Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER

ADMINISTRACIÓN DEWINDOWS 2000 SERVER

Limitaciones de disco dinámico y volumen dinámico

TAREAS DE GESTIÓN DE DISCOTrabajo con volúmenes simplesTrabajo con volúmenes distribuidosCombinación de espacio libre para crear un volumendistribuidoExtensión y borradoTrabajo con volúmenes seccionadosAgregado de discosInstalación de discos nuevosInstalación de un disco eliminado de otra computadoraInstalación de varios discos eliminados de otracomputadoraCambio del tipo de almacenamiento

CLASE PRÁCTICA 12

CLASE TEÓRICA 11

WINDOWS 2000 SERVERWindows 2000 ProfessionalWindows 2000 ServerWindows 2000 Advanced ServerWindows 2000 Datacenter ServerEl entorno de Windows 2000Capacidad de MultitareaCapacidades de varios subprocesosSistemas de ArchivosSeguridadCompatibilidadSistema Operativo Modular

PLANIFICACIÓN DE UNA INSTALACIÓN DEWINDOWS 2000 SERVERPara realizar una correcta instalación e implementaciónde Windows 2000Lista de Compatibilidad de Hardware (HCL)Desconexión de dispositivos UPS

INSTALACIÓN DE WINDOWS 2000 SERVERProgramas de Instalación de Windows 2000 ServerProceso de InstalaciónFase Previa a la CopiaModo TextoModo GUI

CLASE PRÁCTICA 11

CLASE TEÓRICA 12

ADMINISTRACIÓN DE DISCOS EN WINDOWS2000 SERVERINTRODUCCIÓNAlmacenamiento, Particiones y tipos de VolúmenesTipos de almacenamientoAlmacenamiento básicoAlmacenamiento dinámico

TIPOS DE PA RTICIONES (DISCOS BÁSICOS)Particiones primariasParticiones extendidas

TIPOS DE VOLÚMENES (DISCOS DINÁMICOS)Volúmenes simplesVolumen distribuidoVolumen con espejoVolumen seccionadoVolumen RAID-5

Índice

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

CLASE TEÓRICA 13

SERVICIOS DE DIRECTORIO EN WINDOWS 2000SERVER: ACTIVE DIRECTO RY

INTRODUCCIÓNComponentes de Active DirectoryDominios

UNIDADES ORGANIZACIONALES - OUEnfoque de la políticaConsideraciones de OU

¿CREAR DOMINIOS O CREAR OU?Razones para crear dominiosRazones para no crear dominiosCuándo crear unidades organizacionalesCuándo no crear Unidades organizacionales

ÁRBOLES Y BOSQUESÁrboles

BOSQUES

SITIOS

UBICACIÓN DEL CONTROLADOR DE DOMINIO(DC)

UBICACIÓN DE LOS SERVICIOS

CLASE PRÁCTICA 13

CLASE TEÓRICA 14

ADMINISTRACIÓN DE ACTIVE DIRECTO RY ENWINDOWS 2000 SERVERCONSOLAS ADMINISTRATIVAS MICROSOFT(MMC)Complementos

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

CONFIGURACIÓN MANUAL Y AUTOMÁTICA DETCP/IPProceso de leasing de DHCP ServerDHCPDISCOVERDHCPOFFERDHCPREQUESTDHCPACK

RENOVACIÓN Y LIBERACIÓN DE UN LEASING DEIPForzar una renovación de leasing utilizando IpconfigForzar la liberación o término de un leasing

INSTALACIÓN Y CONFIGURACIÓN DE UNSERVIDOR DHCPRequisitos para el funcionamiento del servicio DHCPen un servidor Windows 2000Requisitos para ser un host cliente de DHCP

ÁMBITOS DHCPConfiguraciones de un ámbitoReserva de clienteAutorización del servidor DHCP

COPIA DE SEGURIDAD Y RESTAURACIÓN DE LABASE DE DATOS DE DHCPCopia de seguridad de la base de datos de DHCP

CLASE PRÁCTICA 15

CLASE TEÓRICA 16

SERVIDORES DE NOMBRES DE INTERNET DEWINDOWS (WINS)INTRODUCCIÓN

PROCESO DE RESOLUCIÓN DE NOMBRESWINSREGISTRO DE NOMBRESNombres ya registradosServidor WINS inaccesible

RENOVACIÓN DE NOMBRES

LIBERACIÓN DE NOMBRES

Opciones de MMC

CUENTAS DE USUARIO EN WINDOWS 2000Cuenta de Usuario de DominioCuenta de Usuario LocalCuentas de Usuario Predefinidas

ADMINISTRADORInvitado

CONSIDERACIONES PARA LAS CUENTAS DEUSUARIOConvenios de denominaciónRequisitos de contraseñas

COMPLEMENTO USUARIOS Y EQUIPOS DEACTIVE DIRECTORYPERFILES DE USUARIOPerfil MóvilPerfil Obligatorio

REINICIAR UNA CONTRASEÑA Y DESBLOQUEARUNA CUENTA DE USUARIOReestablecer una contraseñaDesbloqueo de cuentas

GRUPOS EN WINDOWS 2000TIPOS DE GRUPO

ÁMBITOS DE GRUPOGrupos locales de dominioGrupos GlobalesGrupos UniversalesPertenencia de un Grupo

ADMINISTRACIÓN DE IMPRESORAS ENWINDOWS 2000 SERVER Y AD.Impresión en Windows 2000

PLANIFICACIÓN DE UN SISTEMA DE IMPRESIÓNEN RED

CONFIGURACIONES DE IMPRESIÓN

ADMINISTRACIÓN DE LAS IMPRESORAS DE REDGrupos de impresoras

IMPRESORAS EN ACTIVE DIRECTO RY

PUBLICACIÓN EN AD DE IMPRESORAS ENSERVIDORES NO WINDOWS 2000

CLASE PRÁCTICA 14

CLASE TEÓRICA 15

SERVIDORES DHCP EN WINDOWS 2000SERVERINTRODUCCIÓN

○ ○ ○ ○

○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

Búsqueda de nombres

IMPLEMENTACIÓN DE UN SERVIDOR WINS

SOPORTE PARA CLIENTES NO WINSResolución estáticaCONFIGURACIÓN DE UN AGENTE PROXY DEWINSRegistro de nombres NetBIOSResolución de nombres NetBIOS

SERVIDORES DE NOMBRES DE DOMINIO (DNS)INTRODUCCIÓNEspacio de nombres de dominioDominio raíz

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

Dominios del nivel superiorDominios de segundo nivel

NOMBRES DE HOSTS

NORMAS PARA LA DENOMINACIÓN DEDOMINIOS

ZONAS DNSServidores de nombres

PROCESO DE RESOLUCIÓN DE NOMBRESBúsqueda directaCaché de servidores de nombresBúsqueda inversa

TIPOS DE ZONA

CLASE PRÁCTICA 16

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○

○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

CLASE TEÓRICA 17

Servicios de Ruteo y Acceso Remoto en W indows 2000Server (RRAS)INTRODUCCIÓN

CARACTERÍSTICAS DEL SERVICIO RRAS

SOPORTE IP UNIDIFUSIÓN

SOPORTE IP MULTIDIFUSIÓN

SOPORTE PARA IPX

SERVICIO DE ACCESO REMOTO (RAS)

CONEXIONES DE ACCESO REMOTOClientes de acceso remotoServidor de acceso remotoEl equipo de acceso remoto y la infraestructura W .A.NProtocolos de acceso remoto

SEGURIDAD DE LOS ACCESOS REMOTOSAutenticación y autorizaciónAutenticación de usuarios segurosAutenticación reciprocaCifrado de datosCallBack (devolución de llamado)Identificador de llamadaBloqueo de cuentas de acceso remoto

REGISTRO DE AUTENTICACIONES

REGISTRO DE EVENTOS

CLASE PRÁCTICA 17

CLASE TEÓRICA 18

Servidores de Servicios de Información de Internet enWindows 2000 Server (IIS 5.0)INTRODUCCIÓN

SITIOS WEB Y FTPPropiedades y herencia de propiedadesGrupo OperadoresAdministración remota de sitios

ADMINISTRACIÓN DE SITIOSInicio y detención de sitiosDenominación de sitiosCompresión HTTPFTP y reinicio FTP

MECANISMOS DE SEGURIDADAutenticaciónCertificadosControl de accesoAuditoria

COPIA DE SEGURIDAD Y RECUPERACIÓN DE IIS

GESTIÓN DE LA PUBLICACIÓN WEBDAVClientes W ebDAVSeguridad IntegradaCreación de un directorio de publicaciónGestión de la seguridad W ebDAVControl de AccesoDenegación de servicio

CLASE PRÁCTICA 18

CLASE TEÓRICA 19

INTRODUCCIÓN AL MODELO BÁSICO DESEGURIDAD DE WINDOWS 2000 SERVER

INTRODUCCIÓN

AUTORIDAD DE SEGURIDAD LOCAL (LSA)

MONITOR DE REFERENCIA DE SEGURIDAD(SRM)

DERECHOS DE USUARIOPrivilegiosDerechos de inicio de sesión

DIRECTIVA DE SEGURIDAD LOCAL

DIRECTIVA DE GRUPO (GPO)

○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○

○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

CLASE TEÓRICA 21 344

POLÍTICAS DE GRUPO EN WINDOWS 2000 SEVER 344CAPACIDADES DE POLÍTICAS DE GRUPO 344

BENEFICIOS DE LAS POLÍTICAS DE GRUPO 344

LAS POLÍTICAS DE GRUPO Y ACTIVE DIRECTO RY 345

POLÍTICAS DE GRUPO Y GRUPOS DE SEGURIDAD 345

DESCRIPCIÓN GENERAL DE LAS POLÍTICAS DEGRUPO 345

CONFIGURACIONES DE LA COMPUTADORA YCONFIGURACIÓN DEL USUARIO 346

POLÍTICAS DE SOFTWARE 347Administración del software

DOCUMENTOS Y CONFIGURACIONES DELUSUARIO 348

CONFIGURACIONES DE SEGURIDAD 349

SCRIPTS 351

REQUERIMIENTOS ADMINISTRATIVOS DE LASPOLÍTICAS DE GRUPO 352

CONSIDERACIONES DE DISEÑO DE POLÍTICAS DEGRUPO 352Minimizar el uso de la función de herencia de políticas debloqueMinimizar el uso de la función de herencia de política defuerzaMinimizar el número de objetos de políticas de grupoasociados con usuarios en contenedores de ActiveDirectoryAnular las políticas de grupo basadas en usuarios conpolíticas de grupo basadas en computadoras sólo cuandosea necesarioEn lo posible no utilizar las asignaciones GPO a través dedominios.

ADMINISTRACIÓN DE OBJETOS DE POLÍTICAS DEGRUPO 354

CLASE PRÁCTICA 21 356

IMPLEMENTACIÓN DE LAS FUNCIONALIDADES DESEGURIDAD EN LOS SERVICIOS DEL SISTEMA

HERRAMIENTAS DE CONFIGURACIÓN DESEGURIDAD

COMPLEMENTOS DE CONFIGURACIÓN DESEGURIDADComplemento de plantillas de seguridadComplemento Configuración y análisis de seguridadExtensión de configuraciones de seguridad al editor deDirectiva de gruposPlantillas de seguridad, bases de datos y directivasPlantillas de seguridadPlantillas de seguridad pre-definidasPlantillas básicasPlantillas incrementales

BASES DE DATOS DE SEGURIDAD

CLASE PRÁCTICA 19

CLASE TEÓRICA 20

SERVICIOS DE TERMINAL SERVER EN WINDOWS 2000SERVERINTRODUCCIÓNACCESO REMOTO

GESTIÓN CENTRALIZADA

PLANIFICACIÓN DE LA INSTALACIÓN DE TERMINALSERVERConsideraciones para la memoria RAM del ServidorConsideraciones para la velocidad de CPU del servidorConsideraciones para los requerimientos de red del servidorPlanificación de la capacidad de trabajo del servidorInstalación de Terminal ServerInstalación de Terminal Server durante la instalación inicialde Windows 2000Instalación de Terminal Server en un equipo con Windows2000 Server

INSTALACIÓN DE PROGRAMAS EN SERVIDORESTERMINAL SERVER

ADMINISTRACIÓN DE TERMINAL SERVERBuscar servidores en todos los dominiosConectar a todos los servidoresGestión de las conexionesDesconexión de la sesiónReestablecer una sesiónCierre de una sesión

PROPIEDADES DE LAS CONEXIONES TERMINALSERVERModo Terminal Server

Eliminación de carpetas temporalesUtilización de carpetas temporales por sesiónLicencia de conector de Internet

CLIENTES DE TERMINAL SERVER

CLASE PRÁCTICA 20

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○


Servidores de infraestructura de llave pública en Windows2000 Server 360

INTRODUCCIÓN 360

CRIPTOGRAFÍA DE CLAVES PÚBLICAS 360Funcionalidad de claves públicas

FIRMAS DIGITALES 361

AUTENTICACIÓN 361

CONVENIO DE CLAVES SECRETAS A TRAVÉS DE UNACLAVE PÚBLICA 362

ENCRIPTACIÓN DE DATOS MASIVOS SIN CLAVESSECRETAS COMPA RTIDAS ANTERIORES 362

PROTEGER Y CONFIAR CLAVESCRIPTOGRÁFICAS 363

CERTIFICADOS 363

AUTORIDADES DE CERTIFICACIÓN 363

CONFIANZA Y VALIDACIÓN 364

COMPONENTES WINDOWS 2000 PKI 365

JERARQUÍAS DE CERTIFICACIÓN 366

INSTALAR UNA CA EMPRESARIAL 367

USAR CLAVES Y CERTIFICADOS 369

RECUPERACIÓN 369



Servicios de correo en Windows 2000 376

FUNCIONAMIENTO 376

EJEMPLO DE UNA COMUNICACIÓN SMTP 378

RESUMEN SIMPLE DEL FUNCIONAMIENTO DELPROTOCOLO SMTP 378

FORMATO DEL MENSAJE 380

SEGURIDAD Y SPA M 380

ESPECIFICACIONES DEL PROTOCOLO SMTP 380

FUNCIONAMIENTO DE SMTP 382

SMTP Y EL DNS 383SERVIDORES DE CORREO POP («POST OFFICEPROTOCOL») 384

DIRECCIONANDO BUZONES EN SERVIDORES 385

USANDO DNS PARA DIRIGIR CORREO 385



IntelliMirror en Windows 2000 Server 392

INTRODUCCIÓN 392FUNCIONES PRINCIPALES DE INTELLIMIRROR 392

ROL DE LA POLÍTICA DE GRUPO ENINTELLIMIRROR 393

M AYOR DISPONIBILIDAD DEL AMBIENTEPERSONAL 393

ADMINISTRACIÓN DE DATOS DEL USUARIO 394

INSTALACIÓN Y MANTENIMIENTO DEL SOFTWARE 395

ADMINISTRACIÓN DE CONFIGURACIONES DELUSUARIO 396

ESCENARIO 1: NUEVA CONTRATACIÓN 397

TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO 399

ESCENARIO 2: PRIMERA CONEXIÓN 399

TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO YWINDOWS INSTALLER 399

ESCENARIO 3: LLEVAR UNA LAPTOP DENTRO O FUERADE CASA 400

TECNOLOGÍA UTILIZADA: CARPETAS DE POLÍTICA DEGRUPO Y FUERA DE LÍNEA 400

ESCENARIO 4: REGRESO A LA RED CON UNALAPTOP 401Tecnología utilizada: Configuraciones de los datos delusuarioEscenario 5: Software de autorreparación

TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO YWINDOWS INSTALLER 402Escenario 6: Reemplazo de una computadoraTecnología utilizada: Infraestructura IntelliMirror


○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

MÓDULO

2Administración de Windows 2000 Server

Este módulo le permitirá comenzar a recorrer el caminode los sistemas para la administración de redes basa-dos en plataformas Windows, siendo Windows 2000Server la plataforma de administración de redes mas di-fundida a nivel corporativo mundialmente.

Windows 2000 Server propone una gran cantidad deservicios de valor agregado y fácil implementación, lo quepermite el desarrollo de una infraestructura de red com-pleta.

Dominar completamente el funcionamiento de la plata-forma Windows 2000 es una condición imprescindiblede cualquier administrador de red, ya que esto lo habili-tará para el desarrollo, implementación y mantenimientode una estructura de red de características avanzadas.

Orgnización

de

Contenidos

CLASE TEÓRICA 11

WINDOWS 2000 SERVERWindows 2000 ProfessionalWindows 2000 ServerWindows 2000 Advanced ServerWindows 2000 Datacenter ServerEl entorno de Windows 2000Capacidad de MultitareaCapacidades de varios subprocesosSistemas de ArchivosSeguridadCompatibilidadSistema Operativo Modular

PLANIFICACIÓN DE UNAINSTALACIÓN DEWINDOWS 2000 SERVERPara realizar una correcta instalación eimplementación de Windows 2000Lista de Compatibilidad de Hardware(HCL)Desconexión de dispositivos UPS

INSTALACIÓN DE WINDOWS 2000SERVERProgramas de Instalación de Windows2000 ServerProceso de InstalaciónFase Previa a la CopiaModo TextoModo GUI

CLASE TEÓRICA 12

ADMINISTRACIÓN DE DISCOS ENWINDOWS2000 SERVERINTRODUCCIÓNAlmacenamiento, Particiones y tipos deVolúmenesTipos de almacenamientoAlmacenamiento básicoAlmacenamiento dinámico

TIPOS DE PA RTICIONES (DISCOSBÁSICOS)

Clase

Orgnización

de

Contenidos

Particiones primariasParticiones extendidas

TIPOS DE VOLÚMENES (DISCOS DINÁMICOS)Volúmenes simplesVolumen distribuidoVolumen con espejoVolumen seccionadoVolumen RAID-5Limitaciones de disco dinámico y volumendinámico

TAREAS DE GESTIÓN DE DISCOTrabajo con volúmenes simplesTrabajo con volúmenes distribuidosCombinación de espacio libre para crear unvolumen distribuidoExtensión y borradoTrabajo con volúmenes seccionadosAgregado de discosInstalación de discos nuevosInstalación de un disco eliminado de otracomputadoraInstalación de varios discos eliminados de otracomputadoraCambio del tipo de almacenamiento

CLASE TEÓRICA 13

SERVICIOS DE DIRECTORIO EN WINDOWS2000 SERVER: ACTIVE DIRECTO RY

INTRODUCCIÓNComponentes de Active DirectoryDominios

UNIDADES ORGANIZACIONALES - OUEnfoque de la políticaConsideraciones de OU

¿CREAR DOMINIOS O CREAR OU?Razones para crear dominiosRazones para no crear dominiosCuándo crear unidades organizacionalesCuándo no crear Unidades organizacionales

ÁRBOLES Y BOSQUESÁrboles

BOSQUES

SITIOS

UBICACIÓN DEL CONTROLADOR DE DOMI-NIO (DC)UBICACIÓN DE LOS SERVICIOS

CLASE TEÓRICA 14

ADMINISTRACIÓN DE ACTIVE DIRECTO RY ENWINDOWS 2000 SERVERCONSOLAS ADMINISTRATIVAS MICROSOFT(MMC)ComplementosOpciones de MMC

CUENTAS DE USUARIO EN WINDOWS 2000Cuenta de Usuario de DominioCuenta de Usuario LocalCuentas de Usuario Predefinidas

ADMINISTRADORInvitado

CONSIDERACIONES PARA LAS CUENTAS DEUSUARIOConvenios de denominaciónRequisitos de contraseñas

COMPLEMENTO USUARIOS Y EQUIPOS DEACTIVE DIRECTORYPERFILES DE USUARIOPerfil MóvilPerfil Obligatorio

REINICIAR UNA CONTRASEÑA Y DESBLO-QUEAR UNA CUENTA DE USUARIOReestablecer una contraseñaDesbloqueo de cuentas

GRUPOS EN WINDOWS 2000TIPOS DE GRUPO

ÁMBITOS DE GRUPOGrupos locales de dominioGrupos GlobalesGrupos UniversalesPertenencia de un Grupo

ADMINISTRACIÓN DE IMPRESORAS ENWINDOWS 2000 SERVER Y AD.Impresión en Windows 2000

PLANIFICACIÓN DE UN SISTEMA DE IMPRE-SIÓN EN RED


ADMINISTRACIÓN DE LAS IMPRESORAS DEREDGrupos de impresoras


PUBLICACIÓN EN AD DE IMPRESORAS ENSERVIDORES NO WINDOWS 2000

Clase

Orgnización

de

Contenidos

CLASE TEÓRICA 15

SERVIDORES DHCP EN WINDOWS 2000SERVERINTRODUCCIÓNCONFIGURACIÓN MANUAL Y AUTOMÁTICA DETCP/IPProceso de leasing de DHCP ServerDHCPDISCOVERDHCPOFFERDHCPREQUESTDHCPACK

RENOVACIÓN Y LIBERACIÓN DE UN LEASINGDEIPForzar una renovación de leasing utilizandoIpconfigForzar la liberación o término de un leasing

INSTALACIÓN Y CONFIGURACIÓN DE UNSERVIDOR DHCPRequisitos para el funcionamiento del servicioDHCPen un servidor Windows 2000Requisitos para ser un host cliente de DHCP

ÁMBITOS DHCPConfiguraciones de un ámbitoReserva de clienteAutorización del servidor DHCP

COPIA DE SEGURIDAD Y RESTAURACIÓN DELABASE DE DATOS DE DHCPCopia de seguridad de la base de datos de DHCP

CLASE TEÓRICA 16

SERVIDORES DE NOMBRES DE INTERNET DEWINDOWS (WINS)INTRODUCCIÓN

PROCESO DE RESOLUCIÓN DE NOMBRESWINSREGISTRO DE NOMBRESNombres ya registradosServidor WINS inaccesible





SOPORTE PARA CLIENTES NO WINSResolución estáticaCONFIGURACIÓN DE UN AGENTE PROXY DE

CLASE TEÓRICA 17

Servicios de Ruteo y Acceso Remoto en W indows2000 Server (RRAS)INTRODUCCIÓN




SOPORTE PARA IPX


CONEXIONES DE ACCESO REMOTOClientes de acceso remotoServidor de acceso remotoEl equipo de acceso remoto y la infraestructuraW .A.NProtocolos de acceso remoto

SEGURIDAD DE LOS ACCESOS REMOTOSAutenticación y autorizaciónAutenticación de usuarios segurosAutenticación reciprocaCifrado de datosCallBack (devolución de llamado)Identificador de llamadaBloqueo de cuentas de acceso remoto


WINSRegistro de nombres NetBIOSResolución de nombres NetBIOS

SERVIDORES DE NOMBRES DE DOMINIO (DNS)INTRODUCCIÓNEspacio de nombres de dominioDominio raízDominios del nivel superiorDominios de segundo nivel

NOMBRES DE HOSTS

NORMAS PARA LA DENOMINACIÓN DEDOMINIOS

ZONAS DNSServidores de nombres

PROCESO DE RESOLUCIÓN DE NOMBRESBúsqueda directaCaché de servidores de nombresBúsqueda inversa

TIPOS DE ZONA

Clase

Orgnización

de

Contenidos

REGISTRO DE EVENTOS

CLASE TEÓRICA 18

Servidores de Servicios de Información de Interneten Windows 2000 Server (IIS 5.0)INTRODUCCIÓN

SITIOS WEB Y FTPPropiedades y herencia de propiedadesGrupo OperadoresAdministración remota de sitios

ADMINISTRACIÓN DE SITIOSInicio y detención de sitiosDenominación de sitiosCompresión HTTPFTP y reinicio FTP

MECANISMOS DE SEGURIDADAutenticaciónCertificadosControl de accesoAuditoria

COPIA DE SEGURIDAD Y RECUPERACIÓN DEIIS

GESTIÓN DE LA PUBLICACIÓN WEBDAVClientes W ebDAVSeguridad IntegradaCreación de un directorio de publicaciónGestión de la seguridad W ebDAVControl de AccesoDenegación de servicio

CLASE TEÓRICA 19

INTRODUCCIÓN AL MODELO BÁSICO DESEGURIDAD DE WINDOWS 2000 SERVER

INTRODUCCIÓN


MONITOR DE REFERENCIA DE SEGURIDAD(SRM)DERECHOS DE USUARIOPrivilegiosDerechos de inicio de sesión



IMPLEMENTACIÓN DE LAS FUNCIONALIDADESDE SEGURIDAD EN LOS SERVICIOS DEL SISTE-M A

HERRAMIENTAS DE CONFIGURACIÓN DESEGURIDAD

COMPLEMENTOS DE CONFIGURACIÓN DESEGURIDADComplemento de plantillas de seguridadComplemento Configuración y análisis de seguridadExtensión de configuraciones de seguridad aleditor de Directiva de gruposPlantillas de seguridad, bases de datos y directivasPlantillas de seguridadPlantillas de seguridad pre-definidasPlantillas básicasPlantillas incrementales


CLASE TEÓRICA 20

SERVICIOS DE TERMINAL SERVER ENWINDOWS 2000 SERVERINTRODUCCIÓNACCESO REMOTO


PLANIFICACIÓN DE LA INSTALACIÓN DETERMINAL SERVERConsideraciones para la memoria RAM del ServidorConsideraciones para la velocidad de CPU delservidorConsideraciones para los requerimientos de red delservidorPlanificación de la capacidad de trabajo del servidorInstalación de Terminal ServerInstalación de Terminal Server durante la instalacióninicial de Windows 2000Instalación de Terminal Server en un equipo conW indows 2000 Server

INSTALACIÓN DE PROGRAMAS EN SERVIDO-RES TERMINAL SERVER

ADMINISTRACIÓN DE TERMINAL SERVERBuscar servidores en todos los dominiosConectar a todos los servidoresGestión de las conexionesDesconexión de la sesiónReestablecer una sesiónCierre de una sesión

170 Windows 2000 Server

Windows 2000 es un sistema operativo con varios propósitos, con un soporteintegrado para redes servidor-cliente y de trabajo en grupo. La familia deproductos Windows 2000 se diseño teniendo en cuenta las necesidades deaumentar la fiabilidad de los sistemas de servidores así como también paraproporcionar mayores niveles de disponibilidad del sistema y generardimensionalidad pasando desde una pequeña red L.A.N a redes de gran escalatipo W.A.N.

La plataforma Windows 2000 provee a los administradores de red mayor controlsobre las redes que controla e infraestructuras cliente-servidor, optimizando laflexibilidad a la vez que se consigue un control centralizado típicamente asociadoa un modelo de computadora central (mainframe).

Windows 2000 se comercializa en cuatro versiones, las cuales varían en cuantoa las necesidades de administración de una red.

Windows 2000 Professional

Windows 2000 Professional es el sistema operativo que está destinado a serun cliente de red seguro y una estación de trabajo corporativa. Soporta hasta 2procesadores y es útil, como sistema operativo autónomo (stand alone), paracorrer aplicaciones de alta performance, especialmente en diseño gráfico.

Windows 2000 Server

W indows 2000 Server: sucesor de NT Server, soporta hasta 4 procesadores yse encuentra preparado para trabajar como servidor de impresión, archivos,aplicaciones e, incluso, Web de una pequeña a mediana empresa.

W indows 2000 Advanced Server

W indows 2000 Advanced Server: sucesor de NT Server Enterprise Edition,soporta hasta 8 procesadores y se encuentra preparado para trabajar comoservidor departamental de aplicaciones en empresas medianas a grandes,con más de un dominio y tareas de misión crítica. Entre otras prestaciones, seincluye soporte para RAID y fault tolerance.

Windows 2000 Datacenter Server

Esta versión de Windows 2000 soporta hasta 16 procesadores y sólo sedistribuye a pedido. Se encuentra preparado para trabajar en grandes empresasque requieran data warehousing, análisis econométricos, simulaciones a granescala científicas y de ingeniería.

Windows 2000 Server

Clase teórica 11

Diccionario

RAID:

Sistema de hardwareo software medianteel cual es posibleconfigurar variosdiscos rígidos paraque el sistemaoperativo puedareconocerlo como unúnico disco, y de estamanera aumentar lacapacidad dealmacenamiento.

Foult Tolerance:

Sistema de tolerancia

a fallos.

DataWarehousing:

Almacenes dedatos típicamenteutilizadas porsistemas de basesde datos de altadensidad.

171Clase teórica 11

El entorno de Windows 2000

El entorno de Windows 2000 es el resultado directo de una evolución mixtaentre Windows NT (Sistema operativo servidor, anterior de Microsoft) y Windows98 (Sistema operativo para computadoras personales) lo que trae aparejadouna gran cantidad de características únicas.

Capacidad de Multitarea

Windows 2000 es compatible con 2 tipos de multitarea:

§ Preemptiva: La multitarea preemptiva implica un sistema deprogramación del procesador en el que el sistema operativo mantieneun fuerte control sobre el tiempo que un subproceso puede estarutilizando de manera exclusiva el procesador. Este sistema deprogramación se denomina preemptivo porque el sistema operativopuede decidir en cualquier momento alternar entre el subproceso enejecución y otro con mayor prioridad que lo solicite. La terminación delproceso con menor prioridad se denomina «derecho preferente».Windows 2000 es compatible con múltiples subprocesos, lo que permiteque se distribuyan varias tareas entre múltiples procesadores. Lasaplicaciones nativas de Windows 2000 se encuentran preparadas paraaprovechar los subprocesos, pero existen aplicaciones de tercerosfabricantes que no poseen esta capacidad.

§ Cooperativa: La multitarea cooperativa es un sistema de programacióndel procesador en el que las aplicaciones individuales controlan elprocesador mientras así lo desean. Sin embargo, este tipo de multitareapuede hacer que un sistema se bloquee si una aplicación falla a la horade ceder el control que ejerce sobre el procesador. En la época deWindows 95 o 98, este se ejecuta sobre DOS, un sistema operativocon un único subproceso. Por el contrario, las aplicaciones nativas de32bits de Windows 2000 no tienen esta limitación.

El funcionamiento predeterminado de Windows 2000 es que todas lasaplicaciones de 16 bits de Windows se ejecuten en una única máquina virtuala la que Windows solo le concede acceso preemptivo al procesador.

Capacidades de varios subprocesos

El termino «varios subprocesos» hace referencia al código diseñado en el que

Actividad

¿Qué es un sistema de RAID?

Windows 2000 Professional

Windows 2000 Server

W indows Advances Server

Windows Data center

Unir con flechas según corresponda:

8 Procesadores

4 Procesadores

2 Procesadores

16 Procesadores


las tareas individuales (subprocesos) dentro de un único espacio deprocesamiento, puede funcionar de forma separada e independiente comomódulos de ejecución ligeros denominados subprocesos.

Todos los subprocesos comparten los mismos recursos de memoria y desistema dentro de un proceso. En Windows 2000, se tarda unas 200 vecesmás en cambiar entre procesos de lo que se tarda en cambiar entresubprocesos.

El procesamiento de subprocesos múltiples permite que un sistema operativoejecute al mismo tiempo múltiples subprocesos. Si la computadora donde seejecutan múltiples subprocesos incluye varios procesadores, entonces lossubprocesos se pueden ejecutar simultáneamente, cada uno en un procesadordiferente. Incluso en una computadora con un único procesador la utilizaciónde subprocesos acelera la ejecución de aplicaciones. Los subprocesos creanun entorno en el que se pueden activar múltiples tareas entre el primer y segundoplano.

Sistemas de Archivos

Windows 2000 es compatible con tres sistemas de archivos:

FAT: (File Allocation Table - Tabla de Asignación de Archivos) es el sistema dearchivos utilizado por DOS y Windows 3. x. Windows 2000 utiliza unaimplementación de FAT denominada VFAT (Virtual FAT), la cual incluyecompatibilidad con nombres largos de archivos y volúmenes de disco de 4GB.

FAT32: Es una mejora de FAT que era parte de Windows 98. Windows 2000incluye compatibilidad con FAT32 principalmente para obtener mejoras en eltamaño de volúmenes de disco de 32GB.

NTFS: (New Technology File System - Sistema de Archivos de NuevaTecnología) es un sistema de archivos de alto rendimiento, seguro y orientadoa objetos. Este sistema de archivos posee compatibilidad con el sistema EFS(Encpripted File System - Sistema de Archivos Cifrado) el cual permite codificarmediante un algoritmo matemático cualquier dato guardado en un volumenNTFS.

Seguridad

Windows 2000 incorpora varias características de seguridad mediante unsistema de inicio de sesión de usuario seguro y obligatorio. Las característicasde seguridad promueven el uso de controles de acceso, eficaces y fiables atodos los recursos y activos de una red. Las características de seguridad deWindows 2000 incluyen:

Protección de memoria

Auditoria de sistemas en todos los niveles de sucesos y actividades.

Controles precisos sobre el acceso a archivos y directorios.

Controles precisos en todos los niveles de limitaciones de acceso a la red.

DiccionarioProceso:

Objeto creadodurante la ejecuciónde un programa quereside en un áreareservada dememoria asignada deforma exclusiva aeste y uno o mássubprocesos.

Subproceso:

Parte de código enejecución quepertenece a un

proceso.

Nota

Windows 2000 posee lacapacidad de tratar

procesadores únicos dedoble núcleo como

procesadores separados

independientes.


Existen proveedores que amplían u ofrecen mejoras de seguridad paraWindows 2000, mediante la utilización de hardware orientado a la seguridadcomo ser: Smartcards, sistemas de autenticación biométrica mediante lectoresde iris o de huellas dactilares.

Compatibilidad

Windows 2000 es compatible con una gran cantidad de aplicaciones, estacompatibilidad se logra gracias a un sistema de aplicación que emula el ambientenativo de cada tipo de aplicación. Windows 2000 crea una máquina virtual queemula el entorno nativo de las aplicaciones que lo requieren. Además de lasaplicaciones Win32, Windows 2000 es compatible con los siguientes tipos deaplicaciones:

DOS de 16bits

Nativas de 32bits

Basadas en caracteres de OS/2 1.x

Aplicaciones POSIX-1. La interfaz portátil del sistema operativo para UNIX

(POSIX Portable Operating System for UNIX) es una especificación de

sistema operativo independiente de la plataforma.

Windows 3. x

Nota

Cualquier aplicación queintente tener acceso

directamente al hardware,no funcionará en

W indows 2000. En elmomento en que unaaplicación intenta

acceder directamente alhardware, el sistemaoperativo detiene el

programa y finaliza todossus procesos. Esta

característica protege alsistema de posiblesinestabilidades.

Actividad

Sistema Operativo Modular

W indows 2000 es un sistema operativo modular. No está creado como unúnico y gran programa, sino que se compone de muchos elementos pequeñosde software denominados «módulos» que trabajan conjuntamente paraproporcionar las capacidades de red y de procesamiento del sistema.

Cada función, segmento de código y control de sistema reside dentro de unmódulo distinto, de forma que no hay dos módulos que compartan el mismocódigo. Este método de construcción permite una revisión, expansión yaplicación de cualquier reforma o mejora al sistema.

PLANIFICACIÓN DE UNA INSTALACIÓN DE WINDOWS 2000 SERVER

Para realizar una correcta instalación e implementación de Windows 2000

¿Qué es un proceso? ¿De qué manera Windows 2000 garantiza compatibilidadcon aplicaciones?

¿Qué es un subproceso?


Componente Requerimientos de Windows2000 Professional

Procesador Pentium 2000-MHz o superiores (o equivalente compatible)Windows 2000 Profesional soporta hasta 2 procesadores.Windows 2000 Server soporta hasta 4 procesadores.W indows 2000 Advanced Server soporta hasta 8 procesadores.Windows 2000 Data Center sorporta hasta 16 procesadores.

Requerimientos de Windows 2000Server.

Lista de Compatibilidad de Hardware (HCL)

La HCL proporciona una lista de todos los dispositivos de hardware compatiblescon Windows 2000 conocidos y sus controladores de dispositivo. Es muyrecomendable consultar la HCL antes de una instalación ya que Windows 2000es incompatible con algunos dispositivos de hardware. Independientemente deesto, Windows 2000 al comenzar la instalación comprueba automáticamente elhardware y software e informa sobre conflictos potenciales.

Windows 2000 controla directamente el hardware, al contrario de otros sistemasoperativos, Windows 2000 no necesita acceso al BIOS. Aunque esto permiteque Windows 2000 controlo el hardware en forma mas precisa, también significaque solo reconocerá hardware que posea controladores específicos para trabajarsobre Windows 2000. Esto se cumple mayormente con los adaptadores SCSI,placas de video y adaptadores de red.

Desconexión de dispositivos UPS

Si existe un equipo UPS conectado a la computadora es necesario desconectarel cable serie antes de ejecutar la instalación de Windows 2000. El programa deinstalación intenta detectar de manera automática dispositivos conectados alpuerto serie y el dispositivo UPS puede causar conflictos con el sistema dedetección.

Server es necesario como primera medida identificar los requisitos mínimos desistema.

Memoria 64 Megabytes (MB) mínimo recomendado.Mayor cantidad de memoria mejora elrendimiento.Soporta un máximo de 4 Giga Bytes.

256 Megabytes (MB) mínimo recomendado. Aunquesoporta 128 MB.Server= 4(GB) máximo soportado.Advanced Server= 8 (GB) máximo soportado

Espacio de disco 2 (GB) con al menos 1 (GB) de espaciolibre.

2 (GB) con al menos 1 (GB) de espacio libre. Si lainstalación se realiza por la red será necesarioaumentar el espacio libre.

Video Adaptador de video con resolución VGA o superior

Accesorios Teclado y mouse (u otro dispositivo con puntero o cursor)


INSTALACIÓN DE WINDOWS 2000 SERVER

Programas de Instalación de Windows 2000 Server

Sin importar el método de que se utilice para instalar Windows 2000 Server, sedebe ejecutar winnt.exe o winnt32.exe. Se puede utilizar el programa setup.exepara iniciar winnt.exe o winnt32.exe.

Para una instalación limpia sobre una computadora con MS-DOS o Windows 3.x, se deberá ejecutar winnt.exe desde la línea de comandos.

Para una instalación limpia o actualización desde Windows 95, 98 o NT se debeejecutar winnt32.exe.

Para una instalación limpia en una computadora sin sistema operativo, solo sedeberá configurar el BIOS para que arranque el sistema desde el CD deinstalación.

Proceso de Instalación

El proceso de instalación de Windows 2000 Server incluye tres fases o etapas:Fase Previa a la Copia, el Modo Texto y el modo GUI.

Fase Previa a la Copia

Durante la fase previa a la copia, todos los archivos necesarios para la instalación

Actividad

DiccionarioGUI:

Graphic UserInterfase - InterfazGráfica del Usuario,subsistema pormedio del cual,Windows 2000presenta informaciónen pantalla alusuario, en formagráfica

Esquema de actualización desde una versión anterior a Windows 2000

Controladores de

dominio

Servidores

Miembro

Windows NT

PDC o BDC Windows

NT 3.51 o 4.0

Controlador de Dominio

Windows 2000

Servidor miembro Windows

NT 3.51 o 4.0

Servidor Miembro

Windows 2000

Controlador de Dominio

Windows 2000

Windows NT 3.1 o 3.5 Windows 3.51 o 4.0 Windows 2000

Es necesario desconectar el UPS durante la instalaciónde Windows 2000?

¿Cuántas fases intervienen en la instalación deWindows 2000?


Instalaciones Existentes: Si el programa de instalación detecta instalacionesde Windows 2000 preexistentes las visualiza en una lista. Se puede seleccionaruna instalación anterior mediante el cursos y presionar R para repararla o Escpara continuar.

Particiones: El programa de instalación visualiza todas las particiones existentesasí como el espacio libre del sistema. Utilizando las teclas del cursor del tecladose puede seleccionar donde se desea instalar Windows 2000 Server. En estepunto se pueden crear o borrar particiones.

Sistemas de Archivos: El programa de instalación proporciona la opción demantener intacto el sistema de archivos actual opermite convertirlo a NTFS. Si no se deseacambiarlo hay que seleccionar la opción «Dejar elsistema de archivos actual intacto», que es lapredeterminada.El programa de instalación también examina eldisco rígido y copia los archivos necesarios para lainstalación desde el directorio temporal al directoriode instalación (WINNT es el directoriopredeterminado).

Modo GUI

Después de completar la parte de modo texto del programa de instalación, lacomputadora se reinicia y comienza el modo GUI. Esta fase permite seleccionarque componentes opcionales instalar y permite además seleccionar lacontraseña de administrador.

El modo GUI consiste en tres etapas:

1. Recopilación de información sobre la computadora2. Instalación de los componentes de red de Windows 2000 Server3. Completar la Instalación

se copian a directorios temporales en el disco rígido local.

Modo Texto

En la instalación en modo texto, esta solicita información necesaria para completarla instalación. Después de aceptar la licencia, se especifica o crea una particiónpara la instalación y se elige el sistema de archivos. Todos los archivos necesariospara la instalación se copian desde el directorio temporal (creado en la faseprevia a la copia).

Contrato de licencia de Windows 2000 Server: El contrato de licencia deW indows 2000 Server tiene varias páginas. Hay que utilizar la tecla Av.Pág. yRe.Pág para moverse por el texto y pulsar F8 para aceptar la licencia.


1.- Recopilación de información sobre la computadora

El estado de recopilación de información sobre la computadora consiste enuna serie de cuadros de dialogo que Windows 2000 Server utiliza para obtenerinformación de la configuración para la instalación del sistema. Durante estaetapa, se instalan y configuran las características de seguridad y dispositivos.

Parámetros regionales: Windows 2000 visualiza los parámetros regionalesactuales (predeterminados). Se puede añadir soporte para lenguajes adicionales,cambiar los parámetros de ubicación del sistema y también configurar losparámetros predeterminados de la cuenta de usuario.

Personalización del software: Cuando se configura el sistema, se debeintroducir el nombre al cual esta registrado Windows 2000. Además se puedeañadir el nombre de la organización, aunque esto es opcional.

Nombre de la computadora y contraseña del administrador: Cuando seinstala Windows 2000 se debe introducir un nombre para la computadora(nombre NetBIOS de hasta 15 caracteres). El nombre introducido debe serdiferente al nombre de otra computadora, grupo de trabajo o dominio.También se puede introducir una contraseña del administrador para la cuentausuario Administrador, la cual puede contener hasta 127 caracteres de longitudo se puede dejar en blanco. Windows 2000 puede diferenciar entre mayúsculasy minúsculas en la contraseña del administrador.

Administrador de componentes opcionales: El administrador decomponentes opcionales permite añadir o eliminar componentes adicionalesdespués de la instalación.

Parámetros de fecha y hora: Durante el proceso de instalación, se debeseleccionar la zona horaria adecuada y ajustar la fecha y hora.

2.- Instalación de los componentes de red de Windows 2000 Server

Cuando el programa de instalación completa la etapa de recopilación deinformación sobre la computadora se vuelve a la pantalla del programa deinstalación de Windows 2000. El programa de instalación examina lacomputadora en búsqueda de adaptadores de red instalados. Esta etapa suelellevar varios minutos.

Actividad

DiccionarioDHCP:

Dynamic HostConfigurationProtocol – Protocolode ConfiguraciónDinámico de Host,este sistema permiteal adaptador de redser configurado porun Servidor DHCP.

¿Qué es el modo de instalación GUI? ¿La memoria Virtual es importante para elfuncionamiento de Windows?


Configuración de red: La configuración de red de Windows 2000 comienzacon un cuadro de dialogo ofreciendo una elecciónentre configuración Típica (predeterminada) oPersonalizada. La configuración típica configura elsistema con todas las opciones predeterminadas:Cliente para Redes Microsoft, Archivos e ImpresorasCompartidas para Redes Microsoft y el protocoloTCP/IP configurado como cliente DHCP.

La configuración personalizada permite la configuración de los siguientes objetos:

· Clientes: El cliente predeterminado es el cliente para redes Microsoft.Se pueden añadir servicios de gateway y cliente para NetWare.

§ Servicios: El servicio predeterminado es archivos e impresoras pararedes Microsoft. Se puede añadir el agente SAP y el Programador depaquetes QoS.

§ Protocolos: El protocolo predeterminado el TCP/IP. Se pueden añadirprotocolos adicionales como NWLink IPX/SPX, NetBEUI, DLC, AppleTalk,el controlador del Monitor de Red, etc. También es posible modificar laconfiguración de los protocolos.

3.- Finalización del programa de instalación

La etapa de finalización del programa de instalación realiza las siguientesacciones y no requiere de la interacción con el usuario:


Tarea Descripción

Copia de archivos

El programa de instalación copia cualquier archivo restantenecesario en el directorio de instalación, tales como accesorios y

mapa de bits.

Configuración final de la

computadora

El programa de instalación crea un menú de inicio, grupos de programa,configura la cola de impresión, impresoras, servicios, la cuenta deladministrador, fuentes, archivo de memoria virtual y registra las

bibliotecas dinámicas (DLL - Dynamic Link Library).

Guardar la configuraciónEl programa de instalación guarda la configuración en el registro, se

crea el directorio de reparación y se reinicia Boot.ini

Eliminar archivos temporalesEl programa de instalación elimina los archivos temporales y directorioscreados y utilizados durante la instalación y compacta las secciones

del sistema del registro.

Primer arranque de Windows 2000 Server, después de la

instalación.

DiccionarioMemoria Virtual:

Archivo de paginaciónque Windows crea enel disco rígido paraguardar procesosinactivos de memoriahasta que sonrequeridos y asípoder liberarmemoria RAM para elsistema.

Registro:

Base de datos delsistema que guardareferencia de cadaobjeto que componeal sistema.

DLL:

Mantienefuncionalidades orecursos que utilizanlas aplicaciones, escomún que variosprogramas utilicenuna misma DLL.

Windows 2000 Server180

Clase práctica 11

Configuración TCP/IP y administración de Discos

Para la siguiente práctica se asumirá que el alumno dispone de un cd booteable deWindows 2000 Server y que el disco del equipo se encuentra limpio (sin ninguna partición).

Instalación del Servidor 1 (MGP-SRV01):

Ejercicio 1:

Iniciar la maquina desde el CD de arranque de Windows 2000 (estableciendo la secuenciacorrecta de arranque en el setup)

Una vez iniciado el programa de instalación proceder de la siguiente manera:

· Presionar la tecla ENTER à Instalar Windows 2000· Presionar la tecla «C» à Continuar con la siguiente pantalla· Presionar la tecla F8 à Aceptar el contrato de licencia· Presionar la tecla «C» para crear una nueva partición y establecer la siguiente

configuración:· Tamaño de la partición a crear (en MB): 2000· Presionar la tecla ENTER à Volver al menú anterior· Seleccionar la opción «C: Nuevo (No formateado) 2000 MB»

y presionar ENTER à establece cual será la partición de destino· Seleccionar la opción «Formatear la partición utilizando el formato de archivos FAT»

y presionar ENTER à establece el sistema de archivos a FAT, comienza el procesode formateo y copia de archivos de instalación al disco.

· Una vez finalizada la copia se procede a cargar el programa de instalación coninterfaz gráfica (segunda instancia de instalación)

· Hacer clic en el botón «Siguiente» à comienza el proceso de detección dedispositivos.

· Hacer clic en el botón «Personalizar» en la sección Configuración regional· Seleccionar la opción «Español (Argentina)» en el apartado «Su idioma

(ubicación):»· Hacer clic en el botón «Aceptar» à Realiza el cambio y vuelve a la ventana

principal· Hacer clic en el botón «Siguiente»· Establecer la siguiente configuración en la ventana de personalización de Software:

§ Nombre: Alumno§ Organización: MegaPack

· Hacer clic en el botón «Siguiente»· Seleccionar el licenciamiento «Por Servidor. Numero de conexiones concurrentes» y

establecer el valor a 70 à Indica que las conexiones máximas al servidor serán de70 simultaneas.

· Hacer clic en el botón «Siguiente»

Mediante la realización de esta práctica usted será capaz de realizar una correcta instalacion deWindows 2000 Server en un equipo servidor, mediante la personalización de la instalación del sistema yla realización de ajustes post-instalacion.

Los siguientes ejercicios están desarrollados para que usted pueda aplicarlos efectivamente en elámbito laboral, permitiéndole resolver problemas de manera eficaz y concreta.

Clase práctica 11 181

· Hacer clic en el botón «Siguiente»· Seleccionar la opción «Configuración Personalizada» y hacer clic en el botón

«Siguiente» en la ventana de Configuración de red.· Doble clic en «Protocolo Internet (TCP/IP)» à Acceder a las propiedades del

protocolo· Seleccionar la opción «Usar la siguiente dirección IP» y establecer la siguiente

configuración (dejar los demás casilleros en blanco):§ Dirección IP: 192.168.7.1§ Mascara de subred: 255.255.255.0

· Hacer clic en el botón «Aceptar» à Guardar la configuración· Hacer clic en el botón «Siguiente»· Hacer clic en el botón «Siguiente» à dejar la configuración del segundo adaptador

de red de manera predeterminada· Seleccionar la opción «No, este equipo no está en una red o está en una red sin

dominio» y establecer «MEGAPACK» como nombre del «Dominio o grupo de trabajo delequipo»

· Hacer clic en el botón «Siguiente» à comienza el proceso de instalación decomponentes

· Hacer clic en el botón «Finalizar» à Finaliza la instalación y reinicia el equipo· Una vez reiniciado el equipo presionar simultáneamente las teclas ctrl.+alt+supr à

Acceder a la interfaz de inicio de sesión· Colocar «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER

à Iniciar sesión como Administrador.· Seleccionar la opción «Configuraré este servidor mas tarde» y hacer clic en el botón

«Siguiente»· Desmarcar la opción «Mostrar esta pantalla al iniciar» y cerrar la ventana (hacer clic

en la X que se encuentra en el ángulo superior derecho de la ventana)· Desplegar el menú contextual (clic con el botón derecho del Mouse) en cualquier

parte libre del escritorio y seleccionar la opción «Propiedades» à Acceder a laspropiedades de pantalla

· Hacer clic en la solapa «Configuración» y arrastrar el selector del Area de pantallahasta que indique «800 por 600 pixeles»

· Hacer clic en el botón «Aceptar»· Hacer clic en el botón «Aceptar»

· Establecer la siguiente configuración en la ventana de Nombre de equipo ycontraseña del administrador:

§ Nombre de equipo: MGP-SRV01§ Contraseña de administrador: MgP393pDC§ Confirmar contraseña: MgP393pDC

· Hacer clic en el botón «Siguiente»· Hacer clic en el botón «Siguiente» en la ventana de selección de componentes a

instalar à Selecciona la Instalación básica· Seleccionar la opción «(GMT -3:00) Buenos Aires, Georgetown» en el apartado «Zona

horaria»

Windows 2000 Server182

Iniciar la maquina desde el CD de arranque de Windows 2000 (estableciendo la secuenciacorrecta de arranque en el setup)

Una vez iniciado el programa de instalación proceder de la siguiente manera:· Presionar la tecla ENTER à Instalar Windows 2000· Presionar la tecla «C» à Continuar con la siguiente pantalla· Presionar la tecla F8 à Aceptar el contrato de licencia· Presionar la tecla «C» para crear una nueva partición y establecer la siguiente

configuración:§ Tamaño de la partición a crear (en MB): 2000

· Presionar la tecla ENTER à Volver al menú anterior· Seleccionar la opción «C: Nuevo (No formateado) 2000

MB» y presionar ENTER à establece cual será la partición de destino· Seleccionar la opción «Formatear la partición utilizando el formato de archivos FAT»

y presionar ENTER à establece el sistema de archivos a FAT, comienza el proceso

Ejercicio 1:

Instalación del Servidor 2 (MGP-SRV02):

de formateo y copia de archivos de instalación al disco.· Una vez finalizada la copia se procede a cargar el programa de instalación con

interfaz gráfica (segunda instancia de instalación)· Hacer clic en el botón «Siguiente» à comienza el proceso de detección de

dispositivos.· Hacer clic en el botón «Personalizar» en la sección Configuración regional· Seleccionar la opción «Español (Argentina)» en el apartado «Su idioma (ubicación):»· Hacer clic en el botón «Aceptar» à Realiza el cambio y vuelve a la ventana principal· Hacer clic en el botón «Siguiente»· Establecer la siguiente configuración en la ventana de personalización de Software:




· Hacer clic en el botón «Siguiente»· Establecer la siguiente configuración en la ventana de Nombre de equipo y

contraseña del administrador:§ Nombre de equipo: MGP-SRV02§ Contraseña de administrador: MgP393pDC§ Confirmar contraseña: MgP393pDC


instalar à Selecciona la Instalación básica· Seleccionar la opción «(GMT -3:00) Buenos Aires, Georgetown» en el apartado

«Zona horaria»· Hacer clic en el botón «Siguiente»· Seleccionar la opción «Configuración Personalizada» y hacer clic en el botón

«Siguiente» en la ventana de Configuración de red.· Doble clic en «Protocolo Internet (TCP/IP)» à Acceder a las propiedades del

protocolo· Seleccionar la opción «Usar la siguiente dirección IP» y establecer la siguiente

configuración (dejar los demás casilleros en blanco):§ Dirección IP: 192.168.7.2§ Mascara de subred: 255.255.255.0

· Hacer clic en el botón «Aceptar» à Guardar la configuración


· Hacer clic en la solapa «Configuración» y arrastrar el selector del Area de pantallahasta que indique «800 por 600 pixeles»

· Hacer clic en el botón «Aceptar»· Hacer clic en el botón «Aceptar»· Hacer clic en el botón «Si» à indica que los cambios son aceptados

· Seleccionar la opción «Formatear la partición utilizando el formato de archivos FAT»y presionar ENTER à establece el sistema de archivos a FAT, comienza el procesode formateo y copia de archivos de instalación al disco.

· Una vez finalizada la copia se procede a cargar el programa de instalación coninterfaz gráfica (segunda instancia de instalación)

· Hacer clic en el botón «Siguiente» à comienza el proceso de detección dedispositivos.

· Hacer clic en el botón «Personalizar» en la sección Configuración regional· Seleccionar la opción «Español (Argentina)» en el apartado «Su idioma (ubicación):»· Hacer clic en el botón «Aceptar» à Realiza el cambio y vuelve a la ventana principal· Hacer clic en el botón «Siguiente»· Establecer la siguiente configuración en la ventana de personalización de Software:




· Hacer clic en el botón «Siguiente»· Establecer la siguiente configuración en la ventana de Nombre de equipo y

contraseña del administrador:§ Nombre de equipo: MGP-SRV01§ Contraseña de administrador: MgP393pDC§ Confirmar contraseña: MgP393pDC


instalar à Selecciona la Instalación básica· Seleccionar la opción «(GMT -3:00) Buenos Aires, Georgetown» en el apartado

«Zona horaria»

· Hacer clic en el botón «Siguiente»· Seleccionar la opción «No, este equipo no está en una red o está en una red sin

dominio» y establecer «MEGAPACK» como nombre del «Dominio o grupo de trabajodel equipo»

· Hacer clic en el botón «Siguiente» à comienza el proceso de instalación decomponentes

· Hacer clic en el botón «Finalizar» à Finaliza la instalación y reinicia el equipo· Una vez reiniciado el equipo presionar simultáneamente las teclas ctrl.+alt+supr à

Acceder a la interfaz de inicio de sesión· Colocar «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER

à Iniciar sesión como Administrador.· Seleccionar la opción «Configuraré este servidor mas tarde» y hacer clic en el botón

«Siguiente»· Desmarcar la opción «Mostrar esta pantalla al iniciar» y cerrar la ventana (hacer clic

en la X que se encuentra en el ángulo superior derecho de la ventana)· Desplegar el menú contextual (clic con el botón derecho del Mouse) en cualquier

parte libre del escritorio y seleccionar la opción «Propiedades» à Acceder a laspropiedades de pantalla

184 Administración de Discos en Windows 2000 Server

Administración de Discos en Windows 2000 Server

Clase teórica 12

INTRODUCCIÓN

Windows 2000 Server ofrece un sistema de administración de discos versátil através del sistema de almacenamiento de archivos. Con el almacenamientodinámico del sistema operativo Windows es compatible con discos de grancapacidad y ofrece tolerancia a errores, control de acceso y alto rendimiento.Estas características le permiten, también, mantener la compatibilidad conconfiguraciones de discos anteriores además de ser compatible con FAT32.

Antes de que se puedan almacenar datos en un nuevo disco rígido, se debeiniciar el disco con un tipo de almacenamiento, asignar particiones y darle formato.

Almacenamiento, Particiones y tipos de Volúmenes

Tipos de almacenamiento

Windows 2000 soporta 2 tipos de almacenamiento de disco:

Almacenamiento Básico

Almacenamiento Dinámico

Un disco de almacenamiento físico debe ser, o básico o dinámico; no se puedenutilizar ambos tipos de almacenamiento en un disco.

Almacenamiento básico

La forma estándar de almacenamiento, es el almacenamiento básico. Indica ladivisión de un disco rígido en particiones. Una partición es segmento del discoque funciona como una unidad de almacenamiento físicamente separada.Windows 2000 reconoce particiones primarias y extendidas. Un disco que seinicia para almacenamiento básico se denomina: disco básico.

Un disco básico puede contener particiones primarias, particiones extendidas yunidades lógicas.

Debido a que el almacenamiento básico es la forma estándar, DOS y todas lasversiones de Windows soportan este tipo de almacenamiento. Por definición,todos los discos nuevos del sistema son básicos hasta que se los convierte adinámicos.

Almacenamiento dinámico

Los discos dinámicos se dividen en volúmenes, que pueden estar formados poruna parte o varias partes de uno o varios discos físicos. Un disco dinámico

Nota

Cuando se creanparticiones en un discobásico, es aconsejablesiempre dejar 1 MB deespacio libre en el disco,

en caso queposteriormente se deseeconvertir ese disco endinámico, ya que su

estructura ocupa 1 MB.


Actividad

puede contener volúmenes simples, volúmenes distribuidos, volumenseccionados (RAID-0), volúmenes con espejo (RAID-1) y volúmenes con paridad(RAID-5). El disco dinámico se crea a partir de la actualización de un discobásico.

El almacenamiento dinámico no tiene las restricciones del almacenamientobásico, por ejemplo, se puede dar un tamaño a un disco dinámico y posteriormentecambiarlo sin tener que reiniciar el sistema.

TIPOS DE PARTICIONES (DISCOS BÁSICOS)

Se puede dividir un disco básico en particiones primarias extendidas. Lasparticiones funcionan como unidades de almacenamiento físicamente separadas.

Particiones primarias

Windows 2000 utiliza la partición primaria para iniciar la computadora marcándolacomo activa (solo una partición puede encontrarse activa en un disco). Unapartición del tipo activa es donde el hardware busca los archivos de inicio paraarrancar el sistema operativo.

La partición de sistema de sistema de Windows 2000, es la partición activa quecontiene los archivos específicos para cargar el sistema operativo. La particiónde inicio de Windows es la partición primaria o unidad lógica donde se instalanlos archivos complementarios del sistema operativo, de esta manera la particióndel sistema queda asentada en la partición activa, mientras que la de inicio puedeestar en una partición primaria o extendida.

Particiones extendidas

Una partición extendida se crea a partir de espacio libre, solamente puede existiruna partición extendida por disco físico, por lo que es importante incluir en ellatodo el espacio libre disponible. A diferencia de las particiones primarias, a lasparticiones extendidas no se les da formato ni se les asigna una letra de unidad.Las particiones extendidas se segmentan y a cada segmento se lo reconocecon el nombre de unidad lógica.

Las unidades lógicas si pueden ser identificadas con letras de unidad al mismotiempo que deben ser formateadas, Windows 2000 las reconoce como discos

Nota

Los dispositivos dealmacenamiento

extraíbles contienenúnicamente particionesprimarias y no puedenser modificadas.

Un PenDrive (almacenamiento extraible) ¿Quétipo de partición posee?

Almacenamiento

Unir con flechas según corresponda:

Básico

Extra

Dinamico

Compleja


físicos independientes.

