone, lgicamente, en varias particiones. stas
contienen cada una datos e informacin diferentes.
La particin de dominio contiene los objetos creados en el dominio (usuario, GPC (Group Policy
Containers) ). La particin Configuracin contiene la estructura lgica del bosque. Encontramos, as,
informacin acerca de los dominios, los sitios AD, las subredes
A diferencia de la particin de dominio, que contiene nicamente los objetos creados, la particin
Esquema contiene el conjunto de objetos que pueden crearse y sus atributos. Es frecuente
almacenar la zona DNS en Active Directory para aprovechar las ventajas de esta integracin
(consulte el captulo dedicado a DNS). En este caso, la zona DNS se almacena en la particin
Aplicaciones de la base de datos de AD.
Ubicado en la carpeta NTDS, el archivo ntds.dit contiene todas las particiones vistas anteriormente.
No obstante, esta carpeta contiene tambin archivos de transaccin y registros de eventos.
Se utilizan archivos EDB*.log para las transacciones. En efecto, la escritura en la base de datos no
se realiza inmediatamente, y la escritura definitiva se registra nicamente si se valida la transaccin.
Tras la validacin de la transaccin, se escribe cierta informacin en el archivo Edb.chk.
2. Uso del comando NTDSUtil

NTDSUtil es una herramienta por lnea de comandos que se utiliza para gestionar la base de datos
de AD. Es posible realizar varias operaciones con esta herramienta, entre ellas:
Creacin de un snapshot
Desfragmentacin de la base de datos
Migracin de la base de datos
Por ltimo, el comando NTDSUtil permite reinicializar la contrasea utilizada tras el arranque del
servidor en modo restauracin de Active Directory (NTDSUtil set dsrm).
Es posible realizar otras operaciones, tales como el Metadata Cleanup, que consiste en eliminar la
informacin relativa al controlador de dominio cuya eliminacin se ha forzado (de un servidor aislado,
por ejemplo).
3. Reinicio del servicio Active Directory

Active Directory tiene la exclusividad de uso de la base de datos, lo cual limita el nmero de acciones
que es posible realizar sobre ella. Es, por tanto, obligatorio liberar el acceso en primer lugar, y para
ello es necesario reiniciar el controlador de dominio en modo restauracin de Active Directory. No
obstante, desde la versin Windows Server 2008, existe un servicio que ha hecho aparicin. El
servicio de directorio permite arrancar o parar el directorio Active Directory. Esta solucin es
prcticamente idntica al reinicio en modo restauracin de Active Directory y ofrece, por el contrario,
la posibilidad de utilizar los dems roles o funcionalidades del servidor (impresin, dems
software).
Preste atencin, no obstante, a no detener este servicio sobre todos los controladores de dominio
al mismo tiempo, pues no dispondr de ningn controlador de dominio sobre el dominio.
4. Creacin de un snapshot AD
Es posible crear snapshots de Active Directory mediante el comando NTDSUtil. Se realiza una copia
de seguridad del estado concreto del directorio. A continuacin, es posible acceder a este snapshot
desde la herramienta LDP. El comando LDIFDE permite, por su parte, exportar los objetos presentes
en el snapshot para importarlos en el directorio.
Existe un trabajo prctico dedicado a este tema al final de este captulo.
5. Restaurar un objeto de dominio

Tras la eliminacin de un objeto, ste se desplaza al contenedor. Tras este desplazamiento se
eliminan numerosos atributos (pertenencia a grupos). A pesar de restaurar el objeto, es imposible
volver a trabajar con l. Esta funcionalidad, llamada Tombstoned se complementa desde Windows
Server 2008 R2 con la papelera de reciclaje de AD.
La papelera de reciclaje de AD permite restaurar la cuenta eliminada pero, tambin, el conjunto de

atributos. Ya no es necesario volver a restaurar la cuenta desde un programa de copia de
seguridad.
Preste atencin, la habilitacin de la papelera de reciclaje de Active Directory es irreversible. Tras su

activacin, todos los componentes eliminados podrn restaurarse junto con sus atributos
correspondientes durante un periodo de tiempo definido. Este ltimo se especifica mediante el
atributo msDS-deletedObjectLifetime. El Tombstoned tambin tiene un atributo dedicado
llamadotombstoneLifetime que define el nmero de das en que se almacena la cuenta en el
Tombstoned.
La papelera de reciclaje de AD requiere un nivel funcional Windows Server 2008 R2. Una vez
comprobado este requisito previo, es posible habilitarla, para lo que se nos ofrecen dos opciones:
En PowerShell, mediante el cmdlet Enable-ADOptionalFeature.

En modo grfico desde la consola Centro de administracin de Active Directory.
Desde Windows Server 2012, la restauracin de objetos suprimidos se realiza desde una interfaz
grfica (la consola Centro de administracin de Active Directory). Recuerde que la gestin con
Windows Server 2008 R2 se realiza mediante PowerShell.
Trabajos prcticos: Administracin de Active Directory
Objetivo: los trabajos prcticos le permitirn implementar distintos controladores de dominio (de
lectura/escritura, de solo lectura) y, a continuacin, abordan distintas funcionalidades adicionales
(clonado, snapshot).
1. Instalacin y configuracin de Active Directory

Objetivo: el objetivo de este trabajo prctico es instalar el rol AD DS en AD1. A continuacin, la
configuracin consiste en crear un bosque llamado Formacion.local.
Arranque la mquina AD1 y, a continuacin, inicie una sesin como Administrador.
Verifique que el servidor se llama AD1 y posee la configuracin IP adecuada.
Se abre la consola Administrador del servidor, haga clic en Agregar roles y caractersticas.
En la pgina Antes de comenzar, haga clic en Siguiente.
Deje la opcin marcada por defecto en la ventana Seleccionar tipo de instalacin y haga clic
enSiguiente.
En la ventana que permite seleccionar el servidor de destino, haga clic en Siguiente.
En la ventana Seleccionar roles de servidor, seleccione el rol Servicios de dominio de Active

Directory.
Haga clic en Agregar caractersticas en la ventana que se abre.
Haga clic en Siguiente en la ventana Seleccionar caractersticas.
La instalacin est en curso, haga clic en Cerrar.
En la consola Administrador del servidor, haga clic en el tringulo amarillo y seleccione la

opcinPromover este servidor a controlador de dominio.
Se abre el asistente
En la ventana Configuracin de implementacin, haga clic en Agregar un nuevo bosque y, a

continuacin, escriba formacion.local en el campo Nombre de dominio raz.
Haga clic en Siguiente para validar esta opcin.

En el campo Escribir contrasea de modo de restauracin de servicios de directorio (DSRM),
escriba Pa$$w0rd y, a continuacin, confirme esta contrasea.
Haga clic en Siguiente.
Valide todas las ventanas haciendo clic en Siguiente y, a continuacin, en Instalar para ejecutar
la promocin.
El servidor ha sido promovido.
2. Implementacin de un RODC
Objetivo: tras haber creado el sitio AD, se instala un controlador de dominio de solo lectura. A
continuacin, se envan las contraseas de los usuarios a la cach.
En AD1, abra la consola Sitios y servicios de Active Directory.
Despliegue el nodo Sites y, a continuacin, haga clic con el botn derecho en Default-First-Site-
Name.
Haga clic en Cambiar nombre y, a continuacin, escriba Madrid.

Haga clic con el botn derecho en la carpeta Sites y, a continuacin, en el men contextual
seleccione Nuevo y Sitio.
Aparece un nuevo men
Escriba Barcelona en el campo Nombre y, a continuacin, haga clic en DEFAULTIPSITELINK.
Valide haciendo clic en Aceptar.
En el mensaje de informacin que aparece, haga clic en Aceptar.
El nuevo sitio aparece en la consola.

Abra la consola Usuarios y equipos de Active Directory.
Haga clic con el botn derecho en Formacion.local y, a continuacin, en el men contextual haga
clic en Nuevo - Unidad organizativa.
Escriba Barcelona en el campo Nombre.
Haga clic en Aceptar para proceder a la creacin.
Haga clic con el botn derecho sobre el nodo Formacion.local y a continuacin, en el men
contextual, haga clic en Nuevo - Unidad organizativa.
Escriba Madrid en el campo Nombre.
Haga clic en Aceptar para proceder a su creacin.
Haga clic sobre la OU Barcelona y, a continuacin, sobre el botn de la barra de herramientas

que permite crear un nuevo usuario.
Escriba Marcos en el campo Nombre y VELASCO en el campo Apellidos.

En los campos Nombre de inicio de sesin de usuario y Nombre de inicio de sesin de usuario
(anterior a Windows 2000), escriba mvelasco.
Haga clic en Siguiente y, a continuacin, escriba Pa$$w0rd en el campo Contrasea.
Confirme y, despus, demarque la opcin El usuario debe cambiar la contrasea en el siguiente

inicio de sesin.
Valide haciendo clic en Siguiente y, a continuacin, en Finalizar.
Repita las operaciones para los siguientes usuarios:
Enrique MARTINEZ (nombre de usuario: emartinez, contrasea: Pa$$w0rd).
Estefana SUAREZ (nombre de usuario: esuarez, contrasea: Pa$$w0rd).
Juan VALDES (nombre de usuario: jvaldes, contrasea: Pa$$w0rd).
En la unidad organizativa Barcelona, haga clic sobre el icono que permite crear un grupo (botn
situado a la derecha del que le permite crear un usuario en la barra de herramientas).
Escriba la informacin tal y como se describe en la siguiente pantalla:

Haga clic en Aceptar para realizar la creacin.
Haga doble clic sobre el grupo Becarios y, a continuacin, seleccione la pestaa Miembros.
Haga clic en Agregar y escriba los nombres de inicio de sesin de los usuarios creados
anteriormente, separados por un punto y coma.
Haga clic en el botn Comprobar nombres y, a continuacin, en Aceptar.
Los usuarios aparecen incluidos en el grupo.

Haga clic con el botn derecho sobre la OU Domain Controllers y, a continuacin, seleccione la
opcin Crear previamente una cuenta de controlador de dominio de solo lectura.
Marque la opcin Usar la instalacin en modo avanzado y, a continuacin, haga clic enSiguiente.
En la ventana Credenciales de red, deje la opcin por defecto y, a continuacin, haga clic
enSiguiente.
Escriba AD2 en el campo Nombre de equipo y valide haciendo clic en Siguiente.
Seleccione el sitio Active Directory Barcelona y, a continuacin, haga clic en Siguiente.

En la ventana Opciones adicionales del controlador de dominio, deje la opcin por defecto.
El servidor hace las veces de RODC, servidor DNS de solo lectura y catlogo global.
La ventana Especificar la directiva de replicacin de contraseas permite indicar la poltica de

replicacin en cach de contraseas. Por defecto, las contraseas de las cuentas que posean
permisos de administrador (operador, administrador) no se alojan en cach.
En la ventana Delegacin de instalacin y administracin de RODC, haga clic en Establecer.
Escriba mvelasco y, a continuacin, haga clic en Comprobar nombres.
Por ltimo, haga clic en Aceptar y, a continuacin, en Siguiente.
Ejecute la instalacin y haga clic en Finalizar para cerrar el asistente.
La cuenta se ha creado previamente.
En AD2, inicie una sesin y, a continuacin, haga clic en Agregar roles y caractersticas en la
consola Administrador del servidor.
Se inicia el asistente, haga clic tres veces en Siguiente.

Seleccione el rol Servicios de dominio de Active Directory y, a continuacin, haga clic en el
botn Agregar caractersticas en la ventana que se muestra.
En la ventana de seleccin de caractersticas, haga clic en Siguiente.
Haga clic en Siguiente y, a continuacin, en Instalar.
Una vez terminada la instalacin, haga clic en Cerrar.
En la consola Administrador del servidor, haga clic sobre la bandera que contiene el signo de
exclamacin y, a continuacin, en Promover este servidor a controlador de dominio.
Se abre el asistente, haga clic en el botn Seleccionar.
Autentquese como formacion\mvelasco (contrasea Pa$$w0rd) y, a continuacin, haga clic

enAceptar.
Tras algunos segundos, aparece el dominio formacion.local en la ventana. Seleccione el dominio

y, a continuacin, haga clic en Aceptar.
Se muestra el nombre de dominio en el campo, haga clic en Siguiente.
Escriba Pa$$w0rd en el campo Escribir contrasea de modo de restauracin de servicios de

directorio (DSRM).
Haga clic en Siguiente en las ventanas Opciones adicionales, Rutas de acceso y Revisar
opciones dejando la configuracin por defecto.
Proceda a realizar la promocin haciendo clic en Instalar.
Tras el reinicio de AD2, inicie una sesin como formacion\mvelasco (contrasea Pa$$w0rd).
El controlador de dominio es de solo lectura. Es imposible crear un usuario, un grupo Las opciones
aparecen, ahora, sombreadas y deshabilitadas.
Por defecto, la consola se conecta al controlador de dominio de lectura/escritura. Para que la

consola se conecte al RODC, haga clic con el botn derecho en el dominio y seleccione, a
continuacin, la opcin Cambiar el controlador de dominio.
El servidor DNS tambin es de solo lectura.
En AD1, abra la consola Sitios y servicios de Active Directory.
Despliegue los nodos Sites, Barcelona y, a continuacin, Servers. Verifique la presencia del
servidor AD2.
Abra la consola Usuarios y equipos de Active Directory en AD1.
Despliegue el nodo Formacion.local y, a continuacin, haga clic en el contenedor Usuarios.
Haga doble clic en Grupo de replicacin de contrasea RODC permitida y, a continuacin,

seleccione la pestaa Miembros.
Haga clic en Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuacin, haga clic

en Comprobar nombres.
Seleccione la unidad organizativa Domain Controllers.
Haga doble clic en AD2 y, a continuacin, seleccione la pestaa Directiva de replicacin de

contraseas.
Haga clic en el botn Opciones avanzadas y, a continuacin, en Directiva resultante.
Haga clic en el botn Agregar, escriba mvelasco;emartinez;esuarez;jvaldes y, a continuacin,

haga clic en el botn Comprobar nombres.
Haga clic en Aceptar, se muestra el resultado de Permitir.

La contrasea de las cuentas de usuario se alojar en cach tras la siguiente replicacin o conexin
del usuario.
En algunos casos, puede resultar til "forzar" la replicacin en cach sin tener que esperar a la
replicacin o a la conexin del usuario.
Seleccione la pestaa Uso de directivas y, a continuacin, haga clic en Rellenar contraseas

previamente.
Escriba mvelasco;emartinez;esuarez;jvaldes y, a continuacin, haga clic en Comprobar
nombres.
Haga clic en Aceptar y, a continuacin, en S en la ventana que se muestra.

Ahora las cuentas estn replicadas en cach.
En la pestaa Uso de directivas, ahora estn las cuentas presentes.
El controlador de dominio de solo lectura puede, en adelante, autentificar estas cuentas incluso si se
produce alguna ruptura en la conexin con el controlador de dominio de lectura/escritura.
3. Clonacin de un controlador de dominio virtual

Objetivo: clonar AD1 para crear un nuevo controlador de dominio virtualizado.
En AD1, en la interfaz Windows, haga clic con el botn derecho en Windows PowerShell y, a
continuacin, haga clic en Ejecutar como administrador.
Para saber qu servidor tiene el rol FSMO Emulador PDC, escriba el comando:
Get-ADComputer (Get-ADDomainController -Discover -Service
"PrimaryDC").name -Property operatingsystemversion | fl
Es posible descargar el script desde la pgina Informacin.
AD1 ejecuta Windows Server 2012 R2, de modo que se cumple el requisito previo (el servidor
Emulador PDC est instalado en un servidor que ejecuta Windows Server 2012 R2).
Abra la consola Usuarios y equipos de Active Directory y, a continuacin, seleccione el

contenedor Usuarios.
Renombre el grupo Controladores de dominio clonables por Cloneable Domain Controllers y, a

continuacin, agregue AD1 como miembro.
Sin renombrar el grupo o sin crear un nuevo grupo con este nombre la operacin de clonado falla
puesto que no se encuentra el grupo (aunque exista el mismo nombre en espaol).
Valide haciendo clic en el botn Aceptar.
Escriba el siguiente comando PowerShell para asegurar que no hay ninguna aplicacin excluida
en el servidor:
Get-ADDCCloningExcludedApplicationList
El comando devuelve las aplicaciones, servicios o roles que no son compatibles con la funcin de
clonado. Aqu, WLMS no est soportada por la operacin de clonado, por lo que resulta necesario
crear una excepcin. sta aparece en el archivo XML CustomDCCloneAllowList.xml.
WLMS aparece porque estamos trabajando con una versin de evaluacin.
Escriba el siguiente comando para generar el comando XML:
Get-ADDCCloningExcludedApplicationList -GenerateXML
El archivo est presente en la carpeta NTDS.
Escriba el siguiente comando PowerShell para asegurar que no existe ninguna aplicacin excluida
en el servidor:
Get-ADDCCloningExcludedApplicationList
El archivo DCCloneConfig.xml puede, ahora, crearse mediante el comando:
New-ADDCCloneConfigFile -Static -IPv4Address "192.168.1.20"

-IPv4DNSResolver "192.168.1.10" -IPv4SubnetMask "255.255.255.0"
-CloneComputerName "AD3" -IPv4DefaultGateway "192.168.1.254"
-SiteName "Madrid"
Este archivo contiene la configuracin IP y, tambin, el nombre del nuevo servidor. El servidor
DNS presente en la configuracin IP del equipo debe, en primer lugar, ser el del servidor actual,
pues en caso contrario la operacin fallar. A continuacin, es posible modificarlo.

El archivo est presente en la carpeta NTDS.
Detenga la VM y, a continuacin, en la consola Hyper-V, haga clic con el botn derecho en la VM y

seleccione Exportar. La exportacin debe realizarse en una carpeta distinta a aquella donde se
encuentren las VM.
Una vez terminada la exportacin, reinicie AD1.
Haga clic en Importar mquina virtual en la consola Hyper-V.
Es posible importar la mquina virtual sobre el mismo servidor Hyper-V o sobre un servidor
diferente. La importacin sobre el mismo servidor funciona siempre y cuando la mquina original
est alojada en una ubicacin diferente a la nueva (nombre del archivo VHD idntico para la
mquina original y la VM clonada).
Se abre el asistente de importacin
Haga clic en el botn Examinar y, a continuacin, seleccione la carpeta creada anteriormente.

Haga clic dos veces en Siguiente.
En la ventana Elegir tipo de importacin, seleccione la opcin Copiar la mquina virtual (crear
un identificador nico nuevo) y, a continuacin, haga clic en Siguiente.
Haga clic dos veces en Siguiente y, a continuacin, en Finalizar.
La importacin est en curso
Renombre la mquina virtual que acaba de importar para que no tenga el mismo nombre que
AD1.
Arranque la mquina que acaba de importar.
El clonado est en curso.
El controlador de dominio se ha clonado correctamente.

La configuracin IP del servidor AD3 es la especificada en el archivo DCCloneConfig.xml.
El servidor AD3 es un servidor DNS, es posible configurar la direccin IP de AD3 como servidor
DNS preferido y AD1 como servidor DNS alternativo.
El sitio AD Madrid contiene, ahora, dos servidores: AD1 y AD3.
Ahora resulta ms sencillo desplegar nuevos controladores de dominio.
4. Creacin de un snapshot de AD
Objetivo: creacin y montaje de un snapshot de Active Directory.
Mquina virtual: AD1.
En AD1, abra una ventana de comandos DOS.
Escriba ntdsutily, a continuacin, valide presionando la tecla [Enter].

Escriba los siguientes comandos (presione [Enter] tras cada comando):
snapshot
activate instance ntds
create
quit
quit
Se abre un GUID relativo al snapshot. Este identificador se utiliza ms adelante.
En la consola Usuarios y equipos de Active Directory, despliegue el nodo Formacion.local y, a

continuacin, haga clic en Barcelona.
Mueva la cuenta de usuario de Enrique Martnez a la unidad organizativa Madrid.
Se realiza este cambio con el objetivo de mostrar la diferencia respecto al snapshot.
En AD1, escriba el comando ntdsutilen una ventana de comandos DOS.

Escriba los siguientes comandos y presione la tecla [Enter] al final de cada uno:
snapshot
activate instance ntds
list all
Se muestran los distintos snapshots creados y su GUID.
Monte el snapshot creado anteriormente. Para ello, escriba los comandos:
mount guid
quit
quit
Guid es el identificador que se muestra en el comando introducido anteriormente.
Debe iniciarse la instancia del snapshot. Para ello, escriba el comando:
Dsamain /dbpath c:\$snap_datetime_volumec$\windows\ntds\ntds.dit

/ldapport 5000
Remplace $snap_datetime_volumec$ por el nombre de la carpeta ubicada en C y que

comienza por $snap.
En un controlador de dominio, es preciso cambiar el puerto de la instancia, el puerto 389 ya est

en uso por una instancia en produccin. Este cambio de puerto slo se realiza sobre un
controlador de dominio.
Abra la consola Usuarios y equipos de Active Directory y, a continuacin, haga clic con el botn
derecho sobre el dominio Formacion.local.
Seleccione la opcin Cambiar el controlador de dominio y, a continuacin, en el campo <Escriba

aqu un nombre de servidor de directorio>, escriba AD1:5000.
Haga clic en Aceptar y, a continuacin, despliegue el nodo Formacion.local.
Seleccione la unidad organizativa Barcelona, la cuenta de usuario Enrique MARTINEZ est

presente.
El cambio se ha llevado a cabo tras realizar el snapshot. Este ltimo no contiene el cambio.
Las propiedades del usuario estn, efectivamente, en solo lectura.
Ahora es preciso desmontar el snapshot.
En la ventana de comandos, pulse las teclas [Ctrl] C y, a continuacin, escriba los

comandos ntdsutily snapshot.
Habilite la instancia NTDS mediante el comando activate instance ntds.
Utilice el comando list allpara encontrar el GUID deseado.

Escriba el comando unmount guid.
Remplace guidpor el identificador del snapshot deseado.
Salga de la ventana de comandos escribiendo la instruccin quitdos veces.

Recuerde que la funcionalidad snapshot no remplaza a la copia de seguridad.
5. Manipulacin de la papelera de reciclaje AD

Objetivo: habilitar y utilizar la funcionalidad Papelera de Reciclaje de Active Directory.
En AD1, abra la consola Centro de administracin de Active Directory.
Seleccione el nodo Formacion (local) y, a continuacin, haga clic en Habilitar papelera de

reciclaje en la seccin Tareas.
Haga clic en Aceptar dos veces en las ventanas de advertencia.
En la consola Usuarios y equipos de Active Directory, seleccione el men Ver y, a continuacin,

seleccione Caractersticas avanzadas.
Haga clic con el botn derecho sobre la unidad organizativa Barcelona y haga clic
enPropiedades.
Seleccione la pestaa Objeto y desmarque la opcin Proteger objeto contra eliminacin

accidental.
Haga clic en Aceptar y, a continuacin, elimine la unidad organizativa Barcelona.
En la consola Centro de administracin de Active Directory, haga clic en Formacion (local) y, a

continuacin, haga doble clic en DeletedObjects.
Actualice la consola si el contenedor DeletedObjects no estuviera presente.
El conjunto de objetos est presente.

Seleccione el conjunto de objetos manteniendo pulsada la tecla [Ctrl] y, a continuacin, haga clic
en Restaurar.
Es posible restaurar los objetos en un lugar diferente seleccionando la opcin Restaurar en.
Los objetos estn, de nuevo, presentes en la consola Usuarios y equipos de Active Directory.
6. Desfragmentacin de la base de datos

Objetivo: desfragmentar la base de datos de Active Directory.
En AD1, abra la consola Services.msc y, a continuacin, detenga los Servicios de dominio de

Active Directory.
Abra una ventana de comandos DOS.
Escriba los comandos ntdsutily activate instance ntds(pulse la tecla [Enter] tras
cada comando).
Escriba filey, a continuacin, valide presionando la tecla [Enter]. Ejecute la desfragmentacin

mediante el comando compact to c:\.
Copie el archivo c:\ntds.dit en la carpeta c:\windows\ntds\.
Elimine los archivos con extensin log ubicados en la carpeta c:\windows\ntds.
En la ventana de comandos DOS, escriba integrityy, a continuacin, valide presionando la

tecla [Enter].
Escriba quitdos veces para salir del comando ntdsutil.
Cada comando quitdebe validarse presionando la tecla [Enter].
Reinicie el servicio Servicios de dominio de Active Directory.
Abra la consola Usuarios y equipos de Active Directory para comprobar que no se ha producido
ningn problema derivado de la desfragmentacin.
Validacin de conocimientos adquiridos:
preguntas/respuestas
1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1 Cul es el rol de un controlador de dominio?
2 De qu se compone un bosque de Active Directory?
3 Cules son los objetos y roles que contiene, nicamente, el dominio raz?
4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa.

Cmo se puede permitir esta conexin? Cules son los requisitos previos?
5 Qu es la autenticacin selectiva?
6 Qu contiene el esquema Active Directory?
7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migracin a un
servidor Windows Server 2012, es preciso actualizar el esquema de manera manual?
8 Cul es el comando que permite activar la consola esquema AD?
9 Cul es la consecuencia de la ruptura de un canal seguro?
10 Qu contiene la carpeta SYSVOL?
11 Qu es un servidor RODC?
12 Cmo se lleva a cabo la actualizacin en un RODC?
13 Qu debe hacerse para autorizar la actualizacin en cach de la contrasea de una cuenta

en un RODC?
14 Cuntos servidores RODC es posible tener en un sitio AD?
15 Qu es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado?

Bajo qu sistema operativo debe operar el servidor que posea este rol?
16 Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008?
17 Cul es el nombre del archivo XML que contiene la configuracin del nuevo servidor?
18 Mi servidor tiene instalado el rol Servidor DHCP, es posible proceder con la operacin de
clonado?
19 Cules son los roles FSMO orientados al bosque?
20 Cules son las particiones presentes en la base de datos AD?
21 Cul es la instruccin que permite desfragmentar la base de datos AD?
22 Qu servicio es preciso detener para realizar operaciones sobre la base de datos de Active
Directory?
23 De qu clase de objeto son las cuentas de servicio?
24 Cules son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
2. Resultados
Consulte las siguientes pginas para comprobar sus respuestas.
Por cada respuesta correcta, cuente un punto.
Nmero de puntos: /24

Para superar este captulo, su puntuacin mnima debera ser de 17 sobre 24.
3. Respuestas
1 Cul es el rol de un controlador de dominio?
Un controlador de dominio se encarga de gestionar la base de datos de Active Directory. Adems,

se encarga de autenticar a los distintos usuarios y equipos de la red.
2 De qu se compone un bosque de Active Directory?
Un bosque de Active Directory se compone de dominios agrupados en una arborescencia. Estos

dominios confan entre ellos mediante una relacin de confianza bidireccional transitiva.
3 Cules son los objetos y roles que contiene, nicamente, el dominio raz?
A diferencia de otros sistemas, los controladores de dominio raz contienen los grupos
Administradores de empresa y Administradores de esquema. Algunos roles FSMO orientados al
bosque (Maestro de esquema, Maestro de nomenclatura de dominios) se contienen, generalmente,
en los controladores de dominio.
4 Un usuario de un bosque A necesita conectarse a un dominio del bosque B y a la inversa.

Cmo se puede permitir esta conexin? Cules son los requisitos previos?
El usuario de bosque A no puede acceder a un recurso del bosque B, pues se trata de un extranjero
al bosque. Es, por tanto, necesario configurar una relacin de confianza entre bosques, de modo
que todos los dominios del bosque A confen en todos los dominios del bosque B y a la inversa. No
obstante, hay ciertos requisitos previos que hay que respetar: es necesario disponer de un nivel
funcional Windows Server 2003 en ambos bosques y, a continuacin, configurar los redirectores
condicionales hacia los servidores DNS de ambos bosques.
5 Qu es la autenticacin selectiva?
Cuando se produce una relacin de confianza entre bosques, todos los usuarios del bosque A
pueden acceder al bosque B y a la inversa (si la relacin es bidireccional, evidentemente). La
autenticacin selectiva puede implementarse para autorizar a los usuarios de un dominio con el
que se tiene confianza y permitir que se autentiquen en uno de nuestros servidores. Esta
funcionalidad limita los accesos a los recursos nicamente a aquellos usuarios que se desee.
6 Qu contiene el esquema Active Directory?
El esquema Active Directory contiene el conjunto de objetos que pueden crearse, as como sus
atributos.
7 Mi controlador de dominio ejecuta Windows Server 2008 R2, si realizo una migracin a un
servidor Windows Server 2012, es preciso actualizar el esquema de manera manual?
El funcionamiento de la promocin de servidores a controladores de dominio se ha visto modificada

con Windows Server 2012. Ya no es necesario ejecutar el comando Adprep, que permite actualizar
el esquema. Este comando se ejecuta automticamente en caso de que sea necesario.
8 Cul es el comando que permite activar la consola esquema AD?
Debe ejecutarse el comando regsvr32 schmmgmt.dllpara habilitar la consola Esquema AD.

9 Cul es la consecuencia de la ruptura de un canal seguro?
Como con las cuentas de usuario, las cuentas de equipo utilizan una contrasea para poder
autenticarse. Cada 30 das se realiza un cambio en esta contrasea. No obstante, si el canal
seguro se rompe, le ser imposible al controlador de dominio autenticar el puesto del usuario. No
ser posible iniciar sesin en el dominio, incluso aunque la autenticacin del usuario sea correcta.
10 Qu contiene la carpeta SYSVOL?
Esta carpeta, muy importante, contiene parte de las directivas de grupo (GPT) y los distintos
scripts.
11 Qu es un servidor RODC?
Un servidor con el rol RODC (Read Only Domain Controller) es un controlador de dominio de solo
lectura. Ofrece la posibilidad de instalar un servidor sobre el que no es posible realizar ninguna
modificacin.
12 Cmo se lleva a cabo la actualizacin en un RODC?
Es imposible realizar actualizaciones sobre un servidor con el rol RODC. Todas las acciones deben
realizarse desde un servidor que posea permisos de lectura/escritura. Las modificaciones se
transmiten al RODC por replicacin.
13 Qu debe hacerse para autorizar la actualizacin en cach de la contrasea de una cuenta

en un RODC?
Para autorizar la actualizacin en cach es preciso agregar la cuenta de usuario o de equipo al

Grupo de replicacin de contrasea RODC permitida. Tras la siguiente replicacin, la contrasea se
actualiza en cach.
14 Cuntos servidores RODC es posible tener en un sitio AD?
Solo es posible tener un nico servidor con el rol RODC por sitio AD.
15 Qu es el rol FSMO, utilizado para el clonado de un controlador de dominio virtualizado?

Bajo qu sistema operativo debe operar el servidor que posea este rol?
Tras la operacin de clonado, se utiliza el servidor con el rol FSMO Emulador PDC. Es preciso, para
ello, que el servidor con este rol se ejecute bajo Windows Server 2012 R2.
16 Es posible clonar un controlador de dominio con Hyper-V en Windows Server 2008?
No, dicha funcionalidad requiere Hyper-V 3.0, que se incluye desde Windows Server 2012. La
funcionalidad de generacin del ID est presente, nicamente, en la versin 3 de Hyper-V.
17 Cul es el nombre del archivo XML que contiene la configuracin del nuevo servidor?
El archivo DCCloneConfig.xml contiene la configuracin del nuevo DHCP. La creacin del archivo es
la ltima etapa antes del clonado.
18 Mi servidor tiene instalado el rol Servidor DHCP, es posible proceder con la operacin de
clonado?
No, es preciso migrar el rol a algn otro servidor.
19 Cules son los roles FSMO orientados al bosque?
Los roles FSMO orientados al bosque son el Maestro del esquema y el Maestro de nomenclatura de
dominios.
20 Cules son las particiones presentes en la base de datos AD?
La base de datos est compuesta por varias particiones, entre las que figuran la particin
esquema, la particin de configuracin, la particin de dominio y la particin de aplicacin (DNS).
21 Cul es la instruccin que permite desfragmentar la base de datos AD?
La instruccin ntdsutiles el comando que permite realizar operaciones sobre la base de datos,
entre ellas la desfragmentacin.
22 Qu servicio es preciso detener para realizar operaciones sobre la base de datos de Active
Directory?
Desde Windows Server 2008 ya no es preciso detener el servidor en modo restauracin de Active
Directory. Basta, simplemente, con detener el servicio Servicios de dominio de Active Directory.
23 De qu clase de objeto son las cuentas de servicio?
Como ocurre con cualquier otro objeto, las cuentas de servicio son de una clase determinada. Para
este tipo de objeto, la clase asociada es msDS-ManagedServiceAccount.
24 Cules son los requisitos previos que deben cumplirse para crear una cuenta de servicio?
Para utilizar una cuenta de servicio es necesario trabajar, al menos, con un sistema operativo
Windows Server 2008 R2 o Windows 7, as como un esquema en Windows Server 2008 R2.
Conocer los distintos tipos de objetos usuario.
Tener nociones acerca de las directivas de grupo.
Tener nociones acerca de la configuracin de directivas de grupo que permite implementar una
poltica de seguridad.
2. Objetivos
Automatizacin de la gestin de cuentas.
Implementacin de una poltica de seguridad.
Gestin de una directiva de grupo.
Mantenimiento de las directivas de grupo.

Introduccin
La gestin de usuarios es una tarea cotidiana para un administrador de sistemas y de red. Las
cuentas de usuario permiten autenticar personas fsicas que desean acceder a algn recurso de
dominio.
Automatizacin de la gestin de cuentas de usuario
Adems de las consolas de Active Directory, es posible gestionar los objetos mediante herramientas
por lnea de comandos.
CSVDE (Comma-Separated Values Data Exchange) es una herramienta que permite exportar e importar
objetos desde un directorio de Active Directory. Se utilizan, para realizar las distintas operaciones,
archivos con formato CSV (Comma-Separated Value). Este tipo de archivos puede modificarse
mediante un bloc de notas (notepad), presente en todos los sistemas operativos Windows, o
mediante Microsoft Excel.
Sintaxis del comando
csvde -f NombreArchivo.csv
La opcin -fse utiliza para indicar que debe utilizarse un archivo. El comando permite, por defecto,
realizar una exportacin.
Existen varias opciones:
-d RootDN: permite definir el contenedor o el inicio de la exportacin. Por defecto, el contenedor

seleccionado es la raz del dominio.
-p mbitoBusqueda: determina el mbito de la bsqueda (Base, OneLevel, Subtree).

-r Filtro: permite implementar un filtro LDAP.
-l ListaAtributos: provee la lista de atributos sobre los que es necesario realizar una
bsqueda. Estos atributos estn separados unos de otros mediante comas.
Ejemplos de atributos: givenName, userPrincipalName,
-i: informa al comando que es necesario realizar una importacin. Recuerde que la exportacin es la
opcin por defecto.
-k: la opcin -kpermite ignorar los errores de importacin. De este modo, la ejecucin del comando
se lleva a cabo incluso aunque se encuentre algn error del tipo no se est respetando alguna
restriccin o no se ha encontrado ningn objeto existente.
Es posible utilizar un segundo comando, ldifde. Esta instruccin DOS permite, como csvde, realizar
operaciones de importacin o exportacin, y permite tambin realizar modificaciones sobre un objeto
(a diferencia de csvde).
Para realizar estas operaciones se utilizan archivos con la extensin LDIF (LDAP Data Interchange
Format). Estos archivos contienen bloques de filas que constituyen, cada uno, una operacin. Es
evidente que un archivo puede contener varias acciones, en este caso el bloque se separa de los
dems mediante una fila en blanco.
Cada operacin necesita indicar el atributo DN (Distinguished Name), as como la operacin que se
quiere realizar (Add, Modify, Delete).
Sintaxis del comando
ldifde -f NombreArchivo.ldif
La opcin -fse utiliza para indicar el archivo que se quiere utilizar. El comando permite, por defecto,
realizar una exportacin.
Como con el comando csvde, es posible utilizar varias opciones:

-i: permite realizar una importacin. Por defecto, se realiza una exportacin.
-k: la opcin -kpermite ignorar los errores de importacin. De este modo, la ejecucin del comando
prosigue aunque se encuentre algn error del tipo no se est respetando alguna restriccin o no se
ha encontrado ningn objeto existente.
-s NombreServidor: indica el servidor al que hay que conectarse.

-t Puerto: indica el puerto que debe utilizarse (puerto por defecto: 389).
-d NDRaz: permite indicar la raz de la bsqueda.
-r Filtro: permite implementar un filtro LDAP.
1. Configuracin de la poltica de seguridad

La poltica de seguridad permite definir un conjunto de parmetros que se aplican a varios objetos.
Encontramos en esta poltica, dos tipos de parmetros diferentes:
Parmetros de seguridad
Parmetros de bloqueo
Ambos pueden, evidentemente, configurarse para un equipo concreto (directiva de grupo local) o
para el conjunto de objetos de un dominio AD (configurado, generalmente, en la Default Domain
Policy).
Parmetros de seguridad
Es posible configurar varios tipos de parmetros en la poltica.
La vigencia mnima de la contrasea permite indicar el tiempo mnimo antes de que un usuario
pueda cambiar de nuevo su contrasea. La vigencia mxima de la contrasea le indica el tiempo
mximo, en das, en que ser vlida su contrasea. Una vez superado este tiempo el usuario tendr
que cambiar su contrasea para poder iniciar una sesin en el dominio. El histrico de contraseas
es, tambin, un parmetro que debe tenerse en cuenta, y que permite prohibir el uso de las x
contraseas anteriores. Preste atencin a no implementar un valor demasiado grande en este
parmetro, lo cual puede molestar a los usuarios.
Tras la creacin del dominio Active Directory se habilita la complejidad de las contraseas, parmetro
que indica la necesidad de respetar ciertos criterios a la hora de definir las contraseas. En efecto,
se considera que una contrasea tiene la complejidad suficiente cuando:
Respeta tres de los cuatro siguientes criterios:
Maysculas
Minsculas
Caracteres alfanumricos
Caracteres especiales
No contiene el nombre ni el apellido del usuario.
Esto complica la bsqueda de la contrasea a un eventual pirata informtico pero (a menudo, no

obstante) difcilmente se acepta por parte de los usuarios. Es preferible rebajar el nivel de exigencia
en trminos de seguridad antes que encontrarse con contraseas escritas en una nota sobre el
teclado o el monitor.
Otro parmetro importante, en una poltica de contraseas, es la longitud mnima. En efecto, permite
indicar el nmero de caracteres que debe contener la contrasea.
Parmetros de bloqueo
Estos parmetros permiten configurar los bloqueos.
La duracin del bloqueo es el periodo durante el cual no podr iniciarse una sesin con la cuenta de
usuario. Para un desbloqueo manual realizado por el administrador es necesario configurar el
parmetro a 0.
El nmero de intentos errneos limita la cantidad de pruebas antes de bloquear la cuenta. De este
modo, la cuenta afectada se bloquea una vez se alcanza el nmero de intentos errneos. El valor 0
implica intentos ilimitados, de modo que la cuenta jams se bloquear.
Es preciso poner a cero el contador del nmero de intentos errneos, sin lo cual la poltica de
bloqueo no tendr ningn sentido. De este modo, existe otro parmetro a tener en cuenta en la
poltica de bloqueos, se trata de la actualizacin del contador (del nmero de intentos errneos)
tras un cierto nmero de minutos.
Por ltimo, existe un tercer tipo de parmetros (poltica Kerberos) que pueden configurarse, y es
posible tener acceso a parmetros propios del protocolo Kerberos v5.
La configuracin puede, tal y como hemos visto antes en este captulo, parametrizarse desde una
directiva local o una directiva de dominio (consola Editor de administracin de directivas de grupo).
Cabe prestar atencin, no obstante, en caso de conflicto entre una directiva de grupo local y una
directiva de dominio, siendo la del dominio la que predomina.
Los parmetros de seguridad se configuran, generalmente, en la directiva de grupo Default Domain

Policy.
2. Gestin de la directiva de contrasea muy especfica

Incluyendo los parmetros en la directiva de grupo Default Domain Policy la poltica de seguridad se
aplica al conjunto de objetos del dominio. No obstante, es posible, en ciertos casos, necesitar una
poltica de contrasea distinta.
Tomemos un ejemplo que nos permita ilustrar esto: una empresa funciona da y noche 7/7 y cada
equipo de la cadena de fabricacin utiliza la misma cuenta de Active Directory. La directiva de grupo
impone 8 caracteres con un cambio cada 42 das, y una complejidad alta. El bloqueo se produce tras
el tercer intento errneo al introducir la contrasea y se mantiene as hasta que un administrador la
desbloquee manualmente. Existe una gran probabilidad de que uno de los equipos se confunda al
escribir la contrasea, lo que, desgraciadamente, puede ocurrir durante la noche o durante el fin de
semana. Si el controlador de dominio funciona con Windows Server 2003, el administrador tiene dos
posibilidades:
Crear una unidad organizativa Produccin, desplazar las cuentas a este grupo, bloquear la
herencia sobre la OU y configurar, por ltimo, los parmetros de seguridad en una nueva
GPO.
Esta solucin puede resultar pesada pues supone implementar una mayor complejidad en la
administracin.
Implementar un sistema de autologon que evite, al usuario, tener que escribir la contrasea.
Desde Windows Server 2008 existe otra solucin adicional: la directiva de contrasea muy
especfica. Consiste en aplicar, a un usuario o grupo de usuarios, parmetros distintos a los que se
definen por defecto en la Default Domain Policy.
Existen dos objetos presentes en AD DS desde Windows Server 2008.
Password Settings Container: este objeto permite almacenar los Password Settings Objects
(PSO) que se crean.
Password Settings Objects: objeto creado por un administrador de dominio, contiene los
parmetros de seguridad que se aplican a los grupos o usuarios asociados.
La directiva de contrasea muy especfica se aplica nicamente a aquellos usuarios o grupos

globales que contienen usuarios. De este modo, cuando se asigna una PSO a un usuario, se
modifica su parmetro msDS-PSOApplied (el cual est, por defecto, vaco).
Tras la creacin de este objeto deben configurarse numerosos parmetros: poltica de contrasea,
de bloqueo o la prioridad. Este ltimo parmetro permite determinar la prioridad de un PSO respecto
a otro. El valor, de tipo entero, debe ser el menor posible para ser el ms prioritario.
La creacin de un PSO la realiza un miembro del grupo Administradores de dominio, aunque es

posible delegar esta tarea en un usuario.
Configuracin de un PSO
La funcionalidad poltica de contrasea muy especfica exige un nivel funcional Windows Server
2008. Desde Windows Server 2012, la gestin se realiza desde la consola Centro de administracin
de Active Directory.
Es posible, a su vez, realizar esta operacin mediante PowerShell.
Cmdlets que permiten crear el objeto PSO y definir los parmetros:
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true

-LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00"
-LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00"
-MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7"
-PasswordHistoryCount:"24" -Precedence:"1"
-ReversibleEncryptionEnabled:$false
-ProtectedFromAccidentalDeletion:$true
Cmdlets que permiten habilitar el vnculo:
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects

Marketing
La consola Centro de administracin de Active Directory proporciona, ella misma, numerosas

opciones:
Creacin del objeto PSO, configuracin de los parmetros, as como la implementacin del
vnculo.
Visualizacin de los parmetros de contrasea resultantes, lo que permite conocer los
parmetros que se aplicarn al usuario.
Es, ahora, ms rpido conocer los parmetros que se aplicarn al usuario si se han creado varias
PSO.
3. Configuracin de las cuentas de servicio

Algunas aplicaciones (Microsoft Exchange, SQL Server, Backup Exec) utilizan una cuenta de usuario
para ejecutar sus servicios y realizar la autenticacin.
De manera idntica a las cuentas utilizadas por los usuarios de dominio, este tipo de cuenta
complica la administracin cotidiana. El cambio de la contrasea requiere tener que volver a
configurar los servicios de la aplicacin. Esta cuenta no puede someterse a la poltica de bloqueo y
algunos de los parmetros (expiracin de la contrasea, por ejemplo) no pueden aplicarse.
Para simplificar su administracin, es posible implementar cuentas de servicio administradas.
Presentacin de las cuentas de servicio administradas
Una cuenta de servicio administrada es un objeto AD DS. A diferencia de una cuenta de usuario
normal, dado que puede resultar difcil cambiar la contrasea de una cuenta que se encarga de
ejecutar y autenticar servicios, las cuentas de servicio gestionadas tienen una contrasea que se
cambia automticamente cada 30 das. La seguridad en el dominio se ve, as, mejorada, el
administrador ya no tiene que gestionar las credenciales de las cuentas utilizadas en las
aplicaciones. La clase de objeto cuenta de servicio administrada se presenta en el esquema Active
Directory con el nombre msDS-Managed-ServiceAccount.
Esta clase se instancia durante la creacin de un nuevo objeto. A continuacin, se almacena en el

contenedor Managed Service Accounts (CN=Managed Service Accounts,DC=<domain>,DC=<com>).
Es preciso habilitar las Caractersticas avanzadas en el men Ver para mostrar el contenedor.
Requisitos previos necesarios para la funcionalidad
El servidor debe funcionar con el sistema operativo Windows Server 2008 R2, Windows Server 2012
o Windows Server 2012 R2 para poder instalar la funcionalidad. Adems, es preciso que el .NET
Framework 3.5.x y el mdulo Active Directory para PowerShell estn instalados en el servidor.
Por ltimo, el nivel funcional del dominio debe ser Windows Server 2008 R2 o superior.
Con Windows Server 2012 R2 es necesario crear una root key o, ms bien, key distribution services
root key antes de proceder a la creacin de cuentas de servicio administradas. Esta operacin se
realiza mediante el siguiente comando PowerShell:
Add-KDSRootKey -EffectiveTime ((Get-Date).AddHours(-10))
Para obtener ms informacin acerca de las root key puede visitar el

sitio:http://technet.microsoft.com/es-es/library/jj128430.aspx
Se dedica un trabajo prctico a la creacin de cuentas de servicio administradas.

Directivas de grupo
Una directiva de grupo permite definir parmetros en un punto central. A continuacin, este lote de
parmetros se aplica a uno o varios objetos (usuarios o equipos). De este modo, la administracin se
ve mejorada, adems de existir una interfaz grfica que permite administrar esta configuracin sin
tener que escribir complejos scripts.
1. Gestin de la configuracin
A diferencia de un usuario particular, que posee un nmero de equipos limitado, en muchos casos
uno solo, la red informtica de una empresa est compuesta de varias decenas o centenares de
puestos. En este caso, es inconcebible realizar la configuracin de forma manual. La directiva de
grupo tiene, en este caso, una importancia relevante en el ciclo de vida de un sistema de
informacin.
Adems de los parmetros, una directiva de grupo posee, a su vez, un mbito y una aplicacin. El
mbito se corresponde con los equipos o usuarios que se vern afectados por la directiva. Existen,
adems, distintas formas de limitar el mbito. Estos puntos se abordan en la seccin
Implementacin y administracin de las directivas de grupo. La aplicacin es un mecanismo que
permite implementar una directiva de grupo en un equipo. Dicha aplicacin se realiza en intervalos
definidos.
Existen dos tipos de directiva de grupo: la directiva local, que est presente en todos los puestos y
servidores (excepto los controladores de dominio), y las directivas de dominio, que se configuran
desde un controlador de dominio y que se aplican al conjunto de puestos, servidores y al conjunto
de usuarios.
2. Visin general de las directivas de grupo

Como hemos visto antes, una directiva de grupo est compuesta por parmetros. stos se aplican
nicamente a un usuario o bien a un equipo. Cuando se quiere implementar un parmetro, ste
debe apoyarse en un estado. Existen tres estados destinados a este fin:
No configurado (estado por defecto)
Habilitado
Deshabilitado
El texto de ayuda que acompaa a la ventana permite conocer el comportamiento del

componente configurado en funcin de los distintos estados.
Es importante, a su vez, asegurarse de la versin del sistema operativo con la que es compatible el
parmetro. En caso de no respetarse, el parmetro se recibir en el puesto pero no podr aplicarse.
Tomemos un ejemplo. Las preferencias de directivas de grupo han hecho su aparicin con Windows
Vista/Windows Server 2008. Los servidores Windows Server 2003 o los equipos con Windows XP no
conocen, por tanto, este tipo de parmetros. Sin instalar un cliente de preferencias en los puestos
que ejecutan una versin anterior a Windows Vista, el parmetro no se aplicar.
Es posible aplicar distintos tipos de parmetros. Adems de las preferencias de las directivas de
grupo, es posible implementar parmetros de seguridad, la ejecucin de un script, el despliegue de
aplicaciones
3. Extensiones del lado cliente

Las extensiones del lado cliente o CSE (Client Side Extensions) estn presentes en todos los
sistemas operativos de Microsoft y tienen como objetivo aplicar parmetros de directivas de grupo.
El funcionamiento de la aplicacin de la directiva de grupo arranca con la bsqueda de las directivas

de grupo que se aplicarn al puesto o al usuario. Esta bsqueda se realiza mediante el servicio
Cliente de directivas de grupo. A continuacin, este servicio recupera los parmetros que no han
sido todava almacenados en cach. Las extensiones del lado cliente hacen su trabajo y modifican el
equipo o la sesin del usuario. Existen tantas CSE como tipos de parmetros:
Preferencias
Script
Base de datos de registro
Seguridad
Despliegue de aplicaciones
A este funcionamiento se le suman ciertas reglas. De este modo, la parametrizacin se aplica al

equipo nicamente en caso de cambio (cambio de estado), aunque es posible modificar este
comportamiento obligando una aplicacin sistemtica. Los parmetros de seguridad se aplican
obligatoriamente. Algunas CSE (despliegue de aplicaciones, por ejemplo) no aplican su parmetro si
se considera que existe una conexin lenta. Una conexin posee esta consideracin siempre que su
tasa de transferencia sea inferior a 512 Kbits/s. Los componentes del sistema operativo
configurados mediante una directiva de grupo no pueden ser modificados por un usuario. Las
preferencias ofrecen la posibilidad, a un usuario, de modificar temporalmente estos parmetros.
Estas directivas se aplican tras el reinicio del puesto y el inicio de sesin o a intervalos de tiempo
reculares de entre 90 a 120 minutos. No se produce ninguna modificacin si no se ha realizado
ninguna modificacin sobre el parmetro. Los parmetros de seguridad se aplican cada 16 horas,
incluso aunque no hayan sufrido modificaciones. Por ltimo, existe un caso adicional, el de los
controladores de dominio donde la directiva se aplica cada 5 minutos.
4. Directivas de grupo por defecto

En un dominio Active Directory, se crean dos directivas de grupo por defecto. La Default Domain
Policy, ubicada en la raz del domino, que no posee ningn filtro WMI. Adems, se posiciona el grupo
de Usuarios autenticados. De este modo, todos los objetos de usuario o equipo reciben la
configuracin. Por defecto, se configuran los parmetros de seguridad (contrasea, bloqueo y
Kerberos). Agregar un parmetro a esta directiva permite aplicarlo a todos los objetos del dominio.
La directiva de grupo Default Domain Controller Policy se posiciona a nivel de la unidad organizativa
Domain Controllers. Los parmetros se aplican nicamente sobre el controlador de dominio y
permiten implementar un sistema de auditora o atribuir permisos suplementarios a un usuario o
grupo de usuarios.
5. Almacenamiento de la directivas de grupo

La directiva de grupo se divide en dos partes. Por un lado, el contenedor de la directiva de grupo
(GPC) se almacena en el directorio Active Directory. Cada objeto est compuesto por un GUID que
permite disponer de una identidad nica en AD DS. La plantilla de directiva de grupo (GPT) contiene,
por su parte, los distintos parmetros contenidos en las directivas de grupo. La GPT se almacena en
la carpeta SYSVOL, donde cada subcarpeta se corresponde con un objeto presente en el GPC. Las
subcarpetas reciben el nombre del GUID presente en el GPC.
La replicacin de ambos componentes de la directiva de grupo es, tambin, diferente. El contenedor
de la directiva de grupo (GPC) almacenado en el Active Directory se replica con l. De este modo, los
controladores de dominio contienen todos los distintos contenedores. La carpeta SYSVOL, que
contiene la plantilla de la directiva de grupo (GPT) se replica con el sistema FRS (servicios de
replicacin de ficheros). Desde Windows Server 2008 es posible utilizar el sistema de replicacin
DFS, que ofrece una mayor fiabilidad y eficacia.
Ambos sistemas pueden, en ciertos casos, estar desincronizados. Con el objetivo de verificar la
correcta sincronizacin entre el GPC y la GPT, conviene utilizar la herramienta GPOTool. Esta
herramienta, por lnea de comandos, permite asegurar que no existen incoherencias entre ambos
controladores. Resulta muy prctica para preparar la migracin de un controlador de dominio.
Es preciso descargar la herramienta antes de poder utilizar el comando DOS.
6. GPO de inicio
Aparecidas con Windows Server 2008, las directivas de grupo de inicio permiten implementar
plantillas para otras directivas de grupo. No obstante, estas plantillas solo pueden contener
parmetros presentes en las plantillas administrativas. De este modo, todas las GPO del dominio
contienen cierto nmero de parmetros idnticos (a condicin, evidentemente, de que se utilice la
misma plantilla).
Es posible realizar operaciones de importacin y de exportacin de estas directivas. Estas

operaciones se realizan mediante archivos con extensin .cab. Durante el primer uso, es preciso
crear la carpeta, que contiene las plantillas predefinidas.
Aparece una nueva carpeta dentro de SYSVOL, con el nombre StarterGPOs, que contiene los
parmetros de cada una de las directivas.
Es posible, evidentemente, crear nuestra propia plantilla.
7. Copia de seguridad y restauracin de una directiva de grupo

Las directivas de grupo permiten definir parcialmente o completamente el entorno de los usuarios.
Una prdida de estos parmetros puede implicar una prdida de produccin para el usuario. Es, por
tanto, importante asegurar (como con cualquier elemento crtico) que se tienen mecanismos para
realizar copias de seguridad y, sobre todo, para poder realizar una posterior restauracin de este
elemento (con frecuencia se olvida esta etapa, que tiene una importancia enorme puesto que valida
el correcto funcionamiento de la copia de seguridad y sus procedimientos).
La copia de seguridad puede aplicarse a una directiva en particular o al conjunto de GPO. El destino
de la copia de seguridad es, sencillamente, una carpeta que contendr la informacin necesaria en
la etapa de restauracin (ID, parmetro). La restauracin ofrece, por su parte, ms posibilidades.
Como con cualquier operacin de restauracin, es posible restaurar una copia de seguridad que
previamente se ha guardado. Adems, es posible importar una GPO salvaguardada dentro de una
GPO existente. Esta accin no hace ms que importar los parmetros. No obstante, algunas
directivas pueden contener rutas UNC, de modo que es necesario, en la etapa de importacin,
realizar una verificacin de estos enlaces. Para ello se utiliza una tabla de migracin, que permite
validar y modificar, si fuera necesario, las distintas rutas UNC.
8. Delegacin de la administracin
Desde hace muchos aos existe la delegacin en los sistemas operativos de servidor, y permite la
distribucin de tareas a otras personas. De este modo, es posible asignar a otras personas
diferentes a los administradores las tareas de creacin de directivas de grupo, de creacin de
vnculos WMI
Es posible implementar distintos niveles de delegacin:
Creacin/modificacin de objetos de directiva de grupos
Gestin de los vnculos de las directivas de grupos
Ejecucin del modelado de directivas de grupos
Lectura de datos resultantes de las directivas de grupos
Creacin de filtros WMI
Los usuarios miembros del grupo CREATOR OWNER tienen acceso completo al sistema de directivas
de grupo.
Como todo objeto de Active Directory, una directiva de grupo posee una ACL, compuesta por los
grupos Administradores de dominio, Administradores de empresas, Creador propietario y Sistema
local. El conjunto de estos grupos posee un control total a nivel de la gestin de directivas de grupo,
un usuario miembro tendr asignado el permiso Aplicar directiva de grupos y lectura.
Para asignar el permiso de crear una GPO a un usuario se necesita agregar su cuenta de usuario al
grupo CREADOR PROPIETARIO o implementar, de manera explcita, la autorizacin desde la consola
GPMC. A diferencia de la delegacin de la creacin, que no limita la creacin, la correspondiente al
vnculo est limitada a un contenedor. Este tipo de directiva se configura desde la
pestaaDelegacin del contenedor en la consola GPMC o mediante el asistente Delegacin de
control en la consola Usuarios y equipos de Active Directory. Ocurre de forma similar con las
operaciones de creacin de filtros WMI, de modelado y resultado de directivas de grupos.
9. PowerShell con GPO

Como con la mayora de componentes de Windows Server 2012 R2, es posible realizar la
administracin y la gestin de directivas de grupo mediante PowerShell.
Existen varios cmdlets disponibles:
New-GPO: creacin de una nueva directiva de grupo.
New-GPLink: permite implementar un vnculo a una GPO.
Backup-GPO/ Restore-GPO: realiza la copia de seguridad y restauracin de una directiva.
Copy-GPO/ Import-GPO: realiza la operacin de copia o de importacin.

