Windows Server 2008 Guía Administrador

A Dick y Pat Shepard. Los mejores vecinos del mundo y amigos maravillosos.

Gracias Dick y Pat, por estar siempre ahí, sin importar la necesidad.

SOBRE EL AUTORMartin (Marty) Matthews ha usado equipos de cómputo durante más de 40 años, desde algunos de los primeros sistemas mainframe, hasta los recientes equipos personales. Ha sido programador, analista de sistemas, administrador, vicepresidente y presidente de una �rma de software. Como resultado, tiene conocimiento de primera mano no sólo de pro-gramación y uso de equipos, sino de la manera para mejorar el uso de información que un equipo puede producir.

Hace más de 25 años, Marty escribió su primer libro sobre equipos de cómputo, acerca de cómo comprar minicomputadoras. Hace 23, Marty y su esposa, Carole, empezaron a escri-bir libros como parte primordial de sus ocupaciones. En años pasados, han escrito más de 70 libros, incluidos algunos sobre edición de publicaciones de escritorio, publicación en Web, Microsoft Of�ce y sistemas operativos de Microsoft, desde MS-DOS hasta Windows Server 2003 y Windows Vista. Entre sus libros recientemente publicados por McGraw-Hill se incluyen Windows Server 2003: A Beginner’s Guide y varios volúmenes de la exitosa serie QuickSteps, de la que es cofundador.

CONTENIDO

V

iiix sotneimicedargAvix nóiccudortnI

Parte IEl entorno de Windows Server 2008

▼ 1 Exploración de Windows Server 2008 34 8002 revreS swodniW arap senozaR

Comparación de las ediciones de Windows Server 2008 55 erawdrah ed senoicaredisnoC 7 8002 revreS swodniW etnemelpmI7 8002 revreS swodniW arap eseráperP 7 8002 revreS swodniW elatsnI 8 8002 revreS swodniW erugifnoC 01 8002 revreS swodniW ed deR

Comuníquese y use Internet con Windows Server 2008 1121 8002 revreS swodniW ertsinimdA31 rodivres led lareneg nóicartsinimdA 41 sovihcra ed ametsis led nóicartsinimdA 61 nóiserpmi ed nóicartsinimdA

VI Windows Server 2008: Guía del Administrador

71 dadiruges ed nóicartsinimdA 81 ametsis led nóicartsinimda ed satneimarreh sartO

Parte IIImplementación de Windows Server 2008

▼ 2 Preparación para la instalación 2122 nóicalatsni al ed sedadisecen sal eredisnoC22 ametsis led sotisiuqer sol euqifireV32 ametsis led sotisiuqer sol erboS 42 ametsis led dadilibitapmoc al euqifireV 92 nóicalatsni al erbos satcerroc senoisiced sal emoT13 aipmil nóicalatsni anu ecah o azilautca is adiceD 23 laud euqnarra nu a errucer is adiceD 33 senoicitrap erbos adiceD 53 nóicalatsni al raicini omóc adiceD 73 eroC o atelpmoC senoicpo sal erbos adiceD 83 selanoicpo setnenopmoc ed nóicalatsnI 93 nóicalatsni al eraperP

Cree copias de seguridad de todos los discos duros 4004 lautca erawtfos led oiratnevni nu eerC 14 selautca sovihcra ed azeipmiL 14 erawdrah le ecilautcA 14 sovitcilfnoc erawtfos y erawdrah le etilibahseD 34 8002 revreS swodniW a nóicargim anu eenalP

▼ 3 Instalación de Windows Server 2008 4564 nóicazilautca al arap 3002 revreS swodniW eraperP64 2PS o 1PS a 3002 revreS swodniW ecilautcA 64 yrotceriD evitcA le ecilautcA 84 nóicalatsni ed odotém nu ajocsE84 nóicalatsni al ed oicinI84 otcerid euqnarra etnaidem nóicalatsni al ed oicinI 05 etneicer swodniW ed nóisrev anu edsed oicinI 25 nóicalatsni al etucejE35 nóicazilautca anu ed nóicucejE

Ejecute una instalación limpia iniciada desde una versión reciente de Windows 56

85 euqnarra la adaicini aipmil nóicalatsni anu etucejE 95 rodivres nu erugifnoC95 nóicazilanosrep y nóicazilaicinI 76 rodivres us erolpxE 07 rodivres ed senoicnuf elatsnI

▼ 4 18Instale y con�gure los servicios de implementación de Windows 83Servicios de implementación de Windows

VIIContenido

38 swodniW ed nóicatnemelpmi ed soicivreS sol elatsnI 48 swodniW ed nóicatnemelpmi ed soicivreS sol erugifnoC

Pruebe y diagnostique los Servicios de implementación de Windows 8998 swodniW ed nóicatnemelpmi ed soicivreS sol ebeurP

Detecte y solucione problemas de los Servicios de implementación de Windows 89

Parte IIITrabajo en red con Windows Server 2008

▼ 5 Entorno de red de Windows Server 2008 9569 der ne ojabarT79 der ed sameuqsE79 seder ed sopiT 001 der ne nóixenoc al ed aerat aL 401 NAL saígolonceT 111 seder ed erawdraH211 der ed satejraT 611 odaelbaC 221 nóixenocretni ed sovitisopsiD 921 der ed saígolopoT131 e trabajos en redd solocotorP131 PI/PCT

▼ 6 Configuración y administración de una red 141241 der ed serodatpada sol erugifnoC341 der ed rodatpada led rodalortnoc le esiveR 541 der ed rodatpada led sosrucer sol esiveR 741 solocotorp erugifnoc y der ed senoicnuf elatsnI741 der ed senoicnuf elatsnI 051 der ed olocotorp nu erugifnoC 351 der al ebeurP551 der ed otneimanoiccerid le y rodivres ed etropos le esiveR651 der ed otneimanoicceriD 751 SNIW y SND ,PCHD etnemelpmI751 tsoh ed acimánid nóicarugifnoc ed olocotorp lE 061 161 PCHD y SND elatsnI 661 PCHD ertsinimdA 271 SND ertsinimdA

Con�gure el servicio de nombre de Internet de Windows 179381 opurg ed sosimrep y soirausu ed satneuc erugifnoC

▼ 7 Uso de Active Directory y dominios 187881 yrotceriD evitcA ed onrotne lE091 SND noc nóicargetnI

Entienda qué es el sistema de nombre de dominio

VIII Windows Server 2008: Guía del Administrador

191 soinimod y yrotceriD evitcA 491 yrotceriD evitcA elatsnI691 setnetsixe oinimod ed serodalortnoc sol ecalpmeR 002 yrotceriD evitcA ed nóicarugifnoc y arutcurtse al adneitnE002 yrotceriD evitcA ed sotejbO 302 yrotceriD evitcA ed arutcurtse aL

Sitios 209012 soitis ertne yrotceriD evitcA ed nóicacilpeR112 onretni oitis ed nóicacilpeR 112 oitis a oitis ed nóicacilpeR 312 senoisiloc ed nóiculoser y nóicceteD 412 arutcel olós ed oinimod ed serodalortnoC 412 yrotceriD evitcA ed nemuseR

Parte IVComunicaciones e Internet

▼ 8 Comunicaciones y servicios de Internet 217812 sacinófelet senoixenoc esu y erugifnoC912 medóm nu elatsnI 222 ocinófelet odacram ed nóixenoc anu aczelbatsE 322 otomer osecca ed oicivres le erugifnoC322 otomer osecca y otneimaturne ed oicivres nu eugergA 422 SAR erugifnoc y etilibaH 722 savitcerid y otreup erugifnoC 822 otomer osecca ed oicivres le ecilitU

Con�gure y dé mantenimiento al enrutador de Windows Server 2008 230132 8002 revreS swodniW ed rodaturne le erugifnoC

Dé mantenimiento al enrutador de Windows Server 2008 232432 tenretnI a aditrapmoc nóixenoc anu erugifnoC 532 tenretnI a nóixenoc anu esu y erugifnoC532 tenretnI a nóixenoC 932 tenretnI ne nóicamrofni ertneucnE 442 sahcif sal esU

▼ 9 Servicios de información de Internet (IIS) versión 7 247842 7 SII ed onrotne le erolpxE942 7 SII ed sacitsíretcaraC 252 7 SII ne tenretnI ed soicivreS 352 beW rodivres nu ed nóicarugifnoC352 7 SII elatsnI 852 7 SII a ergiM 162 dadiruges al etnemelpmI

IXContenido

362 7 SII agnetnam y ecilanosreP Use el Administrador de Internet Information Services (IIS) 265

962 atomer amrof ed beW serodivres ertsinimdA 372 beW soitis eerC 472 soitis soirav edepsoH 672 beW oitis led nóicartsinimdA 972 SII ed samelborp ed nóiculoser y nóicceteD 982 aideM swodniW ed soicivres sol ertsinimda y adneitnE092 aideM swodniW ed soicivreS soL 292 aideM swodniW ed soicivreS ertsinimdA

▼ 10 Red privada virtual 293592 otnup a otnup ed otneimalenutne ed olocotorP 792 sod levin ed otneimalenutne ed olocotorP 892 soruges serotcenoc ed otneimalenutne ed olocotorP 992 NPV eraperP992 SAR y der ed erawdrah le esiveR 103 der al erugifnoC 303 otomer osecca ed oicivres nu erugifnoC 403 SAR ebeurP 603 NPV rodivres nu erugifnoC603 SAR erugifnoceR 803 PTPP rodivres nu erugifnoC 803 PT2L rodivres nu erugifnoC 613 PTSS rodivres nu erugifnoC 713 NPV etneilc nu erugifnoC

▼ 11 Terminal Services y Escritorio remoto 323423 secivreS lanimreT423 secivreS lanimreT razilitu éuq roP 523 secivreS lanimreT ed setnenopmoc y sodoM 623 secivreS lanimreTación deraperP623 secivreS lanimreT ed senoicnuf sal ed nóicalatsnI 133 secivreS lanimreT ed nóicarugifnoC 433 secivreS lanimreT ed rodartsinimdA 533 senoicacilpa ed rodivres ed odom le esU533secivreS lanimreT aración deperP 733 ST ed ppAetomeR ertsinimdA 043 ppAetomeR ed amargorp nu ayubirtsiD

Uso de Conexión a Escritorio remoto con los programas de RemoteApp 343743 ST ed beW oseccA ed osu y nóicarugifnoC 943 ST ed ecalne ed atreuP al erugifnoC 153 ST ed senoises ed etnegA le etilibaH

X Windows Server 2008: Guía del Administrador

353 ST ed saicnecil ed rodartsinimdA le etnemelpmI353 revreS lanimreT ed saicneciL

Instale el servicio de función Administrador de licencias de TS 354653 saicnecil elatsni e ST ed saicnecil ed rodivres nu evitcA 853 soirausu etilibah y erugifnoC 853 atomer nóicartsinimda ed odom le ecilitU953 otomer oirotircsE a nóixenoC etilibaH

Administración mediante la Conexión a Escritorio remoto 359953 otomer oirotircsE a nóixenoC al ed osU

Ponga en funcionamiento una Conexión a Escritorio remoto 360

Parte VAdministración de Windows Server 2008

▼ 12 Administración del almacenamiento y los sistemas de archivos 367863863 otneimanecamla ed sopiT 073 sovihcra ed sametsiS 373 sovihcra ed ametsis led nóicartsinimdA 373 socsid ed nóicartsinimda y ovihcra ed soicivreS

Administración de almacenamiento y recursos compartidos 376383 socsid ed nóicartsinimdA 483 socsid ed nóicartsinimdA lenaP 583 socsid ed nóicartsinimdA lenap le ecilanosreP 683 nemulov y dadinu ed sedadeiporP 983 ocsid ed dadinu anu etiuq o eugergA 193 sedadinu ed oetamrof y otneimanoicitraP 593 sotad ed nóiserpmoC 893 dadinu ed nóicatnemgarfseD 993 ocsid ed satouC 004 sateprac y sovihcra ed odarfiC 104 socimánid senemúlov ed nóicartsinimda al etnemelpmI204 ocimánid otneimanecamla a atreivnoC 304 senemúlov eerC 304 odiubirtsid nemulov nu eerC 404 odiubirtsid sovihcra ed ametsis led osU504 odiubirtsid sovihcra ed ametsis nu eerC 704 odiubirtsid sovihcra ed ametsiS led nóicartsinimdA 214 ovihcra ed soicivres sorto esu y elatsnI 614 revreS swodniW ed dadiruges ed saipoC614 dadiruges ed saipoc ed sopiT 714 revreS swodniW ed dadiruges ed saipoC eicini e elatsnI 814 revreS swodniW ed dadiruges ed saipoC esU

324 dadiruges ed saipoc rarepucer arap etnetsisA le ecilitU

Almacenamiento y sistemas de archivos

XIContenido

524 nóicarepucer ed ocsid nu eerC 624 nóicarepucer ed ocsid nu ecilitU

▼ 13 Configuración y administración de impresoras y faxes 427824 8002 revreS swodniW ed nóiserpmi ed ametsis lE824 nóiserpmi ed socisáb sotpecnoC 924 nóiserpmi ed socisáb sotisiuqeR 924 nóiserpmi ed acisáb nóicarugifnoC034 selacol saroserpmi eugergA 234 der ed saroserpmi ed nóicarugifnoC 534 aroserpmi al ed nóicarugifnoc al etsujA634 saroserpmi erugifnoC 044 nóiserpmi ed nóicarugifnoC 144 soirausu erugifnoC 344 nóiserpmi ed aloc anu ed lortnoC344 nóiserpmi anu eicinier y edunaer ,asuap ne agnoP 544 nóiserpmi al elecnaC 544 sotnemucod enoiccerideR 644 otnemucod nu ed sedadeiporp sal eibmaC 744 setneuf sal ertsinimdA844 8002 revreS swodniW ne setneuF 054 setneuf enimile y eugergA 154 setneuf ecilitU 254 nóiserpmi ed soicivres esu y erugifnoC254 nóiserpmi ed soicivres sol elatsnI 354 nóiserpmi e saroserpmi ertsinimdA 854 xaf ed rodivres nu esu y erugifnoC854 xaf ed rodivreS elatsnI 854 swodniW ed renácse y xaf etilibaH 164 sexaf abicer y eívnE 664 xaf ed adatrop anu eerC 664 der ne sexaf ed oívne le ertsinimdA

▼ 14 Administración de Windows Server 2008 471274 lortnoc ed lenaP le esU374 acitámotua nóiccudorpeR 474 sodanimretederp samargorP 574 sovitisopsid ed rodartsinimdA 674 dadilibisecca ed ortneC 774 ateprac ed senoicpO 184 odalceT 184 esuoM 284 amoidi ed y lanoiger nóicarugifnoC 384 ametsiS

XII Windows Server 2008: Guía del Administrador

584 oicinI únem y saerat ed arraB 684 saerat ed rodartsinimdA le esU984 tfosorciM ed nóicartsinimda ed alosnoc al esU094 CMM alosnoc anu eerC 394 CMM alosnoc anu ecilitU 494 ortsigeR le erolpxE494 selobrábus y sevalC 694 selobrábus y sevalcbus ,sevalC 794 sotad ed sopit y sadartnE 894 euqnarra ed osecorp le noc ejabarT894 euqnarra ed osecorp le ne sosaP 994 euqnarra ed osecorp led lortnoC 005 euqnarra ed samelborp ajirroC 405 opurg ed savitcerid esU405 opurg ed savitcerid eibmac y eerC 115 oirausu ed selifrep eelpmE115 lacol oirausu ed selifrep eerC 215 gnimaor ed oirausu ed selifrep eerC 615 soirotagilbo oirausu ed selifrep ecilitU 615 8002 revreS swodniW ecilautcA715 selaunam senoicazilautcA 715 sacitámotua senoicazilautcA

▼ 15 Control de seguridad en Windows Server 2008 521225 oirausu la euqifitnetuA325 lacol opiuqe ed oirausu ed nóicacifitnetuA 425 der ed oirausu ed nóicacifitnetuA 835 osecca le elortnoC835 dadeiporP 935 sopurG 445 sosimreP 155 sodanecamla sotad sol erugesA155 sateprac y sovihcra ed odarfiC 355 sateprac y sovihcra ed odarfic le esU 655 rekcoLtiB noc ocsid nu erfiC 165 acilbúp y adavirp evalc ed odarfic lE165 adavirp evalc ed odarfiC 265 acilbúp evalc ed odarfiC 265 adavirp y acilbúp evalc ed odanibmoc odarfiC 365 sodacifitrec y odarfic ed sevalC 365 sotad ed aruges nóisimsnarT365 sotad ed nóisimsnart al ne dadiruges al etnemelpmI

▼ Índice 567

Son necesarias varias personas para crear un libro como éste. Las si-guientes y otras que no conozco directamente, han hecho grandes contribuciones al libro y posibilitado mi trabajo.

Jane Brownlow, editor ejecutivo, dio el apoyo y libertad necesarios. ¡Gracias, Jane!John Cronan, editor técnico, corrigió muchos errores, aportó varios consejos y no-

tas y, en general, mejoró el libro. John también es un gran amigo. ¡Gracias, John!Jan Jue, corrector de estilo, contribuyó a la legibilidad y claridad del libro, mientras

escuchaba mis consideraciones; fue estupendo trabajar con él. ¡Gracias, Jan!Carole Matthews, mi compañera por más de 35 años, mi mejor amiga y socia en

nuestra aventura paternal, proporcionó el apoyo necesario, sin el que este libro no habría sido posible. ¡Gracias, mi amor!

AGRADECIMIENTOS

XIII

Hoy día, Windows Server 2008 es un sistema operativo de servidor com-pletamente maduro. Lo que empezó como Windows NT y pasó por una transición importante en Windows 2000 Server y Windows Server

2003 se convirtió en Windows Server 2008, un sistema operativo más com-pleto, pleno en funciones y características. El resultado �nal es un sistema operativo de servidor más con�able, fácil de instalar y escalable. Además, goza de un servicio de directorio excelente, es de fácil manejo, ofrece mejor seguridad y entrega un soporte Web excepcional.

El objetivo de presente libro es mostrar la manera de utilizar éstas y muchas otras carac-terísticas, así como obtener los bene�cios mencionados.

Cómo está organizado este libroWindows Server 2008: Guía para el administrador está escrito de tal manera que muchas perso-nas aprenderán con él. Comienza por la revisión de conceptos básicos y después utiliza un método didáctico para aprender con ejercicios, para demostrar en la práctica las caracterís-ticas principales del producto. En todo el libro se usan ejemplos detallados, explicaciones claras con esquemas prácticos y capturas de pantalla, para ofrecer al lector la visión necesa-ria para hacer uso óptimo y completo de Windows Server 2008. Windows Server 2008: Guía para el administrador tiene cinco partes, de las cuales cada una ofrece un análisis completo de los aspectos primordiales de Windows Server 2008.

INTRODUCCIÓN

XIV

XVIntroducción

Parte I: El entorno de Windows Server 2008En esta primera parte se presentan el entorno de Windows Server 2008 y las novedades in-cluidas. En esta sección se establecen las bases para el resto del libro.

▼ Capítulo 1. Exploración de Windows Server 2008: brinda una revisión general de este sistema y guía las exposiciones a fondo que se presentan en capítulos posteriores.

Parte II: Implementación de Windows Server 2008En la segunda parte se cubre la planeación e implementación de Windows Server 2008 en una organización. El propósito es ayudar a recorrer el proceso de planeación y realizar una instalación detallada.

▼ Capítulo 2. Preparación para la instalación: se revisan todos los pasos que deben darse antes de instalar Windows Server 2008, incluidas las posibles di�cultades que pueden evitarse.

■ Capítulo 3. Instalación de Windows Server 2008: recorre los pasos necesarios para instalar el servidor desde diferentes puntos de partida, tanto actualizaciones como instalaciones limpias.

▲ Capítulo 4. Servicios de implementación de Windows: describe cómo usar los Ser-vicios de implementación de Windows para hacer una instalación automatizada de Windows Server 2008.

Parte III: Trabajo en red con Windows Server 2008 En la tercera parte se dedican tres capítulos al trabajo en red, la función más importante de Windows Server 2008.

▼ Capítulo 5. Entorno de red de Windows Server 2008: provee bases muy completas para el trabajo en red, mediante la descripción de esquemas, hardware y protocolos o estándares usados para conectarse y trabajar en red.

■ Capítulo 6. Con�guración y administración de una red: describe cómo se con�gu-ra una red y cómo se administra en Windows Server 2008.

▲ Capítulo 7. Uso de Active Directory y dominios: revisa el uso de los dominios en Windows Server 2008 y la función central que Active Directory juega en la adminis-tración de la red.

Parte IV: Comunicaciones e InternetLa cuarta parte del libro aborda las maneras en que usted y su organización pueden salir de su LAN para conectarse con otros colegas o permitir que éstos se conecten con usted, mediante Internet o comunicaciones directas.

▼ Capítulo 8. Comunicaciones y servicios de Internet: da una revisión general a las comunicaciones y su con�guración, incluido el uso de conexión de marcado tele-fónico con el servicio de acceso remoto (RAS, Remote Access Service), además de utilizar una conexión a Internet con Internet Explorer.

XVI Windows Server 2008: Guía del Administrador

■ Capítulo 9. Servicios de información de Internet (IIS) versión 7: describe Internet Information Services (IIS), su instalación y administración.

■ Capítulo 10. Red privada virtual: explica las VPN, su funcionamiento, con�gura-ción con PPTP, L2TP y SSTP y uso.

▲ Capítulo 11. Terminal Services y Escritorio remoto: describe Terminal Services,objeto de importantes mejoras; también se describe cómo con�gurarlo, cómo se usa el modo Servidor de aplicaciones, modo Administración remota y Conexión a Es-critorio remoto.

Parte V: Administración de Windows Server 2008El propósito de esta quinta parte es explorar las numerosas herramientas administrativas disponibles en Windows Server 2008 y analizar cómo usarlas mejor.

▼ Capítulo 12. Administración del almacenamiento y los sistemas de archivos: se concentra en el extenso conjunto de herramientas disponibles en Windows Server 2008 para manejar diferentes tipos de sistemas de almacenamiento, además de ar-chivos y carpetas que contienen.

■ Capítulo 13. Con�guración y administración de impresoras y faxes: describe lo que constituye la impresión de Windows Server 2008 y los servicios de impresión que ofre-ce, cómo se con�guran y se administran; además del manejo de las fuentes que se requieren para ello y, por último, el uso del Servidor de fax y envío de faxes.

■ Capítulo 14. Administración de Windows Server 2008: analiza las herramientas de administración del sistema y usuario que no son parte de la instalación, trabajo en red, administración de archivos e impresión.

▲ Capítulo 15. Control de seguridad en Windows Server 2008: describe cada una de las exigencias de seguridad y funcionalidades de Windows Server 2008 a cargo de éstas, además de la forma de implementarlas.

Convenciones manejadas en este libroWindows Server 2008: Guía para el administrador utiliza varias convenciones diseñadas para facilitar el seguimiento del libro.

▼ Negritas: se utilizan para texto que debe escribirse en el teclado.■ Cursivas: se utilizan para una palabra o frase que se está de�niendo o requiere espe-

cial énfasis.■ Un tipo de letra de espacio fijo se usa para listas de comandos, produ-

cidos por Windows Server 2008 o tecleados por el usuario.■

▲ Cuando deba teclear un comando, se le indicará que oprima la o las teclas. Si debe escribir texto o números, se le indicará que así lo haga.

I

1

PARTE

El entorno de Windows Server

2008

01 MATTHEWS 01.indd 101 MATTHEWS 01.indd 1 1/14/09 11:22:13 AM1/14/09 11:22:13 AM

1

3

CAPÍTULO

Exploración de Windows Server

2008


4 Windows Server 2008: Guía del Administrador

Windows Server 2008 es el sistema operativo más actual para servidores de Microsoft en una red cliente/servidor. Se presenta en diferentes ediciones, que van desde simples servidores Web hasta complejos servidores de centros de datos.

Cada edición incluye gran cantidad de tecnologías para Web y redes de área local. Todas ellas ofrecen muchas características, sobre todo en áreas de administración y seguridad, para habilitar conexión segura entre personas, sistemas y dispositivos, para intercambio de información y recursos de cómputo. Estas características soportan la integración de personas y computadoras en situaciones de trabajo conjunto en una sola organización, al igual que entre varias organizaciones, para elevar el nivel de conectividad, colaboración e interoperabilidad.

RAZONES PARA WINDOWS SERVER 2008Windows Server 2008 representa una mejora significativa sobre Windows Server 2003 y, particularmente, sobre Windows 2000 Server. Hay muchas razones para decir esto, pero aquí están las principales:

▼ Es más fácil de configurar y administrar: Windows Server 2008 ha añadido el Servidor del administrador para reemplazar herramientas de versiones previas de Windows Server, con el fin de crear una interfaz unificada de administración para instalar, configurar y controlar todas las funciones del servidor.

■ Ofrece mejor seguridad: Windows Server 2008 aumenta considerablemente la se-guridad para proteger la red completa, a través de mejoras en autentificación del usuario, control de acceso, seguridad de los datos almacenados, seguridad de transmisión de datos y administración de seguridad.

■ Es un servidor Web más poderoso: Internet Information Services versión 7 (IIS 7) pro-vee una plataforma completa, con nuevos y mejorados servicios Web para construir, entregar y administrar aplicaciones Web con seguridad optimizada.

■ Ofrece acceso remoto más sencillo y seguro: Terminal Services en Windows Server 2008 incorpora dos nuevos módulos: Terminal Services Gateway y Terminal Services Re-moteApps, para incrementar la seguridad con que los equipos remotos acceden a la red de área local (LAN, Local Area Network), mejorando así la experiencia de ejecución remota de una aplicación.

■ Progreso sustancial de la capacidad para personalizar un servidor: la selección de fun-ciones en el Servidor del administrador permite especificar funciones, servicios de funciones y características que desea instalar; ello reduce los componentes que re-quieren recursos de la computadora y administración, susceptibles a un ataque.

▲ Proporciona un nuevo entorno de línea de comandos: PowerShell de Windows Server 2008 proporciona una mayor y más poderosa capacidad para configurar y controlar el sistema operativo, sin emplear la interfaz gráfica de usuario (GUI). Esto da a Win-dows Server 2008 la opción de instalar únicamente el núcleo del servidor sin GUI, con sólo algunas de las funciones.

El propósito de este libro es mostrar el uso de estas características y otras más. En este capítulo se echará un vistazo a Windows Server 2008, deteniéndose brevemente en sus


5 Capítulo 1: Exploración de Windows Server 2008

principales áreas, incluida una descripción de la función que desempeña y cómo se relaciona con el resto del producto.

COMPARACIÓN DE LAS EDICIONESDE WINDOWS SERVER 2008

Windows Server 2008 abarca cinco ediciones independientes que se venden por separado:

▼ Windows Server 2008 Standard Edition. Es un completo sistema operativo de red para servidor que puede utilizarse en organizaciones de tamaño pequeño y moderado; maneja casi todas las funciones y características de un servidor. Es una actualización para Windows Server 2003 Standard Edition y Windows Server 2000. Está disponible en instalaciones Server Core y completa para procesadores de 32 bits (llamado “x86”, por su origen con los chips de Intel 8086, 386 y 486) y 64 bits (llamado “x64”, de acuerdo con los juegos de chip AMD).

■ Windows Server 2008 Enterprise Edition. Es un completo sistema operativo de red para servidor, orientado a organizaciones más grandes, sobre todo las rela-cionadas con el comercio electrónico. Además de las características en Standard Edition, Enterprise Edition proporciona agrupación en clúster redundante y Ser-vicios federados de Active Directory, así como escalabilidad y disponibilidad mejoradas. Es una actualización para Windows Server 2003 Enterprise Edition y Windows 2000 Advanced Server. Se encuentra disponible con opciones de insta-lación Server Core y servidor completo, para procesadores de 32 y 64 bits.

■ Windows Server 2008 Datacenter Edition. Es un completo sistema operativo de red orientado a organizaciones más grandes, sobre todo las relacionadas con almacenamiento de datos y procesamiento de transacciones en línea. Brinda to-das las capacidades de Enterprise Edition, con soporte para procesadores adicionales y permisos ilimitados para uso de imágenes virtuales. Es una actualización de Windows Server 2003 Datacenter Edition y Windows 2000 Datacenter Server. Se en-cuentra disponible en las instalaciones Server Core y completa para procesadores de 32 y 64 bits.

■ Windows Web Server 2008. Es un sistema operativo de servidor, limitado al alo-jamiento de sitios Web y servicio de aplicaciones Web, instrumentadas con Internet Information Services (IIS) para procesadores de 32 y 64 bits.

▲ Windows Server 2008 para sistemas Itanium. Es un sistema operativo de servi-dor, limitado a los procesadores de 64 bits Itanium 2 de Intel. Sólo algunas de las funciones de servidor están disponibles en esta plataforma, pero el servidor Web y la entrega de aplicaciones están incluidos. Los detalles sobre la edición basada en Itanium están fuera del alcance de este libro.

Consideraciones de hardwareLas consideraciones de hardware para ediciones de Windows Server 2008 tienen un conjunto consistente de requisitos mínimos y recomendados, como se ilustra en la tabla 1-1, además de una mezcla de valores máximos, como se muestra en la tabla 1-2.



Tabla 1-1. Requisitos mínimos para todas las versiones de Windows Server 2008.

Componente de sistema Mínimo Recomendado

Velocidad de procesador x86 1 GHz 2 GHz

Velocidad de procesador x64 1.4 GHz 2 GHz

Memoria (RAM) 512 MB 2 GB

Espacio en disco 10 GB 40 GB

Periféricos DVD-ROM, monitor súper VGA, tecladoy ratón

DVD-ROM, monitor súper VGA, tecladoy ratón

NOTA El significado de las abreviaturas en las tablas 1-1 y 1-2 es el que sigue: GHz

(gigahertz) es la medida de la velocidad del procesador en miles de millones de ciclos

por segundo; MB, GB y TB (megabyte, gigabyte y terabyte) son medidas de memoria

y espacio en disco en millones, miles de millones y billones de bytes (cada uno de los

cuales son ocho bits [un 0 o un 1], equivalentes, más o menos, a una letra); RAM (Random

Access Memory, memoria de acceso aleatorio) es la memoria primaria de estado sólido

del equipo; ROM (Read-Only Memory, memoria de sólo lectura) pueden ser dispositivos

de estado sólido en el equipo o CD (Compact Disc, disco compacto) o DVD (Digital Video

Disc, disco de video digital), dispositivos sin acceso de escritura para el usuario; VGA

(Video Graphics Array, arreglo de gráficos de video) es un tipo de pantalla de video.

Tabla 1-2. Máximos de hardware para las ediciones de Windows Server 2008.

Edición deServer 2008 Plataformas

Procesadores físicos

Memoria máxima

Clúster de conmutación por error

Standard 32 bits 4 4 GB Ninguno

Standard 64 bits 4 32 GB Ninguno

Enterprise 32 bits 8 64 GB 8 nodos

Enterprise 64 bits 8 2 TB 16 nodos

Datacenter 32 bits 32 64 GB 8 nodos

Datacenter 64 bits 64 2 TB 16 nodos

Web Server 32 bits 4 4 GB Ninguno

Web Server 64 bits 4 32 GB Ninguno

Este libro se concentrará en Windows Server 2008 Standard Edition y tocará algunos aspectos sobre Web Server y Enterprise Edition.



En las secciones siguientes de este capítulo se ofrece un vistazo inicial a las áreas principales de Windows Server 2008, que intervienen en las siguientes funciones:

▼ Implementación de Windows Server 2008

■ Trabajo en red de Windows Server 2008

■ Comunicación y uso de Internet con Windows Server 2008

▲ Administración de Windows Server 2008

Las secciones aquí analizadas corresponden a las siguientes partes del libro, por lo que se puede saltar de la introducción a los pormenores de su interés, más adelante.

IMPLEMENTE WINDOWS SERVER 2008 Llevar exitosamente Windows Server 2008 a una organización significa no sólo que el sistema operativo está instalado, sino también que la planeación apropiada se llevó a cabo antes de la instalación, así como ajustes y optimización deseados se realizaron después de ésta. Para lograr el objetivo, debe planificar y llevar a cabo la implementación de manera completa.

Prepárese para Windows Server 2008 A fin de prepararse para Windows Server 2008, debe confirmar que:

▼ Sus equipos cumplen con los requisitos de Windows Server 2008

■ Windows Server 2008 brinda soporte a todo el hardware que necesita y está conec-tado a sus equipos

■ Conoce las decisiones de instalación y ha elegido las opciones ofreciendo el mejor entorno de operación

■ Sus equipos se prepararon para la instalación del sistema operativo

▲ Tiene un plan sólido para llevar a cabo la instalación

En el capítulo 2 se le ayuda a preparar la instalación revisando cada una de estas áreas, además de especificar lo que debe saber para facilitar la instalación.

Instale Windows Server 2008 Windows Server 2008 puede instalarse y ajustarse en una serie de formas ubicadas en alguna de las tres categorías siguientes:

▼ Manual. Alguien se sienta frente al equipo en que se instalará y, en tiempo real, tanto instala como configura el software en dicha máquina



■ Automatizada. Se emplea una secuencia de comandos o archivo de respuestas para llevar a cabo dicha instalación. De tal manera una persona sólo tiene que iniciarla en el equipo y dejar que la secuencia de comandos la termine

▲ Remota. Una persona se sienta frente a un servidor y efectúa la instalación en otro equipo a través de la red. Esta instalación puede ser manual o automatizada

En el capítulo 3 se explica en detalle cómo emplear el estilo manual para instalar Windows Server 2008 con sus variantes. En el capítulo 4 se describe el estilo automatizado para la instalación de Windows Server 2008.

Configure Windows Server 2008 En la instalación inicial de Windows Server 2008, los pasos para poner en ejecución a Win-dows Server 2008, como se muestra en la figura 1-1, no instalan muchos de los componentes —llamados “funciones”— principales del servidor, en Windows Server 2008, que se insta-laban automáticamente en versiones anteriores de Windows Server. La instalación de las

Figura 1-1. Cuando Windows Server 2008 termina la instalación, no tiene instaladas la mayoría

de las funciones.



funciones del servidor, además de servicios de funciones y características, es trabajo del Administrador del servidor.

La ventana del Administrador del servidor provee recursos para instalar hasta 16 fun-ciones diferentes de servidor, como Servicios de dominio de Active Directory, Servidor de aplicaciones, Servicios de archivo y Servidor Web (IIS), incluidas más de 36 características, entre ellas: Cifrado de disco BitLocker, Clúster de conmutación por error y Asistencia remo-ta. Una vez instaladas funciones y características, la ventana del Administrador del servidor informa acerca de una función brindando los medios para configurarla y controlarla, como se ilustra en la figura 1-2, para la función Servicios de archivo.

Figura 1-2. En el Administrador del servidor puede obtener información y controlar una función,

además de instalarla.



El uso del Administrador del servidor se presenta en el capítulo 3 y se menciona a lo largo del libro. Se emplea tanto para instalar como para administrar funciones y características.

RED DE WINDOWS SERVER 2008 Windows Server 2008 es un sistema operativo de red y existe por sus capacidades de red. Esto permite conectarse con otros equipos y ejecutar las siguientes funciones:

▼ Intercambio de información, como enviar archivos de un equipo a otro

■ Comunicación, por ejemplo, mediante el envío de un correo electrónico entre usua-rios de la red

■ Compartir información, al hacer que varios archivos comunes sean accesibles para varios usuarios de la red

▲ Compartir recursos en red, como impresoras y unidades de disco de copia de seguridad

El trabajo en red es importante para casi cualquier organización en la que dos o más personas se comunican y comparten información. Es un ingrediente primordial en la con-tribución de los equipos al mejoramiento de la productividad y, desde el punto de vista de este libro, es la función más importante en Windows Server 2008.

El trabajo en red es un sistema que incluye la conexión física entre equipos para facili-tar la transferencia de información, además del esquema para controlar dicho proceso. El esquema certifica que la información se transfiera en forma correcta y precisa, mientras muchas otras transferencias ocurren simultáneamente. Por tanto, el sistema de conectividad incorpora los siguientes componentes:

▼ Un esquema de red, para manejar la transferencia

■ Hardware de conectividad, para instrumentar la conexión física

▲ Un estándar de trabajo en red o protocolo, que maneja identificación y direcciona-miento

En el capítulo 5 se describen los esquemas de red disponibles en Windows Server 2008, hardware que puede usar y protocolos comunes en la industria. En ese capítulo se revisa después el amplio espectro de opciones disponibles, para proporcionar el entorno de red que mejor se ajuste a sus necesidades. En el capítulo 6 se ofrece una descripción detallada de cómo instalar la conectividad básica en Windows Server 2008 y luego se revisa la instalación de Server, para dar soporte al resto de la red, empezando con el nuevo Centro de redes y recursos compartidos, mostrado en la figura 1-3. En el capítulo 7 se exploran dominios y la manera en que Active Directory brinda un punto único de acceso y administración para las muchas funciones relacionadas con red.



COMUNÍQUESE Y USE INTERNET CONWINDOWS SERVER 2008

Al “trabajo en red” se le conoce como uso de una LAN. En la presente era de Internet, el trabajo en red de Windows Server 2008 tiene un significado mucho más amplio e incluye todo tipo de conexión que puede hacerse hacia afuera de la LAN, mediante lo denominado clásicamente como “comunicaciones”. El Centro de redes y recursos compartidos, recién descrito, facilita el punto de entrada para trabajar con conexiones LAN y externas.

Los tipos de conexiones externas incluyen:

▼ Conexión directa a Internet desde LAN, a través de una línea de suscriptor digital (DSL, Digital Subscriber Line) o conexión por cable

■ Conexiones inalámbricas de banda ancha

Figura 1-3. El Centro de redes y recursos compartidos proporciona el punto de entrada para

establecer y controlar la conectividad.



■ Líneas de marcado telefónico para comunicaciones de equipo a equipo, mediante módem

■ Redes de área amplia (WAN), vía líneas arrendadas y privadas

■ Servicio de acceso remoto (RECETAS, Remote Access Service) para acceder directa-mente a una LAN, por marcado telefónico, líneas alquiladas o privadas

▲ Red privada virtual (VPN, Virtual Private Network) para acceder de forma segura a una LAN a través de Internet

Entre las capacidades de comunicación de Windows Server 2008 se incluyen las siguien-tes posibles maneras para intercambiar información:

▼ Equipo o LAN a Internet

■ Equipo a LAN

■ LAN a LAN

▲ Equipo o LAN a WAN

La comunicación puede incluir módem, adaptador inalámbrico u otro dispositivo para conectar determinado equipo a un medio de transmisión o usar un enrutador u otro dispositivo, para conectar una red al medio de transmisión. Las comunicaciones pueden darse median-te alambres de cobre, cable de fibra óptica, microondas, medios inalámbricos terrestres, infrarrojo o transmisión satelital.

Windows Server 2008 incluye una serie de funciones, características y aplicaciones (véase la selección de funciones en el Administrador del servidor en la figura 1-4) que controlan y/o utilizan comunicaciones o una capacidad de conectividad externa. Además, el trabajo en red de Windows Server 2008 incluye programas para configurar y administrar las formas del Servicio de acceso remoto (RAS) y la red privada virtual (VPN) a mayor distancia, además de la Conexión de escritorio remoto, para vincularse con un equipo a distancia. Por último, IIS puede utilizarse para publicar páginas Web y aplicaciones Web, ya sea en Internet o intranet.

En el capítulo 8 se presenta un vistazo tanto a las comunicaciones como a la forma de establecer las diferentes funciones y características a las que Windows Server 2008 da soporte. En este capítulo también se habla sobre la manera de establecer una conexión a Internet, además del uso de Internet Explorer sobre Internet. En el capítulo 9 se revisa IIS, su ins-talación y cómo se administra. En el capítulo 10 se describe la instalación y el uso de una VPN, mientras que en el capítulo 11 se refiere a Terminal Services, base para la Conexión de Escritorio remoto y otras operaciones a distancia.

ADMINISTRE WINDOWS SERVER 2008El trabajo de administrar una red de Windows Server 2008, aunque sea pequeña, con un solo servidor y algunas estaciones de trabajo, representa una tarea importante. Para ayudar en esto, Windows Server 2008 tiene varias herramientas de administración que puede utilizarse para monitorear y ajustar el rendimiento del sistema, de manera local o remota. Estas herramientas pueden catalogarse dentro de las siguientes áreas:

▼ Administración general del servidor

■ Administración del sistema de archivos



■ Administración de impresiones

■ Administración de la seguridad

▲ Otras administraciones

Administración general del servidorLa principal herramienta de administración en Windows Server 2008 es el Administrador del servidor. Éste es, con frecuencia, la única herramienta necesaria para instalar, monitorear y administrar componentes principales y secundarios del servidor, como ya se describió en este capítulo y se hará en todo el libro. Muchas otras utilerías para administrar Windows Server 2008, a describirse en las siguientes secciones, también se instalan y gestionan desde el Administrador del servidor. En la figura 1-4 se muestran las funciones principales que pueden instalarse desde el Administrador del servidor. Para muchas de estas funcio-nes, también pueden instalarse distintas opciones de servicios de función. Además de las

Figura 1-4. La selección de funciones en el Administrador del servidor facilita la instalación

tanto de componentes primarios del servidor como de Servicios de dominio de Active Directory

y el Servidor Web (IIS).



funciones, gran cantidad de características independientes del servidor pueden instalarse con el Administrador del servidor, algunas de ellas en la figura 1-5.

Administración del sistema de archivosWindows Server 2008 está diseñado para trabajar en un amplio rango de entornos de cómpu-to y algunos otros sistemas operativos. Como resultado, la estructura de su almacenamiento de archivos debe ser flexible. Esto se manifiesta en los tipos de almacenamiento disponibles y en sistemas de archivo que Windows Server 2008 puede utilizar.

Antes de Windows 2000 Server, sólo un tipo de almacenamiento estaba disponible, llamado almacenamiento básico, para permitir que una unidad se dividiera en particiones o volúmenes, sólo antes de formatearla de nuevo. Windows 2000 Server y Windows Server 2003 agregaron el almacenamiento dinámico, para creación dinámica y cambios a volúmenes. En Windows Server 2008 se pueden reducir y extender los volúmenes dentro de un disco de almacenamiento básico, con el mismo efecto que particionar de nueva cuenta el disco, pero existen otras características avanzadas, como volúmenes abarcando dos o más discos en demanda de almacenamiento dinámico. Cuando instala Windows Server 2008 por primera

Figura 1-5. Además de las funciones que se pueden instalar y gestionarse con el Administrador

del servidor, también es posible instalar allí ciertas características independientes.



vez, todos los discos son de almacenamiento básico. Puede escoger después convertirlo en disco destinado a almacenamiento dinámico y tener ambos tipos en un equipo o convertir todos los discos a la variedad de almacenamiento dinámico.

El sistema de archivo de Windows Server 2008 puede abarcar mucho más de un disco: desde todos los discos de un solo equipo a todos los discos en una red y, también, volúmenes almacenados fuera de línea. La administración de este sistema es significativa y, por tanto, Windows Server 2008 tiene un juego importante de herramientas para mane-jar la administración del sistema de archivos, a describirse en el capítulo 12. Entre estas herramientas figuran:

▼ Administración de discos

■ Administración de volúmenes dinámicos

■ Sistema de archivos distribuido

▲ Respaldo de disco y recuperación

En la figura 1-6 se muestra el panel Administración de discos en la ventana Administra-dor del servidor. Éste se encuentra también disponible en Administración del equipo.

Figura 1-6. La administración de discos puede manejarse desde Administrador del servidor o

Administración del equipo.



Administración de impresiónLa capacidad para transferir información del equipo al papel u otro medio es importante, así como la de compartir impresoras es una función primordial de la red, observada en la figura 1-7. Windows Server 2008 y Windows Vista pueden compartir impresoras y funcionar como servidores de impresión. Además, Windows Server 2008 cuenta con la función Servicios de impresión, para ser instalada y administrarse desde el Administrador del servidor. Esta función permite administrar todas las impresoras de red. En el capítulo 13 se describen las partes constitutivas de la impresión en Windows Server 2008, cómo se instala y administra, además de la forma de administrar tipos de letra necesarios para imprimir.

Figura 1-7. Las versiones más recientes de Windows pueden compartir impresoras en la red.

Windows Server 2008 está habilitado para administrarlas todas.



Administración de seguridadEntre las demandas de seguridad en una red de computadoras se incluyen:

▼ Validar al usuario Conocer quién intenta usar un equipo o conexión a la red

■ Control de acceso Definir y establecer límites a la capacidad de los usuarios

■ Asegurar datos almacenados Evitar el uso de datos almacenados, aun cuando existe acceso

■ Asegurar la transmisión de datos Evitar que los datos dentro de la red sean mal utilizados

▲ Administrar la seguridad Establecer políticas de seguridad y auditar su cumpli-miento

Windows Server 2008 usa un método de varias capas para implementar la seguridad y ofrecer una serie de opciones usadas para manejar las demandas de seguridad, como políticas para bitácora de entradas y acceso a recursos. Un elemento central de la estrategia de seguridad de Windows Server 2008 es el uso de permisos para controlar qué pueden hacer los usuarios, en la figura 1-8. Otras características de seguridad están disponibles con Active Directory, que proporciona la centralización de la administración de seguridad, benéfico para lograr una seguridad fuerte. En el capítulo 15 se describe cada una de las demandas de seguridad y las características atendidas por Windows Server 2008, además de la forma en que se implementan dichas características.

Figura 1-8. Un aspecto de la seguridad consiste en establecer qué puede hacer un grupo

en una unidad de disco.



Otras herramientas de administración del sistemaWindows Server 2008 tiene otras herramientas de administración del sistema para contro-lar diferentes facetas del sistema operativo. En el capítulo 14 se revisan éstas, además de las herramientas de administración del usuario, sin cobertura en otro lado. Entre estas herramientas se incluyen:

▼ Panel de control (véase la figura 1-9)

■ Administrador de tareas

■ Microsoft Management Console

■ Registro

▲ Proceso de arranque

Figura 1-9. El Panel de control facilita los medios para controlar muchas funciones básicas en

Windows Server 2008.


II

19

PARTE

Implementación de Windows Server

2008

02 MATTHEWS 01.indd 1902 MATTHEWS 01.indd 19 1/14/09 12:12:38 PM1/14/09 12:12:38 PM

2

21

CAPÍTULO

Preparación para la instalación



La implementación de Windows Server 2008 es una tarea importante que demanda planeación a conciencia y cuidadosa atención en los detalles. El objetivo del capítulo actual y los dos siguientes es ayudarle a recorrer el proceso de planeación y, en se-

guida, a realizar la instalación detallada. En el capítulo 2 se revisan los pasos que deben darse antes de instalar el más reciente servidor de Windows, incluido el manejo de posibles dificul-tades. El capítulo 3 le lleva a recorrer la instalación de Windows Server 2008 desde diferen-tes puntos de partida, incluidas actualizaciones y una instalación limpia. En el capítulo 4 se muestra cómo usar los Servicios de implementación de Windows para automatizar la instalación de Windows Server 2008.

CONSIDERE LAS NECESIDADES DE LA INSTALACIÓNLa instalación de Windows Server 2008 es, viéndola de manera superficial, un proceso simple: el DVD de distribución de Microsoft se inserta en la unidad o se accede a los ar-chivos en red y se siguen las instrucciones en pantalla. Sin embargo, bajo la superficie, la instalación no es necesariamente tan simple. Antes de instalar el software, debe conside-rar lo siguiente:

▼ Los equipos en que realice la instalación deben cumplir con los requisitos de Win-dows Server 2008

■ Debe cerciorarse que Windows Server 2008 soporte todo el hardware de su sistema

■ Debe conocer las opciones que habiliten el mejor entorno de operación en cada una de las etapas de la instalación

■ Los equipos deben estar preparados para la instalación del sistema operativo

▲ Debe tener un plan consistente para llevar a cabo la instalación

Este capítulo le ayudará a preparar la instalación, revisando cada una de estas áreas para Windows Server 2008. Advertirá qué necesita para facilitar al máximo la instalación.

VERIFIQUE LOS REQUISITOS DEL SISTEMAWindows Server 2008 tiene importantes requisitos de hardware. Revise la tabla 2-1 para confirmar que los sistemas cumplen con los requisitos mínimos de instalación.

NOTA En éste y los siguientes capítulos del libro, cuando vea Windows Server 2008

sin edición específica, se habla de la Standard Edition. En el capítulo 1 se muestran las

diferencias entre requisitos de hardware de las cinco ediciones. Cualquier información

adicional se proporciona en las siguientes secciones.


23 Capítulo 2: Preparación para la instalación

Sobre los requisitos del sistemaLos requisitos de la tabla 2-1 están generalizados; existen situaciones especiales donde se aplican diferentes requisitos. Dichas situaciones especiales se mencionan en los si-guientes párrafos.

ProcesadoresWindows Server 2008 Standard Edition da soporte a un máximo de cuatro procesadores en un equipo, lo que se conoce como multiprocesamiento simétrico (SMP). Windows Server 2008 Enterprise Edition lo suministra para un máximo de ocho procesadores. Windows Server 2008 Datacenter Edition soporta un máximo de 32 procesadores en la versión de 32 bits y 64 procesadores en la versión de 64 bits. Esto permite un rango amplio de escalamiento en una instalación de Windows Server 2008, desde un equipo con un solo procesador hasta muchos equipos, cada uno con cierto número de procesadores.

Memoria de Acceso Aleatorio (RAM)Windows Server 2008 Standard Edition, con procesador x86, da soporte a un máximo de 4 GB (gigabytes), mientras que el procesador x64 puede darse a un máximo de 32 GB. Las edi-ciones Enterprise y Datacenter de Windows Server 2008 con procesador x86 dan soporte a un máximo de 64 GB, mientras con procesador x64 pueden soportar hasta 2 TB (terabytes).

Tabla 2-1. Requisitos mínimos y recomendados para Windows Server 2008.

Componente del sistema Tipo de procesado RequisitoProcesador x86 (32 bits) 1 GHz mínimo 2 GHz recomendado

x64 (64 bits) 1.4 GHz mínimo 2 GHz recomendado

RAM 512 MB mínimo 2 GB recomendado

Espacio en disco duro 10 GB mínimo 40 GB recomendado

Unidad CD/DVD Unidad DVD requerida a menos que haya una red instalada

Sistema de video Súper VGA o mayor resolución de monitor

Dispositivos de entrada Teclado y ratón (ambos opcionales)

Dispositivo de red Tarjeta de red compatible



Espacio en disco duroLa cantidad requerida de espacio libre en disco duro se sujeta a una serie de factores, sobre todo en Windows Server 2008. Entre éstos se cuentan los siguientes:

▼ Los componentes de Windows a instalar. Diferentes componentes necesitan distin-tas cantidades de espacio y son acumulativos; por ello, dependiendo de lo instalado, variará la cantidad necesaria de espacio en disco

■ Una instalación basada en red requiere casi 3 GB adicionales de espacio libre en disco para almacenar archivos adicionales

▲ Una actualización requiere más espacio que una instalación nueva, para expandir una base de datos de una cuenta de usuario en Active Directory, lo que consolida el acceso a todos los recursos de la red en una estructura jerárquica y un punto único de administración

DVD-ROMEs necesario contar con una unidad de DVD-ROM, si se instala desde el disco de distribu-ción de Microsoft. Sin embargo, no es indispensable al hacer la instalación en red.

RedNo es necesaria una tarjeta de red, si no desea conectarse a una red (lo que resulta poco probable) y de no recurrir a la instalación en red. En caso de usarla, es necesario un servidor preparado para distribuir archivos y medios que permitan arrancar el equipo en que se va a hacer la instalación.

Verifique la compatibilidad del sistemaTras verificar y determinar que su sistema cumple con los requisitos mínimos para instalar Windows Server 2008, necesita determinar si hardware y software, sobre todo los usados en la red, son compatibles con el sistema operativo. Puede hacerlo usando dos herramientas de Microsoft, a describirse en las siguientes secciones, para evaluar idoneidad del hardware y compatibilidad del software. Además, los archivos .txt de la carpeta raíz del DVD de Win-dows Server 2008 pueden contener información de última hora respecto a compatibilidad de hardware, software y alguna otra información que necesite antes de instalar.

SUGERENCIA Puede ahorrar tiempo en la resolución de problemas verificando la com-

patibilidad de hardware y haciendo cualquier ajuste necesario antes de instalar Windows

Server 2008.

Use la herramienta Microsoft Assessment and PlanningToolkit Solution AcceleratorLa herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator verifica todos los equipos de la red, crea un inventario de sus componentes de hardware y prepara informes empleando hojas de cálculo de Excel, en las que se reporta la evaluación de la



capacidad de los equipos que soportarán Windows Server 2008. Para usar este programa, requiere —como mínimo— del siguiente hardware y software en el equipo donde ejecutará el Asistente de evaluación de hardware:

▼ Hardware: procesador de 1.6 GHz, 1 GB de memoria, 1 GB de espacio en disco, tarjeta de red

▲ Software: sistema operativo de 32 bits, incluido XP SP2 o más reciente, Vista, Server 2003 R2 o Server 2008; .Net Framework versión 2; Excel 2007 o 2003 SP2; Word 2007 o 2003 SP2

NOTA Microsoft SQL Server 2005 Express se descarga como parte de la instalación del

Microsoft Assessment and Planning Toolkit Solution Accelerator, si no está disponible en

el equipo en que se trabaja, y agrega tiempo y necesidades de espacio al proceso.

La herramienta Microsoft Assessment and Planning Toolkit Solution Accelerator se puede descargar del siguiente sitio de Microsoft:

http://www.microsoft.com/technet/solutionaccelerators/hardwareassessment/wv/de-fault.mspx

Una vez descargado e instalado, deberá iniciar automáticamente, aunque bien, puede iniciarse de la siguiente manera:

1. Haga clic en Inicio|Todos los programas, diríjase a la sección inferior del menú y dé clic en Microsoft Assessment and Planning Solution Accelerator.

2. Si lo desea, haga clic en Read the Getting Started Guide y lea el documento de ayu-da mostrado. Tras cerrar la ayuda, haga clic en Select a database.



3. Escriba el nombre de la base de datos que se creará y dé clic en OK. Elija las acciones que se realizarán como opción predeterminada y haga clic.

4. Seleccione una de las opciones de la parte inferior para localizar los equipos en su red. Esto depende del tipo de red que tenga. Luego elija el tipo de informes y pro-puestas que desee. Haga clic en Next.

5. Si especificó que se usen los protocolos de red de Windows, debe seleccionar los grupos de trabajo en red que desee incluir en el inventario y dé clic en Next.

6. Si especificó usar los Servicios de dominio de Active Directory, necesita proporcio-nar información de inicio de sesión y luego haga clic en Next.

7. Seleccione o escriba, tras hacer clic en New Account, las cuentas locales o de domi-nio y sus respectivas contraseñas, para acceder a los equipos que desee clasificar.

8. Revise las acciones seleccionadas y haga clic en Back para hacer cualquier cambio necesario. Cuando las acciones estén como desea, haga clic en Start. Verá una serie de barras de registrador que mostrarán el avance de la evaluación.

9. Cuando la evaluación haya concluido, haga clic en View Summary Operations re-ports. Evalúe los resultados del resumen. Éste indicará los equipos encontrados y el total de inventarios completos. Le presentará una lista incluyendo reportes de Microsoft Word y Excel que se hayan creado.

10. Cuando esté listo, haga clic en Close y, después, en View saved Reports and propo-sals. Para abrirlos en sus aplicaciones, haga doble clic en cada uno de ellos. Estos reportes ofrecen mucha información, como se aprecia en la figura 2-1.

11. Luego de haber leído o impreso los informes, cierre las aplicaciones y haga clic en Finish para cerrar el asistente.



Figura 2-1. La herramienta Microsoft Assessment and Planning Solution Accelerator proporciona

información escrita y tabular respecto a la capacidad de su red para manejar Windows Server 2008.



Verifique la compatibilidad de las aplicacionesMicrosoft proporciona un sitio Web para compatibilidad de aplicaciones relacionadas con series de documentos y un juego de herramientas descargables verificando la compatibili-dad de las aplicaciones. El Application Compatibility Toolkit (ACT) se puede ejecutar en:

▼ Windows Vista

■ Windows XP SP2

■ Windows Server 2008

■ Windows Server 2003 SP1

▲ Windows 2000 Server SP4 y Update Rollup 1

ACT requiere que SQL Server 2000, SQL Server 2005 o SQL Server 2005 Express Edition estén en ejecución en el equipo.

1. Empiece por abrir el sitio Web http://technet.microsoft.com/en-us/library/cc507853.aspx y haga clic en Getting Started With Windows Vista Application Compatibility card (esto requiere de Microsoft Office PowerPoint 2007; pue-de obtenerse un visor gratuito de PowerPoint 2007 descargándolo de Microsoft en http://www.microsoft.com/downloads/ y deslizándose hacia abajo, hasta PowerPoint Viewer 2007).

Se trata de un par de diapositivas de PowerPoint con información detallada acerca de la compatibilidad de aplicaciones, como puede verse en la figura 2-2.

2. Apenas haya terminado de ver la tarjeta de aplicación de compatibilidad, cierre PowerPoint y haga clic en Application Compatibility Toolkit Deployment Guide And Step By Step Guides. Haga clic en Guardar, seleccione disco y carpetas donde desee guardarlos y haga clic en Guardar.

3. Abra la unidad y carpeta que contienen la Application Compatibility Toolkit De-ployment Guide, descomprima los archivos y revise los de su interés. Cuando haya terminado, cierre la aplicación usada para ver los archivos.

4. Haga clic en el vínculo Application Compatibility Toolkit y, en la página corres-pondiente, haga clic en Donwload files below, luego en Application Compatibility Toolkit.msi, en seguida en Descargar y Ejecutar. A continuación, haga clic una vez más en Ejecutar, acepte la licencia; haga clic dos veces en Next, dé clic en Install y Finish. Iniciará una presentación y explicará ACT, como se ilustra en la figura 2-3.

5. Cuando la presentación haya terminado, dé clic en Inicio|Todos los programas|Mi-crosoft Application Compatibility Toolkit|Application Compatibility Manager. Se abrirá el asistente de configuración de ACT.



6. Haga clic en Siguiente y elija las opciones adecuadas. Cuando haya completado los ajustes de configuración, emplee las instrucciones señaladas en la guía paso a paso de ACT para realizar la prueba de compatibilidad que desee.

TOME LAS DECISIONES CORRECTAS SOBRELA INSTALACIÓN

Durante el proceso de instalación de Windows Server 2008 se tienen varias opciones para instalar software. Si considera estas opciones antes de realizar la instalación y se toma tiem-po para determinar cuáles son mejores para su operación, tal vez satisfaga mejor sus

Figura 2-2. Microsoft proporciona mucha información y un poderoso conjunto de herramientas para

verificar la compatibilidad de las aplicaciones.



necesidades. Algunas de las opciones dependerán de decisiones previas y quizás no estén disponibles en ciertas tomas de decisión. Las opciones que tiene durante la instalación de Windows Server 2008 se relacionan con:

▼ Actualizar una instalación de Windows existente o hacer una instalación limpia

■ Arranque dual de Windows Server 2008 con otra versión de Windows o sola

■ Escoger la partición en que se hará la instalación o usar la establecida como opción predeterminada

■ Arrancar la preparación desde una instalación de Windows existente, o bien, iniciar desde el DVD de instalación

▲ Instalar la versión completa de Windows o instalar únicamente el Server Core

Figura 2-3. ACT incluye una presentación como introducción.



Decida si actualiza o hace una instalación limpiaLa primera medida que debe tomar para instalar Windows Server 2008 es decidir qué tipo de instalación quiere hacer, como se indica en la pantalla Instalar Windows, de la figura 2-4. Aunque la selección toma lugar más tarde en el proceso de instalación, debe decidir antes de que comience, pues afecta la manera en que se inicia la misma. Una actualización, en este caso, significa reemplazar el sistema operativo existente con Windows Server 2008 en la mis-ma partición del disco. Una instalación nueva, por otra parte, instalará Windows Server 2008 en un disco recién formateado o partición separada sin sistema operativo, de donde se haya eliminado el sistema operativo o no exista alguno (que también se llama instalación limpia).

Se pueden actualizar las diferentes ediciones de Windows Server 2008 como se muestra a continuación:

▼ A Windows Server 2008 Standard Edition desde: Windows Server 2003 Standard Edition (todos los Service Packs y R2)

■ A Windows Server 2008 Enterprise Edition desde: Windows Server 2003 Standard Edition (todos los Service Packs y R2) Windows Server 2003 Enterprise Edition (todos los Service Packs y R2)

▲ A Windows Server 2008 Datacenter Edition desde: Windows Server 2003 Datacenter Edition (todos los Service Packs y R2)

Figura 2-4. La primera decisión que debe tomar en la instalación es actualizar o hacer una

instalación limpia.



Si no usa uno de los productos identificados para actualización, tiene dos opciones: poner al día uno de esos productos y luego actualizar Windows Server 2008 o efectuar una instalación limpia.

Las principales razones para actualizar, si lo desea, son las siguientes:

▼ Preservar todos los ajustes actuales (como usuarios, derechos y permisos), aplicacio-nes y datos en su equipo. Su entorno actual se preserva intacto mientras actualiza el nuevo sistema operativo

▲ Facilitar la instalación de Windows Server 2008. Muchas de las decisiones de la instalación ya están tomadas, usando ajustes del sistema operativo actual

Las principales razones para hacer una instalación limpia son:

▼ Dejar de lado un sistema operativo que no puede actualizarse

■ Tener arranque dual en ambos: el sistema operativo viejo y Windows Server 2008. Esto le permite usar cualquier sistema operativo. Windows Server 2008 debe estar en su propia partición

▲ Limpiar los discos duros, cosa que los hace más eficientes, desecha archivos sin uso y libera mucho espacio en disco

Si puede actualizar o hacer una instalación limpia (dejando de lado el arranque dual por un momento, lo que se tratará en la siguiente sección), esta decisión queda entre preservar su sistema actual con todos sus ajustes, aplicaciones y espacio ineficiente y desperdiciado, o hacer una instalación simple. La instalación limpia le da a su nuevo sistema operativo un entorno sin resabios de todo lo hecho en el pasado al equipo, pero significa mucho más tra-bajo. Con una instalación limpia, debe reinstalar todas sus aplicaciones y restablecer todos sus ajustes. Ésta no es una decisión simple. Aunque parezca innecesario pensar siquiera si se mantiene su entorno actual, ya que evita todo el trabajo extra, debe preguntarse si en realidad está tan contento con su entorno actual. Instalar un nuevo sistema operativo es una excelente oportunidad para limpiar la casa y preparar su sistema de la forma en que debió estarlo siempre, aunque requiere una cantidad importante de tiempo extra. Piense en esta decisión con todo cuidado.

Decida si recurre a un arranque dualEl arranque dual posibilita seleccionar entre varios sistemas operativos siempre que inicie su computadora. Si no está seguro de querer un cambio a Windows Server 2008, o tiene una aplicación que sólo se ejecuta en otro sistema operativo, el arranque dual es una solución. Por ejemplo, si quiere mantener Windows Server 2003 en su equipo y usarlo tras instalar Windows Server 2008, el arranque dual ofrece los medios necesarios para hacer lo que de-see. Si piensa en el arranque dual como una estrategia para recuperación en caso de desas-tres (es decir, ocasiones en que no pueda arrancar Windows Server 2008), no representa una buena razón, ya que Windows Server 2008 tiene capacidades de recuperación de desastres integradas, incluidos respaldo y restauración, recuperación de claves y arranque en modo seguro, a ser tratados en otros apartados de este libro.

Puede manejar el arranque dual de Windows Server 2008 con Windows 2000 y sistemas operativos más recientes, tanto cliente como servidor. En todos los casos, debe tener ins-



talado el otro sistema operativo antes de instalar Windows Server 2008. Si está instalando Windows Server en un equipo con entorno de arranque dual, la instalación de Windows Server 2008 creará un tercer entorno de arranque, mismos en el que podrá instalar los tres sistemas operativos.

El arranque dual también tiene importantes inconvenientes:

▼ Debe instalarse Windows Server 2008 en una partición separada para no sobreescri-bir los archivos pertenecientes al sistema operativo original. Esto significa que debe reinstalar todas las aplicaciones que quiera ejecutar bajo Windows Server 2008 y restablecer todos sus ajustes, como haría con una instalación limpia

■ Tal vez deba manejar problemas complejos de compatibilidad de los sistemas de archivos. Consulte los comentarios en seguida de la presente lista

■ En una situación de arranque dual, las características de Plug and Play de los sistemas operativos anteriores y Windows Server 2008 pueden provocar que un dispositivo no funcione correctamente en un sistema operativo ya que el otro lo reconfiguró

■ El arranque dual consume espacio en disco adicional, con dos sistemas operativos completos

▲ El arranque dual hace que el entorno operativo sea más complejo de lo común

Cuando se recurre al arranque dual, ambos sistemas operativos deben tener la capa-cidad de leer los archivos que desee compartir entre ellos. Esto significa que los archivos compartidos requieren almacenarse en un sistema de archivos que ambos sistemas operati-vos puedan usar. Al instalar Windows Server 2008, se usa el Sistema de Archivos de Nueva Tecnología (NTFS, New Technology File System). NTFS tiene características importantes en Windows Server 2008, como Active Directory, seguridad mejorada y cifrado de archivos; sin embargo, es posible que dichas características no se puedan usar en versiones anteriores de Windows con NTFS o sistemas operativos que usan sistemas de archivos FAT y FAT32. Por tanto, corre el riesgo de que los sistemas operativos anteriores no accedan a los archivos creados en Windows Server 2008.

El arranque dual es una solución intermedia que no brinda todas las ventajas de Win-dows Server 2008. Por tanto, no se recomienda, a menos que realice una tarea que sólo pueda integrarse de esta manera, como una aplicación indispensable, inoperante en Windows Ser-ver 2008; incluso en tales circunstancias, debe dejar la aplicación en un servidor dedicado y mover casi todo su trabajo a otro que sólo ejecute Windows Server 2008.

NOTA Aunque es probable que sistemas operativos antiguos no accedan a ciertos ar-

chivos NTFS en el mismo equipo, en condiciones de arranque dual, todos los sistemas

operativos pueden acceder a esos mismos archivos si el acceso se da mediante red (el

servidor traduce los archivos conforme pasan por la red).

Decida sobre particionesEl particionado divide un único disco duro en dos o más particiones o volúmenes. A estas particiones se les asignan letras de unidad, sea D, E o F, entre otras, denominadas unidades lógicas. Cuando se hace una instalación limpia de Windows Server 2008, se le presenta el particionado actual del disco de arranque y se le pide seleccionar la partición en que desea instalar Windows Server 2008, como se muestra en la figura 2-5.



Figura 2-5. Para el arranque dual, debe crear particiones en la unidad para dividirla entre los

sistemas operativos.

Cuando inicia desde el DVD de distribución de Windows Server 2008, el cuadro de diá-logo de particiones, mostrado en la figura 2-5, se ve ligeramente distinto. En la parte inferior derecha aparece Opciones de unidad (Avanzadas). Si hace clic en ella, verá otras opciones para trabajar con particiones. Así, puede:

▼ Borrar una partición existente, creando espacio libre en la unidad

■ Extender una partición existente, mientras haya espacio libre para extenderlo a una nueva partición

■ Crear una nueva partición si hay espacio libre en el cual pueda hacerlo

▲ Formatear una partición existente o una nueva

SUGERENCIA Cuando ejecute la instalación de Windows Server 2008, no puede reducir

una partición existente para crear espacio libre. Debe hacerlo antes de iniciar la instala-

ción. Windows Vista y Windows Server 2008 tienen capacidad para reducir particiones

básicas (no dinámicas), al igual que productos de terceros como PartitionMagic de Sy-

mantec. Por su parte, Windows XP y Windows Server 2003 tienen capacidad para borrar

particiones básicas, pero sólo pueden reducir particiones dinámicas; sin embargo, no se

puede arrancar desde un disco usando particiones dinámicas.

Hay dos motivos principales para el particionamiento: tener dos sistemas de archivos diferentes en la misma unidad y proporcionar una separación lógica para la información o archivos. Si recurre al arranque dual, necesita usar por lo menos dos particiones diferentes



para mantener ambos sistemas operativos separados, para que la instalación de Windows Server 2008 no reemplace los archivos del sistema operativo original. Otra razón para una partición separada es usar el Servicio de instalación remota (RIS, Remote Installation Servi-ce) para instalar, a distancia, Windows Vista en estaciones de trabajo.

Cuando considere las opciones de particionamiento, también necesita tomar en cuenta el tamaño de cada partición. Debe dedicar al menos 10 GB para Windows Server 2008, pero también resulta inteligente dejar espacio adicional. Si trabaja con un servidor activo, deben dedicarse alrededor de 40 GB para elementos como información de Active Directory, cuentas de usuario, archivos de intercambio de RAM, componentes opcionales y futuros Service Packs.

Bajo muchas circunstancias, querrá una partición única en el disco duro para tener máxima flexibilidad y usar la totalidad del disco. Puede administrarse el particionado des-pués de completarse la instalación (consulte el capítulo 12).

Decida cómo iniciar la instalaciónPuede iniciar la instalación de Windows Server 2008 desde una instalación existente de Windows o arrancando desde el DVD de distribución de Microsoft. En caso de iniciar desde una instalación existente de Windows, puede hacer una actualización o instalación limpia. Las consideraciones son:

▼ Si arranca desde el DVD, sólo puede hacerse una instalación limpia y, por supuesto, necesita el DVD

■ Si inicia desde una instalación existente, puede hacerlo desde el DVD o carpeta de red que contenga el instalador

▲ Si quiere efectuar un cambio a las particiones de la unidad o formatear una parti-ción, debe arrancar desde el DVD de la distribución

Para iniciar desde una instalación existente de Windows:

1. Inicie la instalación existente de Windows.

2. Cuando haya terminado de arrancar el Windows existente, inserte el DVD de Windows Server 2008 en su unidad. Se abrirá el cuadro de diálogo de Reproduc-ción automática.



Haga clic en Ejecutar Setup.exe. Asimismo, dé clic en Inicio y Equipo, vaya a la unidad y carpeta que contienen el instalador de Windows Server 2008 y dé doble clic en Setup.

Figura 2-6. La forma en que inicia la instalación determina las opciones que tendrá.

Para iniciar desde el DVD:

1. Inserte el DVD de Windows Server 2008 en la unidad y reinicie el equipo.

2. Inmediatamente después de la pantalla de apertura del fabricante, oprima cual-quier tecla cuando vea “Presione cualquier tecla para iniciar desde el CD o DVD”.

En todos los casos, tras algunos mensajes preliminares, verá la pantalla de instalación de Windows mostrada en la figura 2-6.



Decida sobre las opciones: completa o CoreLas ediciones principales de Windows Server 2008 (Standard, Enterprise y Datacenter) pue-den instalarse completas o en la versión Server Core, como se indica en la figura 2-7.

▼ Instalación completa incluye todos los componentes (funciones y características) disponibles en la edición de Windows Server 2008 que está instalando, además de la interfaz de usuario completa

▲ Instalación Server Core es una instalación mínima que sólo incluye un subconjunto de componentes, sin la interfaz de usuario. Una instalación Server Core puede ad-ministrarse desde la línea de comandos, ya sea localmente desde el equipo en que está instalado o remotamente desde una conexión de escritorio remoto de Terminal Services

La instalación Server Core no puede ejecutar ciertas aplicaciones de terceros, debido a la ca-rencia de interfaz de usuario, pero reduce la carga de administración, así como áreas del servidor que pueden ser atacadas. Server Core ejecutará las siguientes funciones y características.

Figura 2-7. Server Core proporciona una instalación mínima para servidores de

propósito especial.



Funciones:

▼ Servicios de dominio de Active Directory

■ Servicios de directorio ligero de Active Directory

■ Servidor del protocolo dinámico de configuración de host (DHCP, Dynamic Host Configuration Protocol)

■ Servidor del servicio de nombres de dominio (DNS, Domain Name Server)

■ Servicios de archivo

■ Servicios de impresión

■ Servicios de flujo de datos de Windows Media

▲ Servidor Web (IIS)

Características:

▼ Copias de seguridad

■ Cifrado de unidad BitLocker

■ Clúster de conmutación por error

■ E/S de múltiples rutas

■ Equilibrio de carga de red

■ Calidad de servicio (QoS)

■ Almacenamiento extraíble

■ Servicios del protocolo simple de administración de redes (SNMP, Simple Network Management Protocol)

■ Subsistema para aplicaciones UNIX

■ Cliente Telnet

▲ Servicio de nombres de Internet de Windows (WINS, Windows Internet Name Service)

Instalación de componentes opcionalesEl programa Setup ya no le pide elegir los componentes opcionales mientras instala Win-dows Server 2008. Algunos componentes, como Internet Explorer, accesorios y un paquete básico de herramientas administrativas, se instalan automáticamente con Windows Server 2008. Los componentes más grandes, como Servicios de dominio de Active Directory, ser-vidores DHCP y DNS, además del servidor Web (IIS), pueden instalarse como funciones o características desde el Administrador del servidor (véase la figura 2-8) en seguida de haber instalado Windows Server 2008. El uso del Administrador del servidor e instalación de funciones y características se mencionan en diversos lugares de este libro, incluidos los capítulos 1 y 3.



PREPARE LA INSTALACIÓNLa instalación de un sistema operativo conlleva el riesgo moderado de perder parte de la información en el equipo o toda ella; de esto nace la idea de respaldar los discos duros antes de la instalación. Instalar un sistema operativo también es una estupenda oportunidad para limpiar y hacer que el sistema sea más eficiente. Además, es necesario hacer ajustes al siste-ma para cerciorarse de que la instalación se ejecute sin contratiempos. Todas estas tareas se incluyen en los siguientes pasos para preparar la instalación de un sistema operativo:

▼ Crear copias de seguridad de todos los discos duros

■ Inventariar software actual

■ Limpiar los archivos actuales

■ Actualizar el hardware

▲ Deshabilitar hardware o software conflictivo

Figura 2-8. Casi todos los componentes importantes de Windows Server 2008 se instalan desde

el Administrador del servidor, después de instalar Windows Server 2008.



Cree copias de seguridad de todos los discos durosEn un entorno de servidor, tal vez la creación de copias de seguridad sea más laboriosa que una estación de trabajo, a menos que el servidor se encargue también de crear las copias de las estaciones de trabajo. Por tanto, el respaldo puede ser, o no, una tarea rutinaria. En cualquier caso, es importante realizar un respaldo a conciencia antes de instalar un nuevo sistema ope-rativo. Éste debe incluir respaldo de todos los archivos de datos, considerando archivos de correo, libretas de direcciones, formatos, ajustes, documentos, favoritos, cookies e historial. La creación de copias de seguridad de los archivos de las aplicaciones no sólo es innecesaria (generalmente), porque debe tener copias de los discos de distribución, sino también es difí-cil, debido a que los archivos de aplicaciones se distribuyen en varias carpetas.

La mejor técnica para crear copias de seguridad de archivos de datos, si no tiene una lista de éstos, consiste en recorrer el disco duro, carpeta por carpeta, revisando cada archivo dentro de cada una de ellas. Ésta es, en definitiva, una tarea tediosa, pero no sólo sirve para crear copias de seguridad, sino también para las siguientes tareas de limpieza e inventario de aplicaciones. En muchos casos, podrá crear copias de seguridad de carpetas completas, si sabe que todos los archivos son de datos. En otros casos, muchos de los archivos de una carpeta son de aplicación y no necesitará crear copias de seguridad de ellos (aunque es pro-bable que algunos archivos tengan plantillas personalizadas, configuraciones o archivos de datos que querrá preservar).

Las herramientas (hardware y software) que use para crear copias de seguridad dependen de su disponibilidad. Es posible crearlas con el programa Copias de seguridad de Windows Server 2003. (Windows Server 2008 tiene nuevas opciones, pero necesita crear las copias antes de instalarlo). La mejor opción es usar algún programa de terceros, como Backup Exec for Windows Servers (http://www.symantec.com/business/), de Symantec (antes Veritas). Los medios de copia de seguridad pueden incluir cintas, discos duros extraíbles, DVD grabables o regrabables, discos ópticos fijos o discos duros fijos, libres en otros sistemas. Cualquier cosa que use, asegúrese de que pueda leerla y recuperarla en su sistema Windows Server 2008.

SUGERENCIA Con el bajo costo de los discos duros grandes, valdría la pena conseguir

uno o más para conservar la copia de seguridad más reciente de uno o más sistemas; sin

embargo, aún deberá emplear medios extraíbles para almacenar una copia de los datos

del equipo, en un contenedor a prueba de fuego.

Cree un inventario del software actualA medida que recorre el disco duro para crear copias de seguridad de él, debe hacer un inventario de las aplicaciones en el disco, en caso de que necesite reinstalar cualquier cosa. Aparte de la revisión del disco, haga un inventario del Escritorio, los menús Inicio, Todos los programas, además de la barra de tareas. Por igual, abra Agregar o quitar pro-gramas (Programas y características, en Windows Vista y Server 2008), desde el Panel de control y anote los programas que se muestran instalados, asimismo los componentes de Win-dows instalados. Por cada aplicación, anote la versión instalada, si todavía se usa, cuáles son sus archivos de soporte (como formatos y ajustes) y dónde se almacenan los archivos en el disco duro. (Esta última información se debe proporcionar al proceso de copia de seguridad,



para certificar que se incluyan dichos archivos.) Por último, debe asegurarse de tener los discos de distribución de cada aplicación y anotar dónde se guardan. Estos pasos le asegurarán que tendrá tanto las notas como los archivos de aplicación y datos necesarios para restaurar las aplicaciones que estaban ejecutándose en el equipo, antes de instalar Windows Server 2008.

Limpieza de archivos actualesLa mayoría de nosotros intentamos limpiar los discos de que somos responsables, para li-brarnos de archivos y aplicaciones inútiles, pero pocos estamos acostumbrados a hacerlo. Es una tarea difícil, ¿y quiénes somos para decir que una aplicación o archivo nunca se volverá a necesitar? Además, todos hemos tenido la experiencia de necesitar un archivo recién eli-minado o encontramos un archivo que no se ha usado por algún tiempo.

Dado que ha hecho un trabajo eficiente al crear copias de seguridad de sus archivos de da-tos y que tiene un inventario completo de las aplicaciones, resulta inútil preguntarse cuándo se necesitará de nuevo algún archivo, porque siempre podrá restaurar éste o la aplicación, en caso de requerirlo. Esto sólo deja por objeción que se trata de una larga y ardua tarea, y lo es.

La mejor manera de limpiar un disco duro es, también, la más sencilla y terrorífica, porque es definitiva: reformatear el disco duro y recargar únicamente aplicaciones y ar-chivos que se sabe habrán de usarse de inmediato. Esto coloca una considerable presión para crear copias de seguridad correctas y asegurarse de que se tiene un buen inventario de aplicaciones, pero, dado que usted es quien lo hace, reformatear el disco duro es buena solución. Sin embargo, requiere mucho tiempo y trabajo, por el tiempo necesario para recargar lo que se quiere en el disco duro.

La limpieza de un servidor agrega todavía otra dimensión, pues cubre la información relacionada con permisos y usuarios. En esencia, debe auditarse la base de datos de permisos y usuarios; deben eliminarse entradas duplicadas o sin uso. De nuevo, ésta es una clase de tarea que, con frecuencia, se deja a un lado, pero realmente necesaria si quiere tener un sistema limpio y eficiente. Explicar a los usuarios que van a tener un respaldo seguro, y que si en realidad necesitan un archivo podrán cargarlo de nuevo, ayuda a convencerlos de que está bien quitar del servidor la información poco usada (nadie va a aceptar que nunca se usa).

Actualice el hardwareAl igual que la limpieza del disco duro, a menudo se dejan a un lado actualizaciones de hard-ware porque pueden perturbar al sistema. Por ello, utilice la excusa del “nuevo sistema opera-tivo” para lograrlo. Use el inventario que hizo antes para determinar el hardware que necesita o quiera actualizar, también compre e instale hardware antes de instalar Windows Server 2008; así, el nuevo sistema operativo tendrá el beneficio del nuevo hardware. Cuando haga esto, considere actualizar el BIOS de la tarjeta madre, remitiéndose al sitio Web del fabricante para saber si hay una actualización y, en caso de haberla, pensar si ésta le beneficiará.

Deshabilite el hardware y software conflictivosSi ejecuta cierto hardware y software, es probable que falle la instalación. Por ello, deben darse los siguientes pasos en cada equipo para preparar una instalación de Windows Server 2008:



▼ Deshabilite cualquier dispositivo “no break” conectado al puerto serial del equipo, desconectando el cable. El dispositivo puede causar problemas con el proceso de detección de dispositivos del programa de instalación. Puede reconectar el cable lue-go de haber finalizado la instalación

■ Si usa copias de espejo de discos, necesita deshabilitarlas antes de arrancar la insta-lación. Podrá reiniciar está función cuando la instalación esté completa

▲ Detenga todos los programas en ejecución, sobre todo los de detección de virus, antes de arrancar la instalación. Es probable que estos programas envíen mensajes falsos advirtiendo la presencia de virus mientras la instalación escribe en el disco. En algunas ocasiones, estos programas arrancan automáticamente cuando el siste-ma enciende; por ello, deberá tomar medidas para encontrarlos y detenerlos, de la siguiente manera:

1. Haga clic en Inicio|Todos los programas|Inicio, y quite cualquier programa que encuentre ahí. De manera similar, quite cualquier programa en el archivo Autoexec.bat.

2. Reinicie el equipo, haga clic con el botón derecho, en cualquier icono que se encuentre en el extremo derecho de la barra de tareas y seleccione Cerrar, Des-habilitar o Salir, si existe alguna de estas opciones.

3. Oprima ctrl+alt+supr y haga clic en Administrador de tareas (o Iniciar el administrador de tareas, en Windows Vista y Server 2008) para abrir el Admi-nistrador de Tareas de Windows, mostrado en la figura 2-9.

4. Seleccione cada uno de los programas de la ficha Aplicaciones que estén en ejecución y haga clic en Finalizar Tarea. Además, puede dirigirse a la opción Agregar o quitar programas (o Programas y características en Windows Vista y Server 2008) del Panel de control y retirar cualquier programa restante que arranque automáticamente.

Figura 2-9. Las aplicaciones pueden detenerse en el Administrador de tareas.



PLANEE UNA MIGRACIÓN A WINDOWS SERVER 2008 El recorrido de las tareas descritas hasta ahora en este capítulo para un servidor y estaciones de trabajo es una importante cantidad de trabajo; hacerlo para cierta cantidad de servido-res y muchas estaciones de trabajo son palabras mayores. En ambos casos, es de gran ayuda tener un plan sólido para hacerlo y, en el caso de una gran instalación, resulta obligatorio.

El plan de migración debe reflejar a la organización para la cual se diseña, pero casi todos los planes deben cubrir los siguientes pasos:

1. Identificar los equipos que deberán actualizarse o instalarse con Windows Server 2008 o Windows Vista y el orden en que sus actualizaciones deberán completarse.

2. Identificar el hardware que debe comprar e instalar para que el paso 1 puede realizarse.

3. Asignarle a alguien la tarea de desarrollar una lista detallada de tareas necesarias para los pasos 1 y 2.

4. Desarrollar un cronograma para completar las tareas del paso 3.

5. Determinar un conjunto de fechas de instalación causando el menor inconveniente a las actividades normales de la compañía. Un fin de semana largo es, con frecuen-cia, buena idea para todo el mundo, excepto para quienes hacen el cambio.

6. Desarrollar un presupuesto para el software, hardware y trabajo especificados en los pasos anteriores.

7. Identificar de manera realista las posibles interrupciones al trabajo de la compañía y el costo de éstas.

8. Identificar los beneficios de cambiar a Windows Server 2008 y la manera en que esos beneficios se traducen en reducción de costos y mejores beneficios.

Muchas organizaciones de cualquier tamaño requieren un plan como éste y la dirección ejecutiva revisará con profundidad los resultados de los pasos 6 a 8. No sólo se trata, por supuesto, de una simple comparación numérica. Los montos señalados en el paso 6 repre-sentan dinero real así como los montos en los pasos 7 y 8 pueden ser difíciles de identificar. La verdadera pregunta es si los beneficios de Windows Server 2008 cubren los costos y qué tan bien le irá a la compañía con el cambio. Cada organización debe responder a esta pre-gunta por sí misma.

Llevar a cabo la migración de un sistema operativo a otro es un tema serio. Diversas compañías han sufrido daños significativos cuando las actualizaciones se han hecho mal; en cambio, han obtenido grandes beneficios hechas de manera correcta. Aquí hay tres elemen-tos clave para el éxito:

▼ Tenga conocimiento detallado de sus equipos y sistema de red actual además de lo que desea lograr con Windows Server 2008

■ Elabore un plan detallado de cómo va a llevar a cabo la conversión con el menor costo e inconvenientes para la organización

▲ Comuníquese continua y exhaustivamente con todos los involucrados


3

45

CAPÍTULO

Instalación deWindows Server

2008



El proceso físico de instalación del software Windows Server 2008 en un servidor es casi trivial y se ha vuelto mucho más simple que con Windows Server 2003. La confi-guración del servidor, una vez instalado el sistema operativo, no es mucho más difícil

que la de Windows Server 2003, aunque es un proceso más sustancial. Una vez completada la preparación descrita en el capítulo 2, estará listo para iniciar la instalación real de Win-dows Server 2008. Si no ha leído el capítulo 2 ni completado los pasos anteriores, le reco-miendo ampliamente que lo haga antes de continuar.

PREPARE WINDOWS SERVER 2003PARA LA ACTUALIZACIÓN

Para actualizar Windows Server 2003, debe actualizarlo antes, al menos al Service Pack 1 (SP1), y se recomienda actualizar al Service Pack 2 (SP2). Además, debe actualizar la estruc-tura del dominio de Active Directory para que dé soporte a Windows Server 2008.

Actualice Windows Server 2003 a SP1 o SP2La manera más sencilla de actualizar Windows Server 2003 para instalar Windows Server 2008 es emplear Windows Update.

1. Mientras está en Windows Server 2003, dé clic en Inicio|Todos los programas| Windows Update. Se conectará al sitio Web de Microsoft Windows Update. Siga las instrucciones para determinar las actualizaciones necesarias, así como descar-garlas e instalarlas. Esto puede tomar más de una hora para SP2.

2. Cuando la actualización ha terminado, se le dirá que el equipo debe reiniciarse. Hágalo.

Actualice el Active DirectoryPara actualizar la estructura del dominio de Active Directory, es necesario estar ubicado en el equipo maestro de operaciones de infraestructura del dominio y ejecute un programa del DVD de Windows Server 2008.

1. Para identificar el equipo maestro de operaciones de infraestructura del dominio, haga clic en Inicio|Herramientas administrativas|Usuarios y equipos, de Active Directory, para abrir la ventana Usuarios y equipos de Active Directory.

2. Haga clic con el botón derecho en el objeto del dominio y dé clic en Maestros de operaciones. En el cuadro de diálogo Maestros de operaciones, haga clic en la pesta-ña Infraestructura. Tome nota del nombre del equipo Maestro de operaciones, cierre el cuadro de diálogo y la ventana Usuarios y equipos de Active Directory.


47 Capítulo 3: Instalación de Windows Server 2008

3. Inicie sesión en el equipo maestro de operaciones de infraestructura, con permisos para un administrador de dominio e inserte el DVD de Windows Server 2008 en la unidad. En el Explorador de Windows, ubique la carpeta \sources\adprep\ y arrástrela al disco duro del equipo.

4. Haga clic en Inicio|Símbolo del sistema. Escriba cd \adprep\ para abrir la carpeta.

5. Teclee adprep /forestprep y oprima enter para actualizar la información del bos-que. Recibirá una advertencia de que todos los controladores de dominio de Active Directory de Windows 2000 deben actualizarse a SP4.

6. Teclee c y oprima enter. Después de unos minutos (aunque, el tiempo puede va-riar), obtendrá un mensaje acerca de la actualización correcta de la información.

7. Escriba adprep/domainprep/gpprep y oprima enter para actualizar la informa-ción de todo el dominio y las directivas de grupo.

8. Cuando obtenga el mensaje de que Adprep ha completado correctamente la actua-lización, cierre el indicador de comandos y la ventana Usuarios y equipos de Active Directory.

NOTA En caso de obtener un mensaje acerca de que Adprep ha detectado que el domi-

nio no está en modo nativo (que significa puede haber dominios de Windows NT y 2000

en el bosque), cambie al modo nativo abriendo la ventana Usuarios y equipos de Active

Directory, haciendo clic con el botón derecho en el panel izquierdo y luego haciendo clic

en Elevar nivel funcional del dominio. En el cuadro de diálogo que se abre, seleccione Win-

dows Server 2003 de la lista desplegable y dé clic en Cerrar.



ESCOJA UN MÉTODO DE INSTALACIÓNHay varias maneras de instalar Windows Server 2008, pero se dividen en tres categorías:

▼ Manual Una persona se sienta frente al equipo donde instalará el sistema operati-vo y, en tiempo real, efectúa la instalación en esa máquina.

■ Automatizada Se emplea un archivo de secuencia de comandos o de respuestas para llevar a cabo la instalación, de tal manera que la persona no deba estar frente al equipo para instalar el sistema operativo.

▲ Remota Una persona se sienta frente a un servidor y efectúa la instalación del equipo en red. La instalación puede ser manual o automatizada.

En este capítulo se describe de manera detallada el método manual, con algunas va-riaciones. En el capítulo 4 se describe el método automatizado mediante los Servicios de implementación de Windows; requiere tarjetas de red que puedan arrancarse de manera remota y tarjetas madre que les den soporte, además de un servidor dedicado o volumen (una partición) en un servidor.

El proceso de instalación de Windows Server 2008, sin importar el método, tiene tres fases distintas; cada una de ellas necesita un análisis propio:

▼ Inicio de la instalación

■ Ejecución de la instalación

▲ Configuración de un servidor

INICIO DE LA INSTALACIÓNLa instalación puede iniciarse al arrancar directamente desde el DVD de instalación de Win-dows Server 2008 o una instalación existente de Windows, donde los archivos de instalación de Windows Server 2008 estén disponibles, ya sea de manera local o en red. Ambos métodos tienen mucho en común.

NOTA La instalación en red es diferente de la remota. La primera invierte posiciones.

Usted se encuentra frente a la máquina en que instala y accede a la red para obtener los

archivos de instalación. Con la instalación remota, está frente al servidor instalando en una

máquina conectada en red.

Inicio de la instalación mediante arranque directoPuede arrancar directamente la instalación con un disco duro nuevo sin formatear o uno que tenga cualquier sistema operativo. La única pregunta es si puede arrancar desde un DVD, que es obligatorio.

NOTA Si arranca la instalación directamente, no se puede hacer actualización. Debe

iniciar el programa de instalación desde el producto que está actualizando.



Si el sistema en que quiere hacer la instalación cuenta con la opción para arrancar desde un DVD, entonces puede arrancar el programa de instalación siguiendo estos pasos:

1. Inserte el DVD de Windows Server 2008 en la unidad de DVD.

2. Reinicie el equipo.

3. Inmediatamente después de la pantalla inicial de arranque, arriba a la izquierda, deberá ver el mensaje: “Presione cualquier tecla para iniciar desde el CD o DVD”. Luego oprima cualquier tecla.

4. Se cargará el programa de instalación de Windows Server 2008 y solicitará elegir idio-ma, formato de fecha, moneda y teclado. Cuando esté listo, haga clic en Siguiente.

5. Aparecerá el cuadro de diálogo Instalar Windows, como se muestra en la figura 3-1. Haga clic en Instalar ahora.

NOTA Cuando arranque desde el DVD, tendrá la opción Reparar el equipo, sólo disponi-

ble cuando arranca desde el DVD y, por tanto, no se muestra en la figura 3-1 (porque sólo

se puede tomar una captura de pantalla cuando la instalación se ejecuta bajo una versión

distinta de Windows).

Figura 3-1. La ventana inicial de instalación se verá ligeramente diferente si arrancó desde

el DVD o inició desde una versión más reciente de Windows. La figura muestra esto último.



¿No puede arrancar desde un DVD?Si no puede arrancar desde un DVD, pero cree que debe tener esta opción (casi todos los equipos recientes pueden arrancar desde un DVD, si hay unidad de DVD instalada), deberá cambiar uno o más parámetros del sistema BIOS (Basic Input/Output System, sistema bási-co de entrada/salida), registrados al principio del proceso de arranque. La manera en que se entra al BIOS se identifica generalmente en la primera pantalla de arranque. Con frecuencia se oprimen y mantienen oprimidas las teclas de función f1 o f2. A veces, las teclas supr y esc se usan juntas para este propósito. Una vez que haya entrado al BIOS, deberá cambiar la secuencia de arranque, para que así primero arranque desde el DVD, antes que con el disco duro. En el BIOS:

1. Busque una opción, menú o pestaña que digan “Boot” (arranque) o “Boot Sequence” (secuencia de arranque), haga clic en ella o utilice las flechas u otras teclas para selec-cionarla o abrirla, y ver las opciones de arranque.

2. Verá una lista con la secuencia en que se acceden los dispositivos de arranque; una lista como ésta:

▼ Disco duro interno (o HDD)

■ Unidad CD/DVD

■ Disco flexible

▲ Tarjeta de red interna

3. Deberá cambiar el orden para que la unidad de DVD sea la primera; de otra forma, algún otro dispositivo con una prioridad más alta, como el disco duro, se utilizará para arrancar el equipo.

4. La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los casos las instrucciones se encuentran en la pantalla. Usualmente, se manejan las teclas de flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabi-litarla y se usan las teclas + y – o las teclas u o d para subir o bajar las opciones, utili-ce enter o una tecla de función para terminar y registrar el cambio, luego presione esc u otra tecla de función para cancelar cualquier cambio.

SUGERENCIA Si tiene dos unidades DVD, como un DVD-ROM y un DVD-RW, pruebe

con ambas; es probable que una funcione y la otra no.

Si no puede arrancar desde un DVD, sólo existe otra opción: iniciar el programa de instalación de Windows Server 2008 desde una versión de Windows reciente (vea la si-guiente sección).

Inicio desde una versión de Windows recientePuede iniciar el programa de instalación de Windows Server 2008 desde una versión recien-te de Windows, a partir de Windows 2000 (“iniciar” el programa de instalación desde estos sistemas operativos no significa que pueda “actualizar” desde ellos). Este arranque puede hacerse insertando el DVD mientras Windows está en ejecución o localizando el conjunto de archivos de instalación en el disco duro, la unidad DVD local o red.



Inicio desde una unidad de DVD localCon una versión reciente de Windows ejecutándose en el equipo que cuenta con la unidad de DVD donde quiere instalar Windows Server 2008:

1. Inserte el DVD de Windows Server 2008 en la unidad.

2. Si está activada la característica Reproducción automática, se cargará el DVD y apa-recerá el cuadro de diálogo de Reproducción automática. Haga clic en Ejecutar Setup.exe para iniciar la instalación y ver el cuadro de diálogo inicial de instalación, como se mostró en la figura 3-1.

NOTA Puede actualizar a Windows Server 2008 Standard Edition, desde Windows Ser-

ver 2003 Standard Edition (Service Pack 1 y posterior) y actualizar a Windows Server 2008

Enterprise Edition, desde Windows Server 2003 Standard o Enterprise Edition (Service

Pack 1 y posterior).