TIPOS DE VOLÚMENES (DISCOS DINÁMICOS)

Se puede actualizar de discos básicos a almacenamiento dinámico y entoncescrear volúmenes de Windows 2000. Hay que tener en cuenta que tipo de volumense ajusta mejor a las necesidades para un uso eficiente del espacio de disco,rendimiento y tolerancia a fallos. En Windows 2000, los volumen RAID-1 y RAID-5 son tolerantes a fallos.

Volúmenes simples

Un volumen simple contiene espacio de disco de un único disco y no es tolerantea fallos. Los volúmenes simples se pueden extender en varias regiones (hasta32) del mismo disco. Estos son menos tolerantes a fallos que un disco noextendido, ya que la extensión de un volumen simple aumenta la tasa de fallo enel disco.

Volumen distribuido

Un volumen distribuido incluye espacio de disco de varios discos (hasta 32).Windows 2000 escribe datos en un volumen distribuido en el primer disco, llenapor completo el espacio y continúa esta secuencia en todos los discos queconforman el volumen distribuido. Un volumen distribuido no es tolerante a fallos.Si uno de los discos del volumen distribuido falla, la integridad total de los datosdel volumen queda comprometida y se pierden por completo.

Volumen con espejo

El volumen con espejo (RAID-1) consiste en 2 copias idénticas de un volumensimple, cada una en un disco rígido separado. Los volúmenes espejadosproporcionan tolerancia a fallos en el caso del fallo de uno de los integrantes delespejo.

Si se produjera un fallo en un volumen espejado, se debe deshacer el espejo,cambiar el disco rígido afectado y volver a generar el espejo.

Volumen seccionado

El volumen seccionado (RAID-0) combina áreas de varios discos rígidos (hasta32) en un volumen lógico. Este tipo de configuración optimiza la velocidad decopia y acceso a los datos, ya que la información se guarda al mismo tiempo entodos los discos que conforman el volumen. De esta manera los volúmenesseccionados no son tolerantes a fallos, ya que si uno de los discos del volumenfalla toda, la integridad total de los datos del volumen queda comprometida y sepierden por completo, al igual que en un volumen simple o distribuido.


Volumen RAID-5

Un volumen RAID-5 es un volumen seccionado pero con tolerancia a fallos.Windows 2000 añade información de paridad de bandas a cada partición de discoen el volumen, si alguno de los integrantes del volumen llegara a fallar, se utilizala información de las bandas para reconstruir la información. Este tipo devolúmenes se construyen a partir de un mínimo de 3 discos.

Limitaciones de disco dinámico y volumen dinámico

Los discos dinámicos, son menos tolerantes a fallos que los volúmenes simples,volúmenes simples extendidos, volúmenes distribuidos o volúmenesseccionados, y no pueden contener la partición de inicio ni la del sistema. Estacaracterística se introdujo en Windows 2000 con el fin de proporcionar una basesólida para tolerancia a fallos para particiones que contengan archivos del sistemaoperativo. No se soportan volúmenes dinámicos en computadoras portátiles,tampoco se pueden crear las configuraciones de tolerancia a fallos RAID-1 yRAID-5 localmente en computadoras con Windows 2000 Professional.

TAREAS DE GESTIÓN DE DISCO

El complemento Administración de discos proporciona una situación central parala información de disco y tareas de administración, tales como creación y borradode particiones y volúmenes. Con los permisos adecuados se pueden gestionardiscos en forma local o desde hosts remotos. Se puede crear una M M Cpersonalizada y añadir el complemento Administración de discos, este se

encuentra pre-configurado en el menúHerramientas administrativas.

El complemento Administración de discosproporciona menús de acceso directo quemuestran que tareas se pueden realizar enel objeto seleccionado e incluye asistentesguía para la creación de particiones,volúmenes y actualización de los discos.

Trabajo con volúmenes simples

Un volumen simple contiene espacio de un único disco. Se puede extender unvolumen para incluir espacio no asignado en el mismo disco. Un volumen simpleno es tolerante a fallas, sin embargo, se pueden configurar dos volúmenes simplesde manera uno sea espejo del otro. Se puede dar formato a un volumen simple

DiccionarioMMC:

MicrosoftManagement Console- ConsolaAdministrativa deMicrosoft, estaconsola genéricapermite cargardiferentescomplementosadministrativos delsistema. Se ejecutaescribiendo m m c enla opcion ejecutar delmenú inicio.


con NTFS, FAT16 o FAT32, pero el volumen solo puede extenderse si estaformateado en NTFS.

Trabajo con volúmenes distribuidos

Un volumen distribuido consiste en espacio de disco de varios discos; losvolúmenes distribuidos permiten la utilización de todo el espacio no asignadosobre varios discos de manera más efectiva. Se pueden crear volúmenesdistribuidos solamente como discos dinámicos, y se necesitan al menos 2 discosdinámicos para crear un volumen distribuido. Los volúmenes distribuidos nopueden ser parte de un volumen espejado o un volumen seccionado y no sontolerantes a fallos.

Combinación de espacio libre para crear un volumen distribuido

Los volúmenes distribuidos se crean a partir de la combinación de áreas deespacio libre de varios tamaños, de 2 a 32 discos en un volumen lógico mayor.Las áreas de espacio libre que configuran un volumen distribuido pueden ser detamaños diferentes.Al borrar volúmenes menores y combinarlos en un volumen distribuido se puedenliberar letras de unidad para otros usos y crear un volumen grande para el usodel sistema de archivos.

Extensión y borrado

Se pueden extender volúmenes distribuidos existentes con formato NTFSmediante la adición de espacio libre. El Administrador de discos dará formato ala nueva área sin afectar a los archivos existentes en el volumen original, no sepuede utilizar volúmenes con formato FAT16 y FAT32.

También se pueden extender volúmenes distribuidos en discos dinámicos (hasta32)., después de extender un volumen sobre varios discos, estos no pueden serparte de un espejo o volumen seccionado. Después de extender un volumendistribuido no se puede borrar ninguna porción de disco, sin borrar el volumendistribuido entero.

Trabajo con volúmenes seccionados

Los volúmenes seccionados ofrecen el mejor rendimiento de todas las estrategiasde gestión de discos. En un volumen seccionado los datos se escribenequitativamente en todas las unidades de disco en unidades de 64 Kilobytes.

Debido a que todos los discos rígidos que pertenecen al volumen seleccionadoejecutan las mismas funciones como un único disco, se pude distribuir y procesarde forma simultanea ordenes de E/S en todos los discos rígidos.

Se pueden crear volúmenes seccionados mediante la combinación de áreas deespacio libre de varios discos (2 a 32) en un volumen lógico. Con un volumenseccionado los datos se escriben en varios discos, de manera similar a losvolúmenes distribuidos. Sin embargo, en un volumen seccionado el sistema

Nota

Como regla general no sepuede extender un

volumen de sistema o deinicio.

DiccionarioE/S:

Entrada y Salida dedatos de un

dispositivo o sistema.


operativo escribe los archivos en todos los discos de forma que los datos seañaden a todos los discos a la misma velocidad. Al igual que los volúmenesdistribuidos, los volúmenes seccionados no proporcionan tolerancia a fallos. Siun disco del volumen seccionado falla, los datos del volumen entero se pierden.

Se necesitan como mínimo 2 y un máximo de 32 discos dinámicos para crearun volumen seccionado. Sin embargo un volumen seccionado no se puedeextender ni espejar.

Agregado de discos

Cuando se instalan discos nuevos en una computadora que trabaja con Windows2000 Server, este los reconoce como discos básicos.

Instalación de discos nuevos

Para añadir un disco nuevo, hay que instalar el disco físico nuevo y desde elAdministrador de discos ejecutar la opción «Volver a examinar los discos» en elmenú «Acción», este paso debe ejecutarse cada vez que se agreguen o quitendiscos de la computadora. Si se instalan discos que cumplen con la normaHotPlug, no es necesario reiniciar el sistema, solo deberá hacerse cuando seinstalen disco que no cumplen esta norma.

Instalación de un disco eliminado de otra computadora

El proceso de eliminar un disco de una computadora con Windows 2000 Servere instalarlo en otra, también, con Windows 2000 Server es diferente a instalar undisco nuevo. Después de eliminar el disco de la computadora original e instalarloen la computadora destino, hay que utilizar el Administrador de discos para añadirlocorrectamente. Para realizar esta operación, hay que realizar clic con el botónderecho del Mouse sobre el disco y elegir la opcion «Agregar discos externos»,donde se ejecutará un asistente indicando los pasos a seguir.

Instalación de varios discos eliminados de otra computadora

El proceso de instalación de varios discos de otra computadora es similar a laoperación anterior de un solo disco. Para instalar varios discos heredados deotra computadora con Windows 2000 Server se deberá ejecutar el Administradorde discos para especificar los discos del grupo que se desean añadir.

DiccionarioHotPlug:

Norma que permiteagregar y quitardiscos con lacomputadora

encendida.

Actividad

Actividad

Actividad

Actividad

¿Cuántos volumenes de disco dinamicos se puedenutilizar como máximo para crear un volumen

seccionado?

¿Si se instalan discos que no cumplan la normaHotPlug, es necesario reiniciar Windows 2000

Server?


Cuando se mueve un disco dinámico de una computadora a otra, se puedenutilizar todos los volúmenes de ese disco. Sin embargo si el volumen de disco ainstalar esta compuesto por mas de un disco físico y no se traspasan todos losdiscos, el Administrador de discos no mostrará el volumen traspasado.

Cambio del tipo de almacenamiento

Se puede actualizar un disco de almacenamiento básico a almacenamientodinámico sin perdida de datos. Cuando se realiza la actualización, cualquierpartición existente en el disco se convierte en volumen simple.

Cualquier disco que se actualice debe contener al menos 1 Megabyte de espaciono asignado (sin particionar) para que la actualización se realice correctamente.Antes de actualizar un disco, hay que cerrar todos los programas que se encuentreejecutando desde la ubicación a actualizar.

Actualización de un disco de almacenamiento básico a almacenamiento dinámico:

Organización Dinámica del Disco

Volumen simple (no se puede extender)

Volumen simple (no se puede extender)

Volumen simple

Volumen simple para cada unidad lógica

y cualquier espacio restante sin asignar.

Volumen simple

Volumen distribuido

Volumen seccionado

Volumen espejado

Volumen RAID-5

Organización Básica del Disco

Partición del sistema

Partición de inicio

Partición primaria

Partición extendida

Unidad lógica

Conjunto de volúmenes

Conjunto de bandas

Conjunto de espejos

Conjunto de bandas con paridad

Nota

Se recomienda siemprerealizar una copia deseguridad de los datosdel disco a actualizar.

Nota

La reconversión de undisco dinámico a básico,generará la perdida total

de los datos.


Clase práctica 12

Administrar Discos en Windows 2000 Server

En el servidor 1 (MGP-SRV01):

Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.

Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Icono «Mis sitios de red» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Conexiones de red y de acceso

telefónico· Icono «Conexión de área local» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Propiedades de Conexión de área

local· Protocolo Internet (TCP/IP) (doble clic) à despliega la ventana de Propiedades de

Protocolo Internet (TCP/IP)· Marcar la opción «Usar la siguiente dirección IP:»· Establecer la siguiente configuración (dejar el resto de las opciones en blanco):

§ Dirección IP: 172.16.1.1§ Mascara de subred: 255.255.0.0

· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la

X que se encuentra en el ángulo superior derecho de la ventana.)· Una vez en el escritorio se procederá de la siguiente manera para verificar la nueva

configuración:· Menú Inicio (clic)· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola

de DOS· En la linea de comandos introducir lo siguiente:

§ Ipconfig (presionar la tecla ENER) à Mostar la configuración actualdel protocolo IP (si la información mostrada coincide con la ingresadaen los items anteriores, los cambios habrán sido actualizadoscorrectamente)

§ Exit (presionar la tecla ENTER) à cerrar la consola de DOS

Mediante la realización de esta práctica usted será capaz de administrar los discos de almacenamientode datos e implementar sistemas de almacenamiento masivo como ser distintos tipos de RAID de discosen Windows 2000 Server, así como realizar tareas de ampliación y reducción del tamaño de las unidadesde almacenamiento y algunas tareas de mantenimiento.


Ejercicio 2:

Una vez en el escritorio se procederá de la siguiente manera para convertir la unidad C al

Administración de Discos en Windows 2000 Server192

Ejercicio 3:

Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas Administrativas (clic)· Administración de equipos (clic) à Ejecuta el Administrador de equipos de Windows

2000· Administración de discos (clic) à Acceder al complemento de Administración de

discosEn el panel de la derecha hacer clic sobre el «Disco 0» y desplegar el menú contextual (cliccon el botón derecho del Mouse)

· Actualizar a Disco dinámico… (clic) à Convertir a disco dinámico· Botón «Aceptar» (clic)· Marcar las 2 opciones disponibles (Disco 0 y Disco 1) à Indica que se desean

convertir los 2 discos.· Botón «Aceptar» (clic)· Botón «Actualizar» (clic) à Comenzar el proceso de actualización· Responder de manera afirmativa a la pregunta de si esta seguro de que desea

realizar la actualización.· Responder de manera afirmativa a la pregunta de si se desea continuar con la

operación· Botón «Aceptar» (clic) à Reiniciar el equipo para completar el proceso.

§ Convert c: /fs:ntfs (presionar la tecla ENTER)· Responder de manera afirmativa a la pregunta de si se desea convertir la unidad la

proxima vez que se reinicie la maquina.§ Exit (presionar la tecla ENTER) à Cerrar la consola de DOS

Para reiniciar el equipo se procederá de la siguiente manera:· Menú Inicio (clic)· Apagar (clic) à despliega la ventana de selección de apagado· Seleccionar la opción «Reiniciar» y presionar la tecla ENTER à Reiniciar (al reiniciar

se procederá a iniciar el proceso de conversión del sistema de archivos que nopodía realizarse ya que Windows 2000 estaba utilizando archivos y estos no podíanser modificados)

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera para verificar el cambio desistema de archivos:

· Icono «Mi PC» (doble clic)· Disco local (C:) (clic con el botón derecho del Mouse)· Propiedades (clic)

Verificar en la solapa «General» que en «Sistema de archivos» debe decir NTFS.Cerrar la ventana de propiedades de disco local (c:)Cerrar la ventana de Mi PC

sistema de archivos NTFS:· Menú Inicio (clic)· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola



Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER(encaso de que vuelva a pedir reiniciar, responder de manera afirmativa para que los cambios setomen por completo)Una vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Programas (clic)· Herramientas Administrativas (clic)· Administración de equipos (clic) à Ejecuta el Administrador de equipos de Windows

2000· Administración de discos (clic) à Acceder al complemento de Administración de

discos

o Del panel de la derecha seleccionar el volumen «C:» y desplegar el menúcontextual (clic con el botón derecho del Mouse)

· Agregar Espejo… (clic) à Agregar un espejo de la unidad C· Seleccionar la opción «Disco 1» y hacer clic en el botón «Agregar espejo» à Crear el

espejo en el segundo disco· Hacer clic en el botón «Aceptar» à comienza el proceso de replicación del volumen

(se recomienda no reiniciar el equipo hasta que el proceso esté completado al 100%)· Para crear un nuevo volumen se procederá de la siguiente manera:· Desplegar el menú contextual sobre la zona de espacio «No asignado» del disco 0· Crear volumen… (clic) à Iniciar el Asistente para crear volúmenes· Botón «Siguiente» (clic)· Volumen simple (clic) à Indica que se desea crear un volumen simple· Botón «Siguiente» (clic)· Introducir 500 en «Tamaño para el disco seleccionado» à define el tamaño del

volumen en 500 MB· Botón «Siguiente» (clic)· Seleccionar «X:» de la lista desplegable «Asignar una letra de unidad» à signa la

letra de unidad X al volumen.· Botón «Siguiente» (clic)· Establecer la siguiente configuración en la ventana «Formatear volumen»:

§ Formatear este volumen como sigue:§ Sistema de archivos a utilizar: NTFS§ Tamaño de la unidad de asignación: Predeterminado§ Etiqueta de volumen: Privado

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Comenzar proceso de creación del volumen· Desplegar el menú contextual sobre el nuevo volumen creado (X:)· Extender volumen… (clic) à ejecutar Asistente para extender volúmenes· Botón «Siguiente» (clic)· Establecer 500 en «Para todos los discos» y hacer clic en el botón «Siguiente»· Botón «Finalizar» (clic) à Comienza el proceso de extensión del volumen (el tamaño

final del mismo será de 1000 MB)· Desplegar el menú contextual sobre el nuevo volumen creado (X:)· Cambiar letra y ruta de acceso a la unidad… (clic)· Botón «Quitar» (clic) à Quitar letra de unidad· Responder de manera afirmativa a la pregunta de si esta seguro que desea quitar la

letra de la unidad· Desplegar el menú contextual sobre el nuevo volumen creado (Antes X:)· Cambiar letra y ruta de acceso a la unidad… (clic)· Botón «Agregar» (clic) à Indica que se desea agregar una nueva letra· Montar en esta carpeta NTFS (clic) à Redireccionar una carpeta para que apunte

al volumen· Botón «Examinar» (clic)


Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Icono «Mis sitios de red» (clic con el boton derecho del Mouse)· Propiedades (clic) à despliega la ventana de Conexiones de red y de acceso

telefónico· Icono «Conexión de área local» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Propiedades de Conexión de área

local· Protocolo Internet (TCP/IP) (doble clic) à despliega la ventana de Propiedades de



· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuracion y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la

X que se encuentra en el angulo superior derecho de la ventana.)Una vez en el escritorio se procederá de la siguiente manera para verificar la nuevaconfiguración:

· Menú Inicio (clic)· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola


§ Ipconfig (presionar la tecla ENER) à Mostar la configuración actualdel protocolo IP (si la información mostrada coincide con la ingresadaen los items anteriores, los cambios habrán sido actualizadoscorrectamente)


En el servidor 2 (MGP-SRV02)

Ejercicio 2:

Una vez en el escritorio se procederá de la siguiente manera para convertir la unidad C alsistema de archivos NTFS:

· Menú Inicio (clic)

· Botón «Nueva carpeta» (clic) à Crear una nueva carpeta· Introducir «Privado» (sin las comillas) como nombre de la carpeta y presionar la tecla

ENTER· Botón «Aceptar» (clic)· Botón «Examinar» (clic) à Realizar los cambios· Verificar mediante «Mi PC» la existencia de la nueva carpeta «Privado» en la unidad C:

y observar que su icono es diferente al de las demás capetas.


· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola


§ Convert c: /fs:ntfs (presionar la tecla ENTER)· Responder de manera afirmativa a la pregunta de si se desea convertir la unidad la

proxima vez que se reinicie la maquina.§ Exit (presionar la tecla ENTER) à Cerrar la consola de DOS

· Para reiniciar el equipo se procederá de la siguiente manera:· Menú Inicio (clic)· Apagar (clic) à despliega la ventana de selección de apagado· Seleccionar la opción «Reiniciar» y presionar la tecla ENTER à Reiniciar (al reiniciar

se procedera a iniciar el proceso de conversión del sistema de archivos que nopodia realizarse ya que Windows 2000 estaba utilizando archivos y estos no podianser modificados)

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera para verificar el cambio desistema de archivos:

· Icono «Mi PC» (doble clic)· Disco local (C:) (clic con el botón derecho del Mouse)· Propiedades (clic)

Verificar en la solapa «General» que en «Sistema de archivos» debe decir NTFS.Cerrar la ventana de propiedades de disco local (c:)Cerrar la ventana de Mi PC

Ejercicio 3:

Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas Administrativas (clic)· Administración de equipos (clic) à Ejecuta el Administrador de equipos de

Windows 2000· Administración de discos (clic) à Acceder al complemento de Administración de

discosPara crear una nueva partición se procederá de la siguiente manera:

· Desplegar el menú contextual sobre la zona de espacio «No asignado» del disco 0· Crear partición… (clic) à Iniciar el Asistente para crear particiones· Botón «Siguiente» (clic)· Partición primaria (clic) à Indica que se desea crear una partición primaria· Botón «Siguiente» (clic)· Introducir 1000 en «Espacio en disco a utilizar» à define el tamaño de la partición

en 1000 MB· Botón «Siguiente» (clic)· Seleccionar «S:» de la lista desplegable «Asignar una letra de unidad» à signa la

letra de unidad S a la partición· Botón «Siguiente» (clic)· Establecer la siguiente configuración en la ventana «Formatear la partición»:

§ Formatear esta partición con la siguiente configuración:


§ Sistema de archivos a utilizar: NTFS§ Tamaño de la unidad de asignación: Predeterminado§ Etiqueta de volumen: Unidad_S

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Comenzar proceso de creación de la partición· Desplegar el menú contextual sobre la zona de espacio «No asignado» del disco 0· Crear partición… (clic) à Iniciar el Asistente para crear particiones· Botón «Siguiente» (clic)· Partición primaria (clic) à Indica que se desea crear una partición primaria· Botón «Siguiente» (clic)· Introducir 1000 en «Espacio en disco a utilizar» à define el tamaño de la partición

en 1000 MB· Botón «Siguiente» (clic)· Seleccionar «T:» de la lista desplegable «Asignar una letra de unidad» à signa la

letra de unidad T a la partición· Botón «Siguiente» (clic)· Establecer la siguiente configuración en la ventana «Formatear la partición»:

§ Formatear esta partición con la siguiente configuración:§ Sistema de archivos a utilizar: NTFS§ Tamaño de la unidad de asignación: Predeterminado§ Etiqueta de volumen: Unidad_T

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Comenzar proceso de creación de la partición

Cerrar el administrador de equipos haciendo clic en la «X» que se encuentra en el angulosuperior derecho de la ventana.Una vez en el escritorio se procederá de la siguiente manera:

· Icono «Mi PC» (doble clic)· Icono «Unidad_S (S:)» (doble clic) à Ingresar en la unidad S· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Documentos» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Documentos· Carpeta «Documentos» (doble clic) à Ingresar en la carpeta Documentos· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Administracion» como nombre de la carpeta y presionar la tecla ENTER

à Crear una carpeta llamada Administracion· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Cobranzas» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Cobranzas· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Gerencia» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Gerencia· Cerrar la ventana de Mi PC

Una vez en el escritorio se procederá de la siguiente manera:· Icono «Mi PC» (doble clic)· Icono «Unidad_T (T:)» (doble clic) à Ingresar en la unidad T· Menú Archivo (clic)· Nuevo (clic)


· Carpeta (clic)· Introducir «Programas» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Programas· Carpeta «Programas» (doble clic) à Ingresar en la carpeta Programas· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Instaladores» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Instaladores· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Sistema» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Sistema· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «Backup» como nombre de la carpeta y presionar la tecla ENTER à

Crear una carpeta llamada Backup· Cerrar la ventana de Mi PC

198 Administración de Active Directory en Windows 2000 Server

INTRODUCCIÓN

Un servicio de directorios es un servicio de red que identifica todos los recursosen ella y los vuelve accesibles a los usuarios y a las aplicaciones. Active Directory(AD) es el servicio de directorio incluido en Windows 2000 Server.

El elemento principal de AD es el directorio, que almacena información sobre losrecursos de la red y los servicios que hacen disponible la información. Los recursosalmacenados en el directorio, como los datos del usuario, impresoras, servidores,bases de datos, grupos, computadoras y políticas de sistema, se denominanobjetos.Active Directory los organiza jerárquicamente en dominios. Un dominio es unaagrupación lógica de servidores y otros recursos de red bajo un mismo nombrede dominio.

Cada dominio incluye uno o mas controladores de dominio (domain controllers -DC), que son máquinas que almacenan una réplica de un directorio de dominio.Cada vez que se hace algún cambio en alguno de los controladores, el resto seactualiza automáticamente.

Un objeto es un conjunto de atributos particulares, bajo un nombre especifico,que representa un recurso individual de la red. Los atributos se refieren a lascaracterísticas del objeto. Así, los atributos de una cuenta de usuario pueden serel nombre y dirección de mail, y los de una impresora, si es láser o si es color.Algunos objetos funcionan también como contenedores: por ejemplo, un dominio.

Las agrupaciones lógicas de objetos son las clases. Una clase puede estarconstituida por todas las cuentas de usuario, las impresoras, los grupos, etc.

Las unidades organizacionales (organizational units - OU) son contenedoresque se usan para reunir objetos de un dominio en grupos administrativos lógicos.Cada OU puede contener distintos objetos y cada dominio puede tener su propialógica de agrupación en OUs.

La unidad central de la estructura lógica de AD es el dominio. Agrupando losobjetos en uno o más dominios es posible representar la propia organización dela empresa.

Todos los objetos de la red existen en un dominio, es posible albergar hasta 10millones de objetos en Active Directory.

Componentes de Active Directory

Existen diversos componentes dentro de Active Directory los cuales deben sercomprendidos a fin de que se utilicen adecuadamente. Los Dominios y Unidadesorganizacionales son las bases de Active Directory y definirán tanto la estructura

Servicios de directorio en Windows 2000 Server: ActiveDirectory

Clase teórica 13


Dominios

Los dominios representan una partición lógica dentro de Active Directory tantopara la duplicación de seguridad como para la de directorio. Los dominios serelacionan directamente al espacio de nombre DNS y pueden direccionarse através de DNS.

Todos los objetos de red que existen dentro del dominio, y cada dominio contieneun grupo completo de sus objetos dentro del Catalogo Global (GC - GlobalCatalog).

Teóricamente, un directorio de dominio puede contener hasta 10 millones deobjetos.Los dominios proporcionan un enlace para una seguridad y enfoque para laduplicación del GC de Dominio. Todas las políticas y configuraciones de seguridad,como derechos administrativos, políticas de seguridad y Listas de control deacceso (ACL s), no se cruzan de un dominio a otro. El administrador de dominiotiene derechos absolutos para establecer las políticas únicamente dentro delmismo dominio.

El uso particular de los dominios se puede derivar de su función. Por lo regular,los dominios se establecen ya sea paraproporcionar un enfoque a la autoridadadministrativa o para vincular la informaciónduplicada como parte del GC de Dominio.

Tener varios dominios incrementa en granmedida el exceso de trabajo administrativoasociado con la administración de ActiveDirectory. Como un principio de diseño común,siempre debería haber alguien que comience conel número mínimo de dominios y agregueadicionales únicamente para cumplir concriterios específicos.Unidades organizacionales

Actividad

DiccionarioDNS

D omain N a m eService - Servicio deNombre de Dominio.

ACL

Access Control List -Lista de Control deAccesos

como la funcionalidad. Asimismo, también se establecerá la manera en que seorganizan los dominios dentro de los Árboles y Bosques según la intención de lapolítica administrativa e interoperabilidad entre diversas áreas de una organización.

Definir dominio: Unir con flechas según corresponda:

OU

GC

A D

ACL

DC

Lista de control de accesos

Directorio activo

Unidad organizacional

Controlador de dominio

Catalogo global

Dominio

Dominio

Dominio

Dominio Dominio

Dominio

Árbol

Árbol

B o s q u e

O U

O U O U

Objetos

200 Servicios de directorio en Windows 2000 Server: Active Directory

UNIDADES ORGANIZACIONALES - OU

Las OU permiten la delegación granular de tareas administrativas. Esto habilitala aplicación inteligente de control administrativo en varios niveles, con lo que sepermite a los usuarios, computadoras y demás objetos ser recopilados dentrode una OU, y que la administración de la misma sea delegada al administradoradecuado.

Enfoque de la política

La Política de grupo se puede aplicar a los Sitios, Dominios y Unidadesorganizacionales, y filtrarse con base en la membresía de grupo. De éstos, lasOU son el depósito más funcional que pueda aceptar la política.

Al tiempo que la partición de los Objetos de política de grupo se encuentrarealmente en el dominio, las OU también, pueden formar parte de las particionespara la política.

Consideraciones de OU

Las estructuras OU deberán ser provechosas y tener un significado. Debido aque la estructura de directorio queda expuesta a los usuarios, se deberán evitarlas OU arbitrarias. En otras palabras, no se debe crear una estructura sólo por laestructura misma.Asimismo, habrá que recordar que la estructura OU dentro de un dominio esindependiente de cualquier otro dominio. Por lo tanto, cada dominio puedeimplementar su propia jerarquía OU.

Mientras no exista una restricción inherente a fondo sobre las OU dentro de undominio, existirán algunas normas generales:

Las estructuras OU poco profundas se desempeñan mejor que las profundas.

No deberán existir más de 10 niveles de OU.

La aplicación de una política degradará a fondo las estructuras OU.

Una OU puede mantenerotra OU dentro suyo,esto se debe a que las

OU son simplesalmacenes de objetos enAD. Podría hacerse unparalelismo con las

carpetas dealmacenamiento dearchivos en un disco,

donde una carpeta puedecontener otra carpeta(subcarpeta) y estacontener otrasubcarpeta.

Al considerar las estructuras OU, también se debe tomar en cuenta que elpropietario de una OU tiene total autoridad sobre ella y puede restringir a laaplicación de la política desde un depósito principal. Al establecer la estructuraOU básica, hay que considerar quién va a administrarla OU, así como tambiénquién podrá visualizarla.

Estructuras OU

Las OUs dentro de Active Directory sirven para dos fines básicos:

1) Como particiones para delegación administrativa.2) Como depósitos para la aplicación de la política de seguridad.

Nota


Actividad

Atención

La creación de unidades organizacionales por cualquier otra razón fuera de las expuestas en «EstructurasO U» deberá ser justificada.

Las Unidades organizacionales no deberán establecerse únicamente para reflejarla estructura de una compañía, ya que las OU no son pasivas por naturaleza.Windows 2000 las analiza en cuanto a la política y permisos, con lo que seproduce la sobrecarga del procesador. A mayor profundidad de la estructuraOU, mayor límite de rendimiento. Ya que Active Directory no permite de maneranatural la creación de depósitos, trata de utilizar las OUs para este fin y enalgunos casos esto puede ser lo más adecuado.

Existen varias posibilidades para la creación de las OU, las cuales no infringenlas reglas del fin:

Para reflejar la estructura organizacional como departamento: En la mayoría delos casos, los departamentos (en el caso de una Empresa o Compañía) son dehecho el primer nivel de la delegación administrativa.

Función de negocios: En ocasiones, una organización de acuerdo con su funciónde negocios se desempeñará por Grupos, por lo que pueden justificar las OUscreadas por esta razón.

Basadas en objeto: Las OU representan grupos de objetos similares comoUsuarios, Computadoras, Impresoras, Routers, etc. Una vez más dependiendode su estructura de directorio principal, esto puede no ser adecuado ya que elnivel más bajo de asignación de política y delegación puede ser la OU divisional.

Basadas en proyecto: Las OU temporales para organizar datos de proyectorelacionados, personal, etc. Las OU ofrecen un mecanismo excelente pararecolectar objetos para administración y política. Con frecuencia, los proyectostienen requerimientos especiales que necesitan dirigirse a través de políticasespecíficas y procedimientos administrativos.

Basadas en administración: En ciertos momentos, será necesario basar lasOUs en las necesidades administrativas. No obstante, esto deberá estar bienjustificado ya que las OU están expuestas a los usuarios.

Definir OU: En OU se recomienda

Más de 10 Niveles ( )

Menos de 10 unidades ( )


¿CREAR DOMINIOS O CREAR OU?

La cuestión de si se deben utilizar Dominios o Unidades Organizacionales nosiempre es directa.

Razones para crear dominios

Seguridad: El requerimiento para mantener las políticas de seguridad separadasserá con frecuencia un factor decisivo en la creación de un dominio. Esterequerimiento puede existir cuando se cuenta con unidades empresarialesautónomas con una estructura IT distribuida.

Duplicación: Otra circunstancia común y con frecuencia válida para un ambientede dominios múltiples es controlar el enfoque de duplicación basado en la regióngeográfica. Mientras que los sitios proporcionan un mecanismo para realizaruna duplicación eficiente, las condiciones de red pueden afectar la duplicaciónsin necesidad de datos a través de los enlaces de red.

Migración: En una infraestructura Windows NT será necesario establecer desdeel principio un mapa de uno a uno entre los dominios Windows NT y Windows2000.

Razones para no crear dominios

Para reflejar la estructura organizacional: De ser posible, hay que evitar lacreación de dominios basados en divisiones, departamentos o grupos. Un diseñoadecuado deberá poder resistir a las reorganizaciones de la compañía sinrequerir la reestructura de su jerarquía de dominio.

Para reflejar la función de negocios: (también denominada políticas): Lareorganización de negocios es muy frecuente dentro de las compañías hoy endía. Los dominios se basan en silos políticos que ofrecen muy pocos beneficios

DiccionarioIT

(InformationTechnologies –Tecnologías de laInformación ) Terminoutilizado paradenominar al área deinformática(sistemas) en unaempresa.

Estructura logica Estructura física

Buscar Dominio

OU1 OU2

PC 1 Impresora 1

Usuario 1 Usuario 2

Dominio

OU 1

Computadora 1

PC 1

Usuarios

Usuario 1

OU 2

Usuarios

Usuario 2

Impresoras

Impresora 1


Actividad

funcionales.

Cuándo crear unidades organizacionales

Para controlar la administración: Las OU actúan como particiones para ladelegación administrativa. El uso frecuente de OU, proporcionará el enfoque dela administración de recursos.

Para reemplazar los dominios de recurso Windows NT 4.0: En la mayoría de loscasos, se pueden reemplazar los dominios de recursos Windows NT 4.0, unopor uno con OU. Una vez que un dominio de recurso ha sido migrado a Windows2000, es mas simple convertirlo en una OU.

Para enfocar la política administrativa: Las particiones de la delegación políticay administrativa con frecuencia son sinónimos pero no deberán definirse desdeun principio en el proceso de planeación. El método más fácil de aplicación depolítica es mediante una OU, pero una OU creada estrictamente para la políticapuede ser confusa.

Para reflejar la estructura organizacional: En la medida en que soporten laadministración, las OU deberán proporcionar algunos detalles como la estructuraorganizacional de la compañía.

Cuándo no crear Unidades organizacionales

Para crear una estructura arbitraria: Las OU no deberán utilizarse como gruposde usuarios, y no deberán crearse como contenedores de una estructuraapartada.

Por ejemplo: Una OU etiquetada como «Gerencia General» la cual contienevarias OU menores denominadas para cada sub-gerencias debería sercuestionable a menos de que la delegación de política o administrativa fueraaplicada a la OU denominada «Gerencia General».

ÁRBOLES Y BOSQUES

Active Directory utiliza árboles y bosques para proporcionar enlaces lógicos yformaciones que definirán la manera en la que se va a comunicar la extensiónde los dominios. Al igual que los dominios y unidades organizacionales, estos

Defina 2 razones para crear dominios. Defina 2 razones para crear OU.


componentes proporcionan una funcionalidad específica y se establecen paracumplir los requerimientos específicos.

Árboles

Un árbol es una recopilación jerárquica de los dominios ordenados en un espaciode nombre contiguo.

Los dominios en un árbol se conjuntan de manera clara a través de dos salidas:

Relaciones verdaderas.

Relaciones transitivas Kerberos.

Una relación transitiva Kerberos significa simplemente que el Dominio A confíaen el Dominio B y que el Dominio B confía en el Dominio C, después el DominioA confía en el Dominio C. Por lo tanto, un dominio que une un árbol tiene deinmediato relaciones verdaderas establecidas con cada dominio en el árbol. Estasrelaciones verdaderas hacen que todos los objetos que se encuentran en todoslos dominios del árbol estén disponibles para los demás dominios del mismo.Todos los dominios dentro de un árbol único comparten un espacio de nombrecomún y una estructura de denominación jerárquica. Siguiendo con los estándaresDNS, el nombre del dominio de un dominio menor es el nombre relativo del dominiomenor que se adjuntó al nombre del dominio mayor.

Todos los dominios que se encuentran dentro de un árbol único comparten unesquema común, el cual contiene definiciones formales de todos los tipos deobjetos que se pueden almacenar en una implementación de Active Directory.Además, todos los dominios que se encuentran dentro de un árbol únicocomparten un catálogo global común, el cual es un depósito central de informaciónpara los objetos que se encuentran en un árbol o bosque.

Nota

Un árbol también puedeconsistir en un dominioúnico W indows 2000. Sinembargo, puede crear unespacio de nombre máslargo uniendo dominios

múltiples en unaestructura jerárquica.

Atención

No existe un límite específico de profundidad para un árbol, pero al igual que los dominios, los árboles tienenel procesamiento asociado y las estructuras a fondo afectarán el rendimiento.

BOSQUES

Un bosque es una agrupación de uno o más árboles, los cuales participarán enun sistema de comunicaciones común.

Un bosque proporciona los vínculos para muchas de las funciones que existendentro de Active Directory como la seguridad, esquemas y el catálogo global.

Dentro de un bosque, existe un esquema de duplicación único, el cual escontrolado a través de un servidor de esquema maestro en un dominio de raíz.

Las confianzas Kerberos nunca son transitivas a través de los bosques, loscuales serán adecuados para las relaciones de confianza, donde también laconfianza real es limitada.

DiccionarioKerberos:

Kerberos es unprotocolo deautenticación deredes decomputadoras quepermite a dos hostsen una red insegurademostrar suidentidadmutuamente demanera segura.


Definir Bosque: Definir Árbol:

Actividad

SITIOS

Un sitio es una o más subredes IP bien conectadas. Los sitios consistenúnicamente en objetos de servidor y en objetos de configuración que se utilizanpara la duplicación.

No existe una regla general para determinar el enfoque correcto de los sitios,sino a través del entendimiento sobre la manera en que Active Directory utiliza lainformación del sitio para que se pueda tomar una decisión sobre cómoimplementarlos.

Active Directory utiliza los sitios en las siguientes cuatro maneras:

Cuando un cliente solicita una conexión a un controlador de dominio (porejemplo para conexión), el sitio habilita al cliente para conectarse a un DCdentro del mismo sitio siempre que sea posible. Esto reduce la latencia yconserva el ancho de banda de red.

Los sitios definen la topología de duplicación para los controladores de dominioque forman parte de ese sitio. El Verificador de consistencia de conocimiento(KCC) también utiliza la información contenida dentro del sitio para agregarlade manera automática a servidores adicionales a la topología de duplicación.

Los mensajes de duplicación entre los DC en un sitio no están comprimidos,por lo que utilizan menos ciclos CPU en los DC. Los mensajes de duplicaciónentre DC en diferentes sitios están comprimidos, de manera que utilizanmenos ancho de banda de red.

DiccionarioKCC:

(KnowledgeConsistency Checker– Verificador deconsistencia), es uncomponente deWindows 2000 queautomáticamentegenera y mantienelas topologías lógicasde replicación entresitios.

Bosque

Árbol

raíz de

dominioEscuela2.proet

Árbol

Cob.escuela2.proet

Administradores globales y

administradores de esquema

Configuración y esquema

Bosque raíz

de dominio

Catalogo global

Admin.escuela.proet


La duplicación entre los DC en un sitio se origina por la llegada deactualizaciones, reducción de la latencia de duplicación dentro de un sitio. Laduplicación entre los DC en diferentes sitios se realiza en un programa,conservando el ancho de banda de red. La compresión en estos casos puedeser tan grande como de 10 a 1.

Los sitios no están vinculados de ninguna manera al espacio de nombre de ActiveDirectory. El nombre de un objeto de directorio no refleja el sitio o sitios en losque se almacena el objeto. Un sitio puede contener DC desde diversos dominiosy los DC de un dominio pueden representar varios sitios.

UBICACIÓN DEL CONTROLADOR DE DOMINIO (DC)

Cuando un usuario se conecta, la estación de trabajo (host) tratará de ubicar uncontrolador de dominio en su sitio local. Cuando no estén disponibles loscontroladores de dominio en el sitio, la estación de trabajo utilizará otro controladorde dominio en la red.

La proximidad de los controladores de dominio para los clientes en la red tendráun impacto evidente durante la autenticación.

Al planear la ubicación del controlador de dominio para los dominios, hay quetomar en cuenta tener por lo menos un controlador de dominio por sitio. Estateoría se basa en un modelo «consulta del 99% y actualización de 1%». Estosignifica que el 99% del tráfico de red Active Directory estará relacionado con lasconsultas de usuarios, administradores e información de solicitud de aplicacionessobre otros objetos en la red y autenticación. Las actualizaciones al directorio,las cuales utilizan el tráfico de duplicación de directorio, se presentarán con menorfrecuencia.

○

○

○

○

○

○

○

○

○

○

○

○

○

○

DiccionarioAutenticación:

Proceso por el cual elusuario se identificade forma unívoca enun servidor o hostlocal o de red, sin laposibilidad derechazo.

Estructura logica Estructura física

Sitio 110.0.0.10

Sitio 210.0.1.110.0.1.2

Escuela.proet

Replicación

Inter-Sitio

Replicación

Inter-Sitio

Sitio 2

Sitio 1

Escuela.proet


Qué tasa de compresión puede tener una duplicaciónenre DCS:

Definir catalogo global:

Al colocar un controlador de dominio en cada sitio, todos los usuarios tendránuna computadora local que puede dar servicio a las solicitudes de consulta sinrequerir tráfico sobre un enlace lento. Se puede configurar los controladores dedominio en sitios más pequeños a fin de recibir las actualizaciones de duplicaciónde directorio únicamente en horas fuera de trabajo, a fin de optimizar el flujo detráfico.

Es necesario considerar las siguientes normas para colocar los controladoresde dominio Windows 2000 en una red con Active Directory:

Un controlador de dominio debe poder responder a las solicitudes del clientea tiempo.

El mejor rendimiento de consultas se presenta cuando se coloca uncontrolador de dominio en un sitio pequeño con un servidor de catálogo global,permitiendo que el servidor llene por completo las consultas sobre los objetosen todos los dominios de la red.

Los servidores de Catálogo global son controladores de dominio que tambiénmantienen información que se utiliza con frecuencia desde otros dominios. Estafunción puede parecer trivial, pero cada usuario que se conecta es procesadopor un servidor de Catálogo global para la pertenencia de Grupo universal.

Nota

Es muy común que ladelimitación lógica de unsitio (su comienzo yfinal), sea congruentecon el de la red LANdonde se encuentra

instalado. Ya que el sitiono es mas que unasegmentación lógicaimaginaria entre

esquemas de replicaciónde Active Directory.

Es necesario considerar las siguientes normas para colocar los servidores deCatálogo global:

Un servidor de Catálogo global debe tener la capacidad de mantener todoslos objetos desde todos los dominios en el bosque.

Un servidor de Catálogo global debe poder responder a las consultas delcliente y a las solicitudes de autenticación de manera oportuna.

La disponibilidad es la clave para ubicar los controladores de dominio y servidoresde catálogo global. Mientras se puede ubicar el servidor de catálogo global en lared (se da servicio a varios sitios), por lo menos un controlador de dominio deberácolocarse en cada ubicación de sitio. El número de servidores de Catálogo globaltambién tendrá un impacto en la cantidad de información duplicada a través deldirectorio.

Actividad


UBICACIÓN DE LOS SERVICIOS

El servidor de Catálogo global mantiene una duplicación parcial de sólo lecturade la información que se accesa con frecuencia desde cada dominio en elbosque. También mantiene una duplicación de lectura/escritura de estainformación para su propio dominio.

Lo que es más importante, cada autenticación de objeto para Active Directorydebe referirse al servidor de catálogo global. Esto significa que cada usuario quese conecta, y cada computadora que se inicia, deberá hacer referencia al catálogoglobal para su pertenencia en grupos universales.

Esto no significa necesariamente que cada Controlador de dominio deberáetiquetarse como un catálogo global. Mientras que es verdad que el catálogoglobal desempeña un rol importante en el proceso de autenticación, también esverdad que mucho menos tráfico y procesamiento de red se relaciona con elcatálogo global más que con un Controlador de dominio.

Esto significa que menos servidores de catálogo global pueden servir a másclientes.

Es realmente el controlador de dominio de autenticación (no el cliente) el quecontacta a un catálogo global para una pertenencia de Grupo universal.

Como lineamiento general, cada sitio debe tener por lo menos un servidor deCatálogo global. Sin embargo, si se conectan bien varios sitios mediante enlacesde red confiables, los servidores de Catálogo global pueden dar servicio a másde un sitio.


Clase práctica 13

Instalación y configuración de Active Directory

Ejercicio 1:

Mediante la realización de esta práctica usted será capaz de comprender el funcionamiento de unservicio de Directorios, como así también todos los elementos que conforman su estructura lógica yfísica. Permitiendo de esta manera entender la función crítica que representa un servicio de Directoriosen una red.


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera para promover al servidor acontrolador de dominio:

· Menú Inicio (clic)· Ejecutar (clic)· Ingresar «dcpromo» (sin las comillas) en el cuadro de texto y presionar la tecla ENTER

à ejecutar el asistente de instalación de Active Directory.· Botón «Siguiente» (clic)· Controlador de dominio para un nuevo dominio (clic) à Establece que se desea crear

un nuevo dominio y que la el equipo será el primer controlador del dominio· Botón «Siguiente» (clic)· Crear un nuevo árbol de dominios (clic) à crear el dominio como un dominio independiente

de cualquier arbol existente· Botón «Siguiente» (clic)· Crear un nuevo bosque de árboles de dominios (clic) à Crear un arbol completamente

independiente de los demás· Botón «Siguiente» (clic)· Colocar «megapack.com.ar» (sin las comillas) en el cuadro de textos «Nombre DNS

completo del nuevo dominio:» à establecer el nombre DNS del dominio amegapack.com.ar

· Botón «Siguiente» (clic)· Colocar «MEGAPACK» (sin las comillas) en el cuadro de textos «Nombre NetBIOS del

dominio:» à Establecer el nombre NetBIOS a MEGAPACK· Botón «Siguiente» (clic)· Verificar que la configuración sea como la siguiente:

§ Ubicación de la base de datos: C:\WINNT\NTDS§ Ubicación del registro: C:\WINNT\NTDS

· Botón «Siguiente» (clic)· Verificar que la configuración sea como la siguiente:

§ Ubicación de la carpeta: C:\WINNT\SYSVOL· Botón «Siguiente» (clic)· Botón «Aceptar» (clic) à Continuar luego de la ventana de información de que no se

ha detectado el servidor DNS· Si, instalar y configurar DNS en este equipo (recomendado) (clic) à Especifica que se

desea instalar el servidor DNS· Botón «Siguiente» (clic)· Permisos compatibles con servidores pre-Windows 2000 (clic) à Establece que se

dispondrá de soporte para versiones anteriores a Windows 2000

Servicios de directorio en Windows 2000 Server: Active Directory210

· Botón «Siguiente» (clic)· Establecer la siguiente configuración en la ventana «Contraseña de administrador del

modo de restauración de servicios de directorio»:

§ Contraseña: MgP393pDC§ Confirmar contraseña: MgP393pDC

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Cerrar la ventana de resumen y comenzar el proceso de

instalación.· Colocar el cd de Windows 2000 cuando sea requerido y hacer clic en el botón «Aceptar»

à Instalar el servidor DNS requerido para Active Directory.· Botón «Finalizar» (clic) à Finaliza el proceso· Botón «Reiniciar Ahora» (clic) à Reiniciar el equipo para realizar los cambios· Verificar la diferencia en el tiempo que tarda en levantar los servicios una vez instalado

Active Directory

Ejercicio 2:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Usuarios y equipos de Active Directory (clic) à Ejecuta la consola de Administración

de usuarios y equipos de Active Directory· Megapack.com.ar (doble clic)· Megapack.com.ar (clic con el botón derecho del Mouse)· Nuevo (clic)· Unidad organizativa (clic) à Crear una nueva Unidad Organizativa· Colocar «Servidores» (sin las comillas) en el cuadro de texto «Nombre:»· Botón «Aceptar» (clic) à Crea la nueva unidad organizativa Servidores· Megapack.com.ar (clic con el botón derecho del Mouse)· Nuevo (clic)· Unidad organizativa (clic) à Crear una nueva Unidad Organizativa· Colocar «Ventas» (sin las comillas) en el cuadro de texto «Nombre:»· Botón «Aceptar» (clic) à Crea la nueva unidad organizativa Ventas· Domain Controllers (doble clic)· MGP-SRV01 (clic con el botón derecho del Mouse)· M over… (clic) à Mover el equipo a otra unidad organizativa· Servidores (clic)· Botón «Aceptar» (clic) à Copiar el equipo a la unidad organizativa Servidores (se

deberá hacer lo mismo una vez que se agregue a MGP-SRV02)· Ventas (clic con el botón derecho del mouse)· Nuevo (clic)· Grupo (clic) à Crear un nuevo grupo de usuarios dentro de la unidad organizativa

ventas· Establecer la siguiente configuración para el grupo:


§ Nombre de grupo: Administracion§ Nombre de grupo (anterior a Windows 2000): Administracion§ Ambito del grupo: Global§ Tipo de grupo: Seguridad

· Botón «Aceptar» (clic) à crea el grupo administración como un grupo global y deseguridad

· Ventas (clic con el botón derecho del mouse)· Nuevo (clic)· Grupo (clic) à Crear un nuevo grupo de usuarios dentro de la unidad organizativa


§ Nombre de grupo: Cobranzas§ Nombre de grupo (anterior a Windows 2000): Cobranzas§ Ambito del grupo: Global§ Tipo de grupo: Seguridad

· Botón «Aceptar» (clic) à crea el grupo Cobranzas como un grupo global y de seguridad· Ventas (clic con el botón derecho del mouse)· Nuevo (clic)· Grupo (clic) à Crear un nuevo grupo de usuarios dentro de la unidad organizativa


§ Nombre de grupo: Gerencia§ Nombre de grupo (anterior a Windows 2000): Gerencia§ Ambito del grupo: Global§ Tipo de grupo: Seguridad

· Botón «Aceptar» (clic) à crea el grupo Gerencia como un grupo global y de seguridad· Users (clic con el botón derecho del mouse)· Nuevo (clic)· Usuario (clic) à Crear un nuevo usuario· Establecer la siguiente configuración para el usuario:

§ Nombre: Administración§ Apellidos: 8 a 14§ Nombre de inicio de sesión: adm8a14

· Botón «Siguiente» (clic)§ Dejar la contraseña en blanco§ Marcar las siguientes opciones:

· El usuario debe cambiar la contraseña en el siguiente inicio desesión

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Administración 8 a 14 (doble clic) à despliega la ventana de Propiedades de

Administración 8 a 14· Solapa «Miembro de» (clic) à Acceder a la configuración de grupos a los que pertenece

el usuario· Botón «Agregar» (clic) à Desplegar la ventana de selección de grupos disponibles· Item «Administración» (doble clic) à Selecciona el grupo Administración· Botón «Aceptar» (clic) à Agregar el usuario al grupo seleccionado· Solapa «Cuenta» (clic) à Acceder a las propiedades de la cuenta· Botón «Horas de inicio de sesión» (clic) à Establecer en que horario le está permitido

iniciar sesión al usuario· Establecer el horario de inicio de sesión permitido de 8 a 14 de lunes a viernes y

colocando como inicio de sesión denegado al resto de los horarios. Una vez finalizadohacer clic en el botón «Aceptar» à Establece el horario de inicio de sesión.

· Botón «Aceptar» (clic) à cerrar la ventana de propiedades y actualizar los cambios


· Users (clic con el botón derecho del mouse)· Nuevo (clic)· Usuario (clic) à Crear un nuevo usuario· Establecer la siguiente configuración para el usuario:

§ Nombre: Administración2§ Apellidos: 14 a 20§ Nombre de inicio de sesión: adm14a20



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Administración2 14 a 20 (doble clic) à despliega la ventana de Propiedades de

Administración2 14 a 20· Solapa «Miembro de» (clic) à Acceder a la configuración de grupos a los que pertenece

el usuario· Botón «Agregar» (clic) à Desplegar la ventana de selección de grupos disponibles· Item «Administración» (doble clic) à Selecciona el grupo Administración· Botón «Aceptar» (clic) à Agregar el usuario al grupo seleccionado· Solapa «Cuenta» (clic) à Acceder a las propiedades de la cuenta· Botón «Horas de inicio de sesión» (clic) à Establecer en que horario le está permitido



· Botón «Aceptar» (clic) à cerrar la ventana de propiedades y actualizar los cambios· Users (clic con el botón derecho del mouse)· Nuevo (clic)· Usuario (clic) à Crear un nuevo usuario· Establecer la siguiente configuración para el usuario:

§ Nombre: Cobranzas§ Apellidos: 8 a 14§ Nombre de inicio de sesión: cob8a14



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas 8 a 14 (doble clic) à despliega la ventana de Propiedades de Cobranzas 8 a

14

· Solapa «Miembro de» (clic) à Acceder a la configuración de grupos a los que perteneceel usuario

· Botón «Agregar» (clic) à Desplegar la ventana de selección de grupos disponibles· Item «Cobranzas» (doble clic) à Selecciona el grupo Administración· Botón «Aceptar» (clic) à Agregar el usuario al grupo seleccionado· Solapa «Cuenta» (clic) à Acceder a las propiedades de la cuenta· Botón «Horas de inicio de sesión» (clic) à Establecer en que horario le está permitido

iniciar sesión al usuario· Establecer el horario de inicio de sesión permitido de 8 a 14 de lunes a viernes y colocando

como inicio de sesión denegado al resto de los horarios. Una vez finalizado hacer clic en


el botón «Aceptar» à Establece el horario de inicio de sesión.· Botón «Aceptar» (clic) à cerrar la ventana de propiedades y actualizar los cambios· Users (clic con el botón derecho del mouse)· Nuevo (clic)· Usuario (clic) à Crear un nuevo usuario· Establecer la siguiente configuración para el usuario:

§ Nombre: Cobranzas2§ Apellidos: 14 a 20§ Nombre de inicio de sesión: cob14a20


· El usuario debe cambiar la contraseña en el siguiente inicio de sesión· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas2 14 a 20 (doble clic) à despliega la ventana de Propiedades de Cobranzas2

14 a 20· Solapa «Miembro de» (clic) à Acceder a la configuración de grupos a los que pertenece

el usuario· Botón «Agregar» (clic) à Desplegar la ventana de selección de grupos disponibles· Item «Cobranzas» (doble clic) à Selecciona el grupo Administración· Botón «Aceptar» (clic) à Agregar el usuario al grupo seleccionado· Solapa «Cuenta» (clic) à Acceder a las propiedades de la cuenta· Botón «Horas de inicio de sesión» (clic) à Establecer en que horario le está permitido



· Botón «Aceptar» (clic) à cerrar la ventana de propiedades y actualizar los cambios· Users (clic con el botón derecho del mouse)· Nuevo (clic)· Usuario (clic) à Crear un nuevo usuario· Establecer la siguiente configuración para el usuario:

§ Nombre: Gerencia§ Apellidos: 11 a 19§ Nombre de inicio de sesión: ger11a19


· El usuario debe cambiar la contraseña en el siguiente inicio de sesión· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Gerencia 11 a 19 (doble clic) à despliega la ventana de Propiedades de Cobranzas 11 a

19· Solapa «Miembro de» (clic) à Acceder a la configuración de grupos a los que pertenece

el usuario· Botón «Agregar» (clic) à Desplegar la ventana de selección de grupos disponibles· Item «Gerencia» (doble clic) à Selecciona el grupo Administración· Botón «Aceptar» (clic) à Agregar el usuario al grupo seleccionado· Solapa «Cuenta» (clic) à Acceder a las propiedades de la cuenta· Botón «Horas de inicio de sesión» (clic) à Establecer en que horario le está permitido




· Botón «Aceptar» (clic) à cerrar la ventana de propiedades y actualizar los cambios· Users (clic)· Administración 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y

de esa manera no tener que especificar todos los parámetros cada vez· Establecer la siguiente configuración para el usuario:

§ Nombre: Nicolas§ Apellidos: Reali§ Nombre de inicio de sesión: nicore


· El usuario debe cambiar la contraseña en el siguiente inicio desesión (verificar que ya se encuentre marcada)

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario

· Administración 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Santiago§ Apellidos: Martinez§ Nombre de inicio de sesión: santy



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Administración 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Veronica§ Apellidos: Sanchez§ Nombre de inicio de sesión: verosan



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Administración2 14 a 20 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Eduardo§ Apellidos: Cabañas§ Nombre de inicio de sesión: educab






§ Nombre: David Federico§ Apellidos: Muro§ Nombre de inicio de sesión: murdav





§ Nombre: Roberto§ Apellidos: Otero§ Nombre de inicio de sesión: oterob



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Lucas Edmundo§ Apellidos: Girardengo§ Nombre de inicio de sesión: girluc



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Sergio Damián§ Apellidos: Duarte§ Nombre de inicio de sesión: duaser

· Botón «Siguiente» (clic)§ Dejar la contraseña en blanco


§ Marcar las siguientes opciones:· El usuario debe cambiar la contraseña en el siguiente inicio de

sesión (verificar que ya se encuentre marcada)· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y de

esa manera no tener que especificar todos los parámetros cada vez· Establecer la siguiente configuración para el usuario:

§ Nombre: Gisela§ Apellidos: Sullivan§ Nombre de inicio de sesión: sulgis



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cobranzas2 14 a 20 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y de


§ Nombre: Emmanuel Nicolás§ Apellidos: Ibarra§ Nombre de inicio de sesión: ibaemm





§ Nombre: Leonardo§ Apellidos: Leon§ Nombre de inicio de sesión: leoleo





§ Nombre: Emiliano Gastón§ Apellidos: Pierresteguy§ Nombre de inicio de sesión: pieemi

· Botón «Siguiente» (clic)


§ Dejar la contraseña en blanco§ Marcar las siguientes opciones:

· El usuario debe cambiar la contraseña en el siguiente inicio de sesión(verificar que ya se encuentre marcada)

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Gerencia 11 a 19 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y de


§ Nombre: Alejandra§ Apellidos: Gallo§ Nombre de inicio de sesión: galale





§ Nombre: Maria Graciela§ Apellidos: Llanos§ Nombre de inicio de sesión: llamar





§ Nombre: Nicolás Hernan§ Apellidos: Sturm§ Nombre de inicio de sesión: sturmic



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuarioCerrar la consola «Usuarios y equipos de Active Directory» (hacer clic el icono en forma de

«X» que se encuentra en la esquina superior derecha de la


En el Servidor 2 (MGP-SRV02)

Ejercicio 1:


· Icono «Mis sitios de red» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Conexiones de red y de acceso telefónico· Icono «Conexión de área local» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Propiedades de Conexión de área local· Protocolo Internet (TCP/IP) (doble clic) à despliega la ventana de Propiedades de


§ Dirección IP: 172.16.1.2§ Mascara de subred: 255.255.0.0§ Servidor DNS preferido: 172.16.1.1

· Botón «Avanzada…» (clic) à despliega la ventana de configuración avanzada· Solapa «DNS» (clic) à Acceder a la configuración avanzada del cliente DNS· Desmarcar la opción «Anexar sufijos primarios del sufijo DNS principal (haciendo un clic

en la casilla de verificación)· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la X

que se encuentra en el ángulo superior derecho de la ventana.)· Una vez en el escritorio se procederá de la siguiente manera para promover al servidor

a controlador de dominio:· Menú Inicio (clic)· Ejecutar (clic)· Ingresar «dcpromo» (sin las comillas) en el cuadro de texto y presionar la tecla ENTER

à ejecutar el asistente de instalación de Active Directory.· Botón «Siguiente» (clic)· Controlador de dominio adicional para un dominio existente (clic)· Establecer la siguiente configuración en la ventana «Credenciales de red»:

§ Nombre de usuario: Administrador§ Contraseña: MgP393pDC§ Dominio: megapack

· Botón «Siguiente» (clic) à Establece cuales son las credenciales que se utilizaránpara agregar el nuevo controlador al dominio

· Introducir «megapack.com.ar» (sin las comillas) en el cuadro de texto «Nombre dedominio» à Indica a que dominio se desea agregar el nuevo controlador

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece la ruta por defecto para la ubicación de la base

de datos y el registro de Active Directory (C:\WINNT\NTDS)· Botón «Siguiente» (clic) à Establece la ruta por defecto para la ubicación de la

carpeta SYSVOL (C:\WINNT\SYSVOL)· Botón «Siguiente» (clic)· Establecer la siguiente configuración para la «Contraseña del Modo de restauración de

servicios de directorio»:§ Contraseña: MgP393pDC


§ Confirmar contraseña: MgP393pDC· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à comienza el proceso de replicación· Botón «Finalizar» (clic)· Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo à Al

reiniciar los cambios tendrán efecto· Una vez el equipo reinicie, verificar que estén instaladas las herramientas de sistema

correspondientes y el estado de la base de datos de Active Directory (usuarios, unidadesorganizativas, etc.)