Implementacin y administracin de las directivas de
grupo
La implementacin de una directiva de grupo es un asunto importante que no debe descuidarse. En
efecto, las directivas son acumulativas, lo que puede dar un resultado final completamente diferente
al esperado.
1. Vnculos GPO
Es posible crear una directiva de grupo de dos formas. Realizando la operacin desde el contenedor
Objetos de directiva de grupo, la directiva no queda vinculada con ningn contenedor. La segunda
forma de crear una directiva es realizando su creacin desde un contenedor. Esta segunda solucin
permite, no obstante, implementar el vnculo adems de la creacin.
Es preferible realizar el vnculo una vez se ha creado y probado la GPO. En efecto, si existe el vnculo
desde la creacin, los parmetros comienzan a aplicarse cuando la directiva de grupo todava no se
ha comprobado, o ni siquiera terminado de programar. Por ello, es preferible crear en primer lugar la
directiva de grupo y, a continuacin, realizar el vnculo en un paso posterior. ste debe
implementarse sobre una unidad organizativa de pruebas, con el objetivo de validar el correcto
funcionamiento de los distintos parmetros de la GPO.
El vnculo de una directiva de grupo permite definir el mbito. La aplicacin de la GPO se realiza
sobre el contenedor y sus hijos. Esto influye en los equipos cliente y servidores presentes en los
contenedores.
Es posible vincular una misma directiva con varios contendores.
2. Orden de aplicacin
Las directivas de grupo se aplican en el puesto en funcin de un orden preciso bien definido. La
primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente).
A continuacin, se recuperan las GPO del dominio y se aplican, empezando por la GPO del sitio AD. A
continuacin, se recupera la Default Domain Policy y cualquier otra directiva que est definida en la
raz del dominio. Por ltimo, se aplican aquellas directivas definidas a nivel de OU o sub-OU.
Es posible realizar este vnculo sobre una entidad de seguridad (grupos o usuarios). Es necesario
enlazarla a algn contenedor (OU, dominio). La directiva que se aplica en ltimo lugar es aquella
definida a nivel de OU, en caso de conflicto con algn parmetro es la ltima GPO aplicada la que
tiene autoridad sobre las dems. Para modificar este orden de prioridad es posible bloquear la
herencia o aplicar la opcin Aplicar a una directiva. Esta ltima accin no se realiza sin
consecuencia, puesto que vuelve prioritaria cualquier GPO y permite saltarse cualquier bloqueo o
herencia.
3. Herencia y opcin de aplicacin

Como hemos visto antes, las directivas de grupo son acumulativas. Es posible, por tanto, tener una
directiva resultante diferente a la que se esperaba. La herencia y la opcin de aplicacin pueden, en
ciertos casos, resolver un conflicto entre dos parmetros y, por tanto, favorecer un resultado
distinto al esperado.
La consola GPMC permite determinar el orden de aplicacin atribuyendo un nmero a cada directiva.
La que posea el nmero ms bajo ser la prioritaria. Esta funcionalidad est accesible seleccionando
el contenedor deseado y accediendo a la pestaa Herencia de directivas de grupo.
Es posible ver en la pantalla anterior que la directiva de grupo Default Domain Controllers Policy es
prioritaria respecto a la Default Domain Policy.
Esto se explica, simplemente, por el hecho de que la GPO Default Domain Controller Policy se
posiciona sobre la unidad organizativa Domain Controllers, se aplica en ltimo lugar.
Esto permite ver que una directiva de grupo aplicada sobre un contenedor se hereda en los
contenedores situados debajo de ella. Se habla as de GPO aplicada sobre el contenedor padre que
se hereda en los contenedores hijos. Esta herencia puede, evidentemente, bloquearse. Cuando se
habilita el bloqueo, se muestra un crculo azul que contiene un signo de exclamacin blanco.
Comprobamos, de este modo, que la GPO Default Domain Policy heredada anteriormente ya no est
presente. Es preferible no abusar de la opcin Bloqueo de herencia, que puede, a gran escala,
complicar la administracin. El filtrado por grupo de seguridad puede resultar una mejor alternativa
para limitar los objetos afectados por la directiva de grupo.
La opcin Exigido permite modificar la prioridad de una directiva. Cuando se habilita esta opcin, la
GPO afectada recupera el nivel de prioridad ms elevado. Adems, existe la posibilidad de superar el
bloqueo por herencia. Esta opcin puede habilitarse simplemente haciendo clic con el botn derecho
sobre la directiva de grupo y, a continuacin, seleccionando la opcin Exigido.
Esta opcin debe utilizarse con precaucin, pues en caso contrario la directiva resultante puede
convertirse en algo totalmente diferente a lo que se busca.
4. Implementacin de filtros para gestionar el mbito

Es posible implementar filtros con el objetivo de limitar aquellos usuarios y equipos que tienen la
posibilidad de recibir los parmetros de la directiva de grupo. Para ello, se utilizan grupos de
usuarios. Tras la creacin de una directiva de grupo se posiciona por defecto al grupo Usuarios
autenticados en el filtrado de seguridad.
Para implementar un filtro es necesario eliminar el grupo por defecto y, a continuacin, indicar el
grupo deseado.
Adems de los grupos de seguridad es posible implementar filtros WMI. Se trata de una tecnologa
que permite controlar distintos objetos (sistema operativo). Es, por tanto, posible utilizar una
consulta WMI para filtrar en base a la memoria asignada, la velocidad del procesador, el disco duro,
la versin de sistema operativo
Este tipo de filtros resulta prctico cuando se desea desplegar aplicaciones mediante directivas de
grupo.
5. Funcionamiento de una directiva de grupo con enlaces lentos

Tras la recuperacin de una directiva de grupo, algunos parmetros puede que no se apliquen en
funcin de la velocidad del enlace entre el equipo y el controlador de dominio. Se considera que una
conexin es lenta cuando la tasa de transferencia es inferior a 500 Kbits/s. La instalacin de
aplicaciones se ve afectada por la velocidad de los enlaces. Si el enlace se considera lento, el
parmetro no se aplica. La aplicacin o no del parmetro viene determinada por cada CSE
(extensin del lado cliente).
Las extensiones del lado cliente siguientes estn inactivas con enlaces lentos:
Mantenimiento de Internet Explorer
Instalacin de software
Redireccin de carpetas
Ejecucin de script
Directiva IPsec
Directiva inalmbrica
Directiva de cuota en disco

Si una estacin se encuentra desconectada de la red, utilizar los parmetros anteriores alojados
en cach. Cuando se conecte a la red, las distintas extensiones del lado cliente detectarn si es
necesario actualizar los parmetros.
6. Recuperacin de directivas por los puestos clientes

La actualizacin de una directiva de grupo se realiza tras el arranque del equipo o tras el inicio de
sesin. Adems, cada puesto pregunta a su vez a su controlador de dominio tras cada intervalo de
entre 90 a 120 minutos. La actualizacin sobre un controlador de dominio se realiza cada 5 minutos.
Si no se produce ninguna modificacin sobre alguna directiva de grupo, sta no se vuelve a aplicar.
Para asegurar que la actualizacin de directivas de grupo se realiza una vez los servicios de red de
la mquina estn habilitados, se recomienda habilitar el parmetro Esperar siempre la deteccin de
red al inicio e inicio de sesin del equipo para todos los clientes Windows.
Este parmetro se encuentra en el nodo Configuracin del equipo\Directivas\Plantillas

administrativas\Sistema\Inicio de sesin.
Algunos parmetros (Ejecucin de script, Redireccin de carpeta, Instalacin de software)

necesitan un nuevo inicio de sesin o un reinicio del equipo.
Adems de la actualizacin automtica, es posible "forzar" la aplicacin de una directiva de grupo.

Para ello, debe utilizarse el comando gpupdate. Presenta dos opciones:
/target:computero /target:user: limita la aplicacin a los parmetros de equipo o
de usuario.
/force: se reaplica el conjunto de parmetros de las directivas de grupo.

/logoffo /boot: estos parmetros provocan un cierre de sesin o un reinicio del puesto.
Mantenimiento de una directiva de grupo
La implementacin de una directiva de grupo puede impactar sobre el entorno del usuario. Adems,
en un sistema complejo es posible que ciertos parmetros no se apliquen. En tal caso, es necesario
utilizar las distintas herramientas disponibles en el sistema operativo para encontrar la causa.
Desde Windows Server 2012 es posible forzar la aplicacin de una directiva de grupo. Esta operacin
se aplica nicamente sobre objetos de tipo equipo. En caso de actualizacin en una unidad
organizativa que contenga nicamente cuentas de usuario, aparece un mensaje.
Tras la aplicacin sobre una o varias cuentas de equipo, aparece un informe que permite conocer el
resultado de la actualizacin.
En AD3, al estar apagado durante la actualizacin, ha fallado la actualizacin de la directiva. Tambin

es posible obtener un informe acerca del estado de la replicacin entre Active Directory y SYSVOL.
Una vez ms, el controlador de dominio AD3 aparece como inaccesible. Es mucho ms fcil conocer el
estado de la replicacin entre la GPC (Group Policy Console) replicada con Active Directory y la GPT
(Group Policy Template) replicada con DFSR.
1. Directiva de grupo resultante

Como con las actualizaciones NTFS, la combinacin de todas las directivas de grupo produce la
directiva resultante. En funcin de los filtros (grupos de seguridad, WMI) y de la opcin Aplicada, los
parmetros de la GPO resultante pueden ser diferentes a los deseados por el administrador.
Para visualizar estos parmetros, es posible utilizar el comando RSOP. Este comando puede
utilizarse sobre un equipo/servidor local o sobre un equipo remoto. Es posible crear un informe,
aunque tambin es posible modelar los parmetros de las directivas de grupo. Existen varias
herramientas, provistas con el sistema operativo, que permiten realizar anlisis RSOP.
El asistente Resultados de directivas de grupo.
El asistente Modelado de directivas de grupo.
El comando gpresult.
2. Informe RSOP
Los informes RSOP facilitan el mantenimiento aportando la informacin necesaria acerca de la
directiva resultante. Es posible, para ello, utilizar el asistente Resultados de directivas de grupo,
que utiliza el proveedor WMI para recuperar la informacin en un equipo local o en un puesto
remoto:
Directiva de grupo aplicada
Directiva de grupo no aplicada, y el motivo

Listado de parmetros de directivas de grupo
No obstante, recuperar correctamente esta informacin requiere en primer lugar que el equipo est
conectado. La cuenta que se utiliza para consultar debe poseer permisos de administracin sobre el
equipo consultado. Es preciso autorizar el trfico entre ambos equipos si hubiera algn firewall
activado (uso de los puertos 135 y 445). Por ltimo, es necesario que el usuario haya iniciado sesin
al menos una vez, con el objetivo de que las directivas de grupo se hayan aplicado al menos una
vez sobre el equipo.
Una vez terminada la recogida de informacin, el asistente genera un informe en formato DHTML con
tres pestaas:
Resumen: esta pestaa permite obtener, muy rpidamente, informacin importante acerca
de las distintas directivas de grupo (GPO aplicada, GPO rechazada, pertenencia a grupos de
seguridad).
Parmetros: permite visualizar los distintos parmetros de la directiva resultante.
Evento de directiva: recupera la informacin de la directiva de grupo en los registros de

evento.
Es posible visualizar el informe desde la consola Administracin de directivas de grupo, donde es

posible volver a ejecutar de nuevo la consulta con el objetivo de actualizar el informe.
El comando gpresult puede utilizarse, a su vez, para recoger la misma informacin. Preste
atencin, no obstante, a que es preciso disponer como mnimo de equipos ejecutando Windows XP y
servidores con Windows Server 2003 para poder ejecutar este comando.
Como con el asistente Resultados de directivas de grupo, es posible consultar un equipo remoto.
Para llevar a cabo esta operacin es preciso utilizar la opcin /s. Las opciones /v y /z permiten
obtener un resumen ms o menos igual de detallado. Por ltimo, para crear un informe debe
utilizarse la opcin /h.
3. Uso de registros de eventos

Aparte de los distintos comandos estudiados en los puntos anteriores, es posible obtener la
informacin desde los registros de eventos. El registro de eventos del sistema permite obtener
eventos vinculados con los clientes tales como la imposibilidad de conectarse a un controlador de
dominio o la imposibilidad de realizar la localizacin de objetos de directiva de grupo. El registro de
aplicaciones permite, por su parte, visualizar los eventos vinculados con las extensiones del lado
cliente. Por ltimo, el registro GroupPolicy ofrece informacin detallada acerca del procesamiento de
las directivas de grupo.
Gracias a las herramientas ofrecidas por Windows Server 2012 R2, el mantenimiento de las
directivas de grupo se ve ampliamente facilitado.
4. Enlace lento y cach de directivas de grupo

En una red empresarial, puede ocurrir que no exista un controlador de dominio en una o varias
sedes (con pocos empleados, con poca seguridad). La autenticacin y la recuperacin se realizan
desde un controlador de dominio ubicado en otro sitio.
De este modo, el enlace WAN se utiliza a menudo. Si este enlace ofrece una tasa de transferencia
inferior a 500 Kbits/s, entonces el enlace se considera lento. Esto puede dar lugar a un incidente en
la aplicacin de alguna directiva de grupo.
En efecto, cuando un equipo recupera los parmetros de una directiva de grupo, utiliza ciertos
componentes del sistema operativo: las extensiones del lado cliente, cuyo rol es recuperar la
configuracin de una GPO y aplicarla en los equipos. Encontramos, de este modo, tantas
extensiones del lado cliente como tipos de parmetros (preferencias, scripts).
De este modo, si se trata de un enlace lento, algunos parmetros puede que no se apliquen.
Las siguientes extensiones se aplican incluso aunque se trabaje desde un enlace lento:
Configuracin de registro (plantillas administrativas).
Directivas de seguridad.
Directivas de recuperacin EFS.
Seguridad IP.
Las siguientes extensiones no se aplicarn si se trabaja desde un enlace lento:
Despliegue de aplicaciones.
Scripts.
Redireccin de carpetas.
Cuotas de disco.
Tras la aplicacin de una directiva de grupo en un equipo se produce un almacenamiento en cach.

Esta operacin permite conservar la poltica definida por el administrador incluso aunque el equipo
est desconectado de la red.
Para mejorar la experiencia en una red desde una conexin remota es posible utilizar el modo
sncrono. Permite utilizar la versin ms reciente de la cach en lugar de recuperar la configuracin
de la red. Esto permite realizar un arranque ms rpido en caso de trabajar desde una conexin
VPN (DirectAccess, por ejemplo).
5. Configuracin de una poltica de seguridad Kerberos

Desde hace varias generaciones de sistemas operativos de servidor es posible gestionar los
parmetros de Kerberos. Utilizados en el funcionamiento de las autenticaciones, se recomienda, por
otro lado, modificarlos con precaucin.
Desplegando los nodos Configuracin del equipo - Directivas - Configuracin de Windows -

Configuracin de seguridad - Directivas de cuentas - Directiva Kerberos es posible acceder a
estos parmetros.
Trabajos prcticos: Gestin del entorno del usuario
Estos trabajos prcticos permiten realizar la implementacin de directivas de grupo o la importacin
de cuentas de usuario.
1. Importar cuentas de usuario mediante cmdlets PowerShell

Objetivo: importar cuentas de usuario mediante un archivo CSV. Para llevar a cabo esta operacin se
utiliza un cmdlet.
En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuacin, despliegue el

nodo Formacion.local.
Haga clic con el botn derecho en la raz del dominio y, a continuacin, haga clic en Nuevo -
Unidad organizativa.
En el campo Nombre, escriba ExportRH y, a continuacin, haga clic en Aceptar.
Abra una consola PowerShell y, a continuacin, escriba el comando set-executionpolicy

unrestricted.
Valide la posibilidad de ejecutar scripts no firmados presionando S y, a continuacin, pulsando la
tecla [Enter].
Ejecute el script Script_Importacion.ps1 (el archivo CSV y el script PowerShell estn ubicados en
la raz C: en el ejemplo).
El archivo CSV y el script pueden descargarse desde la pgina Informacin.
Las cuentas se han importado correctamente.
La importacin resulta, de este modo, mucho ms sencilla, basta con modificar el archivo CSV.
2. Creacin de una PSO

Objetivo: crear una directiva de contrasea muy especfica para aplicarla a un grupo de seguridad.
En AD1, verifique el nivel funcional del dominio para comprobar que es, como mnimo, Windows
Server 2003.
Abra la consola Usuarios y equipos de Active Directory presente en las Herramientas

administrativas (men de inicio).
Haga clic en la raz del dominio Formacion.local y, a continuacin, mediante la barra de

herramientas, cree una nueva unidad organizativa.
En el campo Nombre, escriba PSO y, a continuacin, haga clic en Aceptar.
Haga clic en la unidad organizativa que acaba de crear y, a continuacin, haga clic en el botn
que permite crear un nuevo usuario.
Escriba Prueba en el campo Nombre de pila y, a continuacin, PSO en el campo Apellidos.
El nombre de inicio de sesin de usuario es pso.

Escriba Pa$$w0rd en el campo Contrasea y, a continuacin, confrmela.
Marque la opcin La contrasea nunca expira.
Haga clic en Siguiente y, a continuacin, en Finalizar.
Repita las mismas etapas para la creacin del usuario Prueba PSO2.
Desde las Herramientas administrativas, abra la consola Centro de administracin de Active

Directory.
En el panel izquierdo, haga doble clic en la raz del dominio Formacion (local).
En el panel de navegacin, haga doble clic en el contenedor System y, a continuacin,
enPassword Settings Container.
Haga clic en Nuevo en el panel Tareas y, a continuacin, en Configuracin de contrasea.
Escriba PSO Admin en el campo Nombre y 1 en Precedencia.
Deje marcada la opcin Exigir longitud mnima de contrasea y escriba, en el campo

correspondiente, el valor 5.
En el campo Exigir historial de contrasea, escriba 8.
Marque la opcin Exigir directiva de bloqueo de cuenta y, a continuacin, escriba 3 en el

campoNmero de intentos de inicio de sesin incorrectos.
Haga clic en el botn Agregar y, a continuacin, escriba pso en el campo Escriba los nombres de
objeto que desea seleccionar en el cuadro de dilogo que se abre.
Haga clic en el botn Comprobar nombres, el campo tendr el mismo valor que en la siguiente
pantalla.
Haga clic en Aceptar.
Haga clic en Aceptar para validar la creacin.
Haga clic en Nuevo en el panel Tareas y, a continuacin, en Configuracin de contrasea para

crear una nueva poltica.
Escriba PSO VIP en el campo Nombre y 1 en Precedencia.
Deje marcada la opcin Exigir longitud mnima de contrasea y escriba, en el campo

correspondiente, el valor 2.
En el campo Exigir historial de contrasea, escriba 1.
Desmarque la opcin Exigir longitud mnima de contrasea.

Marque la opcin Exigir directiva de bloqueo de cuenta y, a continuacin, escriba 2 en el
campoNmero de intentos de inicio de sesin incorrectos.
Haga clic en el botn Agregar y, a continuacin, escriba pso2 en el campo Escriba los nombres
de objeto que desea seleccionar en el cuadro de dilogo que se abre.
En la consola se muestran, a continuacin, ambas polticas de contrasea.
La consola permite, tambin, conocer los parmetros de contrasea resultantes para un usuario
determinado.
Haga doble clic en la raz del dominio Formacion.local y, a continuacin, en la unidad

organizativaPSO.
Haga clic en Prueba PSO1 y, a continuacin, en el panel Tareas, haga clic en Ver configuracin
de contrasea resultante.
Se muestra la directiva de contrasea muy especfica que tiene asociada el usuario.
Repita la misma operacin seleccionando esta vez Prueba PSO2.

La directiva que tiene asociada es PSO VIP.
3. Creacin de una cuenta de servicio

Objetivo: crear una cuenta de servicio mediante Cmdlets PowerShell.
En AD1, acceda a las Herramientas administrativas y, a continuacin, ejecute el Mdulo Active

Directory para Windows PowerShell.
Escriba el comando Add-KdsRootKey -EffectiveTime ((get-

date).addhours(10)), que permite crear la clave de raz de los servicios de distribucin.
Esto permite crear, a continuacin, la cuenta.
La cuenta puede, ahora, crearse. Para ello, escriba el siguiente comando:
New-ADServiceAccount -Name Webservice -DNSHostName AD1

-PrincipalsAllowedToRetrieveManagedPassword AD1$
Puede descargar el script desde la pgina Informacin.
Ahora es preciso asociar la cuenta de servicio Webservice a AD1.
Para ello, escriba el comando:
Add-ADComputerServiceAccount -identity AD1 -ServiceAccount Webservice
Ahora la cuenta est presente en Active Directory.

A continuacin, es posible utilizar la cuenta en un servicio.
4. Creacin y configuracin de una directiva de grupo

Objetivo: crear una directiva de grupo y, a continuacin, aplicarla solamente a los controladores de
dominio.
Mquinas virtuales: AD1, AD2 y AD3.
En AD1, abra la consola de Administracin de directivas de grupo y, a continuacin, despliegue

los nodos Dominios y Formacion.local.
Haga clic con el botn derecho en GPO y, a continuacin, seleccione Nuevo en el men
contextual.
En Nombre, escriba GPO Configuracin DC y, a continuacin, haga clic en Aceptar.
Haga doble clic en la directiva de grupo recin creada y, a continuacin, seleccione Editar en el
men contextual.
Despliegue los nodos Configuracin del equipo - Directivas - Configuracin de Windows -

Configuracin de seguridad - Firewall de Windows con seguridad avanzada.
Haga clic en el enlace Propiedades del Firewall de Windows.
Configure el parmetro Estado del firewall al estado Inactivo.

Repita la misma operacin en los otros dos perfiles y, a continuacin, haga clic en Aceptar.
Cierre la consola Editor de administracin de directivas de grupo.
En la consola Administracin de directivas de grupo, haga doble clic en GPO Configuracin DC.
La directiva de grupo no est vinculada con ninguna unidad organizativa.
Haga clic en Usuarios autenticados y, a continuacin, en el botn Quitar en Filtrado de

seguridad.
Agregue, ahora, el grupo Controladores de dominio con ayuda del botn Agregar.
Haga clic con el botn derecho en Formacion.local y, a continuacin, seleccione la opcinVincular

un GPO existente.
Seleccione GPO Configuracin DC y, a continuacin, haga clic en Aceptar.
La directiva se encuentra, ahora, vinculada con el dominio y correctamente modificada.

Haga clic con el botn derecho en la unidad organizativa Domain Controllers y, a continuacin,
seleccione la opcin Actualizacin de directiva de grupo.
Esta operacin permite forzar la actualizacin de las directivas de grupo en las cuentas de
usuario presentes en la OU.
En la ventana que se abre, haga clic en S.
Aparece una ventana que muestra el resultado de la actualizacin.

Haga clic en Cerrar.
Espere algunos minutos y, a continuacin, verifique que el parmetro se ha aplicado correctamente al

conjunto de controladores de dominio.
Aparece un mensaje advirtiendo de que ciertos parmetros se gestionan mediante una directiva de
grupo.
5. Creacin de un informe RSOP

5. Creacin de un informe RSOP
Objetivo: generar un informe RSOP sobre los controladores de dominio para visualizar la informacin
relativa a la aplicacin de las directivas de grupo.
Mquinas virtuales: AD1 y AD3.
En AD1, abra la consola Administracin de directivas de grupo.
Haga clic con el botn derecho en Resultados de directivas de grupo y, a continuacin, en el

men contextual seleccione Asistente para Resultados de directivas de grupo.
En la ventana Seleccin de equipos, haga clic en Otro equipo y, a continuacin, utilice el

botnExaminar.
Escriba AD3 y, a continuacin, haga clic en Comprobar nombres, valide haciendo clic en el
botnAceptar.
En la ventana Seleccin de usuario, haga clic en Siguiente.
Haga clic en Siguiente y, a continuacin, en Finalizar para generar el informe.
La pestaa Resumen permite visualizar rpidamente si se ha detectado algn problema.

La pestaa Detalles ofrece toda la informacin necesaria para realizar el diagnstico de un posible
problema. Eventos de directiva permite tener acceso, de manera muy sencilla, a los eventos
presentes en el registro de eventos del equipo o del servidor afectado.
1. Preguntas
1 Qu tipo de archivo se utiliza con el comando csvde?

2 Cul es la opcin que debe utilizarse para realizar una importacin con el comando csvde?
3 Es posible realizar la modificacin de una cuenta con el comando csvde?
4 Cules son los parmetros contenidos en una poltica de seguridad?
5 Cules son los criterios que deben respetarse para que una contrasea se considere
compleja?
6 A qu objetos se aplican las directivas de contrasea muy especfica?
7 Cules son los dos objetos presentes en AD DS y que utilizan las PSO?
8 Cundo se modifica el parmetro msDS-PSOApplied?
9 Cul es el rol de una extensin del lado cliente?
10 Qu ocurre si se detecta una conexin lenta?
11 Cundo se actualiza una directiva de grupo?
12 Qu permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR

PROPIETARIO?
13 Qu cambio se opera cuando se utiliza la opcin Aplicar sobre una GPO?
14 Qu medios existen para crear un informe RSOP?
2. Resultados
3. Respuestas
1 Qu tipo de archivo se utiliza con el comando csvde?
El comando csvdeutiliza archivos con formato CSV.
2 Cul es la opcin que debe utilizarse para realizar una importacin con el comando csvde?
Por defecto, el comando csvderealiza una exportacin. Para realizar una importacin, es preciso
usar la opcin -i.
3 Es posible realizar la modificacin de una cuenta con el comando csvde?

No, el comando csvdeno permite realizar modificaciones sobre una cuenta de usuario existente,
es preciso utilizar, para ello, el comando idifde.
4 Cules son los parmetros contenidos en una poltica de seguridad?
Una poltica de seguridad puede contener, principalmente, parmetros de contrasea, de bloqueo

as como parmetros Kerberos.
5 Cules son los criterios que deben respetarse para que una contrasea se considere
compleja?
Para que una contrasea se considere compleja es preciso que cumpla tres de los cuatro criterios
siguientes:
Contener letras maysculas
Contener letras minsculas
Contener caracteres alfanumricos
Contener caracteres especiales
6 A qu objetos se aplican las directivas de contrasea muy especfica?
Una directiva de contrasea muy especfica puede aplicarse a un usuario o un grupo de seguridad
de tipo global.
7 Cules son los dos objetos presentes en AD DS y que utilizan las PSO?
Existen dos objetos en AD DS desde Windows Server 2008: el Password Settings Container,
que sirve como contenedor del Password Settings Object, que es el segundo tipo de objeto y
contiene los parmetros de seguridad que se aplican a los grupos o al usuario.
8 Cundo se modifica el parmetro msDS-PSOApplied?
El parmetro msDS-PSOApplied se modifica cuando se atribuye una directiva contrasea muy

especfica a un usuario o un grupo.
9 Cul es el rol de una extensin del lado cliente?
La extensin del lado cliente, o CSE, tiene como objetivo recuperar los parmetros recibidos y, a
continuacin, aplicarlos. Existen tantas CSE como tipos de parmetros.
10 Qu ocurre si se detecta una conexin lenta?
En el caso de una conexin lenta, la mayora de parmetros no se aplican.
11 Cundo se actualiza una directiva de grupo?
La actualizacin de una GPO se realiza en diferentes momentos. Tras el inicio de sesin o el

arranque del puesto, las directivas se recuperan y se aplican. A continuacin, se produce una
actualizacin cada 90 a 120 minutos. No obstante, esta operacin se lleva a cabo nicamente si se
ha producido alguna modificacin. En un controlador de dominio, el intervalo de actualizacin es de
5 minutos.
12 Qu permiso se le atribuye a un usuario si se le incluye dentro del grupo CREADOR

PROPIETARIO?
Tras realizar esta accin, se atribuye al usuario un control total a nivel de directivas de grupo.
13 Qu cambio se opera cuando se utiliza la opcin Aplicar sobre una GPO?
Si se aplica la opcin Aplicar a una directiva de grupo, sta se vuelve prioritaria, pudiendo incluso
saltar el mecanismo de bloqueo de herencia.
14 Qu medios existen para crear un informe RSOP?
Para crear un informe RSOP, es preciso ejecutar el comando gpresult /H

NombreArchivoen el equipo correspondiente o utilizar el asistente de Resultados de directivas
de grupo. Este asistente requiere, no obstante, que la GPO se haya aplicado al menos una vez y
que el firewall permita consultas de manera remota.
Tener nociones acerca de las directivas de grupo.
2. Objetivos
Administracin del sistema de directivas de grupo.
Implementar las preferencias de las directivas.

Introduccin
El sistema de directivas de grupo (GPO) permite implementar un conjunto de parmetros sobre uno o
varios puestos. Hay varios miles de parmetros disponibles con Windows Server 2012 R2. Las
preferencias, la redireccin de carpetas o la ejecucin de scripts son algunas de las directivas que
pueden implementarse.
Plantillas administrativas
Las plantillas administrativas se dividen en dos secciones, la configuracin del equipo y la
configuracin de usuario. Ambas permiten gestionar el entorno del usuario. Cada parmetro est
clasificado en una carpeta (componentes de Windows, red). Tras su implementacin, se modifica la
base de datos del registro. Se modifican dos rutas:
HKEY_LOCAL_MACHINE en lo relativo al equipo.
HKEY_CURRENT_USER para la seccin de usuario.
A excepcin de algunos parmetros, la mayora de ellos estn presentes nicamente en la seccin de

usuario o de equipo.
1. Los archivos ADMX y ADML

Los archivos en formato ADM, predecesor de los archivos ADMX / ADML, se utilizaban en los sistemas
operativos de Microsoft hasta el par Windows Server 2003 / Windows XP. Recuerde que estos
archivos ADM utilizan su propio lenguaje de etiquetas (lo cual hace difcil la creacin de un archivo
personalizado). Estos ltimos se almacenaban en la carpeta %systemroot%\INF.
Con Windows Server 2008 y Windows Vista, las plantillas administrativas se almacenan en archivos
diferentes. Estos archivos tienen la extensin admx o adml. Se utiliza el lenguaje XML en su
definicin, lo que permite crear, de manera mucho ms sencilla, una nueva plantilla administrativa.
Se ubican, por defecto, en la carpeta PolicyDefinitions, y presentan la ventaja de ser independientes
del lenguaje del sistema operativo. El texto que se muestra est presente en el archivo ADLM. ste
se almacena en una subcarpeta dentro de PolicyDefinitions (ES-es para el espaol).
Existe una herramienta que permite migrar archivos ADM al formato ADMX / ADML, disponible para su
descarga en el sitio web de Microsoft (http://go.microsoft.com/fwlink/?linkID=270013).
2. Creacin del almacn central

Un almacn central se encarga de alojar los archivos ADMX y ADML en un sitio centralizado con el
objetivo de que los distintos controladores de dominio puedan acceder a l. Tras la activacin de
esta funcionalidad se ignora el almacn local presente en cada servidor, de modo que solo se tiene
en cuenta el almacn central. No obstante, si el controlador no estuviera disponible, se utiliza en su
lugar el almacn local.
Su creacin consiste en copiar en la carpeta SYSVOL los archivos ADMX y ADML. La replicacin de
archivos (FRS o DFS-R) asegura, a continuacin, la replicacin sobre los distintos controladores de
dominio. Es, as, posible copiar las plantillas administrativas para Office.
3. Uso de filtros sobre las plantillas administrativas

Windows Server 2012 R2 contiene miles de parmetros, de modo que puede resultar difcil encontrar
el parmetro adecuado. Para ello es posible utilizar filtros. De este modo, slo se mostrarn
aquellos resultados que respondan a los criterios definidos en la bsqueda.
Para acceder a la ventana que se muestra a continuacin, y por tanto a las opciones de filtro, es
preciso hacer clic con el botn derecho en Plantillas administrativas y, a continuacin, seleccionar la
opcin Opciones de filtro en el men contextual.
Es posible utilizar varios criterios. En primer lugar, es posible seleccionar los parmetros que estn o
que no estn gestionados, configurados o comentados. A menudo resulta til utilizar el filtro por
palabras clave que permiten visualizar nicamente aquellos parmetros que contienen la palabra
indicada (por ejemplo: Internet, ejecutar). Por ltimo, la seleccin de los parmetros deseados
puede acotarse a un nico sistema operativo (mostrar los parmetros para Internet Explorer 10...).
Configuracin de la redireccin de carpetas y de scripts
La copia de seguridad de los datos de usuario es un punto importante, aunque por desgracia no es
extrao ver muchos datos que se encuentran en las propias estaciones de trabajo. Con el objetivo de
limitar la prdida de datos, en caso de robo o de rotura de algn equipo, es posible implementar la
redireccin de carpetas.
1. Presentacin de la redireccin de carpetas

Esta funcionalidad es muy interesante para la mayora de administradores de sistema. En efecto,
permite redirigir la o las carpetas deseadas (Mis documentos, Mi msica) a otro servidor. Esto no
cambia, evidentemente, nada de cara al usuario, quien piensa que sigue escribiendo en su puesto
local. Adems, se produce una sincronizacin sobre el propio puesto para permitir el acceso si la red
no se encuentra disponible (interrupcin en la red, equipo desconectado). Resulta, por tanto,
mucho ms sencillo realizar una copia de seguridad y la restauracin de datos posterior de los datos
del usuario. Preste atencin, no obstante, al espacio en disco necesario para alojar estos datos, de
modo que es preferible estudiar de forma regular el consumo de este espacio y tomar las
precauciones necesarias (cuota, archivo) para reducir su tamao.
Tenga en cuenta, a su vez, que de este modo el usuario puede acceder a sus datos sea cual sea el
puesto de trabajo sobre el que se conecte.
Preste atencin a no deshabilitar la sincronizacin sin conexin mediante alguna directiva de

grupo, sin la cual los datos no estaran accesibles cuando el equipo no se encuentre
conectado.
2. Configuracin de la redireccin
Tras la configuracin de las directivas de grupo, existen varios parmetros disponibles.
No configurada: valor por defecto, no se realiza ninguna redireccin.
Bsica: las carpetas del usuario se redirigen a un lugar comn. Cada uno de ellos dispone de
una carpeta privada en esta ubicacin.
Avanzada: la redireccin se realiza en funcin de los grupos de seguridad. De este modo, es

posible definir la ubicacin de la redireccin en funcin de estos grupos.
Al final del captulo se propone el trabajo prctico Configuracin de la redireccin de carpetas.
3. Uso de scripts en las directivas de grupo

Desde hace muchos aos, se utilizan scripts para realizar y automatizar ciertas acciones (eliminar
archivos o carpetas, conectar un lector a la red, configurar un proxy IE). Estos scripts pueden
aplicarse a la configuracin del equipo (ejecucin durante el arranque o detencin de los equipos) o
a la configuracin del usuario (inicio y cierre de sesin).
Resulta, por tanto, necesario configurar los scripts en la configuracin del equipo, lo que permite
autorizar su ejecucin con el contexto de seguridad del Sistema local. Los que se aplican a la
configuracin del usuario se ejecutan con permisos del usuario.
Si se quiere utilizar varios scripts, es posible configurarlos de manera sncrona o asncrona. Es

posible ejecutar varios tipos de script (archivos BAT, VBS, PowerShell).
Preste atencin, no obstante, a asegurar que el puesto o el usuario tienen acceso a la(s) carpeta(s)
compartida(s) que contiene(n) el(los) script(s). Conviene utilizar la carpeta SYSVOL.
Desde Windows Server 2008 es posible remplazar la mayora de scripts utilizando las directivas de
grupo.
Configuracin de las preferencias de las directivas de
grupo
Las preferencias aparecieron con Windows Server 2008, y han permitido la implementacin de
parmetros (conexin de lector de red, configuracin de Internet Explorer) que antes se realizaba
mediante script.
1. Visin general de las preferencias

Windows Server 2012 R2 ofrece ms de una veintena de preferencias de directiva de grupo. A
diferencia a los parmetros de directivas de grupo que afectan a la interfaz de usuario, las
preferencias permiten a los usuarios interactuar con la configuracin y modificarla si es necesario
(deshabilitar el proxy en IE). Preste atencin, no obstante, si el parque informtico est compuesto
por equipos que ejecutan Windows XP, ser necesario instalar en estos equipos extensiones del
lado cliente que gestionen las preferencias de modo que la configuracin se procese y aplique, sin
que se ignore la configuracin.
Una vez implementadas las preferencias, es posible realizar varias acciones:
Crear: crea la configuracin para implementar la parametrizacin deseada.
Eliminar: elimina un parmetro configurado previamente.
Remplazar: se elimina el parmetro y se recrea a continuacin.
Actualizacin: permite actualizar un parmetro existente.
Estas acciones se configuran tras la creacin del parmetro.
Es posible aplicar propiedades generales a los distintos parmetros. Consiste en definir la accin y
las distintas propiedades que se quieren definir (ruta UNC). Tambin es posible aplicar otras
propiedades.
Dejar de procesar los parmetros en esta extensin si se produce algn error: si se

detecta algn error durante la ejecucin, no se implementa ninguna preferencia.
Eliminar el elemento cuando no va a aplicarse ms: se elimina una vez se confirma que la
directiva no se va a aplicar ms al puesto. Con este parmetro, la eliminacin se realiza de la
misma forma que los parmetros de la directiva de grupo.
Aplicar una vez y no volver a aplicar: esta propiedad permite solicitar al sistema que
aplique nicamente una vez el parmetro. En caso contrario, se realiza una actualizacin al
mismo tiempo que las directivas de grupo.
Uso de la seleccin de destino: la directiva de grupo se aplica a un puesto o a un usuario de

manera limitada mediante grupos de seguridad o filtros WMI. Puede ser, tambin, necesario
limitar la aplicacin de las preferencias, para ello es necesario utilizar la seleccin de destino.
Consiste en implementar criterios que deben cumplirse para recibir el parmetro. A diferencia
de las directivas de grupo, las preferencias ofrecen muchas ms opciones a nivel de seleccin
de destino. De este modo, encontramos:
Nombre del equipo
Rango de direcciones IP
Sistema operativo
Grupo de seguridad
Idioma
Rango horario
Espacio en disco
2. Comparacin entre las directivas y las preferencias

Las directivas de grupo y las preferencias tienen puntos en comn, ambas se aplican a parmetros
de usuario o de equipo. No obstante, las preferencias poseen ciertas diferencias. Contrariamente a
la directiva de grupo, que bloquea el parmetro, impidiendo su modificacin posterior, las
preferencias permiten al usuario realizar cambios sobre ellas o deshabilitarlas. Las preferencias
pueden aplicarse una nica vez o a intervalos regulares (como con las directivas de grupo). En caso
de conflicto entre un parmetro configurado mediante una preferencia y el mismo parmetro
aplicado por una directiva de grupo, es esta ltima la que predomina.
Gestin de aplicaciones con ayuda de GPO
Desde hace varios aos hasta ahora, es posible realizar el despliegue de una aplicacin mediante una
directiva de grupo. De este modo, la instalacin, eliminacin y gestin de las aplicaciones se realiza de
forma centralizada desde un puesto de trabajo.
En una red informtica, una aplicacin est compuesta de cuatro fases, tres de ellas que pueden
gestionarse mediante una directiva de grupo. La primera fase, la preparacin, consiste en copiar el
archivo MSI en una carpeta compartida y asignar a esta ltima los permisos adecuados. A
continuacin, la fase de despliegue permite instalar la aplicacin en aquellos equipos deseados. La
directiva de grupo puede aplicarse a un usuario o un equipo, puede alojarse en un sitio, un dominio o
una unidad organizativa. La tercera fase no es obligatoria, y consiste simplemente en una fase de
mantenimiento. Si se pone a disposicin alguna nueva versin de la aplicacin, es posible desplegar
esta "actualizacin" mediante la GPO. Como con la fase anterior, la de eliminacin no se aplica
obligatoriamente, y consiste, simplemente, en eliminar la aplicacin instalada anteriormente. De este
modo, es posible eliminarla sobre todas las estaciones o prohibir cualquier nueva instalacin
conservando las que se han hecho con anterioridad.
La instalacin y la gestin de la aplicacin se realizan mediante el servicio Windows Installer. Permite

una automatizacin a nivel de las operaciones de instalacin y de eliminacin. Es imposible desplegar
archivos EXE, slo se acepta el formato MSI.
Asignacin y publicacin de una aplicacin
La fase de despliegue puede efectuarse de dos maneras: asignacin o publicacin; la instalacin

puede realizarse de manera automtica o manualmente por el usuario en funcin de la opcin
seleccionada. La opcin Asignada, que consiste en realizar la instalacin ante una eventual
necesidad, puede aplicarse a un usuario o a un equipo, y la instalacin se realiza, a continuacin,
mediante una directiva de grupo. La opcin Publicar permite, por su parte, implementar una poltica
diferente que consiste en poner a disposicin de los usuarios la aplicacin. sta se instala nicamente
cuando un usuario la necesita. La opcin Publicar no puede utilizarse mediante una directiva de
grupo aplicada a un equipo. Las opciones avanzadas disponibles durante la seleccin del paquete
permiten acceder a otras opciones tales como agregar un archivo de personalizacin de la instalacin
(Office).
Como acabamos de ver, la opcin Asignada puede utilizarse para usuarios o equipos. En el caso de
un usuario, la instalacin arranca, nicamente, cuando se hace doble clic en el icono de la aplicacin o
sobre un archivo asociado a dicha aplicacin (archivo XLS, por ejemplo). Adems, la instalacin afecta
nicamente al usuario, no se comparte con los dems usuarios y, por tanto, no estar disponible para
ellos a no ser que la instalen tambin.
La asignacin a un equipo se instala cuando ste reinicia, y todos los usuarios que se conectan a este
equipo tienen acceso a la aplicacin. La publicacin consiste, por su parte, en agregar la opcin de
instalacin en el applet Programas del Panel de control. Solo aquellos usuarios que tengan la
autorizacin adecuada podrn realizar la instalacin.
Trabajos prcticos: Gestin de los puestos de usuario
Estos trabajos prcticos permiten configurar la interfaz de usuario basndose en directivas de grupo.
1. Implementacin de las preferencias

Objetivo: con ayuda de las preferencias, cree una carpeta y configure Internet Explorer en el equipo
cliente.
Mquinas virtuales: AD1 y CL8-01.
En CL8-01, abra la consola Centro de redes y recursos compartidos presente en la barra de

tareas junto al reloj.
Haga clic en Editar configuracin de la tarjeta y, a continuacin, configrela tal y como se

describe a continuacin:
Direccin IP: 192.168.1.100
Una la mquina al dominio Formacion.local y, a continuacin, reinicie el equipo.
Abra una sesin en AD1 y, a continuacin, abra la consola Usuarios y equipos de Active
Directory.
En la unidad organizativa Madrid, cree tres nuevas unidades organizativas
llamadas Equipos,Usuarios y Grupos.
Mueva la cuenta del equipo CL8-01 a la unidad organizativa Equipos creada anteriormente.
En AD1, mediante el explorador de Windows, cree una carpeta llamada Contabilidad y, a

continuacin, comprtala con el mismo nombre.
Se atribuyen permisos de Control total a los Administradores de dominio y Modificar a los Usuarios
autenticados. Las pestaas de comparticin y de seguridad se configuran de la misma forma.
Es posible configurar el recurso compartido sobre la segunda particin.
Abra la consola Administracin de directivas de grupo y, a continuacin, despliegue los

nodosBosque:Formacion.local, Dominios y, a continuacin, Formacion.local.
Haga clic con el botn derecho en Objetos de directivas de grupo y, a continuacin,

seleccioneNuevo.
En el campo Nombre, escriba Preferencias - Lector de red + IE y, a continuacin, haga clic

enAceptar.
Haga clic con el botn derecho en la directiva que acaba de crear y, a continuacin,
seleccioneEditar en el men contextual.
Despliegue Preferencias en Configuracin de usuario - Configuracin de WIndows y, a

continuacin Asignaciones de unidades.
Haga clic con el botn derecho en Asignaciones de unidades y, a continuacin, en el men

contextual, seleccione Nuevo y Unidad asignada.
Haga clic en la lista desplegable Accin y, a continuacin, haga clic en la opcin Crear.
En Ubicacin, escriba \\AD1\Contabilidad, marque la opcin Reconectar y

escriba Contabilidaden el campo Etiquetar como:.
En la lista desplegable Letra de unidad, seleccione la letra V.

Haga clic en Aplicar y, a continuacin, en la pestaa Comunes.
Marque la opcin Destinatarios de nivel de elemento y haga clic en Destinatarios.
En la ventana que se abre, seleccione Nuevo elemento y, a continuacin, Sistema operativo.
Compruebe que aparece la opcin Windows 8.1 en Producto y haga clic dos veces en Aceptar.
Despliegue el nodo Configuracin del panel de control y, a continuacin, haga clic con el botn
derecho en Configuracin de Internet. En el men contextual, seleccione Nuevo - Internet
Explorer 10.
En Pgina de inicio, escriba, por ejemplo, www.miempresa.es y, a continuacin, presione la

tecla [F6].
El campo est, ahora, subrayado en verde, lo que significa que la modificacin se ha tenido en
cuenta. En caso contrario, el parmetro no se estara teniendo en cuenta.
Haga clic en la pestaa Conexiones y, a continuacin, en Configuracin de red.
Escriba la direccin 192.168.1.200 y, a continuacin, el puerto 8080.
Esta informacin es ficticia, no existe ningn servidor proxy en la maqueta.
Pulse [F6] para validar los cambios.

Haga clic dos veces en Aceptar y, a continuacin, cierre la ventana Editor de administracin de
directivas de grupo.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho sobre la
unidad organizativa Madrid y, a continuacin, seleccione la opcin Vincular un GPO existente.
Seleccione Preferencias - Lector de red + IE y haga clic en Aceptar.
Mueva la cuenta de usuario de Esteban DIAZ a la unidad organizativa Madrid \ Usuarios.
Abra una sesin como ediaz en el equipo CL8-01.
Puede comprobar que el lector de red V: apunta a la carpeta compartida Contabilidad, y las
preferencias de Internet Explorer estn presentes. Para forzar la actualizacin de las directivas de
grupo, utilice el comando gpupdate /force.
2. Configuracin de la redireccin de carpetas

Objetivo: configurar las directivas de grupo para implementar la redireccin de carpetas.
Cree una carpeta compartida llamada RedirDocs (nombre del recurso compartido RedirDocs$)
enAD1.
Es posible alojar la carpeta en la segunda particin, las autorizaciones que hay que configurar en las
pestaas Autorizaciones y Seguridad son las siguientes:
Administrador: Control total
Usuarios autenticados: Control total

seleccioneNuevo.
En el campo Nombre escriba Redireccin carpeta Documentos y, a continuacin, haga clic

enAceptar.
Haga clic con el botn derecho en la directiva de grupo y, a continuacin, haga clic en Editar.
Despliegue los nodos Configuracin del usuario - Directivas - Configuracin de Windows y, a
continuacin, Redireccin de carpetas.
Haga clic con el botn derecho en Documentos y, a continuacin, seleccione la

opcinPropiedades.
En la lista desplegable, seleccione la opcin Bsico: redirigir la carpeta de todos a la misma

ubicacin y, a continuacin, en la ruta de acceso a la raz, escriba \\AD1\RedirDocs.
Seleccione la pestaa Configuracin y, a continuacin, marque la opcin Devolver la carpeta a

la ubicacin local de perfil de usuario cuando la directiva se haya quitado.
Haga clic en Aceptar y, a continuacin, en S en el mensaje de advertencia que aparece. A
continuacin, cierre la ventana Editor de administracin de directivas de grupo.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la unidad
organizativa Madrid y, a continuacin, seleccione la opcin Vincular un GPO existente.
Seleccione Redireccin carpeta Documentos y haga clic en Aceptar.
En CL8-01, abra una sesin con la cuenta ediaz.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando gpupdate /force.
Aparece un mensaje invitando a cerrar la sesin, presione la tecla S y, a continuacin, [Enter].
Inicie una sesin como ediaz.
La carpeta Documentos est, ahora, redirigida al servidor.

Si la directiva de grupo no se aplica, la carpeta Documentos se almacena de forma local.
3. Ejecucin de scripts mediante GPO

Objetivo: ejecutar un script que permita conectar un lector de red tras el inicio de sesin.
En AD1, abra el bloc de notas y, a continuacin, escriba los siguientes comandos:
Net use * /delete /yes

Net use z: \\AD1\Contabilidad /persistent:yes
Guarde el archivo en la carpeta C:\windows\sysvol\domain\scripts con el nombre map.bat.

Haga clic en Guardar y, a continuacin, acceda a la ventana Administracin de directivas de
grupo.

seleccioneNuevo.
En el campo Nombre, escriba Script Conexin lector de red y, a continuacin, haga clic
enAceptar.
Haga clic con el botn derecho en la directiva de grupo y, a continuacin, en Editar.
Despliegue los nodos Configuracin del usuario - Directivas - Configuracin de Windows -

Scripts y, a continuacin, Iniciar sesin.
Haga clic en Agregar y, a continuacin, utilice el botn Examinar para seleccionar el

scriptmap.bat ubicado en la carpeta \\ad1\sysvol\Formacion.local\Scripts.
Valide haciendo clic dos veces en Aceptar y, a continuacin, cierre la consola Editor de
administracin de directivas de grupo.
Vincule la directiva que acaba de crear con la unidad organizativa Barcelona.
En CL8-01, inicie una sesin como jramirez (contrasea: Pa$$w0rd).
El script se ejecuta tras el inicio de sesin de todos los usuarios presentes en la unidad organizativa.
4. Despliegue de aplicaciones mediante una directiva de grupo

Objetivo: despliegue de aplicaciones mediante una directiva de grupo.
Para llevar a cabo este trabajo prctico, vamos a utilizar el archivo MSI de la aplicacin Foxit Reader,
aunque evidentemente puede utilizar cualquier otra aplicacin si as lo desea.
En AD1, abra la consola Usuarios y equipos de Active Directory.
En la unidad organizativa Grupos presente en Madrid, cree el grupo G_Foxit.
Incluya, en este grupo, la cuenta de equipo de CL8-01.

Cree una carpeta llamada Aplicaciones y, a continuacin, comprtala con el mismo nombre.
El recurso compartido se configura de la siguiente manera:
Pestaa Recurso compartido: Administrador con Control total, Usuarios autenticados con permisos
para Modificar.
Pestaa Seguridad: Administrador con Control total, G_Foxit con permisos para Modificar.
Copie el archivo MSI de la aplicacin en la carpeta Aplicaciones.
Abra la consola Administracin de directivas de grupo.

seleccioneNuevo.
En el campo Nombre, escriba Despliegue de aplicacin y, a continuacin, haga clic en Aceptar.
Haga clic con el botn derecho en la directiva de grupo y, a continuacin, haga clic en Editar.
Despliegue los nodos Configuracin del equipo - Directivas - Configuracin de software -

Instalacin de software.
Haga clic con el botn derecho en Instalacin de software y, a continuacin, seleccione Nuevo -
Paquete.
Seleccione el archivo MSI afectado por el despliegue.
La seleccin debe realizarse mediante la ruta de red y no mediante el nombre de ruta local.
En la ventana Implementar software, seleccione Avanzada y, a continuacin, haga clic

enAceptar.
Se abre una ventana, haga clic en la pestaa Implementacin y, a continuacin, marque la

opcin Desinstalar esta aplicacin cuando est fuera del mbito de administracin.
Haga clic en Aceptar y, a continuacin, vincule la directiva de grupo con la unidad organizativa
deMadrid.
Inicie una sesin en CL8-01 como ediaz (contrasea: Pa$$w0rd).
Acepte el reinicio del equipo.
Se realiza la instalacin
1. Preguntas
1 Qu utilidad tienen las plantillas administrativas?
2 Qu componente se modifica tras la implementacin de un parmetro en la plantilla

administrativa?
3 Cules son las claves de registro modificadas en el equipo?
4 Cules son los archivos que componen las plantillas administrativas?
5 Qu permite realizar el almacn central?
6 En qu consiste el filtro sobre la plantilla administrativa?
7 En qu consiste la redireccin de carpetas?
8 La redireccin de escritorio se encuentra habilitada, y un usuario que posee un porttil desea

conectarse desde la red de un cliente. Los documentos estn accesibles en modo sin
conexin?
9 Tras la implementacin de la redireccin de carpetas, existen dos modos accesibles, el modo

bsico y el modo avanzado. Cul es la diferencia entre ambos modos?
10 Cules son las acciones que pueden configurarse con los parmetros de directivas de grupo?
11 Qu son los destinatarios a nivel de elemento en las preferencias?
2. Resultados
3. Respuestas
1 Qu utilidad tienen las plantillas administrativas?
Las plantillas administrativas permiten gestionar el entorno del usuario.
2 Qu componente se modifica tras la implementacin de un parmetro en la plantilla

administrativa?
Tras la implementacin de un parmetro de la plantilla administrativa se modifica la base de datos

del registro del equipo que recibe el parmetro.
3 Cules son las claves de registro modificadas en el equipo?
Se modifican dos claves de registro en el equipo, HKEY_LOCAL_MACHINE para la configuracin del

equipo y HKEY_CURRENT_USER para la configuracin del usuario.
4 Cules son los archivos que componen las plantillas administrativas?
La plantilla administrativa est compuesta por dos archivos. El archivo ADMX contiene los distintos
parmetros que pueden configurarse as como la ruta donde debe crearse el valor DWORD.
Tambin se utiliza un archivo ADML, que contiene los textos que se muestran al usuario.
5 Qu permite realizar el almacn central?
El almacn central sirve para almacenar los archivos ADMX y ADML directamente en la plantilla
administrativa. De este modo, dejan de utilizarse los archivos locales presentes en todos los
servidores y puestos de trabajo, y solo se aplican los archivos presentes en la plantilla
administrativa.
6 En qu consiste el filtro sobre la plantilla administrativa?
Los filtros presentes en las plantillas administrativas permiten encontrar, con facilidad, un
parmetro. Existen varios miles de parmetros en las plantillas administrativas, de modo que
puede resultar algo complicado encontrar el parmetro deseado. El filtro puede basarse en un
parmetro configurado, administrado, comentado o, simplemente, que contiene alguna palabra
clave.
7 En qu consiste la redireccin de carpetas?
La redireccin de carpetas consiste en desplazar la carpeta afectada (Escritorio, Mis documentos)

a un recurso compartido en la red. Esta operacin es del todo invisible a los usuarios.
8 La redireccin de escritorio se encuentra habilitada, y un usuario que posee un porttil desea

conectarse desde la red de un cliente. Los documentos estn accesibles en modo sin
conexin?
S, la sincronizacin sin conexin est habilitada tras la implementacin de la redireccin con el

objetivo de permitir al usuario un acceso a sus datos sin conexin.
9 Tras la implementacin de la redireccin de carpetas, existen dos modos accesibles, el modo

bsico y el modo avanzado. Cul es la diferencia entre ambos modos?
El modo bsico permite realizar una redireccin para todos los usuarios en la misma carpeta
compartida. El modo avanzado permite, por su parte, realizar una redireccin en un destino que es
diferente en funcin de la pertenencia del usuario a un grupo de seguridad.
10 Cules son las acciones que pueden configurarse con los parmetros de directivas de grupo?
Es posible configurar varias acciones mediante las directivas. Crear permite implementar un
parmetro mientras que Elim inar se utiliza para su supresin. Rem plazar permite eliminar un
parmetro y, a continuacin, volver a crearlo. Por ltimo, Actualizar permite realizar nicamente
una actualizacin del parmetro existente.
11 Qu son los destinatarios a nivel de elemento en las preferencias?
Los destinatarios a nivel de elemento permiten limitar el nmero de usuarios o equipos que reciben
la configuracin.
Tener nociones acerca del direccionamiento IP.
Conocer los distintos parmetros que componen una configuracin IP.
Conocer la diferencia entre un direccionamiento esttico y dinmico.
2. Objetivos
Definicin del rol DHCP.
Presentacin de las funcionalidades ofrecidas por el servicio.
Gestin de la base de datos.
Implementar el mantenimiento del servidor DHCP.
Instalar y configurar la funcionalidad IPAM.