3. Tal vez la característica de Reproducción automática ejecute automáticamente el pro-grama de instalación y lo primero que vea será el cuadro de diálogo de instalación.

4. Cuando aparezca el cuadro de diálogo inicial de instalación, haga clic en Instalar ahora.

5. Si el cuadro de diálogo Reproducción automática no aparece o no funciona como se supone y no ve el cuadro de diálogo inicial de instalación, use las instrucciones de la siguiente sección “Inicie desde una unidad local o de red”.

Inicie desde una unidad local o de redLos archivos de instalación pueden copiarse del DVD al disco duro, ya sea en el equipo local o la red. Se puede iniciar el programa de instalación desde ese equipo, además de hacerlo, con los permisos apropiados, desde una unidad DVD remota (siempre y cuando, por su-puesto, esté conectado a dicha red).

1. En cualquier equipo de red (al que se le denomina “servidor de instalación”), inserte el DVD de distribución de Windows Server 2008 en la unidad DVD-ROM.

2. Copie el contenido del DVD de distribución de Windows Server 2008 a una nueva carpeta del disco duro, en el servidor de instalación y luego comparta esa carpeta; también tiene la opción de compartir la unidad DVD-ROM de ese equipo.



3. En el equipo donde quiere instalar Windows Server 2008 (se le llama equipo “que se instala”), haga clic en Inicio|Equipo. Ubique el servidor de instalación, la unidad y carpeta en que se encuentra el DVD de Windows Server 2008.

4. Haga doble clic en Setup.exe, como se muestra en la figura 3-2, para iniciar la ins-talación. Si comenzó desde Windows Vista, verá un cuadro de diálogo Control de cuentas de usuario, preguntando si quiere permitir la ejecución de Setup.exe. Haga clic en Permitir.

5. Se abrirá el cuadro de diálogo inicial de instalación. Haga clic en Instalar ahora.

EJECUTE LA INSTALACIÓNLa ejecución de la instalación de Windows Server 2008 es sencilla y sólo tiene pequeñas variaciones, dependiendo de dónde se encuentre:

▼ Ejecutar una actualización iniciada desde Windows Server 2003

■ Ejecutar una instalación limpia iniciada desde una versión reciente de Windows

▲ Ejecutar una instalación limpia iniciada desde el DVD

Figura 3-2. El programa de instalación puede iniciarse desde el equipo y una unidad de red.

NOTA Para compartir una unidad, ya sea de disco duro o DVD, haga clic en Inicio | Equipo.

Localice el disco duro o unidad de DVD, haga clic con el botón derecho y elija Compartir.

Haga clic en Uso compartido avanzado; en Continuar, del Control de cuentas de usuario;

en Compartir esta carpeta y Permisos. En el cuadro de diálogo Permisos, tenga cuidado

de que Todos esté seleccionado al principio de la lista y dé clic en Control Total, bajo Per-

misos. Haga clic en Aceptar tres veces (o dos en Aceptar y una en Cerrar, dependiendo

del sistema operativo desde el que inicia).



Ejecución de una actualizaciónUna actualización a Windows Server 2008 debe hacerse desde Windows Server 2003 para la misma edición o una inferior (en el caso de Standard a Enterprise). Esto significa que la insta-lación debe iniciarse desde el producto que se actualiza. Además, algunos de los parámetros para Windows Server 2008 se toman del sistema anterior.

PRECAUCIÓN Si instala Windows Server 2008 como actualización, no puede desinsta-

larlo, pero si falla la instalación, el sistema regresará a Windows Server 2003.

Si ha iniciado desde Windows Server 2003 y ha hecho clic en Instalar ahora, debe tener el cuadro de diálogo Obtenga importantes actualizaciones para la instalación en pantalla (véase la figura 3-3), si tiene una conexión a Internet y los servicios apropiados. De ser así, vaya al paso 1. De otro modo, verá la pantalla para registrar la clave de producto y deberá iniciar con el paso 2.

1. Aunque tomará más tiempo, le recomiendo que haga clic en Obtener las actualiza-ciones más recientes…, que, tras obtener las actualizaciones, mostrará el cuadro de diálogo para registrar la clave de producto.

NOTA No puede actualizar a Windows Server 2008 Server Core.

Figura 3-3. Se recomienda que obtenga las últimas actualizaciones antes de iniciar

el proceso de instalación.



2. Ingrese la clave de producto mostrada en el sobre o estuche del DVD de Windows Server 2008 y dé clic en Siguiente.

3. En la opción entre Instalación completa o Instalación Server Core, si quiere actuali-zar, debe seleccionar Instalación completa y hacer clic en Siguiente.

4. Haga clic en Acepto los términos de licencia (de lo contrario, tendría que olvidarse de instalar Windows Server 2008) y haga clic en Siguiente.

5. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4, haga clic en Actualización.

Figura 3-4. Con una actualización, se preservan sus programas y ajustes actuales.

NOTA Si no ha instalado por lo menos el Service Pack 1 (SP1) para Windows Server

2003, se le recordará que debe hacerlo antes de actualizar a Windows Server 2008.

6. Se le recordará que necesita asegurarse de que sus programas actuales son compa-tibles con Windows Server 2008. Esto se expone en el capítulo 2. Cuando esté listo, haga clic en Siguiente.



7. El programa de instalación empezará por copiar y recopilar archivos. Pasará a ex-pandir archivos e instalar características y actualizaciones, después completará la actualización. Durante este proceso, el equipo se reiniciará varias veces y tendrá que hacer clic en Aceptar, para facilitarlo. Tras el último reinicio, arrancará Win-dows Server 2008.

8. Oprima ctrl+alt+supr y escriba la contraseña del administrador para iniciar sesión. El escritorio de Windows Server 2008 se mostrará junto con la ventana Administrador del servidor (véase la figura 3-5). Esta ventana y los pasos para configurar Windo-ws Server 2008 se exponen más adelante en este capítulo bajo el título: “Configure un servidor”.

NOTA El tiempo que toma hacer una instalación limpia es mínimo, entre 15 y 20 minutos.

Sin embargo, una actualización, puede llevar una o varias horas, dependiendo de la com-

plejidad del servidor que actualice.

Figura 3-5. Cuando se hace una actualización, se omite la ventana Tareas de configuración inicial.



Ejecute una instalación limpia iniciada desdeuna versión reciente de Windows

PRECAUCIÓN Por definición, una instalación limpia se da cuando ha eliminado (y, por

tanto, perdido) o habrá de eliminarse (y perderse) cualquier cosa en la partición del disco

duro o volumen, para proporcionar una partición de disco duro limpia.

Si ha iniciado desde una versión reciente de Windows e hizo clic en Instalar ahora, de-berá tener en su pantalla el cuadro de diálogo Obtener actualizaciones importantes para la instalación.

1. Igual que en la actualización, recomiendo que haga clic en Obtener las actualizacio-nes más recientes…, lo cual, después de obtenerlas, desplegará el cuadro de diálogo para registrar la llave de producto, como se presenta en la figura 3-6.

2. Escriba la clave de producto que se muestra ya sea en el sobre, estuche del DVD de Windows Server 2008 o documento separado y dé clic en Siguiente.

3. En la selección entre Instalación completa e Instalación Server Core, debe decidir si quiere un servidor con propósito limitado, donde puede usar Server Core (consulte lo expuesto en el capítulo 2) o si necesita todas las características del servidor, en cuyo caso deberá seleccionar Instalación completa y hacer clic en Siguiente.

Figura 3-6. Si usted o su compañía compran en volumen las licencias de Windows Server 2008,

obtendrá las claves de producto en un documento separado.



4. Haga clic en Acepto los términos de licencia y dé clic en Siguiente.

5. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrado en la figura 3-4, a menos que haya iniciado desde Windows Server 2003, su única opción es hacer clic en Personalizar; después, haga clic en Siguiente.

6. Se le preguntará dónde quiere instalar Windows Server 2008. Seleccione la partición deseada (vea la figura 3-7) y haga clic en Siguiente.

7. La instalación empezará la copia y expansión de archivos y se instalarán caracte-rísticas y actualizaciones, reiniciando algunas veces durante el proceso. Cuando haya terminado, se indicará que la contraseña del usuario debe cambiarse. Haga clic en Aceptar.

8. Escriba su nueva contraseña, luego confírmela y haga clic en Aceptar. Aparecerá el escritorio de Windows y se desplegará la ventana Tareas de configuración inicial, como se ilustra en la figura 3-8. Esta ventana y los pasos para configurar Windows Server 2008 se analizan más adelante en este capítulo, bajo el tema: “Configure un servidor”.

Figura 3-7. Necesita tener una partición en que instalar Windows Server 2008, formateada con NTFS.



Ejecute una instalación limpia iniciada al arranque Cuando arranca desde el DVD y hace clic en Instalar ahora, como se describió antes, no tie-ne oportunidad para obtener actualizaciones; en cambio, va de inmediato a la captura de la clave del producto. Esto se debe a que la obtención de las actualizaciones requiere conexión a Internet, que no está disponible si arrancó desde el DVD.

1. Escriba la clave de producto mostrada en el sobre, estuche del DVD de Windows Server 2008 o documento separado; bajo circunstancias normales deseará activar automáticamente Windows. Haga clic en Siguiente.

2. En la selección entre Instalación completa o Instalación Server Core, decida si quiere un servidor de propósito limitado donde puede utilizar Server Core (consulte el capítulo 2), o si necesita todas las características del servidor, en cuyo caso deberá escoger Instalación completa. Una vez que haya decidido, haga clic en Siguiente.

Figura 3-8. Después de una instalación limpia, la opción predeterminada es una resolución

menor para la pantalla.



3. Haga clic en Acepto los términos de licencia y luego en Siguiente.

4. En el cuadro de diálogo ¿Qué tipo de instalación desea?, mostrada en la figura 3-4, su única opción será hacer clic en Personalizada, después dé clic en Siguiente.

5. Se le preguntará dónde quiere instalar Windows Server 2008. Elija la partición de-seada. Si quiere extender o eliminar esa partición, o crear una nueva (extender y crear sólo son posibles si tiene espacio sin usar en el disco duro, tiene una partición formateada o ambas); haga clic en Opciones de disco (Avanzadas). De otra forma, haga clic en Siguiente.

Si hizo clic en Opciones de disco y la partición que desea usar está seleccionada, haga clic en una de las opciones. Se le dará cualquier mensaje de advertencia nece-sario; haga clic en Aceptar o Cancelar. Cuando haya completado su trabajo con las particiones, haga clic en Siguiente.

SUGERENCIA Para formatear una partición necesita poco tiempo; mucho menos que el

necesario para un formateado normal.

6. La instalación empezará por copiar y expandir archivos, a instalar características y actualizaciones, mientras se reinicia unas cuantas veces durante el proceso. Cuando termine, se le informará que debe cambiar la cuenta del usuario. Haga clic en Aceptar.

NOTA Con Windows Server 2008 deben usarse contraseñas “fuertes”, que tengan por

lo menos ocho caracteres, incluidas letras mayúsculas y minúsculas, además de números

y caracteres especiales.

7. Ingrese su nueva contraseña, luego confírmela, oprima enter y haga clic en Acep-tar cuando le indique que ha cambiado la contraseña. Aparecerá el escritorio de Windows y se desplegará la ventana Tareas de configuración inicial, como se mos-tró en la figura 3-8. Esta ventana y los pasos para configurar Windows Server 2008 se detallan en la siguiente sección.

CONFIGURE UN SERVIDOREl tema central de la mayor parte de este libro es la configuración de un servidor. El pro-pósito, aquí, es realizar la configuración inicial necesaria para tener un servidor útil. En el resto del libro se analiza la manera de ajustar finamente estas y muchas otras características. Por esta razón, el análisis es breve y limitado, en comparación con lo que necesita para una configuración inicial del servidor.

Inicialización y personalizaciónLos primeros pasos que la mayoría quiere dar tras la instalación de un nuevo sistema ope-rativo son inicializarlo y personalizarlo, para que tenga el aspecto y opere de la manera que desee. Si ha hecho una actualización, muchos de estos pasos ya no son necesarios,



porque sus preferencias o las de su organización se han transferido desde Windows Ser-ver 2003. Aun con una actualización, todavía es deseable seguir los pasos para asegurar que nada ha cambiado.

Tareas de configuración inicialLa ventana Tareas de configuración inicial mostrada en la figura 3-8, la primera ventana que se abre luego de una instalación limpia, es un buen lugar para empezar la configuración de un servidor (si hizo una actualización, no verá esta ventana y muchos de los ajustes se habrán transferido desde Windows Server 2003). Recorra la ventana Tareas de configura-ción inicial con estos pasos:

1. En la ventana Tareas de configuración inicial, revise hora y zona horaria mostradas; si no son correctas, haga clic en Establecer zona horaria. Haga los cambios necesa-rios y cierre los cuadros de diálogo que se abran.

2. Omita Configurar funciones de red, porque esta sección se describe más adelante. Haga clic en Proporcionar nombre de equipo y dominio. Escriba la descripción del equipo y, si lo desea, haga clic en Cambiar.

3. Ingrese el nombre del equipo que se usará en la red, luego seleccione dominio o grupo de trabajo e ingrese un nombre del dominio o grupo de trabajo del que el equipo será miembro. Se le dará la bienvenida al dominio o grupo de trabajo. Haga clic en Aceptar. Se le pedirá reiniciar el equipo.

4. Si quiere habilitar las actualizaciones automáticas (lo más recomendable) haga clic en esa opción y luego en Habilitar comentarios y actualizaciones automáticas de Windows.

5. Si quiere buscar y descargar las últimas actualizaciones para Windows Server 2008 (de nuevo, es recomendable), haga clic en esa opción y siga las instrucciones. Cuando haya terminado, cierre Internet Explorer y vuelva a la ventana de Tareas de configuración inicial.



6. Deje los ajustes de funciones y características para el análisis que comienza más adelante en este capítulo bajo “Instale funciones de servidor”, que continúa en al-gunos capítulos de este libro.

7. Tal vez no necesite la ventana Tareas de configuración inicial en el futuro, una vez que haya hecho los ajustes anteriores. Todas las opciones de la ventana Tareas de configuración inicial pueden hacerse en otros lugares en Windows Server 2008. Si no quiere ver la ventana Tareas de configuración inicial siempre que inicie Win-dows, haga clic en No mostrar esta ventana al iniciar sesión.

8. Cuando haya terminado con la ventana Tareas de configuración inicial, haga clic en Cerrar. Se abrirá la ventana Administrador del servidor. Esta ventana se describirá a profundidad más adelante en este capítulo, bajo el tema: “Instale funciones de servidor”. Por ahora, haga clic en minimizar para hacer otras tareas preparatorias.

Personalice el escritorioEs importante que Windows tenga el aspecto y responda de la manera deseada, para que sea lo más eficiente posible. Para esto, querrá empezar por personalizar el escritorio.

1. Haga clic con el botón derecho en el escritorio y seleccione Personali-zar. Se abrirá la ventana Personalización, mostrada en la figura 3-9.

2. Haga clic en Configuración de pantalla, arrastre la barra deslizable Resolución y establezca la densidad del color deseada, haga clic en Aceptar y luego responda Sí a la pregunta: ¿desea conservar esta configuración de pantalla?



3. Haga clic en Color y apariencia de las ventanas. Dé clic en Efectos, realice cualquier cambio que desee (ClearTy-pe y es muy útil con pantallas planas LCD) y dé clic en Aceptar. Haga clic en Opciones avanzadas, realice cualquier cambio de su elección y haga clic dos veces en Aceptar.

4. Haga clic en Cambiar iconos del escri-torio, en la columna Tareas. Haga clic en cualquier icono adicional que prefie-ra tener en el escritorio, como Equipo, y haga clic en Aceptar.

Figura 3-9. La personalización del escritorio evita que pequeñas cosas sean problemáticas.



5. Haga clic en Barra de tareas y menú Inicio, revise cada una de las pestañas y sus opciones, realice los cambios de su preferencia y haga clic en Aceptar.

6. De manera similar, revise las opciones restantes en la ventana Personalización y haga los cambios deseados. Cuando esté listo, cierre la ventana Personalización.

7. Para ajustar la barra de herramientas Inicio rápido, ubicada junto al menú Inicio, añadiendo a ella, por ejemplo, un acceso directo a Equipo, haga clic en Inicio y arrastre la palabra Equipo a la barra de herramientas Inicio rápido. Aquí, verá que se han agregado Equipo e Internet Explorer.

Configure las funciones de redEn este libro, se dedica espacio considerable al trabajo en red y a configurarla de la mejor forma para su organización. En este capítulo, sólo nos aseguraremos de que funciona y, tal vez, haremos algunos cambios rápidos de opciones para lograrlo.

1. Haga clic en Inicio|Panel de control. En la ventana Panel de control que se abre, haga doble clic en Centro de redes y recursos compartidos. Se abre la ventana del mismo nombre, como se aprecia en la figura 3-10.



En la parte superior del diagrama de la figura 3-10, observará que el servidor es parte de una red, a su vez conectada a Internet; esas conexiones funcionan como se espera (si su Centro de redes y recursos compartidos no muestra que su equipo está conectado a la red, consulte “Conexión a una red”, en la página posterior de este capítulo). Si hizo una actualización o una instalación limpia y, en el caso de una actualización, si el sistema estaba en un dominio, tal vez en un controlador de do-minio, su Centro de redes y recursos compartidos podría verse diferente a la figura 3-10, que representa una instalación limpia en un servidor convencional.

2. Dado que este servidor es parte de una red de área local (LAN, Local Area Network) en una organización, tal vez quiera cambiar el tipo de red al que está conectado, de la opción predeterminada Red pública (con una instalación limpia), a una Red privada, con más opciones para compartir y descubrir, así como facilitar mayor intercambio de información. Para esto:

Figura 3-10. El Centro de redes y recursos compartidos es un verdadero panel de control que

proporciona grandes cantidades de información y control en una sola ventana.



a. Haga clic en Personalizar y luego en Privada. Haga clic en Siguiente y en Cerrar.

b. Haga clic en la flecha hacia abajo en el área Detección de redes; dé clic en Activar la detección de redes y en Aplicar.

c. Haga clic en la flecha hacia abajo, en el área Uso compartido de archivos, haga clic en Activar el uso compartido de archivos y haga clic en Aplicar.

d. Haga clic en la flecha hacia abajo en el área Uso compartido, de la carpeta Acceso público, haga clic en Activar el uso compartido para que todos los usuarios con acceso a la red puedan abrir archivos o, si lo desea, la segunda opción relacionada con abrir, cambiar y crear archivos; dé clic en Aplicar.

e. Haga clic en la flecha hacia abajo, en el área Uso compartido de impresoras, haga clic en Activar el uso compartido de impresoras (sólo estará disponible si tiene una impresora conectada) y haga clic en Aplicar.

f. Como opción, haga clic en la flecha hacia abajo en el área Uso compartido con pro-tección por contraseña, haga clic en Desactivar el uso compartido con protección por contraseña; dé clic en Aplicar.

3. Cuando esté listo, cierre el Centro de redes y recursos compartidos.

Conexión a una redEn casi todos los servidores con cinco años o menos, la instalación de Windows Server 2008 podrá establecer una conexión de red y, si está disponible, una conexión a Internet. Si su Centro de redes y recursos compartidos muestra que no tiene conexión, siga estos pasos:



1. Asegúrese de que su equipo tiene buena conexión física a la red. Si no está seguro, pruebe con otro equipo usando el mismo cable.

2. Asegúrese de que otros equipos en la red funcionen adecuadamente.

3. En el Centro de redes y recursos compartidos (consulte “Configure las funciones de red”, en páginas anteriores de este capítulo), haga clic en Administrar conexiones de red, en la columna de la izquierda, Tareas. Deberá ver Conexión de área local. De no ser así, necesita revisar los capítulos 5 y 6 sobre trabajo en red, configuración y administración de una red.

4. Haga clic con el botón derecho en Conexión de área local y seleccione Estado. Se abrirá el cuadro de diálogo Estado de Conexión de área local. Si la conexión funcio-na de manera apropiada, verá actividad (en bytes) de envío y recepción.



5. Si no ve actividad de red, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades de Conexión de área local. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades.

6. Si está seleccionada la opción Obtener una dirección IP automáticamente, haga clic en Opciones avanzadas. En el cuadro de diálogo Configuración avanzada de TCP/IP, deberá ver DHCP habilitado, indicando que un servidor de protocolo de confi-guración dinámica de host (DHCP, Dynamic Host Configuration Protocol) resuelve la dirección del Protocolo de Internet (IP, Internet Protocol). Haga clic en Aceptar.

7. Si no ve DHCP habilitado, regrese al cuadro de diálogo Propiedades de Protocolo de Internet versión 4. Debe hacer clic en Usar la siguiente dirección IP y capturar una dirección. También es necesario que sea un servidor DHCP. Tanto el direccio-namiento como la habilitación de la función de servidor DHCP se describen bajo el tema: “Instale funciones de servidor”, en páginas posteriores de este capítulo.

8. Cierre todos los cuadros de diálogo y las ventanas abiertas y haga clic en Inicio|flecha Apagar|Reiniciar. Escriba algo en el cuadro de texto de comentarios del Rastreador de eventos de apagado y haga clic en Aceptar.

9. Cuando Windows Server 2008 haya reiniciado, haga clic en Inicio|Panel de control. En el Panel de control, haga doble clic en Centro de redes y recursos compartidos.

Si la ventana Centro de redes y recursos compartidos todavía no muestra conexión con la red, entonces deberá consultar los capítulos 5 y 6 para preparar el trabajo en red.

Explore su servidorAntes de seguir configurando el servidor, eche un vistazo a la manera en que configura la salida de la instalación. La cantidad de configuración inicial que deberá hacer dependerá del hecho de que haya realizado una instalación limpia o actualización. Dado que esta úl-tima mantiene muchas de las configuraciones anteriores y Active Directory se configura aunque el servidor sea un controlador de dominio, tal vez haya pocas tareas para efectuar en futuras sesiones. Para revisar esto, eche un vistazo al sistema antes de iniciar la configu-ración, mediante los siguientes pasos:

1. Haga clic en Inicio y luego en Equipo. Cuando aparezca, haga clic en Carpetas, en la columna de la izquierda y arrastre la línea sobre ella; al principio de la columna. Abra Equipo y Red, para tener un aspecto de su sistema similar al de la figura 3-11.



2. Abra los discos duros y carpetas en esas unidades, haciendo doble clic en ellos para ver qué hay en los discos.

3. Haga clic con el botón derecho en su disco o volumen de arranque (tal vez C:, que deberá tener una marca de Windows en él) y haga clic en Propiedades, para ver cuánto espacio tiene tras instalar Windows Server 2008.

Figura 3-11. Al abrir Equipo y Red, se muestra lo que hay disponible y puede verse desde el servidor.



4. Abra un equipo en su red, luego abra una de sus unidades para ver si está conecta-do a la red y si puede encontrar equipos a las cuales vincularse.



5. Haga clic en Inicio y señale Herramientas administrativas. Observe que puede rei-niciar el Administrador del servidor en el menú Inicio, la barra de herramientas Inicio rápido y Herramientas administrativas. (Su menú de Herramientas admi-nistrativas puede ser diferente del mostrado a continuación; dependerá si hizo una actualización o no.)

6. Revise cualquier otro elemento que desee explorar. Cuando haya terminado, cierre todos los cuadros de diálogo.

Esto da una breve revisión general de su servidor, pero debe darle una idea de qué tiene pendiente para configurarlo.

Instale funciones de servidorEl Administrador de servidor es una nueva utilería en Windows Server 2008. Aunque re-emplaza a la opción Administre su servidor de Windows Server 2003, ofrece una capacidad de administración del servidor más completa, además de más información. En la figura 3-5, vista en páginas anteriores de este capítulo, se muestra la ventana del Administrador del servidor para una actualización de un controlador de dominio de Active Directory.



Figura 3-12. El Administrador del servidor es la utilería principal de administración

en Windows Server 2008.

En la figura 3-12 se muestra la ventana Administrador del servidor para una instalación limpia luego de los pasos anteriores de inicialización y personalización.

1. Reabra el Administrador del servidor (debe estar en su barra de tareas; si no, haga clic en Inicio|Herramientas administrativas|Administrador del servidor) y revise su ventana. En la parte superior, hay información del equipo, seguridad y una serie de vínculos para administrar tales áreas.

2. Desplácese hacia abajo: verá resúmenes de funciones y características, así como vínculos para agregarlos y eliminarlos. Al final, hay vínculos con varios recursos y opciones de ayuda.

Si hizo una instalación limpia, dio los pasos anteriores de inicialización y personali-zación, tendrá instalada una función, Servicios de archivo y ninguna característica. Si hizo una actualización, tal vez tenga cierto número de funciones y características transferidas desde Windows Server 2003. Aquí hablaremos acerca de la instalación de algunas funciones, pero en el resto del libro regresaremos con frecuencia al Ad-ministrador del servidor para instalar una serie de funciones y características.



3. En el Administrador del servidor, en la columna de la izquierda, haga clic en Fun-ciones; luego, bajo Resumen de funciones, haga clic a la derecha en Agregar funcio-nes, para ver las que tiene disponibles. En seguida de comprobar que el servidor se ha preparado correctamente, haga clic en Siguiente. Se abrirá el cuadro de diálogo Asistente para agregar funciones del servidor, como se muestra en la figura 3-13 y podrá seleccionar una o más funciones para su servidor, como se describe en la tabla 3-1. Puede abrir muchas veces el Asistente para agregar funciones, así como instalar diferentes funciones y características.

4. Seleccione la función que quiera instalar y haga clic en Siguiente (algunas funciones requieren instalación de componentes esenciales; todo lo que debe hacer es aprobar su instalación cuando se le pregunte). Siga los pasos restantes del asistente para terminar con la instalación de la función seleccionada.

Figura 3-13. Windows Server 2008 inicia ofreciendo 16 funciones, pero Microsoft puede añadir

otras para su descarga.



Tabla 3-1. Funciones de servidor disponibles en el Administrador del servidor.

Función de servidor Descripción

Servicios de Certificate Server de Active Directory

Otorga y administra certificados de seguridad requeridos por muchas aplicaciones.

Servicios de dominio de Active Directory

Prepara el servicio de Active Directory y crea el controlador de do-minio para almacenar y administrar la información del directorio y los procesos de inicio de sesión (se abrevia AD DS).

Servicios de federación de Active Directory

Proporciona inicio de sesión único (SSO) y acceso personalizado de cliente para aplicaciones basadas en Web y red.

Servicios de directorio ligero de Active Directory

Una opción a AD DS para el almacenamiento en red de datos de aplicación.

Active Directory Rights Management Services

Proporciona licencias para identificar usuarios y darles derechos específicos sobre el uso de la información.

Servidor de aplicaciones Proporciona acceso y servicios de administración a .NET Fra-mework, así como otras aplicaciones Web para ser usada por clientes con licencia.

Servidor DHCP Prepara el protocolo de configuración dinámica de host para asignar direcciones IP a los clientes de la red.

Servidor DNS Prepara el sistema de nombres de dominio para traducir nom-bres de equipos y sus dominios a direcciones del Protocolo de Internet (IP).

Servidor de fax Proveedor para el envío y recepción de faxes y la administración de los recursos de fax en la red.

Servicios de archivo Almacena y administra archivos accesibles para clientes.

Servicios de acceso y directivas de redes

Instala el servidor de directivas de red, que ofrece servicios de enrutamiento, acceso remoto y la seguridad necesarios.

Servicios de impresión Proporciona acceso a las impresoras de red y permite su admi-nistración.

Terminal Services Instala un servicio que permite a un cliente ejecutar una aplica-ción en el servidor como si fuera en el equipo cliente.

Servicios UDDI Proporciona elementos para compartir información en una intra-net usando descripción, descubrimiento e integración universa-les (UDDI, Universal Description, Discovery and Integration).

Servidor Web (IIS) Proporciona hospedaje de páginas Web y aplicaciones Web.

Servicios de implementa-ción de Windows

Proporciona elementos para la implementación de sistemas ope-rativos de Microsoft en una red.



Decida si usa dominios o grupos de trabajoAl instalar AD DS asume que ha decidido usar dominios en su red, en lugar de grupos de trabajo. Un grupo de trabajo es una estructura simple de conectividad empleada para com-partir carpetas e impresoras con un mínimo de seguridad. En un grupo de trabajo, no hay estructura de servidor y existe poca diferencia entre servidores y clientes. Los grupos de trabajo sólo se utilizan en las redes más pequeñas.

Un dominio tiene una estructura mucho más compleja que agrupa recursos de red y cuentas de usuario bajo un nombre de dominio, susceptible de emplearse con varios niveles de servidores que mantendrán copias replicadas automáticamente de la misma información y, generalmente, brindan alto nivel de seguridad. El Active Directory de Windows Server 2008 requiere uno o más dominios.

A menos que posea una red muy pequeña, inferior a diez usuarios y pocas posibilida-des de crecimiento, es recomendable escoger el uso de dominios.

Instalación de un servidor DNSEl sistema de nombres de dominio (DNS, Domain Name System) se usa para traducir o “resolver” un nombre de equipo en dirección IP, y viceversa. DNS es obligatorio para AD DS y DHCP, de no instalarse en la red, se instalará automáticamente con AD DS. Consulte el capítulo 6 para conocer más información acerca de la instalación y uso de DNS. Aquí se tratará la instalación con AD DS.

Instalación de los Servicios de dominio de Active DirectoryCuando selecciona que se instale AD DS, también elige que se instale un controlador de do-minio. Active Directory, para consolidar el acceso a todos los recursos de la red en una sola estructura jerárquica y un punto único de administración, es parte importante de Windows Server 2008 y el tema al que se dedica casi todo el capítulo 7. Aquí, baste con decir que si cuenta con varios servidores, querrá usar Active Directory, por la única razón de que conso-lida nombre de usuario y contraseña de inicio de sesión para toda la red. Active Directory debe residir en un controlador de dominio y requiere un servidor DNS. Parte de la configu-ración de Active Directory se relaciona con verificar estos requisitos, además de preparar el controlador de dominio. Este proceso se realiza en dos pasos:

▼ Utilizar el Asistente para agregar funciones, del Administrador del servidor, para instalar AD DS.

▲ Utilizar el Asistente para instalación de AD DS para configurar AD DS, se trate de un dominio nuevo o uno existente.

Instale los Servicios de dominio de Active Directory

1. En el Administrador del servidor, haga clic en Funciones, en la columna de la iz-quierda, haga clic en Agregar funciones, en la parte derecha, y luego en Siguiente.

2. En el cuadro de diálogo Asistente para agregar funciones, haga clic en Servicios de dominio de Active Directory, haga clic en Siguiente; lea introducción, notas e infor-mación y haga clic en Siguiente. Tome nota de los mensajes y haga clic en Instalar.



Figura 3-14. El asistente para agregar funciones es el primero de dos pasos para instalar AD DS.

3. Empezará la instalación. Verá el avance en una barra de termómetro. Cuando esté completa, se le dirá que la instalación fue correcta, como se observa en la figura 3-14. Haga clic en Cerrar.

Configure los Servicios de dominio de Active Directory en un dominio nuevo

1. En el área Resumen de funciones, del Administrador del servidor, haga clic en Ser-vicios de dominio de Active Directory. En la apertura del panel de AD DS, haga clic en Ejecute el Asistente para instalar los servicios de dominio de Active Directory, en la barra de información.

2. Haga clic en Siguiente, en el Asistente para la instalación de Servicios de dominio de Active Directory, que se abre. Escoja si va a usar un bosque existente, en cuyo caso necesita seleccionar entre un dominio nuevo u otro ya existente o, si por el con-trario, quiere crear un nuevo dominio en un nuevo bosque. Haga clic en Siguiente.



NOTA Si decidió crear un dominio sin usar contraseña sólida (al menos ocho caracteres

con mayúsculas y minúsculas, números y caracteres especiales), entonces necesita ge-

nerar una con tales características.

3. Ya seleccionada la creación de un nuevo dominio, escriba el nombre de dominio plenamente calificado (FQDN, Fully Qualified Domain Name) para el nuevo do-minio (por ejemplo, acme.org o acme.local) y haga clic en Siguiente. Escoja el nivel funcional del bosque entre Windows 2000, Windows Server 2003 y Windows Server 2008, dependiendo de lo que tenga en la red. (Cuanto más elevado sea el nivel, más características habrá disponibles.) Haga clic en Siguiente.

SUGERENCIA Si selecciona un nombre simple como “Ventas”, que es aceptable, se le

advertirá que no parece tratarse de un FQDN. De todas formas, es aceptable. Haga clic en

Sí para seguir adelante y utilizarlo, o No para regresar y cambiarlo.

4. Si el servidor actual es el primer controlador de dominio para un dominio y no un servidor DNS, se le mencionará que bajo estas circunstancias, se recomienda que sea un Servidor DNS, esa sección estará marcada. Ignórelo y haga clic en Siguiente.

5. Si el servidor tiene una dirección IP asignada dinámicamente, se le indicará que debe asignarle una dirección estática. Escoja si va a asignar una dirección estática (recomendado) o no. Si decide asignar una dirección, debe hacer clic en No, salir del Asistente para la instalación de Servicios de dominio de Active Directory, asignar una dirección (consulte la nota siguiente) y regresar aquí.

NOTA Para asignar una dirección IP estática, haga clic en Inicio | Panel de control y haga

doble clic en Centro de redes y recursos compartidos. En el Centro de redes y recursos

compartidos, haga clic en Administrar conexiones de red, en la columna de la izquierda.

Haga clic con el botón derecho en Conexión de área local y seleccione Propiedades. Haga

clic en Protocolo de Internet versión 4 (TCP/IPv4), luego en Propiedades. Haga clic en

Usar la siguiente dirección IP e ingrese una dirección IP. Si no tiene una, puede crearla

usando el rango numérico del 192.168.0.0 al 192.168.255.255. Por ejemplo, 192.168.1.9

es un número legítimo y si no la está usando otro equipo en la red, funcionará. Oprima TAB

para ir a Máscara de subred. La Máscara de subred se llenará con 255.255.255.0. Oprima

TAB e ingrese su Puerta de enlace predeterminada. Se trata del enrutador que lo conecta a

Internet. Si usa el esquema 192.168.0.0, 192.168.1.1 suele ser la puerta de enlace prede-

terminada. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades del Proto-

colo de Internet versión 4 (TCP/IPv4). Haga clic en Cerrar; para hacer esto en el cuadro de

diálogo Propiedades de Conexión de área local, haga clic en cerrar dos veces más, para

cerrar Conexiones de red y Centro de redes y recursos compartidos.



6. Si éste es el segundo servidor DNS o uno adicional y no puede encontrarse la zona primaria, se le indicará que necesita crear una delegación a este servidor de manera manual, si quiere integrarlo con la infraestructura existente de DNS. Si esto es lo que busca, necesita salir del Asistente para la instalación de Servicios de dominio de Active Directory, crear la delegación y regresar aquí. De otro modo, haga clic en Sí, para continuar con un servidor DNS aislado.

7. Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos y el archivo de registro, que puede cambiar. Se sugiere que se mantengan en volú-menes o particiones separadas. Realice las correcciones necesarias a estas rutas y haga clic en Siguiente.

8. Ingrese y confirme la contraseña para el Administrador del modo de restauración de ser-vicios de directorio. Es la contraseña usada cuando el controlador de dominio arranca en el modo de Restauración de servicios de directorio. Haga clic en Siguiente.

9. Revise el resumen de las acciones seleccionadas, que debe parecerse al de la figura 3-15, si ha seleccionado crear un nuevo dominio en un nuevo bosque. Si quiere cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuando esté listo, haga clic en Siguiente. Se configurarán el controlador de dominio y Active Di-rectory. Esto puede tomar varias horas, si se trata de un dominio complejo.



Figura 3-15. La creación de un nuevo dominio en un bosque nuevo debe incluir

la creación de un servidor DNS.

10. Cuando se le indique que AD DS se ha instalado en este servidor, haga clic en Finalizar y reinicie su equipo. Para conocer más opciones y características de ad-ministración de AD DS, consulte el capítulo 7.



Configure Servicios de dominio de Active Directory en un dominio existente1. En el área Resumen de funciones, del Administrador del servidor, haga clic en Servi-

cios de dominio de Active Directory. En el panel de AD DS que se abre, haga clic en Ejecute el Asistente para la instalación de los servicios de dominio de Active Direc-tory, en la barra de información.

2. Haga clic en Siguiente, en el Asistente para instalación de los Servicios de dominio de Active Directory que se abre. Elija si quiere usar un bosque, en cuyo caso necesita escoger entre un nuevo dominio y uno existente o si quiere crear un nuevo dominio en un nuevo bosque. Haga clic en Siguiente.

3. Si ha decidido agregar un controlador de dominio a un dominio existente, ingrese el nombre del dominio existente, si no ha sido rellenado por usted y haga clic en Esta-blecer. Escriba el nombre de usuario y contraseña de una cuenta en el dominio, haga clic en Aceptar, luego en Siguiente.

4. Seleccione el dominio del que este nuevo servidor formará parte y haga clic en Si-guiente. Seleccione el sitio del nuevo controlador y haga clic en Siguiente.

5. Debido a que no es el primer controlador de dominio, no quiera que este servidor sea DNS; en ese caso, deje la casilla de verificación sin marcar. Es buena idea hacer que por lo menos dos o más controladores de dominio sean maestros de Catálogo global, para fines de replicación; por ello, a menudo se recomienda dejar esa opción marcada. Haga clic en Siguiente.

6. Se le mostrarán las ubicaciones predeterminadas de las carpetas de la base de datos y archivos de registro, mismas que puede cambiar. Se sugiere que se mantengan en volúmenes o particiones separadas.

7. Ingrese y confirme la contraseña para el Administrador del modo de restauración de servicios de directorio. Es la contraseña usada cuando el controlador de dominio arran-ca en el modo de Restauración de servicios de directorio. Haga clic en Siguiente.

8. Revise el resumen de las acciones seleccionadas, que deberá ser similar al de la figura 3-16, si eligió agregar un controlador de dominio a un dominio existente. Si quiere cambiar cualquier cosa, use Atrás para retroceder y hacer los cambios. Cuan-do esté listo, haga clic en Siguiente. El controlador de dominio y Active Directory estarán configurados. Esto puede tomar varias horas, dependiendo de la compleji-dad de su dominio.

9. Cuando se le informe que AD DS se ha instalado en el servidor, haga clic en Finalizar y reinicie su equipo. Para conocer más opciones de AD DS y sus características de administración, consulte el capítulo 7.



Figura 3-16. Existen cuatro elementos básicos de topologías de interconexión.

Instalación de un servidor DHCPSi el servidor en preparación es el primero en la red y no quiere asignar manualmente direcciones IP a todos los equipos de la red, necesita preparar el protocolo de configuración dinámica de host (DHCP), para que automáticamente asigne y administre direcciones IP para todos los demás equipos en la red. Consulte el capítulo 6 para conocer la manera de hacerlo.


4

81

CAPÍTULO

Servicios de implementación

de Windows



Servicios de implementación de Windows (WDS) se usa para instalar Windows Vista o Windows Server 2008, además de Office 2007, en clientes desde un servidor que ejecu-te WDS; ello permite preparar un servidor para instalar estos productos en clientes. Se

trata de una mejora sustancial, contra pasar tiempo frente a cada equipo en que se instalarán los productos.

Se deben cumplir algunos requisitos para ejecutar WDS:

▼ Debe tener privilegios de administrador

■ El servidor debe cumplir los requisitos mínimos para ejecutar Windows Server 2008, sean las ediciones Standard o Enterprise, como se mencionó en el capítulo 2

■ El servidor debe tener una unidad con el sistema de archivos de nueva tecnología (NTFS, New Technology File System) o partición (o volumen) aparte, con al menos 10 GB libres (recomendado), donde puede instalarse WDS. Éste (WDS) no puede ser el volumen de arranque ni tener alguno de los archivos de sistema almacenados en él (usualmente, en la carpeta \Windows\System32\)

■ El servidor WDS u otros servidores de la red deben tener en ejecución servicios de nombres de dominio (DNS, Domain Name System), protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) y Servicios de do-minio de Active Directory (AD DS, Active Directory Domain Services)

■ Los archivos de Windows y programas de aplicaciones que desee instalar en el equipo cliente deben estar en el servidor WDS

■ El cliente que instalará WDS debe cumplir con los requisitos mínimos para el siste-ma operativo y aplicaciones que se están instalando

■ El cliente debe tener un volumen con formato NTFS, en el que WDS instalará siste-ma operativo y software deseado. Esta unidad no puede usar el sistema de archi-vos cifrados (EFS, Encrypted File System) ni sistema de archivos distribuidos (DFS, Distributed File System), porque tal vez se pierda toda la información previa en la unidad (sólo puede hacer una instalación limpia con WDS)

■ Los componentes de red del equipo (la tarjeta de interfaz de red [NIC, Network In-terface Card] o tarjeta de red integrada) deben dar soporte al protocolo de entorno de ejecución previa al arranque (PXE, Preboot Execution Environment) para permi-tir el arranque en red

▲ Cada equipo cliente necesitará una licencia por cada instalación de una imagen del sistema operativo. Puede ser una licencia individual o instalación por volumen

NOTA Si no se siente cómodo con los conceptos y la operación de DNS, DHCP y AD, es

recomendable que primero lea la parte III de este libro acerca del trabajo en red (capítulos

5, 6 y 7) y luego regrese a este capítulo.


83 Capítulo 4: Servicios de implementación de Windows

INSTALE Y CONFIGURE LOS SERVICIOSDE IMPLEMENTACIÓN DE WINDOWS

WDS es una función del Administrador del servidor que debe instalarse de manera separa-da y luego configurarse.

Instale los Servicios de implementación de WindowsWDS se instala con el Administrador del servidor:

1. Seleccione el servidor que desee contenga WDS y haga clic en Inicio|Administrador del servidor. En éste, haga clic en Funciones, en la columna de la izquierda, y haga clic en Agregar funciones, a la derecha.

2. Haga clic en Siguiente para desplegar la lista de las funciones, como se muestra en la figura 4-1. Haga clic en Servicios de implementación de Windows (WDS), haga clic en Siguiente y lea la introducción y las notas.

3. Haga clic en Siguiente. Se le preguntará si sólo desea instalar un Servidor de trans-porte, subconjunto del WDS completo o la combinación de un Servidor de transporte y Servidor de implementación, que aporta la funcionalidad completa de WDS. El Servidor de transporte aislado sólo se usa en la limitada situación en que desee transmitir información a cierto número de servidores. En este capítulo se hablará sobre el WDS completo.

4. Deje seleccionadas las opciones predeterminadas del Servidor de transporte y el Servidor de implementación; después haga clic en Siguiente e Instalar.

5. Cuando se le indique que la instalación se ha completado, haga clic en Cerrar, luego cierre el Administrador del servidor.

Figura 4-1. El Servicio de implementación de Windows es una función en el

Administrador del servidor.



Configure los Servicios de implementación de WindowsPara crear un servidor de Servicios de implementación de Windows, debe configurarlo y añadir la imagen de arranque y la imagen de instalación predeterminadas. La primera se utiliza para arrancar un equipo cliente con PXE, de modo que pueda instalarse el sistema operati-vo. La imagen de instalación es la imagen del sistema operativo que se va a instalar.

Configure WDSLa configuración de WDS indica volumen y carpeta que serán usados en el servidor, así como las opciones que se activarán.

1. Empiece por identificar y, tal vez, formatear un volumen y crear una carpeta en ese volumen (no puede usar el directorio raíz) que se usará con WDS. El volumen no puede contener un archivo empleado por el sistema operativo existente y debe te-ner, por lo menos, 10 GB. La carpeta que contendrá las imágenes para instalar debe tener un nombre sin espacios.

2. Haga clic en Inicio|Herramientas administrativas|Servicios de implementación de Windows. Se abrirá la consola (ventana) de Servicios de implementación de Windows.

3. Haga clic en Servidores, para abrirlos; haga clic con el botón derecho en el servidor en que desee configurar WDS y haga clic en Configurar servidor. Se abrirá el Asis-tente para configuración de Servicios de implementación de Windows. Lea lo que sea necesario.



4. Haga clic en Siguiente. Ingrese la ruta al volumen NTFS que habrá de usar WDS y el nombre de la carpeta dentro de ese volumen. Haga clic en Siguiente.

5. Si DHCP se ejecuta en el mismo servidor que WDS, debe marcar ambas opciones en el cuadro de diálogo Opción 60 de DHCP y hacer clic en Siguiente.

SUGERENCIA Si necesita formatear un volumen, una forma rápida de hacerlo es haciendo

clic en Inicio | Administrador del servidor, y luego en Almacenamiento | Administración de

discos; haga clic con el botón derecho en el volumen que habrá de formatearse y haga clic

en Formatear. También puede crear una partición con el espacio libre, además de forma-

tear una unidad, una partición, ambas. Consulte el capítulo 12 para conocer más detalles

acerca de creación, formateo de volúmenes y particionamiento de unidades.

6. Deje la opción predeterminada No responder a ningun equipo cliente y haga clic en Finalizar. Haga clic en Agregar imágenes al Servidor de implementación de Win-dows, para quitar la marca de verificación y haga clic en Finalizar, una vez más.

Agregue una imagen de arranqueCuando se arranca un equipo cliente mediante un arranque de red con PXE, el WDS del servidor responderá a la solicitud de una imagen de arranque y ofrecerá una que inicie la imagen de instalación. Si hay dos o más imágenes de arranque (por ejemplo, para arrancar diferentes imágenes de instalación), WDS proporcionará un menú de arranque similar al menú Datos de configuración de arranque (BCD, Boot Configuration Data), usado por Win-dows Vista y Windows Server 2008.



1. En la ventana de WDS, abra el servidor en que acaba de configurar WDS, haga clic con el botón derecho en Imágenes de arranque y haga clic en Agregar ima-gen de arranque.

NOTA Si desea la funcionalidad completa de WDS, debe usar el archivo boot.wim del

DVD de Windows Server 2008 y no el que se encuentra en el DVD de Windows Vista.

2. Haga clic en Examinar y diríjase a la ubicación de los archivos y carpetas de insta-lación de Windows (los que se encuentran en el DVD de instalación de Windows) que desee instalar en los equipos cliente.

3. Abra la carpeta /Sources/, dé doble clic en Boot.wim y haga clic en Siguiente. In-grese el nombre de la imagen, descripción y haga clic en Siguiente.



4. Se le mostrará una lista con los parámetros seleccionados. Si éstos no son correctos haga clic en Atrás y efectúe los cambios necesarios. Cuando la lista ya esté correc-ta, haga clic en Siguiente. El asistente Servicios de implementación de Windows —Asistente para agregar imágenes— añadirá la imagen de arranque al volumen WDS que identificó en “Configure WDS”, en páginas anteriores.

5. Cuando el asistente haya completado la operación, haga clic en Finalizar.

Agregue una imagen de instalaciónLa imagen de instalación, que se inicia con la imagen de arranque, es un archivo único (de casi 1.5 GB para la versión x86 de Windows Server 2008), que efectúa la instalación completa de Windows Server 2008 o Windows Vista (el ejemplo aquí será de Windows Server 2008, pero los pasos pueden aplicarse de igual manera a Windows Vista).

1. En la ventana de WDS, abra el servidor en que configuró WDS, haga clic con el botón derecho en Imágenes de instalación y seleccione Agregar imagen de instalación.

2. Si ésta es la primera imagen que añade al servidor, acepte el valor por omisión: Crear un nuevo grupo de imágenes; ingrese el nombre del grupo o acepte la opción predeterminada y haga clic en Siguiente.

3. Haga clic en Examinar y vaya a la ubicación de los archivos y carpetas de instala-ción de Windows (los que se encuentran en el CD de instalación de Windows) que desee instalar en los equipos cliente.

4. Abra la carpeta /Sources/, haga doble clic en install.wim y dé clic en Siguiente. Seleccione las imágenes que desee agregar y, por último, haga clic en Siguiente.



5. Se le mostrará una lista con las opciones elegidas. Si éstas no son correctas, haga clic en Atrás y realice los cambios necesarios. Cuando la lista sea correcta, haga clic en Siguiente. El asistente Servicios de implementación de Windows —Asistente para agregar imágenes— añadirá la imagen de instalación al volumen WDS que identi-ficó en “Configure WDS”, en páginas anteriores de este capítulo.

6. Cuando el asistente haya completado la operación, haga clic en Finalizar.

Configure un cliente para arranque por PXEPara hacer un arranque de red mediante PXE, deberá cambiar la secuencia de arranque en el BIOS (Basic Input/Output System, sistema básico de entrada/salida), al que se ingresa al principio del proceso de arranque. La manera como se entra al BIOS suele identificarse en la primera pantalla del arranque. Con frecuencia se oprimen y sostienen las teclas de función f1 o f2. También las teclas supr y esc suelen usarse con este fin. Una vez que haya entrado al BIOS, primero debe cambiar la secuencia de arranque para hacer un arranque de red PXE, antes del disco duro. En el BIOS:

1. Busque una opción, menú o pestaña indicando “Boot” (arranque) o “Boot Sequen-ce” (secuencia de arranque) y haga clic en él o use flechas u otras teclas para selec-cionarla o abrirla, para ver las opciones de arranque.

2. Deberá encontrar una lista con las secuencias en que los dispositivos de arranque son ingresados como la siguiente:

▼ Internal Hard Disk Drive (o HDD)

■ CD/DVD Drive

■ Floppy Drive

▲ Tarjeta de red interna (o NIC)

3. Querrá cambiar el orden, de tal manera que la Tarjeta de red interna (o NIC) sea la primera; de otro modo, algún dispositivo superior, como el disco duro, se usará para iniciar el equipo.

4. La forma para cambiar el orden varía en diferentes equipos, pero en casi todos los casos las instrucciones se encuentran en la pantalla. En general, se usan las teclas de flecha para seleccionar una opción, la barra espaciadora para habilitar o deshabili-tarla, mientras las teclas + y – o las teclas u o d sirven para subir o bajar las opciones; utilice enter o una tecla de función para terminar y grabar el cambio, así como presionar esc u otra tecla de función cancela cualquier cambio.

5. Tal vez necesite habilitar manualmente la tarjeta de red con el arranque PXE. Nece-sita buscar una opción o elemento de menú que le permita cambiar los parámetros de la tarjeta de red o dispositivo integrado del equipo. Puede estar bajo otra opción, como “Onboard Devices”.

6. Cuando encuentre los parámetros para la tarjeta de red, necesitará habilitar el arranque sólo o por PXE. Una vez que lo haya hecho, necesita grabar los cambios y cerrar su BIOS.



PRUEBE Y DIAGNOSTIQUE LOS SERVICIOSDE IMPLEMENTACIÓN DE WINDOWS

Con un cliente que arranque por PXE; DHCP, DNS y Active Directory en ejecución y confi-gurados, nombre de usuario de dominio y contraseña disponibles, está listo para empezar a probar WDS y, si es necesario, para detectar y solucionar problemas relacionados con él.

Pruebe los Servicios de implementación de WindowsPruebe la capacidad de WDS para instalar Windows Server 2008:

1. Reinicie el equipo cliente con el arranque de red PXE en que desee utilizar WDS, para instalar Windows Server 2008 o Vista. Verá una notificación de que el equipo arranca desde la tarjeta de red y que busca un DHCP.

2. Cuando localice el servidor WDS, se le pedirá oprimir f12 para hacer un arran-que de red. Esto debe hacerlo rápido o, de lo contrario, obtendrá un mensaje acerca de que sale del arranque de red. En tal caso, simplemente reinicie y opri-ma f12 de prisa.

3. Si oprime f12 a tiempo y tiene más de una imagen de arranque, verá un menú con las imágenes disponibles. Use las teclas de flecha para seleccionar una y oprima enter. En cualquier caso, WDS iniciará.

4. Seleccione región y teclado que desee usar, haga clic en Siguiente. Escriba nombre de usuario de dominio (con el formato dominio\usuario) y contraseña con privile-gios administrativos para iniciar sesión en la red. Haga clic en Aceptar.

5. Si hay más de una imagen de instalación disponible, tendrá la oportunidad para elegir cuál se instalará. Realice su selección y haga clic en Siguiente. La preparación de Windows empezará.

6. Si se le da la opción, escoja la partición de disco en que desee instalar Windows. Puede hacer clic en Opciones de unidad (avanzadas) para trabajar con las particio-nes y distribuirlas. Haga clic en Siguiente cuando esté listo. La instalación empezará a copiar y expandir archivos, instalando características y actualizaciones.

7. El sistema se reiniciará dos veces (asegúrese de no oprimir f12), por lo que se le pedirá que seleccione país, zona horaria, moneda y formato de teclado. Haga clic en Siguiente.

8. Cuando se le pida, escriba la clave del producto y haga clic en Siguiente. Haga clic en Acepto los términos de licencia y haga clic en Siguiente. Ingrese el nombre del equipo y haga clic en Iniciar. El programa terminará la instalación, se le pedirá que ingrese y confirme una contraseña y Windows Server 2008 se iniciará por primera vez.

Detecte y solucione problemas de los Serviciosde implementación de Windows

Resulta obvio que varias cosas pueden salir mal durante la prueba de WDS. Los problemas más comunes son:



▼ No puede hacer un arranque de red por PXE

▲ No puede conectarse al servidor WDS

A continuación verá cada uno de ellos.

No puede hacer un arranque de red por PXEEl primer paso consiste en asegurarse de que el equipo cliente pueda arrancar de red por PXE. Casi todos los equipos, sobre todo los comerciales y producidos en los últimos años, tienen esta capacidad. Si no está seguro, busque en el BIOS cualquier mención (consulte “Configure un cliente para arranque por PXE”, en este capítulo). También puede buscar en la documentación incluida en el equipo o buscar cualquier información en el sitio Web del fabricante.

No puede conectarse al servidor WDSSi ve indicios de que se intenta un arranque de red (deberá ver varias líneas de texto seña-lando la versión de PXE y dirección MAC [Media Access Control, control de acceso a me-dios] y GUID [Globally Unique Identifier, identificador global único], seguido por “DHCP” y una serie de puntos), pero obtiene un mensaje “No Boot Filename Received”, seguido por un mensaje indicando que se cancela el arranque de red, entonces, por alguna razón, el servidor no está respondiendo a las solicitudes de la ROM (el chip de memoria de sólo lec-tura) de arranque en red. Esto suele ocurrir porque Active Directory, DNS y DHCP no están instalados o configurados apropiadamente o porque las directivas o permisos lo impiden. En el capítulo 6 se analiza de manera detallada cómo preparar DNS y DHCP, además de introducir políticas y permisos, mientras el capítulo 7 trata acerca de Active Directory. En resumen, las tareas son las siguientes:

▼ Configurar la red, asegurando que TCP/IP está instalado y servidor o servidores DNS y DHCP tienen direcciones IP fijas

■ Configurar DNS y DHCP, asegurando que DHCP se ejecuta en un controlador de dominio, autorizado por el servidor WDS y su ámbito se ha creado cubriendo los clientes que WDS habrá de instalar. Un servidor DHCP correctamente preparado deberá tener los componentes aquí mostrados



■ Configurar Active Directory de manera que el servidor WDS sea un controlador de dominio, en el mismo dominio en que los clientes por instalarse son miembros

■ Revisar directivas y permisos para el servidor WDS y para cliente o clientes, ade-más de asegurar que nada se interponga para hacer la instalación remota

■ Asegurar que la persona iniciando sesión para hacer la instalación de WDS (usted) tiene privilegios de administrador en el dominio

▲ Asegurar que cliente y servidor pueden verse entre sí e intercambiar archivos en la red


III

Trabajo en red con Windows Server

2008

93

PARTE


5

95

CAPÍTULO

Entorno de red de Windows Server

2008



El trabajo en red es la función más importante de Windows Server 2008. Es su razón de ser. La capacidad para conectar equipos, y permitirles compartir información y recursos con un alto grado de seguridad y control, es la razón más importante

para mejorar la productividad. Al reconocer tal importancia, en esta parte se dedican tres capítulos al trabajo en red. En el capítulo 5 se ofrecen las bases completas para la compren-sión de las funciones de red, describiendo esquemas, hardware y protocolos o estándares usados para hacer funcionar una red. En el capítulo 6 se describe cómo preparar y admi-nistrar la red en Windows Server 2008. El capítulo 7 se concentra en el uso de dominios en Windows Server 2008 y la función central que Active Directory juega en la administración del trabajo en red.

TRABAJO EN REDWindows Server 2008 es un sistema operativo de red. Esto permite la interconexión de varios equipos con el propósito de:

▼ Intercambiar información, como enviar archivos de un equipo a otro

■ Comunicarse (por ejemplo, mediante el envío de correos electrónicos entre usuarios de la red)

■ Compartir información al hacer que los usuarios de la red accedan a archivos comunes

■ Compartir recursos de red (impresoras, dispositivos de copia de seguridad y una co-nexión de banda ancha a Internet)

▲ Proporcionar alto grado de seguridad y control para datos así como su comunica-ción, también para los usuarios de la red

El trabajo en red es importante para casi cualquier organización de dos o más personas en comunicación y compartiendo datos. El intercambio de esta última permite a varias per-sonas trabajar fácilmente desde su lugar y utilizar la misma información; además, previene errores provocados por falta de información reciente. Las comunicaciones de correo electró-nico facilitan la coordinación rápida y fácil de información actual entre personas, como citas de reuniones. La posibilidad de compartir recursos permite a una organización comprar mejores dispositivos (con mayor capacidad y más costosos), como una impresora láser a co-lor, que si debiera comprarlos para cada usuario. El trabajo en red es el ingrediente primario para que los equipos contribuyan al incremento de la productividad y, desde el punto de vista de este libro, es la capacidad más importante de Windows Server 2008.

El trabajo en red es un sistema que incluye conexión entre equipos para facilitar la transferencia de información, además de un esquema para controlar dicha transferencia. El esquema garantiza que la información se transfiera correctamente (dirigida al receptor indi-cado) y de manera precisa (los datos preserven sus características entre receptor y emisor), mientras muchas otras transferencias se llevan a cabo simultáneamente. Para lograr estos objetivos, conforme transfiere información (por lo general, mucha) debe existir una forma estándar para identificar correctamente y dirigir cada transferencia, así como para detener una transferencia mientras otra se lleva a cabo. Un sistema de red tiene estos componentes:


97 Capítulo 5: Entorno de red de Windows Server 2008

▼ Un esquema de red que maneje transferencia

■ Hardware de red que maneje conexión

▲ Un estándar o protocolo de trabajo en red que maneje identificación y direccionamiento

Windows Server 2008 da soporte a varios esquemas diferentes de trabajo en red, funcio-na con una gran variedad de hardware y puede manejar varios protocolos. El propósito de este capítulo es revisar las opciones posibles de trabajo en red proporcionadas por Windows Server 2008, con suficiente minucia como para decidir cuál de éstas es la mejor para su insta-lación. El capítulo 6 se enfocará en explicar cómo preparar y administrar el trabajo en red con Windows Server 2008, mientras en el capítulo 7 se abordarán Active Directory y dominios con mayor profundidad.

NOTA Aunque en esta sección del libro se brinda gran cantidad de información sobre

las funciones de red, es menor en comparación con la Encyclopedia of Networking & Te-

lecommunications, de Tom Sheldon (McGraw-Hill, 2001). Si necesita más información de

la aquí presentada, consulte el libro de Tom. Él también mantiene un sitio Web activo en:

http://www.linktionary.com.

ESQUEMAS DE REDLos esquemas empleados para transferir información en una red determinan en gran me-dida el hardware en uso, están integrados al software y deben implementar estándares y protocolos deseados. Así, es difícil hablar sólo de esquemas, hardware o protocolos, porque están interrelacionados. Esto se complica más porque el esquema de trabajo en red es una función del tipo de trabajo en red y la tecnología empleada.

Tipos de redesEl tipo de una red cambia si está confinada a una ubicación única o se extiende por un área geográfica amplia.

Una red distribuida en un área geográfica amplia es una red de área amplia (WAN, Wide Area Network). Las WAN pueden utilizar líneas telefónicas compartidas y privadas, víncu-los satelitales, enlaces de microondas y cableado compartido o dedicado —ya sea de fibra óptica o cobre—, para conectar nodos tanto a una calle de distancia como al otro lado del mundo. Las WAN con cantidades razonables de ancho de banda manejan, por lo menos, 1 millón de bits (megabits) por segundo (Mbps). Son caras, van de uno a varios miles de dólares por mes y exigen tecnología sofisticada. Por tanto, las WAN son proyectos de gran envergadura para grandes organizaciones. Un uso más simple y menos costoso, aunque no económico de las WAN, consiste en interconectar redes más pequeñas en un edificio o campus de edificios cercanos entre sí. Este uso de una WAN en un campus se menciona en otros párrafos de este capítulo.

NOTA Muchas compañías usan Internet para hacer lo que antes sólo era posible ma-

nejar con WAN, como intercambio de correo electrónico e información privada mediante

redes privadas virtuales (VPN, Virtual Private Networks), para su análisis en el capítulo 10,

razón por la que el crecimiento en WAN es modesto.



A una red confinada para una ubicación única se le llama red de área local (LAN, Local Area Network). Las LAN usan cableado dedicado o canales inalámbricos y, por lo general, no salen de un solo edificio; pueden limitarse a un solo piso de un edificio o departamento en una misma compañía. Las LAN son mucho más comunes que las WAN y se tratarán en forma prioritaria en éste y los siguientes dos capítulos. Las LAN tienen dos subcategorías: LAN de igual a igual (peer-to-peer o p2p) y LAN cliente/servidor, distinguidas por la manera en que distribuyen las tareas de trabajo en red.

LAN de igual a igualTodos los equipos en una LAN de igual a igual son servidores y clientes; proporcionan y utilizan recursos. Cualquier equipo de red puede almacenar información y facilitar recur-sos, como una impresora, para el uso por parte de cualquier otro equipo integrado en la red. Las funciones de red de igual a igual son un sencillo primer paso para el trabajo en red, que se logra simplemente conectando equipos existentes, como se muestra en la figura 5-1. No requiere la compra de equipo nuevo ni cambios importantes en la manera en que la organización usa los equipos, pero es posible compartir recursos (como la impresora de la figura 5-1), transferir archivos y comunicaciones, además de lograr que todos accedan a información común.

Figura 5-1. Una red de igual a igual con topología de estrella.



Las LAN de igual a igual tienden a ser usadas en organizaciones pequeñas, que no re-quieren compartir un recurso central grande —como una base de datos— ni un alto grado de seguridad o control central. Cada equipo de una LAN igual a igual es autónomo y suele integrarse con otros equipos, tan sólo para transferir archivos y compartir equipo costoso. Como leerá más adelante en este capítulo, bajo el tema “Hardware de red”, es muy fácil construir una LAN de igual a igual con equipos existentes y puede ser barato (menos de 30 dólares por estación).

LAN cliente/servidorLos equipos en una LAN cliente/servidor desempeñan una de dos funciones: servidor o cliente. Los servidores administran la red, almacenan centralmente la información comparti-da en ésta y proporcionan los recursos compartidos. Los clientes o estaciones de trabajo son usuarios de la red y equipos de escritorio o portátiles normales. Para crear una red, clientes y servidor o servidores se conectan entre sí, tal vez con recursos de red independientes (por ejemplo, una impresora, como se muestra en la figura 5-2).

Figura 5-2. Una LAN cliente/servidor con topología de estrella.



Entre las funciones de administración provistas por el servidor se incluyen seguridad de red y administración de permisos necesarios para implementar seguridad; comunicacio-nes entre usuarios de la red, además de la administración de archivos compartidos en red. En general, los servidores tienen más capacidad que los clientes, porque cuentan con más memoria, pueden ser más rápidos y contar con más procesadores, discos más grandes y mayor cantidad de periféricos especiales, como unidades más grandes de cinta de alta ve-locidad. Los servidores suelen estar dedicados a su función y, con poca frecuencia, se usan para tareas de equipo normal, como el procesamiento de palabras.

Usualmente, los clientes tienen menos capacidad que los servidores y tal vez no tengan discos. Por lo general, los clientes son equipos de escritorio y portátiles que desempeñan las funciones normales para ese tipo de máquinas, además de ser parte de una red. Los clientes también pueden ser “miniservidores”, al compartir algunas o todas sus unidades de disco y otros recursos. Por tanto, la principal diferencia entre redes de igual a igual y cliente/servi-dor es la adición de un servidor dedicado.

Windows Vista y Windows Server 2008 trabajan juntos para formar un entorno opera-tivo de red cliente/servidor; Windows Server 2008 desempeñando su función y Windows Vista como cliente. Algunos equipos con Windows Vista pueden operar en una red de igual a igual, pero lo que se asume en todo este libro es que se está interesado primordialmente en el trabajo en red cliente/servidor, usando Windows Server 2008 y clientes Windows Vista.

La tarea de la conexión en redLa tarea desempeñada por el sistema de red es importante y compleja. Por lo menos, dicha tarea incluye estos elementos:

▼ Identificar cada uno de los equipos en una red

■ Identificar la información que habrá de transferirse como mensaje individual

■ Agregar a cada mensaje una identificación única y la dirección de los equipos que envían y reciben

■ Encerrar el mensaje en uno o más paquetes de tamaño moderado, similares a sobres, con direcciones de remitente y destino, así como el lugar al que pertenece el paquete dentro del mensaje

■ Encapsular el paquete en tramas transferidas en red

■ Monitorear el tráfico de red para saber cuándo enviar una trama, además de evitar que colisionen con otras tramas dentro de la red

■ Transmitir una trama sobre la red (dependiendo de los dispositivos de interco-nexión usados, la trama puede ser abierta y los paquetes puestos en nuevas tramas mientras están en camino)

■ Proporcionar medios físicos, incluidos cableados y dispositivos electrónicos in-alámbricos, para trasportar la trama entre equipos

■ Monitorear el tráfico de la red, para saber cuándo se recibirá una trama

■ Recibir una trama en la red



■ Extraer los paquetes en una o más tramas y combinarlos en el mensaje original

▲ Determinar si el mensaje pertenece al equipo destinatario y luego enviar el mensaje para posterior procesamiento, si pertenece a éste, o ignorar el mensaje si no le pertenece

NOTA Los nombres de las piezas de información, como mensajes, paquetes y tramas,

se analizan aún más bajo el tema “TCP”, en páginas posteriores de este capítulo. En la

figura 5-20 de esa sección se muestran gráficamente estas piezas de información.

Para describir mejor las tareas de trabajo en red, la International Organization for Standardization o ISO (organización de las Naciones Unidas incorrectamente llamada “Organización Internacional de Estándares”; el acrónimo ISO proviene de la palabra grie-ga isos, que significa igual) ha desarrollado un modelo de referencia para el trabajo en red. A este modelo se le denomina interconexión de sistemas abiertos (OSI, Open Systems Interconnection).

NOTA El modelo OSI es útil para describir el trabajo en red y relacionar sus diversos

componentes. No necesariamente representa a Windows Server 2008 o cualquier otra

implementación de red, pero es una referencia muy conocida y aceptada.

El modelo OSIEl modelo OSI describe la manera en que la información de un equipo se mueve a otro, a través de una red. Define el trabajo en red en siete capas; cada una de ellas desempeña un conjunto particular de funciones dentro de la tarea de trabajo en red, dividiendo la tarea de ésta en siete tareas más pequeñas. Cada capa puede comunicarse con las que se encuentran arriba y bajo ella y, también, con la capa opuesta en otro equipo de la red, como se ilustra en la figura 5-3. La comunicación entre equipos baja hasta los niveles inferiores, a través de la conexión física y vuelve a subir capas en el otro equipo.

En el modelo OSI, las dos capas inferiores son implementadas en una combinación de hardware y software, mientras las cinco capas superiores son implementadas en software. El software de las capas inferiores se dedica al trabajo en red y puede estar escrito en silicio. El software de las capas superiores es una parte del sistema operativo o aplicación, mientras el trabajo en red sólo es una de sus tareas. Por ejemplo, una aplicación cliente de correo electrónico que desea obtener su correo del servidor pasa su solicitud a la capa de la aplicación del sistema de red en su equipo. Esta información se baja a través de las capas hasta alcanzar la capa física, donde la información se coloca en la red física. La capa física del servidor toma información de la red física y la sube por las capas hasta llegar a la capa Aplicación, que pasa la solicitud a la aplicación de servidor de correo electrónico.

Si es necesario, cada una de las capas OSI puede agregar información específica de con-trol a la información que se transfiere en la red. La información de control puede ser para otras capas en su propia pila o la capa opuesta en el otro equipo y pueden tratarse de solici-tudes o instrucciones. La información de control puede agregarse como encabezado al prin-cipio de la información transmitida o como una cola al final. El encabezado o cola agregado en una capa se vuelve parte de la información básica que se transfiere en otra. La siguiente



Usuario final 2

Hardware/equipo 2

Usuario final 1

Mecanismo de acceso a una redpor parte de las aplicaciones7. Capa de

la aplicación7. Capa de

la aplicación

Codificación, cifrado y compresiónde la información6. Capa de

la presentación6. Capa de

la presentación

Establecimiento, coordinacióny finalización de una sesión de red5. Capa de

la sesión5. Capa de

la sesión

División de mensajes en paquetesy control de su transmisión4. Capa de

transporte4. Capa detransporte

Empaquetamiento de tramasy su enrutamiento en una red

3. Capa red 3. Capa red

Direccionamiento, envíoy recepción de tramas2. Capa de

vínculo de datos2. Capa de

vínculo de datos

Transferencia física de la información1. Capa física 1. Capa física

Hardware/equipo 1 Conexión física

Figura 5-3. El modelo OSI que describe el trabajo de red entre dos equipos.

capa puede agregar otro encabezado o cola, pero si uno de éstos se dirige a esa capa, elimina el encabezado o cola. En la siguiente lista se menciona el tipo de información de control y la función definida para cada capa:

▼ Capa física Define las especificaciones físicas, como voltajes y frecuencias, para que la interfaz de red funcione como se pretende. Estas especificaciones están im-plementadas en el hardware de red.

■ Capa de vínculo de datos Define el direccionamiento de tramas, así como el envío y la recepción de éstas entre dos equipos vinculados. Tras pasar una trama a la capa física para su envío, la capa de vínculo de datos espera la confirmación de que se ha recibido la trama antes de enviar otra; si la confirmación no se recibe, la capa de vínculo de datos reenvía la primera trama. Tal capa proporciona conexión



punto a punto entre ésta y el equipo receptor usando la dirección física. A la direc-ción física de la capa de vínculo de datos se le denomina dirección de control de acceso al medio (MAC, Media Access Control). Las especificaciones de la capa de vínculo de datos se implementan en una combinación de hardware y software de red dedicado.

■ Capa de red Define la integración de paquetes en tramas y direccionamiento ló-gico (a diferencia del físico usado en la capa de vínculo de datos) necesario para proporcionar enrutamiento entre varias redes conectadas. Los paquetes, que pue-den ser más o menos grandes que las tramas, se dividen o combinan para crear las tramas en el equipo remitente y son reensamblados o desensamblados en el equipo destinatario para reproducir los paquetes originales. La conectividad en la capa de red suele usar el direccionamiento del protocolo de Internet (IP, Internet Protocol) para identificar adónde deben enviarse las tramas. Las especificaciones de la capa de red se implementan en software de red dedicado.

■ Capa de transporte Define la división de un mensaje en paquetes, la identificación de los paquetes y el control de la transmisión del paquete para saber si se están enviando y recibiendo correctamente; si no es así, hace una pausa y reenvía la trans-misión. La capa de transporte crea, regula y finaliza el flujo de paquetes usando un circuito virtual entre el equipo emisor y el receptor (el flujo todavía es hacia abajo a tra-vés de las otras capas, por la conexión y hacia arriba del otro lado, pero pasa como si las dos capas de transporte se comunicaran directamente entre sí). La capa de trans-porte suele usar el protocolo de control de transmisión (TCP, Transmission Control Protocol) para iniciar, regular y finalizar el flujo de paquetes. La especificación de la capa de transporte se implementa en software de sistemas operativos relacionados con el trabajo en red, como Windows Server 2008, usando protocolos de red.

■ Capa de la sesión Define el diálogo entre equipos para que ambos sepan el mo-mento de iniciar y detener la transmisión, creando una sesión, además de cuándo repetir una sesión si no se ha recibido correctamente. La capa de la sesión también maneja asuntos relacionados con seguridad y tiene sus raíces en los entornos de tiempo compartido en el mainframe, terminal o ambos. Las especificaciones de la capa de la sesión están implementadas en el software de sistema operativo de red.

■ Capa de la presentación Define la codificación de la información para ser transmiti-da de manera fácil y segura, asimismo para que la lea el equipo receptor. Esto incluye conversión de información de caracteres, imágenes, audio y video en representacio-nes de datos comunes, cifrado y compresión de la información, incluido el retorno de la información a su forma nativa tras la recepción. Las especificaciones de la capa de la presentación están implementadas en el software de sistema operativo.

▲ Capa de la aplicación Define el mecanismo por el que las aplicaciones acceden a la red para enviar y recibir información. Esto incluye manejo bidireccional de infor-mación, además de identificación, ubicación y determinación de la disponibilidad del compañero para un intercambio de información. Las especificaciones de la capa de la aplicación están implementadas en el sistema operativo y software de aplicación.



Tenga en cuenta el modelo OSI a medida que lee el resto de éste y los siguientes capítu-los. Le ayudará a relacionar diversos componentes usados en el trabajo en red. No obstante, más delante en este capítulo, bajo el tema “Resumen de dispositivos de interconexión”, conocerá la manera en que el modelo OSI se relaciona con dispositivos de hardware como concentradores y conmutadores y, bajo el tema “Protocolos de red”, verá la relación del mo-delo OSI y los protocolos de red, además de las convenciones de nomenclatura de datos.

Tecnologías LANLas tecnologías LAN son estándares que abarcan hardware y software, para manejar gran parte de las tareas dedicadas de trabajo en red. Las tecnologías LAN manejan la capa de vínculo de datos completa, también parte de las capas física y de red. Casi todas las nuevas redes y gran cantidad de las redes existentes usan la tecnología de red Ethernet o tecnología inalámbrica que hace interfaz con Ethernet. Por ello, representan la temática central de este apartado.

EthernetEthernet fue desarrollado a principios de 1970 en Xerox PARC (Palo Alto Research Cen-ter) por Bob Metcalfe y otros; casi diez años después Digital Equipment, Intel y Xerox lo convirtieron en estándar (llamado estándar DIX). El Institute of Electrical and Electronics Engineers (IEEE) hizo leves modificaciones al estándar DIX y generó su estándar IEEE 802.3 para Ethernet. Con frecuencia, a éste se le llama “Ethernet 802.3”. Desde que Ethernet 802.3 fue adoptado por ISO, haciéndolo estándar mundial, se ha vuelto lo que muchas personas y vendedores quieren decir cuando mencionan “Ethernet”, lo que se alude en este libro con ese término. Ahora hay tres estándares de IEEE 802.3 Ethernet en uso común: IEEE 802.3, el estándar original de Ethernet, que opera a 10 Mbps; IEEE 802.3u Fast Ethernet trabaja a 100 Mbps e IEEE 802.3z Gigabit Ethernet funciona a 1 000 Mbps. Se les llama “Ethernet”, “Fast Ethernet” y “Gigabit Ethernet”, respectivamente. Además, están emergiendo dos estánda-res Ethernet: IEEE 803.3an 10 Gigabit Ethernet (10 GbE), que opera a 10 000 Mbps y empieza a estar disponible en el mercado, al igual que 100 Gigabit Ethernet (100GbE), que opera a 100 000 Mbps y aún se encuentra en desarrollo desde mediados de 2007.

Ethernet es relativamente barato, trabaja bien interconectando muchos sistemas de cómputo diferentes y es fácil de expandir a redes muy grandes. Por tanto, se ha convertido en la tecnología dominante de LAN con amplio margen, eclipsando por completo algunas otras de las tecnologías iniciales de LAN como ARCnet y ensombreciendo de manera im-portante a Token Ring (tecnología inicial de LAN desarrollada por IBM, que se usó mucho en organizaciones grandes). Como resultado, han proliferado el equipo relacionado con Ethernet y soporte de software a Ethernet, incluidos Windows Server 2008 y Windows Vis-ta. Esto ha llevado a muchos proveedores de equipo al mercado, causando que el precio se vuelva razonable. Como resultado, Ethernet (y más recientemente, Fast Ethernet y Gigabit Ethernet) representa la tecnología de elección para casi todas las redes cableadas.

La tecnología Ethernet cubre tres especificaciones:

▼ Un método de acceso al medio que describe la manera en que varios equipos com-parten un único canal Ethernet, sin interferir entre sí

■ Una trama Ethernet que describe una estructura de bits estandarizada para transfe-rir información en una red Ethernet


105

▲ Una especificación de hardware que describe cableado y electrónica usada con Ethernet

Método de acceso a medios de Ethernet El objetivo de Ethernet es hacer que varios equipos operen independientemente en un canal único de conexión, sin interferencia. Esto se lo-gra usando un método de acceso a medios llamado acceso múltiple de percepción de portador con detección de colisiones (CSMA/CD, Carrier Sense Multiple Access with Collision Detection. CSMA/CD funciona así:

1. Un equipo de red que desea transmitir información escucha la red para determinar cuándo está desocupada.

2. Cuando el equipo determina que la red está inactiva, pone su información en la red con la dirección de destino, haciéndola disponible para todos los demás equi-pos de la red.

3. Cada equipo de la red verifica si la dirección es la adecuada y, en caso de serlo, ese equipo retira la información de la red.

4. Cuando la red está de nuevo desocupada, todos los demás equipos tienen la misma oportunidad para iniciar la siguiente transmisión de información.

5. Si dos equipos inician simultáneamente la transmisión, ocurrirá una colisión y será de-tectada. Toda la información de la red se ignorará y la red regresará al estado inactivo. Ambos equipos de envío seleccionan entonces un tiempo aleatorio de espera antes de reenviar su información, minimizando la posibilidad de colisiones repetidas.

Las colisiones son normales y representan una parte anticipada de la transmisión de red, incluidas colisiones repetidas que llevan a errores de datos; ésta es la razón por la que los niveles superiores del modelo OSI ponen especial énfasis en la detección de errores y su corrección.

Trama Ethernet La trama Ethernet es el formato estándar usado para transferir datos sobre una red Ethernet. La trama define una distribución específica que posiciona la informa-ción de encabezado, direccionamiento de origen y destino, datos e información de cola, como se muestra a continuación. En seguida se muestra la definición específica y el uso de cada campo:

Capítulo 5: Entorno de red de Windows Server 2008

Preámbulo 62 bits

SFD2 bits

Destino6 bytes

Origen6 bytes

Longitud2 bytes

Datos0 a 1500 bytes

Relleno46 a 0 bytes

CRC4 bytes

▼ Preámbulo Una serie alterna de 1 y 0 usados para que el equipo en recepción sin-cronice la información en la trama

■ SFD (Start of Frame Delimiter, inicio de delimitador de trama) Un par de 1 em-pleado para marcar el inicio de la trama

■ Direcciones de destino y origen Dos números de 48 bits que representan la direc-ción MAC de los equipos de destino y origen. Estos números son asignados por la IEEE a los fabricantes y contienen un número único de fabricante de 24 bits y otro para una tarjeta de red (NIC, Network Interface Card) o adaptador que conecta el



equipo a la red. Esto significa que cada adaptador de red viene con una dirección única y el usuario final no tiene que preocuparse al respecto. Si habrá de difundirse un men-saje a todas las estaciones de una red, la dirección de destino sólo debe contener 1

■ Longitud El número de bytes en el campo de datos. En estándares anteriores de Ethernet esto era un tipo de código, mayor a 1 500 para evitar confusiones con la longitud, de 0 a 1 500

■ Datos Los datos que se transmiten pueden tener de 0 a 1 500 bytes de largo

■ Relleno Es obligatorio si los datos contienen menos de 46 bytes; por ello, si el campo de datos contiene 38 bytes, se incluirán 8 bytes de relleno

▲ CRC (Cyclical Redundancy Checks, verificación de redundancia cíclica) Tam-bién llamada secuencia de verificación de trama (FCS, Frame Check Sequence), es un número de 32 bits (4 bytes) derivado de todos los bits en la transmisión usando una fórmula compleja. El equipo remitente calcula este número y almacena en la trama en-viada al otro equipo. El equipo destinatario también calcula el número y lo compara con el de la trama. Si los números son iguales, se da por hecho que la transmisión fue recibida sin error. Si los números son diferentes, la transmisión se repetirá

La principal diferencia entre el estándar DIX Ethernet original (llamado Ethernet II, porque Ethernet I fue la especificación original antes de DIX) y Ethernet 802.3 consiste en que el primero tiene un código de tipo en lugar del largo de la trama. El código de tipo se usa para adaptar Ethernet a diferentes entornos de cómputo, que se hace fuera de la trama en 802.3. En el protocolo de Internet TCP/IP (consulte “Protocolos de trabajo en red”, en páginas posteriores de este capítulo), la trama Ethernet se maneja con un código de tipo que identifica el protocolo de Internet.

Hardware Ethernet La tecnología de LAN Ethernet define ocho estándares alternos de hard-ware que pueden usarse con Ethernet; un noveno se encuentra en desarrollo. Cada estándar de hardware usa un tipo específico de cable y cableado o topología y proporciona un rango de velocidad en la red en Mbps, un largo máximo de segmento y un número máximo de equipos en un solo segmento. A continuación se presentan los estándares de hardware:

NOTA En los nombres de IEEE para estándares de hardware Ethernet, como 10Base5,

el “10” es la velocidad en Mbps; “Base” representa la banda de base, un tipo de transmisión;

el “5” es la longitud máxima del segmento en cientos de metros. En estándares más recien-

tes, como 10BaseT, la “T” significa el tipo de cableado (“Par trenzado” en este caso).

▼ 10Base5 (también llamado Thicknet) Es la especificación original del estándar DIX. Usa un cable coaxial grueso en una topología de bus con una conexión muy compleja en cada equipo, para producir una velocidad de 10 Mbps sobre segmentos máximos de 500 metros (1 640 pies), con un tope de 100 equipos por segmento y tres segmentos. 10Base5 resulta costoso y difícil de usar, sólo se usa en raras ocasiones

■ 10Base2 (también llamada Thinnet o Cheapernet) Maneja cable coaxial delgado RG-58A/U en una topología de bus con un conector sencillo BNC, para producir veloci-dades de 10 Mbps en segmentos máximos de 185 metros (606 pies), con un tope de 30



equipos por segmento y tres segmentos. Hasta 1990, Thinnet era la forma más barata de trabajo en redes Ethernet para organizaciones pequeñas (30 nodos o menos)

■ 10BaseT (también llamada par trenzado) Utiliza cable parecido al de los teléfonos de par trenzado sin blindar (UTP), en una topología de estrella (véase la figura 5-2) con un conector RJ-45 muy simple, parecido al telefónico para producir una velocidad de 10 Mbps sobre segmentos de 100 metros (328 pies), con un equipo por segmento y 1 024 segmentos. En los años 90, 10BaseT bajó su precio al nivel de 10Base2; con su excepcio-nal expansibilidad se volvió muy atractiva para la mayor parte de las organizaciones

■ 10BaseF Usa cable de fibra óptica en topología de estrella a 10 Mbps para conectar dos redes separadas a una distancia de hasta 4 000 metros (13 120 pies o 2.5 millas). Se usaba con frecuencia para conectar dos o más edificios en un campus

■ 100BaseT (también llamada Fast Ethernet) Tiene las mismas especificaciones que 10BaseT, con la excepción de que los requisitos del cableado son más demandantes (requiere de cable categoría 5 en lugar de categoría 3) y es diez veces más rápido. 100BaseT es más barata que 10BaseT; gracias a su significativa velocidad agregada, se ha convertido en el estándar líder de Ethernet. Con el hardware de conexión apropiado (consulte “Hardware de redes”, en páginas posteriores de este capítulo), puede mezclar hardware 10BaseT y 100BaseT en la misma red, para actualizar len-tamente una red 10BaseT. Hay dos especificaciones para 100BaseT: 100BaseTX, la más común, que corre sobre UTP categoría 5 usando dos pares trenzados, y 100Ba-seT4, que corre sobre UTP categoría 3 usando cuatro pares trenzados

■ 100BaseFX Utiliza cable de fibra óptica a 100 Mbps para conectar dos redes se-paradas hasta 412 metros (1 351 pies) o, si se usa full duplex (fibras separadas para enviar y recibir), hasta 2 kilómetros (más de 6 500 pies o una milla y cuarto). Como 10BaseF, 100BaseFX se usa principalmente para unir dos redes

■ 1000BaseT y F (también llamada Gigabit Ethernet) Usa cable estándar categoría 5 o fibra óptica para correr a 1000 Mbps. Los estándares de distancia van de 25 me-tros (82 pies) a 100 metros (328 pies) para cobre UTP y 550 metros (1 800 pies) para fibra. A mediados de 2007, el equipo de Gigabit Ethernet era apenas un poco más costoso que Fast Ethernet y diez veces más veloz. Su precio ha bajado significativa-mente en los cinco años que lleva en el mercado

■ 10GBaseT y varias configuraciones de fibra (también llamada 10 Gigabit Ether-net 10GbE) Utiliza cable categoría 6 y varios esquemas de fibra óptica para correr a 10 000 Mbps. La distancia estándar para cobre es 100 metros (328 pies). Algunos estándares de fibra 10GBase usan diferentes tipos de cable de fibra óptica con dis-tancias de 28 metros (92 pies) a 40 kilómetros (25 millas). A mediados de 2007, el equipo 10GBase era difícil de obtener y costoso, pero si sigue los patrones de Ether-net 100Base y 1000Base, el precio caerá significativamente

▲ 100GBase (también llamada 100 Gigabit Ethernet o 100GbE) Está en las etapas iniciales de desarrollo con el objetivo de un vínculo de red de fibra óptica que corra a 100 000 Mbps, lo que se aproxima a las velocidades internas del equipo. El estándar final estará dispo-nible hasta 2010 o después; quizás resulte ligeramente más lenta que 100 000 Mbps



En la sección “Hardware de redes”, en páginas posteriores de este capítulo, se profundiza en estándares de hardware Ethernet y las opciones disponibles para conectar redes Ethernet.

NOTA Con mayores velocidades el número de colisiones aumenta, pero la velocidad con

que se resuelven compensa con creces esto, proporcionando un incremento significativo

en la velocidad, en cada paso.

Tecnologías de red inalámbricaLas tecnologías de red inalámbrica cubren un amplio espectro de capacidades, incluidas:

▼ Topologías de banda ancha inalámbricas usadas en redes WAN y redes de área me-tropolitana (MAN, Metropolitan Area Network)

■ Trabajo en red inalámbrica celular

■ Comunicaciones de microondas usadas en WAN

■ Sistemas de comunicación por satélite

▲ LAN inalámbricas

La banda ancha inalámbrica y microondas se usan entre edificios para conectar LAN, son costosas y, frecuentemente, sólo se usan en organizaciones grandes. Las MAN (redes de área metropolitana) se están volviendo más comunes en muchas comunidades y ofrecen conectividad inalámbrica en un área de varias manzanas. Las comunicaciones por satélite son relativamente costosas, más lentas y se usan, sobre todo, en áreas rurales, el océano y aviones. Los sistemas celulares se están usando ampliamente en ciudades, complejos de oficinas y grandes edificios. Por algún tiempo, la conectividad por celular fue muy lenta; empezaba de 16 Kbps (kilobits por segundo) a 64 Kbps y, en fechas recientes, hay opciones de 144 Kbps. Hay algunos proveedores de servicio, como Verizon, Sprint, AT&T/Cingular y T-Mobile, que ofrecen lo que se llama “Tecnología de tercera generación” (3G) con veloci-dades de hasta 2.4 Mbps (megabits por segundo).

Las LAN inalámbricas o WLAN ya se encuentran bien implementadas, se dispone de ellas ampliamente y tienen precios razonables. Están basadas en tres estándares actuales y uno emergente:

▼ IEEE 802.11b Utiliza la banda de 2.4 GHz, facilita transferencias de datos de hasta 11 Mbps, utiliza codificación complementaria de llaves (CCK) y fue el estándar de red inalámbrica original, ampliamente usada

■ IEEE 802.11g Utiliza la banda de 2.4 GHz, proporciona transferencias de datos de hasta 54 Mbps, usa la más eficiente multiplexión ortogonal de división de frecuencia (OFDM, Orthogonal Frequency-Division Multiplexing) y es el estándar de red in-alámbrica de uso más extenso. Casi todos los puntos de acceso y adaptadores IEEE 802.11g pueden trabajar también con puntos de acceso y adaptadores IEEE 802.11b

■ IEEE 802.11a Utiliza la banda de 5 GHz, proporciona transferencias de datos de hasta 54 Mbps y utiliza multiplexión ortogonal de división de frecuencia (OFDM), pero ha sido poco adoptada pues requiere hardware exclusivo, con menor rango que las 802.11b o 802.11g de 2.4 GHz



Figura 5-4. Una selección de productos de LAN inalámbrica de 54 Mbps de Linksys©, incluido

punto de acceso Wireless-G, adaptador para equipos de escritorio PCI Wireless-G, adaptador

para notebook Wireless-G y adaptador compacto USB Wireless-G para equipos de escritorio

o laptops.*

*Fotografías de Linksys®, división de Cisco Systems, Inc.

▲ IEEE 802.11n Estaba en su segundo borrador como estándar a mediados de 2007, dos años antes de que el estándar final sea aprobado. El borrador del estándar requiere el uso de la banda de 2.4 o 5 GHz, con velocidades de transferencia que exceden los 100 Mbps y un máximo de 300 Mbps usando tecnología de entrada múltiple salida múltiple (MIMO, Multiple Input Multiple Output), para manejar varios flujos de datos mediante dos a cuatro antenas para transmisión y recepción. Ya hay en el mercado equipo “pre-n”, pero no es recomendable hasta que el estándar se apruebe y certifique su funcionalidad con equipo. La única excepción a esto es si se tiene una organización cerrada donde controlar todo el equipo y no espera visitantes

Una WLAN usa un punto de acceso fijo que se conecta a la red cableada mediante un concentrador, conmutador o enrutador DSL, por ejemplo. Este punto de acceso es un trans-ceptor (transmisor y receptor) para comunicarse inalámbricamente con una tarjeta o circuito inalámbrico añadido a cada equipo que desee usar la WLAN (véase la figura 5-4). Estos equipos operan en la red, exactamente de la misma manera en que harían con un adaptador de red y una conexión por cable. Una WLAN tiene algunos beneficios importantes sobre una LAN normal cableada:



▼ No tiene alto costo de cableado ni el (aun más elevado) de instalación y mantenimiento

■ Es muy sencillo agregar y eliminar usuarios de la red

■ Los usuarios pueden desplazarse fácilmente de una oficina o habitación a otra

■ Los usuarios pueden moverse en un área, digamos, cargando sus laptop a una junta

▲ Los visitantes pueden entrar fácilmente en la red

El costo y la velocidad de la red inalámbrica solían ser un obstáculo, pero el costo ha bajado demasiado y la velocidad ha subido. Un punto de acceso barato cuesta ahora menos de 70 dólares y, recordando que se divide entre 11 o 54 Mbps de ancho de banda, sirve para siete o diez usuarios o 10 dólares por usuario. Los adaptadores para cada uno cuestan al-rededor de 25 dólares y ya vienen integrados en muchos equipos nuevos. Como resultado, el costo total de conectar inalámbricamente un equipo a la red es inferior a 35 dólares, que puede ser menor que el costo de una red cableada. En cambio, la diferencia en velocidad entre red inalámbrica y cableada no sólo es la diferencia entre 54 Mbps inalámbricos y 100 Mbps cableados, es la tasa neta de dividir el canal inalámbrico de 54 Mbps entre el número de personas que intentan usarlo en cualquier instante.

La red inalámbrica tiene otras varias desventajas:

▼ Un punto de acceso inalámbrico o “hotspot” tiene un rango limitado de 30 a 45 me-tros o 100 a 150 pies, y puede verse afectado por los muros, sobre todo los que tienen metal en ellos, como plomería, ductos y otros objetos. Existen extensores de rango y repetidores que pueden extender este rango por un precio, pero también hacen más lenta la señal

■ Usualmente, la instalación predeterminada de la red inalámbrica no tiene cifrado ni otras características de seguridad activadas, que facilita a alguien sin conexión física conectarse a la red

■ Varias redes inalámbricas cercanas pueden interferirse entre ellas, causando un trá-fico de red más lento, a grado tal que se vuelva imposible utilizarlo. A esto se le llama “contaminación inalámbrica”

▲ Los circuitos de red inalámbrica pueden imponer una carga importante a las bate-rías de los dispositivos portátiles

Aun con estos inconvenientes, la red inalámbrica es la forma de trabajo en red de más rápido crecimiento, sobre todo en el hogar y organizaciones pequeñas.

Tecnologías de red en el hogarLas tecnologías de red en el hogar (que pueden utilizarse también en oficinas pequeñas, sobre todo en oficinas caseras) suelen compartir uno de dos tipos de cableado existente en

NOTA Además del estándar WLAN, existe el estándar WIFI (fidelidad inalámbrica) que

garantiza la compatibilidad del hardware de diferentes fabricantes; en consecuencia, pue-

de entrar en cualquier oficina, aeropuerto u otro edificio con un sistema estándar WIFI y,

para conectarse, sólo necesita los permisos apropiados.



el hogar, ya sea telefónico o eléctrico. La velocidad ofrecida en ambos casos es relativamente baja y los costos no son ventajosos. Para ambas tecnologías de red en el hogar, el objetivo es evitar la instalación de un cableado separado de red. Como una red inalámbrica hace esto excelen-temente, las tecnologías de red en el hogar están prácticamente muertas.

HARDWARE DE REDESEn su forma más sencilla, las redes de cómputo sólo necesitan un cable para unir dos equi-pos y dos adaptadores, colocados en equipos y en los que se conecta el cable, como se mues-tra en la figura 5-5.

Para ambos, adaptador y cable de red, tiene varias opciones de tipos y características, pero cuando se va más allá de dos equipos, hay componentes adicionales que presentan varias op-ciones. La primera y más importante decisión en la selección de estas opciones es la tecnología LAN que va a usar, porque ésta, en muchos casos, determinará su cableado (si se requiere) y el adaptador de red, o al menos lo coloca en cierta categoría de cableado y adaptadores de red. Por tanto, empezaremos este repaso del hardware con un resumen, mostrado en la tabla 5-1, de lo descrito en este capítulo acerca de las opciones de tecnologías LAN.

En la selección de una tecnología de LAN Ethernet, Ethernet 100BaseT es la opción predominante actual. Tal vez más 98% de los compradores la escogen. Es probable que no se hayan dado nuevas instalaciones 10Base5 o 10Base2 por unos cuantos años y muy pocas instalaciones heredadas permanecen. Mientras algunas instalaciones 10BaseT permanecen, están desapareciendo rápidamente y no se han hecho nuevas. Lo que se usa más ahora son las opciones de fibra 100BaseF y, cada vez más, 1000BaseF, para interconectar redes, edifi-cios y pisos dentro de un edificio. Las siguientes opciones de hardware se concentran en las necesidades de estas tecnologías.

Figura 5-5. Componentes necesarios para una red sencilla.