Administración de Active Directory en Windows 2000 Server

Clase teórica 14

CONSOLAS ADMINISTRATIVAS MICROSOFT (MMC)

MMC es un marco de consola común para la administración de aplicaciones.Estas consolas pueden ser ejecutadas en Windows 2000, NT 4.0, Me, 98 y 95.

En sí misma, MMC, no proporciona la capacidad de administración, peroproporciona un entorno común donde ejecutar los complementos, estos sonquienes proporcionan la capacidad administrativa a MMC sobre un objeto enparticular.

Las consolas de administración permiten realizar las siguientes tareas:

Ejecutar en ella, los distintos complementos administrativos, produciendoun ahorro en el trabajo del administrador del sistema.

Centralizar la administración de la mayoría de los complementos existentesen el sistema.

Utilizar complementos para la administración remota.

Generar consolas personalizadas conteniendo todo o parte de loscomplementos de administración, esto es importante a la hora de delegaroperaciones administrativas a otros usuarios.

Nota

No todos loscomplementos estándisponibles para la

administración remotas,de forma que W indows2000 indica mediantecuadros de dialogo

cuando se puede utilizarel complemento paraadministración remota

Atención

La MMC versión 1.1 (pre-Windows 2000) solo soporta 1 complemento, mientras que la versión MMC 1.2(Windows 2000) soporta varios complementos simultáneamente.


Definir MMC: Definir complemento:

Actividad

Las consolas de administración se guardan en archivos con extensión .msc.Cada archivo de consola se representa como una ventana secundaria en lainterfaz MMC. Un archivo de la consola MMC contiene el árbol de consola, quevisualiza la organización jerárquica de varios complementos contenidos en elarchivo. Todos los parámetros para los complementos contenidos en la consolase guardan y se restauran cuando se abre el archivo, incluso si el archivo de laconsola se abre en una computadora distinta o desde un host de la red.

Complementos

Cada MMC consta de un grupo de herramientas menores denominadascomplementos. Los complementos son aplicaciones diseñadas para interactuarcon MMC. Un complemento representa una unidad de funcionalidad administrativa,un complemento es la unidad más pequeña de una extensión de consola, uncomplemento extiende la consola MMC añadiendo y habilitando capacidades yfuncionalidades de administración. Existen dos tipos de complementos:

Independientes: Los complementos independientes se utilizan para realizartareas administrativas de Windows 2000, cada uno de ellos proporcionauna función o un conjunto de funciones.

Extensiones: Estos proporcionan funcionalidad administrativa adicional aotro complemento ya que estas se encuentran diseñadas para funcionarcon uno o mas complementos independientes.

Opciones de MMC

Las opciones de consola determinan cómo opera una consola MMC, utilizandoestas opciones se pueden crear consolas MMC para otros administradores yque estos puedan utilizarlas para realizar tareas especificas. El modo consoladetermina la funcionalidad de la MMC para la persona que se encuentre utilizandouna MMC guardada. Existen 2 modos de consola disponibles:

Modo Autor: Cuando se guarda una MMC en modo autor, se permite a todasu funcionalidad, lo que incluye modificarla.

Modo Usuario: Si es necesario distribuir una consola MMC a otrosadministradores, se debe guardar la MMC en modo usuario, ya que de estamanera los usuarios no pueden agregar o eliminar complementos de laMMC o guardarla.


CUENTAS DE USUARIO EN WINDOWS 2000

Una cuenta de usuario proporciona a la persona que la utiliza la posibilidad deiniciar sesión en un dominio para acceder a los recursos de la red o iniciar lasesión en una computadora para acceder a los recursos de esta (locales).

Cuenta de Usuario de Dominio

Una cuenta de usuario de dominio permite iniciar una sesión en una redadministrada en forma de dominio y acceder a los recursos que esta disponga.

El usuario proporciona su contraseña y su UID de usuario al inicio de una sesión,de esta manera Windows 2000 procede a la autenticación del usuario mediantela generación de un token de acceso que contiene información del usuario yparámetros de seguridad.

Nota

En W indows 2000 existencuentas pre-definidas,utilizadas para realizartareas administrativas oacceder a los recursos de

la red.

Nota

La cantidad de recursosde red a los que una

cuenta de usuario puedeacceder, esta siempre

limitada a los privilegiosadministrativos que esta

posea.

Atención

Los token de acceso identifican a un usuario en W indows 2000, sobre los cualesun usuario intenta tener acceso a los recursos, el token posee un TTL igual a la

duración de la sesión.

DiccionarioUID

U ser IDentification -Identificación deusuario. El UIDgeneralmente secorresponde con elnombre que elusuario utiliza paraingresar a unsistema.

TTL

Time To Live - Tiempode Vida. Hacereferencia al tiempoen que un parámetroes valido para serutilizado, en estecaso el Token.

Se crea una cuenta de usuario de dominio en una unidad organizacional (OU), enuna réplica del almacén de Active Directory (AD), sobre un controlador de dominio(DC). El DC replica la información de la cuenta del nuevo usuario a todos los DCdel dominio. Luego de que Windows 2000 replica la información de la cuenta delnuevo usuario, todos los DC en el árbol de dominio autentican al usuario duranteel proceso de inicio de sesión.

Atención

Es posible que la replicación de la información de una cuenta de usuario a todoslos DC del dominio tarde varios minutos, esto podría generar que una cuentarecién creada no pueda ser utilizada para iniciar sesión inmediatamente. La

replicación de información de AD entre los DC se realiza automáticamente cada 5minutos.

Cuenta de Usuario Local

Las cuentas de usuario locales, como su nombre lo indica, solo permite ingresara los recursos de la computadora donde se creó la cuenta. Al crear esta cuentaWindows 2000 solo la guarda en su base de datos de seguridad local, y no esreplicada a los demas DC de la red.

Cuentas de Usuario Predefinidas

Automáticamente al instalar Windows 2000, se crean una serie de cuentaspredefinidas del sistema en modo local. Cuando se instala AD en unacomputadora con Windows 2000, estas cuentas predefinidas extienden su


¿Qué comando se utiliza para ejecutar unaaplicación como administrador?

Diferencia entre cuenta de usuario local y dedominio:

utilización al dominio.

Dos cuentas predefinidas que se crean automáticamente por el sistema, entreotras, son las de Administrador e Invitado.Nota

Las cuentas predefinidasno pueden ser borradas,pero si renombradas. Lacuenta de administradorpuede ser renombradapero no deshabilitada,mientras que las demáscuentas predefinidas si

pueden serdeshabilitadas.

ADMINISTRADOR

Esta cuenta es utilizada para administrar todos los recursos de la computadoracon Windows 2000 así como los recursos de red de dominio si se encuentrainstalado A D, Es recomendable que el administrador del dominio no utilice lacuenta de administrador, sino que cree una cuenta con menos privilegios pararealizar tareas administrativas de bajo nivel y utilice la cuenta administrador pararealizar tareas administrativas especificas de alto nivel.

Es posible iniciar sesión en Windows 2000 con una cuenta de bajos privilegios yal momento de realizar una tarea que requiera altos privilegios, utilizar un comandopara ejecutar específicamente la tarea como administrador desde el menú ejecutar,utilizando la siguiente sintaxis de consola:

Sintaxis genérica

runas /user: nombre_de_dominio \ cuenta_de_administrador aplicación

Sintaxis ejemplo

runas /user:proet\Administrador mmc

Es posible que el sistema requiera la contraseña de Administrador para ejecutarun comando o programa, en este caso Windows 2000 la solicitaráautomáticamente.

Invitado

La cuenta predefinida Invitado, solo se aconseja utilizar para dar a los usuariosocasionales la posibilidad de iniciar sesión en el dominio o computadora local yutilizar solo los recursos permitidos para esta cuenta. El administrador puedeotorgar o quitar privilegios de acceso a la cuenta Invitado.

Actividad

AtenciónLa cuenta Invitado se encuentra deshabilitada por defecto, si es necesaria su utilización, el administrador debe

habilitarla


CONSIDERACIONES PA R A LAS CUENTAS DE USUARIO

Existen recomendaciones a la hora de administrar cuentas de usuario en Windows2000, que permiten organizar y planificar su posterior administración, estas normasson:

Convenios de denominación para las cuentas de usuario

Requisitos para la generación y uso de contraseñas

Opciones de cuenta

Convenios de denominación

Estos establecen la forma en que los usuarios se identifican en el dominio, losconvenios más comunes son:

Nombre de inicio de sesiónúnico

20 caracteres máximo

Caracteres no válidos

No se distingue mayúsculas deminúsculas

Los nombres de inicio de sesión para

usuarios de dominio deben ser únicos

en Active Directory.

Los nombres de inicio de sesión pueden

contener un máximo de 20 caracteres.

Los caracteres ll / \ [ ] : ; = , + * ? < >

no son validos en un nombre de inicio

de sesión.

Windows 2000 no distingue entre

mayúsculas y minúsculas para un

nombre de usuario.

Requisitos de contraseñas

Para proteger el acceso al dominio o a una computadora, cada cuenta de usuario debeposeer una contraseña, es imprescindible seguir los lineamientos siguientes:

La cuenta de administrador siempre debe poseer contraseña, para evitar la utilizaciónno permitida de la cuenta.

Se deberá determinar si el administrador o el usuario controla la contraseña de iniciode sesión.

No utilizar contraseñas débiles, como ser nombre de amigos, familiares o fechas.

Utilizar contraseñas fuertes, con un mínimo de 8 caracteres y utilización decombinaciones alfanuméricas (salvo por los mencionados en la tabla anterior, los cualestampoco se permiten en contraseñas).


Computadoras desde las cuales se puede iniciar sesión, se debe determinarde que computadoras del dominio los usuarios pueden iniciar sesión. Porrazones de seguridad es necesario que los usuarios únicamente puedaniniciar sesión en el dominio desde sus propios hosts y no desde cualquiera,ya que de esta manera se evita que usuarios accedan a informaciónalmacenada en otros hosts.

AtenciónSi se deshabilita el protocolo NetBIOS sobre TCP/IP, W indows no puede determinar desde que computadoraun usuario inicia sesión, ya que W indows restringe el inicio de sesión basándose en el nombre NetBIOS de un

host.

COMPLEMENTO USUARIOS Y EQUIPOS DE ACTIVE DIRECTO RY

Este complemento de Windows 2000 permite realizar cualquier tareaadministrativa sobre los usuarios locales o del dominio. A demás posee unaserie de objetos predefinidos que se crean automáticamente al instalar Windows2000 y otros que pueden crearse mediante este complemento, estos son:

Dominio

Computadoras

Sistema

Usuario

El nodo de raíz del el anap-in representa el dominio que seestá administrando.

Contiene todas las computadoras Windows NT y Windows2000 que unen un dominio. Esto incluye computadorasque se ejecutan con Windows NT versiones 3.51 y 4.0además de alas que ejecutan Windows 2000. Si se escaladesde una versión anterior. Active Directory cambia lacuenta de la máquina a su carpeta. Se pueden moverestos objetos.

Contiene sistemas de Active Directory e información deservicios como RPC. WinSock, y además información.

Contiene todos los usuarios en el dominio. En una escala,cambiarán todos los usuarios del dominio anterior. Al igualque las computadoras, se pueden mover los objetos delusuario.

Descripción de objetos de Active Directory

Icono Carpeta Descipción

Actividad

¿Cuáles son los caracteres prohibidos en una cuentade usuario?

Definir convenio de denominación:


Usuario

Contacto

Computadora

Unidad organizacional

Grupo

Carpeta compartida

Impresora compartida

Un objeto de usuario es un objeto que tiene seguridadprincipal en el directorio. Un usuario puede conectarsea la red con estas credenciales, y se le otorgan lospermisos para acceder.

Un objeto de contacto es una cuenta que no tienepermisos de seguridad, no se puede conectar a la redcomo contacto.Los contactos se utilizan de manera típica con el fin derepresentar a los usuarios esternos para el e-mail.

Un objeto que representa una computadora en la red.Para estaciones de trabajo y servidores Windows NT,esta es la cuenta de la máquina.

Las unidades organizacionales se utilizan comocontenedores para organizar de manera lógica objetosde directorio como: usuarios, grupos y computadoras,de la misma manera que las carpetas se utilizan paraorganizar archivos en el disco duro.

Los grupos pueden contener usuarios, computadoras ydemás grupos. Estos simplifican la administración denúmeros grandes de objetos.

Una carpeta compartida es compartir una red que se hapublicado en el directorio.

Una impresora compartida es una impresora de red quese ha publicado en el directorio.

Se puede utilizar Active Directory para crear los siguientes objetos

Icono Objeto Descipción

PERFILES DE USUARIO

Un perfil de usuario es una colección de carpetas y datos que almacenancaracterísticas del usuario como configuración del escritorio, configuración deaplicaciones y datos personales. Un perfil de usuario, también almacena todaslas conexiones de red permitidas al usuario como ser las unidades de red.

Cuando un usuario inicia sesión en Windows 2000 por primera vez,automáticamente este, crea un perfil local para el usuario que luego al cerrarsesión se guarda hasta que el usuario inicie sesión nuevamente.

Windows 2000 soporta 2 tipos de perfil: móvil y obligatorio.

Perfil Móvil

Un perfil de usuario móvil posee la característica de estar configurado en elservidor permitiendo de esta manera que el perfil se encuentre disponible al usuariosin importar desde que host se inicie la sesión. Cuando Windows 2000 detectaque un usuario con perfil móvil inicia sesión en el dominio, copia el perfil desde elservidor de red hasta el host donde el usuario inicio la sesión, de esta manera el


Definir perfil de usuario: Diferencias entre perfil Móvil y obligatorio:

usuario siempre encuentra un entorno coherente (igual) sin importar desde quehost ingrese a la red.

Cuando un usuario con perfil móvil asignado inicia sesión por primera vez en unhost del dominio, Windows 2000 copia todos los archivos del perfil móvil al host,una vez que el usuario termina sus tareas y cierra sesión, Windows 2000 copiatodos los cambios realizados por el usuario en el host al servidor, de esta manerael usuario siempre puede encontrar su entorno de trabajo en las mismascondiciones.

Si un usuario con un perfil móvil asignado inicia sesión desde un host en el que yahabía iniciado sesión alguna vez, Windows 2000 compara el perfil que quedoguardado en ese host la última vez que el usuario lo utilizó y solo copia desde elservidor los archivos que hayan cambiado, de esta manera el perfil móvil solo seactualiza.

Perfil Obligatorio

Un perfil obligatorio puede definirse como un perfil móvil de solo lectura, ya queWindows 2000 copia el perfil desde el servidor en el host donde el usuario, conperfil obligatorio, inició la sesión. La diferencia básica con el perfil móvil, es quecuando el usuario cierra la sesión en el host, los cambios realizados sobre elperfil no se copian al servidor. De esta manera Windows 2000 siempre presentael mismo perfil a un usuario que tiene designado un perfil obligatorio.

Cada usuario posee un archivo denominado ntuser.dat en su carpeta de perfilmóvil en el servidor, cuando se desea que un usuario posea un perfil obligatoriose debe cambiar la extensión de ntuser.dat a ntuser.man. A cada usuario queposea perfil móvil y el administrador renombre el archivo ntuser.dat de su carpetade perfil en el servidor a extensión .man, automáticamente pasará a tener unperfil obligatorio.

REINICIAR UNA CONTRASEÑA Y DESBLOQUEAR UNA CUENTA DEUSUARIO

Si un usuario no puede iniciar sesión en un dominio o computadora local, esposible que sea necesario reiniciar la contraseña o desbloquear la cuenta deusuario. Para realizar estas tareas es necesario iniciar sesión con privilegiosadministrativos suficientes, como, por ejemplo, con el usuario Administrador.

Actividad

Nota

Para devolver un perfilmóvil a un usuario conperfil obligatorio, bastarácon que el administradorvuelva a modificar laextensión del archivontuser.man a .dat en lacarpeta de perfil deusuario en el servidor.


Reestablecer una contraseña

Si una contraseña de usuario expira antes de haberla modificado o si el usuarioolvido su contraseña es posible que un usuario con privilegios administrativosaltos pueda reestablecerla sin necesidad de conocer la anterior, ya que solamentese reemplaza por una nueva. Esta tarea se realiza desde el ícono que representaal usuario específico, con un clic derecho sobre él y seleccionando la opción«Reestablecer contraseña».

Desbloqueo de cuentas

Windows 2000, por una cuestión de seguridad, posee una directiva que bloqueauna cuenta al realizar un número específico (configurable por el administrador)de intentos erróneos de inicio de sesión. Al bloquearse automáticamente unacuenta, Windows envía un mensaje de error. El desbloqueo de la cuenta debeser realizado por un usuario que posea los privilegios administrativos suficientespara la tarea.

GRUPOS EN WINDOWS 2000

Un grupo se define como un contenedor de cuentas de usuario, estos simplificanla administración de los usuarios permitiendo asignar permisos y derechos agrupos de usuarios y no a usuarios individualmente. Por regla un usuario puedepertenecer a más de un grupo al mismo tiempo y por ende sumar los privilegios(permisos y derechos) que los distintos grupos hereden al usuario.

Permiso de usuario

Derecho de usuario

Un permiso brinda al usuario que lo posee,la capacidad de acceder o no a recursosespecíficos y se define el tipo de acceso quetienen.

Ej. Permiso de lectura de un archivo.

Un derecho permite al usuario realizar tareasvinculadas al sistema.

Ej. Iniciar sesión en Windows 2000.

TIPOS DE GRUPO

El tipo de grupo determina cual es el fin de este, existen 2 tipos de grupos yambos están contenidos en el almacén de Active Directory:


Diferencia entre permiso y derecho: Definir ámbito:

Grupo de Seguridad: Windows 2000 solo utiliza grupos de seguridad, los cualesse utilizan para asignar permisos para acceder a los recursos.

Grupo de Distribución: El caso de estos es diferente ya que no son utilizados porWindows 2000 para asignar permisos, sino que es utilizado por diferentesaplicaciones que pueden acceder a los usuarios almacenados en Active Directory,como por ejemplo programas de correo electrónico. De esta manera se puedenenviar mensajes a un gran grupo de usuarios al mismo tiempo.

ÁMBITOS DE GRUPO

El ámbito permite determinar donde se puede utilizar el grupo en la red, los tresámbitos de grupo son locales, globales y universales.

Grupos locales de dominio

Los grupos locales de dominio se utilizan para asignar permisos a los recursos yposeen las siguientes características:

Pertenencia abierta. Se pueden añadir miembros desde cualquier dominio.

Acceso a recursos en un dominio. Se puede utilizar un grupo local dedominio para asignar permisos para acceder solamente a los recursos quese ubican en el mismo dominio donde se ha creado el grupo local de dominio.

Grupos Globales

Los grupos globales se utilizan frecuentemente para organizar los usuarios quecomparten requisitos de acceso similares a la red, estos poseen las siguientescaracterísticas:

Pertenencia limitada. Se pueden añadir miembros solamente desde eldominio en el cual se ha creado el grupo global.

Acceso a recursos en cualquier dominio. Se puede asignar un grupo globalpara asignar permisos para acceder a los recursos que están ubicados enotro dominio con el cual exista una relación de confianza.

Nota

Algunas aplicacionespueden utilizar a losgrupos de seguridadcomo si fueran dedistribución y enviarmensajes a los usuarioscontenidos en estos.

Actividad


Grupos Universales

Los grupos universales se utilizan para asignar permisos a recursos relacionadoscon varios dominios, los grupos de seguridad universales poseen las siguientescaracterísticas:

Pertenencia abierta. Se pueden añadir miembros desde cualquier dominio.

Acceder a recursos en cualquier dominio. Se puede utilizar un grupouniversal para asignar permisos para acceder a recursos que están situadosen otros dominios del árbol de AD.

Posibilidad de modo Nativo solamente. Los grupos de seguridaduniversales no se encuentran disponibles en modo mixto, solo los dedistribución universal.

DiccionarioModo Mixto

Se denomina de estaforma a los dominiosdonde convivencontroladores dedominio Windows2000 ó 2003 Servercon controladores dedominio NT 4.0.

Modo Nativo

Así se denomina alos dominios dondeconviven solamentecontroladores dedominio que ejecutanWindows 2000 ó2003 Server.

Pertenencia de un Grupo

El ámbito de un grupo determina su pertenencia, esto define que objetos de A Dpuede contener un grupo a demas de su visibilidad en el bosque.

Dominio Local

Global

Universal

Usuarios, gruposglobales o universales.

Usuarios o gruposglobales.

Usuarios, grupos

globales o universales.

Icono Carpeta Descipción

Dominio

Árbol

Bosque

ADMINISTRACIÓN DE IMPRESORAS EN WINDOWS 2000 SERVER Y AD.

Impresión en Windows 2000

Windows 2000 Server está diseñado para la impresión en red. Utilizando variasplataformas, las aplicaciones envían los trabajos de impresión a las impresorasconectadas a un servidor de impresión de Windows 2000 o conectadas a la redmediante adaptadores de red internos, adaptadores de red externos (dispositivosservidores de impresión) u otro servidor. Utilizando una computadora que estéejecutando Windows 2000 Server como el servidor de impresión de red, se puedeimprimir desde cualquier sistema operativo soportado que utilicen lascomputadoras en red.

PLANIFICACIÓN DE UN SISTEMA DE IMPRESIÓN EN RED

Antes de establecer la impresión en red, se desarrolla una estrategia de impresiónen la red pare conocer las necesidades de impresión de los usuarios sin repetición


innecesaria de recursos o retrasos en la impresión.

Los siguientes indicadores proporcionan algunas normas pare desarrollar unaestrategia de impresión de red:

Determinar los requisitos de impresión de los usuarios. Se debe determinar elnúmero de usuarios que imprimen y la carga de trabajo de impresión. Por ejemplo,15 personas en un departamento de facturación que imprimen facturascontinuamente tendrán una carga de trabajo de impresión mayor y podrían requerirmás impresoras, más dispositivos de impresión y probablemente más servidoresde impresión que 15 creadores de software que hacen todo su trabajointeractivamente.

Determinar los requisitos de impresión de la compañía. Se debe determinar lasnecesidades de impresión de la compañía. Esto incluye el número y tipos dedispositivos de impresión requeridos. Además, se considera el tipo de cantidadde trabajo que cada dispositivo de impresión va a manipular. No se debe utilizarun dispositivo de impresión personal pare la impresión en red.

Determinar el número de servidores de impresión requeridos. Se debe determinarel número de servidores de impresión que requiere la red pare manipular elnúmero y tipo de impresoras que va a tener la red.

Determinar dónde localizar los dispositivos de impresión. Se debe determinardónde se van a localizar los dispositivos de impresión. En una red interconectadapor routers, hay que considerar instalar los servidores de impresión y losdispositivos de impresión en la misma red que los hosts clientes que los vayan autilizar. Adicionalmente, debería ser fácil pare los usuarios recoger los documentosimpresos.


Con Windows 2000 son posibles varias configuraciones de clientes, servidoresy dispositivos de impresión, dependiendo de si el dispositivo de impresión esremoto o no. A un dispositivo de impresión remoto se accede mediante un servidorde impresión.

Un dispositivo de impresión no remoto recibe los datos directamente desde lacomputadora. La combinación de clientes, servidores y dispositivos de impresión

Actividad

Definir modo mixto: Definir modo nativo:


también depende de si el dispositivo de impresión está en la red o directamenteconectado a la computadora.

Las cuatro configuraciones de impresión básicas, son:

Un dispositivo de impresión local no remoto: El dispositivo de impresión estáconectado al puerto paralelo o USB de la computadora que ejecuta la aplicación.El controlador de la impresora y la cola de trabajos están en esa computadora,que envía los datos de impresión directamente al dispositivo de impresión.

Un pequeño grupo de equipos que comparten un dispositivo de impresión enred: Cada computadora tiene igual acceso al dispositivo de impresión y no hayun control central de impresión o de seguridad. Cada computadora tiene su propiacola de trabajos y no puede ver los documentos en la cola en el dispositivo deimpresión por otras computadoras. Si la impresión se detiene, el mensaje deerror no aparece en todos los clientes.

Una configuración de red utilizando un servidor central de impresión: Muchosclientes comparten el acceso al dispositivo de impresión a través del servidor,que está conectado localmente al dispositivo de impresión. La cola de trabajosse encuentra en el servidor y es visible para cada cliente. Cuando un cliente seconecta a una cola de impresión de red, el host cliente busca nuevos controladoresde impresora en el servidor de impresión y actualiza los controladores deimpresora más viejos en el cliente.

Varios clientes que comparten un dispositivo de impresión en un dominioadministrado por una computadora que está ejecutando Windows 2000 Server:El dispositivo de impresión se conecta al servidor a través de la red, permitiendoque un servidor de impresión administre varios dispositivos de impresión. Paracrear y compartir impresoras, se utiliza el Asistente para agregar impresoras enel servidor de impresión. Independientemente de dónde estén localizados losdispositivos de impresión, el software de la impresora debe estar ubicado en elservidor de impresión. Si el dispositivo de impresión está directamente conectado,el asistente lo detecta y entonces intenta configurar el software de la impresora.Si el dispositivo de impresión está conectado en otra parte de la red, se debecrear un puerto pare él cuando se configure el software de impresora. Tambiénse puede utilizar el Asistente para agregar impresoras para conectarse adispositivos de impresión remotos.

ADMINISTRACIÓN DE LAS IMPRESORAS DE RED

Se puede acceder a las impresoras para su administración utilizando la ventanaImpresoras del menú Inicio o la función Buscar en el complemento Usuarios yequipos de Active Directory. La ventana Impresoras permite realizar todas lastareas administrativas; sin embargo, no se pueden realizar algunas tareas desdeel complemento Usuarios y equipos de Active Directory. Por ejemplo, no se puedeutilizar el complemento pare dejar una impresora sin conexión a la red. Paradejar una impresora sin conexión a la red se debe acceder a la impresoraespecífica a través de la ventana Impresoras.

NotaCrear una impresora

significa instalar el

dispositivo de impresión o

bien directamente en un

servidor de impresión o

bien en la red, y luego se

configura el software de la

impresora que controla el

dispositivo de impresión en

el servidor de impresión.

Hay que ejecutar el

Asistente para agregar

impresoras y pulsar en la

opción Impresora local. Se

debe dar nombre a la

impresora, instalar el

controlador de la impresora

y especificar un puerto.

NotaConectarse a una impresora

significa conectarse a la

unidad compartida en la

computadora que creó la

impresora. Para conectarse

a una impresora, se ejecuta

el Asistente para agregar

impresoras y se pulsa en la

opción Impresora de red. Si

el controlador de la

impresora para la

plataforma del cliente existe

en el servidor de impresión,

no es necesaria su

instalación porque

Windows 2000 lo carga

automáticamente. Esto

incluye los controladores de

impresión para Windows

95, Windows 98 y todas las

versiones de W indows NT.

De no ser así, se consultará

si se desea instalar el

software de la impresora.


Windows 2000 permite controlar el uso de la impresora y la administraciónasignando permisos a través de la ficha Seguridad del cuadro de diálogoPropiedades de la impresora. Con el uso de los permisos de la impresora, sepuede controlar quién puede utilizar una impresora. También se pueden asignarlos permisos de la impresora pare controlar quién puede administrar una impresoray el nivel de administración, el cual puede incluir la gestión de impresoras y lagestión de documentos.

Por razones de seguridad podría ser necesario limitar el acceso de usuarios aciertas impresoras. También se pueden utilizar los permisos de las impresoraspara delegar responsabilidades para determinadas impresoras a usuarios queno son administradores.

Windows 2000 proporciona tres niveles de permisos de impresora:

Imprimir

Administración de documentos

Administrar impresoras

Se pueden permitir o denegar los permisos de la impresora. Como con lospermisos NTFS, los permisos denegados siempre anulan los permisospermitidos. Por ejemplo, si se selecciona el grupo de sistema Todos y luego sepulsa el cuadro de comprobación Denegar, próximo a Administración dedocumentos, nadie puede administrar documentos, incluso si se concede estepermiso a otra cuenta de usuario o grupo. Esto se debe a que todas las cuentasde usuario son miembros del grupo de sistema Todos.

De manera predeterminada, Windows 2000 asigna los permisos de Imprimir paracada impresora al grupo de sistema Todos, permitiendo a todos los usuariosenviar documentos a la impresora. También se pueden asignar los permisos deimpresora a usuarios o grupos. Se puede cambiar los permisos predeterminadosque asigna Windows 2000 a las impresoras.

Grupos de impresoras

Un grupo de impresoras es una impresora que está conectada a múltiplesdispositivos de impresión a través de múltiples puertos de un servidor deimpresión. Los dispositivos de impresión pueden ser dispositivos de impresiones

Actividad

Definir crear impresora: Definir conectarse a una impresora:


locales o de red. Los dispositivos de impresión deberían ser idénticos; sinembargo, se pueden utilizar dispositivos de impresión que no son idénticos peroque utilizan el mismo controlador de impresora.

Cuando se crea un grupo de impresoras, los usuarios pueden imprimirdocumentos sin tener que averiguar qué dispositivo de impresión está disponible;la impresora busca un puerto disponible. La agrupación de impresoras se configuradesde la solapa Puertos del cuadro de diálogo Propiedades de la impresora. Unavez allí, se seleccionan o se crean los puertos que contengan los dispositivos deimpresión que formarán parte del grupo y luego se marca el cuadro decomprobación habilitar la cola de la impresora al final de la página.

Cuando se instala un grupo de impresoras, los dispositivos de impresión deberíansituarse en la misma área física para que los usuarios puedan localizar fácilmentesus documentos. Si no se sitúan los dispositivos físicos en la misma área, elinconveniente es que los usuarios no sabrán exactamente dónde se han impresosus trabajos de impresión.

Un grupo de impresoras tiene las siguientes ventajas:

En una red con un alto volumen de impresión, disminuye el tiempo que esperanlos documentos en el servidor de impresión.

Simplifica la administración porque se pueden administrar múltiplesdispositivos de impresión desde una sola impresora.

Antes de crear un grupo de impresoras, hay que asegurarse de que se conectanlos dispositivos de impresión al servidor de impresión o a la red.


En Windows 2000, el subsistema de impresión está estrechamente integradocon los servicios de Active Directory, haciendo posible buscar impresoras endistintas ubicaciones a través de un dominio.

Los servicios de Active Directory son una base de datos distribuida compartidapor los controladores del dominio en la red. La información sobre las colas deimpresora, sitios, nombres y direcciones se guarda en el almacén de ActiveDirectory. Esta información se debe enviar mediante servidores de impresiónindividuales, razón por la que es importante mantener al día la información deimpresora contenida en el almacén de Active Directory.

Las características referidas a la relación entre los servidores de impresión y losservicios de Active Directory incluyen lo siguiente:

Cada servidor de impresión es responsable de la publicación de sus propiasimpresoras en el almacén de Active Directory.

El servidor de impresión no tiene afinidad con ningún controlador de dominio


específico. Encuentra dinámicamente un controlador de dominio en el dominioadecuado.

Cuando se actualiza una impresora en el servidor de impresión, los cambiosse propagan automáticamente a través de los servicios de Active Directory alalmacén de Active Directory.

Las impresoras se publican en el almacén de Active Directory como objetosprintQueue.

DiccionarioPrintQueue

Los objetosprintQueuepublicados contienenun subconjunto de lainformaciónalmacenada en elservidor de impresiónpara una impresora.

De manera predeterminada, la impresión está integrada con los servicios de ActiveDirectory para trabajar sin intervención administrativa. Sólo es necesario realizarcambios si el comportamiento predeterminado no es aceptable.

El comportamiento predeterminado incluye lo siguiente:

Cualquier impresora compartida por un servidor de impresión se publica enlos servicios de Active Directory. Todavía se requiere el acceso administrativoa la computadora anfitriona para instalar y compartir una impresora.

El objeto printQueue está situado en el objeto computadora del servidor deimpresión en el almacén de Active Directory. La impresora no aparece debajodel objeto equipo en el complemento Usuarios y equipos de Active Directory.En cambio, utilizando el comando Buscar en el complemento Usuarios yequipos de Active Directory, el resultado visualizará la impresora asociada aun servidor.

Cuando se produce cualquier cambio en la configuración de la impresora, seactualiza el objeto de Active Directory. Toda la información de configuraciónse reenvía al almacén de Active Directory incluso si parte de ella hapermanecido sin cambios.

Si un servidor de impresión desaparece de la red, sus impresoras se eliminande los servicios de Active Directory.

PUBLICACIÓN EN AD DE IMPRESORAS EN SERVIDORES NO WINDOWS2000

Las impresoras que se encuentran en los servidores de impresión ejecutandoWindows NT 4.0 ó Windows NT 3.51 u otro sistema operativo con soporte parasistema de directorio, se pueden publicar en los servicios de Active Directory

Actividad

Marcar con x donde corresponda:

La información de la cola de impresión se guarda enel almacen de Active Directory ( )

La información de la cola le impresión se guarda enla impresora ( )

Definir PrintQueue:


utilizando el complemento Usuarios y equipos de Active Directory.

Una vez en el complemento, se crea un objeto impresora en una unidadorganizativa (OU), contenedor o nodo de dominio del mismo modo que se creaun objeto de usuario o de grupo. Alternativamente, se puede usar el scriptPubprn.vbs, que se proporciona en la carpeta System32.

Pubprn.vbs es un archivo de Windows Script Host (WSH) y requiere dosparámetros:

El primer parámetro es el nombre de la computadora del servidor deimpresión o nombre U N C(\\<nombre_computadora>\<nombre_unidad_compartida>).

El segundo parámetro es la ruta en el que se quiere publicar la informaciónen el directorio. Se pueden publicar todas las impresoras de un servidor oespecificar impresoras únicas pare que sean publicadas.

DiccionarioUNC

Universal NamingConvention - Normauniversal dedenominación. Elformato UNC consisteen el nombre de lacomputadora y elnombre a compartirpara la carpetacompartida.

Por ejemplo, para publicar una única impresora compartida en \\Servidor1\MXque se está ejecutando en Windows 2000 Server para la OU Admin en el dominiode proet.mx utilizando Pubprn.vbs, se abre una interfaz de comandos y seescribe:

cscript %systemroot%\system32\pubprn.vbs \\Servidor1\MX llLDAP://OU=Admin,DC=Proet,DC=mxll

No se puede utilizar este comando pare publicar impresoras que funcionan enun servidor de impresión de Windows 2000.


Clase práctica 14

Administración de usuarios (Servidor01) y administración de impresión (servido02)

Ejercicio 1:



· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Usuarios y equipos de Active Directory (clic) à Ejecutar la consola de administración

de usuarios y equipos de Active Directory· megapack.com.ar (clic con el botón derecho del Mouse)· Propiedades (clic) à Desplegar la ventana de propiedades del dominio· Solapa «Directiva de grupo» (clic)· Default Domain Policy (clic)· Botón «Modificar» (clic) à desplegar la consola de Directiva de grupo para realizar

modificaciones sobre la política de dominio predeterminada.· Configuración de Windows (la rama que se encuentra en Configuración de equipo)

(doble clic)· Configuración de Seguridad (doble clic)· Directivas locales (doble clic)· Opciones de seguridad (clic) à configurar distintos aspectos referentes a la seguridad

del dominio· Del panel de la derecha opción «Cambiar el nombre de la cuenta del administrador»

(doble clic)· Definir esta configuración de directiva (clic) à Especifica que se desea activar la

directiva· Colocar «Supervisor» (sin las comillas) en el cuadro de texto y presionar la tecla ENTER

à Establece «Supervisor» como nuevo nombre de la cuenta del administrador· Del panel de la derecha opción «No mostrar el último nombre de usuario en la pantalla

de inicio de sesión» (doble clic)· Definir esta configuración de directiva (clic) à Especifica que se desea activar la

directiva· Habilitada (clic)· Botón «Aceptar» (clic) à Especifica que no se desea mostrar el último usuario que

inició sesión (por motivos de seguridad no es conveniente dejar visible el nombre de unusuario)

§ Del panel de la derecha opción «Texto del mensaje para los usuarios queintentan conectarse» (doble clic)

Mediante la realización de esta práctica usted aprenderá a realizar todas las tareas administrativasdisponibles en el servicio de directorios de Windows 2000, permitiendo de esta manera lograr unaimplementación sólida de Active Directory mediante el trabajo con Usuarios, Grupos, OUs.

También publicará servicios de impresión en Active Directoy para hacerlo disponible a los usuarios de unared.


Administración de Active Directory en Windows 2000 Server238

· Definir esta configuración de directiva (clic) à Especifica que se desea activar ladirectiva

· Colocar «El uso no autorizado de este equipo es una violación a las normas de seguridad.Durante el tiempo que dure su sesión en este equipo, todas sus acciones serán registradas.»(sin las comillas) en el cuadro de texto y presionar la tecla ENTER à Establece un textoinformativo que será visualizado cuando un usuario quiera iniciar sesión

· Del panel de la derecha opción «Título del mensaje para los usuarios que intentanconectarse» (doble clic)

· Definir esta configuración de directiva (clic) à Especifica que se desea activar ladirectiva

· Colocar «Advertencia de Seguridad» (sin las comillas) en el cuadro de texto y presionarla tecla ENTER à Establece un Título informativo que será visualizado cuando un usuarioquiera iniciar sesión

· Cerrar todas las ventanas abiertas· Una vez en el escritorio proceder de la siguiente manera:· Menú Inicio (clic)· Apagar… (clic)· De la lista desplegable seleccionar la opción «Reiniciar» y presionar la tecla ENTER à

Reiniciar el equipo para que tengan efecto los cambios

Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTEREn este punto se deberá verificar lo siguiente:

· Al presionar simultáneamente las teclas ctrl.+alt+supr aparece una ventana (banner)con el titulo y el texto que se especificó para la directiva de seguridad del dominio

· El cuadro de texto «Nombre de usuario:» aparece en blanco· No es posible iniciar sesión con la cuenta «Administrador»· A partir de este momento la cuenta del administrador será «Supervisor» (sin las comillas)· Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Usuarios y equipos de Active Directory (clic) à Ejecutar la consola de administración

de usuarios y equipos de Active Directory· megapack.com.ar (doble clic)· Users (clic)· Administración 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y


§ Nombre: Supervision§ Apellidos: Administracion§ Nombre de inicio de sesión: supadm




· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Users (clic)· Cobranzas 8 a 14 (clic con el botón derecho del Mouse)· Copiar… (clic) à Utilizar al usuario seleccionado como plantilla para crear uno nuevo y de


§ Nombre: Supervision§ Apellidos: Cobranzas§ Nombre de inicio de sesión: supcob



· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación del usuario· Cerrar la consola de administración de usuarios y equipos de Active Directory· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Directiva de seguridad del dominio (clic) à Carga la consola de administración de la

directiva de seguridad de dominio· Configuración de seguridad (doble clic)· Directivas locales (doble clic)· Asignación de derechos de usuario (clic)· Del panel de la derecha hacer doble clic en la opción «Inicio de sesión local»· Definir esta configuración de directiva: (clic) à Especifica que se desea configurar la

directiva· Botón «Agregar» (clic)· Botón «Examinar …» (clic)· Grupo «Administradores» (doble clic) à Seleccionar el grupo Administradores· Usuario «Supervisor administracion ([email protected]) (doble clic) à Seleccionar

el usuario supadm· Usuario «Supervisor cobranzas ([email protected]) (doble clic) à Seleccionar el

usuario supcob· Botón «Aceptar» (clic)· Botón «Aceptar» (clic) à Agrega los usuarios y el grupo especificados· Botón «Aceptar» (clic) à Se le permite iniciar sesión localmente a los Administradores,

supadm y supcob· Cerrar la consola de administración de directiva de seguridad de dominio· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Directiva de seguridad del controlador de dominio (clic) à Carga la consola de administración

de la directiva de seguridad del dominio· Configuración de seguridad (doble clic)· Directivas locales (doble clic)


· Asignación de derechos de usuario (clic)· Del panel de la derecha hacer doble clic en la opción «Inicio de sesión local»· Definir esta configuración de directiva: (clic) à Especifica que se desea configurar la

directiva· Botón «Agregar» (clic)· Botón «Examinar …» (clic)· Grupo «Administradores» (doble clic) à Seleccionar el grupo Administradores· Usuario «Supervisor administracion ([email protected]) (doble clic) à Seleccionar


usuario supcob· Botón «Aceptar» (clic)· Botón «Aceptar» (clic) à Agrega los usuarios y el grupo especificados· Botón «Aceptar» (clic)· Cerrar la consola de administración de directiva de seguridad del controlador de dominio· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Directiva de seguridad local (clic) à Carga la consola de administración de la directiva de

seguridad local· Configuración de seguridad (doble clic)· Directivas locales (doble clic)· Asignación de derechos de usuario (clic)· Del panel de la derecha hacer doble clic en la opción «Inicio de sesión local»· Definir esta configuración de directiva: (clic) à Especifica que se desea configurar la

directiva· Botón «Agregar» (clic)· Grupo «Administradores» (doble clic) à Seleccionar el grupo Administradores· Usuario «Supervisor administracion ([email protected]) (doble clic) à Seleccionar


usuario supcob· Botón «Aceptar» (clic) à Agrega los usuarios y el grupo especificados· Botón «Aceptar» (clic)· Cerrar la consola de administración de directiva de seguridad local· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Apagar… (clic)· Seleccionar la opción «Cerrar sesión Supervisor» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión de Supervisor


Una vez iniciado el sistema se procederá a iniciar sesión como Supervisor presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Icono «Mi PC» (doble clic)· Disco local (C:) (doble clic)· Menú «Archivo» (clic)


· Nuevo (clic)· Carpeta (clic)· Colocar «Perfiles» (sin las comillas) como nombre de la nueva carpeta y presionar la tecla

ENTER à Crear una nueva carpeta llamada Perfiles· Perfiles (clic con el botón derecho del Mouse)· Compartir… (clic) à Acceder a las opciones de compartir recurso· Compartir esta carpeta (clic)· Botón «Aceptar» (clic) à Crear el nuevo recurso compartido· Perfiles (doble clic)· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic)· Colocar «Administracion» (sin las comillas) como nombre de la nueva carpeta y presionar

la tecla ENTER à Crear una nueva carpeta llamada Administracion· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic)· Colocar «Cobranzas» (sin las comillas) como nombre de la nueva carpeta y presionar la

tecla ENTER à Crear una nueva carpeta llamada Cobranzas· Cerrar la ventana del explorador (haciendo clic en el icono con forma de «X» que se

encuentra en la esquina superior derecha de la ventana)

Ejercicio 2:

Para el siguiente ejercicio se supondrá que el equipo no dispone de una impresora pero que masadelante será instalada una impresora del tipo EPSON LX-810.

Una vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Configuración (clic)· Impresoras (clic) à desplegar la carpeta de impresoras· Agregar impresora (doble clic) à Ejecutar asistente para agregar impresoras· Botón «Siguiente» (clic)· Impresora local (clic) à Especifica que se desea instalar una impresora local· Botón «Siguiente» (clic)· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Especifica que se desea utilizar el puerto por defecto (en

este caso LPT1)· Establecer la siguiente configuración:

§ Fabricantes: Epson§ Impresoras: Epson LX-810

· Botón «Siguiente» (clic) à Especifica el fabricante y el modelo de impresora· Colocar «Impresora» (sin las comillas) como nombre de la impresora· Botón «Siguiente» (clic)· Compartir como: (clic)· Colocar «Impresora» (sin las comillas) como nombre de la impresora· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à No se desean colocar ni ubicación ni comentarios· No (clic)· Botón «Siguiente» (clic) à Especifica que no se desea imprimir una página de prueba


· Botón «Finalizar» (clic) à Finaliza el proceso de instalación de la impresora· Impresora (clic con el botón derecho del Mouse)· Propiedades (clic) à Despliega la ventana de propiedades de Impresora· Solapa «Avanzadas» (clic)· Disponible desde (clic)· Establecer la siguiente configuración:

§ Disponible desde: 09:00 a.m. hasta 08:00 p.m.· Iniciar la impresión cuando la última página haya entrado en la cola (clic)· Solapa «Seguridad» (clic)· Botón «Agregar» (clic) à Agregar usuario o grupo· Grupo «Gerencia» (doble clic)· Botón «Aceptar» (clic) à Agregar al grupo Gerencia· Gerencia (MEGAPACK\Gerencia) (clic)· Hacer clic en el casillero «Denegar» para las siguientes opciones del grupo Gerencia:

§ Imprimir§ Administrar impresoras§ Administración de documentos

· Botón «Aceptar» (clic) à Se le niega el permiso de impresión y administración de documentosal grupo Gerencia

· Cerrar la carpeta «Impresoras»

Ejercicio 3:


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «mmc» (sin las comillas) en el cuadro de texto y presionar la tecla ENTER à

ejecutar la consola de administración· Menú «Consola» (clic)· Agregar o quitar complemento… (clic) à Despliega la ventana para agregar o quitar

complementos a la consola· Botón «Agregar» (clic)· Carpetas compartidas (doble clic) à Especifica que se desea agregar el complemento

para administración de carpetas compartidas· Botón «Finalizar» (clic) à Establece que se desea dejar la configuración por defecto

(administración del equipo local y se visualizaran los recursos compartidos, archivosabiertos y las sesiones)

· Botón «Cerrar» (clic) à Cerrar la ventana de agregar complemento· Botón «Aceptar» (clic)· Carpetas compartidas (locales) (doble clic)· Recursos compartidos (clic) à Acceder a la carpeta de recursos compartidos· Recursos compartidos (clic con el botón derecho del mouse)· Nuevo recurso compartido de archivo (clic) à Crear nuevo recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Documentos\Administración§ Nombre del recurso: Administración§ Descripción del recurso: Documentos de Administración

· Botón «Siguiente» (clic)· Personalizar permisos de recurso compartido y carpeta (clic)· Botón «Personalizar» (clic)· Botón «Agregar» (clic) à Agregar usuario o grupo a los permisos· Grupo «Administradores» (doble clic)


· Grupo «Administración» (doble clic)· Botón «Aceptar» (clic) à Agregar los grupos Administradores y Administración a los

permisos· Administracion (MEGAPACK\Administracion) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo

Administración tendrá control total sobre el recurso· Administradores (MEGAPACK\Administradores) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo

Administradores tendrá control total sobre el recurso· Todos (clic)· Botón «Quitar» (clic) à Quitar el grupo Todos de los permisos para dejar acceso solo a los

administradores y al grupo administración· Botón «Aceptar» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «Si» (clic) à Especifica que se desea crear otro recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Documentos\Cobranzas§ Nombre del recurso: Cobranzas§ Descripción del recurso: Documentos de Cobranzas

· Botón «Siguiente» (clic)· Personalizar permisos de recurso compartido y carpeta (clic)· Botón «Personalizar» (clic)· Botón «Agregar» (clic) à Agregar usuario o grupo a los permisos· Grupo «Administradores» (doble clic)· Grupo «Cobranzas» (doble clic)· Grupo «Gerencia» (clic)· Botón «Aceptar» (clic) à Agregar los grupos Administradores y Administración a los

permisos· Cobranzas (MEGAPACK\Cobranzas) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo Cobranzas

tendrá control total sobre el recurso· Administradores (MEGAPACK\Administradores) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo

Administradores tendrá control total sobre el recurso· Todos (clic)· Botón «Quitar» (clic) à Quitar el grupo Todos de los permisos para dejar acceso solo a los

administradores y al grupo cobranzas (control total) y al grupo gerencia (solo lectura)· Botón «Aceptar» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «Si» (clic) à Especifica que se desea crear otro recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Documentos\Gerencia§ Nombre del recurso: Gerencia§ Descripción del recurso: Documentos de Gerencia

· Botón «Siguiente» (clic)· Personalizar permisos de recurso compartido y carpeta (clic)· Botón «Personalizar» (clic)· Botón «Agregar» (clic) à Agregar usuario o grupo a los permisos· Grupo «Administradores» (doble clic)· Grupo «Gerencia» (doble clic)· Botón «Aceptar» (clic) à Agregar los grupos Administradores y Administración a los

permisos· Gerencia (MEGAPACK\Gerencia) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo Gerencia

tendrá control total sobre el recurso


· Administradores (MEGAPACK\Administradores) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo

Administradores tendrá control total sobre el recurso· Todos (clic)· Botón «Quitar» (clic) à Quitar el grupo Todos de los permisos para dejar acceso solo a

los administradores y al grupo administración· Botón «Aceptar» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «Si» (clic) à Especifica que se desea crear otro recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Programas\Instaladores§ Nombre del recurso: Instaladores§ Descripción del recurso: Instaladores de Soft

· Botón «Siguiente» (clic)· Los Administradores tienen control total; otros usuarios tienen acceso sólo de lectura· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «Si» (clic) à Especifica que se desea crear otro recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Programas\Sistema§ Nombre del recurso: Sistema§ Descripción del recurso: Programa Administrativo

· Botón «Siguiente» (clic)· Personalizar permisos de recurso compartido y carpeta (clic)· Botón «Personalizar» (clic)· Botón «Agregar» (clic) à Agregar usuario o grupo a los permisos· Grupo «Administradores» (doble clic)· Grupo «Administración» (doble clic)· Grupo «Cobranzas» (doble clic)· Grupo «Gerencia» (doble clic)· Botón «Aceptar» (clic) à Agregar los grupos Administradores, Administración, Cobranzas

y Gerencia a los permisos· Administracion (MEGAPACK\Administracion) (clic)· Cambiar (clic en la casilla de verificación «Permitir») à Establece que el grupo Administración

podrá realizar cambios sobre el recurso· Administradores (MEGAPACK\Administradores) (clic)· Control total (clic en la casilla de verificación «Permitir») à Establece que el grupo

Administradores tendrá control total sobre el recurso· Cobranzas (MEGAPACK\Cobranzas) (clic)· Cambiar (clic en la casilla de verificación «Permitir») à Establece que el grupo Cobranzas

podrá realizar cambios sobre el recurso· Gerencia (MEGAPACK\Gerencia) (clic)· Cambiar (clic en la casilla de verificación «Permitir») à Establece que el grupo Gerencia

podrá realizar cambios sobre el recurso· Todos (clic)· Botón «Quitar» (clic) à Quitar el grupo Todos de los permisos· Botón «Aceptar» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «Si» (clic) à Especifica que se desea crear otro recurso compartido· Establecer la siguiente configuración:

§ Carpeta a compartir: S:\Programas\Backup§ Nombre del recurso: Backup§ Descripción del recurso: Backup del Sistema

· Botón «Siguiente» (clic)· Los Administradores tienen control total; otros usuarios no tienen acceso (clic)· Botón «Finalizar» (clic) à Finaliza el proceso de creación de recurso compartido· Botón «No» (clic) à Especifica que no se desean crear mas recursos compartidos


· Instaladores (doble clic) à acceder a las propiedades del recurso· Permitir (clic)· Establecer el valor en 6 usuarios· Botón «Aceptar» (clic) à La cantidad máxima de conexiones simultaneas será de 6· Botón «Aceptar» (clic)· Gerencia (doble clic) à acceder a las propiedades del recurso· Solapa «Seguridad» (clic)· Hacer posible que los permisos heredables de un objeto primario se propaguen a este

objeto (clic) à Establece que no se desea que el recurso herede los permisos de lacarpeta principal

· Botón «Quitar» (clic) à quita todos los permisos· Botón «Avanzadas» (clic)· Botón «Agregar» (clic) à Agregar grupo o usuario a los permisos· Grupo Administradores (doble clic) à Agrega al grupo Administradores· Establecer la siguiente configuración (haciendo clic en la casilla de verificación «Permitir»):

§ Recorrer carpeta / Ejecutar archivo§ Listar carpeta / Leer datos§ Atributos de lectura§ Atributos de escritura§ Eliminar subcarpetas y archivos§ Permisos de lectura

· Botón «Aceptar» (clic) à Establece los permisos para el grupo· Botón «Agregar» (clic) à Agregar grupo o usuario a los permisos· Grupo Gerencia (doble clic) à Agrega al grupo Gerencia· Establecer la siguiente configuración (haciendo clic en la casilla de verificación «Permitir»):

§ Recorrer carpeta / Ejecutar archivo§ Listar carpeta / Leer datos§ Atributos de lectura§ Atributos de escritura§ Eliminar subcarpetas y archivos§ Permisos de lectura

· Botón «Aceptar» (clic) à Establece los permisos para el grupo· Botón «Aceptar» (clic)· Botón «Aceptar» (clic) à Finaliza la configuración del recurso compartido· Cerrar la consola (hacer clic en el icono con forma de «X» que se encuentra en la esquina

superior derecha de la ventana)· Botón «Si» (clic) à Especifica que se desea guardar la nueva consolaColocar «Recursos Compartidos» en el cuadro de texto «Nombre de archivo:» y presionar la

tecla ENTER à Guardar la consola con el nombre Recursos compartidos

Ejercicio 3:


· Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz deinicio de sesión

· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «supadm» (sin las comillas) como «Nombre de usuario:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario supadm· Botón «Aceptar» (clic)· Establecer la siguiente configuración en la ventana «Cambiar contraseña»:


§ Contraseña anterior: (dejar en blanco)§ Nueva contraseña: AdM933sUP§ Confirmar nueva contraseña: AdM933sUP

· Botón «Aceptar» (clic) à Confirma el cambio de contraseña· Botón «Aceptar» (clic) à cerrar dialogo de confirmación de cambio de contraseña· Una vez en el escritorio se procederá de la siguiente manera:· Presionar simultáneamente las teclas Windows (la de la banderita)+F à Abrir la interfaz de

busqueda de archivos· Establecer la siguiente configuración:

§ Buscar archivos o carpetas con el nombre: *.jpg§ Buscar en: Discos duros locales (C:)

· Botón «Buscar ahora» (clic) à Comenzar la busqueda de archivos de imagen con extensión.jpg en la unidad c:

· Del panel de la derecha seleccionar el archivo «Windows 2000» (clic)· Presionar simultáneamente las teclas ctrl.+c à Copiar· En la barra de direcciones colocar «Mis documentos» (sin las comillas) y presionar la tecla

ENTER à Ingresar a la carpeta Mis documentos· Panel de la derecha (clic)· Presionar simultáneamente las teclas ctrl.+v à Pegar el archivo copiado anteriormente· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic)· Colocar «Supervisión» (sin las comillas) como nombre de la carpeta y presionar la tecla

ENTER à Crear una nueva carpeta llamada supervisión· Cerrar la ventana del explorador· Una vez en el escritorio se procederá de la siguiente manera:· Clic con el botón derecho del mouse en cualquier lugar libre del escritorio· Propiedades (clic) à Despliega las propiedades de pantalla· Botón «Examinar» (clic) à Especificar una ruta diferente para localizar imágenes· Botón «Mis documentos» (clic) à Buscar dentro de Mis documentos· Archivo «Windows 2000» (doble clic) à Seleccionar la imagen· Especificar la siguiente configuración:

§ Presentación de imágenes: Expandir· Solapa «Apariencia» (clic)· Seleccionar la opción «Día lluvioso» de la lista desplegable «Combinación»· Botón «Aceptar» (clic) à Activa los cambios a la interfaz gráfica· Una vez en el escritorio se procederá de la siguiente manera:· Clic con el botón derecho del mouse en cualquier lugar libre del escritorio· Nuevo (clic)· Acceso directo (clic)· Colocar «calc» (sin las comillas) en el cuadro de texto «Escriba la ubicación del elemento:»

y presionar la tecla ENTER à Crear un acceso directo a la calculadora· Botón «Finalizar» (clic)· Botón «Finalizar» (clic)· Icono «Conectar a Internet» (clic)· Presionar la tecla supr à Eliminar el acceso directo· Botón «Si» (clic) à confirma que se desea enviar el acceso directo a la papelera· Icono «Internet Explorer» (clic)· Presionar la tecla supr à Eliminar el acceso directo· Botón «Si» (clic) à confirma que se desea enviar el acceso directo a la papelera· Menú Inicio (clic)· Apagar (clic)· Seleccionar la opción «Cerrar sesión supadm» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del usuario supadm· Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de

inicio de sesión


· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «Supervisor» (sin las comillas) como «Nombre de usuario:»· Introducir «MgP393pDC» (sin las comillas) como «Contraseña:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario Supervisor· Una vez en el escritorio se procederá de la siguiente manera:· Icono «Mi PC» (clic con el botón derecho del mouse)· Propiedades (clic) à despliega las propiedades de Mi PC· Solapa «perfiles de usuario» (clic) à Acceder a la configuración de perfiles de usuario· MEGAPACK\supadm (clic) à Seleccionar el perfil de supadm· Botón «Copiar a…» (clic)· Establecer la siguiente configuración:

§ Copiar perfil en: \\mgp-srv02\perfiles\administracion· Botón «Aceptar» (clic) à Indica en que equipo se almacenará el perfil· Responder de manera afirmativa a la pregunta de si se desea continuar· Botón «Aceptar» (clic) à Cerrar la ventana de propiedades de Mi PC· Menú Inicio (clic)· Apagar (clic)· Seleccionar la opción «Cerrar sesión Supervisor» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del usuario Supervisor· Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de

inicio de sesión· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «supcob» (sin las comillas) como «Nombre de usuario:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario supcob· Botón «Aceptar» (clic)· Establecer la siguiente configuración en la ventana «Cambiar contraseña»:

§ Contraseña anterior: (dejar en blanco)§ Nueva contraseña: CoB546sUP§ Confirmar nueva contraseña: CoB546sUP

· Botón «Aceptar» (clic) à Confirma el cambio de contraseña· Botón «Aceptar» (clic) à cerrar dialogo de confirmación de cambio de contraseña· Una vez en el escritorio se procederá de la siguiente manera:· Presionar simultáneamente las teclas Windows (la de la banderita)+F à Abrir la interfaz

de busqueda de archivos· Establecer la siguiente configuración:

§ Buscar archivos o carpetas con el nombre: *.jpg§ Buscar en: Discos duros locales (C:)

· Botón «Buscar ahora» (clic) à Comenzar la busqueda de archivos de imagen conextensión .jpg en la unidad c:

· Del panel de la derecha seleccionar el archivo «Ola de mar» (clic)· Presionar simultáneamente las teclas ctrl.+c à Copiar· En la barra de direcciones colocar «Mis documentos» (sin las comillas) y presionar la

tecla ENTER à Ingresar a la carpeta Mis documentos· Panel de la derecha (clic)· Presionar simultáneamente las teclas ctrl.+v à Pegar el archivo copiado anteriormente· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic)· Colocar «Supervisión» (sin las comillas) como nombre de la carpeta y presionar la tecla

ENTER à Crear una nueva carpeta llamada supervisión· Cerrar la ventana del explorador· Una vez en el escritorio se procederá de la siguiente manera:· Clic con el botón derecho del mouse en cualquier lugar libre del escritorio· Propiedades (clic) à Despliega las propiedades de pantalla· Botón «Examinar» (clic) à Especificar una ruta diferente para localizar imágenes


· Botón «Mis documentos» (clic) à Buscar dentro de Mis documentos· Archivo «Ola de mar» (doble clic) à Seleccionar la imagen· Especificar la siguiente configuración:

§ Presentación de imágenes: Expandir· Solapa «Apariencia» (clic)· Seleccionar la opción «Rosa» de la lista desplegable «Combinación»· Botón «Aceptar» (clic) à Activa los cambios a la interfaz gráfica· Una vez en el escritorio se procederá de la siguiente manera:· Clic con el botón derecho del mouse en cualquier lugar libre del escritorio· Nuevo (clic)· Acceso directo (clic)· Colocar «calc» (sin las comillas) en el cuadro de texto «Escriba la ubicación del elemento:»

y presionar la tecla ENTER à Crear un acceso directo a la calculadora· Botón «Finalizar» (clic)· Icono «Conectar a Internet» (clic)· Presionar la tecla supr à Eliminar el acceso directo· Botón «Si» (clic) à confirma que se desea enviar el acceso directo a la papelera· Icono «Internet Explorer» (clic)· Presionar la tecla supr à Eliminar el acceso directo· Botón «Si» (clic) à confirma que se desea enviar el acceso directo a la papelera· Menú Inicio (clic)· Apagar (clic)· Seleccionar la opción «Cerrar sesión supcob» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del usuario supcob· Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de

inicio de sesión· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «Supervisor» (sin las comillas) como «Nombre de usuario:»· Introducir «MgP393pDC» (sin las comillas) como «Contraseña:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario Supervisor· Una vez en el escritorio se procederá de la siguiente manera:· Icono «Mi PC» (clic con el botón derecho del mouse)· Propiedades (clic) à despliega las propiedades de Mi PC· Solapa «perfiles de usuario» (clic) à Acceder a la configuración de perfiles de usuario· MEGAPACK\supcob (clic) à Seleccionar el perfil de supadm· Botón «Copiar a…» (clic)· Establecer la siguiente configuración:

§ Copiar perfil en: \\mgp-srv02\perfiles\cobranzas· Botón «Aceptar» (clic) à Indica en que equipo se almacenará el perfil· Responder de manera afirmativa a la pregunta de si se desea continuar· Botón «Aceptar» (clic) à Cerrar la ventana de propiedades de Mi PC

Ejercicio 4:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Usuarios y equipos de Active Directory (clic) à Ejecutar la consola de administración de

usuarios y equipos de Active Directory· megapack.com.ar (doble clic)· users (clic)· Supervisión Administración (doble clic) à despliega la ventana de propiedades de


Supervisión Administración· Solapa «Perfil» (clic)· Establecer la siguiente configuración y dejar las demás opciones en blanco:

§ Ruta de acceso al perfil: \\mgp-srv02\perfiles\administracion\· Botón «Aceptar» (clic) à establece de donde debe ser descargado el perfil movil del

usuario· Supervisión Cobranzas (doble clic) à despliega la ventana de propiedades de Supervisión

Cobranzas· Solapa «Perfil» (clic)· Establecer la siguiente configuración y dejar las demás opciones en blanco:

§ Ruta de acceso al perfil: \\mgp-srv02\perfiles\cobranzas\· Botón «Aceptar» (clic) à establece de donde debe ser descargado el perfil móvil del

usuario· Cerrar la consola de administración de usuarios y equipos de Active Directory

Ejercicio 1:

En el Workstation (MGP-WST01)

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTEREn este punto se deberá verificar lo siguiente:

· Al presionar simultáneamente las teclas ctrl.+alt+supr aparece una ventana (banner)con el titulo y el texto que se especificó para la directiva de seguridad del dominio

· El cuadro de texto «Nombre de usuario:» aparece en blanco· No es posible iniciar sesión con la cuenta «Administrador»· A partir de este momento la cuenta del administrador será «Supervisor» (sin las comillas)· Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Apagar… (clic)· Seleccionar la opción «Cerrar sesión Supervisor» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del Supervisor

Ejercicio 2:

Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión

· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «supadm» (sin las comillas) como «Nombre de usuario:»· Introducir «AdM933sUP» (sin las comillas) como «Contraseña:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario supadm· Verificar los colores de Windows, accesos directos, papel tapiz y la carpeta «Mis

documentos» à Estos deben ser idénticos a los que se configuraron en el servidor 1


(MGP-SRV01)


· Menú Inicio (clic)· Apagar… (clic)· Seleccionar la opción «Cerrar sesión Supadm» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del usuario supadm

Presionar simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio

de sesión

· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «supcob» (sin las comillas) como «Nombre de usuario:»· Introducir «CoB546sUP» (sin las comillas) como «Contraseña:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario supcob· Verificar los colores de Windows, accesos directos, papel tapiz y la carpeta «Mis

documentos» à Estos deben ser identicos a los que se configuraron en el servidor 1(MGP-SRV01)


· Menú Inicio (clic)· Apagar… (clic)· Seleccionar la opción «Cerrar sesión Supadm» de la lista desplegable· Botón «Aceptar» (clic) à Cerrar la sesión del usuario supadm

Ejercicio 2:

252 Servidores DHCP en Windows 2000 Server

Servidores DHCP en Windows 2000 Server

Clase teórica 15

INTRODUCCIÓN

El servicio DHCP (Dynamic Host Configuration Protocol - Protocolo deconfiguración dinámica de host) en Windows 2000 centraliza y gestiona laasignación de información de configuración TCP/IP mediante la asignación dedirecciones IP y otras configuraciones automáticamente a los host que seconfiguran como clientes DHCP.