Introduccin
El servidor DHCP (Dynamic Host Configuration Protocol) es un rol muy importante en una arquitectura
de red. Su papel es la distribucin de la configuracin IP, permitiendo as a los equipos conectados a
la red dialogar entre ellos.
Rol del servicio DHCP
DHCP es un protocolo que permite asegurar la configuracin automtica de las interfaces de red. Esta
configuracin comprende un direccionamiento IP, una mscara de subred y, tambin, una puerta de
enlace y servidores DNS. Existen otros parmetros suplementarios que tambin pueden distribuirse
(servidores WINS).
El tamao de las redes actuales obliga, cada vez ms, a eliminar el direccionamiento esttico
coordinado por un administrador sobre cada mquina por un direccionamiento dinmico realizado
mediante un servidor DHCP. ste presenta la ventaja de que ofrece una configuracin completa a
cada mquina que realice la peticin pero tambin es imposible encontrar dos configuraciones
idnticas (dos direcciones IP idnticas distribuidas). El conflicto de IP se evita, de este modo, y la
administracin se ve ampliamente simplificada.
El servidor es capaz de realizar una distribucin de configuracin IPv4 o IPv6.
1. Funcionamiento de la concesin de una direccin IP

Si la interfaz de red est configurada para obtener un contrato DHCP, obtendr un contrato
mediante un servidor DHCP. Esta accin se realiza mediante el intercambio de varias tramas entre el
cliente y el servidor.
La mquina enva, por multidifusin (envo de un broadcast), una trama (DHCP Discover) sobre el
puerto 67.
Todos los servidores que reciben la trama envan una oferta DHCP al cliente (DHCP Offer), el cual
puede, evidentemente, recibir varias ofertas. El puerto utilizado para recibir la oferta es el 68.
El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). sta
compone la direccin IP del servidor y la que se le acaba de proponer al cliente, con el objetivo de
aceptar el contrato enviado por el servidor seleccionado y, tambin, para informar al resto de
servidores DHCP de que sus contratos no han sido seleccionados.
El servidor enva una trama de acuse de recibo (DHCP ACK, Acknowledgement) que asigna al cliente
la direccin IP y su mscara de subred as como la duracin del contrato y, eventualmente, otros
parmetros.
La lista de opciones que el servidor DHCP puede aceptar est definida en la RFC 2134.
Un contrato DHCP (configuracin asignada a un puesto) tiene una duracin de validez, variable de
tiempo que define el administrador. Alcanzado el 50% de la duracin del contrato, el cliente solicita
una renovacin del contrato que se le ofreci. Esta solicitud se realiza nicamente al servidor que
envi el contrato. Si ste no renueva el contrato, la prxima solicitud se realizar alcanzado el
87,5% de la duracin del contrato. Una vez finalizado el mismo, si el cliente no consigue obtener una
renovacin o una nueva concesin, su direccin se deshabilita y pierde la capacidad de utilizar la red
TCP/IP.
2. Uso de una retransmisin DHCP

El hecho de utilizar tramas de tipo broadcast hace que las tramas no puedan circular por los routers.
Esto implica tener un servidor por cada subred IP. Esta obligacin de tener varios servidores puede
suponer un coste excesivo para la empresa. Para solventar este problema conviene implementar un
servidor de retransmisin DHCP, que permite transferir las solicitudes de contrato a un servidor
presente en otra red.
La retransmisin DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP
realizadas sobre la subred IP. Transfiere, a continuacin, las distintas solicitudes que recibe al
servidor DHCP presente en la red B.
Conviene, no obstante, asegurar que la tasa de transferencia de la lnea y el tiempo de respuesta
son aceptables.
Instalacin y configuracin del rol DHCP
Como con los dems servicios que pueden agregarse al servidor, DHCP es un rol. Su instalacin se
realiza mediante la consola Administrador del servidor marcando el rol en la ventana de seleccin de
rol.
Una vez realizada la instalacin, la consola se encuentra en las Herramientas administrativas.
El rol se ha instalado pero todava no est configurado.
1. Agregar un nuevo mbito

Un mbito DHCP est formado por un pool de direcciones IP (por ejemplo, 192.168.1.100 a
192.168.1.200), cuando un cliente realiza una solicitud, el servidor DHCP le asigna una de las
direcciones del pool.
La franja de direcciones IP disponibles en el mbito es, necesariamente, contigua. Para evitar la

distribucin de algunas direcciones IP es posible realizar exclusiones de una direccin o un tramo.
Estas ltimas pueden asignarse a un puesto de forma manual, sin riesgo de que se produzca un
conflicto de IP, puesto que el servidor no distribuir estas direcciones.
Uso de la regla 80/20 para los mbitos
Es posible tener dos servidores DHCP activos en la red, dividiendo el pool de direcciones en dos. La
regla del 80/20 permite, en un primer momento, equilibrar el uso de los servidores DHCP, aunque,
tambin, poder tener dos servidores sin riesgo de conflicto de IP. El servidor 1 distribuye el 80% del
pool de direcciones mientras que el servidor 2 est configurado para distribuir las direcciones
restantes (20%).
Desarrollando AD1.Formacion.local y, a continuacin, IPv4 podemos ver que no existe ningn mbito.
Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.
De este modo, haciendo clic con el botn derecho sobre IPv4, es posible crear un nuevo mbito.
ste tendr un nombre que debemos indicar en el asistente de creacin.
A continuacin es preciso definir el rango de direcciones disponibles (de 192.168.1.100 a
192.168.1.150).
Es posible tener, en este rango, ciertas direcciones que es preciso excluir, pues estn asignadas a
impresoras Es posible configurar la lista de exclusin, que contiene una direccin o un rango de
direcciones que no pueden configurarse en el rango direccionable.
Un contrato contiene, tambin, una duracin cuyo valor por defecto es de 8 das. Evidentemente, es
posible aumentar o disminuir este valor. A continuacin, es posible indicar la direccin de la o las
puertas de enlace que deben utilizarse. Tambin puede indicarse el o los servidores DNS que se
desean configurar. Estas opciones (DNS, puerta de enlace predeterminada) se distribuyen, a
continuacin, al cliente que realiza la peticin de contrato de modo que es preferible asegurarse de
toda la informacin indicada.
En un dominio Active Directory es necesario proceder a autorizar el servidor DHCP. Los servidores
DHCP Microsoft no autorizados vern cmo Active Directory detiene su servicio.
2. Configuracin de las opciones DHCP

Las opciones permiten distribuir opciones suplementarias en el contrato, tales como el nombre del
dominio DNS y la direccin del servidor DNS. Existen tres tipos de opciones:
Opciones de servidor: se aplican a todos los mbitos del servidor as como a las reservas. Si
la misma opcin se configura en las opciones del mbito, es sta ltima la que se aplica,
mientras que la opcin del servidor se ignora.
Haciendo clic con el botn derecho en Opciones de servidor y seleccionando la opcin Configurar
opciones en el men contextual se muestra una ventana que permite configurar la opcin deseada.
De este modo, la opcin 015 Nombre de dominio DNS permite configurar el nombre del dominio
DNS; en nuestro caso Formacion.local.
Las opciones tambin aparecen en opciones de mbito y en las opciones de reservas.
Opciones de mbito: se aplican nicamente al mbito. Cada uno posee sus opciones, las
cuales pueden ser diferentes de un mbito a otro.
No obstante, si se configura una misma opcin en las opciones de servidor y de mbito, la opcin de
mbito resulta prioritaria sobre la del servidor.
Opciones de reservas: se aplican nicamente a las reservas, cada reserva puede tener
opciones diferentes.
3. Reserva de contrato DHCP
Las reservas DHCP permiten asegurar que un cliente configurado para recibir un contrato tendr,
sistemticamente, la misma configuracin. Esto resulta muy til para las impresoras de red que se
quieren mantener con un direccionamiento dinmico. Esto permite asegurar que tendrn siempre la
misma direccin IP. En caso de que existan varios servidores DHCP en una misma red, la reserva
debe crearse de forma duplicada en los dems servidores.
La creacin de una reserva requiere introducir los siguientes datos:
El nombre de la reserva: este campo contiene, por lo general, el nombre del puesto o de la
impresora afectada por esta reserva.
La direccin IP: indica la direccin que se distribuye al cliente.
La direccin MAC: debe indicarse la direccin MAC de la interfaz de red que hace la peticin.
En la consola DHCP, haga clic con el botn derecho en Reservas y, a continuacin,

seleccioneReserva nueva.
De este modo, la reserva de la direccin IP para CL8-01 requiere la configuracin de la

ventanaReserva nueva tal y como se indica a continuacin:
Nombre de reserva: CL8-01
Direccin IP: 192.168.1.149
Direccin MAC: escriba la direccin MAC de la mquina CL8-01 (ejecute el

comando ipconfig /allsobre el puesto cliente).
La descripcin es un campo opcional. Permite agregar alguna informacin suplementaria.

En el puesto cliente, es preciso ejecutar el comando ipconfig /releaseen una ventana de
comandos DOS para liberar el comando DHCP en curso. El comando ipconfig /renewpermite
realizar una nueva peticin de configuracin al servidor.
Comprobamos que la direccin IP asignada es la reservada.
La reserva aparece marcada como activa en la consola DHCP.

Una novedad aparecida con Windows Server 2012 es la implementacin de filtros en el servicio
DHCP.
4. Implementacin de filtros
Los filtros permiten crear listas verdes y listas de exclusin. La lista verde permite, a todas las
interfaces de red cuyas direcciones MAC pertenecen a ella, obtener un contrato DHCP. Est
representada por la carpeta Permitir en el nodo Filtros. La lista de exclusin, a diferencia de la lista
verde, prohbe el acceso al servicio a todas las direcciones MAC referenciadas. Est representada
por la carpeta Denegar.
Esta funcionalidad vuelve ms pesada las tareas de administracin, puesto que es necesario
introducir a mano la direccin MAC de una nueva mquina para que pueda recibir un contrato.
Se recomienda crear filtros antes de habilitar la funcionalidad, pues en caso contrario, ninguna
mquina de su red podr solicitar un contrato DHCP.
Por defecto, ambas listas ests deshabilitadas.
Para habilitar una de las listas, haga clic con el botn derecho sobre la lista Permitir y, a
continuacin, seleccione Activar. Realice la misma operacin para la lista Denegar.
De este modo, si el contrato se libera sobre el puesto (ipconfig /release) y, a continuacin,

se renueva (ipconfig /renew), aparece un mensaje de error sobre el puesto informndonos de
que el servidor DHCP no ha respondido.
Es, por tanto, necesario crear un nuevo filtro; para ello es preciso hacer clic con el botn derecho
enPermitir y, a continuacin, seleccionar la opcin Nuevo filtro. Escriba la direccin MAC de CL8-01
y una descripcin del nuevo filtro.
Una vez agregado, el filtro aparece en el nodo Permitir.
La solicitud se acepta y el puesto recibe una configuracin.

Es, evidentemente, posible pasar un filtro de una lista a otra. Si hace clic con el botn derecho sobre
el filtro creado anteriormente, ver la opcin Mover a denegados.
En la carpeta Permitir, haga clic con el botn derecho en el filtro que acaba de crear y, a
continuacin, seleccione Mover a denegados.
Es posible realizar la misma operacin para desplazar un filtro desde la lista de exclusin a la
lista verde.
La mquina no puede obtener un contrato nuevo.
Como ocurra hace un momento, el servidor ya no responde a la mquina.

Base de datos DHCP
La base de datos DHCP permite registrar informacin (direccin MAC) tras la distribucin de un
contrato nuevo.
1. Presentacin de la base de datos DHCP

La base de datos almacena un nmero ilimitado de registros, el tamao del archivo depende del
nmero de equipos presentes en la red. Por defecto, se almacena en la carpeta
Windows\System32\Dhcp.
Esta carpeta contiene varios archivos:
Dhcp.mdb: base de datos del servicio DHCP. Posee un motor de tipo Exchange Server JET.
Dhcp.tmp: este archivo se utiliza como archivo de intercambio cuando se realiza el

mantenimiento de los ndices sobre la base de datos.
J50.log: permite registrar las transacciones.
J50.chk: archivo con los puntos de verificacin.
Con cada operacin (nueva peticin, renovacin o liberacin de contrato), la base de datos se
actualiza y se crea una entrada en la base de datos de registro.
La informacin en la base de datos del registro puede encontrarse accediendo a la

clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters.
2. Copia de seguridad y restauracin de la base de datos

Es posible realizar una copia de seguridad de la base de datos de forma manual (copia de seguridad
asncrona) o automtica (copia de seguridad sncrona).
La copia de seguridad sncrona se realiza por defecto en la carpeta

Windows\system32\Dhcp\Backup. Se recomienda mover esta carpeta a otro volumen con el objetivo
de que no se elimine cuando se realiza una reinstalacin. La copia de seguridad asncrona se realiza
manualmente en el momento deseado. Esta operacin requiere, al menos, permisos de
administracin o un usuario miembro del grupo Administradores de DHCP.
Tras la operacin de copia de seguridad (sncrona o asncrona), todos los elementos vinculados con
el servidor estn incluidos en la copia de seguridad. Encontramos los siguientes elementos:
Todos los mbitos presentes en el servidor
Las reservas creadas
Los contratos distribuidos
Las opciones configuradas
Las claves de registro y la informacin de configuracin
Tras la ejecucin de la operacin de restauracin (clic con el botn derecho sobre el servidor y, a
continuacin, Restaurar en el men contextual), debe seleccionarse la carpeta que contiene la copia
de seguridad.
A continuacin, se detienen los servicios DHCP y se restablece la base de datos. Como con la copia
de seguridad, la operacin debe realizarse con permisos de administrador.
3. Reconciliacin y desplazamiento de la base de datos

La operacin de reconciliacin permite arreglar ciertos problemas principalmente tras la restauracin
de la base de datos. En efecto, los contratos DHCP se registran en dos lugares:
En la base de datos de forma detallada.
En la base de datos de registro de forma resumida.
Cuando se realiza una operacin de reconciliacin, las entradas contenidas en la base de datos y en
la base de datos de registro se comparan. Esto permite buscar eventuales incoherencias (entradas
en la base de datos que no estn presentes en la base de datos de registro y viceversa).
Ejemplo
En la base de datos de registro se ha asignado la direccin IP 192.168.1.250, mientras que en la

base de datos posee el estado libre. Realizando una reconciliacin, se crea la entrada en la base de
datos.
Seleccionando la opcin Reconciliar en el men contextual del mbito (clic con el botn derecho
sobre el mbito deseado), se muestra una ventana. Basta con hacer clic en el
botn Comprobarpara ejecutar la verificacin.
A continuacin, se muestra una ventana con el resultado de la operacin.
Es posible ejecutar esta operacin sobre todos los mbitos seleccionando la opcin Reconciliar
todos los mbitos en el men contextual del nodo IPv4.
Hemos visto antes que el desplazamiento de la base de datos a otro volumen permite realizar una
reinstalacin del servidor sin prdida de datos. En caso de migracin del servidor DHCP, es posible
utilizar ambas soluciones.
Primera solucin: se crea cierto nmero de reservas y exclusiones de direcciones IP. No es

apropiado implementar un nuevo mbito sobre el servidor DHCP y a continuacin crear las reservas
y exclusiones. Esto puede resultar engorroso y generar errores ms o menos inmanejables para el
sistema de informacin. Es, por tanto, necesario realizar una copia de seguridad del antiguo servidor
y, a continuacin, realizar la restauracin sobre el nuevo o desplazar la base de datos sobre otro
volumen.
Para desplazar esta base de datos es preciso acceder a las propiedades del servidor (clic con el
botn derecho sobre el servidor y, a continuacin, seleccionar Propiedades en el men contextual).
El botn Examinar... permite seleccionar otra carpeta.
Tras el reinicio del servicio, se tienen en cuenta los cambios.

La base de datos se ha desplazado correctamente.
Si tras el reinicio del servicio no aparece el mbito, copie todos los archivos alojados en la
carpeta Windows\System32\Dhcp en la nueva carpeta. El servicio debera detenerse y
reiniciarse a continuacin una vez finalizada la copia.
Segunda solucin: no se realiza ninguna reserva en el servidor, o se crea un nmero muy reducido.
La creacin de un nuevo mbito puede resultar abordable. No obstante, esta solucin, si se
implementa incorrectamente, puede causar grandes inconvenientes en el funcionamiento del
sistema de informacin. En efecto, el nuevo servidor no tiene ninguna informacin acerca de los
rangos DHCP que han sido distribuidos antes de la creacin, y existe el riesgo de distribuir
direcciones ya atribuidas a un puesto cliente. En este caso es necesario solicitar al servidor DHCP
que realice una comprobacin antes de atribuir una direccin.
En las propiedades del nodo IPv4 (clic con el botn derecho sobre IPv4 y, a
continuacin,Propiedades), existe una pestaa llamada Opciones avanzadas. Basta con configurar
el nmero de intentos de deteccin de conflicto que debe realizar el servidor para evitar los
inconvenientes ligados a los conflictos de IP.
Se distribuyen nuevos rangos sin riesgo de conflicto IP.
Alta disponibilidad del servicio DHCP
El servicio DHCP es un servicio importante en una red informtica. En caso de que se detenga, no se
asignan ms contratos DHCP y las mquinas van perdiendo, progresivamente, acceso a la red. Para
evitar esta situacin es posible instalar un segundo servidor DHCP y compartir el rango de direcciones
IP distribuidas (generalmente el 80% en el primer servidor y el 20% en el segundo). La segunda
solucin consiste en instalar un clster DHCP, solucin eficaz pero que exige ciertas competencias.
Desde la aparicin de Windows Server 2012 es posible trabajar con dos servidores DHCP sin tener
que montar un clster. De este modo, existe un servicio DHCP disponible ininterrumpidamente sobre
la red. Si alguno de los servidores no se encuentra en lnea, las mquinas cliente pueden contactar
con el otro servidor.
Ambos servidores replican la informacin de los contratos IP entre ellos, con el objetivo de permitir al
otro servidor retomar la responsabilidad de la gestin de las solicitudes de los clientes. En caso de
que se configure en modo equilibrio de carga, las solicitudes de los clientes se dirigen a ambos
servidores.
La conmutacin por error DHCP puede contener dos servidores como mximo y ofrece el servicio solo
para extensiones IPv4.
La implementacin de la alta disponibilidad se aborda en la parte prctica de este captulo.

IPAM
IPAM (IP Address Management) es una funcionalidad integrada en los sistemas operativos Windows
Server 2012. Ofrece la posibilidad de descubrir, supervisar, auditar y administrar uno o varios
direccionamientos IP. IPAM permite, tambin, realizar la administracin y la supervisin de servidores
DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service).
Los siguientes componentes estn incluidos en esta funcionalidad:
Descubrir automticamente la infraestructura de direcciones IP: descubre controladores de

dominio, servidores DHCP y servidores DNS en el dominio afectado.
Visualizacin, creacin de informes y administracin personalizada del espacio de

direccionamiento IP: ofrece los detalles de seguimiento y de uso detallado de las direcciones
IP. Los espacios de direccionamiento IPv4 e IPv6 estn organizados por bloques de direcciones
IP, por rangos de direcciones IP y por direcciones IP individuales.
Auditora de las modificaciones de configuracin del servidor y seguimiento del uso de las
direcciones IP: muestra los eventos operacionales del servidor IPAM y DHCP administrado.
Tambin se realiza un seguimiento de las direcciones IP, ID de cliente, nombre de host o
nombre de usuario. Los eventos del contrato DHCO y los eventos de inicio de sesin de usuario
se recogen en los servidores NPS (Network Policy Server), sobre los controladores de dominio y
sobre los servidores DHCP.
Antes de desplegar la funcionalidad IPAM es necesario pensar qu estrategia de despliegue se quiere

escoger. Tenemos a nuestra disposicin dos maneras de desplegar, el mtodo distribuido mediante
un servidor IPAM en cada sitio de la empresa, o el mtodo centralizado con un servidor para el
conjunto de la empresa.
IPAM realiza tentativas peridicas de localizacin de los controladores de dominio, de los servidores
DNS y DHCP. Esta operacin de localizacin afecta, evidentemente, a los servidores que se
encuentran en el mbito de las directivas de grupo. Para poder ser gestionadas por IPAM y autorizar
el acceso a este ltimo debe realizarse la configuracin de los parmetros de seguridad y de los
puertos del servidor.
La comunicacin entre el servidor IPAM y los servidores administrados se realiza mediante WMI o RPC.
1. Especificaciones de IPAM
El alcance de los servidores IPAM est limitado nicamente a un nico bosque Active Directory. Los
servidores que se tienen en cuenta (NPS, DNS y DHCP) deben ejecutar Windows Server 2008 (o
superior) y pertenecer al dominio. Algunos elementos de red (WINS - Windows Internet Naming
Service, proxy) no se tienen en cuenta en el servidor IPAM. Desde Windows Server 2012 R2 es
posible utilizar una base de datos SQL.
Un servidor IPAM puede tener en cuenta 150 servidores DHCP y 500 servidores DNS (6.000 mbitos
y 150 zonas DNS).
Con la instalacin de IPAM, se instalan tambin las siguientes funcionalidades:
Herramientas de administracin del servidor remoto: instalacin de las herramientas DHCP,

DNS y del cliente IPAM que permiten realizar la administracin remota de los servidores DHCP,
DNS e IPAM.
Base de datos interna Windows: base de datos interna que puede instalarse mediante los
roles y caractersticas internas.
Servicio de activacin de procesos Windows: elimina la dependencia con el protocolo http

generalizando el modelo del proceso IIS.
Administracin de las directivas de grupo: instala la consola MMC que permite administrar
las directivas de grupo.
.NET Framework: instalacin de la funcionalidad .NET Framework 4.5.
2. Caractersticas de IPAM
Una vez instalada la funcionalidad, se crean los siguientes grupos locales:
Usuarios IPAM: los miembros tienen la posibilidad de mostrar toda la informacin del
descubrimiento del servidor, as como aquella informacin asociada al espacio de
direccionamiento IP y la administracin del servidor. El acceso a la informacin de
seguimiento de las direcciones IP le est prohibido.
Administrador IPAM MSM (Multi-Server Management): adems de los permisos de usuario

IPAM puede realizar tareas de administracin del servidor y tareas de administracin propias
de IPAM.
Administradores IPAM ASM (Address Space Management): adems de los permisos de

usuario IPAM puede realizar tareas de direccionamiento IP y tareas de administracin propias
de IPAM.
Administrador de Auditora IPAM IP: los miembros de este grupo pueden realizar tareas de
administracin propias de IPAM as como mostrar la informacin de seguimiento de la
direccin IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos IPAM y
pueden, a su vez, realizar todas las tareas IPAM.
Las tareas IPAM se ejecutan, de forma habitual, en funcin de una periodicidad. Estn presentes en
el planificador de tareas (Microsoft / Windows / IPAM).
DiscoveryTask: permite descubrir de forma automtica servidores DC, DHCP y DNS.
AddressUtilizationCollectionTask: recoge los datos de uso del espacio de direccionamiento

IP para los servidores DHCP.
AuditTask: recoge informacin de auditora de servidores DHCP, IPAM, NPS y DC as como de

los mbitos DHCP.
ConfigurationTask: recoge informacin de configuracin de los servidores DHCP, DNS para

ASM y MSM.
ServerAvailabilityTask: recupera el estado de los servidores DHCP y DNS.
La instalacin y configuracin de la funcionalidad IPAM se realiza en los trabajos prcticos.

Trabajos prcticos: Instalacin y configuracin del rol
DHCP
Los trabajos prcticos consisten en la instalacin del servidor DHCP y la funcionalidad IPAM as como
su configuracin.
1. Agregar y configurar el rol DHCP

Objetivo: realizar la instalacin del rol DHCP y proceder a su configuracin.
En AD1, abra la consola Administrador del servidor y, a continuacin, haga clic en Agregar roles
y caractersticas.
Deje marcada la opcin Instalacin basada caractersticas o en roles y, a continuacin, haga clic
en Siguiente.
En Seleccionar servidor de destino, deje AD1 marcado y, a continuacin, haga clic en Siguiente.
Marque la opcin Servidor DHCP y, a continuacin, haga clic en el botn Agregar

caractersticasen la ventana emergente.
Haga clic en Siguiente en la ventana Seleccionar caractersticas.
Espere a que finalice la instalacin y haga clic en Cerrar.
En la consola Administrador del servidor, haga clic en el icono que representa una bandera.
Haga clic en el enlace Completar configuracin de DHCP.

Se abre el asistente de configuracin, haga clic en Siguiente.
En la ventana Autorizacin, verifique que se utiliza la cuenta FORMACION\Administrador y, a

continuacin, haga clic en Confirmar.
Haga clic en Cerrar para cerrar el asistente.
Abra la consola DHCP presente en las Herramientas administrativas.

Despliegue ad1.formacion.local en el panel de navegacin y, a continuacin, realice la misma
operacin con IPv4.
Haga clic con el botn derecho en IPv4 y, a continuacin, en el men contextual, haga clic
enNuevo mbito.
Haga clic en Siguiente en la ventana de Bienvenida.
En el campo Nombre, escriba mbito Formacin y, a continuacin, haga clic en Siguiente.
Escriba 192.168.1.100 en Direccin IP inicial y, a continuacin, 192.168.1.200 en Direccin

IP final.
En las ventanas Agregar exclusiones y retraso y Duracin de la concesin, haga clic

enSiguiente.
Marque la opcin Configura restas opciones ahora y haga clic en Siguiente.
Escriba 192.168.1.254 en el campo Direccin IP. Valide la informacin haciendo clic

en Agregary Siguiente.
En la ventana Nombre de dominio y servidores DNS, verifique que la direccin IP configurada
es192.168.1.10 y, a continuacin, haga clic dos veces en Siguiente.
En la ventana Activar mbito, haga clic en Siguiente.
Haga clic en Finalizar para cerrar el asistente.
Verifique en el equipo CL8-01 el direccionamiento de la tarjeta de red para que est configurado
para Obtener una direccin IP automticamente.
Marque esta opcin si no estuviera marcada.
Utilice el comando ipconfigpara comprobar la configuracin en curso.
Si la direccin configurada es una direccin APIPA (196.254.x.x), realice una nueva peticin de
contrato mediante el comando ipconfig /renew.
Los contratos distribuidos aparecen en el nodo Concesiones de direcciones de la consola DHCP.

Despliegue Filtros y, a continuacin, haga clic con el botn derecho en el nodo Permitir. En el
men contextual, seleccione Habilitar. Repita la misma operacin con Denegar.
Haga clic en Conjunto de direcciones y, a continuacin, haga clic con el botn derecho en el
correspondiente a CL8-01. En el men contextual, seleccione Agregar un filtro y, a
continuacin,Denegar.
Elimine el contrato asignado a CL8-01 y, a continuacin, verifique la presencia del equipo en la

lista de exclusin.
En CL8-01, abra una ventana de comandos DOS y, a continuacin, escriba ipconfig

/release.
Escriba ipconfig /renewpara solicitar un nuevo contrato.
No se devuelve ninguna respuesta al cliente puesto que est incluido en la lista de exclusin.
Deshabilite las listas Permitir y Denegar y, a continuacin, vuelva a ejecutar el

comando ipconfig /renewen CL8-01.
2. Implementacin de IPAM
Objetivo: implementar y configurar la funcionalidad IPAM.
Mquinas virtuales: AD1, SV1 y CL8-01.
Si no lo estuviera, incluya SV1 en el dominio Formacion.local.
En SV1, abra la consola Administrador del servidor y, a continuacin, haga clic en Agregar roles
y caractersticas.
IPAM no debe instalarse en un controlador de dominio, SV1 se utiliza para alojar la funcionalidad.
Deje la opcin por defecto en la ventana Seleccionar tipo de instalacin y, a continuacin, haga
clic en Siguiente.
Verifique la seleccin de SV1.Formacion.local y, a continuacin, haga clic en Siguiente.
En la ventana de seleccin de caractersticas, marque la caracterstica Servidor de

administracin de direcciones IP (IPAM).
Haga clic en el botn Agregar caractersticas y, a continuacin, en el botn Siguiente.
Lance la instalacin mediante el botn Instalar.
Una vez instalada la funcionalidad, acceda al Administrador del servidor y, a continuacin, haga
clic en IPAM para mostrar la pgina de presentacin.
Haga clic en el vnculo Aprovisionar el servidor IPAM.

Haga clic en Siguiente en la ventana Antes de comenzar.
La eleccin de la base de datos se va a realizar sobre una base de datos interna. No obstante, en un
entorno de produccin (y en funcin el nmero de equipos), es preferible almacenar la informacin en
una base de datos SQL.
Seleccione un mtodo de aprovisionamiento Basado en la directiva de grupo.
En el campo Prefijo del nombre del GPO, escriba SRVIPAM y, a continuacin, valide haciendo clic
en Siguiente.
Confirme la configuracin haciendo clic en Aplicar.
El aprovisionamiento est en curso
Verifique, al finalizar, la presencia de un mensaje que indica que El aprovisionamiento IPAM se

complet correctamente y, a continuacin, haga clic en Cerrar.
Haga clic en Configurar deteccin de servidores.

Haga clic en Agregar para agregar el dominio Formacion.local al mbito.
Configure los roles que quiere descubrir desmarcando aquellos que no desee.
En la ventana INFORMACIN GENERAL, haga clic en Iniciar deteccin de servidores.
Haga clic en Ms en la banda amarilla con el objetivo de obtener ms detalles.

Espere a que finalice la ejecucin.
Cuando el campo Fase tenga el valor Completado, cierre la ventana Detalles de tarea.
Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de

IPAM.
El o los servidores tienen el estado Bloqueado en Estado de acceso IPAM y Sin

especificar enEstado de manejabilidad.
Si no se muestra ningn servidor, haga clic en Actualizar IPv4 (junto al identificador de
notificacin).
Es, ahora, necesario otorgar a SV1 los permisos para poder administrar los distintos servidores. Los
objetos de directiva de grupo se utilizan para autorizar el acceso a los servidores DHCP y DNS.
Abra una consola PowerShell como administrador en SV1.
Escriba el siguiente comando y, a continuacin, presione [Enter]:
Invoke-IpamGpoProvisioning -Domain Formacion.local -GpoPrefixName

SRVIPAM -IpamServerFqdn sv1.formacion.local
Pulse la tecla S y, a continuacin, valide presionando la tecla [Enter].
Aparecen nuevas directivas en la consola Administracin de directivas de grupo.

La directiva SRVIPAM_DHCP contiene los siguientes parmetros:
Las directivas estn vinculadas, por defecto, a la raz del dominio. Es posible moverlas si fuera
necesario.
En la consola de configuracin de IPAM, haga clic con el botn derecho en la fila AD1 y, a
continuacin, seleccione Editar servidor.
Asegrese de que la opcin DHCP est marcada y, a continuacin, en la lista desplegable Estado
de capacidad de administracin, seleccione Administrado.

Es intil realizar esta accin en AD2 y AD3 puesto que el rol DHCP est instalado en AD1 y la
seccin de AD es idntica para los tres.
En el servidor AD1, abra una ventana de comandos DOS y, a continuacin, escriba el

comando gpupdate /force. Esto permite aplicar las directivas de grupo creadas
anteriormente utilizando el comando PowerShell.
Actualice la consola IPAM, el campo Estado de acceso IPAM est, ahora, Desbloqueado.
Si no fuera el caso, haga clic con el botn derecho en AD1 y seleccione Actualizar.
Pueden necesitarse varios minutos para aplicar la directiva.
En el panel INFORMACIN GENERAL, haga clic en Recuperar datos de servidores

administrados.
Espere a que finalice la recuperacin (trabajo en curso).
En el panel de navegacin IPAM, haga clic en Bloques de direcciones IP.

Muestre el contenido de la pestaa Detalles de configuracin, examine la informacin mostrada.
La informacin proveniente del DHCP se recupera correctamente.
Haga clic con el botn derecho sobre el rango de direcciones IP y, a continuacin, en el men
contextual, haga clic en Buscar y asignar direccin IP disponible.
Pasados algunos segundos, se propone una direccin IP y, a continuacin, se realizan las

comprobaciones.
Haga clic en la seccin Configuraciones bsicas y, a continuacin, en el campo Direccin
MACescriba la direccin MAC de CL8-01.
Seleccione Reservada en el campo Estado de direccin y, a continuacin, CL8-01 en el

campoPropietario.
Seleccione el men Reserva de DHCP.
En la lista desplegable Nombre del servidor de reserva, seleccione AD1.Formacion.local.
Escriba CL8-01 en el campo Nombre de reserva y, a continuacin, Ambos en la lista

desplegableTipo de reserva.
En el campo Id. de cliente, marque la opcin Asociar MAC a identificador de cliente.

Haga clic en los botones Aplicar y Agregar.
En la lista desplegable Vista actual, seleccione Direcciones IP.

Haga clic con el botn derecho en la entrada creada anteriormente y, a continuacin, seleccione
la opcin Crear reserva DHCP.
La reserva se ha creado correctamente en la consola DHCP.
En el puesto CL8-01, renueve el contrato DHCP ejecutando los comandos ipconfig

/releasey, a continuacin, ipconfig /renew.
La reserva se ha tomado en cuenta.
3. Alta disponibilidad del servicio DHCP

Objetivo: implementar alta disponibilidad para asegurar la continuidad del servicio aun en el caso de
que uno de los servidores falle.
Mquinas virtuales: AD1 y AD3.

En AD3, abra el Administrador del servidor y, a continuacin, haga clic en Agregar roles y
caractersticas.
clic en Siguiente.
El servidor de destino es AD3.formacion.local, haga clic en Siguiente.
Marque la opcin Servidor DHCP y, a continuacin, haga clic en Agregar caractersticas.
Haga clic tres veces en Siguiente y, a continuacin, en Instalar.
La instalacin est en curso
Al finalizar la instalacin, haga clic en Cerrar.
En el Administrador del servidor, haga clic en la bandera y, a continuacin, en Completar

configuracin de DHCP.
Haga clic en Siguiente en la ventana Descripcin y, a continuacin, Confirmar en Autorizacin.
En la interfaz Windows, haga clic en DHCP.
Haga doble clic en AD3.formacion.local y, a continuacin, en IPv4.
No existe ningn mbito.
En AD1, haga clic en DHCP en las Herramientas administrativas.
Haga doble clic en AD1.formacion.local y, a continuacin, en IPv4.
Haga clic con el botn derecho en IPv4 y, a continuacin, haga clic en Configurar
conmutacinpor error.
Aparece un nico mbito en el DHCP, haga clic en Siguiente en la ventana Introduccin a la

conmutacin por error DHCP.
En la ventana Servidor asociado, haga clic en Agregar servidor.
Si AD3.formacion.local no aparece, seleccione el servidor con ayuda del botn Examinar y, a

continuacin, haga clic en Aceptar.
Haga clic en Siguiente para validar el servidor asociado.
Escriba P@rtDHCP en el campo Secreto compartido.
Modifique el valor del campo Plazo mximo para clientes a 1 minuto.
En produccin, este retardo sera algo mayor.

Verifique que las etapas muestran el estado Correcto y, a continuacin, haga clic en Cerrar.
En AD3, acceda a la consola DHCP, ahora aparece el mbito.

Haga clic con el botn derecho en IPv4 y, a continuacin, seleccione Propiedades.
Seleccione la pestaa Conmutacin por error.
Haga clic en Editar para visualizar las propiedades que se pueden modificar.
Modifique el campo Servidor local para que el porcentaje sea igual a 0.
Ejecute un ipconfig /allen CL8-01.

El servidor DHCP que distribuye el contrato es AD3.
Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a

continuacin,ipconfig /renewen una ventana de comandos DOS y presione la tecla [Enter].
Utilice el comando ipconfig /allpara visualizar el nuevo valor de direccin IP.

El servidor DHCP que ha distribuido la direccin IP es, efectivamente, AD3.
La conmutacin por error puede utilizarse, tambin, en el modo de Espera activa.
En AD1, haga clic con el botn derecho en IPv4 y, a continuacin, seleccione Propiedades.
Seleccione Conmutacin por error y, a continuacin, haga clic en Editar.
Marque la opcin Modo de espera activa y, a continuacin, haga clic en Aceptar.

Haga clic en Aceptar. Este servidor tiene el rol Activo.
El segundo servidor tiene el rol Espera.

Escriba ipconfig /allen una ventana de comandos del equipo CL8-01.
El servidor DHCP es siempre AD3.formacion.local.
Escriba ipconfig /release y presione la tecla [Enter] del teclado. Escriba, a

continuacin,ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter].
Esta operacin permite establecer un contrato DHCP utilizando AD1.

En AD1, abra la consola DHCP.
Haga clic en AD1.formacion.local, seleccione Todas las tareas y, a continuacin, haga clic
enDetener.
En CL8-01, escriba ipconfig /releasey presione la tecla [Enter] del teclado. Escriba, a
continuacin, ipconfig /renewen la ventana de comandos DOS y presione la tecla [Enter].
El servidor auxiliar ha remplazado al servidor Activo, actualmente fuera de servicio.

1. Preguntas
1 Cul es el objetivo del protocolo DHCP?
2 Qu tipo de trama enva el cliente para descubrir el servidor DHCP?
3 Cules son los puertos utilizados por el servidor y el cliente DHCP?
4 En qu momento intenta renovar su contrato el equipo cliente?
5 Por qu utilizar una retransmisin DHCP?
6 Qu contiene un mbito DHCP?
7 Es posible crear varios mbitos?
8 Cul es la utilidad de realizar exclusiones?
9 Cules son los tres tipos de opciones que pueden configurarse mediante la consola DHCP?
10 Cules son los parmetros utilizados durante la implementacin de una reserva?
11 Cul es la funcin de los filtros?
12 Dnde se encuentra el archivo Dhcp.mdb?
13 Tras la distribucin de un contrato DHCP, dnde se escribe la informacin?
14 Qu es la funcin de conmutacin por error en el servidor DHCP?
15 Describa brevemente la funcionalidad IPAM.
2. Resultados
3. Respuestas
1 Cul es el objetivo del protocolo DHCP?
El objetivo del protocolo DHCP es la distribucin de configuraciones IP. Permite, de este modo,
evitar conflictos de direccionamiento IP.
2 Qu tipo de trama enva el cliente para descubrir el servidor DHCP?
El cliente enva una trama DHCP Discover con el objetivo de encontrar un servidor DHCP. Esta
trama es de tipo broadcast.
3 Cules son los puertos utilizados por el servidor y el cliente DHCP?
Se utilizan los puertos UDP 67 y UDP 68.
4 En qu momento intenta renovar su contrato el equipo cliente?
El contrato DHCP se asigna al equipo por una duracin de x das. Se realizan varios intentos de
renovacin del contrato. El primero tiene lugar cuando se alcanza el 50% de la duracin del
contrato. El siguiente, alcanzado el 87,5%, y el ltimo alcanzado el 100%. Una vez expira el
contrato, el puesto no puede acceder a la red puesto que no posee configuracin IP.
5 Por qu utilizar una retransmisin DHCP?
Un equipo que se encuentre fuera de la red local no puede recibir el contrato DHCP. El DHCP
Discover se basa en una trama de tipo broadcast, lo que impide que se intercambie esta
informacin a travs de un router. Es, por tanto, necesario instalar un servidor DHCP en cada red
local. No obstante, tambin es posible implementar una retransmisin DHCP que sirve como enlace
entre las dos redes locales separadas por un router.
6 Qu contiene un mbito DHCP?
Un mbito DHCP contiene un pool de direcciones distribuibles pero, tambin, las reservas y
exclusiones configuradas.
7 Es posible crear varios mbitos?
S, es posible crear varios mbitos en el servidor DHCP.
8 Cul es la utilidad de realizar exclusiones?
Tras la configuracin del DHCP, se crea un rango de direcciones IP distribuibles. Es posible excluir
aquellas direcciones correspondientes a impresoras De este modo, estas direcciones no se
distribuirn.
9 Cules son los tres tipos de opciones que pueden configurarse mediante la consola DHCP?
Existen tres tipos de opciones presentes en el DHCP, las opciones de servidor, de mbito o de
reserva. De ello se deduce que un mbito puede poseer opciones diferentes a las del servidor.
10 Cules son los parmetros utilizados durante la implementacin de una reserva?
Tras la implementacin de una reserva existen tres parmetros importantes, principalmente la

direccin IP y la direccin MAC; el nombre de la reserva, si bien es menos importante que los dos
parmetros anteriores, permite conocer muy fcilmente (si la nomenclatura se ha escogido
cuidadosamente) el destinatario de la reserva.
11 Cul es la funcin de los filtros?
Un filtro permite autorizar o no la distribucin de configuracin IP. Esta seguridad no es ptima,

puesto que es posible suplantar la direccin MAC de forma bastante sencilla.
12 Dnde se encuentra el archivo Dhcp.mdb?
Este archivo se encuentra en la carpeta C:\Windows\System32\Dhcp.
13 Tras la distribucin de un contrato DHCP, dnde se escribe la informacin?
La informacin se escribe en la base de datos del servidor DHCP y tambin en la base de datos de
registro. En caso de restauracin de la base de datos, conviene realizar una reconciliacin.
14 Qu es la funcin de conmutacin por error en el servidor DHCP?
La conmutacin por error permite asegurar una alta disponibilidad en caso de que falle algn
servidor. Existen dos modos de trabajo:
El modo de equilibrio de carga, que permite repartir la carga de trabajo sobre los dos
servidores.
El modo de espera activa, que permite tener un servidor activo y otro en espera. ste se
activa en caso de que falle su servidor asociado.
15 Describa brevemente la funcionalidad IPAM.
IPAM permite distribuir y auditar los servidores proporcionando la distribucin de configuracin de

red (DHCP, NPS). Permite, a su vez, implementar una reserva IP, la bsqueda de una direccin
disponible o la creacin de un registro.
Poseer nociones acerca del funcionamiento del protocolo DNS.
2. Objetivos
Configuracin del rol DNS.
Presentacin de los distintos tipos de registros.
Administracin y mantenimiento del servidor DNS.

Introduccin
El rol DNS es, junto a Active Directory, un elemento esencial. En efecto, permite la resolucin de
nombres en direcciones IP. La parada del servicio DNS impedira cualquier resolucin y, por tanto,
supondra un riesgo de mal funcionamiento a nivel de las aplicaciones que deseen acceder a recursos
compartidos (aplicaciones que acceden a una base de datos, por ejemplo).
Instalacin de DNS
Como con Active Directory o DHCP, DNS es un rol en Windows Server 2012 R2. Existen dos formas de
instalarlo: agregar el rol desde la consola Administrador del servidor o realizando una promocin de
un servidor como controlador de dominio.
DNS (Domain Name System) es un sistema basado en una base de datos distribuida y jerrquica.
Esta ltima est separada de manera lgica. De este modo, los nombres pblicos (jlopez.es) son
accesibles por cualquiera, sea cual sea su localizacin geogrfica.
Es, naturalmente, ms fcil recordar un nombre de dominio o un nombre de equipo que una direccin
IP, adems IPv6 favorece todava ms el uso de un nombre en lugar de una direccin IP.
1. Visin general del espacio de nombres DNS

DNS est basado en un sistema jerrquico. El servidor raz permite redirigir las consultas hacia otros
DNS justo por encima. Se representa mediante un punto. Debajo de l se encuentran los distintos
dominios de primer nivel (es, net, com). Cada uno de estos dominios est administrado por un
organismo (ESNIC para los dominios .es), mientras que IANA (Internet Assigned Numbers Authority)
gestiona, por su lado, los servidores raz.
En un segundo nivel se encuentran los nombres de dominio que estn reservados para empresas o
particulares (jlopez, ediciones-eni). Estos nombres de se reservan en un proveedor de acceso que
puede, a su vez, albergar su servidor web o, simplemente, proveerle un nombre de dominio.
En cada nivel se encuentran servidores DNS distintos, cada uno con autoridad en su zona. Los
servidores raz contienen, nicamente, la direccin y el nombre de los servidores de primer nivel.
Ocurre igual con todos los servidores de cada nivel.
Es posible, para una empresa o un particular, agregar, al nombre de dominio que ha reservado,
registros o subdominios (por ejemplo mail.jlopez.es, que permite transferir todo el trfico de correo
electrnico a un router, en particular el correspondiente a la IP pblica).
Cada servidor DNS puede resolver nicamente aquellos registros de su zona. El servidor de la zona
ES puede resolver el registro jlopez, pero no sabe resolver el nombre de dominio shop.jlopez.es.
2. Separacin entre DNS privado/pblico

Un sistema DNS est compuesto de dos partes, el DNS privado, que tiene como objetivo resolver
nombres DNS en una red local, y el servidor DNS sobre las redes pblicas que resuelve los nombres
DNS accesibles sobre Internet (servidores web).
Es, por tanto, necesario escoger la poltica deseada para ambos servidores. El espacio de nombres
interno (privado) puede, de este modo, ser idntico al espacio de nombres externo (pblico). Cada
servidor posee sus propios registros. Esta solucin es vlida para redes de tamao restringido. Es
habitual encontrar un espacio de nombres interno diferente al externo. El espacio de nombres se
encuentra, de este modo, completamente separado en dos partes bien distintas. Por ltimo, una
solucin hbrida consiste en definir a nivel de los DNS privados subdominios del espacio pblico.
3. Despliegue de DNS
Tras la implementacin de una solucin DNS es importante tener en cuenta ciertos parmetros. Es
necesario, en primer lugar, conocer el nmero de zonas DNS configuradas en un servidor as como el
nmero aproximado de registros (con el objetivo de fraccionar, si fuera necesario, los registros en
varias zonas). A continuacin es, tambin, necesario conocer el nmero de servidores que se quiere
instalar y configurar, en funcin, evidentemente, del nmero de clientes que se comunicarn con los
servidores. Puede resultar til instalar un servidor suplementario en el caso de que el nmero de
puestos cliente sea importante, con el objetivo de poder evitar la sobrecarga de los servidores.
Adems, agregar un servidor extra permite, tambin, asegurar la continuidad del servicio si el primer
servidor sufriera cualquier fallo en su funcionamiento. Es necesario conocer la ubicacin de los
servidores, es frecuente encontrar, como mnimo, un servidor DNS por localizacin (si la red de la
empresa se extendiera en cuatro agencias, es decir cuatro redes locales vinculadas mediante
enlaces WAN, sera prudente tener, al menos, cuatro servidores DNS). Esto est, evidentemente,
sujeto al tamao del sitio.
Por ltimo, pueden presentarse otras incgnitas, tales como la integracin o no con Active Directory.
Tras la creacin de una zona, el almacenamiento de sta puede realizarse de dos maneras:
Uso de un archivo de texto: el conjunto de registros se almacena en un archivo. Dicho

archivo puede, evidentemente, modificarse mediante un editor de texto.
Active Directory: los registros DNS estn contenidos en la base de datos de Active Directory.
Para realizar una modificacin es necesario acceder a la consola DNS. No obstante la
integracin de la zona en Active Directory requiere que el rol DNS est instalado sobre el
controlador de dominio, sin lo cual es imposible realizar la operacin. Esta ltima opcin
ofrece un importante beneficio a los administradores. En efecto, adems de asegurar las
actualizaciones dinmicas, la replicacin se realiza al mismo tiempo que la de Active Directory.
Los administradores no tienen, por tanto, que administrar nada ms.
Configuracin del rol
Una vez instalado, es necesario realizar a la configuracin del rol. En el caso de una instalacin a
partir de la promocin del servidor como controlador de dominio, la creacin de la zona se realiza
automticamente.
1. Componentes del servidor

Una solucin DNS est formada por varios componentes. Los servidores DNS, para comenzar, tienen
como funcin responder a las consultas de sus clientes, pero tambin alojar y administrar una o
varias zonas. stas contienen varios registros de recursos. Los servidores DNS pblicos gestionan, a
su vez, zonas y registros de recursos. No obstante, estos ltimos se refieren nicamente a recursos
que deben estar accesibles desde Internet. Por ltimo, los clientes DNS tienen la funcin de enviar al
servidor DNS las distintas peticiones de resolucin.
2. Consultas realizadas por el DNS

Una consulta permite solicitar una resolucin de nombres a un servidor DNS. De este modo, ste es
capaz de ofrecer dos tipos de respuestas, aquellas con autoridad y aquellas sin autoridad. Un
servidor provee una respuesta con autoridad si la consulta se refiere a un recurso presente en una
zona sobre la que tiene autoridad. En caso contrario, no puede responder al cliente. Utiliza, en tal
caso, un reenviador o indicaciones de races que permiten obtener dicha respuesta. Pueden
utilizarse dos tipos de peticiones, iterativas o recursivas.
Con las consultas iterativas, el puesto cliente enva a su servidor DNS una consulta para resolver el
nombre www.jlopez.es, por ejemplo. El servidor consulta al servidor raz. ste la redirige al servidor
con autoridad en la zona ES. Puede, a su vez, conocer la direccin IP del servidor DNS con autoridad
en la zona jlopez. La consulta de esta ltima permite resolver el nombre www.jlopez.es. El servidor
DNS interno responde a la consulta que ha recibido anteriormente de su cliente.
Con las consultas recursivas, el equipo cliente desea resolver el nombre www.jlopez.es, y enva la
peticin a su servidor DNS. Al no tener autoridad en la zona jlopez.es, el servidor necesita un
servidor externo para realizar la resolucin. La solicitud se reenva, entonces, al reenviador
configurado por el administrador (el servidor DNS de FAI que posee una cach ms amplia, por
ejemplo). Si no tiene la respuesta en cach, el servidor DNS de FAI realiza una consulta iterativa y, a
continuacin, transmite la respuesta al servidor que le ha realizado la peticin. Este ltimo puede,
ahora, responder a su cliente.
La siguiente captura de pantalla muestra la configuracin de un reenviador.