Tecnología

Velocidad

máxima

(Mbps)

Tipo de

cableado

(véase la

nota)

Nodos de red

(máximo)

Segmen-

tos de red

(máximo)1

Largo de

segmento

(máximo)

Largo de

segmento

(mínimo)2

Largo de red

(máximo)2

10Base5 10 Coaxial

grueso

300 100 500 m 2.5 m 2 500 m

10Base2 10 Coaxial

delgado

90 30 185 m 60 cm 925 m

10BaseT 10 UTP-Cat 3 1 024 2 100 m

10BaseFibra 10 Fibra óptica 2 2 km

100BaseT 100 UTP-Cat 5 1 024 2 100 m

100BaseFibra 100 Fibra óptica 2 2 km

1 000BaseT 1 000 UTP-Cat5e 512 2 100 m

1 000BaseFibra 1 000 Fibra óptica 2 550 m a

100 km

10GBaseT 10 000 STP-Cat6 512 2 100 m

10GBaseFibra 10 000 Fibra óptica 2 30 m a

40 km

Tabla 5-1. Componentes necesarios para una red sencilla.

1 Para tecnologías Ethernet, con las que no se especifica el número máximo de nodos, existen subcategorías con

diferentes máximos.2 Los máximos y mínimos del largo de segmento se aplican únicamente a cable coaxial usado en 10Base5 y 10Base2.

NOTA Las categorías UTP se explican más adelante en este capítulo, bajo el tema “Ca-

tegorías UTP”. Además, un “nodo” es una estación de trabajo, servidor o dispositivo de

interfaz, como un conmutador, enrutador o impresora de red independiente.

Tarjetas de redAunque tal vez haya decidido usar 100BaseT, si está instalando una red cableada, la deci-sión de cuál adaptador de red comprar todavía merece consideraciones:

▼ ¿Cómo se conectará el adaptador?

■ ¿Qué tipo de adaptador usará?

■ ¿Quiere tener la capacidad para activar el equipo?

▲ ¿Qué marca debe comprar?



Cómo se conectan los adaptadoresLos adaptadores de red hoy disponibles se conectan al equipo en una de cuatro formas (véase figura 5-6):

▼ Se insertan en una ranura PCI (Peripheral Component Interface, interfaz de compo-nente periférico) dentro del equipo de escritorio o uno de mayor capacidad

■ Se insertan en el puerto USB (Universal Serial Bus, bus serial universal), en el exte-rior del equipo de escritorio o laptop

■ Se insertan dentro de la ranura PCMCIA (Personal Computer Memory Card Inter-national Association) o “PC Card”, así como dentro de una ranura ExpressCard en el exterior de casi todos los equipos laptop y algunas de escritorio

▲ La capacidad para conectarse a una red está integrada en muchos equipos nuevos, tanto de escritorio como laptop y no requieren adaptador separado

Figura 5-6. Una selección de adaptadores cableados Ethernet 10/100 de Linksys®, incluidos los

adaptadores PCI de red administrada para equipos de escritorio, para laptops PC Card EtherFast®

de 32 bits y Compact USB 2.0 para equipos de escritorio y laptops.*

*Fotografías Linksys®, división de Cisco Systems, Inc.



Por supuesto, si la capacidad para conectarse está integrada en el equipo, no tiene que pensar más en esto. Si necesita agregar un adaptador, tal vez lo más fácil sea un adaptador USB, pero éste y el adaptador PC Card/ExpressCard son mucho más costosos que una tarjeta adaptadora PCI. Sin embargo, para este último, debe abrir el equipo de escritorio e insertar la tarjeta dentro de una ranura PCI en la tarjeta madre (la placa de circuitos principal de un equipo).

Qué tipo de tarjeta usarCasi todos los fabricantes, sobre todo de marcas reconocidas, fabrican diversos adaptadores PCI 10/100BaseT. Estas diferencias incluyen si el adaptador de red es full-duplex o half-du-plex, si está hecho para un servidor y si tiene varios puertos. Todas estas características se añaden a la velocidad y eficiencia de la tarjeta, pero también suben el costo, por lo que debe pensar un poco en ello.

Comparación entre adaptadores half-duplex y full-duplex Half-duplex significa que cuando la tarjeta está recibiendo no puede transmitir y viceversa. Full-duplex permite a la tarjeta trans-mitir y recibir al mismo tiempo. Obviamente, full-duplex es más rápido, pero no aumenta al doble la velocidad, como se esperaría; en cambio, ofrece un incremento de 30 a 50% sobre half-duplex. En la actualidad, casi todos los adaptadores de marca reconocida 10/100 son full-duplex, pero no está de más verificar este factor cuando investigue cuáles comprar.

Adaptadores de red de servidor Los adaptadores de red de servidor fueron desarrollados para usarse en servidores y ofrecen ciertas características para dar soporte a esta función. Entre éstas se encuentran mayor confiabilidad e inteligencia. La confiabilidad suele ser una combinación de mejores partes y control de calidad. La inteligencia significa que hay un procesador o memoria en la tarjeta de red, para que no tenga que ir al CPU del equipo o me-moria para manejar sus procesos. Esto hace a la tarjeta más rápida, permitiéndole manejar un mayor volumen de información. Estas características, por supuesto, cuestan dinero, por lo que tendrá que determinar si valen la pena. Las tarjetas más confiables cuestan alre-dedor de 30 a 50% más que los adaptadores de red de marca normales. Los adaptadores de red inteligentes cuestan de dos a tres veces más que un adaptador de red normal de marca reconocida. Aunque esto suena a mucho, se traduce en menos de 100 dólares adicionales por tarjeta y no tiene que comprar muchas. Cuando se compara esto con el costo de actua-lizar el CPU, es razonable.

Adaptadores de red de varios puertos Existen adaptadores de red para servidores con dos o cuatro puertos, el equivalente a dos o cuatro adaptadores de red en el servidor. Dado que las ranuras PCI son escasas en muchos servidores, estas tarjetas de varios puertos pueden ser atractivas. El problema es que un adaptador de red con puerto dual cuesta más del doble que un adaptador de red de servidor de marca reconocida y uno de cuatro puertos cuesta más de cuatro veces lo de un adaptador de red de servidor de marca reconocida. Si no tiene las ranuras PCI, entonces ésta podría ser una solución, pero otra opción consiste en usar un dispositivo de interconexión frente al adaptador de red (consulte “Dispositivos de interco-nexión”, en páginas posteriores de este capítulo). Se trata de una de esas situaciones donde no hay una respuesta correcta. Depende del diseño de la red que intente construir.



Wake on LAN y otras características especialesAlgunos fabricantes, como 3Com e Intel, por mencionar algunos, tienen adaptadores de red con la característica “Wake on LAN”, para encender el equipo a un estado de completa operación tras haberse apagado. Esto le permite al administrador de la red o personal de soporte actualizar un equipo a deshoras. Wake on LAN requiere una tarjeta madre que im-plemente el estándar de bus PCI 2.2 o superior. Muchos equipos producidos alrededor de 1995 manejan este estándar.

Otras dos características especiales que algunos adaptadores de red ofrecen y pueden ser útiles son: administración remota y arranque remoto. La primera permite al administrador de red en un servidor con software apropiado monitorear la actividad y hacer administra-ción remota en un equipo a través de la red. La segunda permite a un servidor arrancar un equipo sin depender del sistema operativo en el equipo. Esto es importante para diagnosti-car problemas en el equipo e instalación remota de Windows y otras aplicaciones (consulte el capítulo 4 sobre los Servicios de implementación de Windows). Este arranque también requiere del estándar de bus PCI 2.2 o más reciente.

Si estas características le interesan, revise cuidadosamente antes de comprar un adapta-dor de red y asegurarse de que la tarjeta madre que pretende usar soporta características del adaptador de red. Tal vez un arranque remoto, en particular, requiera un soporte especial en la tarjeta madre no incluido en algunas tarjetas madre.

Qué marcaSi revisa los servicios de comparación de costos (como Yahoo! Shopping), verá que hay casi tres niveles de precio en adaptadores de red. Por ejemplo, con adaptadores PCI 10/100 cableados:

▼ De marca (3Com y Linksys, por ejemplo) con las características especiales ya men-cionadas: de 50 a 350 dólares, dependiendo de las características.

■ Tarjetas básicas de marca (sin características especiales): de 10 a 50 dólares.

▲ Tarjetas genéricas básicas (sin características especiales): de 5 a 25 dólares.

Aunque parte del rango de precios en cada uno de los tres niveles se debe a diferencias en características, gran parte de éste es causado por variaciones del precio que los provee-dores cobran por tarjeta. Usted puede verificar esto viendo en Pricewatch (http://www.pricewatch.com) y PriceScan (http://www.pricescan.com), que comparan los precios del mismo artículo con diferentes proveedores. En cualquier caso, asegúrese de saber qué está comprando y cuáles son los cargos por manejo y envío.

La pregunta pertinente es si las tarjetas de marca reconocida valen la diferencia de 5 a 25 dólares. Desde mi punto de vista, la respuesta es sí. En más de diez años de trabajo con redes de PC, he trabajado con casi la misma cantidad de adaptadores de red genéricos y de marca reconocida. Me he encontrado problemas con ambos y he debido tirar algunas de las tarjetas genéricas; en el caso contrario, siempre he conseguido que las tarjetas de marca sean reparadas o reemplazadas. Respaldo y soporte de las marcas reconocidas es reconfortante (sobre todo la garantía de por vida de 3Com) y en ocasiones han añadido características, como diagnósticos, que pueden ser valiosas. Concedido, los precios más bajos de las tarjetas genéricas también son atractivos, pero cuando una red deja de funcionar, tal precio no es



tan bueno. Si compra una genérica de un mejor proveedor para obtener el soporte de éste, su precio será muy cercano al de una de marca reconocida. Mi recomendación es elegir la tarjeta de marca, con la idea de que será más fácilmente reconocida por el software, como Windows Server 2008, que ofrecerá mejor soporte cuando sea necesario.

CableadoLas principales tecnologías de red usan uno de dos tipos de cableado; cada uno de ellos tiene diversas consideraciones:

▼ Par trenzado sin blindar (UTP, Unshielded Twisted Pair) para 10BaseT, 100BaseT y 1000BaseT

▲ Fibra óptica para 10BaseF, 100BaseF y 1000BaseF

Par trenzado sin blindarEl cable UTP usado en 10/100/1000BaseT es similar, aunque en general difiere del cableado telefónico. Para 10BaseT, este cable contiene dos pares de hilos (es decir, primero se tienen cuatro hilos trenzados en pares, y luego los pares se trenzan entre sí). Un conector modular RJ-45 se coloca en cada extremo. Aunque sólo dos pares se utilizan, el cable real de catego-rías 3 y 4 tiene cuatro pares, como se muestra en la figura 5-7. El conector RJ-45, que puede manejar cuatro pares trenzados de hilos, es similar, pero ligeramente mayor que el conector RJ-11, es capaz de manejar dos pares de hilos y se usa en conexiones telefónicas normales. 100BaseT y 1000BaseT usan cuatro pares o todos los ocho hilos en el cable de categoría 5 y el mismo conector RJ-45.

Figura 5-7. Cableado de par trenzado sin blindar (UTP) utilizado con un conector RJ-45.

Par trenzado sin blindar, categoría 5 (UTP)

Conexiones:1 Transmitir +2 Transmitir –3 Recibir +4 Recibir –

Conector RJ-45

AislamientoplásticoCubierta

externa

Conductorinterno



Los pares de hilos en el cable UTP son trenzados para reducir la interferencia eléctrica recibida en el cable. El número de giros por pie se ha vuelto una ciencia muy exacta y es im-portante mantener el cable apropiadamente trenzado hasta el conector. Una opción a UTP es STP, con varios grados de blindaje: blindaje alrededor de cada par, alrededor de todos los pares o alrededor de los pares individuales y la combinación. STP es mucho más caro que UTP y resulta más difícil de manejar. Para evitar el problema de interferencias, siga estas reglas cuando tienda el cable:

▼ No lo pase cerca de una lámpara fluorescente

■ No lo pase cerca de un motor eléctrico, como los de máquinas, ventiladores, enfria-dores de agua y copiadoras

■ No lo pase junto a un cable de corriente

■ No lo doble de manera que pueda apretarlo demasiado

▲ No use engrapadora, que pueda apretarlo demasiado o crear un cortocircuito

SUGERENCIA Al apretar demasiado el cable de red puede cambiar el espacio entre hilos

individuales y, por tanto, cambiar sus características eléctricas y de rendimiento.

Entre voz y datos (telefonía y de red), hay varios tipos diferentes de cable UTP. Las dife-rencias están en el grado de resistencia al fuego, tipo del núcleo interno y grado o categoría del cable, que también especifica el número de pares trenzados.

Grado de resistencia al fuego Los cables UTP vienen en dos grados de resistencia al fuego: cable plenum, marcado “CMP” al lado del cable, y cable PVC o riser, marcado “CMR”. El cable plenum, que con frecuencia tiene un recubrimiento de teflón, es más resistente al fuego y no libera gases peligrosos en caso de quemarse. El cable PVC o riser, aunque razonablemente resistente al fuego, está hecho de cloruro de polivinilo (PVC) y libera gases peligrosos si se quema. El cable plenum cuesta casi el doble que el PVC, pero puede usarse en pasajes de aire como pisos elevados y techos falsos, mientras el cable PVC sólo puede usarse en muros y el exterior (verifique sus códigos locales para el tipo de cable que debe usar).

Tipo de núcleo interno El núcleo interno del cable UTP puede ser en hebras o sólido. El cable en hebras es más flexible y tiende a romperse menos cuando se dobla varias veces. Se utiliza en situaciones donde se mueve con frecuencia, como en paneles de parche y entre la caja de conexión en la pared y el equipo. El cable sólido tiene menor pérdida de señal y, por tanto, es mejor para tramos largos donde no se moverá con frecuencia, como muros y techos.



Categorías UTP Las siguientes son las siete categorías de cable UTP utilizados en comuni-caciones de voz y de datos:

▼ Categoría 1 Usado en instalaciones telefónicas anteriores a 1983, tiene dos pares trenzados.

■ Categoría 2 Usado en instalaciones telefónicas después de 1982, tiene cuatro pa-res trenzados; se usa en algunas redes de datos antiguas con velocidades de hasta 4 Mbps.

■ Categoría 3 Usado en muchas de las redes de datos antiguas y en casi todos los sistemas telefónicos actuales. Usualmente tiene cuatro pares trenzados, pero puede constar de dos a 100. En general, incluye tres vueltas por pie (no está en las especifi-caciones) y maneja con facilidad velocidades de red de 10 Mbps con ancho de banda de 16 MHz.

■ Categoría 4 Usado en redes Token Ring, tiene cuatro pares trenzados y puede ma-nejar velocidades de hasta 16 Mbps con ancho de banda de 20 MHz.

■ Categoría 5 Usado en casi todas las redes hasta mediados de 1990, tiene cuatro pa-res trenzados, con ocho vueltas por pie; puede manejar 100 Mbps con un ancho de banda de 100 MHz.

■ Categoría 5e (categoría 5 mejorada) Usado en casi todas las redes actuales, tiene las mismas características físicas y ancho de banda de la categoría 5, pero con menor tasa de errores. Puede utilizarse con Gigabit Ethernet. Normalmente sin blindar, también puede ser blindado.

▲ Categoría 6 Construido para ir más allá de Gigabit Ethernet y requerido para Ethernet a 10 Gigabit, tiene un ancho de banda de 200 MHz, el doble del ancho de banda que el categoría 5e, con menor tasa de errores. Puede ser sin blindar, pero no es frecuente; es usado donde la interferencia eléctrica es un problema. El cable de categoría 6 blindado tiene cuatro pares trenzados, envueltos en una hoja de alumi-nio alrededor de cada par y otra hoja alrededor de todos los pares.

Conecte UTP El cableado UTP simplemente se inserta en el adaptador de red y luego dentro del receptáculo de la pared, concentrador, conmutador o enrutador, que hace la instalación de 10/100/1 000BaseT muy simple, como verá en la figura 5-8. Para que UTP funcione entre dos equipos sin un concentrador o conmutador, los hilos deben cruzarse (los hilos de trans-misión de un equipo deben convertirse en los de recepción del otro equipo). Ésta es una de las funciones del concentrador; por ello, los hilos que conectan un equipo al concentrador, deben ser los mismos en ambos extremos. Cuando dos equipos están directamente conecta-dos entre sí, debe usarse un cable especial con las conexiones terminales invertidas.

SUGERENCIA Las reglas básicas para mantenerse en el límite de 328 pies (100 metros)

para un segmento de 10/100/1 000BaseT consisten en tender el cable del gabinete de ca-

bleado al receptáculo en la pared, a menos de 90 metros, además de que la distancia entre

pared y equipo sea inferior a 6 metros y tener el panel de parcheo a menos de 2.5 metros.



Cable de fibra ópticaEl cable de fibra óptica transmite luz sobre una hebra o fibra muy pura de cristal, con me- nor grosor que el de un cabello humano. El cristal es tan puro que hay una mínima pérdida de luz en un cable muy largo. La fuente de luz puede ser un diodo emisor de luz (LED, Light-Emitting Diode) o láser. La información se transmite encendiendo y apagando la fuen-te de luz para producir los 1 y 0 digitales. En el otro extremo del cable hay un detector de luz que convierte nuevamente la luz en impulsos eléctricos. El cable de fibra óptica es inmune a la interferencia eléctrica y electromagnética, sin irradiar energía por sí solo. Esto significa que es muy difícil para alguien intervenir un cable de fibra óptica y obtener la información que carga, sin ser detectado. El resultado es que el cable de fibra óptica es un medio muy seguro y eficiente para transportar información a distancias largas.

Figura 5-8. Cableado 10/100/1000BaseT en una topología de estrella.

Conector RJ-4510/100BaseT

Concentrador10/100BaseT

ConectorRJ-45

ConectorRJ-45

Cableado de partrenzado sinblindar (UTP)

Tarjeta de red10/100BaseT

Conector de busPCI de 32 bits



El cable de fibra óptica, mostrado a continuación, tiene un núcleo central de cristal trans-parente (para distancias cortas, de unos cuantos metros, puede ser plástico). Está rodeado por un cristal reflejante llamado revestimiento, que devuelve al núcleo cualquier luz que salga de él. El revestimiento está cubierto con una o más capas de plástico y otros materiales de refuerzo, para formar la cubierta o camisa. Hay dos tipos de cable de fibra óptica:

▼ Fibra de un solo modo o monomodo Usa un láser con un diminuto núcleo inter-no (de 4 a 10 micras para el núcleo y de 75 a 125 micras para núcleo y revestimiento combinados, escrito “4/75 a 10/125”). La fibra de un solo modo transporta la luz, esencialmente en línea recta a lo largo de la fibra. Esto tiene alta eficiencia, permi-tiendo mayores distancias (hasta diez veces la distancia de la fibra multimodo), pero también es la más cara: llega a costar el doble de la fibra multimodo. La fibra de un solo modo se emplea en WAN de larga distancia, en el cableado de redes de campus y con menor frecuencia en los segmentos principales de edificios

▲ Fibra multimodo Generalmente se usa con LED, tiene un núcleo mucho más grande (el estándar es 63.5 micras para el núcleo y 125 micras para el núcleo y el re-vestimiento). La fibra multimodo permite que la luz rebote en los muros; por tanto, tiene menor eficiencia pero un costo mucho menor. La fibra multimodo se usa en cableados dentro de edificios

El cable de fibra óptica más común es la fibra multimodo con dimensiones de 62.5/125. Viene con una sola fibra (simplex), con dos fibras (dúplex o zipcord) o con 4, 6, 12 o más fibras. Como el cable UTP, el de fibra óptica viene con cubiertas PVC (riser) y plenum. Dado que casi todos los sistemas requieren de dos fibras, una para transmitir y otra para recibir, el ca-ble zipcord de dos fibras es el que se encuentra con más frecuencia. Al momento de escribir esto, el zipcord de PVC cuesta entre .60 y 1.20 dólares el metro, mientras el plenum cuesta entre 1 y 1.30 (ambos en carretes de 320 metros), más el costo de los conectores (visite www.controlcable.com).

Gigabit sobre fibra (1000BaseF) requiere el uso de láser (los LED no son suficientemente rápidos) y, como resultado, tiene una distancia máxima más larga que 100BaseF (550 en comparación con 410 metros), cuyo estándar se basa en LED. Los estándares para 1000BaseF son los siguientes:

Tipo de fibra Tamaño del núcleo Distancia máxima

Multimodo 50 a 62.5 micras 550 metros

Un solo modo 8 a 10 micras 4 800 metros, o 4.8 kilómetros

Cubiertade plástico Revestimiento

Núcleode la fibra



El costo del cable de fibra óptica no se ha reducido en los últimos años; sin embargo, se usa con más frecuencia para la columna vertebral de la red, incluso en parte del cablea-do horizontal en un edificio (consulte la siguiente sección).

Estándares de cableado TIA/EIALa Telecommunications Industry Association (TIA) y la Electronic Industries Association (EIA), juntas, han definido un conjunto de estándares de cableado para redes de teleco-municaciones y equipos en un edificio comercial. El propósito de los estándares es ofrecer un conjunto común de especificaciones para cablear datos, voz y video en un edificio que brinde calidad, flexibilidad, valor y funcionalidad a usuarios y dueños del edificio en su infraestructura de telecomunicaciones, mientras permita a diversos fabricantes construir equipos que puedan operar entre sí. Los más aplicables de estos estándares son:

▼ TIA/EIA-587-A Para cableado de datos, voz y video en un edificio comercial

■ TIA/EIA-569 Para las áreas y rutas que contienen medios de telecomunicaciones en un edificio

■ TIA/EIA-606 Para diseño y administración de infraestructura de telecomunicaciones

▲ TIA/EIA-607 Para requisitos de conexión a tierra y unión en equipo y cableado de telecomunicaciones

Estos estándares definen reglas y limitaciones para cada una de las partes de la infra-estructura de telecomunicaciones y red en un edificio. Estos estándares descomponen tal infraestructura en un conjunto de áreas y tipos de cableado en un edificio, como se muestra en la siguiente ilustración, a definirse como sigue:

▼ Instalaciones de entrada Donde los servicios de telecomunicaciones, la columna vertebral de la red del campus o ambos, entran en el edificio

■ Interconexiones principales La instalación central dentro de un edificio, donde todas las habitaciones de cómputo son conectadas con cableado de la columna ver-tebral; puede haber también una interconexión principal para un campus que reúna todas las interconexiones principales de los edificios

■ Cableado de la columna vertebral de la red El cableado rápido y de trabajo pe-sado que corre, generalmente, de manera vertical, desde la interconexión principal hasta las habitaciones de cómputo en un edificio o entre las interconexiones princi-pales en un campus

■ Habitaciones de cómputo Las áreas localizadas en cada piso de un edificio, prove-yendo la conexión entre el cableado de la columna vertebral que va a la interconexión principal y el cableado horizontal, que va a los gabinetes de telecomunicaciones

■ Cableado horizontal El cableado de segundo nivel que corre, generalmente a través del techo falso, desde las habitaciones de cómputo a los gabinetes de telecomunica-ciones, además del cableado de tercer nivel, tendido a través del techo falso y baja por un muro desde el gabinete de telecomunicaciones a los receptáculos de la pared



■ Gabinetes de telecomunicaciones Las áreas ubicadas en diferentes lugares de un piso de un edificio, que sirven a un conjunto contiguo de oficinas y proporcionan conexión entre el cableado horizontal que corre a las habitaciones de cómputo y el cableado horizontal, que corre a los receptáculos de la pared individuales

▲ Cableado del área de trabajo El cableado externo (no en un muro o techo) estable-ce la conexión entre la terminación del cableado horizontal en un receptáculo en la pared y el equipo u otro dispositivo conectado a la red

NOTA Los estándares TIA/EIA analizan telecomunicaciones y trabajo de red de cómpu-

to; su lectura deberá asegurar sobre qué tema se trata. Por ejemplo, UTP para voz puede

tenderse hasta 800 metros o 2 624 pies, mientras UTP para datos puede tenderse sólo

hasta por 100 metros o 328 pies.

Obtendrá más información sobre los estándares TIA/EIA en el sitio Web de la TIA, en http://www.tiaonline.org, o en el de Hubbell (un fabricante de conectores), en http://www.hubbell-premise.com/standards.asp, que contiene una serie de documentos sobre es-tándares de cableado.

Comparación de costos de cableadoEn la tabla 5-2 se proporciona una comparación del costo de varios tipos de cables de red. Sólo debe usarse como comparación relativa entre tipos y no como indicador de su costo ac-tual, que cambia con frecuencia. Además, hay diferencias significativas en los proveedores y descuentos por volumen.

Dispositivos de interconexiónSi tiene más de dos equipos en una red 10/100/1000BaseT, necesita algún dispositivo para conectar equipos adicionales. El más sencillo de estos dispositivos es el concentrador, pero también puede usar un conmutador, enrutador o puente, dependiendo de qué quiera hacer. Cada uno de estos dispositivos tiene un uso particular, aunque hay superposición y cada uno tiene diversas variantes. Estos dispositivos actúan como bloques de construcción para expandir un segmento de red e interconectar varios segmentos.

Tipo de cable (preciosde 305 metros al 5/07)

Costo por metroen PVC

Costo por metroen plenum

Categoría 5e sólido 25 centavos de dólar 50 centavos de dólar

Categoría 5e hebrado 30 centavos de dólar ND

Categoría 6 sólido 35 centavos de dólar 50 centavos de dólar

Fibra óptica multimodo 63.5/125 en zipcord

95 centavos de dólar 1.25 dólares

Figura 5-2. Comparación de costos de cableado.



ConcentradoresLos concentradores se usan para conectar varios dispositivos en la red. En la práctica, son es-taciones de trabajo, pero también pueden ser servidores, impresoras, otros concentradores o dispositivos de interconexión. Un concentrador es un dispositivo repetidor que toma lo que venga en una línea y transmite a todas las demás líneas sin filtrado ni inteligencia aplicados al flujo de información o lugar donde se dirige. Esto significa que cada estación puede oír lo que todas las demás estaciones han puesto en la red. A medida que el tráfico crece, el número de colisiones entre tramas se incrementará, causando una degradación significativa en el rendimiento de la red. Los concentradores operan en la capa física del modelo OSI, simplemente repitiendo la información que reciben.

Hoy, los concentradores están prácticamente extintos, excepto para el uso en el hogar y han sido reemplazados por conmutadores y enrutadores con inteligencia interna y cuestan casi lo mismo o menos.

ConmutadoresUn conmutador, como un concentrador, tiene cierta cantidad de puertos, de 4 a 48 o más, y toma la información entrante en un puerto y la envía a uno o más de los puertos restantes. A diferencia del concentrador, que no filtra ni procesa la información que fluye por él, un conmutador es un dispositivo inteligente que revisa la dirección física de destino de la trama en recepción y la dirige al puerto correcto para ese destino. Esto quita dicha trama del resto de la red, dado que la trama va sólo sobre una parte de la red, que conecta los dispositivos de origen y destino. Esto es similar a la maduración del sistema de telefonía, desde el sis-tema original de línea compartida al sistema actual de marcado directo.

Los conmutadores, como puentes y enrutadores, segmentan la red para reducir tráfico y colisiones y, al final, mejoran el rendimiento. La segmentación por conmutador puede ha-cerse a cualquier nivel donde, de otra forma, tendría un concentrador, puente o enrutador. Un conmutador así funciona como puente de varios puertos y está, por tanto, operando en la capa de vínculo de datos o capa 2 del modelo OSI. Es posible agregar mayor inteligencia a algunos conmutadores convertidos en enrutadores con conmutación de varios puertos para desempacar tramas y operar sobre la dirección lógica en los paquetes. Estos enrutadores de conmutación operan en la capa de la red del modelo OSI. Por esta razón, se les denomina “conmutadores de capa 3”.

Hay tres tipos de conmutadores: autónomos, apilables y modulares. Los más simples cuestan menos de 5 dólares por puerto, mientras un enrutador de conmutación de capa 3 puede acercarse a 200 dólares por puerto.

Conmutadores autónomos Los conmutadores autónomos, como se muestra en la figura 5-9, se usan en casi todas las redes con cuatro o más equipos. Los conmutadores autónomos vienen con 4 a 48 puertos para 10/100BaseT, 100BaseT, 10/100/1000BaseT, 1000BaseT, 10GBaseT y una cantidad de variedades de fibra óptica, así como fibra/cobre y sus combinaciones. Los conmutadores 10/100BaseT cuestan menos de 5 a 10 dólares por puerto, mientras los con-mutadores 10/100/1000BaseT cuestan desde menos de 8 hasta 15 dólares por puerto. Hay muchas variaciones en estos precios, pero, en general, el precio por puerto baja confor-me aumenta la cantidad de puertos en el conmutador.



Muchos conmutadores autónomos sólo son dispositivos para conectar de 4 a 48 dis-positivos que se quieren interconectar. Si busca hacer un cambio en la configuración, debe desconectar físicamente y reconectar los dispositivos, según sea necesario, para hacer el cambio. Pueden conseguirse conmutadores inteligentes con capacidades de administración, como el ilustrado en la figura 5-10. Éste permite que un conmutador sea monitoreado y administrado remotamente a través de paquetes de software que suelen incluirse con el conmutador. Usualmente, el software sólo funciona con una marca de conmutadores, por lo que valdría la pena estandarizarse en una marca si obtiene la capacidad adicional de admi-nistración. Los conmutadores autónomos con capacidades de administración cuestan de 10 a 40 dólares más por puerto y pueden irse aún más altos dependiendo de las capacidades.

Conmutadores apilables La construcción de una red más grande, con 100 o más estaciones de trabajo y cierto número de servidores, puede darse con una estructura plana o jerárquica, como se muestra en la figura 5-11. Mediante el uso de conmutadores autónomos, la única diferencia real es dónde se ubicarán éstos. Cuando se conecta en serie un conmutador autónomo con otro para agregar más estaciones de trabajo, el cable que conecta los conmutadores es otro eslabón para reducir la velocidad general y, a medida que los conmutadores se dispersan, su administración física se vuelve más difícil. Para superar esta limitación se desarrollaron los

Figura 5-9. Conmutador Gigabit Linksys de 8 puertos 10/100/1000.*

*Fotografía de Linksys®, división de Cisco Systems, Inc.

SUGERENCIA Comprar conmutadores con capacidad de Ethernet Gigabit no eleva mu-

cho más el costo y le da capacidad de crecimiento en el futuro.



conmutadores apilables, que agregan puertos en una ubicación, uniendo planos posteriores de los conmutadores con conexiones muy rápidas, como si fueran un solo conmutador. Por tanto, cualesquiera de dos dispositivos conectados en cualquier parte de la pila sólo tienen un conmutador entre ellos.

Figura 5-10. Conmutador Ethernet 10/100 de 24 puertos de administración de capa 2 Linksys

ProConnect® II 2224.*

*Fotografía de Linksys®, división de Cisco Systems, Inc.

Figura 5-11. Comparación entre estructura jerárquica y plana de una red.

Servidores

Conmutador

Estaciones de trabajo

Conmutadores

Servidores

Conmutadorapilable

Estaciones de trabajo



Los conmutadores apilables, mostrados en la figura 5-12, tienen un aspecto similar al de los autónomos y la única diferencia real es que los planos posteriores de los conmutado-res apilables pueden conectarse. Estos conmutadores pueden apilarse en alturas de seis a ocho conmutadores y cuestan de 30 a 150 dólares por puerto, dependiendo de velocidades y características que incluyan, entre otras, puertos de fibra óptica, puertos Ethernet 10G, administración, corriente sobre Ethernet (PoE, Power over Ethernet) para distribuir energía eléctrica con el cable Ethernet, funcionalidad de capa 3 o hasta capa 4 de OSI y varias carac-terísticas de seguridad interconstruidas.

Conmutadores modulares Un conmutador modular, también llamado conmutador empresarial, es realmente un gran chasis o gabinete con fuente de alimentación y panel posterior en que se insertan muchas tarjetas diferentes, incluidos concentradores, conmutadores, puentes y enrutadores, como se muestra en la figura 5-13. Por usar un único panel posterior, los con-mutadores modulares pueden evitar el límite de dos o cuatro capas, como los conmuta-dores apilables. Los conmutadores modulares preceden a los apilables y, en las funciones menos demandantes (donde todo lo que se necesita son funciones de conmutación), los con-mutadores apilables se usan donde antes estaban los modulares, porque el conmutador apilable es mucho más económico.

Hay muchas formas de unidades modulares, porque pueden comprarse los módulos que quiera usar (concentradores, conmutadores, puentes o enrutadores) e insertarlos en el panel posterior modular, que puede abarcar uno o varios segmentos de red o varias redes. En esencia, usted compra un chasis con fuente de alimentación y luego adquiere los mó-dulos necesarios para construir el dispositivo que cumpla con sus requisitos de red. Los conmutadores modulares proveen mucha flexibilidad, pero a un precio elevado.

Figura 5-12. Conmutador apilable 10/100/1000 de 3Com® 5500 G (modelos de 24

y 48 puertos).*

*Fotografía de 3Com® Corporation.



Además de la flexibilidad, los conmutadores modulares ofrecen otro beneficio muy im-portante, denominado columna vertebral colapsada. Si los módulos son dispositivos separados, los conectaría con una columna vertebral de alta velocidad corriendo a un mínimo de 100 Mbps, con frecuencia 1 Gbps —ahora 10 Gbps— y probablemente duplicaría dichos números si corre en full duplex. Si se mueven todos estos dispositivos a un conmutador modular donde estén conectados por el panel posterior, lo que en un conmutador es la conexión de la columna vertebral, ahora se colapsa en el panel posterior y corre de 100 a 600 Gbps.

PuentesUn puente se emplea para segmentar una red o unir dos redes. Un puente observa la direc-ción física o MAC de una trama en un lado del puente y, si la trama tiene una dirección del otro lado del puente, la trama se mueve al otro lado. Si la trama tiene una dirección en el lado que origina el puente, éste ignora la trama, porque todos los dispositivos de dicho lado ya pueden ver la trama. Dado que el puente revisa la dirección física de la trama, opera en la capa de vínculo de datos o capa 2 del modelo OSI, capa por encima de la operación del concentrador, pero en la misma que el más simple de los conmutadores.

El propósito del puente es reducir tráfico en una red mediante la segmentación, aunque todavía es una red. Cuando se unen dos redes con un puente, el resultado es una red con dos segmentos, pero sólo el tráfico dirigido al otro segmento pasa por el puente. El tráfico dirigido dentro del segmento que origina permanece dentro de su segmento.

Los puentes son, en esencia, dispositivos sencillos y casi todos ellos reemplazados con enrutadores y conmutadores, y realizan las mismas y otras funciones por un precio igual o aun menor.

Figura 5-13. Conmutador LAN modular 3Com® Switch 7757.*

*Fotografía de 3Com® Corporation.



EnrutadoresUn enrutador puede efectuar las mismas funciones de segmentación y unión que un puente, pero en un nivel más elevado de complejidad, usando direcciones lógicas de la capa de la red (capa 3) del modelo OSI. Las capacidades añadidas de un enrutador son importantes:

▼ Los enrutadores conectan redes separadas, dejándolas independientes con su pro-pio direccionamiento

■ Los enrutadores conectan diferentes tipos de redes; por ejemplo, 100BaseF y 100BaseT

■ Los enrutadores eligen una vía entre rutas alternas en redes complejas, para llegar a un destino final

▲ Los enrutadores limpian el tráfico de la red, verificando si una trama está corrom-pida o perdida (viajando sin fin en la red); si es así, elimina la trama

Por estas razones, los enrutadores se usan de manera rutinaria para conectarse a In-ternet y, ya en Internet, para conectar una WAN a una LAN. Los enrutadores suelen ser dispositivos inteligentes con un procesador y memoria. Con esta capacidad, un enrutador desempaca cada trama que llega a él; verifica cada paquete en la trama, recalcula su CRC; verifica cuántas veces ha estado el paquete alrededor de la red; verifica la dirección lógica de destino; determina el mejor camino para llegar ahí; empaca de nuevo los paquetes den-tro de una nueva trama con la nueva dirección física y envía la trama. Además, los enrutadores hablan entre sí para determinar el mejor camino y mantener el registro de las rutas que han fallado. Los enrutadores hacen esto a velocidades sorprendentes. En el extremo bajo, los en-rutadores procesan más de 250 000 paquetes por segundo y llegan a superar los varios millones de paquetes por segundo en el extremo alto. Los enrutadores empiezan por debajo de los 50 dólares y llegan a superar los miles, dependiendo de lo que hacen.

Los enrutadores se combinan con conmutadores, como puntos de acceso inalámbricos para unir Internet con una red cableada o inalámbrica, en una única unidad. En la figura 5-14 se muestra una unidad Linksys con un enrutador para conectar Internet que llega por cable o conexión DSL a una LAN, compartida con un conmutador de 8 puertos. Esta unidad cuesta menos de 100 dólares.

Figura 5-14. Enrutador de cable/DSL Linksys EtherFast® con conmutador de 8 puertos.*

*Fotografía de Linksys®.



Resumen de dispositivos de interconexiónCuando construye una red, tiene muchas opciones relacionadas con dispositivos de in-terconexión. No sólo cuenta con la opción entre concentradores, puentes, enrutadores y conmutadores, sino también una serie de opciones en cada una de estas categorías, además de combinaciones de estos dispositivos. Puede obtener cierta orientación para una respuesta, revisando dónde opera cada uno de los dispositivos en el modelo OSI, como se muestra en la figura 5-15. En casi todos los casos, trabajará con conmutadores y quizás un en-rutador, para conectarse a Internet. Más allá de esto, dependerá de la complejidad de su red.

TOPOLOGÍAS DE REDTopología es el diseño de una red, la forma en que está construida. En las figuras de este ca-pítulo ha visto diferentes topologías. 10Base2 y 10Base5 usaban una topología de bus, donde todos los dispositivos de red estaban enlazados a un único cable largo. Sin embargo, estas formas de Ethernet están muertas. Las formas 10/100/1000BaseT usan una topología de estrella, donde los dispositivos de la red se dispersan con diferentes cables desde un conmu-tador central, como se ve en las figuras 5-1, 5-2, 5-8 y 5-11. Cuando el cableado de la columna vertebral se añade a una red 10/100/1000BaseT, se tiene una topología de estrella/bus.

Figura 5-15. Dispositivos de interconexión y el modelo OSI.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculode datos

Física Concentradoresrepetidores

Conmutadores Puentes

Enrutadores



La topología de bus fue la original de Ethernet, pero tiene una desventaja importante: una interrupción en cualquier parte de la red hace que deje de funcionar toda la red. En una topología de estrella, una interrupción de una línea sólo hace que dejen de funcionar las partes de la red conectadas a la misma línea, posiblemente una sola estación.

El cable para la topología de estrella es relativamente económico y fácil de manejar. Puede tender el cable para una topología de estrella en el muro sin conectarlo a un conmu-tador si no va a ser usado. Además, es fácil mover una estación de un segmento de la red a otra, con sólo cambiar un cable de jumper que conecta la estación de un conmutador a otro. Como resultado, para una red cableada, la topología de estrella es la predominante.

Tienda una redUna vez que haya decidido la tecnología de red y el tipo de adaptador de red, cableado y dispositivos de interconexión que quiere usar, todavía tiene que decidir cómo tender la red. Esto incluye gran cantidad de preguntas como:

▼ ¿Qué estaciones estarán agrupadas con cuáles conmutadores?

■ ¿Apilará varios conmutadores o usará una estructura jerárquica?

■ ¿Los servidores deberán centralizarse en un lugar o descentralizarse en cada depar-tamento?

■ ¿Cuándo necesitaré un enrutador?

▲ ¿Cómo conectar dos edificios separados por 500 metros o más?

No hay una respuesta correcta a estas preguntas y gran diferencia entre el impacto de la primera pregunta y la última. Puede modificar fácilmente las conexiones para modificar la manera en que las estaciones de trabajo se encuentran agrupadas, pero establecer una WAN es un trabajo para profesionales porque se está hablando de dinero, para comprar el equipa-miento e instalarlo, además de un gasto significativo si quiere cambiarlo.

En una red Ethernet 100/1000BaseT, deben seguirse algunas reglas para el tendido. Éstas varían levemente según los fabricantes, pero las reglas básicas generales se muestran en la siguiente tabla:

Regla básica Fast Ethernet 100/1000BaseT

Largo máximo del cable entre el concen-trador y la estación de trabajo

100 metros o 328 pies

Tipo de cable mínimo Categoría 5e

Máximo número de concentradores entre dos estaciones de trabajo o un conmuta-dor y una estación de trabajo

Dos concentradores

Máximo número se segmentos de cable entre dos estaciones de trabajo o entre un conmutador y una estación de trabajo

Tres segmentos de cable con una distancia total máxima de 205 metros o 672 pies



Microsoft Office Visio Professional es una buena herramienta para planear el tendido de la red, su construcción y documentación, luego de instalarse. Con Visio, puede diseñar fácilmente el tendido de la red que quiere usar, comunicar rápidamente este diseño a otros, crear una lista de materiales y tener lista una referencia durante la instalación. Después de que la red se ha terminado, Visio es buena herramienta para documentar cambios en la red. Visio, producto Microsoft Office, puede encontrarse en http://office.microsoft.com/.

PROTOCOLOS DE TRABAJO EN REDLos protocolos son estándares o reglas que permiten la interconexión y operación de varios sistemas y dispositivos diferentes en una red, sin importar que se trate de una pequeña red de oficina o de una empresa internacional. Los protocolos especifican cómo y cuándo debe suceder algo y qué es lo que debe suceder.

Los protocolos se encuentran desarrollados de diferentes maneras, pero para que uno sea empleado universalmente, debe aceptarse por cierto número de organizaciones, sobre todo las que construyen software y dispositivos de red. Para ganar esta aceptación, los pro-tocolos circulan inicialmente como borradores de protocolo, usando documentos llamados solicitudes de comentarios (RFC, Requests for Comments). Si una persona u organización desea cambiar un protocolo, un nuevo RFC se circula con un número superior al del RFC original. El Information Sciences Institute (ISI) de la Universidad del Sur de California cla-sifica los RFC como estándares aprobados de Internet, estándares de Internet propuestos, mejores prácticas de Internet y para su información (FYI, For Your Information). ISI también mantiene un sitio Web con una lista de RFC y su clasificación (http://www.rfc-editor.org/), desde donde es posible obtener copias de los RFC. Puede determinar la manera en que una pieza de software ha implementado un protocolo revisando qué RFC soporta. Por ejem-plo, puede ir al sitio de Microsoft Technet (http://www.technet2.microsoft.com) y buscar el tema “TCP/IP RFCs” y ver la lista de los RFC soportados.

Numerosos protocolos se relacionan con redes computacionales, pero “protocolos de red” aluden al direccionamiento lógico y transferencia de información. Estos protocolos trabajan con las capas de transporte y modelo de red de trabajo OSI, como se muestra en la figura 5-16. Aunque al principio se usaban ciertos protocolos de red, hoy casi todas las redes usan el protocolo de control de transmisión/protocolo de Internet, o TCP/IP.

TCP/IPEl protocolo de control de transmisión/protocolo de Internet es un conjunto de reglas de red ori-ginados en Internet y depurados durante 25 años, hasta volverse una herramienta excelente para transmitir grandes cantidades de información de manera confiable y rápida en una red compleja. Los dos componentes, TCP y IP, estaban originalmente combinados y más tarde fueron separados para mejorar la eficiencia del sistema.

Hasta hace poco (alrededor de 2005), si alguien decía “IP” automáticamente aludía a IPv4, la versión de IP que ha existido por más de 25 años y que proporciona direcciona-miento de 32 bits o 4 bytes. Mientras el direccionamiento de 32 bits brinda gran número de direcciones (más de 2 000 millones), el direccionamiento IP se usa mundialmente y, de seguir



usando IPv4, pronto se agotarán las direcciones. Además, varias mejoras tecnológicas han tenido impacto en el protocolo de Internet. Por tanto, a mediados de 1990 empezaron las discusiones sobre un nuevo protocolo de Internet, llamado ahora “IPv6”, con varias mejo-ras, incluidas direccionamiento de 128 bits o 16 bytes. IPv6 se ha vuelto ahora un estándar oficial; así, Windows Vista y Windows Server 2008 dan soporte tanto a IPv4 como IPv6. La implementación mundial de IPv6 tomará unos años, por lo que IPv6 se ha hecho funcionar con IPv4 y los sistemas tendrán que manejar ambos por un tiempo.

IPv4El protocolo de Internet opera en la capa de red, capa 3, del modelo OSI que controla en-samblado y enrutamiento de los paquetes (en ocasiones llamados datagramas en IP). Para enviar un paquete a un nodo remoto a través de una red compleja, como Internet, éstos son los pasos necesarios:

1. El paquete es ensamblado en la capa de la red y dirección IP de destino (que es una dirección lógica, no una dirección física) es agregada.

2. El paquete se pasa a la capa del vínculo de datos, que incluye el paquete en una trama y añade la dirección física del primer enrutador que inicia el paquete en su camino a su destino.

Figura 5-16. Protocolos de red y el modelo OSI.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculode datos

Físico

Funciones de las aplicaciones y el sistema operativo

Especificación de interfaz de controlador de red (NDIS)Control de acceso a medios (MAC)

Control y especificación del hardware físico(Ethernet)



3. El paquete se pasa al enrutador más cercano, desempaca la trama, verifica la di-rección lógica del paquete, lo reempaca en la trama y agrega la dirección física del siguiente enrutador que continúa el paquete en su camino a su destino.

4. El paso 3 se repite para cada enrutador a lo largo del camino.

5. En el último enrutador antes del destino, la dirección física del destino se agrega a la trama y la trama es enviada a su destino.

Esta técnica permite que la información siga un camino a través de la red y el enruta-dor local toma la decisión de cuál tomar, de acuerdo con su conocimiento de la situación local. IP es un servicio sin conexión. Envía el paquete en su camino sin saber si es recibido o qué ruta toma. La capa de transporte tiene por función determinar si se ha recibido y, de no ser así, reemplaza el paquete. Los enrutadores en la capa de vínculo de datos tienen la función de definir la ruta que el paquete toma. El paquete que IP ensambla tiene un máxi-mo de 64 KB, incluido un encabezado variable con las direcciones de origen y destino, además de otra información de control. El encabezado, que es siempre un múltiplo de 4 bytes o 32 bits, se muestra en la figura 5-17 y tiene estos campos (cada campo muestra el largo del campo en bits):

▼ Versión Número de versión del protocolo, establecido en 4

■ IHL Longitud del encabezado a partir de la cantidad de “palabras” de 4 bytes (32 bits), con un mínimo de cinco palabras (en la figura 5-17 cada renglón es una palabra, por lo que el IHL es 6)

Figura 5-17. Encabezado IPv4.

Versión4 bits

IHL4 bits

Tipo de servicio 8 bits

Longitud total 16 bits

Identificación16 bits

Marcas3 bits

Desplazamientodel fragmento 13 bits

Tiempo de vida 8 bits

Protocolo8 bits

Suma de validaciónde encabezado 16 bits

Dirección origen 32 bits

Dirección destino 32 bits

Opciones y relleno múltiplos de 32 bits



■ Tipo de servicio La velocidad y confiabilidad del servicio solicitado

■ Longitud total Longitud total del paquete en bytes u “octetos”, con un máximo de 65 535

■ Identificación Identificación del fragmento, para que pueda ser reconstruido

■ Marcas Indicador de fragmentación (DF: 0 = puede fragmentarse, 1 = no fragmen-tar, MF: 0 = últimos fragmentos, 1 = más fragmentos)

■ Desplazamiento de fragmento Número en un conjunto de fragmentos; el primero es 0

■ Tiempo de vida El número de veces que quedan en un enrutador antes de des-echar el paquete

■ Protocolo El protocolo que habrá de usarse en la capa de transporte

■ Suma de validación del encabezado Número para validar únicamente la integri-dad del encabezado

■ Dirección de origen La dirección IP del equipo de origen

■ Dirección de destino La dirección IP del equipo de destino

■ Opciones Seguridad, enrutamiento y otra información especial

▲ Relleno Asegura que el encabezado sea un múltiplo de 4 bytes

Direccionamiento IPv4Las direcciones de origen y destino en el encabezado IP son direcciones lógicas asignadas a equipos particulares, en comparación con direcciones físicas de una tarjeta de red. Estos números de 32 bits o 4 bytes, llamados direcciones IP, pueden tener uno de tres formatos, que varían con los tamaños de la red y segmentos de host de la dirección. Los bits más a la iz-quierda (“más significativos”) identifican el formato particular o “clase”. Todas estas clases tienen un segmento de red y otro de host que permiten ubicar un equipo o enrutador (host) particular en una red determinada, como se describe aquí:

▼ La clase A puede identificar hasta 16 777 214 hosts en cada una de sus 126 redes.

■ La clase B puede identificar hasta 65 534 hosts en cada una de sus 16 382 redes.

▲ La clase C puede identificar hasta 254 hosts en cada una de sus 2 097 150 redes.

NOTA La especificación general IP está en el RFC 791, mientras el direccionamiento

se analiza adicionalmente en los RFC 790 y 796. Todos estos RFC están disponibles en

http://www.ietf.org/rfc.html.

La dirección IP suele representarse como cuatro números decimales separados por puntos, por ejemplo 127.168.105.204. Cada número es 1 byte en la dirección. Para ayudar a la identificación en la manera de analizar (o dividir) una dirección IP, en los segmentos de red y host, debe especificarse la máscara de subred, que sirve como modelo para este propósito. La máscara de subred para la clase A es 255.0.0.0, para la clase B es 255.255.0.0 y para la clase C es 255.255.255.0. La máscara de subred concentra la atención en los hosts locales en la red actual. Si trabaja en ésta, la máscara de subred puede acelerar el procesa-miento de la dirección IP.



IPv6El cambio único más grande en IPv6 es el encabezado y su enorme espacio de direcciones. Este espacio no sólo permite mayor cantidad de direcciones adicionales, sino también provee direccionamiento jerárquico más eficiente para facilitar más el trabajo de los en-rutadores. Por ejemplo, si se encuentra en la costa oeste de Estados Unidos y quiere enviar un mensaje de correo electrónico a McGraw-Hill en la ciudad de Nueva York, con direccionamiento jerárquico, los primeros enrutadores no necesitan preocuparse por la ruta completa, sólo necesitan llegar a la región del Atlántico. Otros cambios en IPv6 incluyen características de seguridad integradas, soporte mejorado para priorización y capacidad de adición fácil para nuevas características del encabezado en el futuro.

El encabezado de IPv6, mostrado en la figura 5-18, tiene los siguientes campos:

▼ Versión Número de versión del protocolo, establecido en 6

■ Clase de tráfico La velocidad y confiabilidad del servicio solicitado, similar al tipo de servicio en IPv4

■ Etiqueta de flujo Permite la secuenciación de paquetes entre el origen y el destino

■ Longitud de la carga Longitud total del paquete, excluyendo encabezado, con un máximo de 65 535 bytes

■ Siguiente encabezado El tipo de la primera extensión de encabezado (si está presente) o el protocolo a usar en la capa de transporte, como TCP, similar a protocolo en IPv4

■ Límite de saltos El número restante de vínculos que pueden atravesarse antes de descartar el paquete, similar al tiempo de vida en IPv4

■ Dirección de origen La dirección IP del equipo de origen

▲ Dirección de destino La dirección IP del equipo de destino; en algunas circunstan-cias puede establecerse temporalmente en la dirección IP del siguiente enrutador

Figura 5-18. Encabezado IPv6.

Versión4 bits

Clase de tráfico 8 bits

Etiqueta de flujo 20 bits

Largo de la carga 16 bits

Siguienteencabezado

8 bits

Límite de saltos 8 bits

Dirección de origen 128 bits

Dirección de destino 128 bits



A diferencia de IPv4, el encabezado de IPv6 tiene una longitud fija de 40 bytes. Se han agregado características complementarias al paquete IPv6 mediante extensiones de enca-bezado. Casi todos los paquetes IPv6 carecerán de una extensión de encabezado, pero los definidos son encabezados de opciones salto por salto, opciones de destino, enrutamiento, fragmento, autentificación y encapsulamiento de seguridad de la carga.

El único campo nuevo en el encabezado IPv6 es la etiqueta de flujo para la secuenciación de paquetes. El principal campo eliminado en IPv6 es la suma de verificación del enca-bezado, cuya función es ejecutada por el paquete completo, en la capa de vínculo de datos (capa 2) cuando el paquete se coloca en una trama.

Direccionamiento IPv6Una parte importante del espacio de direccionamiento de IPv6, definido en el RFC 4291, se subdivide en dominios de enrutamiento jerárquicos, por lo que una dirección particular puede llevar no sólo su identidad única, sino la jerarquía de enrutadores que llegan a él. Para comunicar la dirección de 128 bits o 16 bytes, ésta se subdivide en ocho bloques de 16 bits, cada uno de los cuales se convierte en cuatro números de cuatro dígitos hexadecimales (base 16), separados por puntos dobles. Los ceros a la izquierda se desechan y si un bloque entero es cero, puede eliminarse poniendo un par de dos puntos (::). Por ejemplo, he aquí una dirección IPv6:

2001:D88::2F3B:2AA:FF:FE28:9C5A

TCPEl protocolo de control de transmisión opera en la capa de transporte, a cargo de las conexiones. Su propósito es asegurar la entrega confiable de información a un destino espe-cífico. TCP es un servicio orientado a la conexión, en contraste con IP, que es desconectado. TCP hace la conexión con el destino final y mantiene el contacto con el destino para ase-gurarse de que la información sea recibida correctamente. Sin embargo, una vez que haya establecido la conexión, TCP depende de IP para manejar la transferencia en sí. Y dado que IP es desconectado, IP depende de TCP para asegurar la entrega.

Los TCP emisor y receptor (los protocolos en ejecución en cada máquina) mantienen un diálogo constante, full duplex (ambos pueden hablar al mismo tiempo), a través de la transmisión para la entrega confiable. Esto empieza con el TCP emisor, asegurándose de que el destino está listo para recibir información. Una vez que se recibe una respuesta afirmativa, el TCP emisor empaqueta un mensaje de datos dentro de un segmento, que contiene un encabezado con información de control y la primera parte de los datos. Esto es entonces enviado a IP, conforme TCP crea los segmentos faltantes mientras espera la confirmación de que se han recibido los segmentos. Si no se recibe la confirmación de un segmento en particular, éste se vuelve a crear y enviar. Este proceso continúa hasta que se envía y confirma el segmento final, en cuyo punto el emisor indica al receptor que ha terminado. En el proceso de transmisión, ambas capas de transporte están constantemente hablando para asegurarse de que todo discurre sin dificultades.



La comunicación entre los TCP emisor y receptor se lleva a cabo en el segmento de encabezado, mostrado en la figura 5-20 y se explica en la siguiente lista de campos. Los dos protocolos usan número de secuencia, número de confirmación, códigos, tamaño de ventana que se desplaza, apuntador de urgencia y opciones para llevar a cabo una muy

NOTA Nombres diferentes y, en ocasiones, confusos se usan para aludir a piezas de

datos transferibles a través de una red, dependiendo de dónde se encuentra uno en el

modelo OSI y el protocolo en uso. Mediante el protocolo TCP/IP y Ethernet con el mo-

delo OSI, como se muestra en la parte superior de la figura 5-19, las aplicaciones crean

“mensajes” para enviarse por la red. El mensaje es entregado hacia abajo al nivel de

transporte, donde TCP divide el mensaje en “segmentos”, que incluyen un encabezado

de segmento con direcciones de puerto. Los segmentos son bajados a la capa de la

red, donde IP empaqueta los segmentos en “datagramas”, con direcciones IP lógicas.

El datagrama es bajado a la capa del vínculo de datos, donde Ethernet los encapsula

en una “trama” con una dirección MAC física. Las tramas se pasan a la capa física, que

los envía por la red a la dirección física, donde el proceso inverso se lleva a cabo. Como

opción, en las capas de transporte y red, a una pieza de información se le denomina

genéricamente “paquete” de información.

Figura 5-19. El modelo OSI y los nombres empleados para las piezas de información.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculo de datos

Física

Nombregenérico

Paquete

NombresTCP/IP y Ethernet

Mensaje

Segmento

Datagrama

Trama



compleja conversación acerca del avance de la transmisión. Todo esto sucede en fracciones de segundo.

▼ Puerto de origen El número de puerto en la capa de la sesión, llamado conector, que envía los datos

■ Puerto de destino El número de puerto en la capa de la sesión o conector, que recibe los datos

■ Número de secuencia Un número enviado al emisor para indicar que se ha recibi-do ese segmento; el número de secuencia se incrementa en 1

Figura 5-20. Encabezado de un segmento TCP.

Puerto de origen2 bytes

Puerto de destino2 bytes

Número de secuencia4 bytes

Número de confirmación 4 bytes

Longitud deencabezado

4 bits

Sin usar6 bits

Tamaño de ventana2 bytes

Apuntador de urgencia2 bytes

Suma de verificación2 bytes

Opciones y relleno múltiplos de 4 bytes

RCN

EMP



■ Longitud de encabezado La longitud del encabezado y, por tanto, el desplaza-miento desde el inicio del encabezado a los datos

■ URG El campo Urgente; si es 1, el apuntador de urgencia es válido

■ RCN El campo Reconocimiento; si es 1, el número de reconocimiento es válido

■ EMP El campo Empujar; si es 1, el receptor no almacenará datos y, en cambio, los enviará directamente a la aplicación, como con el audio y video en tiempo real

■ RST El campo Restablecer; si es 1, debe interrumpirse la comunicación y reiniciar la conexión

■ SIN El campo Sincronizar; si es 1, el emisor solicita una conexión; si es aceptada, el receptor deja SIN = 1 y hace RCN = 1

■ FIN El campo Finalizar; si es 1, la transmisión va a terminarse

■ Tamaño de ventana El número de bytes que el receptor puede aceptar en la si-guiente transmisión

■ Suma de verificación Un número con el que se verifica la integridad del segmento

■ Apuntador de urgencia Si URG = 1, éste es un número usado como desplazamien-to para apuntar a una pieza urgente de información que el receptor debe revisar

■ Opciones Utilizado para circunstancias especiales; normalmente ausente

▲ Relleno Usado para asegurar que el encabezado sea múltiplo de 4 bytes

SUGERENCIA La especificación general de TCP está en el RFC 793, disponible en

http://www.ietf.orf/rfc.html.

Las funciones efectuadas por TCP e IP son: empaquetado, direccionamiento, enruta-miento, transmisión y control del proceso de trabajo en red en un entorno muy complejo. Cuando agrega a esto la facilidad y confiabilidad del trabajo en red, resulta muy sorpren-dente. Ahora que conoce todos los ingredientes del trabajo en red presentados en este capítulo, ¿no es sorprendente que funcione aun en pequeños grupos de trabajo, dejando a un lado Internet? Que Internet sea un éxito mundial es para considerarla una de las gran-des maravillas del mundo moderno.

Al principio de este capítulo se estableció que el trabajo en red es la característica más importante en Windows Server 2008. Habiendo leído este capítulo, verá que el tra-bajo de la red es una compleja tarea con muchas exigencias y el hecho de que Windows Server 2008 la maneje bien es un gran logro. En el siguiente capítulo verá la manera en que Windows Server 2008 satisface dichas demandas y cómo controlar lo que Windows Server 2008 hace. Creo que concluirá que Windows Server 2008 está bien preparado para su función más importante.


6

141

CAPÍTULO

Configuración y administración

de una red



Cuando instaló Windows Server 2008, se conformó y configuró un conjunto básico de servicios de red, a través de entradas y opciones predeterminadas del sistema. Esta configuración puede proporcionar, pero no siempre, un sistema de red funcional.

En cualquier caso, tiene un espectro amplio de opciones de trabajo en red para revisar y establecer el mejor entorno de red que cumpla sus necesidades. El objetivo de este capítu-lo es hacer precisamente eso: primero ver cómo configurar de forma básica la red en Win-dows Server 2008 y luego buscar cómo configurar Windows Server 2008 para dar soporte al resto de la red.

Trabajo en red básico significa que el equipo se puede comunicar con otros equipos en la red. Para ello, debe hacer lo siguiente:

▼ Asegúrese de que el adaptador o tarjeta de red (NIC, Network Interface Card) esté configurado correctamente

■ Instale las funciones de red que quiera realizar

▲ Dé clic y configure un protocolo de red

CONFIGURE LOS ADAPTADORES DE REDEn un mundo perfecto, un equipo configurado debería tener un adaptador de red con soporte tanto para Windows Server 2008 como plenamente compatible con Plug and Play. Si esto describe su equipo, entonces su adaptador de red se configuró en la instalación sin problema alguno y no necesita leer esta sección. Como lo saben todos los que han instalado un sistema operativo en más de dos equipos, éste es un mundo imperfecto. Sin embargo, en esta sección se revisa cómo instalar un adaptador de red y qué necesita para ser totalmente operativo.

NOTA Como se describió en el capítulo 5, el término “adaptador de red” incluye disposi-

tivos que conectan un equipo a una red por cable o vía inalámbrica, como los adaptadores

PCI para equipos de escritorio, adaptadores PC-Card y ExpressCard para laptops, adapta-

dores USB para equipos de escritorio o laptops, además de conexiones de red cableadas

o inalámbricas, integradas en equipos de escritorio y laptops.

Si instaló Windows Server 2008 empleando las instrucciones del capítulo 3 y recorrió la sección “Configure un servidor”, entonces puede omitir esta sección, si cree que sus adap-tadores de red operan en forma correcta. Si tuvo problemas con esa sección del capítulo 3 o no lo recorrió, entonces esta sección será valiosa para usted.

Suponiendo que un adaptador de red está conectado en forma apropiada al equipo, cualquiera de estas tres cosas puede causar que no opere:

▼ El controlador del adaptador de red no se encuentra o no está instalado apropiadamente

■ No están disponibles los recursos necesarios

▲ El adaptador de red no funciona correctamente

Vea cada una de estas posibilidades en cada una de las secciones siguientes.


143 Capítulo 6: Configuración y administración de una red

Revise el controlador del adaptador de redDurante la instalación, tal vez haya recibido un mensaje indicando que no encontró el con-trolador (aunque la instalación puede completarse sin indicarle que saltó la instalación de la red debido a la falta de controlador). Utilice los siguientes pasos para revisar si tiene un controlador instalado y, si no, trate de instalar uno.

1. Dé clic en Inicio|Panel de control, y doble clic en Centro de redes y recursos com-partidos. Se abrirá el Centro de redes y recursos compartidos. Si su ventana se ve como la de la figura 6-1, entonces su adaptador de red y controlador están instala-dos y funcionan apropiadamente; así podrá pasar a la siguiente sección principal. Si no es el caso, entonces el Centro de redes y recursos compartidos deberá verse como la figura 6-2.

2. Si su red no aparece en el Centro de redes y recursos compartidos, no puede ir a ésta con una de las opciones de esa ventana. Cierre la ventana Centro de redes y recursos compartidos. Primero debe instalar el adaptador de red y su controlador al utilizar Agregar hardware, del Panel de control.

Figura 6-1. La red se instaló y funciona apropiadamente.



3. En este punto, lo más probable es que necesite un controlador de Windows Server 2008 para el adaptador de red, así que es mejor conseguirlo antes de seguir adelan-te. Si su adaptador de red no incluía uno, entonces necesita usar otro equipo, ir al sitio Web del fabricante, ubicar y descargar el controlador (necesita saber la marca y modelo del adaptador de red) y después copiar el controlador en un CD.

Figura 6-2. La red no funciona apropiadamente.

SUGERENCIA Yo pasé por el proceso de descargar un controlador para una tarjeta

3Com “antigua” y lo encontré sin dificultad. La parte difícil es descubrir qué tarjeta es,

pues a menudo no está escrito en la tarjeta, así que debe encontrar registros de compra o

documentación (si sabe cuáles registros corresponden a la tarjeta).

4. Una vez más, haga clic en Inicio|Panel de control y haga doble clic en Agregar hardware. Se abre el asistente Agregar hardware.

5. Dé clic en Siguiente. Se le pregunta si quiere que el asistente busque e instale el hard-ware automáticamente. De funcionar, el adaptador de red ya estaría instalado. En cambio, haga clic en Instalar el hardware seleccionado manualmente de una lista.



6. Dé clic en Siguiente. Aparecerá una lista de tipos comunes de hardware. Desplácese hacia abajo, haga clic en Adaptadores de red y en Siguiente. Se despliega la lista de fabricantes y adaptadores de red. Recorra hacia abajo los fabricantes y luego los adaptadores, para ver si se encuentra el suyo. De ser así, selecciónelo, haga clic en Siguiente dos veces y continúe en el paso 9.

7. Si no encontró su adaptador (lo más probable) y tiene un disco con el controlador, haga clic en Usar disco. Haga clic en Examinar, seleccione un controlador en éste, localice y seleccione el controlador y después haga clic en Abrir. Cuando se desplie-gue, haga clic en Aceptar. Cuando se le diga que el controlador se instalará, haga clic en Siguiente.

8. Tal vez reciba un mensaje indicando que el controlador está a punto de instalarse no tiene firma digital de Microsoft. Dé clic en Sí para instalarlo de todas formas. Se instalarán adaptador y su software controlador necesario.

9. Haga clic en Finalizar y reinicie su equipo. Una vez que reinicie, deberá ver un mensaje en la esquina inferior derecha de su pantalla indicando que adaptador y controlador se han instalado, como se muestra a continuación.

10. Si ahora da clic en Inicio|Panel de control y doble clic en Centro de redes y recursos compartidos, debe ver la opción Conexión de área local. Si la ve, vaya a la siguiente sección principal, “Instale funciones de red y configure protocolos”.

11. Si todavía no tiene una Conexión de área local u ocurrió otro problema en el proceso anterior, sin apuntar a una solución obvia, recorra las dos siguientes secciones para ver si se presenta una solución.

SUGERENCIA Si su adaptador de red no está certificado para ejecutarse con Windows

Server 2008, eso no significa que no funcionará con éste. Sólo quiere decir que Microsoft

no lo ha revisado. Casi ninguna tarjeta antigua está certificada para nuevos sistemas ope-

rativos, pero se ejecutan bien. Revise con el fabricante si cree que funciona con Windows

Server 2008.

Revise los recursos del adaptador de redCasi todas las tarjetas o adaptadores de red en una PC requieren recursos dedicados para operar. Entre los recursos se incluyen líneas de solicitud de interrupción (IRQ, Interrupt ReQuest), puertos de entrada/salida y líneas de acceso directo a memoria (DMA, Direct Memory Access). Usualmente, dos dispositivos no pueden compartir los mismos recursos, excepto si los dispositivos PCI comparten una misma IRQ. Por tanto, si dos dispositivos están asignados al mismo recurso, ocurre un conflicto y el dispositivo no opera apropiada-mente. Esto causará que un adaptador de red no funcione y el icono Conexión de área local no aparezca. Revise los recursos utilizados por el adaptador de red, con estos pasos:



1. Haga clic en Inicio|Panel de control y doble clic en Administrador de dispositivos. Se abre la ventana Administrador de dispositivos y despliega sus adaptadores de red, como se muestra a continuación. Si ve un icono de problema (un signo de ad-miración) en su adaptador de red, entonces tal vez haya un problema con el recurso de ubicación.

2. Abra la categoría Adaptadores de red y haga doble clic en el adaptador de red particular que está investigando. Se abrirá el cuadro de diálogo Propiedades de ese dispositivo y se le presentará el estado del dispositivo. Si existe un problema de recursos, entonces debe mostrarse.

3. Haga clic en la ficha Recursos. En Lista de dispositivos en conflicto, en la parte inferior del cuadro de diálogo, verá las especificaciones de cualquier conflicto de recursos.

4. Si tiene un conflicto, haga clic en Usar configuración automática, para desactivar esa configuración y después recorra cada una de las configuraciones de la lista desplegable Configuración basada en, para ver si cualquiera de éstas soluciona el problema.

5. Si ninguna de las configuraciones soluciona el problema, haga clic en el problema del recurso y luego en Cambiar configuración. Dé clic en la flecha hacia arriba o hacia abajo, para cambiar la configuración y después haga clic en Aceptar, para ver si eso arregla el problema. Intente varias configuraciones.

6. Si tiene muchos problemas para encontrar una solución, vaya de regreso al Adminis-trador de dispositivos (puede dejar el cuadro de diálogo Propiedades del adaptador de red abierto), abra el menú Ver y haga clic en Recursos por tipo. Aquí verá todas las asignaciones de un recurso —como se muestra para las líneas de solicitud de inte-rrupción a continuación— y encontrará uno vacío para asignar al adaptador de red.



7. Si encuentra un recurso no asignado, regrese al cuadro de diálogo Propiedades del adaptador de red y asígnelo al adaptador de red. Si no puede encontrar uno de es-tos recursos, tal vez deba tomar una decisión difícil entre el adaptador de red y un dispositivo en conflicto. La red es un servicio muy importante y si está en conflicto con una tarjeta de sonido, por ejemplo, tal vez tenga que quitar la tarjeta de sonido para adquirir funciones de red.

8. Si ninguna de las sugerencias anteriores funciona, regrese al cuadro de diálogo Pro-piedades del adaptador de red, dé clic en la ficha General y después clic en Trou-bleshoot. Se abrirá la Ayuda de Windows Server 2008 y le guiará a través de una serie de pasos para intentar resolver el problema.

9. Cuando haya resuelto el problema de recurso de la mejor forma posible, cierre el cuadro de diálogo Propiedades del adaptador de red y cierre el Administrador de dispositivos. Si hizo cambios en los recursos, tal vez se le indicará que necesita re-iniciar el equipo y se le preguntará si quiere hacerlo ahora. Dé clic en Sí y el equipo se reiniciará.

10. Si hizo algún cambio a los recursos de forma correcta, ahora deberá ver un icono de red en la barra de notificación, en la esquina inferior derecha. De ser así, vaya a la siguiente sección principal, “Instale funciones de red y configure protocolos”. Si no ve un icono Conexión de área local, continúe con la siguiente sección.

El adaptador de red no funcionaSi instalar el controlador del adaptador de red o cambiar la ubicación del recurso no logró que el icono de red aparezca, lo más probable es que el adaptador de red no funcione de for-ma apropiada. La manera más sencilla de verificar esto consiste en remplazar el adaptador de red con uno que sí funcione; de manera ideal, uno certificado para ejecutarse con Win-dows Server 2008 compatible con Plug and Play. Es aconsejable tener varios adaptadores de red de repuesto; no son muy costosos (consulte el capítulo 5) y cambiar uno que funciona mal puede resolver problemas rápidamente.

INSTALE FUNCIONES DE RED Y CONFIGURE PROTOCOLOS

Instalar y revisar el adaptador de red es la mitad de la ecuación; la otra mitad tiene que ver con configurar las funciones de red en Windows Server 2008, además de identificar y confi-gurar los estándares de red o protocolos a ser usados.

Instale funciones de redLas funciones de red proporcionan el software para que un equipo tenga acceso a otros equipos y, de forma separada, para que otros equipos accedan al equipo en que trabaja. En otras palabras, las dos funciones principales permiten al equipo ser cliente (acceder a otros equipos) y servidor (otros equipos pueden acceder a éste). Asegúrese de que ambos servicios están instalados al seguir estos pasos:



1. Haga clic en Inicio|Panel de control, dé doble clic en Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red, a la izquierda, y después doble clic en Conexión de área local. Aparece el cuadro de diálogo Estado de Co-nexión de área local, como se muestra a continuación. En el caso particular que se muestra aquí, el equipo considera que está conectado a la red, enviando y recibien-do información.

2. Dé clic en Propiedades. Si aparece el cuadro de diálogo Control de cuentas de usua-rio, haga clic en Continuar. Se abre el cuadro de diálogo Propiedades de Conexión de área local, mostrado en la figura 6-3, y despliega servicios y protocolos que se han instalado automáticamente. Bajo circunstancias predeterminadas, esto incluye tres servicios (Cliente para redes Microsoft, Compartir impresoras y archivos para redes Microsoft y Programador de paquetes QoS), asimismo cuatro protocolos: Protocolo de Internet (IPv4 y IPv6, consulte el capítulo 5) y dos para detección de redes. Si tiene los primeros dos servicios instalados, ha logrado el objetivo de esta sección; en cualquier caso, continúe y explore las opciones.

3. Haga clic en Instalar. Se abre el cuadro de diálogo Seleccionar tipo de característica de red, en que se agregan clientes, servicios y protocolos.



4. Haga doble clic en Cliente. Si tiene Cliente para redes de Microsoft instalado, no habrá más clientes en la lista, sin software de terceros como NetWare.

5. Si Cliente para redes de Microsoft no está instalado, escójalo y haga clic en Aceptar.

6. De regreso en el cuadro de diálogo Seleccionar tipo de característica de red, haga doble clic en Servicio. Si hizo una instalación predeterminada, ya tiene Compartir impresoras y archivos para redes Microsoft y Programador de paquetes QoS insta-lados, y no tendrá más servicios sin algún software de terceros.

7. Si Compartir impresoras y archivos para redes Microsoft no está instalado, selecció-nelo y haga clic en Aceptar.

Esto debe asegurar que tiene los dos servicios principales instalados.

Figura 6-3. Servicios y protocolos instalados para dar soporte a la red.



Configure un protocolo de redCómo leyó en el capítulo 5, los protocolos de red son un conjunto de estándares utilizados para empaquetar y transmitir información a través de la red. El protocolo determina la ma-nera en que la información se divide en paquetes, cómo se dirige y qué hacer para asegurar la confiabilidad de la transferencia. Por tanto, el protocolo es muy importante para el éxito de la red, pero Windows Server 2008 toma las decisiones e instala de forma predeterminada cinco protocolos:

▼ TCP/IPv4 y TCP/IPv6 Para utilizar con LAN, Internet y casi todos los nuevos sis-temas Apple Macintosh y Linux. Windows Server 2008 proporciona e instala TCP/IPv4 y el nuevo TCP/IPv6. En el capítulo 5 se describen de manera detallada. Win-dows Server 2008 trabaja con estos dos protocolos de manera intercambiable

■ Respondedor y Asignador de detección de topologías de nivel de vínculos Para buscar una LAN para otros dispositivos de red (equipos, impresoras y enrutadores) y para responder a otros dispositivos buscando la LAN. La búsqueda se hace en la “capa de vínculos”, descrita como la capa de vínculo de datos o capa 2 en el modelo OSI del capítulo 5

▲ Protocolo de multidifusión confiable Para utilizarse con la transmisión de archi-vos muy grandes, como multimedia, en especial archivos de video. Por sí solo, IPv4 no es confiable para este tipo de archivo y requiere TCP para confirmar que los datos se han recibido en forma correcta. Esto agrega más sobrecarga, que hace más lenta la transmisión. El protocolo de multidifusión confiable provee información de configu-ración con una sobrecarga mucho más baja, acelerando la transmisión. El protocolo de multidifusión confiable es utilizado por Microsoft Message Queuing (MSMQ)

Revise y cambie protocolosUtilice las siguientes instrucciones para revisar y tal vez cambiar protocolos instalados y configuraciones en uso.

NOTA En el cuadro de diálogo Propiedades de Conexión de área local, debe ver por lo

menos cuatro (y tal vez cinco) protocolos instalados, como se mostró en la figura 6-3. En

casi todos los casos, TCP/IPv4 y TCP/IPv6 ya deben estar instalados; para responder y

asignar la detección de protocolo de topologías de niveles de vínculo (que representa la

capa de vínculo de datos, capa 2, en el modelo OSI), deben estar ahí y tal vez el protocolo

de multidifusión confiable.

1. Con el cuadro de diálogo Seleccionar tipo de característica de red todavía abierto (si no lo está, use las instrucciones de la última sección para hacerlo), haga doble clic en Protocolo. Se abrirá el cuadro de diálogo Seleccionar el protocolo de red. En éste se muestran los protocolos disponibles (tal vez estén todos instalados). Si quiere ins-talar otro protocolo, hágalo ahora al hacer doble clic en él. De otra forma, dé clic en Aceptar para cerrar el cuadro de diálogo Seleccionar el protocolo de red, luego en Cance-lar, para cerrar el cuadro de diálogo Seleccionar tipo de característica de red.


151

2. Seleccione Protocolo de Internet versión 4 (TCP/IPv4) en el cuadro de diálogo Pro-piedades de Conexión de área local y haga clic en Propiedades. Se abre el cuadro de diálogo Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), como se muestra a continuación. Aquí se hace clic para utilizar una dirección IP dinámica automáticamente, asignada por un servidor que ejecuta el protocolo de configura-ción dinámica de host (DHCP, Dynamic Host Configuration Protocol) o dirección IP estática que se inserta en este cuadro de diálogo.

Capítulo 6: Configuración y administración de una red

Un servidor DHCP o servicio de nombre de dominio (DNS, Domain Name Service) debe tener una dirección IP estática; de otra forma, un servidor DHCP no puede asignar automáticamente una dirección IP a todos los equipos de una red. Si el servidor DHCP no funciona o es inexistente, el direccionamiento IP automático privado (APIPA, Au-tomatic Private IP Addressing) asigna una dirección IP del bloque de 65 000 números del 169.254.0.0 al 169.254.255.255. También genera una máscara de subred 255.255.0.0. APIPA es limitada a tal grado que un equipo que lo utiliza sólo puede comunicarse con otros equipos en la misma subred con una dirección en el mismo rango de números. Si todos los equipos de una red pequeña usan Windows 98/Me/2000/XP/Vista/Server 2003/Server 2008 (todos ellos utilizan APIPA) y tienen seleccionado Obtener una direc-ción IP automáticamente, sin un servidor DHCP utilizarían automáticamente el rango de 169.254.0.0 a 169.254.255.255 en números IP.



3. Si trabaja en el que será el servidor DHCP, DNS o ambos, o sabe que debe asignar una dirección IP estática a este equipo, entonces haga clic en Usar la siguiente di-rección IP y después inserte una. La dirección IP que use debe estar en el bloque de direcciones IP que el proveedor de servicios de Internet (ISP, Internet Service Provider) u otra autoridad (consulte el análisis de la sección “Obtenga bloques de direcciones IP”, más adelante en este capítulo) ha asignado a su organización. Si su organización es pequeña y no planea acceder a una red externa, entonces la direc-ción IP estática puede ser del bloque de números APIPA (pero debe insertarla manualmente; consulte los parámetros de números en el paso 2) o varios otros blo-ques de direcciones IP privadas (consulte “Obtenga bloques de direcciones IP”).

4. Si insertó una dirección IP estática, también debe ingresar una máscara de subred. Esta máscara le indica al IP la parte de la dirección IP que debe considerar como dirección de red y la parte que debe considerarse dirección de equipo o host. Si se asignó a su organización un bloque de números IP, también se le dio una máscara de subred. Si utilizó el rango de direcciones APIPA, entonces emplee 255.255.0.0 como máscara de subred.

5. Si no tiene una razón específica para utilizar una dirección IP estática, haga clic en Obtener una dirección IP automáticamente y recurra a las direcciones de un servi-dor DHCP en la red o APIPA.

SUGERENCIA En redes muy pequeñas (de cinco a seis estaciones de trabajo), las direc-

ciones IP pueden obtenerse automáticamente de un enrutador de cable o DSL.

6. Dé clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Protocolo de In-ternet versión 4 (TCP/IPv4) y haga clic en Cancelar para cerrar el cuadro de diálogo Propiedades de Conexión de área local. Puede dejar abierto el cuadro de diálogo Estado de Conexión de área local, así como las ventanas Conexiones de red y Centro de redes y recursos compartidos.

7. Dé clic en Inicio, luego en la flecha de opciones Apagar y en Reiniciar, de la lista desplegable emergente. Dé clic en el cuadro Comentarios, inserte un comentario y haga clic en Aceptar.

8. Cuando el equipo reinicie, abra otra vez el Panel de control, el Centro de redes y recursos compartidos, la ventana Conexiones de red y el cuadro de diálogo Esta-

do de Conexión de área local, tal cual se describió en el paso 1, bajo “Instale funciones de red”, en páginas anteriores de este capítulo. Deberá ver actividad en ambos, En-viados y Recibidos. Cierre este conjunto de cuadros de diálogo y ventanas.

9. Si no vio actividad en Enviados y Recibidos, haga clic en Inicio y, en el cuadro de texto Iniciar búsqueda, en la parte inferior del menú Inicio, escriba \\ y un nombre de equipo dentro de la misma subred y oprima enter. Se debe abrir el Explora-

dor de Windows para desplegar tanto equipo como dispositivos compartidos, si la red funciona. Por ejemplo, si escribe \\martin en el cuadro de texto Iniciar búsque-da y oprime enter, obtendrá lo que se muestra a continuación.



10. Si no ve evidencia de funciones de red, vuelva a revisar todas las configuraciones posibles antes descritas. Si está utilizando APIPA, asegúrese de que el equipo con el que intenta ponerse en contacto también use dicho rango de números, como una dirección asignada estática o con asignación automática. Si todas las configuraciones son correctas, entonces revise el cableado al establecer una conexión simple con unos cuantos equipos (si hace una conexión UTP directa entre dos equipos, recuerde que necesita un cable cruzado especial con los cables de transmisión y recepción inver-tidos) y, por último, reemplace el adaptador de red. Con un buen adaptador de red, buen cableado y configuraciones correctas, podrá tener una red en funcionamiento.

PRUEBE LA REDExisten varias utilerías de línea de comando empleadas para probar una instalación de red. Los comandos más útiles son los siguientes:

▼ Ipconfig Se utiliza para determinar si ha inicializado una configuración de red y asignado una dirección IP. En caso de ser devueltas una dirección IP y máscara de subred válidas, entonces la configuración está inicializada sin duplicados para la dirección IP. Si se devuelve una máscara de subred de 0.0.0.0, entonces la dirección IP está duplicada

■ Hostname Se usa para determinar el nombre del equipo local

▲ Ping Se utiliza para consultar el equipo local u otro equipo en la red, para en-contrar respuesta. Si el equipo local responde, sabe que este TCP/IP está unido al adaptador de red local y ambos operan en forma correcta. Si el otro equipo res-



ponde, sabe que este TCP/IP y los adaptadores de red de ambos equipos operan correctamente y la conexión entre ambos equipos funciona bien

Use los siguientes pasos para probar una configuración de red con tales utilerías. En la figura 6-4 se muestran los resultados en un sistema de ejemplo.

1. Dé clic en Inicio y después en Símbolo del sistema, en la parte superior izquierda del menú. Se abre la ventana Símbolo del sistema.

Figura 6-4. Prueba de una red con utilerías TCP/IP.



2. Escriba ipconfig y oprima enter. Deben devolverse la dirección IP (ambas IPv4 e IPv6) además de la máscara de subred del equipo actual. Si no pasa esto, existe un problema con la configuración actual.

SUGERENCIA Si escribe ipconfig ? en el indicador de comandos, abrirá la Ayuda para

ipconfig; podrá ver todas las opciones disponibles para este poderoso comando.

3. Escriba hostname y oprima enter. Le devolverá el nombre del equipo local.

4. Escriba ping nombre del equipo y oprima enter, donde nombre del equipo es el nom-bre de otro equipo en su red. Debe obtener cuatro respuestas del otro equipo.

5. Si Ping no funciona con un equipo remoto, inténtelo en el equipo actual: escriba ping 127.0.0.1 y presione enter. Nuevamente, debe obtener cuatro respuestas, esta vez del equipo actual. Si no obtiene una respuesta aquí, entonces tiene un problema con la configuración de red o el adaptador de red. Si obtiene una res-puesta aquí, pero no en el paso 4, entonces hay un problema en el otro equipo o la línea que los conecta.

6. Cuando esté listo, escriba Exit y oprima enter para cerrar la ventana Símbolo del sistema.

NOTA La IP 127.0.0.1 es una dirección especial apartada para aludir al equipo en que se

inserta, también llamada “localhost”.

Si encuentra un problema aquí, utilice los pasos en “Revise y cambie protocolos”, en páginas anteriores de este capítulo, para aislar y corregir el problema.

REVISE EL SOPORTE DE SERVIDORY EL DIRECCIONAMIENTO DE RED

Para configurar Windows Server 2008 con el fin de dar soporte al resto de la red, deben estar instalados los servicios y funciones siguientes:

▼ Protocolo de configuración dinámica de host (DHCP)

■ Sistema de nombre de dominio (DNS)

■ Cuentas de usuario y permisos de grupos

▲ Dominios y Active Directory

En el proceso para determinar las mejores configuraciones de todos estos elementos, también debe explorar los elementos por sí solos a mayor profundidad. Mientras no sea necesario para Windows Server 2008, Windows Server 2003, Windows Vista o Windows XP, quizás quiera instalar el servicio de nombre de Internet de Windows (WINS, Windows In-



ternet Name Service) para conectividad con sistemas de Windows más viejos, que también se analizará. Los dominios y Active Directory son el tema del capítulo 7, pero los elementos restantes se analizan aquí.

Direccionamiento de redPara que la red funcione, un equipo debe saber cómo dirigirse a otro. Para esto, cada equipo tiene al menos dos, quizás tres, direcciones:

■ Dirección física Dirección que el fabricante genera en cada dispositivo o adap-tador de red (también llamada dirección de hardware). En las tarjetas Ethernet, es la dirección de control de acceso a medios (MAC, Media Access Control)

■ Dirección lógica Dirección asignada a un equipo por un administrador de red o servidor y, en última instancia, por una autoridad de direccionamiento. En TCP/IP, la IP es la dirección lógica e Internet Assigned Numbers Authority (IANA) es la autoridad de direccionamiento que asigna un bloque de direcciones, distribuidas de acuerdo con las necesidades de un servidor o, con menos frecuencia, por un administrador. Mientras IANA es la autoridad de nombre final, la mayoría de las compañías e individuos obtienen sus direcciones IP de su proveedor de servicio de Internet (ISP)

■ Nombre del equipo Dirección utilizada en casi todas las aplicaciones y la red de Windows. En una red de Microsoft Windows antigua, es el nombre NetBIOS. En TCP/IP, puede ser un nombre de dos partes. La primera parte, obligatoria, corres-ponde al equipo actual y es el nombre de host; un ejemplo es “servidor”. La segunda parte es el nombre de dominio que contiene el equipo; por ejemplo, “matthews.com”, para hacer el nombre completo “server.matthews.com”

Estas tres direccionen operan en diferentes capas del modelo de red OSI (véase la sec-ción “El modelo OSI” en el capítulo 5), como se muestra en la figura 6-5. La dirección física opera en las capas física y de vínculo de datos, la dirección lógica opera en la capa de red y el nombre del equipo se utiliza arriba de la capa de red.

Para que las tres direcciones funcionen juntas, debe existir un método para convertir una en otra. Al dar un nombre de equipo, éste debe resolverse en una dirección lógica y ésta, a su vez, en una dirección física. La tarea de resolver un nombre de equipo en una dirección lógica corresponde a DNS o WINS; de igual modo, resolver una dirección lógica en una física es tarea del protocolo de red; por ejemplo, en TCP/IP es el protocolo de reso-lución de dirección o ARP (Address Resolution Protocol). Además, conforme se reduce la cantidad de direcciones IP disponibles, estas direcciones suelen distribuirse conforme las necesite un servidor mediante DHCP. La selección y configuración de un protocolo de red, además de la configuración de DNS y DHCP, son los temas principales de este capítulo, así que la gran cantidad de tareas que rodean al direccionamiento serán el hilo conductor en todo el capítulo.



IMPLEMENTE DHCP, DNS Y WINSCon una instalación normal, DHCP, DNS y WINS no están instalados y se dejan como fun-ciones de servidor (o en el caso de WINS, como característica de servidor) para que sean de su elección. El propósito de esta sección es entender tales servicios, instalarlos y configurar-los de acuerdo con sus necesidades.

El protocolo de configuración dinámica de host DHCP, que se ejecuta en uno o más servidores, tiene el trabajo de asignar y administrar di-recciones IP en una red. Un ámbito o rango de direcciones IP es asignado a DHCP; a cambio concesiona (o asigna por un periodo) una dirección IP a un cliente. DHCP suprime la posi-bilidad de errores heredados en asignación e inserción manual de direcciones IP y también elimina el trabajo administrativo de llevar seguimiento de quién tiene cada dirección IP. En un entorno con muchos usuarios móviles, la administración se vuelve casi imposible; inclu-so en un entorno muy estable, esta tarea no es fácil.

Figura 6-5. Direccionamiento y modelo OSI.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculo de datos

Físico

Direccionamiento utilizado

Nombre del equipo

Dirección lógica

Dirección física



Para que DHCP realice su función, deben darse cuatro pasos:

▼ En un servidor en el que se instalará DHCP, debe asignar una dirección IP fija de forma manual, como se analizó bajo “Revise y cambie protocolos”, en páginas ante-riores de este capítulo

■ DHCP debe estar habilitado y autorizado en el servidor

■ DHCP debe tener un ámbito de direcciones IP y un término de concesión

▲ Los clientes deben tener seleccionada la configuración Obtener una dirección IP automáticamente, en el cuadro de diálogo Propiedades de Protocolo de Internet (TCP/IP), como se analizó en “Configure un protocolo de red”

Cómo funciona DHCPLa primera vez que se inicia un cliente con la configuración de red Obtener una dirección IP automáticamente, pasa por el siguiente proceso para obtener una dirección IP:

▼ El cliente transmite en la red la solicitud de un servidor DHCP y una dirección IP. Utiliza 0.0.0.0 como dirección de origen y 255.255.255.255 la de destino e incluye su dirección física (MAC)

■ Todos los servidores DHCP que reciben la solicitud transmiten un mensaje que incluye la dirección MAC, dirección IP ofrecida, máscara de subred, tamaño de con-cesión y dirección IP del servidor

■ El cliente acepta el primer ofrecimiento que le llega y transmite esa aceptación, in-cluida su nueva dirección IP y la IP del servidor que la ofreció

▲ El servidor que hizo el ofrecimiento reconoce esta aceptación

Cada vez que el cliente inicia luego de recibir una dirección IP, intenta utilizar la misma dirección IP del mismo servidor. El servidor puede o no aceptar esto, pero durante el térmi-no de concesión, suele aceptarse. A la mitad del término de la concesión, el cliente pedirá automáticamente que la concesión se extienda, lo que se hará bajo casi todas las circunstan-cias. Si la concesión no se extiende, el cliente seguirá utilizando la dirección IP y transmitirá una solicitud a cualquier otro servidor para renovar la dirección IP actual. Si esto es denegado, el cliente transmitirá una solicitud de cualquier dirección IP, como hizo al inicio.

Configure DHCPLa configuración de DHCP es el proceso de definir direcciones IP individuales y en bloques o ámbitos. Para ello, necesitará los siguientes elementos:

▼ Un bloque de direcciones IP que se utilizará en un ámbito

■ Nombre del ámbito

■ Dirección IP de inicio en el rango del ámbito

■ Dirección IP final en el rango del ámbito



■ Máscara de subred que habrá de usarse con este rango de direcciones IP

■ Direcciones de inicio y final de los rangos a excluirse del ámbito

■ Duración de la concesión del cliente DHCP

▲ Configuraciones para servidor, ámbito y opciones de cliente

Obtenga bloques de direcciones IPLos bloques de direcciones IP a usarse en un ámbito serán diferentes si los equipos a los que se asignarán las direcciones serán públicos o privados. Si los equipos interactuarán directa-mente con Internet, son públicos y, por tanto, necesitan un número IP globalmente único. Si los equipos sólo operarán en una red interna, donde están separados de la red pública por un enrutador, puente, firewall o una combinación de ellos, son privados y sólo necesitan ser únicos en la organización. IANA ha apartado tres bloques de direcciones IP que cualquier organi-zación puede utilizar para sus necesidades internas sin que necesite coordinación alguna con otra organización, pero no deben utilizarse para conectarse a Internet. Estos bloques de direcciones IP de uso privado son los siguientes:

▼ 10.0.0.0 a 10.255.255.255

■ 172.16.0.0 a 172.31.255.255

▲ 192.168.0.0 a 192.168.255.255

Además, el rango APIPA de 169.254.0.0 a 169.254.255.255 se analizó en páginas ante-riores de esta sección, aunque recuerde que APIPA sólo trabaja con equipos de su propia subred y con direcciones IP del mismo rango. Sin embargo, en una red pequeña puede mezclar direccionamiento DHCP y APIPA; el número IP siempre estará disponible, inde-pendientemente de DHCP.

Si quiere un bloque de direcciones IP públicas, debe pedirlas una de varias organiza-ciones, dependiendo del tamaño del bloque requerido. En el nivel local para un bloque de tamaño moderadamente pequeño de direcciones IP, su ISP local puede suscribirlas a partir de un bloque asignado. Para un bloque más grande, un ISP regional puede manejar la soli-citud. Si no, debe ir a una de tres oficinas internacionales de Internet:

▼ American Registry for Internet Numbers (ARIN), en http://www.arin.net/, que cubre Norteamérica y Sudamérica, el Caribe y África del Sur

■ Réseaux IP Européens (RIPE), en http://www.ripe.net/, que cubre Europa, el Me-dio Oriente y el norte de África

▲ Asia Pacific Network Information Center (APNI C), en http://www.apnic.net/, que cubre Asia y el Pacífico

La IANA coordina estas tres organizaciones, en http://www.iana.com/. En diciembre de 1997, la autoridad de direccionamiento IP para América se transfirió de Network Solu-tions, Inc. (InterNIC) a ARIN. ARIN, RIPE, APNIC y IANA son organizaciones sin fines de lucro que representan un grupo amplio de ISP, compañías de comunicación, fabricantes, otras organizaciones e individuos. El bloque más pequeño que ARIN asignará (a ISP para



reasignación u organizaciones e individuos), es de 4 069 direcciones; el costo actual de cada bloque es de 2 250 dólares al año. Los bloques más grandes pueden costar hasta 18 000 dó-lares al año. Cada ISP ubicará los bloques más pequeños usando su propia estructura de cuota. El tamaño mínimo de bloque y cuota de ARIN aplica al protocolo de Internet versión 4 (IPv4) actual. IPv6 está en las etapas tempranas de asignación y tiene sus propias reglas para asignación. Los bloques de números IPv6 se asignaron en forma gratuita hasta el 31 de diciembre de 2007.

Entienda qué es el sistema de nombre de dominioDNS se encarga de resolver o convertir un nombre de usuario amigable, fácil de recordar, en una dirección IP. Esto se logra a través de una base de datos pareados: direcciones IP y nombres. DNS es una aplicación en el conjunto del protocolo TCP/IP desarrollada para administrar la resolución de nombres necesaria en Internet. Como resultado, recurre a un espacio de nombres de dominio jerárquico usado en Internet. Por ejemplo, el nombre servidor1.editorial.osborne.com tiene la siguiente estructura:

Dominio raíz .

Dominio de nivel superior com

Dominio de segundo nivel osborne

Dominio de tercer nivel editorial

Nombre de host servidor1

Un nombre de host es siempre la parte del extremo izquierdo de un nombre y hace refe-rencia a un equipo específico. Dentro de un dominio específico, necesita utilizar sólo el nombre de host. Es sólo cuando sale de un dominio que necesita utilizar los nombres de dominios.

Para que un espacio de nombres de dominio sea más fácil de administrar, puede divi-dirlo en zonas o segmentos discretos. Para cada zona, se mantiene una base de datos de nom-bres separada, que presenta al administrador de red una tarea mucho más fácil de adminis-trar. Un servidor DNS o un servidor de nombres puede contener una o más zonas, mientras varios servidores pueden contener la base de datos para la misma zona. En el último caso, se designa un servidor primario y los otros servidores de nombre de esa zona piden periódi-camente una transferencia de zona, para actualizar la base de datos. Como resultado, todo el mantenimiento de zona debe realizarse en el servidor primario.