La implementación del servicio DHCP permite reducir drásticamente el trabajoadministrativo sobre grandes redes y eliminar casi por completo el factor de erroral momento de configurar las direcciones IP sobre los host.

DHCP es un estándar de TCP/IP para facilitar la gestión de configuración de IP.DHCP es una extensión del protocolo de inicio BOOTP (Bootstrap Protocol), elcual se basa en el protocolo de data grama de usuario UDP/IP. BOOTP permite aun host que está arrancando configurarse a sí mismo dinámicamente.

Cada vez que inicia un cliente DHCP, este le solicita la información dedireccionamiento IP a un servidor DHCP. La información enviada puede estarconformada por:

Una dirección IP

Una mascara de subred

Valores opcionales, como la dirección del gateway predeterminado de la red,la dirección de un servidor DNS o WINS.

Atención

Cuando un servidor DHCP recibe una petición de una dirección IP, selecciona la información dedireccionamiento IP de un conjunto de direcciones definidas en su base de datos y ofrece la información dedireccionamiento IP al cliente DHCP. Si el cliente acepta la oferta del servidor, este concede la información de

direccionamiento IP al cliente por un periodo de tiempo específico.

CONFIGURACIÓN MANUAL Y AUTOMÁTICA DE TCP/IP

Existen diferentes panoramas a la hora de establecer un mecanismo deconfiguración de hosts en un dominio, este ya sea manual o automático. En granmedida la razón principal a la hora de definir un método, es el tamaño de la red.En grandes redes es factible utilizar un medio como DHCP, mientras que enpequeñas redes es recomendable un método de configuración manual.

Los usuarios pueden intentar seleccionar unadirección IP de manera aleatoria antes de obteneruna dirección IP válida otorgada por eladministrador. El uso de direcciones no válidaspuede provocar problemas que pueden sercomplicados a la hora de descubrir la fuente.

Configuración manual de TCP/IP Configuración automática de TCP/IP

Los usuarios no necesitan conocer ni obtener ladirección IP de un administrador para configurar TCP/IP. El servicio DHCP proporciona toda la informaciónde la configuración necesaria para trabajar en la red.


Actividad

Nota

Un único servidor DHCPpuede soportar la

configuración de hostsen diferentes subredes.

Proceso de leasing de DHCP Server

El servicio DHCP asigna la información de direccionamiento a los hosts clientes,la asignación de la información de direccionamiento, se denomina leasing(préstamo) DHCP. El proceso de Ieasing da comienzo cuando alguno de estosacontecimientos se presenta:

Se inicializa TCP/IP por primera vez en un cliente DHCP.

Un cliente pide una dirección IP específica y se la deniega, posiblemente debidoa que el servidor DHCP elimino el leasing.

Un cliente al que previamente se le a otorgado un leasing de IP, pero que dejala dirección anterior y solicita una nueva (muy común en los servicios deADSL o Internet por cable). Un leasing DHCP puede ser liberado de formamanual escribiendo la sintaxis: ipconfig /release , desde el modo consola oen el menú ejecutar.

NotaDHCP utiliza un procesode cuatro etapas para el

otorgamiento deconfiguraciones TCP/IPa los hosts clientes.Estas etapas son:DHCPDISCOVER -DHCPOFFER -

DHCPREQUEST -DHCPACK

DHCPDISCOVER

El primer paso en el proceso de leasing de un DHCP es DHCPDISCOVER.Para comenzar el proceso de leasing, un host cliente inicializa una versiónlimitada de TCP/IP y difunde un mensaje de DHCPDISCOVER (descubrir DHCP),que solicita la localización de un servidor DCHP y de la información de IP. Debidoa que el cliente no sabe la dirección IP del servidor DHCP, el host cliente utiliza0.0.0.0 como IP origen y 255.255.255.255 como IP de destino. El mensaje de

Escribir la dirección IP, la máscara de subred y lapuerta de enlace predeterminada puede llevara problemas que varían desde dificultad decomunicación, si la puerta de enlacepredeterminada o la máscara de subred sonincorrectas, a problemas asociados a direcciones

IP duplicadas.

La información de direccionamiento IP válida asegurauna correcta configuración, que elimina gran cantidadde problemas difíciles de rastrear, sobre todos en

grandes redes.

Se genera sobrecarga administrativa en las redessi se mueven los hosts de una subred a otra. Porejemplo, se debe cambiar la dirección IP y lapuerta de enlace para que un host pueda

comunicarse desde una ubicación nueva.

Poseer servidores DHCP en cada subred elimina lasobrecarga administrativa asociada a tener quereconfigurar en forma manual las direcciones IP,mascara de subred y puertas de enlace cuando se

mueven host de una subred a otra.

Definir DHCP: Definir Leasing:


DHCPDISCOVER contiene la dirección M.A.C del cliente y el nombre del host, demodo que el servidor DHCP pueda identificar al host que inicio la comunicación.

DHCPOFFER

El segundo paso en el proceso de leasing de DHCP, es DHCPOFFER. Todos losservidores DHCP que reciben una petición de leasing de IP y tengan unaconfiguración de host válida, difunden un mensaje de DHCPOFFER que incluyela siguiente información:

La dirección M.A.C del host cliente.

Una dirección IP ofrecida.

Una mascara de subred.

La métrica de la interfaz.

El tiempo que durará el leasing.

Un identificador de servidor (la dirección IP del servidor ofertante)

DiccionarioMétrica

Número utilizadopara indicar el costode una ruta en latabla deenrutamiento IP quepermite seleccionarla mejor ruta entrevarias posibles almismo destino. Lamétrica más baja sele otorga a la interfazmás rápida, mientrasque la métrica másalta a la interfaz máslenta.

El servidor DHCP envía un mensaje de broadcast (difusión) porque el host clienteaun no tiene una dirección IP, el cliente selecciona la dirección IP de la primeraoferta que recibe del servidor. El servidor DHCP que emite la dirección IP reservala dirección para que no pueda ofrecerse a otro host cliente.

DHCPREQUEST

El tercer paso para el proceso de otorgamiento de un leasing de DHCP comienzaluego del que el host cliente recibe un DCHPOFFER de por lo menos un servidorDHCP y selecciona una IP. El cliente envía un broadcast DHCPREQUEST a todoslos servidores DHCP en la subred, indicando que ha aceptado una oferta de leasing.

El mensaje DHCPREQUEST incluye el identificador del servidor (dirección IP)del servidor cuyo leasing es aceptado. El resto de los servidores DHCP detienesus DHCPOFFER.

DHCPA C K

El último paso para lograr un proceso de leasing exitoso ocurre cuando el servidorDHCP que emitió el leasing aceptado, envía un broadcast de reconocimientoafirmativo al host cliente en forma de un mensaje DHCPACK (DHCP Acknowledge- reconocimiento DHCP). Este mensaje contiene un leasing válido para unadirección IP y otras configuraciones para el host cliente.

Nota

Cuando el host clienterecibe el reconocimientode un DHCP, se inicializatotalmente TCP/IP y elcliente se considera uncliente DHCP ligado. Unavez realizado esto, elhost cliente ya puedeutilizar la configuración,TCP/IP recibida delservidor DHCP, paracomunicarse en la red.


Atención

Si DHCPREQUEST no tiene éxito, el servidor DHCP envía un broadcast de reconocimiento negativo,DHCPNACK (DHCP No Acknowledge). Los servidores DHCP solo envían un DHCPNACK si se cumple

alguna de las siguientes condiciones:

El host cliente intenta realizar un leasing con su IP anterior, pero esta ya no se encuentra disponible.

La dirección IP no es valida, debido a que el host cliente fue movido a otra subred.

Cuando un host cliente recibe un mensaje de DHCPNACK, vuelve a iniciar el proceso de leasing desde elprincipio.

RENOVACIÓN Y LIBERACIÓN DE UN LEASING DE IP

Todos los clientes DHCP intentan renovar su IP cuando ha transcurrido el 50%del tiempo de leasing establecido. Para renovar su leasing, un cliente DHCP envíaun broadcast de DHCPREQUEST directamente al servidor DCHP del cual obtuvoel leasing de la IP. Si el servidor DHCP se encuentra disponible, renueva el leasingy envía al host cliente u mensaje DHCPACK con una renovación en el tiempo deleasing y cualquier otro parámetro que se haya actualizado. El cliente realiza suactualización cuando haya recibido este mensaje.

Si un cliente DHCP no puede renovar su leasing con el servidor original que se lootorgo al terminarse el 50% del tiempo estipulado de leasing, este envía unbroadcast DHCPREQUEST a cualquier servidor DHCP disponible cuando hayaexpirado el 87,5% del tiempo del leasing. Cualquier servidor DHCP puederesponder con un broadcast DHCPACK renovando el leasing o un mensajeDHCPNACK que fuerza al cliente a realizar un nuevo proceso de leasing desde elprincipio con una dirección IP diferente.

En el caso de que el leasing del cliente expire o reciba un broadcast DCHPNACK,el cliente DHCP debe suspender automáticamente el uso de la dirección IP queposee. De esta manera el cliente comienza nuevamente el proceso de solicitarun leasing de dirección IP a un servidor DHCP.

Forzar una renovación de leasing utilizando Ipconfig

Para forzar la renovación de un leasing se debe utilizar el comando: Ipconfig /renew desde el modo consola o desde el menú ejecutar, de esta manera el hostcliente envía un broadcast DHCPREQUEST al servidor DHCP para recibir lasopciones y el tiempo de leasing actualizado. Si el servidor DHCP no se encuentra

Actividad

Enumerar proceso de Leasing Definir métrica:


disponible, el cliente continúa utilizando la configuración proporcionada por elservidor DHCP originalmente.

Forzar la liberación o término de un leasing

Para forzar la liberación de un leasing se debe utilizar el comando: Ipconfig /release desde el modo consola o desde el menú ejecutar, inmediatamente elhost cliente envía un broadcast DHCPRELEASE al servidor DHCP para quetermine el leasing.

Esto es útil cunado un cliente es traspasado a otra subred, donde no necesita elleasing anterior o el servidor DHCP es otro, automáticamente las comunicacionesTCP/IP con el cliente son terminadas.

INSTALACIÓN Y CONFIGURACIÓN DE UN SERVIDOR DHCP

Para implementar un servidor DHCP en una red, se debe ejecutar la instalacióndel servicio DHCP en modo servidor en un equipo que poseer Windows 2000Server. Este servidor puede ser un DC o un servidor miembro. Es necesariotambién para asegurar el correcto funcionamiento del servidor, establecer losparamentos de comunicación TCP/IP manualmente e ingresar los parámetrosen el servicio DHCP Server para que pueda configurar dinámicamente a losclientes DHCP que soliciten su servicio.

Requisitos para el funcionamiento del servicio DHCP en un servidorWindows 2000

El servicio DHCP en modo servidor, necesita de un servidor Windows 2000 conlas siguientes configuraciones:

Una dirección IP estática, una mascara de subred y una puerta de enlacepredeterminada (solo si es necesaria).

El servicio de DHCP.

Un ámbito DHCP activado.

Que el servicio se encuentre autorizado.

Nota

Un servidor DHCP nopuede ser cliente de otro

servidor DHCP.

Nota

Un ámbito es un rangode direcciones IP que seencuentran disponiblespara el leasing, al crear elámbito se debe activar.

Nota

El servidor DHCP debeestar autorizado con losservicios de Active

Directory.

Requisitos para ser un host cliente de DHCP

Para poder ser un host cliente DHCP es necesario activar la configuraciónautomática por DHCP y correr sobre alguno de los siguientes sistemas operativos:

Windows XP Home y Professional.

Windows 2000 Server y Professional


W indows NT Server y Workstation 3.51 o superior.

W indows Me, 98, 95, 3.11

Linux (configurado para emular la conexión cliente DHCP)

ÁMBITOS DHCP

El ámbito de un servidor DHCP se debe crear antes de que este pueda comenzara prestar servicios como servidor DHCP en una red, un ámbito es un conjunto dedirecciones IP validas disponibles para realizar leasings a los hosts clientes DHCP.

Al crear un ámbito de DHCP es necesario conocer las siguientes normas:

Se debe crear al menos un ámbito para cada servidor DHCP.

Se deben descartar del ámbito las direcciones IP estáticas de la red. Porejemplo, las utilizadas por los Controladores de Dominio.

Se pueden crear varios ámbitos en un servidor DHCP para centralizar laadministración y asignar direcciones IP específicas para subredes. Solo sepuede asignar un ámbito por red o subred especifica.

Los servidores DHCP no comparten información de sus ámbitos, por lo queal configurar varios servidores DHCP hay que asegurarse crear ámbitos conrangos IP diferentes para evitar conflictos de direcciones IP duplicadas en lared.

Una vez creado el ámbito, debe activarse para comenzar a brindar servicios deleasing a los diferentes clientes DHCP.

Configuraciones de un ámbito

Una vez creado el ámbito DHCP, se pueden se pueden determinar las opcionespara los host clientes del DHCP, existen tres niveles de opciones para el ámbito:

Opciones del servidor: las opciones del servidor se encuentran disponibles paratodos los clientes de DHCP, hay que utilizarlas cuando todos los clientes en todaslas subredes requieran la misma información de configuración. Las opciones del

Actividad

Nota

Si es necesarioreconfigurar la

información de unámbito, como la mascarade subred o un nuevorango de direcciones IP,será necesario borrar elámbito y volver a crear

uno nuevo.

Marcar con x según corresponda:

Un servidor DHCP puede ser cliente de un DHCP( )

Un servidor DHCP no puede ser cliente de un DHCP( )

Definir ámbito DHCP:


servidor se utilizan siempre a menos que se configuren las opciones del ámbito odel cliente.

Opciones del ámbito: las opciones de ámbito solo se encuentran disponibles paralos clientes que poseen un leasing del ámbito específico. Las opciones de ámbitoreemplazan a las opciones del servidor.

Opciones del cliente: las opciones del cliente son exclusivas para los clientesDHCP que poseen un leasing reservado de dirección IP. Las opciones del clientese utilizan siempre antes que las opciones del ámbito o del servidor.

Reserva de cliente

Para algunos clientes DHCP es importante que se asigne siempre la mismadirección IP cuando expira su leasing. Por ejemplo, los host cliente que ejecutenservicios del servidor TCP/IP pueden confiar en la configuración de una direcciónIP estática para ser identificados por otros clientes de la red. Para los host clientesque ejecutan servicios del servidor se puede configurar el servicio DHCP demanera que siempre se les asigne la misma dirección IP, esto se denomina reservade cliente.

Atención

Cuando se crea una reserva de cliente es muy importante conocer e ingresar bien la M.A.C address deladaptador de red del cliente que recibirá la IP reservada, ya que si esta es mal ingresada, al momento de realizarel leasing de la IP reservada el servidor DHCP no reconocerá la M.A.C address y le otorgará una IP del ámbito.

Autorización del servidor DHCP

Es necesario autorizar el servidor DHCP en los servicios de Active Directory antesde que se pueda otorgar direcciones IP. Esta autorización es una medida deseguridad que establece que solo un servidor DHCP autorizado puede realizarprocesos de leasing en una red con Active Directory.

COPIA DE SEGURIDAD Y RESTAURACIÓN DE LA BASE DE DATOS DE DHCP

Es posible editar el registro de Windows 2000 de manera tal que se puedaespecificar el intervalo de tiempo en que se realizan las copias de seguridad de labase de datos de un servidor DHCP. También es posible forzar una restauraciónde la base de datos modificando ciertos valores del registro.

Copia de seguridad de la base de datos de DHCP

Windows 2000 realiza automáticamente una copia de seguridad de la base dedatos del servidor DHCP cada 1 hora de manera predeterminada, estas copiasde seguridad se almacenan en:

%systemroot%\System32\Dhcp\Backup\Jet\new

Diccionario%systemroot%

Este hace referenciaa la unidad en la quese encuentraalmacenadoWindows.


Adicionalmente se puede cambiar el tiempo predeterminado en que se realizancopias de seguridad de la base de datos del servidor DHCP. Para realizar estecambio es necesario modificar un valor en una cadena del registro de Windows2000.

La entrada a modificar es BackupInterval, esta posee un valor numérico el cuales posible modificar para cambiar el intervalo de tiempo entre backups. La entradaBackupInterval se encuentra bajo la cadena de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

Restauración de la base de datos DHCP

Windows 2000 realiza de manera predeterminada la restauración de una base dedatos DHCP corrupta cuando el servicio se reinicia. Es posible, también, forzar larestauración de la base de datos DHCP modificando la entrada de registroRestoreFlag colocando su valor en 1 (por defecto se encuentra en 0), de la siguientecadena de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

Nota

Al reiniciar el servicioDHCP, automáticamentese restaura la base dedatos y el valor de

RestoreFlag vuelve a 0.

La restauración manual del archivo que contiene la base de datos del servidorDHCP también puede restaurarse manualmente, para esto es necesario copiarel contenido de la carpeta %systemroot%\System32\Dhcp\Backup\Jet a lacarpeta %systemroot%\System32\Dhcp\Jet y reiniciando el servidor DHCP.

El directorio %systemroot%\System32\Dhcp almacena los siguientes archivos,los cuales son de suma importancia para su funcionamiento:

Actividad

dhcp.mdb

tmp.edb

J50.log y j50*.log

Archivo Función

El archivo de la base de datos del servidor DHCP.

Archivo temporal que crea el servicio DHCP para la

información temporal de la base de datos mientras

que el servicio de DHCP se está ejecutando.

Archivos de registro que incluyen todas las

transacciones realizadas con la base de datos. El

servicio de DHCP usa estos archivos para recuperar

los datos en caso de necesidad.

Indicar la ruta donde un servidor DHCP almacena laBase de datos:

Definir autorización DHCP:

Servidores DHCP en Windows 2000 Server260

Clase práctica 15

Instalación y configuración del servidor DHCP (en servidor01)

Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como usuario «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Configuración (clic)· Panel de control (clic) à Abrir panel de control· Icono «Agregar o quitar programas» (doble clic) à Despliega la ventana de Agregar o

quitar programas· Botón «Agregar o quitar componentes de Windows» (clic) à Despliega la ventana de

componentes de Windows· Servicios de Red (doble clic) à Despliega la ventana de servicios de red· Marcar la opción «Protocolo de configuración dinámica de host (DHCP)» haciendo clic

en el casillero en blanco à Selecciona para instalar el servidor DHCP· Botón «Aceptar» (clic)· Botón «Siguiente» (clic) à Comenzar proceso de instalación· Botón «Finalizar» (clic) à Cerrar la ventana· Botón «Cerrar» (clic) à Cerrar Agregar o quitar programas· Cerrar el panel de control (hacer clic en el ícono en forma de X en la esquina superior

derecha de la ventana

Ejercicio 2:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· DHCP (clic) à Ejecutar el administrador DHCP· Mgp-srv01.megapack.com.ar [172.16.1.1] (doble clic)· Mgp-srv01.megapack.com.ar [172.16.1.1] (clic con el botón derecho del Mouse]· Autorizar (clic) à Autorizar el servidor DHCP en Active Directory· Presionar la tecla F5 para actualizar la información de pantalla· Mgp-srv01.megapack.com.ar [172.16.1.1] (clic con el botón derecho del Mouse]

Mediante la realización de esta práctica usted aprenderá a realizar configuraciones TCP/IP dinámicas através del servicio DHCP, mediante la configuración de ámbitos DHCP y reservas.



· Ámbito Nuevo… (clic) à ejecutar el Asistente para crear un ámbito· Botón «Siguiente» (clic)· Establecer la siguiente configuración:

§ Nombre: Ámbito de MegaPack§ Descripción: Servidor DHCP

· Botón «Siguiente» (clic)§ Iniciar dirección IP: 172.16.1.1§ Fin de dirección IP: 172.16.1.160§ Longitud: 16

· Botón «Siguiente» (clic)§ Iniciar dirección IP:172.16.1.1§ Fin de dirección IP: 172.16.1.2§ Botón «Agregar» (clic) à Excluir a las direcciones IP especificadas de la

asignación§ Iniciar dirección IP:172.16.1.3§ Fin de dirección IP: 172.16.1.100§ Botón «Agregar» (clic) à Excluir a las direcciones IP especificadas de la

asignación· Botón «Siguiente» (clic)· Establecer la duración de la concesión como se indica a continuación:

§ 999 días, 0 horas, 0 minutos à Indica que la concesión de las direccionestiene un periodo de caducidad de 999 días

· Botón «Siguiente» (clic)· Configurar estas opciones ahora (clic)· Establecer la siguiente configuración de Enrutador:

§ Dirección IP: 172.16.1.1· Botón «Agregar» (clic) à Agregar la puerta de enlace· Botón «Siguiente» (clic)· Establecer la siguiente configuración de dominio y DNS:

§ Dominio primario: megapack.com.ar§ Dirección IP: 172.16.1.1

· Botón «Agregar» (clic)· Botón «Siguiente» (clic) à Agregar el dominio y servidor DNS· Establecer la siguiente configuración de WINS:

§ Dirección IP: 172.16.1.1· Botón «Agregar» (clic)· Botón «Siguiente» (clic) à Agregar el servidor WINS· Activar el ámbito ahora (clic) à Especifica que se desea activar el ámbito inmediatamente· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el proceso· Cerrar la consola de administración DHCP (Clic en el icono con forma de «X» en la esquina

superior derecha de la ventana)

Ejercicio 3:


· Icono «Mi PC» (doble clic)· Disco local (C:) (doble clic)· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic) à Crear una nueva carpeta


· Colocar «DHCPBackup» (sin las comillas) como nombre de la carpeta y presionar la teclaENTER à Asignar el nombre DHCPBackup a la nueva carpeta

· Carpeta «DHCPBackup» (clic con el botón derecho del Mouse)· Compartir… (clic)· Compartir esta carpeta (clic)· Botón «Aceptar» (clic) à Crea un nuevo recurso compartido a partir de la carpeta

DHCPBackup· Cerrar la ventana del explorador· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Ejecutar (clic)· Regedit (presionar la tecla ENTER) à Ejecuta el editor del registro de Windows· HKEY_LOCAL_MACHINE (doble clic)· SYSTEM (doble clic)· CurrentControlSet (doble clic)· Services (doble clic)· DHCPServer (doble clic)· Parameters (clic) à Acceder a la configuración del servidor DHCP de la máquina· En el panel de la derecha localizar el valor alfanumérico «BackupDatabasePath» y hacer

doble clic sobre el mismo à Localizar la ruta donde se almacenan las copias de seguridadde la base de datos del servidor DHCP

· Establecer la siguiente configuración:§ Información del valor: c:\DHCPBackup

· Botón «Aceptar» (clic) à Establecer DHCPBackup como la nueva ruta para la copia deseguridad de la base de datos.

· En el panel de la derecha localizar el valor dword «BackupInterval» y hacer doble clicsobre el mismo à Localizar el intervalo de creación de las copias de seguridad de la basede datos del servidor DHCP

· Establecer la siguiente configuración:§ Información del valor: 5 (en Decimal)

· Botón «Aceptar» (clic) à Establecer el intervalo de creación de la copia de seguridad en5 minutos.

· Cerrar el editor del registro (hacer clic en el icono en forma de «X» que se encuentra enla esquina superior derecha de la ventana

Ejercicio 4:

Una vez en el escritorio proceder de la siguiente manera:

· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Sistema de archivos distribuido (clic) à Ejecutar la consola de administración de Sistema

de archivos distribuido (DFS)· Sistema de archivos distribuido (clic con el botón derecho de Mouse)· Nueva raíz DFS… (clic) à Ejecuta el Asistente para crear nueva raíz DFS· Botón «Siguiente» (clic)· Crear una raíz DFS de dominio (clic) à Utilizar Active Directory para almacenar la

configuración DFS· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Dejar el dominio host por defecto para la raíz DFS (en este

caso megapack.com.ar)· Botón «Siguiente» (clic) à Dejar por defecto el servidor host para la raíz DFS (en este


caso mgp-srv01.megapack.com.ar)· Crear un recurso compartido nuevo (clic) à Especifica que se desea crear un nuevo

recurso compartido que será utilizado como raíz DFS· Establecer la siguiente configuración:

§ Ruta de acceso al recurso compartido: c:\Raiz DFS§ Nombre del recurso compartido: Raíz

· Botón «Si» (clic) à Especifica que se desea crear la carpeta «Raíz DFS»· Establecer la siguiente configuración para el nombre de la raíz DFS:

§ Nombre de la raíz DFS: Raíz§ Comentario: Raíz del Sistema de archivos distribuido de MegaPack

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finalizar asistente y crear raíz DFS· \\megapack.com.ar\Raiz (clic con el botón derecho del Mouse)· Nuevo vínculo DFS (clic)· Establecer la siguiente configuración:

§ Nombre de vínculo: Backup DHCP§ Enviar el usuario a esta carpeta compartida:\\Mgp-srv01\DHCPBackup§ Comentario: Copia de Seguridad del base de datos del servidor DHCP§ Los clientes mantienen en caché esta referencia durante: 300 segundos

· Botón «Aceptar» (clic) à Establece las propiedades del vínculo· Backup DHCP (clic con el botón derecho del Mouse)· Nueva réplica (clic) à Crear una nueva réplica· Establecer la siguiente configuración:

§ Enviar el usuario a la siguiente carpeta compartida: \\Mgp-srv02\SYSVOL§ Replicación automática

· Botón «Aceptar» (clic) à Finalizar la creación de la nueva réplica· Manteniendo presionada la tecla «ctrl» hacer clic en «\\Mgp-srv01\DHCPBackup» y en

\\Mgp-srv02\SYSVOL para seleccionarlos· Botón «Habilitar» (clic) à habilita la replicación automática· Botón «Aceptar» (clic) à Finalizar la configuración· Cerrar la consola de administración del Sistema de archivos distribuido

Ejercicio 1:

En Workstation 1 (MGP-WST01) con Windows 98 o Me

Una vez iniciado el sistema proceder de la siguiente manera:

· Ícono «Entorno de red» (clic con el botón derecho del Mouse)· Propiedades (clic) à Despliega la ventana de propiedades de red· TCP/IP -> Nombre del adaptador de red (doble clic) à desplegar las propiedades del

protocolo TCP/IP del adaptador de red (verificar que sea un adaptador de tipo Ethernetya que el «Adaptador de acceso telefónico a redes hace referencia al MODEM)

· Obtener una dirección IP automáticamente (clic) à Especifica que se utilizará unservidor DHCP para la asignación de la dirección IP

· Botón «Aceptar» (clic) à Cerrar las propiedades de TCP/IP y volver al menú principal· Cliente para redes Microsoft (doble clic) à Desplegar la ventana de propiedades Cliente

para redes Microsoft· Iniciar sesión en dominio de Windows NT (clic) à Especifica que el equipo pertenece a

un dominio§ Dominio de Windows NT: MEGAPACK

· Conexión rápida (clic) à especifica que no se restaurarán las unidades


mapeadas al iniciar la sesión· Botón «Aceptar» (clic) à guardar la configuración y volver a la ventana principal· Solapa identificación (clic)· Establecer la siguiente configuración:

§ Nombre de PC: MGP-WST01§ Grupo de trabajo: MegaPack§ Descripción de su PC: Cliente a actualizar

· Botón «Aceptar» (clic) à guardar la nueva configuración· Responder de manera afirmativa a la pregunta de si se desea reiniciar e equipo· Una vez iniciado el equipo ingresar lo siguiente:

§ Nombre de usuario: Supervisor§ Contraseña: MgP393pDC§ Dominio: MEGAPACK

· Botón «Aceptar» (Clic) à Iniciar la sesión en el dominio como Administrador· Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Ejecutar (clic)· Ingresar lo siguiente en el cuadro de texto:

§ Winipcfg (presionar la tecla ENTER) à Ejecutar el programa para laverificación de la configuración IP

Verificar la asignación IP, la creación de la copia de la base de datos y la replicación de la misma.

266 Servidores de Nombres de Internet de Windows (WINS)

Servidores de Nombres de Internet de Windows (WINS)

Clase teórica 16

INTRODUCCIÓN

En un entorno de red de dominio mixto, los host de bajo nivel que ejecutan sistemasoperativos como Windows 9x y NT, utilizan el sistema NetBIOS para comunicarseentre sí. En redes de dominio donde se trabaja con servidores Windows 2000 yhost de bajo nivel, es necesario ejecutar un servicio que permita realizarresoluciones de NetBIOS a direcciones IP. WINS es un servicio mejorado denombres de NetBIOS que registra los nombres de host de NetBIOS y los resuelvea las direcciones IP, este también proporciona una base de datos dinámica quemantiene una relación entre los nombres del host y las direcciones IP.

DiccionarioWINS

W indows InternetN ame Services -Servicio de Nombresde Internet deWindows.

PROCESO DE RESOLUCIÓN DE NOMBRES WINS

El proceso de resolución de nombres WINS permite a los host clientes de WINSregistrar su nombre y dirección IP, estos pueden consultar los servidores WINSpara localizar y comunicarse con otros recursos de la red.

Los siguientes pasos muestran la manera en que WINS realiza una resoluciónde nombres:

1. Cada vez que un cliente WINS inicia sesión, registra su nombre NetBIOS ydirección IP con el servidor WINS designado.

2. Cuando un host cliente inicia un comando de NetBIOS para comunicarsecon otro recurso de red, envía directamente una petición de consulta denombre al servidor WINS en vez de enviar un mensaje de broadcast a lared.

3. El servidor WINS localiza en su base de datos una entrada con lainformación de nombre NetBIOS e IP y se la envía al host cliente solicitante.

REGISTRO DE NOMBRES

Cada cliente WINS se configura con la dirección IP de un servidor WINS primarioy, opcionalmente, con uno secundario. Cuando un cliente inicia sesión, registrasu nombre de NetBIOS y su IP enviando una petición de registro directamente alservidor WINS.

Si el servidor WINS se encuentra disponible y ningún otro cliente a registrado elnombre, el servidor envía un mensaje de registro exitoso al cliente. Este mensajeincluye la cantidad de tiempo que el nombre NetBIOS registra al cliente,especificado como el tiempo de vida (TTL), además, el servidor WINS almacenael nombre NetBIOS e IP del host cliente en su base de datos.

Nombres ya registrados

Cuando un nombre ya se encuentra registrado en la base de datos del servidor


WINS, este envía una petición de consulta de nombre al actual propietarioregistrado del nombre. El servidor WINS envía esta petición al cliente tres vecescon intervalos de 500 milisegundos. Si el host cliente registrado responde conéxito la consulta al servidor WINS, el servidor WINS enviará una respuesta negativaa la petición del cliente que intentaba registrar el nombre. Si el host clienteregistrado no responde la consulta al servidor WINS, el servidor envía unarespuesta de registro de nombre exitosa al cliente que intentaba registrar elnombre.

Servidor WINS inaccesible

Un host cliente realiza tres intentos de encontrar un servidor WINS, si el clientefalla luego del tercer intento, entonces envía una petición de registro de nombre alservidor WINS secundario (solo si se encuentra configurado en el cliente). Si aunno consigue respuesta de un servidor WINS, el cliente envía un mensaje debroadcast b-nodo a la red, si el nombre NetBIOS se encuentra, se resuelve auna dirección IP.

Diccionariob-nodo

Broadcast, enviadopara encontrar unnombre NetBIOS pormedio de un servidorDHCP.


Los servidores WINS registran todos los nombres NetBIOS sobre una basetemporal de modo que otros hosts puedan utilizar el mismo nombre más adelantesi el host propietario original deja de utilizarlo, debido a que la concesión de unnombre es temporal, los hosts clientes deben renovar la concesión para que noexpire. Si la concesión de un nombre no es renovada y esta expira,automáticamente el servidor WINS dispone de esta para otorgarla a cualquierotro cliente que la solicite.


Cuando el nombre de un host cliente no se utiliza más, el cliente envía un mensajeal servidor WINS para liberar el nombre. Cuando un cliente WINS cierra su sesiónen la red, el cliente envía una petición de liberación de nombre directamente alservidor WINS, incluyendo la dirección IP del cliente y el nombre NetBIOS. Unavez recibida la petición de liberación de nombre por parte de un cliente, el servidorbusca en su base de datos el nombre y envía al cliente un mensaje incluyendo elnombre NetBIOS y un TTL con valor cero.


Luego de que un host cliente WINS haya registrado su nombre de NetBIOS y su

Nota

Todas la comunicacionesde WINS con los clientes

se realizan enviadodatagramas sobre elpuerto UDP 137.

Actividad

Definir Wins: Sobre qué puerto se cealizan las comunicacionesWins:

268 Servidores de Nombres de Internet de Windows (WINS)

IP con un servidor WINS, podrá realizar comunicaciones con otros hosts. Demanera predeterminada un cliente WINS intentara resolver la dirección de otrocliente de la siguiente manera:

1. El cliente comprueba su caché de nombres NetBIOS en busca del nombreNetBIOS e IP del Host destino.

2. Si el cliente no puede resolver la dirección desde su propio caché, envíauna petición de búsqueda de nombre al servidor WINS primario.

3. Si el servidor WINS primario no se encuentra accesible, el cliente intentaracomunicarse 2 veces más antes de dirigir la petición de resolución al servidorWINS secundario.

4. Si un servidor WINS, ya sea primario o secundario atiende esta petición,devolverá la respuesta requerida al cliente.

5. Si ningún servidor WINS se encuentra accesible, el cliente recibe unarespuesta negativa indicando que el nombre buscado no existe, en estepunto el cliente envía un mensaje de broadcast a la red tratando de identificaral host destino.


Al momento de implementar un servidor WINS en un dominio, es necesario instalareste servicio en modo servidor sobre una computadora que posea Windows2000 Server, pero que no sea en modo controlador de dominio. Es necesarioademás configurar una dirección IP estática y máscara de subred para esteservidor, así como una puerta de enlace predeterminada.

También es posible incluir en un servidor WINS, las siguientes configuraciones:

Resolución estática para todos los clientes sin WINS, para permitir lacomunicación con los clientes WINS en redes remotas.

Soporte de WINS a través de DHCP.

SOPORTE PA R A CLIENTES NO WINS

En una red con soporte WINS, se puede proporcionar resolución estáticaconfigurando un agente Proxy WINS.

Resolución estática

En un dominio que posee soporte WINS se puede configurar resolución estáticade nombres NetBIOS para clientes no WINS y de esta manera permitir que losclientes WINS puedan resolver los nombres de los clientes no WINS.

Cuando se crea una resolución estática, se puede especificar un ámbito NetBIOSpara generar una extensión opcional al nombre del host que se utiliza para agruparlos host en una red.

Existen cinco tipos de resolución estática que se pueden agregar a la hora de


añadir nuevas resoluciones estáticas, las cuales son:

Resolución Única

Resolución Grupo

Resolución Nombre de Dominio

Resolución Grupo Internet

Resolución Host Múltiple

CONFIGURACIÓN DE UN AGENTE PROXY DE WINS

Un agente proxy WINS amplía las capacidades de resolución de nombres delservidor WINS a los clientes que no son WINS escuchando en busca de registrosde nombre mediante broadcast y peticiones de resolución por broadcast,reenviándolas a un servidor WINS.

Para configurar un agente proxy, se edita el registro en un cliente con WINSactivado, fijando en 1 el valor de la entrada EnableProxy del registro y reiniciandola computadora. La entrada EnableProxy se encuentra en la subclave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Registro de nombres NetBIOS

Cuando un cliente que no es WINS difunde una petición de registro de nombre, elagente proxy de WINS transmite la petición al servidor WINS para verificar queningún otro cliente de WINS haya registrado ese nombre. El nombre NetBIOS nose registra, solo es verificado.

Resolución de nombres NetBIOS

Cuando un agente proxy de WINS detecta una difusión de una resolución denombres, comprueba su caché e intenta resolver el nombre. Si el nombre no seencuentra en el caché, la petición se envía a un servidor WINS, el servidor WINSenvía al agente proxy la dirección IP para el nombre de NetBIOS solicitado y porultimo el agente proxy envía la resolución al cliente no WINS.

Actividad

Definir resolución estática: Definir Proxy Wins:

270 Servidores de Nombres de Dominio (DNS)

SERVIDORES DE NOMBRES DE DOMINIO (DNS)

INTRODUCCIÓN

El sistema DNS se compone de una base de datos distribuida que se utiliza enlas redes TCP/IP para traducir los nombres de host a direcciones IP. Este sistemade resolución de nombres de dominio es el estándar mas aceptado y utilizado,para la resolución de nombres de hosts.

DNS se asocia más comúnmente a Internet, sin embargo, las redes privadasutilizan DNS de forma extensiva para la resolución de nombres de host y paralocalizar computadoras dentro de sus redes privadas o Internet. La resolución denombres que provee DNS es diferente a la brindada por WINS, ya que este últimoresuelve los nombres NetBIOS a direcciones IP, mientras que DNS resuelve losnombres IP de los host a direcciones IP.

Cuando se utiliza DNS como autoridad para resolución de nombres se obtienenlas siguientes ventajas:

Los nombres IP de los host son intuitivos para los usuarios, ya que es muchomas simple de recordad que las direcciones IP.El nombre IP de un host se mantiene mas tiempo que una dirección IP, y quela dirección IP de un host puede cambiar pero no su nombre.Los nombres IP de un host permite que los usuarios puedan conectarse aellos utilizando la misma convención de nombres que en Internet.

Espacio de nombres de dominio

El espacio de nombres de dominio es el esquema de denominación queproporciona la estructura jerárquica a la base de datos de DNS. Cada nodorepresenta una partición de la base de datos de DNS y se los denomina dominios.

La base de datos de DNS se encuentra ordenada por nombre, por lo tanto, cadadominio debe tener un nombre. Cuando se añaden dominios a la jerarquía, elnombre de dominio padre se agrega al nombre de dominio hijo (sub-dominio). Deesta manera un nombre de dominio determina su posición en la jerarquía.

La estructura jerárquicadel espacio de nombresde dominio esta formadapor un dominio raíz, losdominios de nivelsuperior, los dominios desegundo nivel y losnombres de host.

Nota

El termino dominio, en elcontexto DNS, posee unsignificado diferente alutilizado en W indows2000.Un dominio enW indows 2000 es un

grupo de computadorasy dispositivos que seadministran como unaunidad. En DNS, un

dominio es un nodo querepresenta una particiónde la base de datos DNS.

.

c o m m x gov org edu

universidad proet salud

administracion

Dominio Raíz

Dominio de nivel superior

Dominio de segundo nivel

administracion.proet.mx

pc1.administracion.proet.mx

pc1


Dominio raíz

El dominio raíz se encuentra en el punto mas alto de la jerarquía y se representacomo un punto (.), el dominio raíz de Internet es gestionado por variasorganizaciones.

Dominios del nivel superior

Los dominios del nivel superior sólo son códigos de nombres de dos o trescaracteres, estos dominios se clasifican por categorías como el tipo deorganización o la ubicación geográfica.

.gov

.com

.edu

.org

.mx

Dominio Función

Organizaciones gubernamentales.

Organizaciones comerciales.

Instituciones culturales.

Organizaciones no comerciales.

Código de país de México.

Los dominios de nivel superior pueden contener dominios de segundo nivel ynombres de host.

Dominios de segundo nivel

Existen distintos tipos de organizaciones que controlan, asignan y registran losdominios de segundo nivel a individuos u organizaciones. Un dominio de segundonivel puede contener sub-dominios y hosts.

NOMBRES DE HOSTS

Los nombres de host se refieren a computadoras específicas de Internet o deuna red privada, este es el nombre más a la izquierda de un nombre de dominiocalificado (FQDN), que describe la posición exacta de un host dentro de lajerarquía DNS. DNS utiliza el FQDN de un host para resolver un nombre a unadirección IP.

Actividad

Nota

El nombre de host notiene que ser el mismoque el nombre de la

computadora. De manerapredeterminada TCP/IPusa el nombre de lacomputadora para elnombre de host,substituyendo los

caracteres ilegales comopor ejemplo: guión bajo(_) por guión medio (-).

DiccionarioFQ D N

Fully QualifiedDomain Name -Nombre completocalificado de dominio.

Defina DNS: Defina FQDN:


NORMAS PA R A LA DENOMINACIÓN DE DOMINIOS

Cuando se crea un espacio de nombres de dominio, se deben tener enconsideración las siguientes normas y convenios estándar de denominación:

Limitar el número de niveles de dominio: Normalmente las entradas de host deDNS deberían tener una profundidad de tres o cuatro niveles en la jerarquía deDNS y no más de cinco.

Utilizar nombres únicos: Cada sub-dominio debe tener un nombre único dentrodel dominio del padre para asegurarse que el nombre es único en el espacio denombres DNS.

Utilizar nombres simples: Los nombres de dominio simple y preciso son másfáciles de recordar para los usuarios y permite que estos puedan buscar demanera intuitiva y localizar sitios Web u otros host en la red interna o Internet.

Evitar nombres de dominio largos: Los nombres de dominio pueden tener hasta63 caracteres, incluyendo puntos. La longitud total de un FQDN no puede excederlos 255 caracteres. No se distinguen mayúsculas de minúsculas.

Utilizar caracteres estándares de DNS y Unicode:

W indows 2000 soporta los siguientes caracteres estándar de DNS: de la A ala Z (mayúsculas y minúsculas), del 0 al 9 y el guión medio (-), según sedefine en la RFC 1035.

El servidor DNS también soporta el juego de caracteres Unicode se necesitapara idiomas como el francés, alemán y español. Unicode incluye caracteresadicionales que no se encuentran en ASCII.

DiccionarioASCII

A merican StandardCode for InformationExchange - CódigoAmericanoNormalizado para elIntercambio deInformación.

ZONAS DNS

Una zona representa una porción discreta del espacio de nombres de dominio.Las zonas proporcionan la forma de repartir el espacio de nombres de dominioen secciones manejables.

ZONA 2ZONA 1

Proet

m x

Archivo basede datos Z2

Archivo basede datos Z1

Administración Dto-alumno


Varias zonas en un espacio de nombres de dominio se utilizan para distribuirtareas administrativas a diferentes grupos. Por ejemplo, en la figura anterior serepresenta el espacio de nombres de dominio de proet.mx dividido en dos zonas.Las dos zonas permiten que un administrador gestiones los dominios proet yadministración y que otro administrador gestione el dominio dto-alumnos.

Una zona debe abarcar un espacio de nombres de dominio contiguo. Por ejemplo,como en la figura anterior se puede crear una zona para administracion.proet.mxy el dominio padre proet.mx porque estas son zonas contiguas. Sin embargo, nose puede crear una zona que esté formada solo por el dominioadministracion.proet.mx y el dominio dto-alumnos.proet.mx debido a que estosdos dominios no son contiguos.

Las correspondencias de nombre de host a dirección IP se guardan en el archivode base de datos de la zona. Cada zona esta sujeta a un dominio especifico,denominado: dominio raíz de la zona. El archivo de la base de datos de la zonano contiene necesariamente la información para todos los sub-dominios deldominio raíz de la zona, sino solamente aquellos sub-dominios dentro de la zona.

En la figura de ejemplo anterior, el domino raíz para la Zona1 es proet.mx y suarchivo de zona contiene las correspondencias de nombre de host a dirección IPpara los dominios proet y administracion.

El dominio raíz para Zona2 es dto-alumnos y su archivo de zona contiene lascorrespondencias entre nombre de host y dirección IP, solamente para el dominiodto-alumnos. El archivo de zona para la zona1 no contiene las correspondenciasde nombre de host a dirección IP para el dominio dto-alumnos, aunque dto-alumnos es un sub-dominio del dominio proet.

Servidores de nombres

Un servidor de nombres almacena el archivo de base de datos de la zona. Losservidores de nombres pueden almacenar los datos de una o varias zonas. Unservidor tiene autoridad en el espacio de nombres de dominio que abarca la zona.

Debe existir por lo menos un servidor de nombres para cada zona, sin embargo,una zona puede contener varios servidores de nombres. Uno de estos servidoresposee el archivo maestro de la base de datos de la zona, que también se denominacomo el archivo principal de la base de datos de la zona, para esa zona. Loscambios en una zona, tal como el agrado de dominios o hosts, se realizan en elservidor que contiene el archivo principal de la base de datos de la zona. Cualquier

Actividad


Una zona debe abarcan un espacio de nombres dedominio contiguo ( )

Una zona no debe abarcar un espacio de nombres dedominio contiguo ( )

Definir zona DNS:


otro servidor de nombres asociado a la zona actúa como copia de seguridad delservidor de nombres que contiene el archivo principal de la base de datos de lazona. Estos servidores poseen también un archivo secundario de la base de datosde la zona.

Los servidores de nombre múltiples proporcionan algunas ventajas:

Realización de transferencia de zona: Los servidores de nombres adicionalesobtienen una copia del archivo de la base de datos de la zona del servidor denombres que contiene el archivo principal de la base de datos de la zona. Esto sedenomina transferencia de zona. Estos servidores de nombres consultan de formaperiódica al servidor de nombres que contiene el archivo principal de la base dedatos de la zona en busca de datos actualizados de la zona.

Proporcionar redundancia: Si el servidor de nombres que contiene el archivoprincipal de la base de datos de la zona falla, los servidores de nombres adicionalespueden proporcionar el servicio

Mejora de la velocidad de acceso para las ubicaciones remotas: Si un número declientes están en ubicaciones remotas, se utilizan los servidores de nombreadicionales para reducir el tráfico de consulta a través de conexiones W.A.N.

Reducción de carga: Los servidores de nombres adicionales reducen la carga enel servidor de nombres que contiene el archivo principal de la base de datos de lazona. Windows 2000 también soporta almacenamiento de zonas integradas endirectorio utilizando la base de datos de Active Directory. Las zonas almacenadasde esta forma están situadas en el árbol de Active Directory bajo el contenedor delobjeto de dominio. Cada zona integrada en el directorio se almacena en un objetocontenedor de zona de DNS identificado por el nombre que se elige para la zonacuando se crea.

PROCESO DE RESOLUCIÓN DE NOMBRES

La resolución de nombres es el proceso de resolver los nombres de la direccionesIP. Los servidores de nombres de DNS resuelven consultas de búsqueda directae inversas. Una consulta de búsqueda directa resuelve un nombre a una direcciónIP, mientras que una búsqueda inversa resuelve una dirección IP a un nombre dehost. Un servidor de nombres solo puede resolver una consulta en una zona parala cual este autorizado. Si un servidor de nombres no puede resolver la consulta,pasa la consulta a otros servidores que puedan resolverla. El servidor de nombrestoma los resultados de la consulta para evitar tráfico DNS excesivo en la red.

Búsqueda directa

El servicio DNS se basa en el modelo Cliente-Servidor para la resolución denombres, ya que para resolver una consulta de búsqueda directa, un cliente pasauna consulta a un servidor de nombres local, el servidor de nombres local resuelvela consulta o consulta a otro servidor de nombres para resolverla.


Caché de servidores de nombres

Cuando un servidor de nombres procesa una consulta, puede ser necesario enviarvarias consultas hasta encontrar la respuesta. Con cada consulta, el servidor denombres descubre otros servidores de nombres que tienen autoridad para unaporción del espacio de nombres del dominio. Es servidor de nombres guarda ensu caché los resultados de la consulta para reducir el tráfico en la red.

Cuando el servidor recibe el resultado de la consulta realiza las siguientes acciones:

1. El servidor de nombres guarda en el caché el resultado de la consultadurante un periodo de tiempo especifico, designado como TTL. El TTL seconfigura utilizando el complemento DNS. De manera predeterminada elTTL se encuentra fijado en 60 minutos.

2. Una vez que el servidor de nombres guarda en el caché el resultado de laconsulta, el TTL comienza a disminuir desde su valor inicial.

3. Cuando expira el TTL, el servidor de nombres elimina el resultado de laconsulta de su caché.

Al guardar los resultados de las consultas en su caché, permite al servidor denombres resolver rápidamente otras consultas al mismo espacio de nombres dedominio.

Nota

Los valores de TTL quese utilizan son

pequeños, ya que deesta manera es posiblemantener un registroactualizado de las

consultas realizadas aotros espacios de

nombres de dominio.

Búsqueda inversa

Debido a que la base de datos distribuida de DNS esta ordenada por nombre dehost y no por dirección IP, una búsqueda inversa necesitará realizar una búsquedaexhaustiva de cada nombre de domino. Para solucionar este problema, se creóun dominio especial de segundo nivel denominado: in-addr.arpa.

El dominio in-addr.arpa sigue el mismo esquema jerárquico de denominaciónque el resto de los espacios de nombre de dominio, sin embargo, se basa endirecciones IP y no en nombres de dominio, de la siguiente manera:

Los sub-dominios se nombran después de los números en la representacióndecimal separada por puntos en las direcciones IP.

Se invierte el orden de los octetos de las direcciones IP.

Se administran los sub-dominios de del dominio in-addr.arpa basándose enlas direcciones IP asignadas y en la máscara de subred.

Actividad

Definir búsqueda inversa:Definir búsqueda directa:


TIPOS DE ZONA

Existen tres tipos de zona a configurar en un servidor de nombres DNS:

Integrada con Active Directory: Una zona integrada con AD es la copia maestra deuna zona nueva. La zona utiliza los servicios de Active Directory para almacenar yreplicar archivos de una zona. Esta opcion proporciona actualizaciones seguras yalmacenaje integrado. Las transferencias estándares de la zona no ocurren enlas zonas integradas con Active Directory. En su lugar, se replica el archivo de labase de datos de la zona cuando ocurre la réplica del almacén de Active Directory.

Estándar principal: Una zona estándar principal es la copia maestra de una nuevazona y se almacena en un archivo estándar de texto. Se administra y mantieneuna zona principal en el servidor en la cual se crea la zona. Esta opcion facilita elintercambio de datos DNS con otros servidores de DNS que utilizan métodos dealmacenamiento basados en texto.

Estándar secundaria: Una zona estándar secundaria es una réplica de una zonaexistente. Las zonas secundarias son de solo lectura y se almacenan en archivosestándares de texto. Se debe configurar una zona primaria para crear unasecundaria.Al crear una zona secundaria, se debe especificar el servidor DNS maestro, quetransfiere la información de la zona al servidor de nombres que contiene la zonasecundaria estándar. Se crea una zona secundaria para proporcionar redundanciay para reducir la carga en el servidor de nombres que contiene el archivo de basede datos de la zona principal.


Clase práctica 16

Servidores WINS y DNS (En el servidor01)

Ejercicio 1:

Para esta práctica se deberá disponer del servidor MGP-SRV01 ejecutando los servicios de ActiveDirectory (con todos los usuarios, grupos y perfiles) y el servidor DHCP correctamente configuradocomo en la práctica anterior


Una vez iniciado el sistema se procederá a iniciar sesión como Supervisor presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:



componentes de Windows· Servicios de Red (doble clic) à Despliega la ventana de servicios de red· Marcar la opción «Servicio WINS» haciendo clic en el casillero en blanco à Selecciona

para instalar el servidor WINS· Botón «Aceptar» (clic)· Botón «Siguiente» (clic) à Comenzar proceso de instalación (es posible que pida el CD

con los archivos de instalación de Windows 2000)· Botón «Finalizar» (clic) à Cerrar la ventana· Botón «Cerrar» (clic) à Cerrar Agregar o quitar programas· Cerrar el panel de control (hacer clic en el icono en forma de X en la esquina superior


Ejercicio 2:


· Icono «Mi PC» (doble clic)· Disco local (C:) (doble clic)· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic) à Crear una nueva carpeta· Colocar «WINSBackup» (sin las comillas) como nombre de la carpeta y presionar la

Mediante la realización de esta práctica usted comprenderá el funcionamiento de la resolución denombres de red mediante los servicios de WINS y DNS, además de las estructuras lógicas de resolucióny las tareas administrativas propias de estos servicios.


Servidores de Nombres de Internet de Windows (WINS)278

tecla ENTER à Asignar el nombre WINSBackup a la nueva carpeta· Carpeta «WINSBackup» (clic con el botón derecho del Mouse)· Compartir… (clic)· Compartir esta carpeta (clic)· Botón «Aceptar» (clic) à Crea un nuevo recurso compartido a partir de la carpeta

WINSBackup· Cerrar la ventana del explorador


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· WINS (clic) à Ejecutar la consola de administración WINS· MGP-SRV01 [172.16.1.1] (podría llegar a ser [192.168.0.1]) (clic con el botón derecho

del mouse)· Propiedades (clic)· Establecer la siguiente configuración:

§ Ruta predeterminada de la copia de seguridad predeterminada:c:\winsbackup à Establece donde se localizará la copia de seguridadpredeterminada

§ Hacer copia de la base de datos con el servidor inactivo (clic en elcasillero de verificación

· Botón «Aceptar» (clic) à Guardar configuración y salir· Cerrar la consola de administración WINS


· Menú Inicio (clic)· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola de

DOS· En la línea de comandos introducir lo siguiente:

· Net stop wins (presionar la tecla ENTER) à Detener el servicio WINS ya quede lo contrario no se podría trabajar sobre el archivo de la base de datos

· Del c:\winnt\system32\wins\*.mdb (presionar la tecla ENTER) à Eliminar labase de datos de WINS

· Net Start wins (presionar la tecla ENTER) à Iniciar el servicio WINS· Verificar el error que se produce· Botón «Aceptar» (clic) à Cerrar la ventana de información del error· Del c:\winnt\system32\wins\*.* (presionar la tecla ENTER)· Responder de manera afirmativa a la pregunta de si esta seguro que desea

eliminar los archivos à Eliminar el resto de los archivos ya que podrían llegar acausar conflictos si no son reemplazados

· Copy c:\winsbackup\wins_bak\new\*.* c:\winnt\· system32\wins (presionar la tecla ENTER) à Restaurar de manera manual la

copia de seguridad de la base de datos WINS· Net Start wins (presionar la tecla ENTER) à Iniciar el servicio WINS· Esta vez el servicio debe iniciarse sin ningún problema


Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Supervisor presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


Protocolo Internet (TCP/IP)· Botón «Avanzada…» (clic) à Acceder a la configuración avanzada· Solapa «WINS» (clic) à Configurar opciones WINS· Botón «Agregar» (clic) à Agregar la dirección de un nuevo servidor WINS· Introducir «172.16.1.1» (sin las comillas) en el cuadro de texto «Servidor WINS:» y

presionar la tecla ENTER· Desmarcar la opción «Habilitar la búsqueda de LMHOSTS» à Especifica que no se

desea utilizar el archivo LMHOSTS para la resolución de nombres· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la X

que se encuentra en el ángulo superior derecho de la ventana.)

Una vez en el escritorio se procederá de la siguiente manera para verificar la nueva configuración:



§ Ping mgp-srv01 (presionar la tecla ENTER) à al no hacer una referenciaa una dirección IP el sistema consultará al servidor WINS para obtener laIP correspondiente al nombre NetBIOS Introducido. En caso de obteneruna respuesta del tipo «Haciendo ping a mgp-srv01.megapack.com.ar[172.16.1.1] …», significaría que el nombre no fue resuelto por el servidorWINS sino por el servidor DNS (de ahí la aparición del«.megapack.com.ar»). En este caso se deberá desactivar el cliente DNSen esta máquina.