Para toda aquella consulta sobre la que el servidor no tenga autoridad, se utiliza el reenviador. En
ciertos casos (aprobacin de bosque AD, etc.) es necesario que la peticin de resolucin que se
enva a otro servidor DNS se redirija en funcin del nombre de dominio (para el dominio eni.es podra
enviarse al servidor SRVDNS1, por ejemplo). El reenviador condicional permite realizar esta
modificacin y, de este modo, dirigir las consultas hacia el servidor adecuado si la condicin (nombre
de dominio) se valida.
3. Registrar recursos en el servidor DNS

Es posible crear varios tipos de registros en el servidor DNS, los cuales permiten resolver un nombre
de equipo, una direccin IP o, simplemente, encontrar un controlador de dominio, un servidor de
nombres o un servidor de mensajera.
La siguiente lista muestra los registros ms habituales:
Registros A y AAAA (Address Record): permiten establecer la correspondencia entre el

nombre de un puesto y su direccin IPv4. El registro AAAA permite resolver el nombre de un
puesto en su direccin IPv6.
CNAME (Canonical Nam e): se crea un alias hacia el nombre de otro puesto. El puesto
afectado est accesible mediante su nombre o mediante su alias.
MX (Mail Exchange): define los servidores de correo para el dominio.
NS (Nam e Serv er): define los servidores de nombres del dominio.
SRV: permite definir un servidor especfico para una aplicacin, en particular para el reparto
de carga.
PTR (Pointer Record): asociando una direccin IP a un registro de nombre de dominio se
realiza la operacin opuesta a un registro de tipo A. Se crea este registro en la zona de
bsqueda inversa.
SOA (Start Of Authority): el registro ofrece informacin general sobre la zona (servidor
principal, e-mail de contacto, perodo de expiracin).
4. Funcionamiento del servidor de cach

El almacenamiento en cach supone un ahorro importante en el tiempo de respuesta, y las
bsquedas DNS se ven mejoradas. Este almacenamiento en cach proviene de la resolucin de un
nombre, en efecto, cuando el servidor responde a su cliente, la informacin se enva y aloja en
cach.
Un servidor de cach no contiene ningn dato, este tipo de servidor puede servir de reenviador. Un
cliente alberga, a su vez, datos en cach. Para administrar esta informacin pueden utilizarse dos
comandos: ipconfig /displaydnspermite visualizar la cach, ipconfig /flushdnselimina
la informacin contenida en la cach.
Configuracin de las zonas DNS
Las zonas DNS son puntos esenciales en una arquitectura DNS. Estas ltimas contienen todos los
registros necesarios para el correcto funcionamiento del dominio AD.
1. Visin general de las zonas DNS

Es posible crear, en un servidor DNS, tres tipos de zona: una zona primaria, una zona secundaria o
una zona de stub.
La zona primaria posee permisos de lectura y de escritura sobre el conjunto de los registros que
contiene. Este tipo de zona puede integrarse en Active Directory o, simplemente, estar contenida en
un archivo de texto. En el caso de que la zona no est integrada con Active Directory es necesario
configurar la transferencia de zona.
La zona secundaria es una simple copia de una zona primaria. Es imposible escribir sobre este tipo
de zona, al ser de solo lectura. Es imposible integrarla en Active Directory es obligatorio realizar una
transferencia de zona.
Una zona de stub es una copia de una zona, no obstante esta ltima contiene nicamente registros
necesarios para la identificacin del servidor DNS que tiene autoridad sobre la zona que acaba de
agregarse.
Veamos un ejemplo: el servidor AD1 tiene autoridad sobre la zona Formacion.local. El servidor SV1
tiene autoridad sobre la zona Formacion.local y Jlopez.local.
Se crea una zona de stub para poder conocer el o los servidores que contienen los registros del
dominio Jlopez.local.
Una vez el servidor AD1 recibe una peticin de resolucin para el dominio Jlopez.local, la solicitud se
redirige hacia el o los servidores DNS configurados en la zona de stub. De este modo puede llevarse
a cabo la resolucin.
La integracin de la zona en Active Directory requiere la instalacin del rol DNS sobre un controlador
de dominio. Este tipo de zona aporta ciertos beneficios en la gestin del rol DNS.
Actualizacin con varios maestros: a diferencia de los servidores que alojan zonas primarias y
secundarias, las zonas integradas en Active Directory pueden ser modificadas por el conjunto de
servidores. En el caso de un sitio remoto, los registros pueden actualizarse sin tener que conectarse
con el servidor remoto.
Replicacin de zona DNS: la replicacin de zona integrada en Active Directory afecta, nicamente, al
atributo modificado. Tambin existe una diferencia en el proceso de replicacin. Se realiza una
transferencia de zona entre las zonas estndar, mientras que las zonas integradas en Active
Directory se replican mediante el controlador de dominio.
Actualizacin dinmica: la integracin en Active Directory asegura una mejor seguridad impidiendo
cualquier modificacin fraudulenta de los registros.
2. Zonas de bsqueda directa y zonas de bsqueda inversa

Las zonas de bsqueda directa permiten resolver un nombre en una direccin IP. Es posible
encontrar registros de tipo A, CNAME, SRV La zona de bsqueda inversa permite resolver una
direccin IP en un nombre Es posible encontrar registros de tipo SOA, NS y, principalmente, PTR. Las
zonas de bsqueda inversa no se crean por defecto, aunque se recomienda crearlas. Algunas
pasarelas de seguridad utilizan la zona de bsqueda inversa para confirmar que la direccin IP que
enva los mensajes est asociada correctamente con un dominio.
3. Delegacin de zona DNS

La delegacin permite realizar el enlace entre las distintas capas DNS, esta operacin consiste en
identificar el servidor DNS responsable del dominio de nivel inferior. La delegacin de una zona
ofrece, a su vez, la posibilidad a otra persona de administrar la zona en cuestin. La carga de red
puede verse, as, reducida, y los clientes podrn dirigir sus solicitudes al otro servidor.
Configuracin de la transferencia de zona
Una transferencia de zona consiste en replicar una zona de un servidor a otro. Esto se realiza con el
objetivo de poder realizar resoluciones en mejores condiciones.
1. Presentacin de la transferencia de zona

Se utiliza una transferencia de zona cuando las zonas no se encuentras en Active Directory. Se
realiza, generalmente, entre una zona primaria y una zona secundaria. Existen varios tipos de
transferencia de zona: la transferencia de zona integral, que consiste en copiar una zona entera de
un servidor a otro o la transferencia de zona incremental, que permite replicar nicamente aquellos
registros modificados. El servidor maestro avisa a los servidores secundarios mediante un mensaje
DNS Notify, a continuacin los servidores secundarios consultan al servidor principal para obtener la
actualizacin.
Cuando la zona est integrada en Active Directory, sta se replica al mismo tiempo que el directorio
Active Directory. Se habla, en este caso, de replicacin con varios maestros, todos los servidores
DNS pueden realizar modificaciones.
2. Proteccin de la transferencia de zona

Es importante proteger nuestro servidor DNS, el cual contiene informacin acerca de los distintos
controladores de dominio Para asegurar una transferencia de zona haca un servidor autorizado es
importante escribir en las propiedades la lista de servidores hacia las que se autoriza la replicacin.
Por defecto, no es posible realizar la transferencia de zona, estando, por defecto,

deshabilitadas.
Para asegurar una proteccin tras una transferencia de zona a travs de la red es posible utilizar
protocolos de tipo IPsec (Internet Protocol Security). La proteccin de datos a travs de la red
requiere intercambiar datos confidenciales a travs del DNS; en caso contrario, bastara con
proteger nicamente la transferencia de zona.
Administracin y resolucin de errores del servidor DNS
El servicio DNS debe supervisarse para asegurar el correcto funcionamiento de dicho rol. Cualquier
error en el mismo podra provocar una incidencia en el funcionamiento de las aplicaciones y dems
roles.
Presentacin de las caractersticas de caducidad y borrado
Si no se realiza ninguna limpieza en un servidor DNS, ste terminar, rpidamente, lleno de registros
obsoletos, lo cual puede provocar resoluciones incorrectas y, por tanto, algn problema derivado.
Para evitarlo es posible utilizar varios componentes. El tiempo de vida (TTL, Time To Live), el borrado y
la caducidad forman parte de estos componentes. El TTL indica un valor durante el que el registro DNS
ser vlido, siendo imposible borrarlo. La caducidad es el mecanismo que permite mantener la
coherencia de datos en el servidor DNS. Los datos que hayan alcanzado su fecha de caducidad se
eliminarn. Por ltimo, el borrado es la operacin que consiste en eliminar estos registros que han
alcanzado su fecha de caducidad.
Tras agregar un registro en una zona principal, se le agrega un timestamp para el proceso de
bloqueo. Cuando un administrador agrega un registro, este timestamp es igual a 0. De este modo, es
imposible aplicar una caducidad a un registro esttico.
La caducidad y el borrado deben habilitarse previamente.

Trabajos prcticos: Instalacin y configuracin del rol DNS
Los trabajos prcticos permiten instalar, crear y configurar el rol DNS.
1. Configuracin del registro de los recursos

Objetivo: realizar la creacin del registro y, a continuacin, la creacin de una zona de bsqueda
inversa.
Abra una sesin en AD1 como administrador y, a continuacin, abra la consola Administrador de
DNS.
Despliegue AD1, Zonas de bsqueda directa y, a continuacin, Formacion.local.
Haga clic con el botn derecho en Formacion.local y, a continuacin, en Nuevo host (A o AAAA).
Escriba SRVMAIL en el campo Nombre y, a continuacin, 192.168.1.17 en el campo Direccin

IP.
Haga clic en Agregar host y, a continuacin, en Aceptar en la ventana que aparece.
Haga clic con el botn derecho en Formacion.local y, a continuacin, haga clic en Nuevo
intercambio de correo (MX).
Escriba SRVMAIL en el campo Host o dominio secundario y, a

continuacin,SRVMAIL.formacion.local en el campo Nombre de dominio completo (FQDN) del
servidor de correo electrnico.
Haga clic con el botn derecho en Zonas de bsqueda inversa y, a continuacin,
seleccioneNueva zona.
Haga clic en Siguiente en la ventana de bienvenida y, a continuacin, seleccione Zona principal.
Valide las opciones haciendo clic en Siguiente.
En las ventanas mbito de replicacin de la zona de Active Directory y Zona de bsqueda

inversa IPv4 deje las opciones por defecto y, a continuacin, haga clic en Siguiente.
Escriba 192.168.1 en el campo Id. de red y, por ltimo, haca clic en Siguiente.
Solo estn autorizadas las actualizaciones dinmicas seguras, deje la opcin por defecto y, a
continuacin, haga clic en Siguiente.
Haga clic en Finalizar para realizar la creacin de la zona.
2. Caducidad y borrado de los registros

Objetivo: configurar las funcionalidades de tiempo de vida, borrado y caducidad con el fin de asegurar
la eliminacin de registros obsoletos.
En AD1, abra la consola Administrador de DNS.
Haga clic con el botn derecho en AD1 y, a continuacin, en el men contextual,

seleccioneEstablecer caducidad/borrado para todas las zonas.
Marque la opcin Borrar registros de los recursos obsoletos y, a continuacin, haga clic
enAceptar.
Se abre una ventana, marque Aplicar esta configuracin a las zonas integradas en Active
Directory existentes.
El valor 7 das es un valor por defecto que puede modificarse.
Haga clic con el botn derecho en AD1 y, a continuacin, seleccione Propiedades en el men
contextual.
Haga clic en la pestaa Opciones avanzadas y, a continuacin, marque la opcin Habilitar la

limpieza automtica de los registros obsoletos.
El valor del borrado debe coincidir con el configurado para la caducidad.
Ahora estn configuradas las caractersticas de caducidad y borrado.
3. Configuracin de un reenviador condicional

Objetivo: creacin de un reenviador con el objetivo de redirigir aquellas consultas relativas al dominio
Formatica.msft hacia el dominio SV1.
Mquinas virtuales: AD1, SV1.
En SV1, abra una sesin como administrador de dominio.
Abra la consola Centro de redes y recursos compartidos.
Haga clic en Cambiar configuracin del adaptador.
Haga clic con el botn derecho sobre la tarjeta de red y, a continuacin, seleccione la
opcinPropiedades en el men contextual.
Haga doble clic en Protocolo de Internet versin 4 (TCP/IPv4).
Modifique la configuracin IP de la mquina para que posea su direccin IP en el campo Servidor

DNS preferido. La direccin del servidor AD1 debe configurarse en el campo Servidor DNS
alternativo.
Abra la consola Administrador del servidor y, a continuacin, haga clic en el enlace Agregar
roles y caractersticas.
En las ventanas Seleccionar tipo de instalacin y Seleccionar servidor de destino, haga clic
enSiguiente dejando el valor por defecto.
Marque el rol Servidor DNS y, a continuacin, haga clic en Agregar caractersticas.
Haga clic tres veces en Siguiente y, a continuacin, en Instalar.
Cierre la ventana una vez termine la operacin.
Abra la consola DNS desde las Herramientas administrativas y, a continuacin, despliegue SV1.
Haga clic con el botn derecho en las Zonas de bsqueda directa y, a continuacin,
seleccioneNueva zona.
En la ventana de bienvenida, haga clic en Siguiente.
Compruebe que est marcada la Zona principal y, a continuacin, haga clic en Siguiente.
En el campo Nombre de zona, escriba Formatica.msft y, a continuacin, haga clic en Siguiente.
La zona no puede integrarse en Active Directory, pues el servidor no es un controlador de dominio.
Se crea, entonces, un archivo, el cual contiene todos los registros de la zona.
Haga clic en Siguiente en la ventana Archivo de zona.

Deje marcada la opcin No permitir las actualizaciones dinmicas y, a continuacin, haga clic
enSiguiente.
Haga clic en Finalizar para realizar la creacin de la zona.
Despliegue la zona Formatica.msft y, a continuacin, haga clic con el botn derecho sobre la
zona.
En el men contextual, seleccione Nuevo host (A o AAAA).
Escriba www en el campo Nombre y, a continuacin, 192.168.1.97 en el campo Direccin IP.

Haga clic en Agregar host y, a continuacin, en Finalizar.
En AD1, abra la consola Administrador de DNS y, a continuacin, haga clic con el botn derecho
en Reenviadores condicionales.
En el men contextual, seleccione Nuevo reenviador condicional.
En el campo Dominio DNS escriba Formatica.msft y, a continuacin, 192.168.1.12 enDirecciones

IP de los servidores maestros.
Marque la opcin Almacenar este reenviador condicional en Active Directory y replicarlo como
sigue. Deje el valor por defecto en la lista desplegable y, a continuacin, haga clic en Aceptar.
Abra una ventana de comandos DOS y, a continuacin, escriba ping www.formatica.msft.
La resolucin se realiza correctamente, no se obtiene ninguna respuesta dado que la direccin

indicada no existe en la maqueta.
1. Preguntas
1 Cul es el rol del protocolo DNS?
2 Por qu se dice que el sistema DNS es jerrquico?
3 Se encuentra la misma informacin en un DNS privado que en un DNS pblico?
4 Es posible almacenar zonas DNS?
5 Cules son los requisitos previos para unir una zona a AD?
6 Cules son las ventajas de integrar la zona en Active Directory?
7 Qu dos componentes utiliza el servidor DNS cuando no puede resolver un nombre?
8 Qu tipos de registros pueden crearse en un servidor DNS?
9 Enumere los distintos tipos de zona que es posible crear.
10 Sobre qu propiedad de un registro se basa el borrado?
2. Resultados
3. Respuestas
1 Cul es el rol del protocolo DNS?
El protocolo DNS tiene como rol la resolucin de nombres en direcciones IP y viceversa.
2 Por qu se dice que el sistema DNS es jerrquico?
DNS se compone de varios niveles, y cada uno de ellos se encarga de realizar la resolucin. Es
posible encontrar, por ejemplo, la raz que posee en su base de datos la direccin IP de los
servidores de primer nivel (es, com). Cada nivel posee, por tanto, una parte del nombre DNS.
3 Se encuentra la misma informacin en un DNS privado que en un DNS pblico?
No, un servidor DNS privado contiene los registros que permiten resolver nombres de recursos
locales al dominio mientras que el DNS pblico contiene, por su lado, registros de recursos que
estn accesibles desde el exterior.
4 Es posible almacenar zonas DNS?
Es posible almacenar zonas DNS en dos lugares: en un archivo de texto

(C:\Windows\System32\dns) o en el directorio Active Directory.
5 Cules son los requisitos previos para unir una zona a AD?
El registro de una zona en Active Directory requiere que la zona sea de tipo primario. Es necesario,
a su vez, que el servidor est instalado sobre un controlador de dominio.
6 Cules son las ventajas de integrar la zona en Active Directory?

La integracin en Active Directory permite una replicacin al mismo tiempo que Active Directory
(adems de transferir la zona) y, a su vez, proteger las actualizaciones dinmicas.
7 Qu dos componentes utiliza el servidor DNS cuando no puede resolver un nombre?
Cuando un servidor no puede resolver un nombre puede, en funcin de la configuracin realizada

por el administrador, utilizar el o los reenviador(es) o las indicaciones de las races.
8 Qu tipos de registros pueden crearse en un servidor DNS?
Es posible crear varios registros. Los hosts (A o AAAA) permiten resolver un nombre en una
direccin IP. Los punteros (PTR) permiten resolver una direccin IP en un nombre. Los registros de
tipo CNAME ofrecen la posibilidad de implementar alias hacia un equipo o servidor. Por ltimo, los
registros de tipo NS permiten definir los distintos servidores DNS.
9 Enumere los distintos tipos de zona que es posible crear.
Las zonas principales permiten al servidor tener permisos de lectura y de escritura en la zona. Este
tipo de zona puede integrarse en Active Directory. Una zona secundaria no puede modificarse, los
registros son de solo lectura y es necesario realizar una transferencia de zona para proceder a la
actualizacin de los registros. Este tipo de zona no puede integrarse en Active Directory. La zona de
stub no contiene ms que ciertos registros (A, NS y SOA) de una zona, lo que evita un
acoplamiento completo de la zona.
10 Sobre qu propiedad de un registro se basa el borrado?
Para realizar el borrado, un servidor DNS utiliza el timestamp con el objetivo de saber si el registro
est obsoleto.
Tener ciertas nociones acerca del despliegue de sistemas operativos.
Conocer el funcionamiento de un boot en PXE.
2. Objetivos
Presentacin de las funciones de los servicios de implementacin de Windows.
Definir los componentes y los beneficios de este rol.
Conocer las herramientas que permiten mantener y administrar WDS.

Introduccin
WDS (Windows Deployment Services, Servicios de implementacin de Windows) permite realizar el
despliegue de sistemas operativos a travs de la red. Este rol permite instalar un puesto sin utilizar
medios fsicos (DVD, disco duro USB).
Los servicios de implementacin de Windows
Los servicios de implementacin de Windows estn presentes en los sistemas operativos de servidor
desde Windows Server 2003 SP2. Permiten realizar la instalacin de sistemas operativos desde la
red. Las personas responsables del despliegue ven, de este modo, simplificadas sus tareas, de modo
que la instalacin de los equipos (servidor o puesto de trabajo) no requieren recursos fsicos.
Adems, esta solucin puede automatizarse parcial o totalmente con el objetivo de asegurar una
correcta configuracin de los equipos. Se utilizan, para ello, varias tecnologas:
WinPE (Windows Preinstallation Environment): se carga un archivo WIM tras el inicio de la

estacin en modo PXE, lo que permite a los equipos acceder a un recurso (imagen de
instalacin de Windows 8.1, recurso de implementacin MDT).
Archivo WIM: con Windows Vista ha hecho aparicin un nuevo formato llamado archivo WIM.
Ofrece una multitud de ventajas, entre ellas la independencia respecto al hardware (una
imagen puede, por tanto, aplicarse a varias configuraciones). Un archivo WIM puede contener,
a su vez, varios archivos WIM, cada uno de ellos con un ID nico (el primer archivo posee el ID
1, el segundo el ID 2). Con el objetivo de reducir el tamao de estos archivos de imagen es
posible aplicar una compresin ms o menos potente. Adems, es posible operar una
modificacin sin conexin (agregar un dispositivo, un paquete). Por ltimo, algo muy
importante, la aplicacin de una imagen (despliegue del archivo WIM) no destruye eventuales
datos que pudiera haber presentes en la particin.
PXE: hace ya varios aos que se utiliza la tecnologa PXE, la cual consiste en arrancar un
equipo en la red. Esta solucin se utiliza tras el despliegue de estaciones de trabajo o en el
caso de clientes ligeros.
Es posible implementar varios sistemas operativos de Microsoft mediante este rol:
Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2.
Windows XP, Vista SP1, 7, 8, 8.1.
1. Los componentes de WDS

Los servicios de implementacin de Windows poseen varios componentes.
Pre-Boot Execution Server
Este componente provee las funcionalidades necesarias para el arranque PXE de las estaciones de
trabajo. Recibe las consultas PXE entrantes y responde a las distintas mquinas.
Cliente de Servicios de implementacin de Windows
El cliente de Servicios de implementacin de Windows permite establecer la conexin y escoger la

imagen que se desea cargar. Se utiliza una interfaz grfica en la mayora de acciones.
Componentes de servidor
El servidor comprende, a su vez, un servidor TFTP (Trivial File Transfer Protocol). ste permite a los
distintos clientes realizar la carga en memoria de la imagen tras el arranque del equipo. Es posible
encontrar, en estos componentes, la carpeta compartida utilizada por WDS. Esta carpeta contiene
las distintas imgenes de arranque e instalacin, controladores, archivos de configuracin
Motor de multidifusin
El servicio de implementacin de Windows realiza el despliegue de las distintas imgenes a travs

de la red. sta se vuelve, entonces, un recurso muy solicitado, pues las imgenes tienen, por lo
general, un tamao considerable de varios gigabytes. Con el objetivo de reducir el trfico de red es
posible utilizar la transmisin por multidifusin. Con este tipo de transmisin, ciertos switches
pueden verse afectados por la transmisin a varios destinatarios. En este caso conviene anular la
transmisin multicast, lo que va a generar la comunicacin de x tramas idnticas a x destinatarios
diferentes (consumo mayor de ancho de banda). Es posible realizar la transmisin por multidifusin
o multicast de dos formas diferentes:
Autocast: la transmisin arranca una vez el primer cliente realiza la peticin. El servidor
reenva la misma imagen cuando se conecta un cliente, de modo que si se suma un segundo
equipo a la transmisin en curso, la parte faltante se recupera tras el reinicio de la
transmisin (al final de la primera transmisin).
Scheduled-cast: con este tipo de despliegue es posible utilizar dos tipos de criterios. El
primero, en base al nmero de clientes conectados, consiste en iniciar la transmisin una vez
el nmero de clientes conectados alcanza cierto umbral definido por el administrador (por
ejemplo: inicio de la transmisin una vez se conectan 10 puestos cliente). El segundo
consiste en configurar en el servidor una hora de inicio para la transmisin de la imagen en
modo multicast. A continuacin, es necesario conectar los equipos cliente al grupo de
transmisin y esperar la hora de inicio de la distribucin. La transmisin arranca
automticamente en la fecha y hora deseadas.
La transmisin por multidifusin ofrece ms informacin (tasa de transferencia, uso del

procesador) al administrador que una transmisin en modo unicast.
2. Por qu utilizar WDS?

Los servicios de implementacin de Windows pueden ayudar a una empresa a reducir el tiempo de
instalacin de estos equipos. Los fuentes (DVD) ya no son necesarios. Es posible desplegar un
mayor nmero de equipos en el mismo espacio de tiempo. La automatizacin del despliegue
permite, a su vez, reducir el coste total de la operacin de despliegue. Adems, automatizando las
distintas tareas el administrador se asegura la homogeneidad de la configuracin de los equipos.
Implementacin del rol WDS
La implementacin y configuracin del rol WDS no suponen una gran complejidad. Es, no obstante,
necesario plantearse las preguntas adecuadas:
En qu servidor se desea instalar el rol WDS?
Se respetan los requisitos previos?
Dnde se almacena el recurso compartido de distribucin necesario para el funcionamiento del

rol?
A qu equipos debe responder (clientes conocidos, clientes desconocidos)?
Los roles WDS y DHCP se encuentran en el mismo servidor?
Es posible automatizar ciertas etapas? Si s, cules?
El rol WDS exige varios requisitos previos, entre ellos un dominio de Active Directory y un servidor
DNS. Tras el inicio de los equipos en modo PXE, se les atribuye una direccin IP. Para ello debe
instalarse y configurarse un servidor DHCP. Preste atencin, no obstante, a que los roles WDS y DHCP
utilizan ambos el puerto UDP 67. En el caso de que se instalen ambos roles en el mismo servidor es
necesario realizar cierta configuracin en el servidor de implementacin.
Esta configuracin se realiza en el trabajo prctico.
La particin debe instalarse con el sistema de archivos NTFS.
Una vez aclaradas estas cuestiones y validados los requisitos previos, es posible realizar la
instalacin de WDS.
1. Instalacin y configuracin del servidor

La instalacin del rol se realiza desde la consola Administrador del servidor. Durante la instalacin,
es posible instalar dos servicios de rol:
El servidor de despliegue
El servidor de transporte
Una vez terminada la instalacin, es posible realizar la configuracin, la cual se opera directamente
desde la consola Servicios de implementacin de Windows.
Se abre un asistente de gua al administrador que inicia la etapa de configuracin. De este modo, es
necesario seleccionar la ubicacin de la carpeta compartida. Si los servicios DHCP y WDS estn
presentes en el mismo servidor, es necesario marcar las opciones que permiten modificar el puerto
de escucha (UDP 67) y agregar la opcin 60.
A continuacin, es posible configurar el tipo de respuesta. Existen tres opciones posibles:
No responder a ningn equipo cliente.
Responder solo a los equipos cliente conocidos. El servidor responde nicamente a los
clientes conocidos, lo cual requiere una accin manual por parte del administrador (este
punto se aborda ms adelante en este captulo).
Responder a todos los equipos cliente (conocidos y desconocidos). El servidor responde a

todos los equipos, no obstante es posible implementar una aprobacin del administrador
antes de enviar cualquier respuesta.
A continuacin es posible configurar el modo de respuesta.
2. Gestin de los despliegues

Con el objetivo de desplegar un puesto mediante los servicios de implementacin de Windows, es
necesario agregar una imagen de arranque. Consiste en una imagen WinPE, que se utiliza para
instalar la imagen de instalacin, capturar las particiones de sistema de un equipo El archivo
boot.wim es una imagen WinPE presente en el DVD que provee Microsoft (en la carpeta fuentes). Es
necesario importarla en el nodo Imgenes de arranque de la consola Servicios de implementacin
de Windows.
A continuacin, es preciso realizar la importacin de imgenes de instalacin (imagen que contiene

carpetas y archivos). Es posible automatizar una o varias etapas durante el despliegue. Puede
pulsarse la tecla [F12] para validar el arranque PXE sobre el puesto. Tambin es posible modificar
este comportamiento y evitar tener que pulsar esta tecla
Para los puestos que no tienen en cuenta el boot PXE, es posible crear desde la consola una imagen
de descubrimiento. Adems, WDS ofrece la posibilidad de capturar una particin. A diferencia de la
herramienta ImageX, que permite capturar datos de cualquier particin, la imagen de captura
permite realizar nicamente la captura de la particin de sistema donde se ha ejecutado un sysprep.
La gestin del despliegue engloba, a su vez, otros dos puntos. La transmisin de datos y de
controladores. Por defecto, la transmisin de datos se realiza en modo unicast, es preferible, en el
caso del despliegue de muchos puestos, implementar la transmisin por multidifusin (multicast). La
administracin de controladores consiste en importar paquetes de controladores que pueden
ponerse a disposicin de los equipos durante el despliegue. La importacin puede realizarse si y
solamente si los controladores tienen el formato inf. Es posible utilizar filtros para limitar la cantidad
de controladores ofrecidos a una categora de puesto.
Un ejemplo de filtro: Modelo, Versin del sistema operativo
Administracin del servicio WDS
Como acabamos de ver, la consola Servicios de implementacin de Windows permite realizar la
mayor parte de acciones, no obstante es posible interactuar con el servidor por lnea de comandos.
Para ello, se utiliza la instruccin WDSUTIL.
Es posible agregar una imagen de arranque por lnea de comandos:
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path> /ImageType:Boot
La imagen de captura puede crearse mediante el siguiente comando:
WDSUTIL /New-CaptureImage /Image:<source boot image name>

/Architecture:{x86|ia64|x64} /DestinationImage /FilePath:<file path>
Por ltimo, es posible crear la imagen de instalacin utilizando el comando:
WDSUTIL /Add-ImageGroup /ImageGroup:<image group name>

WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path to .wim file>
/ImageType:Install
La gestin del men de seleccin de imgenes es un aspecto importante. Este men puede contener
un mximo de 13 imgenes (es frecuente ver un men con un total de 4 o 5 imgenes). Es posible
configurar tres tipos de respuesta en el servidor, de entre las que seleccionamos la de responder a
los clientes conocidos. Para ello, el administrador debe agregar el dispositivo en la base de datos del
servidor WDS.
Esta operacin se realiza mediante el siguiente comando:
WDSUTIL /Add-Device /Device:<name> /ID:<GUIDorMACAddress>
Si bien resulta mucho ms segura, esta opcin puede resultar algo molesta si existen muchos puestos
que deben desplegarse. La transmisin por multidifusin puede, a su vez, configurarse por lnea de
comandos. Para configurar una transmisin de tipo Autocast, se utiliza el siguiente comando:
WDSUTIL /New-MulticastTransmission /Image:<image name>

/FriendlyName:<friendly name> /ImageType:Install
/ImageGroup:<Image group name> /TransmissionType:AutoCast
Es posible configurar la transmisin en modo Scheduled-Cast mediante el siguiente comando:
WDSUTIL /New-MulticastTransmission /Image:<image name>

/FriendlyName:<friendly name> /ImageType:Install
/ImageGroup:<Image group name> /TransmissionType:ScheduledCast
[/Time:<yyyy/mm/dd:hh:mm>][/Clients:<no of clients>]
Automatizacin del despliegue
Es posible automatizar cuatro etapas del despliegue.
La etapa Arranque PXE es la primera de las cuatro. Esta etapa permite configurar varios parmetros,
entre ellos la respuesta que se enva a los clientes o el comportamiento de la tecla [F12] (continuar
siempre con el arranque PXE).
Tambin es posible automatizar la imagen seleccionada en el arranque. El puesto carga

automticamente esta imagen, lo cual puede presentar problemas si existe ms de una imagen
disponible en el servidor.
El despliegue de un sistema operativo requiere una autenticacin, que puede automatizarse para
evitar tener que introducir las credenciales con cada despliegue.
Por ltimo, es posible automatizar las ltimas etapas del despliegue (nombre del equipo, clave de
licencia, creacin de usuarios). A diferencia de las etapas anteriores, esta informacin est
contenida en un archivo de respuestas diferente. Puede crearse con ayuda de Windows ADK y es
idntico al que se utiliza para automatizar la instalacin con DVD.
Trabajos prcticos: Despliegue con WDS
Estos trabajos prcticos permiten configurar la interfaz de usuario basndose en directivas de grupo.
1. Instalacin y configuracin de los servicios de implementacin de Windows

Objetivo: instalar y configurar el rol WDS en el servidor AD1.
En AD1, inicie una sesin como administrador y, a continuacin, abra la consola Administrador
del servidor.
Una vez terminada la actualizacin, haga clic en Agregar roles y caractersticas.
La instalacin se basa en un rol, deje la opcin por defecto en la ventana Seleccionar tipo de
instalacin y, a continuacin, haga clic dos veces en Siguiente.
Seleccione la opcin Servicios de implementacin de Windows y, a continuacin, haga clic

enAgregar caractersticas en la ventana emergente. A continuacin, haga clic en Siguiente.
Haga clic cuatro veces en Siguiente y, a continuacin, en el botn Instalar.
Haga clic en Cerrar una vez terminada la instalacin y, a continuacin, en las Herramientas
administrativas, haga clic en Servicios de implementacin de Windows.
Despliegue el nodo Servidores y, a continuacin, haga clic con el botn derecho
enAD1.Formacion.local.
En el men contextual, seleccione la opcin Configurar el servidor.
Seleccione la opcin de instalacin Integrado en Active Directory y, a continuacin, haga clic

enSiguiente.
Es preferible ubicar la carpeta de instalacin en una segunda particin, con el objetivo de evitar la
prdida de toda la configuracin tras la reinstalacin del servidor.
Reemplace la unidad C por la unidad D en el campo Ruta de acceso.

Seleccione Responder a todos los equipos cliente (conocidos y desconocidos) y, a
continuacin, marque la opcin que permite exigir la aprobacin del administrador.
Valide la informacin haciendo clic en Siguiente.
La configuracin est en curso
Desmarque la opcin Agregar imgenes al servidor ahora y, a continuacin, haga clic

enFinalizar.
2. Importacin de las imgenes utilizadas para el despliegue

Objetivo: importar las imgenes WIM necesarias para el despliegue.
Conecte la ISO de Windows 8.1 a la mquina virtual AD1.
La conexin se realiza mediante el men medios (lector DVD - Insertar un disco).
Haga clic con el botn derecho en la carpeta Imgenes de arranque y, a continuacin, haga clic
en Agregar imagen de arranque.
En la ventana Archivo de imagen, haga clic en el botn Examinar y, a continuacin, seleccione el

archivo boot.wim presente en la carpeta de fuentes del DVD.
Haga clic en Siguiente y, a continuacin, escriba Instalacin Windows 8.1 en los camposNombre
de la imagen y Descripcin de la imagen presentes en la ventana Metadatos de imagen.
Haga clic con el botn derecho en la carpeta Imgenes de instalacin y, a continuacin, en el

men contextual, seleccione Agregar imagen de instalacin.
Escriba Windows 8.1 en el campo Crear un grupo de imgenes denominado.

Haga clic en el botn Examinar en la ventana Archivo de imagen y, a continuacin, seleccione el
archivo install.wim en la carpeta de fuentes del DVD.
Haga clic tres veces en Siguiente y, a continuacin, en Finalizar.
La imagen ha sido importada y puede desplegarse.
3. Configuracin del servidor de despliegue

Objetivo: configurar la poltica de nombres de equipos, as como la unidad organizativa sobre la que
se almacenan las cuentas de equipo. Tambin es posible configurar el mensaje de espera de
validacin.
En la consola Servicios de despliegue de Windows, haga clic con el botn derecho en el nombre
del servidor (AD1.Formacion.local) y, a continuacin, en el men contextual, haga clic
enPropiedades.
Seleccione la pestaa AD DS y, a continuacin, en el campo Formato, escriba PC-FORM%02#.

En Ubicacin de la cuenta de equipo, seleccione La siguiente ubicacin:, y, a continuacin, haga
clic en Examinar.
Despliegue los nodos Formacin y Madrid, haga clic en Equipos y, a continuacin, en Aceptar.
Abra una consola PowerShell y, a continuacin, ejecute el comando:
Wdsutil /set-server /autoaddpolicy /Message:"La autorizacin de

despliegue del puesto est en curso, espere por favor".
El script puede descargarse desde la pgina Informacin.

Se ha modificado el mensaje que aparece durante la espera de la aprobacin.
4. Agregar y configurar un grupo de controladores

Objetivo: agregar al servidor WDS controladores que podrn utilizarse durante el despliegue.
En AD1, abra la consola Servicios de implementacin de Windows.
Despliegue los nodos Servidores y, a continuacin, AD1.Formacion.local.
Haga clic con el botn derecho en Controladores y, a continuacin, seleccione Agregar grupo de
controladores.
En el campo, escriba Dell Latitude E5640 y, a continuacin, haga clic en Siguiente.
En la ventana Filtros de hardware de cliente, haga clic en el botn Agregar.

Seleccione los criterios siguientes y haga clic en Agregar y, a continuacin, en Aceptar.
Tipo de filtro: Fabricante
Operador: Igual a
Valor: DELL
El filtro implementado permite ofrecer los controladores nicamente a equipos DELL.

Es posible implementar otros filtros. Adems, es posible utilizar el grupo DriverGroup1, que ofrece la
ventaja de que no posee filtros (los controladores se ponen a disposicin de todas las mquinas del
parque).
Haga clic dos veces en Siguiente y, a continuacin, deje la opcin por defecto en Paquetes que
se van a instalar.
Haga clic en Finalizar para crear el grupo de controladores.
Hace falta importar los controladores en formato INF. Para realizar el resto del trabajo prctico, es
necesario realizar la exportacin de los controladores presentes en su equipo. Tiene la posibilidad de
importar los controladores que desee.
Haga clic con el botn derecho en el nodo Controladores en la consola Servicios de

implementacin de Windows y, a continuacin, en el men contextual seleccione Agregar
paquete de controladores.
En la ventana Ubicacin del paquete de controladores, haga clic en Examinar y, a continuacin,

seleccione un archivo inf.
La segunda opcin consiste en indicar un nombre de carpeta para recuperar el conjunto de
controladores contenidos en ella.
Haga clic en Siguiente hasta llegar a la ventana Grupos de controladores. En ella, seleccione la
opcin Seleccionar un grupo de controladores existente y seleccione Dell Latitude E5640 en la
lista desplegable.
Haga clic en Siguiente y, a continuacin, valide las dems ventanas sin realizar ninguna
modificacin.
El paquete de controladores se ha importado y puede utilizarse en aquellos equipos que respeten la

condicin indicada (modelo de mquina).
5. Despliegue de imgenes en los puestos cliente

Objetivo: creacin e instalacin de un nuevo puesto Hyper-V.
Mquina virtual: AD1
En la consola Administrador de Hyper-V, haga clic en Nuevo y, a continuacin,

seleccioneMquina virtual.
En el campo Nombre, escriba CL8-03 y, a continuacin, haga clic en Siguiente.

En la ventana que permite seleccionar la generacin, seleccione Generacin 2 y, a continuacin,
haga clic en Siguiente.
Asigne 1024 MB de memoria RAM para el equipo escribiendo 1024 en el campo Memoria de
inicio.
Se recomienda asignar, como mnimo, 1024 MB de RAM, siendo 2048 el valor ideal.
En la ventana Configurar funciones de red, seleccione el mismo conmutador virtual que en las
dems mquinas virtuales y, a continuacin, haga clic en Siguiente.
En la ventana Conectar disco duro virtual, escriba el tamao deseado para el disco duro y, a
Seleccione la opcin Instalar un sistema operativo desde un servidor de instalacin en red y, a

Esta opcin permite agregar una tarjeta de red heredada, capaz de realizar un boot PXE.
Haga clic en Finalizar y, a continuacin, arranque el equipo.
Presione la tecla [F12] para iniciar la mquina en PXE.
El servidor espera, ahora, la aprobacin para responder a su cliente.

En la consola Servicios de implementacin de Windows, haga clic en Dispositivos pendientes.
Si el cliente no aparece, actualice.
Haga clic con el botn derecho en la fila correspondiente a la solicitud del cliente y a continuacin,
en el men contextual, haga clic en Aprobar.
Espere a que termine de cargar la imagen y, a continuacin, haga clic en Siguiente en la ventana
de seleccin de idioma.
Es necesario autenticarse, escriba Formacion\administrador (contrasea: Pa$$w0rd) y, a

En las ventanas de seleccin de imagen y de particin del equipo, haga clic en Siguiente.
Una vez terminada la instalacin, haga clic en Siguiente en la ventana Regin e idioma y, a
continuacin, en el botn Acepto los trminos de licencia para el uso de Windows.
En el campo Nombre de PC, escriba CL8-03 y, a continuacin, haga clic en Siguiente.

Haga clic en Utilizar configuracin rpida y, a continuacin, en el enlace Iniciar sesin sin una
cuenta de Microsoft.
Seleccione Cuenta local y configure la cuenta tal y como se indica a continuacin:
Nombre de usuario: Mantenimiento
Contrasea: Pa$$w0rd
Indicio de contrasea: P
Haga clic en Terminar para validar la informacin aportada.
El despliegue finaliza. Ms adelante, en un trabajo prctico, veremos la instalacin y configuracin de

forma automtica.
6. Captura de un puesto de referencia

Objetivo: capturar CL8-03 para crear una imagen de referencia que permita instalar otros puestos.
En CL8-03, abra la consola Administracin de equipos (haga clic con el botn derecho
enEquipos y, a continuacin, Administrar).
Despliegue el nodo Usuarios y grupos locales y, a continuacin, haga doble clic en Usuarios.
Acceda a las propiedades de la cuenta de administrador y, a continuacin, desmarque la

opcinLa cuenta est deshabilitada.
Haga clic con el botn derecho en Administrador y, a continuacin, seleccione la opcin Definir
contrasea.
Haga clic en Continuar en la ventana de advertencia y, a continuacin, escriba Pa$$w0rd en el

campo Nueva contrasea.
Confirme al contrasea y, a continuacin, haga clic dos veces en Aceptar.
Reinicie el equipo y conctese como administrador.
Desde la consola Administracin de equipos, acceda al nodo Usuarios y grupos locales y, a

continuacin, haga doble clic en Usuarios.
Elimine la cuenta Mantenimiento.
Abra el explorador de Windows y, a continuacin, acceda a la carpeta Sysprep presente

enc:\windows\system32.
Haga doble clic en Sysprep.exe y, a continuacin, marque la opcin Generalizar.
En la lista desplegable Opciones de apagado, seleccione Apagar.
Haga clic en Aceptar. El equipo se detiene automticamente.
En la consola Servicios de implementacin de Windows en AD1, haga clic en Imgenes de

arranque.
Haga clic con el botn derecho en la imagen que acaba de importar y, a continuacin, seleccione
la opcin Crear imagen de captura en el men contextual.
Escriba Imagen de captura en los campos Nombre de la imagen y Descripcin de la imagen.
Haga clic en el botn Examinar y, a continuacin, seleccione la

carpetad:\RemoteInstall\Images.
La carpeta RemoteInstall es la carpeta de trabajo de WDS, la cual se crea durante la

configuracin del servidor. Consulte el primer trabajo prctico para conocer la ruta exacta.
Escriba IMGCAPT en el campo Nombre y, a continuacin, haga clic en Abrir.

Haga clic en Siguiente para validar la informacin.
En la ventana Progreso de la tarea, espere a que finalice la operacin de creacin y, a
continuacin, marque la opcin Agregar una imagen al servidor de implementacin de
Windows.
Haga clic en Finalizar.
En el asistente que se abre, haga clic tres veces en Siguiente y, a continuacin, en Finalizar.
Inicie el puesto CL8-03 desde la red.
La aprobacin se ha hecho anteriormente, por lo que no es necesario aprobar de nuevo al

puesto.
En la etapa de seleccin de imgenes, seleccione Imagen de captura y, a continuacin, presione

[Enter].
La imagen se carga
En la lista desplegable, seleccione D:.
Slo se muestran aquellas particiones en las que se ha ejecutado un sysprep.
En los campos Nombre de imagen y Descripcin de la imagen, escriba Imagen REF

Windows 8.1.
En la ventana Ubicacin de imagen nueva, haga clic en Examinar.
Seleccione la particin D: (particin Windows) y, a continuacin, cree el archivo IMG-REF en la

raz.
Marque la opcin Cargar imagen en un servidor de Servicios de implementacin de Windows.
En el campo Nombre del servidor, escriba AD1 y, a continuacin, haga clic en Conectar.
Se abre una ventana de autenticacin, escriba Formacion\administrador y, a continuacin, la

contrasea Pa$$w0rd.
Seleccione Windows 8.1 en la lista desplegable Nombre del grupo de imgenes.
Haga clic en Siguiente y, a continuacin, espere a que finalice la captura.
Haga clic en Finalizar una vez terminada la captura.
La imagen est presente en el servidor.

Ahora es posible desplegar la imagen de referencia en los dems puestos.
7. Automatizacin del despliegue

Objetivo: automatizar completamente una instalacin mediante archivos de respuestas.
Uno de los dos archivos de respuestas se crea mediante la herramienta WSIM (Windows System
Image Manager). Esta herramienta se encuentra en el Windows ADK, en la siguiente
pgina:http://www.microsoft.com/es-es/download/details.aspx?id=39982
Si la mquina virtual no tiene acceso a Internet, es posible descargar el conjunto de fuentes en el

equipo fsico y, a continuacin, utilizar la red para transferirla sobre la mquina virtual SV2.
Tambin es posible crear un archivo ISO.
Si no lo hubiera hecho, una SV2 al dominio Formacion.local.
Inicie una sesin como Formacion\administrador y, a continuacin, ejecute el

comando adksetup.
En la ventana Especificar la ubicacin, haga clic en Siguiente.
Haga clic en Siguiente y, a continuacin, en Aceptar en las ventanas siguientes. Por ltimo, en la
ventana Seleccione las caractersticas que desea incluir en la instalacin, desmarque todo a
excepcin de la opcin Herramientas de implementacin.
Haga clic en Instalacin para ejecutar la instalacin.
Una vez finalizada la instalacin, haga clic en Cerrar.
Conecte a SV2 la ISO de Windows 8.1.
Copie el archivo install.wim, presente en la carpeta de fuentes del DVD, en la particin del
sistema.
En la interfaz de Windows, haga clic en Administrador de instalacin.
En Imagen Windows (abajo a la izquierda), haga clic con el botn derecho en Seleccionar una
imagen Windows.
Seleccione el archivo install.wim copiado anteriormente en la raz de la particin de sistema.
Haga clic en S en la ventana que solicita la creacin del archivo de catlogo (clg).
Al cabo de algunos minutos, se muestran los componentes.
En el panel central del Archivo de respuesta, haga clic con el botn derecho en Crear o abrir un
archivo de respuesta y, a continuacin, seleccione Nuevo archivo de respuesta.
Haga clic con el botn derecho en amd64_Microsoft-Windows-International-Core_neutral y, a
continuacin, haga clic en Agregar a la fase 7 oobe.
Haga clic con el botn derecho en amd64_Microsoft-Windows-Shell-Setup_neutral y, a

continuacin, haga clic en Agregar a la fase 7 oobe.
Despliegue el nodo amd64_Microsoft-Windows-international-Core y configure los campos tal y

como se muestra a continuacin:
InputLocale: es-ES
SystemLocale: es-ES
UILanguage: es-ES
UILanguageFallback: es-ES
UserLocale: es-ES
Haga clic en amd64_Microsoft-Windows-Shell-Setup y escriba Romance Standard Time en el

parmetro Time Zone.
Despliegue el nodo amd64_Microsoft-Windows-Shell-Setup y haga clic en OOBE. Fije los

valores de los parmetros:
HideEULAPage: True
HideLocalAccountScreen: True
HideOnlineAccountScreens: True
NetworkLocation: Work
ProtectYourPC: 1
Despliegue el nodo UserAccounts, haga clic en AdministratorPassword y, a continuacin, en el

campo Value, escriba Pa$$w0rd.
Haga clic con el botn derecho en LocalAccounts y seleccione la opcin Insertar nuevo
"LocalAccount" en el men contextual.
Configure los parmetros tal y como se indica a continuacin:
Description: Cuenta de mantenimiento
DisplayName: Mantenimiento
Group: Administradores
Name: Mantenimiento
Despliegue Password y, a continuacin, escriba Pa$$w0rd en el campo Value.
Haga clic en Archivo y, a continuacin, en Guardar archivo de respuesta como.
Escriba \\AD1 en el campo Nombre del archivo y, a continuacin, presione [Enter].
Haga doble clic en el recurso compartido REMINST y, a continuacin, en WdsClientUnattend.
Escriba oobe en el campo Nombre y, a continuacin, haga clic en Guardar.
Es posible descargar el archivo de respuestas desde la pgina Informacin.
En AD1, abra la consola Servicios de implementacin de Windows y, a continuacin, haga clic

en Dispositivos preconfigurados de Active Directory.
La cuenta de implementacin creada anteriormente est presente. Si no fuera el caso, actualice

la vista.
Haga clic con el botn derecho sobre la cuenta de equipo presente y, a continuacin,
seleccionePropiedades.
Seleccione la pestaa Arranque y, a continuacin, haga clic en el botn Seleccionar a la derecha

del campo Servidor de referencia.
Escriba AD1 y, a continuacin, haga clic en Comprobar nombres y en Aceptar.
Haga clic en el botn Seleccionar situado a la derecha del campo Imagen de arranque.
Seleccione Instalacin de Windows 8.1 y, a continuacin, haga clic en Aceptar.
Esta imagen es el archivo boot.wim que se ha importado del primer trabajo prctico.
Seleccione la pestaa Instalacin desatendida de cliente y, a continuacin, haga clic en Crear
nuevo archivo.
Seleccione Espaol (Espaa) en la lista desplegable Idioma del programa de instalacin.
En Credenciales, escriba administrador en el campo nombre de

usuario, Formacion en dominioy Pa$$w0rd en contrasea.
Marque la opcin Especificar la imagen de instalacin y, a continuacin, haga clic en el

botnSeleccionar.
Seleccione Windows 8.1 Enterprise Evaluation y, a continuacin, haga clic en Aceptar.

Seleccione Espaol (Espaa) en la lista desplegable Idioma.
CL8-03 ya ejecuta un sistema operativo, est compuesto por dos particiones (la particin de sistema
y la particin de 350 MB reservada al sistema).
Modifique el valor del Identificador de la particin y escriba 2.

Haga clic en Guardar y, a continuacin, seleccione la pestaa Permisos para unirse.
Haga clic en Configurar usuario y, a continuacin, en Seleccionar.
Escriba administrador y, a continuacin, haga clic en Comprobar nombres.
Haga clic en Aceptar y, a continuacin, marque la opcin Permisos totales.
Haga clic en Aceptar para validar todas las modificaciones realizadas en la ventana Propiedades
del dispositivo.
En la consola Servicios de implementacin de Windows, haga clic en Imgenes de instalaciny,

a continuacin, en Windows 8.1.
Acceda a las propiedades de la imagen Windows 8.1 Enterprise Evaluation y, a continuacin,

marque la opcin Permitir que la imagen se instale en el modo de instalacin desatendida.
Haga clic en el botn Seleccionar archivo y, a continuacin, con ayuda del botn Examinar,
seleccione el archivo de respuestas oobe.xml creado anteriormente.
Haga clic dos veces en Aceptar.
Arranque CL8-03 en la red.
Presione la tecla [F12] para iniciar el boot PXE.
Seleccione la imagen Instalacin Windows 8.1.
Es posible automatizar la accin de la tecla [F12] as como la imagen de arranque mediante la

ventana Propiedades del dispositivo.
La instalacin se lleva a cabo sin interaccin.

1. Preguntas
1 Con qu sistema operativo apareci WDS?
2 Cul es la utilidad de WDS?
3 Presente, en pocas palabras, WinPE.
4 Dnde se almacenan las distintas imgenes presentes en los servicios de implementacin de

Windows?
5 Describa el principio del Autocast.
6 Describa el principio del Scheduled-cast.
7 Qu accin debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? Por
qu?
8 Explique los tres tipos de respuestas que puede realizar el servidor WDS.
9 Qu ejecutable permite realizar una gestin del rol por lnea de comandos?
10 Cules son las tareas que es posible automatizar mediante Dispositivos preconfigurados de
Active Directory?
2. Resultados
3. Respuestas
1 Con qu sistema operativo apareci WDS?
WDS apareci con Windows Server 2003 SP2.
2 Cul es la utilidad de WDS?
WDS permite realizar el despliegue de archivos WIM personalizados o presentes en los DVD
proporcionados por Microsoft a travs de la red.
3 Presente, en pocas palabras, WinPE.
WinPE es un sistema que permite a los equipos acceder al servidor WDS. Este sistema est
compuesto por un archivo WIM que se carga en los equipos tras su arranque a travs de la red.
4 Dnde se almacenan las distintas imgenes presentes en los servicios de implementacin de

Windows?
Todas las imgenes, archivos de respuestas, etc. se almacenan en una carpeta compartida llamada
RemoteInstall. Se recomienda ubicarla en una particin diferente a la del sistema.
5 Describa el principio del Autocast.
El Autocast consiste en iniciar la transmisin multicast desde que el primer cliente realiza la
peticin. Las eventuales deltas faltantes se recuperan, en los dems clientes, una vez finalice la
transmisin.
6 Describa el principio del Scheduled-cast.
El Scheduled-cast consiste en iniciar la transmisin multicast en funcin de un criterio (nmero de

solicitudes) o en funcin de una hora de inicio.
7 Qu accin debe realizar si los servicios DHCP y WDS se instalan en el mismo servidor? Por
qu?
Los servicios DHCP y WDS utilizan, ambos, el puerto UDP 67, por lo que resulta necesario en este
caso solicitar a WDS que cambie el puerto de escucha (no escuchar en el puerto 67) y agregar en
DHCP la opcin 60 pxe client.
8 Explique los tres tipos de respuestas que puede realizar el servidor WDS.
La primera respuesta, No responder a ningn equipo cliente, consiste en solicitar al servidor de

implementacin que no responda a ningn equipo cliente. La opcin Responder solo a los equipos
cliente conocidos requiere crear a mano las cuentas de mquina de las distintas estaciones a
desplegar. Por ltimo, la opcin Responder a todos los equipos cliente (conocidos y desconocidos)
permite evitar al administrador tener que introducir los datos manualmente. Para proteger esta
opcin es posible exigir una aprobacin por parte del administrador. Sin dicha autorizacin, el
servidor no responde a ningn cliente.
9 Qu ejecutable permite realizar una gestin del rol por lnea de comandos?
El ejecutable WDSUTIL permite configurar y administrar el servidor WDS por lnea de comandos.
10 Cules son las tareas que es posible automatizar mediante Dispositivos preconfigurados de
Active Directory?
Es posible automatizar varias acciones que requieren el archivo de arranque y de instalacin, la

poltica relativa a tener que pulsar la tecla [F12], los idiomas de instalacin (espaol, ingls) o el
Identificador del disco y de la particin sobre los que se desea realizar la instalacin.
Requisitos previos y Objetivos
Poseer conocimientos acerca del protocolo VPN.
Tener nociones sobre DirectAccess.
2. Objetivos
Configuracin de una infraestructura de red.
Presentacin de los mtodos de autenticacin.
Presentacin y configuracin del acceso VPN.