DNS puede resolver un nombre hacia una dirección IP, en lo que se llama búsqueda di-recta, además de resolver una dirección IP en un nombre, denominada búsqueda inversa. En el proceso de resolución de nombres, si un servidor de nombres local no puede resolver un nombre, lo redirige a otros servidores de nombres que el servidor local conoce, incluido ac-ceder a Internet para pedir servidores de nombres ahí. Cuando un servidor de nombres pide un nombre, almacena en caché los resultados, para no hacer la solicitud nuevamente en un

SUGERENCIA Cuando cree un espacio de nombres de dominio, hágalo sencillo. Use

nombres cortos, simples, únicos, y mantenga el nivel de números al mínimo.



futuro cercano. Este proceso de almacenar en caché se hace por un periodo finito, llamado tiempo de vida (TLL, time to live), mismo que puede configurar; el tiempo predeterminado es de 60 minutos.

Instale DNS y DHCP

Como parte normal de la instalación de Windows Server 2008, descrita en el capítulo 3, DNS y DHCP no están instalados. Puesto que DNS y DHCP son funciones de red opciona-les, verá cómo instalarlos y después cómo configurar cada uno.

NOTA Para instalar DHCP en su servidor y hacer que funcione apropiadamente, deberá

deshabilitar cualquier servicio DHCP de un enrutador (como una conexión DSL) en su red.

NOTA A diferencia de versiones anteriores de Windows Server, puede instalar DNS,

DHCP y otros componentes de Windows Server 2008 de una sola forma (mediante Agre-

gar funciones, del Administrador del servidor). La opción Panel de Control | Programas y

características | Activar o desactivar las características de Windows sólo abre el Adminis-

trador del servidor.

Comience por configurar una dirección IP estática para el servidor, si no lo hizo antes; después, si DNS y DHCP no están instalados o no está seguro de que lo estén, revise y, si es necesario, instálelos:

1. Haga clic en Inicio|Símbolo del sistema. En la ventana Símbolo del sistema escri-ba ipconfig y oprima enter. Anote (o sólo deje la ventana Símbolo del sistema abierta y consúltela cuando la necesite) las direcciones IPv6 y IPv4, máscara de su-bred y puerta de enlace predeterminada. Si tiene algún problema en los siguientes pasos y secciones, deberá regresar a estas configuraciones. Escriba Exit y oprima enter para cerrar la ventana Símbolo del sistema.

2. Haga clic en Inicio|Administrador del servidor. Se abre la ventana Administrador del servidor. Si la última actualización no es muy reciente, haga clic en Configurar actuali-zación, seleccione Actualizar cada, seleccione cada dos minutos y haga clic en Aceptar.

SUGERENCIA En Windows Server 2008 también puede iniciar el icono

del Administrador del servidor, que se encuentra, como opción predetermi-

nada, a la izquierda de la barra de herramientas Inicio rápido.

3. En la sección Información del equipo, del área Resumen de servidores, en Admi-nistrador de servidor, haga clic en Ver conexiones de red y en la ventana Panel de control\Conexiones de red que se abre; haga doble clic en Conexión de área local. En el cuadro de diálogo Estado de Conexión de área local, haga clic en Propiedades. Si aparece el cuadro de diálogo Control de cuentas de usuario, haga clic en Continuar.



4. En el cuadro de diálogo Propiedades de Conexión de área local, haga clic en Proto-colo de Internet versión 4, luego en Propiedades. En el cuadro de diálogo Propieda-des de Protocolo de Internet versión 4, haga clic en Usar la siguiente dirección IP.

5. A menos que tenga una dirección IP asignada específicamente para el servidor en el que trabaja, inserte la dirección IP, máscara de subred y puerta de enlace predeter-minados que se obtuvieron de Ipconfig. Nuevamente inserte la dirección IP del ser-vidor actual como Servidor DNS preferido, e ingrese la dirección IP de un segundo servidor si se aplica (utilice Ping para adquirir esto, obtenga la dirección IPv6 para uso futuro), como se muestra en la figura 6-6.

6. Haga clic en Aceptar y Cancelar para cerrar varios cuadros de diálogo y ventanas, reinicie el servidor y vuelva a abrir Administrador del servidor.

7. En la sección Resumen de funciones, si DHCP y DNS están instalados, verá sus funciones en la lista. En ese caso, puede pasar a la siguiente sección principal. De

Figura 6-6. Es necesaria la configuración de una dirección IP estática antes de configurar

DHCP y DNS.



otra forma, si su Resumen de funciones no muestra DHCP y DNS instalados, use las instrucciones restantes para instalar DHCP.

8. Haga clic en Agregar funciones. Se abre el Asistente para agregar funciones. Se desplie-ga Antes de comenzar sugiriéndole que tenga una contraseña de administrador segura, direcciones IP estáticas y las últimas actualizaciones de Windows Server 2008.

9. Dé clic en Siguiente. Se muestra Seleccionar funciones de servidor y deberá ver Servidor DHCP en la lista, como se muestra en la figura 6-7.

Figura 6-7. El administrador del servidor le permite seleccionar las funciones DHCP y DNS.



10. Si la casilla de verificación Servidor DHCP no está marcada, haga clic en ésta. Si no tiene una dirección IP estática insertada para el servidor, se le recordará hacerlo. Dé clic en Sí para confirmarlo. Repita los pasos 3 a 6.

11. Si la casilla de verificación Servidor DNS no está marcada, haga clic en ésta y des-pués haga clic en Siguiente. Dé clic en Siguiente dos veces más, respondiendo a las pantallas de información de DNS y DHCP. Si no ha ingresado una dirección IP pre-ferida y alternativa para DNS, se le pide lo haga. Dé clic en Siguiente y está listo.

Habilite DHCP y DNSEn seguida del Asistente para agregar funciones, las direcciones IP estáticas disponibles se despliegan para uso de un servidor DHCP.

1. Dé clic en la dirección IP que quiere utilizar, luego en Siguiente. Si se le pide (y no lo hizo), escriba las direcciones IP de los servidores DNS preferido y alternativo, haga clic en Siguiente. Aparece el cuadro de diálogo Especificar la configuración del servidor WINS.

2. Si tiene equipos de Windows en su red anteriores a Windows 2000 (Windows 95/98/Me o NT), entonces necesitará configurar WINS. En ese caso, seleccione Se requiere WINS para las aplicaciones en esta red y escriba las direcciones IP para los servidores WINS preferido y alternativo. De otra forma, deje seleccionada la opción predeterminada No se requiere WINS para las aplicaciones en esta red.

3. Haga clic en Siguiente. Aparece Agregar o editar ámbitos DHCP. Dé clic en Agregar. Aparece el cuadro de diálogo Agregar ámbito.

4. Inserte un nombre para el ámbito. Escriba las direcciones IP de inicio y final para el rango del ámbito. Inserte la máscara de subred para el rango de direcciones IP e inserte la puerta de enlace predeterminada, como se muestra aquí:



5. Haga clic en Activar este ámbito y clic en Aceptar. El nuevo ámbito aparece en la lista de ámbitos. Dé clic en Siguiente. Se le pregunta cómo manejar DHCPv6. El método más simple es dejar la configuración predeterminada de configuración del servidor para operación sin estado, que no demanda más configuración de su parte.

6. Haga clic en Siguiente. Ingrese las direcciones IPv6 para los servidores DNS prefe-rido y alternativo que insertó antes para IPv4 y haga clic en Siguiente. Se muestra un resumen de sus configuraciones. Si no son correctas, haga clic en Anterior y después en Siguiente, como sea necesario para corregirlas.

7. Cuando esté listo, haga clic en Instalar. Verá una barra de progreso que muestra la instalación para servidores DHCP y DNS. Cuando haya terminado, recibirá un mensaje que indica que la instalación fue correcta. Dé clic en Cerrar. En el Adminis-trador del servidor, bajo Resumen de funciones, ahora debe ver Servidor DHCP y Servidor DNS.

NOTA Una máscara de subred divide una dirección IP en una subred o dirección de red y

de host. Cuando trabaja en una red local, sólo necesita la porción del host; así se agiliza el

proceso sólo si busca esa porción de la dirección. Una dirección IP es de 32 bits de largo,

así que cuando diga que la mitad de ésta (16 bits) es una dirección de red, la red local sólo

buscará la dirección de host de 16 bits. La máscara de subred de 16 bits es 255.255.0.0.



Administre DHCPUna vez instalado DHCP, tal vez necesite realizar varias tareas de administración, para que DHCP opere en la forma que quiere, incluidos:

▼ Crear ámbitos adicionales

■ Excluir rangos dentro de un ámbito

■ Configurar la duración de la concesión

■ Reservar direcciones para clientes particulares

■ Cambiar propiedades de ámbitos

▲ Monitorear la concesión de una dirección

La administración de DHCP se hace desde la consola DHCP, que se abre en cualquiera de estas dos formas:

▼ Desde el Administrador del servidor Haga clic en Inicio|Administrador del ser-vidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor DHCP|Servidor, y haga clic en IPv4.

▲ Desde Herramientas administrativas Haga clic en Inicio|Herramientas admi-nistrativas|DHCP. En la ventana de consola DHCP, en el árbol de consola, abra Servidor y haga clic en IPv4.

Para los pasos restantes de esta sección, se asume que ha abierto IPv4 con el Servidor DHCP, ya sea en Administrador del servidor o la consola DHCP, como se muestra en la figura 6-8.

Agregue ámbitos DHCP1. Ya sea en el Administrador del servidor o la consola DHCP con el servidor IPv4 selec-

cionado, haga clic en Acción|Ámbito nuevo. Se abre el Asistente para ámbito nuevo.

2. Dé clic en Siguiente, escriba nombre y descripción y haga clic en Siguiente.

3. Inserte una dirección IP inicial y final. Tamaño y máscara de subred se llenan auto-máticamente, pero puede cambiarlos si lo necesita. Haga clic en Siguiente.



Puede continuar en el Asistente para ámbito nuevo e identificar direcciones para ex-cluirlas de la distribución, especificar tamaño de concesiones DHCP, reservar direcciones para clientes específicos y configurar opciones DHCP. También puede hacer estas fun-ciones para todos los ámbitos DHCP del Administrador del servidor o la consola DHCP, como se describe en las siguientes secciones.

Figura 6-8. El Administrador del servidor y la consola DHCP le permiten administrar DHCP.



Excluya rangos en un ámbito DHCPTal vez tenga ciertas direcciones o rango de direcciones en un ámbito DHCP que no quiere asignar. Puede excluir esas direcciones para que no se usen.

1. Ya sea en el Administrador del servidor o la consola DHCP con IPv4 del servidor DHCP visible, en el árbol de la consola a la izquierda, abra IPv4; abra el ámbito donde quiere las exclusiones; haga clic derecho en Conjunto de direcciones y dé clic en Nuevo intervalo de exclusión.

2. En el cuadro de diálogo Agregar exclusión, inserte las direcciones IP a excluir del ámbito en que trabaja. Esto puede ser un rango, insertar direcciones de inicio y fin, o una sola dirección, al ingresarla sólo en el cuadro Dirección IP inicial, como se muestra a continuación. Debe insertar una exclusión para cada dirección estática asignada al servidor, estación de trabajo o enrutador.

3. Haga clic en Agregar, tras insertar cada dirección o rango de exclusión. Cuando haya insertado todas las exclusiones, haga clic en Cerrar.

Establezca la duración de la concesión DHCPLas concesiones de dirección DHCP son para un lapso fijo, establecido para un ámbito es-pecífico compuesto por días, horas y minutos que un cliente puede utilizar en una dirección IP asignada a él.

1. En el Administrador del servidor o consola DHCP con IPv4 del servidor DHCP y ámbito que quiere visibles en el árbol de la consola, haga clic derecho en el ámbito y seleccione Propiedades.



2. En el cuadro de diálogo Propiedades de Ámbito, bajo Duración de la concesión para cliente DHCP, inserte o haga clic en los contadores para días, horas y minutos que quiera permitir al cliente usar la dirección.

La opción predeterminada es 6 días, pero el tiempo correcto para su operación pue-de ser cualquiera, desde 1 hora para clientes que activan o desactivan sobre todo un servidor de correo, a Sin límite para clientes en un entorno de escritorio estable.

3. Cuando esté listo, haga clic en Aceptar para cerrar el cuadro de diálogo Propieda-des de Ámbito.

Reserve direcciones DHCPSi quiere que un cliente tenga una dirección IP particular y permanente, configúrelo así al crear una reserva que especifique la dirección IP que habrá de asignarse al cliente. De esta forma, la dirección IP no expirará hasta que la reserva se elimine.

1. En el árbol de la consola, bajo el ámbito DHCP, seleccione Reser-vas y haga clic en Agregar reserva, en la barra de herramientas. Se abre el cuadro de diálogo Reserva nueva.

2. Inserte un nombre, dirección IP y dirección física MAC asociada (puede obtener la di-rección MAC de la columna Id. exclusivo, que se muestra en la lista Concesiones de direcciones). No incluya guiones, que suelen usarse para desplegar una dirección MAC (aunque no se muestran en la columna Id. exclusivo, de la lista Concesiones de



direcciones). Inserte una descripción, si quiere, y deje la opción predetermina-da Ambos, en Tipos compatibles.

3. Haga clic en Agregar y repita el proce-so para cada reserva que quiera hacer. Haga clic en Cerrar, para cerrar el cua-dro de diálogo Reserva nueva cuando haya terminado.

4. Haga clic en Actualizar, en la barra de herramientas. Si está seleccionada Reservas, en el panel izquierdo de la ventana DHCP, su nueva reserva apa-recerá en la derecha. También si selec-ciona Concesiones de direcciones, verá la reserva en la lista de concesiones.

SUGERENCIA Otra forma para obtener la dirección física o MAC necesaria en el paso

2 consiste en abrir la ventana Símbolo del sistema (Inicio | Símbolo del sistema), escribir

ping direcciónip (donde direccciónip es la dirección IP numérica o nombre del equipo que

necesita la dirección MAC) y oprimir ENTER. Entonces, en el indicador de comandos escriba

arp –a y oprima ENTER. Se desplegará la dirección física, como se indica aquí:



Cambiar opciones DHCPSe pueden agregar y cambiar opciones DHCP en tres niveles:

▼ Opciones en el nivel del servidor Aplica para todos los clientes DHCP

■ Opciones en el nivel del ámbito Aplica sólo para clientes que conceden una di-rección del ámbito

▲ Opciones en el nivel del cliente Aplica para un cliente con una reserva

1. En el árbol de consola DHCP, haga clic derecho en Opciones de servidor y haga clic en Configurar opciones. Se abrirá el cuadro de diálogo Opciones de servidor. Aquí puede hacer varias configuraciones que apliquen a todos los clientes DHCP. Por ejemplo, mantener una lista de servidores DNS, como se muestra aquí:

2. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones de servidor, dé clic derecho en Opciones de ámbito y seleccione Configurar opciones. Verá un cuadro de diálogo similar, llamado Opciones Ámbito, con una lista similar de opciones disponibles.

3. Haga clic en Aceptar para cerrar el cuadro de diálogo Opciones Ámbito. Si creó antes una reserva, abra el objeto Reservas, en el árbol de consola, haga clic en una reserva, en el panel de la izquierda o derecha de la ventana y haga clic en Con-figurar opciones, para obtener una tercera lista, similar, de opciones.

4. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones Reserva.



Monitoree la concesión de direcciónPuede monitorear la forma en que la operación de concesión va a determinar si DHCP está realmente trabajando y el uso de su ámbito.

1. En el árbol de la consola DHCP, a la izquierda, ya sea en Administrador del servi-dor o la consola DHCP, haga clic derecho en el servidor IPv4 y haga clic en Mostrar estadísticas.

2. En el cuadro de diálogo emergente Estadísticas del servidor, haga clic en Actualizar, para mostrar la información más reciente. Puede ver cuántas peticiones ha habido de direcciones IPv4, cuántas están en uso y qué porcentaje de ámbito representa.

3. Cuando esté listo haga clic en Cerrar.

Administre DNSPara administrar DNS se supone que DNS se ha instalado en el servidor en que quiere ejecutarlo. Esto debió hacerse antes en este capítulo, bajo “Instale DNS y DHCP”. Al igual que con DHCP, se administra DNS desde la consola DNS, que se abre en cualquiera de estas dos formas:

▼ Desde el Administrador del servidor Dé clic en Inicio|Administrador de ser-vidor. En el árbol de la consola, en la parte izquierda, abra Funciones|Servidor DNS|Servidor

▲ Desde Herramientas administrativas Haga clic en Inicio|Herramientas admi-nistrativas|DNS. En la ventana Administrador de DNS que se abre, en el árbol de la consola, abra Servidor

Para los pasos restantes de esta sección se supone tiene abierto Servidor, bajo Servidor DNS, ya sea en el Administrador del servidor o Administrador de DNS, como se muestra en la figura 6-9.

Tal cual se describió antes en “El sistema de nombre de dominio”, el propósito de DNS es convertir direcciones IP y nombres de dominio, parte de los cuales es el nombre de host de un equipo particular. Para esto, DNS divide el espacio de nombre en zonas y proporciona a cada zona una tabla de búsqueda directa, para resolver un nombre de dominio/host en



Figura 6-9. Administrador del servidor y Administrador de DNS le permiten administrar DNS.

una dirección IP y tabla de búsqueda inversa para resolver una dirección IP, bajo un nom-bre de host/dominio. Puede crear y poblar una zona DNS en forma manual o utilizar DNS dinámico para hacerlo.

Cree una nueva zona DNSPara crear una nueva zona DNS:

1. Bajo Servidor DNS, escoja Zonas de búsqueda directa y haga clic en Zona nueva en la barra de herramientas. Aparece el Asistente para crear zona nueva.

2. Haga clic en Siguiente. Dé clic en el tipo de zona que le interesa. Por lo general, querrá una zona principal en el equipo en que está trabajando.

3. Haga clic en Siguiente. Ingrese un nombre para la zona. Puede estar contenida en un dominio, por ejemplo, principal.mcgraw-hill.com.

4. Haga clic en Siguiente. Seleccione si quiere crear un archivo nuevo o copiar uno existente. Usualmente querrá crear un archivo nuevo.



5. Haga clic en Siguiente. Seleccione si quiere aceptar actualizaciones dinámicas no seguras o sólo actualiza-ciones manuales seguras. Las segundas son la opción predeterminada, pero al hacer a un lado las prime-ras, suprime una buena herramienta automática.

6. Haga clic en Siguiente. Se muestra un resumen de sus opciones. Si existe algún error, haga clic en Atrás y realice los cambios necesarios. Cuando esté listo, haga clic en Finalizar. La nueva zona aparecerá en el árbol de consola, bajo Zonas de búsqueda directa.

Agregue un nombre de host a una zonaLa zona inicial que acaba de crear es una base de datos vacía, hasta que agregue hosts (equi-pos en la red) a ésta.

1. Agregue un nombre de host a una zona, al hacer clic derecho en dicha zona, en el árbol de consola, bajo Zonas de búsqueda directa y eligiendo Host nuevo. Se abre

el cuadro de diálogo Host nuevo.

2. Ingrese nombre de host y dirección IP, haga clic en Agregar Host, después en Acep-tar, cuando se indique el registro de host se creó con éxito.

3. Repita el paso 2 para todos los hosts que quiera insertar. Una vez que haya termina-do de agregar hosts, haga clic en Realizado.

Configure zonas de búsqueda inversaLas zonas de búsqueda inversa, que permiten resolver un número IP como nombre, sólo se utilizan en resolución de problemas y en Internet Information Services (IIS, servicios de



información de Internet), para añadir un nombre en lugar de una dirección IP en archivos de registro. A fin de implementar una capacidad de búsqueda inversa, se crea automáticamen-te un nombre de dominio especial In-addr.arpa cuando se configura DNS. En este dominio, los subdominios se definen para cada octeto o parte de una dirección IP entre puntos, para la porción de red de la dirección, que después se crean como registro puntero para la porción final del host de la dirección, asignándole al nombre de host una dirección IP. Vea cómo se configura una zona de búsqueda inversa con estos pasos:

1. En el árbol de la consola, en la parte de la izquierda, ya sea en el Administrador del servidor o Administrador de DNS, dé clic derecho en Zonas de búsqueda inversa y elija Zona nueva. Aparece el Asistente para crear zona nueva. Haga clic en Siguiente.

2. Acepte la opción predeterminada Zona principal y haga clic en Siguiente. Acepte la op-ción predeterminada Zona de búsqueda inversa para IPv4 y haga clic en Siguiente.

3. En el cuadro de texto Id. de red, escriba la porción de red de su dirección IP. Por ejemplo, si su rango de dirección IP es de 10.0.0.1 a 10.0.0.99 con una máscara de subred de 255.255.255.0, entonces su Id. de red es 10.0.0.

4. Haga clic en Siguiente. Acepte Crear un archivo nuevo con… y el nombre invertido, como se muestra a continuación.

5. Haga clic en Siguiente. Dé clic en Permitir todas las actualizaciones dinámicas (se-guras y no seguras) y haga clic en Siguiente. Revise las opciones elegidas. Si ve algo que le interese cambiar, haga clic en Atrás, realice el cambio, regrese a la pantalla final y presione Finalizar.

6. Haga clic derecho en la nueva zona de búsqueda inversa recién creada y haga clic en Nuevo puntero. Se abre el cuadro de diálogo Nuevo registro de recursos.



7. Inserte la porción de host (en el extremo derecho) de la dirección IP y el nombre de host correspondiente a éste.

8. Haga clic en Aceptar. Repita los pasos 6 y 7, de acuerdo con lo necesario, para aña-dir punteros adicionales.

SUGERENCIA Puede crear registros de puntero automáticamente siempre que genera

un nuevo registro de host para búsqueda directa, al hacer clic en Crear registro de puntero

(PTR) asociado, en el cuadro de diálogo Host nuevo.

Configure un DNS dinámicoEl proceso de adición de hosts a una zona, aunque no es terrible, tampoco representa algo que querrá hacer siempre que DHCP cambia las asignaciones de dirección. El propósito de un DNS dinámico (DDNS, Dynamic DNS) es actualizar automáticamente un registro de host de zona, cada vez que DHCP efectúe un cambio. DDNS une DHCP y DNS para que, cuando DHCP haga un cambio, envíe la información apropiada a la zona en DNS, que des-pués reflejará el cambio. DNS y DHCP deben estar configurados en forma correcta para este trabajo. Use los siguientes pasos para conseguirlo:

1. Ya sea en el Administrador de servidor o en Administrador del DNS, bajo Zonas de búsqueda directa, haga clic derecho en la zona en que quiere agregar DDNS y dé clic en Propiedades.

2. En la ficha General, frente a Actualizaciones dinámicas, abra la lista desplegable y haga clic en Sin seguridad y con seguridad, si no está seleccionada. (Si el servidor DNS ha sido integrado con Active Directory, también tiene la opción Sólo con segu-ridad. En el capítulo 7 se explica cómo puede hacer clic, para permitir sólo actuali-zaciones seguras, si así lo desea.)



3. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, de la zona.

4. En el Administrador del servidor, en el árbol de la consola, bajo Funciones, abra Servidor DHCP|Servidor|IPv4.

5. Haga clic derecho en el ámbito que le interese unir a la zona DNS en que ha traba-jado y clic en Propiedades.

6. En la ficha DNS, cerciórese de que la casilla de verificación Habilitar actualizaciones DNS dinámicas… esté marcada y después haga clic en Actualizar siempre dinámi-camente registros DNS A y PTR.

7. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Ámbito. Cie-rre el Administrador del servidor o Administrador de DNS (el que tenga abierto).



Pruebe DNSPara probar si DNS funciona, haga lo siguiente:

▼ Intente usarlo

■ Use una opción de prueba en DNS

▲ Use Nslookup en la ventana Símbolo del sistema, si creó una zona de búsqueda inversa

Pruebe las tres de forma rápida:

1. Haga clic en Inicio, dé clic en el cuadro de texto Iniciar búsqueda, escriba \\ se-guido por el nombre del equipo en la red y oprima enter. Si DNS y DHCP están funcionando, la búsqueda debe tener éxito y se debe encontrar el equipo. Cierre la ventana que se abrió para mostrar el equipo de red.

2. Abra Administrador del servidor|Funciones|Servidor DNS|DNS, dé clic derecho en el servidor dentro del cual creó una zona, y en Propiedades. Abra la ficha Super-visión, seleccione Una única consulta… y Una consulta recursiva…, dé clic en Pro-bar ahora. Debe obtener los resultados de prueba en la parte inferior del cuadro de diálogo indicando que ambas pruebas fueron correctas. Cierre el cuadro de diálogo Propiedades de SERVIDOR y el Administrador del Servidor.



3. Haga clic en Inicio|Símbolo del sistema, escriba nslookup y oprima enter: si creó una zona de búsqueda inversa que incluyó el servidor, obtendrá nombre del servi-dor y dirección IP. Escriba un nombre de host, oprima enter y obtendrá el nombre de host completo con dominio y dirección IP. Escriba una dirección IP y obtendrá el nombre de host completo con su dominio.

4. Escriba Exit y presione enter para salir de Nslookup; escriba Exit y oprima enter nuevamente para cerrar la ventana Símbolo del sistema.

Figura 6-10. WINS, NetBIOS, TCP/IP y el modelo OSI.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculode datos

Físico

Aplicaciones

NetBIOSsobre TCP/IP

Conectoresde Windows

Especificación de interfaz de controlador de red(NDIS, Network Driver Interface Specification)

Controladores de hardware(Ethernet, token ring, FDDI)

NOTA Nslookup requiere tener una zona de búsqueda inversa, una de las razones

para crearla.

Configure el servicio de nombre de Internet de WindowsWINS tiene el mismo trabajo que DNS: resolver o convertir un nombre amigable para el usuario, fácil de recordar en una dirección IP, pero sólo se necesita si tiene equipos en su red con versiones de Windows anteriores a Windows 2000 (Windows 95, 98 Me y NT). WINS uti-liza la convención de nombre NetBIOS desarrollada por IBM y Microsoft, como parte de un esquema de red anterior. NetBIOS, que opera en la capa de la sesión (quinta) del modelo de red OSI, suele interactuar con NetBEUI en las capas de transporte y red del modelo OSI (véase la figura 6-10), que logra convirtiendo un nombre amigable de usuario directamente en di-



rección física (MAC). WINS, aplicación como DNS, mantiene una base de datos de nombres NetBIOS y direcciones IP equivalentes. Los nombres NetBIOS que utilizan NetBIOS sobre TCP/IP llaman a WINS y entonces pueden usarse con TCP/IP en lugar de NetBEUI.

NOTA El soporte para el protocolo NetBEUI, usado en comunicación con sistemas de

red de Microsoft anteriores, ha sido eliminado de Windows Server 2008.

WINS requiere muy poco mantenimiento, al principio se genera a sí mismo y se mantie-ne por sí solo conforme ocurren cambios. Sólo necesita activarlo y especificar la dirección IP del servidor en los clientes. Aunque WINS todavía está disponible en Windows Server 2008, DDNS ha usurpado gran parte de sus funciones, porque éste se encuentra integrado en Ac-tive Directory y DNS ofrece características de seguridad que no están disponibles en WINS. Si su red sólo tiene Windows Server 2008 o Windows Server 2003 y clientes de Windows Vista y XP, no necesita WINS, pues no se utilizan los nombres NetBIOS. Si tiene equipos con sistemas operativos de Windows anteriores (Windows 95/98/Me o NT) en su red, entonces WINS puede ser benéfico.

WINS puede coexistir en forma segura con DNS, si no tiene preocupaciones de seguridad relacionadas con el hecho de que la base de datos de WINS se cree y actualice automática-mente y la integración con Active Directory no es importante. En un entorno compartido, WINS maneja el nombre NetBIOS de una sola parte, con un máximo de 16 caracteres (el usuario puede insertar 15), usado en todos los sistemas operativos de Microsoft, hasta Win-dows Me y NT 4, mientras DNS maneja un nombre de dominio de varias partes, con un máximo de 255 caracteres usado en Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP.

NOTA En redes más pequeñas (con un máximo práctico en el rango de 35 a 50 equi-

pos y un máximo absoluto de 70), no necesita usar WINS ni DNS. Cada equipo de la

red transmite periódicamente a los otros equipos en red sus NetBIOS y direcciones IP

y después almacena esta información en un archivo de trabajo en el equipo que hizo la

solicitud inicial. Esto genera mucho tráfico de red y, a medida que la red crece, ese trá-

fico puede ser devastador. Puede reducir este tráfico al crear y mantener manualmente

un archivo de texto estático llamado Lmhosts (LM de LAN Manager, el sistema de red

original de Microsoft) que se revisa antes de transmitir en la red (busque Lmhosts.sam

[es probable esté en C:\Windows\System32\Drivers\Etc\], ábralo con el Bloc de notas

y siga las instrucciones al principio del archivo para crearlo). Mantener este archivo en

varios equipos se vuelve tarea importante y la razón por la que se desarrolló WINS. Un

archivo estático similar, Hosts, puede usarse con DNS, pero ambos archivos de texto

sólo son prácticos para redes pequeñas.

WINS, al igual que DNS, reside en un servidor. Para usarlo, un cliente consulta al ser-vidor mediante un nombre NetBIOS y el servidor responde con un número IP para ese nombre. Cuando configura un servidor WINS e inicia un cliente al darle la dirección del servidor, el cliente registra automáticamente su nombre y dirección IP con el servidor. Éste responde con TTL, la cantidad de tiempo que mantendrá el registro. De ahí en adelante, cada vez que el cliente inicie repetirá este proceso o, si está a la mitad de su TTL, volverá a registrar automáticamente su nombre.



Configure WINS en un servidorPara configurar WINS en el servidor, siga estos pasos:

1. Haga clic en Inicio|Administrador del servidor; en el árbol en la izquierda y haga clic en Características y luego en Agregar características. Recorra la lista de caracte-rísticas casi hasta el final y haga clic en Servidor WINS, en Siguiente e Instalar.

2. Cuando vea Instalación correcta, haga clic en Cerrar.

3. En el Administrador del servidor, abra Características|WINS. Dé clic derecho en Registros activos, haga clic en Mostrar registros, después en Buscar, en la parte inferior del cuadro de diálogo que se abre. Debe mostrarse una lista de nombres NetBIOS y direcciones IP, como se muestra aquí:

NOTA Puede tomar un poco de tiempo hasta que el servidor encuentre los clientes WINS,

hasta mediodía. El proceso procede mucho más rápido si filtra los clientes que quiere por

nombre o dirección IP, en el cuadro de diálogo Mostrar informes.

4. Si tiene clientes ajenos a WINS, puede agregar registros estáticos al hacer clic dere-cho en Registros activos y seleccionar Asignación estática nueva. Se abre el cuadro de diálogo del mismo nombre.

5. Ingrese el nombre del equipo y ámbito NetBIOS, si lo desea (el ámbito es una exten-sión del nombre utilizado para agrupar equipos). Después haga clic en tipo (consul-te la tabla 6-1) e inserte una o más direcciones IP, según sea necesario. Cuando haya terminado, haga clic en Aceptar, para cerrar el cuadro de diálogo y después cierre la ventana WINS.

Configure WINS en clientesLa configuración de un cliente WINS a menudo se hace en equipos que ejecutan otro siste-ma que no sea Windows Server 2008, Windows Vista o Windows XP. Los pasos para hacerlo en Windows 98 son los siguientes:

1. Haga clic en Inicio|Panel de control y haga doble clic en Red. Se abre el cuadro de diálogo Propiedades de red.

2. Seleccione TCP/IP para el adaptador de red y clic en Propiedades. Se abre el cuadro de diálogo Propiedades TCP/IP.



3. Haga clic en la ficha Configuración de WINS y en Habilitar resolución WINS. Escri-ba la dirección IP del servidor WINS y haga clic en Agregar.

Tabla 6-1. Tipos de registros WINS estáticos.

Tipo Explicación

Único Un solo equipo con una sola dirección IP

Grupo Un nombre de grupo con una sola dirección IP para el grupo

Nombre de dominio Un nombre de dominio con hasta 25 direcciones IP para sus miembros

Grupo Internet Un nombre de grupo con hasta 25 direcciones IP para sus miembros

Host múltiple Un equipo con hasta 25 direcciones IP para varias NIC

4. Cuando haya terminado de insertar servidores WINS, haga clic dos veces en Acep-tar, para cerrar todos los cuadros de diálogo abiertos. Haga clic en Sí para reiniciar su equipo.

5. Repita los pasos del 1 al 4 para cada cliente de la red.



CONFIGURE CUENTAS DE USUARIOSY PERMISOS DE GRUPO

Para obtener acceso a otro equipo u otros recursos (como una impresora) en la red, un usua-rio debe tener permiso para hacerlo. Estos permisos comienzan con el usuario como una en-tidad conocida, pues tiene una cuenta de usuario. Puede tener cuentas de usuario local, que proveen acceso a un equipo y cuentas de usuario de dominio, que ofrecen acceso a todos los recursos del dominio. Las cuentas de usuario de dominio, como se implementan en Active Directory, podrían ser muy valiosas y, en muchos casos, facilitan la manera para estructurar una red; se analizan en los capítulos 7 y 15.

En lugar de asignar permisos a individuos, se asignan individuos a grupos con ciertos permisos. En esta sección se busca configurar cuentas de usuario local, configurar grupos y asignar usuarios a grupos.

Las cuentas de usuario, grupos y permisos son parte importante de la seguridad de red, mientras los aspectos de seguridad de estos elementos, como estrategias de contraseña, se analizan en el capítulo 15. Esta sección se concentra en configurar elementos, no en la mane-ra en que deben usarse para propósitos de seguridad.

NOTA Si está usando o va a usar un dominio, es importante configurar cuentas de

usuario de dominio, en lugar de cuentas de usuario local en equipos dentro del domi-

nio. El dominio no reconoce las cuentas de usuario local, así que un usuario local no

puede usar recursos de dominio y un administrador de dominio no puede administrar

cuentas locales.

Planee los nombres de usuario y contraseñasAntes de configurar las cuentas de dominio o usuario local, su organización debe tener un plan para nombres de usuario y contraseñas que utilizará. El objetivo es que sean consisten-tes y usen prácticas prudentes. Aquí se muestran algunas configuraciones:

▼ ¿Va a usar el nombre e inicial del apellido, inicial del nombre y apellido o nombres y apellidos completos?

■ Si lo hace, ¿cómo va a separar nombres y apellidos? Muchas organizaciones no usan separación, mientras otras utilizan puntos o guiones de subrayado

■ ¿Cómo va a manejar a dos personas con el mismo nombre y apellido? Agregar un número tras un nombre es una respuesta común; usar la inicial del segundo nombre es otra

■ ¿Necesita una clase especial de nombres, por ejemplo, para los subcontratistas de su organización? De ser así, ¿cómo quiere diferenciarla de la de los otros usuarios? Un método consiste en poner antes de sus nombres uno o dos caracteres para indicar su posición, como “SC” para subcontratista



■ Los nombres deben ser únicos, no pueden tener más de 20 caracteres de largo (o 20 bytes de largo, si el carácter toma más de 1 byte), no distinguen mayúsculas de minúsculas, tampoco pueden contener el carácter @ ni pueden incluir únicamente puntos y espacios. Los puntos o espacios al principio o final se ignoran

▲ Las contraseñas deben ser únicas; no pueden tener más de 127 caracteres; pueden tener mayúsculas o minúsculas; deben usar una mezcla de letras, números y símbo-los, así como tener al menos 8 caracteres de largo

SUGERENCIA Si su contraseña es mayor de 14 caracteres, no podrá iniciar sesión en la

red de un equipo Windows 98/98/Me.

Configure cuentas de usuario localesWindows Server 2008 y Windows Vista crean diferentes cuentas de usuario cuando se insta-lan; entre ellas hay dos que al principio se llaman Administrador e Invitado. Puede cambiar nombre y contraseña para cada una de estas cuentas, pero no eliminarlas. Cuando recorre la instalación de Windows Server 2008, como se describió en los capítulos 2 y 3, se establecela contraseña inicial para la cuenta Administrador, pero toda la creación y mantenimiento de cuentas se hace fuera de la instalación.

NOTA Si su servidor es un controlador de dominio (DC, Domain Controller), sólo podrá

configurar cuentas de usuario de dominio. Las cuentas de usuario local sólo se crean en

servidores que no son DC o en clientes.

Siga estos pasos para ver cómo se configuran las cuentas de usuarios locales (recuerde que si el servidor buscado es un controlador de dominio, no podrá encontrar Usuarios y grupos locales):

1. Haga clic en Inicio|Administrador del servidor, después en el árbol

de la consola, abra Configuración| Usuarios y grupos locales. Dé clic derecho en Usuarios y seleccione Usuario nuevo. Se abrirá el cuadro de diálogo Usuario nuevo.

2. Inserte Nombre de usuario, Nombre completo, Descripción y Contra-seña, como se muestra aquí. Selec-cione cómo quiere administrar las contraseñas y haga clic en Crear.

3. Repita el paso 2 para todos los usua-rios locales que tenga. Cuando haya terminado, haga clic en Cerrar.



Configure grupos y sus miembrosLos grupos le permiten definir lo que un tipo particular de usuario tiene permitido hacer en el equipo. Una vez que haya hecho eso, los usuarios definidos pueden ser miembros de estos grupos y entonces tendrán los mismos permisos que los grupos a los que pertenecen. Windows Server 2008 incluye varios grupos ya definidos, así que el primer paso consiste en entender cuáles son. Después puede agregar uno o más grupos propios.

1. En el árbol de la consola Administrador del servidor, con Configuración y Usuarios y grupos locales abierto, haga clic en Grupos. Aparece la lista de los grupos defini-dos, como se muestra aquí:

El conjunto estándar de grupos proporciona un buen espectro de permisos, como se observa al leer la columna Descripción, en la ventana Administrador del servidor.

2. Cree un nuevo grupo al hacer clic derecho en Grupos, en el panel de la izquierda o al seleccionar Grupo nuevo. Se abre el cuadro de diálogo Grupo nuevo.

3. Escriba el nombre de grupo y una descripción, que debe mostrar una lista de per-misos que tiene el grupo.

4. Haga clic en Agregar; se abre el cuadro de diálogo Seleccionar usuarios. Escriba los usuarios que quiere añadir en el cuadro de texto inferior, al hacer clic en Comprobar nombres después de cada entrada, o haga clic en Avanzadas y luego, en Buscar ahora, elija un nombre de la lista y dé clic en Aceptar, para transferirlo a la lista de nombres.

5. Cuando haya terminado, haga clic en Aceptar, en Crear, para crear el nuevo grupo y haga clic en Cerrar, para cerrar el cuadro de diálogo Grupo nuevo.

NOTA En el capítulo 15 se analiza en detalle cómo configurar permisos.



Agregue usuarios a gruposAunque puede agregar usuarios a grupos cuando crea estos últimos, a menudo agregará usuarios a grupos sin necesidad de crearlos, como se muestra a continuación (debe tener todavía abierta la ventana Administrador del servidor y expandir Configuración|Usuarios y grupos locales, en el árbol de la consola, a la izquierda):

1. Abra Usuarios al hacer clic en el panel de la izquierda; en el panel de la izquierda, ubique y haga clic derecho en el usuario cuya pertenencia a un grupo quiere cam-biar y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.

2. Dé clic en la ficha Miembro de y en Agregar. Se abre el cuadro de diálogo Grupos seleccionados.

3. En el cuadro de texto inferior, escriba los grupos que quiere agregar, seleccionan-do Comprobar nombres, después de cada entrada o haga clic en Avanzadas y en seguida en Buscar ahora, seleccione el nombre de la lista y dé clic en Aceptar, para transferirlo a la lista de nombres, como se muestra a continuación. Cuando haya seleccionado todos los grupos, haga clic en Aceptar.

4. Cuando haya terminado con la cuenta de usuario, haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, después haga clic en Cerrar, para cerrar la venta-na Administrador del servidor.

El cuadro de diálogo Propiedades del usuario contiene varias fichas que no se mencio-naron antes. Éstas se analizarán en capítulos futuros. Por ejemplo, Perfil, permite definir uno para cierto usuario, de modo que cuando inicie sesión en un equipo, el perfil configure automáticamente escritorio, menús y otras características para ese usuario. Se analiza en el capítulo 14. Otro ejemplo es Marcado, que configura la manera en que un usuario trabajará con acceso remoto y red privada; es el tema del capítulo 11.

Recuerde que estas cuentas de usuario local están limitadas a un solo equipo y no pue-den administrarse de forma central. La forma más amplia y sencilla de implementar las cuentas de usuarios es con dominios, que se analizan en el capítulo 7.


7

187

CAPÍTULO

Uso de Active Directory y dominios



Tal vez el cambio más grande en Windows 2000 respecto a Windows NT fue la adición de Active Directory (AD). En Windows Server 2003 y Windows Server 2008, AD se ha mejorado, haciéndolo parte mucho más importante del sistema operativo. Active

Directory provee una sola referencia, llamada servicio de directorio, de todos los objetos de una red, incluidos usuarios, grupos, equipos, impresoras, directivas y permisos. Para un usuario o administrador, AD provee una sola vista jerárquica desde la que se acceden y administran todos los recursos de la red. AD utiliza protocolos y estándares de Internet, incluida la au-tentificación Kerberos, capa de conectores seguros (SSL, Secure Sockets Layer) y seguridad en la capa de transporte (TLS, Transport Layer Security); un protocolo de acceso a directorio ligero (LDAP, Lightwight Directory Access Protocol) y el servicio de nombre de dominio (DNS, Domain Name Service). AD requiere uno o más dominios para operar.

Un dominio, como se utiliza en Windows NT, 2000 y Windows Server 2003 y 2008, es una colección de equipos que comparten un conjunto común de directivas, nombre y base de datos de sus miembros. Un dominio debe tener uno o más servidores que sirven como con-troladores de dominio y almacenan la base de datos, mantienen las directivas y proporcionan autentificación para inicios de sesión de dominio. Un dominio, como se utiliza en Internet, es el segmento más alto de un nombre de dominio de Internet e identifica el tipo de orga-nización; por ejemplo, .gov para agencias gubernamentales y .net para proveedores de ser-vicio de Internet (ISP, Internet Service Provider). Un nombre de dominio es la dirección de Internet completa, usada para alcanzar una entidad registrada en Internet. Por ejemplo, www.mcgraw-hill.com o www.mit.edu.

EL ENTORNO DE ACTIVE DIRECTORYAD juega dos funciones básicas importantes para una red: la de un servicio de directorio, que contiene una lista jerárquica de todos los objetos de la red, así como la de un servicio de auten-tificación y seguridad que tanto controla como proporciona acceso a recursos de red. Estas dos funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su núcleo, AD de Windows Server 2008 es un servicio de directorio integrado con DNS, además de un servicio de autentificación de usuario para el sistema operativo Windows Server 2008. Sin embargo, esta explicación introduce pocos términos e incluye varios conceptos.

Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los términos no son intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en una red. Un directorio jerárquico tiene una estructura cuya configuración integrada permite que se agrupen objetos de forma lógica; de tal modo, los objetos de nivel inferior se agrupan y contienen de forma lógica en objetos de nivel superior en todos los niveles deseados. Esta agrupación puede basarse en varios criterios diferentes, pero éstos deben ser lógicos y con-sistentes con toda la estructura de directorio.

Dos de las estructuras de directorio más comunes usadas en las redes se basan en funciones de objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una orga-nización, que tal vez cuenten con estructura propia, como departamentos dentro de divisiones.


189 Capítulo 7: Uso de Active Directory y dominios

Un departamento particular sería el primer punto organizativo en una organización. A un con-tenedor que almacena todos los objetos en un departamento se le denomina unidad organizativa (OU, Organizational Unit) y se agrupa en OU de nivel superior, basada en la estructura lógica.

Tras crear un grupo de OU, verá que la estructura causa que su directorio sea confuso, de navegación compleja o ambas. Como resultado, quizás necesite cambiar su red para tener más OU de alto o bajo nivel. En la parte superior de todos los directorios está la OU maestra que contiene todas las demás OU. A este directorio se le conoce como raíz y normalmente se le designa con un solo punto. Esta estructura jerárquica se vería así:

AD es tan básico como la organización recién mostrada. Sin embargo, gran parte de la estructura central de AD ya ha sido asignada por Microsoft y es consistente en todas las implementaciones de Windows Server 2008. Por esto, algunos de los contenedores, sólo OU, se han asignado a nombres específicos y funciones en AD. A medida que esta estruc-tura de directorio preconfigurada se explica en el resto del capítulo, no deje que términos y nombres lo confundan. En realidad, todo esto es simplemente una colección de objetos en varias OU.

El “servicio” en “servicio de directorio” se añade a las características de un servidor que, de otra manera, no estarían disponibles. Al principio, un servicio de directorio permite acceso a un directorio de información y a servicios brindando información acerca de la ubicación, métodos de acceso y derechos de acceso a los objetos dentro del árbol de servicio de directo-rio. Esto significa que los usuarios acceden a un solo directorio y después se conectan direc-tamente a otros servidores y servicios que, en apariencia, provienen del directorio original. En gran medida, en este capítulo se analizan diferentes tipos de objetos y métodos de acceso que AD proporciona a usuarios y administradores.

Unidades organizativasDivisiónA

DepartamentoA

DepartamentoB

DepartamentoC

DepartamentoD

DivisiónB

“ “ Raíz

NOTA AD, Microsoft Exchange y Novell Directory Services (NDS) están basados en el

estándar X.500, reconocido internacionalmente y usado para crear una estructura de direc-

torio. De manera específica, AD se basa en la nueva versión X.509 de la familia X.500.



Integración con DNSGran parte de la estructura y servicios de AD, además del espacio de nombres en uso, se basa en el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres es el esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet utilizan espacios de nombres jerárquicos separados por puntos, como se describió antes en este capítulo. En unos momentos se analizará la manera en que AD utiliza DNS, pero es ne-cesario revisar primero estructura y funcionamiento de DNS y cómo se utiliza para generar las bases de AD.

Todos los servidores y servicios en Internet tienen asignada una dirección numérica de protocolo de Internet (IP, Internet Protocol), así como todo el tráfico de Internet utiliza este número IP para llegar a su destino. Los números IP cambian y pueden hospedar varios servicios simultáneamente. Además, la mayoría tiene dificultades para recordar nú-meros arbitrarios grandes, como las direcciones IP. Éstas son descripciones decimales de números binarios, sin patrón visible. Los servicios DNS se crearon para permitir a servido-res y otros objetos en la red asignar un nombre amigable para el usuario, mismo que DNS traduce en un número IP. Por ejemplo, un nombre amigable para el usuario como correo.mcgraw-hill.com puede traducirse o resolverse en un servidor DNS a una dirección IP como 168.143.56.43, que la red puede usar para ubicar el recurso deseado.

Los servidores DNS manejan estructuras de directorio jerárquicas, como en el ejemplo descrito al inicio de este capítulo. En el núcleo de los servidores DNS existen dominios de raíz con un directorio raíz, al que se hace referencia con un solo punto. Los primeros grupos de OU bajo la raíz son diversos tipos de dominios que pueden existir, como COM, NET, ORG, GOV, EDU, etc. InterNIC, una rama del Departamento de Comercio de Estados Unidos, controla más de 250 de estos dominios de nivel elevado en Estados Unidos, ad-ministrados por una empresa privada sin fines de lucro llamada Internet Corporation for Assigned Names and Numbers (ICANN), que controla varios servidores raíz que contienen una lista de todas las entradas en cada subdominio.

El siguiente grupo de OU tras “.COM” lo integran nombres de dominio como coke.com, microsoft.com y mcgraw-hill.com. Las organizaciones o individuos a los que pertenecen re-gistran y administran estos dominios. Varias compañías han contratado a InterNIC/ICANN para registrar nuevos nombres de dominio añadidos a Internet; verá una lista alfabética de estas compañías en http://www.internic.com/alpha.html.

Un nombre de dominio, como mcgraw-hill.com, puede obtener OU adicionales, llama-das subdominios y objetos de servidor reales. En el ejemplo anterior, correo.mcgraw-hill.com, el servidor de correo es un objeto del dominio mcgraw-hill.com. A un nombre de servidor como correo.mcgraw-hill.com, que contiene todas las OU entre éste y la raíz, se le denomina nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain Name). En la fi-gura 7-1 se muestra el proceso de resolución de nombres requerido cuando un cliente como el de la esquina inferior izquierda de la figura 7-1 pide a un servidor DNS resolver un FQDN en una dirección IP, subiendo y bajando por la cadena de servidores DNS.



Active Directory y DominiosAD y DNS comparten la misma OU central, llamada dominio. Para quienes están familiari-zados con Windows NT 4, Windows 2000 o Windows Sever 2003, el concepto de dominio debe serles familiar. Un dominio es un servicio de autentificación central y de directorio con toda la información de un grupo de equipos de cómputo. NT 4 tiene varias limitaciones importantes en el uso de dominios. Inicialmente, los dominios no eran realmente servidores de directorio, porque sólo contenían usuarios, grupos y equipos en una estructura no jerár-quica. Aunque todos los equipos podían usar el depósito central de información para pro-blemas de autentificación, el directorio no estaba disponible para la ubicación de objeto ni la administración de recursos. En AD, las características centrales y búsqueda de dominios NT heredados aún están presentes, pero se han extendido ampliamente. Entre las muchas mejoras, que se analizarán en el curso de este capítulo, está la capacidad de los dominios AD

Figura 7-1. El proceso de resolución para un nombre de dominio en una dirección IP.



para escalar a casi cualquier tamaño, en oposición al límite de 40 000 objetos, impuesto a estructuras de dominio NT. Otra mejora es la capacidad de AD para formar confianzas de dos vías, transitivas con otros dominios en la red (esto se analizará con mayor detalle en páginas posteriores de este capítulo).

La integración temprana entre AD y DNS puede resultar, al principio, un poco confusa. Al ver AD y DNS, es fácil pensar que en realidad son lo mismo, pues utilizan los mismos nombres y esquemas de nombres. Sin embargo, no es así. En la actualidad, DNS y AD son servicios de directorio separados que utilizan los mismos nombres para diferentes espacios de nombres. Cada directorio contiene objetos e información diferentes, acerca de objetos de su propia base de datos. Sin embargo, estos nombres, además de la estructura de directorio, a menudo son idénticos.

Cada equipo con Windows Server 2008 tiene un FQDN. Ésta es la combinación de su propio nombre de equipo con el nombre del dominio en que reside. Por ejemplo, los equipos de Windows Server 2008 en el dominio McGraw-Hill pueden tener un nombre de equipo idéntico a nombredelequipo.mcgraw-hill.com. Sin embargo, el mismo equipo puede ser en realidad miembro del subdominio editorial.mcgraw-hill.com. En este caso, el FQDN del equipo sería realmente nombredelequipo.editorial.mcgraw-hill.com.

Directorios DNSEn realidad, un directorio DNS no almacena objetos en su base de datos. En cambio, DNS almacena dominios, la información de acceso para cada dominio e información de acceso para objetos (como servidores e impresoras) en el dominio. La información de acceso suele ser sólo FQDN y dirección IP relacionada. Todas las consultas de una dirección IP del objeto relacionarán el FQDN de la solicitud con el índice FQDN en el directorio DNS y devolverán (resolverán) la dirección IP. En algunos casos, la información de acceso (o referencia de recurso) simplemente apunta a otro objeto (o recurso) en el mismo dominio DNS o uno diferente.

Un dominio DNS estándar no puede revertir este proceso al regresar un FQDN cuando se proporciona con una dirección IP. Para que este tipo de resolución sea posible, requiere una zona de búsqueda inversa, como se analizó en el capítulo 6. A estos dominios se les conoce como dominios “in-addr-arpa”, dentro de la jerarquía DNS.

Entre otras funciones especiales de DNS, que añaden características a una red, está la referencia a Mail Exchanger que puede agregarse a un nombre de dominio DNS. La refe-rencia a Mail Exchanger (conocida como MX) permite a los servidores de correo localizar servidores de correo de otros dominios, para permitir la transferencia de correo electrónico a través de Internet.

Servicios de Active DirectoryLos servicios de AD contienen una cantidad mayor de información que la disponible en directorios DNS, aunque nombres y estructura sean casi idénticos. AD resuelve toda la in-formación de las solicitudes de objetos en su base de datos al utilizar consultas LDAP. El servidor AD también puede ofrecer una cantidad variable de información acerca de cada



objeto en su base de datos. Entre la información que AD puede proporcionar se incluye la siguiente (pero no se limita a ella):

▼ Nombre de usuario

■ Información de contacto, como dirección física, números de teléfono y direcciones de correo electrónico

■ Contactos administrativos

■ Permisos de acceso

■ Propietario

▲ Atributos de objeto, como características de nombre de objeto; por ejemplo, impre-sora a color Laser Jet, 20 hojas por minuto, impresión dúplex

Aunque DNS no requiere AD, en cambio AD demanda que un servidor DNS esté ins-talado y funcionando correctamente en la red, antes de que un usuario pueda encontrar el servidor AD. Cuando Windows Server 2003 se desplazó por completo a los estándares de Internet para su red de sistema operativo (lo que se desplazó también a Windows Server 2008), debió encontrarse un método para ubicar servicios de red distintos a la transmisión NetBIOS utilizada en Windows NT. Esto se hizo mediante el uso de un nuevo tipo de domi-nio DNS, conocido como dominios de DNS dinámicos (DDNS, Dynamic DNS). Un dominio DDNS, que se integra en AD, permite a todos los controladores usar la misma base de datos, que se actualiza automáticamente cuando se añaden a la red nuevos equipos de Windows Server y al eliminarse. El dominio DDNS también permite que DNS funcione con redes basadas en el protocolo de configuración dinámica de host (DHCP, Dynamic Host Confi-guration Protocol), donde las direcciones IP de los objetos de red cambian constantemente. Además de proveer la resolución de nombre para la red, los dominios DDNS también con-tienen una lista de todos los dominios y controladores de dominio en red. Esto significa que, a medida que se incorporan nuevos sistemas Windows Server a una red, solicitarán a los servidores DDNS que obtengan nombre e información de conexión, incluida la dirección IP, de los controladores de dominio más cercanos.

NOTA En instalaciones de Windows NT, los servidores de servicio de nombre de Internet

de Windows (WINS, Windows Internet Name Service) proporcionaban estaciones de tra-

bajo nuevas con la ubicación de controladores de dominio. Para permitir la compatibilidad

con estaciones de trabajo de Windows 3.11, Windows 95 y Windows 98 que no ejecutan

el cliente AD, todavía se necesitan en la red servidores WINS. Los servidores de Windows

Server 2003, 2008 y Windows 2000, además de los servidores NT heredados, tienen la

capacidad para hospedar servicios WINS e integrarlos con DNS.

Active Directory y el espacio de nombres DNS globalLos dominios AD están diseñados (y pretenden existir) dentro del esquema de nombre de dominio DNS global operando en Internet. Esto significa que, por diseño, el dominio DNS de su red también se relacionaría con el esquema de asignación de nombres de dominio de AD. En algunas organizaciones, resulta difícil la migración de la red de área local (LAN,



Local Area Network) NT heredada, pues ya están funcionando dominios de LAN e Internet independientes. En este caso, pueden usarse los servicios DDNS para dominio AD de LAN y hospedarse en servidores DNS internos.

Los servidores externos, que proporcionan servicios de hospedaje Web de Internet, como los de protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Proto-col) y protocolo de transferencia de hipertexto (HTTP, HyperText Transfer Protocol), todavía utilizarían la estructura DNS de Internet y proporcionarían asignación de recursos necesaria en cada dominio, para permitir su coexistencia, como se muestra aquí:

NOTA Las funciones que proporciona un dominio DDNS, necesarias para AD, son la lista

de información de dominio y ubicación de los servidores de dominio. Estas funciones las

proporciona un objeto llamado recurso de ubicación de servicios (SRV, Service Location

Resource). Los SRV no son únicos para dominios Windows DDNS y, por tanto, algunos

productos de servidor DNS de terceros trabajan con AD. Sin embargo, la configuración de

estos servidores DNS de terceros, para integrarse con AD, puede representar una tarea

considerable.

INSTALE ACTIVE DIRECTORYExisten dos formas para instalar AD: agregarlo a un dominio existente o formar un nuevo dominio. (En el caso de quienes están familiarizados con AD, también encontrarán aquí algunos problemas relacionados con bosques y árboles, pero éstos se analizarán más ade-lante, en este capítulo.) Instalar AD en un servidor convierte el servidor en un controlador de dominio, un servidor que hospeda a la base de datos central de todos los usuarios y grupos dentro del dominio, para mantener todas las funciones relacionadas con el dominio, como inicio de sesión y autentificación de usuario dentro del dominio, además de relaciones de



confianza. Este proceso se hace en los servidores NT existentes o en servidores AD de Win-dows Server 2008, Windows Server 2003 o Windows 2000. Windows 2000 fue la primera plataforma de Windows que permitía la promoción de servidores miembros a controlado-res de dominio. Si un dominio contiene varios servidores AD, entonces los servicios AD se eliminan de un controlador de dominio y el servidor se regresa a un servidor miembro estándar, dentro del dominio.

Cuando se instala AD en un dominio NT heredado, el controlador de dominio primario (PDC, Primary Domain Controller) de un dominio debe ser un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 que ejecuta AD. Obviamente, esto sólo es un problema en los casos en que existen en el dominio Windows Server 2008, Windows Server 2003 o Windows 2000, además de controladores de dominio NT heredados (se les denomina red de modo mixto). En casos donde está instalando el primer servidor AD en un dominio heredado, el PDC existente deberá actualizarse a un servidor Windows Server 2008, Win-dows Server 2003 o Windows 2000 y entonces AD puede agregarse. Un servidor Windows Server 2008, Windows Server 2003 o Windows 2000 puede existir sin AD en un dominio heredado NT, pero antes de agregar AD, el PDC debe actualizarse a Windows Server 2008, Windows Server 2003 o Windows 2000.

SUGERENCIA En algunos casos es aconsejable agregar un controlador de dominio sin

otros servicios que las funciones de dominio NT, para simplificar lo más posible la actualiza-

ción. Entonces el controlador de dominio puede actualizarse para asumir el rol PDC en el

dominio heredado. Con esta migración completa, los servidores existentes pueden migrarse

de cualquier forma, incluido reformateo y recarga del disco duro, que es aconsejable. Algu-

nas compañías, como Hewlett-Packard, Dell e IBM, han automatizado los CD de instalación de

Windows Server 2003 y Windows 2000 (y, en breve, tal vez los de Windows Server 2008)

para muchos de sus servidores, mismos que automáticamente cargarán los controladores

correctos y su hardware del sistema. Más adelante, puede eliminar el controlador de domi-

nio extra o usarse para reemplazar uno de los controladores de dominio existentes.

Para instalar AD en Windows Server 2008, se usa el Asistente para instalación de Servicios de dominio de Active Directory, que aparece automáticamente, si está actualizando un con-trolador de dominio o puede iniciarse después con Agregar funciones, en el Administrador del servidor (consulte “Instale funciones de servidor”, en el capítulo 3), cuando decida que el servidor sea un controlador de dominio e instale AD. En el Asistente para instalación de los Servicios de dominio de Active Directory, se le pregunta si quiere crear un nuevo dominio o agregar un controlador de dominio a un dominio existente, como se ilustra en la figura 7-2.

PRECAUCIÓN Los equipos que ejecutan Windows 95 o Windows NT 4 SP3 y anteriores

no podrán iniciar en un controlador de dominio de Windows Server 2008 ni obtener acceso a

recursos de dominio, a menos que instale el cliente de Active Directory para tales sistemas.

NOTA Los clientes de Active Directory para Windows 95, Windows 98 y versiones anterio-

res en Windows NT 4 están disponibles para su descarga en el sitio Web de Microsoft, en

páginas para los diferentes sistemas operativos.



Cuando instale en un dominio existente, se revisarán sus derechos administrativos en el dominio. Es posible que tenga derechos administrativos en el servidor que actualiza, pero quizás carezca de suficientes derechos en el dominio o controladores de dominio para con-seguir la instalación. Tras instalar el servicio AD, se hará la configuración restante mediante Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y confianzas de Active Directory. Los primeros dos están disponibles en el árbol de la consola Administrador del servidor, mientras el tercero puede abrirse, como se presenta en la figura 7-3, con Inicio|Herramientas administrativas.

Figura 7-2. Determine si quiere crear un nuevo dominio en un nuevo bosque, un nuevo dominio

en un bosque existente o agregar un controlador de dominio a un dominio existente.

Reemplace los controladores de dominio existentesLos servidores Windows Server 2008, que funcionan en dominios nativos (dominios que sólo contienen controladores de dominio de Windows Server 2008), actúan como conexión punto a punto con todos los miembros que contienen la base de datos de servicios AD, con iguales privilegios de lectura/escritura. En dominios NT heredados, sólo el PDC contiene la copia de lectura/escritura maestra del almacenamiento de directorio del dominio. A todos los demás controladores de dominio, en dominios NT, se les conoce como controladores de dominio de copia de seguridad (BDC, backup domain controllers), que contienen copias de sólo lectura del almacenamiento de información del directorio de dominio. BDC está disponible para autentificar usuarios y proporcionar información de dominio, pero todas las adiciones y modificaciones a los datos existentes deben hacerse a PDC. Cuando se instalan en modo mixto, un servidor AD todavía respondería a llamadas de procedimiento remoto (RPC, Re-



mote Procedure Call), como si fueran un PDC, y después se replicarían cambios de direc-torio al BDC heredado. Esto significa que no todos los controladores de dominio heredados reconocen modificaciones grandes a la red. En dominios de Windows 2000, todos los con-troladores de dominio actúan como una conexión de punto a punto, donde todos los miembros contienen la base de datos de servicios de AD, con iguales privilegios de lectura/escritura, de manera similar a Windows Server 2003 o 2008. Pero si mezcla controladores de dominio de Windows 2000 con otros de Windows Server 2003 y 2008 en el mismo bosque, operarán como si todos fueran controladores de dominio de Windows 2000, sin estar disponibles varias de las mejoras de AD en Windows Server 2003 y 2008. Cuando todos los contro-ladores de dominio de Windows 2000 se han actualizado a Windows Server 2003 o 2008, el nivel de funcionalidad puede mejorarse a la nueva versión, para brindar acceso a las nuevas características.

Figura 7-3. Configuración de AD en una de tres consolas de administración de Microsoft

(MMC, Microsoft Management Consoles).



El método de operación utilizado por AD es igual al de replicación de varios maestros: sig-nifica que se pueden hacer cambios a cualquier servidor AD y esos cambios se replicarán a otros servidores en red. En este esquema de replicación de varios maestros existe un par de conceptos importantes que incluyen el primer servidor AD en el dominio, que se configura automáticamente en el servidor de catálogo global y un maestro de operaciones.

Servidor de catálogo globalEl catálogo global es un tipo de base de datos en el núcleo de los servicios de directorio. El catá-logo global contiene una lista de servicios a los que se accede en la red, no sólo desde el dominio local. El catálogo global puede almacenarse en varios controladores de dominio, pero siempre debe estar instalado al menos en uno y, como opción predeterminada, siempre se crea en el primer servidor AD instalado en un nuevo bosque. (El concepto de bosque se explica más adelante en el capítulo.) La configuración del catálogo global y su colocación en varios servidores de la red se hacen a través de sitios y servicios de Active Directory, en MMC.

NOTA Existen controladores de dominio de sólo lectura (RODC, Read Only Domain Con-

troller) por diseño. Consulte “Controladores de dominio de sólo lectura”, en páginas posterio-

res de este capítulo, para conocer más información.

SUGERENCIA Cuando opera en modo mixto, todos los controladores de dominio realizan

inicios de sesión de usuario de forma independiente. Sin embargo, cuando opera en modo

nativo, se requiere una consulta a un servidor de catálogo global (porque determina una

pertenencia al grupo global del usuario). Por tanto, las reglas para instalar varios catálogos

globales en una red son muy similares a las de instalar BDC adicionales a un dominio NT 4.

Cuando se instalan varios sitios distantes, el hecho de tener un servidor de catálogo global

en cada sitio disminuirá la carga de red en vínculos WAN que, de otra forma, se utilizarían

para ofrecer autentificación de usuario. De forma adicional, es mucho más eficiente tener va-

rios servidores de catálogo global para distribuir la carga de red de tráfico de autentificación

de manera uniforme entre varios servidores de red, en lugar de apilar esta carga para que

un solo servidor la administre. Por supuesto, la necesidad de servidores de catálogo global

adicionales incrementa el ancho de banda consumido para sincronización de directorios.

DC = Controlador de dominio GC = Catálogo global = Replicación de directorio de dominio

= Replicación de catálogo global

GC

DC DC

GC

DC DC

Dominio A Dominio B



En general, los servidores de catálogo global en una red proveen dos características principales: inicio de sesión y consulta. Cuando opera en un dominio en modo nativo, se permite que existan grupos universales en el bosque. Debido a que los grupos universales pueden contener usuario y grupos de varios dominios, no puede existir un grupo universal dentro de un dominio individual. Por tanto, el catálogo global mantiene los grupos univer-sales dentro de la red, además de cada pertenencia al grupo. En los dominios de Windows 2000, esto significa que siempre que se opera una red en modo nativo, el servidor AD que hace que inicie sesión un usuario en la red debe consultar al servidor de catálogo global para determinar la pertenencia al grupo universal del que el usuario puede formar parte. En los casos en que un usuario inicia sesión y un servidor de catálogo global no está disponible, sólo se permitirá acceso al usuario en el equipo local. Esto evita cualquier problema de segu-ridad, en que un grupo global basado en el dominio permite acceder al usuario a un recurso del que el grupo universal lo excluyó. Sin embargo, en caso de una emergencia, se permitirá iniciar sesión en la red a cualquier cuenta de usuario que pertenezca al grupo Administra-dor de dominio, en el dominio local. En Windows Sever 2008, los controladores de dominio pueden almacenar en el caché pertenencias al grupo universal que se han buscado en un servidor de catálogo global durante el inicio de sesión; de tal modo que la próxima vez que un miembro del grupo universal inicia sesión en un controlador de dominio particular puede confirmarse la membresía de forma local.

La segunda característica principal ofrecida por el catálogo global, la consulta, es un poco más obvia. Una red grande puede tener varios dominios coexistiendo. En este caso, el catálogo global ofrece un solo lugar para referencia de todos los usuarios de la red, cuando se buscan recursos específicos. La opción alterna al catálogo global, en este ejemplo, sería el requisito de que cada usuario conozca la ubicación exacta del recurso que quiere usar el usuario, o busque cada dominio de forma independiente. La característica de consulta de AD provee otra razón principal para tener varios servidores de catálogo global a través de la red.

Maestro de operacionesEl segundo servicio principal, agregado al primer servidor AD de una red, es el maestro de operaciones. Dentro de los dominios de Windows Server 2008, existe la necesidad de cen-tralizar algunos cambios a los servicios de directorio. Aunque AD se basa en el modelo de replicación de varios maestros, mientras todos los controladores de dominio son conexio-nes de punto a punto dentro de Windows Server 2008, todavía existen algunos cambios que pueden causar muchos problemas si no se configuran desde diferentes ubicaciones. Por esto, sólo se asigna un controlador de dominio de Windows Server 2008 en cualquier bosque y dentro de cualquier dominio, para convertirse en el maestro de operaciones para ese dominio o bosque. En operaciones de dominio, se asignan tres funciones al maestro de operaciones del dominio:

▼ Emulador de PDC En un modo de red mixto, los miembros de la red heredada lo ven como un PDC

■ Maestro de ID relativo Asigna bloques de ID de seguridad a otros controladores de dominio en la red

▲ Maestro de infraestructura Actualiza los demás controladores de dominio, con cambios en nombres de usuario y referencias de grupo a usuario



En un bosque sólo se asignan dos funciones al maestro de operaciones del bosque:

▼ Maestro de nombre de dominio Agrega o elimina dominios en un bosque

▲ Maestro de esquema Actualiza el esquema del directorio y vuelve a aplicar éste a otros controladores de dominio en el bosque

ENTIENDA LA ESTRUCTURA Y CONFIGURACIÓNDE ACTIVE DIRECTORY

Una red AD contiene varios objetos en una estructura muy completa y puede configurarse de varias formas. Esta sección se concentra en algunos de los objetos en Active Directory, además de cierta configuración básica relacionada con cada objeto como los siguientes:

▼ Objetos AD y lo que hacen

■ Dominios, árboles, bosques y otras OU dentro de AD

▲ Sitios y replicación basada en sitio

Objetos de Active DirectoryUn objeto dentro de AD es un conjunto de atributos (nombre, dirección e ID) representando algo concreto, como un usuario, impresora o aplicación. Como DNS, AD agrupa e incluye estos objetos en OU, que luego se agrupan en otras OU hasta llegar a la raíz. Además, como DNS, AD proporciona después acceso e información acerca de cada uno de estos diferentes objetos. Como un servicio de directorio, AD mantiene una lista de todos los objetos en el dominio y ofrece acceso a estos objetos, ya sea directamente o mediante redireccionamien-to. Esta sección se concentra en la estructura y base de los objetos en AD. Al recordar las diferencias entre AD y DNS, así como los objetos contenidos, apreciará la amplia variedad de objetos que se permiten en servicios de directorio. En el caso de AD y otros servicios de directorio basados en X.500, la creación y uso de esta variedad de objetos se determinan mediante el esquema utilizado en el directorio.

EsquemaEl esquema define la información almacenada y posteriormente proporcionada por AD, para cada uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador global único o GUID (Globally Unique IDentifier), un número hexadecimal único para el objeto. Un GUID permite que se cambie un nombre de objeto sin afectar la seguridad ni los permisos asignados al objeto, porque el GUID es todavía el mismo. Una vez que el objeto se crea, AD utiliza el esquema para crear campos definidos para el objeto, como número telefó-nico, propietario, dirección, descripción, etc. La información para cada uno de estos campos la ofrece el administrador o aplicación de terceros que obtiene la información de una base de datos o estructura de directorio preexistente, como Microsoft Exchange.



Agregue al esquema baseDebido a que el esquema brinda las reglas para todos los objetos dentro de AD, en algún momento necesitará extender las clases de objeto predeterminadas incluidas de manera es-tándar en AD. Una de las primeras ocasiones en que esto ocurrirá es cuando se añade un servidor de correo a la red y requerirá que se agreguen atributos específicos de correo al es-quema de AD. Es probable que esta adición también requiera crear nuevas clases de objetos. El proceso de agregar clases y atributos se hace al modificar o agregar al esquema de AD. La modificación del esquema toma lugar al usar una función de instalación automatizada que afecta al esquema para toda la red. Las actualizaciones del esquema no pueden invertirse, así que siempre tenga cuidado cuando actualiza el esquema.

NOTA Por razones de compatibilidad inversa, el soporte para identificadores de seguridad

(SID, Security IDentifiers), la versión de GUID de NT 4, también se mantiene dentro de AD.

SUGERENCIA Es posible modificar el esquema a través de la interfaz de servicio de Ac-

tive Directory (ADSI, Active Directory Service Interface) y mediante la utilería LDAP Data

Interchange Format. También es posible modificar el esquema directamente al utilizar la

herramienta AD Schema. Estos programas sólo deben utilizarlos los expertos en AD y

siempre deben probarse en un entorno de laboratorio, antes de implementarse en servi-

dores de producción.

Publique elementos al directorioEn la superficie, Windows Server 2008 funciona de forma muy parecida a los productos de NT heredados, sobre todo en sus funciones de recursos compartidos y seguridad. Cuando un elemento se comparte o un nuevo recurso se añade a Windows Server 2008, como una impresora, el objeto se comparte y certifica utilizando casi el mismo proceso que con servi-dores NT heredados. De forma adicional, no todos los servidores basados en Windows NT pueden convertirse en servidores AD. Con estos dos hechos en mente, se necesita algún método para distribuir información acerca de objetos hospedados en servidores Windows Server 2008, a través de la red en AD. A este proceso se le llama publicación. Cuando un objeto se publica en AD, la información del recurso se agrega a AD y entonces los usuarios pueden acceder a ese recurso a través de AD. El principal beneficio proporcionado por la publicación es que permite redes más grandes con recursos hospedados por servidores en sus diversos sitios, para que todos compartan su información de un punto central en la red. Los usuarios de la red pueden acceder a servidores AD, buscar, ubicar y acceder a recursos que necesitan desde de un solo punto de entrada de AD.

Algunos objetos se agregan a AD automáticamente, como objetos de usuario, grupo y servidor. Sin embargo, es necesario que un administrador publique algunos otros objetos. Los dos elementos más comunes que la mayoría de los administradores se encontrarán agregando a AD son directorios e impresoras.

Publicación de directorio Para agregar un directorio a AD, primero debe crearse el directo-rio o carpeta en el Explorador de Windows o en Equipo y asegurarlo, a través de las fichas Compartir y Seguridad, en el cuadro de diálogo Propiedades del directorio, como se mues-



tra a continuación. Esta medida debe incluir seguridad en el nivel del recurso compartido y permisos NTFS asociados con el directorio, así como todos los archivos y subdirectorios en el recurso compartido.

SUGERENCIA Con la llegada de AD, nuevos métodos de organización y apertura de

acceso a recursos de red se han añadido a las herramientas del administrador de red.

Sin embargo, los métodos para administrar la seguridad de red usados con Windows NT

todavía siguen activos.

Publicación de impresora Publicar una impresora en AD es un proceso simple que imple-menta varias características nuevas inexistentes antes de Windows 2000. En primer lugar, cuando existen varias impresoras en una red AD, los usuarios de esa red pueden buscar impresoras de acuerdo con características especiales, como color, resolución o uso de im-presión dúplex.

Para publicar una impresora en AD, primero debe instalarse y configurarse para funcio-nar en el servidor de impresión correspondiente. (El servidor de impresión, en este caso, puede ser cualquier servidor Windows Server 2008, Windows Server 2003, Windows 2000 o cual-quier equipo Windows Vista, XP o 2000 Profesional al que está conectado la impresora.) En seguida de configurar una impresora, se comparte y aplica la seguridad apropiada (consulte el capítulo 13 para conocer más detalles sobre la manera de hacer esto) y hasta entonces está listo para publicarse en AD. En realidad, la acción predeterminada tomada por un servidor de impresión de Server 2008/2003/2000 y Windows Vista/XP es publicar cualquier impresora automáticamente, tras instalarla y compartirla. Una vez publicada, es posible administrar la impresora y acceder a ella en todos los servidores AD en el dominio, para ser incluida auto-máticamente en el catálogo global de los demás dominios en el bosque.



En algunos casos, sobre todo cuando todavía ejecuta en modo mixto, los servidores de im-presión ajenos a Server 2008/2003/2000 o Windows Vista/XP pueden estar hospedando impresoras muy importantes para el dominio. En este caso, un objeto se puede agregar al do-minio AD mediante el URL de la impresora compartida. Esto se logra al utilizar Usuarios y equipos de Active Directory, en MMC, resaltar el dominio y elegir Acción|Nuevo|Impresora (como se muestra a continuación).

La estructura de Active DirectoryExisten varias OU dentro de AD con varias funciones muy específicas en la red. Estas fun-ciones se establecen por medio del esquema. Para administrar y configurar una red AD, necesita entender qué es cada una de estas OU y qué función juegan en la red.

Active Directory está integrado por uno o más dominios. Cuando se instala el primer servidor AD, se crea el dominio inicial. Todos los dominios AD se asignan a sí mismos a dominios DNS, mientras los servidores DNS juegan una función crucial en cada dominio.

DominiosLos dominios están en el núcleo de todos los sistemas operativos basados en Windows NT/2000 Windows Server 2003/2008. En esta sección se revisa la estructura de los do-minios en AD, además de los diversos factores que participan en la creación de varios dominios en una red.

Los dominios en AD delinean una partición dentro de la red AD. La principal razón para crear varios dominios es la necesidad de particionar la información de red. Las redes más pequeñas tienen muy poca necesidad de más de un dominio, aun con una red dispersa entre varios sitios físicos, pues los dominios pueden cubrir varios sitios de Windows Server 2008. (El concepto de sitio se cubre con más detalle en páginas posteriores de este capítulo.) Sin embargo, todavía existen razones para utilizar varios dominios en una red:

NOTA Los recursos compartidos en la red no siempre deben publicarse en AD. Sólo los

objetos utilizados por gran parte de la red o que necesitan estar disponibles para posi-

bles búsquedas deben publicarse. Los objetos publicados en AD incrementan el tráfico de

replicación del dominio que es necesario utilizar, para asegurar que todos los servidores

AD tengan la información más reciente. En redes grandes con varios dominios, el tráfico

de replicación para sincronizar a los servidores de catálogo globales para cada dominio

puede ser agobiante si no se planea bien.



▼ Proporcionan estructura de red A diferencia de los dominios NT heredados, no existe límite real para el número de objetos que se pueden agregar a un dominio AD ejecutado en modo nativo. Por esto, casi ninguna red necesita establecer domi-nios separados para cada unidad de negocio. Sin embargo, en algunas redes muy grandes, es posible que varios factores de directivas necesiten varios dominios. Por ejemplo, una compañía puede tener varias subsidiarias completamente autónomas. Un AD central compartido entre las compañías ofrece varios beneficios; tal vez

un dominio compartido no tenga tanto sentido. En este caso, puede configurarse un dominio separado para cada compañía

■ Replicación Los servidores AD sólo contienen información de su propio dominio. Los servidores de catálogo global se requieren para publicar información entre do-minios para el acceso de usuario. Esto significa que todos los objetos en un domi-nio se replican a todos los demás controladores de dominio, mientras los recursos externos se replican sólo entre servidores de catálogo global. En las redes grandes esparcidas entre varios vínculos WAN, cada sitio físico debe ser su propio dominio, para asegurar que el tráfico de replicación innecesario no consuma el limitado an-cho de banda de los vínculos WAN

■ Seguridad y administración Aunque AD suministra la apariencia de una infra-estructura de red central a los usuarios de la red, las capacidades administrativas y permisos de usuario no cruzarán particiones de dominio. Esta limitación se supera mediante el uso de grupos globales universales y relaciones de confianza, pero los dominios son realmente grupos administrativos separados que pueden o no estar vinculados

▲ Delegación de administración Aunque la delegación de autoridad administrati-va en la red hace que varios dominios sean fáciles de manejar y Windows Server 2008 provee varias herramientas administrativas, todavía pueden darse beneficios para otras redes, dividiendo los dominios entre las líneas de autoridad y responsa-bilidad administrativa

BosquesAdemás de dominios, AD se compone de bosques, árboles y otras OU personalizadas. Cada una de estas OU existe en un nivel específico de la jerarquía de AD, empezando con el bos-que contenedor más alto. Un bosque es el OU más alto en la red y puede contener cualquier número de árboles y dominios. Todos los dominios en un bosque comparten el mismo es-quema y catálogo global. En esencia, los bosques son similares al contenedor raíz del DNS. Casi todas las organizaciones que implementan AD tendrán un solo bosque; en realidad, es posible que las organizaciones más pequeñas con un solo dominio incluso no se percaten de la existencia del bosque, pues todas las funciones parecen existir sólo en el nivel de dominio. En efecto, el bosque se utiliza como el directorio principal para toda la red. El bosque abarca todos los árboles, dominios y otras OU, además de toda la información publicada para to-dos los objetos en el bosque, como se verá a continuación.



Los dominios en un bosque se configuran automáticamente con confianzas transitivas de dos vías. Una relación de confianza permite a dos dominios compartir recursos de usua-rio y grupo para que los usuarios autentificados por un dominio de “confianza” accedan a recursos en el dominio de “confianza”. Una confianza transitiva, como se muestra en la figura 7-4, permite a las cuentas de usuario en un dominio utilizar una segunda relación de confianza del dominio, para así acceder a recursos en un tercer dominio. Los dominios NT heredados no soportan relaciones de confianza transitivas. En la figura 7-4, una cuenta de usuario del dominio A puede acceder a recursos en el dominio C, porque los dominios A y C tienen relaciones de confianza transitivas con el dominio B. Si en la figura 7-4 se estuviera ilustrando un dominio NT heredado, una relación de confianza tendría que establecerse directamente entre los dominios A y C, antes de acceder a los recursos.

La creación de bosques adicionales en una red debe hacerse con mucho cuidado. Los bosques adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo cuando se agregan plataformas de mensajería compatibles con AD, como Exchange. Aparte de los problemas obvios de directiva, existen pocas razones para que una red tenga varios bosques.

Dominio Dominioab.com xyz.com

este.xyz.com

ventas.este.xyz.com

Bosque

Árbol Árbol

oeste.ab.com oeste.xyz.com

Figura 7-4. Las relaciones de confianza transitivas permiten que el dominio A acceda

a recursos en el dominio C.



ÁrbolesDentro de AD, los árboles se utilizan principalmente para agrupaciones administrativas y problemas de espacios de nombres. En esencia, un árbol es una colección de dominios que comparten un espacio de nombres contiguo y forman un entorno jerárquico. Por ejemplo, es posible que una organización como Microsoft divida su estructura DNS para que el nombre de dominio Microsoft.com no sea el nombre principal, utilizado en correos electrónicos y re-ferencias de recurso. Por ejemplo, suponga que Microsoft se divide primero geográficamente, para que haya una OU de la costa oeste y una OU de la costa este, en el dominio Microsoft, mientras cada una de estas OU (o dominios secundarios) contiene un árbol para más divi-siones, como Ventas y Soporte técnico, que puede dividirse más en Sistemas operativos y Aplicaciones. En este ejemplo, hasta ahora, Microsoft tendría dos árboles en su estructura DNS, costa este y costa oeste. Ambos dominios se dividen más, creando un posible FQDN para un servidor dentro del departamento de soporte técnico, como se muestra a continuación:

Nombredeservidor.Sistemasoperativos.Soportetécnico.Costaoeste.Microsoft.Com

Hasta ahora, el análisis completo de los árboles en AD se ha concentrado totalmente en DNS, ya que AD debe coincidir con la estructura de dominio DNS en la red, aunque los servicios de directorio contenidos por los dos servicios sean independientes. En los casos en que una organización haya decidido implementar varios dominios y estos dominios exis-tan en un esquema de asignación de nombres DNS contiguo, como se delineó antes, la red habrá formado un árbol que conecta varios dominios. Debido a que los requisitos de DNS para hospedar este dominio son muy grandes, casi todas las organizaciones que implemen-tan árboles hospedan servicios DNS, sólo para el árbol interno de la red y mantienen una estructura DNS separada por servicios de hospedaje de Internet.

Todos los dominios en un árbol están vinculados por relaciones de confianza transiti-vas bidireccionales, aunque los dominios sean independientes. Los dominios en un árbol, además de los dominios dentro de un bosque, comparten relaciones de confianza y un espacio de nombres (en el caso de un árbol, es un espacio de nombres contiguo), pero la independencia e integridad de cada dominio permanecen sin cambio. La administración de cada dominio, además de la replicación de directorios de cada dominio, se conduce de for-ma independiente y toda la información compartida entre los dominios se efectúa mediante relaciones de confianza y el catálogo global.

Cuando existen varios árboles en un bosque, es posible que cada árbol mantenga su propio esquema de nombre independiente. Al ver al ejemplo de Microsoft, si sube en la jerarquía de DNS, el bosque Microsoft puede incluir a MSN.com y Microsoft.com. En este caso, no existe capa superior clara para la estructura de dominio AD.

El primer dominio creado en el bosque se denomina dominio raíz del bosque. Existen dos grupos predeterminados en todo el bosque, existentes en el dominio raíz del bosque:

▼ Administradores de empresa

▲ Administradores de esquema

De forma adicional, el dominio raíz para cada árbol establece automáticamente una relación de confianza transitiva con el dominio raíz del bosque. Esta relación es resaltada en la figura 7-5, basada en la estructura AD hipotética de Microsoft. En este ejemplo, se agrega



un tercer dominio, MSNBC.com, para resaltar más la confianza transitiva formada en la red. Microsoft.com es el dominio raíz del bosque en este ejemplo.

Figura 7-5. Las relaciones de confianza transitivas entre árboles en un bosque

hipotético de Microsoft.

Microsoft Corporationbosque

ventas.msn.com

soporte.msn.com

Árbol MSN

ventas.microsoft.com

este.it.microsoft.com oeste.it.microsoft.com

Árbol de Microsoft

ventas.msnbc.com

noticias.msnbc.com

Confianzatransitivabidireccional

Árbol MSNBC

SUGERENCIA Los dominios no se pueden mover entre bosques ni pueden eliminarse si

contienen dominios secundarios. Por tanto, es mejor planear la red AD completa de princi-

pio a fin, antes de instalar el primer AD. Un poco de tiempo de planeación puede ahorrarle

mucho tiempo de improvisación.

Confianza de acceso rápidoLas relaciones de confianza transitivas existentes entre dominios en bosques AD pueden ser un tema muy engañoso. De manera específica, a veces son enormes la sobrecarga y tiempo necesarios para que las relaciones de confianza transitivas pasen todas las solicitudes de au-tentificación por toda una red. Retomando el ejemplo de Microsoft en la figura 7-5, suponga que los usuarios existentes en el grupo IT de Microsoft siempre inician sesión en el dominio Noticias.MSNBC.com para arreglar algunos problemas. Esto significa que todo el tráfico de inicio de sesión se sube primero al árbol MSNBC.com y después se baja al Microsoft.com, antes de ser autentificado por el dominio IT. En casos como éste, puede crearse una confianza



de acceso rápido para pasar la información directamente entre ambos dominios. Las confian-zas de acceso rápido son transitivas de una vía, utilizadas para autentificación en redes más grandes con diversas estructuras de árbol. Una versión modificada del bosque de la figura 7-5 se muestra en la figura 7-6, con la confianza de acceso rápido necesaria.

Otras OULas OU son simples contenedores que almacenan varios objetos y OU adicionales. En AD, algunas de estas OU se predefinen y sirven de funciones específicas en la red, como crear dominios. Otras OU giran en torno a las necesidades e intereses del administrador y no de los de AD. Dentro de AD, los administradores tienen la capacidad para crear su propia es-tructura de AD, bajo las OU predefinidas o que sirven a una función específica. Estas OU se utilizan para agrupar usuarios, impresoras o servidores para facilitar la administración.

Figura 7-6. Una confianza de acceso rápido crea cortocircuitos para las relaciones

de confianza entre dominios.

Confianza de accesorápido de una vía

Microsoft Corporationbosque

ventas.microsoft.com

este.it.microsoft.com oeste.it.microsoft.com

ventas.msnbc.com noticias.msnbc.com

Confianzatransitiva



No existen muchas reglas en la creación de OU en AD, así que debe depender de guías generales y usos prácticos. Para empezar, recuerde que los usuarios tienen la capacidad de alcanzar AD para los recursos que necesitan utilizar. Esta función de búsqueda permite a los usuarios indicar el recurso específico o tipo de recurso que quieren ubicar, así que debe con-siderarse como el medio principal mediante el que la mayoría de usuarios operarán con AD. Por tanto, son las necesidades administrativas y no de los usuarios las que pueden determi-nar la creación de OU. Las directivas de grupo pueden configurarse en OU que permiten al administrador personalizar escritorio y permisos de usuarios y recursos en ese contenedor. De igual forma, la asignación de permisos a una OU completa permite a un administrador delegar fácilmente otros derechos administrativos, para especificar objetos en el dominio sin comprometer la seguridad de la red general.

SitiosLos dominios son la raíz de los servicios de directorio en Windows Server 2008. Todo lo que hay dentro de AD es sólo una colección de uno o más dominios. Incluso con la función fun-damental de dominios definidos, aún es necesario atender muchos problemas. Por ejemplo, ¿cómo se maneja la sincronización entre dominios en dominios pequeños y grandes? ¿De qué manera un dominio grande cubre varias redes físicas? ¿Cómo se controla el tráfico de replicación entre dominios? Para las respuestas a estas preguntas, debe introducirse un nue-vo concepto. Los dominios de Windows Server 2008 se dividen en unidades llamadas sitios. Los sitios pueden utilizarse para regular el tráfico de replicación a través de vínculos WAN más lentos y para utilizar varios métodos de conexión y agendas de replicación, a fin de asegurar la menor sobrecarga posible de ancho de banda en la red. En general, los sitios proporcionan varios servicios básicos para redes Windows Server 2008, entre ellos:

▼ Minimización del ancho de banda utilizado para replicación entre sitios

■ Direccionamiento de clientes a controladores de dominio en el mismo sitio, donde sea posible

■ Minimización de la latencia de replicación en el sitio

▲ Facilitación del programa para replicación entre sitios

En general, los sitios no están relacionados con dominios, aunque proporcionan una solución a muchos de los problemas que enfrentan los dominios ya presentados. Los si-tios se relacionan con el diseño físico de la red, como oficinas, pisos y edificios, mientras al diseño del dominio lo puede afectar todo, desde las estructuras físicas y de directivas, hasta las necesidades administrativas de una red. Las organizaciones deben dividir un do-minio en varios sitios, siempre que la red cubra una conexión inferior a la velocidad LAN, históricamente de 100 Mbps, pero incrementada a 1 000 Mbps. Debido a que se enrutarán casi todas las conexiones WAN, debe existir una subred IP separada en ambos lados de la conexión WAN. Por esta razón, Microsoft ha asignado casi toda la discriminación de sitios a subredes IP. Oficialmente, un sitio es una colección de sistemas de Windows Server 2008 “bien conectados” (que significa velocidad LAN o mejor) en la misma subred IP. Los sitios se administran y crean mediante la consola Sitios y servicios de Active Directory.



REPLICACIÓN DE ACTIVE DIRECTORY ENTRE SITIOSEn AD, replicación significa copiar información de directorio entre controladores de domi-nio, para que todos tengan la misma información y cualquiera de los controladores de dominio pueda consultarse con el mismo resultado. En un dominio AD, cuatro categorías principales de información requieren replicación: configuración, esquema, dominio e in-formación de catálogo global. Cada una de estas categorías se almacena en particiones de directorio separadas. Estas particiones son lo que replica cada servidor AD, utilizadas por diferentes servidores a través del bosque, dependiendo de su función en la red. Las siguien-tes tres particiones son almacenadas por todos los servidores AD en un bosque:

▼ Partición de datos de configuración Mantiene información almacenada y utiliza-da por aplicaciones que usan AD y se replican en todos los dominios del bosque

■ Partición de datos de esquema Mantiene definiciones de los diferentes tipos de objetos, además de sus atributos de permisos, que se replican a través de todos los dominios en el bosque

▲ Partición de datos de dominio Mantiene información única del dominio en que reside el servicio. Contiene todos los objetos en el directorio para el dominio y sólo se replica en el dominio. Los datos en esta partición no se replican entre dominios y diferirán en gran parte entre dominio y dominio



El cuarto tipo de partición lo utilizan servidores de catálogo global, para permitir que se comparta información de directorio entre dominios:

▼ Partición de datos de dominio global Mantiene información acerca de todos los objetos del catálogo global, pero incluye detalles sobre algunos atributos del objeto, para permitir búsquedas rápidas de recursos en dominios externos, acceder a éstos y reducir el ancho de banda utilizado en replicaciones. Esta información se replica a todos los demás servidores de catálogo global en la red. Cuando un cliente en un dominio ajeno realmente necesita acceder a los recursos o atributos no replicados de un recurso, el cliente se dirige al dominio nativo del recurso

NOTA Casi toda la replicación entre controladores de dominio se hace en la red. Esto

puede ser un problema si se trata de una red de ancho de banda reducido o si se agregan

en un periodo breve varios controladores de dominio. Por esto, Windows Server 2008 per-

mite que se respalden los archivos de la base de datos de Active Directory ya sea en cinta,

CD, DVD o un disco duro extraíble, como fuente de una replicación inicial en un nuevo

controlador o servidor de catálogo global.

Replicación de sitio internoSiempre habrá al menos un sitio en cada implementación de AD. Cuando se instala el primer controlador de dominio de Windows Server 2008, se crea un sitio llamado Default-Fist-Site-Name. Luego, el nuevo controlador de dominio se añade por sí solo a ese sitio. Siempre que se añaden nuevos controladores de dominio a la red, primero se agregan automáticamente a este nuevo sitio; después pueden moverse. Sin embargo, existe una excepción a esto. Cuan-do se crea un nuevo sitio, se asignan una o más subredes IP a ese sitio. Después de que hay dos o más sitios, se revisarán las direcciones IP de todos los nuevos controladores de domi-nio añadidos al bosque y éstos se agregarán al sitio con una dirección IP coincidente.

La información de directorio en un sitio se replica automáticamente, para asegurar que todos los controladores de dominio en el sitio tengan la misma información. De forma adi-cional, toda replicación entre sitios ocurre en un formato sin compresión, que consume más tráfico de red pero menos recursos del sistema. Por estas razones, un sitio siempre debe ser una red LAN de conexiones de alta velocidad (10 MB o más). Cuando existen varios domi-nios en un solo sitio, sólo ocurre la replicación entre controladores de dominio en un dominio dado. Sin embargo, el tráfico de replicación entre servidores de catálogo global también se presenta en el sitio bajo demanda, sin compresión o con ambas opciones. En la figura 7-7 se muestra el tráfico de replicación de un solo sitio entre dos dominios.

Replicación de sitio a sitioCuando decide dividir una red en varios sitios, se presentan varios problemas nuevos. Estos problemas y la configuración necesaria para que varios sitios funcionen son el tema del resto de esta sección.



Es necesario adherirse a dos reglas principales, siempre que se planea un diseño de varios sitios, para minimizar los posibles problemas:

▼ Los sitios siempre deben dividirse en regiones geográficas. Cuando dos o más LAN se conectan mediante vínculos WAN, cada LAN debe representar su propio sitio

▲ Siempre que sea posible, cada sitio debe tener su propio AD y servidor de catálogo global. En algunas redes pequeñas, este servidor puede ser el único del sitio; en tal caso también debe servir como servidor DNS y DHCP. Esto incrementará la toleran-cia a fallas, además del rendimiento del cliente, mientras disminuye la utilización del ancho de banda WAN

Conectividad de sitioLos sitios se conectan mediante vínculos de sitio, que son controladores de dominio configurados para servidor, como una conexión a un sitio particular. Los vínculos de sitios deben configurarse de forma manual usando la consola Sitios y servicios de Active Directory. Cuando se crea un vínculo de sitio, el administrador tiene varias opciones de configuración.

La primera de estas opciones es la agenda de replicación. Un administrador puede deter-minar el momento en que debe ocurrir la replicación a través de un vínculo de sitio particular. Cuando configura una agenda de replicación, un administrador establecerá costo, disponibili-dad y frecuencia de replicación asociada con este vínculo de sitio. Cuando se crea y configura el vínculo de sitio, AD crea automáticamente un objeto de conexión, que utilizará la informa-ción proporcionada por el vínculo de sitio para transferir la información entre dominios.

Figura 7-7. Tráfico de replicación entre dos dominios en el mismo sitio.



Como opción y diseño predeterminados, todos los vínculos de sitio son transitivos, lo que permite a los sitios usarlos de la misma forma que las confianzas transitivas. Esto significa que un sitio puede replicar sus cambios a otro sitio por medio de un conector a un tercer sitio, siempre y cuando éste sea una conexión válida a ambos sitios. En algunas organizaciones donde varias oficinas de campo se conectan a las oficinas centrales, este tipo de replicación permite la mayor eficiencia. Todos los sitios replican su información al sitio de la oficina central que, a su vez, replica la información de regreso a las otras oficinas de campo.

ProtocolosExisten dos opciones de protocolo en cualquier red para conectar sitios. Sin embargo, ambas opciones son protocolos en la pila de protocolos de TCP/IP. No existe forma de conectar dos sitios con algo distinto de IP.