Ejercicio 1:


Una vez iniciado el equipo, se deberá presionar simultáneamente las teclas ctrl.+alt+supr parapoder acceder a la interfaz de inicio de sesión

Servidores de Nombres de Dominio (DNS)280

· Botón «Aceptar» (clic) à Pasar el banner de inicio de sesión· Introducir «Supervisor» (sin las comillas) como «Nombre de usuario:»· Introducir «MgP393pDC» (sin las comillas) como «Contraseña:»· Botón «Aceptar» (clic) à Iniciar sesión como el usuario Supervisor

Una vez en el escritorio se procederá de la siguiente manera para verificar la asignación WINS através del servidor DHCP:



§ Ping mgp-srv01 (presionar la tecla ENTER) à al no hacer una referencia auna dirección IP el sistema consultará al servidor WINS para obtener la IPcorrespondiente al nombre NetBIOS Introducido. En caso de obtener unarespuesta del tipo «Haciendo ping a mgp-srv01.megapack.com.ar[172.16.1.1] …», significaría que el nombre no fue resuelto por el servidorWINS sino por el servidor DNS (de ahí la aparición del «.megapack.com.ar»).En este caso se deberá desactivar el cliente DNS en esta máquina.


Ejercicio 1:



· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· DNS (clic) à Ejecutar la consola de administración WINS· MGP-SRV01 [172.16.1.1] (doble clic)· Zonas de búsqueda directa (doble clic)· megapack.com.ar (clic con el botón derecho del mouse)· Dominio nuevo… (clic)· colocar «administracion» en el cuadro de texto «Escriba el nombre del nuevo

dominio:» ypresionar la tecla ENTER à Crea un sub-dominio llamado administración

· megapack.com.ar (clic con el botón derecho del mouse)· Dominio nuevo… (clic)· colocar «cobranzas» en el cuadro de texto «Escriba el nombre del nuevo dominio:»

y presionar la tecla ENTER à Crea un sub-dominio llamado cobranzas· megapack.com.ar (clic con el botón derecho del mouse)· Dominio nuevo… (clic)· colocar «gerencia» en el cuadro de texto «Escriba el nombre del nuevo dominio:» y

presionar la tecla ENTER à Crea un sub-dominio llamado gerencia· administracion (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el sub-dominio administración· Establecer la siguiente configuración:· Nombre: maq1


· Dirección IP: 172.16.1.101· (marcar la opción «Crear registro del puntero (PTR) asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host

cobranzas (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el sub-dominio administración

Establecer la siguiente configuración:

· Nombre: maq1· Dirección IP: 172.16.1.102· (marcar la opción «Crear registro del puntero (PTR) asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host

gerencia (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el sub-dominio administración· Establecer la siguiente configuración:· Nombre: maq1· Dirección IP: 172.16.1.2 (marcar la opción «Crear registro del puntero (PTR)

asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host

megapack.com.ar (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el dominio megapack.com.ar· Establecer la siguiente configuración:· Nombre: www· Dirección IP: 192.168.0.254 (marcar la opción «Crear registro del puntero (PTR)

asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host· Cerrar la consola de administración DNS



DOS

En la línea de comandos introducir lo siguiente:

· Ping www.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidor DNS para obtener la IP de la máquina con nombre www que pertenece al domi nio megapack.com.ar (el resultado debería ser 192.168.0.254)· Exit (cierra la consola de DOS)

Ejercicio 2:



Servidores de Nombres de Dominio (DNS)282

· Menú Inicio (clic)· Ejecutar (clic)· Introducir «cmd» (sin las comillas) (presionar la tecla ENTER) à Abrir una consola de DOS


· Ping maq1.administracion.megapack.com.ar (presionar la tecla ENTER) à Consulta alservidor DNS para obtener la IP de la máquina con nombre maq1 que pertenece al sub-dominio administración del dominio megapack.com.ar

· Exit (cierra la consola de DOS)

Ejercicio 2:




DOS


· Ping maq1.cobranzas.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidorDNS para obtener la IP de la máquina con nombre maq1 que pertenece al sub-dominiocobranzas del dominio megapack.com.ar

· Ping maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidorDNS para obtener la IP de la máquina con nombre maq1 que pertenece al sub-dominiogerencia del dominio megapack.com.ar

· Nslookup (presionar la tecla ENTER) à Ejecutar el cliente de resolución de nombres· Name www.megapack.com.ar (presionar la tecla ENTER) à consultar la ip de www (el

resultado debería ser 192.168.0.254)· Exit (presionar la tecla ENTER) à Salir de nslookup

Exit (presionar la tecla ENTER) ààààà cierra la consola de DOS

284 Servicios de Ruteo y Acceso Remoto en Windows 2000 Server (RRAS)

Servicios de Ruteo y Acceso Remoto en Windows2000 Server (RRAS)

Clase teórica 17

RRA S

Routing and RemoteAccess Service -Servicio de ruteo yacceso remoto.

RIP

R outing InternetProtocol - Protocolo deRuteo de Internet.

O S P F

O pen Shortest PathFirst - Abrir Primero laRuta más Corta

ICMP

Internet ControlM essage Protocol -Protocolo de Controlde Mensajes deInternet.

RADIUS

R emote A uthenticationD ial-In U ser Service -Servicio de usuario deacceso telefónico conautenticación remota.

G U I

G raphical U serinterface - InterfazGráfica del Usuario.

I G M P

Internet G roupM anagement Protocol -Protocolo para laAdministración deGrupos de Internet.

N A T

N etwork A ddressTranslation -Traducción deDirecciones de Red.

IPSec

Internet ProtocolSecurity - Protocolo deInternet Seguro.

INTRODUCCIÓN

RRAS permite que un host en el cual se encuentra instalado Windows 2000Server, trabaje como ruteador multiprotocolo, ruteador de llamada bajo demanday servidor de acceso remoto. RRAS utiliza el protocolo PPP para negociar lasconexiones punto a punto para los clientes de acceso remoto. El protocolo PPPproporciona la negociación de los parámetros de enlace, intercambio decredenciales de autenticación y negociación del protocolo de capa de red.

El servicio RRAS de Windows 2000 ofrece soporte a las siguientescaracterísticas:

Version 2 del protocolo RIP para IP.

Prococolo OSPF para IP.

Ruteo bajo demanda, que consiste en ruteo bajo conexiones W.A.N continuas

o bajo demanda como las líneas de teléfono analógicas.

Búsqueda de routers de protocolo ICMP.

Cliente del servicio de usuario de acceso telefónico con autenticación remota

para beneficiarse de los servicios suministrados por RADIUS.

Servidor RADIUS que proporciona autenticación centralizada, autorización,

cuentas y directivas de acceso remoto para clientes de acceso telefónico y

de acceso remoto a VPN.

Filtrado de paquetes IP e IPX, para seguridad a nivel de protocolo.

Complemento de Administración con GUI.

Protocolo IGMP y soporte para fronteras de multidifusión.

Servicio NAT para simplificar las conexiones de pequeñas redes a Internet.

Ruteo con AppleTalk integrado.

Soporte para conexiones VPN con protocolo L2TP sobre IPSec.

RRAS trabaja con una amplia variedad de plataformas y hardware de red, lo cualpermite mantener un servicio de ruteo de bajo costo frente a dispositivos routersde alta gama. Estas características permiten a Windows 2000 Server trabajarcomo un router multiprotocolo, de llamada bajo demanda y servidor de accesoremoto.


RRAS para Windows 2000 incluye una amplia variedad de características quesoportan ruteo IP unidifusión y multidifusión, ruteo IPX, ruteo AppleTalk, acceso

Diccionario


remoto y soporte VPN.


Windows 2000 proporciona un soporte extenso para el ruteo IP unidifusiónutilizando los protocolos de ruteo IP unidifusión y las funciones de router deWindows 2000. La unidifusión ocurre cuando dos hosts establecen una conexiónpunto a punto de dos direcciones para la transferencia de datos.

El ruteo IP unidifusión se produce cuando uno o varios routers envían paquetes através de una conexión punto a punto de dos direcciones. La implementación delruteo unidifusión puede ser simple o compleja despendiendo del tamaño de lared, del uso de DHCP para asignar espacio a la configuración de direcciones IP,la conectividad a Internet, la presencia de host no Windows o heredados en la redy otros factores.

El siguiente cuadro describe los diferentes componentes del ruteo IP unidifusión:

Ruteo IP estático

Versión 2 de RIP

O S P F

Agente deretransmisión DHCP

Traducción dedirecciones de red(NAT)

Filtrado depaquetes IP

Búsqueda derouters ICMP

Componente Descripción

Con esta función inherente de Windows 2000 se pueden administrar routers estáticosutilizando el complemento «Enrutamiento y acceso remoto».

Un protocolo de ruteo de vectores de distancia que se utiliza comúnmente en redes pequeñasy medianas.

Protocolo de ruteo del estado de la conexión que se utiliza normalmente en redes medianasa grandes. Este protocolo es significativamente más eficiente que RIP debido a que utilizaunos algoritmos más sofisticados para encontrar la mejor ruta entre dos puntos.

Un agente que regula los mensajes DHCP y los servidores DHCP en diferentes segmentosde una red, esto permite a un servidor DHCP brindar servicios en una o varias subredes.

Un componente traductor de direcciones de red que crea una conexión traducida entreredes con direcciones IP privadas e Internet. Esto permite el direccionamiento en una redinterna con direcciones que no son legales en Internet. NAT necesita de al menos un IPválida en Internet para realizar la traducción a una red privada.

La capacidad de definir qué tráfico se permite de entrada o salida para interfaz de redbasado en filtros que se definen por los valores de la dirección IP del origen y del destino,los números de puertos TCP y UDP, los tipos y códigos de ICMP los números de protocoloIP. Esta es una característica importante de seguridad.

La capacidad para anunciar y responder periódicamente las solicitudes del host router paradar soporte al descubrimiento de routers ICMP mediante los hosts de un segmento de lared.

Actividad

Definir RRAS Definir soporte IP unidifusion:



Windows 2000 permite el envío, recepción y el re-envío del tráfico de una IPmultidifusión. El tráfico multidifusión se envía a un único host, pero es procesadopor múltiples hosts que escuchan este tipo de tráfico destinado a un único host.

Este procedimiento se utiliza comúnmente para distribuir datos en tiempo realentre múltiples usuarios. Los componentes de IP multidifusión de RRAS permiteque se pueda enviar y recibir tráfico IP multidifusión de clientes de acceso remotoy porciones de multidifusión activas de Internet o una red privada.

El siguiente cuadro describe los diferentes componentes del ruteo IP multidifusión:

Re-envíomultidifusión

Versiones 1 y 2 deI G M P

Re-envío y ruteoespecifico

Límites de la

multidifusión


Con esta función del protocolo TCP/IP de Windows 2000, se puede ver la tabla de re-envíos multidifusión utilizando el complemento «Enrutamiento y acceso remoto».

Usa el protocolo TCP/IP para realizar el seguimiento de miembros de un grupo demultidifusión en segmentos de red conectados.

Cuando se usa el protocolo de ruteo IGMP y se configuran interfaces para el modo RouterIGMP y el modo proxy IGMP, el router de Windows 2000 puede utilizar re-envío y ruteomultidifusión para configuraciones específicas.

Los límites de la multidifusión (barreras al re-envío de tráfico IP de multidifusión) puedenestar basados en las direcciones de grupo de multidifusión, en el TTL de la cabecera IP o enla máxima cantidad de tráfico multidifusión en Kilobytes por segundo.

SOPORTE PA R A IPX

El router de Windows 2000 Server es un ruteador IPX completamente funcionalque soporta RIP para IPX, el principal protocolo de ruteo utilizado en las redesIPX es SAP para IPX y NetBIOS sobre re-envío de difusiones IPX.

SAP es un protocolo para la recopilación y distribución de nombres de servicio ydirecciones.

El siguiente cuadro describe los diferentes componentes del ruteo IPX:

Filtrado depaquetes IPX

RIP para IPX

SAP para IPX

NetBIOS sobre IPX


La capacidad de definir que tráfico se permite de entrada o salida para cada interfazbasada en filtros definidos por los valores de origen y destino de la red IPX, el nodo, elnúmero de socket y el tipo de paquete.

Un protocolo de ruteo basado en basado en un vector de distancia que se utiliza en lasredes IPX. RRAS también permite configurar rutas estáticas IPX y filtros de ruta RIP.

SAP es un protocolo de anuncios basado en un vector de distancia que se utiliza comúnmenteen las redes IPX para anunciar servicios y su ubicación. RRAS también suministra lacapacidad para configurar servicios SAP estáticos y filtros de servicios SAP. Los filtros deservicios SAP reducen el tráfico SAP innecesario que se envía a la conexión RRAS.

NetBIOS sobre IPX se utiliza por los componentes de red Windows para soportar componentescompartidos de archivos e impresoras. RRAS también puede reenviar broadcast NetBIOS

sobre IPX y configurar nombres NetBIOS estáticos.


DiccionarioSocket

Identificador para unservicio particular enun host particular deuna red. El socket secompone de unadirección de host yun número depuerto, que identificael servicio. Porejemplo, el puerto 80de un host deInternet indica unservidor Web.


En el servicio RAS de Windows 2000, los clientes de acceso remoto se conectansolamente a los recursos del servidor de acceso remoto o se conectan a losrecursos del servidor RAS y a los recursos de la red a la que esta conectado elservidor RAS. Este último permite a los clientes de acceso remoto acceder a losrecursos de la red como si trabajara desde un host local de la red.

Un servidor de acceso remoto en Windows 2000 permite dos métodos de conexiónremota:

Acceso remoto por medio de teléfono: Con el acceso remoto por medio del accesotelefónico a redes, un cliente de acceso remoto utiliza la infraestructura de telefoníapública para crear un circuito físico temporal o un circuito virtual a un puerto de unservidor de RAS. Una vez creado el circuito físico o virtual, se puede negociar elresto de los parámetros de acceso.

Acceso remoto por medio de VPN: Con el acceso remoto por medio de VPN, uncliente VPN utiliza una red no segura a través de la cual crear una conexión puntoa punto virtual con el servidor RAS que actúa como servidor VPN. Una vez creadala conexión punto a punto virtual, se puede negociar el resto de los paramentosde acceso.

CONEXIONES DE ACCESO REMOTO

Una conexión de acceso remoto se encuentra formada por un cliente de accesoremoto, un servidor de acceso remoto y una infraestructura W.A.N a través de lacual llegar al servidor, como ser la red de telefonía pública o Internet.

Clientes de acceso remoto

Los clientes de acceso remoto como Windows 2000, XP, NT, 9x puedenconectarse a un servidor RAS de Windows 2000, además de clientes de terceroscomo Linux, UNIX y Mac, siempre que utilicen el protocolo de conexión PPP.

Actividad

Definir RAS Unir con flechas según corresponda:

Cliente de acceso remoto

Win95

Win98

Linux

Novell

Unix

OS/2


Servidor de acceso remoto

El servidor de acceso remoto de Windows 2000 acepta las conexiones medianteacceso telefónico a redes y envía los paquetes entre los clientes de acceso remotoy la red a la que está conectado el servidor RAS.

El equipo de acceso remoto y la infraestructura W.A.N

Las conexiones físicas y lógicas entre el servidor de acceso remoto y el cliente deacceso remoto se simplifican mediante el mecanismo de acceso telefónicoinstalado en el cliente de acceso remoto, el servidor de acceso remoto y lainfraestructura de telecomunicaciones.

Entre las vías de transmisión se pueden identificar las siguientes:

Red telefónica conmutada pública

Enlaces digitales y V.90

Red digital de servicios integrados (RDSI)

ATM sobre ADSL

Protocolos de acceso remoto

Los protocolos de acceso remoto controlan el establecimiento de la conexión ytransmisión de datos sobre los enlaces W.A.N. El sistema operativo y los protocolosde L.A.N que se utilizan en los clientes y servidores de acceso remoto fijan elprotocolo de acceso remoto que los clientes pueden utilizar.

El servicio de acceso remoto en Windows 2000 soporta tres tipos de protocolosde acceso remoto:

El protocolo PPP.

El protocolo SLIP.

El protocolo AsyBEUI.

DiccionarioAsyBEUI

AsynchronousNetBEUI - NetBEUIasíncrono.

Nota

El protocolo AsyBEUIes un protocolo de

acceso remoto utilizadopor los clientes deacceso remoto

heredados que ejecutanun sistema operativoanterior a las versiones

W indows 9x.

SEGURIDAD DE LOS ACCESOS REMOTO S

El servicio RAS ofrece una buena variedad de funciones de seguridad, entre lasque incluye la autenticación de usuarios seguros, la autenticación reciproca, elcifrado de datos, el sistema callback, el identificador de llamada y el cierre decuenta de acceso remoto.

Autenticación y autorización

La correcta distinción entre autenticación y autorización permite comprender comoson denegados o aceptados los intentos de conexión con RAS.


Autenticación: la autenticación es la verificación de las credenciales del intentode conexión. Este proceso consiste en el envió de las credenciales desde elcliente RAS al servidor RAS ya sea mediante texto plano o un formulario cifradoque utiliza un protocolo de autentificación.

Autorización: la autorización es la verificación de que el intento de conexión sepermite, este proceso ocurre luego de un proceso de autentificación satisfactoriopara el servidor RAS.

Para que un intento de conexión se acepte, la conexión debe ser autenticada yautorizada.

Autenticación de usuarios seguros

La autenticación de usuarios seguros se logra a través del intercambio cifrado decredenciales de usuario. Esto es posible gracias al uso del protocolo de accesoremoto PPP junto con alguno de los siguientes protocolos de autenticación:

Protocolo de autenticación extensible (EAP).

El protocolo de autenticación de desafío muto de Microsoft (MS-CHAP v1 y

v2).

El protocolo de autenticación de acuerdo mutuo de desafío (CHAP).

El protocolo de autenticación de contraseñas de Shiva (SPAP).

El servidor RAS puede ser configurado para exigir un método de autenticaciónseguro.

Autenticación reciproca

La autenticación reciproca se obtiene autenticando ambos extremos de la conexióna través del intercambio cifrado de las credenciales del usuario. Esto es posiblegracias al uso de PPP junto con EAP-TLS o la versión 2 MS-CHAP. Durante laautenticación recíproca, el cliente de acceso remoto se autentica asimismo en elservidor RAS y el servidor RAS se autentica asimismo con el cliente de accesoremoto.

Nota

Es posible que unintento de conexión seaautenticado pero no

autorizado, en este casola conexión se deniegapor parte del servidor

RAS.

Actividad

Nota

Si el cliente de accesoremoto no puede realizarla autenticación seguraexigida por el servidorRAS, la conexión se

deniega.

DiccionarioEAP-TLS

EAP-Transport LevelSecurity - EAP-Seguridad de nivelde transporte.

Definir AsyBEUI: Explique la dirección entre Autrnticación yautorización:


Cifrado de datos

El cifrado de datos cifra los datos que se envían entre el cliente de acceso remotoy el servidor RAS. El cifrado de datos solo ofrece cifrado para las comunicacionesentre el cliente y el servidor RAS, si es necesario cifrar completamente lascomunicaciones de extremo a extremo hay que utilizar IPSec.

El cifrado de datos en una conexión de acceso remoto se basa en el conocimientode la parte del servidor RAS y del cliente de acceso remoto de una clave secretade cifrado. Esta clave secreta de cifrado compartida se genera durante el procesode autenticación del usuario.

CallBack (devolución de llamado)

Con CallBack, el servidor RAS llama al cliente de acceso remoto después de quese han verificado las credenciales del usuario. Callback puede configurarse en elservidor para llamar al cliente de acceso remoto a un número especificado por elusuario del cliente de acceso remoto durante la duración de llamada. Esto permitea un usuario móvil llamar y obtener desde el servidor RAS la llamada al cliente ala ubicación actual, de esta manera ahorrando el valor monetario de la conexión.Es posible configurar el sistema callback para que siempre llame a un usuariomóvil de acceso remoto a un mismo número de teléfono.

Identificador de llamada

La identificación de llamada, puede utilizarse para verificar que la llamada entranteproviene de un número específico. Si el número telefónico desde el cual se desealograr la conexión entrante de acceso remoto no coincide con la configurada parael usuario, automáticamente la conexión se deniega.

El identificador de llamada, necesita que la línea telefónica soporte el servicio deidentificación de llamada, ya que sino será imposible verificar el numero desde elcual ingresa una conexión entrante de acceso remoto. Si se encuentra habilitadaen el servidor RAS la opcion de Identificador de llamada, pero la línea telefónicano soporta o no tiene habilitada la identificación de números entrantes, el servidorRAS rechazará las conexiones entrantes.

Bloqueo de cuentas de acceso remoto

La función del bloqueo de cuentas de acceso remoto se utiliza para especificarcuantas veces puede fallar la autenticación de acceso remoto en una cuenta deusuario válida antes de que se deniegue el acceso remoto al usuario. El bloqueode cuentas de acceso remoto es especialmente importante en conexiones VPN.Usuarios mal intencionados pueden intentar acceder a la intranet detrás del servidorRAS, brindado credenciales falsas, por medio de programas de ataque dediccionario durante el intento de autenticación.


Como el servidor RAS no puede distinguir de usuarios mal intencionados quetratan de ganar acceso de usuarios que han olvidado su contraseña, se debeactivar la función bloqueo de cuentas de acceso remoto.

Existen dos variables a la hora de configurar el bloqueo de cuentas:

El numero de intentos fallidos antes de que se deniegue los nuevos intentos:después de cada intento fallido, se incrementa un contador de intentos fallidospara la cuenta del usuario. Si el contador alcanza el máximo configurado, sedeniegan los nuevos intentos por conectarse. Una autenticación exitosa reiniciael contador.

Con que frecuencia se reinicia el contador de intentos fallidos: se debe reiniciarel contador de intentos fallidos cada cierto tiempo para evitar bloqueosaccidentales debido a fallos normales de los usuarios que han olvidado ointroducido mal su clave en varias ocasiones.


RRAS permite el registro de la información de autenticaciones y recuento paralos intentos de conexión basados en PPP cuando se encuentra activa laautenticación o recuento de Windows. Este registro se encuentra separado delos eventos guardados en el sistema por el registro de sucesos de Windows2000. Es posible utilizar la información registrada para rastrear el uso del accesoremoto y los intentos de autenticación, este registro es útil a la hora de resolverproblemas en las directivas de acceso remoto.

REGISTRO DE EVENTOS

El servicio de RRAS de Windows 2000 realiza extensos registros de errores en elregistro de eventos del sistema. Se puede utilizar la información del registro deeventos para solucionar problemas de los procesos de ruteo o acceso remoto.

Existen cuatro niveles de actividades a registrar:

Sólo registrar errores.

Registrar errores y avisos.

Nota

Por cada intento deautenticación,

automáticamente seguarda el nombre de ladirectiva de accesoremoto que acepta orechaza el intento de

conexión.

Nota

Se puede configurar eltipo de actividad a

registrar en un servidorRAS y las propiedadesdel archivo de registro.

Actividad

Explicar bloqueo de cuentas: Definir CallBack:


Registrar la máxima cantidad de información.

Desactivar el registro de eventos.

El registro consume recursos del sistema y debe ser utilizado con moderaciónpara ayudar a identificar los problemas de la red. Una vez que se ha registrado elevento o se ha identificado el problema, se debe reestablecer el registro a sóloregistrar errores.

Nota

Cuando se registra lamáxima cantidad deinformación, la

información del registropuede ser compleja y

muy detallada.


Clase práctica 17

Enrutamiento y Acceso remoto (RRAS)

Ejercicio 1:

Para la siguiente práctica se deberá disponer del servidor MGP-SRV01 configurado con las siguientesdirecciones IP (una en cada adaptador de red):192.168.0.1 y 172.16.1.1Además, deberán estar instalados y funcionando los servicios de DHCP, WINS y DNS así comotambién el Active Directory con sus correspondientes grupos, usuarios, políticas y perfiles.


Ejercicio 2:


· Icono «Mis sitios de red» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Conexiones de red y de acceso telefónico· Icono «Conexión de área local 2» (clic con el botón derecho del Mouse)· Propiedades (clic) à despliega la ventana de Propiedades de Conexión de área local 2· Protocolo Internet (TCP/IP) (doble clic) à despliega la ventana de Propiedades de

Protocolo Internet (TCP/IP)· Marcar la opción «Usar la siguiente dirección IP:»

Establecer la siguiente configuración (dejar el resto de las opciones en blanco):


· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la X que

se encuentra en el ángulo superior derecho de la ventana.)


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Enrutamiento y acceso remoto (clic) à desplegar la consola de administración de

enrutamiento y acceso remoto

Mediante la realización de esta práctica usted comprenderá el funcionamiento de los servicios de Ruteoy Acceso Remoto de Windows 2000 Server, además de realizar tareas administrativas y de configuraciónde los servicios de RRAS.


Servicios de Ruteo y Acceso Remoto en Windows 2000 Server (RRAS)294

· MGP-SRV01 (local) (clic con el botón derecho del mouse)· Configurar y habilitar el enrutamiento y el acceso remoto (clic) à Ejecutar el asistente

para la instalación del servidor de enrutamiento y acceso remoto· Botón «Siguiente» (clic)· Enrutador de red (clic) à Establece que se quiere utilizar el equipo para la comunicación

con otras redes· Botón «Siguiente» (clic)· Verificar que en la lista «Protocolos:» se encuentre el protocolo «TCP/IP»· Si, todos los protocolos disponibles están en la lista (clic)· Botón «Siguiente» (clic) à Especifica que se desea trabajar solo con el protocolo TCP/IP· No (clic) à Especifica que no se desea usar conexiones de marcado a petición para tener

acceso a redes remotas· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Cerrar el asistente y activar el servicio· Cerrar la consola de administración de enrutamiento y acceso remoto

Ejercicio 1:






§ Dirección IP: 172.16.1.2§ Mascara de subred: 255.255.0.0§ Puerta de enlace predeterminada: 172.16.1.1

· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la X que

se encuentra en el ángulo superior derecho de la ventana.)

Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionando


simultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:




§ Dirección IP: 192.168.0.254§ Mascara de subred: 255.255.255.0§ Puerta de enlace predeterminada: 192.168.0.1§ Servidor DNS preferido: 192.168.0.1

· Botón «Aceptar» (clic) à Guardar configuración y salir· Botón «Aceptar» (clic) à Activar la nueva configuración y salir· Cerrar la ventana de Conexiones de red y de acceso telefónico (haciendo clic en la X

que se encuentra en el ángulo superior derecho de la ventana.)

Ejercicio 2:



DOS


· Ping maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidorDNS para obtener la IP de la maquina con nombre maq1 que pertenece al sub-dominiogerencia del dominio megapack.com.ar

· Tracert maq1.gerencia.megapack.com.ar (presionar la tecla ENTER) à genera unseguimiento de todos los saltos en la ruta que se utiliza para llegar hastamaq1.gerencia.megapack.com.ar

Observar que para llegar al destino, primero se pasa por MGP-SRV01 ya que es la máquina quefue configurada como «puerta de enlace» y es la encargada de «rutear» los paquetes de datos.

Ejercicio 2:



Servicios de Ruteo y Acceso Remoto en Windows 2000 Server (RRAS)296


DOS· En la línea de comandos introducir lo siguiente:· Ping www.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidor DNS para

obtener la IP de la máquina con nombre www que pertenece al dominio megapack.com.ar· Tracert www.megapack.com.ar (presionar la tecla ENTER) à genera un seguimiento de

todos los saltos en la ruta que se utiliza para llegar hasta www.megapack.com.ar

Observar que para llegar al destino, primero se pasa por MGP-SRV01 ya que es la máquina quefue configurada como «puerta de enlace» y es la encargada de «rutear» los paquetes de datos.

Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


DOS


· Ping www.megapack.com.ar (presionar la tecla ENTER) à Consulta al servidor DNS paraobtener la IP de la maquina con nombre www que pertenece al dominio megapack.com.ar(en la práctica 16 se le había asignado a esta máquina la IP del servidor MGP-SRV03)

· Tracert www.megapack.com.ar (presionar la tecla ENTER) à genera un seguimiento detodos los saltos en la ruta que se utiliza para llegar hasta www.megapack.com.ar

Observar que para llegar al destino, primero se pasa por MGP-SRV01 ya que es la máquina quefue configurada como «puerta de enlace» y es la encargada de «rutear» los paquetes de datos.Debido a que este equipo utiliza la configuración dinámica ofrecida por el servidor DHCP dondepreviamente se habían establecido los valores para dominio, servidor WINS, servidor DNS ypuerta de enlace, no es necesario realizar ningún tipo de modificación a las configuraciones.

298 Servidores de Servicios de Información de Internet en Windows 2000 Server (IIS 5.0)

Servidores de Servicios de Información de Internet enWindows 2000 Server (IIS 5.0)

Clase teórica 18

INTRODUCCIÓN

IIS 5.0 es el servidor Web y de transferencia de archivos (FTP) que se proveecon Windows 2000 Server.

La función del servidor Web es aceptar la entrada de los navegadores Web yproporcionarles contenidos, como ser: páginas HTML, imágenes, sonidos, yarchivos ejecutables, al igual que contenidos activos preparados para ejecutarseen un navegador Web.

Este contenido puede derivarse de archivos estáticos o de la ejecución de archivosde comandos ejecutados por IIS y de la ejecución de programas normales. Losservidores Web implementan el protocolo de transferencia de texto enriquecido(HTTP) y se los conoce como servidores HTTP.

IIS 5.0 también implementa W ebDAV para HTTP v1.1 que permite a losnavegadores Web tratar los recursos Web como sistemas de archivos. Losusuarios pueden cargar, modifica o eliminar con este mecanismo archivos en elservidor Web.

La función del servidor FTP del IIS es simplemente permitir a los clientes FTP lacarga y descarga de archivos.

SITIOS WEB Y FTP

En un principio, cada nombre de dominio de Internet, como www.sitio-ejmplo.com,representaba un equipo individual. Con IIS es posible mantener varios sitios Webo FTP simultáneamente en un host donde se ejecute Windows 2000. Cada sitioWeb puede tomar uno o más nombres de dominio, ya que cada sitio imita a unhost individual.

Independientemente de si IIS se encuentra en una intranet o Internet, se puedencrear múltiples sitios Web y FTP en un solo host mediante alguna de las siguientesopciones:

Adjuntar números de puerto a la dirección IP.

Utilizar múltiples direcciones IP, cada una con su propio adaptador de red.

Asignar múltiples nombres de dominio y direcciones IP a un adaptador de

red utilizando nombres de cabecera de host.

DiccionarioIIS

Internet InformationServices - Serviciosde Información deInternet.

FTP

File Transfer Protocol- Protocolo detransferencia dearchivos.

H TML

H yperText M arkupLaguage - Lenguajede marcas de textoenriquecido.

HTTP

H yperText TransferProtocol - Protocolode transferencia detexto enriquecido.

W e b D A V

W e b D istributedVersioning andA uthoring - Autores yversiones Webdistribuidas.

Nota

Si se crea una grancantidad de sitios en unmismo host con IIS, esnecesario considerar laslimitaciones del hardwarey ampliarlo según sea

necesario.

Propiedades y herencia de propiedades

Durante la instalación de IIS, se asignan valores predeterminados a las distintaspropiedades. Es posible utilizar las configuraciones predeterminadas de IIS o se


Actividad

pueden personalizar las configuraciones para satisfacer diferentes necesidadesa la hora de publicar una Web. Al realizar configuraciones personalizadas sepueden conseguir mejores resultados, mejor rendimiento y seguridad en unapublicación Web.

Las propiedades pueden configurarse a nivel de sitio, nivel de directorio o a nivelde archivo. Las configuraciones de niveles superiores, como de sitio, se utilizanautomáticamente, o se heredan a los niveles inferiores, pero pueden modificarseindividualmente en niveles inferiores.

Cuando se realiza un cambio en las propiedades de un sitio, directorio o archivo,los cambios posteriores a los valores predeterminados principales no omitiránautomáticamente la configuración individual, en vez de eso se recibirá un mensajepreguntando si se desea cambiar la configuración para que se ajuste a los nuevosvalores predeterminados.

Algunas propiedades tienen un valor que toma la forma de una lista, por ejemploel valor de un documento predeterminado puede ser una lista de documentosque se cargará cuando el usuario no especifica un archivo en una URL.

Los mensajes de error personalizados, el control de acceso TCP/IP, lascorrespondencias de secuencias de comando y las asignaciones MIME sonotros ejemplos de propiedades almacenadas en forma de lista. Aunque estaslistas posean múltiples entradas, IIS trata a la lista entera como una sola propiedad,si se modifica una lista en un directorio y se hace un cambio global a nivel desitio, la lista a nivel de directorio se reemplaza completamente con la nueva listade sitio; las listas no se mezclan. Los valores de lista no se muestran si son lospredeterminados heredados.

Grupo Operadores

Operadores es un grupo especial de usuarios en Windows 2000 que tienenprivilegios administrativos limitados sobre sitios Web individuales. Los miembrosdel grupo Operadores pueden administrar propiedades que solo afecten a susrespectivos sitios, y no tienen acceso a propiedades que afecten a IIS, el hostque ejecuta IIS o la red.

Es normal que un servicio de hosting de páginas Web, albergue varios sitiosWeb en un solo servidor y otorgue permisos de grupo Operadores para que cadaadministrador de sitio Web. Es método de administración distribuida de servidoresIIS, presenta las siguientes ventajas:

DiccionarioURL

U niform R esourceLocator - Localizadoruniforme derecursos.Proporciona losenlaces de textoenriquecido entredocumentos en laW orld Wide Web(W W W), Cadarecurso de Internettiene su propioidentificador deubicación o URL.

M IME

(Multi-PurposeInternet MailExtensions -Extensiones decorreo Internetmultipropósito), sonuna serie deconvenciones oespecificacionesdirigidas a que sepuedan intercambiara través de Internettodo tipo de archivos(texto, audio, vídeo,etc.) de formatransparente para elusuario.

Hosting

Nombre con que sedescribe la acción dealbergar sitios Web

Definir IIS: Marcar con x según corresponda:

IIS puede dejar varios sitios ( )

IIS no puede dejar varios sitios ( )


Cada miembro del grupo operadores puede actuar como el administradordel sitio y puede cambiar o reconfigurar el sitio Web según sea necesario.Al operador de un sitio Web no se le permite cambiar la identificación de lossitios Web, configurar el nombre o contraseña del usuario anónimo, regularel ancho de banda para el sitio, crear directorios virtuales o cambiar susrutas de acceso.Dado que los miembros del grupo operadores tienen privilegios más limitadosque los administradores del sitio Web, no se encuentran autorizados paraexplorar de manera remota el sistema de archivos, por lo que no podrán fijarpropiedades de directorio y archivos a menos que utilicen una ruta de accesoUNC.

Administración remota de sitios

Debido a que no siempre se recomienda realizar tareas administrativas en elequipo que ejecute IIS, hay disponible una opcion de administración remota. Si laconexión se realiza desde Internet o la intranet, se puede utilizar el «Administradorde Servicios Internet» en formato HTML, para cambiar las propiedades del sitio.

El Administrador de Servicios Internet, utiliza un sitio Web administrativo paraacceder a las propiedades de IIS. Cuando se instala IIS, se selecciona y asignaaleatoriamente un número de puerto entre 2000 y 9999 a este sitio Web. Estesitio administrativo, responde a las peticiones del explorador Web para todos losnombres de dominio instalados el equipo, siempre que se adjunte el número depuerto a la dirección.

Sintaxis de ejemplo

http://www.sitio-ejemplo.com :4585/iis.asp

Si se utiliza autenticación básica, se le pedirá al administrador un nombre deusuario y una contraseña al conectarse al sitio, solo los miembros del grupoAdministradores y Operadores podrán utilizar este sitio administrativo de IIS.

ADMINISTRACIÓN DE SITIOS

El proceso de administrar sitios incluye varias tareas, como iniciar y detenersitios, agregar sitios, nombrar sitios y reiniciar IIS.

Inicio y detención de sitios

De forma predeterminada los sitios se inician automáticamente cunado se reiniciael equipo.

Detener un sitio, detiene los servicios Internet y descarga los servicios Internetde la memoria del equipo.

Poner en pausa un sitio, evita que los servicios Internet acepten nuevas peticiones


Actividad

pero no afecta a las peticiones que ya se estén procesado.

Iniciar un sitio reinicia o reanuda los servicios Internet.

Denominación de sitios

Cada sitio Web (servidor virtual) tiene un nombre descriptivo y puede soportaruno o más nombres de cabecera de host. Los nombres de cabecera de hosthacen posible alojar múltiples nombres de dominio en un solo equipo. Algunosexploradores Web antiguos no son compatibles con el uso de nombres decabecera de host.

Si un visitante intenta conectar al sitio con un explorador antiguo que no escompatible con cabeceras de host, automáticamente se le redirige al sitio Webpredeterminado asignado a esa dirección IP, que no tiene por qué sernecesariamente el sitio pedido. También, si se recibe una petición de cualquierexplorador para un sitio que se encuentra detenido, el visitante recibe el sitio Webpredeterminado en su lugar.

Es necesario determinar cuidadosamente lo que muestra el sitio Webpredeterminado, normalmente, los ISP muestran su propia página de inicio comopredeterminada, y no uno de los sitios Web de sus clientes ya que esto evita quelas peticiones de conexión para un sitio detenido, lleguen al lugar equivocado omuestren un mensaje de error.

Compresión HTTP

La compresión HTTP permite la transmisión más rápida de páginas entre unservidor IIS y un cliente Web. Esto es útil en situaciones donde el ancho de bandase encuentra limitado, dependiendo del contenido que se esté albergando, elespacio de almacenamiento y la velocidad de conexión del visitante del sitio Web,la compresión HTTP puede proporcionar una transmisión más rápida de páginasentre el servidor Web y exploradores con compresión HTTP activada.

FTP y reinicio FTP

El servicio FTP, es un protocolo estándar utilizado para publicar información enun servidor Web. En IIS el protocolo de reinicio FTP, se encuentra soportado porWindows 2000 y permite una manera rápida y dinámica de cargar y descargar

Nota

Si un sitio pararepentinamente, el

complemento «Serviciosde Internet InformationServer» podría no indicarcorrectamente el estadodel servidor. Antes dereiniciar hay quedetenerlo y luego

iniciarlo nuevamente.

Nota

Esta característica soloes soportada por clientes

que trabajen con elprotocolo de reinicio de

FTP

Definir cabecera de host: Definir compresión HTTP:


MECANISMOS DE SEGURIDAD

IIS utiliza cinco mecanismos básicos de seguridad: Autenticación, certificados,control de acceso, cifrado de datos y auditoría.

Autenticación

La autenticación permite confirmar la identidad de cualquiera que pida acceso alos sitios Web, IIS soporta los siguientes tipos de autenticación para HTTP yFTP:

Autenticación HTTP y FTP anónima.Autenticación HTTP y FTP básica.Autenticación de texto implícita para dominios Windows 2000.Autenticación de Windows integrada.

Certificados

Para completar el proceso de autenticación, se necesita un mecanismo paraverificar la identidad de un usuario. Los certificados son documentos deidentificación digital que permiten tanto al servidor como al cliente autenticarseuno con otro.

Para que pueda enviarse información cifrada entre un servidor Web y un cliente,es necesario establecer un mecanismo de conexión SSL.

Control de acceso

Tras verificar la identidad de un usuario, IIS controlara el acceso a sus recursos,para esto se utilizan dos capas de control de acceso, permisos Web y permisosNTFS.

Los permisos Web se aplican a todos los clientes HTTP y definen el accesoa los recursos del servidor.Los permisos NTFS definen qué nivel de acceso tienen las cuentas de usuarioen carpetas y archivos del servidor.

Auditoria

El último paso para garantizar la seguridad es supervisar regularmente la

información desde una intranet o Internet.

Si ocurre una interrupción en durante la transferencia de datos de un sitio FTP, ladescarga puede reanudarse desde donde se interrumpió sin necesidad de subiro bajar nuevamente el archivo completo.


utilización del sitio. Los administradores pueden utilizar técnicas de auditoria deseguridad para verificar una amplia variedad de actividades de seguridad delusuario y servidor IIS.

La auditoria consiste en la creación de políticas de auditoria para acceso acarpetas, archivos o sucesos de servidor, y la verificación de registros deseguridad para detectar cualquier intento de acceso por parte de usuarios noautorizados.

COPIA DE SEGURIDAD Y RECUPERACIÓN DE IIS

Se puede realizar una copia de seguridad de la configuración de IIS, para quesea más simple volver a un estado anterior. Los pasos para restaurar unaconfiguración son diferentes dependiendo de si se ha quitado y reinstalado IIS ono.

Se puede utilizar el complemento «Servicios de Internet Information Server» parahacer una copia de seguridad de la configuración de IIS. Al realizar una copia deseguridad solo se logra proporcionar una forma de restaurar las configuracionesde IIS y no los archivos de contenido. Además esto no sirve si se reinstala elsistema operativo, ya que los archivos de backup no pueden utilizarse en otrosequipos con Windows 2000.

Actividad

AtenciónSe puede realizar una copia de seguridad de IIS utilizando la administración remota de IIS, pero hay que utilizar

el complemento «Servicios de Internet Information Server» para restaurar una copia de seguridad de laconfiguración de IIS.

GESTIÓN DE LA PUBLICACIÓN WEBDAV

W ebDAV amplía el protocolo HTTP v1.1 para permitir a los clientes publicar,bloquear y gestionar recursos en Web. Integrado a IIS, WebDAV permite a losclientes realizar las siguientes tareas:

Manipular los recursos de un directorio de publicación WebDAV del servidor.Por ejemplo, con esta característica los usuarios con permisos apropiadospueden copiar y mover archivos que se encuentran en un directorio WebDAV.Modificar propiedades asociadas a ciertos recursos. Por ejemplo, un usuariopuede escribir y recuperar la información de propiedades de un archivo.

Enumerar metodos de autenticación: Definir W ebDav:


Bloquear y desbloquear recursos de manera que múltiples usuarios puedanleer un archivo concurrentemente, pero sólo una persona puede modificarloen un momento dado.Buscar contenido y propiedades de los archivos en un directorio WebDAV.

Configurar un directorio de publicación WebDAV en el servidor es semejante aconfigurar un directorio virtual. Una vez que se ha fijado el directorio de publicación,los usuarios que tengan los permisos adecuados pueden publicar documentosen el servidor y manipular archivos en el directorio.

Clientes WebDAV

Se puede acceder a un directorio de publicación WebDAV a través de cualquiercliente que sea compatible con el protocolo estándar WebDAV.

W indows 2000 se conecta a un servidor WebDAV a través del asistente paraagregar sitios de red y muestra los contenidos de un directorio WebDAV como sifuesen parte del sistema de archivos del host local, una vez establecida laconexión se pueden arrastrar y soltar archivos, recuperar y modificar laspropiedades de los archivos y otras tareas de sistemas de archivo.

Internet Explorer se conecta a un servidor WebDAV y permite realizar las mismastareas de sistema de archivos que pueden realizarse a través de Windows 2000.hay que tener habilitado el permiso «Examinar directorios» en las propiedadesdel directorio virtual.

Seguridad Integrada

Ya que WebDAV se encuentra integrado a Windows 2000 y a IIS, toma lascaracterísticas de seguridad que ambos ofrecen. Estas características incluyenlos permisos IIS y las DACL del sistema de archivos NTFS.

Debido a que los clientes con los permisos correctos pueden escribir es undirectorio WebDAV, es preciso controlar quién accede al directorio en cadamomento. Para ayudar al control de acceso, IIS refuerza la Autenticación deWindows integrada mediante la incorporación de compatibilidad con el protocolode autenticación Kerberos v5.

Seleccionando la autenticación de Windows integrada se asegura de que sólolos clientes con los permisos correctos puedan acceder y escribir en el directorioW ebDAV de la red.

Además IIS incluye una forma de autenticación denominada Autenticación deTexto Implícita, creada para los servidores de dominio Windows, en este tipo deautenticación ofrece una seguridad mas estricta para las contraseñas y para latransmisión de datos a través de la red.

Nota

Office crea, publica, editay guarda documentosdirectamente en undirectorio W ebDAV através de cualquieraplicación de Office

versión 2000 en adelante.

DiccionarioDACL

Discretionary AccessControl List - Lista decontrol de accesosdiscrecional.


Creación de un directorio de publicación

Para crear un directorio de publicación hay que crear un directorio físico bajo lacarpeta Inetpub. Por ejemplo, si el nombre de la carpeta a crear fuera Ejemplo-W ebDAV, la ruta podría ser:

%systemroot%\Inetpub\Ejemplo-WebDAV

DiccionarioInetpub

Esta carpeta se creaautomáticamente alinstalar IIS en unhost, dentro de ellase guardan todos lossitios Web y FTP demanerapredeterminada,como ser wwwroot(para sitios Web) oftproot (para sitiosFTP).

Actividad

En realidad puede colocarse esta carpeta en cualquier lugar, excepto bajo lacarpeta wwwroot, ya que es una excepción porque sus DACL predeterminadasson diferentes a las de otros directorios.

En el complemento «Servicios de Internet Information Services», crear un nuevositio Web o utilizar uno existente y a continuación crear un directorio virtual bajode este, colocar el nombre mas conveniente como alias de este directorio virtualy enlazarlo a la carpeta física que acaba de ser creada. Conceder permisos deacceso de Lectura, Escritura y Examinar directorios para el directorio virtual.

De esta manera se esta concediendo a los usuarios el derecho de publicardocumentos en este directorio virtual y visualizar una lista de los archivos quecontiene.

Gestión de la seguridad WebDAV

Para proteger el servidor y a su contenido, se deben coordinar tres aspectosdiferentes de seguridad en un todo integrado: Autenticación de clientes, controlde accesos y denegación de servicio.

IIS proporciona los siguientes niveles de autenticación:

Anónimo (Anonymous): El acceso anónimo concede a cualquiera el accesoal directorio y, por lo tanto, debería deshabilitarse para un directorio WebDAV.Si no se controla quien tiene acceso, el directorio podría ser destruido porclientes desconocidos.Básica (Basic): la autenticación básica envía las contraseñas para conexióncomo texto plano sin cifrar. Como el texto plano es fácilmente descifrable esnecesario utilizar SSL para trabajar con autenticación básica.De Windows Integrada (Windows Integrated): La autenticación de Windowsintegrada trabaja de manera óptima cuando se configure un directorio WebDAVen una intranet.

Definir InetPub: Enumerar cliente W ebDav:


De Texto Implícita (Digest): la autenticación de texto implícita es la mejorelección para la publicación de información en Internet.La mejor manera de configurar un directorio WebDAV depende del tipo depublicación que se desee realizar. Al crear un directorio virtual mediante IIS seactivan predeterminadamente los métodos de autenticación Acceso Anónimoy Autenticación de Windows Integrada.

Aunque esta configuración predeterminada función bien para clientes que seconectan al servidor (leen contenidos de una pagina Web y ejecutan archivosde comando), no funciona bien con clientes que publiquen en un directorio ymanipulen archivos de ese directorio.

Control de Acceso

Es posible controlar el acceso al directorio WebDAV coordinando IIS con lospermisos de Windows 2000. La manera de configurar los permisos Web se basaen el propósito del material que se publique.

Combinaciones de permisos:

Lectura, Escritura y Examinar Directorios (activados): la activación de estospermisos permite que los clientes vean una lista de recursos, los modifiquen(excepto por los recursos sin permisos de Escritura), publiquen sus propiosrecursos y manipulen archivos.

Escritura (activado), Lectura y Examinar Directorios (desactivados): si se deseaque los clientes publiquen información privada en el directorio, pero que los demasclientes no puedan visualizarla, solo hay fijar el permiso de Escritura (activado),pero no los permisos de Lectura y Examinar Directorios que deben estardesactivados.

Lectura, Escritura (activados) y Examinar Directorios (desactivado): hay que fijaresta configuración si se quiere confiar en la ocultación de los nombres de archivocomo método de seguridad. Sin embargo, hay que tener en cuenta que la seguridadpor ocultación es un método preventivo muy débil, ya es posible encontrar elnombre del archivo.

Indizar este recurso (activado): hay que asegurarse de habilitar el Servicio deIndex Server si se tiene previsto permitir a los clientes buscar en los recursos dedirectorio.

Denegación de servicio

Si se arrastran y sueltan archivos muy grandes en el directorio WebDAV, es posibleque se ocupe una cantidad excesiva del espacio en el disco. Para limitar estacantidad hay que considerar la posibilidad de establecer cuotas de disco para losusuarios.

Nota

Al colocar el parámetrodesactivado en elpermiso Examinar

Directorios, se deniega elacceso a exploradoresW eb que intentenconectarse con eldirectorio W ebDAV


Clase práctica 18

Instalación y configuración de Internet Information Server(en el Servidor Independiente)

Ejercicio 1:

Para esta práctica se necesitará al servidor MGP-SRV01 (configurado con todos los servicios delas prácticas anteriores), el servidor MGP-SRV03 y el equipo MGP-WST01





componentes de Windows· Servicios de Internet Information Server (IIS) (doble clic) à Despliega la ventana de

servicios de Internet Information Server· Marcar las opciones que se indican a continuación haciendo clic en el casillero en

blanco (el resto de las opciones dejarlas desmarcadas): à Selecciona los sub-componentes a instalar de IIS

· Archivos comunes à Archivos necesarios para varios componentes· Complemento de Servicios de Internet Information Server à Interfaz

administrativa de IIS· Documentación· Extensiones de servidor de FrontPage 2000 à permite la edición y administración

con FrontPage y VisualInterDev· Servidor de Protocolo de transferencia de archivos (FTP) à habilita la

compatibilidad con el protocolo de transferencia de archivos· Servidor World Wide Web à habilita el servidor Web

· Botón «Aceptar» (clic)· Botón «Siguiente» (clic) à Comenzar proceso de instalación (es posible que pida el CD



Mediante la realización de esta práctica usted comprenderá el funcionamiento de los servicios depublicación Web de Windows 2000 Server, mediante la utilización y configuración de IIS 5.0


Servidores de Servicios de Información de Internet en Windows 2000 Server (IIS 5.0)308

Ejercicio 2:

Para este ejercicio se supondrá que el alumno tiene los conocimientos necesarios como pararealizar una copia de archivos de un diskette a una carpeta.


· Icono «Mi PC» (doble clic)· Disco local (C:) (doble clic)· Carpeta «Inetpub» (doble clic) à Ingresar a la carpeta asociada a los servicios de

Internet· Carpeta «wwwroot» (doble clic) à Ingresar a la raíz de servicios Web· Menú «Archivo» (clic)· Nuevo (clic)· Carpeta (clic) à Crear una nueva carpeta· Colocar «MegaPack» (sin las comillas) como nombre de la nueva carpeta y presionar la

tecla ENTER à Establece MegaPack como nombre de la nueva carpeta· En este momento deberá copiar en la carpeta MegaPack los archivos de la aplicación de

demostración que el Instructor le entregará.

Ejercicio 3:


· Icono «Mi PC» (clic con el botón derecho del mouse)· Propiedades (clic) à Acceder a las propiedades de Mi PC· Solapa «Identificación de red» (clic)· Botón «Propiedades» (clic) à Acceder a las propiedades de Identificación de red· Dominio: (clic)· Colocar «megapack» en el cuadro de texto «Dominio:» y presionar la tecla ENTER à

Agregar el equipo al dominio megapack· Establecer la siguiente configuración:

§ Nombre: Supervisor§ Contraseña: MgP393pDC

· Botón «Aceptar» (clic) à Usar las credenciales del supervisor para agregar el equipo aldominio

· Botón «Aceptar» (clic) à Cerrar la ventana de bienvenida al dominio· Botón «Aceptar» (clic) à Cerrar la ventana de Información· Botón «Aceptar» (clic) à Cerrar la ventana de propiedades del sistema· Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo à Es

necesario reiniciar para que se tengan en cuenta los cambios

Ejercicio 4:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar sesión como Supervisor).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Administrador de servicios de Internet (clic) à Ejecuta la consola de

Administración de servicios de Internet· mgp-srv03 (doble clic)· mgp-srv03 (clic con el botón derecho del mouse)· Nuevo (clic)· Sitio Web (clic) à Ejecuta el asistente para crear un sitio Web· Botón «Siguiente» (clic)· Colocar «Web MegaPack» (sin las comillas) en el cuadro de texto «Descripción:»· Botón «Siguiente» (clic)


Escriba la dirección IP para este sitio Web: 192.168.0.254Puerto TCP que debería usar este sitio Web: 80Encabezado del host para este sitio:

· Botón «Siguiente» (clic)· Colocar «C:\inetpub\wwwroot\megapack» (sin las comillas) en el cuadro de texto

«Ruta de acceso:» à Especifica cual será el directorio principal del nuevo sitioW eb

· Desmarcar la opción «Permitir accesos anónimos a este sitio Web à Solo se lepermitirá el acceso a los usuarios del dominio

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que se utilizarán los permisos por defecto

(Lectura, Ejecutar secuencias de comandos)· Botón «Finalizar» (clic) à Cerrar el asistente· Sitio Web predeterminado (clic con el botón derecho del mouse)· Detener (clic) à Detener el sitio Web predeterminado para que no genere con

flictos con el creado anteriormente· W eb MegaPack (clic con el botón derecho del mouse)· Solapa «Documentos» (clic)· Botón «Agregar» (clic) à Agregar un nuevo nombre de documento

predeterminado (que se utilizará para mostrar cuando no se especifique ningunapágina en la url)

· Colocar «MegaPack_Login.htm» (sin las comillas) en el cuadro de texto «Nombredel documento predeterminado:» y presionar la tecla ENTER

· Botón con flecha hacia arriba (clic 2 veces de manera que «MegaPack_Login.htm»quede en primer lugar)

· Botón «Aceptar» (clic) à Guardar configuración· Cerrar la consola de administración de servicios de Internet


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «www.megapack.com.ar» (sin las comillas) y presionar la tecla ENTER à Accede

al servidor Web localmente· Debido a que se especificó que no se permitían conexiones anónimas, aparecerá una

ventana que requerirá credenciales para poder acceder al sitio Web:§ Nombre de usuario: supadm§ Contraseña: AdM933sUP§ Dominio: megapack.com.ar

· Botón «Aceptar» (clic) à envía las credenciales para la autenticación· Cerrar el explorador de Internet


Ejercicio 1:



· Menú Inicio (clic)· Ejecutar (clic)· Colocar «www.megapack.com.ar» (sin las comillas) y presionar la tecla ENTER à

Accede al servidor Web· Debido a que se especificó que no se permitían conexiones anónimas, aparecerá una

ventana que requerirá credenciales para poder acceder al sitio Web:§ Nombre de usuario: supcob§ Contraseña: CoB546sUP§ Dominio: megapack.com.ar

· Botón «Aceptar» (clic) à envía las credenciales para la autenticación· Cerrar el explorador de Internet

Ejercicio 5:



· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Administrador de servicios de Internet (clic) à Ejecuta la consola de

Administración de servicios de Internet· mgp-srv03 (doble clic)· mgp-srv03 (clic con el botón derecho del mouse)· Nuevo (clic)· Sitio FTP (clic) à Ejecuta el asistente para crear un sitio FTP· Botón «Siguiente» (clic)· Colocar «FTP MegaPack» (sin las comillas) en el cuadro de texto «Descripción:»· Botón «Siguiente» (clic)


Escriba la dirección IP para este sitio FTP: 192.168.0.254Puerto TCP: 21

· Botón «Siguiente» (clic)· Colocar «C:\inetpub\wwwroot\megapack» (sin las comillas) en el cuadro de texto

«Ruta de acceso:» à Especifica cual será el directorio principal del nuevo sitioW eb

· Escritura (clic en el casillero en blanco para marcarlo)· Botón «Siguiente» (clic) à Establece que se utilizarán los permisos por defecto


(Lectura, Escritura)· Botón «Finalizar» (clic) à Cerrar el asistente· Sitio FTP predeterminado (clic con el botón derecho del mouse)· Detener (clic) à Detener el sitio Web predeterminado para que no genere

conflictos con el creado anteriormente· FTP MegaPack (clic con el botón derecho del mouse)· Propiedades (clic)· Solapa «Mensajes» (clic) à Configurar mensajes de bienvenida del servidor FTP


Bienvenida: Bienvenido/a al servidor FTP de MegaPack. Este servicio está pensado para laadministración Web, el uso indebido del mismo será registrado.Salida: Gracias por usar el servicio FTP de MegaPack

· Solapa «Cuentas de seguridad» (clic)· Permitir conexiones anónimas (clic para desmarcar)· Responder de manera afirmativa a la pregunta de si se desea continuar· Botón «Aceptar» (clic) à Guardar la nueva configuración· Cerrar la consola de administración de servicios de Internet

Ejercicio 6:


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «ftp://mgp-srv03.megapack.com.ar» (sin las comillas) y presionar la tecla ENTER

à Accede al servidor FTP localmente· Debido a que se especificó que nos e permitían conexiones anónimas, aparecerá una

ventana que requerirá credenciales para poder acceder al sitio Web:§ Nombre de usuario: supcob§ Contraseña: CoB546sUP

· Botón «Aceptar» (clic) à envía las credenciales para la autenticaciónPrestar atención a que no se puede iniciar sesión con el usuario supcob ya que por motivos deseguridad solo se le permite la modificación del sitio Web a los Administradores

· A continuación introducir las siguientes credenciales:§ Nombre de usuario: Supervisor§ Contraseña: MgP393pDC

· Cerrar el explorador de Internet

Ejercicio 2:



· Menú Inicio (clic)· Ejecutar (clic)


· Colocar «ftp://www.megapack.com.ar» (sin las comillas) y presionar la tecla ENTER àAccede al servidor FTP

· Debido a que se especificó que nos e permitían conexiones anónimas, aparecerá unaventana que requerirá credenciales para poder acceder al sitio Web:

§ Nombre de usuario: supadm§ Contraseña: AdM933sUP

· Botón «Aceptar» (clic) à envia las credenciales para la autenticaciónPrestar atención a que no se puede iniciar sesión con el usuario supadm ya que por motivos deseguridad solo se le permite la modificación del sitio Web a los Administradores

· A continuación introducir las siguientes credenciales:§ Nombre de usuario: Supervisor§ Contraseña: MgP393pDC

· Cerrar el explorador de Internet

314 Introducción al modelo básico de seguridad de Windows 2000 Server

INTRODUCCIÓN

El subsistema de seguridad de Windows 2000 está compuesto por un conjuntode componentes de seguridad que garantizan que los usuarios y aplicaciones nopuedan acceder a los recursos sin una identificación adecuada.

El subsistema de seguridad realiza el seguimiento de las directivas de seguridady las cuentas que se mantienen en cualquier sistema dado.

Las directivas y las cuentas guardadas en un controlador de dominio donde seencuentra instalado Active Directory, son las directivas y cuentas efectivas paraun dominio particular donde está localizado el controlador de dominio. Estasdirectivas y cuentas se encuentran almacenadas en Active Directory.


La autoridad de seguridad local es uno de los componentes centrales delsubsistema de seguridad. El LSA es responsable de la validación de todos losinicios de sesión de usuarios locales y remotos, generando los testigos de accesode seguridad y administrando la directiva local de seguridad, incluyendo el controlde la directiva de auditoria.

El LSA es también responsable de la escritura en el registro de eventos de losmensajes de auditoria que produce el Monitor de referencia de seguridad.

MONITOR DE REFERENCIA DE SEGURIDAD (SRM)

El monitor de referencia de seguridad, que se ejecuta en el núcleo de Windows2000, es responsable de forzar todas las validaciones de acceso y directivas deauditoría en la directiva local de seguridad. De esta manera, se evita el accesodirecto a los objetos por cualquier usuario o proceso, garantizando que cualquierprotección se proporcione de manera uniforme a los objetos del sistema.