Introduccin
En nuestros das, el acceso remoto es algo habitual, y numerosas personas trabajan desde casa y se
conectan a la empresa mediante una conexin VPN.
Componentes de una infraestructura de acceso de red
Una infraestructura de acceso de red contiene varios componentes. Encontramos un servidor VPN que
permite crear un tnel a travs de Internet. El usuario puede, de este modo, conectarse de manera
remota a la red de la empresa y trabajar como si estuviera conectado a la red fsica. El servidor AD DS
(Active Directory) garantiza la autenticacin cuando algn usuario intenta conectarse de manera
remota. Existe una entidad emisora de certificados (rol AD CS - Active Directory Certificates Services)
que asegura el despliegue y gestin de los certificados necesarios para realizar la autenticacin y la
conexin a la red. Se requiere, a su vez, la asignacin de un contrato DHCP para poder acceder a los
datos, y el servidor DHCP tiene como funcin entregar dicho contrato cuando se acepta una conexin
remota entrante.
Es posible proteger esta conexin entrante asegurando el estado de salud de los equipos (antivirus
habilitado y actualizado, firewall habilitado). Para ello, debe instalarse un servidor NAP.
1. Presentacin del rol Servicios de acceso y directivas de redes

El rol Servicios de acceso y directivas de redes provee los componentes necesarios para asegurar la
conectividad de red. Adems de validar el estado de salud del equipo, es posible instalar un servidor
RADIUS (802.1x). ste protege la conexin VPN o Wi-Fi utilizando una autenticacin basada en un
certificado o una contrasea. Es necesario, para ello, utilizar clientes (componentes de red, conexin
Wi-Fi) RADIUS.
Es conveniente comprobar que se soporta esta norma antes de comprar cualquier material
hardware.
El acceso remoto se gestiona mediante el rol Acceso remoto. ste permite establecer la conexin
utilizando una de las dos tecnologas siguientes:
Acceso VPN: este tipo de conexin se establece a travs de una red pblica (Internet). Se
crea un tnel entre los dos puntos asegurando una conexin segura entre ambos. Es posible,
a su vez, utilizar este tipo de conexin para enlazar las distintas sedes de la empresa. Cada
una permite, de este modo, acceder a los recursos de red de la otra.
DirectAccess: a diferencia del acceso VPN, que requiere que el usuario establezca
manualmente la conexin, DirectAccess realiza la conexin a la red de la empresa sin
intervencin alguna por parte del usuario. Adems de la consulta de pginas de Internet, el
ancho de banda utilizado no es el de la empresa sino el del usuario. Esto permite ahorrar en
ancho de banda de Internet de la empresa.
Un router lgico puede, a su vez, configurarse para vincular dos redes diferentes. Esto tiene la
misma funcin que un router hardware. Es, por tanto, posible implementar la traduccin NAT
(Network Address Translation) que permite compartir la conexin a Internet en el interior de la red
utilizando un direccionamiento privado (RFC 1918).
2. Autenticacin y autorizacin de red

En una red informtica, la autenticacin y la autorizacin son dos puntos diferentes. La autenticacin
consiste en verificar la informacin (nombre de usuario y contrasea) enviados a los servidores VPN.
Este envo lo realiza un cliente, la informacin puede estar cifrada o no. La autorizacin es el hecho
de autorizar una conexin entrante una vez realizada la autenticacin. Es, por tanto, posible que la
autenticacin funcione sin que la conexin est autorizada, en cuyo caso la conexin no se
establecer. La autorizacin se verifica mediante las propiedades de la cuenta de usuario y las
directivas de acceso remoto. No obstante, en caso de utilizar un servidor RADIUS, ste tiene como
funcin realizar la autenticacin y la autorizacin.
3. Mtodos de autenticacin
Los mtodos de autenticacin se negocian, por lo general, una vez establecida la conexin. Es
posible utilizar varios mtodos diferentes:
PAP: el protocolo PAP (Password Authentication Protocol) es uno de los protocolos menos
seguros, puesto que utiliza contraseas sin cifrar. Este ltimo se utiliza si no se puede
negociar ningn mtodo seguro. Ofrece, no obstante, la ventaja de que tiene en cuenta
sistemas operativos de cliente antiguos que no permiten utilizar un mtodo ms seguro.
CHAP (Challenge Handshake Authentication Protocol): este protocolo es de tipo

pregunta/respuesta. La respuesta utiliza el protocolo MD5 (protocolo de hash) para cifrar la
respuesta enviada.
MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol): este protocolo utiliza

una contrasea cifrada para asegurar la autenticacin.
EAP (Extensible Authentication Protocol): el modelo de autenticacin se negocia entre el cliente

y el servidor (RADIUS o servidor de acceso remoto). Es posible que este protocolo utilice
certificados digitales para asegurar la autenticacin.
4. Visin general de la PKI

Una PKI (Public Key Infrastructure - infraestructura de clave pblica) permite asegurar los datos o la
comunicacin. La solucin contiene varios componentes necesarios para el funcionamiento del rol.
Una entidad emisora de certificados permite emitir y administrar un certificado digital. ste puede
asignarse a un usuario, a un equipo o a un servicio. Un certificado digital permite, como un
pasaporte o un carnet de identidad, justificar la identidad de un objeto (usuario, etc.). Contiene
claves necesarias para realizar la autenticacin. Los modelos de certificado permiten emitir un
certificado copiando las distintas propiedades del modelo. Emitido con una duracin previa definida,
puede resultar necesario revocar el certificado antes de su fecha de expiracin. La lista de
revocacin permite enumerar los certificados revocados y prohibir su uso. Desde Windows Server
2008, el servicio de rol OCSP (Online Certificate Status Protocol) permite verificar la revocacin de un
certificado sin que el usuario tenga que descargar una lista completa de revocaciones.
5. Integracin de DHCP con enrutamiento y acceso remoto

La integracin del protocolo DHCP permite asignar un contrato DHCP tras la conexin remota. Es, no
obstante, posible configurar un pool de direcciones sobre el servidor VPN para realizar la distribucin
de la configuracin de red (el servidor DHCP deja de ser necesario para las conexiones remotas).
El servidor de acceso remoto realiza una peticin de diez direcciones cuya atribucin realiza un
servidor DHCP. La primera direccin la utiliza el propio servidor para su interfaz mientras que las
nueve restantes sirven para los clientes que se conectan.
Tras la desconexin de la sesin remota, el contrato se libera. No obstante, si se utilizan las diez
direcciones, se provee otro lote de diez direcciones. Es posible asignar las opciones nicamente a
los equipos que se conectan de manera remota utilizando la clase de enrutamiento y de acceso
remoto (es preciso crear una directiva en el DHCP).
Configuracin del acceso VPN
Una solucin VPN est compuesta por un servidor y, tambin, por un cliente VPN. Ambos se comunican
mediante un protocolo de tunneling.
1. Las conexiones VPN

En una conexin VPN los datos estn cifrados para evitar que puedan ser interceptados a lo largo
de su camino por la red de Internet. Para realizar el descifrado de los mismos es necesario poseer la
clave de cifrado. Esto hace que sea imposible que cualquier persona que intercepte la trama sea
capaz de descifrarla. Es posible establecer una conexin VPN en dos escenarios diferentes. El
acceso remoto permite a los usuarios trabajar desde fuera de la empresa y acceder a los datos
como si estuvieran en ella. La conexin de sitio a sitio consiste en configurar una conexin VPN entre
dos routers. De este modo, dos sedes separadas geogrficamente se veran enlazadas en la misma
red. Como con el acceso remoto, los datos estn cifrados, lo que permite asegurar la
confidencialidad de los datos.
2. Protocolos utilizados para el tnel VPN

Existen varios protocolos (PPTP, L2TP o SSTP) que pueden utilizarse en la configuracin del acceso
remoto. El protocolo PPTP encapsula las tramas PPP en datagramas IP. A continuacin, el tnel se
gestiona mediante una conexin TCP (Transmission Control Protocol). El cifrado se realiza mediante el
protocolo MPPE (Microsoft Point-to-Point Encryption). Las claves de cifrado se generan mediante el
proceso de autenticacin MS-CHAPv2 o EAP-TLS.
L2TP es una combinacin de dos protocolos (PPTP y L2F). No obstante, a diferencia de PPTP, no se
utiliza el cifrado MPPE, pues se reemplaza por IPsec en modo transporte. Se habla, as, de
L2TP/IPsec. No obstante, es necesario que tanto el servidor como el cliente interpreten ambos
protocolos. Los clientes deben ejecutar, como mnimo, Windows XP y los servidores Windows Server
2003. La encapsulacin se realiza en dos capas:
Encapsulacin L2TP
Encapsulacin IPsec
Los algoritmos AES (Advanced Encryption Standard) o 3DES (Triple Data Encryption Standard) se
utilizan para cifrar los mensajes L2TP. La clave de cifrado se genera mediante IKE.
SSTP es el protocolo de tunneling que aparece con Windows Server 2008. Este ltimo presenta la
ventaja de utilizar el protocolo HTTPS (puerto 443). Este puerto est, a menudo, abierto en los
firewall, lo que permite al cliente poder conectarse en la mayora de casos. Las tramas PPP se
encapsulan en tramas IP. El cifrado se realiza mediante el protocolo SSL.
3. Presentacin de la funcionalidad VPN Reconnect

Desde Windows Server 2008 R2, la funcionalidad VPN Reconnect permite asegurar que la conexin
se restablece si hubiera sido interrumpida. La reconexin se realiza automticamente sin que el
usuario tenga que realizar ninguna accin. En el caso de una conexin VPN establecida, por ejemplo,
en un tren, la conexin se podra cortar cuando el tren pasara por un tnel. Una vez el tren saliese
del tnel, la conexin se restablecera de manera automtica sin intervencin alguna por parte del
usuario. En las versiones anteriores, habra sido necesario que el usuario se reconectara. No
obstante, deben cumplirse algunos requisitos previos:
Cliente que ejecute Windows 7 como mnimo
Servidor con Windows Server 2008, 2012 o 2012 R2
Instalacin de una solucin PKI (infraestructura de clave pblica)

4. Configuracin del servidor
Una solucin VPN necesita asegurar ciertos requisitos previos. El servidor VPN precisa dos interfaces
de red. Es necesario diferenciar la interfaz conectada a la red privada de aquella conectada a la red
pblica. La eleccin se realiza en la configuracin del servidor.
A continuacin, es necesario indicar si la atribucin de direcciones IP tras la conexin de los equipos

cliente se realiza mediante un servidor DHCP o desde el pool de direcciones creado por el
administrador.
La autenticacin de las peticiones de conexin de los clientes VPN puede llevarse a cabo mediante
un servidor RADIUS o por el servidor de acceso remoto. Esta eleccin se realiza en la configuracin
del servidor VPN.
Es posible realizar otras operaciones tales como la configuracin de la funcionalidad VPN Reconnect
o la definicin del nmero de puertos VPN.
5. Presentacin del kit CMAK

El kit CMAK (Connection Manager Administration Kit) permite crear conexiones predefinidas. Una vez
ejecutado el asistente de creacin del kit CMAK, se crea un archivo ejecutable. Esta herramienta
puede distribuirse a continuacin en los equipos cliente con el objetivo de crear las conexiones de
acceso remoto en los equipos. El usuario no tiene ms que ejecutar el archivo para que la conexin
se cree automticamente. Esta ltima est preconfigurada, de modo que el usuario no tiene que
indicar el nombre del servidor
La funcionalidad no est incluida por defecto, y es necesario instalarla antes de poder crear los
perfiles.
Visin general de las polticas de seguridad
El servidor de acceso remoto determina si la conexin est autorizada o no en funcin de las
directivas de red. Es, as, posible agregar en estas reglas restricciones de da y hora, de desconexin
en caso de inactividad
Las directivas de red son reglas que contienen un conjunto de condiciones y de parmetros que
indican las personas autorizadas a conectarse. En caso de implementar la funcionalidad NAP, se
agrega el control de integridad. De este modo, el servidor autoriza o no la conexin en funcin del
estado de salud del equipo que se conecta.
Como con un firewall, las reglas son analizadas. Cuando alguna regla se corresponde con la solicitud
de conexin, se aplican los parmetros definidos. La verificacin de las reglas se realiza en orden, por
lo que es importante verificar la concordancia de las distintas reglas (si la regla 1 aplica, las siguientes
reglas no se tendrn en cuenta).
Una regla posee varias prioridades. stas se dividen en cuatro categoras:
Visin general: esta categora permite habilitar o no la directiva as como la autorizacin o la

denegacin del acceso. Es posible configurar la regla para ignorar las propiedades de marcado
de la cuenta de usuario afectada (solo se utilizan los parmetros de la directiva de red).
Condiciones: esta categora permite definir la condicin que debe respetarse para que se est
en conformidad con la directiva de red.
Restricciones: las restricciones permiten agregar criterios que las solicitudes de conexin deben
respetar obligatoriamente. En caso contrario, la consulta se rechaza. No obstante, si las
condiciones no se respetan, la solicitud de conexin se rechaza sin evaluar las directivas
suplementarias.
Opciones: tras la aceptacin de la solicitud de conexin se aplican ciertos parmetros a la

misma. La pestaa Opciones permite definir estos valores.
Presentacin del Web Application Proxy y del proxy
RADIUS
El Web Application Proxy es un nuevo servicio de rol de acceso remoto. Aparecido con Windows Server
2012 R2, provee un servicio de proxy inverso.
til para las aplicaciones web, puede utilizarse con AD FS. Este ltimo caso aporta una seguridad
suplementaria. En efecto, el riesgo de exposicin en Internet de la o las aplicaciones se gestiona
configurando ciertas funcionalidades de AD FS (Workplace Join, autenticacin fuerte).
Gracias a ello, aseguramos que nicamente aquellas personas autorizadas acceden a las
aplicaciones.
Desde hace varios aos es posible utilizar NPS como servidor RADIUS. Es posible, tambin, utilizarlo
como proxy RADIUS para asegurar que se enrutan los mensajes RADIUS entre los distintos clientes
RADIUS que tienen el rol de servidor de acceso y los servidores RADIUS que tienen el rol de autenticar
a los usuarios.
Por ello, NPS se convierte en el punto central cuando se intenta realizar una conexin y posee el rol
de proxy RADIUS.
Un proxy RADIUS puede utilizarse en varios escenarios:
Desea proveer a sus clientes servicios de acceso remoto externalizados (VPN, por ejemplo).
Los servidores de directorio los gestionan los clientes. En funcin del nombre de dominio y del
nombre de usuario informado el servidor proxy redirigir la peticin de conexin al servidor
RADIUS del cliente correspondiente.
Es preciso procesar muchas conexiones. Para evitar una sobrecarga en alguno de los
servidores, conviene repartir a los usuarios sobre el conjunto de servidores. Para ello, conviene
enviar las tramas al proxy RADIUS, que repartir la carga entre los distintos servidores RADIUS.
Soporte del enrutamiento y acceso remoto
El soporte de la parte de enrutamiento es un elemento importante. En efecto, el fallo de un router o
de un servidor con el rol puede provocar errores en las aplicaciones o en el trabajo del usuario. Es,
por tanto, necesario asegurar el correcto funcionamiento de este rol.
1. Configuracin de los logs de acceso remoto

Los logs se habilitan mediante las opciones del servidor en la consola Enrutamiento y acceso
remoto. Es posible habilitar varios niveles de eventos, y es posible obtener ms o menos
informacin.
Hay cuatro niveles disponibles:
Slo registrar errores: solamente se utiliza el log del sistema, y los errores encontrados se
anotan.
Registrar errores y advertencias: se utiliza el log del sistema pero, a diferencia del nivel
anterior, se anotan los errores y advertencias.
Registrar todos los eventos: este nivel permite recuperar el mximo de informacin.
No registrar ningn evento: no registra ninguna informacin en los logs.
Es posible utilizar el comando netshpara habilitar el seguimiento de ciertos componentes:
netsh ras set tracing componente enabled/disabled
componente debe reemplazarse por uno de los componentes presentes en la lista de

componentes del servicio de enrutamiento y acceso remoto. ste est presente en la clave
HKEY_Local_machine\software\Microsoft\tracing.
2. Resolucin de problemas en VPN

Cuando la conexin VPN no se establece, es necesario conocer de dnde viene el problema. En
efecto, puede deberse a una configuracin errnea del equipo, a la presencia de un firewall o,
simplemente, a un problema a nivel de firewall.
Es, por tanto, necesario, en primer lugar, asegurar que el servidor responde, utilizando los
comandos ping o tracert. A continuacin, puede ser necesario asegurar la validez de la informacin
indicada (que la cuenta de usuario est habilitada, que la cuenta no est bloqueada, que no exista
restriccin horaria).
El problema puede, no obstante, provenir del servidor VPN, en cuyo caso el administrador debera
verificar el estado del servicio de enrutamiento y la presencia de eventos relacionados en el registro.
Configuracin de DirectAccess
Implementando DirectAccess, el administrador se asla de problemas vinculados con una incorrecta
manipulacin del usuario o configuracin del cliente. En efecto, ste se conecta de manera automtica
al servidor.
1. Presentacin de DirectAccess
DirectAccess permite, a diferencia de otros tipos de servidor, evitar al usuario tener que establecer
la conexin con el servidor. En efecto, sta se establece automticamente. Se utilizan varios
protocolos, entre ellos HTTPS e IPv6. El uso del protocolo HTTPS permite atravesar con mayor
facilidad los firewalls.
Implementando este tipo de servidor VPN el administrador se asegura de que los equipos remotos
estn actualizados, en efecto esta funcionalidad permite administrar los equipos remotos como un
equipo local. Es posible configurar un acceso bidireccional que permita al equipo remoto acceder a la
red local, y viceversa. Adems, implementando DirectAccess, el cliente separa el trfico de intranet
hacia la empresa del trfico de Internet. El ancho de banda de Internet de la empresa no se utiliza
en los clientes conectados remotamente.
2. Componentes de DirectAccess
Una solucin DirectAccess est compuesta por varios componentes, entre ellos un rol DirectAccess.
Este rol puede instalarse en cualquier servidor del dominio, y tiene como objetivo proveer servicios
de autenticacin y funcionar como extremo del tnel IPsec.
Desde Windows Server 2012, se ha simplificado el asistente de instalacin, y ya no es necesario

poseer una infraestructura de clave pblica (PKI) as como cuatro direcciones IPv4 pblicas
consecutivas. El asistente se ha visto tambin mejorado y permite, en lo sucesivo, seleccionar la
mejor solucin de despliegue.
El cliente DirectAccess es una estacin de trabajo que ejecuta Windows 8 (versin Enterprise) o
Windows 7 (Enterprise o Ultimate). Es preciso que la mquina sea miembro del dominio. La conexin
al servidor se realiza utilizando los protocolos IPv6 e IPsec. Es posible utilizar los protocolos de
transicin IPv6/IPv4, si se implementan las soluciones 6to4 o Teredo. No obstante, si los protocolos
de transicin estuvieran bloqueados, la conexin podra establecerse utilizando los protocolos IP y
HTTPS.
Se requiere un servidor de ubicacin de red. ste lo utiliza el cliente DirectAccess. En efecto, si existe
la posibilidad de establecer una conexin HTTPS, el equipo est en la red local y el cliente
DirectAccess se deshabilita. En caso contrario, el equipo est fuera de la red local. Este servidor se
instala con el rol Servidor Web.
Debe instalarse un dominio Active Directory, cuyo nivel funcional debe ser, como mnimo, Windows
Server 2003. Se utilizan directivas de grupo para desplegar las opciones de DirectAccess.
Windows Server 2012 aporta una novedad a nivel del sistema de PKI. En efecto, ya no es
obligatorio, lo que simplifica la implementacin y la administracin de la funcionalidad. No obstante,
es imposible utilizar ciertas funcionalidades tales como la proteccin de acceso mediante un servidor
NAP (Network Access Protection), la autenticacin de dos factores o el tunneling forzado.
3. La tabla de directivas de resolucin de nombres

La tabla de directivas de resolucin de nombres est integrada directamente en Windows Server
2012/2012 R2 y Windows 8/8.1. Consiste en separar el trfico de Internet del trfico de intranet. De
este modo, existe una lista de reglas que contiene, por cada regla, un espacio de nombres DNS y el
comportamiento del cliente DNS.
Cuando la conexin DirectAccess se encuentra activa (equipo ubicado fuera de la intranet), se
comprueba el espacio de nombres en las distintas reglas. Si se encuentra alguna correspondencia,
se aplican los parmetros de la regla. Si no se encuentra ninguna correspondencia, se utilizan los
servidores DNS configurados en los parmetros TCP/IP.
Como hemos visto antes, el cliente DirectAccess intenta conectarse con el servidor NLS para saber si
est conectado en la intranet o desde Internet. El servidor NLS se ubica en un servidor web (o en el
servidor DirectAccess), y puede accederse utilizando el protocolo HTTPS. Este servidor debe estar
accesible desde cualquier sitio de la empresa, pues de lo contrario el cliente DirectAccess puede
presentar un comportamiento anormal (conexin del equipo mientras est ubicado en la red
intranet, por ejemplo).
En caso de que el equipo se conecte a la red desde Internet, el cliente DirectAccess no recibe
ninguna respuesta del servidor NLS. Utiliza, entonces, la tabla NRPT para redirigir las consultas hacia
el servidor DNS adecuado.
4. Requisitos previos para la implementacin de DirectAccess

La funcionalidad DirectAccess requiere que se respeten algunos requisitos previos. En primer lugar,
el servidor DNS debe estar unido al dominio y ejecutar, como mnimo, el sistema operativo Windows
Server 2008 R2. A diferencia de Windows Server 2008, DirectAccess ya no requiere dos direcciones
IPv4 pblicas consecutivas. Es posible implementar una solucin de alta disponibilidad instalando y
utilizando un sistema de reparto de carga (8 nodos como mximo).
Como el servidor, el cliente debe ser miembro del dominio. Es preciso asegurar, antes de
implementar DirectAccess, que se tiene instalada la versin adecuada de Windows 7/8/8.1
(Windows 7 Enterprise o Ultimate, Windows 8 u 8.1 Enterprise).
Por ltimo, es necesario disponer de un controlador de dominio Active Directory, un servidor DNS y,
para un uso completo, una infraestructura de PKI. Puede resultar necesario implementar los
protocolos de transicin IPv4/IPv6 adecuados.
Presentacin del rol Network Policy Server
NPS permite a los administradores implementar las directivas de acceso de red (autenticacin y
autorizacin de las solicitudes de conexin). Es posible, a su vez, configurar un proxy RADIUS que
asegure la transmisin de las peticiones hacia otros servidores RADIUS.
Es posible utilizar un servidor NPS como servidor RADIUS, para ello es preciso configurar los clientes
RADIUS (punto de acceso Wi-Fi, switch, servidor VPN). A continuacin, es necesario implementar las
distintas directivas de red tiles para realizar la autorizacin de las peticiones de conexin. Si el
servidor es miembro del dominio, puede utilizarse AD DS para proveer la base de las cuentas de
usuario. De este modo, el usuario puede utilizar su nombre de usuario y su contrasea para acceder
a la red. NPS puede, a su vez, servir como servidor de directivas NAP. El servidor recupera la
informacin de conformidad enviada por los clientes y autoriza, o no, el acceso a la red. Este acceso
se autoriza si el estado de conformidad respeta las restricciones de seguridad definidas por el
administrador (antivirus actualizado, etc.). El cliente NAP est integrado en los sistemas operativos
desde Windows XP SP3.
Una vez realizada la instalacin del rol es posible proceder a su configuracin mediante la consola que
se agrega durante la instalacin o mediante el comando netsh. Es, tambin, posible utilizar cmdlets
de PowerShell.
Configuracin del servidor RADIUS
RADIUS es un protocolo que permite realizar la autenticacin y la autorizacin con el objetivo de
autorizar o no un acceso a la red.
1. Nociones acerca del cliente RADIUS

Un cliente RADIUS se considera como tal cuando enva peticiones de conexin a un servidor con el
rol servidor RADIUS. De este modo, los distintos dispositivos de acceso a la red (puntos de acceso
Wi-Fi, switches) compatibles con la norma 802.1x estn considerados como servidores RADIUS.
2. Directiva de solicitud de conexin

Una directiva de solicitud de conexin es un conjunto de condiciones y de parmetros que permiten
designar un servidor RADIUS responsable de la autenticacin y de la autorizacin. Una directiva est
compuesta por una condicin, la cual comprende uno o varios atributos RADIUS. En el caso de que
existan varias condiciones, es necesario que todas se respeten para que la directiva pueda
aplicarse. El servidor NPS procede a escuchar el trfico RADIUS a travs de los puertos 1812, 1813,
1645 y 1646.
Las RFC 2865 y 2866 normalizan los puertos 1812 y 1813 para realizar la autenticacin (el primero)
y la gestin de cuentas (el segundo).
Mtodo de autenticacin NPS
Antes de autorizar o rechazar el acceso, el servidor NPS autentica y autoriza la solicitud de conexin.
La autenticacin permite asegurar la identificacin de un usuario o un equipo que intenta conectarse
a la red. Esta identificacin se aprueba mediante la informacin de identificacin proporcionada
(contrasea, certificado digital).
1. Configurar las plantillas NPS

Es posible utilizar plantillas NPS para elaborar elementos de configuracin (RADIUS, clave
compartida). Estos ltimos pueden utilizarse a nivel del rol NPS o exportarse a otro servidor.
La gestin de estas plantillas se realiza mediante la consola NPS. Es posible agregar, eliminar,
modificar o duplicar las distintas plantillas. El objetivo de esta funcionalidad es crear plantillas que
permitan reducir el tiempo de administracin de los distintos servidores NPS de una empresa.
Estn disponibles las siguientes plantillas:
Claves compartidas: permite especificar una clave compartida que se reutilizar en uno o
varios servidores RADIUS.
Cliente RADIUS: define la configuracin del cliente RADIUS que debe utilizarse.
Servidor RADIUS remoto: ofrece la posibilidad al administrador de configurar los parmetros

de servidores RADIUS.
Poltica de conformidad: indica los parmetros de directiva de conformidad a utilizar.
2. Autenticacin
La autenticacin basada en una contrasea no se considera como la ms segura. Es preferible
implementar una autenticacin basada en certificados digitales. El servidor NPS acepta varios
mtodos de autenticacin. Es posible utilizar, de este modo, varios protocolos.
MS-CHAP Versin 2
El protocolo MS-CHAP Versin 2 consiste en una autenticacin mutua cifrada mediante una
contrasea cifrada de sentido nico. Est compuesta por un servidor responsable de realizar la
autenticacin as como un cliente. La versin 1 o MS-CHAP utiliza, por su parte, contraseas
irreversibles y cifradas. Es preferible utilizar MS-CHAPv2.
CHAP
CHAP (Challenge Handshake Authentication Protocol) es un protocolo que utiliza el esquema de

codificacin MD5 (Message Digest 5) para realizar el cifrado de la respuesta. Este protocolo lo utiliza
un servidor con el rol de Servicio de enrutamiento y acceso remoto. La contrasea es de tipo cifrado
irreversible. No obstante, este protocolo posee el inconveniente de que no permite al usuario
modificar su contrasea si expira durante el proceso de autenticacin.
PAP
Este protocolo se considera como el menos seguro puesto que utiliza contraseas sin cifrar. Se
utiliza, por lo general, si el cliente y el servidor no pueden comunicarse por ningn otro mtodo de
autenticacin ms seguro. No se recomienda utilizar este protocolo pues un anlisis de las tramas
intercambiadas permite obtener la contrasea.
Un certificado digital es como un "carnet de identidad" virtual, que entrega la entidad emisora de
certificados y permite asegurar la autenticacin. Implementndolo con el servidor NPS, es posible
autenticar una cuenta de usuario o un equipo y, por tanto, evitar el uso de contraseas. Se utilizan,
para ello, los protocolos PEAP y EAP-TLS para permitir a NPS realizar una autenticacin basada en un
servidor. El uso del protocolo EAP-TLS permite al cliente y al servidor autenticarse mutuamente,
hablamos por tanto de autenticacin mutua.
Supervisin y mantenimiento del rol NPS
En ciertos casos puede resultar til analizar el servidor NPS. Para ello es necesario configurar el
registro de eventos. La informacin que ofrecen estos registros de eventos puede resultar til para
analizar un problema de conexin, o para realizar una auditora de seguridad.
El anlisis puede realizarse de dos formas, utilizando el registro de eventos o registrando las
peticiones de autenticacin y las cuentas utilizadas. Con el primer mtodo, los registros se almacenan
en los registros de sistema y de seguridad. Permite realizar una auditora de las conexiones y, por
tanto, resolver problemas ms fcilmente.
El segundo mtodo consiste, por su parte, en registrar las solicitudes de autenticacin en archivos de
texto o en una base de datos. Este mtodo permite realizar un anlisis de las conexiones y su
facturacin. La base de datos puede, evidentemente, alojarse en un servidor remoto o de manera
local.
Trabajos prcticos: Configuracin del acceso remoto
Estos trabajos prcticos permiten configurar un acceso VPN y, a continuacin, implementar la
funcionalidad DirectAccess.
1. Configuracin de un servidor VPN

Objetivo: instalacin y configuracin del servidor VPN.
Mquinas virtuales: AD1, SRV-RT y CL8-02.
En AD1, abra la consola Administrador del servidor.
Haga clic en Agregar roles y caractersticas y, a continuacin, haga clic en Siguiente en la

ventana Antes de comenzar.
En la ventana Seleccionar tipo de instalacin, deje la opcin por defecto y, a continuacin, haga
clic dos veces en Siguiente.
Marque la opcin Servicios de certificados de Active Directory y, a continuacin, haga clic en el

botn Agregar caractersticas en la ventana que se muestra.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Servicios de rol, marque la
opcin Inscripcin web de entidad de certificacin.
Valide la seleccin haciendo clic tres veces en Siguiente, y, a continuacin, ejecute la instalacin
mediante el botn Instalar.
Haga clic en Cerrar y, a continuacin, en la consola Administrador del servidor, haga clic
enNotificaciones y, a continuacin, en Configurar Servicios de certificados de Active Directory.
Haga clic en Siguiente en la ventana Credenciales y, a continuacin, marque los dos servicios de
rol.
En las ventanas Tipo de instalacin y Tipo de CA, deje la opcin por defecto (CA empresarial,CA
raz) y, a continuacin, haga clic en Siguiente.
Marque la opcin Crear una clave privada nueva y, a continuacin, haga clic en Siguiente.
Deje las opciones por defecto en la ventana Criptografa para la CA.
El nombre de la entidad emisora de certificados se configura automticamente, puede ser necesario

modificarla (acceder desde el exterior).
Deje las opciones por defecto y, a continuacin, haga clic en Siguiente.

Configure un perodo de validez de 2 aos en la ventana Perodo de validez.
Haga clic tres veces en Siguiente y, a continuacin, en Configurar.
Haga clic en Cerrar para cerrar el asistente
En las Herramientas administrativas, abra la consola Entidad de certificacin.
Despliegue el nodo Formacion-AD1-CA y, a continuacin, haga clic con el botn derecho

enPlantillas de certificado y seleccione Administrar.
Haga clic con el botn derecho en Equipo y, a continuacin, haga clic en Propiedades.
En la ventana emergente Propiedades: Equipo, haga clic en la pestaa Seguridad y, a

continuacin, seleccione Usuarios autenticados.
Marque la opcin Permitir para el permiso Inscribirse y, a continuacin, haga clic en Aceptar.
Cierre la ventana Consola de plantillas de certificado y, a continuacin, haga clic con el botn
derecho en Formacion-AD1-CA, seleccione Todas las tareas y, a continuacin, Detener servicio.
Repita la operacin seleccionando, esta vez, la opcin Iniciar servicio.
Cierre la consola certsrv (consola que permite administrar la entidad de certificacin) y, a

continuacin, abra la consola Administracin de directivas de grupo.
Despliegue el nodo Bosque: Formacion.local, Dominios y, por ltimo, Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo y, a continuacin, seleccione la
opcin Nuevo en el men contextual.
Escriba Despliegue de certificado en el campo Nombre y, a continuacin, haga clic en Aceptar.

Haga clic con el botn derecho en la directiva que acaba de crear y, a continuacin, haga clic
enEditar.
En la consola Editor de administracin de directivas de grupo despliegue los

nodosConfiguracin del equipo, Directivas, Configuracin de Windows, Configuracin de
seguridady, a continuacin, Directivas de clave pblica.
Haga clic con el botn derecho en la carpeta Configuracin de la solicitud de certificados
automtica y, a continuacin, en el men contextual, seleccione Nuevo y, por ltimo, Solicitud de
certificados automtica.
En la ventana Plantilla de certificado, seleccione Equipo y, a continuacin, haga clic enSiguiente.

Haga clic en el botn Finalizar para cerrar el asistente.
Cierre la consola Editor de administracin de directivas de grupo y, a continuacin, en la

consola Administracin de directivas de grupo, haga clic con el botn derecho en la raz del
dominio Formacion.local.
En el men contextual, seleccione la opcin Nueva unidad organizativa y, a continuacin,

escribaVPN en el campo Nombre.
Vincule la directiva de grupo Despliegue de certificado con la unidad organizativa VPN.
Si no lo hubiera hecho, una SRV-RT al dominio Formacion.local.
Inicie una sesin como administrador@formacion.local (o como FORMACION\administrador) en el

servidor SRV-RT.
Site el ratn en la zona inferior izquierda para mostrar la interfaz Windows, haga clic con el
botn derecho y, a continuacin, seleccione, en el men contextual, la opcin Ejecutar.
Escriba mmc y, a continuacin, presione la tecla [Enter].
Haga clic en Archivo y, a continuacin, en Agregar o quitar complemento.
En la ventana Agregar o quitar complementos, seleccione Certificados y, a continuacin, haga

clic en Agregar.
Se abre un asistente, marque la opcin Cuenta de equipo y, a continuacin, haga clic

enSiguiente.
Deje la opcin por defecto en la ventana Seleccionar equipo y, a continuacin, haga clic
enFinalizar.
Haga clic en Aceptar para cerrar la ventana de seleccin de complementos.
Despliegue el nodo Certificados y, a continuacin, haga clic con el botn derecho en Personal.
En el men contextual, seleccione Todas las tareas y, a continuacin, Solicitar un nuevo

certificado.
Haga clic en Directiva de inscripcin de Active Directory y, a continuacin, haga clic

enSiguiente.
En la ventana Solicitar certificados, marque Equipo y, a continuacin, haga clic en Inscribir.
Verifique que el estado es igual a Correcto y, a continuacin, haga clic en Finalizar.
Si no lo hubiera hecho, una CL8-02 al dominio Formacion.local.
El conmutador virtual debe ser idntico al que utiliza AD1.
En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuacin, mueva la

cuenta de equipo de CL8-02 a la unidad organizativa VPN.
Inicie una sesin como administrador@formacion.local (o como FORMACION\administrador)

en el equipo CL8-02.
Cierre la ventana de comandos y, a continuacin, abra una consola MMC.
Agregue el complemento Certificados.
Se abre un asistente, marque Cuenta de equipo y, a continuacin, haga clic en Siguiente.
Deje la opcin por defecto en la ventana Seleccionar equipo y, a continuacin, haga clic
enFinalizar.
Despliegue los nodos Certificados y, a continuacin, Personal.
Verifique la presencia del certificado emitido por Formacion-AD1-CA.

En SRV-RT, abra la consola Administrador del servidor.
Haga clic en el vnculo Agregar roles y caractersticas y, a continuacin, en la ventana Antes de

comenzar, haga clic en Siguiente.
En la ventana Seleccionar roles de servidor, marque Servicios de acceso y directivas de

redes y, a continuacin, haga clic en el botn Agregar caractersticas.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Seleccionar servicios de rol,
compruebe que est marcada la opcin Servidor de directivas de redes.
Una vez terminada la instalacin, abra la consola Servidor de directivas de redes desde las
Herramientas administrativas.
Haga clic con el botn derecho en NPS (Local) y, a continuacin, seleccione Registrar servidor
en Active Directory en el men contextual.
Aparece un mensaje, haga clic en Aceptar.
Abra la consola Administrador del servidor.
Haga clic en el vnculo Agregar roles y caractersticas y, a continuacin, en la ventana Antes de

comenzar, haga clic en Siguiente.
En la ventana Seleccionar roles de servidor, marque Acceso remoto y, a continuacin, haga clic
en el botn Agregar caractersticas.
Haga clic tres veces en Siguiente y, a continuacin, en la ventana Seleccionar servicios de rol,
marque Enrutador y, a continuacin, haga clic en Siguiente.
Haga clic dos veces en Siguiente (los Servicios de rol IIS deben dejarse por defecto) y, a
continuacin, haga clic en Instalar.
Una vez terminada la instalacin, abra la consola Enrutamiento y acceso remoto desde las
Herramientas administrativas.
Haga clic con el botn derecho en SRV-RT y, a continuacin, en el men contextual, haga clic
enConfigurar y habilitar Enrutamiento y acceso remoto.
En la ventana de bienvenida, haga clic en Siguiente y, a continuacin, marque la

opcinConfiguracin personalizada.
Haga clic en Siguiente para validar la opcin seleccionada.
En la ventana Configuracin personalizada, marque la opcin Acceso a VPN y, a continuacin,

Haga clic en Finalizar para cerrar el asistente y, a continuacin, en Iniciar el servicio en la

ventana que aparece.
Haga clic con el botn derecho en SRV-RT (local) y, a continuacin, en el men contextual,
seleccione Propiedades.
Seleccione la pestaa IPv4 y, a continuacin, marque la opcin Conjunto de direcciones

estticas.
Haga clic en Agregar y, a continuacin, escriba 192.168.1.201 en el campo Direccin IP

inicialy 192.168.1.250 en Direccin IP final.
Ahora es preciso crear una directiva de red para los clientes que se conectan mediante VPN.
Desde AD1, abra la consola Usuarios y equipos de Active Directory y, a continuacin, en la

unidad organizativa VPN cree un grupo llamado G_Acceso_VPN.
El grupo de seguridad tiene un mbito global. Los usuarios se aadirn ms adelante.
Agregue al usuario Enrique MARTINEZ (emartinez) como miembro del grupo.
En la consola Servidor de acceso a redes, en el servidor SRV-RT, despliegue Directivas y, a

continuacin, haga clic en Directivas de red.
Haga clic con el botn derecho en la primera directiva de red y, a continuacin, seleccione la
opcin Deshabilitar en el men contextual.
Repita la misma operacin para la segunda directiva.
Haga clic con el botn derecho en la carpeta Directivas de red y, a continuacin,

seleccioneNuevo.
En el campo Nombre, escriba Directiva VPN - Puesto Cliente y, a continuacin, en la lista

desplegable Tipo de servidor de acceso a la red seleccione Servidor de acceso remoto (VPN o
acceso telefnico).
Haga clic en Siguiente para validar los cambios.
En la pgina Especificar condiciones, haga clic en Agregar y, a continuacin, seleccione Grupos

de Windows en la ventana que se muestra.
Haga clic en Agregar y, a continuacin, en Agregar grupos. En la ventana que se muestra,

escriba G_Acceso_VPN y, a continuacin, haga clic en Comprobar nombres.
Haga clic en Siguiente y, a continuacin, indique la autorizacin Acceso concedido. Valide

haciendo clic en Siguiente.
En la ventana Configurar mtodos de autenticacin, desmarque la opcin Autenticacin cifrada
de Microsoft (MS-CHAP) y, a continuacin, haga clic en Siguiente.
Haga clic en Siguiente hasta la ltima ventana y, a continuacin, en el botn Finalizar para
cerrar el asistente.
El servidor VPN est, ahora, configurado.
2. Configuracin del cliente VPN

Objetivo: configurar el cliente VPN y, a continuacin, comprobar su conexin.
En CL8-02, conctese como administrador de dominio.
Site el ratn en la zona inferior izquierda para mostrar la interfaz del men inicio. Haga clic con
el botn derecho en la interfaz y, a continuacin, en el men contextual, seleccione Panel de
control.
Haga clic en Programas y, a continuacin, en Activar o desactivar las caractersticas de

Windows.
Marque la opcin Kit de administracin de Connection Manager (CMAK) de RAS, y, a

continuacin, haga clic en Aceptar.
Cambie la interfaz del panel de control al modo Iconos grandes.
Haga clic en Herramientas administrativas y, a continuacin, haga doble clic en Kit de

administracin de Connection Manager.
Deje la opcin Windows Vista o posterior marcada y, a continuacin, haga clic en Siguiente.
En la ventana Crear o modificar un perfil de Connection Manager, deje la opcin Perfil
nuevomarcada y, a continuacin, haga clic en Siguiente.
Escriba Conexin VPN Formacion.local en el campo Nombre de servicio y, a

continuacin, VPNen Nombre de archivo. Haga clic en Siguiente para validar la informacin
introducida.
En la pantalla Especificar un nombre de dominio, haga clic en No agregar un nombre de

territorio al nombre de usuario, y, a continuacin, dos veces en Siguiente.
En la pantalla Agregar compatibilidad para conexiones VPN, marque la opcin Libreta de

telfonos de este perfil. A continuacin, en el campo Usar siempre el mismo servidor VPN,
escriba 172.16.1.254, y haga clic en Siguiente.
Haga clic en Editar en la pantalla Crear o modificar una entrada VPN y, a continuacin,
seleccione la pestaa Seguridad.
En la lista desplegable Estrategia de VPN, seleccione Utilizar solo protocolo de tnel de capa
dos L2TP (Protocole Layer two Tunneling Protocol).
Valide la informacin indicada haciendo clic en Aceptar.
Haga clic en Siguiente y, a continuacin, desmarque la opcin Descargar automticamente

actualizaciones de la libreta de telfonos en la pantalla Agregar una libreta de telfonos
personalizada.
Haga clic en Siguiente hasta que finalice el asistente y, a continuacin, en Finalizar.
Vaya a la carpeta C:\Program Files\CMAK\Profiles\Windows Vista and above\VPN y, a

continuacin, haga doble clic en VPN.exe.
Haga clic en S en el mensaje de advertencia y, a continuacin, marque Todos los

usuarios yAgregar un acceso directo en el escritorio.
Cierre todas las ventanas y, a continuacin, inicie una sesin como emartinez.
Modifique la configuracin IP de la tarjeta de red como se indica a continuacin (es necesario

informar las credenciales del administrador de dominio):
Modifique el conmutador virtual de la mquina CL8-02 para utilizar el segundo conmutador

utilizado por SRV-RT (distinto al de AD1).
En la ventana Conexiones de red, haga doble clic en el icono Conexin VPN Formacion.local y, a
continuacin, en el panel Red, haga clic en Conexin VPN Formacion.local y, a continuacin,
enConectar.
Escriba formacion\emartinez en el campo Nombre de usuario y, a
continuacin, Pa$$w0rd enContrasea.
Haga clic en Conectar para iniciar la conexin VPN.
En caso de que falle la conexin, deshabilite el Firewall y renueve la conexin.

La mquina cliente est, ahora, conectada con la red de la empresa mediante un tnel VPN.
3. Configuracin de DirectAccess
Objetivo: configurar la funcionalidad DirectAccess
Si ha seguido los dos trabajos prcticos anteriores, realice las siguientes tres manipulaciones. En caso
contrario, puede ignorarlas.
En SRV-RT, abra la consola Enrutamiento y acceso remoto y, a continuacin, haga clic con el
botn derecho en SRV-RT (local). Seleccione la opcin Deshabilitar Enrutamiento y acceso
remoto para detener el servicio.
En AD1, abra la consola Administrador de directivas de grupo y, a continuacin, deshabilite la

directiva de grupo Despliegue de certificado vinculada a la unidad organizativa VPN.
Modifique el conmutador virtual de la estacin CL8-02 para que utilice el configurado en AD1.
Modifique la configuracin de red de manera tal que la obtenga mediante DHCP. Si no ha
realizado el trabajo prctico anterior, es necesario crear una unidad organizativa llamada VPN en
la raz del dominio Formacion.local. Puede crearse mediante la consola Usuarios y equipos de
Active Directory. A continuacin, cree un grupo global de seguridad llamado G_Acceso_VPN (el
cual estar presente en la unidad organizativa que acaba de crear).
En AD1, abra la consola Usuarios y equipos de Active Directory y, a continuacin, despliegue el

nodo Formacion.local y haga clic en la unidad organizativa VPN.
Haga doble clic en el grupo G_Acceso_VPN, seleccione la cuenta de usuario que ha agregado en
el trabajo prctico anterior y haga clic en Eliminar. Agregue la cuenta de equipo CL8-02 al
grupo.
Abra la consola Administracin de directivas de grupo, haga clic con el botn derecho en la
directiva de grupo Default Domain Policy y, a continuacin, seleccione la opcin Editar.
Se abre la consola Editor de administracin de directivas de grupo, despliegue los

nodosConfiguracin del equipo, Directivas, Configuracin de Windows, Configuracin de
seguridad,Firewall de Windows con seguridad avanzada.
Haga clic con el botn derecho en Reglas de entrada y, a continuacin, haga clic en Nueva regla.
En la pantalla Tipo de regla, seleccione Personalizada y, a continuacin, haga clic dos veces
enSiguiente.
En la lista desplegable Tipo de protocolo, seleccione ICMPv6 y, a continuacin, haga clic en el

botn Personaliz.
Marque la opcin Tipos de ICMP especficos y, a continuacin, Peticin eco.
Haga clic en Aceptar y, a continuacin, Siguiente.

Haga clic en Siguiente en las ventanas mbito, Accin y Perfil.
Escriba Autorizar - ICMPv6 - De entrada en el campo Nombre y, a continuacin, haga clic

enFinalizar.
Haga clic con el botn derecho en Reglas de salida y, a continuacin, haga clic en Nueva regla.
En la pantalla Tipo de regla, seleccione Personalizada y, a continuacin, haga clic dos veces en
el botn Siguiente.
En la lista desplegable Tipo de protocolo, seleccione ICMPv6 y, a continuacin, haga clic en el

botn Personaliz.
Marque la opcin Tipos de ICMP especficos y, a continuacin, Peticin eco.
Haga clic en Aceptar y, a continuacin, dos veces en Siguiente.
Seleccione la opcin Permitir la conexin y, a continuacin, haga clic dos veces en Siguiente.
Escriba Autorizar - ICMPv6 - De salida en el campo Nombre y, a continuacin, haga clic

enFinalizar.
Cierre las consolas Editor de administracin de directivas de grupo y Administracin de

Abra la consola Administrador del servidor, haga clic en Herramientas y, a continuacin, DNS.
Despliegue los nodos AD1, Zonas de bsqueda directa y Formacion.local.
Haga clic con el botn derecho en Formacion.local y, a continuacin, seleccione Host nuevo (A o
AAAA).
Escriba CRL en el campo Nombre y 192.168.1.254 en el campo Direccin IP.

Haga clic en el botn Agregar host.
Repita la misma operacin para el host NLS con direccin IP 192.168.1.254.
Haga clic en Aceptar para validar el mensaje informativo.
Cierre la consola DNS y abra una ventana de comandos DOS.
Escriba el comando dnscmd /config /globalqueryblocklist wpad.
Este comando permite eliminar el nombre ISATAP de la lista roja de consultas globales DNS
Aparece el mensaje El comando se ha ejecutado correctamente.
En SRV-RT, acceda al panel de control y, a continuacin, a la consola Centro de redes y recursos

compartidos.
Haga clic en Cambiar configuracin del adaptador y, a continuacin, acceda a las propiedades
de la tarjeta Ethernet que est conectada a la red local 192.168.1.0.
Seleccione Protocolo de Internet versin 4 (TCP/IPv4) y, a continuacin, haga clic

enPropiedades y Opciones avanzadas.
Seleccione la pestaa DNS y, a continuacin, escriba Formacion.local en el campo Sufijo DNS
para esta conexin.
Haga clic en Aceptar para validar todas las ventanas.
Es, ahora, momento de ocuparse de la parte correspondiente a los certificados digitales.
Si no estuviera hecho, instale una entidad de certificacin en AD1.
En AD1, abra la consola Administrador del servidor, haga clic en Herramientas y, a

continuacin, seleccione Entidad de certificacin.
Haga clic con el botn derecho en Formation-AD1-CA y, a continuacin, seleccione Propiedades.
Seleccione la pestaa Extensiones y, a continuacin, haga clic en el botn Agregar.
Escriba http://crl.Formation.local/crld/ en el campo Ubicacin y, a continuacin,

seleccione<nombre de CA> en la lista desplegable Variable.
Haga clic en Insertar.
Seleccione <sufijo de nombre de lista CRL> en la lista desplegable Variable y, a continuacin,

haga clic en Insertar.
Seleccione <diferencias entre listas CRL permitidas> en la lista desplegable Variable y, a

continuacin, haga clic en Insertar.
Escriba .crl al final del campo Ubicacin.
Haga clic en Aceptar y, a continuacin, marque las opciones Incluir en las CRL.Usada para
encontrar la ubicacin de diferencias CRL. e Incluir en la extensin CDP de los certificados
emitidos.
Haga clic en Aplicar y, a continuacin, en No en la ventana emergente que propone reiniciar los
servicios de certificados de Active Directory.
Haga clic en el botn Agregar y, a continuacin, en el campo Ubicacin, escriba \\SRV-

RT\crldist$\.
Seleccione <nombre de CA> en la lista desplegable Variable y, a continuacin, haga clic

enInsertar.
Seleccione <sufijo de nombre de lista CRL> en la lista desplegable Variable y, a continuacin,

haga clic en Insertar.
Seleccione <diferencias entre listas CRL permitidas> en la lista desplegable Variable y, a

continuacin, haga clic en Insertar.
Escriba .crl al final del campo Ubicacin y, a continuacin, haga clic en Aceptar.
Marque las opciones Publicar las listas de revocacin de certificados (CRL) en esta
ubicaciny Publicar diferencias CRL en esta ubicacin y, a continuacin, haga clic en Aceptar.
Haga clic en S para reiniciar los servicios de certificados de Active Directory.
Despliegue Formacion-AD1-CA y, a continuacin, haga clic con el botn derecho en Plantillas de

certificado. Seleccione Administrar en el men contextual.
Haga clic con el botn derecho en Servidor web y, a continuacin, haga clic en Plantilla
duplicada.
Seleccione la pestaa General y, a continuacin, escriba Certificado SRV Web Formacin.
Haga clic en la pestaa Tratamiento de la solicitud y, a continuacin, marque Permitir que la

clave privada se pueda exportar.
Haga clic en la pestaa Seguridad, seleccione Usuarios autentificados y, a continuacin,

enPermisos seleccione Inscribirse.
Haga clic en Aceptar y, a continuacin, cierre la Consola de plantillas de certificado.
En la consola Entidad de certificacin, haga clic con el botn derecho en Plantillas de

certificado y, a continuacin, seleccione las opciones Nuevo - Plantilla de certificado que se va
a emitir en el men contextual.
Seleccione la plantilla que acaba de crear y, a continuacin, haga clic en Aceptar.
Haga clic con el botn derecho en Formacion-AD1-CA y, a continuacin, en el men contextual,

seleccione Todas las tareas y, a continuacin, Detener servicio.
Repita la operacin seleccionando, esta vez, la opcin Iniciar servicio.
Cierre la consola Entidad de certificacin y, a continuacin, abra la consola Administracin de

Despliegue los nodos Bosque: Formacion.local, Dominios y, a continuacin, Formacion.local.
Haga clic con el botn derecho en Default Domain Policy y, a continuacin, haga clic en Editar.
Despliegue los nodos Configuracin del equipo, Directivas, Configuracin de

Windows,Configuracin de seguridad y Directivas de clave pblica.
Haga clic con el botn derecho en Configuracin de la solicitud de certificados automtica, y, a

continuacin, seleccione Nuevo - Solicitud de certificados automtica.
Se abre un asistente, haga clic en Siguiente.
En la Plantilla de certificado, seleccione Equipo y, a continuacin, haga clic

en Siguiente yFinalizar.
Ahora es posible solicitar un certificado para SRV-RT.
En SRV-RT, abra una ventana de comandos DOS y, a continuacin, escriba el

comando gpupdate /force.
Escriba, a continuacin, mmc y con ayuda de la opcin Agregar o quitar

complemento (menArchivo) agregue Certificados.
Se abre un asistente, seleccione Cuenta de equipo y, a continuacin, haga clic sucesivamente

enSiguiente, Finalizar y, a continuacin, Aceptar.
Despliegue los nodos Certificados (este equipo), Personal y, por ltimo, Certificados.
Haga clic con el botn derecho en Certificados y, a continuacin, en el men contextual

seleccione Todas las tareas y, a continuacin, Solicitar un nuevo certificado.
Haga clic dos veces en Siguiente. En la pantalla Solicitar certificados haga clic en Certificado
SRV Web Formacin.
Haga clic en Se necesita ms informacin para inscribir este certificado.
Seleccione la pestaa Objeto, y, a continuacin, seleccione Nombre comn en la lista

desplegable Tipo.
En el campo Valor, escriba NLS.Formacion.local y, a continuacin, haga clic en Agregar.
Haga clic en Aceptar, a continuacin en Inscribir y, por ltimo, Finalizar.
Aparece un nuevo certificado en la consola MMC.
Si no lo hubiera hecho, instale el rol IIS en SRV-RT.
En SRV-RT, abra la consola Administracin de Internet Information Services (IIS).
Haga clic en Sitios y, a continuacin, en Default Web Site.
En el panel Acciones, haga clic en Enlaces y, a continuacin, en Agregar.
En la lista desplegable Tipo, seleccione HTTPS y, a continuacin, en Certificado

SSL seleccioneNLS.Formacion.local.
Haga clic en Aceptar y, a continuacin, en Cerrar.
Cierre la consola Administrador de Internet Information Services (IIS).
Ya es posible configurar DirectAccess.

Abra una consola MMC y, a continuacin, agregue el complemento Certificados.
Se abre un asistente, marque Cuenta de equipo y, a continuacin, haga clic

en Siguiente,Finalizar y, a continuacin, Aceptar.
En el rbol que muestra la consola, despliegue los nodos Certificados (equipo local), Personaly,
por ltimo, Certificados.
Haga clic con el botn derecho en Certificados y, a continuacin, seleccione Todas las tareas -
Solicitar un nuevo certificado.
Haga clic dos veces en Siguiente, marque Certificado SRV Web Formacin y, a continuacin,
haga clic en Se necesita ms informacin para inscribir este certificado.
Seleccione Nombre comn en la lista desplegable Tipo y, a continuacin,

escriba 192.168.1.254en el campo Valor.
Haga clic en los botones Agregar, Aceptar y, a continuacin, Inscribir.
Haga clic en Finalizar para cerrar el asistente.
Ahora aparece un nuevo certificado en la consola MMC.
Haga clic con el botn derecho en el certificado que acaba de crear y, a continuacin, en el men
contextual, seleccione Propiedades.
En el campo Nombre descriptivo, escriba Certificado IP-HTTPS y, a continuacin, haga clic

enAceptar.
Cierre la consola Certificados.
A continuacin, es posible crear el punto de distribucin de CRL para certificados.
En SRV-RT, abra la consola Administrador de Internet Information Services (IIS).
Despliegue el nodo Sitios y, a continuacin, haga clic con el botn derecho en Default Web Site.
En el men contextual, haga clic en Agregar directorio virtual.
En la ventana Agregar directorio virtual, escriba CRLD en el campo Alias y, a continuacin, haga
clic en el botn situado a la derecha del campo Ruta de acceso fsica.
Haga doble clic en Disco local (C:) y, a continuacin, haga clic en el botn Crear nueva carpeta.
Escriba CRLDist y, a continuacin, presione la tecla [Enter].

Haga clic dos veces en Aceptar para cerrar las ventanas.
Haga doble clic en Examen de directorios en el panel central de la consola Administrador de

Internet Information Services (IIS) y, a continuacin, seleccione Habilitar en el panelAcciones.
Seleccione la carpeta CRLD y, a continuacin, en el panel central de la consola, haga doble clic en
el icono Editor de configuracin.
En la lista desplegable Seccin, despliegue system.webServer, security, y, a continuacin, haga

clic en requestFiltering.
En la lista desplegable allowDoubleEscaping, seleccione el valor True.
Haga clic en Aplicar en el panel de Acciones.

Es necesario compartir el punto de distribucin de CRL.
Abra un explorador de Windows y, a continuacin, haga doble clic en Disco local (C:).
Haga clic con el botn derecho en la carpeta CRLDist y, a continuacin, haga clic en Propiedades.
Seleccione la pestaa Compartir y, a continuacin, haga clic en Uso compartido avanzado.
Marque la opcin Compartir esta carpeta y, a continuacin, agregue un $ al final de la ruta.

Haga clic en Permisos y, a continuacin, en Agregar.
Haga clic en el botn Tipos de objeto y, a continuacin, seleccione Equipos.
Haga clic en Aceptar y, a continuacin, escriba AD1 en el campo Escriba los nombres de objeto
que desea seleccionar.
Haga clic en Comprobar nombres y, a continuacin, en Aceptar.
Seleccione AD1 (FORMACION\AD1$) y, a continuacin, marque Control total en la

columnaPermitir.
Haga clic dos veces en Aceptar y, a continuacin, seleccione la pestaa Seguridad.
Haga clic en el botn Editar y, a continuacin, en Agregar.
Haga clic en el botn Tipos de objeto y, a continuacin, seleccione Equipos.
Haga clic en Aceptar y, a continuacin, escriba AD1 en el campo Escriba los nombres de objeto
que desea seleccionar.
Seleccione AD1 (FORMACION\AD1$) y, a continuacin, marque Control total en la

columnaPermitir.
Ahora es momento de publicar la lista de revocacin de certificados.
En AD1, abra la consola Entidad de certificacin.
Despliegue el nodo Formacion-AD1-CA y, a continuacin, haga clic con el botn de derecho

enCertificados revocados.
En el men contextual, seleccione Todas las tareas y, a continuacin, Publicar.
Marque la opcin Lista de revocacin de certificados (CRL) nueva en el cuadro de

dilogoPublicar lista de revocacin de certificados (CRL).
Acceda al recurso compartido \\SRV-RT\CRLDist$ y compruebe la presencia de los archivos.
A continuacin, es posible configurar DirectAccess.
Si no lo hubiera hecho, instale el rol Acceso remoto en SRV-RT.
Configure la segunda tarjeta de red en el servidor SRV-RT (con direccin IP 172.16.1.254) para
que tenga la direccin IP 131.0.0.1 y la mscara de subred 255.255.0.0.
La tarjeta de red debe estar conectada a un conmutador diferente al utilizado por la primera
tarjeta de red (un conmutador de tipo privado, por ejemplo).
En SRV-RT, abra la consola Enrutamiento y acceso remoto.
Compruebe que SRV-RT est deshabilitado, en caso contrario haga clic con el botn derecho
enSRV-RT (local) y seleccione Deshabilitar enrutamiento y acceso remoto.
Abra la Consola de administracin de acceso remoto y, a continuacin, haga clic
enConfiguracin en el panel izquierdo. A continuacin, haga clic en Ejecutar el asistente para
introduccin en el panel central.
Se abre un asistente, ejecute Implementar solo DirectAccess.
Verifique que est marcada la opcin Tras un dispositivo perimetral (con dos tarjetas de red)y,
a continuacin, escriba 131.0.0.1 en el campo de texto.
En la consola Administracin de acceso remoto, en Etapa 1, haga clic en Editar, y, a

continuacin, en Siguiente.
En la ventana de seleccin de grupos, haga clic en Agregar.
Escriba G_Acceso_VPN y, a continuacin, haga clic en Aceptar.
Desmarque la opcin Habilitar DirectAccess solo para equipos mviles y, a continuacin,

elimine el grupo Equipos del dominio.
En la consola Administracin de acceso remoto, en Etapa 2, haga clic en Editar.
Haga clic en Siguiente y, a continuacin, compruebe que se est utilizando la tarjeta Ethernet
correcta.
Valide la informacin haciendo clic en Siguiente.
Haga clic en el botn Examinar presente en la zona Usar certificados de equipo.
Seleccione Formacion-AD1-CA y, a continuacin, haga clic en Aceptar.