▼ RPC (replicación de IP) La llamada a procedimiento remoto (RPC, Remote Procedure Call) es un protocolo orientado a conexión basado en IP, en la base de las instala-ciones Exchange heredadas. RPC es rápida y confiable cuando se utiliza en redes con conexión amigable (las redes que permiten a los paquetes recorrer la misma ruta y llegar en secuencia al destino). Sin embargo, RPC es menos que confiable en redes de malla grandes, como Internet. La comunicación RPC es aún el método de replicación predeterminado para servidores en el mismo sitio, además de serlo para comunicación fuera del sitio, para otros servicios de Microsoft como Exchange

▲ SMTP Una característica introducida con Windows 2000 y Exchange 2000 es la capacidad de conectar sitios usando conectores SMTP. SMTP no puede usarse para re-plicación entre servidores en el mismo sitio (aunque es la opción predeterminada para Exchange Server). SMTP no puede replicar la partición de dominio y, por tanto, sólo es útil para vincular dos sitios que también son dominios separados. SMTP puede pasar de forma muy eficiente esquema, configuración y particiones de catálogo global

NOTA SMTP es, por naturaleza, muy inseguro. Todos los mensajes SMTP se envían en

formatos que casi todas las herramientas básicas de espionaje pueden interpretar fácil-

mente. Por esto, el uso del protocolo SMTP para conectar dos sitios requiere que se instale

y configure en la red una autoridad de certificados de empresa. Esto permite que todo el

tráfico SMTP generado por AD se cifre al utilizar el menos cifrado de 56 bits.

Detección y resolución de colisiones ¿Qué pasa cuando el mismo objeto se modifica en dos puntos diferentes de la red al mismo tiempo, o dos objetos con el mismo nombre se crean al mismo tiempo en la red? Incluso en las redes más sencillas, si existen dos controladores de dominio, ambos directorios que exis-ten en cada controlador de dominio no serán exactamente iguales en todos los momentos, porque la replicación toma tiempo. Las versiones heredadas de NT atienden este problema al permitir que, en cualquier momento, sólo exista una copia de lectura/escritura del di-rectorio en la red. Esto significa que sólo un servidor puede hacer todos los cambios y que éstos se propaguen a copias de sólo lectura en directorios que mantienen los controladores de dominio restantes.



Cuando ocurre un cambio a un objeto antes de haber replicado completamente un cam-bio anterior, ocurre una colisión de replicación. AD puede rastrear versiones de los objetos al buscar cada número de su versión. Cuando un objeto cambia, se incrementa su número de versión, así que cuando un servidor recibe una actualización, puede comparar el número de versión del objeto entrante con el existente. Cuando el número de versión del objeto exis-tente es menor que el entrante, la replicación continúa y todo se considera correcto. Ocurre una colisión cuando el número de versión del elemento existente es igual o mayor al en-trante. En este caso, AD compara el sello de tiempo del objeto entrante con el existente, para determinar cuál se quedará. Éste es el único caso en que usará el tiempo en la replicación. En situaciones en que el número de versión entrante es inferior al de la existente, el objeto de replicación se considera averiado y descarta.

Controladores de dominio de sólo lecturaEn Windows Server 2008, cuando se crea un nuevo dominio, tiene la opción de crear un controlador de dominio de sólo lectura (RODC). Un RODC brinda todos los beneficios de un DC local, como inicios de sesión más rápidos y búsquedas con un índice local, pero dependerá del tráfico de la replicación de otros DC para su información. No puede insertarse informa-ción en un RODC ni replicar su información a otro DC. Esto es muy útil en oficinas remotas que tal vez no tengan un administrador u otros casos donde la seguridad física del RODC es cuestionable.

Windows Server 2008 proporciona una instalación “por etapas” de RODC, en que se puede preparar un CD o DVD con toda la información de configuración de un RODC, para que alguien que no sea administrador pueda usar más adelante, y así realizar la instalación RODC (consulte el capítulo 4, “Servicios de instalación remota”).

RESUMEN DE ACTIVE DIRECTORYActive Directory es una de las características más importantes de Windows Server 2008. AD es un servicio de directorio basado en el esquema de directorio X.500 que contiene varios objetos y OU, predefinidos y preconfigurados. Gran parte de cualquier trabajo del adminis-trador de Windows Server 2008 será la administración y configuración de objetos especiales y OU en un bosque AD. En forma adicional, el espacio de nombres AD debe coincidir con el del dominio DNS y, en los casos en que no coinciden dominios AD y DNS de Internet para la compañía, deben mantenerse dominios DNS separados, pues AD requiere que DNS permita la conectividad de cliente.

Si se usa de forma correcta, AD puede ser de muchísimo valor y confiabilidad para una red, además de representar una disminución de sobrecarga administrativa asociada con el mantenimiento diario de la red. Sin embargo, si se configura de forma incorrecta o se planea mal, AD puede incrementar en gran medida la carga de trabajo del administrador y dismi-nuir la satisfacción del comprador de la red. Cuando trate con AD, un poco de planeación y diseño puede ahorrarle mucho trabajo y dolor.


IV

215

PARTE

Comunicaciones e Internet


8

217

CAPÍTULO

Comunicaciones y servicios de Internet



Las redes actuales rebasan definitivamente los alcances de la red de área local (LAN, Local Area Network) para incluir Internet, además de utilizar éste y otras formas de comunicación para acceder a su LAN u otros equipos. En esta sección del libro se cu-

bren las maneras en que usted y su organización puede usar LAN para conectarse con otros o permitir que otros se conecten con usted. En el capítulo 8 se ofrece una revisión general de comunicaciones y cómo configurar distintas características de comunicación de Windows Server 2008. En seguida se analiza cómo establecer una conexión de marcado telefónico y usarla con el servicio de acceso remoto (RAS, Remote Access Service) y cómo se configura y administra. Este capítulo concluye al explicar cómo configurar y usar una conexión de Internet con Internet Explorer para acceder a Web. En el capítulo 9 se revisan servicios de información de Internet (IIS, Internet Information Services) y cómo se configura y admi-nistra. En el capítulo 10 se describe la red privada virtual (VPN, Virtual Private Network), al usar Internet para conectarse a una LAN remota, con un alto grado de seguridad, mientras en el capítulo 11 se analizan servicios de Terminal Server y de aplicación, el equivalente al método —con décadas de antigüedad— para acceder a un servidor de tiempo compartido con una terminal “tonta” (dumb).

La comunicación puede incluir un módem u otro dispositivo para conectar un solo equipo a un método de transmisión o utilizar un enrutador u otro dispositivo para conectar una red a un método de transmisión. Las comunicaciones pueden establecerse con cables de cobre o fibra óptica, microondas, comunicación inalámbrica de celular, tierra o transmisión satelital.

Windows Server 2008 incluye varios programas que controlan o utilizan comunicaciones; entre ellos se encuentran Internet Explorer, para exploración Web; el Asistente para nueva co-nexión, para Internet y otras conexiones, así como el cuadro de diálogo Opciones de teléfono y módem, para establecer y administrar conexiones. Además, Windows Server 2008 incluye programas para configurar y administrar redes RAD en líneas de comunicaciones.

Las comunicaciones pueden dividirse en:

▼ Conexiones de telefonía distintas de Internet entre equipos

▲ Conexiones con Internet y mediante éste

CONFIGURE Y USE CONEXIONES TELEFÓNICASLa telefonía (líneas telefónicas, sus conmutadores y terminaciones) se ha usado para co-nectar equipos por algún tiempo. El método original era utilizar un módem (abreviatura de “modulador-demodulador”) para convertir una señal digital (patrones de 1 y 0) en un equipo a una señal análoga (fluctuaciones actuales) en una línea telefónica y luego utilizar un segundo módem en el otro extremo, para convertir la señal análoga de nuevo a digital y utilizarla en el equipo conectado. Los módems pueden ser internos (dentro del equipo), en cuyo caso la línea telefónica se conecta al equipo, o externos, donde la línea telefónica se conecta a un módem y éste, a su vez, a un puerto serial en el equipo. Los módems rápidos reciben datos hasta 56 Kbps (miles de bits por segundo) y envían datos a 33.6 Kbps.

Durante casi diez años, las compañías telefónicas han ofrecido varias formas de señales digitales completas sobre líneas telefónicas, para no depender de un módem, como recién se describió (todo lo que necesita es una conexión entre línea digital y equipo). Dos formas


219 Capítulo 8: Comunicaciones y servicios de Internet

de servicio de telefonía digital son la red digital de servicios integrados (ISDN, Integrated Services Digital Network) y la línea de suscripción digital (DSL, Digital Subscriber Line). ISDN fue el primer servicio digital, costoso y relativamente lento (una velocidad máxima de 128 Kbps) comparado con DSL. Existen varias formas de DSL; la más común es la línea de suscripción digital asimétrica (ADSL, Asymmetric Digital Subscriber Line), en que se re-ciben datos hasta en 5 Mbps y se envían hasta en 1 Mbps. Con mucha frecuencia, una línea ISDN o DSL termina en un enrutador que se conecta directamente a su red y no a su equipo. Sin embargo, en páginas anteriores de este capítulo verá cómo un equipo con Windows Server 2008 puede actuar como enrutador para líneas que terminan en éste a través de un adaptador ISDN o DSL.

NOTA A veces, un adaptador ISDN o DSL se denomina “módem”, pero no es un con-

vertidor analógico-digital, característica principal del acrónimo “módem”. Por tanto, en este

libro no se incluye en las exposiciones sobre módems.

Instale un módemExisten varias formas de instalar soporte a módem en Windows Server 2008. Durante la ins-talación del sistema operativo o la primera vez que intente conectarse a Internet, el soporte a un módem se instalará automáticamente si tiene un módem Plug and Play. Si configura una conexión de marcado telefónico y no tiene instalado el soporte al módem, se instalará au-tomáticamente, una vez más con un módem Plug and Play. Sin embargo, aquí revisaremos cómo instalar un módem y lo que necesitará hacer si no se ha instalado en forma automáti-ca. En seguida, también veremos cómo instalarlo con una conexión de Internet.

Para instalar un módem, por supuesto, debe tener uno integrado o conectado a su equi-po. Un módem integrado se ha construido en la tarjeta “madre” o principal de su equipo. Un módem conectado es una tarjeta conectada en una ranura de expansión de la tarjeta madre. Ambos módems, integrado y conectado, se consideran internos. Un módem externo es una pequeña caja conectada vía puerto serial o de comunicaciones (COM) fuera de su equipo. Ambos módems, interno y externo, pueden tener interruptores o jumpers que necesitan configurarse, o tal vez sean Plug and Play, lo que significa que carecen de interruptores o jumpers (el software los configura automáticamente). Cualquiera que sea el tipo de módem a su alcance, las instrucciones incluidas con él deben indicarle si es interno o externo y cómo conectarlo y configurarlo.

Con un módem físico conectado a su equipo (y encendido, si es externo), use las si-guientes instrucciones para instalarlo en Windows Server 2008:

1. En Windows Server 2008, haga clic en Inicio|Panel de control, y haga doble clic en Opciones de teléfono y módem. La primera vez que hace esto se abre el cuadro de diálogo Información de la ubicación. Si ve el cuadro de diálogo Opciones de teléfo-no y módem, vaya al paso 3.

2. Haga clic en la flecha hacia abajo y seleccione el país en que está. Escriba el código de área o ciudad y, si es necesario, escriba el código de la compañía de teléfonos y número, para acceder a una línea externa. Si su teléfono requiere marcado telefóni-co por pulsos, haga clic en éste. Por último, haga clic en Aceptar. Se abrirá el cuadro de diálogo Opciones de teléfono y módem.



3. Haga clic en la ficha Módems. Si se muestra Módem desconocido, selecciónelo y haga clic en Quitar. Si muestra un módem como el que se presenta a continuación, ya tiene uno instalado y puede pasar a la siguiente sección.

4. Haga clic en Agregar. Se indica que Windows intentará detectar su módem, recor-dándole que conecte y encienda el módem, así como salir de todos los programas que hagan uso de él, si los hay. Haga clic en Siguiente. Si no encuentra un módem, haga clic en Siguiente para mostrar una lista de posibles módems. Si sólo se muestra el módem correcto, vaya al paso siguiente. Si se muestran varios y uno es correcto mientras los demás no, quite la marca de los incorrectos y continúe. Si se muestra un módem incorrecto o desconocido, selecciónelo y haga clic en Cambiar.

5. De la lista de módems, elija el fabricante correcto de la lista a la izquierda y el modelo correcto de la lista en la derecha y haga clic en Siguiente. Si su módem no está en la lista pero tiene un disco, haga clic en Usar disco, inserte el disco, seleccione la uni-dad, haga clic en Aceptar, seleccione fabricante y modelo y haga clic en Aceptar.

6. Seleccione el puerto COM en que se encuentra el módem y haga clic en Siguiente. Windows empieza a instalar su módem. Si está usando un módem antiguo, tal vez se indique que el controlador no tiene una firma digital. Si es así, haga clic en Sí para continuar. Por último, se le indica que su módem se ha instalado correctamente. Haga clic en Finalizar.

7. De regreso en el cuadro de diálogo Opciones de teléfono y módem, seleccione su nuevo módem instalado y haga clic en Propiedades. En el cuadro de diálogo Pro-piedades, haga clic en la ficha Diagnóstico y después en Consultar módem. Se le



indicará que el proceso de consulta tardará varios segundos. Si su módem se instaló correctamente, verá un conjunto de comandos y respuestas, como se muestra en la figura 8-1. No todas las respuestas deben ser positivas. Lo importante es que Win-dows Server 2008 se comunica con el módem.

Si no obtiene el conjunto de comandos y respuestas, tal vez obtendrá algún tipo de mensaje de error, como Módem no encontrado, que tiene tres posibles causas: el módem no opera correctamente, está instalado el controlador incorrecto o utiliza el puerto COM incorrecto. En general, puede saber si el puerto COM es correcto determinando cuál es el que detectó Windows. Tal vez no detecte el tipo de módem correctamente, pero suele detectar el puerto que tiene un módem conectado. Para encontrar el fabricante y el modelo correctos para el controlador, tal vez necesite ver el módem real abriendo el equipo físicamente. Para obtener un controlador que no figura en la base de datos de controladores de Windows, use otro equipo para conectarse a Internet, busque el sitio Web del fabricante del módem y descargue

el controlador correcto. Ponga ese controlador en un disco y llévelo al equipo en que está instalando. Si está seguro de que puerto y controlador son correctos, entonces es probable que el módem no funcione bien.

8. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades, y otra vez en Aceptar, para cerrar el cuadro de diálogo Opciones de teléfono y módem.

Figura 8-1. Comandos y respuestas que son resultado de ejecutar el diagnóstico del módem.



Establezca una conexión de marcado telefónicoEl establecimiento de una conexión de marcado telefónico en Windows Server 2008 iden-tifica un destino particular al que desea marcar (un número telefónico que se marca y una conexión que se establece con su módem). En los siguientes pasos, en que se supone ya ha con-figurado un módem (como hizo en la sección anterior), se muestra cómo establecer una conexión de marcado telefónico (si trabaja en un controlador de dominio, puede crear una conexión de marcado telefónico en esta sección o crear un servicio de acceso remoto en la siguiente sección, “Configure el servicio de acceso remoto”):

1. Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Configurar una conexión o red. Se abre el cuadro de diá-logo Configurar una conexión o red.

2. Haga clic en Configurar una conexión de acceso telefónico, luego en Siguiente. Como se muestra en la figura 8-2, escriba el número telefónico que será el destino de la co-nexión. Inserte su nombre de usuario y contraseña. Si quiere desplegar los caracteres de la contraseña, haga clic en Mostrar caracteres y si quiere que el equipo recuerde la contraseña para no volver a ingresarla, haga clic en Recordar esta contraseña.

Figura 8-2. Necesita número telefónico, nombre de usuario y contraseña para una

conexión de marcado telefónico.



3. Inserte un nombre para la conexión de marcado telefónico y, si quiere crear esta conexión para que la use cualquiera, haga clic en Permitir que otras personas usen esta conexión.

4. Haga clic en Conectar. Verá un cuadro de diálogo mostrando el progreso de la conexión. Al momento de completarse, con un número telefónico, usuario y con-traseña correctos, debe conectarse al equipo que llamó.

NOTA En seguida de la configuración inicial para la conexión de marcado telefónico,

puede conectarse utilizándola de nuevo al hacer clic en Inicio | Panel de control, hacer

doble clic en Centro de redes y recursos compartidos, clic en Conectarse a una red y doble

clic en esta conexión. Si va a las propiedades del menú Inicio, puede poner Conectar a en

el menú Inicio, con lo que ahorrará varios clics.

Una conexión de marcado telefónico puede usarse con RAS, que se analiza a continuación.

CONFIGURE EL SERVICIO DE ACCESO REMOTOEl servicio de acceso remoto ofrece acceso a una LAN desde una línea de marcado, línea con-cesionada u otra conexión. RAS actúa como host o servidor para marcado telefónico u otro invitado o conexión de red. Las personas que viajan mucho y cuentan con equipos portátiles que incluyen una conexión de marcado telefónico son quienes suelen utilizar ésta desde una ubicación remota para conectarse mediante RAS a la LAN de su oficina. Para configurar RAS, se requieren tres tareas separadas: agregar una función de servidor RAS, habilitar y configurar RAS, además de configurar el puerto y directivas para dar soporte a RAS.

Agregue un servicio de enrutamiento y acceso remotoLa primera tarea es añadir una función Servicios de enrutamiento y acceso remoto al servidor.

1. Haga clic en Inicio|Administrador del servidor. Bajo Resumen de funciones, haga clic en Agregar funciones. Se abrirá el Asistente para agregar funciones. Haga clic en Siguiente.

2. Haga clic en Servicios de acceso y directivas de redes, después haga clic en Siguien-te. Lea el mensaje de introducción y haga clic de nuevo en Siguiente.

3. Haga clic en Servicios de enrutamiento y acceso remoto, como se muestra en la figura 8-3, haga clic en Siguiente y luego en Instalar. El proceso puede tomar varios minutos. Cuando haya terminado, se le indicará que la instalación tuvo éxito. Haga clic en Cerrar.

De regreso al Administrador del servidor verá, bajo Funciones, Servicios de acceso y directivas de red, pero tendrá una “X” en un círculo rojo, que indica que no se ha

habilitado y activado.



Habilite y configure RASLa segunda tarea consiste en habilitar y configurar RAS, que se hace con el Asistente para instalación del servidor de enrutamiento y acceso remoto.

1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. En el panel de la izquierda, haga clic en SERVIDOR (local).

Figura 8-3. Selección de Servicios de enrutamiento y acceso remoto como función de servidor.



2. Haga clic en el menú Acción, luego en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acce-so remoto.

3. Haga clic en Siguiente y asegúrese de que esté seleccionado Acceso remoto (acceso telefónico o red privada virtual), como se muestra en la figura 8-4.

4. Haga clic en Siguiente. Se le pregunta si quiere que RAS use VPN, Acceso telefóni-co o ambos; haga clic en Acceso telefónico y después en Siguiente. Si tiene más de una conexión de red, elija la que quiera para clientes RAS asignados y haga clic en Siguiente.

5. Se le pregunta cómo quiere que se asignen las direcciones; deje la opción predeter-minada Automáticamente y haga clic en Siguiente.

6. Cuando se le pregunte si quiere usar Enrutamiento y acceso remoto para autentificar solicitudes de conexión o usar el servidor RADIUS, deje la opción predeterminada No y use Enrutamiento y acceso remoto para autentificar las solicitudes de conexión, haga clic en Siguiente.

Figura 8-4. Configuración del servicio de acceso remoto.



7. Por último, se le muestra un resumen de sus configuraciones, como el que se presenta a continuación. Seleccione si quiere ver las páginas de Ayuda sobre la organización de un servidor de acceso remoto y haga clic en Finalizar.

En el panel de la izquierda, el servidor Enrutamiento y acceso remoto ahora debe tener una flecha verde hacia arriba, indicando que está habilitado.

NOTA Si está configurando RAS en un servidor en Active Directory que no es el con-

trolador de dominio primario y usted no es un administrador de dominio, un administrador

de dominio debe agregar el servidor en que trabaja al grupo Servidores RAS y IAS en la

carpeta Computers, de la ventana Usuarios y equipos de Active Directory, incluyendo

la lista de servidores en Enrutamiento y acceso remoto, en el controlador de dominio pri-

mario. Para dar soporte a la confianza de mensajes DHCP de clientes de acceso remoto,

el administrador de dominio debe configurar las propiedades del Agente de retransmisión

con la dirección IP de su servidor DHCP.



Configure puerto y directivasLa tarea final consiste en configurar puerto y directivas de red en el servidor para dar so-porte a RAS.

1. En el panel de la izquierda, bajo el servidor de Enrutamiento y acceso remoto, haga clic derecho en Puertos y seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.

2. Haga clic en su módem (su puerto de marcado telefónico) y haga clic en Configurar. Se abrirá el cuadro de diálogo Configurar dispositivo.

3. Haga clic en Conexiones de acceso remoto (sólo de entrada), escriba el número tele-fónico para este dispositivo, como se muestra a continuación, haga clic en Aceptar y después nuevamente en Aceptar.

4. De regreso en la ventana Enrutamiento y acceso remoto, haga clic derecho en Di-rectivas y registro de acceso remoto y seleccione Iniciar NPS. Se abrirá Servidor de directivas de redes.

5. Haga clic en Directivas de red. En el panel de la derecha, haga clic derecho en Co-nexiones al servidor de Enrutamiento y acceso remoto de Microsoft y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Conexiones al servidor de Enrutamiento y acceso remoto de Microsoft.

6. Ya debe estar marcada la casilla de verificación Directiva habilitada. Si no, haga clic en ésta. Haga clic en Conceder acceso. Para hacer la vida más sencilla, pero menos segura, puede hacer clic en Omitir propiedades de marcado de cuentas de usuario. Bajo Tipo de servidor de acceso a la red, haga clic en la flecha hacia abajo y seleccio-ne Servidor de acceso remoto (VPN-Dial up). Su cuadro de diálogo debe parecerse al de la figura 8-5.

7. Haga clic en Aceptar y cierre las ventanas Servidor de directivas de redes, Enruta-miento y acceso remoto y Administrador del servidor que ya están abiertas.

NOTA También debe tener al cliente que llega en la configuración del servidor RAS con

una cuenta de usuario en el servidor. Consulte el capítulo 6.



Utilice el servicio de acceso remotoCon una conexión de marcado en el equipo cliente o invitado (consulte “Establezca una conexión de marcado telefónico”, en páginas anteriores de este capítulo, para este ejemplo, equipo portátil en una ciudad remota ejecutando Windows Vista) y un servidor de acceso remoto configurado y habilitado en el equipo host (consulte las secciones anteriores, para este ejemplo, servidor en la oficina casera ejecutando Windows Server 2008), puede usar RAS con estos pasos:

1. Inicie sesión en el cliente de marcado telefónico (aquí el equipo portátil con Vista) cuyo nombre de usuario y contraseña es posible autentificar con RAS. Después, en el cliente, haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos, haga clic en Conectarse a una red y dé doble clic en la conexión de marcado telefónico que quiere usar. Se abre el cuadro de diálogo Co-nectar a Conexión de acceso telefónico.

Figura 8-5. Sus directivas de red deben permitir el acceso a Servicio de acceso remoto.



2. Ingrese nombre de usuario y contraseña apropiados, haga clic en el botón Marcar. Verá mensajes indicando que se marca el número ingresado, se revisa número de usuario y contraseña, se registra el equipo en la red y se completó la conexión. Haga clic en Aceptar. El icono de conexión aparecerá en la parte derecha de la barra de tareas.

3. Utilice la conexión al abrir Explorador de Windows|Mis sitios de red|Toda la red|Red de Microsoft Windows y finalmente los dominios o grupos de trabajo, equipos y recursos compartidos a los que quiere acceder.

4. Transfiera información a través de la conexión de marcado telefónico de la misma forma en que transfiere cualquier información en el Explorador de Windows, ubi-que la carpeta de destino en el panel de la izquierda, escoja los archivos o carpetas que se transferirán en el panel de la derecha, después arrastre la información del panel de la derecha a la carpeta en el panel de la izquierda.

5. Cuando haya terminado de usar la conexión RAS, puede terminarla al hacer doble clic en el icono de la conexión, en la barra de tareas y clic en el icono de la conexión, en la ventana Conectarse a una red (que se abrirá en el Centro de redes y recursos compartidos), después haga clic en Desconectar.

Mientras una conexión de marcado telefónico sea operable, podrá verla en la ventana Enrutamiento y acceso remoto del servidor; así sabrá quién es al abrir el servidor y hacer clic en Clientes de acceso remoto, en el panel de la derecha, como se ilustra en la figura 8-6. Si da clic derecho en el panel de la derecha y clic en Estado, verá cuánta información se ha transferido; podrá desconectar al usuario, si así se desea.



Figura 8-6. Puede ver quién usa el servidor RAS.

CONFIGURE Y DÉ MANTENIMIENTO AL ENRUTADORDE WINDOWS SERVER 2008

Los enrutadores son dispositivos de red usados para unir dos redes separadas e indepen-dientes, como una LAN e Internet. Los enrutadores operan en la capa de red (la tercera) del modelo de red de interconexión de sistemas abiertos (OSI, Open Systems Interconnection) y, por tanto, utiliza la dirección IP completa, que consta de los componentes de red y host (consúltense las secciones del capítulo 5, “El modelo OSI” y “Enrutadores”). Un enrutador ve todo el tráfico en ambas redes, pero sólo transfiere los paquetes que se direccionan espe-cíficamente a la otra red. Los enrutadores también proveen una función de traducción de direcciones de red (NAT, Network Address Translation). NAT permite que su LAN use un conjunto de direcciones IP que no pueden usarse en Internet, como 10.0.0.9, pero cuando los usuarios de la LAN acceden a Internet, se les asigna una dirección que puede usarse en Internet, mientras el enrutador hace la traducción entre ambos. Por último, puede usar un enrutador para conectar dos redes que utilizan diferentes protocolos, como el de control de transmisión/protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Proto-col) e intercambio de paquete entre red (IPX, Internetwork Packet eXchange).

En general, un enrutador es un dispositivo (o “caja”) electrónico independiente sepa-rado del equipo, al que se conectan dos redes. Una de las conexiones de red puede ser una conexión telefónica (línea DSL, ISDN o T1) y la otra una conexión Ethernet 10/100BaseT estándar; también pueden ser dos conexiones Ethernet u otra combinación. Windows Ser-ver 2008 suministra algunas de las capacidades del enrutador; las más importantes son fun-ciones para conectar una LAN a Internet o red de área amplia (WAN, Wide Area Network), NAT y conectar dos redes con protocolos distintos. Para funcionar, Windows Server 2008 debe estar conectado a ambas redes (por ejemplo, Internet y LAN). La conexión LAN es sólo



la tarjeta de red (NIC, Network Interface Card) estándar, mientras la conexión a Internet o WAN es algún tipo de terminal de línea telefónica en el equipo o directamente conectado a él, como un módem, adaptador ISDN o terminal DSL.

Configure el enrutador de Windows Server 2008Si quiere configurar una conexión de servidor a Internet capaz de ser usada en toda la red, entonces el servidor que quiere que sea el enrutador deberá tener conexiones de comuni-caciones y LAN. Además, debe ser un administrador o tener privilegios de Administrador. Entonces podrá configurar tal función de enrutador a través de la ventana Enrutamiento y acceso remoto. Siga estos pasos:

SUGERENCIA Si no está utilizando DHCP, necesita configurar la conexión compartida

a Internet de Conexiones de red. Consulte la siguiente sección “Dé mantenimiento a un

enrutador de Windows Server 2008”.

1. Si aún no está abierta la ventana Enrutamiento y acceso remoto, haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.

Si ya configuró RAS de acuerdo con las páginas anteriores de este capítulo y está en ejecución, debe deshabilitarlo para instalar Servidor de conexión a Internet, al hacer clic en Deshabilitar Enrutamiento y acceso remoto. Haga clic en Sí cuando se le pregunte si quiere continuar.

Si no configuró RAS antes, necesita habilitar la función de servidor Servicios de Enrutamiento y acceso remoto, como se describió en “Agregue un servicio de enru-tamiento y acceso remoto”, en páginas anteriores de este capítulo.

2. Haga clic derecho en Servidor de Enrutamiento y acceso remoto y, en cualquier caso, haga clic en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acceso remoto. Haga clic en Siguiente.

3. Haga clic en Traducción de direcciones de red (NAT) y en Siguiente. Si quiere usar una conexión de Internet existente, haga clic en Utilizar esta interfaz pública para conectarse a Internet (si su conexión de Internet tiene enrutador propio, como es el caso con DSL, esta opción estará atenuada).

Si quiere crear una nueva conexión a Internet de marcado telefónico, como la que podría usarse con un módem, haga clic en Crear una conexión a Internet de mar-cado a petición y, en cualquier caso, haga clic en Siguiente. Para crear una interfaz de marcado a petición, haga clic de nuevo en Siguiente, para abrir el Asistente para interfaz de marcado a petición, donde necesita hacer clic en Siguiente.

4. Acepte el nombre predeterminado de Enrutador remoto o escriba el nombre que quiera usar para la interfaz y haga clic en Siguiente. Haga clic en Conectar usando módem, adaptador ISDN (RDSI) u otro dispositivo y haga clic en Siguiente. Se-leccione el módem o adaptador específico que habrá de usar, dé clic en Siguiente. Inserte el número telefónico y haga clic en Siguiente.

5. Escoja las opciones que quiere usar. En casi todos los casos, todo lo que necesitará es la opción predeterminada Enrutar paquetes IP en esta interfaz. Tras seleccionar



las opciones necesarias, haga clic en Siguiente. Escriba nombre de usuario, nombre de dominio y contraseña; confirme la contraseña; y haga clic en Siguiente. Haga clic en Finalizar dos veces.

Dé mantenimiento al enrutador de Windows Server 2008Puede ver, probar y dar mantenimiento al enrutador que ha instalado en la ventana Enrutamien-to y acceso remoto. Con los siguientes pasos, puede localizar el nuevo enrutador, conectarlo a su destino y ver cómo configurar filtros IP y las horas en que puede usar el enrutador:

1. Si la ventana Enrutamiento y acceso remoto aún no está abierta, haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto.

2. Haga clic en Interfaces de red. En el panel de la derecha, deberá ver su interfaz de marcado a petición, similar a la del autor (Enrutador remoto) como se muestra aquí:



3. Haga clic derecho en la entrada de marcado a petición y en Establecer credenciales. Aquí, puede cambiar nombre de usuario, dominio y contraseña usados para conec-tarse al ISP. Cuando abre este cuadro de diálogo, la contraseña se elimina y debe reescribirse. Además, es probable que no requiera insertar un dominio. Haga clic en Aceptar tras completar la entrada.

4. Haga clic derecho en la entrada de marcado a petición y clic en Conectar. Tal vez es-cuche el módem marcando y vea un mensaje con el estado “Conectando”. Cuando se establece la conexión real, el Estado de conexión en el cuadro de diálogo Enruta-miento y acceso remoto cambia a Conectado.

5. Haga clic derecho en la interfaz de marcado a petición y clic en Establecer los filtros de marcado a petición IP. Esto le permite especificar direcciones IP que serán las únicas permitidas en la red o, en su defecto, direcciones IP no permitidas en la red. Haga clic en Nuevo y añada las direcciones IP, que pueden estar dentro de la LAN o red remota. Luego de haber establecido los filtros que quiere, haga clic en Aceptar.

6. Haga clic derecho en la interfaz de marcado a petición y clic en Horas para marcado de salida. Aquí, puede especificar las horas que la conexión de marcado a petición no estará disponible, al seleccionar una hora determinada y hacer clic en Denegado. Por ejemplo, si quiere que se bloquee de las 11:00 p.m. del sábado a las 3:00 a.m. del domingo, el cuadro de diálogo se verá como la imagen siguiente, tras seleccionar las horas. Después de realizar sus selecciones, haga clic en Aceptar.

7. Haga clic derecho en la interfaz de marcado a petición y clic en Propiedades. Esto le permite configurar las propiedades de la conexión, incluido número telefónico, tipo de conexión, varias opciones de seguridad y propiedades de red. Cuando esté lis-to, haga clic en Aceptar y después cierre la ventana Enrutamiento y acceso remoto.



Para utilizar el enrutador, necesita instalar una conexión a Internet en el cliente que se conecta mediante LAN. Consulte “Configure y use una conexión a Internet” en seguida de la siguiente sección.

Configure una conexión compartida a Internet Una conexión compartida a Internet es un pequeño sistema alterno al enrutamiento de ser-vidor. La conexión compartida a Internet permite que una red pequeña de equipos se co-necte a Internet mediante un solo equipo que ejecuta Windows Server 2008 y se conecta físicamente a Internet mediante líneas telefónicas, un módem por cable u otro medio. En primer lugar, necesita configurar la conexión a Internet, como ya se explicó en este capítulo y después usar los siguientes pasos para compartir esa conexión.

NOTA La conexión compartida a Internet es una opción al uso del enrutador de Windows

Server 2008 con traducción de dirección de red (NAT), como ya se describió en “Configu-

re un enrutador de Windows Server 2008”, que no pueden estar habilitadas ambas en el

mismo equipo simultáneamente.

SUGERENCIA Debe tener al menos dos conexiones o comunicaciones de red: una para

conectar el equipo a Internet y otra para conectarlo a otros equipos.

1. Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos y clic en Administrar conexiones de red.

2. Haga clic derecho en la conexión que quiere compartir y dé clic en Propiedades. En el cuadro de diálogo Propiedades que se abre, haga clic en la ficha Compartir.

3. Bajo Conexión compartida a Internet, dé clic en Permitir que los usuarios de otras redes se conecten a través de la conexión a Internet de este equipo, como se muestra en la figura 8-7.

4. Si lo desea, haga clic en Establecer una conexión de marcado cada vez que un equi-po de la red intente acceder a Internet.

5. Haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades. En el cuadro de diálogo Conexiones de red, deberá ver “Compartida” en la conexión que comparte. Haga clic en Cerrar, para clausurar el cuadro de diálogo Conexiones de red.



CONFIGURE Y USE UNA CONEXIÓN A INTERNETUna conexión a Internet es una de las razones principales (y en ciertas ocasiones la única razón) para ser dueño de un equipo. En los negocios, se hace más trabajo mediante tran-sacciones de negocio a negocio mediante Internet. Por tanto, es muy importante obtener lo mejor de la conexión a Internet.

Conexión a InternetSi un equipo puede conectarse a Internet a través de LAN, la instalación de Windows Server 2008 automáticamente conecta ese equipo a Internet y sin hacer más trabajo. El problema es que no resulta obvio si está conectado. La única forma de saberlo es usar Internet y ver qué pasa. Intente esto con el siguiente conjunto de pasos. Para darlos, se supone que no ha configurado una conexión por módem o marcado telefónico, aunque se asume también que ha establecido una conexión física entre el equipo e Internet. Esto podría ser una línea

Figura 8-7. Opción para compartir una conexión a Internet.



telefónica o módem, línea telefónica y enrutador DSL, cable de TV y módem de cable u otro dispositivo que permita la conexión.

SUGERENCIA Si no quiere identificar cada sitio y subsitio que visita como sitio de

confianza, puede desactivar la seguridad mejorada de Internet Explorer al hacer clic

en Inicio | Administrador del servidor. En Resumen de servidores, bajo Información de

seguridad, haga clic en Configurar ESC de Internet Explorer. En el cuadro de diálogo

Configuración de seguridad mejorada de Internet Explorer, puede desactivar seguridad

mejorada para grupos de Administradores, Usuarios o ambos.

NOTA Para conectarse a Internet, necesita una cuenta existente con un proveedor de

servicios de Internet (ISP); si usa un módem, necesita saber el número telefónico de su

módem para marcar (el número telefónico del ISP del módem); en todos los casos, ne-

cesita nombre de usuario y contraseña para su cuenta. Si quiere usar correo de Internet,

necesita conocer su dirección de correo electrónico, tipo de servidor de correo (POP3,

IMAP o HTTP), nombres de los servidores de correo entrante y saliente, así como nombre

y contraseña de su cuenta de correo.

1. Abra Internet Explorer al hacer doble clic en su icono, si está en el escritorio, al hacer clic en el menú Inicio y luego en su icono, clic en Inicio|Todos los programas|Internet Explorer. Se abrirá Internet Explorer.

Si es la primera vez que abre Internet Explorer, se le dirá acerca de la seguridad mejorada de Internet Explorer. Lea esto y haga clic en el vínculo para aprender más. En esencia, debe identificar cada sitio que visita como un sitio de confianza.



2. En la barra de dirección, escriba http://prodigy.msn.com y oprima enter. Si no ha desactivado la seguridad mejorada de Internet Explorer, se le preguntará si quiere agregar el sitio a su zona de sitios de confianza. Haga clic en Agregar, en caso de que lo desee, haga clic de nuevo en Agregar y luego en Cerrar. Estos pasos son necesa-rios para cada nuevo sitio que visita, pero no se repetirá aquí.

Si Internet Explorer se abre con la página inicial de MSN (un ejemplo se muestra en la figura 8-8), ya sabe que tiene una conexión a Internet y puede omitir el resto de los pasos de esta sección.

3. Si no tiene una conexión a Internet o no está en funcionamiento, verá uno de varios cuadros de diálogo: un mensaje que le pregunta si quiere trabajar sin conexión, otro en Internet Explorer indicando que IE no puede desplegar la página Web o un cua-dro de diálogo Configurar una conexión o red. En todos los casos necesita crear una nueva conexión a Internet o reparar la existente.

Si Internet Explorer no encuentra Internet y no se abre el cuadro de diálogo Con-figurar una conexión o red, inícielo al hacer clic en Iniciar|Panel de control, haga doble clic en Centro de redes y recursos compartidos y haga clic en Configurar una conexión o red.

4. Haga clic en el tipo de conexión que quiera usar luego en Siguiente. Se le pregun-ta cómo quiere conectarse a Internet. Verá opciones que coinciden con los medios que tiene para establecer una conexión, entre marcado telefónico, banda ancha, co-nexión inalámbrica u otras posibilidades. Haga clic en la que sea adecuada.



5. Dependiendo de lo que seleccione, se le pedirá la información de inicio de sesión necesaria para esa opción, como número telefónico, nombre de usuario y contrase-ña para una opción de marcado telefónico. Inserte la información y, si es necesario, haga clic en Conectar; de otra forma, haga clic en Cerrar.

6. Una vez más abra Internet Explorer; si se le pregunta, haga clic en Conectar. Si to-davía no puede conectarse a Internet, tal vez tenga un problema de hardware y, por ejemplo, necesite reinstalar su módem, en cuyo caso debe ir a “Instale un módem”, en páginas anteriores de este capítulo, y después regrese aquí; de otra forma, vaya al paso siguiente.

Figura 8-8. Conexión a Internet y la página de inicio de MSN.



7. Cuando haya instalado en forma correcta su conexión a Internet, se le mostrará una pantalla de información sobre seguridad. En la barra de direcciones, escri-ba http//prodigy.msn.com y oprima enter. Se conectará a la página de inicio de MSN, similar a la que se muestra en la figura 8-8.

Encuentre información en InternetCuando se haya conectado a Internet, tal vez quiera ir a páginas diferentes de la página de inicio de MSN. Existen varias formas de hacerlo, incluidas las siguientes:

▼ Navegar en un sitio Web

■ Ir directamente a un sitio Web

■ Buscar un sitio Web

▲ Configurar una página de inicio predeterminada diferente

Navegue dentro de un sitio WebUn buen sitio Web ofrece muchas formas de navegar en él. Mientras ve la página de inicio de MSN, en la figura 8-8, se observan varios términos o frases que se subrayan cuando colo-ca el cursor sobre ellos. Se trata de vínculos que, cuando se hace clic en ellos, lo llevan a otra parte del sitio Web. La página de inicio incluye gran cantidad de vínculos de varios tipos, entre los que se encuentran encabezados, términos y listas de artículos. Además, es común que exista una opción de Búsqueda, similar a la mostrada en la parte superior de la página de inicio de MSN. Aquí, puede seleccionar donde quiere buscar (Web, Imágenes, etc.). Inser-te un término o frase para buscar y haga clic en Buscar.

SUGERENCIA A menudo, si inserta una frase en una búsqueda de texto, se buscará pa-

labra por palabra, no la frase completa. Para corregir eso, en muchos buscadores de texto

puede encerrar la frase entre comillas y la búsqueda se hará para la frase completa.

Internet Explorer también provee herramientas para navegar un sitio: las flechas Regresar y Adelante, en la barra de herramientas, lo llevan a páginas previas y si-guientes, respectivamente. Además, las flechas hacia abajo, a la derecha de las flechas Regresar y Adelante, mostrarán una lista de varias páginas vistas en cada dirección.

SUGERENCIA Si cree que tiene un módem instalado y no puede conectarse cuando

abre Internet Explorer, revise las Opciones de Internet, en Internet Explorer, al hacer clic

en el botón Herramientas en la barra de comandos, seleccionar Opciones de Internet y

hacer clic en la ficha Conexiones. Vea si tiene una conexión especificada y si marca el

teléfono de la conexión. Si no, haga las correcciones necesarias.



Vaya directamente a un sitio WebPara ir directamente a un sitio, debe conocer la dirección o localizador uniforme de recursos (URL, Uniform Resource Locator), para ese sitio. Con la creciente presencia en publicacio-nes, membretes y publicidad, encontrará fácilmente un URL de la organización. Cuando lo tenga, puede insertarlo en la barra de direcciones, en la parte superior de Internet Explorer, como se muestra a continuación y después oprima enter o dé clic en la flecha verde apun-tando a la derecha, que lo llevará directamente al sitio. Puede almacenar los URL que usa con frecuencia en la carpeta Favoritos, el escritorio y la barra Vínculos de Internet Explorer. Si selecciona una de estas direcciones sin estar conectado a Internet, se le conectará automá-ticamente (o tal vez deba hacer clic en Conectar, en un cuadro de diálogo de conexión), se abrirá Internet Explorer y se desplegará el sitio correspondiente a la dirección.

Coloque un URL en Favoritos Puede almacenar un URL en la carpeta Favoritos, al ingresarla o desplegarla de otra forma en la barra de direcciones de Internet Explorer y hacer clic en el botón Agregar un favorito. Se abrirá el cuadro de diálogo Agregar un favorito, mostrándole el nombre que tendrá el sitio en la carpeta Favoritos y permitiéndole colocar el URL en una subcarpeta, con la opción Crear en.

SUGERENCIA La carpeta Favoritos está en cada área del usuario en el disco duro. Como

opción predeterminada, es C:\Users\nombredeusuario\Favoritos. Debe crearse una copia

de seguridad de vez en cuando.

Coloque un URL en el escritorio Puede colocar un URL en el escritorio o barra de herramien-tas de Inicio rápido, al arrastrar el icono a la izquierda de la barra de direcciones de Internet Explorer, hacia el escritorio o la barra de herramientas Inicio rápido. Esto crea un acceso di-recto que, cuando se hace clic o doble clic en él, se conecta a Internet, abre Internet Explorer y despliega el sitio.

Coloque un URL en la carpeta Vínculos La carpeta Vínculos es una subcarpeta de Favoritos y puede estar en la parte superior de la ventana de Internet Explorer. Haga clic derecho en el área de barras de herramientas y haga clic en Bloquear las barras de herramientas, para blo-quear la barra Vínculos. Una vez más, haga clic derecho en el área de barras de herramientas



y clic en Vínculos. La barra Vínculos aparecerá arriba de las fichas. Puede agregar un URL a la carpeta Vínculos y a la barra, arrastrando el icono en la barra de direcciones a la barra Vínculos. También colocarlo en la barra Vínculos, en la ubicación preferida. Puede asimismo eliminar cualquier vínculo no deseado al hacer clic derecho en éste y seleccionar Eliminar.

Busque un sitio WebSi no sabe la dirección URL del sitio Web, puede buscarla de dos formas. Si es un sitio Web recién visitado, puede encontrarlo en el historial de sitios Web. Si no ha entrado al sitio re-cientemente, puede hacer una búsqueda completa en Internet para encontrarlo.

Revise el historial Para revisar el historial de sus visitas a sitios Web, haga clic en el Centro de Favoritos y clic en Historial, en la barra de herramientas de Centro de Favoritos. Su historial aparecerá a la izquierda de Internet Explorer y, como opción predeterminada, mostrará los sitios visitados por día de la semana actual y después por semana en las últimas semanas. Al abrir un día o semana, puede ver y elegir una URL visitada y hacer que se despliegue rápidamente.

Puede determinar cuántos días quiere mantener el Historial o eliminarlo al hacer clic en el botón Herramientas, en la barra de comandos y seleccionar Opciones de Internet. En la ficha General, del cuadro de diálogo que se abre, bajo Historial de exploración, haga clic en Configuración; puede configurar Conservar páginas en el historial por estos días. También en el cuadro de diálogo Opciones de Internet, en la ficha General, bajo Historial de explora-ción, puede hacer clic en Eliminar y después en Eliminar historial.

NOTA Puede ordenar la lista Historial al hacer clic en la flecha hacia abajo y luego en el

botón Historial, en la barra de herramientas Centro de Favoritos.

Busque en Internet Puede buscar un sitio Web en Internet en tres niveles:

▼ Escriba en la barra de direcciones lo que crea parte de la dirección URL e Internet Explorer buscará un sitio con la URL del texto que insertó. Por ejemplo, al insertar “3com” (la compañía) o “united” (por United Airlines), se le llevará al sitio Live Search de Microsoft, que despliega una lista de posibles URL, como se observa en la figura 8-9, donde usualmente encontrará el sitio que quiere

SUGERENCIA Puede cambiar la manera en que Internet Explorer responde a la búsque-

da en la barra direcciones (escribir un URL incompleto) al hacer clic en el botón Herramientas,

en la barra de comandos y seleccionar Opciones de Internet; haga clic en la ficha Opcio-

nes avanzadas y desplácese hacia abajo hasta Buscar, desde la barra de direcciones.

■ Haga clic en el cuadro Live Search, en la barra de herramientas en la parte superior de Internet Explorer; escriba una palabra o frase y dé clic en Buscar (el icono de lupa). Se desplegará una lista de sitios Web que contiene tal frase o palabra. Luego puede hacer clic en un sitio en la lista, mismo que se desplegará. Como se describió en la sugerencia anterior, si quiere buscar una frase completa, necesita colocar la frase entre comillas



▲ Utilice otro sitio de búsqueda como Google, Yahoo, Ask o AltaVista, al escribir el nombre en la barra de direcciones (véase la figura 8-10 para conocer la página de inicio de AltaVista). En Windows Server 2008, Internet Explorer 7.0 (IE7) depende com-pletamente del motor de búsqueda de MSN, sin suministrar vínculos directos a otros motores de búsqueda disponibles. Estos otros sitios de búsqueda proporcionan di-ferentes resultados para las mismas búsquedas y a menudo vale la pena revisar varios sitios. Puede hacer esto no sólo cuando busca páginas Web, sino también cuando busca la dirección postal o de correo electrónico de una persona o quiere encontrar un negocio, ubicar un mapa, buscar una palabra, encontrar una imagen, o la referencia en un grupo de noticias y revisar sus búsquedas anteriores

Figura 8-9. Puede insertar parte de un nombre de sitio Web para buscarlo.



Figura 8-10. Existen varios sitios alternos para buscar en Web.

Configure una página de inicio predeterminada diferenteLa página que se abre cuando inicia por primera vez Internet Explorer o al hacer clic en el icono con una casa en la barra de comandos de Internet Explorer es la página principal, su página de inicio. Por ejemplo, si quiere que la página de inicio de CNN sea su página prin-cipal, puede hacerlo con estos pasos:

1. Abra Internet Explorer y despliegue la página que desea como su página principal.

2. Haga clic en la flecha hacia abajo después del icono Página principal y luego haga clic en Agregar o cambiar la página principal.

3. Haga clic en Usar esta página Web como la única página principal y haga clic en Sí.



Use las fichasInternet Explorer 7 (IE7), incluido en Windows Server 2008, ha aumentado la capacidad para tener varias páginas Web abiertas al mismo tiempo, de modo que se puede ir de forma sencilla de una a otra, al hacer clic en la ficha asociada con la página. Las fichas residen en la fila de fichas, inmediatamente bajo la barra de direcciones, junto con Centro de Favoritos y Agregar un favorito, como se muestra en la figura 8-11. Bajo condiciones normales, sólo se abre una página a la vez, como en versiones anteriores de Internet Explorer. Si abre una se-gunda página, reemplazará la primera. Sin embargo, IE7 le da la capacidad para abrir varias páginas en fichas separadas e ir de una a otra al hacer clic en sus fichas.

Abra páginas en una nueva fichaPara abrir una página en una nueva ficha:

1. Abra su primera página Web en cualquiera de las formas descritas antes en este capítulo.

2. Haga clic en Nueva pestaña, a la derecha de la fila de fichas u oprima ctrl-t abra una segunda página Web en cualquiera de las formas ya mencionadas en este capítulo.

O

Escriba una página Web en la barra de direcciones y oprima alt-enter.

O

Escriba una solicitud de búsqueda en el cuadro de búsqueda y oprima alt-enter.

U

Oprima y deje oprimida ctrl, mientras hace clic en un vínculo en una página abierta.

U

Oprima y deje oprimida ctrl conforme hace clic en la flecha a la derecha de un sitio, en su Centro de Favoritos.

Figura 8-11. Las fichas le permiten cambiar de forma rápida entre varios sitios Web.

Centro deFavoritos

Pestañasrápidas

Fichas Páginaprincipal

Nuevapestaña

Páginaabierta

Lista depestañas

AgregarFavorito



3. Repita cualquiera de las opciones del paso 2, cuando sea necesario para abrir más páginas.

Vaya de una ficha a otraPara ir de una ficha abierta a otra:

▼ Haga clic en la ficha de la página que quiere abrir

O

■ Haga clic en Pestañas rápidas, en la fila de fichas u oprima ctrl-q y haga clic en la vista previa de la página que quiere abrir (véase la figura 8-12)

O

■ Haga clic en Lista de pestañas y luego en la página que quiere abrir

U

■ Oprima ctrl-tab para ir a la siguiente ficha a la derecha, o ctrl-mayús-tab para ir a la siguiente ficha a la izquierda

U

▲ Oprima ctrl-n, donde N es un número del 1 al 8, para ir a una de las primeras ocho fichas numeradas, de izquierda a derecha, en el orden en que se abrieron. También puede oprimir ctrl-9 para ir a la última ficha abierta, que se muestra a la derecha de la fila de fichas

NOTA Para usar CTRL-N para ir de una ficha a otra en Internet Explorer, necesita usar una

tecla numérica en el teclado principal, no en el numérico.



Cierre fichasPara cerrar una o más fichas:

▼ Haga clic derecho en la ficha de la página que quiere cerrar, haga clic en Cerrar, en el menú contextual o en Cerrar las otras pestañas, para cerrar todas las páginas excepto en la que hizo clic

U

■ Oprima ctrl-w o haga clic en su “X”, para cerrar la página actual

O

■ Haga clic en el botón central del ratón (si su ratón tiene uno) en la página que quiera cerrar

U

▲ Oprima alt-f4 para cerrar todas las fichas (confirme al hacer clic en Cerrar pesta-ñas, en el cuadro de diálogo que aparece) u oprima ctrl-alt-f4 para cerrar todas las fichas excepto la seleccionada

Figura 8-12. Mediante el botón Pestañas rápidas, puede ver vistas miniatura de todas sus

páginas abiertas, dispuestas de manera contigua.

SUGERENCIA Oprima sólo la tecla ALT para ver los menús de Internet Explorer; como

una opción alternativa use las opciones de la barra de comandos de IE7.


9

247

CAPÍTULO

Servicios de información

de Internet (IIS)versión 7



En este capítulo se hace una introducción a los servicios de información de Internet versión 7 (IIS 7, Internet Information Services) y la función que juega IIS para Win-dows Server 2008. En el capítulo se describe cómo instalar, personalizar, mantener,

administrar y migrar a IIS para cumplir varias metas de negocios y trabajo en red.

EXPLORE EL ENTORNO DE IIS 7IIS es una colección de servicios, protocolos y aplicaciones, integradas en Windows Server 2008 para manejar la interacción del servidor con “la Web”, Internet, intranet (dentro de una organización) o una extranet, que combina Internet con una o más intranets. IIS es un servi-dor Web primario, que hospeda páginas Web y aplicaciones para responder a solicitudes de otros equipos que ejecutan exploradores Web. IIS hace esto al enviar texto, imágenes, audio y video al equipo que hace la solicitud y al realizar otros servicios Web con éste.

NOTA Windows Vista incluye una versión limitada de IIS 7. Esta versión está diseñada para

gente que desarrolla sitios Web y pequeños negocios, con el fin de integrar un sitio de intranet

muy limitado dentro del negocio. Las limitaciones en Vista dependerán de la versión utilizada.

En el mejor de los casos, con Windows Vista Ultimate, Business o Enterprise, IIS puede dar

servicio sólo a diez conexiones a la vez y algunas características de IIS no están disponibles.

En Windows Server 2008, IIS 7 puede manejar un número ilimitado de clientes y tiene todas

las características disponibles. En este libro se analizará sólo la versión de servidor de IIS 7.

Siempre que utiliza un explorador Web para conectarse a un sitio Web, como www.mi-crosoft.com, se conecta a un servidor Web; descarga texto, medios e imágenes alojados allí; después ve esta información en su equipo local. Obviamente, es muy variable la calidad y complejidad de cada sitio Web, además de la calidad y estabilidad de servidores Web. En este capítulo se analizarán características y funciones únicas que IIS 7 ofrece y que dan so-porte a sitios Web de alta calidad y estabilidad de servidor mejoradas.

Aunque es fácil pensar en IIS sólo como un servidor Web, IIS realmente da soporte a gran variedad de servicios. Las siguientes son algunas de las áreas que representan la diver-sidad de funciones ofrecidas por IIS:

▼ ASP.NET Las páginas activas de servidor (ASP, Active Server Pages) que usan .NET Framework de Microsoft son un método para crear elementos dinámicos en páginas Web. ASP.NET le permite a una página Web responder a cada acción del usuario (como cargar la página o hacer clic en un objeto en la página), además de manejar y autentificar formularios basados en Web

■ Web DAV Autoría y versión distribuidas de Web (Web-based Distributed Autho-ring and Versioning) son un protocolo utilizado para generar aplicaciones Web que permiten la colaboración en la creación, búsqueda, desplazamiento, copia y elimi-nación de información basada en Web

■ SharePoint Services Da servicios para crear, actualizar, organizar y retener in-formación entre un equipo de individuos que comparten información. SharePoint Services utiliza una estructura de sitio Web generada previamente, en la que pueden agregarse páginas Web personalizadas y ya elaboradas. Muchas personas


249 Capítulo 9: Servicios de información de Internet ( I IS) versión 7

pueden agregar información en forma sencilla y actualizar la información en estas páginas, con la información organizada y almacenada en una base de datos SQL

■ FTP El protocolo de transferencia de archivos (FTP, File Transfer Protocol) es de intercambio de archivos estándar en la industria, que permite a varios tipos de equi-po, incluidos servidores, equipos de tamaño mediano y laptops, ejecutar varios sis-temas operativos para intercambiar archivos en Internet o intranet, en forma rápida y eficiente. Con FTP, los datos que se ingresan y procesan en un entorno de servidor, pueden enviarse por FTP a un equipo basado en Windows y entrar automáticamen-te en una base de datos SQL sin interacción de usuario, mediante el uso de secuen-cias de comandos que se ejecutan en cada terminal

▲ SMTP El protocolo de transferencia de correo simple (Simple Mail Transfer Pro-tocol) permite la formación y transferencia de mensajes de texto entre sistemas. En pocas palabras, SMTP es correo electrónico. Si alguna vez ha usado correo electróni-co en Internet, ha usado SMTP. En Windows Server 2008, SMTP es parte de Active Di-rectory y puede utilizarse para vincular sitios de Active Directory mediante Internet. Con SMTP, las organizaciones de Windows Server 2008 pueden integrarse a través de Internet con nada más que las tecnologías estándar de Internet

NOTA Windows Server 2008 utiliza el servidor de certificado IIS para mantener intercam-

bio de información cifrada y segura entre dos sitios de Active Directory.

Características de IIS 7Mientras IIS 7 se basa en una línea importante de versiones anteriores, tiene varias carac-terísticas mejoradas o nuevas. La versión 7 está integrada de manera más modular, que permite ajustar a la medida una instalación a tareas particulares necesarias, para seleccionar sólo los módulos deseados. Además, ahora IIS 7 ofrece una plataforma de servidor unifica-da para hospedaje Web, ASP.NET, SharePoint Services y Windows Communication Foundation (que permite la comunicación entre varios equipos en red). En forma adicional, existen me-joras en las áreas de seguridad, confiabilidad, administración y escalabilidad.

SeguridadMicrosoft hace un esfuerzo continuo para mejorar la seguridad de IIS, incluidos cambios para reducir áreas de vulnerabilidad sospechosa. Además, IIS 7 incluye varias caracterís-ticas para mejorar la seguridad, como autentificación implícita avanzada, un proveedor de servicio criptográfico (Cryptographic Service Provider) seleccionable, configuración de identidad de proceso de trabajo y deshabilitación de extensiones desconocidas.

▼ Autentificación implícita avanzada Mejora la autentificación implícita mediante almacenamiento y transmisión de credenciales de seguridad, como contraseñas, en una técnica de cifrado difícil de romper, llamada hash MD5

■ Proveedor de servicio criptográfico seleccionable Permite que un administrador permute entre el uso de hardware (CPU, RAM y disco duro) y software (Windows y el Registro) básicos para el cómputo de funciones de cálculo y almacenamiento de claves públicas y privadas, utilizadas en cifrado, así como manejo de algunas o todas estas funciones en una tarjeta inteligente o aceleradora de criptografía



■ Configuración de identidad del proceso de trabajo Permite la configuración de almacenes de aplicaciones, donde se ejecutan procesos Web de servidor, para tener un conjunto particular, limitado, de privilegios y bloquear a hackers

▲ Deshabilitación de extensiones desconocidas Permite configurar IIS para que pase sólo extensiones de archivo conocidas y bloquee las desconocidas con un men-saje de error “acceso denegado”

ConfiabilidadLa confiabilidad puede dividirse en dos áreas principales: prevenir que las aplicaciones fallen (que se finalicen sin solicitarlo) y contener estas fallas para que no afecten al IIS ni al sistema operativo. Evitar que las aplicaciones de terceros fallen es competencia compartida entre Microsoft y desarrolladores de aplicaciones, además de que el enfoque para mejorar la confiabilidad de IIS consiste en la mejor contención de aplicaciones, de modo tal que no afecten al resto del sistema. Microsoft ha hecho varios cambios en IIS para lograr esto, in-cluidos establecimiento de una forma de operación dedicada; aislamiento de aplicaciones, mediante procesos de trabajo y almacenes de aplicaciones; limitación de solicitudes en cola para una aplicación; establecimiento de un servicio de administración Web (WAS, Web Administration Service) separado y monitoreo del estado del proceso de trabajo.

▼ Modo de operación dedicado Permite que se ejecuten aplicaciones en un entorno aislado, en contraste con el modo de aplicación estándar usado en versiones anterio-res de IIS, donde se ejecutan aplicaciones como parte de un servicio Web. Muchas de estas mejoras de confiabilidad dependerán del uso de modo de operación dedicado

■ Almacenes de aplicaciones y procesos de trabajo Sirve al aislamiento de aplica-ciones, mediante la asignación de almacenes de aplicaciones particulares para su ejecución en procesos de trabajo específicos. Los almacenes de aplicaciones pueden configurarse con un conjunto de límites de espacio y tiempo, así como para usar un conjunto de recursos determinado, incluido un procesador particular en un ser-vidor de varios procesadores. Los almacenes de aplicaciones y recursos de trabajo requieren el modo de aplicación dedicado

■ Límite de solicitudes en cola Permite la configuración de límites, con un modo de aplicación dedicado en el número de solicitudes que pueden consultarse para un almacén de aplicaciones particular. Esto limita la cantidad de recursos de sistema que un almacén de aplicaciones puede utilizar

■ Servicio de administración Web (WAS) Ofrece un espacio de administración Web separado de procesos de aplicación, para así mantener funciones aisladas de cual-quier problema en las aplicaciones Web. WAS se utiliza para configurar almacenes de aplicaciones y para determinar su estado (estén o no en ejecución) y reiniciarlos

▲ Monitoreo del estado Permite, en el modo de aplicación dedicado, determinar la manera en que se ejecuta un almacén de aplicaciones y, bajo circunstancias prescritas, lo termina; asimismo, de forma opcional, lo reinicia. Si el almacén de aplicaciones ha fallado, se puede terminar y reiniciar de inmediato; si el almacén de aplicacio-nes está inactivo, puede cerrarse y reiniciarse bajo pedido; si ha fallado varias veces,



puede deshabilitarlo e impedir que reinicie; y si ha fallado una parte detectable del almacén, puede separarlo del proceso y reiniciarlo como otro proceso

AdministraciónLa administración de IIS 7 se maneja mediante una interfaz basada en tareas en el Adminis-trador de Internet Information Services (IIS) o con una opción de línea de comandos. IIS 7 permite ver el diagnóstico e información de estado acerca del servidor, incluido lo que está en ejecución. También IIS 7 permite ahora la configuración de permisos de usuario y fun-ciones para sitios y aplicaciones. En IIS 7, todavía puede utilizar todas las herramientas de administración de IIS 6, requeridas para la administración de FTP.

▼ Mejoras de metabase Permite la lectura y edición directa de la información de con-figuración y esquema de IIS, aunque se esté ejecutando, regresar fácilmente a versiones anteriores de la información de configuración y esquema en caso de corromperse, además del respaldo y restauración de la información con una contraseña

■ Importación y exportación de configuraciones de sitio Web Proporciona medios para exportar desde un nodo a un árbol completo de información de configuración de un sitio Web a un archivo legible que se importa en otro servidor

■ Scripts de líneas de comando Permite la administración directa o indirecta de sitios Web, FTP, directorios virtuales, aplicaciones Web y configuración de informa-ción mediante scripts de líneas de comando

▲ Proveedor IIS en WMI Permite administrar y configurar IIS mediante progra-mación, usando interfaces de programa de instrumentación de administración de Windows (WMI, Windows Management Instrumentation) para consultar y confi-gurar la metabase

EscalabilidadA medida que crece un sitio Web o servicio de hospedaje Web, es necesario que se interrum-pa lo menos posible al comprador. IIS 7 ha agregado varias características para mejorar esta capacidad para crecer sin problemas, llamada escalabilidad, que incluye una versión de 64 bits de IIS; uso de agrupación completa en clústeres de Windows; varios procesos de trabajo; guardado de plantillas ASP en la memoria caché; el uso de seguimiento para capacidad de planeación y mejor administración del ancho de banda.

▼ Una versión de 64 bits de IIS Permite ejecutar IIS y sus aplicaciones Web en pro-cesadores Intel y AMD de 64 bits con capacidad para manejar mayores cargas

■ Uso de clústeres de Windows Al permitir el uso de la capacidad de clústeres integra-da en el sistema operativo, la conexión de varios equipos con recursos compartidos y la capacidad de equilibrar la carga entre equipos. Ante la falla de un equipo en un clúster, la carga se cambia automáticamente a otro equipo. IIS 7 usa completamente la capacidad de clústeres de Windows Server 2008

■ Varios procesos de trabajo Permite ejecutar varias aplicaciones de forma simultá-nea, cada una en su propio entorno protegido. En equipos con varios procesadores, es posible ejecutar un determinado trabajo en un procesador dedicado. IIS 7 ofrece varios procesos de trabajo, cada uno ejecutando una o más aplicaciones



■ Guardado de plantillas ASP en la caché Provee fragmentos comunes de secuen-cias de comandos ASP, llamados “plantillas”, para almacenamiento en caché (que lo mantiene en memoria activa, susceptible de ser RAM o disco duro), para que cuando vuelvan a utilizarse plantillas, puedan usarse de forma muy rápida, ya que están disponibles de forma inmediata y no necesiten recompilarse

■ Seguimiento para planeación de capacidad Permite el análisis de la manera en que se manejan varias cargas de trabajo con diferentes configuraciones para planear el hardware necesario a medida que crece la carga de trabajo

▲ Administración de ancho de banda En el caso del control del nivel y calidad del servicio de usuario a través de la regulación del flujo de ancho de banda, ofrece lí-mites de cola del almacén de aplicaciones, contabilidad del proceso y límites de conexión y pausas

Servicios de Internet en IIS 7IIS 7 publica información mediante servicios y protocolos de Internet estándar, incluidos World Wide Web (WWW), FTP, SMTP y el protocolo de transferencia de noticias de red (NNTP, Network News Transfer Protocol).

▼ Servicios WWW Utiliza el protocolo de transferencia de hipertexto (HTTP, Hy-perText Transfer Protocol) para permitir a los usuarios publicar contenido en Web, al utilizar el lenguaje de marcado de hipertexto (HTML, HyperText Markup Lan-guage), el lenguaje extensible de marcado (XML, Extensible Markup Language) y ASP. Los archivos se colocan en carpetas o subdirectorios conectados a un sitio Web. Estos documentos pueden verse mediante un explorador de Internet, como Internet Explorer. Debido a la naturaleza gráfica de HTML, los negocios pueden usar este formato para desplegar y explicar productos y servicios, además de crear aplicaciones de comercio electrónico para comprar estos productos y servicios

■ Servicios FTP Se utiliza para transmitir archivos en Internet. Se trata de un proto-colo antiguo que sirve para la transferencia confiable y rápida de archivos. FTP puede usarse con un explorador Web por medio de FTP de Web, para agilizar el proceso de descarga de archivos grandes de sitios Web normales, además de un cliente FTP heredado independiente, conectado al servidor FTP, que permita el acceso a archi-vos independientes de los protocolos HTTP. Mientras algunos exploradores Web pueden utilizarse para acceder a servidores FTP, a menudo se usan clientes FTP separados. Aunque todos los clientes de Microsoft contienen un cliente FTP como parte de la pila TCP/IP, este cliente está orientado a DOS y la línea de comandos (escriba ftp en el indicador de comandos). Varios clientes FTP de 32 bits de ter-ceros pueden ejecutarse en Windows y proporcionar características adicionales que no figuran en el cliente FTP integrado. Varios ejemplos son WS_FTP, dis-ponible en http://www.ipswitch.com/; SmartFTP, disponible en http://www.smartftp.com/ y Core FTP, disponible en http://www.coreftp.com

■ Servicios SMTP Utilizado para correo electrónico en Internet, SMTP depende de los protocolos TCP/IP y utiliza servidores de sistema de nombre de dominio (DNS,



Domain Name System) en Internet para traducir un nombre de correo electrónico, como [email protected] en una dirección IP como 207.46.230.219

▲ Servicios NNTP Permite a un sitio Web hospedar grupos de noticias, que sumi-nistran intercambio de mensajes encadenados relacionados con un solo tema. Los mensajes se envían al servidor de noticias y se publican en el grupo de noticias apropiado. Un grupo de noticias es una comunidad interesada en un tema específico. La gente de esa comunidad inicia sesión en el grupo de noticias para leer y replicar los mensajes sobre el tema del grupo de noticias

Como opción predeterminada, los servicios WWW están instalados en todos los casos. Mediante los servicios WWW, es posible hospedar sitios HTTP gráficos. Los servicios FTP, SMTP y NNTP añaden elementos a IIS y pueden instalarse de forma opcional en éste. Estos servicios permiten varias opciones de comunicación. Al utilizar servicios FTP, los ar-chivos pueden distribuirse en Internet. Los servicios WWW y FTP permiten configurar varios sitios en un servidor IIS, de modo que, para un usuario en Internet, podría parecer que el servidor Web incluye varios sitios WWW, FTP o ambos.

CONFIGURACIÓN DE UN SERVIDOR WEBCuando configura IIS para hospedaje Web, necesita crear uno o más servidores Web dedica-dos. En algunas organizaciones más grandes, la posible carga en servidores Web puede ser importante. Sin embargo, a menudo lo adecuado en organizaciones pequeñas es la instala-ción de un solo servidor. Es raro que el diseño de dos redes sea exactamente igual, porque diferentes demandas afectan aun a las instalaciones de red más sencillas.

Cuando se diseña y, por último, instala un servidor Web basado en IIS 7 y Windows Server 2008, necesita considerar varios factores, sobre todo los servicios que hospedarán el sitio Web y la conexión de seguridad que implementará el sitio. En el caso de sitios Web que hospedan información gratuita y disponible para cualquiera, puede usarse el acceso anóni-mo, donde todos los usuarios que se conectan al servidor Web obtendrán automáticamente acceso al servidor basado en la cuenta Invitado, sin que se les pida nombre de usuario o contraseña. Entonces, esta situación permite al usuario pasar información segura al ser-vidor (como los datos de una tarjeta de crédito en la colocación de un pedido), por medio de tecnología como SSL (analizada en el capítulo 15). Cuando los datos se hospedan en el servidor que necesita asegurarse ante el acceso no autorizado, se requiere algún formulario o autentificación, como la de Windows o Kerberos.

Instale IIS 7 La instalación de Windows Server 2008 no incluye IIS como opción predeterminada, aunque puede obtener una edición Web Server especializada, donde sí se instala. En los casos donde IIS no está instalado como opción predeterminada, puede instalarse al seleccionar la función apropiada en el Administrador del servidor, como se explica más adelante en este capítulo. Al utilizar la instalación predeterminada de IIS del Administrador del servidor, sólo se instalan algunas de las muchas características de IIS. En la tabla 9-1 se presenta una comparación entre los servicios predeterminados y los opcionales (algunos más allá del alcance de este libro).



Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.

Categoría Servicio Opción predeter-minada

Descripción

Característi-cas HTTPcomunes

Contenido estático Sí Páginas de texto HTML e imágenesdescargadas a cada cliente.

Documento predeter-minado

Sí Especifica una página que se carga automáticamente cuando se abre el sitio.

Navegación de direc-torios

Sí Permite al cliente ver el directorio del sitio Web.

Errores HTTP Sí Permite la personalización del mensajede error para el cliente.

Redirección HTTP Redirecciona las consultas del cliente auna ubicación diferente.

Desarrollo de aplicacio-nes

ASP.NET Permite programación orientada a objetosen un sitio Web.

Extensibilidad de .NET

Permite a los desarrolladores de código agregar y cambiar las funciones del servidor.

ASP y CGI Capacidad de programación de páginas activasde servidor (Active Server Page) e interfaz común de puerta de enlace (CGI, Common Ga-teway Interface) para automatizar páginas Web.

Extensiones ISAPI La interfaz de programación de aplicaciones de servidor de Internet (Internet Server Application Programming Interface) le permite programar contenido Web dinámico compilado.

Filtros ISAPI Permite la inclusión en programas de unarevisión de todas las solicitudes hechasal servidor Web.

Inclusión del lado servidor

SSI (Server-Side Includes) es una opción parasecuencia de comandos en tiempo real quegenera dinámicamente páginas HTML.

Estado y diagnóstico

Registro HTTP Sí Actividad de registro en un sitio Web.



Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en

Windows Server 2008 (continúa).

Herramientas de registro

Permite la administración de registrosde servidor Web.

Monitor de solicitudes

Sí Captura las solicitudes HTTP para monitorearla actividad de aplicaciones.

Seguimiento Da seguimiento a solicitudes fallidas para detec-tar y solucionar problemas de rendimiento Web.

Registropersonalizado

Permite la creación de su propio módulode registro.

Registro ODBC Permite la actividad de registro en unabase de datos ODBC.

Seguridad Autentificación básica

Proporciona autentificación compatible con explorador para intranets pequeñas. No serecomienda para Internet.

Autentificaciónde Windows

Autentificación de bajo costo para intranetssin firewalls.

Autentificación implícita

Autentificación de nivel superior que funciona con firewalls y servidores proxy.

Autentificación de asignaciones de certi-ficado de cliente

Utiliza certificados de cliente (ID digitales) mediante Active Directory para autentificar usuarios de sitios Web.

Autentificación de asignaciones de certi-ficado de cliente IIS

Utiliza certificados de cliente (ID digitales)a través de IIS para autentificar usuariosde sitio Web.

Autorización para URL

Permite adjuntar reglas a un sitio Web paralimitar quién lo usa.

Filtro de solicitudes Sí Filtra solicitudes de servidor para limitar los ataques en éste.

Restricciones de IP y dominio

Limita el acceso a sitios Web a dominios eIP específicos.

Rendimiento Compresiónde contenidoestático

Sí Provee compresión de contenido estático para acelerar su transmisión. Este contenido puede guardarse en caché para reducir la carga en tiempo real.


Descripción



Tabla 9-1. Servicios instalados como opción predeterminada con IIS 7 en Windows Server 2008.

Compresión de con-tenido dinámico

Proporciona compresión de contenido dinámico para acelerar su transmisión. No puede guardar-se en caché; por tanto, incrementa la cargaen tiempo real.

Herramientas de adminis-tración

Consola de adminis-tración de IIS

Sí La interfaz de administración primaria de IIS 7 para servidores Web remotos y locales (no seusa para FTP ni SMTP).

Scripts y herramien-tas de administra-ción de IIS

Se usa para administrar la capacidad de progra-mación de un servidor Web desde un indicador de comandos.

Servicio de adminis-tración

Se usa para configurar la interfaz de usuario de IIS 7, el Administrador de Internet Information Services (IIS) y administración remota de IIS 7.

Compatibilidad con la administración de IIS 6

Se usa para ver y administrar secuencias de comandos y aplicaciones de IIS 6.

Compatibilidad con la metabase de IIS 6

Se utiliza para configurar y consultar la metaba-se usada por secuencias de comandos y aplica-ciones de versiones anteriores de IIS.

Compatibilidad con WMI de IIS 6

Permite el uso de la interfaz de escritura de secuencia de comandos, de instrumentación de administración de Windows (WMI) en IIS 7.

Herramientas de script de IIS 6

Permite el uso de herramientas de escritura de secuencia de comandos de IIS 6 en IIS 7.

Consola de adminis-tración de IIS 6

Permite el uso de la consola de administración IIS 6, así como la administración de FTP y SMTP.

Servicio de publicación FTP

Servidor FTP Permite la creación de un servidor FTP.

Consola de adminis-tración de FTP

Ofrece opciones para la administración de un servidor FTP.


Descripción



Cuando hace una nueva instalación de Windows Server 2008 y hasta indicar otra cosa, Tareas de configuración inicial se abre automáticamente al concluir la Instalación e iniciar Windows Server. Cuando cierra la ventana Tareas de Configuración inicial, se abre auto-máticamente el Administrador del servidor. En cualquier momento, también puede abrir el Administrador del servidor e instalar IIS 7 con estos pasos:

1. Si el Administrador del servidor no se abre automáticamente en su escritorio, haga clic en Inicio|Administrador del servidor. Se abrirá la ventana Administrador del servidor.

2. En Resumen de funciones, haga clic en Agregar funciones, luego en Siguiente; tras leer Antes de comenzar, aparecerá una lista de las funciones de servidor en Selec-cionar funciones de servidor, del Asistente para agregar funciones.

3. Haga clic en Servidor Web (IIS). Se le pregunta si quiere agregar características re-queridas para el Servidor Web (IIS). Haga clic en Agregar características requeridas, luego en Siguiente. Lea Introducción a Servidor Web (IIS) y cualquier información adicional que quiera. Cuando esté listo, haga clic en Siguiente.

4. De la lista de funciones de servicios, como se observa en la figura 9-1, escoja las que quiera instalar, con base en lo que quiere hacer con el servidor Web (véase la tabla 9-1).

Figura 9-1. IIS 7 tiene muchas características y módulos que se pueden instalar en forma opcional.



5. Cuando esté cómodo con su selección, haga clic en Siguiente. Se muestran funcio-nes y servicios seleccionados. Si cambia de parecer, haga clic en Anterior, realice los cambios necesarios y haga clic en Siguiente. Cuando esté listo, haga clic en Instalar. IIS se instalará con sus selecciones para servicios opcionales y será configurado por el Asistente para agregar funciones.

6. Cuando la instalación esté completa (puede tomar varios minutos), se le indica que la instalación tuvo éxito. Haga clic en Cerrar, para completar la instalación.

Migre a IIS 7El proceso de migración o actualización es dependiente del tipo de servidor Web que se actualiza:

▼ Usuarios actuales de IIS La instalación de Windows Server 2008 se actualizará a la versión 7. Una vez que la instalación esté completa, puede ver que IIS se instaló en la ventana Administrador del servidor, como se muestra en la figura 9-2. Ins-talación y configuración se hacen de manera automática, en su mayor parte y los usuarios actuales de IIS tendrán pocos problemas para hacer la transición a IIS 7

■ Usuarios de otros servidores Web Necesitan transferir opciones de configuración y contenido, además de aplicaciones Web, al entorno de IIS

Figura 9-2. Si está actualizando desde un servidor que ejecuta IIS, IIS 7 se instalará

automáticamente.



▲ Sitios con extensiones de servidor de FrontPage La instalación de Windows Ser-ver 2008 se actualizará a la versión 7, pero no se actualizarán las extensiones de servidor de FrontPage y el servicio de publicación WWW de IIS se deshabilitará, para no destruir los metadatos de FrontPage. Puede descargar las extensiones de servidor FrontPage para IIS 7 en http://www.iis.net/downloads/

SUGERENCIA Si está actualizando desde un servidor Web de Windows y ha eliminado

IIS antes de hacer la actualización mediante Agregar o quitar programas, la instalación de

Windows Server 2008 todavía instalará IIS 7.

Planee la migraciónCuando una organización tiene uno o varios sitios de Internet, intranet o ambos, la planea-ción es parte esencial de la migración, para mantener la presencia del sitio. Al elegir una ruta de migración, las consideraciones principales son las siguientes:

▼ Riesgo para el sistema actual y tiempo de reposo total aceptable

■ La función del hardware existente en la nueva instalación

■ Los cambios de contenido esperados para datos Web (¿se esperan las nuevas pági-nas Web con los nuevos servidores?)

■ La posible carga de red y recursos de red disponibles

▲ Los servicios adicionales que las organizaciones planean agregar

NOTA En algunas organizaciones, cierta cantidad de tiempo de reposo es aceptable y

esperado; sin embargo, en otras organizaciones, como los negocios de comercio electró-

nico, se supone que un sitio Web siempre debe estar disponible. Las migraciones existen-

tes son posibles, con tiempo de reposo de cero, pero resultan muy costosas y es engaño-

so planearlas. Cuando se pide a la mayoría de administradores que definan tiempos de

reposo aceptables del sistema, definen un número muy bajo. Sin embargo, cuando estos

mismos administradores se presentan con costos de soporte para mantener dicho núme-

ro, en general establecen una meta mucho más realista. Así, lo aceptable es encontrar una

relación exponencial e inversa entre el tiempo de reposo permitido, recursos y planeación

necesarios para que la migración tome lugar (cuanto menos sea el tiempo de reposo, ma-

yor será la planeación).

Métodos de migraciónExisten al menos tres formas de llevar a cabo una migración a IIS 7, como se describe en las siguientes secciones.

NOTA Cuando se actualizan servidores Web de Windows, Windows Server 2008 selec-

ciona automáticamente las opciones de instalación, que coinciden con las del sistema en

actualización. Esto significa que IIS sólo se instalará si se encuentra actualmente en un

servidor Web de Windows o al eliminarlo con Agregar o quitar programas.

Migre a una instalación limpia de Windows Server 2008 Realizar una instalación limpia de Windows Server 2008 y luego usar el Administrador del servidor para instalar IIS 7 en un



equipo distinto del servidor Web de producción se denomina servidor de “puesta en funcionamiento”. Migre configuraciones, contenido y aplicaciones del servidor Web de pro-ducción al nuevo servidor IIS 7. Pruebe y depure el nuevo servidor antes de implementarlo. Aunque ésta es una solución ideal, tal vez en muchos casos no sea práctica, debido a soft-ware, hardware y factores de costo.

Hardware necesario

Pros Contras

Un segundo equi-po es necesario, además delservidor Web de producciónexistente.

Tiempo muerto mínimo. Puede colocar hardware nuevo actuali-zado en el lugar, al mismo tiem-po que realiza la migración. Tam-bién evita desactivar su servidor Web de producción hasta que se pruebe e implemente el nuevo servidor. Luego de implementar, si se presentan problemas con el nuevo servidor que no aparecieron durante la prueba, puede usar el servidor original como respaldo.

Costo elevado. Tal vez necesite hardware nuevo. Sin embargo, el costo será compensado, al menos parcialmente, por el tiempo aho-rrado al realizar la migración, ade-más de detectar y solucionar pro-blemas que puedan ocurrir duran-te la migración. Si está ejecutando un sitio de comercio electrónico, el ingreso agregado por dejar el sitio activo puede cubrir parte o todo el costo del nuevo equipo.

Migre a un espejo del servidor Web existente Si migra desde un equipo que ejecuta Windows de Microsoft, puede usar este método. En un segundo equipo, un duplicado de hardware del que quiere migrar, copie el disco duro existente en el servidor Web de producción usan-do un producto como Ghost de Symantec; después emplee la instalación de Windows Ser-ver 2008 para actualizar Windows Server 2008 e IIS 7. Las opciones de configuración Web, contenido y aplicaciones deberían estar en el nuevo servidor Web como parte de la creación del espejo. Pruebe y depure el nuevo servidor Web antes de implementarlo. Esta opción le permite verificar aplicaciones de terceros que se instalarán en el nuevo servidor de espejo, para ensayar la compatibilidad con Windows Server 2008 e IIS 7.

Hardwarenecesario

Pros Contras

Se requiere un se-gundo equipo, du-plicado del servi-dor Web existente. También necesita un programa como Ghost de Symantec.

Tiempo de reposo mínimo. Puede colocar hardware nuevo actua-lizado Tiempo muerto mínimo. Puede colocar hardware nuevo actualizado en el lugar, al mismo tiempo que realiza la migración. También evita desactivar su ser-vidor Web de producción, hasta que el nuevo servidor se pruebe e implemente. En seguida de la implementación, si se presentan problemas con el nuevo servidor que no aparecieron durante la prueba, puede usar el servidor original como respaldo.

Costo elevado. Tal vez necesite nuevo hardware. Sin embargo, el costo será compensado, al me-nos parcialmente, por el tiempo ahorrado al realizar la migración, además de detectar y solucionar problemas que puedan ocurrir durante la migración. Si ejecuta un sitio de comercio electrónico, el ingreso agregado por dejar el sitio activo puede cubrir parte o todo el costo del equipo nuevo.



Actualice el servidor Web de producción Si sus circunstancias lo permiten, puede tomar su servidor Web de producción que ejecuta actualmente Windows e IIS 5 o 6, desactivarlo por tiempo suficiente para actualizarlo y hacer que se instale Windows Server 2008 e IIS 7. Casi todas las opciones de configuración Web, contenido y aplicaciones deben migrar completa-mente al IIS 7 “existente”, en el servidor Web de producción. No obstante, necesitará probar y depurar completamente el servidor antes de implementarlo.

Hardware necesario

Pros Contras

No se requiere nuevo hardware, a menos que se requiera para ejecutar Windows Server 2008, como en el caso de la memoria.

No hay costo de hardware. Tiempo muerto. Si la instalación del servidor no se realiza de acuerdo con lo planeado, puede ser uno de esos fines de semanas muy largos (temidos por los administradores). Sin embargo, en casi todas las tiendas de tecnología de la información, donde el costo es un factor, ésta puede ser la opción donde no necesita un segundo servidor.

Implemente la seguridadIIS 7 inicia “bloqueado”. Necesita instalar ciertos procesos IIS para ejecutar aplicaciones que pueden causar daño. Entre los elementos de esta condición de bloqueo se incluyen:

▼ No instalar IIS como opción predeterminada en todas las ediciones de Windows Server 2008, con excepción de Web Server Edition

■ No instalar como opción predeterminada un contenido Web dinámico o servicios de automatización Web, incluidos ASP, ASP.NET, Inclusión del lado del servidor y WebDAV, y autorizar que IIS sólo entregue páginas estáticas. Véase la tabla 9-1 para conocer una lista completa (como opción predeterminada, la Web Edition de Windows Server 2008 tiene ASP y ASP.NET habilitados)

■ No permitir que una aplicación ejecute lo que no se ha asignado ni registrado en IIS

▲ No permitir la edición directa del archivo de configuración de metabase de IIS

No obstante, como opción predeterminada, IIS 7 habilita en todas las ediciones el acceso anónimo a todo, excepto sitios Web administrativos. Esto significa que una vez en ejecución el servidor Web, debe tomarse en cuenta la seguridad. Todos los sitios necesitan algún nivel de seguridad. Es importante asegurar el sitio, pese al tamaño de la compañía o de quién utilizará el sitio; asimismo, es importante considerar usuarios internos y externos. Estadís-ticamente, es probable que los usuarios de su propia organización requieran directivas de seguridad. Al haber seguridad interna débil, es cuando se presentan los problemas grandes. Al configurar la seguridad, debe desarrollar e implementar directivas para manejar los si-guientes problemas:



▼ Instalación de IIS ¿En qué servidores quiere ejecutar IIS?

■ Contenido Web dinámico ¿Qué tipos de contenido Web dinámico quiere habilitar?

■ Ejecución de aplicaciones ¿Qué extensiones de aplicación quiere asignar en IIS?

■ Configuración de NTFS y permisos IIS ¿Cuáles son las asignaciones a varios grupos?

▲ Certificados de seguridad ¿Cómo se utilizarán y se administrarán?

La instalación de IIS se analizó en páginas previas de este capítulo, mientras la configu-ración de permisos y el uso de certificados se expondrán brevemente en secciones posteriores de este capítulo y en el 15. En las dos secciones siguientes se analiza la habilitación de con-tenido Web dinámico y aplicaciones.

Habilite el contenido Web dinámicoDebido a que, como opción predeterminada, no se instalan servicios de contenido Web di-námico, como ASP y ASP.NET, proporcionados para ejecutar secuencias de comandos y aplicaciones en el servidor Web, para habilitarlas sólo necesita instalarlas. En Windows Ser-ver 2008, esto significa añadir servicios completos en el Administrador del Servidor (debe ser miembro de la función Administrador del servidor Web, en el servidor local):

1. Haga clic en Inicio, luego en Administrador del servidor. En el árbol del Administra-dor del servidor, a la izquierda, abra Funciones y haga clic en Servidor Web (IIS).

2. En el panel de contenido, a la derecha, desplácese hacia abajo, hasta ver Servicios de función, como se ilustra en la figura 9-3.

3. Haga clic en Agregar servicios de función. Haga clic en los servicios de función deseados. Si aparece el cuadro de diálogo Agregar servicios de función, haga clic en Agregar características requeridas. Cuando esté listo, haga clic en Siguiente.

4. Revise la lista de servicios de función a ser instalados. Si quiere cambiar algo, haga clic en Anterior. De otra forma, haga clic en Instalar.

5. Cuando el proceso esté completo, se le notificarán los servicios de función que se instalaron en forma apropiada. Haga clic en Cerrar y cierre el Administrador del servidor.



PERSONALICE Y MANTENGA IIS 7Tras completar la instalación de IIS, se administra con el Administrador de Internet Infor-mation Services (IIS). El Administrador de Internet Information Services (IIS) permite la administración de componentes y servicios de IIS, además de sitios Web hospedados. Puede abrirse mediante el Administrador del servidor el menú Herramientas administrativas o la línea de comandos. El administrador IIS es el mismo en todos los casos. La vista del Admi-nistrador del servidor se muestra en la figura 9-4.

Figura 9-3. Habilite el contenido dinámico añadiendo servicios de función específicos

requeridos en el Administrador del servidor.



Las tres opciones para abrir el Administrador de Internet Information Services (IIS) (Administrador del servidor, menú Herramientas administrativas y línea de comandos) se aplican de la siguiente forma:

▼ Haga clic en el icono del Administrador del servidor, en la barra de herramien-tas Inicio rápido. En el árbol del Administrador del servidor, a la izquierda, abra Funciones y Servidor Web y haga clic en el Administrador de Internet Information Services (IIS). Dependiendo de los servicios de función instala-dos, su ventana Administrador del servidor deberá verse pareci-da a la figura 9-4

Figura 9-4. El administrador IIS abierto en el Administrador del servidor.

SUGERENCIA También puede abrir el Administrador del servidor, al hacer clic derecho

en Equipo y luego en Administrar.

■ Haga clic en Inicio y en seguida en Herramientas administrativas|Administrador de Internet Information Services (IIS), como se observa en la figura 9-5. Se abre el Administrador de Internet Information Services (IIS) de manera independiente



▲ Haga clic en Inicio, luego en Ejecutar. Escriba inetmgr y oprima enter. Se abrirá de nuevo el Administrador de Internet Information Services (IIS) en una ventana independiente

En todos los casos, la ventana del Administrador de Internet Information Services (IIS) es la misma. Esto abrirá el acceso a componentes y servicios de IIS, que varían dependiendo de los servicios de función instalados, además de la capacidad para administrar sitios Web.

Use el Administrador de Internet Information Services (IIS)El Administrador de Internet Information Services (IIS), mostrado en las figuras 9-4 y 9-5, posee varios controles para personalizar la manera en que opera el servidor Web, para mantener un nivel de operación alto, a la vez que administrar sitios Web y aplicaciones. Existen cuatro elementos en las ventanas Administrador de Internet Information Services (IIS): Barra de navegación, panel Conexiones, Espacio de trabajo y panel Acciones. Hay un quinto elemento en la ventana, aunque no en el Administrador del servidor: los menús (Archivo, Ver y Ayuda).

SUGERENCIA Para abrir de manera más sencilla el Administrador de IIS en el futuro,

arrastre al escritorio la opción Administrador de Internet Information Services (IIS), del menú

Herramientas administrativas con el botón derecho (oprima y deje oprimido el botón derecho

del ratón conforme lo hace) o arrastre a la barra Inicio rápido y haga clic en Copiar aquí.



Figura 9-5. El Administrador de Internet Information Services (IIS) se abre de manera

independiente, desde Herramientas administrativas y la línea de comandos.

Barra de navegaciónLa barra de navegación, en la parte superior de la ventana Administrador de Internet Infor-mation Services (IIS), es muy similar a la barra de dirección en el Explorador de Windows, con los siguientes controles:

▼ Los botones Atrás y Adelante se desplazan una página en cualquiera de ambas direcciones

■ Conexiones de servidor permite la selección del servidor que se administrará y sus conexiones

■ Actualizar página actualiza la página desplegada actualmente

■ Detener detiene la acción actual

■ Página principal abre la página principal del servidor Web seleccionado o el sitio Web

▲ Ayuda abre la Ayuda de IIS

Panel ConexionesEl panel Conexiones, a la izquierda de la ventana del Administrador de Internet Informa-tion Services (IIS), provee los medios para navegar dentro de un servidor; entre los sitios



Web y aplicaciones en un servidor; en un sitio Web y dentro de un almacén de aplicaciones. El árbol de navegación opera de forma similar al de carpetas en el Explorador de Windows, con la capacidad para abrir y cerrar nodos. En la parte superior del panel Conexiones se encuentra la barra de herramientas Conexiones, que contiene hasta cuatro botones, depen-diendo de su instalación y permisos:

▼ Crear nueva conexión permite conectarse a un servidor Web adicional, sitio Web o aplicación usando el asistente para conexión

■ Guardar conexiones actuales guarda el conjunto de conexiones actuales desplega-do en el panel Conexiones

■ Subir lo lleva un nivel arriba en el panel Conexiones

▲ Eliminar conexión elimina el nodo seleccionado en el árbol Conexiones

Espacio de trabajoEl espacio de trabajo en el centro de la ventana Administrador de Internet Information Ser-vices (IIS) tiene dos vistas: Vista características y Vista contenido. En las figuras 9-4 y 9-5 se muestra la Vista características predeterminada. Con la instalación mínima predeterminada de IIS, se pueden utilizar 15 características para administrar IIS:

▼ Autentificación se utiliza para determinar la manera en que los usuarios acceden al servidor Web o, si están en un sitio Web, la manera en que acceden a éste. Como opción predeterminada, se habilita la autentificación anónima y debe deshabilitar-se si quiere usar otros tipos de autentificación, para la instalación de servicios de función para esos tipos. Véase “Instale IIS 7” y la tabla 9-1, presentadas en páginas anteriores de este capítulo

■ Compresión reduce el tamaño de los archivos enviados a exploradores para ma-nejar la compresión y, como resultado, acelerar la transmisión. Como opción predeterminada, se habilita la compresión de archivos estáticos, pero no la de archivos dinámicos (véase la tabla 9-1), debido a los recursos de CPU utilizados en archivos dinámicos comprimidos, simultáneamente conforme se transmiten

■ Documento predeterminado especifica los nombres de archivo que pueden usarse en un sitio Web hospedado y abrirse automáticamente cuando el usuario de sitio Web no especifica nombre

■ Examen de directorios permite a un usuario de sitio Web ver y explorar carpetas y archivos del sitio Web. Aquí no sólo puede habilitar un directorio, deshabilitado como opción predeterminada, sino también especificar la información disponible

■ Páginas de errores crea y administra mensajes de error personalizados o páginas Web que se devolverán a los usuarios del sitio Web cuando encuentran determinado código de estado. En la figura 9-6 se muestra una lista de las páginas predetermina-das en uso. Se trata de archivos HTML que puede editar o reemplazar directamente en la página predeterminada, con otra página o URL

■ Asignaciones de controlador determina la manera en que un servidor Web res-ponde a solicitudes de tipos específicos de archivos y carpetas. Por ejemplo, en el caso de un archivo estático, se devuelve el propio archivo



Figura 9-6. IIS inicia con un conjunto de páginas de error que puede cambiar o reemplazar.

■ Encabezados de respuesta HHTP define información específica (“encabezado”) acerca de una página Web y especifica el o los valores relacionados con ese encabezado. Por ejemplo, un encabezado denominado “autor” tendría al autor o autores de la página

■ Registro determina cómo y cuándo IIS registra información acerca del servidor Web, sitio Web o aplicación. Puede determinar cuándo inician nuevos registros y qué información se recolecta

■ Tipos MIME administra la lista de tipos de página de extensiones de correo mul-tipropósito de Internet (MIME, Multipurpose Internet Mail Extensions) que puede regresar el servidor Web

■ Módulos administra la lista de módulos de código usados por el servidor Web para procesar solicitudes

■ Almacenamiento en caché de resultados determina los tipos de archivos almace-nados en caché y la manera en que se hace

■ Certificados de servidor pide y administra certificados enviados a sitios Web hospedados por sus operaciones seguras

■ Procesos de trabajo muestra y administra aplicaciones (“procesos de trabajo”) ejecu-tadas en el servidor Web, que muestran porcentaje de CPU y cantidad de memoria utilizada

■ Delegación de características determina si cada una de las configuraciones de carac-terísticas anteriores puede ser de sólo lectura o lectura y escritura, como se muestra en la figura 9-7

▲ Configuración compartida determina si la configuración y las claves de cifrado del servidor Web se comparten con otro servidor Web IIS



Panel AccionesEl panel Acciones, a la derecha de la ventana Administrador de Internet Information Servi-ces (IIS), despliega acciones disponibles para las características seleccionadas en el Espacio de trabajo, como verá en las figuras 9-6 y 9-7.

Administre servidores Web de forma remotaDebido a que no siempre es conveniente realizar tareas de administración en el equipo que ejecuta el servidor Web IIS, IIS 7 ofrece una capacidad de administración remota. Para faci-litar esto, primero debe habilitar el Servicio de administración.