El SRM trabaja en conjunto con el Administrador de objetos para validar el accesoa los objetos y generar los mensajes de auditoría que se requieren.

Cuando se requiere el acceso a un objeto, el SRM compara el contenido del ACLde los objetos con los contenidos del testigo de acceso del usuario. Si se permiteel acceso al objeto, el SRM asigna un identificador al proceso y este identificadorse utiliza para todas las peticiones similares de acceso, evitando la necesidadde comprobaciones de acceso futuras.

DERECHOS DE USUARIO

Los derechos de usuario permiten a los usuarios realizar acciones específicas,como puede ser la realización de copias de seguridad de la información de losequipos. Los administradores asignan derechos específicos a las cuentas de

Introducción al modelo básico de seguridad de Windows 2000 Server

Clase teórica 19

DiccionarioLSA

Local SecurityA uthority - Autoridadde seguridad local.

S R M

Security R eferenceM onitor - Monitor dereferencia deseguridad


grupo y a las cuentas de usuario individuales.

Los derechos de usuario y los derechos de acceso difieren en que los derechosde usuario se aplican a los derechos designados de forma local a las cuentas deusuario, mientras que los derechos de acceso se aplican para asegurar objetos.

Es mejor administrar derechos de usuario basándose en las cuentas de grupo,ya que de esta manera se simplifica la tarea de administrar las cuentas de usuarioy garantiza que el usuario hereda de forma automática los derechos asociados aun grupo particular.

Existen dos tipos de derechos de usuario: privilegios y derechos de inicio desesión.

Privilegios

Un privilegio es el derecho de un usuario o cuenta de grupo para realizar unavariedad de operaciones relativas al sistema en un host local, como puede ser lacarga de controladores de dispositivos.

Los administradores del sistema pueden utilizar las herramientas administrativas,como el complemento «Directiva de seguridad local» bajo «Directivas locales»,para agregar, modificar o eliminar privilegios para cuentas de usuario y grupos.

Los privilegios y los derechos de acceso difieren en un par de formas:

Los derechos de acceso controlan en acceso a objetos asegurados, comoclaves de registro.Los privilegios controlan el acceso a recursos del sistema y tareas del sistema.

Mientras que un administrador de sistema asigna privilegios a usuarios y cuentasde grupo, los derechos de acceso se otorgan o deniegan a objetos asegurados.

Una base de datos de cuentas se encuentra guardada en la LSA local en cadasistema Windows 2000 que contiene los privilegios que mantienen las cuentasde usuario y grupo para ese equipo.

Cuando un usuario nuevo inicia sesión, el sistema produce un testigo de acceso,el cual contiene una lista de privilegios de usuario, incluyendo privilegios otorgadosa los grupos a los que pertenece el usuario. Estos privilegios se aplican solamenteal host local. Los administradores de dominio, pueden otorgar privilegios a las

Actividad

Definir LSA: Definir SRM:


cuentas de dominio en equipos diferentes en todo el dominio.

Cuando un usuario intenta realizar una operación privilegiada en el host local, elsistema comprueba el paso de testigo del usuario a fin de identificar si posee losprivilegios necesarios. Si el testigo de acceso muestra los privilegios necesarios,el sistema se asegura de que los privilegios están permitidos.

Derechos de inicio de sesión

Un derecho de inicio de sesión es un derecho de usuario que determina la formade iniciar la sesión de un usuario en el sistema. Los administradores de sistemapueden utilizar el complemento «Directivas de seguridad local» para administrarestos derechos.

Los derechos de inicio de sesión son los siguientes:

Acceder a este equipo desde la red: Este derecho permite al usuario iniciar lasesión en un host a través de la red. Los grupos Administradores, Todos y losUsuarios avanzados poseen este permiso de manera predeterminada.Iniciar sesión como un trabajo por lotes: De manera predeterminada, estederecho permite a los Administradores utilizando la facilidad de cola por lotes.Iniciar sesión como un servicio: Este derecho permite a un principal deseguridad iniciar la sesión en el host como un servicio para establecer uncontexto de seguridad. De manera predeterminada nadie tiene este derecho.Iniciar sesión localmente: Este derecho permite a los usuarios iniciar la sesiónde manera local en el teclado del host. Este permiso está otorgado de formapredeterminada al grupo Administradores, Operadores de cuenta, Operadoresde copia de seguridad, Operadores de impresión y Operadores de servidor.


La información de directiva local está guardada por el LSA en un conjunto deobjetos de directiva interna LSA. La directiva local de seguridad un número deobjetos:

Cuentas que tienen asignados privilegios.

El tipo de auditoria de seguridad a realizar en el sistema.

Las cuentas que tienen permitido el acceso al sistema y los derechos de

acceso permitidos, como puede ser iniciar la sesión como un servicio.

Las cuotas predeterminadas de memoria.


Hay que utilizar las directivas de grupo para especificar el entorno de usuario,para después dejar a Windows 2000 la labor de forzar el cumplimiento de estas.Un objeto de directiva de grupo no es un perfil, ya que no es una configuración deentorno que un usuario pueda cambiar. Los Administradores, administran y


mantienen las Directivas de grupo a través del complemento de edición dedirectivas de grupo o a través de la del complemento de «Usuarios y Equipos deActive Directory».

Cuando se configura las directivas de grupo en un sito u OU, todos sus usuariosy equipos se ven afectados. Las directivas de grupo no afectan a ningún objetoen el sitio, dominio u OU, especialmente en los grupos de seguridad.

IMPLEMENTACIÓN DE LAS FUNCIONALIDADES DE SEGURIDAD EN LOSSERVICIOS DEL SISTEMA

Un servicio es un programa, rutina o proceso que se ejecuta en segundo planoen un entorno Windows 2000 y realiza una función específica del sistema paraapoyar a otros programas.Los administradores pueden publicar los servicios en Active Directory cuando seproporcionan a través de una red, con lo que se simplifica la administración y lautilización del servicio.

Los servicios se ejecutan típicamente en la cuenta del sistema, pero se puedenejecutar también en una cuenta definida de usuario. Debe asegurarse de que losservicios se administran apropiadamente y que no representan riesgos deseguridad.

DiccionarioG P O

Group Policie Objet -Objeto de directivade grupo

AtenciónPara administrar servicios, se debe ser miembro del grupo de Administradores o de Operadores de Servidor.

Los servicios poseen tres opciones de inicio, se pueden iniciar automáticamentecuando el sistema inicia, pueden ser iniciados manualmente y parados por eladministrador o los operadores de servidor, o pueden ser deshabilitados.

La lista de servicios incluye de manera predeterminada, los siguientes serviciosrelativos a seguridad:

Servicio de certificado: Este servicio revoca y proporciona certificados X.509para cifrado de clave pública. Requiere el servicio de Almacenamientoprotegido.

Almacenamiento protegido: Este servicio evita el acceso por usuarios no

Nota

Los servicios críticossiempre deben estar

configurados para iniciarautomáticamente cuando

inicia el servidor.

Actividad

Definir directiva de seguridad local: Definir servicio de sistema:


autorizados, procesos o servicios, proporcionando almacenamiento protegidopara datos sensibles. Requiere el servicio Llamada a procedimiento remoto(RPC).

Registro de sucesos: Este servicio guarda los sucesos de seguridad quepuede ver el visor de sucesos.

Servicio de autenticación de Internet: Este servicio permite la autenticación,autorización y auditoria de usuarios VPN y de acceso telefónico (RRAS).Requiere el servicio RPC.

Agente de directiva IPSec: Este servicio inicia el controlador de seguridad IPy administra la directiva de seguridad de IP. Requiere el servicio RPC.

Centro de distribución de claves Kerberos: Proporciona autenticación cliente/servidor al generar claves de sesión y otorgar los ticket de servicio. Requieredel servicio RPC.

Netlogon: El servicio NetLogon localiza los controladores de dominio y realizaotras funciones de servicio de directorio, como ser la actualización de registrosde recursos de DNS para los controladores de dominio.

Proveedor de soporte de seguridad NTLM: Este servicio es necesario en lamayoría de los casos porque proporciona la seguridad para las aplicacionesde RPC que utilizan otros transportes diferentes a canalizaciones connombres.

Llamada a procedimiento remoto (RPC): Este servicio proporciona un númerode servicios, incluyendo asignación de puntos terminales. El almacenamientoprotegido, el servicio de autenticación de Internet, el agente de directivas IPSecy el centro de distribución de claves kerberos son sólo algunos de los serviciosque dependen de RPC.

Servicio RunAs: Este proceso trabaja conjuntamente con el programa Runasy permite a los usuarios iniciar procesos con credenciales alternativas.

Administrador de seguridad de cuentas: Este es el servicio que almacena lainformación de seguridad para las cuentas locales de usuario.

HERRAMIENTAS DE CONFIGURACIÓN DE SEGURIDAD

El conjunto de herramientas de configuración de seguridad permite el análisis delas siguientes áreas de seguridad:

Directivas de cuenta: Esto incluye la directiva de contraseñas, la directiva de

bloqueo la directiva de dominio kerberos.

Directivas locales: Incluye la directiva de auditoria, la asignación de derechos

de usuario y numerosos parámetros relevantes de operación.

Registro de eventos: Permite la configuración de los registros de eventos.


Grupos restringidos: Controlan los miembros de grupos específicos que tienen

capacidades importantes asignadas a los mismos.

Servicios del sistema: Permite la configuración de la seguridad en diferentes

servicios que han sido instalados, incluyendo las opciones de inicio y el control

de acceso de esos servicios.

Almacenamiento del sistema de archivos: Permite la configuración de la

seguridad para los volúmenes de archivo del sistema local y los árboles de

directorio.

Las configuraciones de seguridad se guardan en archivos de planilla de texto conextensión .inf, la configuración del conjunto de herramientas permite analizar lainformación que contienen.

Esta arquitectura es compatible con la creación de nuevas secciones, permitiendoespecificar y analizar nuevas áreas de seguridad a medida que evoluciona elsistema. Las planillas de seguridad predefinidas se incluyen como punto de partidapara las directivas de seguridad personalizadas.

COMPLEMENTOS DE CONFIGURACIÓN DE SEGURIDAD

Los complementos de configuración de seguridad, componen el núcleo de lasherramientas de configuración de seguridad, que funciona en cada sistemaWindows 2000 y se utilizan para establecer todas las configuraciones deseguridad y los análisis de funcionalidad.

Complemento de plantillas de seguridad

Este complemento de MMC permite crear, editar y guardar las configuracionesde seguridad en una plantilla de seguridad.

La plantilla de seguridad puede ser importada mas tarde en el complemento«Configuración y análisis de seguridad».

Complemento Configuración y análisis de seguridad

Este complemento de MMC permite importar una o más plantillas de seguridaden la base de datos. Puede aplicar esta base de datos al equipo o utilizarla paraanalizar la configuración del sistema contra la configuración compuesta que estaguardada en la base de datos.

Actividad

Definir servicio Netlogon: ¿En qué formato se guarda la planilla de seguridad?


Extensión de configuraciones de seguridad al editor de Directiva de grupos

Este complemento extiende el editor de Directiva de grupo (el complementoDirectiva de grupo) y permite definir las configuraciones de seguridad como partede un GPO. Puede asignar después estas GPO a equipos específicos, dominiosu otras OU cuyo ámbito describe Active Directory, de manera que los cambiosse puedan propagar a todos los equipos dentro del ámbito.

Estas máquinas importan entonces la directiva de la base de datos de directivasdel equipo local. La propagación de directiva se realiza de manera periódica paragarantizar que el sistema se una a la directiva asignada.

Plantillas de seguridad, bases de datos y directivas

El servicio de configuración de seguridad confía en la presencia deconfiguraciones de seguridad, bases de datos de seguridad y plantillas deseguridad para definir la seguridad del sistema y de la OU.

Plantillas de seguridad

Las plantillas de seguridad son archivos de texto que incluyen configuracionesde seguridad para cualquiera de las áreas de seguridad que se listan acontinuación:

Directivas de seguridad: Estas directivas cubren áreas de seguridad deusuarios y sus cuentas. Los controladores de dominio reciben sus directivasde grupo de la directiva de grupo predeterminada incluso si hay directivas degrupo especificas para los controladores de dominio de la OU. Esto se debea que un dominio puede tener una sola directiva de cuenta para todas lascuentas de dominio y esa directiva de dominio se fuerza por parte de loscontroladores de dominio en el dominio. Las directivas de dominio incluyenlas siguientes áreas:

Directiva de contraseña: Esta directiva incluye las restriccionessobre la longitud de las contraseñas. Se puede modificar estadirectiva para que cumpla los requerimientos de una organización.Se Puede también configurar estos requerimientos para que losusuarios utilicen contraseñas complejas que puedan evitar quelas vuelvan a utilizar o variantes de contraseñas simples.Directiva de bloqueo de cuenta: Esta directiva proporciona lasreglas de bloqueo de cuentas, incluyendo la duración,reinicialización por tiempo o por el administrador. Es posibleconfigurar las cuentas de usuario para que se bloqueen despuésde un determinado número de intentos fallidos de inicio de sesión,además se puede especificar la duración del bloqueo.Directiva de kerberos: Esta directiva gobierna las configuracionesde seguridad para la autenticación kerberos, tales como lasconfiguraciones para los tiempos de vida del ticket kerberos. Lasconfiguraciones de kerberos se aplican a todo el dominio y sefuerzan por parte de los controladores de dominio. Las


Actividad

configuraciones de kerberos se define en el GPO delcontrolador de dominio.

Directivas Locales: Estas directivas incluyen las siguientes áreas deseguridad sobre el host local donde se configuran:

Directiva de auditoria: Windows 2000 puede guardar unavariedad de eventos de seguridad que van desde eventos delsistema a acceso a archivos locales. Esta área contiene todaslas configuraciones de la directiva de auditoria. Lasconfiguraciones de auditoria específica se configuran en otrasáreas.Asignación de derechos de usuario: Es posible especificarderechos específicos para cuentas de usuario y grupos deseguridad con estas configuraciones, incluyendo los derechospara usuarios y grupos para realizar una variedad de tareasrelativas a seguridad.Opciones de seguridad: Una amplio rango de opciones deseguridad se controlan a través de claves específicas de registroy gobiernan aspectos diversos como pueden ser el mensaje debienvenida, el mensaje de bloqueo del servidor y el derecho deexpulsar dispositivos con formato NTFS.

Registro de eventos: Maneja la configuración de los registros de eventos,incluyendo las configuraciones del tipo de tamaño máximo del registro odirectiva de sobrescritura del registro.Grupos restringidos: Permite controlar a los administradores quien debepertenecer o no a un grupo determinado. Cuando se aplica una directiva derestricción de grupo a un host, solo los grupos restringidos que son localesal host se configurarán.Registro: Permite configurar los permisos otorgados a las claves de registro.Se puede especificar también las clases de acceso para las que se requiereque haya auditoria.Sistema de archivos: Permite la configuración de los permisos otorgados alos objetos del sistema de archivos (carpetas, sub-carpetas y archivos), puedetambién especificar las clases de acceso para las que se quiere realizarauditoria.

Definir directivas de seguridad: Definir directivas locales:


Plantillas de seguridad pre-definidas

Windows 2000 incluye plantillas de seguridad pre-definidas. Estas se dividen endos categorías: Plantillas básicas e incrementales.

Plantillas básicas

Las plantillas básicas especifican configuraciones predeterminadas de seguridadde Windows 2000 para todas las áreas de seguridad con la excepción de losderechos de usuario y de grupos, y se encuentran diseñadas para invertir loscambios de la seguridad del sistema en el caso de que se alcancencomportamientos no deseados al aplicarlas.

Nota

Nos recomienda laaplicación de plantillasde seguridad en unequipo con un rol

importante en el dominio,sin antes verificar elfuncionamiento de la

plantilla de seguridad enun entorno de pruebas.

Basicwk.inf

Basicsv.inf

Basicdc.inf

OCFiless.inf

OCFilesw.inf

Plantilla Equipo destino

Para equipos con Windows 2000 Professional o XP Professional.

Para equipos con Windows 2000 Server.

Para controladores de dominio con Windows 2000 Server.

Para servidor miembro o independiente, no controladores de dominio.

Para equipos con Windows 2000 Professional o XP Professinal.

La modificación de derechos de usuario y grupos no se encuentra afectada y semodifica a menudo por parte de aplicaciones para permitir la ejecución satisfactoriade las aplicaciones por niveles diferentes de usuarios. No es el objeto de lasplantillas básicas invertir esos cambios.

Las plantillas OCFiles contienen las configuraciones predeterminadas deseguridad para todos los archivos de componentes opcionales que pueden o noinstalarse durante o después de la instalación.

Plantillas incrementales

Windows 2000 incluye también plantillas para modificar las configuracionespredeterminadas de seguridad. Esto significa que estas plantillas están pensadaspara equipos que ya están funcionando con configuraciones de seguridadpredeterminadas. No incluyen las configuraciones predeterminadas más lasmodificaciones.

Compatws.inf

Esta plantilla es para estaciones de trabajo y servidores. Los permisos de accesopredeterminados de Windows 2000 están asignados para tres grupos principales:Usuarios, Usuarios Avanzados y Administradores.

Los permisos predeterminados para el grupo Usuarios han sido basados

Nota

No todos los archivosespecificados en lasplantillas OCFilespueden existir en unsistema dado, puederecibir numerosos

mensajes de aviso en elarchivo de registro que

se genera en laconfiguración. Esto

indica que el archivo noexiste y que la seguridadno se pudo configurar en

el mismo.


estrechamente a versiones anteriores de Windows, adaptándolos a un entornode sistema operativo mas seguro. Sin embargo, esto puede provocar queaplicaciones no certificadas no funcionen correctamente. Para ejecutar la mayoríade las aplicaciones no certificadas en Windows 2000, los usuarios necesitaranser miembros del grupo Usuarios Avanzados.

Esta planilla disminuye los permisos para el grupo Usuarios de una maneraconsistente con los requerimientos de la mayoría de las aplicaciones propietarias.Se proporciona para aquellos clientes que no quieren que sus usuarios finalessean miembros del grupo Usuarios Avanzados.

AtenciónLas aplicaciones certificadas se precisa que se ejecuten correctamente en un contexto de usuario y, por lotanto, permiten a los clientes asegurar sus sistemas sin sacrificar la compatibilidad de sus aplicaciones.

Securews.inf y Securedc.inf

Securews.inf (para estaciones de trabajo y servidores) y Securedc.inf (paracontroladores de dominio), proporcionan mayor seguridad para áreas del sistemaoperativo que no están cubiertas por los permisos de acceso predeterminados,incluyendo las configuraciones de incremento de seguridad para las directivas deCuenta, Auditoria y algunas claves de registro bien conocidas por su relevanciaen seguridad.

Las listas de control de acceso (ACL) no se modifican por la configuración deseguridad, ya que asumen que las configuraciones de seguridad predeterminadasde Windows 2000 están en su lugar, por lo que las configuraciones seguraseliminan todos los miembros del grupo Usuarios Avanzados.

Hisecws.inf y Hisecdc.inf

Hisecws.inf (para estaciones de trabajo y servidores) y Hisecdc.inf (paracontroladores de dominio), proporcionan incrementos de seguridad sobre unaconfiguración segura, fundamentalmente para los parámetros que afectan a losprotocolos de comunicación de red. Por lo tanto, se debería utilizar esta plantillaen entornos exclusivos de Windows 2000 nada más, y debería ser aplicada entodos los host de dominio de este tipo.

Actividad

Nota

Esta plantilla de altaseguridad también

cambia los permisos deacceso para que el grupoUsuarios Avanzados seaequivalente al grupoUsuarios. Esto haceesencialmente que

cualquier usuario finalpueda ser Usuario oAdministrador

Definir planilla básica: Definir planilla incremental:



El motor de configuración de seguridad utiliza bases de datos. No es concientede la existencia de planillas de seguridad, por lo tanto debe importar informaciónde las planillas en la base de datos antes de que el Motor de configuración deseguridad pueda configurar o analizar un sistema.

El complemento «Configuración y análisis de la seguridad», permite crear unabase de datos e importar cualquier número de plantillas en la misma antes derealizar cualquier configuración o análisis.Nota

Las directivas se guardan en una base de datosespecial que se encuentra ubicada en

%windir%\security\database\secedit.sdb


Clase práctica 19

Instalación de Service Packs y Seguridad básica del Sistema

Ejercicio 1:

Para esta práctica se supondrá que el alumno dispone de un cd-rom conteniendo el Service Pack4 para Windows 2000.

En el Servidor 1 (MGP-SRV01):


· Icono «Mi PC» (doble clic)· (D:) (doble clic) à Acceder a la unidad de CD-ROM (la letra de unidad puede variar)· Icono «w2ksp4_es» (doble clic) à Ejecutar el programa de instalación del Service Pack

4 para Windows 2000 en español (procederá a descomprimir los archivos necesarios)· Botón «Siguiente» (clic)· Acepto (clic) à Aceptar el contrato de licencia· Botón «Siguiente» (clic)· No guardar archivos (clic) à Especifica que no se desea hacer copia de seguridad de los

archivos de sistema existentes· Botón «Siguiente» (clic) à Mientras se instala el SP4 buscar en la unidad C: una carpeta

del tipo «92f1a08» (o similar), ingresar en ella y copiar la carpeta I386 al directorio raízde la unidad C: (de esta manera ya se dispone de los archivos del SP4 descomprimidospara poder utilizarlos sobre la red)

· Botón «Finalizar» (clic) à Cerrar asistente y reiniciar el equipoUna vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER

Una vez en el escritorio se procederá de la siguiente manera para verificar la actualización:

Icono «Mi PC» (clic con el botón derecho del mouse)Propiedades (clic)Verificar que en el apartado «Sistema:» diga lo siguiente»

Microsoft Windows 20005.00.2195Service Pack 4· Botón «Aceptar» (clic) à Cerrar propiedades de Mi PC

Mediante la realización de esta práctica usted podrá adentrarse en los conceptos básicos de seguridaddisponibles en Windows 2000 Server, así como también realizar tareas relativas a la seguridad en undominio mediante la configuración de permisos y derechos a objetos de Active Directory.


Introducción al modelo básico de seguridad de Windows 2000 Server326

Ejercicio 2:


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «mmc» (sin las comillas) en el cuadro de texto y presionar la tecla ENTER à

Ejecuta una consola· Menú «Consola»(clic)· Agregar o quitar complemento… (clic) à Desplegar la ventana para agregar o quitar

complementos de consola· Botón «Agregar» (clic)· Directiva de grupo (doble clic) à Seleccionar el complemento «Directiva de grupo»· Botón «Finalizar» (clic)· Botón «Cerrar» (clic) à Cerrar la ventana «Agregar o quitar complemento independiente»· Botón «Aceptar» (clic) à Volver a la consola· Directiva Equipo local (doble clic)· Configuración de usuario (clic)· Plantillas administrativas (doble clic)· Componentes de Windows (doble clic)· Internet Explorer (doble clic)· Del panel de la derecha seleccionar la opción «Deshabilitar el cambio de configuración

de las restricciones» y hacerle doble clic· Habilitada (clic) à Impide a los usuarios cambiar las clasificaciones que ayudan a

controlar el tipo de contenido de Internet que se puede ver· Botón «Aceptar» (clic)· Panel de control de Internet (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar página Seguridad» y hacerle

doble clic· Habilitada (clic) à Quita la ficha Seguridad de la interfaz en Opciones de Internet· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar página Contenido» y hacerle

doble clic· Habilitada (clic) à Quita la ficha Contenido de la interfaz en Opciones de Internet· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar página Conexiones» y hacerle

doble clic· Habilitada (clic) à Quita la ficha Conexiones de la interfaz en Opciones de Internet· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar página Programas» y hacerle

doble clic· Habilitada (clic) à Quita la ficha Programas de la interfaz en Opciones de Internet· Botón «Aceptar» (clic)· Menús del explorador (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar la opción Guardar este

programa en disco» y hacerle doble clic· Habilitada (clic) à Impide a los usuarios guardar un programa o un archivo de Internet

Explorer al disco rígido· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar el menú contextual» y

hacerle doble clic· Habilitada (clic) à Impide que aparezca el menú contextual cuando los usuarios hacen

clic con el botón derecho mientras utilizan Internet Explorer


· Botón «Aceptar» (clic)· Explorador de Windows (doble clic)· Del panel de la derecha seleccionar la opción «Ocultar estas unidades específicas en Mi

PC» y hacerle doble clic· Habilitada (clic)· Seleccionar la opción «Restringir sólo las unidades A y B» de la lista desplegable «Elegir

una de las siguientes combinaciones»· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Quitar «Conectar a unidad de red» y

«Desconectar de unidad de red»» y hacerle doble clic· Habilitada (clic) à Impide a los usuarios conectarse o otros equipos o cerrar conexiones

abiertas· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Oculta el elemento Administrar del menú

contextual del Explorador de Windows» y hacerle doble clic· Habilitada (clic) à Oculta el elemento Administrar del menú contextual que aparece

cuando se hace clic con el botón derecho del mouse sobre el icono «Mi PC»· Botón «Aceptar» (clic)· Microsoft Management Console (doble clic)· Complementos restringidos/permitidos (clic)· Del panel de la derecha seleccionar la opción «Usuarios y equipos de Active Directory» y

hacerle doble clic· Deshabilitada (clic) à Prohíbe que se utilice este complemento· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Dominios y confianzas de Active Directory»

y hacerle doble clic· Deshabilitada (clic) à Prohíbe que se utilice este complemento· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Administración de equipos» y hacerle

doble clic· Deshabilitada (clic) à Prohíbe que se utilice este complemento· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Administrador de dispositivos» y hacerle

doble clic· Deshabilitada (clic) à Prohíbe que se utilice este complemento· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Administración de discos» y hacerle doble

clic· Deshabilitada (clic) à Prohíbe que se utilice este complemento· Botón «Aceptar» (clic)· Menú Inicio y barra de tareas (clic)· Del panel de la derecha seleccionar la opción «Quitar el menú Buscar del menú Inicio» y

hacerle doble clic· Habilitada (clic) à Quita el elemento buscar del menú Inicio y deshabilita algunos

elementos de búsqueda del Explorador de Windows· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Agregar cierre de sesión al menú Inicio» y

hacerle doble clic· Habilitada (clic) à Agrega un elemento para cerrar sesión en el menú Inicio· Botón «Aceptar» (clic)· Del panel de la derecha seleccionar la opción «Deshabilitar menús contextuales para la

barra de tareas» y hacerle doble clic· Habilitada (clic) à Deshabilita el menú contextual que aparece cuando se hace clic con

el botón derecho sobre la barra de tareas· Botón «Aceptar» (clic)· Cerrar la consola (hacer clic en el icono con forma de «X» que se encuentra en la

Introducción al modelo básico de seguridad de Windows 2000 Server328

esquina superior derecha de la ventana)· Botón «Si» (clic)· Colocar «Directivas» (sin las comillas) como nombre de la nueva consola y presionar la

tecla ENTERReiniciar el equipo para verificar los cambios al Internet Explorer, Menú inicio y Explorador deWindows

Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio proceder de la siguiente manera:

· Menú Inicio (clic)· Ejecutar (clic)· Colocar \\mgp-srv01\c$\i386\update\update.exe (sin las comillas) y presionar la tecla

ENTER à Ejecuta el asistente de instalación del SP4 que se copió en el ejercicioanterior sobre el servidor MGP-SRV01

· Botón «Siguiente» (clic)· Acepto (clic) à Aceptar el contrato de licencia· Botón «Siguiente» (clic)· No guardar archivos (clic) à Especifica que no se desea hacer copia de seguridad de

los archivos de sistema existentes· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Cerrar asistente y reiniciar el equipo

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER


· Icono «Mi PC» (clic con el botón derecho del mouse)· Propiedades (clic)· Verificar que en el apartado «Sistema:» diga lo siguiente:

Microsoft Windows 20005.00.2195Service Pack 4· Botón «Aceptar» (clic) à Cerrar propiedades de Mi PC

Ejercicio 1:




Una vez en el escritorio proceder de la siguiente manera:

· Menú Inicio (clic)· Ejecutar (clic)· Colocar \\mgp-srv01\c$\i386\update\update.exe (sin las comillas) y presionar la tecla

ENTER à Ejecuta el asistente de instalación del SP4 que se copió en el ejercicioanterior sobre el servidor MGP-SRV01

· Botón «Siguiente» (clic)· Acepto (clic) à Aceptar el contrato de licencia· Botón «Siguiente» (clic)· No guardar archivos (clic) à Especifica que no se desea hacer copia de seguridad de

los archivos de sistema existentes· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Cerrar asistente y reiniciar el equipo



· Icono «Mi PC» (clic con el botón derecho del mouse)· Propiedades (clic)· Verificar que en el apartado «Sistema:» diga lo siguiente:

Microsoft Windows 20005.00.2195Service Pack 4

· Botón «Aceptar» (clic) à Cerrar propiedades de Mi PC

330 Servicios de Terminal Server en Windows 2000 Server

INTRODUCCIÓN

Servicios de Terminal Server de Windows se introdujo para Microsoft WindowsNT 4 Server con la edición independiente Terminal Server Edition, pero enWindows 2000 es un componente integrado en todos los servidores de Windows2000.

Servicios de Terminal Server de Windows se puede utilizar como mecanismopara la gestión y el control de los servidores desde cualquier ubicación remota oaprovechar su capacidad como servidor de aplicaciones para simplificarenormemente la implantación y el mantenimiento de un amplio rango deaplicaciones para una población de usuarios heterogénea.

Terminal Server es un concepto nuevo para muchos administradores de sistemasque esperan que los sistemas sean, básicamente, de un solo usuario. Aporta aWindows capacidad multiusuario verdadera. Los sistemas UNIX han sido, demanera tradicional, principalmente sistemas multiusuario, con un único servidorde gran tamaño que atiende a muchas terminales.

Cada usuario que se conecta a un servidor de Windows 2000 mediante TerminalServer, utiliza en realidad los recursos del servidor, no los de la estación detrabajo concreta en la que se halla trabajando.

Cada usuario obtiene su propia sesión de Terminal Server, y cada sesión estácompletamente aislada de las demás sesiones del mismo servidor. Un programaque falle en una sesión puede hacer que el usuario de esa sesión tenga unproblema, pero ello no afecta a los demás usuarios.

Cada usuario que se conecta a un servidor mediante Terminal Server, actúarealmente como una terminal de ese servidor. Terminal Server soporta comoterminales una amplia variedad de sistemas operativos: desde hosts con pantallapero sin disco, que ejecutan Windows CE completamente en la memoria, hastaestaciones de trabajo de Microsoft Windows 95/98 o servidores de Windows2000.

La terminal sólo es responsable de las funciones de la consola real: es decir, elteclado, el mouse y la pantalla. Todo lo demás reside en el servidor y es parte delmismo.

ACCESO REMOTO

Terminal Server ofrece la solución ideal para el usuario móvil que necesita poderejecutar aplicaciones que hacen un uso intensivo de la red o del procesadorincluso a través de conexiones de acceso telefónico. Como el host local sólo esresponsable de la consola real, los requisitos de respuesta y de ancho de bandason sustancialmente menores que a la hora de intentar ejecutar las aplicacionesa través de la línea telefónica.

SERVICIOS DE TERMINAL SERVER EN WINDOWS 2000 SERVER

Clase teórica 20

Nota

El usuario no depende dela velocidad de la

estación de trabajo, sinoque, en realidad,

comparte el procesador,la RAM y los discosrígidos del servidor.



Como todas las aplicaciones de una sesión de Terminal Server se ejecutan en elservidor, la gestión de las sesiones y de las aplicaciones se simplificaenormemente. Sólo hay que llevar a cabo una vez los cambios en las aplicacioneso en las configuraciones, y todas las sesiones de Terminal Server los ven.

Además, permite a los administradores ver lo que sucede en las sesiones de losusuarios o, incluso, controlarlas directamente. Se puede ver realmente lo que veel usuario, sin necesidad de desplazarse.

Al configurarse en el modo de administración remota, puede utilizarse tambiéncomo herramienta de gestión. Al activarse en este modo, los administradorespueden iniciar directamente una sesión en servidor desde sus host para llevar acabo el mantenimiento normal del sistema sin tener que desplazarse hasta laconsola del servidor.

PLANIFICACIÓN DE LA INSTALACIÓN DE TERMINAL SERVER

Terminal Server puede instalarse en cualquier máquina que soporte Windows2000 Server. Necesita aproximadamente 14 MB de espacio adicional en el discopara albergar los archivos de instalación del cliente, pero no necesita ningúnespacio adicional para el sistema operativo. No obstante, los requisitos realesson sustancialmente más elevados para las máquinas que se vayan a utilizarcon Terminal Server en modo servidor de aplicaciones. Dado que cada usuarioejecutará sus programas en el servidor, hay que determinar exactamente el modoen que trabajarán los usuarios y sus necesidades reales.

Cada instalación será diferente, pero se pueden facilitar algunas directrices paraayudar a dimensionar adecuadamente el servidor.

Consideraciones para la memoria RAM del Servidor

Cada sesión del servidor de Terminal Server utiliza un mínimo de unos 20 MB deRAM sólo para el inicio de sesión. A esto hay que añadirle la RAM necesaria paraejecutar los programas que cada sesión inicie. Un usuario normal que utiliceMicrosoft Outlook, Microsoft Word y Microsoft Excel mientras se conecta a Internetutilizará aproximadamente 40 MB de RAM, es decir, unos 20 MB más de lo quenecesita la propia sesión.

Nota

Terminal Server proveeuna extensión a las

capacidadesadministrativas de losadministradores, comopor ejemplo la activacióndel control directo detodos los servidores sinnecesidad de abandonarel host actual de trabajo.

Nota

Los usuarios avanzadospueden llegar a utilizarfácilmente el doble dememoria, mientras quelos desarrolladores yotros usuarios extremospueden necesitar todavía

más.

Actividad

Definir terminal server: Marcar con x según corresponda:

¿Qué cantidad de memoria RAM utiliza un inicio desesión de terminal server en el servidor?

20 MB ( )

40 MB ( )

60 MB ( )

8 MB ( )


Consideraciones para la velocidad de CPU del servidor

La predicción exacta de la potencia de CPU que se necesitará por usuario esdifícil, dado que cada usuario tiene un conjunto de aplicaciones diferente. Peroun procesador Pentium III a 800 MHz debería poder soportar entre quince y treintausuarios, en función del tipo de usuario y suponiendo que se dispone de suficienteRAM como para evitar un exceso de paginación.

Consideraciones para los requerimientos de red del servidor

El uso típico de la red depende del tipo de cliente y de la cantidad de gráficos quese transmitan (hace falta mucha menos ancho de banda para soportar unaconexión de 800x600 que para soportar una conexión de 1280x1024), pero elancho de banda promedio por usuario se encuentra entre los 2 y los 6 Kbps.

Planificación de la capacidad de trabajo del servidor

Las cifras recién mencionadas deberían ofrecer un punto de partida para laplanificación de la implementación de Terminal Server, pero la capacidad finalque requiere la implementación depende de la situación concreta.

Estas cifras sólo deben utilizarse como punto de partida para la planificación. Sedebe crear un entorno de prueba que simule la implementación definitiva a menorescala con usuarios y aplicaciones reales para obtener los datos necesarios.

Algunos de los factores que desempeñan un papel importante en los requisitosde la implementación de Terminal Server son los siguientes:

Las aplicaciones que vayan a ejecutar los usuarios, es decir, si utilizan unaúnica aplicación dedicada o una amplia variedad de aplicaciones.Si los usuarios realizan una única tarea rutinaria o son usuarios que utilizanlos hosts como herramienta principal.Si los usuarios están conectados mediante LAN o constituyen una mezclade usuarios de WAN, LAN y computadoras portátiles.

Instalación de Terminal Server

Para instalar Terminal Server hay que seleccionar la opción Servicios de TerminalServer en el cuadro de diálogo Instalación de Windows 2000 Server durante lainstalación inicial de Windows 2000 Server, o añadir el servicio después de quela instalación de Windows 2000 Server esté completa, utilizando el Asistentepara componentes de Windows.

Si se decide añadir Servicios de Terminal Server después de la instalación inicial,no obstante, debe hacerse antes de instalar ninguna aplicación en el servidor sise piensa utilizar el servidor como servidor de aplicaciones. Si sólo se instalaTerminal Server en modo administrativo, el momento de la instalación es menosimportante, pero sigue siendo más conveniente añadir Servicios de Terminal


Actividad

Server inmediatamente después de la instalación inicial.

Instalación de Terminal Server durante la instalación inicial de Windows2000

Para instalar Terminal Server durante la instalación inicial de Windows 2000Server, hay que realizar una instalación que no suponga una actualización, amenos que se actualice una instalación de Windows NT 4.0 Terminal ServerEdition.

Si se realiza una instalación nueva se tiene la posibilidad de cambiar loscomponentes de Windows que se instalarán, hay que seleccionar Servicios deTerminal Server en la lista de componentes.

El componente Servicios de Terminal Server de Windows 2000 Server necesitaaproximadamente 14 MB de espacio en disco, pero esto es sólo para los archivoscreadores de la instalación cliente.

Terminal Server en sí no necesita espacio adicional para el sistema operativo.Sin embargo, cada usuario que se conecte mediante Servicios de Terminal Servernecesitará un mínimo de 400 KB de espacio en el disco para su perfil y el espaciode almacenamiento que utilice en el servidor.

Instalación de Terminal Server en un equipo con Windows 2000 Server

Terminal Server puede agregarse después de la instalación inicial de Windows2000 Server. Se puede utilizar el Asistente para configurar el servidor si se deseao, sencillamente, abrir «Agregar o quitar programas» en el Panel de Control. Encualquier caso, se debe instalar Servicios de Terminal Server cuando resultepráctico tras la instalación de Windows 2000.

INSTALACIÓN DE PROGRAMAS EN SERVIDORES TERMINAL SERVER

La instalación de programas en los servidores de Windows 2000 con TerminalServer instalado en modo de administración remota no se diferencia de lainstalación en servidores sin Terminal Server.

No se necesitan procedimientos especiales, modificaciones en el proceso deinstalación ni secuencias de comandos especiales para compatibilidad. Si la

Nota

Si la máquina en la quese va a instalar Serviciosde Terminal Server va aser también controladorde dominio se puedeinstalar Licencias deServicios de Terminal

Server.


¿Cuánto ocupa un perfil de usuario en terminal server?

400 Kb ( )

800 Kb ( )

1 Mb ( )

2 Mb ( )


¿Qué ancho de banda promedio utiliza una conexiónde usuario?

Entre 2 y 6 Kbps ( )




aplicación se va a instalar y a ejecutar en Windows 2000, se debe instalar yejecutar con Terminal Server instalado en modo de administración remota.

Por otra parte, la instalación de programas en servidores de Windows 2000 conTerminal Server instalado en modo de servidor de aplicaciones es un tema distinto.

Cuando se activa el modo servidor de aplicaciones, Windows 2000 sabe quedebe prepararse para tratar con varios usuarios que tendrán acceso a la mismaaplicación que se ejecutará simultáneamente en espacios de memoria diferentessin interferencias ni cruces.

Hay que seguir con precaución el procedimiento necesario para asegurar que laaplicación se instale correctamente y que funcione adecuadamente comoaplicación multiusuario.

ADMINISTRACIÓN DE TERMINAL SERVER

Terminal Server puede administrarse de manera centralizada y configurarse enel dominio desde una sola consola.

Se utilizan cuatro complementos principales para administrar los servidores ylos clientes de Terminal Server:

Administrador de Servicios de Terminal Server: Muestra y controla lasconexiones de todos los servidores de Terminal Server de la red.Configuración de Servicios de Terminal Server: Sólo se ejecuta de maneralocal en cada servidor de terminales; es un complemento de MMC que permitemodificar la configuración del servidor local de Terminal Server.Creador de clientes de Terminal Server: Crea discos de Cliente de TerminalServerLicencias de Servicios de Terminal Server: Gestiona las licencias de accesocliente para Terminal Server en el dominio o en el grupo de trabajo.

El complemento «Administrador de Servicios de Terminal Server (Tsadmin.exe)»es el principal mecanismo para la gestión de las diferentes conexiones con losservidores. Desde este complemento no sólo pueden verse los servidores determinales disponibles en la red, sino también los usuarios conectados a ellos,las sesiones que están activas y los protocolos que se están utilizando.

El complemento Administrador de Servicios de Terminal Server muestra todoslos servidores del dominio. De manera predeterminada sólo se conecta a unservidor a la vez, aunque se puede optar por conectarse con todos los servidoresdisponibles de manera simultánea.

Los íconos para la conexión activa actual, el servidor y el dominio se muestranen un color diferente (de manera predeterminada, verde). También se puedenver y gestionar los usuarios, las sesiones y los procesos agrupados por red,dominio, servidor o conexión, lo que ofrece una visión global de la informacióncrítica para la implantación de Terminal Server.

Nota

No todas lasaplicaciones se instalancon éxito y, de entre lasaplicaciones soportadasy que se instalan conéxito, algunas necesitan

procedimientosespeciales o la ejecución

de secuencias decomandos de

compatibilidad. Se debeconsultar la

documentación de cadaaplicación.


Actividad

Buscar servidores en todos los dominios

Se puede utilizar el complemento «Administrador de Servicios de TerminalServer» para identificar todos los servidores de la red que se hallan activos otodos los servidores de un dominio concreto.Para encontrar todos los servidores de un dominio, hay que pulsar con el botónderecho del mouse el nombre del dominio en el panel izquierdo del complemento«Administrador de Servicios de Terminal Server» y seleccionar Buscar servidoresen el dominio.

Para encontrar todos los servidores de la red, hay que pulsar con el botón derechodel mouse «Todos los servidores listados» y seleccionar Buscar servidores entodos los dominios.

Conectar a todos los servidores

Para gestionar los procesos, las sesiones y los usuarios conectados a un servidor,hay que conectar en primer lugar al servidor.

Para conectar con un servidor, hay que pulsar su icono con el botón derecho delmouse en el panel izquierdo del complemento «Administrador de Servicios deTerminal Server» y seleccionar Conectar.

Para conectar con todos los servidores de un dominio, hay que pulsar el nombredel dominio con el botón derecho del mouse en el panel izquierdo del complemento«Administrador de Servicios de Terminal Server» y seleccionar Conectar a todoslos servidores del dominio.

Para conectar con todos los servidores de la red, hay que pulsar el icono Todoslos servidores listados con el botón derecho del mouse y seleccionar Conectar atodos los servidores.

Gestión de las conexiones

Terminal Server permite examinar y gestionar cada una de las conexiones conlos servidores de terminales, incluidas las conexiones con inicio de sesión localque aparecen como sesiones de consola.

Desde cualquier sesión, que no sea de consola, que tenga los permisos

Describa los pasos para buscar todos los servidoresde un dominio:

¿Qué complemento se utiliza para administrar terminalserver?


suficientes se puede obligar a desconectar una sesión, restablecercompletamente una sesión, cerrar una sesión, ver el estado de la conexión,gestionar las sesiones de los usuarios, enviar mensajes a la pantalla de laconexión, utilizar el control remoto para asumir el control de una sesión en laconexión y conectar con cualquier otra sesión. También se puede utilizar elcomplemento «Administrador de Servicios de Terminal Server» para ver diversainformación sobre los procesos y sobre el estado de las conexiones con unservidor e, incluso, finalizar un proceso bloqueado.

Desconexión de la sesión

Cuando se desconecta una sesión continúan ejecutándose todos los programasde esa sesión, pero se dejan de transmitir a la terminal remota las entradas ysalidas de datos de la sesión. La desconexión de una sesión deja en su estadonormal los programas y los datos del usuario, lo que los protege de la pérdida dedatos. La desconexión de una sesión no libera memoria ni otros recursos delservidor, y la sesión sigue contabilizándose como sesión con licencia.

Reestablecer una sesión

Se puede restablecer una sesión si es la propia o se dispone del privilegio decontrol total para las sesiones. Cuando se restablece una sesión, se pierde todoel trabajo de esa sesión, los programas dejan de ejecutarse y se libera la memoria.

Cierre de una sesión

Se puede cerrar la sesión propia o la de otro usuario si se dispone del privilegiode control total. El cierre de una sesión libera los recursos que utilizaba y losdevuelve para su uso por otras conexiones

PROPIEDADES DE LAS CONEXIONES TERMINAL SERVER

Se puede utilizar el complemento «Configuración de Servicios de TerminalServer» para cambiar los valores de configuración de todas las conexiones deun servidor concreto.

Modo Terminal Server

Terminal Server puede distribuirse en el servidor en modo de administraciónremota o en modo de servidor de aplicaciones.

Como servidor de aplicaciones, el programa permite usar el escritorio de Windows2000 y las aplicaciones basadas en Windows más recientes a equipos quenormalmente no podrían ejecutar Windows.


Si se utiliza para la administración remota, Terminal Server proporciona accesoremoto para administrar el servidor desde prácticamente cualquier ubicación dela red.

Eliminación de carpetas temporales

Cuando se encuentra Habilitado, elimina de manera automática las carpetastemporales creadas en el servidor cuando el usuario cierra la sesión.

Utilización de carpetas temporales por sesión

De manera predeterminada, un servidor Terminal Server crea una carpeta temporalindependiente para cada sesión nueva en el servidor, lo que permite a los usuariosalmacenar archivos temporales individuales.

Para ahorrar espacio de disco, estas carpetas temporales se eliminanautomáticamente cuando el usuario cierra la sesión.

Licencia de conector de Internet

Esta licencia, que se adquiere por separado como licencia de complemento aTerminal Server, permite la conexión anónima simultánea de un máximo de 200usuarios a un servidor Terminal Server a través de Internet.

Resulta de utilidad en organizaciones que desean demostrar software basadoen Windows a usuarios de Internet sin volver a escribir aplicaciones basadas enWindows como aplicaciones basadas en Web.

CLIENTES DE TERMINAL SERVER

Se puede instalar y ejecutar el Cliente de Servicios de Terminal Server en cualquiercomputadora que ejecute Windows XP, Windows 2000, Windows NT 4, Windows95/98 o Windows para trabajo en grupo 3.11.

También se dispone de clientes especiales para otros sistemas operativos,incluidos Windows CE y MS-DOS, así como para cualquier cliente que pueda

Actividad


Terminal server crea una carpeta temporal paracada usuario ( )

Terminal server no crea una carpeta temporal parausuario ( )

Definir licencia de conector de Internet:


ejecutar Java. Algunos de estos clientes, no obstante, necesitan el uso delprotocolo ICA de Citrix MetaFrame.

Hay disponibles clientes reducidos especiales basados en Windows CE de variosfabricantes que permiten conectarse con servidores Terminal Server de Windows2000 sin necesidad de disco rígido: el sistema operativo base y el Cliente deServicios de Terminal Server se cargan en RAM.


Clase práctica 20

Instalación y configuración de Terminal Services

Ejercicio 1:

Para esta práctica se asume que el alumno cuenta con el cd-rom de instalación múltiple deWindows 2000 (Server, Advanced Server y Professional), además del servidor MGP-SRV01configurado con DNS, WINS y DHCP como en las prácticas anteriores. Además deberá estarinstalado office 2000, XP o 2003 (Al menos Word y Excel)

En el servidor 1 (MGP-SRV01):


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «appwiz.cpl» (sin las comillas) y presionar la tecla ENTER à Ejecuta el módulo

Agregar o quitar programas del Panel de Control· Botón «Agregar o quitar componentes de Windows» (clic)· Servicios de Terminal Server (clic en el casillero en blanco) à Selecciona los servicios

de Terminal Server para ser instalados· Botón «Siguiente» (clic)· Modo de administración remoto (clic) à Solo se permitirá a los administradores acceder

remotamente al servidor· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Cerrar el asistente· Botón «Si» (clic) à Reiniciar el equipo para que los cambios tengan efecto

Ejercicio 1:




Mediante la realización de esta práctica usted comprenderá el funcionamiento de los servicios deTerminal Server, además realizar las tareas previas a la implementación del servicio, tales como: instalar,configurar y administrar los servicios de Terminales.


Servicios de Terminal Server en Windows 2000 Server340

· Colocar «\\mgp-srv01\c$\archivos de programa\terminal services client\conman.exe»(sin las comillas) y presionar la tecla ENTER à Ejecuta el Administrador de conexionesde Terminal Server

· Menú «Archivo» (clic)· Conexión nueva… (clic) à Ejecutar el Asistente para Connection Manager de cliente· Botón «Siguiente» (clic)


§ Nombre de la conexión: Conexión a MGP-SRV01§ Nombre de servidor o dirección IP: 172.16.1.1

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que no se desea iniciar sesión automáticamente

(por motivos de seguridad)· 800x600 (clic)· Pantalla completa (clic)· Botón «Siguiente» (clic) à Establece que se desea una resolución de pantalla de

800x600 y que se muestre en pantalla completa· Habilitar compresión de datos (clic) à Comprimir los datos para que la transmisión sea

mas rápida· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que no se desea ejecutar ningún programa al

iniciar sesión en el equipo remoto· Botón «Siguiente» (clic) à Establece las opciones por defecto para el icono y el grupo

de programas al que será asignada la conexión· Botón «Finalizar» (clic) à Cerrar el asistente· Icono «Conexión a MGP-SRV01» (doble clic) à Iniciar una sesión de Terminal Server

con MGP-SRV01 (aparecerá en pantalla completa la interfaz de inicio de sesión de MGP-SRV01)

· Iniciar como «Supervisor» (sin las comillas)· Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTER


· Menú Inicio (clic)· Apagar… (clic)· Seleccionar la opción «Reiniciar» de la lista desplegable· Botón «Aceptar» (clic) à Reiniciar el equipo· Responder de manera afirmativa a la pregunta de si se desea continuar

En este momento se reiniciará el servidor MGP-SRV01. En este caso solo se optó por reiniciar elequipo pero se podría haber realizado cualquier tarea administrativa como por ejemplo agregarequipos, usuarios, crear, modificar o eliminar carpetas, etc.A continuación se deberá verificar que es lo que ocurre al intentar iniciar sesión con cualquierotro usuario que no pertenezca al grupo Administradores (por ejemplo supadm)

Ejercicio 3:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).


Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


Agregar o quitar programas del Panel de Control· Botón «Agregar o quitar componentes de Windows» (clic)· Licencias de Servicios de Terminal Server (clic en el casillero en blanco) à Selecciona

las licencias de servicios de Terminal Server para ser instaladas· Botón «Siguiente» (clic)· Modo de servidor de aplicaciones (clic) à Permite a los usuarios ejecutar remotamente

una o mas aplicaciones· Botón «Siguiente» (clic)· Permisos compatibles con los usuarios de servicios de Terminal Server (clic) à mayor

compatibilidad con aplicaciones (de lo contrario se aplicarian las restricciones para losusuarios de Windows 2000)

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic)· El dominio o grupo de trabajo (clic) à establece que la licencia de Terminal Services

estará disponible para todo el dominio· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Cerrar el asistente· Botón «Si» (clic) à Reiniciar el equipo para que los cambios tengan efecto

Ejercicio 2:



· Menú Inicio (clic)· Ejecutar (clic)· Colocar «\\mgp-srv01\c$\archivos de programa\terminal services client\conman.exe»

(sin las comillas) y presionar la tecla ENTER à Ejecuta el Administrador de conexionesde Terminal Server



· Nombre de la conexión: Conexión 2 a MGP-SRV01· Nombre de servidor o dirección IP: 172.16.1.1· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que no se desea iniciar sesión

automáticamente (por motivos de seguridad)· 800x600 (clic)· Pantalla completa (clic)· Botón «Siguiente» (clic) à Establece que se desea una resolución de

Servicios de Terminal Server en Windows 2000 Server342

pantalla de 800x600 y que se muestre en pantalla completa· Habilitar compresión de datos (clic) à Comprimir los datos para que la transmisión

sea mas rápida· Botón «Siguiente» (clic)· Iniciar el programa siguiente (clic)


§ Nombre de archivo y ruta de acceso al programa: c:\archivos deprograma\microsoft office\office11\excel.exe

§ Iniciar en: c:\archivos de programa\microsoft office\office11· Botón «Siguiente» (clic) à Establece que se desea ejecutar Excel al iniciar sesión en el

equipo remoto· Botón «Siguiente» (clic) à Establece las opciones por defecto para el icono y el grupo

de programas al que será asignada la conexión· Botón «Finalizar» (clic) à Cerrar el asistente· Icono «Conexión 2 a MGP-SRV01» (doble clic) à Iniciar una sesión de Terminal Server

con MGP-SRV01 (aparecerá en pantalla completa la interfaz de inicio de sesión de MGP-SRV01)

· Iniciar como «supadm» (sin las comillas)· Introducir «AdM933sUP» (sin las comillas) como contraseña y presionar la tecla ENTER

Observar que ya no aparece el escritorio de Windows sino directamente Excel y, al cerrar elprograma automáticamente se cierra la sesión

Ejercicio 3:


· Menú Inicio (clic)· Ejecutar (clic)· Colocar «\\mgp-srv01\c$\archivos de programa\terminal services client\conman.exe»

(sin las comillas) y presionar la tecla ENTER à Ejecuta el Administrador de conexionesde Terminal Server



· Nombre de la conexión: Conexión 3 a MGP-SRV01· Nombre de servidor o dirección IP: 172.16.1.1· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que no se desea iniciar sesión

automáticamente (por motivos de seguridad)· 800x600 (clic)· Pantalla completa (clic)· Botón «Siguiente» (clic) à Establece que se desea una resolución de pantalla

de 800x600 y que se muestre en pantalla completa· Habilitar compresión de datos (clic) à Comprimir los datos para que la transmisión

sea más rápida· Botón «Siguiente» (clic)


· Iniciar el programa siguiente (clic)


· Nombre de archivo y ruta de acceso al programa: c:\archivos deprograma\microsoft office\office11\winword.exe

· Iniciar en: c:\archivos de programa\microsoft office\office11· Botón «Siguiente» (clic) à Establece que se desea ejecutar Excel al iniciar

sesión en el equipo remoto· Botón «Siguiente» (clic) à Establece las opciones por defecto para el icono

y el grupo de programas al que será asignada la conexión· Botón «Finalizar» (clic) à Cerrar el asistente· Icono «Conexión 3 a MGP-SRV01» (doble clic) à Iniciar una sesión de

Terminal Server con MGP-SRV01 (aparecerá en pantalla completa la interfazde inicio de sesión de MGP-SRV01)

· Iniciar como «supcob» (sin las comillas)· Introducir «CoB546sUP» (sin las comillas) como contraseña y presionar la tecla ENTER

Observar que ya no aparece el escritorio de Windows sino directamente Word, y al cerrar elprograma automáticamente se cierra la sesión

344 Políticas de grupo en Windows 2000 Server

Políticas de grupo en Windows 2000 Sever

Clase teórica 21

Las políticas de grupo definen las configuraciones para usuarios y computadoras,para grupos de usuarios y computadoras. Se puede crear una configuraciónespecífica de escritorio para cualquier grupo particular de usuarios y computadorasal implementar el complemento del editor de políticas de grupo ManagementConsole (MMC). Estas configuraciones de políticas de grupo al crearlas seencuentran en el Objeto de políticas de grupo (GPO) que a su vez está asociadocon objetos seleccionados de Active Directory (AD) tales como sitios, dominios ounidades organizacionales.

CAPACIDADES DE POLÍTICAS DE GRUPO

El editor de políticas de grupo y sus extensiones es utilizado para definir opcionesde políticas de grupo para configuraciones de escritorios administradas paracomputadoras de usuarios. Con el editor de políticas de grupo es posibleespecificar configuraciones para:

Políticas de software. Se utilizan Políticas de software para controlarconfiguraciones de registro en el escritorio, incluyendo los componentes yaplicaciones del sistema operativo.Scripts (tales como el iniciar y apagar la computadora y conectarse ydesconectarse).Opciones de administración de software (por ejemplo, las aplicacionesdisponibles para usuarios y aquellas que aparecen en sus escritorios).Documentos y configuraciones de usuario (para implementación dearchivos y redireccionamiento de carpetas especiales).Configuraciones de seguridad (por ejemplo para computadoras locales,dominios y configuraciones de seguridad de red).

BENEFICIOS DE LAS POLÍTICAS DE GRUPO

Las políticas de grupo proporcionan las siguientes ventajas:

Capitalizan los servicios de Windows 2000 Active Directory: Las políticas de grupopermiten una administración centralizada o descentralizada de las opciones depolíticas.

Ofrece flexibilidad y escalabilidad: Las políticas de grupo manejan una ampliagama de escenarios de implementación que pueden ser aplicados tanto a negociospequeños como a empresas grandes.

Proporciona una herramienta simple e integrada para administrar laspolíticas: El editor de políticas de grupo es un complemento MMC que amplíaotras herramientas administrativas de Active Directory como el administrador deActive Directory y el administrador de sitio y servicios de Active Directory, ademásde complemento de administración de computadoras.

Con el uso de laspolíticas de grupo,

puede definirse el estadodel ambiente de trabajode los usuarios una solavez y depender delsistema para que ésteaplique las políticas que

usted define.

Nota


Actividad

DiccionarioACL

Access Control Lists -Las Listas de Controlde Acceso. Permitencontrolar el flujo deltráfico en equipos deredes.

Los administradores pueden delegar el control de los objetos de Políticas de grupo.Cuenta con una interfaz clara y fácil de usar. Proporciona una detección de vínculoslentos y una retroalimentación directa y sin obstrucciones. Proporciona confiabilidady seguridad

LAS POLÍTICAS DE GRUPO Y ACTIVE DIRECTO RY

Las Políticas de grupo amplían y aprovechan Active Directory. Las configuracionesde las Políticas de grupo se encuentran en los objetos de Políticas de grupo quea su vez están asociados con estos contenedores de Active Directory: Sitios,dominios o unidades organizacionales.

POLÍTICAS DE GRUPO Y GRUPOS DE SEGURIDAD

Es posible filtrar las Políticas de grupo al usar la membresía en los grupos deseguridad y al configurar los permisos de la Lista de control de acceso (ACL). Alhacerlo, permite procesamiento rápido de los objetos de Políticas de grupo ypermite que las Políticas de grupo se apliquen a grupos de seguridad. Al utilizarlas ACLs y los grupos de seguridad, puede modificar el alcance de los objetos dePolíticas de grupo.

DESCRIPCIÓN GENERAL DE LAS POLÍTICAS DE GRUPO

Windows 2000 introduce el editor de Políticas de grupo como una herramientaque amplía la funcionalidad del editor de Políticas de sistema y proporcionacapacidades mejoradas para establecer configuraciones de los usuarios y lascomputadoras para grupos de computadoras de usuarios. El editor de Políticasde grupo es un complemento de Microsoft Management Console que incluyefunciones incorporadas para configurar las Políticas de grupo. Las Políticas degrupo definen los diferentes componentes del ambiente de los usuarios que losadministradores del sistema necesitan manejar e incluye configuraciones desoftware, opciones de implementación de aplicaciones, scrips, configuracionesde usuarios además de opciones de documentos y configuraciones de seguridad.

Las configuraciones de la Política de grupo que especifique se encuentran en unobjeto de Políticas de grupo que está asociado a su vez con objetos seleccionadosde Active Directory (sitio, dominio o unidades organizacionales).Las Políticas de grupo aprovechan al máximo los contenedores de Windows 2000Active Directory y los grupos de seguridad. De manera preestablecida, las Políticas

Definir Política de Grupo: ¿Cuál de las siguientes no es un beneficio de laspolíticas de grupo?

Capitalizar ActiveDirectory

Flexibilidad y Escalabilidad

Administración Desentralizada


de grupo afectan a todas las computadoras y usuarios en un contenedorseleccionado de Active Directory. Sin embargo, es posible filtrar los efectos dela Política de grupo al basarse en la membresía de usuarios o computadoras enun grupo de seguridad Windows 2000.