Haga clic en Finalizar.
En la consola Administracin de acceso remoto, haga clic en el enlace Editar presente en

laEtapa 3.
En la ventana Servidor de ubicacin de red, marque la opcin El servidor de ubicacin de red

se implementa en el servidor de acceso remoto. Con ayuda del botn Examinar, seleccione el
certificado SRV-RT.
Haga clic tres veces en Siguiente y, a continuacin, en Finalizar.
En la consola Administracin de acceso remoto, haga clic en el enlace Editar presente en

laEtapa 4.
En la pantalla Instalacin del servidor de aplicaciones DirectAccess, haga clic en Finalizar.
Aplique los cambios haciendo clic en Finalizar en la consola Administracin de acceso remoto y,
a continuacin, en Aplicar en la ventana emergente.
Una vez finalizada la operacin, haga clic en Cerrar.
En SRV-RT, abra una ventana de comandos DOS y, a continuacin, ejecute el

comando gpupdate /force.
Haga clic en PANEL en la Consola de administracin de acceso remoto.
Verifique que el conjunto de puntos enumerados en el listado Estado de las operaciones son
correctos.
4. Configuracin del cliente DirectAccess

Objetivo: configuracin de la funcionalidad DirectAccess
En CL8-02, inicie una sesin como administrador (administrador@formacion.local).
Compruebe que CL8-02 est configurado con direccionamiento dinmico y ubicado sobre el
mismo conmutador virtual que AD1.
Compruebe que se est aplicando la directiva de grupo Configuracin del cliente DirectAccess.
Esta GPO se ha creado automticamente.

En CL8-02, abra una consola MMC y, a continuacin, agregue el complemento Certificados.
En el asistente, seleccione la opcin Cuenta de equipo, a continuacin haga clic en Siguiente y

en Finalizar.
Despliegue los nodos Certificados, Personal y, por ltimo, Certificados.
Compruebe que existe un certificado con el nombre CL8-02.Formacion.local con el rol Asegura
la identidad de un equipo remoto.
El certificado es necesario para identificar la mquina instalada.
Abra un navegador de Internet y, a continuacin, acceda a la URL: http://SRV-

RT.Formacion.local.
Esta operacin permite comprobar la conectividad con el servidor de la empresa. La estacin CL8-
02debe utilizar el mismo conmutador que SRV-RT para estar conectada a la red 131.0.0.0. Para ello,
configure el mismo conmutador virtual que para SRV-RT.
Edite la configuracin de la tarjeta de red de CL8-02 para que est configurada tal y como se
indica ms abajo. A continuacin, cambie el conmutador virtual.
En Internet Explorer, elimine la informacin en cach (archivos temporales, etc.).
Esto permite asegurar que el acceso funciona y que la pgina no se muestra porque est
alojada en la cach local del equipo.
Abra un navegador de Internet y, a continuacin, acceda a la URL: http://SRV-

RT.Formacion.local.
La pgina se muestra.
Abra una ventana de comandos DOS y, a continuacin, ejecute el comando: ping SRV-
RT.formacion.local
RT.formacion.local
Se devuelve una respuesta.
Escriba el comando netsh name show effectivepolicypara comprobar la configuracin

de la tabla de directivas de resolucin de nombres DNS.
Abra una consola PowerShell

a y, continuacin, escriba el comando Get-
DAClientExperienceConfiguration.
1. Preguntas
1 Cul es el rol de un servidor VPN?
2 Qu permite hacer el rol Servicios de acceso y directivas de redes?
3 Cul es la misin de un servidor RADIUS?
4 Cules son las dos tecnologas que es posible implementar con el rol Acceso remoto?
5 Cul es la diferencia entre la autenticacin y la autorizacin?
6 Nombre algunos mtodos de autenticacin.
7 Por qu conviene implementar una PKI?
8 Qu dos formas existen de distribuir una configuracin IP?
9 Cul es la ventaja de utilizar SSTP?
10 Presente brevemente la funcionalidad VPN Reconnect.
11 Por qu conviene utilizar un kit CMAK?
12 Nombre alguna de las ventajas ofrecidas por DirectAccess.
13 Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess?
14 Tras implementar un servidor RADIUS es preciso configurar, tambin, el cliente RADIUS. Qu

elementos pueden utilizarse como cliente RADIUS?
15 Qu permite hacer NAP?
16 NPS realiza autenticacin, dnde se almacenan las cuentas (equipo, usuario) que permiten
realizar la autenticacin?
17 Qu nmero tiene la norma RADIUS?
18 Qu contiene una directiva de solicitud de conexin?
19 Cul es la utilidad de un proxy RADIUS?
2. Resultados
3. Respuestas
1 Cul es el rol de un servidor VPN?
El rol del servidor VPN es crear un tnel seguro entre un equipo y el servidor en el interior de una
red pblica (Internet).
2 Qu permite hacer el rol Servicios de acceso y directivas de redes?
Este rol permite tener los componentes necesarios para asegurar el correcto funcionamiento de la
conectividad de red.
3 Cul es la misin de un servidor RADIUS?
Un servidor RADIUS permite dotar de seguridad una red Wi-Fi o una VPN realizando una
autenticacin basada en un certificado o contrasea.
4 Cules son las dos tecnologas que es posible implementar con el rol Acceso remoto?
El rol Acceso remoto ofrece la posibilidad de implementar un acceso VPN tradicional o un servidor
DirectAccess.
5 Cul es la diferencia entre la autenticacin y la autorizacin?
La autenticacin es una operacin que consiste en verificar las credenciales utilizadas mientras que
una autorizacin permite, por su parte, comprobar si la cuenta est autorizada o no para acceder a
un determinado recurso.
6 Nombre algunos mtodos de autenticacin.
Es posible utilizar varios mtodos de autenticacin (PAP, CHAP, MS-CHAPv2, EAP).
7 Por qu conviene implementar una PKI?
Una PKI o Public Key Infrastructure consiste en implementar un servidor que permite distribuir y
gestionar certificados digitales. Esta solucin permite asegurar los datos.
8 Qu dos formas existen de distribuir una configuracin IP?
Cuando se implementa una conexin VPN es necesario distribuir una configuracin IP a los
equipos. Para ello, puede utilizarse un servidor DHCP. La segunda manera consiste en configurar,
en el servidor VPN, un pool de direcciones remotas.
9 Cul es la ventaja de utilizar SSTP?
El protocolo SSTP es, como L2TP o PPTP, un protocolo que permite implementar un tnel VPN. Este
protocolo tiene una ventaja importante: utiliza HTTPS y, por tanto, el puerto 443. De este modo
resulta ms fcil atravesar los cortafuegos.
10 Presente brevemente la funcionalidad VPN Reconnect.
VPN Reconnect es una funcionalidad que consiste en restablecer la conexin VPN en caso de corte.
De este modo, el usuario no tiene que volver a conectar manualmente.
11 Por qu conviene utilizar un kit CMAK?
Un kit CMAK contiene la configuracin esencial para realizar una conexin VPN, de modo que el
usuario no tenga ms que informar las credenciales.
12 Nombre alguna de las ventajas ofrecidas por DirectAccess.
Es posible citar varias ventajas, tales como la conexin sin intervencin por parte del usuario, la
integracin en el sistema operativo o, simplemente, la separacin de los trficos de Internet e
intranet.
13 Es necesario disponer de dos direcciones IP y una PKI para implementar DirectAccess?
No, desde Windows Server 2012 ya no es necesario instalar una PKI o disponer de dos direcciones
IPv4 consecutivas.
14 Tras implementar un servidor RADIUS es preciso configurar, tambin, el cliente RADIUS. Qu

elementos pueden utilizarse como cliente RADIUS?
Un servidor VPN, un conmutador o un punto de acceso Wi-Fi son equipos que pueden configurarse
como cliente RADIUS.
NAP permite asegurar que el estado de salud de los equipos se corresponde con las exigencias del
administrador.
16 NPS realiza autenticacin, dnde se almacenan las cuentas (equipo, usuario) que permiten
realizar la autenticacin?
Estas cuentas pueden provenir de una base de datos local o, con mayor frecuencia, de un directorio
Active Diretory.
17 Qu nmero tiene la norma RADIUS?
El nmero de la norma RADIUS es 802.1x.
18 Qu contiene una directiva de solicitud de conexin?
Una solicitud de conexin contiene condiciones pero, tambin, parmetros (informacin de servidor
RADIUS, etc.).
19 Cul es la utilidad de un proxy RADIUS?
Un proxy RADIUS se utiliza con varios roles (AD FS, etc.) y permite asegurar que solo las personas
autorizadas pueden acceder a la aplicacin.
Tener nociones acerca de la administracin de una red informtica.
2. Objetivos
Implementacin de NAP.
Administracin y resolucin de errores de la solucin.

Introduccin
Muchos ataques provienen del interior, por lo que es necesario implementar polticas de seguridad
(contrasea). Los equipos porttiles pueden suponer grandes problemas. En efecto, tienen la
posibilidad de conectarse a otras redes, por lo que puede producirse una posible contaminacin. Tras
la conexin del equipo a la red de la empresa, la contaminacin se expande rpidamente en el
conjunto de la red. Es, por tanto, necesario validar el estado de salud de los equipos antes de
aceptar su acceso a la red.
NAP (Network Access Protection) permite implementar directivas que deben respetar los distintos
equipos para poder acceder a la red de la empresa.
Visin general de la solucin NAP
NAP est integrado en los sistemas operativos desde Windows XP SP3. Permite implementar
protecciones a nivel de los recursos de red. Comprueba el estado de salud de los equipos que desean
acceder a la red y ofrece, tambin, la posibilidad de actualizarse con el objetivo de respetar las
condiciones definidas por el administrador. Si un equipo respeta las condiciones de seguridad
impuestas, tendr un acceso completo a la red. Esta solucin no se hace para protegerse de los
piratas informticos u otros problemas similares sino para comprobar el estado de salud de los
equipos.
En caso de querer utilizar NAP con un servidor DHCP el usuario puede, si pasa a un direccionamiento
esttico, cortocircuitar NAP. ste deja de utilizarse en tal caso.
1. Forma de aplicar NAP

La solucin NAP permite gestionar la mayora de equipos que pueden encontrarse en la empresa:
Ordenador porttil
Equipo de sobremesa
Ordenador no administrado por la empresa (perteneciente a una persona ajena a la

empresa)
El ordenador porttil presenta un riesgo mucho ms importante, pues se conecta a redes externas.
Si se conecta espordicamente a la red de la empresa, puede que no alcance a recuperar los
parches y actualizaciones emitidos por el servidor WSUS. Es muy importante asegurar el estado de
salud de este tipo de equipos.
Mucho menos problemticos son los equipos de sobremesa que, a su vez, pueden no respetar las
condiciones de seguridad (equipos que se encienden tras varios meses de inactividad, imagen
restaurada en un equipo). Es, por tanto, posible implementar NAP para este tipo de equipos.
Por ltimo, los equipos no administrados en la empresa suponen problemas. Es frecuente recibir
consultores o personas externas a la organizacin. Estas personas pueden necesitar conectarse a
Internet, y el acceso se ofrece, a menudo, a travs de redes Wi-Fi. Esto supone que el equipo (y
todo lo que pueda contener) tendra acceso a la red de produccin. La implementacin del servidor
NAP permite limitar el acceso de estos equipos a la red de Internet nicamente. Los equipos
internos a la empresa y que respeten las condiciones de seguridad tendrn, por su parte, un acceso
completo.
El cliente de cumplimiento enva el estado de salud de un equipo al servidor de cumplimiento

presente en el servidor NAP.
Existen varios niveles de cumplimiento:
Cumplimiento NAP para comunicaciones IPsec: permite restringir la comunicacin

nicamente a los equipos que cumplen con las condiciones.
Cumplimiento NAP para 802.1x para conexiones con cable o inalmbricas: solo aquellos
equipos que cumplan con las condiciones tendrn un acceso limitado al cliente RADIUS
(switch, punto de acceso Wi-Fi).
Cumplimiento NAP para VPN para los accesos VPN: el equipo debe cumplir para poder
obtener un acceso limitado mediante una conexin VPN.
Cumplimiento NAP para DirectAccess: para poder conectase a la red de la empresa

mediante un servidor DirectAccess es necesario que el equipo cumpla con las condiciones.
Cumplimiento NAP para DHCP para la configuracin de direcciones: solo aquellos equipos
que cumplan las condiciones recibirn un contrato DHCP que les permitir tener un acceso
completo a la red de la empresa.
2. Arquitectura de la plataforma NAP
Una arquitectura NAP contiene varios componentes. El cliente NAP est presente en cada puesto o
servidor, y permite la comunicacin con el servidor NAP para validar el acceso a la red en funcin del
cumplimiento de cada puesto. Encontramos, a su vez, algunas restricciones a este examen de
conformidad, se trata de servidores que requieren una validacin antes de poder tener o no acceso.
Entre estos servidores podemos encontrar DHCP, VPN, DirectAccess No es obligatorio contar con
un controlador de dominio Active Directory en la etapa de validacin de la conformidad, aunque es
indispensable para conexiones de tipo VPN o 802.1x.
Por ltimo, la arquitectura NAP est compuesta por una red restringida (o red de cuarentena). Esta
red puede ser de tipo lgico o fsico. Contiene servidores de actualizacin que permiten a los
equipos declarados como no conformes corregir el problema (antivirus no actualizado, por ejemplo).
Proceso de aplicacin de NAP
Una restriccin de conformidad puede considerarse como un paso por aduana: si los papeles no estn
en regla, es imposible entrar en un pas extranjero. Ocurre de forma similar con las directivas de
mantenimiento: para poder acceder a la red, el equipo debe mostrar su conformidad e integridad para
probar que cumple con la directiva de mantenimiento. El acceso puede denegarse o autorizarse
parcialmente hasta que se comprueba la conformidad del equipo.
1. Implementar IPsec con NAP

Hemos visto ms arriba cmo es preciso que el equipo est conforme para que pueda comunicarse
con otros equipos. Este tipo de restriccin est compuesta por una autoridad HRA que ejecute
Windows Server 2012 o superior as como un cliente de cumplimiento que ejecute, como mnimo,
Windows Server 2003.
La autoridad HRA tiene como objetivo emitir certificados de tipo X509 cuando el equipo se considera
conforme. Si el equipo no cumple, se rechazan sus intentos de comunicacin. Este mtodo es, no
obstante, algo ms complejo puesto que invoca a una autoridad HRA y a una entidad emisora de
certificados. Se aplican a las comunicaciones IPv4 e IPv6, por lo que es difcil esquivarlas.
2. 802.1x con NAP

Este tipo de restriccin de cumplimiento permite filtrar equipos que se conectan a un cliente RADIUS
(switch, punto de acceso Wi-Fi). Para los equipos no conformes es posible implementar un filtro de
paquetes IP o redirigir a los equipos a una VLAN de cuarentena. Es, no obstante, preciso asegurar
que los switches o puntos de acceso Wi-Fi afectados son compatibles con la autenticacin 802.1x.
Este tipo de implementacin resulta muy segura puesto que es difcil, para un equipo que se pone
en cuarentena, (en una VLAN aparte), salir si no est conforme.
Configurando esta restriccin de cumplimiento para los switches y puntos de acceso Wi-Fi, el
conjunto de equipos, fijos y porttiles, se ven afectados.
3. Implementar NAP con un servidor VPN

Cuando un usuario se conecta mediante VPN se utiliza la directiva de cumplimiento para el servidor
VPN. Este tipo de restriccin utiliza un conjunto de filtros de paquetes IP, lo que permite limitar el
trfico de los clientes. De este modo, los equipos pueden conectarse nicamente con aquellos
recursos contenidos en la red restringida. Los paquetes que no superen este filtro se eliminarn
automticamente.
4. Uso de NAP para DHCP

NAP interviene cuando se produce la asignacin o renovacin de una configuracin IP. Si el equipo
resulta no conforme, el servidor DHCP renueva automticamente el contrato DHCP del equipo para
ubicarlo en una red restringida. Resulta til configurar las interfaces de red del servidor NAP de
manera esttica. Para poder actualizarse, el equipo recibe una lista de hosts que apuntan a los
servidores alojados en la red restringida. De este modo, el protocolo TCP/IP devuelve un error si
alguna aplicacin instalada en el equipo intenta enviar una trama Unicast distinta a las permitidas
mediante las rutas estticas.
No es posible utilizar el mtodo de cumplimiento por DHCP en clientes IPv6.

Verificacin del cumplimiento
La verificacin del cumplimiento se asegura mediante dos componentes de NAP, los agentes de
mantenimiento del sistema y los validadores de mantenimiento del sistema. De este modo, el servidor
NAP recibe por parte del cliente un estado de cumplimiento, el cual se compara con el estado de
cumplimiento requerido. A continuacin, el servidor NAP enva la respuesta al cliente y le pide
actualizar alguno de sus componentes (antivirus, por ejemplo) si fuera necesario.
Una directiva de mantenimiento est compuesta por uno o varios validadores de mantenimiento del
sistema. Esto permite definir los criterios necesarios para que un equipo se considere como conforme.
Si el equipo no responde a los criterios definidos en la directiva, el servidor puede decidir realizar
distintas operaciones. Puede rechazar la solicitud de conexin, ubicar al equipo en una red restringida
o autorizar al equipo a pesar de su estado de incumplimiento.
Si se ubica en una red restringida, el equipo podr acceder a un grupo de servidores. Se trata de un
listado de servidores presentes en la red restringida. Estos servidores permiten realizar la
actualizacin de los equipos que no cumplen con las condiciones. De este modo, estos servidores
contienen los recursos que necesita el agente NAP para realizar las actualizaciones adecuadas
(definicin del antivirus, por ejemplo).
Supervisin y mantenimiento del servidor NAP
La supervisin y el mantenimiento son aspectos muy importantes en la implementacin de una
solucin NAP. Estas operaciones permiten asegurar el correcto funcionamiento de la funcionalidad.
El seguimiento NAP se habilita mediante la consola Configuracin del cliente de NAP. Esta operacin
consiste en registrar los eventos NAP en un archivo de log. Es posible configurar tres
niveles:Bsico, Avanzado o Depuracin.
Para ello podemos utilizar varios archivos de log:
IASNAP.log: este registro permite obtener informacin detallada acerca de los procesos de
proteccin de acceso a la red, la autenticacin o la autorizacin NPS.
IASSAM.log: contiene informacin relativa a la autenticacin del usuario y sus autorizaciones.
Mantenimiento de NAP
Para resolver problemas en la funcionalidad NAP es posible utilizar varias herramientas. El

comando netshpermite consultar el estado de un cliente NAP. Es, de este modo, posible obtener
informacin relativa al estado de restriccin, el estado de los clientes de cumplimiento, el estado de
los agentes de mantenimiento del sistema instalados as como los grupos de servidores aprobados
configurados.
El mantenimiento puede, a su vez, realizarse mediante archivos de log de Windows. Existen distintos
ID que pueden resultar tiles para analizar el comportamiento de la funcionalidad NAP:
ID 6272: se otorga acceso al usuario.
ID 6273: se rechaza el acceso al usuario.
ID 6274: peticin ignorada por el servidor NPS (problema de configuracin o imposibilidad de

crear registros de gestin de cuentas).
ID 6276: usuario puesto en cuarentena (puesto no conforme).
ID 6278: acceso total otorgado al usuario.

Trabajos prcticos: Implementar la solucin NAP
Estos trabajos prcticos permiten instalar y configurar el servidor NAP. Los clientes de cumplimiento
utilizados son el DHCP y VPN.
1. Configuracin de los componentes NAP

Objetivo: instalacin y configuracin del servidor NAP
Mquinas virtuales: AD1 y CL8-01
y caractersticas.
En la ventana Seleccione el tipo de instalacin, deje la opcin por defecto y, a continuacin,

haga clic dos veces en Siguiente.
Marque la opcin correspondiente al rol Servicios de acceso y directivas de redes y, a

continuacin, haga clic en Agregar caractersticas en la ventana emergente.
En la ventana de seleccin de caractersticas, haga clic en Siguiente.
Marque la opcin Servidor de directivas de redes en la ventana Seleccionar servicios de rol.
Haga clic en Instalar para realizar la instalacin.
Una vez terminada la instalacin, es preciso configurar el servicio para asegurar que solamente
aquellos equipos que respetan la poltica de seguridad (antivirus actualizado) obtienen un contrato
DHCP.
Abra la consola NPS presente en las Herramientas administrativas.
Despliegue el nodo Proteccin de acceso a redes, y, a continuacin, haga clic en Validadores de

mantenimiento del sistema.
En el panel central, haga clic en Validador de mantenimiento de seguridad de Windows.
Haga clic en Configuracin en el panel central y, a continuacin, haga doble clic en Configuracin
por defecto.
En Windows 8/Windows 7/Windows Vista, desmarque todas las opciones excepto las
correspondientes al antivirus.
Haga clic en Aceptar y, a continuacin, en Grupos de servidores de actualizaciones.
Los servidores de actualizaciones permiten a los clientes no conformes actualizarse para poder
obtener la conformidad.
Haga clic con el botn derecho en Grupos de servidores de actualizaciones y, a continuacin,

seleccione Nuevo.
Escriba Grupo de servidores 1 en el campo Nombre de grupo y, a continuacin, mediante el

botn Agregar, escriba la direccin IP 192.168.1.200 y el nombre del equipo SRVWSUS.
El nombre y la direccin IP del servidor se utilizan como ejemplo, no existe ningn servidor con
este nombre en la maqueta que hemos montado.
Vamos, ahora, a crear dos directivas. Estas ltimas permitirn al servidor saber qu requisitos previos
tienen que cumplirse para aplicar esta directiva. En nuestro ejemplo, la directiva conforme va a
aplicarse a aquellos puestos que respeten la poltica de seguridad (antivirus al da). La directiva no
conforme est destinada a aquellos equipos en los que haya fallado algn punto de control SHV
(puntos de seguridad), por ejemplo antivirus no presente o no actualizado.
Despliegue el nodo Directivas, haga clic con el botn derecho en Directivas de mantenimiento,
y, a continuacin, haga clic en Nueva.
En la ventana Crear nuevas directivas de mantenimiento, configure la directiva tal y como se

indica a continuacin:
Nombre de directiva: Conforme.
Comprobaciones de SHV para clientes: El cliente supera todas las comprobaciones de SHV.
SHV usados en estas directivas de mantenimiento: habilite la opcin Validador de

mantenimiento de seguridad de Windows.
Haga clic en Aceptar para validar la informacin introducida.
Cree otra directiva con los siguientes parmetros:
Nombre de directiva: No conforme.
Comprobaciones de SHV para clientes: El cliente no supera una o ms comprobaciones de

SHV.
SHV usados en estas directivas de mantenimiento: habilite la opcin Validador de

mantenimiento de seguridad de Windows.
Haga clic en Aceptar para validar la informacin introducida.
Haga clic en Directivas de red y seleccione una de las dos directivas presentes. Haga clic con el
botn derecho en la seleccin y marque la opcin Desactivar. Repita la operacin con la otra
directiva.
Haga clic con el botn derecho en Directivas de red y, a continuacin, seleccione Nueva.
En la ventana Especificar nombre de directiva de red y tipo de conexin, configure la directiva

tal y como se muestra a continuacin:
Nombre de directiva: Conforme - Acceso completo.
Tipo de servidor de acceso a la red: servidor DHCP.
En la ventana Especificar condiciones, haga clic en Agregar y, a continuacin, haga doble clic
enDirectivas de mantenimiento.
Seleccione Conforme en la lista desplegable, y, a continuacin, haga clic en Aceptar.
Verifique que est marcada la opcin Acceso concedido y, a continuacin, haga clic en Siguiente.
En la ventana Configurar mtodos de autenticacin, marque Realizar solo comprobacin de

mantenimiento del equipo. Desmarque todas las dems opciones.
Haga clic dos veces en Siguiente.
En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Verifique que est marcada
la opcin Permitir acceso completo a la red.
Valide haciendo clic en Siguiente y, a continuacin, en Finalizar.
Recree la misma regla con los siguientes parmetros:
Nombre de directiva: No conforme - Restringido.
Tipo de servidor: servidor DHCP.
Condiciones: Directivas de mantenimiento (seleccionar la directiva No conforme).
Permisos de acceso: verifique que est marcada la opcin Acceso concedido.
A continuacin se implementar una limitacin al acceso.
Mtodos de autenticacin: Realizar solo comprobacin de mantenimiento del equipo.

Opciones: Cumplimiento NAP (Permitir acceso limitado y marque Habilitar correccin
automtica de equipos cliente).
Valide la informacin haciendo clic en Siguiente y, a continuacin, en Finalizar.
Ahora es posible configurar el servidor DHCP para controlar el cumplimiento NAP.
Haga clic con el botn derecho en mbito y, a continuacin, haga clic en Propiedades.
Es preciso que el nodo mbito est desplegado.
En la pestaa Proteccin de acceso a redes, seleccione la opcin Habilitar para este mbito y
compruebe que est marcada la opcin Usar perfil predeterminado de Proteccin de acceso a
redes.
Haga clic con el botn derecho en Directivas y, a continuacin, haga clic en Nueva directiva.
Escriba Puesto no conforme en el campo Nombre de la directiva y, a continuacin, haga clic

enSiguiente.
En la ventana de configuracin de las condiciones de la directiva, haga clic en Agregar.
Configure la condicin tal y como se indica a continuacin:
Criterio: Clase de usuario.
Operador: Es igual a.
Valor: Clase de proteccin de acceso a red predeterminada.
Haga clic en Agregar para agregar el valor seleccionado.

Valide haciendo clic en Aceptar y, a continuacin, en Siguiente.
Marque la opcin 006 Servidores DNS y, a continuacin, escriba la direccin IP 192.168.1.99.

La direccin IP debe coincidir con la del servidor DNS presente en la red de cuarentena. Esta
ltima no existe en la maqueta.
Valide el mensaje de advertencia haciendo clic en S.
Marque la opcin 015 Nombre de dominio DNS y, a continuacin,

escribarestringido.Formation.local.
En el equipo CL8-01, abra la interfaz Windows y, a continuacin, escriba napclcfg.msc.
Este comando permite mostrar la consola de configuracin del cliente NAP para habilitar, en el equipo,
el cliente de aplicacin de cuarentena DHCP.
Despliegue Clientes de cumplimiento y, a continuacin, haga doble clic en Cliente de aplicacin

de cuarentena DHCP.
Marque la opcin Habilitar este cliente de cumplimiento.
En la interfaz Windows, escriba services.msc.
Haga doble clic en el servicio Agente de proteccin de acceso a redes.
Modifique el tipo de arranque del servicio para que sea Automtico e incielo.
En la interfaz Windows, escriba gpedit.msc, y, a continuacin, pulse [Enter].
Despliegue los nodos Directiva Configuracin del equipo, Plantillas

administrativas,Componentes de Windows y, a continuacin, haga clic en Centro de seguridad.
Haga doble clic en Activar el Centro de seguridad (solo equipos de dominio), seleccione la
opcin Activo y, a continuacin, haga clic en Aceptar.
La tarjeta de red debe configurarse para recibir una direccin IP de un servidor DHCP. Si no fuera
el caso, modifique la configuracin del adaptador. El equipo est, de momento, en la red de
produccin.
Tal y como muestra la siguiente captura de pantalla, el servidor DHCP le ha concedido un acceso
completo.
En el men de la interfaz Windows, escriba Windows Defender y, a continuacin, ejectelo.
Haga clic en la pestaa Configuracin y, a continuacin, Administrador, desmarque la

opcinActivar Windows Defender.
Haga clic en Guardar los cambios.
Esto va a permitir simular una no-conformidad con la poltica de seguridad. Es posible, a su vez,
incluir en las directivas de cumplimiento del servidor NPS la obligacin de poseer un firewall
activo. Bastar con deshabilitar el firewall en el puesto de trabajo.
Espere algunos segundos o libere el contrato DHCP mediante el comando DOS: ipconfig
/release
Solicite un nuevo contrato ejecutando el comando ipconfig /renew en una ventana de
comandos DOS.
El equipo se encuentra, ahora, en la red de cuarentena. El servidor DHCP ha asignado,

correctamente, el sufijo DNS restringido.formacion.local. El servidor DNS debe, a su vez, distribuirse
para los equipos no conformes.
Es, ahora, mucho ms sencillo aislar los equipos que no respetan la poltica de seguridad de la
empresa.
1. Preguntas
2 Qu sistema operativo, como mnimo, es necesario tener instalado en los equipos clientes
para utilizar NAP?
3 Describa brevemente la funcionalidad NAP.
4 Cules son los clientes de cumplimiento que pueden configurarse?
5 Con qu cliente de cumplimiento se utiliza HRA?
6 Cul es el objetivo de la autoridad HRA?
7 Es posible utilizar NAP con DHCPv6?
8 Cules son los componentes que se encargan de validar el estado de conformidad de los
equipos?
9 Para qu consola se habilita el seguimiento de NAP?
10 Cules son los archivos de log que utiliza NAP?
2. Resultados
3. Respuestas
NAP permite implementar directivas que deben respetar los equipos cliente si quieren poder
acceder a la red, en caso contrario accedern a una red de cuarentena o se les denegar el acceso.
2 Qu sistema operativo, como mnimo, es necesario tener instalado en los equipos clientes
para utilizar NAP?
Es necesario, como mnimo, Windows XP SP3.
3 Describa brevemente la funcionalidad NAP.
NAP permite comprobar el estado de salud de los equipos que se conectan a la red. Si no respeta
los criterios de seguridad impuestos por el administrador, el equipo se sita en una red de
cuarentena, o se rechaza completamente su acceso. En caso de que se site en una red de
cuarentena existe un grupo de servidores a su disposicin que le permiten actualizarse.
4 Cules son los clientes de cumplimiento que pueden configurarse?
Existen varios clientes de cumplimiento NAP que pueden configurarse en el sistema operativo.
DHCP, VPN, IPsec o RADIUS son algunos de ellos.
5 Con qu cliente de cumplimiento se utiliza HRA?
HRA se utiliza cuando se implementa IPsec con NAP.

6 Cul es el objetivo de la autoridad HRA?
La autoridad HRA tiene como objetivo emitir certificados digitales que se utilizan con IPsec.
7 Es posible utilizar NAP con DHCPv6?
No, NAP no puede utilizarse con un servidor DHCP que distribuya direcciones IPv6, solamente
aquellos servidores que trabajen con direcciones IPv4 son compatibles.
8 Cules son los componentes que se encargan de validar el estado de conformidad de los
equipos?
Los agentes de mantenimiento del sistema (SHA) y los validadores de mantenimiento del sistema
(SHV) aseguran el cumplimiento.
9 Para qu consola se habilita el seguimiento de NAP?
El seguimiento de NAP se habilita mediante la consola Configuracin del cliente NAP.
10 Cules son los archivos de log que utiliza NAP?
Los archivos IASNAP.log y IASSAM.log permiten supervisar el comportamiento de NAP.

Poseer nociones acerca del uso de cuotas en la administracin del sistema.
2. Objetivos
Implementar el rol FSRM que permite gestionar cuotas.
Implementar un filtrado a nivel de extensiones de archivos.
Instalar y configurar un espacio de nombres DFS.

Introduccin
El sistema de archivos es uno de los aspectos esenciales en una empresa, que evoluciona de manera
cotidiana. Mal administrado, este sistema puede volverse, rpidamente, indomable.
Visin general del rol FSRM
FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que
permiten gestionar y controlar distintos tipos de datos. Ofrece al administrador la posibilidad de
implementar cuotas o filtros de archivos. Tambin es posible utilizar informes muy completos con el
objetivo de obtener informacin muy precisa (uso de cuotas). El informe que indica qu archivos son
los menos consumidos puede ayudar a implementar una poltica de archivado, el uso de cuotas ayuda
a los administradores a establecer lmites en funcin de las necesidades de cada departamento.
FSRM es un servicio de rol, Servicios de archivo, en Windows Server 2012 R2. Como todo rol o servicio
de rol, su instalacin se realiza mediante el Administrador del servidor. La gestin del rol se realiza
mediante la consola instalada en el servidor, aunque tambin es posible realizar su configuracin
mediante PowerShell (mdulo FileServerResourceManager para Windows PowerShell, instalado al
mismo tiempo que FSRM). Los applets de comando PowerShell deben utilizarse en lugar de los
comandos dirquota o filescrn. stos, utilizados en versiones anteriores, estn todava
presentes en Windows Server 2012 R2 aunque se recomienda, no obstante, no utilizarlos.
La consola FSRM permite, a su vez, gestionar de manera remota otro servidor que albergue este rol.
Esta accin requiere respetar ciertos requisitos previos:
Ambos servidores deben ejecutar, como mnimo, Windows Server 2008 R2.
Debe habilitarse la excepcin Administracin del Administrador de recursos del servidor de

archivos remoto en el firewall.
Debe estar autorizado el trfico de llamada a procedimiento remoto (RPC) entre ambos
servidores.
Administracin del servidor de archivos mediante FSRM
Esta seccin detalla las distintas herramientas contenidas en FSRM.
1. Gestin de las cuotas

Una cuota es un elemento que permite limitar el espacio asignado a cada usuario, lo que permite
evitar que se sature el espacio de disco. Estas cuotas pueden aplicarse a un volumen o a una
carpeta, adems es posible extender la cuota utilizada a las subcarpetas existentes o a las creadas
a continuacin.
Las cuotas contienen varias propiedades, entre ellas la ruta del recurso sobre el que se aplica. Es
posible definir, a su vez, el espacio mximo autorizado sobre este recurso. Es posible utilizar dos
tipos de cuotas, mxima o de advertencia. Una cuota de advertencia no bloquea al usuario cuando
se alcanza el tamao mximo, aunque es posible enviarle distintas notificaciones. Por el contrario,
las cuotas mximas no permiten utilizar ms espacio del que se ha autorizado, aunque tambin es
posible implementar distintas notificaciones que avisen al usuario. La ejecucin de dichas
notificaciones se realiza cuando se alcanza cierto umbral en el uso del espacio de disco autorizado.
Este valor es un porcentaje y es posible configurar varias notificaciones para una cuota.
Es posible realizar varias acciones para la notificacin:
Envo de un correo electrnico para informar que se est superando un umbral.
Ejecucin de un comando o de un script.
Generacin de un informe.
Agregar un evento en el Visor de eventos.

La creacin de una cuota puede realizarse mediante una plantilla de cuota o no, aunque utilizar un
modelo de cuota permite facilitar las actualizaciones posteriores en cuotas ya creadas. Se
recomienda utilizar plantillas en la mayora de casos posibles. Las cuotas pueden, a su vez,
generarse de manera automtica en caso de que se apliquen de los padres sobre los hijos. Tras la
creacin de stos, se crea una cuota automticamente. Por ltimo, tambin es posible utilizar el
applet de PowerShell New-FSRMQuota.
Las plantillas de cuotas permiten predefinir las distintas notificaciones, el lmite de espacio as como
el tipo (mxima o de advertencia). Es, de este modo, mucho ms sencillo crear nuevas cuotas o
modificar ciertas propiedades. En caso de modificacin de alguna plantilla, se modifica el conjunto de
cuotas derivadas de dicha plantilla. La administracin de esta funcionalidad se ve, de este modo,
mejorada.
Tras la instalacin del rol se crea un conjunto de cuotas por defecto.
La ventana de gestin de cuotas, en la consola FSRM, contiene informacin relativa a su uso, y es

posible consultar, para cada carpeta, subcarpeta o volumen, el uso de cuota. Adems, la generacin
de informes (punto que se aborda ms adelante) permite obtener informacin todava ms precisa.
El informe de uso permite identificar de manera muy rpida los recursos sobre los cuales se est
prximo a alcanzar la cuota. Esto permite advertir al usuario y, de este modo, evitar impactar su
trabajo. El cmdlet de PowerShell Get-FSRMpermite mostrar las cuotas as como sus estadsticas de
uso.
2. Administracin del filtrado de archivos

El filtrado de archivos tiene como objetivo impedir el registro de archivos con cierta extensin (AVI,
por ejemplo). El sistema de filtrado utiliza los grupos de archivos para realizar esta prohibicin.
Estos grupos predefinidos se crean automticamente tras la instalacin del rol, estn presentes la
mayora de extensiones utilizadas. Como con las cuotas, es posible implementar notificaciones.
Existen dos tipos de filtros:
Los filtros activos, que bloquean el registro de un archivo con una extensin prohibida y
generan notificaciones.
Los filtros pasivos, que no bloquean a los usuarios sino que utilizan notificaciones.
Como con toda regla, es posible implementar un filtrado sobre un grupo de archivos (por ejemplo,
archivos de vdeo, etc.). Es posible implementar excepciones para autorizar un tipo predefinido (por
ejemplo, bloquear todas las extensiones del grupo de archivos de vdeo salvo extensiones AVI).
Es posible utilizar el comando PowerShell New-FSRMFileScreen.
Un grupo de archivos est compuesto por archivos a incluir (extensin que se bloquear) y archivos
a excluir (extensin que formar parte de las excepciones, a las que no se aplicar la regla).
Los grupos predefinidos son completamente modificables. Adems, es posible crear nuevos grupos
para dar respuesta a una necesidad concreta. Se recomienda crear plantillas de filtros de archivos
con el objetivo de facilitar la administracin posterior.
Tras la creacin de una plantilla es preciso configurar tres componentes:
El tipo de filtro.
El o los grupos de archivos a bloquear.
Las notificaciones a generar.
3. Los informes de almacenamiento

Se recomienda utilizar informes, pues permiten recuperar informacin muy til. Es posible, por
ejemplo, generar un informe sobre los archivos duplicados o un informe por usuario.
Los informes pueden generarse bajo demanda o bien de manera planificada (una vez al mes, por
ejemplo). Preste atencin, algunos informes requieren cierta configuracin (seleccionar el volumen,
etc.). A continuacin, es necesario seleccionar el formato de salida deseado (XML, HTML, etc.).
Los distintos informes se almacenan, cada uno, en una carpeta propia. Por defecto, la carpeta padre
se configura como StorageReports, presente en la particin de sistema. Es posible, no obstante,
modificar la ubicacin por defecto mediante las opciones del Administrador de recursos del
servidor de archivos (pestaa Ubicaciones de informes).
Cuando se crea la planificacin de un informe es posible hablar de una tarea de creacin de

informes. Esta operacin consiste en indicar los informes que se quieren generar, pero tambin los
distintos parmetros necesarios para dicha creacin (volumen o carpeta afectada).
Si se configura un servidor SMTP es posible solicitar al servidor que enve los distintos informes por
correo electrnico.
Implementar la clasificacin de archivos
Esta funcionalidad, aparecida con Windows Server 2008 R2, consiste en realizar la gestin de archivos
por grupos. Las agrupaciones se realizan mediante atributos. De este modo, algunas etapas de
limpieza o de proteccin pueden automatizarse mediante tareas de gestin.
1. Presentacin de las reglas de clasificacin

Las reglas de clasificacin se crean con el objetivo de atribuir a los distintos archivos propiedades de
clasificacin.
Tras la creacin de una regla, es necesario configurar ciertas propiedades. El mbito de la regla,
configurable desde la pestaa Configuracin, permite indicar el o las carpetas afectadas. Tras su
ejecucin, los objetos se sitan, automticamente, en esta ubicacin (por ejemplo, mover a la
carpeta Direccin un archivo que contiene la palabra "confidencial"). Es, a su vez, preciso configurar
el mecanismo de clasificacin de la regla (pestaa Clasificacin). Existen dos mtodos de
clasificacin que pueden utilizarse:
Clasificacin de carpetas: las propiedades se atribuyen a un archivo en funcin de la ruta de

acceso a la carpeta del archivo.
Clasificacin de contenido: se realiza una bsqueda de cadenas o expresiones en el archivo.

La clasificacin se realiza en funcin de un contenido.
Una vez introducida la informacin, es necesario seleccionar la propiedad atribuida. La

pestaaClasificacin permite especificar esta propiedad, as como su valor.
Por ltimo, las reglas de clasificacin pueden ejecutarse de dos maneras, al inicio o a intervalos
regulares. La segunda solucin ofrece la ventaja de garantizar tener los archivos clasificados
regularmente.
Cuando se utiliza algn mecanismo de clasificacin, el desplazamiento (copia o desplazamiento) de

un archivo de un sistema NTFS hacia otro implica la conservacin de las propiedades de clasificacin.
No obstante, en caso de desplazar algn archivo a un sistema de archivos que no sea NTFS puede
provocar que se pierdan estas propiedades de clasificacin La funcionalidad necesita, como mnimo,
Windows Server 2008 R2, no obstante los archivos de Office conservan su informacin de
propiedades de clasificacin sea cual sea el sistema operativo utilizado. Estas propiedades pueden
consultarse en las propiedades del documento.
Cuando dos reglas de clasificacin entran en conflicto, se adoptan ciertos comportamientos por
defecto con el fin de regular la situacin:
Conflicto en las propiedades S/No: el valor S resulta prioritario.
Conflicto en las listas de ordenacin: la propiedad ms elevada resulta prioritaria.
Conflicto en las opciones mltiples: los juegos de propiedades se combinan.
Algunos archivos de tipo ZIP o VHD no se tienen en cuenta, adems la funcionalidad no tiene la
posibilidad de procesar archivos cifrados.
2. Tareas de administracin de archivos

Una tarea de administracin tiene como objetivo ejecutar operaciones sobre los archivos en funcin
de la propiedad de clasificacin que se les haya atribuido. La seleccin de estos archivos puede
realizarse, tambin, en base a las siguientes propiedades:
Ubicacin
Hora de creacin y de modificacin

Fecha del ltimo acceso
Nombre del archivo
La tarea de expiracin del archivo permite automatizar el "archivado". En efecto, los distintos
archivos que respondan a ciertos criterios se desplazarn automticamente a una carpeta (carpeta
de expiracin) definida por el administrador. Tras la ejecucin de la tarea, se crea una carpeta en la
carpeta de expiracin, y los archivos se desplazan manteniendo la arquitectura inicial: si el archivo
est presente en la carpeta Docs, entonces se mantiene dicha estructura en la carpeta de
expiracin. Tambin es posible ejecutar comandos cuando se produce la expiracin. La ejecucin
puede realizarse mediante archivos ejecutables, de tipo script El objetivo de esta accin es
automatizar alguna operacin sobre uno o varios archivos.
El sistema DFS
DFS es un sistema que facilita la administracin de un sistema de archivos. Ofrece, a la empresa, una
tolerancia a fallos redirigiendo a los usuarios a otro servidor en caso de producirse algn error. El
acceso a un recurso compartido se realiza, obligatoriamente, mediante una ruta UNC
(\\NombreDeServidor\NombreDeRecursoCompartido). En caso de remplazar un servidor de archivos es
necesario proceder a la actualizacin de todos los nombres. Esta etapa puede resultar, en ciertos
casos, muy costosa. Un espacio de nombres DFS permite, en tal caso, facilitar la tarea del
administrador, pues la ruta UNC no contiene el nombre del servidor afectado. La replicacin DFS
complementa a la solucin replicando los datos en otros servidores. De este modo, se asegura la
tolerancia a fallos.
Tras la instalacin del rol DFS es posible seleccionar dos servicios de rol.
Espacio de nombres o DFS-N: permite instalar la consola y las herramientas necesarias para
la administracin del espacio de nombres.
Replicacin DFS o DFS-R: instala un motor de replicacin multimaestro que permite replicar las
distintas carpetas contenidas en el espacio de nombres. La replicacin puede planificarse con
un uso del ancho de banda distinto en funcin de la hora. Adems, es posible implementar la
compresin diferencial remota para replicar nicamente la parte de un archivo que se haya
modificado desde la ltima replicacin. La replicacin no est, obligatoriamente, vinculada con
el espacio de nombres, por lo que puede funcionar de manera autnoma sin problema alguno.
1. Presentacin del espacio de nombres DFS

Un espacio de nombres simplifica la gestin de un sistema de archivos representando, de manera
virtual, los recursos compartidos de red. Este espacio de nombres puede ser de tipo autnomo o
estar basado en un dominio (se apoya, en tal caso, en Active Directory).
Espacio basado en un dominio
Este tipo de espacio de nombres simplifica la alta disponibilidad. En efecto, no es

necesarioclusterizar los servidores con este tipo de espacio de nombres. La ruta UNC est
compuesta por un nombre de dominio Active Directory ms el nombre del espacio de nombres (por
ejemplo: \\Formacion.local\DocsFormacion).
Existen dos modelos disponibles: Windows 2000 o Windows Server 2008, este ltimo ofrece la
posibilidad de utilizar ABE (Access Based Enumeration, enumeracin basada en el acceso) as como
de aumentar el nmero de destinos de la carpeta (posibilidad de tener hasta 50.000 destinos de
carpeta). ABE ofrece la ventana de mostrar nicamente las carpetas a las que el usuario tiene
acceso.
No obstante, la seleccin del modo Windows Server 2008 supone respetar los siguientes requisitos
previos:
Nivel funcional del bosque igual a Windows Server 2003 o superior.
Nivel funcional del dominio igual a Windows Server 2008.
Todos los servidores de espacios de nombres deben ejecutar Windows Server 2008.
Espacio de nombres autnomo
Este tipo de espacio de nombres se utiliza, por lo general, cuando la empresa no posee un dominio
Active Directory. La alta disponibilidad se asegura mediante un clster de conmutacin por error.
2. La replicacin DFS
La replicacin DFS es un mecanismo que permite replicar las distintas carpetas sobre uno o varios
servidores. Este tipo de replicacin ofrece la ventaja de utilizar la compresin diferencial remota, que
es un protocolo de tipo cliente-servidor que permite la deteccin de las modificaciones
(agregar/quitar/modificar) operadas sobre un archivo con el objetivo de replicar nicamente este
bloque de datos modificados. Este protocolo se utiliza en archivos con un tamao mnimo de 64 KB.
Tras la replicacin, se crea una carpeta intermedia, con una copia comprimida del archivo, y a
continuacin se enva el archivo. El servidor que recibe los datos almacena, a su vez, el archivo en
una carpeta intermedia. Cuando se termina la descarga el archivo se descomprime y, a continuacin,
se ubica en la carpeta adecuada. Estas carpetas temporales estn presentes, por lo general, en
DFSrPrivate\Staging.
En caso de producirse algn conflicto en la replicacin, la persona que ha realizado la ltima

modificacin aporta los cambios. Si el conflicto afecta al nombre del archivo, el primer usuario que
realiza la modificacin aporta los cambios. Se produce una copia de los archivos que han "perdido en
la resolucin del conflicto" en la ruta DFSrPrivate\ConflictandDeleted.
3. Funcionamiento del espacio de nombres

Para facilitar la compresin del funcionamiento del espacio de nombres, vamos a estudiar un
ejemplo.
Un usuario llamado Nicols trabaja en la sede de la empresa Formacion. La empresa est

compuesta por una sede social en Madrid as como una agencia en Valencia. Los usuarios utilizan el
espacio de nombres para acceder a los distintos recursos compartidos.
El equipo cliente del usuario contacta al servidor del espacio de nombres (1) que le enva una lista
ordenada (en funcin de los criterios configurados por los administradores) de los servidores que
contienen carpetas compartidas (destinos de carpeta) a los que el usuario puede acceder. El equipo
cliente intenta acceder al primer servidor (2) de la lista (los dems se contactan nicamente si el
primer servidor est en fuera de servicio).
En la etapa 2, el usuario tiene la posibilidad de acceder a los dems servidores puesto que se ha
implementado la replicacin entre los dos servidores.
4. La desduplicacin de datos
Windows Server 2012 R2 ofrece la posibilidad de habilitar la desduplicacin de datos. Esta
funcionalidad no puede utilizarse en una particin de sistema. El objetivo de esta funcionalidad es
optimizar el espacio de disco. De este modo, un bloque idntico en varios archivos se almacena una
nica vez.
La desduplicacin de datos ofrece varias ventajas, entre ellas la optimizacin del espacio en disco,
cuyo consumo se ve reducido.
La primera etapa de la implementacin es la instalacin de la funcionalidad. sta puede realizarse

mediante la consola Administrador del servidor.
En esta consola, haga clic en el enlace Agregar roles y caractersticas y, a continuacin, seleccione
el servicio de rol Desduplicacin.
Es, a su vez, posible realizar la instalacin mediante el comando PowerShell:
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
A continuacin, es necesario habilitar la funcionalidad en el volumen deseado. Esta etapa puede

realizarse mediante la interfaz grfica.
En el Panel, seleccione Servicios de archivos y almacenamiento.
Seleccione Volmenes y, a continuacin, haga clic con el botn derecho en el volumen deseado
(todos, salvo el volumen del sistema).
Haga clic en Configurar desduplicacin de datos.
Marque la opcin Habilitar desduplicacin de datos y, a continuacin, configure las opciones

como desee.
Como con la instalacin, la etapa de activacin puede realizarse por lnea de comandos:
Enable-DedupVolume D:
5. Escenarios DFS
El sistema DFS permite trabajar con varios escenarios.
Comparticin de archivos entre distintas sedes
Los archivos se intercambian entre dos o ms sitios de la empresa. Esta solucin permite realizar
una replicacin bidireccional que asegura tener todos los servidores actualizados. Adems, las
personas en itinerancia de un sitio tienen un acceso a los distintos archivos de forma ms sencilla.
Observe que las modificaciones se replican nicamente cuando se cierra un archivo.
Este escenario no se recomienda para archivos de tipo base de datos o archivos abiertos durante
un gran periodo de tiempo (por ejemplo, un archivo Excel de seguimiento en produccin que est
abierto durante todo el da por parte del equipo de servicio en produccin).
Recopilacin de datos
El escenario de recopilacin de datos consiste en recuperar los datos de un sitio para replicarlos en
otro sitio. La replicacin es de tipo unidireccional. Puede consistir en replicar los datos en un sitio
concentrador con el objetivo de poder realizar una copia de seguridad.
De este modo, los datos estn presentes en ambos sitios, lo que permite una tolerancia a fallos en
caso de ocurrir cualquier problema en el primer servidor, con un coste hardware menor en los sitios
remotos (ya no es necesario realizar una copia de seguridad de los archivos en cada sede puesto
que se consolidan en el sitio central).
Publicacin de datos
Esta solucin consiste en replicar los documentos en varios servidores (por ejemplo, un archivo de
catlogo que se replica desde la sede matriz hacia el conjunto de agencias regionales).
De este modo, cada departamento comercial puede acceder a los archivos de catlogo en su
servidor local.
Configuracin del espacio de nombres
La configuracin de un espacio de nombres es un conjunto de etapas que consiste en crear el espacio
de nombres, crear las carpetas en el espacio de nombres y, por ltimo, los destinos de estas
carpetas. stas pueden apuntar sobre una carpeta compartida que ya exista o sobre una carpeta
creada y compartida a tal efecto. A continuacin es posible realizar otras operaciones de tipo ABE,
tales como la configuracin del orden de referencias.
1. Implementar el servicio DFS

La primera etapa es la creacin del espacio de nombres. Esta etapa puede ejecutarse mediante el
asistente. Debe indicarse informacin como el tipo de espacio de nombres (autnomo o basado en
un dominio), el modo (Windows 2000, Windows Server 2008) as como el nombre del servidor y el
nombre del espacio de nombres.
A continuacin, es necesario indicar las carpetas, ligadas ellas mismas a uno o varios destinos de
carpeta. Si los usuarios deben acceder por defecto a su servidor local, es necesario tener un destino
por cada sitio.
Hemos visto ms arriba que el servidor provee al cliente una lista ordenada, el administrador tiene
la posibilidad de indicar el orden deseado (servidor del sitio en primer lugar, orden aleatorio, excluir
destinos que estn fuera del sitio del cliente, etc.). Esta etapa se puede configurar en las
propiedades del espacio de nombres.
2. Optimizacin de un espacio de nombres

Adems de las operaciones que consisten en renombrar o desplazar una carpeta creada en el
espacio de nombres, es posible deshabilitar las referencias a una carpeta. Esta etapa consiste en
impedir a un equipo acceder a una carpeta compartida en un servidor. Resulta muy til cuando se
modifican los servidores de archivos y se encuentran en plena migracin. Es posible modificar el
valor de la cach de referencia, cuyo valor es de 5 minutos (300 segundos) por defecto. Este valor
se renueva cuando el equipo utiliza una referencia. Esto permite, por tanto, utilizar la lista de
referencias de forma indefinida.
Con el uso de un espacio de nombres basado en Active Directory, los servidores de dicho espacio de
nombres consultan a Active Directory para obtener los datos ms recientes relativos al espacio de
nombres. Es posible utilizar dos modos:
Optimizar para coherencia: se trata del modo por defecto, consiste en preguntar al
controlador de dominio que posee el rol de Maestro emulador de PDC cuando se realiza
cualquier modificacin del espacio de nombres.
Optimizar para escalabilidad: todos los servidores del espacio de nombres consultan a su
controlador de dominio a intervalos peridicos.
Configuracin y mantenimiento de DFS-R
Una mala replicacin puede generar enormes problemas, por lo que se recomienda asegurar un
correcto funcionamiento de esta funcionalidad.
1. Funcionamiento de la replicacin
Un grupo de replicacin consiste en agrupar un conjunto de servidores que participan en la
replicacin de una o varias carpetas. Tras la creacin del grupo es necesario realizar una eleccin
entre un grupo de replicacin multiuso, que permite realizar una replicacin entre dos servidores
como mnimo (este tipo de grupo puede utilizarse en la mayora de escenarios DFS), y el grupo de
replicacin para la recopilacin de datos, que permite realizar una replicacin de tipo bidireccional
entre dos servidores (por ejemplo, un servidor en la sede matriz y otro en alguna sede
deslocalizada).
Tras la configuracin de la replicacin es necesario seleccionar una topologa. Podemos escoger

entre tres topologas distintas:
Concentrador y radio: esta topologa requiere, como mnimo, tres servidores en el mismo
grupo de replicacin. Esta topologa se utiliza en el escenario de publicacin (envo de un
archivo de un sitio principal hacia sedes regionales).
Malla completa: los miembros realizan replicaciones entre ellos en funcin de las
modificaciones aportadas.
Sin topologa: esta opcin permite realizar la configuracin de la topologa ms adelante.
2. Proceso de replicacin inicial

Tras la configuracin de la replicacin, el asistente solicita un miembro principal. Se trata del servidor
que posee los archivos a replicar ms actualizados. En caso de conflicto, este servidor impone su
autoridad. El inicio de la replicacin inicial no es inmediato, es necesario, previamente, realizar una
replicacin de los parmetros DFS as como de los parmetros de la topologa en el conjunto de los
controladores de dominio. A continuacin, puede comenzar la replicacin inicial entre el miembro
principal y los dems servidores. Tras la recepcin, los archivos presentes en un miembro de
recepcin pero no presentes en el miembro principal se mueven a la carpeta DFSrPrivate\PreExisting
del miembro de recepcin. A continuacin, se suprime la designacin del miembro principal, y el
servidor que posea esta funcin ya no tiene autoridad sobre los dems servidores, y se convierte
en un servidor ms del miembro, al mismo nivel que el resto de servidores.
3. Mantenimiento del sistema de replicacin

DFS provee herramientas que permiten resolver problemas de replicacin DFS. El informe de
diagnstico es una herramienta que permite crear informes de diagnstico. Estos informes permiten
validar tres puntos:
La integridad de la replicacin: permite obtener informes completos acerca de la integridad

y la eficacia de la replicacin.
Prueba de propagacin: necesaria para la generacin de un informe de propagacin, permite

crear un archivo en una carpeta replicada. Esta operacin permite verificar la replicacin.
Informe de propagacin: permite obtener informacin acerca de la propagacin del archivo

de prueba que se ha generado en la prueba de propagacin (esta etapa debe realizarse
previamente). De este modo, el informe ofrece informacin acerca del correcto funcionamiento
de la replicacin.
La herramienta Comprobar topologa permite verificar el estado de la topologa del grupo de

replicacin. Este informe permite obtener informacin acerca de los miembros desconectados.
Es, tambin, posible utilizar el comando dfsrdiag, esta herramienta permite obtener informacin a
nivel del servicio Replicacin DFS.
4. Operaciones sobre la base de datos

La replicacin DFS permite realizar la replicacin de una o varias carpetas de manera ptima.
Utilizada por servidores locales o remotos, es frecuente encontrar esta funcionalidad para la
replicacin de un espacio de nombres o para la carpeta SYSVOL.
El uso del algoritmo de compresin (compresin remota (RDC)) permite optimizar la replicacin. En
efecto, este algoritmo permite detectar los cambios y realiza nicamente la replicacin de los
bloques modificados.
La tasa de transferencia necesaria en la lnea WAN se ve, por tanto, reducida. Con Windows Server
2012 R2 es posible, en lo sucesivo, realizar la exportacin de una base de datos de replicacin DFS
para poder importarla en otros servidores.
De este modo, se reduce el tiempo de instalacin inicial, mejorando el tiempo de la replicacin inicial.
La operacin se realiza mediante el comando de PowerShell Export-DFSrClone. Es posible

realizar la exportacin de los parmetros del archivo de configuracin de volumen as como de la
base de datos.
La importacin se realiza mediante el comando Import-DfsrClone.