Figura 9-7. Cuando delega en el nivel de servidor Web, también lo hace en el nivel de sitio

Web. Cuando delega en el nivel de sitio Web, también lo hace en el nivel de aplicación Web.

SUGERENCIA También puede administrar de forma remota un servidor Web, al abrir

el escritorio de cualquier equipo en que tiene permiso, usando la Terminal Servicios de

Windows Server 2008, como se explicará en el capítulo 11, para abrir el Administrador

de Internet Information Services (IIS) del servidor remoto desde ese escritorio.



Instale Servicio de administraciónServicio de administración le permite activar y configurar la administración remota de un servidor Web, además de delegar la administración de servidor Web a no administradores. Como opción predeterminada, Servicio de administración no está instalado. Para instalarlo:

1. Haga clic en Inicio|Administrador del servidor. En el árbol del servidor en la parte izquierda de la pantalla, abra Funciones y dé clic en Servidor Web (IIS).

2. Bajo Servidor Web (IIS), a la derecha, recorra la pantalla hacia abajo y haga clic en Agregar servicios de función.

3. En el Asistente para Agregar servicios de función, diríjase hacia abajo en la lista Ser-vicios de función, hasta hacer clic en Servicio de administración. Si se le pregunta, haga clic en Agregar características requeridas.

4. Haga clic en Siguiente y después en Instalar. Cuando la instalación esté completa, haga clic en Cerrar.

Configure Servicio de administraciónUna vez instalado, Servicio de administración se vuelve una característica de IIS para con-figurarse desde IIS. Como opción predeterminada no se ejecuta y es necesario iniciarlo. Hágalo así y configúrelo con estos pasos:

1. Abra el Administrador de Internet Information Services (IIS), ya sea al hacer doble clic en su icono del escritorio, si lo puso ahí como se sugirió antes, o al hacer clic en Inicio|Herramientas administrativas|Administrador de Internet Information Ser-vices (IIS). Se abrirá el Administrador de Internet Information Services (IIS), con una nueva página de inicio, como se muestra en la figura 9-8.

2. En el panel de la derecha, en la página de inicio, haga clic en Conectarse a localhost, bajo Tareas de conexión.

3. En el panel central de Espacio de trabajo, busque la sección Administración y haga doble clic en Servicio de administración.



4. En el espacio de trabajo de Servicio de administración, haga clic en Habilitar co-nexiones de manera remota y haga cualquier otro cambio a la configuración que sea correcto para su situación. Mis configuraciones se muestran en la figura 9-9.

5. En el panel Acciones, haga clic en Iniciar. Se le pregunta si quiere guardar las con-figuraciones de servicio. Haga clic en Sí. Se inicia el servicio y se inmovilizan las configuraciones.

Use administración remota de IISUna vez que los servicios de administración funcionan, puede abrir y administrar cualquier servidor IIS en la red de área local con los permisos apropiados. Aquí se muestra cómo:

1. Abra Administrador de Internet Information Services (IIS) al hacer doble clic en su icono en el escritorio o al hacer clic en Inicio|Herramientas administrativas|Admi-nistrador de Internet Information Services (IIS).

2. En la página de inicio, haga clic en Conectarse a un servidor. Se abrirá el asistente Conectar a servidor.

Figura 9-8. La página de inicio de IIS aparece cuando se inicia el Administrador de servicio.



3. Inserte el nombre del equipo (el nombre de un equipo en la red, como “Servidor2”, o puede ser una dirección IP, como 192.168.57.62), haga clic en Siguiente, escriba el nombre de usuario y contraseña y haga clic en Siguiente. Si se le pregunta acerca de un certificado, haga clic en Conectar y, cuando indique que la nueva conexión se creó con éxito, haga clic en Finalizar. El nuevo servidor aparecerá en el árbol de servi-dor, en la parte izquierda del Administrador de Internet Information Services (IIS).

Figura 9-8. Debe iniciarse Servicio de administración para administrar un servidor

Web de forma remota.

NOTA El puerto administrativo predeterminado en el servidor es 8172, como tal vez haya

notado al configurar Servicio de administración. Si deja ese puerto, no necesita especificar

el puerto cuando inserta el nombre de servidor. Si utiliza algún otro puerto, necesitará in-

sertarlo. Por ejemplo, “Servidor2:8081” o “192.168.57.62:8081”.

4. Abra el nuevo servidor y después las carpetas bajo éste, como se muestra en la figura 9-10. Cuando haya terminado de revisar el servidor remoto, cierre el Administrador de Internet Information Services (IIS).



Cree sitios WebUna vez que se hayan configurado servidor y administración, IIS 7 puede hospedar y admi-nistrar los sitios Web, con la capacidad para manejar uno o varios sitios. Cada sitio puede aparecer como ubicación separada para los navegadores Web de Internet. Cuando instala IIS 7, se configura un sitio Web predeterminado. Puede publicar su contenido en este sitio de forma inmediata. Sin embargo, casi todas las organizaciones inician con un sitio nuevo, para personalizarse de acuerdo con las necesidades de la organización. Puede agregar nue-vos sitios a un equipo al lanzar el Asistente para creación de sitio Web con las siguientes instrucciones:

1. En el Administrador de Internet Information Services (IIS) (que se abre mediante Inicio|Herramientas administrativas|Administrador de Internet Information Ser-vices [IIS]), abra el servidor deseado como host y dé clic en la carpeta Sitios.

Figura 9-10. Administración remota de un servidor Web IIS.



2. En el panel Acciones, haga clic en Agregar sitio Web. Se abrirá el cuadro de diálogo Agregar sitio Web. Ingrese un nombre para el sitio e inserte o explore la ubicación física de los archivos del sitio Web.

3. Bajo Enlace, inserte los elementos de la dirección que requiere enlazar a este sitio (consulte la NOTA relacionada). Por ejemplo, escriba la dirección IP que habrá de usarse con el sitio o abra el cuadro desplegable y dé clic en la dirección IP del servi-dor. Acepte el puerto predeterminado 80 y deje Nombre de host en blanco.

NOTA Cada sitio debe tener al menos un componente único de tres elementos de di-

rección (dirección IP, puerto TCP o nombre de host); de otra forma, el sitio no iniciará y

obtendrá un mensaje de error indicando el problema cuando intenta instalarlo. Consulte

“Hospede varios sitios”, en la sección siguiente.

4. Cuando esté listo, haga clic en Aceptar. El nuevo sitio aparecerá en el Administra-dor de Internet Information Services (IIS), como se muestra en la figura 9-11.

5. Haga clic en Examinar sitio Web para abrir el verdadero sitio Web en su explorador predeterminado.

Hospede varios sitiosVarios sitos Web pueden hospedarse de manera simultánea en un solo equipo al ejecutar IIS. Esto da la apariencia de sitios separados y distintos al navegante Web. Cada servidor IIS tiene capacidad para hospedar uno o más nombres de dominio. Por esta razón, los sitios son algunas veces conocidos como servidores virtuales.



Un sitio Web tiene tres elementos usados para identificarse en Internet o intranet. Cuando se consulta, debe tener la capacidad para responder con cada una de las siguien-tes configuraciones:

▼ Número de puerto

■ Dirección IP

▲ Nombre de encabezado host

Al cambiar uno de estos tres identificadores, puede hospedar varios sitios en un solo equipo:

▼ Números de puerto Al utilizar números de puerto adjuntos, su sitio sólo necesita una dirección IP para hospedar más de un sitio. Para llegar a su sitio, los clientes ne-cesitarían adjuntar un número de puerto (a menos que utilicen el número de puerto predeterminado, 80) al final de la dirección IP estática. El uso de este método de hospedaje de varios sitios requiere que los clientes escriban la dirección IP numérica real seguida por un número de puerto, por ejemplo: 192.168.57.62:81. No se pueden utilizar nombres de host ni “nombres amigables”

■ Varias direcciones IP Para usar varias direcciones IP, debe agregar el nombre de host y dirección IP correspondiente a su sistema de resolución de nombre, que es DNS en Windows Server 2008. Entonces los clientes sólo necesitan escribir el nombre

Figura 9-11. El sitio Web predeterminado está enlazado a un puerto TCP, mientras

el segundo sitio está enlazado a una dirección IP.



de texto en un explorador para llegar a su sitio Web. Es posible hospedar varias direcciones IP en la misma tarjeta de red

NOTA Si usa el método de varias direcciones IP para hospedar varios sitios en Internet,

también necesitará registrar los nombres de texto con un registrador acreditado InterNIC.

Puede encontrar una lista de registradores acreditados InterNIC en http://www.internic.net/.

▲ Nombres de encabezado de host Los sitios también emplean nombres de encabe-zado de host con una dirección IP estática para hospedar varios sitios. Al igual que con el método anterior, todavía tendría que agregar el nombre de host a su sistema de resolución de nombres. La diferencia es que tan pronto llega una solicitud al equipo, IIS emplea el nombre de host asignado en el encabezado HTTP para de-terminar qué sitio solicita un cliente. Si está utilizando este método para hospedar varios sitios en Internet, también necesitará registrar los nombres de encabezado de host con InterNIC

NOTA Esté consciente de que los exploradores antiguos no dan soporte a nombres de enca-

bezado de host. Sólo funcionarán IE 3.x y posterior, o Netscape Navigator 3.x y posterior.

Casi todo el hospedaje de varios sitios Web se hace con varios encabezados de host.

Administración del sitio WebSiempre que su sitio esté en una intranet o Internet, los principios para publicar información son los mismos. Aquí se muestran los pasos:

1. Los archivos Web se colocan en directorios en el servidor.

2. Los directorios se identifican en IIS como pertenecientes a un sitio Web.

3. Cuando el usuario establece una conexión HTTP con ese sitio, IIS envía los archivos solicitados al explorador del usuario.

Aunque el proceso para almacenar archivos es simple, parte del trabajo del administra-dor del sitio Web debe consistir en determinar cómo se implementa el sitio, en qué forma evolucionará éste y el almacenamiento. La mayoría de administradores Web exitosos se mantienen ocupados acomodando el contenido Web que cambia de manera constante. Retí-rese un minuto del contenido y revise los conceptos de administración de la infraestructura de un sitio Web, desde solicitudes de redireccionamiento hasta modificación dinámica de páginas Web.

Defina directorios principalesCada sitio Web debe tener un directorio principal, donde se almacena la información del sitio raíz. Cuando un usuario inicia sesión en un sitio específico, IIS conoce directorio prin-cipal y primer documento predeterminado que todos los usuarios ven cuando se conec-tan, ofreciendo ese documento al explorador del usuario que lo pide para su traducción y despliegue. Por ejemplo, si el nombre de dominio de Internet del sitio es www.miempre-



sa.com, su directorio inicial es C:\website\mysite\, mientras el documento predetermi-nado es Default.htm; entonces los exploradores usarán el URL www.miempresa.com, que causa el acceso de IIS a su directorio inicial C:\website\mysite\ y también la transmisión del archivo Default.htm.

En una intranet, si su nombre de servidor es Mercadotecnia, entonces los exploradores usarán el URL http://mercadotecnia para acceder a los archivos de su directorio principal. Cuando se instala IIS o crea un nuevo sitio Web, se crea un directorio principal predetermi-nado. Las propiedades del sitio Web determinan la ubicación de los archivos.

Cambie el directorio principalCuando configura sitios Web y FTP en el mismo equipo, se especifica un directorio inicial di-ferente para cada servicio (WWW y FTP). El directorio inicial predeterminado para el servicio WWW es C:\inetpub\wwwroot\. El directorio predeterminado para el servicio FTP es C:\inetpub\ftproot\. El directorio inicial puede cambiar a cualquier ubicación de la red y presen-tarse como URL o expresión de ruta. Aquí se muestra cómo cambiar el directorio de inicio:

1. En el Administrador de Internet Information Services (IIS), abra servidor local y carpeta Sitios, haga clic en Default Web Site para elegirlo y haga clic en Configura-ción básica en el panel Acciones.

2. Vaya a Ruta de acceso física y escriba el nombre de ruta, el nombre compartido o URL (sólo WWW) de su directorio, como se muestra a continuación, para el sitio Web predeterminado. Tiene las siguientes opciones:

▼ Un directorio ubicado en un disco duro de su equipo

■ Un directorio compartido ubicado en otro equipo

▲ Un redireccionamiento a un URL (no disponible con FTP)

Directorios virtualesLos directorios virtuales permiten acceder a archivos ubicados en un directorio ajeno al di-rectorio principal. Es una gran ventaja cuando intenta acceder a información para publicar en una intranet alojada en varias ubicaciones de la red. El uso de directorios virtuales es una



forma de vincular esta información de manera más sencilla. Para el explorador, todo parece estar en una misma ubicación. Para el administrador que debe recolectar todo, tal vez sea más sencillo almacenar los datos de cada persona en un directorio virtual separado.

Un directorio virtual cuenta con un alias que el explorador Web utiliza para acceder a dicho directorio. Como beneficio agregado, el uso de un alias suele ser más conveniente que escribir una ruta de acceso larga y un nombre de archivo. Se hace innecesario cambiar el URL del sitio cuando cambia el directorio; sólo es indispensable que cambie la asignación entre alias y ubicación física.

Cree directorios virtuales Tiene la opción de crear directorios virtuales para incluir esos archivos en su sitio Web, ubicado en directorios distintos del principal. Para usar un direc-torio en otro equipo, especifique nombre de convención universal de asignación de nombres (UNC, Universal Naming Convention) del directorio, bajo la forma \\nombredeservidor\unidad\ruta\nombredearchivo; provea nombre de usuario y contraseña para el permiso de acceso. Use los siguientes pasos para crear un directorio virtual:

1. En el panel Conexiones, del Administrador de Internet Information Services (IIS), haga clic en el sitio Web al que quiere añadir un directorio virtual.

2. En el panel Acciones, haga clic en Agregar directorio virtual (o clic derecho en el sitio y después seleccione esta misma opción en el menú contextual). Se abrirá el cua-dro de diálogo Agregar directorio virtual.

3. Inserte el alias que quiere utilizar e inserte o explore la ruta que contiene los archi-vos reales.

4. Haga clic en Aceptar. El directorio virtual aparecerá en el Administrador de Internet Information Services (IIS), como se indica en la figura 9-12.

Elimine directorios virtuales Para eliminar un directorio virtual, recurra a los siguientes pasos:

1. En el panel Conexiones, del Administrador de Internet Information Services (IIS), dé clic en el sitio Web con el directorio virtual que quiere eliminar.

2. En el panel Acciones, haga clic en Ver directorios virtuales, en el directorio y luego en Quitar, en el panel Acciones. Haga clic en Sí, mientras esté seguro de que quiere eliminar el elemento.



Figura 9-12. Los directorios virtuales permiten hacer referencia a archivos fuera del

directorio principal del sitio.

Detección y resolución de problemas de IISMuchos problemas afectan el rendimiento de IIS y sitios Web hospedados. Los problemas tienen cuatro causas principales: hardware, software, actividad de sitio y configuraciones incorrectas. El truco está en determinar cuáles de éstos están involucrados y después imple-mentar una reparación. IIS 7 y el hardware que lo ejecuta son muy complejos e incluyen gran cantidad de áreas que pueden utilizar configuraciones alternas. Además, efectuar cambios en un área puede tener consecuencias no previstas en otra. Para atacar la complejidad de esta situación, IIS 7 ha implementado varias herramientas nuevas y mejores para diagnosti-car problemas, además de varias características que facilitan la resolución de problemas. Un beneficio muy obvio de IIS 7 es su diseño modular, que permite suspender la instalación de servicios de función o características que no están en uso y, por tanto, eliminar dicha área para evitar que sea un problema.

Diagnóstico y resolución de problemas de servidores Web comienzan por aprender cuanto puedan respecto a lo que pasa; para ellos, se empieza por examinar los mensajes de

NOTA La eliminación de un directorio virtual no suprime directorio ni archivos físicos

correspondientes.



error. Entonces podrá revisar los registros que IIS mantiene de la actividad Web e intenta dar seguimiento a la manera en que responde el sitio a solicitudes Web. Por último, puede buscar el rendimiento del servidor y ver dónde se encuentran los cuellos de botella.

Revisión de los mensajes de errorComo opción predeterminada, los mensajes de error producidos por Internet Explorer (IE) son “amigables” y poco informativos, como se muestra en la figura 9-13. Es posible mejorar esto al desactivar la característica “amigable”:

1. Haga clic en Inicio|Todos los programas|Internet Explorer.

2. En la barra de herramientas de Internet Explorer, haga clic en Herramientas|Opciones de Internet y clic en la ficha Opciones avanzadas.

3. Recorra hacia abajo la lista de opciones y, bajo el encabezado Examinar, haga clic para quitar la marca de Mostrar mensajes de error HTTP descriptivos.

Figura 9-13. Los mensajes de error predeterminados de Internet Explorer

no son muy informativos.



4. Intente abrir de nuevo la página que generó el error. Si todavía obtiene el mismo error o uno con todavía menos información, intente revisar el mensaje de error en IE, en el equipo servidor. Aquí, como opción predeterminada, deberá ver mensajes de error detallados, como se muestra en la figura 9-14.

5. Si obtiene mensajes de error “amistosos” cuando abre IE directamente en el servi-dor, abra el Administrador de Internet Information Services (IIS), haga clic en el sitio Web, en el árbol Conexiones, en la parte izquierda, haga doble clic en Páginas de errores, en el centro del panel Espacio de trabajo, y en el panel Acciones haga clic en Modificar configuración de características.

6. En el cuadro de diálogo Modificar configuraciones de páginas de errores, haga clic en Errores detallados para solicitudes… luego en Aceptar. Ahora, cuando abra el sitio con error, obtendrá un mensaje detallado como el mostrado en la figura 9-14.



Revise los registrosIIS 7 mantiene extensos registros de lo que ocurre en un servidor Web y sitios hospedados. Puede personalizar estos registros de acuerdo con sus necesidades y revisarlos de manera sencilla.

1. Haga clic en Inicio|Herramientas administrativas|Administrador de Internet In-formation Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en el servidor cuyos registros quiere configurar; si es necesario, desplácese hacia abajo en el panel Espacio de trabajo y haga doble clic en Registro.

Figura 9-14. En las páginas de error detalladas obtendrá sugerencias sobre causas

y posibles reparaciones.



2. Efectúe cualquier cambio deseado a Registro, observe el directorio donde se mantienen los registros y, en el panel Acciones, haga clic en Aplicar. Intente abrir el sitio Web.

3. Haga clic en Inicio|Equipo y navegue al directorio examinado en el último paso (%SystemDrive% suele ser la unidad C:). Despliegue las carpetas en el panel de la izquierda; si no están allí, abra las carpetas Logs y LogFiles y haga doble clic en el archivo de registro del día que quiera revisar. Se abrirá el Bloc de notas y desplegará el archivo de registro.

La línea #Fields: del archivo de registro muestra los campos desplegados. (Puede con-trolar los campos mostrados al hacer clic en Campos, en la característica Registro.) El significado de los campos predeterminados se muestra en la tabla 9-2.



Tabla 9-2. Campos predeterminados utilizados en archivos de registro de IIS.

Nombre de campo Descripción

date La fecha en que ocurrió la solicitud.

time La hora en que ocurrió la solicitud.

s-ip La dirección IP del servidor.

cs-method Método HTTP utilizado en la solicitud.

cs-uri-stem Identificador universal de recursos (URI) que es el objetivo de la solicitud.

s-port Dirección del puerto del servidor.

cs-username Nombre del usuario autentificado. Un guión es un usuario anónimo.

c-ip Dirección IP del usuario.

cs (user-agent) El explorador utilizado para generar la solicitud.

sc-status Código de estado HTTP (código de error, como 404).

sc-substatus Código de subestado HTTP (código decimal de error, como 1 en 404.1).

sc-win32-status Código de estado de Windows.

Time-taken Tiempo que toma la solicitud en milisegundos.

Los códigos de estado y subestado HTTP se describen en varios lugares de Internet, pero tal vez el mejor sea TechNet de Microsoft en:

http://technet2.microsoft.com/windowsserver/en/library/852e7f92-58c3-47f3-8b37-8a630839a90d1033.mspx\mfr=true.

Los métodos HTTP se describen en: http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html.

Implemente el seguimientoSeguimiento, un servicio de función de IIS 7 que no está instalado como opción predetermi-nada, da seguimiento a solicitudes fallidas para diagnóstico y resolución de problemas del rendimiento Web. Cuando instala, puede establecer un conjunto de reglas que generarán entradas de registro mientras las reglas se cumplan. Las reglas pueden especificar códigos de estado, métodos y demás productos finales. Utilice los siguientes pasos para instalar el servicio de la función, configurar las reglas e implementar el seguimiento:

1. Haga clic en Inicio|Administración del servidor. En el árbol Administrador del servidor, en la parte izquierda, abra Funciones y dé clic en Servidor Web (IIS). Desplácese hacia abajo, en el panel de la derecha y haga clic en Agregar servicios de función.



2. Desplácese a Servicios de función, haga clic en Seguimiento y luego en Siguiente, en Instalar y luego en Cerrar.

3. Haga clic en Inicio|Herramientas administrativas|Administrador de Internet In-formation Services (IIS). En el árbol Conexiones, en la parte izquierda, haga clic en el sitio Web al que quiere dar seguimiento.

4. En el panel Acciones, bajo Configurar, dé clic en Seguimiento de solicitudes con error, clic en Habilitar, realice cualquier cambio deseado en directorio, número máximo de archivos de seguimiento o ambos y clic en Aceptar.

5. Desplácese el Espacio de trabajo, en el centro, y haga doble clic en Reglas de seguimiento de solicitudes con error.

6. En el panel Acciones, haga clic en Agregar, seleccione el contenido al que dará segui-miento y clic en Siguiente. Seleccione las condiciones e inserte las especificaciones que generarán una entrada de registro de seguimiento. Seleccione los proveedores de seguimiento y clic en Finalizar. La norma se agregará a las reglas de seguimiento.

7. Haga clic en Inicio|Equipo, navegue al directorio C:\inetpub\logs\FailedReq- LogFiles y abra la carpeta que ve. Por último, haga doble clic en el archivo XML.

Internet Explorer abrirá y desplegará el resumen.

8. Haga clic en la ficha Vista compacta, para ver los pasos de seguimiento y detalle de cada paso, como se ilustra en la figura 9-15.

Revise el rendimiento del servidorA medida que aumenta el tráfico del servidor Web y comienza a escuchar quejas acerca de sitios lentos, querrá ver el rendimiento del servidor. El “servidor”, por supuesto, cubre mucho, incluidos uso de memoria, carga del CPU, velocidad del disco y tráfico de red. El Monitor de confiabilidad y rendimiento, mostrado en la figura 9-16, puede darle una idea sustancial del rendimiento de su hardware.



Cuando diagnostique y repare problemas de IIS, necesita recolectar una línea base con-tra la que pueda comparar los problemas. Para ello, aplique una carga de red típica y re-gistre características de rendimiento del servidor, al utilizar el Monitor de confiabilidad y rendimiento (“Perfmon”). Esto proporciona una imagen de la manera en que se evalúa el servidor en relación con CPU, disco, red y memoria. Después, cuando el rendimiento sea cuestionable, puede comparar la línea base con la situación actual y determinar dónde ocu-rre un posible cuello de botella. Abra el Monitor de confiabilidad y rendimiento y después considere y seleccione las medidas de rendimiento que quiere utilizar para establecer una línea base para su servidor Web.

1. Haga clic en Inicio|Herramientas administrativas|Monitor de confiabilidad y ren-dimiento o, de forma alterna, haga clic en Inicio, clic en Iniciar búsqueda, escri-ba Perfmon y oprima enter. Se abrirá el Monitor de confiabilidad y rendimiento, como se muestra en la figura 9-16.

Figura 9-15. El seguimiento puede darle muy buena idea de lo que está causando el problema.



Figura 9-16. El Monitor de confiabilidad y rendimiento da seguimiento al uso de recursos.

2. Haga clic en las flechas hacia abajo, en la parte derecha de cada una de las áreas de recursos (CPU, Disco, Red y Memoria) y considere la forma en que la información puede serle de utilidad.

3. En el panel de la izquierda, abra Herramientas de supervisión y haga clic en Mo-nitor de rendimiento. Al principio, sólo verá el tiempo del procesador. Haga clic en Agregar (la “X” verde en la barra de herramientas). En el cuadro de diálogo Agregar contadores, que se abre, desplácese hacia abajo en la lista de contadores disponibles y dé doble clic en los que esté interesado.

4. Haga clic en los contadores que quiera rastrear y haga clic en Agregar. Apenas haya agregado todos los contadores que le interesan, haga clic en Aceptar. El Monitor de rendimiento desplegará el seguimiento de todos los contadores que añadió, como se muestra en relación con mis opciones, en la figura 9-17 (tal vez obtenga más in-formación de seguimiento de la que pueda leer).



El número de medidas de rendimiento o contadores y su diversidad puede ser atemo-rizante. En el cuadro de diálogo Agregar contadores, obtendrá más información acerca de cada contador, al seleccionarlo y hacer clic en Mostrar descripción. La explicación del conta-dor y cómo se utiliza aparecerá en la parte inferior del cuadro de diálogo, como se observa en la figura 9-18.

Figura 9-17. El Monitor de confiabilidad y rendimiento le permite dar seguimiento

a varias medidas de rendimiento.



Figura 9-18. En la parte inferior del cuadro de diálogo se presenta información acerca

de cada contador disponible.

ENTIENDA Y ADMINISTRE LOS SERVICIOSDE WINDOWS MEDIA

Servicios de Windows Media le permite la transmisión por secuencias de contenido multi-media en todo tipo de redes. Estas redes pueden ser desde conexiones a Internet de marcado telefónico y ancho de banda reducido, hasta redes de área local de ancho de banda elevado. Servicios de Windows Media (denominado “Servicios de multimedia de transmisión por se-cuencias”) es una función de servidor que se instala desde el Administrador del servidor:

1. Haga clic en Inicio|Administrador del servidor. En el árbol del servidor, en la parte de la izquierda, haga clic en Funciones.

2. Bajo Resumen de funciones, en el panel de la derecha, haga clic en Agregar funcio-nes y haga clic en Siguiente.



3. En la lista de funciones, haga clic en Servicios de multimedia de transmisión por se-cuencias y en Siguiente. Lea la introducción a los servicios de multimedia de trans-misión por secuencias y dé clic en Siguiente.

4. Si piensa que habrá de utilizarlo, haga clic en Administración basada en Web y Agente de registro. Si se le pregunta si quiere agregar características requeridas para Administración basada en Web y Agente de registro, haga clic en Agregar ser-vicios de función requeridos y en Siguiente.

5. Se le pregunta si quiere usar Protocolo de transmisión en tiempo real (RTSP) o Pro-tocolo de transferencia de hipertexto (HTTP), pero HTTP está atenuada porque el puerto 80 es utilizado por conexiones HTTP normales (sin transmisión por secuen-cias), haga clic en Siguiente, tres veces (pues también está instalando características adicionales de IIS) y haga clic en Instalar.

6. Cuando se le indica que la instalación terminó, haga clic en Cerrar.

NOTA La transmisión de audio y video por secuencia permite la reproducción de multi-

media en equipos receptores mientras se descargan, en lugar de esperar que se descar-

guen completamente antes de reproducirlos. El Reproductor de Windows Media, incluido

en Windows XP y Vista, puede usarse para reproducir audio y video por medio de trans-

misión por secuencias.

Los Servicios de Windows MediaAl utilizar Servicios de Windows Media, un servidor de medios puede transmitir contenido de audio y video por secuencias en Web. Para entender por qué esto es importante, es útil comprender la forma en que trabaja una sesión HTTP típica. En primer lugar, un explorador Web envía una solicitud de un URL en la red. El servidor Web que hospeda el URL responde a la solicitud y descarga la información apropiada al explorador. Una vez que las páginas Web se descargan del sitio, el explorador las despliega. Cuando el usuario hace clic en otro vínculo, el explorador pide otro URL y el servidor responde. Esto funciona muy bien en archivos de tamaño pequeño, como una página Web, pero los archivos de video y audio son tan grandes, que esperar la descarga de los archivos en esta forma es como esperar el hor-neado de un pastel. Los servicios de Windows Media utilizan la tecnología de transmisión por secuencias para permitir la carga de un archivo de audio o video mientras todavía se está descargando. Esto aumenta bastante la satisfacción del usuario que descarga el archivo.

Métodos de transmisión por secuenciasExisten dos formas de transmisión de audio y video por secuencias. Una utiliza un solo servidor Web; la otra separa las tareas Web de las de transmisión de multimedia por secuen-cias. El segundo método utiliza un servidor de transmisión de multimedia por secuencias, para transmitir el audio o video, junto con un servidor Web utilizado para descargar el resto de la información de la página Web.

Transmisión por secuencia con un Servidor Web El servidor envía los archivos de audio y vi-deo en la misma forma que haría al enviar cualquier otro archivo. El cliente de transmisión



por secuencias almacena, o incluye en búfer una pequeña cantidad del audio o video trans-mitido por secuencias, y después comienza la reproducción mientras continúa la descarga. El almacenamiento temporal permite que la multimedia siga reproduciéndose sin interrum-pirse durante periodos de congestión de red. En realidad, es normal que se interrumpa en una conexión de marcado telefónico o cualquier otra conexión de baja velocidad. El cliente recupera los datos en cuanto servidor Web, red y conexión de cliente lo permitan.

Transmisión por secuencia con un servidor multimedia Con un servidor multimedia, el primer paso consiste en comprimir el archivo multimedia y copiarlo a un servidor multimedia de transmisión por secuencias especializado (como Servicios de Windows Media de Micro-soft). Después, se hace una referencia en la página Web para que IIS sepa cuándo y dónde recuperar los datos de transmisión por secuencias para la página. Luego, los datos se envían al cliente de tal forma que el contenido se entregue a la misma velocidad que transmite au-dio y video comprimido. Servidor y cliente se mantienen en contacto durante el proceso de entrega mientras el servidor multimedia de transmisión por secuencias puede responder a cualquier retroalimentación del cliente.

Transmisión por secuencia con Servicios de Windows Media Diseñado de manera específica para la tarea de entregar multimedia mediante transferencia por secuencia bajo pedido o en vivo, en lugar de varios archivos pequeños de imagen y HTML, un servidor de Servicios de Windows Media ofrece muchas ventajas sobre servidores Web estándar:

▼ Un rendimiento de red más eficiente

■ Mejor calidad de audio y video para el usuario

■ Soporte a características avanzadas

■ Escalabilidad a un buen costo para un gran número de usuarios

■ Protección de contenido con derechos de autor

▲ Varias opciones de entrega

Servicios de Windows Media, mostrados en forma de diagrama en la figura 9-19, cam-bia automáticamente al protocolo apropiado, así que la configuración del lado del cliente se vuelve innecesaria.

Figura 9-19. Los Servicios de Windows Media interactúan con un servidor Web para

proporcionar contenido al explorador del cliente.



Administre Servicios de Windows MediaDespués de instalar Servicios de Windows Media, puede configurarlo y administrarlo de manera continua, directamente con la ventana Servicios de Windows Media o mediante administración Web. Revise la ventana de administración de Windows Media:

Haga clic en Inicio|Herramientas administrativas|Servicios de Windows Media.Se abrirá la ventana Servicios de Windows Media. Abra el servidor local y haga clic en la

ficha Introducción para desplegar las ventanas mostradas en la figura 9-20. Los vínculos abren archivos de ayuda que explican cómo completar varias funciones, mientras los botones realizan funciones específicas. Empiece por probar el servidor Servicios de Windows Media. Esto no sólo prueba su servidor de transmisión por secuencias, sino también configura la transmisión por secuencias bajo pedido y describe ciertos conceptos clave sobre los medios de Windows. Cuando haya terminado, cierre la ventana Servicios de Windows Media.

SUGERENCIA Además de utilizar la ventana Servicios de Windows Media, puede admi-

nistrar Servicios de Windows Media con el Administrador Web, si lo ha instalado. Haga clic

en Inicio | Herramientas administrativas | Servicios de Windows Media (Web).

Figura 9-20. Servicios de Windows Media ofrece los medios de transmisión por secuencias

en varios formatos.


10

293

CAPÍTULO

Red privada virtual



Una red privada virtual (VPN, Virtual private network) utiliza una red pública insegura para administrar el trabajo seguro en red. Lo más común hoy día es que esto signi-fique extender o conectarse a una LAN mediante Internet, que reemplaza las líneas

arrendadas, redes agregadas de valor dedicado (VAN, Value Added Networks) o ambas, con un ahorro considerable. VPN permite a un trabajador que viaja conectarse y utilizar la LAN de una organización al conectarse a Internet y utilizarlo. El ingrediente clave en VPN es la seguridad. VPN permite utilizar una red pública con un alto grado de certeza de que los datos que se enviarán estarán asegurados. Puede pensar en VPN como una canalización segura mediante Internet, que conecta equipos en cualquier punto, como se observa en la figura 10-1. La información puede viajar a través de la canalización en forma segura, sin preocuparse por el hecho de que sea parte de Internet. A este concepto de una canalización en Internet se le denomina entunelamiento. El “túnel” asegurado se logra primero al cifrar los datos, incluido su direccionamiento e información de secuencia (donde el fragmento individual de datos, llamado “datagrama”, cabe en un mensaje más largo), que después encapsula o envuelve esos datos cifrados en un nuevo encabezado de protocolo de Internet (IP, Internet Protocol), con in-formación de enrutamiento y direccionamiento, como se muestra a continuación. El paquete saliente puede entonces hilar su camino a través de servidores y enrutadores de Internet sin exponer su datagrama interno y, como siempre debe ser, todavía cifrado.

VPN reemplaza las líneas concesionadas entre instalaciones y la necesidad de conexión de marcación de larga distancia. Por ejemplo, antes de VPN, una compañía necesitaba una línea concesionada entre la oficina principal y una sucursal en otra ciudad. Con VPN, cada oficina sólo necesita una conexión local a Internet, tal vez de alta velocidad, que des-pués se utiliza con VPN para transmitir información en forma segura entre oficinas. En otro ejemplo, antes de VPN un trabajador en viaje de negocios debía hacer una llamada de larga distancia en un servidor de acceso remoto para conectarse a la LAN de la compañía incurría en un cargo de larga distancia. Con VPN, el trabajador utiliza una conexión a Internet del hotel o coloca una llamada local a un proveedor de servicios de Internet (ISP, Internet Servi-ce Provider) para conectarse a Internet, que después se utiliza con VPN para conectarse a la LAN de la compañía. En ambos casos, se logran ahorros de costo importantes.

VPN establece una ruta de acceso segura a través de Internet desde un cliente conec-tado a Internet en un extremo, hacia un servidor conectado a Internet en el otro. A esto se llama conexión punto a punto. Una vez que la conexión se establece entre ambos puntos, transporta la información como si se usara una línea privada, sin preocuparse de los demás servidores ni enrutadores en la ruta, incluido un alto grado de seguridad. Esto se hace en Windows Server 2008 y Windows Vista con uno de estos tres protocolos:

▼ Protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol)

■ Protocolo de entunelamiento nivel dos (L2TP, Layer Two Tunneling Protocol)

▲ Protocolo de entunelamiento de conectores seguros (SSTP, Secure Socket Tunne-ling Protocol)

Datagrama cifradoEncabezadoIP

Trama encapsulada


295 Capítulo 10: Red privada virtual

Protocolo de entunelamiento de punto a puntoEl protocolo de entunelamiento punto a punto (PPTP, Point-to-Point Tunneling Protocol) fue desarrollado originalmente por Microsoft para crear una VPN con Windows NT 4 y Windows 9x/Me. PPTP, que incorpora y extiende el protocolo de punto a punto (PPP, Point-to-Point Protocol) así como cifrado punto a punto de Microsoft (MPPE, Microsoft Po-int-to-Point Encryption), es el protocolo VPN más simple de instalar de todos y el estándar de la industria (RFC 2637). Consulte el capítulo 5, bajo “Protocolos de red”, para conocer un análisis sobre documentos estándar de red denominados solicitudes de comentarios (RFC, Requests for Comments).

Figura 10-1. La red privada virtual puede hacerse mediante un túnel seguro a través

de Internet.

NOTA Si quiere utilizar VPN con Windows NT 4 o Windows 9x/Me, tiene que usar PPTP.

Protocolo de punto a puntoEl protocolo de punto a punto (PPP), protocolo base para los tres protocolos de entunela-miento (PPTP, L2TP y SSTP), se utiliza en muchas áreas de Internet —incluidas conexio-nes de correo electrónico— y es un estándar de la industria definido en varios RFC, pero principalmente 1661. PPP opera en la segunda capa, o de vínculo de datos del modelo de



interconexión de sistemas abierto (OSI, Open Systems Interconnection), como se ve en el capítulo 5, bajo “El modelo OSI”; ofrece las funciones de compresión y encapsulamiento de información, además de la autentificación de cliente y servidor. PPP está construido a partir de dos protocolos más: el de control de vínculo (LCP, Link Control Protocol), para manejar conexiones y autentificación, así como el de control de red (NCP, Network Control Proto-col), para manejar compresión y encapsulamiento. El protocolo de red TCP/IP determina las propiedades de NCP y la forma en que hace su trabajo.

PPP define la generación de una trama que toma el datagrama generado en la tercera capa o red del modelo OSI (consulte el capítulo 5, “IP”, bajo “Protocolos de red”), lo compri-me, encapsula, y añade información de dirección y control, para que se vea como esto:

▼ Delimitadores inicial y final marcan el inicio y final de la trama

■ Dirección es la dirección de destino

■ Control de marco es un número de secuencia para mantener el orden apropiado

■ Protocolo de red es el protocolo (IP) usado

■ Dato es el datagrama real que se transfiere

▲ FCS es una secuencia de revisión de marco usada para revisar errores

En PPP, LCP establece la conexión entre servidor y cliente y en seguida negocia entre ambos equipos para determinar el tipo de autentificación que utilizará, además de varios parámetros de vínculo, como la duración máxima de la trama. NCP se utiliza para determi-nar el protocolo de red que habrá de utilizarse y después, basado en eso, la manera en que el datagrama se comprimirá y encapsulará.

Aunque PPP tiene una función prominente en la autentificación, realmente no la lleva a cabo; esa función la realiza uno de varios protocolos de autentificación. VPN y Windows Server 2008 tienen varias opciones de protocolo de autentificación, cada uno con variantes. Las dos recomendadas son:

▼ Protocolo de autentificación de desafío de saludo de Microsoft versión 2 (MS-CHAP v2, Microsoft Challenge Handshake Authentication Protocol versión 2)

▲ Protocolo de autentificación extensible-Seguridad de nivel de transporte (EAP-TLS, Extensible Authentication Protocol-Transport Level Security)

Protocolo de autentificación de desafío de saludo CHAP, el más común de los principales métodos de autentificación y con más soporte; depende del uso de una contraseña conocida por cliente y servidor en la autentificación. (CHAP se define en varios RFC, sobre todo el 1994.) Sin embargo, a diferencia de los métodos de autentificación anteriores, la contraseña no se transmite durante la autentificación. En cambio, el servidor envía una cadena única de caracteres llamada “cadena de desafío”. El cliente utiliza su contraseña y cadena de desafío

Delimitadorinicial1 byte

Control demarco1 byte

Protocolode red1 byte

Delimitadorfinal

1 byte

Dirección1 byte

Variablede datos

FCS2 bytes

La trama PPP



para calcular un hash de Compendio de mensaje que devuelve al servidor. Éste también cal-cula el hash de acuerdo con su conocimiento de contraseña y cadena, que envía y compara con el hash enviado al cliente. Si ambos hash son idénticos, el cliente se autentifica. Un hash es un algoritmo o función muy fácil de calcular si conoce el origen de los datos, pero muy difícil, si no imposible, calcular los datos del hash.

Microsoft ha desarrollado dos variantes de CHAP: MS-CHAP y MS-CHAP v2, diseña-dos para trabajar desde Windows 9x hasta Vista, además de Windows Server 2003 y 2008, que se usa con VPN. MS-CHAP difiere de CHAP sobre todo por el uso de un algoritmo de hash de Compendio de mensaje, al cifrar desafío y forma. MS-CHAP v2 difiere de MS-CHAP sobre todo porque es más seguro con claves de cifrado más fuertes, al autentificar el cliente al servidor (como en CHAP y MS-CHAP) y el servidor al cliente, además de propor-cionar claves de cifrado separadas para enviar y recibir información.

Protocolo de autentificación extensible Si en lugar de una contraseña, utiliza una tarjeta pequeña u otro dispositivo para identificación, entonces EAP se utiliza para la autentificación. EAP, un estándar de red definido en la RFC 2284, es una trama de trabajo general que permite un mé-todo de autentificación arbitrario para negociarse y usarse. Con Windows Server 2008, VPN y pequeñas tarjetas, EAP-TLS (seguridad de capa de transporte, Transport Layer Security) es el protocolo de elección. EAP-TLS causa que los certificados se almacenen en el servidor y en una tarjeta pequeña en el cliente que se intercambiará y, si los certificados se aceptan, para autenti-ficar cliente y servidor. En el proceso, las claves de cifrado compartidas pueden intercambiarse, junto con otra información. EAP-TLS proporciona un nivel muy alto de autentificación mutua.

Cifrado punto a punto de MicrosoftUna vez que se ha establecido la conexión PPTP, los extremos autentificados y los detalles de transmisión negociados (todos ellos funciones de PPP), los datos que se transmiten deben estar cifrados para ser seguros en Internet. Ésa es la función de MPPE. MPPE puede ofrecer tres capas de cifrado mediante una clave privada de 40 bits, 56 bits o 128 bits (consulte el ca-pítulo 15 para conocer una descripción acerca de las claves públicas y privadas, además del uso de cifrado). Las claves se generan como parte del proceso de autentificación en MS-CHAP, MS-CHAP v2 o EAP-TLS, así que debe usarse uno de estos métodos de autentificación.

Protocolo de entunelamiento de nivel dosMientras Microsoft estaba desarrollando PPTP, Cisco desarrolló un protocolo llamado Re-envío de capa dos (L2F, Layer Two Forwarding) para hacer VPN. Esto se ha combinado con PPTP para crear el segundo protocolo soportado por Microsoft en Windows 2000, hasta Server 2008: L2TP. L2TP se ha vuelto el estándar más reciente de la industria, definido sobre todo en RFC 2667 y aunque es el protocolo más seguro y robusto de los primeros dos VPN, tiene muchas similitudes con PPTP, porque usa por completo PPP y, particularmente, loextiende para la autentificación, compresión y encapsulamiento. Sin embargo, a diferencia de PPTP L2TP, como se ha implementado en las últimas versiones de Windows, usa segu-ridad de protocolo de Internet (IPSec, Internet Protocol Security) para manejar cifrado en lugar de MMPE (consulte RFC 2888). Esto es lo que hace L2TP más robusto y seguro.

NOTA En Windows Server 2008, L2TP está diseñado para ejecutar redes IP como Inter-

net, sin soporte directo a la ejecución en redes X.25, retransmisión de trama o ATM.



Seguridad de protocolo de InternetIPSec es, en realidad, un conjunto de protocolos de autentificación y seguridad para operar sin interferencia y en adición a otros protocolos utilizados. Por tanto, L2TP puede utilizar servicios de autentificación de PPP y luego emplear la autentificación integrada en IPSec. Como resultado, IPSec suministra seguridad sin divisiones de varios segmentos de una red que, por ejemplo, comienza en una red privada, sale a una red pública y después vuelve a la red privada, con la condición de que todas las redes empleen la misma IP. IPSec logra esto mediante su autentificación y cifrado en la tercera capa o red del modelo OSI, más allá de PPP, que opera en la segunda capa o vínculo de datos, como se ilustra en la figura 10-2. IPSec puede utilizarse en una clave de 56 bits estándar de cifrado de datos (DES, Data Encryption Stan-dard) o DES triple (3DES), que maneja tres claves DES de 56 bits para seguridad más elevada.

Protocolo de entunelamiento de conectores segurosSSTP es el más reciente de los protocolos de entunelamiento, desarrollado para mejor ma-nejo de firewalls y proxies Web. SSTP sólo puede utilizarse con Windows vista Service Pack 1 o posterior y Windows Server 2008. SSTP utiliza la capa de conector seguro (SSL, Secure Socket Layer), con el protocolo de transferencia de hipertexto seguro (HTTPS, HyperText Transfer Protocol Secure) para cifrar y encapsular tramas PPP, a la vez que transferirlas a tra-vés del puerto 443 de TCP para pasar a través de firewall y proxies Web. Como en los otros dos protocolos de entunelamiento, el uso de PPP por parte de SSTP proporciona autentifi-cación EAP-TLS y MS-CHAP v2, mientras el uso de SSL emplea una opción de seguridad, utilizada ampliamente en el nivel de transporte para hacer cifrado, negociación de clave y revisión de integridad.

En la tabla 10-1 se muestra una comparación de los tres protocolos de entunelamiento.

Figura 10-2. Cómo se relacionan los protocolos VPN con el modelo OSI y los protocolos de red.

Modelo OSI

Aplicación

Presentación

Sesión

Transporte

Red

Vínculode datos

Física

Protocolos VPN Protocolos de red

Aplicaciones



PREPARE VPNPara configurar VPN, necesita tener la red y los servicios de acceso remoto (RAS) confi-gurados y en funcionamiento. Una vez hecho eso, configurar VPN es sólo una tarea de habilitación y configuración. En el capítulo 6 se describió la manera de configurar la red, y en el 8 se analizó cómo configurar RAS. Aquí, estos temas se revisarán brevemente, pero debe consultar los primeros capítulos si tiene preguntas acerca de estos temas.

Tabla 10-1. Comparación entre los tres protocolos de entunelamiento.

Área PPTP L2TP SSTP

Uso con Windows 98/Me y NT 4 Sí No No

Uso con Windows 2000, XP, Vista, Server 2003

Sí Sí No

Uso con Windows Vista SP1 y Server 2008

Sí Sí Sí

Instalación sencilla Más fácil Más difícil Difícil

Facilidad de uso Más fácil Más difícil Difícil

Grado de seguridad (los datosno se pueden leer)

Bueno Mejor Mejor

Grado de integridad (los datosno se pueden modificar)

Ninguno Bueno Bueno

Grado de autentificación (fuentede datos verificada)

Ninguno El mejor Mejor

NOTA Es muy importante que sepa si RAS opera en forma correcta antes de configurar

VPN. Muy a menudo, un problema en RAS hace que VPN no funcione correctamente.

Revise el hardware de red y RASEl hardware de red y RAS incluye como mínimo un adaptador de red y tal vez un disposi-tivo de interfaz de comunicación, como un módem, adaptador de red digital de servicios integrados (ISDN, Integrated Services Digital Network), línea de suscriptor digital (DSL, Digital Suscriber Line) o enrutador en la red con conexión a una línea de comunicación DSL, T-1 o retransmisión de tramas. Suponiendo que este hardware se ha instalado según las ins-trucciones del fabricante, entonces lo más probable es que se haya configurado en forma automática en Windows Server 2008, cuando se instaló el sistema operativo o hardware y lo detectó el sistema operativo. Aquí sólo debe asegurarse de haber instalado la unidad correcta y que el dispositivo opera en forma adecuada. Puede hacer ambas cosas con el Ad-ministrador de dispositivos y estas instrucciones:

1. Haga clic en Inicio|Panel de control y haga doble clic en Administrador de dispositivos.

2. Abra el equipo local y Adaptadores de red y dé doble clic en el adaptador de red que quiera revisar. Se abrirá el cuadro de diálogo Propiedades correspondiente a ese dis-positivo, como se muestra en la figura 10-3.



3. Si el dispositivo trabaja en forma correcta, deberá ver una frase que lo indique, como se observa en la figura 10-3. En este caso, haga clic en Aceptar y cierre el cua-dro de diálogo Propiedades.

4. Si la NIC no opera en forma correcta, es posible que se le den indicaciones sobre cuál es el problema. Si se indica que existe un problema con el controlador, haga clic en la ficha Controlador y luego en Actualizar controlador. En caso de que haya un problema para compartir recursos, haga clic en la ficha Recursos y vea si señala dónde está el problema; de ser así, haga clic en Cambiar configuración y realice los cambios necesarios. Si existe otro inconveniente, no pudo corregir un controlador o resolver el problema, regrese al capítulo 6, con más detalles sobre la configuración de un nuevo adaptador de red.

5. Cuando tenga el adaptador de red instalado apropiadamente, cierre su cuadro de diálogo Propiedades y, si está presente, abra el cuadro de diálogo Propieda-des, del dispositivo de comunicaciones en su equipo. Debe ver, una vez más, un resumen del estado del dispositivo. Si se trata de un módem, haga clic en la ficha Diagnóstico, luego en Consultar módem. Después de esperar unos momentos, deberá ver una lista de comandos y respuestas. No importa si obtiene “Coman-do no permitido”, siempre y cuando obtenga respuestas con un aspecto normal, como aquí se ve (en el capítulo 8 se muestra información más detallada sobre

la configuración de un módem):

Figura 10-3. Puede revisar si un dispositivo está funcionando mediante el Administrador

de dispositivos.



6. Si el dispositivo opera en forma correcta, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. De otra forma, utilice un procedimiento similar al paso 4 para aislar y corregir el o los problemas. Cuando haya terminado, cierre el cuadro de diálogo Propiedades y la ventana Administrador de dispositivos.

Aunque tal vez considere que el hardware no es problema, es sabio revisarlo y eliminar-lo como una posible razón por la que VPN no funciona.

Configure la redCuando se instala hardware Plug and Play o Windows Server 2008 está instalado y detecta hardware de red Plug and Play, los componentes de red de Windows Server 2008 se instalan automáticamente. Ya que ha determinado que su hardware está instalado y en operación, lo más probable es que la red también lo esté. Revise esto aquí:

1. Haga clic en Inicio|Panel de control, haga doble clic en Centro de redes y recursos compartidos y observe si está conectado a una red y tal vez a Internet. Si es así, la red se ha configurado en el servidor que revisa.

2. Haga clic en Ver estado. Se abrirá el cuadro de diálogo Estado de Conexión de área local y mostrará una importante actividad de bytes enviados y recibidos.



3. Haga clic en Propiedades. Debe abrir-se el cuadro de diálogo Propiedades y mostrar los componentes configurados para la conexión. Éstos deben incluir, como mínimo, Compartir impresoras y archivos para redes Microsoft y Proto-colo de Internet versión 4 (TCP/IPv4), y tal vez Cliente para redes de Micro-soft, como se muestra aquí.

4. Haga doble clic en Protocolo de Inter-net versión 4 (TCP/IPv4) para abrir su cuadro de diálogo Propiedades. Lo que aparece aquí dependerá de la función de este equipo en la red. Al menos, un servidor debe tener una dirección IP estática o fija (al seleccionar la opción Usar la siguiente dirección IP) y ser el servidor DHCP (protocolo de con-figuración de host dinámico) y DNS (sistema de nombre de dominio).

5. Cierre Propiedades de Protocolo de Internet versión 4 (TCP/IPv4), Propiedades de Conexión de área local, Estado de Conexión de área local y Centro de recursos y redes compartidas.

6. Si encontró en el paso 4 que este servidor tenía una dirección IP fija, entonces revise DHCP al hacer clic en Inicio|Herramientas administrativas|DHCP y al abrir el ser-vidor local. Debe ver que la lista de servidores incluya una flecha verde apuntando hacia arriba (indicando que el servicio está habilitado) y al menos un ámbito.



7. Cierre la ventana DHCP. Si cualquiera de los pasos anteriores no produjo los re-sultados esperados o se observó algún problema, regrese al capítulo 6 y revise la configuración de red.

8. Si está utilizando Active Directory, haga clic en Inicio|Herramientas adminis-trativas|Usuarios y equipos de Active Directory, abra el dominio local y después haga clic en Users. Haga doble clic en el usuario al que quiere permitir la conexión por marcado telefónico (o cree un nuevo usuario, si es necesario; consulte el ca-pítulo 6), haga clic en la ficha Marcado, en Permitir acceso y en Aceptar. Cierre la ventana Usuarios y equipos de Active Directory.

SUGERENCIA Para RAS y, en especial, VPN, necesita una dirección IP estática asigna-

da por una autoridad de Internet. En otras palabras, necesita una dirección IP aceptable

a través de Internet, no una, como 10.0.0.2, asignada por usted.

Configure un servicio de acceso remotoRAS se habilita en Windows Server 2008, al establecer una función de servidor para éste como parte de Servicios de directivas y acceso a red, como se describió en el capítulo 8. Una vez que los Servicios de directivas y acceso de red están configurados, RAS se habilita y configura a través de Herramientas administrativas. Para esto, deberá tener privilegios administrativos y usar estos pasos:

1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto, para abrir la ventana del mismo nombre. El servidor local debe tener una flecha roja apun-tando hacia abajo, si no está habilitado, o una flecha verde hacia arriba, si lo está.

2. Si RAS no está habilitado, elija el servidor local (el equipo en que trabaja), haga clic en el menú Acción y clic en Configurar y luego en habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación del servidor de enrutamiento y acce-so remoto. Haga clic en Siguiente.

3. Haga clic en Acceso remoto (acceso telefónico o red privada virtual), luego en Siguiente. Haga clic en Acceso telefónico (asegúrese de que funciona, antes de se-leccionar VPN) y dé clic en Siguiente.

4. Si tiene varias conexiones de red, haga clic en la que quiera que sus clientes RAS utilicen, luego en Siguiente. Haga clic en Automáticamente, en la opción de asignar direcciones IP, pues no tiene un servidor DHCP.

5. Haga clic en Siguiente. Seleccione si quiere utilizar el servicio de usuario de acceso telefónico de autentificación remota (RADIUS, Remote Authentication Dial-In User Service) para más de una RAS. Proporciona otro nivel de autentificación, necesario o no. Haga clic en Siguiente.

6. Revise el resumen de su selección, haga clic en Atrás para efectuar cualquier cambio, después haga clic en Finalizar. Se indica que dé soporte a transmisión de mensajes DHCP del cliente; el Agente de transmisión DHCP debe estar configurado. Haga clic en Aceptar. Si su servidor DHCP está en la misma subred que el RAS, como suele estarlo, no necesita un Agente de transmisión DCHP.



Cuando RAS se ha habilitado y configurado, como se hace en los pasos anteriores, su ventana RAS deberá verse como ésta.

Pruebe RASEs muy tentador en este punto adelantarse y configurar VPN; después de todo, ése es el objetivo. Pero es prudente cerciorarse de que RAS funciona apropiadamente antes de seguir adelante. Para probar RAS, debe tener una conexión por marcado en un cliente. Se supone que el cliente ejecuta XP o Vista y que el servidor es Windows Server 2008; ambos tienen conexión de comunicación, tal vez ya instalada y en ejecución al utilizar el módem (en el capítulo 8 se muestran instrucciones para instalar un módem).

Configure una conexión de marcado telefónico Si no ha configurado aún una conexión de marcado telefónico en el cliente, hágalo con estos pasos:

NOTA Tal vez la interfaz de usuario del cliente sea diferente si utiliza un sistema opera-

tivo diferente de Windows Vista.

1. En un equipo de cliente Windows Vista, haga clic en Iniciar. Si tiene una red o co-nexión a Internet, haga clic en Conectar a. Si tiene una conexión de marcado telefó-nico, vaya a la siguiente sección.

2. Si tiene una conexión de red, pero no una conexión de marcado telefónico, haga clic en Configurar una conexión o red.

3. Si no tiene una conexión de red existente, haga clic en Inicio|Panel de control y haga doble clic en Centro de redes y recursos compartidos. En el cuadro de diálogo Centro de redes y recursos compartidos que se abre, haga clic en Configurar una conexión o red, en el panel Tareas, a la derecha.

4. En cualquier caso, haga clic en Configurar una conexión de acceso telefónico y en Siguiente. Inserte el número telefónico del servidor incluyendo, si es necesario, un “1” en el código de área. Escriba nombre de usuario y contraseña provistas por el admi-nistrador del servidor.



5. Ingrese un nombre para la conexión. Si tiene varios perfiles en el cliente, determine si quiere la conexión para que cualquiera la use y haga clic en Conectar. Debe ser capaz de conectarse al servidor. Asegúrese de esto antes de seguir adelante.

Utilice RASCon una conexión de marcado telefónico configurada en el cliente y un servidor de acceso remoto, configurado y habilitado en el servidor, puede utilizar RAS con estos pasos:

1. Inicie sesión en el cliente de marcado, como haría normalmente. Después, en el cliente, haga clic en Inicio|Conectar a, haga clic en la conexión de acceso telefónico que quiere usar y en Conectar.

2. Conforme sea necesario, ingrese el nombre de usuario apropiado, contraseña y tal vez el dominio y haga clic en Marcar. Verá mensajes indicando que marca el número escrito, se revisan nombre de usuario y contraseña, el equipo se está registrando en la red y la conexión se efectuó. Haga clic en Cerrar. El icono de conexión aparecerá a la derecha de la barra de tareas.

3. Pruebe la conexión en el cliente al hacer clic en Inicio|Red, y los dominios o grupos de trabajo, equipos, unidades y carpetas a los que quiera acceder. Si puede ver car-petas y archivos, la conexión de acceso remoto está funcionando.

4. Pruebe la conexión en el servidor al hacer clic en Inicio|Herramientas administrati-vas | Enrutamiento y acceso remoto. En la ventana Enrutamiento y acceso remoto, abra el servidor local y haga clic en Clientes de acceso remoto. Deberá ver que al menos está conectado un cliente, como éste:

5. Cuando haya terminado de probar la conexión RAS, puede concluirla al hacer doble clic en el icono de la conexión en la barra de tareas del cliente y después en

Desconectar, en el cuadro de diálogo que se abre.



Con RAS totalmente accesible desde un cliente de marcado remoto, sabe que todo, ex-cepto los componentes VPN únicos, es totalmente operativo en ambos equipos que probó. Si no funciona su conexión RAS de marcado telefónico, vaya al capítulo 8, donde se analiza esto en detalle.

CONFIGURE UN SERVIDOR VPN VPN, como RAS, tiene componentes de cliente y servidor. La instalación más común, descri-ta aquí, es para el cliente (suponiendo que ejecuta Windows Vista) para tener una conexión a Internet y que el tráfico viaje por Internet al servidor (suponiendo que ejecuta Windows Server 2008), donde una terminación VPN se encuentra activa y abre el acceso a la LAN. Revise cómo se hace esto, primero en cuanto a la configuración del servidor, después en la configuración necesaria en el cliente.

Reconfigure RASVPN requiere que tenga RAS configurado para VPN, así que en las siguientes instrucciones se supone que ha recorrido los pasos en secciones previas y debe volver a configurar RAS:

1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remo-to. Haga clic derecho en el servidor local, clic en Deshabilitar Enrutamiento y acceso remoto. Responda Sí si quiere eliminar el servicio RAS.

2. Con el servidor local todavía seleccionado, haga clic en el menú Acción y dé clic en Configurar y habilitar Enrutamiento y acceso remoto. Se abrirá el Asistente para instalación de Enrutamiento y acceso remoto. Haga clic en Siguiente.

3. Si tiene dos adaptadores de red en su servidor (uno para VPN y otro para LAN), haga clic en Acceso remoto (acceso telefónico o red privada virtual), como se mues-tra en la figura 10-4; de otro modo, haga clic en Configuración personalizada. Después dé clic en Siguiente. También en Acceso a VPN y en Siguiente. Si aparece, acepte la opción predeterminada de asignar la dirección IP automáticamente al uti-lizar su servidor DHCP. En seguida haga clic en Siguiente.

4. Si se le ofrece la opción, decida si usará Servicio de usuario de acceso telefónico de autentificación remota (RADIUS), para administrar la autentificación de varios servidores RAS. Si sólo tiene un servidor RAS, la respuesta es obvia; si tiene va-rios, entonces RADIUS valdría la pena. Haga clic en Siguiente.

5. Se le indica que ha completado con éxito el Asistente para la instalación del servidor de enrutamiento y acceso remoto. Haga clic en Finalizar.

6. Haga clic en Iniciar servicio. Tal vez se le diga que para dar soporte a la transmi-sión de mensajes de cliente DHCP, debe estar configurado el Agente de transmisión DHCP. Si es así, haga clic en Aceptar. Si su servidor DHCP está en la misma subred que su servidor VPN, no necesita un Agente de transmisión DHCP. RAS se configu-rará para VPN.

7. En la ventana Enrutamiento y acceso remoto, abra el servidor local y dé clic en Puertos. Aquí existen inicialmente los puertos 128 PPTP, 128 L2TP y 128 SSTP con-figurados para VPN, algunos de los cuales se muestran en la figura 10-5.



Figura 10-4. Configuración de RAS para VPN.

Figura 10-5. Puertos VPN que se han configurado en RAS.



En este punto, necesita seleccionar cuál de los tres protocolos VPN quiere usar y des-pués configurarlo.

Configure un servidor PPTPDe los tres protocolos de VPN, PPTP es el que se configura con mayor facilidad y puede uti-lizarse con gran variedad de clientes, desde Windows 95 (con una actualización 1.3 de Red de marcado telefónico) hasta Windows Server 2008, pero proporciona un nivel de seguridad más bajo. Puede configurar PPTP y ajustar el número de puertos con estos pasos:

1. Haga clic derecho en Puertos, en el panel de la izquierda, de la ventana Enruta-miento y acceso remoto, haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.

2. Haga clic en Minipuerto WAN (PPTP), después en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (PPTP), como éste.

3. Dado que usa VPN en Internet y no quiere que el cliente marque y entre a través del módem del servidor, quite la marca de Conexiones de enrutamiento de marcado a petición (entrada y salida). Configure un número de puertos PPTP razonable que utilizará y haga clic en Aceptar. Haga clic en Sí, en caso de preferir un número bajo de puertos (si así lo desea); haga clic en Aceptar para cerrar Propiedades de Puertos. Cierre la ventana Enrutamiento y acceso remoto.

NOTA En este punto, suele ser una buena idea pasar a “Configure un cliente VPN”, confi-

gurar el cliente e intentar la conexión PPTP como se describe aquí. Cuando PPTP funcione,

puede regresar e intentar L2TP y SSTP, que causan muchos problemas para la mayoría.

Configure un servidor L2TPL2TP puede utilizarse con Windows 2000 y versiones más recientes de Windows, que sumi-nistra mayor grado de integridad, autentificación y confidencialidad de datos. También es más difícil configurar por la necesidad de definir seguridad adicional e infraestructura



de autentificación. Debido a que L2TP utiliza IPSec y la forma más común de IPSec usa cer-tificados de equipo para autentificación, debe tener una autoridad de certificación activa en red y tenerla configurada para enviar certificados en forma automática a equipos de VPN. Entonces, los primeros pasos consisten en instalar o confirmar la presencia de una auto-ridad de certificado y autentificar que está configurada en forma adecuada. Después es posible configurar los filtros —parte integral de IPSec— y, por último, elegir L2TP a través de IPSec y configurar sus puertos.

Instale y configure una autoridad de certificadoSi no está seguro de tener instalada una autoridad de certificado en su LAN o sabe que no lo está, siga estas instrucciones para revisarla o instalarla y configurarla (debe iniciar sesión como administrador o administrador de dominio):

1. Haga clic en Inicio|Administrador del servidor; en el árbol de la izquierda, haga clic en Funciones; en el panel de la derecha, bajo Funciones, haga clic en Agregar funciones, luego en Siguiente.

2. Haga clic en Servicios de Certificate Server de Active Directory, si no está ya marca-do (en caso de estarlo, Servicios de Certificate Server se encuentra instalado en este quipo y puede saltarse a la siguiente sección). Haga clic en Siguiente, lea el aviso que pregunta si instala Servicios de Certificado, no podrá cambiar el nombre del equipo y haga clic una vez más en Siguiente.

SUGERENCIA Si no tiene instalado Active Directory, lo va a necesitar, así que debe insta-

larlo antes de instalar Servicios de certificado de Active Directory. Consulte el capítulo 7.

3. Haga clic en cada una de las opciones de autoridad de certificación para determinar los que necesita. Para usar sólo L2TP, es necesaria la primera opción, Entidad de certificación. Haga clic en Siguiente cuando esté listo.

4. Si no está utilizando Active Directory, deje la opción predeterminada Independien-te; de otra forma, haga clic en Empresa y, en ambos casos, haga clic en Siguiente.

5. Si está instalando la primera autoridad de certificación, haga clic en CA raíz; de otra forma, haga clic en CA subordinada, luego en Siguiente.

6. Si no tiene una clave privada o quiere crear una nueva, haga clic en Crear una nueva clave privada; de otra forma, haga clic en Usar clave privada existente. En cualquier caso, haga clic en Siguiente. Si está creando una nueva clave, puede seleccionar proveedor de servicios de cifrado (CSP, Cryptographic Service Provider), tamaño de la clave y algoritmo de hash. En casi todos los casos, excepto si usa tarjetas inte-



ligentes, quizás quiera dejar las opciones predeterminadas, como se muestra en la figura 10-6. Si está utilizando tarjetas inteligentes, tal vez necesite seleccionar un CSP manejado por la tarjeta.

Figura 10-6. Puede configurar las opciones criptográficas para su clave privada,

pero en casi todos los casos las predeterminadas son adecuadas.

7. Haga clic en Siguiente, inserte el nombre de la CA y dé clic de nuevo en Siguiente. Seleccione el periodo de validez o deje la opción predeterminada de 5 años y una vez más dé clic en Siguiente.

8. Se le muestra dónde se almacenarán las bases de datos de certificado y registro. Cámbielo si así lo desea y haga clic en Siguiente. Se despliega el resumen de sus opciones. Si quiere cambiar cualquier cosa, haga clic en Anterior. Cuando esté listo, haga clic en Instalar.

9. Dé clic en Cerrar cuando se le indique que completó exitosamente la instalación. Cierre el Administrador del servidor.

Administre una autoridad de certificadoUna vez instalado CA, puede administrarse en la ventana Entidad de certificación. Aquí se muestra cómo:



1. Haga clic en Inicio|Herramientas administrativas|Certification Authority (si acaba de instalarlo, es probable que Certification Authority esté fuera de la secuencia alfabética).

2. En el panel de la izquierda, abra el servidor local y haga clic en Certificados emiti-dos. Deberá ver al menos el certificado emitido al servidor, como se muestra aquí (si no ve el certificado, reinicie el servidor y deberá aparecer el certificado):

3. Haga clic derecho en el certificado, en el panel de la derecha y haga clic en Abrir. Aquí, puede ver quién lo envió, las fechas en que será válido y el tipo de clave pú-blica usada. Haga clic en Aceptar para cerrar el certificado.

4. Haga clic derecho en el servidor local; en el panel de la izquierda, seleccione Todas las tareas. En el submenú, puede detener la emisión de certificados, realizar copias de seguridad y restaurar el CA.

5. De regreso en el menú contextual con Todas las tareas, haga clic en Propiedades. En el cuadro de diálogo Propiedades que se abre, haga clic en la ficha Módulo de directivas y, de nuevo, haga clic en Propiedades. En la ficha Tratamiento de la solicitud puede seleccionar envío manual o automático de certificados, como se observa aquí:

6. Cierre el cuadro de diálogo Propiedades. De regreso en la ventana Entidad de cer-tificación, verá una carpeta Solicitudes pendientes. Si seleccionó la emisión manual de certificados, entonces todas las solicitudes de certificados irán en esta carpeta. Cuando haya terminado de ver la ventana Autoridad de certificación, ciérrela.



Inicie y configure IPSecIPSec se controla mediante directivas de grupo, que pueden configurarse en varios niveles, de los cuales el principal es el dominio. Esto significa que debe tener Active Directory (AD) configurado y el servidor que hospeda VPN debe ser un controlador de dominio. Consulte el capítulo 7 para conocer cómo configurar AD y los controladores de dominio. Suponiendo que está en un controlador de dominio AD, inicie y configure IPSec en el nivel de dominio al configurar primero la administración de directiva de grupo:

1. Haga clic en Inicio|Administrador del servidor, luego haga clic en su servidor, en el árbol de la izquierda. Abra Funciones y dé clic en Servicios de acceso y directivas de redes.

2. En el panel de la derecha, haga clic en Agregar servicios de función. Dé clic en Servidor de directivas de redes, Servicios de enrutamiento y acceso remoto, así como en Protocolo de autorización de credenciales de host. Cuando haga clic en cada uno, lea su descripción a la derecha. Dé clic en Protocolo de autorización de credencial de host. Haga clic en Agregar servicios de función requeridos.

3. Dé clic en Siguiente. Acepte la opción predeterminada de seleccionar un certificado existente para cifrado SSL, haga clic en su nuevo servidor de certificado, y clic en Siguiente. Haga clic de nuevo en Siguiente en la página Servidor Web (IIS). En la lista Servicios de función, verá que se han marcado varios servicios.

4. Haga clic en Siguiente y revise las funciones y servicios que está a punto de ins-talar. Si quiere cambiar algo, haga clic en Anterior. Cuando esté listo, dé clic en Instalar. Cuando se le diga que la instalación terminó, cierre.

5. Mientras sigue en el Administrador del servidor, en el árbol en la izquierda, haga clic en Características y, en el panel de la derecha, clic en Agregar características. En la lista de características, dé clic en Administración de directiva de grupo (si no está instalado), clic en Siguiente y luego en Instalar. Cuando la instalación esté completa, dé clic en Cerrar y cierre el Administrador del servidor.

6. Haga clic en Inicio|Herramientas administrativas|Administración de directivas de grupo. Abra el bosque y los dominios, después abra su dominio. Dé clic derecho en Default domain policy y luego clic en Editar.

7. En el panel de la izquierda, haga doble clic en Configuración del equipo, Directivas, Configuración de Windows, Configuración de seguridad y Directivas de seguridad IP en Active Directory. Haga clic en el menú Acción y en Crear directiva de seguri-dad IP. Se abre el Asistente para directivas de seguridad IP. Haga clic en Siguiente.

8. Ingrese nombre y descripción de directiva y dé clic en Siguiente. Si sólo usa equipos con Windows Vista como clientes VPN, no acepte la activación automática de la regla de respuesta predeterminada, que responde automáticamente a los equipos remotos requiriendo seguridad. Haga clic en Siguiente, asegúrese de marcar Editar propiedades, dé clic en Finalizar.

9. Se abrirá el cuadro de diálogo Propiedades para su nueva directiva, con un solo filtro IP. Haga clic en Agregar. Se abrirá el Asistente para reglas de seguridad. Clic en Siguiente.



10. Haga clic en los extremos del túnel que se especifican con estas direcciones IP e in-serte la dirección IP del equipo con el que se conectará el servidor. Clic en Siguiente, Acceso remoto y Siguiente.

11. Haga clic en All IP Traffic, para usar el filtro IP, dé clic en Siguiente y en Permit y, de nuevo, en Siguiente; después en Finalizar. Cierre el cuadro de diálogo Propiedades de la directiva.

12. En la ventana Editor de administración de directivas de grupo, dé clic derecho en su nueva directiva IPSec, en el panel de la derecha, y clic en Asignar, como se muestra en la figura 10-7. Deje Directivas de seguridad IP, bajo Configuración de seguri-

dad en la ventana abierta Editor de administración de directivas de grupo.

Empiece a emitir certificadosCertificados como IPSec se controlan mediante directivas de grupo en varios niveles. Em-piece por enviar certificados en el nivel del dominio; al conectar los equipos que los requie-ran a la LAN, siga estos pasos:

1. En el panel de la izquierda de la ventana Editor de administración de directiva de grupo, bajo Configuración de seguridad, haga clic en Directivas de clave pública. En el panel de la derecha, dé clic derecho en Configuración de la solicitud de certi-ficados automática y clic en Nuevo|Solicitud de certificados automática. Se abrirá el Asistente para instalación de solicitud automática de certificado.

Figura 10-7. La configuración de IPSec es parte importante de la configuración de L2TP.



2. Haga clic en Siguiente, luego en Equipo, como la plantilla de certificado que habrá de usarse; clic en Siguiente, luego en Finalizar.

3. Con Directivas de clave pública|Configuración de la solicitud de certificados auto-mática abierta en el panel de la izquierda de la ventana Editor de administración de directivas de grupo, en el panel de la derecha debe mostrarse Equipo y su ico-no, como aquí:

4. Haga clic derecho en Equipo y seleccione Propiedades. Deberá ver Equipo, en Tipo de certificado, además de la autoridad de certificado que configuró y seleccio-nó antes. Cierre el cuadro de diálogo Equipo y ambas ventanas de Administración de directiva de grupo.



Seleccione y configure L2TP sobre IPSecEl paso final en la configuración de L2TP para ser usado con VPN es seleccionar L2TP sobre IPSec y configurar los puertos L2TP.

1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. En el panel de la izquierda, abra el servidor local e IPv4 y dé clic en General. En el panel de la derecha, observe la dirección IP de la LAN, después, clic derecho en Conexión de área local y en Propiedades.

2. Haga clic en Filtros entrantes, luego en Nuevo. En el cuadro de diálogo Agregar fil-tro IP, haga clic en Red de destino e inserte la dirección IP de la LAN y una máscara de subred 255.255.255.255. En Protocolo, clic en UDP, después en Puerto de origen y Puerto de destino, escriba 500 (dado que se trata de su primer filtro de entrada IPSec), como se observa en la figura 10-8, y después haga clic en Aceptar.

3. Lo regresa al cuadro de diálogo Filtros entrantes, donde debe seleccionar Descartar todos los paquetes que no cumplan con los siguientes criterios. Haga clic en Aceptar.

4. De regreso al cuadro de diálogo Propiedades de conexión de área local, haga clic en Filtros salientes, luego en Nuevo. En el cuadro de diálogo Agregar filtro IP, haga clic en Red de origen e inserte la dirección IP de la LAN y una máscara de subred 255.255.255.255. En Protocolo, haga clic en UDP, después en Puerto de origen y Puerto de destino, inserte 500 (dado que éste es su primer filtro de salida IPSec), luego en Aceptar.

Figura 10-8. L2TP depende sobremanera de los filtros IP.



5. En el cuadro de diálogo Filtros salientes, haga clic en Descartar todos los paquetes que no cumplan con los siguientes criterios. Haga clic en Aceptar dos veces. Cierre el cuadro Propiedades de Conexión de área local, regrese a la ventana Enrutamiento y acceso remoto.

6. Haga clic derecho en Puertos, en el panel de la izquierda de la ventana Enrutador y acceso remoto, dé clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.

7. Dé clic en Minipuerto WAN (L2TP), después en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (L2TP), similar al que se observa en “Configure un servidor PPTP”.

8. Quite la marca de la casilla de verificación Conexiones de enrutamiento de marcado a petición (de entrada y salida). Establezca un número razonable de puertos L2TP que utilizará y dé clic en Aceptar y en Sí, en caso de querer reducir el número de puertos; haga clic en Aceptar para cerrar Propiedades de Puertos; cierre la ventana Enrutamiento y acceso remoto.

Configure un servidor SSTP

NOTA SSTP sólo trabaja con Windows Vista SP1 o posterior y Windows Server 2008.

Si ha configurado L2TP, SSTP es fácil, pues en el proceso de configurar L2TP también estableció la capa de conector seguro (SSL, Secure Sockets Layer), empleada con SSTP. Así que, de no haber configurado L2TP, recorra dichos pasos y después continúe aquí:

1. Haga clic en Inicio|Herramientas administrativas|Enrutamiento y acceso remoto. Abra el servidor local, haga clic en Puertos, en el panel de la izquierda de la ventana Enrutamiento y acceso remoto, y haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de Puertos.

2. Haga clic en Minipuerto WAN (SSTP), después clic en Configurar. Se abre el cuadro de diálogo Configurar dispositivo - Minipuerto WAN (L2TP).

3. Establezca un número razonable de puertos SSTP que serán usados y dé clic en Aceptar. Haga clic en Sí, en caso de reducir el número de puertos (si así lo desea), y dé clic en Aceptar, para cerrar Propiedades de Puertos.

4. Abra IPv4 en el panel de la izquierda, haga clic en General y en el panel de la dere-cha, clic derecho en Conexión de área local y clic en Propiedades.

5. En la ficha General, dé clic en Filtros entrantes, luego en Recibir todos los paquetes excepto aquellos que cumplan los siguientes criterios. Clic en el filtro que estableció para L2TP, en Eliminar y Aceptar.

6. Clic en Filtros salientes, luego en Transmitir todos los paquetes que no cumplan con los siguientes criterios. Clic en el filtro que estableció para L2TP, en Eliminar y Aceptar.

7. Clic en Aceptar, para cerrar el cuadro de diálogo Propiedades de Conexión de área local, cierre la ventana Enrutamiento y acceso remoto.



Figura 10-9. La firewall se configura automáticamente con excepciones para PPTP

y L2TP, pero debe habilitarse SSTP.

8. Clic en Inicio|Herramientas administrativas|Firewall de Windows con seguri-dad avanzada. En el panel a la izquierda de la ventana Firewall de Windows, clic en Reglas de entrada; recorra hacia abajo el panel central, dé clic en Protocolo de túnel de sockets seguros (SSTP de entrada), en el panel de la derecha haga clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades SSTP de entrada, como se observa en la figura 10-9.

9. Asegúrese de que Habilitado está marcado bajo General, después haga clic en Per-mitir las conexiones. Clic en Aceptar para cerrar el cuadro de diálogo Propiedades, luego cierre la ventana Firewall de Windows con seguridad avanzada.

CONFIGURE UN CLIENTE VPNLa configuración de un cliente VPN es una tarea relativamente simple. Tal vez necesite con-figurar una conexión para el cliente que se conecta a Internet, después una conexión entre cliente y servidor VPN. En Windows 2000, XP y Vista, así como en Server 2003 y 2008, existe un método automatizado e integrado para ambas tareas, mientras en versiones anteriores de Windows, debía configurar la conexión de marcado telefónico a Internet y después, sin la ayuda de un asistente, crear la conexión VPN.



Aunque la conexión a VPN de Windows Vista está integrada y automatizada, todavía se hace en dos pasos: conexión a Internet y al servidor.

Seleccione una conexión a Internet de Windows VistaEs la conexión estándar a Internet, analizada en otro lugar de este libro; por tanto, si tiene una conexión a Internet que funciona, puede pasar esta sección.

1. Haga clic en Inicio|Panel de control y doble clic en Centro de redes y recursos com-partidos. Clic en Configurar una conexión o red.

2. Clic en Conectarse a Internet, luego en Siguiente. Si tiene varias formas de conectar-se, elija la que desea usar para conectarse y haga clic en Siguiente. Dependiendo de su selección, escriba cualquier otra información necesaria para la conexión y dé clic en Siguiente, según lo necesario, después haga clic en Finalizar.

3. Si está utilizando una conexión de marcado telefónico, haga clic en Conectar o Marcar, según sea necesario, para probar la conexión. Si todas sus opciones son correctas, debe conectarse. Si no, recorra los tres pasos anteriores para hacer las co-rrecciones necesarias.

Conéctese a un servidor VPNLa conexión VPN es sólo otra conexión de red.

1. Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel de control y dé doble clic en Centro de redes y recursos compartidos. En la ventana del mismo nombre, clic en Configurar una conexión o red.

2. Haga clic en Conectarse a un área de trabajo, después en Siguiente. Clic en No, Crear una conexión nueva, luego en Siguiente.



3. Haga clic en Usar mi conexión a Internet (VPN), inserte un nombre de host regis-trado (como osborne.com) o dirección IP como 123.10.78.100, su nombre de destino, según se ilustra en la figura 10-10.

4. Si tiene varios perfiles en el cliente, determine si quiere permitir que otras personas usen dicha conexión y haga clic en Siguiente.

5. Escriba nombre de usuario y contraseña requeridos por el servidor VPN; seleccione si quiere guardar nombre de usuario y contraseña para usted o cualquiera emplean-do este equipo, dé clic en Conectar. Verá varios mensajes breves indicando que se conecta, luego que está conectado. Haga clic en Cerrar.

6. Dé clic en el tipo de red (Hogar, Trabajo, Público) que la conexión VPN representa, después haga clic en Cerrar. Debe estar conectado al servidor VPN y ver su co-nexión en la ventana Centro de redes y recursos compartidos.

7. Haga clic en Administrar conexiones de red. Debe abrirse la ventana Conexiones de red y tener un aspecto similar al de la figura 10-11. Debe tener la capacidad para explorar las porciones de la red para la que tiene permisos.

Figura 10-10. Una conexión VPN dependerá de un nombre de host o dirección IP.



8. En el servidor VPN, debe aparecer la conexión en la ventana Enrutamiento y acceso remoto, al abrir el servidor local y Clientes de acceso remotos. Además, haga clic en Puertos y desplácese hacia abajo en la lista. Tiene que mostrarse un puerto activo, como éste:

Figura 10-11. En la ventana Conexiones de red, deberá ver una conexión de red y otra VPN.



9. Si abrió la ventana Enrutamiento y acceso remoto, ciérrela. En el cliente, en la ven-tana Conexiones de red, haga clic derecho en conexión VPN, clic en Desconectar.

Si no se conectó, anímese: el autor tampoco lo logró la primera vez. Existen varias razones para que la conexión no se establezca. Si RAS funcionó, eso elimina muchas posi-bilidades. Primero intente conectarse con PPTP. Si configuró PPTP y L2TP antes de intentar la conexión, entonces regrese a “Reconfigure RAS” y use las instrucciones dadas allí y en las secciones posteriores a “Reconfigure RAS”; para deshabilitar RAS, reestablézcalo sólo para PPTP, después intente la conexión. Si todavía no funciona, recorra con cuidado todos los pasos para configurar el servicio que quiere usar y vea qué hizo diferente.

Conéctese con L2TP y SSTPUna vez que tenga PPTP funcionando y sólo entonces (porque si tiene PPTP funcionando, ha eliminado muchas posibles áreas de problemas), pruebe L2TP y SSTP (si su hardware lo permite) con estos pasos:

1. Si el Centro de redes y recursos compartidos no está abierto, haga clic en Inicio|Panel de control, dé doble clic en Centro de redes y recursos compartidos. En la ventana Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.

2. Haga clic derecho en su conexión VPN en funcionamiento, dé clic en Propieda- des. Haga clic en la ficha Funciones de red, en la flecha hacia bajo Tipo de red priva-

da virtual VPN, en el tipo que quiera usar y, por último, en Aceptar, para cerrar el cuadro de diálogo Propiedades de VPN.



3. Haga doble clic en su conexión VPN actualizada, ingrese su nombre y contraseña, dé clic en Conectar.

4. Vaya al paso 5 en “Conéctese a un servidor VPN”, inmediatamente antes, y vaya al final de esa sección.

Como ya se mencionó varias veces, L2TP (y en un grado menor SSTP) es demasiado complejo y tiene muchos elementos que necesita configurar correctamente. Si puede hacer-lo, su seguridad mejora mucho.

VPN es una herramienta muy útil para trabajadores móviles y, en realidad, vale la pena todo el problema que toma configurarlo (bueno, casi todo el problema que toma PPTP, ¡no es seguro que L2TP compense el problema extra!).


11

323

CAPÍTULO

Terminal Services y Escritorio Remoto



T e erminal Services (TS) para Windows Server 2008 permite que un equipo mínimo lla-mado cliente delgado o terminal se conecte con un servidor de Windows, despliegue el escritorio y utilice remotamente Windows, mientras éste y sus aplicaciones se ejecutan

en el servidor. El cliente delgado (llamado simplemente “cliente”, a lo largo de este capítulo) puede ejecutar los sistemas operativos Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, software de terceros e incluso diversos sistemas operativos. El cliente puede acceder al servidor vía Internet. Sólo la interfaz de usuario se ejecuta en el cliente. La interfaz de usuario envía caracteres de teclado y clics del ratón al servidor. El equipo cliente puede tener un procesador lento, cantidad modesta de memoria, disco duro pequeño e in-cluso carecer de disco duro. Para la aplicación que se ejecuta en el servidor, pareciera que el usuario trabaja en esa máquina, mientras para los clientes, la aplicación pareciera ejecutarse en sus máquinas, siempre y cuando haya velocidad razonable en la red. Es posible ejecutar varias sesiones de terminal en el servidor, pero cada cliente verá solamente su propia sesión. Un uso apropiado de los clientes delgados con TS, consiste en utilizar al servidor como base de datos centralizada y definir para los clientes un propósito específico, como la captura de órdenes de compra, etiquetado o seguimiento del inventario, casos en los que resulta bené-fico que la aplicación y su base de datos relacionada se encuentren en un servidor.

TERMINAL SERVICESTerminal Services en Windows Server 2008 representa mejoras importantes sobre las ver-siones previas de TS, que facilitan sobremanera su uso y admininistración. Entre las mejo-ras más importantes están RemoteApp de TS, Acceso Web de TS, Puerta de enlace de TS, Agente de sesiones de TS y Conexión a Escritorio remoto 6.0. Estos y otros servicios serán descritos en este capítulo.

Por qué utilizar Terminal ServicesExisten muchas razones para utilizar TS; entre ellas destacan:

▼ Permitir que varios usuarios empleen la misma aplicación, tal vez con una base de datos común, sobre todo aplicaciones del tipo “línea del negocio” y aplicaciones en constante actualización o de uso escaso (aplicaciones con gran carga gráfica y mul-timedia no son buenas candidatas para ejecutarse con TS)

■ Centralizar el enfoque de implementación, administración y mantenimiento de las aplicaciones en servidores centralizados

■ Controlar las aplicaciones disponibles para los usuarios y cómo configurarlas

■ Utilizar equipos con sistemas operativos anticuados, debido a que no dan soporte a la última versión de Windows

■ Tener acceso remoto a un equipo (por ejemplo, acceder al equipo de la oficina desde casa o cuando se está de viaje)

▲ Administrar cantidades variables de servidores mediante administración remota


325 Capítulo 11: Terminal Services y Escritorio remoto

Modos y componentes de Terminal ServicesTS maneja dos modos distintos:

▼ Modo de servidor de aplicaciones, posibilita que un equipo cliente despliegue un escritorio de Windows y ejecute aplicaciones remotamente en un servidor

▲ Modo de administración remota, suministra los medios para administrar remo-tamente un equipo que funciona con Windows Server 2008, incluido IIS (Internet Information Services, servicios de información de Internet)

TS es parte integral de Windows Server 2008, como lo fue en Windows Server 2003, y ofrece un conjunto de servicios poderosos de gran alcance. Compañías ajenas a Microsoft, como Citrix, proveen aplicaciones avanzadas en el área de TS. Dichas aplicaciones pueden ser ejecutadas sobre Windows Server 2003 y 2008. Se encontrará más información sobre Ci-trix en el sitio web http://www.citrix.com.

TS trabaja con el protocolo de control de transmisión/protocolo de Internet (TCP/IP, Transmission Control Protocol/Internet Protocol), de uso común en Windows Server 2008 e Internet en general; además, utilizan el protocolo de escritorio remoto (RDP, Remote Desk-top Protocol). RDP es un protocolo extenso que facilita la transmisión simultánea de amplia gama de datos, incluida información de usuario, la aplicación, licencia de uso y cifrado. RDP también tiene la capacidad para transmitir información de audio y video.

Los dos modos se implementan en Windows Server 2008, a través de nueve componen-tes independientes, como se muestra en la figura 11-1:

▼ Administrador de TS, que proporciona las funciones administrativas para TS y Terminal Server, incluidos visualización y control de las sesiones, así como procesos de usuario

Figura 11-1. Terminal Services utiliza un grupo de nueve componentes independientes

para realizar su función.

TerminalServer

Conexión aEscritorio

remoto 6.0

Servidor

Terminal Servicespara Windows Server 2008

Administradorde TS

Configuración deTerminal Services

RemoteAppde TS

ServidorWeb IIS

AccesoWeb de TS

Administradorde licencias TS

Puerta deenlace de TS

Agente desesiones de TS

Cliente



■ Configuración de Terminal Services, permite determinar las conexiones de TS pre-sentes en el equipo y sus características, además de la configuración del servidor

■ Terminal Server, es un servicio de función TS que proporciona el núcleo central de TS; este servicio es responsable de implementar multitareas en el servidor

■ RemoteApp de TS, es un elemento de Terminal Server que ofrece acceso remoto a los programas estándar de Windows

■ Acceso Web de TS, se instala como un servicio de función, pero es en realidad una aplicación Web (ejecutable sobre IIS) provee acceso al RemoteApp de TS por medio de un navegador Web

■ Administrador de licencias TS, es el servicio de función que proporciona la licencia de acceso de cliente de TS en Windows

■ Puerta de enlace de TS, es el servicio de función que permite acceso, seguro y cifra-do, desde los usuarios remotos hasta los recursos de una red corporativa conectada a Terminal Server

■ Agente de sesiones de TS, es el servicio de función a cargo de equilibrar la carga entre varios servidores de terminal (una “granja”) y realiza la reconexión de un cliente TS a una sesión existente en dicha granja

▲ Conexión a Escritorio remoto 6.0, es un cliente de software aparte preinstalado en Windows Server 2008, Windows Vista Business y Ultimate y también puede obtener-se vía Internet una versión para Windows Server 2003 SP1 o SP2 y para Windows XP Professional SP2. La conexión de Escritorio remoto 6.0 es necesaria para utilizar Terminal Services de Windows Server 2008, Terminal Server, RemoteApp de TS, Acceso Web de TS y Puerta de enlace de TS

PREPARACIÓN DE TERMINAL SERVICESEn esta sección, hablaremos sobre la preparación, configuración y administración de TS, Terminal Server y otros servicios de función, excepto el Administrador de licencias TS y Conexión a Escritorio remoto, que se analizarán en secciones posteriores.

Instalación de las funciones de Terminal ServicesTS es una función que se instala desde el Administrador del servidor, mientras Terminal Server, Acceso Web de TS, Administrador de licencias de TS, Puerta de enlace de TS y Agen-te de sesiones de TS son servicios de función y pueden seleccionarse por separado cuando se instala la función TS. Configuración de Terminal Services y Administrador de TS se instalan automáticamente con los servicios de TS, mientras RemoteApp de TS se instala automáticamente con Terminal Server.

NOTA No se recomienda instalar TS en un controlador de dominio de Active Directory (AD),

pues aumenta los riesgos de seguridad, además de que degrada el rendimiento de Active

Directory, ya que TS utiliza demasiados recursos del equipo. Es necesario ejecutar TS en un

dominio de AD para acceder a ciertas funcionalidades, como el Agente de sesiones de TS y

ofrecer capacidades adicionales a otros TS, como el Administrador de licencias de TS.



1. Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. Haga clic en la opción Funciones, en el panel de la izquierda del Ad-ministrador del servidor, luego clic en la opción Agregar funciones, ubicada en el panel de la derecha. Haga clic en Siguiente dos veces, luego seleccione Terminal Services y haga clic en Siguiente dos veces más.

NOTA Para instalar la función de TS y servicios de función analizados aquí, en caso de no

haberlo hecho ya, será necesario instalar también los Servicios de acceso y directivas de

red, el servidor Web (IIS) y el Servicio de activación de procesos de Windows. El asistente

para agregar funciones nos guiará automáticamente por tales instalaciones adicionales.

2. Haga clic en los servicios de función que se deseen instalar. Por ejemplo, clic en Ter-minal Server, Agente de sesiones de TS (debe estar dentro de un dominio), Puerta de enlace de TS (haga clic en Agregar características requeridas) y Acceso Web de TS (haga clic en Agregar características requeridas) y, por último, haga clic en Siguiente.



3. Lea la nota sobre la necesidad de instalar cualquier aplicación que se desee ejecutar con TS y, después de instalar TS, haga clic en Siguiente.

4. Lea sobre la Autentificación a nivel de red y decida si desea utilizarla. Considere que ésta mejora en forma importante la seguridad, aunque únicamente se encuentra disponible con el protocolo de Escritorio remoto (RDP) 6.0, incluido sólo en Win-dows Vista y Windows Server 2008; RDP también puede descargarse vía Internet para Windows XP SP2 y Windows Server 2003 SP1 o SP2. Haga clic en la opción deseada, luego en Siguiente.

5. Se solicitará que determine el modo de licencia de TS que desea utilizar. Deje la de-cisión para más adelante. Cuenta con 120 días para tomar la decisión. Deje marcada la opción predeterminada, Configurar más adelante, y haga clic en Siguiente.

6. Agregue los usuarios o grupos de usuarios que utilizarán TS haciendo clic en Agre-gar, Avanzadas y Buscar ahora. Haga doble clic sobre un usuario o grupo de usuarios de la lista, dé clic en Aceptar. Repita el procedimiento anterior todas las veces que sea necesario. Al terminar de agregar usuarios y grupos, haga clic en Siguiente.

7. Se nos indicará que la puerta de enlace TS requiere un certificado para utilizar el protocolo de capa de conector seguro (SSL, Secure Socket Layer) y cifrar las trans-misiones; tiene tres opciones para un certificado (véase la figura 11-2). Dos de ellas se explican a continuación:

a. Si ya tiene un certificado en el servidor, haga clic en la primera opción; si el cer-tificado está en el almacén de certificados de Windows, aparecerá en la lista. En caso contrario, haga clic en Importar y siga los pasos del Asistente para impor-tación de certificados. Haga clic en Siguiente todas las veces que sea necesario.

b. Si no tiene certificado, haga clic en la segunda opción; esto creará un certifica-do autofirmado.

8. Haga clic en Siguiente. Verá la explicación de una directiva de autorización de co-nexiones de TS (TS CAP), que permite a los usuarios pasar por la Puerta de enlace de TS y acceder a la red; y la explicación de una directiva de autorización de recur-sos de TS (TS RAP), que permite a los usuarios pasar por la Puerta de enlace de TS y usar equipos que ejecuten Terminal Server y otros recursos. Haga clic en Ahora para crear las directivas y, por último, haga clic en Siguiente.

9. Agregue los grupos de usuario que utilizarán la Puerta de enlace de TS, como se describió en el paso 7, y dé clic en Siguiente.

10. Escriba el nombre para su TS CAP, acepte la opción predeterminada de usar una con-traseña, haga clic en Siguiente. Escriba el nombre de su TS RAP, escoja la opción utilizar grupos específicos de equipos o todos los equipos de la red, dé clic en Siguiente.

11. Si no está instalada, lea la introducción a los servicios de acceso y directivas de red (Network Policy And Access Services) y haga clic en Siguiente. Acepte la opción predeterminada para instalar el servicio de función llamado “Servidor de directivas de redes” y haga clic en Siguiente.

12. Lea la introducción al servidor Web (IIS) y haga clic en Siguiente. Acepte los servicios de función predeterminados que ya se encuentran marcados y haga clic en Siguiente.



Figura 11-2. Debe tener o crear un certificado de seguridad para utilizar

la Puerta de enlace de TS.

13. Revise funciones y servicios de función que serán instalados para implementar TS y sus servicios. Si desea realizar cualquier cambio, haga clic en Anterior y realice los cambios. Cuando todo esté listo, haga clic en Instalar. El proceso de instalación tardará algunos minutos.

14. Haga clic en Cerrar y luego en Sí, para reiniciar su equipo. Después de reiniciar, se configurarán funciones y servicios de función y se desplegará un mensaje de adver-tencia indicando que el Administrador de licencias TS no está instalado y se cuenta con 119 días para instalarlo (el día en que se instaló cuenta como el primero). Por último, se desplegará un mensaje indicando que el proceso ha concluido con éxito. Haga clic en Cerrar.

NOTA El mensaje de advertencia desplegado para notificar que el Administrador de

licencias TS no está instalado y se cuenta con tantos días para instalarlo reaparecerá

siempre que el equipo reinicie. A esto se le llama “nagware” (software regañón) y, por

desgracia, Microsoft lo utiliza.