La siguiente gráfica ilustra un escenario de Políticas de grupo y de Active Directory:

CONFIGURACIONES DE LA COMPUTA D O R A Y CONFIGURACIÓN DELUSUARIO

En la raíz del espacio para el nombre del editor de Políticas de grupo hay dosnodos principales: Configuración de la computadora y configuración del usuario.Estas son las carpetas principales que utiliza para configurar ambientes deescritorio específicos y para aplicar las Políticas de grupo en las computadorasy usuarios en la red.

Las configuraciones de la computadora incluyen políticas que especifican elcomportamiento del sistema operativo, la apariencia del escritorio, laconfiguración de las aplicaciones, las aplicaciones asignadas, las opciones deimplementación de archivo, las configuraciones de seguridad y los scripts deiniciar y apagar la computadora. Las Políticas de grupo relacionadas con lacomputadora se aplican cuando se inicia el sistema operativo.

Las configuraciones del usuario incluyen toda la información específica del usuariotal como el comportamiento del sistema operativo, las configuraciones deescritorio, las configuraciones de aplicaciones, aplicaciones asignadas ypublicadas, opciones de implementación de archivos, configuraciones deseguridad y scripts de conexión y desconexión de usuarios. Se aplican las Políticasde grupo relacionadas con los usuarios cuando estos se conectan a lacomputadora.

- Los sitios se describen pordirecciones de subred ypueden cruzar fronteras dedominio; normalmente no loharían.

- GPOs son por dominio.

- Se pueden asociar variosGPOs con un solo sitio,dominio, OU

- Varios sitios, dominios uOUs pueden utilizar un sóloG P O

- Se puede asociar cualquiersitio, dominio, OU concualquier GPO, inclusive através de dominios (elproceso puede ser muylento).

- Se puede filtrar el efectode un GPO básandose en lamembresia del grupo deseguridad y las ACLs.

GPOsA 1

A 2

A 3

A 4

A 5

A 1 A 2

Sitio

A

Dominio

O U s

Las Políticas de grupo

no se heredan entre

dominio

B

GPOs

B 1 B 2

B 3

B 1

B 2

Dominio


Las políticas de grupo se representan como:

Actividad

POLÍTICAS DE SOFTWARE

El nodo de Políticas de software del editor de Políticas de grupo incluye toda lainformación de Políticas de grupo basada en registros, eso es lo que controlabanlas Políticas del sistema de Windows NT 4.0. Las configuraciones de las Políticasde software incluyen las Políticas de grupo para el sistema operativo Windows2000 y sus componentes, y para las aplicaciones. Estas configuraciones seescriben ya sea en el usuario o en la parte local del equipo de la base de datosde registro.

Las configuraciones de política que son específicas a un usuario que se conectaa una estación de trabajo o servidor se escriben al registro bajoHKEY_CURRENT_USER (HKCU) y las configuraciones específicas de lacomputadora se escriben bajo HKEY_LOCAL_MACHINE (HKLM).

Para generar el espacio de nombre bajo el nodo de Políticas de software deleditor de Políticas de grupo, usted puede utilizar ya sean las plantillasadministrativas personalizables (archivos .adm) o un complemento de extensiónde MMC en el editor de Políticas de grupo. Para obtener mayor información sobreplantillas administrativas, consulte el Apéndice A.

Administración del software

Windows 2000 cuenta con la extensión del editor de implementación deaplicaciones para administrar de manera central la distribución de software ensu empresa. Puede instalar, asignar, publicar, actualizar, reparar y eliminarsoftware de grupos de usuarios y computadoras.

Es posible asignar aplicaciones a grupos de usuarios para que todos los usuariosque requieran las aplicaciones automáticamente cuenten con ellas en susescritorios, sin requerir que el administrador o personal técnico instale laaplicación en cada escritorio. Al asignar una aplicación a un grupo de usuarios,está realmente anunciando la aplicación en todos los escritorios de los usuarios.

Esto significa que aparece un acceso rápido a la aplicación en el menú Inicio yse actualiza el registro con información acerca de la aplicación, incluyendo laubicación del paquete de la aplicación y la ubicación de archivos fuente para lainstalación. Con esta información de publicidad en la computadora del usuario,se instala la aplicación la primera vez que el usuario la activa.

Es posible especificarque las Políticas degrupo se apliquen atodos los usuarios de

computadorasespecíficas. Esto es útil

en ambientes decomputación pública

tales como bibliotecas oescuelas, por ejemplo,

donde deseaproporcionar una

configuración específicade escritorio sin importarqué usuario se conecte ala computadora. Para

establecer lasconfiguraciones del

usuario por computadorase utiliza el nodo de

Políticas de software enconfiguraciones de la

computadora.

Nota


Cuando el usuario selecciona la aplicación desde el menú Inicio por primeravez, se instala automáticamente y después se abre.También existe la posibilidad publicar aplicaciones a grupos de usuarios y ellospueden decidir si desean o no instalar dichas aplicaciones. Al publicar unaaplicación, no aparecen accesos rápidos a la aplicación en los escritorios delos usuarios y no se realizan registros locales. En otras palabras, la aplicaciónno está presente en el escritorio del usuario. Las aplicaciones publicadas guardansu información de publicidad en Active Directory.

Para instalar una aplicación publicada, los usuarios pueden usar la herramientaAgregar/eliminar programas, que incluye una lista de todas las aplicacionespublicadas que se encuentran disponibles para su uso. Los usuarios tambiénpueden abrir un archivo de documento asociado con una aplicación publicada(por ejemplo, un archivo .xls para instalar Microsoft Excel).

DOCUMENTOS Y CONFIGURACIONES DEL USUARIO

Se puede utilizar la extensión de documentos y configuraciones del usuario paraagregar archivos, accesos rápidos o carpetas especiales que representan elescritorio del usuario.

Las carpetas especiales son aquellas que se encuentran bajo la carpeta%Windir%\perfiles (donde %Windir% es la carpeta de Windows 2000) y éstasincluyen carpetas tales como Mis documentos, Menú de inicio, Escritorio,Favoritos y otros.

Al especificar un archivo se manda al escritorio del usuario ya sea al inicio delequipo (si se especifica en las configuraciones de la computadora) o cuando elusuario se conecte (si está especificado en las configuraciones del usuario).

Los archivos que se coloquen en el nodo de las configuraciones de lacomputadora estarán disponibles para todos los usuarios de esa computadora.

Los archivos que se coloquen en el nodo de configuraciones del usuario estarándisponibles sólo al usuario específico, sin importar a qué computadora se conectela persona.

Se puede colocar cualquier archivo en la carpeta de Favoritos; sin embargo, elmenú Favoritos sólo presentará archivos que son accesos rápidos, en otraspalabras, tipos de archivos que están marcados en el registro como «IsShortcut»en la llave ProgID. Esto incluye .url, .lnk, .pif y otros.

Se puede utilizar la extensión de documentos y configuraciones del usuario pararealizar las siguientes tareas:

Redireccionar cualquiera de las carpetas especiales en un perfil de usuarioa una ubicación alterna (tal como el destino de red). Por ejemplo,redireccionar la carpeta Mis documentos de un usuario a\\server\share\%username%. Al redireccionar la carpeta Mis documentos,puede proporcionar las siguientes ventajas:


Actividad

Asegurar que estén disponibles todos los documentos de los usuarioscuando pasean de una computadora a otra.

Reducir el tiempo que se requiere para conectarse y desconectarse de lared.

Guardar los datos de los usuarios en la red (en lugar de en una computadoralocal).El departamento de informática administra y protege los datos.

Hacer que la carpeta Mis documentos basada en la red de los usuariosesté disponible a los usuarios cuando se desconecten de la red corporativaal utilizar las tecnologías de caché del extremo del cliente.

Publicar accesos rápidos o archivos en cualquier carpeta especial. Porejemplo, puede utilizar esta función de las siguientes maneras:

Se puede colocar un acceso rápido URL a la página Web de soporte técnicoen el escritorio de todo mundo o entre sus Favoritos de Microsoft InternetExplorer.

Un asistente de grupo puede colocar un documento «Bienvenido aWindows 2000» en los escritorios de los usuarios.

CONFIGURACIONES DE SEGURIDAD

Se puede utilizar la extensión de configuraciones de seguridad para definirconfiguración de seguridad para computadoras dentro de un Objeto de políticasde grupo. Una configuración de seguridad consiste en configuraciones aplicadasa cada área de seguridad soportada por Windows 2000 Professional o Windows2000 Server. Esta configuración se incluye dentro de un Objeto de políticas degrupo. Se aplica entonces esta configuración de seguridad a las computadorascomo parte de la vigencia de las Políticas de grupo.

La extensión de configuraciones de seguridad ha sido diseñada paracomplementar las herramientas de seguridad existentes del sistema tales comoel Editor de listas de control de acceso, el Administrador de usuarios locales y elAdministrador de servidores.La extensión de configuraciones de seguridad define un motor que puedeinterpretar una configuración estándar de seguridad y ejecutar automáticamente

¿Qué es %Windir%? Definir Configuraciones de seguridad:


las operaciones requeridas en el fondo. Puede continuar utilizando lasherramientas existentes para cambiar las configuraciones específicas cuandosea necesario.

Las áreas de seguridad que se pueden configurar para computadoras incluyen:

Políticas de cuenta: Este término se refiere a configuraciones deseguridad de computadoras para políticas de contraseña, políticas debloqueo y políticas Kerberos en dominios Windows NT.

Políticas locales: Estas incluyen configuraciones de seguridad parapolíticas de auditoria, asignación de derechos a usuarios y acciones deseguridad. La política local le permite configurar quién tiene acceso localdesde la red a la computadora y si se auditan o no y cómo los eventoslocales.

Registro de eventos: Se controlan las configuraciones de seguridadpara aplicación, seguridad y registros de evento del sistema.

Grupos restringidos: Esto se refiere a las configuraciones de seguridadde la computadora para grupos incorporados que cuentan con ciertashabilidades predefinidas. Las políticas restringidas de grupo afectan lamembresía de estos grupos. Algunos ejemplos de los grupos restringidosson los grupos locales (tales como administradores, usuarios con poder,operadores de impresión y operadores de servidores), así como gruposglobales (tales como administradores de dominio).Windows 2000 permite agregar categorías que considere sensibles oprivilegiadas a la lista de Administración de grupos restringidos, con suinformación de membresía, y entonces puede rastrear y administrarlas.Además de la membresía de grupo, las políticas restringidas de gruporastrean y controlan la membresía hacia atrás de cada grupo restringido,los grupos a los cuales pertenece un grupo seleccionado. Se puede utilizarla membresía en reversa para controlar exactamente a qué grupos puedenincorporarse sus miembros restringidos o limitar una categoría seleccionadade usuariosa un grupo de membresía y prevenirles que se registren en otras.

Servicios del sistema: Estos controlan las configuraciones de control yopciones de seguridad (ACL s) a los servicios de sistema tales comoservicios de red, servicios de archivo e impresión, servicios de telefonía yfax y servicios Internet/intranet y así sucesivamente. Las extensiones deconfiguraciones de seguridad dan soporte directamente a lasconfiguraciones generales para cada servicio del sistema. Esto incluyemodalidad de inicio y seguridad sobre el servicio. Note que el nombre delservicio debe de ser el mismo que el que utilizó el Administrador de controlde servicio.

Registro: Este se utiliza para configurar y analizar configuraciones paradescriptores de seguridad (incluyendo objetos de propiedad), el ACL einformación de auditoría para cada llave de registro.


Cuando aplica seguridad en llaves de registro, la extensión de configuracionesde seguridad sigue el mismo modelo de herencia que utilizaron las tres jerarquíasestructuradas en Windows 2000 (tales como Active Directory y NTFS). Microsoftrecomienda la utilización de herencia para especificar la seguridad sólo en objetosde nivel superior y redefinir seguridad sólo para aquellos objetos hijo que lorequieran. Este enfoque simplifica ampliamente su estructura de seguridad yreducirá el gasto administrativo que resultaría de una estructura innecesaria decontrol de acceso complejo.

Sistema de archivos: Se utiliza para configurar y analizar lasconfiguraciones para descriptores de seguridad (incluyendo objetos depropiedad), el ACL y la información de auditoria para cada objeto (volumen,directorio o archivo) en el sistema de archivo local.

Windows proporciona el siguiente conjunto de archivos predefinidos deconfiguración para escenarios comunes de seguridad:

Configuraciones para estación de trabajo típica (ideal ws.inf)

Configuraciones para estación de trabajo segura (securews.inf)

Configuraciones para controlador de dominio seguro (securedc.inf)

Configuraciones para estación de trabajo muestra (sample.inf)

Configuraciones para el controlador de dominio muestra

(sampledc.inf)

Por predeterminación, se guardan estos archivos de configuración de seguridaden\%systemroot%\security\templates. Puede utilizar estos o cualquier otraconfiguración de seguridad como la base de sus configuraciones de seguridad,y después editar las configuraciones de acuerdo a sus necesidades.

Se guardan las configuraciones de seguridad como archivos .inf en formato detexto. Al crear y asignar una configuración de seguridad o editar una configuraciónde seguridad existente, la extensión de configuraciones de seguridad procesa elarchivo de configuración y realiza los cambios correspondientes a lascomputadoras asociadas como parte de las Políticas de grupo.

SCRIPTS

Con las extensiones de Scripts es posible asignar scripts para ejecutarse cuandola computadora se inicia o se apaga o cuando los usuarios se conectan o

Actividad

Definir Grupo Restringido: Definir Política de Cuenta:


desconectan de sus computadoras.

Windows 2000 incluye Windows Scripting Host, un host de scripting independientedel lenguaje para plataformas Windows de 32 bits que incluye los motores descripting VBScript y Jscript. Microsoft anticipa que otras compañías de softwareproporcionaran motores de scripting de ActiveX para otros lenguajes tales comoPerl y Python. Windows Scripting Host también proporcionará soporte a esoslenguajes.Los nombres de los scripts y sus líneas de comando (en forma de llaves deregistro y valores) se encuentran guardados en el archivo Registry.pol,

REQUERIMIENTOS ADMINISTRATIVOS DE LAS POLÍTICAS DE GRUPO

Para establecer las Políticas de grupo para un objeto AD seleccionado, se debetener instalado el controlador de dominio Windows NT y debe contar con permisode leer/escribir para acceder al volumen del sistema de controladores de dominio(carpeta Sysvol) y modificar los derechos en el objeto de directorio actualmenteseleccionado.Se crea automáticamente la carpeta de Volumen de sistema cuando instala elcontrolador de dominio de Windows 2000 (o promueve un servidor a uncontrolador de dominio).

CONSIDERACIONES DE DISEÑO DE POLÍTICAS DE GRUPO

Estructura de Active Directory e implementación de políticas de grupo

Al planear y diseñar una estructura de Active Directory, es necesario considerarcómo se desea implementar las políticas de grupo para su empresa. Esto esmuy importante ya que como se aplican las políticas de grupo depende en laestructura de Active Directory que se defina. Al construir cuidadosamente el diseñode Active Directory tomando en cuenta las políticas de grupo, entonces se podráaprovechar al máximo la estructura de Active Directory y simplificar suimplementación y administración de políticas de grupo.

Se aplica la política de grupo a los objetos de políticas de grupo que a su vezestán asociados con contenedores específicos de Active Directory. La políticade grupo se procesa de manera jerárquica en el siguiente orden: sitio, dominio yOU; el contenedor de Active Directory más cerca de la computadora o usuarioanula la configuración de la política de grupo en un contenedor de Active Directoryde nivel más alto. De manera predeterminada, las configuraciones que definapara la política de grupo son acumulativas y son heredadas desde loscontenedores padre de Active Directory. Para un control adicional, se puedenutilizar una o más membresías de computadoras o usuarios en grupos deseguridad para filtrar el efecto de un GPO. Esto se realiza modificando las ACL´spara un GPO de tal manera que sólo los miembros de ciertos grupos de seguridadse vean afectados por un GPO.

El uso de las capacidades de las políticas de grupo en varias combinacioneshace muy flexibles las políticas de grupo, permitiéndole cumplir con una variedadde requerimientos de negocios. El punto de cuidado más importante es utilizar la

DiccionarioVBScript

Visual Basic ScriptEdition. Es unlenguaje interpretadopor el WindowsScripting Host deMicrosoft. Su sintaxisrefleja su origencomo variación dellenguaje deprogramación VisualBasic.

Jscript

JScript es laimplementación deMicrosoft deECMAScript. Estádisponible medianteInternet Explorer y elWindows ScriptingHost.

Perl

Practical Extractionand ReportLanguage. Lenguajede programaciónbasado en scriptsportable a casicualquier plataforma.Es muy utilizado paraescribir CGIs. Uno desus elementos máspotentes son lasexpresionesregulares, que apartir de su versiónen Perl han sidoadoptadas por otroslenguajes yplataformas como.NET o Javascript.


Definir Perl:

combinación más simple de estas capacidades y planear cuidadosamente suuso.

La siguiente sección enumera ejemplos específicos de áreas a considerar alrealizar la planeación de políticas de grupo.

Minimizar el uso de la función de herencia de políticas de bloque

Evitar que las configuraciones de políticas de grupo de contenedores ActiveDirectory (AD) padres afecten a usuarios y computadoras en contenedores denivel más bajo. Esto es una función útil y poderosa que debe usar sólo cuandousa situación particular lo requiera. El bloqueo de la herencia de política porparte de contenedores AD padre puede complicar la política de solución deproblemas.

Minimizar el uso de la función de herencia de política de fuerza

Las configuraciones de políticas que especifique en un objeto dado de políticasde grupo en un contenedor AD de nivel más alto se refuerce en contenedoresAD de nivel más bajo. Sólo utilizar esta función poderosa y de ayuda cuando lascircunstancias lo requieran. El sobre uso de ésta función con otras funcionesrelacionadas tales como la herencia de política de bloqueo puede complicar lapolítica de solución de problemas.

Minimizar el número de objetos de políticas de grupo asociados conusuarios en contenedores de Active Directory

Es posible asignar más de un objeto de políticas de grupo a un contenedor A Dparticular si su situación lo requiere; sin embargo, el número de objetos de políticasde grupo que se asigne pueden afectar el tiempo de proceso de conexión.Durante el tiempo de conexión, cada objeto de políticas de grupo asociado conun contenedor AD (y que el usuario o la computadora tenga que aplicar accesode aplicación ACE de política de grupos) se procesa, así que entre más sean losobjetos de políticas de grupo asociados, mayor será el tiempo de conexión quese requiera para procesarlos.Una manera de minimizar el número de objetos de políticas de grupo que afectana los usuarios es utilizar grupos de seguridad como una manera de filtrar GPO s.Si se aplica políticas desde varios objetos de políticas de grupo a un contenedorde Active Directory y se utiliza filtros de políticas de grupo, haciendo que algunas

Actividad

Definir VBScript:

Python

Python es unlenguajeinterpretado, lo queahorra un tiempoconsiderable en eldesarrollo delprograma, pues noes necesariocompilar ni enlazar.

ActiveX

Los controlesActiveX sedesarrollan conentornos deMicrosoft para lacreación deaplicacionesWindows, comopueden ser VisualBasic Script o VisualC.

Diccionario


políticas sean invisibles a algunos usuarios, se mejorará significativamente elrendimiento.Esto se debe a que se procesarán un número menor de objetos de políticas degrupo.Si su situación requiere es posible utilizar filtros basados en grupos de seguridad,se debe asegurar que los usuarios a los que se pretende que reciban políticasdesde un objeto particular de políticas de grupo tengan acceso de aplicaciónACE (Access Control Entry) de política de grupos a ese GPO. Si los usuarios notienen acceso de aplicación de políticas de grupo a ese GPO, no obtendránesas políticas.

Anular las políticas de grupo basadas en usuarios con políticas de grupobasadas en computadoras sólo cuando sea necesario

Se puede establecer las configuraciones del usuario por computadora y por lotanto anular las políticas específicas del usuario con políticas específicas decomputadora. Esto es útil cuando se desea proporcionar una configuración deescritorio específica sin importar que usuario se conecte a la computadora. Paraestablecer configuraciones de usuario por computadora, se debe utilizar el nodode políticas de software en las configuraciones de computadoras en la consoladel Editor de políticas de grupo.

En lo posible no utilizar las asignaciones GPO a través de dominios

Aunque se puede asignar objetos de políticas de grupo desde diferentes dominiosa un solo contenedor AD si una situación particular lo requiere, dichos casossería mucho más lento el procesamiento de políticas de grupo. Esto se debe aque se cruzan las fronteras de dominio.

ADMINISTRACIÓN DE OBJETOS DE POLÍTICAS DE GRUPO

La delegación de autoridad, separación de tareas administrativas, laadministración central contra la distribuida y la flexibilidad en el diseño son factoresimportantes que son necesarios considerar al diseñar políticas de grupo y alseleccionar qué escenarios se utilizará para una determinada empresa.

Si se implementa o no políticas de grupo de manera modular (por ejemplo,creando un objeto de políticas de grupo específico para opciones deadministración de software, un objeto de políticas de grupo específico paraopciones de configuración de seguridad y así sucesivamente) será determinadopor los requerimientos administrativos y los roles en su empresa. Por ejemplo,si los administradores están organizados de acuerdo con sus tareas (tales comoadministradores de gestión de software, administradores de seguridad,administradores de conexión, etc.), puede resultarle útil definir políticas en losmódulos de políticas de grupo.

La delegación o autoridad dependerá en gran parte en si utiliza administracióncentralizada o distribuida en la empresa. Basándose en los requerimientosparticulares de la empresa, los administradores de red pueden utilizar los


permisos ACL para determinar qué grupos y administradores pueden modificarpolíticas en los objetos de políticas de grupo. Los administradores de redespueden definir grupos de administradores (por ejemplo, administradores degestión de software) y después proporcionarles acceso lectura/escritura paraseleccionar objetos de políticas de grupo, permitiéndoles a los administradoresde red delegar el control de las políticas de objeto de políticas de grupo. Losadministradores que cuentan con acceso lectura/escritura a un objeto de políticasde grupo pueden controlar todos los aspectos de ese objeto de políticas degrupo. Si es un administrador de red que utiliza administración centralizada,puede escoger entre otorgarles a otros administradores acceso de sólo lecturaa objetos de políticas de grupo. La realización de esto les permitiría a aquellosadministradores ver los objetos de políticas de grupo, pero no podrían cambiarlos.

Políticas de grupo en Windows 2000 Server356

Clase práctica 21

GPO de distribución de software

Para esta práctica se asume que el alumno cuenta con el cd de instalación de Office 2000, XPo 2003, además del servidor MGP-SRV01 configurado con DNS, WINS y DHCP como en laspracticas anteriores.

En el Servidor 1 (MGP-SRV01)Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Icono «Mi PC» (doble clic)· Icono «Disco local (C:)» (doble clic) à Ingresar en la unidad C· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)· Introducir «DistSoft» como nombre de la carpeta y presionar la tecla ENTER à Crear

una carpeta llamada DistSoft· Carpeta «DistSoft» (clic con el botón derecho del mouse)· Compartir… (clic) à Establece que se desea compartir el recurso· Compartir esta carpeta (clic)· Botón «Permisos» (clic) à Cambiar los permisos de acceso· Botón «Agregar…» (clic) à Agregar usuarios o grupos· Grupo «Administradores» (doble clic) à Agrega al grupo Administradores· Botón «Aceptar» (clic)· Grupo «Administradores (MEGAPACK\Administradores)» (clic) à Selecciona el grupo

administradores· Control total (clic para marcar) à Establece que los administradores tendrán control

total sobre este recurso· Grupo «Todos» (clic) à Selecciona el grupo todos (que hace referencia a todos los

usuarios)· Control total (clic para desmarcar) à Establece que los usuarios no tendrán control

total sobre este recurso· Cambiar (clic para desmarcar) à Establece que los usuarios no podrán modificar o

eliminar archivos sobre este recurso· Botón «Aceptar» (clic) à Establece los nuevos permisos· Botón «Aceptar» (clic) à Cerrar la ventana compartir· Carpeta «DistSoft» (doble clic) à ingresar a la carpeta DistSoft· Menú Archivo (clic)· Nuevo (clic)· Carpeta (clic)

Mediante la realización de esta práctica usted comprenderá la función y la correcta manera deimplementación de políticas de grupo, ya sea como medio para asegurar los entornos administrativosde los usuarios y equipos o para la implementación de distribución de software.



· Introducir «Office» como nombre de la carpeta y presionar la tecla ENTER à Crear unacarpeta llamada Office

· Colocar en la unidad de CD-ROM el CD de instalación de Office· en la barra de direcciones del explorador de Windows colocar «z:» (sin las comillas) (o

la letra de unidad que corresponda a la lector de CD) y presionar la tecla ENTER· seleccionar simultáneamente los elementos «office1.cab» y «pro.msi» (manteniendo

presionada la tecla ctrl. Y haciendo clic en los iconos correspondiente)· presionar simultáneamente las teclas ctrl + C à Copiar los archivos anteriormente

seleccionados· en la barra de direcciones del explorador de Windows colocar «c:\distsoft\office» (sin

las comillas) y presionar la tecla ENTER à acceder a la carpeta office que seencuentra dentro de la carpeta distsoft

· presionar simultáneamente las teclas ctrl + V à Pegar los archivos anteriormentecopiados

· Cerrar el explorador de Windows

En el Servidor 1 (MGP-SRV01)Ejercicio 2:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Usuarios y equipos de Active Directory (clic) à Ejecuta la consola de Administración

de usuarios y equipos de Active Directory· Megapack.com.ar (doble clic)· Users (clic)· Usuario «Supervisor Administración» (clic con el botón derecho del mouse)· M over… (clic) à Mover el usuario supadm a otro contenedor· Ventas (clic)· Botón «Aceptar» (clic) à Mover el usuario a la unidad organizativa ventas· Ventas (clic con el botón derecho del mouse)· Propiedades (clic) à despliega las propiedades de la UO· Solapa «Política de grupo» (clic)· Botón «Nueva» (clic) à Crear una nueva política de grupo· Colocar «Política Ventas» (sin las comillas) como nombre de la política y presionar la

tecla ENTER· Política Ventas (doble clic) à Editar la política de grupo· Configuración de usuario (clic)· Configuración de software (doble clic) à despliega la rama de configuración de

software de usuario· Instalación de software (clic con el botón derecho del mouse)· Nuevo (clic)· Paquete (clic) à Establece que se desea agregar un nuevo paquete de instalación· Colocar «\\mgp-srv01\distsoft\office\pro.msi» (sin las comillas) en el cuadro de texto

«Nombre del archivo:» y presionar la tecla ENTER»· Asignada (clic) à Establece que el paquete será asignado para la instalación en lugar

de ser publicado para la instalación· Botón «Aceptar» (clic) à El nuevo paquete será agregado a la GPO para su instalación· Cerrar la consola de configuración de directiva de grupo· Botón «Aceptar» (clic) à Cerrar las propiedades de Ventas· Cerrar el complemento usuarios y equipos de Active Directory

Políticas de grupo en Windows 2000 Server358

En el Worstation 1 (MGP-WST01)Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como supadm presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «supadm» (sin las comillas) como usuario y «AdM933sUP» (sin las comillas) comocontraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Ejecutar (clic)· Colocar «appwiz.cpl» en el cuadro de texto y presionar la tecla ENTER à Acceder al

complemento «Agregar o quitar programas» del panel de control· Verificar que ya se encuentra instalado el paquete de Microsoft Office· Botón «Cerrar» (clic) à Cerrar la ventana de Agregar o quitar programas

Ejercicio 2:


· Menú Inicio (clic)· Programas (clic)· Observar que ya se encuentran todos los accesos directos a los programas del paquete

office (Word, Excel, Access, etc.)· Microsoft Access (clic) à Ejecutará el programa Microsoft Access. Al ser esta la

primer ve que se ejecuta comenzará el proceso de instalación del mismo.· Una vez finalizado el proceso cerrar todas las ventanas abiertas

360 Servidores de infraestructura de llave pública en Windows 2000 Server

Servidores de infraestructura de llave pública en Windows 2000Server

Clase teórica 22

INTRODUCCIÓN

Windows 2000 introduce una infraestructura de claves públicas (PKI) completapara la plataforma Windows. Esta infraestructura amplía los servicios criptográficosde claves públicas (PK) basados en Windows que fueron introducidos durantelos últimos años, proporcionando un conjunto integrado de servicios yherramientas administrativas para crear, instalar y administrar aplicacionesbasadas en PK. Esto permite que los desarrolladores de aplicaciones aprovechenlos mecanismos de seguridad de confidencialidad compartida o el mecanismode seguridad basado en PK, según sea necesario.

CRIPTOGRAFÍA DE CLAVES PÚBLICAS

La criptografía es la ciencia de proteger datos. Los algoritmos criptográficoscombinan matemáticamente datos de texto simple de entrada y una clave deencriptación para generar datos encriptados (texto cifrado). Con un buen algoritmocriptográfico, no es posible computacionalmente invertir el proceso de encriptacióny derivar los datos de texto simple, empezando únicamente con el texto cifrado;una clave de desencriptación, son necesarios para llevar a cabo la transformación.

En la criptografía tradicional de claves secretas (o simétricas), las claves deencriptación y desencriptación son idénticas y, por lo tanto, comparten datosimportantes. Las partes que desean comunicarse con criptografía de clavessecretas deben intercambiar en forma segura sus claves de encriptación ydesencriptación antes de que puedan intercambiar datos encriptados.La propiedad fundamental de la criptografía de claves públicas (PK) es que lasclaves de encriptación y desencriptación son diferentes. La encriptación con unaclave de encriptación de claves públicas es una función unidireccional; el textosimple se convierte en texto cifrado, pero la clave de encriptación es irrelevantepara el proceso de desencriptación.Una clave de desencriptación diferente (relacionada, pero no idéntica, con la clavede encriptación) es necesaria para convertir el texto cifrado otra vez en textosimple.Para la criptografía PK, cada usuario tiene un par de claves que constan de unaclave pública y de otra privada. Al hacer que la clave pública esté disponible, esposible permitir que otros le envíen datos encriptados que sólo puedendesencriptarse utilizando su clave privada.

Funcionalidad de claves públicas

La separación entre claves públicas y privadas en la criptografía PK ha permitidola creación de varias nuevas tecnologías. Las más importantes de éstas son lasfirmas digitales, la autenticación distribuida, convenio de claves secretas a travésde claves públicas y sin claves secretas compartidas anteriores.


Definir Criptografia:

Existen varios algoritmos criptográficos PK bien conocidos. Algunos, como elRivest-Shamir-Adleman (RSA) y la Criptografía de curva elíptica (ECC), son defines generales, pueden soportar todas las operaciones anteriores. Otrossoportanúnicamente un subconjunto de estas capacidades.

Se describirá brevemente los usos principales de la criptografía PK.Estas operaciones se describen en términos de dos usuarios, Ezequiel y Nicolás.Se asume que los dos pueden intercambiar información sin ninguna clavesecreta compartida arreglada previamente entre ellos.

FIRMAS DIGITALES

Uno de los aspectos más importantes de la criptografía de claves públicas escrear y validar firmas digitales. Esto se basa en una transformación matemáticaque combina la clave privada con los datos que se van a firmar en tal forma que:

Sólo la persona que posee la clave privada pudo haber creado lafirma digital.Cualquiera con acceso a la clave pública correspondiente puedeverificar la firma digital.Cualquier modificación de los datos firmados (incluso cambiarúnicamente un sólo bit en un archivo grande) invalida la firma digital.

Las firmas digitales son en sí únicamente datos, por lo que pueden transportarsejunto con los datos firmados a los que protegen.

Por ejemplo, Ezequiel puede crear un mensaje de correo electrónico firmadopara Nicolás y enviar la firma junto con el texto del mensaje, proporcionando aNicolás la información que se requiere para verificar el origen del mensaje.Además, las firmas digitales brindan una forma para verificar que los datos nohayan sido alterados (ya sea accidental o intencionalmente) mientras seencuentran en tránsito desde el origen al destino.

AUTENTICACIÓN

La criptografía PK proporciona servicios robustos de autenticación distribuidos.La autenticación de entidades garantiza que el transmisor de datos sea la entidadque el receptor piensa que es.

Actividad

Definir Firma Digital:


Si Nicolás recibe datos de Ezequiel y después le envía un intercambio de señalesencriptado con la clave pública de Ezequiel, éste decodifica entonces esteintercambio de señales y lo envía de nuevo a Nicolás, probando que tiene accesoa la clave privada asociada con la clave pública que Nicolás utilizó para emitir elintercambio de señales. Asimismo, Nicolás puede enviar un intercambio deseñales de texto simple a Ezequiel. Después, Ezequiel combina el intercambiode señales con otra información, que está firmada digitalmente. A continuación,Nicolás utiliza la clave pública de Ezequiel para verificar la firma y probar queéste tiene la clave privada asociada. El intercambio de señales hace que estemensaje sea único y evita ataques de reproducción por parte de una terceraparte hostil. En cualquier caso, esto se conoce como un protocolo de prueba deposesión porque el transmisor prueba que tiene acceso a la clave privadaparticular.

CONVENIO DE CLAVES SECRETAS A TRAVÉS DE UNA CLAVE PÚBLICA

Otra función de la criptografía PK es que permite que dos partes acuerden unaclave secreta compartida, utilizando redes de comunicaciones públicas y noseguras. Básicamente, Ezequiel y Nicolás generan un número aleatorio queforma la mitad de la clave secreta compartida. Entonces, Ezequiel envía a Nicolássu mitad de la clave secreta encriptada, utilizando la clave pública de ella. Nicolásenvía a Ezequiel su mitad encriptada con la clave pública de él. Después, cadalado puede desencriptar el mensaje recibido de la otra parte, extraer la mitad dela clave secreta compartida que fue generada por el otro y combinar las dosmitades para crear la clave secreta compartida. Una vez que el protocolotermina, la clave secreta compartida puede utilizarse para asegurar otrascomunicaciones.

ENCRIPTACIÓN DE DATOS MASIVOS SIN CLAVES SECRETA SC O M PARTIDAS ANTERIORES

La cuarta tecnología principal habilitada por la criptografía PK es la capacidaddeEncriptar datos masivos sin establecer claves secretas compartidas anteriores.Los algoritmos PK existentes tienen un alto nivel computacional con relación alos algoritmos de claves secretas. Esto los hace adecuados para la encriptaciónde grandes cantidades de datos. Para obtener las ventajas de la criptografía PKjunto con la encriptación eficaz masiva, normalmente se combinan lastecnologías PK y de claves secretas.Esto se logra seleccionando primero un algoritmo de encriptación de clavessecretas y generando una clave de sesión aleatoria para usarla con laencriptación de datos. Si Ezequiel está enviando el mensaje, primero encriptaesta clave de sesión utilizando la clave pública de Nicolás. La clave de textocifrado resultante se envía entonces a Nicolás junto con los datos encriptados.Nicolás puede recuperar la clave de sesión utilizando su propia clave privada ydespués utilizar la clave de sesión para desencriptar los datos.


Definir Certificado:

PROTEGER Y CONFIAR CLAVES CRIPTOGRÁFICAS

En la criptografía de claves secretas, Nicolás y Ezequiel confían en su clavesecreta compartida porque la acordaron mutuamente o la intercambiaron enuna manera segura, y cada uno convino guardarla en forma segura para evitarel acceso de una tercera parte mal intencionada. En contraste, al utilizar lacriptografía PK, Nicolás sólo necesita proteger su clave privada y Ezequiel lasuya. La única información que necesitan compartir es sus claves públicas.Necesitan poder identificar la clave pública del otro en forma positiva, pero nonecesitan mantenerla en secreto. Esta capacidad de confiar la asociación deuna clave pública con una entidad conocida es crítica para el uso de la criptografíaPK. Nicolás puede confiar en la clave pública de Ezequiel porque éste se laentregó directamente en una forma segura, pero esto presupone que Nicolás yEzequiel han tenido alguna forma de comunicación segura anterior. Másprobablemente, Nicolás ha obtenido la clave pública de Ezequiel a través de unmecanismo no seguro (por ejemplo, de un directorio público), por lo que senecesita algún otro mecanismo para proporcionar a Nicolás confianza de que laclave pública que el sostiene es de Ezequiel, es realmente la clave pública deél. Un mecanismo así se basa en los certificados emitidos por una autoridad decertificación (CA).

CERTIFICADOS

Los certificados proporcionan un mecanismo para lograr confianza en la relaciónentre una clave pública y la entidad propietaria de la clave privada correspondiente.Un certificado es una declaración firmada digitalmente que trata con una clavepública de sujeto particular, y es firmado por su emisor (que tiene otro par declaves privadas y públicas). Normalmente, los certificados también contienenotra información relacionada con la clave pública de sujeto, como informaciónde identidad sobre la identidad que tiene acceso a la clave privadacorrespondiente.Por lo tanto, al emitir un certificado, el emisor da testimonio de la validez de launión entre la clave pública de sujeto y la información de identidad de sujeto.

AUTORIDADES DE CERTIFICACIÓN

Una autoridad de certificación (CA) es una entidad o servicio que emitecertificados.Una CA actúa como un garante de la unión entre la clave pública de sujeto y lainformación de identidad de sujeto que está contenida en los certificados queemite.

Actividad

Definir Entidad de Cirtificación:


Diferentes CA s pueden elegir verificar esa unión a través de medios diferentes,por lo que es importante comprender las políticas y procedimientos de laautoridad antes de confiar en esa autoridad para verificar claves públicas.

CONFIANZA Y VALIDACIÓN

La cuestión esencial a la que se enfrenta Nicolás cuando recibe un mensajefirmado es si debe confiar en que la firma es válida y fue generada por quienafirma haberla hecho. Nicolás puede confirmar que la firma es matemáticamenteválida; es decir, puede verificar la integridad de la firma utilizando una clavepública conocida. Sin embargo, debe determinar todavía si la clave públicautilizada para verificar la firma pertenece, de hecho, a la entidad que afirmahaber hecho la firma en primer lugar.

Si Nicolás no confía implícitamente en que la clave pública es la de Ezequiel,necesita reunir evidencia sólida de que la clave pertenece a Ezequiel.Si Nicolás puede localizar un certificado, que fue emitido por una CA en la queNicolás confía implícitamente, para la clave pública de Ezequiel, Nicolás puedeconfiar en que la clave pública de Ezequiel realmente pertenece a él. Es decir,probablemente Nicolás confiará en que el realmente tiene la clave pública deEzequiel si encuentra un certificado que:

Tenga una firma válida criptográficamente de su emisor.

Atestigüe una unión entre el nombre Ezequiel y la clave pública del

mismo.

Haya sido emitido por un emisor en el que Nicolás confía.

Suponiendo que Nicolás encuentra dicho certificado para la clave pública deEzequiel, entonces puede verificar su autenticidad utilizando la clave pública dela CA emisora Eduardo. Sin embargo, ahora Nicolás se enfrenta al mismo dilema.¿Cómo sabe que la clave pública realmente pertenece a Eduardo? Necesitaencontrar un certificado que atestigüe la identidad de Eduardo y la unión entreEduardo y la clave pública del mismo.Finalmente, Nicolás termina construyendo una cadena de certificadosempezando con Ezequiel y la clave pública de él y pasando por una serie deCA s para terminar en un certificado emitido para alguien en quien Nicolás confíaimplícitamente. Dicho certificado se denomina un certificado de raíz confiableporque forma la raíz (nodo superior) a partir de una jerarquía de claves públicas/uniones de identidad que Nicolás acepta como auténticas.Cuando Nicolás opta por confiar explícitamente en un certificado de raíz confiableparticular, entonces está confiando implícitamente en todos los certificadosemitidos por esa raíz confiable, así como en todos los certificados emitidos porcualquier CA subordinada certificada por la raíz confiable.El conjunto de certificados de raíz confiable en los que Nicolás confíaexplícitamente es la única información que ella debe adquirir en forma segura.Ese conjunto de certificados asegura el sistema de confianza de Nicolás y sucreencia en la infraestructura de claves públicas.


Definir Confianza:

COMPONENTES WINDOWS 2000 PKI

La figura a continuación presenta una vista de nivel superior de los componentesque conforman Windows 2000 PKI. Es una vista lógica y no implica requerimientosfísicos para servidores separados; de hecho, muchas funciones puedencombinarse en un sistema de un sólo servidor. Un elemento clave en la PKI esMicrosoft Certificate Services. Esto le permite instalar una o más CA sempresariales. Estas CA s soportan la emisión y revocación de certificados.Están integradas con Active Directory, lo que proporciona información deubicación CA y políticas CA, y permite que la información de certificados yrevocación sea publicada.

PKI no reemplaza los mecanismos existentes de confianza y autorización dedominios de Windows basados en el controlador de dominio (DC) y en el Centrode distribución de claves Kerberos (KDC). En lugar de ello, PKI trabaja con estosservicios y proporciona mejoras que permiten que las aplicaciones escalenfácilmente para cumplir los requerimientos de extranet e Internet. En particular,PKI satisface la necesidad de identificación, autenticación, integridad yconfidencialidad distribuidas y con capacidad de escalación.

Actividad

El soporte para crear, instalar y administrar aplicaciones basadas en PK seproporciona uniformemente en las estaciones de trabajo y servidores queejecutan Windows 2000 ó Windows NT, así como en estaciones de trabajo queejecutan los sistemas operativos Windows 95 y Windows 98.

Componentes de la infraestructura de claves públicas de Windows 2000

Servicios de certificación Active Directory Admin de dominio

Política de seguridad

Distribución depolíticas, publicación

de certificados,etc.

Presentaciónde certificado y

revocación

D C / K D C

Conexión adominio

Máquina cliente de dominio

Definir Validación:


JERARQUÍAS DE CERTIFICACIÓN

Windows 2000 PKI supone un modelo CA jerárquico. Este fue elegido por sucapacidad de escalación, facilidad de administración y consistencia con uncreciente número de productos CA comerciales y de terceros. En su formamás simple, una jerarquía CA consta de una sola CA, a pesar de que en generaluna jerarquía contiene múltiples CA s con relaciones principales y secundariasclaramente definidas, como se muestra en la figura (Jerarquías de autoridadesde certificación). Como se puede ver, puede haber varias jerarquías de interéssin conectar. No existe un requerimiento de que todas las CA s compartan unaCA principal común de nivel superior (o raíz).En este modelo, los componentes secundarios son certificados por certificadosemitidos por una CA principal, que une una clave pública de CA a su identidad ya otros atributos manejados por políticas. La CA en la parte superior de unajerarquía se conoce generalmente como una raíz CA. Las CA s subordinadasse conocen a menudo como CAs intermedias o emisoras. En este documento,una CA que emite certificados de entidad final se denomina una CA emisora.Una CA intermedia se refiere a una CA que no es una CA raíz, sino que sólocertifica a otras CA s.

La ventaja esencial de este modelo es que la verificación de certificados requiereconfianza sólo en un número relativamente pequeño de CA s raíz. Al mismotiempo, proporciona flexibilidad en el número de CA s emisoras. Existen variasrazones prácticas para soportar múltiples CA s emisoras. Estas incluyen:

Uso: Los certificados pueden emitirse para varios fines (por ejemplo, correoelectrónico seguro, autenticación de red y demás). La política de emisiónpara estos usos puede ser distinta si la separación proporciona una basepara administrar estas políticas.Divisiones organizacionales: Pueden haber diferentes políticas paraemitir certificados, dependiendo del rol de una entidad en la organización.De nuevo, pueden crearse CA s emisoras para separar y administrar estaspolíticas.Divisiones geográficas: Las organizaciones pueden tener entidades envarios sitios físicos. La conectividad de red entre estos sitios puede dictarque las múltiples CA s emisoras cumplan requerimientos de uso.

Dicha jerarquía CA también proporciona beneficios administrativos, incluyendo:

Jerarquías de autoridades de certificación

CA raíz 1 CA raíz 2

CA emisora - A CA emisora - B

CA intermedia - C

CA emisora - D


Definir Jerarquia de Certificación:

Configuración flexible de ambiente de seguridad CA (fortaleza de claves,protección física, protección contra ataques a la red y demás) para ajustarel equilibrio entre la seguridad y el uso. Por ejemplo, no brinda la posibilidadde emplear hardware criptográfico de fines especiales en una CA raíz,operarlo en un área segura físicamente o manejarlo fuera de línea. Estasopciones pueden ser inaceptables para CA s emisoras, debido al costo oa las consideraciones de uso.

Uso de actualizaciones muy frecuentes para emitir claves CA y/ocertificados, que son los que más pueden comprometerse, sin requerirun cambio a las relaciones de confianza establecidas.

Capacidad de desactivar una parte específica de la jerarquía CA sin afectarlas relaciones de confianza establecidas.

En general, las jerarquías CA tienden a ser estáticas, a pesar de que esto no esun requerimiento. Es posible agregar o eliminar con mucha facilidad CA semisoras bajo una CA raíz determinada. Asimismo, es posible fusionar jerarquíasCA existentes al emitir un certificado de una de las CA s raíz que certifique laotra raíz como una CA intermedia. Sin embargo, antes de hacer esto, se debeconsiderar cuidadosamente las inconsistencias de políticas que esto podríagenerar y el impacto de las limitaciones profundas que pueden codificarse enlos certificados existentes.

INSTALAR UNA CA EMPRESARIAL

La instalación de Microsoft Certificate Services es una operación muy directa.Es recomendado establecer el dominio antes de crear una CA. Despuésestablecer una CA o CA s raíz. El proceso de instalación de Certificate Servicesguía al administrador a través del procedimiento. Los elementos clave en esteproceso incluyen:

Seleccionar el servidor host: El CA raíz puede ejecutarse en cualquierplataforma de Windows 2000 Server, incluyendo un controlador de dominio.

Denominación: Los nombres CA están unidos a sus certificados y, porlo tanto, no pueden cambiarse.

Generación de claves: El par de claves públicas de CA se generadurante el proceso de instalación y es único para esta CA.

Actividad

Unir con una flecha según corresponda:

Jerarquica Estatica

Dinamica


Certificado CA: Para una CA raíz, el proceso de instalación generaautomáticamente un certificado CA auto-firmado, utilizando el par declave pública o privada de CA. Para una CA secundaria, puedegenerarse una solicitud de certificado que tal vez sea presentada auna CA intermedia o raíz.

Integración con Active Directory: La información concerniente a laC A se escribe en un objeto CA en Active Directory durante lainstalación. Esto proporciona información a los clientes de dominiosobre CA s disponibles y los tipos de certificados que emiten.

Políticas de emisión: La configuración de CA empresarial instala yconfigura automáticamente el Módulo de políticas empresarialesproporcionado por Microsoft para la CA. Un administrador autorizadopuede modificar las políticas, a pesar de que en la mayoría de loscasos esto no es necesario.

Después de que se ha establecido una CA raíz, es posible instalar CA sintermedias o emisoras que sean subordinadas de esta CA raíz. La únicadiferencia importante en la política de instalación es que una solicitud de certificadoque se genera para presentarla a una CA raíz o intermedia.

Existe una relación obvia entre las CAs empresariales y el modelo de confianzade dominio de Windows 2000, pero esto no implica una correlación directa entrelas relaciones de confianza CA y las relaciones de confianza de dominio. Nadaevita una sola CA de entidades de servicio en dominios múltiples o inclusoentidades fuera de los límites del dominio. En forma similar, un dominio puedetener múltiples CAs empresariales.Las CA s son recursos de alto valor y a menudo es necesario proporcionarlascon un alto nivel de protección.

Las acciones específicas que deben considerarse incluyen:

Protección física: Este requerimiento depende del valor inherentede la certificación realizada por la CA. El aislamiento físico del servidorCA, en instalaciones accesibles sólo por administradores deseguridad, puedereducir enormemente la posibilidad de dichosataques.

Administración de claves: Los módulos de hardware criptográficos(accesibles a los Servicios de certificado a través de un CSP deCryptoAPI) pueden proporcionar almacenamiento de claves resistentea alteración y aislar las operaciones criptográficas de otro softwareque se esté ejecutando en el servidor. Esto reduce significativamentela probabilidad de que una clave CA se comprometa.

Restablecimiento: Los Servicios de certificado soportan el respaldode una instancia CA para que pueda restablecerse después. Esto esuna parte importante del proceso general de administración de CA s.


USAR CLAVES Y CERTIFICADOS

Dentro de Microsoft PKI, las claves criptográficas y los certificados asociadosson almacenados y administrados por el subsistema CryptoAPI. Como ya semencionó, las claves son administradas por CSP s y los certificados por losalmacenes de certificados CryptoAPI. Los almacenes de certificados sonrecipientes para los mismos y sus propiedades asociadas. Por convención,PKI define cinco almacenes de certificados estándar:

1. MY: Este almacén se utiliza para albergar los certificados de un usuario ocomputadora para los cuales está disponible la clave privada asociada.

2. CA: Este almacén se utiliza para albergar certificados de CA emisora ointermedia a fin de utilizarlos en la creación de cadenas de verificación decertificados.

3. TRUST: Este almacén se utiliza para albergar Listas de confianza decertificados (CTL). Son un mecanismo alterno que permite que un administradorespecifique un conjunto de CA s confiables. Una ventaja es que puedentransmitirse a través de enlaces no seguros, porque están digitalmente firmadas.

4. ROOT: Este almacén alberga sólo certificados CA auto-firmados para CA sraíz confiables.

5. UserDS: Este almacén proporciona una visualización lógica de un recipientede certificado que está almacenado en Active Directory. Su objetivo es simplificarel acceso a estos recipientes externos.

Estos son almacenes lógicos que pueden presentar una visualización consistentede todo el sistema de los certificados disponibles que pueden residir en variosalmacenes físicos (disco duro, tarjetas inteligentes y demás). Al utilizar estosservicios, las aplicaciones pueden compartir certificados y tener la confianzaen una operación consistente bajo la política administrativa.

RECUPERACIÓN

Los pares de claves públicas y certificados tienden a tener un alto valor. Si sepierden debido a una falla del sistema, su reemplazo puede ser lento y costoso.Por esta razón, Windows 2000 PKI soporta la capacidad de respaldar y restablecerlos certificados y los pares de claves asociados a través de herramientasadministrativas de manejo de certificados. Cuando se exporta un certificado,

Actividad

Definir Almacen Trust: Definir Almacen CA:


utilizando el administrador de certificados, el usuario debe especificar si debenexportarse también el par de claves asociadas. Si se selecciona esta opción, lainformación se exporta como un mensaje encriptado (basado en una contraseñaproporcionada por el usuario). Esto puede importarse después al sistema, o aotro sistema, para restablecer el certificado y las claves. Esta operación suponeque el par de claves puede ser exportado por CSP. Esto es cierto para los CSPsbase de Microsoft, si el indicador con capacidad de exportación fue establecidoal generar las claves. Los CSPs de terceros pueden soportar o no la exportaciónde claves privadas. Por ejemplo, los CSPs de tarjetas inteligentes generalmenteno soportan esta operación. Para CSPs de software con claves sin capacidadde exportación, la alternativa es mantener un respaldo completo con imagen delsistema, incluyendo toda la información de registro.


Clase práctica 22

Servidor de Infraestructura de llave pública (CA Server)

Ejercicio 1: En el Servidor 1 (MGP-SRV01)

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:



componentes de Windows· Servicios de Internet Information Server (IIS) (doble clic) Despliega la ventana de

servicios de Internet Information Server· Marcar las opciones que se indican a continuación haciendo clic en el casillero en

blanco (el resto de las opciones dejarlas desmarcadas): à Selecciona lossubcomponentes a instalar de IIS

· Archivos comunes à Archivos necesarios para varios componentes· Complemento de Servicios de Internet Information Server à Interfaz

administrativa de IIS· Documentación· Extensiones de servidor de FrontPage 2000 à permite la edición y administración

con FrontPage y VisualInterDev· Servidor de Protocolo de transferencia de archivos (FTP) à habilita la

compatibilidad con el protocolo de transferencia de archivos· Servidor World Wide Web à habilita el servidor web

· Botón «Aceptar» (clic)· Botón «Siguiente» (clic) à Comenzar proceso de instalación (es posible que pida el CD



Para esta práctica se asume que el alumno cuenta con el cd de instalación múltiple deWindows 2000 (Server, Advanced Server y Professional), además del servidor MGP-SRV01configurado con DNS, WINS y DHCP como en las prácticas anteriores.

Mediante la realización de esta práctica usted comprenderá el funcionamiento de los servicios deinfraestructura de llave pública, mediante la implementación y configuración de entidades emisoras decertificados de autenticación.


Servidores de infraestructura de llave pública en Windows 2000 Server372

Ejercicio 2:




componentes de Windows· Servicios de Certificate Server (clic para marcar) à Selecciona el paquete de Servicios

de Certificate Server de Microsoft.· Botón «Si» (clic) à Aceptar la ventana de información que indica que luego de

instalarse el servicio mencionado no será posible cambiar el nombre al servidor niagregarlo o quitarlo de un dominio.

· Botón «Siguiente» (clic) à Establece que se desea comenzar la instalación delcomponente seleccionado.

· Entidad emisora raíz de la empresa (clic) à Establece que el servidor funcionará comouna entidad emisora raíz.

· Opciones avanzadas (clic para seleccionar) à Establece que se desea configurar elservidor de una manera mas personalizada.

· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece que se desea utilizar las opciones por defecto.· Establecer la siguiente configuración:

Nombre de la entidad Emisora: CA de la EmpresaOrganización: MegaPackUnidad organizativa: ServidoresCiudad: La PlataEstado o provincia: Buenos AiresPaís o región: AR

Correo electrónico: [email protected]ón de la entidad emisora: CA raíz de MegaPackVálido durante: 3 años

· Botón «Siguiente» (clic) à Establece los datos de la entidad emisora y una validez decertificado de 3 años.

· Botón «Aceptar» (clic( à Detener el servidor IIS· Botón «Siguiente» (clic) à Establece que se desea utilizar las opciones por defecto.

En este punto es probable que pida el CD de instalación de Windows 2000.· Botón «Finalizar» (clic) à Finaliza el proceso de instalación y cierra la ventana· Botón «Cerrar» (clic) à Cerrar la ventana Agregar o quitar programas

Ejercicio 2:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Entidad emisora de certificados (clic) à ejecuta el snap-in de administración de la

entidad emisora de certificados· CA de la Empresa (doble clic para expandir)


· Certificados emitidos (clic)· Minimizar el snap-in Entidad emisora de certificados


· Menú Inicio (clic) · Ejecutar (clic)· Colocar http://localhost/certsrv (sin las comillas) en el cuadro de texto y presio

nar la tecla ENTER à Acceder a la interfaz web de herramientas de inscripciónde certificado

· Solicitar un certificado (clic para marcar) à Establece que se desea solicitar uncertificado a la entidad

· Botón «Siguiente» (clic)· Solicitud de certificado de usuario (clic para marcar) à Establece que tipo de

solicitud se desea realizar.· Botón «Siguiente» (clic)· Botón «Más opciones» (clic) à Desplegar las opciones adicionales.· Botón «Enviar» (clic) à Envía la solicitud· Botón «Si» (clic) à Aceptar la ventana de información y cerrarla.· Link «Instalar este certificado» (clic) à Instalar el certificado· Botón «Si» (clic) à Indica que se desea instalar el certificado· Cerrar el Internet Explorer· Maximizar el snap-in Entidad emisora de certificados· Presionar la tecla F5 para actualizar los datos (Deberá aparecer el nuevo certifi

cado emitido recientemente)· Doble clic en el certificado para acceder a sus propiedades· Solapa «Detalles» (clic) à Observar los detalles del certificado· Botón «Aceptar» (clic) à Cerrar la ventana de propiedades del certificado· Cerrar el snap-in Entidad emisora de certificados

Ejercicio 1:


Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «supadm» (sin las comillas) como nombre de usuario y «AdM933sUP» (sin lascomillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


· Colocar http://mgp-srv01.megapack.com.ar/certsrv (sin las comillas) en el cuadro de texto y presionar la tecla ENTER à Acceder a la interfaz web de herra mientas de inscripción de certificado

· Establecer la siguiente configuración el el cuadro de dialogo de autenticación:Nombre de usuario: supadmContraseña: AdM933sUPDominio: megapack

· Botón «Aceptar» (clic) à Enviar las credenciales al servidor· Solicitar un certificado (clic para marcar) à Establece que se desea solicitar un

certificado a la entidad

Servidores de infraestructura de llave pública en Windows 2000 Server374

· Botón «Siguiente» (clic)· Solicitud de certificado de usuario (clic para marcar) à Establece que tipo de solicitud

se desea realizar.· Botón «Siguiente» (clic)· Botón «Más opciones» (clic) à Desplegar las opciones adicionales.· Botón «Enviar» (clic) à Envía la solicitud· Botón «Si» (clic) à Aceptar la ventana de información y cerrarla.· Link «Instalar este certificado» (clic) à Instalar el certificado· Botón «Si» (clic) à Indica que se desea instalar el certificado· Cerrar el Internet Explorer

Ejercicio 2:

Una vez en el escritorio se procederá de la siguiente manera:· Menú Inicio (clic)· Ejecutar (clic)

· Colocar http://mgp-srv01.megapack.com.ar/certsrv (sin las comillas) en el cuadro detexto y presionar la tecla ENTER à Acceder a la interfaz web de herramientas de inscripciónde certificado· Establecer la siguiente configuración el el cuadro de dialogo de autenticación:

Nombre de usuario: SupervisorContraseña: MgP393pDCDominio: megapack

· Botón «Aceptar» (clic) à Enviar las credenciales al servidor· Solicitar un certificado (clic para marcar) à Establece que se desea solicitar un

certificado a la entidad· Botón «Siguiente» (clic)· Solicitud avanzada (clic para marcar) à Establece que tipo de solicitud se desea

realizar.· Botón «Siguiente» (clic)· Enviar solicitud de certificado CA usando forma (clic para marcar) à Establece que se

realizará una solicitud por medio de un formulario· Botón «Siguiente» (clic)· Seleccionar «Servidor Web» de la lista desplegable «Plantilla de Certificados» y establecer

la siguiente configuración:Nombre: Web Server MegaPackCorreo electrónico: [email protected]ñía: MegaPackDepartamento: ServidoresCiudad: La PlataEstado: Buenos AiresPaís/región: AR

· Botón «Enviar» (clic) à Envía la solicitud· Botón «Si» (clic) à Aceptar la ventana de información y cerrarla.· Link «Instalar este certificado» (clic) à Instalar el certificado· Botón «Si» (clic) à Indica que se desea instalar el certificado· Cerrar el Internet Explorer


Ejercicio 4:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· Entidad emisora de certificados (clic) à ejecuta el snap-in de administración de la

entidad emisora de certificados· CA de la Empresa (doble clic para expandir)· Certificados emitidos (clic) Observar que los 2 certificados con ID más altos (son los emitidos recientemente para supadm y para el webserver a nombre de Supervisor)

· Certificado de supadm (MEGAPACK\supadm) (clic con el botón derecho del mouse)· Todas las tareas (clic)· Revocar certificado (clic) à Establece que se desea revocar el certificado seleccionado· Seleccionar «Compromiso clave» de la lista desplegable «Código de motivo:» à establece

cual es el motivo por el cual se decide revocar el certificado· Botón «Si» (clic) à Acepta los parámetros y cierra la ventana


376 Servicios de correo en Windows 2000

Servicios de correo en Windows 2000

Clase teórica 23

El protocolo simple de transferencia de correo electrónico (Simple MailTransfer Protocol o SMTP), es un protocolo de red basado en texto utilizadopara el intercambio de mensajes de correo electrónico entre computadoras odistintos dispositivos (PDA’s, Celulares, etc).

El correo electrónico (E-mail) es probablemente la aplicación TCP/IP más usada.Los protocolos de correo básicos de correo proporcionan intercambio de correoy mensajes entre hosts TCP/IP; se han añadido servicios para la transmisiónde datos que no se pueden representar con texto ASCII de 7 bits.