Son necesarios algunos requisitos previos para poder realizar una operacin de clonado:
Servicio de replicacin DFS instalado
Una nica operacin de clonado a la vez por servidor
Utilizar una cuenta miembro del grupo Administradores de dominio
Windows Server 2012 R2 ofrece, tambin, una nueva funcionalidad en la gestin de esta base de
datos. En efecto, en lo sucesivo es posible recuperar una base de datos corrupta.
Tras la replicacin inicial, el sistema de replicacin detecta si la base de datos est corrupta. Si fuera
el caso, la base de datos se reconstruye con ayuda de la informacin del registro USN y de los
archivos locales. A continuacin, se asigna a cada archivo un estado replicado igual a normal. El
sistema de replicacin DFS contacta con sus servidores asociados para fusionar las modificaciones.
De este modo, en combinacin con la replicacin, se recuperan las modificaciones ms recientes.
En los sistemas operativos precedentes, una base de datos corrupta desencadenaba una
replicacin DFS para eliminar la base de datos e iniciar una replicacin inicial. De este modo, todos
los archivos en conflicto eran remplazados (copia a la carpeta ConflictAndDeleted o PreExisting).
Esto poda causar prdida de informacin.
Trabajos prcticos: Gestin del servidor de archivos
Estos trabajos prcticos muestran cmo instalar y configurar las funcionalidades que permiten
administrar un sistema de archivos.
1. Instalacin del rol FSRM e implementacin de cuotas

Objetivo: instalacin del servicio de rol Administrador de recursos del servidor de archivos (FSRM).
Arranque la mquina virtual AD1 y, a continuacin, inicie una sesin como administrador de
dominio.
En la consola Administrador del servidor, haga clic en Agregar roles y caractersticas.
En la ventana Seleccione el tipo de instalacin, deje marcada la opcin Instalacin basada en

caractersticas o en roles.
En la ventana de seleccin de servidor de destino, deje la opcin por defecto y haga clic
enSiguiente.
Marque Servicios de archivos y almacenamiento y, a continuacin, Servicios de iSCSI y

archivo.
Marque Administrador de recursos del servidor de archivos y, a continuacin, haga clic en el

botn Agregar caractersticas en la ventana emergente.
Haga clic en Instalar para confirmar la instalacin.
En las Herramientas administrativas, haga doble clic en Administrador de recursos del servidor
de archivos.
Se abre la consola que permite administrar el sistema de archivos.

La administracin del sistema de archivos (creacin de plantillas de cuota, filtrado de archivos,
creacin de informes) se realiza mediante esta consola.
En la consola, despliegue el nodo Administracin de cuotas.
Haga clic con el botn derecho en Plantillas de cuota y, a continuacin, haga clic en Crear
plantilla de cuota.
Escriba Limitacin 100 MB - Data User en el campo Nombre de plantilla.
Deje el lmite en 100 MB y el tipo de cuota en Cuota mxima.
En la zona Umbrales de notificacin, haga clic en el botn Agregar.
La notificacin que se utiliza es la creacin de un evento en el registro de eventos. El

campoEntrada de registro contiene el texto y las variables. Es posible modificar el texto
agregando las variables deseadas.
Al final del campo Entrada de registro, escriba El tamao total de la cuota es de: MB.
Agregue, antes de MB, la variable [Quota Limit MB] seleccionndola de la lista desplegable y, a
continuacin, haga clic en Insertar variable.
Haga clic en Aceptar y, a continuacin, repita la operacin para un umbral de notificacin del
95%.
Ahora es posible agregar cuotas basadas en esta plantilla. Antes de realizar esta operacin, deben
crearse carpetas de usuario.
En la particin D:, cree una carpeta llamada Usuarios.
En la consola Administrador de recursos del servidor de archivos, despliegue la

opcinAdministracin de cuotas.
Haga clic en Cuotas y, a continuacin, en el panel Acciones, haga clic en Crear cuota.
Haga clic en el botn Examinar para seleccionar la carpeta Usuarios en la particin D:.
Seleccione la opcin Aplicar plantilla autom. y crear cuotas en subcarpetas nuevas y

existentes.
Seleccione la plantilla de cuota Limitacin 100 MB - Data user.
Haga clic en Crear.
En la carpeta D:\Usuarios, cree una carpeta llamada jlopez.
Actualice la consola. Aparece la cuota asignada a la carpeta.

Abra una ventana de comandos DOS y, a continuacin, escriba el siguiente comando:
fsutil file createnew d:\usuarios\jlopez\file1.txt 89400000
Es posible descargar el archivo que contiene el comando desde la pgina Informacin.
El comando permite crear un archivo de texto vaco de 85 MB.
Se crea el archivo en la carpeta jlopez con un tamao de 85 MB.
Tras la creacin de este archivo se supera el primer umbral.
Abra el administrador del servidor y, a continuacin, mediante la lista

desplegableHerramientas seleccione Administracin de equipos.
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuacin, haga clic en el
registro Aplicacin.
Aparece un evento con el ID 12325 informando de la superacin del umbral.

Actualice la consola Administrador de recursos del servidor de archivos para actualizar el valor
de consumo de cuota.
Escriba la siguiente instruccin en una ventana de comandos DOS:
fsutil file createnew d:\usuarios\jlopez\file2.txt 16400000
Aparece un mensaje indicando que el espacio en disco es insuficiente. Se ha superado la cuota. Es

imposible, por tanto, crear el archivo.
2. Implementacin de una poltica de filtrado por extensin

Objetivo: bloquear ciertas extensiones no deseadas para evitar que se almacenen archivos de
imagen (por ejemplo, JPG) en el servidor de archivos.
En la consola Administracin de recursos del servidor de archivos, despliegue el

nodoAdministracin del filtrado de archivos.
Haga clic con el botn derecho en Plantilla de filtro de archivos y, a continuacin,

seleccioneCrear plantilla de filtro de archivos.
Escriba Filtrado Data - Users en el campo Nombre de plantilla.
Seleccione Filtrado activo en el tipo de filtrado y, a continuacin, Archivos de imagen entre los
grupos de archivos.
Haga clic en la pestaa Registro de eventos y, a continuacin, marque la opcin Enviar

advertencia al registro de eventos.
Haga clic en Aceptar para validar la creacin de la plantilla.
Haga clic con el botn derecho en Filtrado de archivos y, a continuacin, seleccione Crear filtro
de archivos.
Mediante el botn Examinar, seleccione la carpeta deseada y, a continuacin, la plantilla Filtrado

Data - Users.
Haga clic en el botn Crear. Aparece el filtrado en la consola.
Ejecute el siguiente comando en una ventana de comandos DOS:
fsutil file createnew d:\usuarios\foto.jpg 1000
La escritura de un archivo de tipo imagen est prohibida en D:\usuarios.
Abra el Visor de eventos, despliegue Registro de Windows y, a continuacin, haga clic en el

registro Aplicacin.
El evento con el ID 8215 registra el intento de crear un archivo cuya extensin est prohibida.
fsutil file createnew d:\usuarios\jlopez\foto.jpg 1000
La prohibicin est, tambin, presente en la carpeta D:\usuarios\jlopez.
Es, no obstante, posible autorizar la creacin de archivos de tipo imagen en la subcarpeta jlopez.
Para ello es preciso crear una excepcin al filtro de archivos.
En la consola Administracin de recursos del servidor de archivos, despliegue Administracin

del filtrado de archivos.
Haga clic con el botn derecho en Filtrado de archivos y, a continuacin, haga clic en Crear
excepcin al filtro de archivos.
Mediante el botn Examinar, seleccione la carpeta D:\usuarios\jlopez.
Marque Archivos de imagen en Grupos de archivos.

Haga clic en Aceptar para crear la excepcin.
fsutil file createnew d:\usuarios\jlopez\foto.jpg 1000
Es posible descargar el archivo .bat desde la pgina Informacin.
Es posible crear el archivo. Cualquier usuario podra, no obstante, esquivar el filtro modificando la
extensin del archivo.
3. Uso de los informes de almacenamiento

Objetivo: generar los informes necesarios que permitan auditar el servidor de archivos.
En la consola Administracin de recursos del servidor de archivos, haga clic con el botn
derecho en Administracin de informes de almacenamiento y, a continuacin, haga clic
enGenerar informes ahora.
En los datos del informe, seleccione Uso de cuotas.
Deje el formato de salida en DHTML.

La pestaa mbito permite agregar carpetas al mbito de aplicacin del informe. La
pestaa Entregapermite, por ejemplo, enviarle un informe por correo electrnico.
Haga clic en la pestaa mbito y, a continuacin, en el botn Agregar.
Seleccione la subcarpeta jlopez presente en D:\usuarios y, a continuacin, haga clic en Aceptar.
Marque la opcin para esperar a la generacin de todos los informes y, a continuacin, haga clic
en Aceptar.
Abra la pgina HTML que acaba de crearse.

El informe presenta el uso de cuotas en la carpeta jlopez.
Haga clic con el botn derecho en Administracin de informes de almacenamiento y, a

continuacin, haga clic en Programar una nueva tarea de informes.
En Nombre de informe, escriba Verificacin filtrado + Cuota y, a continuacin, marque

nicamente los informes Auditora de filtrado de archivos y Uso de cuotas.
Haga clic en la pestaa mbito y, a continuacin, en el botn Agregar.
Seleccione, mediante la ventana, la carpeta jlopez presente en D:\usuarios.
Haga clic en la pestaa Programacin, marque el da deseado y programe la hora de ejecucin.

Aparece la planificacin en la consola.
Se crea el informe en la ruta C:\StorageReports\Scheduled.

Los informes permiten obtener de manera muy rpida informacin muy completa sobre un servidor de
archivos. La administracin del servidor de archivos se ve, as, simplificada.
4. Configuracin de la clasificacin
Objetivo: implementar y configurar la clasificacin.
En AD1, cree un grupo de seguridad llamado Consultores (grupo de seguridad global). No es

preciso incluir ningn usuario en este grupo.
Abra la consola Administrador de recursos del servidor de archivos.
Despliegue el nodo Administracin de clasificaciones y, a continuacin, seleccione Propiedades

de la clasificacin. Haga clic con el botn derecho sobre este nodo y, a continuacin, seleccione
la opcin Crear propiedad local.
Escriba Confidencial en el campo Nombre y, a continuacin, haga clic en Aceptar.

Haga clic con el botn derecho en el nodo Reglas de clasificacin y, a continuacin, en el men
contextual, seleccione Crear regla de clasificacin.
En el campo Nombre de la regla escriba Nombre Confidencial y, a continuacin, haga clic en la

pestaa mbito.
Cree una carpeta en la particin C: con el nombre Archivos comunes.
Vuelva al asistente que permite crear la regla de clasificacin y, a continuacin, en la

pestaambito, haga clic en el botn Agregar y seleccione la carpeta que acaba de crear.
Seleccione la pestaa Clasificacin y, a continuacin, en la lista desplegable Mtodo de

clasificacin, seleccione Clasificador de contenido.
Verifique la presencia de la propiedad Confidencial en la lista desplegable Elija una propiedad
para asignar a los archivos.
Haga clic en el botn Configurar y, a continuacin, en la lista desplegable Tipo de expresin,

seleccione Cadena.
Escriba Confidencial en el campo Expresin.
Haga clic dos veces en Aceptar.
Seleccione el nodo Tareas de administracin de archivos y, a continuacin, seleccione Crear

tarea de administracin de archivos.
Escriba Restriccin a nivel confidencial en el campo Nombre de tarea.
Seleccione la pestaa mbito y, a continuacin, mediante el botn Agregar, seleccione la

carpetaC:\Archivos comunes.
Haga clic en la pestaa Accin y, a continuacin, en la lista desplegable Tipo,

seleccioneExpiracin de archivo.
Cree una carpeta en la particin C: con el nombre Confidencial.
Con ayuda del botn Examinar, seleccione la carpeta Confidencial.

Seleccione la pestaa Condicin y, a continuacin, haga clic en el botn Agregar.
Configure la ventana como se indica a continuacin:
Propiedad: Confidencial
Operador: Existe
Haga clic en Aceptar y, a continuacin, seleccione el da deseado en la pestaa Planificacin.
Haga clic en Aceptar para crear la tarea de administracin.
Abra el Bloc de notas y, a continuacin, escriba ste es un archivo confidencial.
Guarde el archivo con el nombre Texto1.txt en la carpeta C:\Archivos comunes en AD1.

Repita la operacin para crear otro archivo, esta vez con el nombre Texto2.txt. Su contenido ser
idntico al de Texto1.
Si no se ha configurado ninguna planificacin, haga clic con el botn derecho en la tarea de

administracin de archivos con el nombre Restriccin a nivel confidencial y, a continuacin, en el
men contextual, seleccione la opcin Ejecutar tarea de administracin de archivos ahora.
Seleccione la opcin Ejecutar la tarea en segundo plano (recomendado) y, a continuacin, haga

clic en Aceptar.
Comprobar que los archivos se han movido, correctamente, a la carpeta Confidencial. Es posible
observar cmo se ha respetado la estructura de su anterior ubicacin.
Planificando esta accin de manera regular, garantizaremos una clasificacin correcta de los archivos.
5. Instalacin y configuracin del servidor DFS

Objetivo: instalar y configurar un espacio de nombres DFS.
Mquinas virtuales: AD1 y SV1
Inicie una sesin como administrador en AD1 y SV1.

y caractersticas.
En la ventana Seleccione el tipo de instalacin, deje la opcin por defecto y, a continuacin,

Haga clic en Siguiente en la ventana de seleccin del servidor de destino.
Despliegue los roles Servicios de archivos y almacenamiento y, a continuacin, Servicios de

iSCSI y archivo.
Marque Espacios de nombres DFS y Replicacin DFS y, a continuacin, haga clic en Agregar
funcionalidades en la ventana emergente.
Valide haciendo clic en Siguiente.
Haga clic en Siguiente en la ventana Seleccionar funcionalidades y, a continuacin, en Instalar.
Haga clic en Cerrar al finalizar la instalacin y, a continuacin, repita la misma operacin con el
servidor SV1.
En AD1, haga clic en Administracin de DFS en las Herramientas administrativas.
Haga clic en Nuevo espacio de nombres (panel Acciones) en la consola que acaba de abrir.
Mediante el botn Examinar en la ventana Servidor de espacio de nombres, seleccione ad1 y, a

En el campo Nombre del espacio de nombres, escriba DocsFormacion.
Haga clic en el botn Editar configuracin.
Este men permite configurar la ruta de acceso local a la carpeta compartida y, tambin, sus
permisos.
En la zona Permisos de la carpeta compartida, haga clic en el botn de radio que autoriza a los
administradores con permisos de control total y, a los dems usuarios, con permisos de
lectura/escritura.
En la ventana Tipo de espacio de nombres, deje la configuracin por defecto y pulse

enSiguiente.
Habilitando el modo Windows Server 2008 se habilitan funcionalidades suplementarias tales

como la enumeracin basada en el acceso.
Haga clic en Crear para iniciar la creacin.
Si no aparece ningn error, cierre el asistente.
Despliegue el nodo Espacios de nombres y, a continuacin, seleccione el espacio de nombres y

haga clic en la pestaa Servidores de espacio de nombres.
En el panel Acciones, haga clic en Agregar servidor de espacio de nombres.
Mediante el botn Examinar, seleccione el servidor SV1.
Haga clic en el botn Editar configuracin.
En Permisos de carpeta compartida, haga clic en la opcin que autoriza a los administradores
con permisos de control total y a los dems usuario con permisos de lectura/escritura y, a
continuacin, haga clic dos veces en Aceptar.
Se ha agregado el servidor al espacio de nombres.
Haga clic en la pestaa Espacio de nombres y, a continuacin, en Nueva carpeta en el

panelAcciones.
Escriba Carpeta RRHH en el campo Nombre y, a continuacin, haga clic en Agregar.
En la ventana Agregar destino de carpeta, haga clic en Examinar.
Haga clic en Nueva carpeta compartida.
En Nombre del recurso compartido escriba RRHH y, a continuacin, mediante el botnExaminar,

cree una carpeta compartida en D: con el nombre DocsRRHH.
Haga clic en Aceptar y, a continuacin, marque la opcin Los administradores tienen acceso
total; otros usuarios tienen permisos de lectura/escritura.
Haga clic en Aceptar para validar todas las ventanas.
Haga clic, de nuevo, en Nueva carpeta.
En el campo Nombre escriba Secretara y, a continuacin, haga clic en Agregar.
En la ventana Agregar destino de carpeta, haga clic en Examinar.
Haga clic en Examinar en la ventana Buscar carpetas compartidas.
Escriba SV1 y valide la seleccin haciendo clic en Comprobar nombres, a continuacin haga clic
en Aceptar.
Haga clic en Mostrar carpetas compartidas y, a continuacin, en DocsFormacion.
Cree una nueva carpeta llamada Secretara repitiendo el mismo procedimiento.
Valide las ventanas haciendo clic en Aceptar.
Se muestran en la consola las dos carpetas. Existe un acceso a \\formacion.local\DocsFormacion que

permite acceder a sus carpetas sin tener por qu conocer el servidor sobre el que estn ubicados.
Las dos carpetas presentes en el espacio de nombres se encuentran en dos servidores separados.
Es til activar la replicacin DFS para asegurar la disponibilidad de los datos.
6. Configuracin de la replicacin
Objetivo: implementar la replicacin DFS entre dos servidores.
Mquinas virtuales: AD1 y SV1.
En la consola Administracin DFS, haga clic en el nodo Replicacin y, a continuacin, en Nuevo

grupo de replicacin en el panel Acciones.
En la ventana que permite escoger el tipo de grupo, seleccione Grupo de replicacin

multipropsito y, a continuacin, haga clic en Siguiente.
En Nombre del grupo de replicacin, escriba Grupo RRHH y, a continuacin, valide haciendo clic
en Siguiente.
Debe agregar los servidores AD1 y SV1. Para realizar esta operacin, haga clic en el
botnAgregar.
Seleccione el tipo de topologa Malla completa y, a continuacin, haga clic en Siguiente.
Es posible planificar o limitar el ancho de banda para evitar crear un cuello de botella.
Deje la opcin por defecto en la ventana Programacin del grupo de replicacin y ancho de
banda y, a continuacin, haga clic en Siguiente.
En la lista desplegable que permite escoger el Miembro principal, seleccione AD2 y, a

Es preciso, a continuacin, seleccionar las carpetas que se quieren replicar.
Haga clic en el botn Agregar.
En la ventana Carpetas que se replicarn, haga clic en Examinar y, a continuacin, seleccione la

carpeta DocsRRHH.
Valide haciendo clic en Aceptar y, a continuacin, haga clic en Siguiente.

En la ventana Ruta de acceso local de DocsRRHH en otros miembros, haga clic en el
botnEditar.
Escoja la opcin Habilitada y, a continuacin, haga clic en Examinar.
Cree una nueva carpeta llamada DocsRRHH en la particin C: del servidor SV1.
Haga clic en Siguiente y, a continuacin, en Crear.
Si todo queda de color verde, haga clic en Cerrar.

La replicacin puede llevar cierto tiempo.
Repita la misma operacin con la carpeta Secretara. El miembro principal es SV1, y el grupo de
replicacin se denominar Grupo Secretara.
Acceda, con ayuda del explorador, a la ruta UNC \\formacion.local\docsformacion.
Cree un archivo de texto llamado CV en Carpeta RRHH y, a continuacin, otro archivo

llamadoContrato en Secretara.
Verifique la presencia de ambos archivos en las carpetas Carpeta RRHH y Secretara de ambos
servidores.
Se ha realizado la replicacin y los archivos estn replicados.
Uso de informes
Haga clic en el grupo de replicacin Grupo RRHH y, a continuacin, en el panel Acciones haga clic
en Crear informe de diagnstico.
Seleccione la opcin Prueba de propagacin y, a continuacin, haga clic en Siguiente.

Deje los valores por defecto y, a continuacin, haga clic en Siguiente.
Haga clic en el botn Crear para iniciar la operacin.
Si no ocurre ningn error, haga clic en Cerrar.
Haga clic en el grupo de replicacin Grupo RRHH y, a continuacin, en el panel Acciones haga clic
en Crear informe de diagnstico.
Seleccione la opcin Informe de propagacin.
En la ventana de las opciones del informe, haga clic en Siguiente.
La ventana Ruta de acceso de informe permite seleccionar la carpeta que va a contener el informe.
Deje la ruta por defecto y, a continuacin, haga clic en Siguiente.
Haga clic en Crear para iniciar la operacin de creacin. El informe se ejecuta al finalizar el
asistente.
Los informes permiten no slo asegurar el buen funcionamiento del espacio de nombres DFS sino
tambin la replicacin. Puede resultar til planificar la creacin de estos informes.
1. Preguntas
1 Qu permite realizar FSRM?
2 Para qu puede servir un informe que indique los archivos abiertos con menor frecuencia?
3 Qu mdulo PowerShell permite realizar la configuracin del rol FSRM?
4 Qu es una cuota?
5 A qu se puede aplicar una cuota?
6 Cul es la diferencia entre una cuota mxima y una cuota de advertencia?
7 Cules son las distintas notificaciones que es posible utilizar?
8 Por qu conviene utilizar una plantilla de cuota?
9 Qu applet PowerShell permite obtener informacin acerca de las cuotas?
10 Cul es el objetivo del filtrado de archivos?
11 Cmo se agrupan las extensiones cuya ejecucin debe bloquearse?
12 Cules son los distintos tipos de filtros que es posible implementar?
13 Qu applet PowerShell permite implementar un filtrado de archivos?
14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. Cul es la utilidad de los
archivos a excluir?
15 Nombre los formatos de informes que es posible utilizar.
16 Cul es el nombre de la carpeta padre que contiene los informes?
17 Qu permite hacer la funcionalidad DFS?
18 Cul es el objetivo de la replicacin DFS?
19 Es posible utilizar la replicacin DFS sin instalar el espacio de nombres DFS?
20 Cules son los dos tipos de espacios de nombres que es posible configurar?
21 Qu aporta el modo Windows Server 2008?
22 Qu es ABE?
23 Qu niveles funcionales son necesarios para implementar el modo Windows Server 2008?
24 Qu ventaja supone utilizar la compresin diferencial remota?
25 Cul es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted?
26 Cul es el objetivo de la desduplicacin de datos?
27 Es posible utilizar la desduplicacin sobre una particin de sistema?
28 Cmo se realizan las operaciones de exportacin y de importacin de la base de datos?
29 Es necesario instalar el servicio de replicacin DFS para asegurar la alta disponibilidad en un

espacio de nombres DFS?
2. Resultados
3. Respuestas
1 Qu permite realizar FSRM?
FSRM (Administrador de recursos del servidor de archivos) es un conjunto de herramientas que

permiten administrar y controlar distintos tipos de datos.
2 Para qu puede servir un informe que indique los archivos abiertos con menor frecuencia?
El informe que indica los archivos abiertos con menor frecuencia puede resultar muy til para
implementar una estrategia de archivado. Este informe permite archivas aquellas carpetas menos
abiertas.
3 Qu mdulo PowerShell permite realizar la configuracin del rol FSRM?
El mdulo FileServerResourceManager permite configurar el rol FSRM.
4 Qu es una cuota?
Una cuota es un elemento que permite limitar el espacio asignado para cada usuario.
5 A qu se puede aplicar una cuota?
Es posible aplicar una cuota a un volumen o, simplemente, a una carpeta. Adems, es posible
aplicar automticamente la cuota a las subcarpetas.
6 Cul es la diferencia entre una cuota mxima y una cuota de advertencia?
Una cuota de advertencia permite al usuario superar el lmite impuesto, aunque se realizan las
distintas notificaciones implementadas. Una cuota mxima, por el contrario, impide al usuario
superar el lmite impuesto.
7 Cules son las distintas notificaciones que es posible utilizar?
Una vez implementada una cuota es posible configurar varios tipos de notificaciones. Es posible
enviar un correo, ejecutar un comando, agregar un evento en el visor de eventos o, simplemente,
generar un informe.
8 Por qu conviene utilizar una plantilla de cuota?
Una plantilla de cuota facilita el hecho de aportar posibles actualizaciones a las cuotas. Realizando
una modificacin sobre la plantilla, el conjunto de cuotas generadas a partir de la misma reciben, a
su vez, la actualizacin.
9 Qu applet PowerShell permite obtener informacin acerca de las cuotas?
Para obtener informacin acerca de las cuotas es preciso utilizar el applet PowerShell Get-FSRM.
10 Cul es el objetivo del filtrado de archivos?
El filtrado de archivos tiene como objetivo impedir la ejecucin de archivos con determinadas
extensiones.
11 Cmo se agrupan las extensiones cuya ejecucin debe bloquearse?
La funcionalidad Filtrado de archivos utiliza grupos de archivos con el objetivo de agrupar un

conjunto de extensiones a bloquear.
12 Cules son los distintos tipos de filtros que es posible implementar?
Es posible implementar filtros activos que impiden la ejecucin del archivo cuya extensin est
prohibida, o filtros pasivos que simplemente realizan notificaciones, dejando que se ejecute el
archivo.
13 Qu applet PowerShell permite implementar un filtrado de archivos?
Es posible utilizar el comando PowerShell New-FSRMFileScreen para implementar filtros.
14 Un grupo de archivos contiene archivos a incluir y archivos a excluir. Cul es la utilidad de los
archivos a excluir?
Los archivos a excluir permiten determinar las extensiones de archivos que no se bloquearn.
15 Nombre los formatos de informes que es posible utilizar.
Existen varios formatos que es posible configurar tras la generacin de un informe. Entre otros,
encontramos los formatos DHTML, HTML, XML, CSV, Texto.
16 Cul es el nombre de la carpeta padre que contiene los informes?
Los informes se crean en la carpeta StorageReports presente en la particin del sistema.
17 Qu permite hacer la funcionalidad DFS?
DFS es un sistema que facilita la administracin de un sistema de archivos. Ofrece, a una

empresa, una tolerancia a fallos redirigiendo a los usuarios hacia otro servidor en caso de
producirse algn error grave.
18 Cul es el objetivo de la replicacin DFS?
La replicacin DFS tiene como objetivo replicar los datos de un servidor a otro.
19 Es posible utilizar la replicacin DFS sin instalar el espacio de nombres DFS?
S, es posible utilizar la replicacin DFS sin tener que configurar un espacio de nombres DFS.
20 Cules son los dos tipos de espacios de nombres que es posible configurar?
Tras la configuracin del espacio de nombres, es preciso seleccionar los tipos de espacio de
nombres deseados. Existen dos opciones posibles, los espacios de nombres basados en un dominio
y los que son autnomos.
21 Qu aporta el modo Windows Server 2008?
El modo Windows Server 2008 aporta nuevas funcionalidades tales como ABE, aunque tambin
tienen la posibilidad de tener varios destinos de carpeta.
22 Qu es ABE?
ABE, o Access Based Enumeration, permite mostrar nicamente aquellas carpetas sobre las que el
usuario tiene acceso.
23 Qu niveles funcionales son necesarios para implementar el modo Windows Server 2008?
El modo Windows Server 2008 requiere, como mnimo, un nivel funcional Windows Server 2003 a
nivel del bosque y un nivel Windows Server 2008 a nivel del dominio.
24 Qu ventaja supone utilizar la compresin diferencial remota?
La compresin diferencial remota permite replicar nicamente las modificaciones aportadas.
25 Cul es el objetivo de la carpeta DFSrPrivate\ConflictandDeleted?
Esta carpeta contiene los archivos que presentaron algn conflicto y lo "perdieron", tras la
resolucin del mismo.
26 Cul es el objetivo de la desduplicacin de datos?
El objetivo de esta funcionalidad es optimizar el espacio en disco. De este modo, un bloque idntico
contenido en varios archivos se almacena una nica vez.
27 Es posible utilizar la desduplicacin sobre una particin de sistema?
No, es imposible utilizar la desduplicacin en una particin de sistema, solo puede aplicarse en una
particin de datos.
28 Cmo se realizan las operaciones de exportacin y de importacin de la base de datos?
Las operaciones de importacin y de exportacin de la base de datos se realizan mediante cmdlets

de PowerShell. Para realizar la operacin de exportacin, se utiliza Export-DFSrClone, la importacin
se opera con Import-DfsrClone.
29 Es necesario instalar el servicio de replicacin DFS para asegurar la alta disponibilidad en un

espacio de nombres DFS?
S, el servicio de replicacin DFS es un requisito previo.

Poseer nociones acerca de los certificados digitales.
Conocer el principio de funcionamiento de una auditora.
2. Objetivos
Descripcin del sistema EFS.
Mantenimiento y administracin de EFS.
Implementacin y resolucin de problemas del sistema de auditora.

Introduccin
La seguridad de los archivos y las carpetas es un aspecto esencial en los tiempos actuales. Existen
varios mecanismos de seguridad, y cada uno responde a una necesidad de seguridad diferente.
Junto a estos mecanismos, es posible implementar un sistema de auditora que permita disuadir las
tentativas de realizar una intrusin y auditar las modificaciones realizadas sobre un directorio Active
Directory
Presentacin de EFS
La funcionalidad EFS est presente en los sistemas operativos de cliente y de servidor desde hace
varios aos. No obstante, es necesario comprender su mecanismo de funcionamiento antes de
proceder a su implementacin para que sea correcto.
1. Funcionamiento de EFS
EFS (Encryption File System) permite cifrar los archivos para dotar de seguridad a sus accesos. Es, no
obstante, necesario almacenar estos archivos en una particin de tipo NTFS. No es preciso poseer
permisos de administracin para realizar el cifrado, cualquier usuario puede cifrar los archivos locales
o los que se encuentran en una carpeta compartida de red sin accin por parte de un administrador.
Para realizar este cifrado es preciso acceder a las propiedades de la carpeta o del archivo deseado.
En la pestaa General de las propiedades de la carpeta o del archivo, haga clic en Opciones
avanzadas y, a continuacin, marque la opcin Cifrar contenido para proteger datos.
Se utiliza un certificado para el cifrado y descifrado de los datos.

A continuacin, slo las personas autorizadas tienen la posibilidad de descifrar y acceder al archivo.
En caso de una persona no autorizada, aparece un mensaje que indica que se rechaza el acceso.
Implementando EFS, un usuario puede poseer autorizaciones NTFS sobre el archivo pero recibir un
mensaje de Acceso denegado. En efecto, es necesario autorizar al usuario a descifrar el archivo y,
adems, otorgarle autorizacin NTFS.
Por defecto, se asigna un certificado autofirmado al usuario que inicia el cifrado. Un par de claves
permiten realizar el cifrado y el descifrado se le provee sin que el usuario tenga que intervenir. Para
facilitar la gestin de los certificados, es posible utilizar certificados emitidos por una entidad de
certificacin. Preste atencin, esto requiere una administracin algo ms pesada puesto que es
necesario administrar la entidad y gestionar la copia de seguridad / restauracin de dicho servidor.
EFS utiliza un sistema de cifrado simtrico y asimtrico. Se utiliza una clave simtrica para realizar el
cifrado de los archivos y, por tanto, protegerlos contra cualquier ataque, la clave pblica (cifrado
asimtrico) permite cifrar la clave simtrica necesaria para el descifrado de los archivos. Es, por
tanto, imposible acceder a los archivos sin poseer la clave privada del usuario.
El cifrado asimtrico utiliza dos claves: una clave pblica y una clave privada. La clave pblica
permite cifrar los archivos mientras que la clave privada permite descifrarlos. El cifrado simtrico
utiliza, por su parte, la misma clave para cifrar y descifrar la informacin, resultando mucho ms
rpido que el cifrado asimtrico. El inconveniente principal es relativo a la seguridad, cualquier pirata
que consiga interceptar la clave simtrica puede descifrar el archivo. De este modo, con el sistema
EFS, el usuario recibe un certificado con las claves privada y pblica, slo los usuarios que poseen el
certificado tendrn la posibilidad de acceder al archivo.
2. Recuperacin de un archivo cifrado
La prdida de la clave privada puede resultar problemtica, en efecto es imposible, para un usuario,
descifrar su propio archivo. Resulta, por tanto, necesario implementar los procedimientos adecuados
para responder a este tipo de problemticas propias del cifrado.
Existen varias soluciones que permiten evitar la prdida del conjunto de datos cifrados:
Realizar una copia de seguridad del certificado digital. En caso de prdida del certificado,
tras la reinstalacin de un equipo, por ejemplo, o tras producirse un error en el sistema de
informacin es posible restablecer el certificado. Es, a su vez, posible restablecer el
certificado en el perfil del administrador, el cual podr descifrar los archivos. Si muchos
usuarios utilizan esta solucin puede resultar bastante complejo gestionarla.
Uso de un agente de recuperacin. Este agente es una cuenta a la que se le atribuyen

permisos para descifrar todos los archivos cifrados mediante EFS. Por defecto, la cuenta
Administrador de dominio posee este rol. Es posible delegar este rol a algn otro usuario
mediante las directivas de grupo. Este usuario se agrega automticamente a los nuevos
archivos cifrados, en los que ya estuvieran cifrados la actualizacin se realiza ms adelante
cuando se vuelve a guardar (tras una modificacin, por ejemplo).
Para realizar una copia de seguridad del certificado, es necesario exportarlo con la clave
privada.
El rol Agente de recuperacin puede asignarse a un usuario mediante una directiva de grupo, para
ello es preciso acceder a la ruta Configuracin del equipo\Directivas\Configuracin de
Windows\Configuracin de seguridad\Directivas de clave pblica\Sistema de archivos EFS
(Encrypting File System).
El administrador se considera, por defecto, como un agente de recuperacin.

Configuracin de la auditora
Los registros de auditora permiten almacenar ciertas acciones realizadas por los usuarios. Estos
registros pueden visualizarse en el registro de eventos de Seguridad.
1. Visin general de la poltica de auditora

Una directiva de auditora permite al administrador supervisar ciertas acciones (inicio de sesin,
modificacin de una cuenta de Active Directory, acceso a un archivo). Es preciso, no obstante,
realizar la configuracin correspondiente para habilitar la auditora.
Las directivas de auditora se configuran mediante las directivas de grupo en Configuracin del
equipo, despliegue los nodos Directivas\Configuracin de Windows\Configuracin de
seguridad\Directivas locales y, a continuacin, Directivas de auditora.
Una vez realizada la configuracin deseada es necesario realizar las autorizaciones

correspondientes en la SACL (System Access Control List) del objeto auditado.
Es posible habilitar varios tipos de configuracin de auditora, entre ellos:
Auditar sucesos de inicio de sesin en cuenta: se genera un evento cada vez que un
usuario o un equipo intenta realizar una autenticacin mediante una cuenta de Active
Directory (inicio de sesin del usuario en el dominio, por ejemplo). Por defecto, solo se
auditan las conexiones con xito.
Auditar sucesos de inicio de sesin: agrega un evento al registro de eventos de seguridad

cuando un usuario intenta acceder a un recurso compartido (directiva de grupo o script sobre
un controlador de dominio, archivo sobre un servidor de archivos). Por defecto, solo se
auditan las conexiones con xito.
Auditar la administracin de cuentas: permite implementar una auditora sobre la gestin de

cuentas de Active Directory (modificacin, eliminacin, restablecer contrasea).
Es habitual encontrar la auditora de los intentos correctos, para los intentos errneos es preciso
configurar el parmetro adecuado. Es vital prestar atencin al nmero de eventos auditados, en
efecto, un nmero importante de auditoras implica un nmero importante de entradas en el registro
de eventos.
2. Definir la configuracin de auditora sobre un archivo o una carpeta

La implementacin de este tipo de configuracin permite auditar los accesos realizados por uno o
varios usuarios sobre un archivo o carpeta. La configuracin se realiza en varias etapas:
Definir la configuracin de auditora: cree una directiva de grupo o modifique alguna

existente y, a continuacin, modifique la configuracin presente en Configuracin del
equipo\Configuracin de Windows\Configuracin de seguridad\Directivas
locales\Directiva de auditora.
Tambin es posible configurar ms parmetros accediendo a Configuracin del
equipo\Configuracin de Windows\Configuracin de seguridad\Configuracin de
directiva de auditora avanzada\Directivas de auditora.
Configurar la lista SACL: una vez realizada la configuracin es preciso configurar la lista
SACL del objeto a auditar (archivo, cuenta AD).
Ejemplo sobre un archivo
Vaya a las propiedades del archivo o de la carpeta y, a continuacin, seleccione la

pestaaSeguridad.
Haga clic en el botn Opciones avanzadas presente en la pestaa Seguridad y, a continuacin,

seleccione la pestaa Auditora.
Haga clic en Agregar y, a continuacin, mediante el enlace Seleccionar una entidad de
seguridad, configure el usuario o grupo deseado.
Seleccione la accin que desea auditar (lectura, escritura) marcando la autorizacin adecuada.
La seleccin Control total permite auditar cualquier accin.

Ejemplo sobre una cuenta de AD
Tras la implementacin de este parmetro es preciso que el usuario, el equipo o el grupo accedan al
recurso para que se cree un evento. Los eventos de auditora de intentos fallidos son ms
importantes que los eventos de auditora correspondientes a intentos con xito, pues permiten
observar intentos de piratera.
Vaya a las propiedades del objeto que debe auditarse y, a continuacin, seleccione la
pestaaSeguridad.
Haga clic en el botn Opciones avanzadas y, a continuacin, vaya a la pestaa Auditora.
Haga clic en Agregar y, a continuacin, mediante el enlace Seleccionar una entidad de

seguridad, configure el usuario o grupo deseado.
Seleccione la accin que desea auditar (lectura, escritura) marcando la autorizacin adecuada.
3. Activacin de la poltica de seguridad

La configuracin de la SACL no habilita la directiva de auditora. Es preciso habilitar la configuracin
de la directiva de grupo, en caso contrario no se registrar ningn evento en el registro de eventos
de Seguridad.
Es preciso aplicar esta configuracin al servidor que contiene el objeto auditado, de modo que la
configuracin que permite auditar las cuentas de Active Directory se aplica sobre un controlador de
dominio mientras que la auditora de modificaciones de archivo se aplica sobre un servidor de
archivos.
Es posible habilitar la auditora desde una directiva local o de dominio, la implementacin se realiza
de la misma forma sea cual sea el parmetro.
Para finalizar, es preciso seleccionar el tipo de auditora deseado (correcto o error).
Recuerde que las auditoras de eventos correctos tienen el inconveniente de crear bastantes
ms eventos.
A continuacin, aparecen registros de eventos en el registro Seguridad. Para acceder abra la

consola Administrador del servidor y, a continuacin, mediante el men Herramientas abra la
consola Visor de eventos.
Se observan dos tipos de eventos: Auditora correcta y Error de auditora. Es importante observar
el campo Detalles, que permite obtener informacin adicional. Se recomienda utilizar filtros o vistas
personalizadas para mostrar nicamente los eventos deseados. Tambin resulta prctico obtener
nicamente los eventos con un ID, un nombre de usuario, etc., definidos.
Las vistas personalizadas se abordan ms adelante en este libro.
4. Poltica de auditora avanzada

Desde Windows Server 2008 R2 es posible implementar polticas de auditora ms especficas. Para
ello, acceda al nodo Configuracin del equipo\Directivas\Configuracin de
Windows\Configuracin de seguridad\Configuracin de directiva de auditora
avanzada\Directivas de auditora que provee muchos ms parmetros que la ruta por defecto. De
este modo, es posible obtener controles ms detallados. Existen diez grupos de parmetros de
directiva de grupo.
Inicio de sesin de cuentas: permite auditar la informacin de inicio de sesin y eventos de

autenticacin mediante el protocolo Kerberos.
Administracin de cuentas: las modificaciones aportadas a una cuenta de usuario, de equipo
o a un grupo pueden ser auditadas mediante este grupo de opciones.
Seguimiento detallado: este parmetro permite implementar auditoras de los eventos de

cifrado, de operaciones sobre los procesos de Windows (parada, etc.).
Acceso DS: se auditan los accesos a los servicios de directorio, este grupo puede, a su vez,
auditar las modificaciones y la replicacin del directorio.
Inicio y cierre de sesin: este grupo permite auditar todos los eventos de inicio o cierre de
sesin.
Acceso a objetos: este grupo contiene los parmetros necesarios para implementar
auditoras relativas al acceso a los registros, a una aplicacin o, simplemente, a un archivo.
Trabajos prcticos: Configuracin de la auditora
Estos trabajos prcticos permiten implementar una poltica de auditora.
1. Configuracin de una poltica de auditora avanzada

Objetivo: implementar una poltica de auditora mediante una poltica de auditora avanzada.
Haga clic con el botn derecho en Formacion.local y, a continuacin, en el men contextual,

seleccione Nuevo y Unidad organizativa.
Escriba Servidores en el campo Nombre y, a continuacin, haga clic en Aceptar.
Mueva la cuenta de equipo de SV1 a la unidad organizativa Servidores.
Abra la consola Administracin de directivas de grupo y, a continuacin, despliegue Bosque:

Formacion.local\Dominios\Formacion.local. Haga clic con el botn derecho en la unidad
organizativa Servidores, y, a continuacin, haga clic en Crear un GPO en este dominio y
vincularlo aqu.
Escriba Auditora avanzada en el campo Nombre y, a continuacin, haga clic en Aceptar.
Haga clic con el botn derecho en Auditora avanzada y, a continuacin, seleccione la

opcinEditar en el men contextual.
Despliegue los nodos Configuracin del equipo, Directivas, Configuracin de

Windows,Configuracin de seguridad, Configuracin de directiva de auditora
avanzada, Directivas de auditora.
Haga clic en Acceso a objetos y, a continuacin, haga doble clic en Auditar recurso compartido
de archivos detallado.
Marque las opciones Configurar los siguientes eventos de auditora y, a

continuacin, Correctoy Error.
Haga clic en Aceptar para validar la configuracin.
Arranque SV1 y, a continuacin, inicie una sesin como administrador de dominio.
Abra una ventana de comandos DOS y, a continuacin, escriba el comando gpupdate /force.
En CL8-01, inicie una sesin como emartinez (contrasea: Pa$$w0rd).
Desde el equipo CL8-01, acceda al recurso compartido \\SV1\Secretara y, a continuacin, cree

un archivo en su interior.
El recurso compartido se ha creado en el captulo anterior, dedicado a DFS.
En SV1, abra la consola Administrador del servidor y, a continuacin, mediante el

menHerramientas, acceda a la consola Visor de eventos.
Despliegue el nodo Registro de Windows y, a continuacin, haga clic en Seguridad.
Observar en el registro un evento cuyo origen es Microsoft Windows security, con

categoraRecurso compartido de archivos detallado.
En funcin de la configuracin, no es obligatorio configurar la SACL. Esto no ocurre en los siguientes
trabajos prcticos. La configuracin activa es vlida para el conjunto de recursos compartidos del
servidor (consulte la pestaa Explicacin en la configuracin de la directiva de grupo), no es
necesario configurar ninguna SACL.
2. Auditar las modificaciones en Active Directory

Objetivo: implementar una poltica de auditora que permita auditar las modificaciones realizadas
sobre el grupo Administradores de dominio.
Despliegue el dominio formacion.local y haga clic en el contenedor Usuarios.
Haga clic con el botn derecho en el grupo Controladores de dominio y, a continuacin, haga clic
en Propiedades.
Abra la pestaa Seguridad y, a continuacin, haga clic en el botn Opciones avanzadas.
Si no ve la pestaa Seguridad, cierre el cuadro de dilogo. Haga clic en el men Ver de la

consola MMC y asegrese de que est marcada la opcin Caractersticas avanzadas.
Abra la pestaa Auditora, seleccione la primera entrada de auditora cuya
columna Acceso esEspecial y, a continuacin, haga clic en Modificar.
Esta entrada va a permitir realizar la auditora de los intentos correctos de modificacin de las
propiedades de grupo, tales como la modificacin del propietario.
Haga clic en Control total y, a continuacin, tres veces en Aceptar para validar todas las
ventanas.
Abra la consola Administracin de directivas de grupo.
Despliegue los nodos Bosque: Formacion.local\Dominios\Formacion.local y, a continuacin,

haga clic en la unidad organizativa Domain Controllers.
Haga clic con el botn derecho en Default Domain Controllers Policy y, a continuacin,
seleccione Editar.
En la consola Editor de administracin de directivas de grupo, despliegue los

nodosConfiguracin del equipo\Directivas\Configuracin de Windows\Configuracin de
seguridad\Configuracin de directiva de auditora avanzada.
En Directivas de auditora, haga clic en Acceso DS.

Haga doble clic en Auditar cambios de servicio de directorio y, a continuacin, marque la
opcinConfigurar los siguientes eventos de auditora y Correcto.
En AD1, abra una ventana de comandos DOS y escriba el comando gpupdate /force.
La consideracin del parmetro de auditora puede llevar varios segundos.
Agregue la cuenta emartinez al grupo Controladores de dominio.
Abra la consola Administracin del equipo del controlador de dominio desde la

consolaAdministrador del servidor (men Herramientas).
Despliegue los nodos Visor de eventos y Registro de Windows y, a continuacin, haga clic en el
registro Seguridad.
Aparece un nuevo registro.
3. Auditora de los accesos a una carpeta

Objetivo: implementar la configuracin de la auditora que permite auditar una carpeta.
En SV1, cree una carpeta llamada Informtica en la particin C:.
Acceda a las Propiedades de la carpeta y, a continuacin, haga clic en la pestaa Compartir.
Haga clic en el botn Uso compartido avanzado.
En la ventana Uso compartido avanzado, marque la opcin Compartir esta carpeta.
Haga clic en el botn Permisos y, a continuacin, elimine la entrada Todos.
Agregue la cuenta Administradores de empresas y, a continuacin, asgnele el permiso Control

total.
Haga clic en Aplicar y, a continuacin, dos veces en Aceptar.
En la ventana de las propiedades de la carpeta Informtica, haga clic en la pestaa Seguridad.
Haga clic en el botn Opciones avanzadas y, a continuacin, en Deshabilitar herencia.
Haga clic en Quitar todos los permisos heredados de este objeto.
Haga clic en Agregar y, a continuacin, en el enlace Seleccionar una entidad de seguridad.
En la ventana de seleccin, escriba Administradores de empresas y, a continuacin, haga clic

enComprobar nombres.
Haga clic en Aceptar y, a continuacin, asgnele al objeto el permiso Control total.

Haga clic en Aceptar y, a continuacin, en Aplicar.
En la pestaa Auditora, haga clic en Agregar.
Haga clic en el enlace Seleccionar una entidad de seguridad y, a continuacin,

escribaemartinez.
En la lista desplegable Tipo, seleccione Error y, a continuacin, haga clic en el permiso Control
total.
En AD1, abra la consola Administracin de directivas de grupo y, a continuacin, haga clic con el
botn derecho en Objetos de directiva de grupo.
En el men contextual, escoja la opcin Nuevo.
Escriba Auditora carpeta Informtica en el campo Nombre y, a continuacin, haga clic

enAceptar.
Haga clic con el botn derecho en la directiva y, a continuacin, seleccione la opcin Editar.
Se abre la consola Editor de administracin de directivas de grupo.
Despliegue los nodos Configuracin del equipo\Directivas\Configuracin de

Windows\Configuracin de seguridad\Directivas locales\Directiva de auditora.
Haga doble clic en Auditar el acceso a objetos, marque la opcin Definir esta configuracin de
directiva y seleccione la opcin Error.
Cierre la consola Editor de administracin de directivas de grupo.
Vincule la directiva Auditora carpeta Informtica a la unidad organizativa Servidores.
Abra una ventana de comandos DOS y ejecute el comando gpupdate /forceen SV1.
Inicie una sesin como emartinez (contrasea Pa$$w0rd) en CL8-01.
Trate de acceder a la carpeta compartida Informtica ubicada en SV1.
Aparece un mensaje de advertencia informando un acceso denegado.

En SV1, abra la consola Administracin de equipos y, a continuacin, despliegue los nodos Visor
de eventos y Registro de Windows.
Visualice el registro de eventos Seguridad.
Abra el evento que referencia a la tentativa de acceso de emartinez (ID 5145).
Se registra correctamente el intento de acceso de emartinez a la carpeta Informtica. Es posible

realizar la misma operacin para un grupo de usuarios.
1. Preguntas
1 Qu permite hacer EFS?
2 Qu tipo de particin es preciso utilizar para implementar EFS?
3 Es necesario poseer permisos de administracin para cifrar los datos?
4 Es posible cifrar el contenido de un recurso compartido de red?
5 De dnde proviene el certificado que utiliza EFS?
6 Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS estn bien
configuradas?
7 Qu tipo de cifrado se utiliza con EFS?
8 Qu medios permiten recuperar un archivo cifrado?
9 Por qu medios puede configurarse un agente de recuperacin?
10 En qu consiste un sistema de auditora?
11 Una directiva de auditora se configura mediante una GPO. Para poder definir la configuracin
de la directiva de auditora, es preciso configurar la parte de usuario o bien la parte de
equipo?
12 Qu permite obtener la configuracin avanzada de la directiva de auditora?
13 Qu es la SACL?
14 En qu registro de eventos es posible visualizar el resultado de una directiva de grupo?
2. Resultados
3. Respuestas
1 Qu permite hacer EFS?
EFS (Encryption File System) permite implementar un sistema de seguridad sobre el contenido de
los archivos. Los archivos o protocolos se firman mediante un certificado digital. Solo ste tiene la
posibilidad de descifrar el archivo.
2 Qu tipo de particin es preciso utilizar para implementar EFS?
Es posible implementar EFS si la particin es de tipo NTFS.
3 Es necesario poseer permisos de administracin para cifrar los datos?
No, basta con tener permisos de usuario para realizar el cifrado de los datos.
4 Es posible cifrar el contenido de un recurso compartido de red?
Es posible cifrar archivos y carpetas locales o alojados en un recurso compartido de red.

5 De dnde proviene el certificado que utiliza EFS?
El sistema EFS puede utilizar dos tipos de certificado: un certificado emitido por una entidad
emisora de certificados o un certificado autofirmado entregado cuando el usuario no tiene un
certificado emitido por una entidad de certificacin.
6 Es posible recibir un mensaje de acceso denegado si las autorizaciones NTFS estn bien
configuradas?
S, es posible, puesto que el usuario puede tener el permiso NTFS para acceder a los archivos pero
no la posibilidad de descifrarlos si no posee el certificado.
7 Qu tipo de cifrado se utiliza con EFS?
EFS utiliza dos tipos de cifrado, un cifrado simtrico para el cifrado del archivo y un cifrado
asimtrico para el cifrado de la clave que ha permitido realizar el cifrado.
8 Qu medios permiten recuperar un archivo cifrado?
Para recuperar un archivo cifrado es necesario realizar una copia de seguridad del certificado digital
para poder restablecerlo en caso de prdida o de corrupcin. Si una gran cantidad de usuarios
utilizan EFS, se recomienda utilizar la solucin Agente de recuperacin. Por defecto, la cuenta de
administrador de dominio es un agente de recuperacin, de modo que tiene la posibilidad de abrir
cualquier archivo.
9 Por qu medios puede configurarse un agente de recuperacin?
Un agente de recuperacin puede configurarse mediante una directiva de grupo.
10 En qu consiste un sistema de auditora?
Un sistema de auditora consiste en implementar la supervisin de alguna accin sobre un objeto

(cuenta de Active Directory, carpeta).
11 Una directiva de auditora se configura mediante una GPO. Para definir la configuracin de la
directiva de auditora, es preciso configurar la parte de usuario o bien la parte de equipo?
La configuracin del equipo permite implementar los parmetros de auditora.
12 Qu permite obtener la configuracin avanzada de la directiva de auditora?
La configuracin avanzada de la directiva de auditora permite implementar parmetros ms

afinados, de modo que el resultado sea ms fiable.
13 Qu es la SACL?
La SACL es la lista de los controles de acceso para los que se ha configurado alguna auditora.
14 En qu registro de eventos es posible visualizar el resultado de una directiva de grupo?
El registro de Seguridad contiene todos los eventos vinculados a una auditora.

Conocer el funcionamiento de Windows Update.
2. Objetivos
Instalar y configurar un servidor WSUS.
Crear grupos de equipos y distribuirles actualizaciones aprobadas.
Utilizar los informes para consultar el estado de los equipos y actualizaciones.