15. Abra Funciones, en la columna de la izquierda del Administrador del servidor, y haga clic en Terminal Services. En el panel de la derecha, se despliegan cuatro eventos infor-mativos señalando, entre otras cosas, que se crearon TS RAP, TS CAP y un nuevo certificado autofirmado; también podemos observar en pantalla los servicios del siste-ma en ejecución y los servicios de función instalados, como se ilustra en la figura 11-3.



Figura 11-3. Los resultados de la instalación de las funciones de TS se muestran en el

Administrador del servidor.

SUGERENCIA Para obtener información detallada de cada uno de los eventos informa-

tivos, seleccione uno a la vez y haga clic en Propiedades.

NOTA El componente de Conexión a Escritorio remoto no se instala de manera pre-

determinada en Windows Server 2008, pero se instala automáticamente junto con TS.

Consulte la sección “Use el modo de servidor de aplicaciones”, en páginas posteriores de

este capítulo.



Configuración de Terminal ServicesUna vez instalada la función TS y el servicio de función Terminal Server, puede configurar TS utilizando la configuración de TS. Ésta nos permite determinar las conexiones de TS en el equipo y sus características, además de la configuración del servidor. Sólo puede existir una conexión por cada tarjeta de red (NIC, Network Interface Card) o adaptador de red en el equipo, cuando todas las conexiones utilizan RDP con TCP/IP. Por tanto, si sólo tenemos una NIC o adaptador de red, lo único indispensable es la conexión predeterminada. Sin embargo, es necesario realizar algunos ajustes importantes en el cuadro de diálogo Propie-dades de conexión. Revise las configuraciones de la conexión y servidor, disponibles en la configuración de TS, mediante los siguientes pasos:

1. Abra la ventana de configuración de TS haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Configuración de Terminal Services.

O bien, en la ventana Administrador del servidor, escoja Funciones y Terminal Ser-vices, luego haga clic en Configuración de Terminal Services.

En ambos casos, se abrirá la configuración de Terminal Services, dentro del Admi-nistrador del servidor, como se muestra en la figura 11-4 o en su propia ventana.

Figura 11-4. Es en Configuración de Terminal Services donde se añaden y configuran

conexiones y otras características.



2. Agregue conexiones adicionales en caso de contar con más de una NIC o adaptador de red, al hacer clic en “Crear una conexión nueva”, en el panel Acciones, a la derecha. Se abrirá el Asistente para la conexión de Terminal Services. Haga clic en Siguiente, escriba nombre de la conexión y comentario opcional, luego dé clic en Siguiente. Se-leccione el adaptador de red que habrá de utilizarse y el número de conexiones. Dé clic en Siguiente, revise la configuración seleccionada, clic en Finalizar.

3. Para cambiar las propiedades de una conexión existente, haga clic derecho en la co-nexión, como la RDP-TCP predeterminada, después clic en Propiedades. Se abrirá un cuadro de diálogo mostrando las propiedades de la conexión RDP-TCP.

4. Revisemos cada una de las fichas. Las propiedades que se pueden modificar son las siguientes:

▼ General Añada un comentario a la descripción de la conexión y cambie el ni-vel de CIFRADO a Alto

■ Configuración de inicio de sesión Provee un inicio de sesión automático, al especificar la información de inicio de sesión que se usará siempre y si se solici-tara una contraseña

■ Sesiones Decida cuándo terminar una sesión de terminal y cómo conectarse de nuevo, si ocurre una desconexión

■ Entorno Aquí se especifica cuál programa, si existe alguno, deberá iniciarse cuando el usuario abre una sesión, y a qué carpeta debe señalar



■ Control remoto Aquí se determina si permitirá control remoto u observación de una sesión de terminal de usuario y se establecen las condiciones bajo las cuales se permite

■ Configuración de cliente Especifica cuáles dispositivos y las capacidades del cliente estarán disponibles durante una sesión de terminal

■ El adaptador de red Especifica la NIC o adaptador de red que será utilizado para esta conexión y el número máximo de conexiones que serán permitidas

▲ Seguridad Aquí se determinan los permisos para un grupo o usuario particu-lar, así como añadir grupos y usuarios elegidos

5. Cuando haya completado cualquier cambio deseado, haga clic en Aceptar para cerrar el cuadro de diálogo y volver a la ventana Configuración de Terminal Services.

6. Haga clic en Configuración del servidor. La configuración aparecerá en la parte de-recha de la ventana. Estas propiedades se explican por sí solas. Las modificaciones se realizan haciendo clic derecho sobre la propiedad, luego clic en Propiedades y al elegir los parámetros deseados, como se muestra a continuación.

7. Cuando termine de realizar los cambios, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades.



Administrador de Terminal ServicesEl administrador de TS nos permite revisar y administrar servidores de terminal en sus dominios de confianza, incluidos usuarios, procesos y sesiones activos en cada servidor. Con la Configuración de Terminal Services, es posible abrir el Administrador de TS desde el menú Inicio y el Administrador del servidor.

NOTA Cuando abrimos el Administrador de TS, se presenta un mensaje que notifica

algunas características, como Control remoto y Conectar, sólo funcionan cuando la herra-

mienta se ejecuta en una sesión de cliente e inhabilitan cuando lo hace en una sesión de

consola o servidor. Es decir, se debe acceder al servidor y ejecutar el Administrador de TS

desde un cliente para usar las características de Control remoto y Conectar.

1. Abra el Administrador de TS haciendo clic en Inicio|Herramientas administra-tivas|Terminal Services|Administrador de Terminal Services, haga clic en Aceptar para cerrar la ventana con el mensaje sobre Control remoto y Conectar.

O bien, en el Administrador del servidor, abra Funciones y Terminal Services y, por último, clic en Administrador de Terminal Services.

En ambos casos, se abrirá el Administrador de TS correspondiente al servidor local.

2. Haga clic en la ficha, en la parte media del panel y la ventana del Administrador del servidor se verá como en la siguiente figura, si el único usuario fuese el administrador:

3. Si hace clic derecho en una sesión de cliente del panel central, por ejemplo, Ad-ministrador y abre su menú contextual, es posible desconectar, reconectar si está desconectado, enviar un mensaje al cliente, tomar control del cliente si este cliente lo permite, reiniciar el cliente y mostrar el estado de la sesión, que indica los bytes entrantes y salientes, asimismo tramas y errores generados.



4. Al hacer clic en la ficha Procesos se muestran los programas en ejecución en la sesión remota.

5. Cuando termine de explorar el Administrador de TS, ciérrelo.

USE EL MODO DE SERVIDOR DE APLICACIONESEl modo servidor de aplicaciones de TS es un verdadero entorno multiusuario, similar a los sistemas de tiempo compartido en mainframes populares durante la década de 1970, antes de la aparición de los equipos personales. Cada uno de los usuarios de los servidores de aplicaciones tiene una parte independiente del servidor y sus recursos. Eso significa que el servidor podría sobrecargarse. Los servidores de aplicaciones con cualquier número impor-tante de usuarios simultáneos (más de cinco) requieren un equipo poderoso (quizás 64 bits), con una cantidad sustancial de memoria (4 gigabytes [GB] o más, que sólo puede obtenerse en equipos con procesadores de 64 bits). El cliente, por otra parte, como se describió antes, no requiere mucho poder para desplegar la interfaz de usuario, recolectar eventos tanto del ratón como del teclado y transmitir esta información al servidor. Casi todo el procesamiento se hace en el servidor.

El modo de servidor de aplicaciones usa Terminal Server conjuntamente con Remo-teApp de TS para ofrecer acceso a aplicaciones específicas del servidor desde un cliente remoto mediante Conexión a Escritorio remoto (RDC). En la sección anterior, “Preparación de Terminal Services”, se describió cómo instalar y preparar el servicio completo. En esta sección, veremos cómo preparar una de ambas formas para utilizar dicho servicio, la ejecu-ción de programas o aplicaciones en el servidor desde un equipo remoto. Para ello, revisa-remos un par de pasos preparatorios que es necesario dar, luego veremos cómo preparar y administrar RemoteApp de TS y, por último, cómo preparar y utilizar RDC.

Prepare Terminal ServicesEs necesario realizar varios pasos tras instalar TS y antes de continuar con RemoteApp de TS y RDC:

▼ Instale programas Después de instalar TS, necesita instalar los programas que utilizarán los clientes remotos de TS. Si el servidor cuenta con programas instalados antes de TS, es buena idea desinstalarlos y reinstalarlos. Si están instalando varios programas con archivos compartidos, como Microsoft Office, es buena idea instalar todos los programas en el mismo servidor. Por otra parte, si se cuenta con varios programas de uso excesivo o que tal vez no sean compatibles, es una buena idea instalarlos en diferentes servidores de TS

NOTA Muchas de las opciones del menú contextual descritas están disponibles también

en el panel de Acciones ubicado del lado derecho.



■ Verifique la configuración Aunque al instalar TS se habilitaron conexiones remo-tas, es recomendable verificar que estén activas en el servidor

1. Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Del lado iz-quierdo, bajo el texto Tareas, haga clic en Configuración de Acceso remoto.

2. En el cuadro de diálogo Propiedades del sistema, haga clic en la ficha Acceso re-moto. En la parte inferior de la ventana verá las tres opciones de Escritorio remoto. Deberá estar seleccionada la segunda opción, como se muestra a continuación.

3. Si sus usuarios usan RDC 6.0 (disponible como opción predeterminada en Win-dows Vista, Windows Server 2008 y descargable tanto para Windows XP como Windows Server 2003), podemos elegir la tercera opción para usar el nivel de seguridad más alto utilizando Autentificación a nivel de red.

4. Deje el cuadro de diálogo Propiedades de sistema abierto para dar el último paso preparatorio.

▲ Añada usuarios Los clientes o usuarios de TS deben configurarse como usuarios en Terminal Server. Pueden ser miembros del grupo Usuarios de Escritorio remoto o del grupo Administradores. Para aplicar de mejor forma las directivas de gru-po (consulte el capítulo 15); es recomendable que todos los usuarios remotos sean miembros del grupo Usuarios de Escritorio remoto, aunque sean además miembros de otros grupos



1. En el cuadro de diálogo Propiedades de sistema, que ya debe estar abierto tras los últimos pasos realizados, haga clic en Seleccionar usuarios.

2. Haga clic en Agregar. En el cuadro de diálogo Seleccionar Usuarios o Grupos, escriba los nombres ya configurados en la red o haga clic en Avanzadas, luego en el botón Buscar ahora para encontrar los nombres. Haga clic sobre uno (o varios, si mantiene oprimida la tecla ctrl) de la lista Resultado de la búsqueda y dé clic en Aceptar.

3. Cuando haya añadido los nombres deseados, haga clic en Aceptar. Los nom-bres deben aparecer en la lista del grupo Usuarios de Escritorio remoto.

4. Si los usuarios de la lista son correctos, haga clic en Aceptar para cerrar el cua-dro de diálogo Usuarios de Escritorio remoto, después haga clic en Aceptar una vez más, para cerrar el cuadro de diálogo Propiedades del sistema y, por último, cierre la ventana Sistema.

Administre RemoteApp de TSAntes de Windows Server 2008, una conexión remota a Terminal Server desplegaba el escri-torio del servidor, mientras el cliente podía iniciar las aplicaciones que el usuario deseaba usar. Con RemoteApp de TS en Windows Server 2008, las aplicaciones específicas están dis-ponibles para clientes remotos y cuando se ejecutan, dada una velocidad de red razonable, para el usuario parecerá que la aplicación se ejecuta en su propio equipo. RemoteApp de TS provee el medio para elegir las aplicaciones que el cliente remoto puede utilizar, así como el medio para empaquetar y entregar el programa al usuario, además de la forma principal de administrar a los clientes remotos y su acceso al Terminal Server. Estas funciones son realizadas con el Administrador de RemoteApp de TS, que puede ser abierto, ya sea desde el menú Inicio o desde el Administrador del servidor.



1. Abra el Administrador de RemoteApp de TS haciendo clic en el menú Ini-cio|Herramientas administrativas|Terminal Services|Administrador de Remote App de TS.

O, en el Administrador del servidor, abra Funciones y Terminal Services, luego dé clic en Administrador de RemoteApp de TS.

En cualquiera de los casos, se abrirá el Administrador de RemoteApp de TS y mos-trará los datos del servidor local, como se observa en la figura 11-5.

Figura 11-5. El Administrador de RemoteApp de TS determina qué pueden hacer

los clientes remotos.



2. En el panel Acciones, ubicado del lado derecho, haga clic en Agregar programas RemoteApp. Se abrirá el Asistente para RemoteApp.

3. Seleccione los programas que desee que los clientes remotos ejecuten. Para cada uno de los programas, haga clic en Propiedades. Aparecerá un cuadro de diálogo donde es posible realizar cambios al nombre, ubicación, alias; marcar si el programa estará disponible a través de Acceso Web de TS y si el usuario podrá utilizar argumentos de línea de comando.



4. Haga clic en Aceptar cuando termine de configurar las propiedades del programa. Una vez que haya seleccionado todos los programas que se desean disponibles, haga clic en Siguiente. Aparecerá la lista de programas seleccionados y sus propie-dades. Si desea realizar algún cambio, haga clic en Atrás, de otro modo, en Finalizar. Los programas aparecerán en la lista, en la parte inferior del Administrador de Re-moteApp de TS.

5. En el cuerpo del Administrador de RemoteApp de TS, se puede hacer clic en la palabra “Cambiar” ubicada en varias áreas o clic en cualquiera de las tres opciones del panel de Acciones, ubicada bajo Agregar programas RemoteApp; en cualquiera de los casos, se abrirá el cuadro de diálogo Configuración de implementación de RemoteApp.

6. En general, usará la Configuración de implementación de RemoteApp predeter-minada; sin embargo, es bueno revisarla para conocer en qué consiste y realizar cambios en el futuro, si fuera necesario. Por ejemplo, si se desea utilizar una firma digital, la ficha Firma digital es el lugar para añadirla. Haga clic en Aceptar, para cerrar el cuadro de diálogo Configuración de implementación de RemoteApp.

Distribuya un programa de RemoteAppDespués de identificar una RemoteApp, el Administrador de RemoteApp ofrecerá dos for-mas para empaquetar y entregar el programa a un usuario remoto:

▼ Crear un archivo de tipo protocolo de escritorio remoto (.rdp) que el usuario pueda colocar en su escritorio y al hacer doble clic en él, el programa se ejecuta remotamente

▲ Crear un paquete de instalación de Windows (.msi) que el usuario puede colocar en su menú de Inicio o escritorio y hacer clic o doble clic para ejecutar remotamen-te el programa

SUGERENCIA Existe una tercera forma para acceder a un programa de RemoteApp

mediante el Acceso Web de TS, que se analizará más adelante en este capítulo.

NOTA Para que un cliente remoto utilice un programa de RemoteApp, el cliente deberá

ejecutar Conexión a Escritorio remoto (RDC) 6.0, incluido en Windows Vista y Windows

Server 2008. RDC 6.0 también está disponible para ser descargado para Microsoft Win-

dows XP SP2 y Windows Server 2003 SP1 o SP2. Consulte la siguiente dirección en

Internet http://support.microsoft.com/default.aspx/kb/925876.



Cree un archivo .rdpUn archivo de protocolo de escritorio remoto es un pequeño programa que, cuando recibe doble clic, se pone en contacto con Terminal Server e inicia al programa con el que está asociado en el escritorio del cliente remoto, aunque el programa realmente se ejecute en el servidor.

1. En el Administrador de RemoteApp de TS (véase cómo abrirlo en la sección “Admi-nistración de RemoteApp de TS”), haga clic en el programa o mantenga presionada la tecla CTRL y haga clic en varios programas (si se seleccionan varios programas, se creará un archivo .rdp independiente para cada uno, aunque la configuración será la misma para todos los programas seleccionados). Haga clic en Crear archivo de .rdp, en el panel de Acciones.

2. En el Asistente para RemoteApp, haga clic en Siguiente. Acepte la ubicación pre-determinada para guardar el archivo o busque una ubicación diferente. Realice cualquier otro cambio a la configuración (estos ajustes son los mismos que los establecidos en el Administrador de RemoteApp), dé clic en Siguiente.

3. Revise la configuración que será utilizada para crear el archivo .rdp. Si desea reali-zar algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar. Se abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccio-nada (véase la figura 11-6).

4. Cierre el Explorador de Windows.



Figura 11-6. Como opción predeterminada, los archivos de programa .rdp y .msi se

almacenan en el directorio C:\Archivos de programa\Packaged Programs.

Cree un paquete.msiUn paquete de instalación de Microsoft Windows se instalará por sí solo en el equipo del cliente, de modo que cuando haga clic en él, en el menú de Inicio o por doble clic en el es-critorio, se pondrá en contacto con Terminal Server e iniciará la ejecución del programa al que representa en el escritorio del cliente remoto, aunque en realidad el programa se estará ejecutando en el servidor.

1. En el Administrador de RemoteApp de TS (consulte la sección anterior “Adminis-tre RemoteApp de TS”, para conocer la forma de abrirlo), haga clic en un programa o mantenga oprimida la tecla ctrl para elegir varios programas y haga clic en cada uno de ellos. (Si se seleccionan varios programas, se creará un paquete .msi inde-pendiente para cada programa, pero la configuración será la misma para todos los programas seleccionados al mismo tiempo.) Haga clic en Crear paquete de Win-dows Installer, en el panel Acciones.

2. En el Asistente para RemoteApp que se abre, haga clic en Siguiente. Acepte la ubi-cación predeterminada para guardar el archivo o busque un directorio diferente. Realice cualquier cambio deseado en la configuración (estos ajustes son los mismos establecidos en el Administrador de RemoteApp de TS) y haga clic en Siguiente.

3. En Configurar paquete de distribución, determine dónde aparecerá el icono de acceso directo al archivo .msi en la máquina cliente, el escritorio o menú Inicio, y dé clic en Siguiente.



4. Revise la configuración que se usará para crear el paquete .msi. Si se desea realizar algún cambio, haga clic en Atrás. Cuando todo esté listo, haga clic en Finalizar. Se abrirá el Explorador de Windows y mostrará el programa en la carpeta seleccionada (véase la figura 11-6).

5. Cierre el Explorador de Windows.

Distribuya un programa de RemoteAppTras crear un paquete .msi o archivo .rdp, éste puede distribuirse mediante una de las si-guientes acciones:

▼ Colocar los archivos en una carpeta compartida en el servidor y que el cliente los copie en su equipo

■ Colocar los archivos en un CD y que el cliente copie del CD a su equipo

■ Utilizar un proceso existente para la distribución de software como Microsoft System Management Server

▲ Para el paquete .msi se puede utilizar también una directiva grupal de Active Direc-tory (consulte el capítulo 15)

Es posible exportar e importar programas y configuración de RemoteApp a otro Terminal Server o archivo, mediante Exportar configuración de RemoteApp e Importar configuración de RemoteApp en el panel Acciones, del Administrador de RemoteApp de TS. También se pueden realizar cambios en las propiedades y eliminar un programa de Re-moteApp haciendo clic derecho en la lista Programas RemoteApp y clic en Propiedades o Quitar.

Uso de Conexión a Escritorio remotocon los programas de RemoteApp

Para utilizar los programas de RemoteApp se requiere que RDC 6.0 esté instalado en el equipo del cliente. Esto se hace automáticamente en Windows Vista Business y Ultimate, además de Windows Server 2008. Además, en Windows Vista se activa automáticamente y está listo para su uso. En Windows Server 2008 es necesario activarlo, lo que se realiza de manera automática cuando instala TS y puede conseguirse manualmente en la ventana Tareas de configuración inicial o el Administrador del servidor, en la sección Resumen del servidor. En una nota anterior se explicó cómo obtener RDC 6.0 para Windows XP y Windows Server 2003.



Con los programas de RemoteApp, RDC sólo tiene un uso tangencial; lo verá al mo-mento de arrancar el programa de RemoteApp y luego desaparece.

Uso de un archivo .rdpUn archivo .rdp es, en cierto modo, un acceso rápido a un programa remoto localizado en Terminal Server. Su uso es muy simple. Cuando se pone a disposición del cliente en cualquie-ra de las formas mencionadas en “Distribuya un programa de RemoteApp”, el cliente debe:

1. Arrastrar el archivo .rdp a su escritorio, en caso de estar allí.

2. Ejecutar el programa haciendo doble clic en él. Escriba un nombre de usuario y contraseña previamente registrada en el servidor. Haga clic en Aceptar.

3. Verifique lo relacionado con el editor, efectúe los cambios deseados en la lista de dispositivos locales disponibles y dé clic en Sí. Se abrirá la ventana Seguridad de Windows.

4. Ingrese en Terminal Server con el nombre de usuario y contraseña adecuados. Se cerrará la ventana de RDC y abrirá la ventana con el programa remoto. El cliente puede utilizar el programa como si funcionara en su equipo.

5. Cierre el programa para desconectarse o termine la sesión con Terminal Server.

En la figura 11-7 se muestran dos instancias de WordPad (el procesador de palabras más elemental de Windows Server 2008, usado como ejemplo en esta sección), en ejecución desde un cliente con Windows Vista.



El programa de la izquierda funciona en modo nativo en el cliente, como verá por las barras del título y menú con el estilo de Windows Vista. El programa a la derecha funciona remotamente desde Terminal Server y tiene barras de título y menú con el estilo de Win-dows Server 2008, además de que en la barra de tareas aparece su icono, con la palabra “(remoto)” al final.

Figura 11-7. Dos instancias del mismo programa pueden ejecutarse en el cliente

en modo nativo y como programas de RemoteApp.

NOTA En la figura 11-7, un archivo de .rdp y un paquete de .msi se muestran como ico-

nos de escritorio del lado izquierdo. El archivo .rdp es el icono de WordPad ubicado en la

parte superior.

Uso de un paquete .msiUn archivo .msi es un paquete de instalación que instalará el vínculo al programa de Remo-teApp en el equipo del cliente. Una vez que el vínculo está instalado, hay una opción en el menú de inicio que brinda acceso al programa remoto ubicado en Terminal Server. Cuando el paquete .msi se pone a disposición del cliente, en cualquiera de las formas mencionadas en “Distribuya un programa de RemoteApp”, el cliente debe:

1. Arrastrar el paquete .msi al escritorio, si no está ya allí.

2. Hacer doble clic en el paquete .msi para comenzar la instalación. Aparecerán varios cuadros de diálogo mostrando información del estado de la instalación y le pregun-tarán si está de acuerdo con hacer la instalación. Haga clic en Permitir.



3. Ejecute el programa haciendo clic en Inicio|Todos los programas. Mueva la barra de desplazamiento hasta llegar a Programas remotos y haga clic en el programa remoto que habrá de ejecutarse. Seleccione un nombre de usuario y escriba la con-traseña correspondiente. Haga clic en Aceptar.

4. Verifique la confiabilidad del servidor, realice los cambios deseados en la lista de dispositivos locales disponibles y haga clic en Sí. La ventana de conexión con escri-torio remoto se abrirá.

5. Ingrese en el Terminal Server con el mismo nombre de usuario y contraseña escritos anteriormente. Aparecerá una ventana que nos pregunta si estamos de acuerdo en realizar la instalación.

6. Haga clic en Permitir. La ventana de RDC se cerrará y abrirá la ventana con el pro-grama remoto. El cliente puede usar el programa como si éste funcionara en su computadora.

7. Cierre el programa para desconectarse o cierre la sesión de Terminal Server.

SUGERENCIA Es posible colocar un acceso directo al programa instalado con el pa-

quete .msi en el escritorio, al abrir el Explorador de Windows, localizar C:\Archivos de

programa\Remote Packages, hacer clic derecho en el programa y seleccionando Enviar a

| Escritorio (crear acceso directo).



Configuración y uso de Acceso Web de TSEl acceso Web de TS es una conexión vía Internet a Terminal Server, que permite a un clien-te utilizar un navegador para ejecutar los programas de RemoteApp de TS en Internet o intranet. Esto requiere que Internet Information Services (IIS) ya se encuentre instalado en Terminal Server, como se describió antes en la sección “Instale las funciones de Terminal Services”. El acceso Web de TS es un servicio de función de Terminal Services que debe instalarse independientemente de TS. En esa sección se sugirió la instalación de IIS, en caso de no haber realizado la instalación, regrese a esa sección y hágalo ahora. Con el servicio de función instalado, configure y use Acceso Web de TS.

NOTA Es necesario tener instalado RDC 6.0 en el cliente para que Acceso Web de TS

funcione. RDC 6.0 está disponible en Windows Vista y Windows Server 2008; además,

puede descargarse para Windows XP SP2 y Windows Server 2003 SP1 o SP2.

Configure Acceso Web de TSSi el servidor de Acceso Web de TS con IIS 7 y el Terminal Server de RemoteApp de TS están en el mismo equipo y se han seguido todos los pasos anteriores para configurar y distribuir los programas de RemoteApp de TS, entonces no es necesaria una configuración adicional para Acceso Web de TS. Si ambos servidores se encuentran ubicados en diferentes equipos, entonces continúe con los pasos descritos a continuación. El Acceso Web de TS es una apli-cación Web que funciona en el servidor Web IIS. Esta aplicación puede configurarse desde el menú Inicio o la página Web correspondiente, usando un navegador.

1. Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administra-ción de Acceso Web de TS.

En su defecto, en el servidor de terminal, haga clic en Inicio|Internet, para abrir Internet Explorer. En el campo de dirección, escriba http://localhost/ts.

En cualquier caso, si es necesario, escriba nombre de usuario y contraseña de un ad-ministrador local y haga clic en Aceptar. El Acceso Web de TS se abrirá en Internet Explorer y, si hay un servidor de terminal con programas de RemoteApp de TS en el servidor Web, Acceso Web de TS mostrará los programas de RemoteApp de TS configurados, como se muestra en la figura 11-8.

2. Haga clic en Configuración. Aparecerá el Editor de zona en el extremo derecho de la ventana del navegador. En el campo Nombre de servidor de Terminal Server, es-criba el nombre del servidor en que se han instalado los programas de RemoteApp de TS que desea hacer accesibles vía Web.

3. Haga clic en Aplicar, después en Programas RemoteApp. Deberán aparecer los pro-gramas de RemoteApp de TS que desea que estén disponibles.

Use Acceso Web de TSDado que ya efectuó toda instalación y configuración anteriores, el uso por parte del cliente de Acceso Web de TS es muy simple.



1. En el equipo del cliente, haga clic en Inicio|Internet para abrir Internet Explorer. En el campo de dirección, escriba http://nombre_servidor/ts donde nombre_servidor es el nombre de un equipo en la red local, dirección IP o nombre de dominio plena-mente calificado (FQDN, Fully Qualified Domain Name).

2. Escriba un nombre de usuario y contraseña, luego haga clic en Aceptar. Si aparece un mensaje “Control ActiveX no permitido”, haga clic en el mensaje de alerta, en la barra de la información y clic en Complemento deshabilitado|Ejecutar el control Ac-tiveX. Por último, haga clic en Ejecutar, en el mensaje de advertencia de seguridad.

Acceso Web de TS se abrirá en el navegador desplegando los programas de Remo-teApp de TS que se han instalado, de manera similar a como se mostró en la figura 11-8, pero sin la opción Configuración.

3. Haga clic en el programa que desea ejecutar. Aparecerá un mensaje de alerta. Dé clic en Aceptar para seguir adelante. Quizás aparezca un nuevo mensaje de alerta; si se muestra, haga clic en Permitir.

Figura 11-8. Acceso Web de TS puede usarse para que se configure a sí mismo.



4. Escriba el nombre de usuario y contraseña y dé clic en Aceptar. Aparecerá un men-saje ofreciendo información sobre el equipo con que reestablece la conexión y los recursos están disponibles. Realice cualquier cambio que desee en la lista de recur-sos y dé clic en Conectar.

SUGERENCIA Si nada ocurre cuando hace clic en el programa, entonces es necesa-

rio añadir el servidor de Acceso Web de TS a la zona de sitios confiables en Internet

Explorer. Para ello, en Internet Explorer, dé clic en la opción Herramientas en la barra

de herramientas, luego en Opciones de Internet. Haga clic en la ficha Seguridad; en se-

guida, en la lista de sitios, clic en Sitios de confianza, después en el botón Sitios. En el

campo de texto Agregar este sitio Web a la zona de e ingrese la dirección Web escrita

en el paso 1; si no se encuentra allí, quite la marca de la casilla Requerir comprobación

del servidor…, haga clic en Agregar, en Cerrar, luego en Aceptar para cerrar el cuadro

de diálogo Opciones de Internet.

5. El programa se abrirá en el cliente y es posible utilizarlo como se haría normalmente.

6. Cuando termine de usar el programa RemoteApp de TS, cierre el programa y, lue-go, el navegador Web.

Configure la Puerta de enlace de TSLa Puerta de enlace de TS provee acceso seguro a la red interna de una organización donde, con las credenciales apropiadas, el usuario puede acceder a los recursos en la red, incluidos equipos, discos e impresoras. La Puerta de enlace de TS cuenta con la misma o más seguridad que la disponible en L2TP VPN; pero es más fácil instalarla y utilizarla. Más importante aún, la Puerta de enlace de TS funciona bien con firewalls, de forma que se puede tener una confi-guración muy férrea de la firewall y pese a ello tener acceso remoto a la red protegida por la firewall y a través de un traductor de direcciones de red (NAT, Network Address Translator).



La Puerta de enlace de TS es un servicio de función en TS. En la sección “Instalación de las funciones de Terminal Services”, se recomendó instalar Puerta de enlace de TS al mismo tiempo que TS. Si no ha instalado el servicio de función Puerta de enlace de TS, regrese a la sección indicada y realice los pasos correspondientes, incluida la identificación o creación de un certificado de seguridad y directivas de TS CAP y TS RAP.

La Puerta de enlace de TS se controla por el Administrador de Puerta de enlace de TS, donde es posible controlar, entre otras cosas, quién se conecta, qué recursos utiliza, si el redireccionamiento está permitido y las características específicas de seguridad en uso. El Administrador de Puerta de enlace de TS se abre desde el menú Inicio o Administrador del servidor.

1. Abra al Administrador de Puerta de enlace de TS haciendo clic en Inicio|Herramien-tas administrativas|Terminal Services|Administrador de Puerta de enlace de TS.

O bien, en Administrador del servidor, abra Funciones y luego Terminal Services, dé clic en Administrador de Puerta de enlace de TS.

En cualquier caso, se abrirá el Administrador de Puerta de enlace de TS. Haga do-ble clic en el nombre del servidor, que se mostrará en el panel central para abrir el servidor de Puerta de enlace de TS, como verá en la figura 11-9.

2. En el panel central:

a. Haga clic en Supervisar conexiones activas para ver una lista de conexiones, cambiar el límite de conexiones o editar y desconectar una conexión.

Figura 11-9. El Administrador de Puerta de enlace de TS determina lo que pueden hacer

los clientes remotos.



b. Haga clic en Ver o modificar propiedades de certificado para examinar la lista de certificados y sus propiedades o crear uno nuevo.

c. Haga clic en Ver directivas de autorización de conexiones o en Ver directivas de autorización de recursos para crear una nueva directiva, cambiarla, inhabilitar-la o eliminar una directiva existente.

3. En el panel Acciones, haga clic en Propiedades para abrir el cuadro de diálogo Pro-piedades de servidor. En este cuadro es posible limitar el número de conexiones, elegir el certificado que habrá de utilizarse o crear uno nuevo y administrar diver-sas características de la Puerta de enlace de TS. Cierre el cuadro de diálogo Propiedades cuando todo esté listo.

En el panel Acciones, también es posible importar las directivas del servidor de la Puerta de enlace de TS desde un archivo o exportarlas a éste, para ser usadas con otros servidores.

La Puerta de enlace de TS debe considerarse una excelente opción a la VPN, que se su-pone más segura o al menos tan segura como L2TP o SSTP, en definitiva más fácil de instalar y configurar.

Habilite el Agente de sesiones de TSEl Agente de sesiones de TS trabaja con una “granja” de dos a cinco servidores de termi-nal, en la que todos sus miembros suministran los mismos programas y servicios a clientes remotos. El Agente de sesiones de TS separará y equilibrará la carga de TS entre diversos servidores y reconectará al cliente a una sesión existente en la granja, manteniendo además la carga equilibrada. Cuando un cliente busca al principio los servicios de terminal, Agente de sesiones de TS revisará los servidores y asignará al cliente el servidor menos congestio-nado. Si el cliente debe terminar la sesión o, por alguna razón, se desconecta y luego regresa, Agente de sesiones de TS reconectará al cliente con el servidor y sesión de los que antes se desconectó. Si un servidor deja de funcionar, Agente de sesiones de TS pasará automática-mente ese servidor y buscará uno de los activos. Por último, a cada uno de los servidores se le puede dar peso relativo en cuanto a su capacidad para manejar la carga de TS, de modo que a los servidores más poderosos y capaces se les asigne una carga más grande.



Para utilizar Agente de sesiones de TS, todos los servidores de la granja deben ejecutar Windows Server 2008 con la función Terminal Services, los servicios de función Terminal Server y Agente de sesiones de TS instalados, ya descritos en la sección “Instalación de las funciones de Terminal Services”, en este mismo capítulo. Para crear la granja, se asigna una dirección IP a la misma, mientras a todos los servidores se les asigna un registro de DNS a dicha dirección IP. Este registro activa el Agente de sesiones de TS y la asignación del peso re-lativo se realiza en cada servidor de la granja mediante Configuración de Terminal Services.

1. Abra Configuración de Terminal Services haciendo clic en Inicio|Herramientas administrativas|Terminal Services|Configuración de Terminal Services.

En su lugar, en la ventana del Administrador del servidor, abra Funciones, luego Terminal Services y dé clic en Configuración de Terminal Services.

En cualquier caso, se abrirá Configuración de Terminal Services, en la ventana del Administrador de servidor o en su propia ventana, como ya se mostró en páginas anteriores de este capítulo, en la figura 11-4.

2. En la parte inferior del panel central (en el Administrador del servidor), bajo Agente de sesiones de TS, dé clic derecho en Miembro de una granja del Agente de sesiones y clic en Propiedades.



3. Haga clic en Unirse a una granja del Agente de sesiones de TS y escriba el nombre de un servidor registrado, dirección IP para el primer servidor o servidor líder de la granja (esta dirección IP se convierte en la dirección de la granja) y un nombre para la granja.

4. Haga clic en Participar en el equilibrio de carga del Agente de sesiones, escriba el peso relativo del servidor, haga clic en Usar redirección de direcciones IP (de lo con-trario, no se presentará el equilibrio de carga); haga clic en la dirección IP que habrá de utilizarse para la reconexión y, por último, clic en Aceptar.

Con un número moderado de servidores de terminal, el Agente de sesiones de TS ofrece una forma excelente para equilibrar y administrar la carga de TS entre ellos.

IMPLEMENTE EL ADMINISTRADOR DE LICENCIAS DE TS

Un cliente con acceso a Terminal Services puede usar la última versión de Microsoft Windows y sus aplicaciones, sin contar con una versión de Windows reciente ni las aplicaciones instaladas. Por tanto, Microsoft cobra cuotas por este servicio mediante un servidor de licencias para administrar tal función. El servidor de licencias es cualquier servidor en que está instalada la función de administración de licencias de TS.

La forma en que trabaja el Administrador de licencias de TS es la siguiente: cuando un cliente se pone en contacto con el servidor de terminal para establecer una conexión, el servidor se pone en contacto con el servidor de licencias, para determinar si el cliente cuenta con una licencia de cliente para acceso a Terminal Services (TS CAL, TS Client Access Licence). De lo contrario, el servidor de terminal solicitará una. Dado que se han comprado e instalado suficientes TS CAL, el servidor de licencias expedirá la TS CAL y registrará el hecho en su base de datos. En los primeros 120 días no será necesario contar con un servidor de licencias y, si se instala uno, publicará licencias temporales gratuitas. Después de los 120 días, se deberán comprar TS CAL de Microsoft e instalarlas en el servidor. Con las TS CAL adquiridas, el servidor de licencias expedirá licencias de largo plazo o permanen-tes para dispositivos (equipos) y usuarios.

Licencias de Terminal ServerPara utilizar las licencias del servidor de terminal, la función Administración de licencias de TS debe estar instalada, activa en la red y también TS CAL. El servidor de licencias puede ser cualquier servidor en la red que ejecute Windows Server 2008 y, debido al tráfico que generará, no es recomendable que también sea servidor de terminal. No es necesario que el servidor de licencias sea un equipo demasiado poderoso y trabaje con servidores de termi-nal usando Windows Server 2000 y 2003, además de 2008. El servidor de licencias almacena todas las TS CAL instaladas para la red y todos los servidores de terminal en la red deben tener acceso rápido al servidor de licencias, antes de permitir a los clientes conectarse con el servidor de terminal.

NOTA No es necesario tener licencias o un servidor de licencias para utilizar el

Escritorio remoto.



Durante la instalación del servicio de función Terminal Server, se le preguntó el tipo de TS CAL que deseaba utilizar:

▼ Por dispositivo, requiere una TS CAL para cada equipo conectado al servidor de terminal. Una TS CAL establecida por dispositivo puede ser útil para cualquier usuario

▲ Por usuario, requiere una TS CAL para cada usuario conectado con el servidor de terminal y sólo puede ser utilizada en forma conjunta con Active Directory. Una TS CAL establecida por usuario puede utilizarse en cualquier equipo

SUGERENCIA Para decidir el tipo de licencia necesaria, determine si tiene relativamente

pocos usuarios que utilizan gran cantidad de equipos con TS; entonces debe utilizar TS

CAL por usuario. En casi todos los demás casos, tal vez prefiera TS CAL por dispositivo,

que es la opción predeterminada.

Quizás haya elegido, como se recomendó, dejar la decisión para el periodo de gracia de 120 días. Se revisará con más detalle este tema cuando se exponga la configuración del Administrador de licencias de TS.

NOTA Las TS CAL por dispositivo se extienden a un espacio finito de tiempo y se re-

nuevan mientras se mantengan en uso. Si la TS CAL no se ha utilizado en su tiempo de

asignación, se retira del cliente y añade nuevamente al conjunto de TS CAL disponibles,

para ser utilizado con el siguiente dispositivo que intente acceder al servidor de terminal.

El administrador también puede retirar las TS CAL por dispositivo del cliente.

Instale el servicio de función Administrador de licencias de TSLa instalación del servicio de función de Administrador de licencias de TS es similar a la de otros servicios de función (suponiendo que haya instalado Terminal Services):



1. Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. En cualquier caso, en el panel de la izquierda de la ventana del Admi-nistrador del servidor, haga clic en Funciones y en Terminal Services, y desplace el panel de la derecha hasta que vea Servicios de función.

2. Haga clic en Agregar servicios de función, seleccione Administrador de licencias TS y dé clic en Siguiente.

3. Seleccione el alcance con que el servidor de licencias expedirá cada una (véase la figura 11-10): el grupo de trabajo del que es parte el servidor de licencias, dominio al que pertenece o el bosque de dominios en que se incluye.

4. Ingrese o seleccione la ruta de la carpeta en que se almacenará la base de datos de licencias. Haga clic en Siguiente y en el botón Instalar. Por último, cuando se mues-tre el mensaje indicando que la instalación está completa, haga clic en Cerrar.

Figura 11-10. Para instalar el Administrador de licencias de TS, es necesario establecer el alcance

del servidor de licencias.



Active un servidor de licencias de TS e instale licencias Para emitir licencias, debe activar un servidor de licencias de TS y tener un conjunto de licencias instaladas. Esto se logra mediante el asistente, para activar el servidor de adminis-tración de licencias de TS a través de una de las siguientes formas:

▼ Conexión automática el servidor de licencias se conecta directamente con el cen-tro de activación de Microsoft a través de Internet. Esto implica que el servidor de licencias cuente con una conexión a Internet

■ Navegador Web un administrador proporciona manualmente la información ne-cesaria en una página Web, conectado vía Internet al sitio Web de Microsoft, recu-rriendo a una URL suministrada por el asistente de activación del servidor

▲ Telefónica el administrador puede llamar al centro de soporte a clientes de Micro-soft en su localidad, utilizando el número telefónico proporcionado por el asistente de activación del servidor

Una vez que haya decidido la manera en que se pondrá en contacto con el centro de activación de Microsoft, abra el Administrador de licencias de TS y ejecute el asistente para activar el servidor:

1. Haga clic en Inicio|Herramientas administrativas|Terminal Services|Administrador de licencias de TS. Se abrirá la ventana del Administrador de licencias de TS y mostra-rá el nombre del servidor instalado en pasos anteriores, bajo el estado “No activado”, como se muestra en la siguiente figura:

2. Haga clic en la opción Todos los servidores, para ver su nuevo servidor en el árbol de consola del panel de la izquierda; dé clic derecho en el nombre del servidor en el panel de la izquierda o derecha y, en el menú desplegado, haga clic en Activar servidor. Se abrirá el Asistente para activar servidor. Dé clic en Siguiente.

3. Seleccione el método de conexión que desee utilizar (Conexión automática, Navegador Web, Telefónica) y haga clic en Siguiente. Suponiendo que seleccionó el método de Co-nexión automática, escriba su nombre, compañía y país o región; dé clic en Siguiente. Escriba su dirección de correo electrónico, unidad organizativa, dirección postal y haga clic en Siguiente.

4. Aparecerá un mensaje indicando que su servidor de licencias se ha activado con éxito. Deje seleccionada la opción correspondiente y haga clic en Siguiente para ins-talar licencias del cliente (en este caso, simuladas). Como opción, quite la marca de la casilla de verificación y haga clic en Finalizar para dejar la instalación de licencias del cliente para otro momento. Suponiendo que tomó la primera opción, se abrirá el Asistente para instalación de licencias, como se ilustra en la figura 11-11.



Figura 11-11. Instalación de licencias del cliente en el Terminal Server.

5. Haga clic en Siguiente. Escoja el tipo de programa de licencia que usted o su organización ha comprado. Tras seleccionar un programa, el cuadro de diálogo desplegará información sobre este programa y mostrará un ejemplo de código de licencia. Si la información y código de ejemplo coinciden con el que usted tiene, haga clic en Siguiente.

6. Ingrese el o los códigos de licencia, haga clic en Agregar, para cada uno y, cuando haya terminado, dé clic en Siguiente. Dé clic en Finalizar cuando se avise que las licencias se instalaron con éxito.



Configure y habilite usuarios Una vez que haya manejado la administración de licencias, es necesario configurar y activar usuarios. Para esto, el servidor o dominio deberán tener cuentas de usuario establecidas para dicho proceso (esto significa que los usuarios deben ser miembros de los grupos Usuarios de Escritorio remoto, Administradores en el servidor o dominio), la cuenta de usuario debe tener una contraseña y las cuentas deben estar activadas para TS o conexiones remotas. A continua-ción se explica cómo lograrlo en un dominio de Active Directory (con un grupo de trabajo, haría esto con los usuarios y grupos locales del servidor: Inicio|Herramientas administrati-vas|Administración de equipos, abra Herramientas del sistema además de Usuarios y grupos locales, luego lleve a cabo pasos similares a los descritos a continuación para un dominio):

1. Haga clic en Inicio|Herramientas administrativas|Usuarios y equipos de Active Directory. Abra el dominio local, dé clic derecho sobre la opción Users y clic en Nuevo|Usuario. Se abrirá el cuadro de diálogo Nuevo objeto - Usuario.

2. Ingrese Nombre completo y Nombre de inicio de sesión del usuario y haga clic en Siguiente. Escriba y confirme la contraseña que habrá de utilizarse, defina cómo po-drá cambiarse dicha contraseña, haga clic en Siguiente y luego en Finalizar. Repita estos pasos para registrar a todos los nuevos usuarios que desee.

3. En el panel derecho de la ventana Usuarios y equipos de Active Directory, haga do-ble clic en uno de los nuevos usuarios recién creados para abrir el cuadro de diálogo Propiedades de usuario.

4. Haga clic en la ficha “Miembro de”, luego en Agregar. En el cuadro de diálogo Se-leccionar grupos, haga clic en Avanzadas y después en Buscar ahora, para localizar grupos. Ubique el grupo Usuarios de Escritorio remoto y dé clic en Aceptar tres veces. Repita este proceso para todos los usuarios que utilizarán TS o Escritorio remoto.

5. Cierre la ventana Usuarios y equipos de Active Directory, haga clic en Inicio|Panel de control y doble clic en Sistema. Dé clic en Configuración de Acceso remoto. En la sección “Acceso remoto” del cuadro de diálogo, haga clic en Permitir las conexio-nes desde equipos que ejecutan cualquier versión de Escritorio remoto, como ya se mostró en la sección “Prepare Terminal Services”, después clic en Aceptar y cierre la ventana Sistema.

UTILICE EL MODO DE ADMINISTRACIÓN REMOTAEl modo de administración remota utiliza el entorno TS en forma similar al modo de servidor de aplicaciones, pero limitada a un máximo de dos usuarios, quienes deben ser miembros del grupo de administradores; no exige mucho al servidor ni requiere licencias y puede usarse fá-cilmente para administrar un servidor sin impacto importante en otros procesos ejecutándose

NOTA Si desea instalar licencias en otro momento, puede hacerlo desde la ventana del

Administrador de licencias de TS, haciendo clic derecho en el nombre del servidor y al

seleccionar la acción Instalar licencias. El asistente de instalación de licencias se abrirá de

la manera descrita en pasos anteriores.



en el servidor. Para lograr lo anterior, no es necesario contar con los componentes de mul-tiusuario ni planificación de procesos presentes en todo TS, pero sí se utiliza RDC.

Habilite Conexión a Escritorio remoto Conexión a Escritorio remoto usa el mismo RDC 6.0 ya expuesto en este capítulo. Como ya se vio, Windows Server 2008 tiene instalado RDC 6.0 en forma predeterminada; por ello, no requiere acción adicional para tener disponible la aplicación. Sin embargo, como opción predeterminada, Windows Server 2008 tiene desactivada RDC y, para utilizarla, es nece-sario activarla. La activación de RDC es muy simple y se realiza mediante los siguientes pasos:

1. Haga clic en Inicio|Panel de control|Sistema y dé clic en Configuración de Acceso remoto para abrir la ficha del cuadro de diálogo Propiedades del sistema, que ma-neja la asistencia y Escritorio remoto, mostrado en páginas anteriores de este capítulo bajo “Prepare Terminal Services”.

2. En la sección Escritorio remoto, en la sección inferior de la ficha, haga clic en Permitir las conexiones desde equipos que ejecuten cualquier versión de Escritorio remoto.

3. Haga clic en Aceptar cuando se le indique que se habilitará la excepción de Firewall en Escritorio remoto y dé clic en Aceptar para cerrar el cuadro de diálogo.

Administración mediante la Conexión a Escritorio remoto Utilizando RDC, es posible realizar casi cualquier función administrativa que sea capaz de hacer sentado frente al equipo y a través de una LAN, conexión de acceso remoto (RAS) —como se revisó en el capítulo 8— o Internet, mediante una VPN (consulte el capítulo 10). Es posible utilizar todas las opciones del Panel de control y Herramientas administrativas, incluidas las de Active Directory, Administración de equipo, DHCP, DNS, Administrador del servidor, Escritorio remoto y Programador de tareas.

Dado que el cliente remoto puede tener control total sobre el servidor, es muy importan-te mantener un esquema de seguridad sólido. Entre los elementos de seguridad que deben considerarse se encuentran:

▼ Implementación de un firewall en el servidor

■ Utilizar una VPN o puerta de enlace de TS para el acceso vía Internet

■ Utilizar contraseñas robustas para todos los administradores

■ Limitar con cuidado a los individuos o grupos con acceso administrativo remoto

▲ Revisar cuidadosamente las directivas que afectan la administración remota

Uso de la Conexión a Escritorio remotoRDC no requiere servidor en los extremos de la conexión. Por ejemplo, puede tener Win-dows Vista Business en un equipo que ejecuta en su oficina y Windows XP Professional SP2 con RDC 6.0 descargado e instalado en casa, mientras desde el equipo en casa con los permisos apropiados puede acceder al equipo de la oficina utilizando RDC mediante RAS o VPN y hacer casi todo en el equipo de la oficina: casi cualquier cosa que podría hacer si



estuviera sentado frente a ella. Dado que el equipo de oficina no es realmente un servidor, se le denomina “host”. El equipo en casa es el cliente. El host debe ser un equipo con Win-dows Vista Business, Ultimate o Windows Server 2008, pero el cliente puede ser cualquier equipo en que pueda ejecutar Conexión a Escritorio remoto 6.0 (consulte la sección “Uso de Conexión a Escritorio remoto con los programas de RemoteApp”, de este capítulo). En Windows Vista, el cliente está instalado y habilitado como opción predeterminada, peroen Windows Server 2008 debe habilitarse como se describió en la sección “Habilite Co-nexión a Escritorio remoto”.

El usuario de RDC debe ser por lo menos miembro del grupo de usuarios de Escrito-rio remoto en el equipo host y necesita ser un administrador, si desea ejecutar funciones limitadas a los administradores. Con RDC, sólo un usuario puede usar el equipo host si-multáneamente, aunque pueden estar activas varias sesiones de usuario. Cuando el cliente remoto inicia sesión en el host, éste se “bloquea” de modo que ningún otro usuario acceda a él; aunque los programas en ejecución continuarán ejecutándose, es posible realizar una conmutación de usuario para moverse a otra sesión de usuario. La conmutación de usuario también puede usarse en el cliente para cambiar del usuario que usa RDC en el host a otro usuario y luego volver al anterior.

Ponga en funcionamiento una Conexión a Escritorio remoto Después de conectarse a un host RDC o servidor TS, puede hacer casi cualquier cosa que ha-ría si estuviera sentado frente al host. Puede ejecutar programas, acceder a datos y realizar casi todas las funciones administrativas disponibles. Además, la barra de herramientas de RDC, o “Barra de conexión”, permite cerrar la ventana de RDC sin cerrar la sesión, de mane-ra que los programas sigan en ejecución, minimizar la ventana, para trabajar en el escritorio de la máquina local y maximizar la ventana. Además, existe un icono en forma de alfiler que determina si la barra de conexión estará siempre visible sobre el escritorio o sólo aparecerá cuando se coloque el cursor del ratón en la parte superior del centro de la pantalla.

Configure la Conexión a Escritorio remoto RDC ofrece la capacidad para transferir información entre el equipo host y cliente local en uso. Esto significa que puede imprimir en la impresora local conectada al cliente (la opción predeterminada), trabajar con archivos en el host remoto y el cliente local en la misma ven-tana (no es la opción predeterminada), además de cortar y pegar entre ambos equipos y documentos en cualquiera de ellas (tampoco es la opción predeterminada). Los recursos del cliente local se encuentran disponibles en una sesión de RDC y se controlan en las opciones del cuadro de diálogo de Conexión a Escritorio remoto. Use los siguientes pasos para explo-rar las diferentes configuraciones que pueden usarse:

1. En cualquier equipo que ejecute RDC 6.0 (en este caso el cliente), haga clic en Inicio|Todos los programas|Accesorios|Conexión a Escritorio remoto. Se abrirá el cuadro de diálogo del mismo nombre. Haga clic en Opciones y la ventana se ex-pandirá mostrando los diferentes controles para el Escritorio remoto en seis fichas, como se muestra en la figura 11-12.

2. Haga clic en la ficha Mostrar. La opción predeterminada para una LAN es usar Pantalla completa y la más alta calidad de color (32 bits), si su equipo lo soporta y



Figura 11-12. Controles de configuración de Conexión a Escritorio remoto.

deja activa la opción Mostrar la barra de conexión… Si su LAN tiene una elevada cantidad de tráfico y es lenta, tal vez quiera reducir el tamaño de pantalla y la can-tidad de colores diferentes.

3. Haga clic en la ficha Recursos locales. Como se observa en la figura 11-13, en esta ficha es posible determinar si desea traer el sonido del host al cliente y el uso de métodos abreviados en el teclado. Una vez más, si tiene una conexión de red lenta, ninguna de las dos cosas anteriores es recomendable. Si desea transferir una pequeña cantidad de información entre dos equipos usando copiar y pegar, deje seleccionada la opción Portapapeles; si desea imprimir en la impresora conectada al cliente local, deje selec-cionada la opción Impresora; si busca transferir una cantidad grande de información entre ambos equipos, haga clic en Más y escoja la opción Unidades.

4. Si quiere ejecutar un programa cuando abra RDC, haga clic en la ficha Programas, elija la opción Iniciar el siguiente programa al conectarse y escriba nombre de archivo y ruta de acceso del programa, además de la carpeta de inicio que habrá de utilizarse.

5. Haga clic en la ficha Rendimiento y escoja la velocidad de la conexión en uso. Con ello se determinará automáticamente cuáles de las opciones bajo la lista desplegable de velocidades se seleccionan. Puede realizar cambios en la selección de opciones, si lo desea.



6. Haga clic en la ficha Opciones avanzadas y, bajo Autentificación del servidor, haga clic en la lista desplegable. La opción predeterminada, Avisarme, es buena selec-ción. Si va a realizar una conexión a un servidor de TS de Windows Server 2008 con puerta de enlace de TS instalada, haga clic en Configuración. La opción predetermi-nada, Detectar automáticamente la configuración del servidor de puerta de enlace de TS, es también la más recomendable. Haga clic en Aceptar, para cerrar el cuadro de diálogo Configuración del servidor de Puerta de enlace de TS.

7. Haga clic en la sección General y escriba el nombre del equipo remoto. Si se van a utilizar varias configuraciones, guarde la configuración actual haciendo clic en Guar-dar como, escriba un nombre de archivo y haga clic en Guardar.

8. Por último, dé clic en Conectar, escriba su contraseña y haga clic en Aceptar. Si en la configuración especificada las unidades de disco locales deberán estar disponibles, aparecerá un mensaje indicando que continúe con el proceso de conexión sólo si confía plenamente en el equipo al que conecta. Haga clic en Sí o No.

Figura 11-13. Control de los recursos disponibles con RDC.



9. Dependiendo de la seguridad en el equipo remoto, es posible que deba escribir su nombre de usuario y contraseña nuevamente. El escritorio host se abrirá en el escri-torio del cliente, tal vez ocupando la pantalla completa, si así fue configurado.

10. Mueva el puntero del ratón a la parte central superior de la ventana y aparecerá la barra de la conexión de RDC. Si desea conservar la barra de conexión en la pantalla, haga clic en el alfiler del lado izquierdo.

11. En este momento puede realizar cualquier acción en el host para la que tenga per-miso. Cuando termine de utilizar RDC, salga realizando lo siguiente:

▼ Haga clic en Cerrar, de la barra de conexión. Esto deja al usuario conectado y cualquier programa en ejecución permanecerá así. Si se reinicia la conexión de RDC con el equipo remoto y nadie ha ingresado de manera local, la conexión regresa a la misma sesión que dejó

▲ Haga clic en Inicio|Cerrar sesión. Esto terminará su sesión con el equipo re-moto y detendrá la ejecución de todos los programas en uso. Si se reinicia la conexión de RDC con el equipo remoto, se iniciará una nueva sesión

Utilice Escritorio remotoCasi todo lo que puede hacer en las ventanas de Escritorio remoto o Terminal Server resulta obvio; es lo mismo que utilizar directamente Windows. Sin embargo, existen dos funciones únicas en este entorno. En el siguiente ejemplo muestra cómo trabajan.

Guardado en un disco local Con la configuración predeterminada, todos los archivos y di-rectorios a los que se hace referencia durante una sesión de RDC o TS están en el host o servidor. Si se hace referencia a una carpeta del disco C:, la opción predeterminada corres-ponderá al disco C: del host o servidor. Si en el cuadro de diálogo Conexión a Escritorio remoto se especifica que las unidades de disco local estén disponibles, entonces podrán usarse los discos del host/servidor así como los del equipo local. Por ejemplo, si tras habili-tar las unidades de disco local cuando se conecta, trabaja en el host/servidor y hace clic en Guardar como, las unidades de disco en que guarda los archivos serán host y cliente.

Se recomienda tener cuidado con la terminología. Es necesario conocer los nombres asignados a los equipos cliente y host, además de sus unidades. Usualmente, los discos host o servidor aparecen primero y, si carecen de nombre, se denominarán “Disco local (C:)”, donde la palabra local se refiere al host o servidor. Los discos del cliente se denominarán “C en cliente”, donde cliente es el nombre del equipo cliente. De esta forma, es muy sencillo utilizar cualquiera de las unidades.

Uso de la impresora local Con la configuración predeterminada, todas las impresiones se realizan directamente en la impresora predeterminada del cliente. Por ejemplo, si se abre el cuadro de diálogo Imprimir, desde un programa que se ejecuta en el host, aparecerá la impresora predeterminada del cliente.



Si desea utilizar una impresora diferente, tiene tres opciones:

▼ Instale otra impresora en Windows durante la sesión de RDC o TS haciendo clic, si está en Windows Vista, en Inicio|Panel de control. Luego, haga doble clic en Impresoras

■ Seleccione una impresora diferente a la predeterminada en el equipo cliente antes de iniciar una sesión de RDC o TS

▲ Desactive el uso de la impresora local en el cuadro de diálogo Conexión a Escritorio remoto, al iniciar la conexión. Esto le permitirá utilizar la impresora predetermina-da en el host/servidor


V

365

PARTE

Administración de Windows Server

2008


12

367

CAPÍTULO

Administración del almacenamiento y los sistemas de archivos



La tarea fundamental de un servidor es almacenar, recuperar y administrar archivos. Si esto no se realiza de manera fácil y eficiente, entonces hay pocas razones para tener un servidor. En este capítulo se describe cómo maneja Windows Server 2008 tal fun-

ción. En el proceso, se analizarán estructura y sistemas utilizados para almacenamiento de archivos y características administrativas de Windows Server 2008 en esta área.

ALMACENAMIENTO Y SISTEMAS DE ARCHIVOSWindows Server 2008 está diseñado para trabajar en una amplia gama de ambientes computacionales, en conjunto con otros sistemas operativos. Por tanto, la estructura de su almacenamiento de archivos debe ser flexible. Esto se manifiesta en los tipos de almace-namiento disponibles y los sistemas de archivos que Windows Server 2008 puede utilizar.

Tipos de almacenamientoAntes de Windows 2000, sólo existía un tipo de almacenamiento, llamado almacenamiento básico, que permitía una unidad dividida en particiones. Windows Server 2000 añadió el almacenamiento dinámico, para la creación dinámica de volúmenes. Hoy día es posible elegir (disco por disco) el tipo de almacenamiento que se desea utilizar, pero sólo puede usarse un tipo de almacenamiento por unidad. Así que para tener ambos tipos de almacenamiento en un equipo, es necesario que cuente con dos o más unidades.

Almacenamiento básicoEl almacenamiento básico, para particionar un disco duro, es el tipo predeterminado de almacenamiento en Windows Server 2008 y el utilizado en las versiones de Windows ante-riores a 2000, incluidos Windows NT y MS-DOS. Particionar un disco significa utilizar software para dividir una unidad de disco en particiones, que actúan como si fueran unidades de dis-co independientes. Existen particiones primarias y extendidas. (Las particiones son iguales que los volúmenes simples, analizados a lo largo de este capítulo.)

NOTA Windows Server 2008 hace una distinción poco clara entre particiones y volúme-

nes. En general, a las divisiones de discos primarios se les denominaba particiones, mientras

a las divisiones de los discos dinámicos se les denominaba volúmenes. En Windows Server

2008, los discos primarios tienen “particiones primarias” y “particiones extendidas” bajo el en-

cabezado “Volumen”. Además, si hace clic derecho en un objeto con capacidad de alma-

cenamiento, aparece un menú desplegable con las opciones “Extender volumen”, “Reducir

volumen” y “Eliminar volumen”. En general, se puede considerar que volúmenes y particiones

son lo mismo. La única diferencia verdadera es que los volúmenes se pueden extender en

dos o más unidades, mientras las particiones se limitan a una sola. Debido a las opciones de

menús en Windows Server 2008, hablaremos de objetos de almacenamiento “volúmenes” y

utilizaremos también los términos “partición primaria” y “partición extendida”.

Las particiones primarias reciben una letra de unidad, se formatean por separado y uti-lizan para arrancar o iniciar el equipo. Pueden existir hasta cuatro particiones primarias en una sola unidad. Sólo una partición a la vez puede ser la activa (es decir, la partición usada


369 Capítulo 12: Administración del almacenamiento y los sistemas de archivos

para arrancar el equipo). Es posible colocar sistemas operativos diferentes en distintas par-ticiones y arrancarlos con independencia de cualquiera de ellas (se le denomina arranque “dual”, aunque hoy día se pueden tener tres o más particiones de arranque). Como cada partición se formatea por separado, otro uso de las mismas es colocar los datos en una parti-ción, mientras programas y sistema operativo en otra, que permite dar formato nuevamente en cualquier momento a la partición donde residen los programas y el sistema operativo, sin afectar los datos y viceversa.

NOTA El arranque dual tiene algunas limitaciones o desventajas. Consulte “Decida si

recurre a un arranque dual”, en el capítulo 2.

Una partición en una unidad de disco puede ser partición extendida, en lugar de par-tición primaria, de forma que sólo puede haber tres particiones primarias si existe una partición extendida. Una partición extendida no tiene letra de unidad ni recibe formato; en cambio, una partición extendida se divide en unidades lógicas, cada una de las cuales recibe una letra de unidad y un formato independiente. Una partición extendida con unidades ló-gicas permite dividir un disco en más de cuatro segmentos. No es necesario contar con una partición primaria para crear una partición extendida.

Usualmente, las particiones o volúmenes se crean y modifican mientras realiza una instalación en limpio del sistema operativo. Sin embargo, en Windows Server 2008 es po-sible utilizar Administración de discos (consulte “Administración de discos”, en páginas posteriores de este capítulo) para crear un nuevo volumen, si hay espacio suficiente sin particionar, eliminar o comprimir un volumen, para crear espacio adicional sin particionar. Si elimina un volumen, se pierde todo su contenido y debe formatear de nuevo cualquier partición nueva creada. Sólo se puede reducir un volumen si existe espacio libre.

Almacenamiento dinámicoEl almacenamiento dinámico utiliza una sola partición que abarca un disco completo, actualizado a partir de un almacenamiento básico. Esta partición única se puede dividir en volúmenes. Los volúmenes, en su forma más simple son iguales a las particiones, pueden llegar a contar con características adicionales. Los cinco diferentes tipos de vo-lúmenes son los siguientes:

▼ Volúmenes simples Identifican el espacio en disco de una sola unidad y son lo mismo que las particiones

■ Volúmenes distribuidos Identifican al espacio de disco en 2 a 32 unidades de disco. El espacio se utiliza secuencialmente, como haría en un disco único. Cuando se llena la primera unidad, se utiliza la segunda y así sucesivamente. Si algún disco del volumen distribuido falla, el volumen completo también

■ Volúmenes reflejados Son un par de volúmenes simples ubicados en dos unidades de disco separadas, en las que se escribe simultáneamente la misma información. Si un disco falla, el otro puede ser usado sin problema

■ Volúmenes en franjas Identifican al espacio de disco de 2 a 32 unidades de disco, donde un fragmento de datos se escribe en cada unidad al mismo tiempo. Esto hace lectura y escritura muy rápidas, pero si cualquiera de los discos falla, el volumen completo se colapsa



▲ Volúmenes RAID-5 Se trata de volúmenes en franjas que incluyen al menos tres discos donde se ha agregado información de corrección de errores, de tal forma que si algún disco falla, puede reconstruirse la información. (RAID son las siglas de Re-dundant Array of Independent Disks: conjunto redundante de discos independientes; como opción, de Redundant Array of Inexpensive Disks: conjunto económico de discos independientes)

SUGERENCIA De hecho, almacenamiento reflejado y seccionado son dos de los tres

niveles RAID compatibles con Windows Server 2008, RAID-5 es el tercero. El almacena-

miento reflejado es el nivel 1 y el seccionado es el 0. Es necesario contar con hardware

especial (controladores de disco) para realizar almacenamiento reflejado, seccionado y en

volúmenes RAID-5.

Es posible modificar el almacenamiento en tiempo real sin necesidad de reiniciar el equipo. Mediante Administración dinámica de volúmenes (analizada más adelante en este capítulo), es posible actualizar de almacenamiento básico a almacenamiento dinámico, además de agregar, eliminar y modificar el tamaño de los volúmenes, sin reiniciar el equipo (aunque sí es necesa-rio reiniciar tras la conversión inicial a almacenamiento dinámico). No es posible actualizar hacia almacenamiento dinámico en equipos portátiles ni discos extraíbles.

Sistemas de archivosLos sistemas de archivos determinan la forma en que los datos se almacenan en un disco e integran la estructura o formato de los datos. Cuando formatea un disco, se debe especificar el sistema de archivos que utilizará. En Windows Server 2008 es posible elegir entre FAT (File Allocation Table, tabla de asignación de archivos), FAT32 y NTFS (New Technology File System, sistema de archivos de nueva tecnología).

Sistemas de archivos FAT y FAT32FAT fue el sistema de archivos originalmente utilizado en MS-DOS y las primeras versiones de Windows, desde Windows 3.x hasta Windows para trabajo en grupos. Las versio-nes iniciales de Windows 95 utilizaron VFAT (virtual FAT), Windows 95 OSR2 (por el fabricante del equipo original, OEM Service Release 2, versión 2 de servicio de OEM) y en el caso de Windows 98, FAT32. FAT es un sistema de archivos de 16 bits con un tamaño máxi-mo de partición de disco de 512 MB; FAT usa un nombre de archivo con un máximo de ocho caracteres y extensión de tres. VFAT es también un sistema de archivos de 16 bits, pero con soporte a particiones de disco de hasta 2 GB y permite nombres de archivo largos de hasta 255 caracteres. FAT32 es un sistema de archivos de 32 bits, permite particiones de disco de más de 2 TB (Terabyte o billones de bytes) y funciona con nombres de archivo largos. En Windows NT, 2000, Server 2003 y 2008, las particiones FAT pueden llegar a 4 GB.

FAT, VFAT y FAT32 almacenan información mediante un incremento de tamaño fijo del disco, llamado clúster. Los clústeres extienden su tamaño de 512 bytes a 64 KB, dependiendo del tamaño de la partición de disco, como se muestra en la tabla 12-1. Por tanto, a medida que se incrementa el tamaño de la partición, el tamaño mínimo del clúster también. Un clús-ter grande puede ser muy ineficiente si almacena gran cantidad de archivos. FAT32 lleva a cabo una mejora significativa en el tamaño mínimo del clúster y es un beneficio importante en los discos grandes de hoy día.



Como casi todos los archivos son considerablemente más grandes que el tamaño del clúster, se requieren varios clústeres para almacenar un archivo. La FAT cuenta con un re-gistro para cada archivo, que contiene nombre del archivo, fecha de creación, tamaño total y dirección en el disco del primer clúster utilizado por el archivo. Cada clúster tiene la di-rección del que le sigue y precede. Un clúster dañado puede romper la cadena de clústeres, que a menudo causa que el archivo sea ilegible. En ocasiones, algunos programas de utile-rías pueden recuperar el archivo utilizando diversas técnicas, incluida la lectura inversa de la cadena de clústeres. El resultado común es la obtención de clústeres huérfanos que sólo pueden eliminarse.

Los clústeres pueden escribirse en cualquier parte del disco. Si existe espacio disponible, se escriben en secuencia; si no, se distribuyen a lo largo del disco. A esto se le llama frag-mentación y puede causar que el tiempo de carga de archivos sea realmente largo. Existen programas de utilerías, incluido Windows Server 2008, para desfragmentar una partición, reubicando los clústeres de manera tal que todos los de un archivo sean colocados continua-mente (consulte “Desfragmentación de unidad”, en páginas posteriores de este capítulo).

Sistema de archivos NTFSNTFS fue desarrollado para Windows NT con características que lo hacen más seguro y menos susceptible a errores de disco que FAT o FAT32. Se trata de un sistema de archivos de 32 bits que puede utilizar volúmenes realmente grandes (mayores a 2 TB) y nombres de archivo de hasta 255 caracteres, incluidos espacios, mayúsculas y minúsculas. Lo más impor-tante es que NTFS representa el único sistema de archivos que utiliza completamente todas las características de Windows Server 2008, como dominios y Active Directory.

Tabla 12-1. Tamaños de clúster que corresponden a varios tamaños de partición.

Partición del disco Clústeres FAT y VFAT Clúster FAT32

0 a 31 MB 512 bytes 512 bytes

32 a 63 MB 1 KB 512 bytes

64 a 127 MB 2 KB 512 bytes

128 a 255 MB 4 KB 512 bytes

256 a 511 MB 8 KB 4 KB

512 a 1023 MB 16 KB 4 KB

1024 a 2047 MB 32 KB 4 KB

2 a 4 GB 64 KB 4 KB

4 a 8 GB 4 KB

8 a 16 GB 8 KB

16 a 32 GB 16 KB

33 GB y más 32 KB

NOTA NTFS también puede utilizarse en Windows 2000, Windows XP, Windows Server

2003 y Windows Vista.



Una de las características más importantes de NTFS es la que suministra seguridad de archivo y directorio, mientras FAT y FAT32 no lo hacen. Esto significa que en FAT o FAT32, si alguien obtiene acceso al disco, tendrá a su disposición todos los archivos y directorios. Con NTFS, cada archivo y directorio tiene una lista de control de acceso (ACL, Access Control List), que contiene los identificadores de seguridad (SID, Security Identifiers) de los usuarios y grupos con permiso de acceso al archivo.

Otras características disponibles en NTFS, que no están en FAT o FAT32, son las siguientes:

▼ Cifrado de archivos

■ Compresión de archivos

■ Administración de almacenamiento remoto (sólo en Windows 2000 Server y Win-dows Server 2003 y 2008)

■ Cuotas de disco

▲ Rendimiento mejorado con unidades de disco grandes

Las primeras cuatro características se analizan en páginas posteriores de este capítulo. El rendimiento mejorado con unidades de disco grandes ocurre porque NTFS no tiene el problema para aumentar el tamaño del clúster conforme aumenta el tamaño del disco.

La suma de todo esto indica que NTFS es muy recomendable. La única situación en que no sería deseable utilizar NTFS es cuando quiere tener dos sistemas operativos en el mismo equipo y uno de ellos no puede leer NTFS; aun en este caso, la mejor solución será utilizar otro equipo para ejecutar dicho sistema operativo y utilizar NTFS con Windows Server 2008.

Convierta una unidad FAT o FAT32 a NTFSEn general, convertiría una unidad FAT o FAT32 a NTFS mientras instala Windows Server 2008. En el capítulo 3 se presentan las instrucciones para hacerlo. También es posible con-vertir un volumen o unidad FAT o FAT32 en cualquier momento realizando lo siguiente:

▼ Dar formato al volumen o a la unidad

▲ Ejecutar el programa Convert.exe

En la sección “Administración de discos”, ilustrado en páginas posteriores de este capítulo, se analiza el formateo, que elimina todo el contenido del volumen o unidad. Con el uso de Convert.exe se preserva este contenido. Dé los siguientes pasos para utilizar el programa Convert.exe:

NOTA Para muchos de los pasos descritos en este capítulo es necesario iniciar sesión

como Administrador o alguien con permisos de Administrador.

1. Haga clic en Inicio|Símbolo del sistema. Se abrirá la ventana Símbolo de sistema.

2. En el indicador de comandos, escriba convert unidad: /fs:ntfs y oprima enter, don-de unidad es la letra del volumen o unidad física que se desea convertir. Si le interesa ver una lista con los nombres de archivos que se están convirtiendo, puede añadir un espacio en blanco y /v después de /fs:ntfs. Se convertirá el volumen o unidad.

3. Cuando vea el mensaje “conversión completa” en el indicador de comandos, escri-ba exit y oprima enter.



Convert.exe tiene los siguientes interruptores:

▼ /fs:ntfs Especifica que el volumen se convertirá a NTFS

■ /v Especifica que Convert se ejecutará en modo detallado

■ /cvtarea:nombre_archivo Especifica un archivo contiguo en el directorio raíz que será el marcador de posición para los archivos de sistema NTFS. Convert utilizará este archivo para almacenar los metadatos de los archivos de NTFS, como la tabla maestra de archivos (MFT, Master File Table), para incrementar la eficiencia de Con-vert y disminuir la fragmentación del volumen NTFS resultante

■ /nosecurity Especifica que la configuración de seguridad en los archivos y direc-torios convertidos permitirá a todos los usuarios acceder a ellos

▲ /x Indica que el volumen se desmontará, de modo que se desconectarán todas las conexiones establecidas con el volumen

La única forma de regresar un volumen o unidad a FAT o FAT32 después de convertido a NTFS es reformateándolo.

Administración del sistema de archivosEl sistema de archivos de Windows Server 2008 se extiende más allá de una sola unidad, inclu-so de las unidades en un solo equipo, a todas las unidades de una red. También puede incluir volúmenes almacenados fuera de línea en una cinta o disco. La administración de este siste-ma es compleja y Windows Server 2008 cuenta con un conjunto importante de herramientas para manejarlo. Entre ellas están las siguientes:

▼ Función Servicios de archivo

■ Administración de acceso y almacenamiento

■ Administración de discos

■ Administración volúmenes dinámicos

■ Sistema de archivos distribuido

▲ Copias de seguridad de Windows Server

SERVICIOS DE ARCHIVO Y ADMINISTRACIÓN DE DISCOSEn Windows Server 2008, la función de servicios de archivo abarca todas las funciones ne-cesarias para administración del almacenamiento y el disco, incluidos:

▼ Proveer la funcionalidad de un servidor independiente de archivos

■ Administrar y compartir los recursos del sistema del almacenamiento

▲ Configurar y administrar dispositivos y opciones del sistema del almacenamiento



La función Servicios de archivo no se instala, como opción predeterminada, pero en el momento en que se ingresa al Centro de redes y recursos compartidos, se activa la opción Uso compartido de archivos y la función Servicios de archivo se instala automáticamente. Si por alguna razón no está instalada, siga estos pasos. En todos los casos, abra la ventana Servicios de archivo, como se describe en el paso 4:

1. Haga clic en Inicio|Administrador del servidor. En la sección Resumen de funcio-nes, haga clic en Agregar funciones. Se abrirá el Asistente para añadir funciones. Haga clic en Siguiente.

2. Haga clic en Servicios de archivo, después en Siguiente. Lea el mensaje de introduc-ción y clic en Siguiente, una vez más.

3. Haga clic en Servicios de archivo, en Siguiente y, por último, en Instalar. El proceso puede tardar unos minutos. Cuando termine, aparecerá un mensaje indicando que la instalación ha terminado con éxito. Haga clic en Cerrar.

4. En el panel de la izquierda, abra Funciones y luego dé clic en Servicios de archi-vo, en el panel de la derecha, como lo muestra la figura 12-1.

Figura 12-1. Servicios de archivo es un depósito para almacenamiento y administración

del disco en Windows Server 2008.



Con la habilitación de la función Servicios de archivo, también se instalan las fun-ciones Servidor de archivo y Administrador de almacenamiento y recursos compartidos. El conjunto completo de servicios de funciones disponibles con Servicios de archivo se describe a continuación.

▼ Servidor de archivos, suministra un recurso de red para almacenar información (archivos o programas) que otros miembros de la red pueden utilizar, siempre y cuando cuenten con los permisos apropiados. El servidor de archivos también faci-lita el respaldo de recursos de almacenamiento de red

■ Administración de almacenamiento y recursos compartidos, permite compartir directorios, unidades y otros objetos de almacenamiento en una sola consola de ad-ministración, en lugar de requerir cuadros de diálogo separados para cada dispositivo. Administración de almacenamiento y recursos compartidos se utiliza también en las redes de almacenamiento local (SAN, Storage Area Network), para ofrecer números de unidad lógica (LUN, Logical Unit Numbers) para asignar espacio de almacenamiento

■ Sistema de archivos distribuido (DFS), facilita un medio flexible y tolerante a fa-llas para compartir archivos y realizar réplicas, utilizando:

▼ Espacios de nombres DFS, permiten agrupar directorios compartidos en varios servidores bajo un único espacio de nombres estructurado, como si se tratara de un solo directorio con varios subdirectorios ubicados en un único servidor

▲ Replicación DFS, sincroniza el contenido de carpetas comunes en varios ser-vidores en una red. Con el uso del protocolo de compresión diferencial remota (RDC, Remote Differential Compression), porciones de archivos que han cam-biado en un servidor se replican a través de la red

■ Administrador de recursos del servidor de archivos (FSRM), brinda los informes, filtros y controles para administrar contenido, tipo y cantidad de información alma-cenada en servidores mediante cuotas y vigilancia de archivo definidas

■ Servicios para el sistema de archivos de red (NFS), proporciona elementos para intercambio y transferencia de archivos entre servidores que ejecutan Windows Ser-ver 2008 y UNIX, a través del protocolo NFS (Network File System)

■ Servicio de búsqueda de Windows, permite que los clientes de la red busquen rápidamente archivos en el servidor donde tal servicio está activo. El Servicio de búsqueda de Windows y la indización (que se verá más adelante) no pueden ejecu-tarse al mismo tiempo

▲ Servicios de archivo de Windows Server 2003, proporciona compatibilidad con sistemas antiguos, por medio de dos servicios:

▼ Servicio de replicación de archivos (FRS), para sincronizar el contenido de carpe-tas comunes ubicadas en varios servidores, de manera similar a la Replicación DFS, que permite la inclusión de servidores Windows 2000 y Windows Server 2003

▲ Servicio de indización, es una opción heredada del Servicio de búsqueda de Win-dows concentrada en la catalogación de información antes de realizar la búsqueda, luego utiliza dicho catálogo o índice para encontrar rápidamente la información



Administración de almacenamiento y recursos compartidosAdministración de almacenamiento y recursos compartidos, nueva característica de Win-dows Server 2008, suministra una ubicación única para crear, administrar y compartir almacenamiento en una red. Administración de almacenamiento y recursos compartidos administran las unidades de almacenamiento lógico en una red, en contraste con Adminis-tración de discos, descrita más adelante, para manejar unidades de almacenamiento físico en la red. Administración de almacenamiento y recursos compartidos utiliza su propio pa-nel dentro del Administrador del servidor y cuenta con dos asistentes para proporcionar las siguientes funciones:

▼ Asistente para aprovisionar almacenamiento, para crear y configurar particiones o volúmenes, dividiendo el sistema de almacenamiento en unidades lógicas, cada una con un número de unidad lógica (LUN, Logical Unit Number); también configura dichas unidades, que incluyen asignación de nombre compartido, tipo de almacena-miento y tamaño, además de identificación de los servidores que las utilizarán

▲ Asistente para aprovisionar carpetas compartidas ofrece recursos para crear, com-partir y administrar directorios, incluida la asignación del nombre compartido de la carpeta y sus permisos, ubicación y protocolo para compartir archivos

Es posible abrir Administración de almacenamiento y recursos compartidos desde el Administrador del servidor o Herramientas administrativas:

1. Si el Administrador del servidor no está abierto, haga clic en Inicio|Administrador del servidor. Luego abra Funciones y dé clic en Servicios de archivo y Administra-ción de almacenamiento y recursos compartidos.

En su defecto, haga clic en Inicio|Herramientas administrativas|Administración de almacenamiento y recursos compartidos.

En cualquier caso, se abrirá la ventana del Administrador de almacenamiento y recursos compartidos (mostrada en la figura 12-2) o el panel correspondiente en el Administrador del servidor.

El panel central tiene dos fichas: Recursos compartidos y Volúmenes. Como se muestra en la figura 12-2, la sección de Recursos compartidos muestra las carpe-tas compartidas o recursos compartidos del servidor local en dos partes: una para recursos compartidos públicos y otra para recursos compartidos privados o admi-nistrativos, que incluyen $ como último carácter en su nombre. Esto evita que se muestren a usuarios convencionales.

2. Haga clic en la ficha Volúmenes, que presenta una lista de las particiones físicas o volúmenes, creados en los dispositivos de almacenamiento conectados con el servi-dor local. Como se observa en la figura 12-3, a menudo existe una elevada correla-ción entre directorios y recursos compartidos y los volúmenes físicos, pero no hay limitante para compartir carpetas individuales en una partición, pues casi todos los sistemas tienen una carpeta pública compartida.

3. Regrese a la ficha Recursos compartidos, haga clic derecho en uno de los recursos de la lista, luego seleccione Propiedades. Se abrirá el cuadro de diálogo Propieda-des. Puede ingresar una descripción del recurso y hacer clic en Avanzadas para abrir un nuevo cuadro de diálogo. En éste, es posible establecer una cantidad límite



de usuarios para el recurso, habilitar filtros que determinan quién podrá ver las car-petas y, en la ficha Almacenamiento en caché, seleccione cómo estará disponible el

Figura 12-2. Administración de almacenamiento y recursos compartidos permite

gestionar recursos.

Figura 12-3. Administración de almacenamiento y recursos compartidos también permite

gestionar volúmenes físicos.



contenido del recurso compartido sin conexión. Cuando haya terminado, haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones avanzadas.

4. De regreso al cuadro de diálogo de Propiedades, haga clic en la ficha Permisos. Ahí, en la parte superior, es posible establecer permisos para usuarios con acceso a este directorio en la red; en la parte inferior, puede establecer permisos para quienes tienen acceso local. Abra los cuadros de diálogo respectivos, establezca los permisos deseados, cierre los cuadros de diálogo convenientes y, cuando esté listo, cierre el cuadro de diálogo Propiedades.



5. Haga clic en la ficha Volúmenes, luego clic derecho en un volumen. El menú con-textual muestra opciones para extender el tamaño de la partición, formatearla o eliminarla y modificar sus propiedades. Haga clic en Propiedades.

6. El cuadro de diálogo Propiedades que se abre es muy similar al cuadro de diálogo de unidades en varias versiones de Windows. Aquí puede cambiar el nombre del volumen, elegir entre comprimir o indizarlo; además de revisar, desfragmentar y respaldar el volumen; revisar características del hardware y propiedades de seguri-dad, así como crear copias “instantáneas”. Cierre el cuadro de diálogo Propiedades cuando esté listo para continuar.

NOTA Las opciones en el menú contextual que se abre cuando hace clic derecho en un

recurso compartido o volumen están disponibles en la parte inferior del panel Acciones,

luego de seleccionar un recurso compartido o volumen.



Use el Asistente para aprovisionar almacenamientoEl Asistente para aprovisionar almacenamiento permite crear, configurar y administrar volúmenes.

1. En el panel Acciones del Administrador de almacenamiento y recursos com-partidos, haga clic en Aprovisionar almacenamiento. Se abrirá el Asistente para aprovisionar almacenamiento solicitando información sobre el lugar donde desea crear el nuevo volumen (un disco existente o dispositivo de almacenamiento co-nectado). Haga su elección y clic en Siguiente.

2. Seleccione el disco específico, LUN o subsistema y dé clic en Siguiente. Ingrese el tamaño del volumen y, una vez más, haga clic en Siguiente. Especifique la letra de unidad o punto de montaje y clic en Siguiente.

3. Elija si desea dar formato a la unidad, ingrese una etiqueta para volumen y tama-ño de la unidad de asignación, decida si desea dar formato rápido a la unidad y dé clic en Siguiente.

4. Revise su configuración, haga clic en Anterior si requiere realizar algún cambio y en seguida haga clic en Crear. Cuando el proceso se complete, obtendrá una confirma-ción similar a la mostrada en la figura 12-4. Haga clic en Cerrar.

Figura 12-4. El Asistente para aprovisionar almacenamiento permite crear un volumen

para compartirlo mediante el Asistente para aprovisionar carpetas compartidas.



Utilice el Asistente para aprovisionar carpetas compartidasEl Asistente para aprovisionar carpetas compartidas permite crear, configurar y administrar recursos compartidos.

1. En el panel Acciones del Administrador de almacenamiento y recursos comparti-dos, haga clic en Aprovisionar recurso compartido. Se abrirá el Asistente para apro-visionar carpetas compartidas, solicitando que identifique el recurso que se desea compartir, como se muestra en la figura 12-5.

2. Haga clic en Examinar, seleccione una carpeta o clic en Crear nueva carpeta, escriba el nombre y haga clic en Aceptar. Clic en Siguiente. Si desea cambiar los permisos NTFS, clic en Sí, cambiar los permisos NTFS; clic en Editar permisos; realice los cambios necesarios; clic en Aceptar.

SUGERENCIA Si no se ejecutó el Asistente para aprovisionar almacenamiento y desea

crear un volumen para compartir con el Asistente para aprovisionar carpetas compartidas,

puede aprovisionar almacenamiento desde este último asistente haciendo clic en el botón

Aprovisionar almacenamiento, ubicado en la primera pantalla del asistente.

Figura 12-5. El Asistente para aprovisionar carpetas compartidas permite crear recursos

compartidos en los volúmenes del servidor.



3. Haga clic en Siguiente. Seleccione el protocolo para compartir archivos entre el pro-tocolo de bloque de mensaje de servidor SMB (Server Message Block) —recurso pri-mario para compartir archivos en Windows— y el protocolo del sistema de archivos de red (NFS), requerido si existen servidores con sistema operativo UNIX en la red. Haga clic en Siguiente.

4. Escriba cualquier comentario respecto al uso del recurso compartido y, si alguna de las configuraciones avanzadas necesita modificarse, haga clic en el botón Avanza-das, realice los cambios necesarios y haga clic en Aceptar y en Siguiente.

5. Seleccione el tipo de permisos que serán utilizados con este recurso compartido y dé clic en Siguiente. Elija si desea publicar el nuevo recurso compartido en un espacio de nombres del sistema de archivos distribuido (DFS, Distributed File System), que agrupa carpetas compartidas en múltiples servidores para incrementar y simplificar la disponibilidad (debe crear antes un espacio de nombres DFS), dé clic en Siguiente.

6. Revise la configuración creada (un ejemplo se muestra en la figura 12-6 y, de ser necesa-rio, haga clic en Anterior para realizar cambios y una vez finalizado, haga clic en Crear). Dé clic en Cerrar cuando se indique que el recurso compartido se creó correctamente.

Figura 12-6. El proceso para aprovisionar un recurso compartido permite configurar todas

las características del recurso compartido.



Administración de discosAdministración de discos ofrece los medios para gestionar dispositivos de almacenamiento físico, local y remotamente a través de la red. La administración del disco incluye parti-ción, compresión, desfragmentación y establecimiento de cuotas, además de la seguridad del almacenamiento. Como ya se mencionó, Administración de discos trabaja con los dispo-sitivos de almacenamiento físico, mientras Administración de almacenamiento y recursos compartidos lo hace con objetos de almacenamiento lógicos. Diversas funciones de almace-namiento pueden realizarse en ambos entornos. Administración de discos se abre desde el Administrador de equipos o el Administrador del servidor:

Haga clic en Inicio|Herramientas administrativas|Administración de equipos. En la ventana del Administrador de equipos, haga clic en Almacenamiento, en el panel de la izquierda, luego clic en Administración de discos.

De no ser así, clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, abra Almacenamiento y haga clic en Administra-ción de discos.

En cualquier caso, aparecerá el panel Administración de discos, como se muestra en la figura 12-7.

Figura 12-7. Administración de discos proporciona una vista física desde la que puede

administrar el almacenamiento.



Panel Administración de discosEl panel Administración de discos tiene dos secciones principales: una lista de texto de par-ticiones o volúmenes y unidades en la parte superior, asimismo una representación gráfica de los mismos objetos en la parte inferior. Explore el panel Administración de discos:

1. Haga clic derecho en un objeto en la columna de volúmenes de la lista de texto, aparecerá un menú contextual.

Desde este menú, es posible abrir o explorar el volumen para ver su contenido en el Explorador de Windows (ambas opciones hacen lo mismo); seleccionar el volumen que será el activo (de arranque); cambiar la letra y ubicación de la unidad; dar forma-to o eliminar el volumen, si no es el activo o del sistema; ampliar o reducir el tamaño del volumen; abrir el cuadro de diálogo Propiedades del volumen y obtener ayuda.

2. Haga clic derecho en uno de los volúmenes a la derecha de la representación grá-fica, en la parte inferior del panel. Verá un menú similar al mostrado en el paso 1 (dependiendo del tipo de partición, tal vez vea algunas diferencias).

3. Haga clic derecho en una unidad, a la izquierda de la representación gráfica. Verá un menú contextual para la unidad que permite convertirla en disco dinámico, en caso de hacer clic en un disco básico que no es extraíble y se encuentra en un equipo de es-critorio, no en una laptop. Este menú también permite convertir la unidad en un disco GPT, abrir el cuadro de diálogo Propiedades de la unidad y hacer clic en Ayuda.

NOTA El uso de una tabla de partición GUID (GPT, GUID Partition Table), en lugar de

discos MBR, permite tener más de cuatro particiones y es necesario en discos cuyo tama-

ño excede los 2 TB.



4. Haga clic en el menú Acciones o en Acciones adicionales, en el panel Acciones. Aquí puede actualizar rápidamente el estado actual de los objetos de almacenamiento; reexaminar los discos, que sólo suele hacerse cuando el equipo se reinicia y utiliza para mostrar una unidad añadida o extraída sin reiniciar el equipo (intercambio en caliente); mostrar el menú correspondiente al volumen o unidad seleccionado (To-das las tareas) y acceder a la opción de ayuda.

Personalice el panel Administración de discosEs posible personalizar el panel Administración de discos con la barra de herramientas y el menú Ver. Tal vez use mucho Administración de discos, de modo que valdrá la pena tomar-se tiempo para personalizarlo:

1. Haga clic en el menú Ver. Las primeras dos opciones nos permiten determinar lo que habrá en las secciones superiores e inferiores del panel. Como opción predeter-minada, la lista de volúmenes aparece en la parte superior mientras la vista gráfica en la inferior. La tercera opción a ambas vistas consiste en desplegar una lista de unidades de disco, que contiene la misma información presente en la vista gráfica.

2. Pruebe varios cambios para ver si alguna le agrada más que la predeterminada. En la fi-gura 12-8 se muestra una opción compacta con una lista de discos en la parte superior y una lista de volúmenes en la inferior. Seleccione la distribución de su preferencia.

3. Haga clic en el botón Configuración, a la derecha de la barra de herramientas o abra nuevamente el menú Ver y haga clic en Configuración. Se abrirá el cuadro de diá-logo Configuración. En la ficha Apariencia, es posible seleccionar colores y tramas utilizados para representar los diversos tipos de particiones y volúmenes.



4. Seleccione los colores que desee utilizar y luego haga clic en la ficha Escala. En ésta es posible seleccionar la forma en que los discos y sus regiones (volúmenes) se muestran gráficamente en relación con los demás. Mostrar los discos de acuerdo con su capacidad utilizando una escala logarítmica es quizá la mejor opción, si se cuenta con unidades y volúmenes de tamaños sustancialmente diferentes.

5. Tome las decisiones que considere más apropiadas y haga clic en Aceptar. Abra nuevamente el menú Ver y haga clic en la opción Personalizar. Se abrirá el cuadro de diálogo Personalizar lista. En éste es posible personalizar la ventana principal (denominada “MMC” en el cuadro de diálogo, por Microsoft Management Conso-le, consola de administración de Microsoft), además del panel Administración de discos (llamado Complemento).

6. Realice diversos cambios, vea su efecto y configure la ventana según su agrado. Cuando haya terminado, haga clic en Aceptar para cerrar el cuadro de diálogo Per-sonalizar vista.

Propiedades de unidad y volumenExisten cuadros de diálogo de propiedades independientes para unidades y volúmenes. Lo que antes pudo considerarse propiedades de una unidad son en realidad propiedades de un volumen. Lo verá por sí mismo a continuación:

Figura 12-8. Una distribución alterna para el panel Administración de discos.



1. Haga clic derecho en una unidad, en la parte izquierda de la vista gráfica, y dé clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades del dispositivo, similar al de la figura 12-9. Se trata de un cuadro principalmente informativo, aunque es posible detectar y solucionar fallas en la unidad, establecer directivas de escritura en caché, abrir el cuadro de diálogo Propiedades de cada uno de los volúmenes de la unidad, actualizar o cambiar controladores de la unidad y visualizar la nomen-clatura de la unidad.

2. Haga clic en la ficha Volúmenes y después en uno de los volúmenes de la lista, en la sección inferior del cuadro de diálogo, después en Propiedades. Se abrirá el cuadro de diálogo Propiedades del volumen, como se observa en la figura 12-10 (muy similar al cuadro de diálogo mostrado en “Administración de almacenamiento y recursos compartidos”, pero con secciones adicionales). Este cuadro de diálogo también pro-vee información, pero, a diferencia del de Propiedades del dispositivo, es un lugar primordialmente dedicado a la realización de tareas con volúmenes. Muchas de estas tareas se analizan en otras partes de este capítulo, aunque las opciones para compartir y seguridad se exponen en el capítulo 15.

3. Haga clic en cada una de las secciones del cuadro de diálogo Propiedades, para ver las diferentes características y herramientas disponibles. Dos de éstas, que no se analizarán en otro lugar, son el panel de Comprobación de errores ubicado en la ficha Herramientas y la ficha Hardware.

Figura 12-9. Cuadro de diálogo Propiedades del dispositivo para una unidad de disco.



4. Haga clic en la ficha Herramientas y luego en Comprobar ahora, en la sección Comprobación de errores. Se abrirá el cuadro de diálogo Comprobar disco; explica que tiene la opción de reparar automáticamente errores en el sistema de archivos

—como clústeres perdidos—, además de examinar y tratar de recuperar datos en un sector defectuoso del disco.

5. Seleccione el tipo de comprobación de disco que desea realizar y haga clic en Iniciar. Si la unidad que revisa se encuentra en un servidor activo, aparecerá un mensaje indicando que la revisión no podrá realizarse; al mismo tiempo consulta si desea realizar la comprobación la siguiente ocasión que reinicie el equipo. Seleccione la opción deseada haciendo clic en Programar comprobación de disco o Cancelar.

6. Haga clic en la ficha Hardware. Aquí se presenta una lista de todas las unidades del equipo. Si selecciona una unidad y hace clic en Propiedades, aparecerá otro cuadro de diálogo Propiedades del dispositivo (el mismo abierto en el paso 1 y que se muestra en la figura 12-9).

Figura 12-10. Cuadro de diálogo Propiedades de una partición o volumen.



7. Haga clic en la ficha Personalizar (no en el cuadro de diálogo Propiedades del vo-lumen en que se ha instalado Windows Server 2008). Esta ficha permite seleccionar la plantilla para el contenido de la carpeta y la imagen a utilizar como icono de la carpeta. Todas las demás fichas se analizan en otro lugar.

8. Al terminar de revisar el cuadro de diálogo Propiedades del volumen, haga clic en Aceptar para cerrarlo.

NOTA El cuadro de diálogo Propiedades de un volumen puede abrirse haciendo clic

derecho en el volumen y seleccionando la opción Propiedades.

Agregue o quite una unidad de discoSi tiene hardware que permita intercambio “en caliente” (adición y eliminación de unidades de disco estándar, que no suelen ser extraíbles, mientras el equipo está en funcionamiento) o cuenta con unidad de disco extraíble, que puede retirarse mientras el equipo está en fun-cionamiento, Windows Server 2008 provee diversas herramientas para dar soporte a esta acción sin reiniciar el equipo. En general, un equipo realiza una exploración de sus unida-des de disco para determinar los recursos disponibles cuando arranca y reinicia. WindowsServer 2008 puede realizar esta exploración mientras el equipo está en funcionamiento, me-diante la opción Volver a examinar los discos, ubicada en el menú Acción o en el menú Acciones adicionales, ubicado en el panel Acciones. Si una unidad de disco se retira sin la preparación necesaria, se pueden generar errores, como la pérdida de información o sus-pensión del equipo. Para solucionar esto, el asistente Hardware de Windows Server 2008 cuenta con una opción para desconectar o expulsar, e incluso colocar un icono en la barra de tareas para esta acción.