Hay tres protocolos estándares que se aplican a este tipo de correo. Todos sonrecomendados. El término SMTP se emplea con frecuencia para referirse a lacombinación de los tres protocolos, por su estrecha interrelación, peroestrictamente hablando, SMTP es sólo uno de los tres. Normalmente, el contextohace evidente de cuál de los tres se está hablando. Cuando haya ambigüedad,se emplearán los números STD o RFC. Los tres estándares son:

Un estándar para el intercambio de correo entre dos ordenadores (STD10/RFC 821), que especifica el protocolo usado para enviar correo entrehosts TCP/IP. Este estándar es SMTP.

Un estándar (STD 11) para el formato de los mensajes de correo, contenidoen dos RFCs. El RFC 822 describe la sintaxis de las cabeceras y suinterpretación. El RFC 1049 describe como un conjunto de documentosde tipos diferentes del texto ASCII plano se pueden usar en el cuerpo delcorreo. El nombre oficial del protocolo para este estándar es MAIL.

Un estándar para el encaminamiento de correo usando el DNS, descritoen el RFC 974. El nombre oficial del protocolo para este estándar esDNS-MX.

El STD 10/RFC 821 establece que los datos enviados por SMTP son ASCII de7-bis, con el bit de orden superior a cero. Esto es adecuado para mensajes eninglés, pero no para otros lenguajes o datos que no sean texto. Hay dosestrategias para superar estas limitaciones:

MIME («Multipurpose Internet Mail Extensions»): definido en los RFCs 1521y 1522, que especifica un mecanismo para codificar texto y datos binariosen ASCII de 7 bits en el mensaje RFC 822.

SMTPSE («SMTP Service Extensions»): que define un mecanismo paraextender las posibilidades de SMTP más allá de las limitaciones impuestaspor RFC 821. Actualmente hay tres RFCs que lo describen:

Un estándar para que un receptor SMTP informe al emisor que extensionesde servicio soporta (SMTPSE) soporta (RFC 1651). El RFC 1651 modificael 821 para permitir que un cliente agente SMTP solicite al servidor unalista de las extensiones de servicio que soporta el inicio de una sesión

DiccionarioSTD:

Representa unaespecificación técnicaestándar deInternet, compuestapor una o mas RFC(pedido decomentario) con unaclasificación normal

RFC:

Request ForComments. Conjuntode notas técnicas yorganizativas dondese describen losestándares orecomendaciones deInternet.


Definir RFC:Definir SMTP:

SMTP. Si el servidor no soporta este RFC, responderá con un error y elcliente podrá terminar la sesión o intentar iniciar una sesión según lasreglas RFC 821. Si lo soporta, puede responder con una lista de lasextensiones que soporta. IANA (Internet Assigned Numbers Authority)mantiene un registro de servicios: la lista inicial del RFC 1651 contiene loscomandos listados en el RFC 1123 - Requerimientos para hosts de Internet- Aplicación y soporte como opcionales en servidores SMTP. Se handefinido otras extensiones con RFCs del modo habitual.

Los dos siguientes RFCs definen extensiones específicas:

Un protocolo para transmisión de texto de 8 bits(RFC 1652) que permite aun servidor SMTP indicar que puede aceptar datos formados por bytes de8 bits. Un servidor que informa que dispone de esta extensión no debemodificar el bit de orden superior de los bytes recibidos en un mensajeSMTP si el cliente así se lo pide.

Las extensiones de MIME y SMTP son estrategias que se complementanmás que competir entre sí. En particular, el RFC 1652 se titula SMTPSEpara transporte MIME en codificación «8bit», ya que MIME permite declararmensajes con bytes de 8 bits, en vez de 7. Tales mensajes no se puedentransmitir con agentes SMTP que sigan estrictamente el RFC 821, perose pueden transmitir cuando tanto el cliente como el servidor siguen losRFCs 1651 y 1652. Siempre que un cliente intenta enviar datos de 8 bits aun servidor que no soporta esta extensión, el cliente SMTP debe codificarel mensaje a 7 bits según el estándar MIME o devolver un mensaje deerror permanente al usuario. Esta extensión no permite el envío de datosbinarios arbitrarios porque el RFC 821 fija la longitud máxima de las líneasaceptadas por un servidor SMTP a 1000 caracteres.

Un protocolo para la declaración del tamaño del mensaje (RFC 1653) que permitea un servidor informar al cliente del tamaño máximo de mensaje que puedeaceptar. Sin esta extensión, un cliente sólo puede ser informado de que unmensaje ha excedido el tamaño máximo (sea fijo o temporal, por falta de espacioen el servidor) tras transmitir todo el mensaje. Cuando esto sucede, el servidordesecha el mensaje. Con ella, el cliente puede declarar el tamaño estimado delmensaje y el servidor devolverá un error si es demasiado grande.

FUNCIONAMIENTO

SMTP se basa en el modelo cliente-servidor, donde un cliente envía un mensajea uno o varios receptores.

Las extensiones limitanespecíficamente el usode caracteres no ASCII(aquellos con valor

decimal superior a 127) alcuerpo de los mensajes -no están permitidos enlas cabeceras RFC 822.

Nota

Actividad


En el conjunto de protocolos TCP/IP, el SMTP va por encima del TCP, usandonormalmente el puerto 25 en el servidor para establecer la conexión.

EJEMPLO DE UNA COMUNICACIÓN SMTP

En primer lugar se ha de establecer una conexión entre el emisor (cliente) y elreceptor (servidor). Esto puede hacerse automáticamente con un programacliente de correo o mediante un cliente telnet.

En el siguiente ejemplo se muestra una conexión típica. Se nombra con la letraC al cliente y con S al servidor.

S: 220 Servidor ESMTPC: HELOS: 250 Hello, please meet youC: MAIL FROM: [email protected]: 250 OkC: RCPT TO: [email protected]: 250 OkC: DATAS: 354 End data with <CR><LF>.<CR><LF>C: Subject: Campo de asuntoC: From: [email protected]: To: [email protected]:C: Hola,C: Esto es una prueba.C: Adios.C: .S: 250 Ok: queued as 12345C: quit

S: 221 Bye

RESUMEN SIMPLE DEL FUNCIONAMIENTO DEL PROTOCOLO SMTP:

En el protocolo SMTP todas las órdenes, réplicas o datos son líneas de texto,delimitadas por el carácter <CRLF>. Todas las réplicas tienen un código numéricoal comienzo de la línea.

Cuando un cliente establece una conexión con el servidor SMTP, espera aque éste envíe un mensaje «220 Service ready» o «421 Service nonavaialable»

Se envía un HELO desde el cliente. Con ello el servidor se identifica. Estopuede usarse para comprobar si se conectó con el servidor SMTPcorrecto.

El cliente comienza la transacción del correo con la orden MAIL. Comoargumento de esta orden se puede pasar la dirección de correo al que elservidor notificará cualquier fallo en el envío del correo. El servidor responde«250 OK».

Ya le hemos dicho al servidor que queremos mandar un correo, ahorahay que comunicarle a quien. La orden para esto es RCPT


¿Cuál de los siguientes no es una orden SMTP?

( ) Helo ( ) Data ( ) Mail to

TO:<destino@host>. Se pueden mandar tantas órdenes RCPT comodestinatarios del correo queramos. Por cada destinatario, el servidorcontestará «250 OK» o bien «550 No such user here», si no encuentra aldestinatario.

Una vez enviados todos los RCPT, el cliente envía una orden DATA paraindicar que a continuación se envían los contenidos del mensaje. Elservidor responde «354 Start mail input, end with <CLRF>.<CLRF>» Estoindica al cliente como ha de notificar el fin del mensaje.

Ahora el cliente envía el cuerpo del mensaje, línea a línea. Una vezfinalizado, se termina con un <CLRF>.<CLRF> (la última línea será unpunto), a lo que el servidor contestará «250 OK», o un mensaje de errorapropiado.

Tras el envío, el cliente, si no tiene que enviar más correos, con la ordenQUIT corta la conexión. También puede usar la orden TURN, con lo que elcliente pasa a ser el servidor, y el servidor se convierte en cliente.Finalmente, si tiene más menajes que enviar, repite el proceso hastacompletarlos.

Puede que el servidor SMTP soporte las extensiones definidas en el RFC 1651,en este caso, la orden HELO puede ser sustituida por la orden EHLO, con loque el servidor contestará con una lista de las extensiones admitidas. Si elservidor no soporta las extensiones, contestará con un mensaje «500 Syntaxerror, command unrecognized».

En el ejemplo pueden verse las órdenes básicas de SMTP:

HELO, para abrir una sesión con el servidor

MAIL FROM, para indicar quien envía el mensaje

RCPT TO, para indicar el destinatario del mensaje

D ATA, para indicar el comienzo del mensaje, éste finalizará cuando haya

una línea únicamente con un punto.

QUIT, para cerrar la sesión

Las respuestas que da el servidor pueden ser de varias clases:

Actividad


2XX, para una respuesta afirmativa

3XX, para una respuesta temporal afirmativa

4XX, para una respuesta de error, pero se espera a que se repita la

instrucción

5XX, para una respuesta de error

Una vez que el servidor recibe el mensaje finalizado con un punto puede bienalmacenarlo si es para un destinatario que pertenece a su dominio, o bienretransmitirlo a otro servidor para que finalmente llegue a un servidor del dominiodel receptor.

FORMATO DEL MENSAJE

Como se muestra en el ejemplo anterior, el mensaje es enviado por el clientedespués de que éste mande la orden DATA al servidor. El mensaje estácompuesto por dos partes:

Cabecera: en el ejemplo las tres primeras líneas del mensaje son lacabecera. En ellas se usan unas palabras clave para definir loscampos del mensaje. Éstos campos ayudan a los clientes de correo aorganizarlos y mostrarlos. Los más típicos son subject (asunto), from(emisor) y to (receptor). Éstos dos últimos campos no hay que confundirloscon las órdenes MAIL FROM y RCPT TO, que pertenecen al protocolo,pero no al formato del mensaje.Cuerpo del mensaje: es el mensaje propiamente dicho. En el SMTP básicoestá compuesto únicamente por texto, y finalizado con una línea en la queel único carácter es un punto.

SEGURIDAD Y SPA M

Una de las limitaciones del SMTP original es que no facilita métodos deautenticación a los emisores, así que se definió la extensión SMTP-AUTH.

A pesar de esto, el spam es aún el mayor problema. No se cree que lasextensiones sean una forma práctica para prevenirlo. Internet Mail 2000 es unade las propuestas para reemplazarlo.

ESPECIFICACIONES DEL PROTOCOLO SMTP

El protocolo SMTP aparece descrito en la RFC-891 (SDT 10). Especificaremosel formato de las órdenes que el proceso cliente de la máquina origen utilizapara transmitir el correo al proceso servidor en la máquina destino, así comolas respuestas que esta devuelve tras realizar las operaciones solicitadas.


Definir Cabecera:

La comunicación entre el cliente y el servidor consiste en líneas de texto legible(caracteres ASCII de 7 bits) con una rígida sintaxis. El tamaño máximo permitidopara estas líneas es de 1000 caracteres.

Las líneas enviadas por el cliente, denominadas comandos, consisten en uncódigo identificador de la operación, formado por cuatro letras, mas una seriede argumentos, como se muestra en la siguiente tabla.

Comando Descripción HELO Identifica al servidor frente al cliente. MAIL Envíala dirección de origen del mensaje. RCPT Envía la dirección del buzón de destinodel mensaje DATA Indica el inicio de la transmisión del mensaje. RSET Abordala transacción en curso y borra todos los registros. SEND* Inicia una transacciónen la cual el mensaje se entrega a una terminal. SOML* El mensaje se entregaa un terminal o a un buzón. SAML* El mensaje se entrega a un terminal y a unbuzón. VRFY Solicita al servidor la verificación del argumento. EXPN* Solicita alservidor la confirmación del argumento. HELP* Permite solicitar informaciónsobre un comando. NOOP Se emplea para reiniciar los temporizadores. QUITSolicita al servidor que cierre la conexión. TURN* Solicita al servidor queintercambien los paquetes.

La respuesta del servidor consta de un código numérico de tres dígitos (que setransmite contres caracteres alfanuméricos), seguido de un texto explicativo.El número va dirigido a un procesado automático de la respuesta por autómata,mientras que el texto permite que un humano interprete la respuesta.

De los tres dígitos del código numérico, el primero indica la categoría de larespuesta:

respuesta de finalización alternativa (2xx): la operación solicitada mediante elcomando anterior a sido concluida con éxito; respuestas intermedias positivas(3xx): la orden ha sido aceptada, pero el servidor esta pendiente de que el clientele envíe nuevos datos para terminar la operación; repuesta de finalización negativatransitoria (4xx): la acción demandada no puede realizarse por un error decarácter secundario, si bien es posible solicitar más tarde; repuesta de finalizaciónnegativa permanente (5xx): la orden no acepto. Ejemplo de transferencia demensajes SMTP

Las líneas precedidas de <<«C:»>> corresponden a comandos emitidos por elcliente y las comienzan con <<«S:»>> son las consiguientes respuestas quedevuelve el servidor.

Actividad

Definir Cuerpo del mensaje:


S: <en espera de conexión TCP en el puerto 25>

c: <abre la conexión con el servidor>

s:220 beta.gov Simple Mail Transfer Service ready

c:HELO <alpha.edu>

s:250 beta.gov

c:MAIL from : <[email protected]>

s:250 OK

c:RCPT TO: <[email protected]>

s:250 OK

c:RCPT TO: <[email protected]>

s:550 No such user here

c:DATA

s:354 Start mail input; end with <CRLF>.<CRLF>

c:.... se envía el contenido del mensaje (cabecera y cuerpo)...

s:<CRLF>.<CRLF>

s:250 OK

c:QUIT

s:221 beta.gov Service closing transmition channel

FUNCIONAMIENTO DE SMTP

1. Conexión al inicio del protocolo

Cuando se emplea el protocolo TCP el servidor SMTP escucha permanentementeal puerto 25, en espera de algún cliente que desea enviarlo. El protocolo deaplicación SMTP inicia el comando HELO, seguido de la identificación del cliente,el servidor lo acepta con un código <<250 OK>>.

2. Envío de mensajes

Una vez iniciado el protocolo, se realiza el envío de mensajes desde el cliente alservidor, mediante el siguiente proceso.

2.1. Envío del sobre

En primer lugar se transmite la dirección del buzón del origen del mensaje, elcomando es el MAIL FROM y si el servidor acepta envía el mensaje 250 OK.Luego se trasmite la dirección de destino, mediante el comando RCPT TO y elservidor confirma con 250 OK , pero si el destinatario se envía 550 Failure.


Actividad

2.2. Envío del contenido del mensaje

El cliente informa al servidor de que va a enviar el mensaje mediante el comandoD ATA, si el servidor esta dispuesto envía 354, todas las líneas que el clienteenvía a partir de este momento se considera parte del contenido del mensaje, alfinal del mensaje se considera enviando el <<.>>, cuando el servidor recibe el findel mensaje confirma con 250 OK.

3. Cierre de la conexión

Una vez enviado todos los mensajes, el cliente puede cerrar la conexión medianteel comando QUIT, caso contrario la máquina que recibió los mensaje sea quienlas envíe con el comando TURN, el servidor confirma con 250 OK, dando unasección que se inicia con el comando HELO.

SMTP Y EL DNS

Si la red usa el concepto de dominio, un SMTP no puede entregar simplementecorreo a test.argentina.educacion abriendo una conexión TCP contest.argentina.educacion. Primero debe consultar al servidor de nombres parahallar a que host (en un nombre de dominio) debería entregar el mensaje.

Para la entrega de mensajes, el servidor de nombres almacena los RRs(«resource records») denominados MX RRs. Mapean un nombre de dominio ados valores:

Un valor de preferencia. Como pueden existir múltiples RRs MX para elmismo nombre de dominio, se les asigna una prioridad. El valor de prioridadmás bajo corresponde al registro de mayor preferencia. Esto es útil siempreque el host de mayor preferencia sea inalcanzable; el emisor SMTP intentaconectar con el siguiente host en orden de prioridad.

Un nombre de host.

También es posible que el servidor de nombres responda con una lista vacía deRRs MX. Esto significa que el nombre de dominio se halla bajo la autoridad delservidor, pero no tiene ningún MX asignado. En este caso, el emisor SMTP puedeintentar establecer la conexión con el mismo nombre del host.

El RFC 974 da una recomendación importante. Recomienda que tras obtenerlos registros MX, el emisor SMTP debería consultar los registros WKS (Well-

La conexión SMTP se cierra con:

( ) Quir ( ) Exit ( ) Bye


Known Services) del host, y chequear que el host referenciado tiene comoentrada WKS a SMTP.

Ejemplo de RRs MX:

fsc5.stn.mlv.fr. IN MX 0 fsc5.stn.mlv.fr. IN MX 2 psfred.stn.mlv.fr. IN MX 4 mvs.stn.mlv.fr.

IN WKS 152.9.250.150 TCP (SMTP)

En el ejemplo anterior, el correo para fsc5.stn.mlv.fr debería, por prioridad, serentregado al propio host, pero en caso de que el host sea inalcanzable, el correotambién podría ser entregado a psfred.stn.mlv.fr o a mvs.stn.mlv.fr (sipsfred.stn.mlv.fr no se pudiera alcanzar tampoco).

SERVIDORES DE CORREO POP («POST OFFICE PROTOCOL»)

Debido a que un receptor de correo SMTP es un servidor, y SMTP es unaaplicación punto-a-punto más que de retransmisión, es necesario que el servidoresté disponible cuando un cliente desea enviarle correo. Si el servidor SMTPreside en una estación de trabajo o en un PC, ese host debe estar ejecutandoel cuando el cliente quiera transmitir. Esto no suele ser un problema en sistemasmultiusuario porque están disponibles la mayor parte del tiempo. En sistemasmonousuario, sin embargo, este no es el caso, y se requiere un método paraasegurar que el usuario tiene un buzón disponible en otro servidor. Hay variasrazones por las que es deseable descargar a la estación de trabajo de lasfunciones del servidor de correo, entre ellas la falta de recursos en estacionesde trabajo pequeñas, la falta o encarecimiento de la conectividad TCP, etc.

La estrategia más simple es, por supuesto, usar un sistema multiusuario paralas funciones de correo, pero esto no suele ser deseable — quizá el usuario nolo va a usar para nada más, o quiere tener acceso a Alternativamente, el usuariofinal puede ejecutar un cliente que comunique con un programa servidor en unhost. Este servidor actúa tanto como emisor como receptor. Recibe y envía elcorreo del usuario.

Un método intermedio es descargar la función de servidor SMTP de la estaciónde trabajo del usuario final, pero no la función de cliente. Es decir, el usuarioenvía correo directamente desde la estación, pero tiene un buzón en un servidor.El usuario debe conectar con el servidor para recoger su correo.

El POP describe cómo un programa que se ejecuta en una estación de trabajofinal puede recibir correo almacenado en sistema servidor de correo. POP usael término «maildrop» para referirse a un buzón gestionado por un servidorPOP. POP 3 es un borrador y su status es electivo. La versión es un protocolohistórico con status no recomendado.

Esto es sólo una opcióndel protocolo, aunqueaparece en numerosasimplementaciones.

Nota


DIRECCIONANDO BUZONES EN SERVIDORES

Cuando un usuario emplea un servidor para las funciones de correo, la direccióndel buzón que ven otros usuarios SMTP se refiere exclusivamente al servidor.Por ejemplo, si dos sistemas se llaman:

eze.arg.redes.educacion yservidor.arg.redes.educacion

Usándose el primero como cliente y el segundo como servidor, la dirección decorreo podría ser:

[email protected]

Esta dirección de buzón aparecería en el campo «From:» de la cabecera detodo el correo saliente y en los comandos SMTP a servidores remotos lanzadospor el servidor.

Sin embargo, cuando el usuarios emplea un servidor POP, la dirección de correocontiene el nombre de host de la estación de trabajo (por ejemplonicolas@ Eze.arg.redes.educacion). En este caso, el emisor debería incluir uncampo «Reply-To:» en la cabecera para indicar que las réplicas no se deberíanenviar al emisor. Por ejemplo, la cabecera podría tener este aspecto:

Date: Fri, 10 Feb 95 15:38:23From: [email protected]: «ezequiel dario» <[email protected]>Reply-To: [email protected]: Test Reply-To: header fieldSe espera que el agente de correo envíe las respuestas a la dirección

«Reply-To:» y no a «From:».

USANDO DNS PA R A DIRIGIR CORREO

Una alternativa al uso del campo «Reply-To:» es usar el DNS para dirigir elcorreo al buzón correcto. El administrador del DNS con autoridad para el dominioque contiene la estación del usuario y el servidor de nombres pueden añadirregistros MX al DNS para dirigir el correo. Por ejemplo, los siguientes registrosMX indican a los clientes SMTP que, si el servidor SMTP enEze.arg.redes.educacion no está disponible, hay un servidor de correo enServer.arg.redes.educacion (10.24.104.180) que se debería usar en su lugar.

Server.arg.redes.educacion. IN WKS 10.24.104.180 TCP (SMTP)

Eze.arg.redes.educacion. IN MX 0 eze.arg.redes.educacion

IN MX 1 server.arg.redes.educacion


Clase práctica 23

Servidor SMTP y POP3 en Windows 2000

Para esta práctica se asume que el alumno cuenta con el cd de instalación múltiple deWindows 2000 (Server, Advanced Server y Professional), y el software EmailArchitec. Ademásdel servidor MGP-SRV01 configurado con DNS, WINS y DHCP como en las prácticas anteriores.

Ejercicio 1: En el Servidor 1 (MGP-SRV01)

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión(Iniciar como «Supervisor»).Introducir «MgP393pDC» (sin las comillas) como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:


Agregar o quitar programas del Panel de Control· Botón «Agregar o quitar componentes de Windows» (clic)· Servicios de Internet Information Server (IIS) (clic para marcar)· Botón «Detalles…» (clic) à Acceder a la lista de paquetes que se instalarán de IIS· Verificar que se encuentre marcada la casilla «Servicio SMTP» (de no ser así, marcarla

y presionar el botón «Siguiente» hasta finalizar la instalación· Cerrar el módulo Agregar o quitar programas.

Ejercicio 2:

Para este ejercicio se deberá solicitar al instructor que le facilite el programa «Email Architect».Este programa es el servidor POP3 que se usará para obtener los correos ya que por defectoWindows 2000 no trae incorporado un servidor POP3.Suponiendo que el instalador de «EmailAchitect» ya fue copiado al escritorio se deberá procederde la siguiente manera:

· Icono «EASetup» (doble clic) à Ejecuta el programa de instalación· Botón «Next» (clic) à Pasar la pantalla de presentación· Botón «I Agree» (clic) à Aceptar el contrato de licencia·· Botón «Install» (clic) à Indica que se desea instalar el programa en la ruta

predeterminada.· Botón «Finish» (clic) à Finalizar el proceso de instalación y ejecutar automáticamente

el programa de administración

Mediante la realización de esta práctica usted podrá conocer la función que cumple el protocolo SMTPasí como su correcta instalación y configuración, además de su relación directa con servidores decorreo.



Ejercicio 2:

Una vez en la pantalla principal del programa se procederá de la siguiente manera:

· Menú «System Password» (clic)· Enlace «Set the password of «System» account» (clic) à Crear una contraseña para

la cuenta del sistema· Establecer la siguiente configuración:

§ New password: MgP393pDC§ Retype password: MgP393pDC

· Botón «OK» (clic) à Cambiar la contraseña· Botón «Aceptar»(clic) à Cerrar el dialogo de información que indica que la contraseña

ha sido cambiada· Menú «Web Access» (clic)· Enlace «Click here to logon Web Access» (clic)· Establecer la siguiente configuración:

§ User ID: system§ Password: MgP393pDC

· Botón «Continue à » (clic) à Envía las credenciales al servidor· Menú «Domains» (clic)· New Domain (clic) à Crear un nuevo dominio· Establecer la siguiente configuración:

§ Domain: megapack.com.ar§ Active: (clic para marcar)§ Domain type: Local§ Max users: 250§ Quotas for Each User: 10 MB

· Botón «OK à » (clic) à Guardar la nueva configuración· User Management (clic) à Acceder a la administración de usuarios· New User (clic)· Establecer la siguiente configuración:

§ User: administración§ Active: (clic para marcar)§ First Name: Supervisor§ Last Name: Administración§ Department: Ventas§ Password: AdM933sUP§ Retype Password: AdM933sUP§ Maximum Size of Single Email: 4096§ Quota Size: 10§ User can change password (clic para marcar)§ Enable «Forgot Password» (clic para marcar)§ Anti-Spam Level: Low – obvious junk email is caught

· Botón «OK à » (clic) à Crea el nuevo usuario· User Management (clic) à Acceder a la administración de usuarios· New User (clic)· Establecer la siguiente configuración:

§ User: sistemas§ Active: (clic para marcar)§ First Name: Eduardo§ Last Name: Cabañas§ Department: Sistemas


§ Password: EdU266cAB§ Retype Password: EdU266cAB§ Maximum Size of Single Email: 4096§ Quota Size: 10§ Domain Administrator (clic para marcar)§ User can change password (clic para marcar)§ Enable «Forgot Password» (clic para marcar)§ Anti-Spam Level: Low – obvious junk email is caught

· Botón «OK à » (clic) à Crea el nuevo usuario· Cerrar todas las ventanas que se encuentren abiertas

Ejercicio 3:


· Menú Inicio (clic)· Programas (clic)· Herramientas administrativas (clic)· DNS (clic) à Ejecutar la consola de administración WINS· MGP-SRV01 [172.16.1.1] (doble clic)· Zonas de búsqueda directa (doble clic)· megapack.com.ar (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el dominio megapack.com.ar· Establecer la siguiente configuración:· Nombre: webmail· Dirección IP: 192.168.0.1· (marcar la opción «Crear registro del puntero (PTR) asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host· megapack.com.ar (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el dominio megapack.com.ar· Establecer la siguiente configuración:· Nombre: smtp· Dirección IP: 192.168.0.1· (marcar la opción «Crear registro del puntero (PTR) asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host· megapack.com.ar (clic con el botón derecho del mouse)· Host nuevo… (clic) à Crear un nuevo host para el dominio megapack.com.ar· Establecer la siguiente configuración:· Nombre: pop3· Dirección IP: 192.168.0.1· (marcar la opción «Crear registro del puntero (PTR) asociado»)· Botón «Aceptar» (clic)· Botón «Realizado» (clic) à cerrar la ventana para agregar nuevo host· Cerrar la consola de administración DNS


En el Worstation 1 (MGP-WST01)

Ejercicio 1:

Una vez iniciado el sistema se procederá a iniciar sesión como supadm presionandosimultáneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesión.Introducir «supadm» (sin las comillas) como usuario y «AdM933sUP» (sin las comillas) comocontraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Menú Inicio (clic)· Ejecutar (clic)· Colocar «http://webmail.megapack.com.ar/emailarchitect/» en el cuadro de texto y

presionar la tecla ENTER à Acceder al servicio de Webmail· Colocar «administració[email protected]» (sin las comillas) como «User ID:» y«AdM933sUP» (sin las comillas) como «Password»· Botón «Continue à » (clic) à Enviar las credenciales y acceder a la interfaz webmail· Create Mail (clic) à Redactar un nuevo correo· Establecer la siguiente configuración:o To: [email protected] Cc: [email protected] Subject: Prueba de correoo Colocar «Probando la cuenta de correo desde la interfaz WebMail.» En el cuerpo delmail.

· Botón «Send à » (clic) à Enviar el correo· Botón «OK» (clic) à Guarda las direcciones de los 2 nuevos contactos en la libreta

de direcciones.· Inbox(1) (clic) à Ir a la bandeja de entrada· Observar que efectivamente ha llegado el correo· Cerrar todas las ventanas· Menú «Inicio» (clic)· Apagar… (clic)· Seleccionar la opción «Cerrar sesión supadm» de la lista desplegable y presionar la

tecla ENTER

Ejercicio 2:

Una vez iniciado el sistema se procederá a iniciar sesión como Administrador presionandosimultáneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio desesión.Introducir «Supervisor» (sin las comillas) como usuario y «MgP393pDC» (sin las comillas)como contraseña y presionar la tecla ENTERUna vez en el escritorio se procederá de la siguiente manera:

· Icono de «Outlook Express» (El sobre que se encuentra en la barra de tareas) (clic)à Ejecutar Microsoft Outlook Express

· Deseo configurar manualmente mi conexión a Internet (clic) à Establece que sedesea configurar la conexión de manera personalizada

· Botón «Siguiente» (clic)· Tengo acceso a Internet por medio de una red de área local (LAN) (clic)· Botón «Siguiente» (clic)· Botón «Siguiente» (clic) à Establece la configuración predeterminada· Si, deseo configurar una cuenta ahora. (clic) à Establece que se desea crear una


cuenta de correo· Botón «Siguiente» (clic)· Colocar «Eduardo Cabañas» (sin las comillas) en el cuadro de texto «Nombre para

mostrar:»· Botón «Siguiente» (clic)· Colocar «[email protected]» (sin las comillas) en el cuadro de texto «Dirección

de correo electrónico:»· Botón «Siguiente» (clic)· Establecer la siguiente configuración:

o Servidor de correo entrante (POP3, IMAP o HTTP): pop3.megapack.com.aro Servidor de correo saliente (SMTP): smtp.megpack.com.ar

· Botón «Siguiente» (clic)· Establecer la siguiente configuración:

o Nombre de cuenta: [email protected] Contraseña: EdU266cABo Recordar contraseña (clic para marcar)

· Botón «Siguiente» (clic)· Botón «Finalizar» (clic) à Finaliza el asistente y ejecuta Outlook Express· Bandeja de entrada (clic) à Acceder a la bandeja de entrada (donde podremos

observar, si todo fue bien, que tenemos un correo de «Supervisor Administración» conel asunto «Prueba de correo»

· Prueba de correo (doble clic) à Leer el correo· Botón «Responder» (clic) à Responder al remitente

· Colocar «[email protected]» (sin las comillas) en el cuadro de texto «Cc:»· Colocar «El correo llegó satisfactoriamente. Respondiendo desde Outlook Express» (sinlas comillas) En el cuerpo del correo y presionar el botón «Enviar»· Botón «Enviar y Recibir» (clic) à Revisar los servidores en busca de nuevos correos· Verificar que en la bandeja de entrada esté el correo de respuesta al supervisor deadministración que enviamos con copia a sistemas.· Si se desea también se puede verificar que efectivamente le haya llegado el correo alsupervisor administración (por webmail o configurando su cuenta en Outlook)

392 IntelliMirror en Windows 2000 Server

IntelliMirror en Windows 2000 Server

Clase teórica 24

INTRODUCCIÓN

IntelliMirror proporciona la funcionalidad sígueme para el entorno de computaciónpersonal. La siguiente figura muestra la implementación de las tecnologías deadministración IntelliMirror en la plataforma Windows 2000. Las tecnologías deadministración IntelliMirror funcionan en segundo plano para administrar elsoftware, la configuración y los datos de los usuarios de forma eficaz y ahorrandotiempo. Esta solución para la computación empresarial ayuda a los usuarios deWindows 2000 a realizar sus tareas basadas en Windows de forma mas eficazy reduciendo los costos de computación de las empresas.

Características

Instalación remota del sistema operativo

IntelliMirror

Instalación de software

Administración de la configuración del usuario

Administración de los documentos de usuario

Tecnologías de administración de IntelliMirror

FUNCIONES PRINCIPALES DE INTELLIMIRROR

1. Administración de datos del usuario: Esta función proporciona opciones deconfiguración de directiva para definir las propiedades y ubicaciones de archivos,documentos, cuadernos de trabajo y demás información, de forma que los datosdel usuario estén disponibles en cualquier equipo tanto con conexión como sinella.

2. Instalación y mantenimiento del software: Esta función proporciona opcionesde configuración de directiva para definir la instalación, configuración, reparacióny eliminación de aplicaciones, Service Packs y actualizaciones de software.

3. Administración de configuraciones del usuario: Esta función proporcionaconfiguraciones de directivas para definir tanto opciones de personalización comocualquier restricción aplicable al sistema operativo, entorno de escritorio yaplicaciones para casa usuario. Esto incluye configuración del idioma, diccionariospersonalizados, configuraciones de escritorio y otras preferencias y restriccionesdel usuario.


Definir Intellimirror:

Aunque la mayoría de las funciones de IntelliMirror se pueden aplicar a travésde la Política de grupo y Active Directory, estas tecnologías no son necesariaspara todas las funciones de IntelliMirror. La mayoría de las funciones se puedenestablecer a nivel local o a través de las políticas locales. Algunas funcionesIntelliMirror, como las carpetas fuera de línea, no requieren políticas locales paraser establecidas y únicamente requieren que el cliente Windows 2000Professional tenga acceso al servidor que soporta el protocolo Server MessageBlock (SMB).Esto significa que el uso de IntelliMirror en una organización se realiza con baseen las necesidades de la misma. Cuando se planea utilizar IntelliMirror, unaorganización debe evaluar cuáles funciones de IntelliMirror son necesarias, ydespués implementar la tecnología requerida para cumplir dichas necesidades.

ROL DE LA POLÍTICA DE GRUPO EN INTELLIMIRROR

IntelliMirror proporciona la administración de cambio y configuración a través dela administración basada en políticas. La administración basada en políticas serefiere al uso de la política local o de la Política de grupo para definir lasconfiguraciones y capacidades de un usuario o computadora. La política localse establece en una computadora local, donde la Política de grupo se configuray afecta los grupos de usuarios o computadoras a través de Active Directory.Por medio del uso de la Política de grupo, IntelliMirror puede ayudar en lacentralización y simplificación de la administración de cambio y configuración.La Política de grupo se puede utilizar para aplicar requerimientos de negocios yestándares de la compañía de manera central en grupos de usuarios ycomputadoras. Los grupos son considerados como una recopilación de losobjetos del usuario y de la computadora que están almacenados en ActiveDirectory. La capacidad de administrar centralmente usuarios y computadorasmúltiples disminuye en gran medida el tiempo y el esfuerzo que un administradordebe emplear en la administración. Una vez que la Política de grupo se aplica, elsistema mantiene ese estado sin necesidad de intervención posterior.

M AYOR DISPONIBILIDAD DEL AMBIENTE PERSONAL

Las personas utilizan las computadoras en un estado autónomo, así como enun estado conectado a la red. Asimismo, las personas cambian con frecuenciaentre estos estados durante la realización de sus trabajos. IntelliMirror permiteobtener el mayor provecho de una computadora personal, ya que los datos yconfiguraciones siguen al usuario, sin importar en qué estado de conectividad

Actividad

Las funciones deIntelliMirror son

componentes integradosdel sistema operativo

W indows 2000. Para unaorganización decualquier tamaño,

IntelliMirror permite unambiente más disponible

y controlado.

Nota

Definir Administración Basada en Políticas:


se encuentre. El aumento de disponibilidad de los datos y del ambiente personaldel usuario es el resultado de almacenar información en los servidores de red,así como en ubicaciones fuera de línea sincronizadas en la unidad de disco durolocal. La facilidad de uso proviene de la transferencia de esta función para elusuario. Los usuarios se pueden conectar a cualquier computadora y teneracceso a sus propios datos y documentos, sus propias preferencias yaplicaciones, sin tener que comprender lo que está sucediendo en un segundoplano.

ADMINISTRACIÓN DE DATOS DEL USUARIO

La administración de datos de usuario de IntelliMirror puede beneficiar de formaextraordinaria la administración de la red y proteger el trabajo crítico. IntelliMirrorconsigue esto reflejando los datos de los clientes que se conectan a la red.Además de proteger completamente los datos, se puede tener acceso a estosdesde cualquier parte de la red. Es posible seguir trabajando incluso cuando nose tiene acceso a la red. Se puede sincronizar los archivos con la red cuandose vuelva a conectar, de forma que siempre tenga la última versión de susdocumentos. Si se lleva el trabajo a casa o esta fuera de la ofician, siempretendrá acceso a sus documentos.Las características de la administración de datos de usuario de IntelliMirror utilizanlas siguientes tecnologías:

Active Directory es el servicio de directorio que utiliza Windows 2000Server.Almacena información acerca de los objetos de una red y hace que estainformación este disponible para los usuarios y administradores de la red.Directiva de grupo define los distintos componentes del entorno deescritorio del usuario que tiene que administrar un administrador delsistema. Por ejemplo, los programas que se encuentran disponibles paralos usuarios, los programas que aparecen en el escritorio del usuario ylas opciones del menú inicio, se definen mediante Directiva de grupo.Los archivos si conexión permite seguir trabajando con archivos yprogramas de red aunque no este conectado a la red. Si pierde su conexióncon la red o desconecta el equipo portátil, la vista compartida de loselementos de red que esta disponible sin conexión permanece justo comocuando estaba conectado. Puede seguir trabajando con ellos como lohace normalmente.El administrador de sincronización permite controlar cuando sesincroniza los archivos sin conexión con los archivos de red. Esto aseguratener la última información de la red o de Internet cuando se necesite,mientras que se minimiza el tiempo de inactividad en su equipo.Las cuotas de disco realizan un seguimiento y controlan el uso del espaciode disco de los volúmenes.Los perfiles de usuario móviles permiten el acceso a los perfilespersonales de usuario desde conexiones remotas.

Los datos de los usuarios pueden acompañar a estos cuando estén conectadosy utilizando la red o sin conexión de forma independiente, ya que intelliMirrorpuede almacenar los datos en ubicaciones de red especificas mientras hace


Definir Archivo sin Conexión:Definir Administrador de Sincronización:

que los datos aparezcan como locales para el usuario. Un administrador puedeorganizar los daos del usuario para que sigan a estos mediante:

Configurándolos manualmente en función de cada usuario o en función de ladirectiva de grupo.Redireccionando carpetas de datos de usuario especificas (igual q Misdocumentos o cualquier otra carpeta) a una ubicación de red y configurandoesta ubicación para que este disponible para utilizarla sin conexión. Cuando unusuario guarda un archivo en la carpeta especificada, Windows 2000 lo guardaen la red y vuelve a sincronizar el archivo con el equipo local. Esta sincronizaciónse produce en segundo plano y resulta invisible para el usuario.

El usuario funciona de igual forma tanto si esta conectado como si no. Lascaídas de red temporales no afectan al usuario. Cuando un usuario trabaja sinconexión, por que lo ha decidido así o por un error de red, todas las modificacionesy cambios realizados en cualquier dato del usuario se realizan en la copia local.Cada cierto tiempo, cuando el equipo vuelve a conectarse con la red, Windows2000 sincroniza la copia local , el administrador de sincronización solicita alusuario si guarda las dos copias o sincroniza una frente a la otra.

INSTALACIÓN Y MANTENIMIENTO DEL SOFTWARE

Las aplicaciones pueden seguir a los usuarios o computadoras de la mismaforma.Esto permite que algunas aplicaciones estén disponibles en cualquiercomputadora a la que se conecte el usuario. Desde el punto de vista del usuario,no existe necesariamente un proceso de instalación o configuración al instalarel software, siempre está disponible y funcional, utilizando la instalación justo atiempo y, de ser necesario, la reparación del software.Para las aplicaciones que han sido asignadas al usuario según la Política degrupo, la computadora del usuario se configura con un acceso rápido del menúde Inicio, y de esta forma se crean en el registro las asociaciones de archivocorrespondientes.Para el usuario aparece como si la aplicación ya estuviera presente. Sin embargo,la aplicación no está totalmente instalada, sino hasta que el usuario la necesitao la desea.

Esto significa que, cuando un usuario intenta abrir la aplicación o un archivoasociado con la misma, un servicio de segundo plano de Windows, denominadoW indows Installer, realiza verificaciones para asegurarse de que todos los

Actividad


archivos y parámetros de la aplicación están presentes, para que esta aplicaciónse ejecute de manera adecuada. De no estar presentes, el servicio WindowsInstaller las recupera y las instala desde un punto de distribución predeterminado.Una vez que se encuentran en su lugar, la aplicación se abre.

A diferencia de los mecanismos de instalación anteriores, por ejemplo algunosarchivos tradicionales Setup.exe, la instalación de la aplicación es eficiente, debidoa la forma en que las aplicaciones están creadas para utilizar el servicio WindowsInstaller.

De manera opcional, las aplicaciones también se pueden publicar por la Políticade grupo. Las aplicaciones que se publican aparecen en Agregar/Eliminarprogramas en el Panel de control. La instalación de las aplicaciones publicadasse realiza a discreción del usuario. De igual forma, la instalación sucede cuandoun usuario o aplicación intenta abrir un archivo que requiere una aplicaciónpublicada específica.Esto se conoce como solicitud de documento.

La reparación de la aplicación sigue la misma lógica que la de la instalaciónjusto a tiempo. En cualquier momento en que se solicite una aplicación originadapor Windows Installer, el servicio Windows Installer realiza verificaciones paraasegurar que los archivos correspondientes estén disponibles. La reparaciónde archivos y configuraciones faltantes es, por lo tanto, automática; por ejemplo,si un usuario elimina una .dll necesario, o incluso el archivo relacionado .exenecesario para utilizar la aplicación. Cuando el usuario abre la aplicación, enlugar de cerrarla, Windows Installer vuelve a instalar de manera automática estosarchivos desde un punto de distribución predeterminado, de manera que laaplicación funcione adecuadamente.

ADMINISTRACIÓN DE CONFIGURACIONES DEL USUARIO

Las configuraciones del usuario, como los datos del usuario, pueden seguir alusuario sin importar dónde se conecte éste, ya que IntelliMirror utiliza la Políticade grupo y Active Directory para almacenar todas las configuraciones importantesdel usuario.

Los administradores utilizan las configuraciones para personalizar y controlarlos ambientes computacionales del usuario y otorgar o denegar a los usuariosla capacidad de personalizar sus propios ambientes de computación. Estaconfiguración se puede aplicar a usuarios y computadoras. Cuando los usuarioscuentan con autorización, con frecuencia personalizan las configuraciones deestilo y predeterminación de su ambiente computacional de acuerdo con susnecesidades y hábitos de trabajo. Las configuraciones contienen tres tipos básicosde información: información del usuario y administrativa, información temporal ydatos específicos de la computadora local. Por ejemplo:

Las configuraciones del usuario incluyen elementos como favoritosde IE, vínculos rápidos, cookies y la libreta de direcciones del Web personalde Outlook Express o bitmap de segundo plano.Las configuraciones administrativas incluyen las configuraciones segurastípicas, por ejemplo, el comando de ejecución oculto, no permitir escrituras


Definir Solicitud de Documento:

a las carpetas del sistema y configurar elementos que el usuario puede veren el Panel de control.La información temporal incluye elementos como caché de Internet Explorer(IE) personal del usuario.Un ejemplo de configuraciones de computadora local sería las carpetas/archivos que están marcados para uso fuera de línea.

Cuando IntelliMirror administra las configuraciones del usuario, la Política degrupo asegura que únicamente se mantendrá información vital del usuario y lasconfiguraciones administrativas, al tiempo que las configuraciones temporalesy de computadora local se regeneran de manera dinámica y adecuada, segúnse requiera. Esto disminuye la cantidad de información que se debe almacenary transferir a través de la red, mientras permite a los usuarios tener unaexperiencia similar en cualquier computadora a la que se conecten.

Ejemplos donde se muestran algunos de los usos prácticos de IntelliMirror.Cada uno de los ejemplos se ajusta a todo el panorama, o se puede ver comoun evento separado, y muestra la manera en que IntelliMirror beneficia a toda laorganización mediante la reducción del tiempo y del esfuerzo relacionados conel mantenimiento del ambiente computacional.

Los Escenarios que se presentan analizan los siguientes eventos:

Escenario 1: Nueva contratación

Escenario 2: Primera conexión

Escenario 3: Llevar una laptop dentro o fuera de casa

Escenario 4: Regreso a la red con una laptop

Escenario 5: Software de autorreparación

Escenario 6: Reemplazo de una computadora

ESCENARIO 1: NUEVA CONTRATACIÓN

Una de las tareas más importantes de los profesionales de informática, y queles requiere más tiempo es la configuración de una nueva contratación en unacomputadora. En una organización que utiliza IntelliMirror, el recién contratado

Actividad

¿Qué beneficios aporta Inellimirror a unaorganización?


se conecta a una nueva computadora y encuentra documentos y accesosrápidos que ya se encuentran en el escritorio. Estos accesos rápidos se vinculana los archivos comunes, URL s y datos que son útiles para todos los empleados(por ejemplo, el cuaderno del empleado, un acceso rápido a la intranet y unacceso rápido a los lineamientos y procedimientos departamentales del usuario).

TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO

En este escenario, el usuario recibe un escritorio pre-configurado que contienedocumentos y accesos rápidos, que son considerados esenciales en laempresa.Este escritorio pre-configurado se configuró antes de que la persona reciéncontratada se conectara a la red, con base en los procesos empresarialesnecesarios dentro de la organización. Esto es posible mediante la Política degrupo.La Política de grupo es un conjunto de objetos y reglas que definen los recursosde la computadora disponibles para un grupo determinado. La Política de grupono se establece a nivel del usuario local ni de la computadora; se establece conbase en las agrupaciones y permisos de Active Directory, incluyendo Grupos deseguridad.Estos pueden definir varias computadoras y usuarios, que van desde una solacomputadora o usuario, hasta varios millones.

Los objetos de la Política de grupo (GPOs) pueden definir las diversas facetasdel ambiente de escritorio que un administrador necesita controlar, como elsoftware asignado, la capacidad de instalar aplicaciones adicionales, y tambiénmodificar las configuraciones de la computadora local.

Los GPOs se crean de manera acumulativa, desde la agrupación más grande(el dominio) hasta la más pequeña (el usuario o computadora individual). Notodas las configuraciones de Política de grupo tienen dichos efectos evidentesen la experiencia del usuario.Muchas de las políticas que se pueden aplicar habilitan la seguridad o controlsobre lo que un usuario puede hacer en una computadora. Un usuario no percibeque dicha política está siendo aplicada, o incluso no sabe que ha sido aplicadaalguna vez.

En el escenario anterior, durante la conexión, se realiza una asociación entre elusuario y la política del lado del servidor. En este momento, los datos y lainformación se proporcionan de manera inmediata a la computadora, sin que unadministrador tenga que tocarla. En este caso, el escritorio se configuró conanterioridad mediante el redireccionamiento de la carpeta de escritorio a laubicación de la red. Esto permite que la información y las configuraciones seestablezcan automáticamente y para varios usuarios, con base en unaconfiguración administrativa única en la Política de grupo. En este escenario, elescritorio ya cuenta con los elementos que puede requerir la persona reciéncontratada. Cuando ésta se conecta, los elementos del escritorio se copian aldirectorio del escritorio local como parte del mismo. Esto significa que ahora elusuario cuenta con elementos locales y puede utilizarlos sin tener que colocarningún límite en la red. Además, a medida que el usuario comienza a personalizar

DiccionarioURL

Uniform ResourceLocator - LocalizadorUniforme de Recurso.Es una secuencia decaracteres, deacuerdo a un formatoestándar, que se usapara nombrarrecursos, comodocumentos eimágenes enInternet, por sulocalización.


Definir URL:

sus configuraciones y elementos de escritorio, el escritorio del usuario sealmacena en una ubicación predeterminada en la red, y estas configuracionesse guardan como el escritorio de usuario. Esencialmente, al redireccionar elescritorio, el administrador permite que al usuario se le presente la informaciónempresarial requerida de manera exacta, cuando sea necesario.

ESCENARIO 2: PRIMERA CONEXIÓN

La persona recién contratada se conecta por primera vez y se da cuenta de queel software, como Microsoft Word, está presente en el menú de Inicio. Cuandoel usuario selecciona Word desde el menú de Inicio, se instala de maneraautomática.En caso de que el usuario haga doble clic a la libreta del empleado para abrirla,Word se instala de manera automática y la libreta del empleado aparece en lapantalla del usuario.

TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO Y WINDOWS INSTALLER

La instalación y mantenimiento del software, administrado a través de la Políticade grupo y del servicio Windows Installer, habilita las tecnologías en esteescenario.Con base en la membresía Active Directory del usuario y en la Política de grupoaplicada con base en la ubicación del usuario en Active Directory, al usuario sele asignó Word como una de las aplicaciones relacionadas con su puesto.

Cuando el usuario se conecta, se aplica el grupo de políticas resultante de todassus membresías Active Directory. Cuando un usuario solicita una aplicación oabre un documento, el servicio Windows Installer realiza el resto del trabajo. Deesta manera, IntelliMirror asegura que los elementos necesarios y correctosque se le asignaron al usuario aparezcan en el menú de Inicio.

Al utilizar la Política de grupo, el administrador puede asignar o publicar diferentesversiones configuradas de la misma aplicación para diferentes recopilacionesde usuarios. Cuando se solicita una aplicación, el servicio Windows Installerinstala o repara la aplicación. Esto se lleva a cabo mediante una referencia a labase de datos interna para toda la información necesaria sobre cómo se instalala aplicación, dónde se encuentra la fuente de la aplicación y cómo se va aconfigurarla misma.

Actividad

Cuál de las siguientes no es una tecnologíautilizada por Intellimirror:

( ) Política de Grupo ( ) Windows Installer

( ) Windows MSI


IntelliMirror utiliza el servicio Windows Installer para proporcionar distribucióndel software justo a tiempo en las computadoras cliente. Cuando el usuariolanza Word o abre la libreta del empleado por primera vez, el servicio WindowsInstaller verifica para ver si la aplicación está instalada en la computadora local.De no ser así, Windows Installer descarga e instala los archivos necesariospara que se ejecute Word y para establecer las configuraciones necesariaspara el usuario localy la computadora. Aunque Windows Installer continúa verificando cada vez quese solicita la aplicación, no trata de reinstalar o reparar la aplicación, a menosque los archivos necesarios no se encuentren.

Asimismo, IntelliMirror puede desinstalar, restablecer y actualizar software. Aldesinstalar software, todas las partes se eliminan de manera correcta; en elrestablecimiento, se aplican nuevos elementos y actualizaciones a lasaplicaciones ya instaladas; en la actualización de aplicaciones, se elimina laaplicación específica y se instala la nueva en la computadora del usuario. Estopermite la capacidad de administrar todo el ciclo de vida de trabajo del software.

ESCENARIO 3: LLEVAR UNA LAPTO P DENTRO O FUERA DE CASA

El usuario de una laptop que trabaja en la oficina crea varios documentos y losguarda en Mis documentos. Después de guardar su documento en Misdocumentos, el usuario se sale del sistema, se desconecta de la red y se llevasu laptop a casa. Mientras está en casa y fuera de la red, el usuario sigue editandolos documentos guardados anteriormente en Mis documentos.

TECNOLOGÍA UTILIZADA: CARPETAS DE POLÍTICA DE GRUPO Y FUERADE LÍNEA

En este escenario, los documentos se guardan realmente en una ubicación dela red en un proceso que es transparente para el usuario, y después se guardanen el directorio de respaldo de Mis documentos en la computadora local delusuario.Esto se realiza sin percibir disminución en el rendimiento. Todas estas accionesse realizaron al redireccionar la carpeta Mis documentos a una ubicación de lared.

Inmediatamente después de que el usuario guarde el documento en la carpetade la red, el documento se guarda en la carpeta Mis documentos local de maneratransparente. Esta acción se lleva a cabo debido a que la carpeta de la red estáconfigurada para estar disponible fuera de línea. Esta configuración crea unacopia del contenido de la carpeta de la red dentro de la carpeta Mis documentosen la computadora local. En esta forma, IntelliMirror permite que el usuario accedaa los datos cuando se encuentre fuera de línea.

Al redireccionar las carpetas se obtienen varios beneficios, incluyendo el respaldocentralizado y la administración de datos del usuario, el acceso a datos delusuario mediante usuarios roaming desde cualquier computadora en la red, yprotección de los datos contra fallas (o pérdida) de una computadora del usuario.

DiccionarioRoaming

Roaming es unconcepto utilizado encomunicacionesinalámbricas queestá relacionado conla capacidad de undispositivo paramoverse de unazona de cobertura aotra


Definir DLL:Definir Roaming:

Actividad

ESCENARIO 4: REGRESO A LA RED CON UNA LAPTO P

El usuario de una laptop en el Escenario 3 regresa a la oficina y se conecta a lared. Debido a que el usuario ha realizado algo de trabajo fuera de línea, apareceun cuadro de diálogo que le advierte que los datos que aparecen en la carpetaMis documentos han cambiado y que han sido sincronizados con la copia de lared.

TECNOLOGÍA UTILIZADA: CONFIGURACIONES DE LOS DATOS DELUSUARIO

Tan pronto como el usuario se vuelve a conectar a la red, IntelliMirror trata dereconectarlo a la ubicación de la red de las carpetas redirigidas. CuandoIntelliMirror se vuelve a conectar, verifica si hay diferencias en los datos queexisten entre la copia local de la carpeta y la copia de la red. En este escenario,el usuario ha realizado modificaciones a un documento en la computadora local.IntelliMirror identifica este cambio y actualiza la versión guardada en la red.

IntelliMirror no pretende ser la base de una herramienta de colaboración deusuarios múltiples; sin embargo, IntelliMirror puede soportar casos en los que lacopia fuera de línea y la de la red de un archivo de datos del usuario estánmodificadas. Si esto ocurre, es posible que un compañero haya actualizado lacopia de la red mientras el usuario se encontraba fuera de línea, el IntelliMirror leindica al usuario sobre esta situación. En este caso, la resolución es manual. Alusuario se le pregunta si desea mantener ambas copias, o cuál de las dosversiones se debe sobre escribir. Si van a guardar ambas copias, se le pide alusuario que defina un nuevo nombre de archivo para almacenar una de lasversiones, de manera que se mantenga la individualidad.

ESCENARIO 5: SOFTWARE DE AUTORREPARACIÓN

Un usuario decide explorar la computadora y trata de eliminar los archivosinnecesarios. Este usuario elimina .dll s, archivos de ayuda, así como otrosarchivos que son importantes para Microsoft Office. Posteriormente, cuando elusuario abre un documento en Word, en lugar de que se presente una falla,Office se repara automáticamente y trabaja de manera normal.

DiccionarioDLL

Dynamic LinkingLibrary - Bibliotecasde Enlace Dinámico,Este es un términocon el que se refierea los archivos concódigo ejecutableque se cargan bajodemanda delprograma por partedel sistema operativo


TECNOLOGÍA UTILIZADA: POLÍTICA DE GRUPO Y WINDOWS INSTALLER

El servicio Windows Installer proporciona mucho más que la capacidad de instalaraplicaciones. Esta tecnología también protege la integridad de la aplicación contrasucesos inadvertidos con los archivos locales. En este escenario, cuando elusuario intenta abrir Word, el servicio Windows Installer identifica que faltanalgunos archivos esenciales. Los archivos faltantes se vuelven a instalar demanera inmediata desde la fuente de la red especificada para Windows Installercuando la aplicación se instaló por primera vez. El usuario observa brevementeun cuadro de diálogo con una barra de progreso y después Word se abre comosi nada malo hubiera sucedido.

ESCENARIO 6: REEMPLAZO DE UNA COMPUTADORA

La computadora en la que está trabajando el usuario se detiene repentinamentecon una falla completa en el hardware. El usuario llama a la línea de soporte yaproximadamente 20 minutos después se le lleva una computadora nueva,cargada únicamente con el sistema operativo Windows 2000 Professional. Sintener que esperar asistencia técnica, el usuario conecta su nueva computadora,se conecta a la red y la inicia. La computadora permite que el usuario se conectea la red corporativa y el usuario encuentra que el escritorio ha tomado la mismaapariencia que la de la computadora original que le fue reemplazada. Tiene elmismo esquema de color, la imagen de segundo plano que instaló el usuario seencuentra en el protector de pantalla, así como todos los iconos de lasaplicaciones, accesos rápidos y favoritos. Lo que es más importante, todos losarchivos de datos del usuario han sido restablecidos.

TECNOLOGÍA UTILIZADA: INFRAESTRUCTURA INTELLIMIRROR

En un escenario de recuperación de desastre, IntelliMirror ayuda a obtener elrespaldo del usuario y a ejecutar en el menor tiempo posible con el mínimo desoporte. Las funciones de IntelliMirror permiten que el usuario y los datos yconfiguraciones del mismo sean independientes a los de cualquier computadoraespecífica.

Toda la configuración se instala a través de la Política de grupo. Lasconfiguraciones de la Política de grupo siguen al usuario y se aplican en cualquierlugar en donde el usuario se conecte a la red. Esto da la apariencia de que losdatos siguen al usuario, ya que la ubicación de los mismos se configura a travésde la Política de grupo. Esto significa que en el momento en que el usuario seconecta, la recuperación de los contenidos aparece disponible desde lacomputadora local.

En este escenario, la solución no se limita a dar al usuario una nuevacomputadora.El usuario también pudo haberse trasladado a otra estación de trabajo, ya quetodos los datos, configuraciones y ambientes se reflejan en la red. Las funcionesde IntelliMirror se pueden utilizar de manera separada o combinada para abordar


el rango de las necesidades, desde los cambios y actualizaciones menores deconfiguración y actualizaciones, hasta una completa recuperación de desastre.En conjunto, aumentan en gran medida la disponibilidad de escritorio y reducenel costo total de propiedad.

Este escenario abarca únicamente las funciones IntelliMirror; por lo tanto, eneste caso el departamento de soporte envió una computadora cargadapreviamente con Windows 2000 Professional. Sin embargo, al hacer uso de lainstalación del sistema operativo remoto Windows 2000, también sería posibleenviar el hardware de computadora en cualquier estado. Sin pre-cargar niconfigurar el sistema operativo correcto, la instalación del sistema operativoremoto puede instalarWindows 2000 Professional una vez que la computadora se encuentra en sulugar.

IntelliMirror en Windows 2000 Server404

Clase práctica 24

Examen Práctico Administrador de Windows 2000

Para el siguiente examen se deberá disponer de 3 maquinas, una de las cuales deberá poseer 2 placas dered

Estructura de la red:PC1: (2 placas de red)

§ Nombre: mgp-srv01§ IP (placa 1): 192.168.100.254§ IP (placa 2): 172.16.100.254§ Esta máquina será controlador de dominio (Active Directory): dominio

megapack.com.ar§ Servidor DHCP:

o Ámbito: 192.168.100.100 – 192.168.100.200o Puerta de enlace: 192.168.100.254o Servidor WINS: 192.168.100.254o Servidor DNS: 192.168.100.254o Dominio: megapack.com.ar

§ Servidor WINS (instalar y configurar)§ Servidor DNS:

o Dentro de la zona directa «megapack.com.ar» crear un nuevohost llamado WWW con la IP 172.16.100.1

§ Servidor Terminal Server: Instalar y configurar como Administración remota§ Active Directory:

o Crear 3 unidades organizativas (Maquinas, Ventas,Administración)

o Crear 3 grupos (Administración, Gerencia, Cobranzas)o Crear 3 usuarios (Administrativo, Gerente, Gestor) y asignar

1 a cada grupo· Actualizar el disco a dinámico y crear 1 volumen de 1 GB, asignarle una carpeta

y eliminarle la letra de unidad (permitir el acceso a la carpeta solo a losadministradores)

PC3:§ Nombre: mgp-srv03§ Ip:172.16.100.1§ Puerta de enlace:172.16.100.254§ Servidor WINS:172.16.100.254§ Servidor DNS: 172.16.100.254§ Servicios de Internet Information Server: Instalar y configurar un directorio

virtual§ Terminal Services: Instalar y configurar como Administración remota

Esta práctica tiene como objetivo evaluar las habilidades prácticas que usted ha adquirido a lo largo delsegundo módulo del curso: Administración Avanzada de Windows 2000 Server.

Cada uno de los 2 ejercicios tiene un valor de 5 puntos si es realizado correctamente o variará si elejercicio es realizado parcialmente. En cualquier momento el alumno puede solicitar ayuda al instructor,lo cual implicará una reducción de 1 punto inmediatamente.

Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER

Documents

Transcript of Modulo 2 ADMINISTRACIÓN DE WINDOWS 2000 SERVER