Introduccin
La instalacin de correctivos de seguridad es un aspecto importante para la seguridad. Esta etapa
permite corregir bugs y, sobre todo, evitar fallos de seguridad. En una red informtica que contiene
mltiples aplicaciones es necesario gestionar la instalacin de estos correctivos.
Presentacin del rol WSUS
La funcin de WSUS (Windows Server Update Services) es recuperar los correctivos y actualizaciones
del servidor de Microsoft con el objetivo de ponerlas a disposicin de los distintos equipos de la red.
Es posible actualizar, mediante este servidor, el conjunto de sistemas operativos y productos de

Microsoft.
La infraestructura WSUS puede contener uno o varios servidores, hablaremos, por tanto, de servidor
que precede en la cadena y servidor que sigue en la cadena. La solucin que contiene varios
servidores se utiliza, a menudo, en empresas que poseen una red informtica extensa distribuida en
varios sitios geogrficos.
En el caso ms sencillo, el servidor WSUS recupera una lista de actualizaciones disponibles. El

administrador tiene la posibilidad de aprobar o rechazar estas actualizaciones. stas se descargan
nicamente una vez son aprobadas. En los escenarios ms complejos, el servidor que precede en la
cadena descarga los correctivos en funcin de las opciones configuradas por el administrador y, a
continuacin, estos correctivos se ponen a disposicin de los equipos clientes de la red donde se
encuentra el servidor y tambin de los dems servidores WSUS (servidores que siguen en la cadena).
Los distintos equipos clientes estn integrados en grupos, hablamos as de destinatarios del lado del
cliente cuando el cliente est configurado para apuntar a un grupo o destinatarios del lado del
servidor cuando el equipo cliente est configurado en un grupo desde el servidor. A continuacin, las
actualizaciones se aprueban para uno o varios grupos.
Para asegurarse de la correcta instalacin de las distintas actualizaciones, es posible generar varios
informes. Es, por tanto, mucho ms fcil para un administrador conocer los equipos que no han
recibido la actualizacin o aquellos en los que la instalacin de la actualizacin no se ha realizado
correctamente.
La implementacin de WSUS est compuesta por varias etapas, que se recomienda respetar.
Fase de identificacin de actualizaciones a instalar
Esta fase tiene como objetivo identificar las nuevas actualizaciones disponibles. Tras la configuracin
del servidor es necesario configurar la lista de productos que deben actualizarse. Los nuevos
correctivos se publican (salvo excepciones) una vez al mes.
Fase de pruebas e instalacin
Cuando finaliza la etapa de deteccin de actualizaciones disponibles, conviene aprobarlas. Es

preferible hacerlo para un grupo de pruebas. Este grupo puede contener mquinas de prueba donde
se instalan las distintas aplicaciones utilizadas en produccin. Preste atencin a no incluir equipos
crticos no redundantes. Esta fase de pruebas o de validacin es importante, pues permite asegurar
que no existe ningn problema a nivel de sistema o aplicacin tras la instalacin de un correctivo.
Fase de despliegue
Una vez validados los distintos correctivos, es posible realizar la instalacin en los equipos de
produccin que requieren esta actualizacin. Para ello, conviene aprobarlos para el grupo o los
grupos deseados.
Requisitos previos necesarios para el rol
Como muchos roles en Windows Server 2012 R2, WSUS exige respetar ciertos requisitos previos. El
servidor sobre el que se ejecuta el rol debe ejecutar, como mnimo, Windows Server 2003 SP1.
Tambin se requiere un servidor Web IIS 6.0 o superior.
Es preciso instalar en el servidor el framework Microsoft .NET 2.0 o superior y Microsoft Report Viewer
Redistributable 2008 o superior. Por ltimo, se requiere una base de datos, para ello es posible
indicar a WSUS que utilice la base de datos interna de Windows o instalar un servidor SQL (SQL
Server 2005 SP2, SQL Server 2008 o SQL Server 2012).
El espacio en disco es el aspecto ms importante en los requisitos previos de hardware (40 GB como
mnimo), los dems componentes son los mismos que los necesarios para el sistema operativo del
host WSUS.
Despliegue de actualizaciones con WSUS
El despliegue de WSUS requiere haber pensado acerca de la infraestructura deseada (uno o varios
servidores) as como las actualizaciones que se quiere descargar.
1. Configuracin del cliente de actualizacin

Tras la implementacin de WSUS, es necesario redirigir el cliente de actualizacin hacia el servidor
WSUS en lugar de al sitio de Microsoft. Esta configuracin se realiza mediante una directiva de
grupo, la cual configura la base de registro de los equipos clientes que la reciben.
Es posible realizar esta operacin manualmente, mediante la herramienta Regedit.
Realizando la operacin mediante una directiva de grupo es posible especificar otros parmetros:
Frecuencia de deteccin de actualizaciones: permite configurar la frecuencia de deteccin

de nuevas actualizaciones.
Calendario de instalacin de actualizaciones: define en qu momento se instalarn las

actualizaciones.
Comportamiento del reinicio automtico: permite definir si se autoriza un reinicio automtico

cuando alguna actualizacin lo requiera.
Grupo por defecto: es posible configurar un grupo mediante este parmetro. El equipo se
incluye, directamente, en el grupo adecuado.
2. Administracin de WSUS
La administracin del servidor WSUS se realiza mediante una consola MMC. sta ofrece la posibilidad
de buscar actualizaciones, aprobarlas y, tambin, proceder a su descarga.
Si no se han configurado grupos mediante la directiva de grupo es posible realizar una organizacin
de los grupos desde esta consola. Por ltimo, es posible generar y visualizar informes que permiten
obtener informacin til para la administracin cotidiana.
Como hemos visto antes, la bsqueda de actualizaciones se realiza en base a una planificacin. No
obstante, puede ser necesario, en ciertos casos, detectar si existen nuevas actualizaciones en el
servidor sin esperar a la siguiente deteccin planificada.
El comando Wuauclt.exe /detectnowpermite realizar esta operacin.

Es posible utilizar comandos PowerShell para administrar el servidor.
Add-WsusComputer: permite agregar un equipo cliente a un grupo especfico.
Approve-WsusUpdate: realiza la aprobacin de una actualizacin para un grupo.
Get-WsusProduct: permite enumerar los productos disponibles en WSUS.
Set-WsusServerSynchronization: define el origen utilizado por el servidor WSUS (servidor

que precede en la cadena o servidor Microsoft).
3. Presentacin de los grupos de equipos

Un grupo de equipos permite definir una agrupacin de equipos que recibir la actualizacin. Tras la
instalacin del rol WSUS, se crean dos grupos por defecto: Todos los equipos y Equipos sin asignar.
Un equipo cliente que contacta con el servidor pertenece al grupo de Equipos sin asignar si no se ha
definido ningn otro grupo en la directiva de grupo. Se recomienda crear y configurar diferentes
grupos (por ejemplo: Prueba, Servidores 2k8, Servidores 2k12, Equipo 7 y Equipo 8). Siguiendo este
ejemplo, las actualizaciones se aprueban nicamente para el sistema operativo afectado por dichos
correctivos. Adems, el grupo Prueba permite asegurar que no se produce ningn problema (de
aplicacin o de sistema) tras la instalacin de un correctivo. Este grupo contendr los equipos
menos sensibles.
4. Aprobacin de las actualizaciones

Es posible realizar una actualizacin de manera automtica, no obstante este funcionamiento no
permite la implementacin de pruebas. Conviene, primero, aprobar las actualizaciones para un
grupo de prueba. Tras la validacin del correctivo, puede aprobarse para el resto de grupos.
Si alguna actualizacin no debe instalarse, conviene rechazarla. Esta accin tiene como resultado
eliminar el correctivo de la lista del servidor WSUS. La aprobacin puede realizarse para la
instalacin o para la eliminacin. El primer tipo de aprobacin permite instalar el correctivo en el
grupo seleccionado mientras que el segundo tipo permite eliminar una actualizacin instalada. Para
realizar la eliminacin, la actualizacin debe ser compatible con esta operacin.
Trabajos prcticos: Implementacin del servidor WSUS
Estos trabajos prcticos permiten implementar un servidor WSUS.
1. Instalacin y configuracin del rol WSUS

Objetivo: instalacin y configuracin del servidor WSUS.
Para realizar este trabajo prctico y los siguientes trabajos prcticos es necesario modificar la tarjeta
de red utilizada. El conmutador utilizado debe ser de tipo externo para poder tener acceso a Internet
desde el servidor.
Puede ser necesario modificar la configuracin IP.
En AD1, abra la consola Administrador del servidor.
Haga clic en Agregar roles y caractersticas.
En la ventana Antes de empezar, haga clic en Siguiente.
Deje marcada la opcin Instalacin basada en caractersticas o en roles en la

ventanaSeleccionar tipo de instalacin.
Haga clic en Siguiente para validar el destino.
Marque el rol Windows Server Update Services y, a continuacin, haga clic en el botn Agregar
caractersticas.
Deje los servicios de rol marcados por defecto y haga clic en Siguiente.
El servicio de rol Base de datos permite utilizar un servidor SQL mientras que WID Database utiliza la
base de datos interna de Windows. En produccin se recomienda utilizar SQL Server.
Cree una carpeta llamada WSUS en la segunda particin. Contendr las actualizaciones que se
descarguen de Microsoft Update.
En el campo correspondiente, escriba D:\WSUS (reemplace la letra de la unidad por la que haya
atribuido a la particin).
Una vez instalado, hay que comprobar que el firewall de la empresa (servidor ISA) contiene la regla
que autoriza a WSUS a conectarse con el servidor Microsoft Update. La siguiente lista enumera las
URL sobre las que puede necesitar conectarse WSUS:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Desde las Herramientas administrativas, abra la consola Windows Server Update Services.
Se muestra el asistente de WSUS (Windows Server Update Services).
En la ventana Completar instalacin de WSUS, valide la ruta de la carpeta de almacenamiento

de las actualizaciones y haga clic en Ejecutar.
Una vez terminado el proceso de post-instalacin, haga clic en Finalizar.
Se abre un asistente, haga clic en Siguiente en la ventana Antes de comenzar.
Dado que nuestro servidor es el primero en la cadena, haga clic en Siguiente en la ventanaElegir
servidor que precede en la cadena.
Es posible configurar el servidor como servidor que sigue en la cadena, para ello indquele el
Dado que no se utiliza ningn proxy para conectar a Internet, deje la opcin por defecto en la
ventana Especificar servidor proxy.
Haga clic en Iniciar conexin para conectar con el servidor de Microsoft Update y recuperar:
Los tipos de actualizaciones disponibles.
Los productos susceptibles de actualizacin.
Los idiomas disponibles.
Una vez establecida la conexin, haga clic en Siguiente para continuar.
Seleccione los idiomas deseados y, a continuacin, haga clic en Siguiente.

Los productos que deben actualizarse son Windows Server 2012 R2 y Windows 8.1.
Seleccione, por tanto, estos productos en la lista y haga clic en Siguiente.

Marque Todas las clasificaciones y haga clic en Siguiente.
La sincronizacin del servidor WSUS con el servidor Microsoft Update puede programarse o ejecutarse
manualmente.
Marque la opcin Sincronizar manualmente.
Se abre la consola, despliegue el nodo AD1.
Seleccione el nodo Sincronizaciones y, a continuacin, haga clic en Sincronizar ahora.
La sincronizacin est en curso
La aprobacin puede realizarse automticamente creando una regla de aprobacin automtica desde
las opciones.
Despliegue el nodo Equipos y haga clic con el botn derecho en Todos los equipos y, a
continuacin, seleccione la opcin Agregar grupo de equipos.
En el campo Nombre, escriba Puesto Cliente y haga clic en Agregar.
La directiva que se aplicar a los equipos permitir configurar la direccin IP del servidor a contactar.
En AD1, abra la consola Administracin de directivas de grupo.
Haga clic con el botn derecho en Objetos de directiva de grupo y, a continuacin,

seleccioneNuevo.
Escriba Configuracin WSUS Puesto Cliente en el campo Nombre.
Haga clic con el botn derecho en Configuracin WSUS Puesto Cliente y, a continuacin, en el
men contextual, seleccione Editar.
Despliegue los nodos Configuracin del equipo\Directivas\Plantillas

administrativas\Componentes de Windows y, a continuacin, seleccione Windows Update.
Haga doble clic en Configuracin Actualizaciones automticas.
Marque la opcin Habilitada.
En la lista desplegable Configurar actualizacin automtica, seleccione Descargar

automticamente y notificar instalacin.
Existen cuatro opciones posibles:
Notificar descargas e instalaciones. Se avisa al administrador antes de descargar e instalar

actualizaciones.
Descargar automticamente y notificar instalacin. La descarga se ejecuta

automticamente, y el administrador recibe un mensaje de advertencia que le invita a realizar
la instalacin de la actualizacin.
Descarga automtica y planificacin de instalaciones. Marcando esta opcin, la descarga de

las actualizaciones se realiza automticamente. A continuacin, las actualizaciones se instalan
en funcin del da y la hora especificados.
Autorizar al administrador local a configurar los parmetros. Esta opcin deja la posibilidad
a un usuario que pertenezca al grupo de Administradores de modificar las opciones
configuradas en las actualizaciones automticas desde el panel de control.
Seleccione 3 - Todos los martes en la lista Da de instalacin programado y 17:00 en la

listaHora de instalacin programada.
Haga doble clic en Especificar la ubicacin del servicio Windows Update en la intranet.
Escriba http://AD1.formation.local:8530 en los campos Establecer el servicio de actualizacin

de la intranet para detectar actualizaciones y Establecer el servidor de estadsticas de la
intranet.
Haga doble clic en Habilitar destinatarios del lado cliente.
Marque la opcin Habilitada y, a continuacin, escriba Puesto Cliente en el campo Nombre de

grupo de destino para este equipo.
Cierre la ventana Editor de administracin de directivas de grupo.
En la consola Administracin de directivas de grupo, haga clic con el botn derecho en la

OUEquipos (presente en la OU Madrid) y, a continuacin, seleccione Vincular un GPO
existente en el men contextual.
Seleccione Configuracin WSUS Puesto Cliente y, a continuacin, haga clic en Aceptar.
En la consola WSUS, haga clic en Opciones y, a continuacin, en Equipos. Marque la opcin que
permite utilizar la configuracin de la directiva de grupo.
Abra una ventana de comandos DOS en CL8-01 y ejecute el comando gpupdate /force.
La configuracin en Windows Update aparece sombreada, puesto que se ha tenido en cuenta la
configuracin de la directiva de grupo.
El equipo cliente se muestra ahora en el grupo Puesto Cliente de la consola WSUS.
2. Aprobacin y despliegue de actualizaciones

Objetivo: aprobacin e instalacin de actualizaciones para el grupo Puesto Cliente.
En la consola de administracin WSUS, haga clic en el nodo Actualizaciones.
Se muestra una sntesis de las actualizaciones. Aparece un grfico para las categoras Todas las
actualizaciones, Actualizaciones crticas, Actualizaciones de seguridad y Actualizaciones de
WSUS.
En la seccin Todas las actualizaciones, haga clic en Actualizaciones que los equipos necesitan.
Seleccione la o las actualizaciones deseadas.
Haga clic con el botn derecho en la seleccin y, a continuacin, haga clic en Aprobar.
Haga clic en grupo Puesto Cliente y seleccione Aprobar para instalar en la lista desplegable.
La aprobacin est en curso

Comienza la descarga de la actualizacin, espere a que finalice esta etapa.
En el men contextual utilizado para aprobar un correctivo existen otras opciones disponibles:
Aprobacin para su eliminacin: si el correctivo causa errores en los equipos tras su

instalacin, es necesario desinstalarlo. Para no tener que ir equipo a equipo, bastar con
aprobar esta actualizacin para su eliminacin, si el correctivo soporta esta opcin.
La actualizacin debe ser compatible para este tipo de aprobacin.
Fecha lmite: la fecha lmite permite determinar la fecha y hora mxima para la instalacin de la
actualizacin. Para acelerar el procesamiento de la actualizacin incluya una fecha pasada (el 1
de septiembre, por ejemplo, si la aprobacin se efecta el 2 de septiembre).
En el equipo CL8-01, abra la consola Windows Update.
La instalacin en el equipo cliente se fuerza para evitar tener que esperar a la siguiente
instalacin planificada.
En la consola, haga clic en Buscar actualizaciones para mostrar las actualizaciones aprobadas
anteriormente.
Haga clic en el botn Instalar actualizaciones y, a continuacin, espere a que termine la

instalacin.
En funcin de la opcin escogida en la GPO, la instalacin se realizar de manera automtica
(seleccionando 4 en el parmetro Configurar actualizacin automtica).
3. Creacin de informes
Objetivo: generar informes con el objetivo de facilitar la administracin del servidor WSUS.
El nodo Informes permite crear y mostrar informes que permiten administrar el servidor. Es posible
analizar, con ayuda de informes, informacin acerca de las actualizaciones, los equipos y las
sincronizaciones realizadas.
No obstante, para poder aprovechar esta funcionalidad, el equipo debe tener instalado el
componente Report Viewer.
Es posible descargar este componente en la direccin siguiente: http://www.microsoft.com/es-

es/download/details.aspx?id=3841
Report Viewer necesita el framework .NET, instale por tanto la caracterstica .NET Framework
3.5.
Conecte la ISO o el DVD de Windows Server 2012 R2 a AD1 y, a continuacin, escriba el siguiente
comando: dism /online /enable-feature /featurename:NetFX3 /all
/Source:e:\sources\sxs /LimitAccess
Remplace e: por la letra del lector de DVD.

Una vez instalado Report Viewer, haga clic en el nodo Informes.
Es posible crear varios tipos de informe acerca de las actualizaciones, los equipos o las
sincronizaciones.
Haga clic en el enlace Estado detallado de actualizacin y, a continuacin, en Ejecutar informe.

El informe se est generando. Los distintos informes permiten obtener informacin muy importante
para la administracin cotidiana del servidor.
1. Preguntas
1 Cul es la funcin de WSUS?
2 Es posible poseer varios servidores WSUS?
3 En qu momento se descarga la actualizacin?
4 En el caso de un servidor que sigue en la cadena, cmo se realiza la aprobacin?
5 Qu son los destinatarios del lado del cliente y los destinatarios del lado del servidor?
6 Cules son los requisitos previos para WSUS?
7 Cul es la utilidad de un grupo de equipos?
8 Qu tipos de aprobacin es posible ofrecer?
2. Resultados
Nmero de puntos: /8
3. Respuestas
1 Cul es la funcin de WSUS?
WSUS permite administrar el sistema de actualizaciones de los puestos de trabajo. La funcionalidad

permite descargar correctivos y, a continuacin, instalarlos en los puestos de trabajo.
2 Es posible poseer varios servidores WSUS?
S, es posible instalar varios servidores WSUS. Es necesario en este caso configurar un servidor
que precede en la cadena y, a continuacin, otros que siguen en la cadena. stos dependen del
3 En qu momento se descarga la actualizacin?
La actualizacin se descarga nicamente tras su aprobacin. Antes de esta operacin, el servidor

no posee solamente una lista de las actualizaciones que pueden aprobarse.
4 En el caso de un servidor que sigue en la cadena, cmo se realiza la aprobacin?
En el caso de un servidor que sigue en la cadena, la aprobacin se realiza a nivel del servidor que
precede en la cadena. El servidor que sigue en la cadena simplemente recupera las actualizaciones
aprobadas.
5 Qu son los destinatarios del lado del cliente y los destinatarios del lado del servidor?
Los destinatarios del lado del cliente consisten en configurar una directiva de grupo que indique al
equipo cliente el grupo al que debe unirse. Los destinatarios del lado del servidor permiten unir la
mquina al grupo desde el propio servidor.
6 Cules son los requisitos previos para WSUS?
WSUS exige respetar ciertos requisitos previos. Es necesario que el servidor ejecute, como mnimo,
Windows Server 2003 SP1; adems, debe tener instalado el rol IIS 6.0 o superior. Tambin se
utiliza una base de datos, para ello es posible utilizar un servidor SQL Server (2005 SP2 como
mnimo) o la base de datos interna de Windows. El espacio en disco es, a su vez, un requisito
previo, pues se necesitan como mnimo 40 GB de espacio disponible.
7 Cul es la utilidad de un grupo de equipos?
Un grupo de equipos permite agrupar un conjunto de servidores o de equipos clientes con el

objetivo de asignarles correctivos. En efecto, la aprobacin no se realiza para una mquina sino
para un grupo.
8 Qu tipos de aprobacin es posible ofrecer?
Es posible ofrecer una aprobacin para la instalacin. Este tipo de aprobacin permite instalar el
correctivo en los puestos de trabajo. Es posible, a su vez, ofrecer una aprobacin para la
eliminacin, que consiste en desinstalar el correctivo del equipo cliente o servidor. No obstante, las
actualizaciones deben ser compatibles con esta opcin de aprobacin para eliminacin.
Disponer de ciertos conocimientos en microinformtica.
Poseer nociones acerca de las herramientas de mantenimiento presentes en Windows.
2. Objetivos
Uso del Administrador de tareas y del Monitor de recursos.
Comprobacin del rendimiento mediante el Anlisis de rendimiento.
Uso de los registros de eventos.
Creacin de una vista personalizada.
Implementar suscripciones.
El Administrador de tareas
Desde Windows Server 2012 existe una nueva consola Administrador de tareas. Ofrece al usuario
ms funcionalidades (operaciones sobre un servicio, cerrar una aplicacin). Se han realizado
optimizaciones y mejoras para responder mejor a las necesidades de los administradores. Es posible
realizar varias operaciones:
Detener un proceso de forma rpida y eficaz: se ha modificado la ergonoma de la consola

para proveer una vista ms clara de los distintos procesos activos del usuario. La operacin
que permite detener una aplicacin tambin se ha simplificado. Un simple clic en el
botnFinalizar tarea detiene el proceso. Tambin puede proveerse una vista ms detallada
mediante el botn Ms detalles.
Diagnosticar un problema de rendimiento: activando la vista Ms detalles aparecen varias

novedades del Administrador de tareas. Resulta mucho ms sencillo, para un usuario,
diagnosticar un problema de rendimiento. Es posible ver, rpidamente, el uso total del
procesador y de la memoria. Estos valores, en porcentaje, dan una idea inicial sobre el
potencial problema. A continuacin, resulta interesante observar cada proceso en detalle.
Las pequeas flechas que aparecen al lado de cada proceso permiten visualizar las aplicaciones que
utilizan este proceso. Si desplegamos Explorador de Windows se muestra la carpeta capitulos, que
est abierta actualmente.
Si hacemos clic con el botn derecho en capitulos accedemos a un men contextual. ste ofrece
varias opciones, entre ellas minimizar/maximizar la consola, traer al frente o, simplemente, finalizar la
tarea.
Haciendo clic en Explorador de Windows aparecen otras opciones disponibles.

La Bsqueda en lnea puede resultar una funcionalidad muy til. Permite obtener informacin acerca
del proceso en cuestin. La opcin Valores del recurso permite cambiar la unidad de la columna
Memoria para mostrar porcentajes en lugar de valores, y a la inversa.
El ejecutable puede estar almacenado en cualquier carpeta de su sistema de archivos. Para poder
acceder a l sin tener que realizar una bsqueda por carpetas, seleccione la opcin Abrir ubicacin
del archivo. A continuacin, se abre la carpeta que contiene el archivo.
En algunos casos es necesario obtener ms informacin acerca de un proceso. Para ello, haga clic
enIr a detalles. Aparece la pestaa Detalles con el proceso en cuestin preseleccionado.
Esta vista da acceso al nombre del archivo ejecutable y a su ID de proceso (PID), as como a su
Estado. Se muestra, tambin, el nombre de la cuenta que ha ejecutado el proceso as como el uso de
procesador y de memoria que est realizando el proceso.
La pestaa Rendimiento permite ver de forma grfica tres elementos esenciales:
CPU: acompaados por la curva, se muestran varios campos con informacin relacionada con el
porcentaje de uso, el nmero de procesos
Memoria: como con el procesador, se muestra informacin relacionada con el uso de memoria y
se actualiza automticamente. Es, por tanto, muy prctico ver la cantidad de memoria utilizada
y la cantidad de memoria libre.
Ethernet (red): adems del grfico que muestra la actividad, la informacin aportada
en Envoy Recepcin permite conocer muy fcilmente la tasa de envo y de recepcin.
Haciendo clic con el botn derecho sobre la consola accedemos a un men contextual con tres
opciones.
Vista de resumen, que permite reducir la ventana mostrando nicamente los valores de los
tres grficos. Desmarque esta opcin para volver al formato inicial.
Mostrar grficos remplaza los botones de colores por los grficos en curso. Seleccione Ocultar
grficos en el men contextual para cancelar esta vista.
Copiar inserta los datos presentes en el grfico en el portapapeles.
La pestaa Usuarios provee informacin sobre los usuarios conectados. Sigue siendo posible
desconectar la sesin de un usuario, aunque ahora resulta mucho ms sencillo. En efecto,
desplegando la fila correspondiente a la persona afectada, podemos ver muy fcilmente los procesos
que le pertenecen. Ahora, adems, podemos conocer el uso de procesador y de memoria de cada uno
de estos procesos.
Por ltimo, la pestaa Servicios permite acceder a la administracin de los servicios. Es posible
conocer su estado as como sus parmetros (PID, etc.). Es posible acceder a la
consola Services.mschaciendo clic con el botn derecho y, a continuacin, seleccionando la
opcin Abrir servicios en el men contextual.
El Monitor de recursos
El monitor de recursos permite controlar los recursos de un puesto de trabajo o de un servidor. Esta
herramienta permite, por tanto, supervisar el procesador, los procesos, la memoria disponible, as
como la actividad de los discos y de la red.
La consola est compuesta por varias pestaas. La primera, Informacin general, ofrece una visin
general del conjunto de componentes, con la finalidad de evitar cuellos de botella. Adems, se
muestran componentes como la Memoria, la Red, la CPU y el Disco, cuya informacin se actualiza en
tiempo real.
La pestaa CPU incluye informacin sobre cada proceso. Seleccionando un proceso se muestran los
distintos servicios y sus descripciones asociadas. Es posible, tambin, ver un grfico que representa la
actividad en cada procesador o cada ncleo presente en un procesador.
Es posible ver el reparto en el uso de memoria del servidor mediante la pestaa Memoria. Aparecen
tres grficos que presentan la memoria fsica usada, la carga de asignacin y los errores de pgina.
La pestaa Disco presenta los procesos que realizan operaciones sobre el disco. Es posible, aqu
tambin, filtrar por proceso con el objetivo de aislar sus datos. Los grficos muestran curvas que
representan la actividad de disco.
Por ltimo, la pestaa Red presenta los distintos procesos con actividad de red. Esta herramienta
resulta, tambin, til para ver las conexiones TCP y los puertos en los que escuchan. La herramienta
nos va a permitir analizar los distintos componentes para poder dar una explicacin a un mal
rendimiento del equipo.
Los grficos permiten obtener informacin acerca de los distintos componentes del servidor.
El Monitor de rendimiento
El Monitor de rendimiento permite supervisar la actividad de un puesto de trabajo. La operacin
puede realizarse mediante grficos o mediante informes. Es posible realizar el anlisis en tiempo real,
lo que obliga al administrador a estar delante del equipo. Adems, la lectura de datos no es ptima.
La segunda posibilidad consiste en ejecutar un recopilador de datos, que permite registrar la
informacin recuperada por los distintos contadores.
Es posible incluir varios contadores para obtener un estudio ms fino y un resultado ptimo.
CPU
El objeto de rendimiento CPU permite obtener informacin acerca de la actividad del procesador. ste
supone una de las piezas claves de un servidor. Si existen varios procesadores, es posible analizarlos
todos en conjunto o estudiar uno en particular.
Disco duro
Los discos duros almacenan los archivos de los usuarios as como los que requieren los programas
para su ejecucin y funcionamiento. En caso de que funcione incorrectamente algn disco, el tiempo
de lectura y de escritura puede verse afectado gravemente.
Puede ser necesario, por tanto, auditar el rendimiento de los discos para poder detectar cualquier
cuello de botella.
Como con el procesador, hay varios contadores disponibles. Cada uno ofrece una informacin precisa.
Memoria RAM
Los contadores de rendimiento de Memoria permiten obtener informacin relativa a la memoria fsica
y virtual del equipo. La memoria fsica se refiere al total de memoria RAM configurada en el servidor,
mientras que la memoria virtual hace referencia al espacio en memoria fsica ms el espacio reservado
en disco.
Red
La red comprende un gran nmero de contadores de rendimiento. Es posible encontrar contadores

para los protocolos TCP, UDP o ICMP. IPv4 e IPv6 poseen, a su vez, contadores propios.
El anlisis puede realizarse de forma manual o automtica. El anlisis manual se realiza en tiempo
real. Esto implica estar conectado al equipo para poder analizar los datos antes de que se borren.
Para evitar tener que estar presente delante de la pantalla durante horas es posible lanzar un
registro automtico. Se crea un archivo que contiene todos los valores y se almacena en la carpeta
perflogs, presente en la particin del sistema.
No obstante, el tamao del archivo puede crecer de forma rpida, lo cual puede impactar sobre el
servidor y los roles instalados en el mismo debido a la falta de espacio.
Planificador del Monitor de rendimiento
En ciertos casos, puede resultar til planificar la ejecucin del Monitor de rendimiento. La planificacin
puede configurarse tras la creacin de un recopilador definido por el usuario. Para ello, es necesario
seleccionar en el asistente la opcin Abrir propiedades para este conjunto de recopiladores de
datos.
Las propiedades dan acceso a la pestaa Programacin, que permite configurar una ejecucin en la
fecha y hora deseadas.
El botn Agregar permite realizar la configuracin deseada.

La misma operacin puede realizarse con recopiladores ya creados. Haciendo clic con el botn
derecho sobre ellos y seleccionando, a continuacin, Propiedades en el men contextual es posible
acceder a la pestaa Planificacin.
Los registros de eventos
El Visor de eventos contiene varios registros tiles para diagnosticar un fallo o una incoherencia en el
sistema. Est compuesto por varios registros: Aplicacin, Sistema o Seguridad. El
registroAplicacin permite a los desarrolladores de aplicaciones insertar eventos devueltos por las
aplicaciones. El registro Sistema permite recuperar la informacin devuelta por el sistema (por
ejemplo, un problema DHCP). El registro Seguridad contiene informacin sobre las auditoras
configuradas.
Es posible encontrar los distintos registros con el formato EVTX en la

carpetaC:\Windows\System32\winevt\Logs.
Es posible encontrar los distintos registros de eventos en la consola Administracin de equipos.

En cada registro podemos encontrar varios niveles de advertencia:
Informacin
Advertencia
Error
Crtico
Adems, un evento posee informacin adicional muy importante, como Evento (ID del
evento), Origeny el propio mensaje del evento. Las propiedades del registro de eventos permiten
visualizar sus distintas propiedades (nombre, ruta del registro) pero, tambin, configurar su tamao
actual y mximo. El botn Vaciar registro permite vaciar el registro de todos los eventos. Esta
ventana est accesible haciendo clic con el botn derecho sobre el registro deseado y, a continuacin,
seleccionando la opcin Propiedades en el men contextual.
Tambin es posible configurar qu accin debe realizarse cuando se alcanza el tamao mximo del
registro. Existen tres acciones posibles:
Sobrescribir eventos si es necesario. Se eliminan los eventos ms antiguos.
Archivar el registro cuando est lleno; no sobrescribir eventos. Se realiza un archivado

automtico.
No sobrescribir eventos. Es preciso realizar una limpieza manual.
1. Creacin de una vista personalizada

El registro de eventos puede contener, muy rpidamente, una cantidad enorme de eventos, lo que
complica la bsqueda de un evento particular. Desde Windows Server 2008 es posible crear una
vista para realizar un filtrado sobre uno o varios registros.
La creacin y uso de filtros se realiza con ayuda del nodo Vistas personalizadas. Existe una carpeta
llamada Roles de servidor, que contiene los filtros creados tras la instalacin de un rol.
Es posible crear un filtro nuevo haciendo clic con el botn derecho en Vistas personalizadas y
seleccionando la opcin Crear vista personalizada. El filtro se compone de varios criterios:
La lista desplegable Registrado permite dar a los sistemas una constante de tiempo a tener
en cuenta de cara al filtrado.
El Nivel de evento permite seleccionar el nivel de los eventos deseados.
La lista desplegable Registros de eventos permite seleccionar los registros sobre los que se
aplica el filtro.
Es, tambin, posible filtrar por origen marcando la opcin Por origen y seleccionando, en la lista
desplegable, uno o varios orgenes. Tambin es posible filtrar en funcin de un nombre de equipo,
de usuario o por palabras claves, como por ejemplo un ID concreto.
El filtro devuelve nicamente aquellos eventos que se corresponden.
2. Suscripciones
Para facilitar la supervisin de los servidores en una red informtica es posible implementar
suscripciones. stas permiten recuperar eventos de los servidores indicados. Los eventos
recuperados deben corresponderse con los criterios definidos por el administrador mediante una
vista personalizada. Se utilizan dos servicios para esta funcionalidad:
WinRM (Windows Remote Management)
Wecsvc (Windows Event Collector Service)
Los dos servicios funcionan, respectivamente, sobre la mquina origen para WinRM y la mquina que
recoge los datos para Wecsvc.
Trabajos prcticos: Implementacin de las herramientas
de anlisis
Se proponen varios trabajos prcticos que utilizan las herramientas que permiten analizar y realizar el
mantenimiento del servidor.
1. Uso del Monitor de rendimiento

Objetivo: utilizar el Monitor de rendimiento as como los recopiladores de datos.
Abra la consola Administrador del servidor en AD1.
Haga clic en Herramientas y, a continuacin, seleccione en el men contextual la

opcinAdministracin de equipos.
Despliegue los nodos Rendimiento y, a continuacin, Herramientas de supervisin.
Haga clic en Monitor de rendimiento y, a continuacin, en el signo ms verde para agregar

contadores.
Despliegue Proceso y, a continuacin, haga clic en <Todas las instancias>.
Haga clic en Agregar y, a continuacin, en Aceptar.
Se muestran las curvas con los distintos parmetros recuperados.

En la barra de herramientas, haga clic en el icono con forma de rotulador. Tras la seleccin de algn
contador, la curva asociada queda resaltada con un trazo ms grueso.
Haga clic en el botn Editar tipo de grfico y, a continuacin, seleccione en el men contextual la
opcin Barra de histograma.
Se muestra ahora un grfico equivalente con forma de histograma.

El tipo de grfico puede, tambin, presentarse como informe.
En la consola Administracin de equipos, despliegue el nodo Conjuntos de recopiladores de

datos.
Se crean recopiladores de datos en funcin de los roles presentes en la mquina analizada. Estamos
trabajando sobre un controlador de dominio, de modo que aparece el recopilador de datos para el
diagnstico de Active Directory dentro de Sistema. Los recopiladores definidos por el usuario permiten
crear nuevos recopiladores de datos.
Haga clic con el botn derecho en Definido por el usuario y, a continuacin, en el men
contextual, seleccione Nuevo y Conjunto de recopiladores de datos.
Escriba Recopilador Procesos en el campo Nombre y, a continuacin, marque la opcin Crear

manualmente (avanzado) y haga clic en Siguiente.
En la ventana que permite escoger los tipos de datos, marque Contador de rendimiento y, a
En la ventana de seleccin de contadores, haga clic en Agregar.
Despliegue Proceso y, a continuacin, haga clic en <Todas las instancias>.
Haga clic en el botn Agregar y, a continuacin, en Aceptar.

Configure el Intervalo de muestra a 2 segundos.
El recopilador de datos aparece, ahora, en la consola.

Haga clic con el botn derecho en Recopilador Procesos y, a continuacin, seleccione Iniciar.
Deje el recopilador en estado Iniciado algunos segundos para que recoja un mnimo de
informacin.
Haga clic con el botn derecho en Recopilador Procesos y, a continuacin, seleccione Detener.
Tras el arranque del recopilador se crea un informe que presenta los datos recuperados.
Despliegue los nodos Informes y, a continuacin, Definido por el usuario.
Aparece un contenedor con el mismo nombre que el recopilador de datos creado.
Despliegue Recopilador Procesos y, a continuacin, haga clic en el informe.

Como con el Monitor de rendimiento, es posible subrayar la curva del contador seleccionado o cambiar
el tipo de grfico.
2. Creacin de una vista personalizada

Objetivo: crear una vista personalizada para recuperar, nicamente, los eventos deseados.
En la consola Administracin de equipos, despliegue Visor de eventos y, a continuacin, el

nodoVistas personalizadas.
Haga clic con el botn derecho en Vistas personalizadas y, a continuacin, seleccione Crear
vista personalizada.
Deje el valor configurado a En cualquier momento en la lista desplegable Registrado.
Marque la opcin Error, Advertencia y Crtico para limitar los eventos filtrados a estos niveles.
En la lista desplegable Registros de eventos, seleccione los registros Sistema y Aplicacin.

Haga clic en Aceptar y, a continuacin, en el campo Nombre, escriba Bsqueda registro App.Sys.
Valide la informacin introducida haciendo clic en Aceptar.

El filtrado se aplica sobre el conjunto de registros seleccionados.
Ahora resulta mucho ms sencillo encontrar la informacin deseada en un registro.
3. Asociar una tarea a un evento

Objetivo: ejecutar un script cuando se produce un evento en el registro de eventos.
En AD1 en la interfaz del Men Inicio, haga clic en DHCP.
Despliegue el nodo ad1.formacion.local y, a continuacin, haga clic con el botn derecho.
En el men contextual, seleccione Todas las taras y, a continuacin, Detener.
Cree y ejecute el archivo Script-Evento.cmd.
Es posible descargar el archivo desde la pgina Informacin.
En el registro Sistema, seleccione el evento que se acaba de crear.

Haga clic con el botn derecho en la advertencia y, a continuacin, seleccione la opcin Adjuntar
tarea a este evento. Esta opcin tambin est disponible en el panel Acciones.
Haga clic en Siguiente en la ventana Crear una tarea bsica dejando los parmetros por
defecto.
Los campos Registro, Origen e Id. del evento aparecen sombreados. Haga clic en Siguientepara
validar la ventana Al registrar un evento.
Es preferible ejecutar un script o un programa que realice una tarea frente a mostrar un mensaje que
probablemente no vea el administrador.
Marque la opcin Iniciar un programa y, a continuacin, haga clic en Siguiente.

Cree el script Reset-Services.cmd.
Es posible descargar el archivo desde la pgina Informacin.
Haga clic en Examinar y, a continuacin, seleccione el script. Valide su eleccin mediante el

botnSiguiente.
Haga clic en Finalizar y, a continuacin, en Aceptar en el mensaje de informacin.
Aparece una nueva fila en el programador de tareas.
Ejecute de nuevo el archivo Script-Evento.cmd.
Se crea una nueva entrada en el registro Sistema y se ejecuta el archivo Reset-Services.

El servicio DHCP se ha reiniciado correctamente.
Algunas acciones pueden automatizarse fcilmente.
4. Implementar y utilizar suscripciones

Objetivo: recuperar los registros de eventos de AD1 desde SV1.
Mquinas virtuales: AD1 y SV1.
Abra una consola de comandos DOS en el equipo AD1.
Escriba el comando winrm quickconfigy, a continuacin, presione la tecla [Enter].
Para realizar modificaciones, pulse la tecla y, a continuacin, presione [Enter].

Abra la consola Usuarios y equipos de Active Directory.
Despliegue el nodo Formacion.local y, a continuacin, haga clic en Builtin.
Haga doble clic en Lectores del registro de eventos.
Haga clic en la pestaa Miembros y, a continuacin, en Agregar.
Es necesario marcar las cuentas de equipo en los objetos de bsqueda.
Haga clic en Tipos de objeto y, a continuacin, marque equipos.
Haga clic en Aceptar y, a continuacin, escriba SV1 en el campo.
Haga clic en Comprobar nombres y, a continuacin, haga clic dos veces en Aceptar.
Esta operacin permite autorizar que el puesto SV1 lea los registros de eventos.
En el puesto SV1, abra una ventana de comandos DOS y, a continuacin, escriba wecutil qc.
Pulse la tecla S y, a continuacin, presione [Enter].
En SV1, haga clic con el botn derecho en la carpeta Suscripciones y, a continuacin, haga clic
en Crear suscripcin.
En el campo Nombre de suscripcin, escriba Datos AD1.

Por defecto, el registro de destino es Eventos reenviados. Es posible cambiarlo mediante la lista
desplegable Registro de destino. La transferencia puede iniciarla la mquina de destino
(opcinIniciada por el recopilador) o la mquina origen (opcin Iniciada por el equipo origen).
Haga clic en Seleccionar equipos y, a continuacin, Agregar equipos de dominio.
Escriba AD1 en el campo y, a continuacin, haga clic en Comprobar nombres y Aceptar.

No es necesario recoger todos los eventos, es posible aplicar un filtro. Los equipos de la maqueta,
instalados recientemente, nos obligan a utilizar un filtro muy poco restrictivo si queremos obtener
algn evento.
Haga clic en Seleccionar eventos.
Los eventos que deben transferirse son aquellos que tienen un

nivel Informacin, Advertencia,Error y Crtico. El filtro no es muy restrictivo dado que las mquinas
se han instalado recientemente y no existen muchos eventos de tipo Advertencia o Error.
Marque los niveles anteriores en la ventana Filtro de consulta.
Seleccione los registros Sistema y Aplicacin.
Haga clic dos veces en Aceptar. Se agrega una fila en la consola.

Haga clic con el botn derecho en Datos AD1, y, a continuacin, seleccione Estado en tiempo de
ejecucin.
Compruebe que el estado es Activo y no aparece ningn error.
Tras un tiempo ms o menos largo los eventos llegan al registro Eventos reenviados.
Si no se transfiere ningn evento y si la suscripcin no muestra ningn error, verifique el filtro y

reinicie el origen y el recopilador. Tras el reinicio, espere algunos segundos y, a continuacin, verifique
que la suscripcin sigue sin error.
1. Preguntas
1 Cul es la utilidad de la consola Monitor de recursos?
2 Cite los objetos presentes en el Monitor de rendimiento.
3 Cules son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas
e inconvenientes.
4 Cul es el formato de archivo de los registros de eventos? Dnde se almacenan los

registros?
5 Cules son los niveles de advertencia que es posible tener en un evento?
6 Qu permite configurar una vista personalizada?
7 Cules son los dos servicios que se utilizan en las suscripciones?
2. Resultados
Nmero de puntos: /7
3. Respuestas
1 Cul es la utilidad de la consola Monitor de recursos?
El uso de los principales componentes de un equipo (CPU, memoria, tarjeta de red) est presente
en la consola Monitor de recursos. sta permite controlar el uso y detectar un posible problema
sobre alguno de estos recursos.
2 Cite los objetos presentes en el Monitor de rendimiento.
Existen varias decenas de objetos en el Monitor de rendimiento. Encontramos la CPU, los procesos,
la memoria, IPv4, ICMP
3 Cules son las dos mejores maneras de utilizar el Monitor de rendimiento? Cite sus ventajas
e inconvenientes.
Es posible utilizar el Monitor de recursos de forma manual, con el monitor de rendimiento, o

registrar los eventos mediante un recopilador de datos. El anlisis del rendimiento ofrece la ventaja
de que consume espacio en disco, pero requiere la presencia de un administrador delante del
servidor. El recopilador de datos permite realizar una visualizacin de datos ms tarde, no obstante
el tamao de espacio en disco requerido puede llegar a ser muy grande.
4 Cul es el formato de archivo de los registros de eventos? Dnde se almacenan los

registros?
Es posible encontrar los distintos registros, con formato EVTX, en la carpeta

C:\windows\System32\winevt\Logs.
5 Cules son los niveles de advertencia que es posible tener en un evento?
Los cuatro niveles de advertencia son informacin, advertencia, error y crtico.
6 Qu permite configurar una vista personalizada?

Los registros de eventos pueden poseer varias decenas de eventos, o incluso ms. Para no
perderse con tanta informacin conviene aplicar un filtro sobre el registro. Esta funcionalidad la
ofrecen las vistas personalizadas.
7 Cules son los dos servicios que se utilizan en las suscripciones?
La suscripcin utiliza dos servicios: Winrm (Windows Remote Management) en la fuente y Wecsvc
(Windows Event Collector Service) en el destino.
Tabla de objetivos
Objetivos Captulos Trabajos prcticos
Windows Deployment Services to Deploy Despliegue y Despliegue y soporte

Windows Server 2012/2012 R2 soporte de de WDS
WDS
Describe the important features and Despliegue y

functionality of Windows soporte de
Deployment Services WDS
Configure Windows Deployment Services in Despliegue y Despliegue y soporte

Windows Server 2012/2012 R2 soporte de de WDS - Instalacin
WDS y configuracin de los
servicios de
implementacin de
Windows
Despliegue y soporte
de WDS - Importacin
de las imgenes
utilizadas para el
despliegue
de WDS -
Configuracin del
servidor de
despliegue
Perform deployments with Windows Despliegue y Despliegue y soporte

Deployment Services soporte de de WDS - Agregar y
WDS configurar un grupo
de controladores
de WDS - Despliegue
de imgenes en los
puestos cliente
de WDS - Captura de
un puesto de
referencia
Configuring and Troubleshooting Domain Configuracin y Configuracin y

Name System mantenimiento mantenimiento de
de DNS DNS
Install the DNS server role Configuracin y

mantenimiento
de DNS
Configure the DNS server role Configuracin y Configuracin y

mantenimiento mantenimiento de
de DNS DNS - Caducidad y
borrado de los
registros
Configuracin y
mantenimiento de
DNS - Configuracin
de un reenviador
condicional
Create and configure DNS zones Configuracin y

mantenimiento
de DNS
Configure DNS zone transfers Configuracin y

mantenimiento
de DNS
Manage and troubleshoot DNS Configuracin y Configuracin y

mantenimiento mantenimiento de
de DNS DNS - Configuracin
de un reenviador
condicional
Maintaining Active Directory Domain Gestin de un Gestin de un

Services directorio AD directorio AD DS
DS
Explain the general structure of AD DS Gestin de un

directorio AD
DS
Implement virtualized domain controllers Gestin de un Gestin de un

directorio AD directorio AD DS -
DS Clonacin de un
controlador de
dominio virtual
Implement RODCs Gestin de un Gestin de un

DS Implementacin de un
RODC
Administer AD DS Gestin de un
directorio AD
DS
Manage the AD DS database Gestin de un Gestin de un

DS Creacin de un
snapshot de AD
Gestin de un
directorio AD DS -
Manipulacin de la
papelera de reciclaje
AD
Gestin de un
directorio AD DS -
Desfragmentacin de
la base de datos
Managing User and Service Accounts Gestin del Gestin del entorno
entorno
Automate user account creation Gestin del entorno -

Importar cuentas de
usuario mediante
cmdlets PowerShell
Configure password-policy and account- Gestin del Gestin del entorno -

lockout settings entorno Creacin de una PSO
Configure managed service accounts Gestin del entorno -

Creacin de una
cuenta de servicio
Implementing a Group Policy Gestin del Gestin del entorno
Infrastructure entorno
Understand Group Policy Gestin del

entorno
Implement and administer GPOs Gestin del Gestin del entorno -

entorno Creacin y
configuracin de una
directiva de grupo
Manage Group Policy scope Gestin del Gestin del entorno -

entorno Creacin y
configuracin de una
directiva de grupo
Process Group Policy Gestin del

entorno
Troubleshoot the application of GPOs Gestin del Gestin del entorno -

entorno Creacin de un
informe RSOP
Managing User Desktops with Group Implementar Implementar las

Policy las directivas directivas de grupo
de grupo
Describe and implement Administrative Implementar

Templates las directivas
de grupo
Configure folder redirection and scripts by Implementar Implementar las

using GPOs las directivas directivas de grupo -
de grupo Configuracin de la
redireccin de
carpetas
Configure GPO preferences Implementar Implementar las

las directivas directivas de grupo -
de grupo Implementacin de las
preferencias
Deploy software by using GPOs Implementar Implementar las

las directivas directivas de grupo -
de grupo Despliegue de
aplicaciones mediante
una directiva de grupo
Configuring and Troubleshooting Remote Configuracin Configuracin del

Access del acceso acceso remoto
remoto
Configure network access Configuracin

del acceso
remoto
Create and configure a VPN solution Configuracin Configuracin del

del acceso acceso remoto -
remoto Configuracin de un
servidor VPN
Configuracin del
acceso remoto -
Configuracin del
cliente VPN
Describe the role of network policies Configuracin

del acceso
remoto
Troubleshoot routing and remote access Configuracin

del acceso
remoto
Configure DirectAccess Configuracin Configuracin del

remoto Configuracin de
DirectAccess
Configuracin del
acceso remoto -
Configuracin del
cliente DirectAccess
Installing, Configuring, and Configuracin Configuracin del

Troubleshooting the Network Policy del acceso acceso remoto
Server Role remoto
Install and configure NPS Configuracin Configuracin del

del acceso acceso remoto
remoto
Configure RADIUS clients and servers Configuracin

del acceso
remoto
Explain NPS authentication methods Configuracin Configuracin del

remoto Configuracin de un
servidor VPN
Monitor and troubleshoot NPS Configuracin

del acceso
remoto
Implementing Network Access Protection
Describe how NAP can help protect your Implementar la

network solucin NAP
Describe the various NAP enforcement Implementar la

processes solucin NAP
Configure NAP Implementar la Implementar la

solucin NAP solucin NAP -
Configuracin de los
componentes NAP
Monitor and troubleshoot NAP Implementar la

solucin NAP
Optimizing File Services Optimizacin de Optimizacin de los

los servicios de servicios de archivos
archivos
Describe FSRM Optimizacin de

los servicios de
archivos
Use FSRM to manage quotas, file screens, Optimizacin de Optimizacin de los

and storage reports los servicios de servicios de archivos -
archivos Implementacin de
una poltica de filtrado
por extensin
Optimizacin de los
servicios de archivos -
Uso de los informes
de almacenamiento
Implement classification and file Optimizacin de Optimizacin de los

management tasks los servicios de servicios de archivos -
archivos Configuracin de la
clasificacin
Describe DFS Optimizacin de

los servicios de
archivos
Configure DFS namespaces Optimizacin de Optimizacin de los

los servicios de servicios de archivos -
archivos Instalacin y
configuracin del
servidor DFS
Configure and troubleshoot DFS Replication Optimizacin de

los servicios de
archivos
Configuring Encryption and Advanced Cifrado de Cifrado de datos y

Auditing datos y auditora
auditora
Encrypt files by using Encrypting File Cifrado de

System (EFS) datos y
auditora
Configure advanced auditing Cifrado de Cifrado de datos y

datos y auditora -
auditora Configuracin de una
poltica de auditora
avanzada
Cifrado de datos y
auditora - Auditar las
modificaciones en
Active Directory
Cifrado de datos y
auditora - Auditora
de los accesos a una
carpeta
Implementing Update Management Implementacin Implementacin del

del servidor servidor WSUS
WSUS
Describe the role of WSUS Implementacin

del servidor
WSUS
Deploy updates with WSUS Implementacin Implementacin del

del servidor servidor WSUS -
WSUS Instalacin y
configuracin del rol
WSUS
Implementacin del
servidor WSUS -
Aprobacin y
despliegue de
actualizaciones
Implementacin del
servidor WSUS -
Creacin de informes
Monitoring Windows Server 2012/2012 Supervisin de Supervisin de

R2 servidores servidores
Describe the monitoring tools for Windows Supervisin de

Server servidores
Use Performance Monitor to view and Supervisin de Supervisin de

analyze performance statistics of programs servidores servidores - Uso del
that are running on your servers Monitor de
rendimiento
Supervisin de
servidores - Creacin
de una vista
personalizada
Monitor event logs to view and interpret the Supervisin de Supervisin de

events that occurred servidores servidores - Asociar
una tarea a un evento
Supervisin de
servidores -
Implementar y utilizar
suscripciones

70-411 Windows Server 2012 R2 - Administración

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

70-411 Windows Server 2012 R2 - Administración

Uploaded by

Copyright:

Available Formats

Windows Server 2012 R2 - Administracin

Preparacin para la certificacin MCSA - Examen 70-411

A. Organizacin de las certificaciones 12

B. Cmo se organiza este libro 12

C. Competencias probadas tras el examen 70-411 14

D. Las mquinas virtuales utilizadas 14

E. El administrador del servidor 14

F. Servidor en modo instalacin mnima 25

Captulo 2 Instalacin del entorno de pruebas

www.ediciones-eni.com Ediciones ENI 1/13

B. Creacin de las mquinas virtuales 43

Captulo 3 Gestin de un directorio AD DS

B. Presentacin de Active Directory Domain Services 64

C. Implementacin de controladores de dominio virtualizados 69

1. Gestin del almacenamiento en cach en un RODC 71

www.ediciones-eni.com Ediciones ENI 2/13

E. Administracin de Active Directory 72

F. Gestin de la base de datos 75

1. La base de datos de Active Directory 75

G. Trabajos prcticos: Administracin de Active Directory 78

H. Validacin de conocimientos adquiridos: preguntas/respuestas 120

Captulo 4 Gestin del entorno

B. Automatizacin de la gestin de cuentas de usuario 126

1. Configuracin de la poltica de seguridad 128

C. Directivas de grupo 135

1. Gestin de la configuracin 135

www.ediciones-eni.com Ediciones ENI 3/13

4. Directivas de grupo por defecto 136

D. Implementacin y administracin de las directivas de grupo 141

E. Mantenimiento de una directiva de grupo 147

F. Trabajos prcticos: Gestin del entorno del usuario 152

G. Validacin de conocimientos adquiridos: preguntas/respuestas 169

Captulo 5 Implementar las directivas de grupo

B. Plantillas administrativas 174

1. Los archivos ADMX y ADML 174

www.ediciones-eni.com Ediciones ENI 4/13

3. Uso de filtros sobre las plantillas administrativas 175

C. Configuracin de la redireccin de carpetas y de scripts 176

D. Configuracin de las preferencias de las directivas de grupo 178

E. Gestin de aplicaciones con ayuda de GPO 179

F. Trabajos prcticos: Gestin de los puestos de usuario 180

G. Validacin de conocimientos adquiridos: preguntas/respuestas 193

Captulo 6 Implementar un servidor DHCP

B. Rol del servicio DHCP 196

1. Funcionamiento de la concesin de una direccin IP 196

C. Instalacin y configuracin del rol DHCP 198

D. Base de datos DHCP 210

www.ediciones-eni.com Ediciones ENI 5/13

1. Presentacin de la base de datos DHCP 210

E. Alta disponibilidad del servicio DHCP 216

1. Especificaciones de IPAM 217

G. Trabajos prcticos: Instalacin y configuracin del rol DHCP 218

H. Validacin de conocimientos adquiridos: preguntas/respuestas 249

Captulo 7 Configuracin y mantenimiento de DNS

B. Instalacin de DNS 254

1. Visin general del espacio de nombres DNS 254

C. Configuracin del rol 256

1. Componentes del servidor 256

D. Configuracin de las zonas DNS 259

1. Visin general de las zonas DNS 259

www.ediciones-eni.com Ediciones ENI 6/13

3. Delegacin de zona DNS 261

E. Configuracin de la transferencia de zona 261

F. Administracin y resolucin de errores del servidor DNS 262