PRECAUCIÓN No agregue o quite una unidad de disco mientras el equipo está en eje-

cución, a menos que esté seguro de que el hardware del disco da soporte a esa acción.

Podrían ocurrir daños significativos tanto en la unidad como en el equipo, incluso ambos.

Agregue un discoEs posible agregar un disco extraíble o con soporte para intercambio activo, simplemen-te colocándolo en su ranura y empujándolo. Después de agregar físicamente el disco, Windows Server 2008 lo reconocerá con frecuencia y mostrará un mensaje con una o más opciones de lo que puede hacer con el disco. Si Windows no reconoce el disco, haga clic en el panel Administración de discos y después en la opción Volver a examinar los discos, ubica-da en el menú Acción. En seguida de la explo-ración, la unidad debe aparecer en el panel Administración de discos y se puede traba-jar en ella, incluidos partición y formateo de acuerdo con lo que desee (consulte la siguiente “Particionamiento y formateo de unidades”, en una sección posterior).



Si utiliza un disco con datos ya empleado en otro equipo, simplemente use la opción Volver a examinar los discos, como ya se indicó. Tras la exploración, el nuevo disco será marcado como “externo”, si Windows Server 2008 detecta que es un disco dinámico de otro equipo con Windows Server 2008 (que almacena sus propios datos de configuración). Haga clic derecho en el disco, haga clic en Importar disco y siga las indicaciones que se presenten.

Quite una unidadSi desea quitar una unidad que cuente con las características de intercambio activo o ex-traíble, es importante preparar la unidad para dicho evento, notificando a Windows Server 2008 que la unidad será retirada, antes de hacerlo. Sabiendo esto, Windows evitará realizar escrituras adicionales en la unidad y efectuará cualquier tarea específica del hardware, como detener el giro de la unidad, la expulsión del disco o ambas. Dependiendo de la unidad y la manera en que se ha implementado en Windows Server 2008, se tienen distintas formas de indicarle al sistema operativo que desea quitar la unidad.

En algunos dispositivos, como las unida-des extraíbles, es posible hacer clic derecho en la unidad, a la izquierda de la vista gráfica del panel Administración de discos, y hacer clic en la opción Expulsar. El disco será preparado y expulsado. Otros dispositivos cuentan con co-mandos similares.

Con los discos extraíbles se cuenta con un icono Quitar hardware de manera segura; está ubicado del lado derecho de la barra de ta-reas. Al hacer doble clic en este icono, se abre un cuadro de diálogo en que es posible hacer clic en Detener, seleccionar el dispositivo y hacer clic en Aceptar para preparar el retiro del disco. Aparecerá un mensaje indicando que el disco puede retirarse. Haga clic en Aceptar para cerrar el cuadro de diálogo.



Particionamiento y formateo de unidadesEl primer paso en la preparación de un disco para su uso consiste en particionarlo y luego formatearlo. La partición sólo puede realizarse cuando existe espacio sin asignar en la uni-dad (espacio no utilizado por una partición o volumen existente). Si no cuenta con espacio sin asignar, entonces la única manera de crear un nuevo volumen es borrando o reduciendo (comprimiendo) el tamaño de una partición existente. Por tanto, empiece por borrar y re-ducir volúmenes; agregar y extender volúmenes, formatearlos, agregar unidades lógicas y cambiar letras de unidad.

NOTA Espacio libre es la cantidad de espacio disponible para crear unidades lógicas de

particiones extendidas. El espacio sin asignar no está disponible para nadie.

Elimine volúmenesPara eliminar un volumen, al igual que con el resto de las funciones de partición y forma-teo, debe tener abierto el panel Adminis-tración de discos. Haga clic derecho en el volumen que habrá de eliminarse y clic en Eliminar volumen. Aparecerá un mensaje notificándole que todos los datos se per-derán en el volumen. Clic en Sí, para con-tinuar con la eliminación del volumen. El volumen es eliminado y el espacio que utilizaba queda sin asignar.

Reduzca volúmenesLa capacidad para reducir y ampliar volúmenes directamente es nueva en Windows Ser-ver 2008. Haga clic derecho en el volumen que desea reducir y escoja la opción Reducir volumen. Ingrese la cantidad de espacio que habrá de reducir del volumen y haga clic en Reducir. La reducción tomará algunos minutos. Cuando esté completa, el espacio liberado quedará sin asignar.

PRECAUCIÓN Al eliminar un volumen y luego formatearlo se elimina toda la información

del volumen. Asegúrese de que eso busca hacer antes de ejecutar los comandos.



Agregue volúmenes simplesLa adición de un volumen simple es un poco más compleja y, por ello, hay un asistente es-pecial para ello. Para agregar un volumen:

1. Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple. Se abrirá el Asistente para nuevo volumen simple.

2. Haga clic en Siguiente. Seleccione el tamaño de la partición. El tamaño máximo co-rresponde al espacio sin asignar y el mínimo es 8 MB, como se muestra en la figura 12-11. Cuando haya seleccionado el tamaño, haga clic en Siguiente.

3. Asigne una letra a la unidad. Aparecerá una lista con las opciones disponibles, se-gún las letras del alfabeto, excepto las que ya están en uso como letras de unidad en el equipo. Aparecen dos opciones más: puede hacer que este nuevo volumen sea una carpeta en cualquier otra unidad que dé soporte a rutas de unidad (casi todas lo hacen) y puede dejar la letra de la unidad sin asignar. Seleccione la opción deseada y haga clic en Siguiente.

4. Seleccione cómo desea formatear el volumen (si lo hay), la etiqueta que habrá de uti-lizarse y si se desea habilitar la compresión de archivos y carpetas, como se muestra en la figura 12-12. Después haga clic en Siguiente.

5. Revise las opciones seleccionadas y, si desea realizar algún cambio, utilice el botón Atrás para realizarlos.

6. Cuando todas las opciones estén como desea, haga clic en Finalizar. Se creará y for-mateará el volumen de acuerdo con sus indicaciones.

Figura 12-11. Es posible elegir el tamaño del volumen que desea crear.



Figura 12-12. Al crear un nuevo volumen, puede etiquetarlo y formatearlo.

Extienda volúmenesLa capacidad para extender y reducir directamente los volúmenes es nueva en Windows Server 2008. Para extender volúmenes, debe contarse con espacio sin asignar en el disco.

1. Haga clic derecho en el volumen que desea extender y luego haga clic en Extender volumen. Se abrirá el Asistente para extender volúmenes. Haga clic en Siguiente.

SUGERENCIA Una buena razón para adjuntar un nuevo volumen a una unidad y carpeta

existentes es aumentar el espacio disponible en una carpeta compartida vacía del servi-

dor, de tal forma que los usuarios puedan seguir utilizando un directorio existente para

almacenar y acceder a archivos.

NOTA Los primeros tres volúmenes que se crean automáticamente son particiones pri-

marias. Al crear un cuarto volumen con espacio sin asignar, la cuarta partición y espacio

sin asignar se convierten en una partición extendida con un nuevo volumen y espa-

cio libre. Sólo es posible tener cuatro volúmenes en una partición primaria. Sin embargo,

una partición extendida puede dividirse en 23 unidades lógicas.



2. Seleccione el espacio sin asignar que utilizará para extender el volumen y haga clic en Siguiente.

3. Revise su configuración. Haga clic en Atrás si quiere cambiarla, luego clic en Fina-lizar cuando esté listo. Puede tardar algunos minutos realizar la extensión. Cuando haya terminado, el volumen mostrará el espacio adicional.

Formatee volúmenesPor lo general, un volumen se formateará cuando lo cree, como se describió en la sección anterior, pero es posible formatear el volumen en cualquier momento. Los siguientes pasos describen cómo hacerlo:

NOTA Si intenta formatear el volumen en que está instalado Windows Server 2008, apa-

recerá un cuadro de diálogo con un mensaje indicando que esto no es posible.

1. Haga clic derecho en el volumen al que se de-sea dar formato, luego clic en Formatear. Se abrirá un pequeño cuadro de diálogo pidién-dole la etiqueta, sistema de archivos y tamaño de la unidad de asignación.

2. Elija los parámetros adecuados y haga clic en Aceptar. Aparecerá un mensaje de adverten-cia notificando que se borrarán todos los datos en el volumen. Haga clic en Aceptar para que se formatee la unidad.

Agregue unidades lógicasEl proceso para agregar unidades lógicas a una partición extendida es exactamente el mis-mo que se sigue para crear un nuevo volumen, como se describió en la sección “Agregue volúmenes simples”, en páginas anteriores de este capítulo:

1. Haga clic derecho en un área sin asignar del disco y clic en Nuevo volumen simple. Se abrirá el asistente para Nuevo volumen simple. Haga clic en Siguiente.

2. Especifique el tamaño del volumen y haga clic en Siguiente. Si lo desea, escoja la letra de unidad o identifique la carpeta en que se montará el volumen y haga clic en Siguiente.

3. Seleccione la forma en que desea se formatee la unidad lógica, haga clic en Siguien-te, revise las opciones seleccionadas y haga clic en Finalizar. La unidad lógica se creará como usted especificó.

4. Repita del paso 1 al 3 para todas las unidades lógicas que desee (recuerde que el límite máximo es 23).

Cambie letras de unidadEl cambio de la letra de una unidad es un proceso similar al de las funciones previas:



1. Haga clic derecho en el volumen o unidad lógica cuya letra de unidad desea cam-biar y haga clic en la opción Cambiar la letra y rutas de acceso de unidad. Se abrirá el cuadro de diálogo con el mismo nombre.

2. Se pueden añadir letras de unidad y rutas de acceso adicionales a las existentes, editar letras de unidad existentes para modificarlas, y eliminar (borrar) unidades, rutas existentes o ambas.

3. Haga clic en Agregar, Cambiar o Quitar; complete la información necesaria; haga clic en Aceptar (aparecerá un mensaje notificando que el cambio en las letras de uni-dad puede causar que un programa que dependa de la unidad deje de funcionar); y haga clic en Cerrar.

Compresión de datosLa compresión de datos permite almacenar más información en determinada cantidad de espacio en disco. Diferentes tipos de archivo se comprimen en forma diferente. Por ejemplo, algunos formatos de archivos gráficos, como .tif, pueden comprimirse por debajo del 20% de su tamaño original, mientras otros formatos de archivos gráficos, como .jpg, no pueden llegar al 90% de su tamaño debido a que, por su naturaleza, ya cuentan con cierto grado de compresión. Archivos, carpetas y volúmenes comprimidos pueden utilizarse de la misma manera que datos sin comprimir. Se descomprimen a medida que se leen y se comprimen nuevamente al guardarse. El lado negativo de la compresión es que todas las acciones rela-cionadas con archivos (lectura, escritura, copiado, etc.) toman más tiempo.

La compresión de datos en Windows Server 2008 es muy diferente de esquemas de compre-sión anteriores, con los que la única opción era comprimir el volumen completo. En Windows Server 2008 es posible comprimir un volumen, carpeta o archivo. También comprimir auto-máticamente archivos sin uso en un periodo determinado, como una forma de archivarlos.

NOTA La compresión de datos en Windows Server 2008 sólo puede aplicarse en volú-

menes formateados en NTFS; el tamaño del clúster no debe ser mayor de 4 KB.

Comprima volúmenesPara comprimir un volumen, abra el panel Administración de discos y siga los siguientes pasos:

1. Haga clic derecho en el volumen que habrá de comprimirse y luego haga clic en la opción Propiedades. Aparecerá el cuadro de diálogo Propiedades, mostrado ya en la figura 12-10.

2. Haga clic en la casilla de verificación Comprimir esta unidad para ahorrar espacio en disco y dé clic en Aceptar. Aparecerá un cuadro de diálogo preguntando si desea comprimir sólo la carpeta raíz (por ejemplo, D:\) o todas las subcarpetas y archivos en la carpeta raíz.



3. Realice la selección que considere adecuada y haga clic en Aceptar. Aparecerá un cuadro de mensaje indicando que realiza la compresión. Cuando el cuadro desapa-rezca, la compresión estará completa.

NOTA Es posible comprimir una carpeta sin afectar sus subcarpetas y, a su vez, éstas

pueden comprimirse sin hacerlo con la carpeta que las contiene.

NOTA Para descomprimir datos, siga los pasos dados para comprimirlos, pero en orden

inverso. En el caso de un volumen, quite la selección de la opción del cuadro de diálogo

Propiedades y confirme que desea realizar la descompresión.

Comprima archivos y carpetasEs posible comprimir archivos y carpetas de manera individual. Esto se realiza desde el Explorador de Windows o desde Equipo, como se describe a continuación:

1. Abra el Explorador de Windows o Equipo, haga clic derecho sobre el archivo o la carpeta, y seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades del archivo o carpeta.

2. Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanza-dos, como se muestra en la figura 12-13.

Figura 12-13. Es posible comprimir volúmenes, carpetas y archivos.



3. Haga clic en Comprimir contenido para ahorrar espacio en disco y luego haga clic en Aceptar, dos veces, para cerrar los cuadros de diálogo Atributos avanzados y Propiedades. Se abrirá el cuadro de diálogo Confirmación de cambio de atributos, preguntando si desea aplicar los cambios sólo a la carpeta o si desea incluir sus subcarpetas y archivos contenidos en ella.

4. Seleccione la opción que prefiera y luego dé clic en Aceptar. La compresión se reali-za. Si el archivo o carpeta es suficientemente grande como para que la compresión tome un minuto o más, verá un mensaje que indica cómo se realiza la compresión.

Si se abre de nuevo el cuadro de diálogo Propiedades del archivo o carpeta, se mostra-rán los tamaños real y en el disco, como se ilustra en la figura 12-14.

NOTA Todos los archivos y carpetas tienen un valor de Tamaño en disco, pero en archi-

vos y carpetas sin comprimir suele ser más grande que el real, pues el tamaño mínimo del

clúster requiere más espacio del necesario para el archivo o carpeta.

Figura 12-14. La compresión de una carpeta puede ahorrar una buena cantidad de espacio.



Utilice archivos comprimidos NTFSSi realiza la compresión únicamente de algunos archivos y carpetas, será deseable conocer cuáles están comprimidos y cuáles no, además de entender cómo se comportan cuando se les copia o mueve. Para saber qué archivos y carpetas están comprimidas y cuáles no, Windows Server 2008 cambia, como opción predeterminada, el color con que se despliegan archivos y carpetas comprimidos (el color de fondo de sus etiquetas). Si desea modificar esta característica, haga clic en el menú Herramientas del Explorador de Windows, haga clic en Opciones de carpeta y, en la ficha Ver, del cuadro de diálogo Opciones de carpeta que seabre y localice la opción Mostrar con otro color los archivos NTFS comprimidos o cifrados.

Cuando está copiando o moviendo archivos y carpetas comprimidas, el proceso es un poco más lento y no siempre termina como comenzó. Las siguientes reglas aplican cuando se copian o mueven archivos comprimidos:

▼ Cuando copia un archivo o carpeta comprimido en su volumen original o entre volú-menes NTFS, el archivo o carpeta hereda la compresión de la carpeta al que se copia

■ Cuando copia un archivo o carpeta comprimido a un volumen FAT o disco flexible, el archivo o carpeta se descomprime

■ Cuando mueve un archivo o carpeta comprimido en su volumen original, el archi-vo o carpeta conserva su compresión original

■ Cuando mueve un archivo o carpeta comprimido entre volúmenes NTFS, se hereda la compresión de la carpeta a la que se mueve

▲ Cuando mueve un archivo o carpeta comprimido a un volumen FAT o disco flexi-ble, el archivo o carpeta se descomprime

Desfragmentación de unidadComo ya se explicó en la sección “Sistemas de archivos”, los archivos se componen de pe-queños segmentos llamados clúster y estos clústeres no siempre pueden almacenarse en una región contigua del disco. El resultado es la fragmentación de archivos, lo que ocasiona un incremento en el tiempo de acceso al archivo. Windows Server 2008 tiene una utilería para desfragmentar archivos de un volumen, que podría estar formateado como FAT, FAT32 o NTFS. Para desfragmentar un volumen siga los pasos:

1. En el panel Administración de discos, haga clic derecho sobre el volumen a desfrag-mentar, luego clic en la opción Propiedades.

2. En el cuadro de diálogo Propiedades, haga clic en la ficha Herramientas, luego en Desfragmentar ahora. Se abrirá el cuadro de diálogo Desfragmentador de disco.



3. Windows Server 2008 analizará las unidades y notificará si el rendimiento del equipo podría mejorar aplicando la desfragmentación. Si es así, haga clic en Des-fragmentar ahora.

4. Seleccione los discos o volúmenes a desfragmentar, haga clic en Aceptar. Dependien-do de la cantidad de información en el volumen, esta operación tomará tiempo.

5. Cuando la desfragmentación esté completa, haga clic en botón Cerrar, en Desfrag-mentador de disco, después clic en Aceptar en el cuadro de diálogo Propiedades.

NOTA Desfragmentador de disco consume una cantidad considerable de recursos del

procesador y hace muy lento el acceso al disco. Por ello es importante realizar la desfrag-

mentación cuando el uso del equipo sea mínimo.

Cuotas de discoCon NTFS, puede monitorear, establecer directivas y límites al espacio en disco utilizado en un volumen, así como asegurarse que un usuario no ocupe más espacio en disco del desea-do. Esto es muy importante en servidores de archivos conectados a Internet o intranet. Para establecer cuotas, dé los siguientes pasos:

1. En el panel Administración de discos, haga clic derecho en el volumen en que desee establecer cuotas y clic en Propiedades.

2. En el cuadro de diálogo Propiedades, haga clic en la ficha Cuota y, luego, en Habi-litar la administración de cuota. Establezca límites y opciones de registro de cuota para este volumen. En la figura 12-15 se muestra un ejemplo de configuración.

3. Una vez realizada la configuración, haga clic en Aceptar. Tras haber utilizado el volu-men por un tiempo, abra nuevamente la ficha Cuota, en el cuadro de diálogo Pro-piedades y dé clic en Valores de cuota para abrir la ventana Entradas de cuota. En ésta se muestra quién usa el volumen y cómo dicho uso afecta las cuotas establecidas.

4. Cierre la ventana Entradas de cuota y haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades.

SUGERENCIA Puede programar el proceso de desfragmentación para que se realice de

manera periódica.

NOTA Las cuotas de disco se reportan utilizando el nombre de inicio de sesión del usua-

rio dentro de un volumen. Cuando se calcula el uso de cuotas, se ignora compresión y

espacio libre reportado al usuario es el espacio restante de su cuota.



Cifrado de archivos y carpetasEl sistema de archivos NTFS de Windows Server 2008 permite el cifrado individual de ar-chivos y carpetas. Con un archivo cifrado, aunque alguien acceda al equipo, no tendrá ac-ceso al archivo. El usuario que cifró el archivo será el único con acceso de lectura al archivo. Ningún otro usuario podrá leer el archivo (en el capítulo 15 se analiza en mayor detalle el cifrado de archivos y carpetas). Para cifrar un archivo o carpeta siga los siguientes pasos:

1. En Explorador de Windows o Equipo, haga clic derecho en el archivo o carpeta que desea cifrar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades.

2. Haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanza-dos, como ya se mostró en la figura 12-13.

Figura 12-15. La configuración de cuotas de disco evita que un usuario use un espacio

compartido desproporcionado en un volumen.



3. Haga clic en Cifrar contenido para proteger datos; luego, clic dos veces en Aceptar. Si en el paso 1 seleccionó un archivo, aparecerá un mensaje indicándole que ha ele-gido cifrar un archivo sin cifrar su carpeta y que, en caso de modificarse, el software de edición podría almacenar una copia temporal no cifrada del archivo. Se le pedirá que elija entre cifrar el archivo y su carpeta (recomendado) o cifrar sólo el archivo. Seleccione la opción que considere apropiada y haga clic en Aceptar.

NOTA Si trata de cifrar una carpeta, aparecerá un mensaje de advertencia, preguntando si

se desea aplicar el cifrado sólo a la carpeta o también a subcarpetas y archivos de la carpeta.

Si cierra sesión en el equipo y alguien más inicia sesión en éste o alguien intenta acceder al archivo en red, el archivo será ilegible. Además, si observa el archivo en el Explorador de Windows, tendrá, como opción predeterminada una etiqueta en un color diferente, que indica que está cifrado.

NOTA No es posible cifrar y comprimir un archivo o carpeta. Una vez realizada una de

estas acciones, la otra no podrá ser realizada.

IMPLEMENTE LA ADMINISTRACIÓNDE VOLÚMENES DINÁMICOS

La administración de volúmenes dinámicos permite crear, modificar o replicar un volumen sin reiniciar el equipo, utilizando discos y almacenamiento dinámicos. Un disco dinámico tiene sólo una partición en la que es posible crear volúmenes. Los volúmenes simples son iguales a los dinámicos, con excepción de que estos últimos son dinámicos (pueden modifi-carse sobre la marcha), pueden abarcar varios discos e incluyen tipos adicionales de hardware avanzado (seccionado, reflejado y RAID-5).

NOTA Server 2008 ha negado un beneficio importante a los discos dinámicos: la capacidad

para extender y comprimir volúmenes, acciones que sí son realizables en discos comunes.



Convierta a almacenamiento dinámicoCasi todos los discos comunes pueden convertirse fácilmente a discos dinámicos. Esto aplica a la mayor parte de discos, excepto los de equipos portátiles y extraíbles. Además, el disco debe contar con 1 MB de espacio sin asignar y Windows Server 2008 sólo puede instalarse en un volumen dinámico, si dicho volumen se ha generado desde un volumen de arranque. Para realizar la conversión siga los siguientes pasos:

PRECAUCIÓN La única forma de regresar un disco dinámico a su estado original, es eli-

minando todos sus volúmenes y, por tanto, cada archivo en esos volúmenes, luego hacer

clic derecho en la unidad y seleccionar Convertir en disco básico.

1. En el panel Administración de disco, haga clic derecho en uno de los discos a la izquierda de la vista gráfica y después seleccione Convertir en disco dinámico, en el menú contextual.

2. Confirme la selección del disco que desea convertir y haga clic en Aceptar. Se abrirá el cuadro de diálogo Discos para convertir, mostrando la información del disco o discos que habrán de convertirse. Si hace clic en Detalles, se mostrarán los volúme-nes a ser creados automáticamente en el disco.

3. Haga clic en Aceptar, si abrió Convertir detalles, luego clic en Convertir. Aparecerá un mensaje advirtiendo que no será posible iniciar un sistema operativo desde el disco, excepto desde el volumen de arranque actual, en caso de existir. Se solicitará confirmación para continuar.

4. Si desea, en realidad, realizar la conversión, haga clic en Sí y luego en Aceptar. La conversión comenzará. Cuando termine, si se ha convertido un volumen de arran-que, aparecerá un mensaje notificando que el equipo reiniciará. Haga clic en Acep-tar; en caso contrario verá que todas las particiones primarias y unidades lógicas han sido cambiadas a volúmenes simples, como se muestra en la siguiente figura.



Cree volúmenesPuede crear un nuevo volumen dentro del espacio sin asignar de una unidad dinámica. Esto se realiza siguiendo estos pasos:

1. Haga clic derecho en el espacio sin asignar de una unidad dinámica y clic en la op-ción Nuevo volumen simple. Aparecerá el Asistente para nuevo volumen simple.

2. Elija o escriba el tamaño del nuevo volumen y haga clic en Siguiente. Asigne una letra de unidad o elija montar el volumen en una carpeta NTFS vacía y dé clic en Siguiente. Elija la forma en que quiere formatear la unidad y dé clic una vez más en Siguiente.

3. Confirme los pasos que desee dar; si es necesario, vuelva y corrija los innecesarios, y dé clic en Finalizar. El volumen será creado y formateado.

NOTA Para extender o reducir un volumen dinámico se sigue el mismo proceso que para

un volumen simple, mismo que ya se describió en este capítulo, en la sección “Particiona-

miento y formateo de unidades”.

Cree un volumen distribuidoUn volumen distribuido puede incluir espacio de 2 a 32 discos, aunque para el usuario tendrá el aspecto de un solo volumen. De esta forma se obtiene un volumen más grande, pero riesgo-so, pues cada disco añadido al volumen incrementa la posibilidad de que éste falle si uno de los discos se colapsa. Para crear un volumen distribuido proceda con los pasos siguientes:

SUGERENCIA En Windows Server 2008 puede crear volúmenes distribuidos, secciona-

dos y reflejados a partir de unidades básicas o dinámicas, pero las primeras se convertirán

en dinámicas en el proceso, con la desventaja de que cualquier sistema operativo que inclu-

yan, aparte del actual, ya no podrá utilizarse para arrancar el equipo. Además, una unidad

distribuida, seccionada o reflejada no puede utilizar espacio del disco de arranque actual.

1. En Administración de discos, haga clic derecho en un área de espacio sin asignar en uno de los discos que se incluirá en el volumen y clic en Nuevo volumen distribui-do. Se abrirá el Asistente para nuevo volumen distribuido. Dé clic en Siguiente.

2. Seleccione los discos que desea incluir en el volumen distribuido y la cantidad de espacio que utilizará en cada uno, como se muestra en la figura 12-16.

3. Haga clic en Siguiente. Asigne una letra de unidad o carpeta para montar el volu-men y clic una vez más en Siguiente.

4. Especifique cómo desea formatear la carpeta o escoja que el nuevo volumen se monte en una carpeta NTFS vacía y dé clic en Siguiente. Seleccione cómo formatear el nuevo volumen y haga clic una vez más en Siguiente.

5. Confirme las tareas que desee realizar y haga clic en Finalizar. El volumen se creará y formateará; el resultado final se mostrará en ambos discos.



USO DEL SISTEMA DE ARCHIVOS DISTRIBUIDOEl sistema de archivos distribuido (DFS, Distributed File System) permite crear un direc-torio, llamado espacio de nombres, que abarca varios directorios de archivos y permite a los usuarios buscar y localizar fácilmente archivos o carpetas distribuidos en la red. Para los usuarios de DFS (archivos diseminados a lo largo de la red) colocados en un espacio de nombres, aparecerán como si estuvieran ubicados en un mismo servidor, lo que facilita su uso si tuviera que accederse a ellos en los servidores donde realmente están ubicados. Los usuarios sólo necesitan dirigirse a un único lugar en la red, el espacio de nombres, para acceder a archivos ubicados en diferentes lugares. DFS también puede recolectar (o replicar en grupos de replicación) archivos y carpetas de diferentes servidores para uso local, como crear una copia de seguridad de ellos. DFS también puede ser parte de un grupo de trabajo o dominio de Active Directory, donde la distribución de la información en diversos contro-ladores de dominio ofrece cierto grado de tolerancia a las fallas.

Existen varias razones importantes para utilizar dominios basados en DFS. Éstos utilizan Active Directory para almacenar la topología DFS, o configuración, de DFS, proporcionando una interfaz común para la gestión de archivos. Además, al utilizar Active Directory, tiene replicación automática a los otros controladores de dominio dentro del dominio.

Figura 12-16. Los volúmenes distribuidos pueden usar espacio de varios discos

básicos y dinámicos.

PRECAUCIÓN Un volumen distribuido no puede ser seccionado ni reflejado, ni es toleran-

te a fallas, y cualquier error en uno de los discos se convierte en falla para todo el volumen.



Puede considerar que un espacio de nombres DFS es como una carpeta principal vir-tual, con capacidad para contener subcarpetas virtuales con vínculos, como accesos directos de Windows, llamados destinos de carpetas, a las carpetas reales en diferentes equipos (tal vez servidores de archivos) en toda la red, como se muestra en la figura 12-17.

Cree un sistema de archivos distribuidoDFS es un servicio de función en Servicios de archivo que debe instalarse. En este proceso puede crear uno o más espacios de nombres. Luego podría utilizar Administración de DFS para agregar, modificar y administrar espacios de nombres, además de añadir y administrar grupos de replicación.

Instale y configure DFSPara agregar DFS a Servicios de archivo, crear y agregar datos en uno o más espacios de nombres:

1. Dé clic en Inicio|Administrador del servidor. Abra Funciones y haga clic en Ser-vicios de archivo. Recorra el panel derecho hasta ver la ficha Servicios de función. Haga clic en Agregar servicios de funciones.

2. En el asistente Agregar servicios de función, haga clic en Sistema de archivos distri-buido (DFS) y haga clic en Siguiente.

3. Ingrese un nombre para el espacio de nombres DFS o escoja la opción para crear un espacio de nombres más adelante. Haga clic en Siguiente. Si debe elegir entre crear un espacio de nombres basado en dominios o uno independiente, lea la descripción de cada uno de ellos en la ventana del asistente y haga clic en la opción deseada y luego en Siguiente.

Figura 12-17. Un espacio de nombres DFS puede contener diversos destinos de carpetas

a partir de varios equipos diferentes.

Espacio de nombres

Carpetados

Espacio denombres dos

Equipouno

Equipodos

Carpetauno

Carpetados

Carpetatres

Carpetacuatro

Destinos de carpeta

Carpetacinco

Carpetaseis

Equipotres

Servidorde archivos

Espacio denombres uno

Carpetauno



4. En la ventana Configurar espacio de nombres, haga clic en Agregar para añadir car-petas de destino al espacio de nombres. En el cuadro de diálogo Agregar carpeta a espacio de nombres, haga clic en Examinar para seleccionar una carpeta de destino.

5. En el cuadro de diálogo Buscar carpetas compartidas, el servidor predeterminado es el local. Si desea compartir carpetas de ese servidor en su espacio de nombres, haga clic en Mostrar carpetas compartidas. Seleccione la primera unidad o carpeta en ese servidor que desea agregar a su espacio de nombres y pulse Aceptar. Escriba el nombre a utilizar en el espacio de nombres y haga clic en Aceptar.

6. Repita los pasos 4 y 5 todas las veces que necesite para agregar todas las carpetas compartidas al espacio de nombres del servidor local y servidores remotos. Cuan-do haya agregado todas las carpetas al espacio de nombres, como se muestra en la figura 12-18, haga clic en Siguiente.

7. Revise los mensajes informativos que aparecen y dé clic en Instalar. Cuando aparezca el mensaje de que la instalación se ha completado correctamente, haga clic en Cerrar.

Inicie Administración de DFSLa administración de DFS puede iniciarse a través del menú Herramientas administrativas y el Administrador del servidor:

Haga clic en Inicio|Herramientas administrativas|DFS Management. En el panel de la izquierda, haga clic en Administración de DFS.

O bien, haga clic en Inicio|Administrador del servidor. En el panel izquierdo del Administrador del servidor, abra el menú Funciones y Servicios de archivo y dé clic en Administración de DFS.

En cualquier caso, el panel Administración de DFS aparecerá, como se muestra en la figura 12-19.

NOTA Tras instalar DFS, es probable que pasen varios minutos antes de que aparezca

la opción Administrador de DFS, en Administrador del servidor.



Administración del Sistema de archivos distribuidoEn Administración de DFS, es posible agregar un nuevo servidor de espacio de nombres, en seguida añadir en él nuevos espacios de nombres, o añadir nuevos espacios de nombres al servidor local. Ambos procesos duplican esa parte de instalación y configuración DFS. Consulte “Instale y configure DFS”, en páginas anteriores de este capítulo. Además, en Ad-ministración de DFS es posible administrar espacios de nombres existentes, así como crear y administrar grupos de replicación.

Administre espacios de nombres en DFSEn Administración de DFS, es posible realizar diversas funciones administrativas sobre es-pacios de nombres existentes, incluidas adición y eliminación de carpetas del espacio de nombres, además de la administración de carpetas de destino en una carpeta en el espacio de nombres, como se describe a continuación (el panel DFS debe estar abierto en este mo-mento en su pantalla):

Figura 12-18. Un espacio de nombres puede contener carpetas compartidas,

incluidas las unidades de disco, de cualquier equipo en la red.



Figura 12-19. Administración de DFS permite acceder y administrar datos tanto en una

red LAN como en una red WAN.

1. Con el Administrador de DFS abierto en la ventana del Administrador del servidor o la propia ventana, abra la opción Administración de DFS, ubicada en el panel de la izquierda, haga clic en la opción Espacios de nombres. Aquí es posible añadir un nuevo servidor de espacio de nombres o añadir más espacios de nombres que se van a mostrar mediante las opciones correspondientes en el panel Acciones.

2. Abra la opción Espacios de nombres en el panel de la izquierda, dé clic en el ser-vidor y espacio de nombres con los que desea trabajar. Las carpetas en el espacio de nombres se muestran en el panel central, como se puede ver en la figura 12-20. Desde el panel Acciones es posible añadir nuevas carpetas al espacio de nombres seleccionado, además de identificar la carpeta de destino para esas nuevas carpetas. También es posible delegar permisos de administración para el espacio de nombres, quitar espacios de la pantalla y eliminarlos.



Figura 12-20. Administración de DFS permite agregar, eliminar y replicar espacios

de nombres, carpetas de espacios de nombres y carpetas de destino.

3. Con un espacio de nombres seleccionado, haga clic en una de las carpetas de la lista en el panel central. Haga clic derecho en la carpeta elegida o use las opciones del panel Acciones, para adicionar una carpeta de destino y replicar, mover, cambiar nombre o eliminar carpetas del espacio de nombres.

Administre la replicación DFSLa replicación DFS sincroniza datos iguales ubicados en varios servidores. Cuando la repli-cación DFS detecta que estos datos han cambiado en cualquiera de los servidores, replica los bloques modificados, no los archivos completos, en todos los servidores. La replicación DFS usa el protocolo de compresión remota diferencial (RDC, Remote Differential Compression) para determinar cuáles bloques se han modificado en un archivo y luego replicar rápidamente estos cambios. Si dos o más servidores cambian un archivo simultáneamente, la replicación DFS emplea una heurística de resolución de conflictos llamada “El último escritor gana”, para escoger cuál archivo será replicado en la red. Sin embargo, los archivos perdedores se mueven a una carpeta especial, de manera que se conservan, en caso de ser necesarios.

NOTA Para utilizar la replicación debe estar en un dominio.

Para configurar y utilizar replicación DFS, debe crear primero un grupo de replicación, luego establecer una agenda de ésta y, por último, habilitar la replicación. El proceso de administración abarca edición del grupo, cambios de agenda y deshabilitación de la repli-cación. Revisemos brevemente el proceso a través de los pasos siguientes, para los cuales se asume que el Administrador de DFS está abierto en su propia ventana o el panel central del Administrador del servidor:



1. En el panel de la izquierda, abra la opción Administración de DFS y dé clic en Re-plicación. En el panel Acciones, haga clic en Nuevo grupo de replicación. Se abrirá el Asistente para nuevo grupo de replicación.

2. Seleccione el tipo de grupo de replicación que desea crear, ya sea multipropósito o para recopilación de datos, y dé clic en Siguiente.

3. Ingrese el nombre del grupo de replicación, escriba una descripción e ingrese o explore, si lo desea, el nombre del dominio. Haga clic en Siguiente. Haga clic en Agregar, para seleccionar dos o más equipos para el grupo de replicación.

4. En el cuadro de diálogo Seleccionar equipos, haga clic en Avanzadas y, luego, en el botón Buscar ahora. Mantenga oprimida la tecla ctrl mientras hace clic en los equipos que desea incluir, como se muestra en la figura 12-21. Una vez que haya terminado, haga clic en Aceptar dos veces y después clic en Siguiente.

5. Haga clic en Aceptar, para iniciar el servicio de replicación. Lea acerca de los tipos de topología, seleccione el correcto para usted y haga clic en Siguiente. Determine si la replicación será continua o sujeta a una agenda específica. En el segundo caso, haga clic en Editar agenda, escoja los horarios de replicación y ancho de banda que habrá de utilizarse y haga clic en Aceptar y luego en Siguiente.

Figura 12-21. Los equipos que formarán parte del grupo de replicación deben pertenecer

a un mismo bosque de dominio.



6. Seleccione el miembro principal, que será autoridad en caso de que dos o más miem-bros contengan la misma información o los mismos cambios. Haga clic en Siguiente.

7. Haga clic en Agregar para seleccionar las carpetas que habrán de replicarse. Haga clic en Examinar, seleccione la carpeta que habrá de replicar, pulse Aceptar, escoja un nombre para la carpeta y permisos deseados y dé clic en Aceptar. Repita estos pasos para todas las carpetas que desee replicar. Cuando termine, haga clic en Siguiente.

8. Al principio, todos los miembros están deshabilitados. Haga clic en un miembro y luego en Editar. Haga clic en Habilitar y en Examinar, seleccione una ruta y haga clic dos veces en Aceptar. Repita este paso para todos los miembros y después haga clic en Siguiente.



9. Revise la configuración elegida. Si desea realizar algún cambio, haga clic en Ante-rior. Cuando todo esté listo, haga clic en Crear. Cuando aparezca el aviso de que el grupo de replicación se creó, haga clic en Cerrar. Aparecerá un mensaje notificando que se puede presentar cierto retraso conforme Active Directory replica la configu-ración. Haga clic en Aceptar.

10. En el panel central, haga clic en el nuevo grupo de replicación; en el panel Accio-nes verá que puede añadir un nuevo miembro, nuevas carpetas de replicación, nuevas conexiones y nueva topología. También es posible crear un informe de diagnóstico, verificar la topología, delegar permisos de administración, editar la agenda, elimi-nar al grupo de la pantalla y borrar al grupo.

Instale y use otros servicios de archivoExisten otros cuatro servicios de archivo que no hemos analizado aún:

▼ Administrador de recursos del servidor de archivos (FSRM), provee los medios para administrar tipo y cantidad de información en los servidores y para establecer cuotas, generar informes e implementar vistas con esa información

■ Servicios para Network File System (NFS), implementa el protocolo NFS para permitir la transferencia de archivos entre equipos con sistema operativo UNIX y Windows Server 2008

■ Servicio Búsqueda de Windows, ofrece una búsqueda rápida y mejorada de archi-vos en el servidor para los clientes

▲ Servicios de archivo de Windows Server 2003, provee compatibilidad con los servicios de archivo de Windows 2000 Server y Windows Server 2003, agregando el servicio de replicación de archivos (FORMULARIOS, File Replication Service) y el servicio de Index Server en Windows Server 2008

Instale otros servicios de archivoTodos éstos son servicios de función, que se instalan desde el Administrador del Servidor:

1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, abra Funciones y haga clic en Servicios de archivo. En el panel central localice la ficha Servicios de función y haga clic en Agregar servicios de función.

2. En el asistente Agregar servicios de función, haga clic en el servicio de función que desee añadir (veremos FSRM y el Servicio Búsqueda de Windows) y dé clic en Siguiente.

3. Seleccione los volúmenes que desea supervisar con FSRM y haga clic en Opciones. En el cuadro de diálogo Opciones de supervisión de volumen, especifique el um-bral de uso de volumen en que desea ser notificado y seleccione los informes que habrán de generarse (haciendo clic en un informe fuera de la casilla de verificación, con una descripción del informe que aparece del lado derecho). Cuando esté listo, haga clic en Aceptar y luego en Siguiente.



4. Seleccione la carpeta en que desea almacenar los informes, o seleccione la opción de recibir informes por correo electrónico y escriba la información necesaria; después haga clic en Siguiente.

5. Escoja los volúmenes que desea indizar para el servicio Búsqueda de Windows y haga clic en Siguiente.

6. Revise la configuración realizada, haga clic en Anterior si desea realizar algún cambio y luego clic en Instalar. Cuando aparezca un mensaje indicando que la instalación ha concluido correctamente, haga clic en Cerrar.

NOTA Se le indicará que los volúmenes elegidos para indización quizás no se añadan a

la lista que habrá de indizarse, pues el Servicio Búsqueda de Windows no ha sido iniciado.

Esto se puede realizar más adelante mediante el Panel de control.

Uso del Administrador de recursos del servidor de archivosFSRM se abre desde Herramientas administrativas o Administrador del servidor.

1. Haga clic en Inicio|Herramientas administrativas|Administrador de recursos del servidor de archivos.

En su defecto, haga clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, abra Funciones, Servicios de archivo, Ad-ministrador de almacenamiento y recursos compartidos; haga clic Administrador de recursos del servidor de archivos.



En cualquier caso, aparecerá la ventana o panel del Administrador de recursos del servidor de archivos.

2. En el panel de la izquierda, elija Administrador de recursos del servidor de archivos y dé clic en Configurar opciones en el panel Acciones. Se abrirá el cuadro de diálogo Opciones del Administrador de recursos del servidor de archivos. En el cuadro de diálogo es posible modificar la configuración del correo electrónico al que se envia-rán notificaciones e informes; especificar el intervalo de tiempo entre notificaciones, además de editar y revisar diversos informes (véase la figura 12-22); especificar dónde se desea guardar los informes y determinar si desea registrar la actividad de filtrado de archivos. Haga clic en Aceptar, para cerrar el cuadro de diálogo Opcio-nes del Administrador de recursos del servidor de archivos.

Figura 12-22. Windows Server 2008 proporciona diversos informes para apoyar

la administración de los servicios de archivo.



3. Haga doble clic en Administración de cuotas y luego en Cuotas. Aparecerán las unidades que identificó durante la instalación para administración de cuotas.

4. Haga clic en una de las unidades, luego en la opción Crear cuota, del panel Accio-nes. En el cuadro de diálogo Crear cuota:

a. Escriba o examine la ruta que describe el volumen o carpeta para la que desea crear una cuota.

b. Elija ya sea crear cuota en la ruta especificada, crear cuotas en subcarpetas nue-vas o según una ruta especifica, pulsando Aplicar plantilla autom.

c. Seleccione entre Derivar propiedades de esta plantilla de cuota, que deberá se-leccionar o Definir propiedades de cuota personalizadas, que deberá ingresar en el cuadro de diálogo Propiedades de cuota.

d. Revise el resumen de propiedades de cuota, realice cualquier cambio necesario y, cuando todo esté listo, haga clic en Crear.

5. Haga clic en Plantillas de cuota, en el panel de la izquierda, para ver una lista de cuotas disponibles. Haga doble clic en una plantilla para revisar y editar sus detalles o clic en la opción Crear plantilla de cuota, ubicada en el panel Acciones, para crear una.



6. En el panel de la izquierda, abra la opción Administración del filtrado de archivos y dé clic en Filtros de archivos y, en el panel Acciones, haga clic en Crear filtro de archivos. En el cuadro de diálogo Crear filtro de archivos ingrese o examine en busca de una ruta a la que aplicará el filtro; decida si desea utilizar una plantilla de fil-

tro de archivos o crear una nueva y luego haga clic en Crear.

7. En el panel Acciones, haga clic en Crear excepción al filtro de archivo para identifi-car una ruta y grupos de archivos que serán excluidos del filtrado.

8. En el panel de la izquierda haga clic en Plantillas de filtro de archivos para obtener una lista de plantillas de filtro de archivos actual. Haga clic derecho en una de ellas para editar, eliminar esa plantilla o crear un nuevo filtro de archivos a partir de esa plantilla. En el panel Acciones haga clic en Crear plantilla de filtro de archivos, para crear una nueva plantilla de filtros desde cero.

9. En el panel de la izquierda, haga clic en Grupos de archivos para crear, editar y borrar grupos de tipos de archivo, con base en la extensión de los archivos, para utilizarlos en los filtros de archivo.

10. En el panel de la izquierda, haga clic en Administración de informes de almacenamien-to, para programar una nueva tarea de informes, agregar o quitar informes de una tarea de informes, generar un informe de inmediato y editar o eliminar tareas de informes.

COPIAS DE SEGURIDAD DE WINDOWS SERVERCopias de seguridad de Windows Server es nueva en Windows Server 2008, empleada para minimizar el impacto que tendría perder información en un volumen, a causa de una falla en el hardware de una unidad o equipo, así como el borrado accidental de uno o más archi-vos por cualquier razón. Copias de seguridad de Windows Server reemplaza la caracterís-tica copias de seguridad de NT, utilizada en versiones anteriores de Windows Server, con base en tres asistentes, y es más rápida y fácil de utilizar. Se pueden crear copias de segu-ridad de un servidor completo o volúmenes seleccionados. A su vez, copias de seguridad en otro disco o discos duros, discos extraíbles, así como en CD y DVD reescribibles, pero ya no es posible crear copias de seguridad en cintas. Una vez que haya creado una copia de seguridad de cualquier información de interés, es posible restaurar dicha información en el equipo y disco original u otros equipos y discos.

Tipos de copias de seguridadLos siguientes son tres tipos de copias de seguridad:

▼ Copia de seguridad regular o completa Duplica todos los archivos seleccionados para el medio de almacenamiento de la copia de seguridad, además de marcar

los archivos como archivados (el bit de archivado se coloca en cero)

■ Incremental Copia todos los archivos nuevos o modificados desde la última copia de seguridad regular o incremental. El bit de archivado se coloca también en cero, para que los archivos no se respalden nuevamente



▲ Copia Copia todos los archivos seleccionados, pero sin colocar en cero el bit de archiva-do, de forma que no afecte la creación de copias de seguridad regulares o incrementales

Si sólo utiliza el tipo regular de copias de seguridad, el tiempo de creación será mayor, pero el de recuperación de datos menor. Si usa una combinación de creación de copias de se-guridad regulares e incrementales, las copias serán más rápidas y utilizarán menos espacio de almacenamiento, pero la recuperación de datos tomará más tiempo. Es necesario determinar cuáles recursos son más importantes (tiempo de creación de copias o recuperación, o espacio de almacenamiento). Dado que es más común crear copias de seguridad con frecuencia y re-cuperarlas en ocasiones, la mejor opción es optimizar el tiempo de creación de copias.

Instale e inicie Copias de seguridad de Windows ServerCopias de seguridad de Windows Server no está instalada por omisión. Para utilizarla, es necesario instalarla en el Administrador del servidor.

1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda, haga clic en Características, luego en la opción Agregar características, ubicada en el pa-nel de la derecha.

2. En el Asistente para agregar características, abra Características de Copias de segu-ridad de Windows Server y haga clic en Copias de seguridad de Windows Server. Como muchas otras características de Windows Server 2008, Copias de seguridad de Windows Server cuenta con un conjunto completo de herramientas de línea de comando para configurar y operar las copias de seguridad de Windows Server des-de una ventana de símbolo de sistema. El uso de herramientas en línea de comando está más allá del alcance de este libro.

3. El Asistente para agregar características le indicará que el disco de recuperación de Windows es necesario para instalar Copias de seguridad de Windows Server. Haga clic en Agregar características requeridas. Haga clic en Siguiente y, por último, en Instalar. Cuando se le notifique que la instalación ha concluido correctamente, haga clic en Cerrar.

4. Inicie Copias de seguridad de Windows Server desde el Administrador del servi-dor, que deberá estar abierto, al abrir Almacenamiento y hacer clic en Copias de seguridad de Windows Server. Como opción, es posible iniciar las copias de se-guridad de Windows Server desde Herramientas administrativas haciendo clic en Inicio|Herramientas administrativas|Copias de seguridad de Windows. En cual-quier caso, se abrirá el panel o ventana Copias de seguridad de Windows Server. En la figura 12-23 se muestra el panel Copias de seguridad de Windows Server, poste-rior a la configuración de una copia de seguridad de programada y la configuración de una copia de seguridad de una vez.



Use Copias de seguridad de Windows ServerCopias de seguridad de Windows Server utiliza tres asistentes para:

▼ Hacer copia de seguridad de programación: asistente para programar copia de seguridad

■ Hacer copia de seguridad una vez: asistente para hacer copia de seguridad una vez

▲ Recuperar desde una copia de seguridad: asistente para recuperación

Figura 12-23. Copias de seguridad de Windows Server proporciona una interfaz

sencilla y fácil de utilizar.

Programe una copia de seguridadLa mejor forma de realizar copias de seguridad consiste en realizarlas de manera periódica o programada, de modo que continuamente se crean copias de seguridad de la información nueva y modificada. Para programar una copia de seguridad se utiliza el Asistente para programar copia de seguridad (el panel o ventana Copias de seguridad de Windows Server debe estar abierto):

NOTA Para crear una copia de seguridad, es necesario conocer cuáles volúmenes de-

sea incluir en la copia, con cuánta frecuencia se realizarán las copias, en qué momento

y dónde se almacenarán. Es necesario, además, dedicar un disco completo (no sólo un

volumen) para la copia de seguridad.

1. En el panel Acciones, haga clic en Hacer copia de seguridad de programación. Se abrirá el Asistente para programar copia de seguridad. Lea la introducción y haga clic en Siguiente.

2. Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de copias de seguridad previas o si ésta es la primera copia de seguridad o no nece-sita acceder a copias de seguridad anteriores. Haga clic en Sí para continuar; en



caso contrario haga clic en No, dé clic en Cancelar para cerrar el Asistente para programar copia de seguridad, haga clic en Inicio|Símbolo de sistema, haga clic en Ejecutar como administrador y escriba wbadmin restore catalog-backuptarget: ubicación de la última copia. Cuando termine, regrese al paso 1.

3. Elija si desea programar una copia de seguridad completa del servidor o copia de seguridad personalizada donde sea posible decidir cuáles volúmenes incluyen la copia y dé clic en Siguiente.

4. Si se va a realizar una copia de seguridad personalizada, seleccione los volúmenes a ser incluidos en la copia, quite la marca de los que no se desea incluir (véase la figura 12-24) y haga clic en Siguiente. Los volúmenes que contienen un sistema operativo deben incluirse en la copia de seguridad.

5. Seleccione si desea crear la copia de seguridad una o más veces al día y la hora en que desea realizarla. Haga clic en Siguiente. Haga clic en Mostrar todas las unida-des disponibles, seleccione el disco en que desea almacenar la copia de seguridad, haga clic en Aceptar, luego en el disco deseado y, por último, en Siguiente. Se le

Figura 12-24. Es posible crear una copia de seguridad de todo el servidor o sólo

algunos volúmenes.



recordará que los discos seleccionados serán formateados; haga clic en Sí para con-tinuar y formatear las unidades seleccionadas, o haga clic en No.

6. Se solicitará la etiqueta para identificar al disco. Haga clic en Siguiente. Se le mostrará la agenda de creación de copias de seguridad. Si desea hacer modificaciones, haga clic en Anterior. Cuando todo esté listo, haga clic en Finalizar. Se formateará el disco des-tinado a copias de seguridad. Cuando el formateo esté completo, haga clic en Cerrar.

En el panel Copias de seguridad de Windows Server, verá cómo está programada la próxima copia de seguridad, tal cual se muestra en la siguiente figura:

NOTA La unidad que se utilizará para almacenar las copias de seguridad estará dedica-

da a dicho propósito y no será posible explorarla con Explorador de Windows, pero sí será

visible en el Administrador de discos con la etiqueta definida en el paso 5.



Cambie una copia de seguridad programada Para cambiar una copia de seguridad programada, regrese al Asistente para programar co-pia de seguridad:

1. Con el panel Copia de seguridad de Windows Server abierto, haga clic en Asistente para programar copia de seguridad, ubicado en el panel Acciones. El asistente se abrirá indicando que ya está programada la realización de una copia de seguridad y preguntará si se desea modificarla o detenerla, como se muestra en la figura 12-25.

2. Si hace clic en Modificar y luego en Siguiente, se recorren de nuevo los mismos pa-sos seguidos en la programación de la copia de seguridad. Si se hace clic en Detener y luego en Siguiente, se le notificará que la programación de la copia de seguridad será cancelada y el disco destinado a las copias de seguridad será liberado. En am-bos casos, haga clic en Finalizar para completar el proceso.

3. Cuando la programación de la copia de seguridad se haya modificado o detenido, haga clic en Cerrar.

Figura 12-25. Utilice el Asistente para programar copias de seguridad para modificar y detener

una copia de seguridad programada.



Realice una copia de seguridad de una vezUna copia de seguridad de una vez puede ser copia manual, donde se eligen los volúmenes que se copiarán y luego se ejecute la acción (de nuevo se supone que el panel de Copias de seguridad de Windows Server está abierto):

1. En el panel Acciones, abra el Asistente para hacer copia de seguridad una vez. Elija entre utilizar las mismas opciones empleadas en el Asistente para programar copias de seguridad o elegir opciones diferentes y dé clic en Siguiente.

2. Aparecerá un mensaje preguntando si desea continuar sin restaurar el catálogo de copias de seguridad previas, si ésta es la primera copia de seguridad o no necesi-ta acceder a copias de seguridad previas. Haga clic en Sí para continuar; en caso contrario, haga clic en No y Cancelar, para cerrar el Asistente para hacer copia de seguridad una vez. Haga clic en Inicio|Símbolo de sistema, haga clic en Ejecutar como administrador y escriba wbadmin restore catalog-backuptarget: ubicación de la última copia. Cuando termine, regrese al paso 1.

3. Elija entre realizar una copia de seguridad de todo el servidor o personalizada, eli-giendo los volúmenes que habrán de copiarse. Haga clic en Siguiente.

4. Seleccione el volumen o volúmenes que habrán de respaldarse (si está marcada la opción Habilitar la recuperación del sistema, entonces los volúmenes del sistema operativo se incluirán en la copia de seguridad). Haga clic en Siguiente.

5. Seleccione el tipo de almacenamiento para la copia de seguridad, entre unidades locales o carpetas compartidas remotas, y dé clic en Siguiente. Elija el volumen de destino. Haga clic en Siguiente.

6. Haga clic en Copia de seguridad de copia para dejar sin cambio los registros de estatus y aplicación de la copia de seguridad, o haga clic en Copia de seguridad completa de VSS para actualizar los registros. Haga clic en Siguiente.

7. Confirme la configuración de la copia de seguridad. Si es necesario, haga clic en An-terior y realice cualquier modificación necesaria. Cuando todo esté listo, haga clic en Copia de Seguridad. La creación de la copia de seguridad comienza generando una copia instantánea de los volúmenes incluidos en la copia de seguridad. Luego se realiza la copia de seguridad, como se muestra en la figura 12-26.

8. Cuando la copia de seguridad esté completa, haga clic en Cerrar.



Optimice el rendimiento de las copias de seguridadEs posible realizar tres tipos de copias de seguridad: completas, incrementales o una combi-nación de ambas. Una adecuada selección del tipo de copia de seguridad permite optimizar la velocidad del proceso y el impacto en la carga de trabajo en el servidor.

1. Con el panel Copias de seguridad de Windows Server abierto, haga clic en la opción de Configurar opciones de rendimiento, en el panel Acciones. Se abrirá el cuadro de diálogo para optimizar el rendimiento de las copias de seguridad, como se muestra en la figura 12-27.

2. Lea la configuración alterna de cada una de las opciones y seleccione la que consi-dere más apropiada. Si escoge la opción Personalizar, deberá elegir las opciones de copias de seguridad de cada volumen. Haga clic en Aceptar cuando todo esté listo.

Utilice el Asistente para recuperarcopias de seguridad

El propósito de crear copias de seguridad es recuperar información que por alguna razón se ha perdido. Existen diferentes circunstancias bajo las cuales se pierde información y ésta puede afectar desde un solo archivo o carpeta hasta un disco completo. Por tanto, debe ser posible recuperar datos considerando diversas circunstancias. Copias de seguridad de Win-dows Server puede hacer esto y la manera de lograrlo se define con los pasos siguientes:

Figura 12-26. El proceso de creación de la copia de seguridad generalmente es lento.



1. Haga clic en Inicio|Herramientas administrativas|Copias de seguridad de Win-dows Server. Se abre la ventana de Copias de seguridad de Windows Server. En el panel Acciones, haga clic en la opción Recuperar.

2. Seleccione el servidor desde el que desea recuperar la información, ya sea el servi-dor local u otro. Haga clic en Siguiente. Seleccione la fecha y hora en que fue reali-zada la copia de seguridad, como se muestra en la figura 12-28.

3. Haga clic en Siguiente. Seleccione los objetos que quiere recuperar, archivos y car-petas, volúmenes o aplicaciones y dé clic en Siguiente. Si se seleccionan archivos y carpetas, abra volumen y carpetas necesarias y haga clic en carpetas y archivos a recuperar. Mantenga oprimida la tecla ctrl para seleccionar varios elementos.

4. Cuando se hayan seleccionado todos los elementos que desee recuperar, pulse Si-guiente. Escoja el destino de la recuperación y cómo desea manejar los casos de archivos duplicados. Cuando todo esté listo, haga clic en Siguiente.

5. Revise la configuración. Haga clic en Anterior para realizar cualquier cambio ne-cesario, después clic en Recuperar. La recuperación se llevará a cabo. Cuando se le notifique que la recuperación está completa, haga clic en Cerrar.

Figura 12-27. Es posible acelerar el proceso de realización de copias de seguridad

a costa del rendimiento del servidor, o no.



Figura 12-28. Las copias de seguridad que habrá de recuperar se seleccionan de acuerdo

con la fecha y hora en que se realizaron.

Cree un disco de recuperaciónSi algo le sucede a la unidad del sistema, es posible utilizar una copia de seguridad para recuperar los archivos, pero es necesario contar con algo que nos permita arrancar el equipo y restaurar el sistema para luego recuperar los archivos. Este “algo” es un disco de recupera-ción. Para crearlo, es necesario contar con los discos de instalación de Windows Server 2008 o los archivos de dichos discos copiados en el disco duro.

1. Haga clic en Inicio|Todos los programas|Mantenimiento|Crear un disco de recuperación.

2. Seleccione la unidad donde escribirá el disco de recuperación, inserte un disco en blanco en dicha unidad y haga clic en Crear disco.

3. Inserte el disco de instalación de Windows Server 2008 en la unidad y pulse Con-tinuar. Los archivos serán tomados del disco de instalación, luego se le pedirá que retire el disco de instalación e inserte un disco nuevo.

4. Haga clic en Aceptar. Cuando se haya creado el disco, se le explicará cómo utilizarlo (consulte la siguiente sección); haga clic dos veces en Cerrar.



Utilice un disco de recuperaciónUn disco de recuperación sustituye los discos de instalación de Windows Server 2008 en modo de recuperación. Con un disco de recuperación y una copia de seguridad del sistema, es posible recuperarse de diferentes fallas. Para utilizar un disco de recuperación:

1. Inserte el disco de recuperación en su unidad, reinicie el equipo y oprima la tecla enter para arrancar desde el CD/DVD. Iniciará la instalación de Windows Server 2008. En las pantallas de idioma, hora y teclado haga clic en Siguiente.

2. En la pantalla de instalación, haga clic en Reparar el equipo. Se le indicará que el acceso a la unidad está bloqueado. Se le dará la opción de cargar la contraseña

de acceso desde un medio extraíble (una clave USB) o escribirla manualmente.

3. Haga clic en la opción deseada y luego en Siguiente. Cuando se introduzca la con-traseña, se le indicará que tiene acceso a la unidad. Haga clic en Finalizar.

4. Si cuenta con varios sistemas operativos en el equipo, elija el que desea recuperar y dé clic en Siguiente.

5. A continuación tendrá la opción de realizar una restauración completa del servidor, me-diante una herramienta de diagnóstico de memoria o abriendo una ventana de Símbolo de sistema, donde es posible utilizar comandos en línea para solucionar el problema.

6. Si elige realizar una restauración completa, todas las unidades, incluidos los discos externos y DVD, se analizan en busca de una copia de seguridad. Si cuenta con una copia de seguridad conformada por múltiples DVD, es necesario colocar el último DVD del conjunto en la unidad.

7. Cuando se localice la copia de seguridad, haga clic en Siguiente y siga las instruc-ciones para completar la restauración.


13

427

CAPÍTULO

Configuración y administración de

impresoras y faxes



Aunque se sigue hablando de una sociedad donde los medios electrónicos eliminarán la necesidad de usar papel, no parece que esto vaya a ocurrir a corto plazo. Por ello, la capacidad para transferir información de un equipo de cómputo al papel y otros

medios resulta muy importante y es una funcionalidad relevante de Windows Server 2008. Windows Server 2008, Windows Vista Business y Windows Vista Ultimate pueden funcio-nar como servidores de impresión.

NOTA Pese a que Windows Vista Business y Ultimate pueden utilizarse como servido-

res de impresión, están limitados a diez usuarios concurrentes y no pueden dar servicio

a usuarios Macintosh ni UNIX, mientras Windows Server 2008 no cuenta con límite de

usuarios y sí es capaz de dar soporte a usuarios de Macintosh y UNIX.

En este capítulo veremos cómo se estructura el sistema de impresión de Windows Ser-ver 2008, cómo instalarlo y administrarlo y las fuentes requeridas para impresión, además de configurar y utilizar los Servicios de impresión, nueva característica en Windows Server 2008. Por último, el capítulo terminará con un análisis del servidor de fax, otra característica nueva de Windows Server 2008.

EL SISTEMA DE IMPRESIÓN DE WINDOWS SERVER 2008Mientras Windows Server 2008 puede imprimir de forma muy similar a las versiones ante-riores de Windows y la mayoría de conceptos son idénticos, incorpora una nueva función (Servicios de impresión) que incluye servicios de función de Servidor de impresión, Impre-sión vía Internet y el Servicio Line Printer Daemon (LPD) para UNIX. Sin embargo, tómese un momento para asegurarse de que está familiarizado con los conceptos básicos de impresión y comprende los requisitos de recursos.

Conceptos básicos de impresiónPodrá parecer obvio lo que es una impresora, pero al utilizar el término “imprimir”, de-bemos recordar que también es posible “imprimir” en un archivo e “imprimir” en un fax. Además, aunque al “imprimir” en una impresora de red se usa un dispositivo de impresión físico, para el equipo local esta forma de “imprimir” sólo representa una dirección de red como destino. Entonces ¿qué es una “impresora” para Windows Server 2008?

▼ Impresora Es el nombre con que se identifica un conjunto de especificaciones uti-lizadas para imprimir, entre las que se encuentran, sobre todo, puertos de hardware (LPT1 o USB1), puertos de software (ARCHIVO o FAX) y direcciones de red

■ Controlador de impresión El software que indica al equipo cómo llevar a cabo la tarea de impresión; el controlador es parte del sistema de especificaciones

■ Dispositivo de impresión La pieza de hardware que realiza la impresión. Los dis-positivos de impresión locales están conectados mediante un puerto de hardware al equipo que solicita la impresión; los dispositivos de impresión en red se conectan con otro equipo o directamente a la red

▲ Servidor de impresión Es el equipo a cargo de la impresión y al que se conecta el dispositivo de impresión


429 Capítulo 13: Configuración y administración de impresoras y faxes

Requisitos básicos de impresiónLa impresión básica en Windows Server 2008 tiene los siguientes requisitos obligatorios:

▼ Uno o más equipos en la red configurados como servidores de impresión, con uno o más dispositivos de impresión locales conectados, así como una o más impresoras independientes, conectadas directamente a la red

■ El servidor de impresión debe funcionar con Windows Server 2008, Windows Vista Business o Ultimate, pero recuerde que si usa Windows Vista Business o Ultimate, habrá un límite de diez usuarios concurrentes, al que ni los usuarios de Macintosh o UNIX en red podrán acceder para emplear impresora

■ El servidor de impresión debe contar con espacio suficiente en disco para manejar la carga de impresión esperada. Ésta varía enormemente según el caso, por lo que no existe regla al respecto. Observe el tamaño de los documentos que suelen impri-mirse en su organización y analice, en un caso extremo, cuántos de esos documentos podrían ser enviados a impresión simultáneamente. Si diez personas de una oficina comparten una impresora y sus impresiones más grandes son de casi 2 MB, entonces tal vez 20 MB sea suficiente espacio, pero sería ideal asignar entre 50 y 100 MB

▲ Debe contar con memoria suficiente para manejar la carga de impresión. Se requiere un mínimo de 128 MB y, para una carga realista de impresión, 256 MB sería adecua-do. Al abastecer un servidor con la cantidad adecuada de memoria, se asegura su mejor funcionamiento

CONFIGURACIÓN BÁSICA DE IMPRESIÓNLa configuración básica de la impresión se realiza a través del panel de control:

Haga clic en Inicio|Panel de control y luego haga doble clic en Impresoras.

La ventana Impresoras que se abre contiene un icono Agregar impresora que da paso al Asistente para agregar impresoras. Este asistente nos guiará en el proceso de configurar las impresoras disponibles en el equipo local.



Tras hacer doble clic en el icono Agregar impresora (o clic en la opción Agregar impreso-ra, de un panel de tareas), la primera pregunta que hará el asistente será si se desea agregar una impresora local o de red:

▼ Impresora local Se encuentra directamente conectada al equipo frente en el que está sentado

▲ Impresora en red Se conecta a otro equipo o directamente a la red y está comparti-da o configurada para que otros puedan utilizarla

Agregue impresoras localesPara agregar una impresora conectada al equipo local, dé los siguientes pasos (se supone que el asistente Agregar impresoras está abierto, como se describió en la sección anterior):

SUGERENCIA Antes de instalar una impresora local, asegúrese de que está unida al conec-

tor (puerto) correcto del equipo; está conectada a la corriente eléctrica; los cartuchos de

tinta estén en buen estado y correctamente instalados; cuenta con papel y está encendida.

¡Estas recomendaciones simples incluyen casi todas las razones por las que una impre-

sora no funciona!

NOTA Si cuenta con una impresora conectada al equipo mediante un puerto serial uni-

versal (USB, Universal Serial Bus), como casi todas las impresoras nuevas, Windows

Server 2008 la instalará automáticamente y aparecerá en la ventana Impresoras. En este

caso, no es necesario dar los pasos siguientes.

1. Haga clic en Agregar una impresora local. El asistente Agregar impresora inten-tará detectar la impresora. Si la detección es correcta, el asistente le indicará que ha encontrado la impresora y la instalará. Luego le preguntará si desea probarla imprimiendo una página. Si no se detecta la impresora, aparecerá un mensaje de notificación, en este caso vaya al paso 3.

2. Haga clic en Sí, para probar la impresora y luego en Siguiente. Aparecerá el nombre de la impresora, el puerto al que está conectada e información adicional. Pulse Finali-

zar. Si seleccionó Imprimir una página de prueba, ésta se imprimirá. Si la página se imprime en forma satisfactoria, haga clic en Aceptar; en caso contrario, haga clic en Solucionar problemas de impresora y siga las indicaciones mostradas en pantalla. A partir de aquí puede omitir el resto de las instrucciones de esta sección.

3. Si la impresora local que desea configurar no es detectada, será necesario instalarla manualmente; comience por seleccionar el puerto al que está conectada la impreso-ra. Además del puerto USB, otro también muy común y que se detecta automática-mente es LPT1, el primer puerto paralelo. Si se trata de una impresora serial, será necesario utilizar el puerto COM2, debido a que, en general, el puerto COM1 tiene conectado un módem. Seguido de elegir un puerto, haga clic en Siguiente. Aparece-rá una lista de fabricantes y sus modelos de impresoras.

4. Haga clic en el nombre del fabricante de la impresora en la lista ubicada en el lado izquierdo y luego elija el modelo de la impresora en la lista de la derecha, como se



muestra a continuación. Si la impresora no aparece en la lista, pero cuenta con un dis-co que incluye el controlador reciente de Windows, haga clic en el botón Usar disco. Si la impresora no aparece en la lista ni se cuenta con los discos de los controladores, haga clic en Windows Update para conectarse al sitio de Microsoft en Internet y buscar ahí un controlador para la impresora.

5. Cuando seleccione el fabricante de la impresora y modelo, haga clic en Siguiente. Si se le pregunta cuál versión de controlador desea utilizar (el controlador instalado u otro), decida por su opción deseada y haga clic en Siguiente. Acepte el nombre pre-determinado o escriba uno para la impresora, indique si desea que esta impresora sea la predeterminada y dé clic en Siguiente.

6. Seleccione si desea compartir la impresora, acepte el nombre de recurso compartido asignado o escriba uno nuevo. Si ha elegido compartir la impresora, escriba ubicación y cualquier comentario adicional en los campos correspondientes después dé clic en Siguiente. Decida si desea imprimir una página de prueba y haga clic en Finalizar.

7. Si decide imprimir una página de prueba, ésta se imprime de inmediato. Si la im-presión es satisfactoria, dé clic en Cerrar. En caso contrario, haga clic en Solucionar problemas de impresora y siga las instrucciones que ahí se presentan.

Cuando se cierra el cuadro de diálogo del asistente Agregar impresora, deberá ver la impresora que recién añadió, representada con un icono, en la ventana Impresoras.



Configuración de impresoras de redLa configuración de impresoras de red requiere configurar un equipo cliente, de manera que pueda utilizar impresoras localizadas en algún lugar de la red:

▼ Las conectadas a otro equipo

▲ Las conectadas directamente a la red

Los procesos para configurar cada una de éstas difieren entre sí

Configure impresoras conectadas a otros equipos El proceso para configurar el acceso a impresoras conectadas a otros equipos (que suele con-siderársele configuración de una impresora de red) se logra mediante los pasos siguientes (asumiendo que el asistente Agregar impresora aún se encuentra abierto, como se describió en la sección “Configuración básica de impresión”):

1. En la pantalla del asistente Agregar impresora, haga clic en la opción Agregar una impresora de red, inalámbrica o Bluetooth, y dé clic en Siguiente. Windows buscará una impresora en Active Directory, si se encuentra conectada a uno o en la red, si se encuentra conectada a un grupo de trabajo. En caso de que no se encuentre la im-presora a instalar, haga clic en la opción La impresora deseada no está en la lista.

2. Se abrirá la siguiente pantalla del asistente Agregar impresora. Es posible añadir una impresora escribiendo un nombre de impresora único, mediante la notación de la convención universal de asignación de nombres (UNC, Universal Naming Con-vention), como \\Servidor1\HPLJ4550), buscando una impresora en la red local o escribiendo la dirección de red TCP/IP de la impresora (si el equipo se encuentra en un dominio de Active Directory, el cuadro de diálogo podría ser diferente).

SUGERENCIA Si su impresora se instaló automáticamente y tiene CD para ella, quizá se

pregunte si debe reinstalar la impresora recurriendo al CD. Casi todos los controladores

de impresión en Windows Server 2008 son proporcionados por el fabricante y probados

por Microsoft, por lo que deben funcionar perfectamente. A menos que la impresora haya

sido fabricada luego del lanzamiento de Windows Server 2008 (febrero de 2008) el con-

trolador provisto por Windows Server 2008 deberá ser, al menos, la misma versión, si no

es que una más reciente que la incluida en el CD. Por otra parte, el CD para la impresora

puede incluir software para habilitar características adicionales de la impresora como fax,

escáner, copiadora, etcétera.



3. Cuando haya seleccionado una impresora, haga clic en Siguiente. Decida si la im-presora que está instalando será la predeterminada y dé clic en Siguiente. Aparecerá un mensaje notificándole que la impresora se ha instalado con éxito. Si desea probar la impresora, haga clic en el botón Imprimir una página de prueba. Si la página se imprime correctamente, haga clic en Cerrar; en caso contrario, dé clic en Solucionar problemas de impresora y siga las instrucciones que ahí se indican. Cuando todo esté listo, cierre la ventana de ayuda y haga clic en Cerrar y luego en Finalizar.

Una vez más, cuando regrese a la ventana de Impresoras, aparecerá un icono para la nueva impresora en red. Este icono incluye un cable en la parte inferior para indicar que es una impresora de red.



Configure impresoras conectadas directamente a la red Una impresora conectada directamente a la red cuenta con un protocolo en su interior para comunicarse en la red. Este protocolo, en casi todas las impresoras recientes, es TCP/IP. Si la impresora usa el protocolo TCP/IP, el servidor DHCP le asignará una di-rección IP (consulte el capítulo 6 para conocer más sobre TCP/IP y DHCP); también es posible asignar una dirección IP directamente a la impresora durante su configuración. Antes de comenzar el proceso de configuración de este tipo de impresora, es necesario conocer el protocolo empleado y cómo se direcciona. A continuación se presentan los pasos para configurar una impresora conectada directamente a la red mediante el protocolo TCP/IP y una dirección IP conocida:

SUGERENCIA Las impresoras recientes que se conectan directamente a las redes,

cuentan con una forma de determinar la dirección IP asignada por el servidor de DHCP o

para recibir manualmente una dirección IP. Por ejemplo, en las impresoras de las series

HP OfficeJet 7200, 7300, 7400 y Photosmart 2570, 2600 y 2700, se oprime el botón Setup,

se elige Network y View Network Settings para ver o imprimir una página de configuración,

incluida la dirección IP. En lugar de seleccionar View Network Settings, si selecciona Ad-

vanced Setup es posible asignar una dirección IP.

1. En la ventana Impresoras, haga doble clic en Agregar impresora y clic en Agregar una impresora de red, inalámbrica o Bluetooth. Si la impresora no se localiza auto-máticamente, haga clic en la opción La impresora deseada no está en la lista.

2. Haga clic en Agregar una impresora por medio de una dirección TCP/IP o nombre de host y clic en Siguiente.

3. En Tipo de dispositivo, elija la opción Dispositivo TCP/IP de la lista desplegable e ingrese la dirección IP. Observe cómo se llena automáticamente el campo Nombre de puerto.



4. Haga clic en Siguiente. El asistente intentará identificar y configurar la impresora. Si la operación es correcta, aparecerá un mensaje con el nombre por omisión, pregun-tando si desea utilizar la impresora como predeterminada. Elija una opción y haga clic en Siguiente.

5. Decida si quiere compartir la impresora; si es así, escriba el nombre con el que desea compartirla, ubicación y cualquier comentario adicional. Cuando todo esté listo, haga clic en Siguiente.

6. Aparecerá un mensaje indicando que la nueva impresora se ha añadido correcta-mente. Si lo desea, puede imprimir una página de prueba. Si la página de prueba se imprime en forma satisfactoria, haga clic en Cerrar; en caso contrario, haga clic en Solucionar problemas de impresión y siga las instrucciones que ahí se presentan, cierre la ventana de ayuda cuando haya terminado y, por último, haga clic en Ce-rrar. Haga clic en Finalizar cuando la configuración esté completa.

Al volver a la ventana de Impresoras, aparecerá la nueva impresora; sin embargo, el icono de ésta no incluirá un cable en la sección inferior para indicar que es una impresora de red, sino un icono tradicional, como si la impresora estuviera directamente conectada al equipo y no a la red, como se muestra en la siguiente figura:

AJUSTE LA CONFIGURACIÓN DE LA IMPRESORAComo regla general, la configuración predeterminada de una impresora trabaja bien en casi to-das las situaciones, de manera tal que, a menos que exista una situación única, es recomendable mantener la configuración predeterminada. Sin embargo, es importante conocer las opciones con que cuenta; por tanto, revise las configuraciones que pueden utilizarse para controlar su impresora (tales opciones varían dependiendo de la impresora que se está configurando).

Las opciones de configuración están contenidas en el cuadro de diálogo Propiedades, mostrado en la figura 13-1. Se accede a éste al abrir la ventana Impresoras (haga clic en menú Inicio|Panel de control, luego doble clic en Impresoras); dé clic derecho en el icono de la impresora que se desea configurar y escoja la opción Propiedades. Para hacer más clara la explicación, es posible agrupar las fichas del cuadro de diálogo Propiedades en con-figuración impresora, impresión y usuario.



Configure impresorasLa configuración de la impresora se relaciona con el control de la propia impresora. En la sección General (mostrada en la figura 13-1), es posible cambiar el nombre de la impresora, identificar su ubicación y escribir un comentario sobre ella. También es posible cambiar la configuración de diseño, papel y, si está disponible, el color, además de imprimir una página de prueba; en la ficha Puertos, puede modificar el puerto de la impresora, añadir, borrary configurar puertos, habilitar y deshabilitar la comunicación bidireccional con la impresora y configurar la cola de impresión. En la ficha Configuración del dispositivo, es posible modi-ficar el formato asignado a cada bandeja, cómo manejar la sustitución de fuentes y opciones de configuración disponibles para instalarse. Su impresora puede tener opciones diferentes o adicionales, por lo que se recomienda revisar estas fichas para su impresora. Casi to-das las opciones de configuración de una impresora se explican por sí solas, como nombre y localización; hay otras cuyo valor original sólo se modifica en raras ocasiones, como puerto y comunicación bidireccional. Sin embargo, otros elementos requieren una explicación adicio-nal: cola de impresión, prioridad de la impresora y asignación de bandejas de impresión.

Figura 13-1. Una impresora es configurada en su cuadro de diálogo Propiedades.



Cola de impresiónLa cola de impresión permite tener dos o más dispositivos de impresión asignados a una impresora. Los dispositivos de impresión pueden ser locales o conectados directamente a la red, pero deben compartir el mismo controlador. Cuando los trabajos de impresión se envían a la impresora, Windows determina cuál de los dispositivos físicos está disponible y envía el trabajo a dicho dispositivo. Esto elimina la necesidad de que el usuario determi-ne cuál dispositivo de impresión está disponible, permite mejor distribución de carga entre dispositivos de impresión y administración de varios dispositivos, a través de una sola de-finición de impresora.

Es posible configurar una cola de impresión siguiendo los pasos descritos a continuación:

1. Instale todas las impresoras, como ya se describió en la sección “Configuración bá-sica de impresión”.

2. En la ventana Impresoras, haga clic derecho en la impresora a la que se dirigirán todos los trabajos y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.

3. Haga clic en la ficha Puertos y luego en la opción Habilitar la cola de la impresora.

4. Haga clic en cada uno de los puertos a los que está conectado un dispositivo de im-presión que desea agregar a la cola de impresión, como se muestra a continuación:

5. Cuando se hayan elegido todos los puertos, haga clic en Aceptar para cerrar el cua-dro de diálogo Propiedades.

6. Si la impresora que contiene la cola de impresión no está seleccionada como pre-determinada, haga clic derecho en la impresora y clic en la opción Establecer como impresora predeterminada.

NOTA El icono de la impresora predeterminada tiene una marca de selección sobre él,

sin la opción Establecer como impresora predeterminada.



Prioridad de la impresoraSe puede realizar la acción inversa a la creación de colas de impresión asignando varias impresoras a un solo dispositivo de impresión. La principal razón para esto es contar con dos o más configuraciones para un mismo dispositivo. Por ejemplo, si desea que se asignen au-tomáticamente dos o más prioridades a los trabajos dirigidos a un mismo dispositivo de impresión, es posible crear dos o más impresoras apuntando al mismo puerto de impresión y dispositivo físico, pero con diferentes prioridades. Así, puede tener trabajos de alta prio-ridad asignados a una impresora con prioridad de 99, así como trabajos de baja prioridad asignados a impresoras con prioridad 1.

Para crear varias impresoras con un solo dispositivo de impresión, utilice los siguien-tes pasos:

1. Instale todas las impresoras, como ya se describió en la sección “Configuración básica de impresión”, sólo que deberá asignar el mismo puerto a todas las impresoras. Establezca un nombre para cada impresora en el que indique, además, su prioridad, por ejemplo, “Impresora de alta prioridad” e “Impresora de baja prioridad”.

2. En la ventana Impresoras, haga clic derecho en la impresora de alta prioridad y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.

3. Haga clic en la ficha Opciones avanzadas, escriba 99 como valor de prioridad, como se muestra en la figura 13-2, y dé clic en Aceptar.

4. De manera similar, haga clic derecho en las otras impresoras, haga clic en Propieda-des, vaya a la ficha Opciones avanzadas, escriba valores de prioridad entre 1 y 98 y haga clic en Aceptar.

Figura 13-2. Es posible tener diferentes prioridades para una misma impresora.



Los trabajos con prioridad alta se imprimirán antes que los trabajos con prioridad baja, si se colocan en la cola al mismo tiempo.

Asigne bandejas de impresiónDependiendo de su impresora, ésta puede tener más de una bandeja y, como resultado, es posible colocar diferentes tipos y tamaños de papel en cada bandeja. Si asigna tipos y ta-maños de papel a cada bandeja en el cuadro de diálogo Propiedades, mientras un usuario solicita un tipo y tamaño de papel en el momento de imprimir, Windows Server 2008 desig-nará automáticamente la bandeja correcta para dicho trabajo de impresión. A continuación se explica cómo asignar tipo y tamaños de papel a las bandejas:

1. En la ventana Impresoras, haga clic derecho en la impresora cuyas bandejas desea confi-gurar y clic en Propiedades. Se abrirá el cuadro de diálogo Propiedades de la impresora.

2. Haga clic en la sección Configuración del dispositivo. Abra cada una de las ban-dejas, escoja tipo y tamaño de papel que contendrá, de forma similar a como se muestra en la figura 13-3.

3. Cuando haya establecido tipo y tamaño de papel de cada bandeja, haga clic en Aceptar.

Figura 13-3. Es posible asignar diferentes tipos de papel a diferentes bandejas que serán

utilizados de manera automática cuando lo requiera un trabajo de impresión.



Configuración de impresiónLa configuración de la impresión se relaciona con el control del proceso de impresión, no de la impresora ni de los trabajos de impresión. La configuración de la impresión se gestiona en la ficha Opciones avanzadas del cuadro de diálogo Propiedades de la impresora, como el ya mostrado en la figura 13-2. Como se mencionó antes, en casi todos los casos la configura-ción predeterminada es la correcta y sólo debe modificarse en situaciones particulares. Dos excepciones a esto son la configuración de la cola impresión y el uso de página de separa-ción, que se revisan a continuación.

Configure la cola de impresiónCasi siempre, el tiempo que toma imprimir un documento es considerablemente más largo que transferir la información de una aplicación a una impresora. Por tanto, la información almacenada en disco en un formato especial de preimpresión y luego Windows, en una tarea en segundo plano, alimenta a la impresora con toda la información que puede manejar. A este almacenamiento temporal en disco se le denomina inclusión en cola. En casi todos los casos, será deseable utilizar la cola de impresión, en lugar de que la aplicación espere a la impresora. Sin embargo, existe un par de opciones de configuración que deben tomarse en cuenta.

▼ Iniciar la impresión cuando la última página haya entrado en la cola Al esperar la impresión hasta que la última página se coloque en la cola, esta acción termina más rápido y el usuario regresa lo antes posible a la aplicación, pero la impresión tomará más tiempo

▲ Empezar a imprimir de inmediato La impresión terminará lo antes posible, pero la aplicación estará más tiempo detenida

No existe una opción correcta. Usualmente, la opción predeterminada, Empezar a impri-mir de inmediato, proporciona una buena solución; pero si usted desea volver a la aplicación en el menor tiempo posible, entonces elija esperar hasta que la última página haya entrado en la cola.

Use páginas de separaciónSi tiene diferentes trabajos en una impresora, quizás valga la pena tener una página de se-paración entre ellos (una hoja de papel en blanco entre los trabajos), para identificar más fá-cilmente dónde termina un trabajo y comienza el otro. También es posible utilizar el archivo que crea una página de separación para que una impresora pase de PostScript (un lenguaje de impresión) a PCL (Printer Control Language, lenguaje de control de impresora) en im-presoras Hewlett-Packard (HP) y compatibles. Cuatro ejemplos de archivos de separación (con extensión .sep) se incluyen en Windows Server 2008:

▼ Pcl.sep Imprime una página de separación antes del inicio de cada trabajo de im-presión en impresoras compatibles con PCL. Si la impresora maneja PostScript y PCL, se colocará en modo PCL

■ Pscript.sep No imprime una página de separación, pero las impresoras que mane-jan PostScript y PCL son colocadas en modo PostScript



■ Sysprint.sep Imprime una página de separación antes del inicio de cada trabajo de impresión, en impresoras compatibles con PostScript

▲ Sysprtj.sep Realiza la misma acción que Sysprint.sep, pero en idioma japonés

NOTA Los archivos de separación funcionan para impresoras compatibles con HP y

PostScript. No funcionan con todas las impresoras.

Si conoce o cuenta con un manual de lenguajes PCL o PostScript (incluso ambos), es posible abrir y modificar estos archivos (o copias de ellos), con cualquier editor de textos, como el Bloc de notas, para ajustarlos a propósitos particulares. Estos archivos se encuen-tram como opción predeterminada, en la carpeta C:\Windows\System32.

Configure usuariosLa configuración de usuarios se relaciona con el control de aquellos que utilizan una im-presora. Cuando se configuró la impresora por vez primera, se le pidió definir si deseaba compartirla y qué otros usuarios de la red la utilizarían. La configuración de usuarios per-mite cambiar dicha decisión en la ficha Compartir, del cuadro de diálogo Propiedades de impresora, en que se habilita y deshabilita esta opción, mientras en la ficha Seguridad del mismo cuadro de diálogo se establecen los permisos para varios grupos de usuarios.

NOTA Las opciones para compartir y de seguridad son controladas por el equipo al que

está conectada directamente la impresora. Una impresora en red es vista como si tuviera

conexión directa con todos los equipos de la red y, por tanto, todas ellas pueden configu-

rarla; sin embargo, cada configuración sólo se aplica en trabajos de impresión del equipo

donde fue realizada.

Si comparte una impresora, la ficha Seguridad determina quién tiene permiso para uti-lizarla, controlarla y hacer cambios, como se observa en la figura 13-4. Los cuatro tipos de permisos y funciones permitidos son los siguientes:

▼ Imprimir Permite al usuario conectarse a una impresora y utilizarla, así como cancelar, detener, reanudar y reiniciar sus propios trabajos de impresión

■ Administrar impresoras Permite al usuario controlar las propiedades de la impreso-ra, que incluye establecer permisos, compartir la impresora, cambiar sus propiedades, eliminarla y cancelar todos los trabajos de impresión

■ Administración de documentos Permite a los usuarios controlar todos los traba-jos de impresión, incluidas las acciones para cancelar, detener, reanudar y reiniciar trabajos de impresión de otros usuarios



▲ Permisos especiales Indica que al usuario se le han asignado permisos especiales, mediante el botón Opciones avanzadas y el cuadro de diálogo Configuración de seguridad avanzada

Para cada persona o grupo en la lista Nombres de grupos o usuarios, es posible selec-cionar los permisos que desea otorgar. Los permisos determinan si se permite o niega cierto conjunto de funciones. Denegar un permiso tiene precedencia sobre permitirlo; por tanto, si una función es denegada en un lugar y permitida en otro, será denegada.

Figura 13-4. Si comparte una impresora, debe determinar los permisos para cada

grupo de usuarios.

PRECAUCIÓN Si se niega un conjunto de funciones para el grupo Todos, entonces se

estará negando a todos los usuarios la posibilidad de realizar esas funciones, aunque en

lo individual alguno de ellos tuviera permiso para realizarla.

Si se desea tener un nivel más detallado de permisos, haga clic en el botón Opciones avanzadas, ubicado en la parte inferior de la ficha Seguridad. Se abrirá el cuadro de diálogo Configuración de seguridad avanzada. Seleccione ahí un permiso específico y haga clic en Editar. Esto permite refinar los detalles de lo que el permiso incluye, como se muestra a continuación:



Cuando termine de revisar los permisos, cierre los tres cuadros de diálogo abiertos.

NOTA En el capítulo 15 se explican con mayor detalle los permisos.

CONTROL DE UNA COLA DE IMPRESIÓN Conforme las aplicaciones envían trabajos a impresión, éstos se colocan, como opción pre-determinada, en el disco para luego enviarse a la impresora según la velocidad que ésta puede manejar. Si se envían varios trabajos de impresión casi al mismo tiempo, se formarán en cola esperando que el trabajo previo termine. Controlar esta cola es una función admi-nistrativa importante que incluye detener y reanudar impresiones, cancelar impresiones, redirigir documentos y cambiar las propiedades de un documento. Estas tareas se manejan en una ventana de la impresora, similar a la que se muestra en la figura 13-5, que se abre al hacer doble clic en la impresora correspondiente, en la ventana Impresoras.

Ponga en pausa, reanude y reinicie una impresiónMientras se realiza la impresión, quizás necesite ponerla en pausa. Esto puede ser causado por la impresora (por ejemplo, para cambiar el papel), en cuyo caso sería necesario detener por un momento todos los trabajos de impresión. Esto también puede ser provocado por un documento, situación en que podría detener la impresión de ese documento (por ejemplo, debido a algún problema con el mismo, como algún carácter provocando que la impresora se comporte erráticamente). En Windows Server 2008, es posible poner en pausa y reanudar



la impresión de todos los documentos, además de poner en pausa, reanudar y reiniciar la impresión de un documento.

Ponga en pausa y reanude la impresión de todos los documentosPoner en pausa y reanudar la impresión de todos los documentos significa, en esencia, pau-sar y reanudar la impresora. Los siguientes pasos indican cómo hacerlo:

1. En la ventana de la impresora, como la mostrada en la figura 13-5, haga clic en el menú Impresora y luego en la opción Pausar la impresión. En la barra de título aparecerá la palabra “Pausado”, y en el menú Impresora, del lado izquierdo de la opción Pausar impresión, aparecerá una marca de selección.

Figura 13-5. Los documentos en la cola de una impresora pueden ponerse en pausa,

cancelarse, reanudarse y reiniciarse.

2. Para reanudar la impresión, haga clic una vez más en el menú Impresora y luego en la opción Pausar la impresión, que está marcada. El texto “Pausado” desaparecerá de la barra de título y la marca de selección desaparecerá de la opción Pausar la impresión, en el menú Impresora.



Ponga en pausa, reanude y reinicie la impresión de un documentoCuando desea interrumpir la impresión de uno o más documentos en la cola de impresión, pero no todos, puede hacerlo y reanudar la impresión donde se quedó o reiniciarla desde el principio del documento. Los siguientes pasos indican cómo hacerlo:

1. En la ventana de la impresora, seleccione el documento o documentos que desea de-tener, haga clic en el menú Documento y seleccione la opción Pausa. En la columna Estado correspondiente al documento seleccionado aparecerá el valor “Pausado”.

2. Para reanudar la impresión donde el documento se quedó, haga clic derecho en el documento y clic en Reanudar. En la columna Estado aparecerá el valor “Impri-miendo” para el documento seleccionado.

3. Para reiniciar la impresión desde el inicio del documento, seleccione el documento y haga clic en Reiniciar. En la columna Estado aparecerán los valores “Reiniciando” e inmediatamente después “Imprimiendo”.

NOTA Si desea modificar el orden de impresión de los documentos, no es posible de-

tener el documento en impresión y esperar que ocurra un cambio en el orden. En primer

lugar, deberá terminar o cancelar la impresión del documento actual. Es posible detener

documentos que no se están imprimiendo. Por ejemplo, si desea imprimir de inmediato el

tercer documento en la cola de impresión y en ese momento se imprime el primero, deberá

permitir que termine la impresión del primer elemento o cancelarla. Luego, puede poner en

pausa el segundo documento antes de que comience su impresión; el tercer documento

comenzará a imprimirse cuando haya terminado el primer documento.

Cancele la impresiónEs posible cancelar una impresión al nivel de la impresora, que retira todos los trabajos en la cola de esa impresora o el nivel del documento, que cancela los documentos seleccionados. Un trabajo cancelado se elimina de la cola de impresión. A continuación se indica cómo can-celar, primero, un trabajo de impresión, luego todos los trabajos en la cola de impresión.

1. En la ventana de la impresora, seleccione el trabajo o trabajos que desea cancelar. Haga clic en el menú Documento y seleccione Cancelar. Se le preguntará si está seguro de cancelar los trabajos seleccionados. Haga clic en Sí. El trabajo o trabajos desaparecerán de la ventana y no estarán más en la cola de impresión.

2. Para cancelar todos los trabajos en la cola de impresión, haga clic en el menú Impre-sora y escoja Cancelar todos los documentos. Se le preguntará si está seguro de que desea cancelar todos los documentos. Haga clic en Sí. Todos los trabajos desapare-cerán de la cola de impresión y la ventana.

Redireccione documentosSi cuenta con dos impresoras que comparten el mismo controlador, puede redirigir los tra-bajos localizados en la cola de impresión de una de ellas a la cola de la otra, aunque esté en red, donde los trabajos se imprimirán sin que el usuario se vea obligado a reenviarlos. Esto se logra cambiando el puerto al que se dirige la impresora:



1. En la ventana de la impresora, haga clic en el menú Impresora, seleccione Propie-dades y dé clic en la ficha Puertos.

2. Si la segunda impresora se encuentra en la lista de puertos, selecciónela y haga clic en Aceptar, para cerrar el cuadro de diálogo Propiedades. En caso contrario, haga clic en Agregar puerto, con lo que se abrirá el cuadro de diálogo Puertos de impre-sora. Haga clic en el tipo de puerto “Local Port”, luego en el botón Puerto nuevo; se abrirá el cuadro de diálogo Nombre del puerto.

3. Escriba el nombre UNC de la impresora (por ejemplo, \\Servidor1\HPCLJ4550) dé clic en Aceptar.

4. Haga clic dos veces en Cerrar. La cola de impresión se redirigirá a la otra impresora.

Cambie las propiedades de un documentoUn documento en la cola de impresión cuenta con un cuadro de diálogo Propiedades, mos-trado en la figura 13-6, que se abre al hacer clic derecho en el documento y elegir la opción Propiedades. Esto le permite establecer la prioridad relativa que se usará en la impre-sión del documento, de 1 —la más baja— a 99 —la más elevada—, a cuál usuario en sesión se le notificará cuando el documento esté impreso y la hora del día en que se desea impri-mir el documento.

Establezca la prioridadUn documento impreso en una impresora cuyo valor predeterminado es de prioridad (con-sulte “Prioridad de la impresora”, en páginas anteriores del capítulo) se define en prioridad 1, la menor. Si desea imprimir otro documento antes que el primero y éste aún no ha empe-zado a imprimirse, asigne al segundo documento una prioridad superior a 1, arrastrando el deslizador de prioridad a la derecha.

A quién notificarLa impresora puede notificar al propietario de un documento cualquier situación especial que ocurra durante la impresión del documento y también cuando la impresión del documento termine. El propietario es el usuario que envió el documento a la impresora. En algunas oca-siones es útil notificar a otro usuario. Esto se logra colocando el nombre del otro usuario en el cuadro de texto Notificar, ubicado en el cuadro de diálogo Propiedades del documento.

Establezca la hora de impresión En general, un trabajo se imprime apenas alcanza el inicio de la cola de impresión. Es po-sible modificar esto para establecer un periodo en particular, en la ficha General, del cua-dro de diálogo Propiedades del documento (véase la figura 13-6).

Esto permite que trabajos grandes, capaces de acaparar la cola de impresión, se impriman en un momento con poca o nula carga en la impresora.



ADMINISTRE LAS FUENTESUna fuente es un conjunto de caracteres con el mismo diseño, tamaño, grosor y estilo. Una fuente es un miembro de una familia de tipos, donde todos los miembros tienen el mismo dise-ño. La fuente de 12 puntos Arial negrita cursiva es miembro del tipo Arial con tamaño de 12 puntos, grosor en negritas y estilo cursivo. Los sistemas que ejecutan Windows Server 2008 tienen muchas fuentes, incluidas las siguientes:

▼ Fuentes residentes Incorporadas en la impresora

■ Fuentes de cartucho Almacenadas en cartuchos conectados a la impresora

▲ Fuentes de software Almacenadas en un disco del equipo al que está conectada la impresora y que se transfieren a la impresora cuando son requeridas

Figura 13-6. Cuadro de diálogo Propiedades de un documento en la cola de impresión.



Windows Server 2008 incluye varias fuentes de software, y existen muchas más que agregar de otros orígenes, incluido Internet o automáticamente cuando se instala una apli-cación. El trabajo de administración de fuentes consiste en minimizar el tiempo que toma transferir las fuentes a la impresora y mantener disponibles las necesarias. Minimizar el tiempo de descarga significa que, siempre que sea posible, se utilizarán las fuentes residen-tes y de cartucho. Disponibilidad de una fuente significa que las fuentes a usar están en el disco del servidor de impresión, mientras las que no desea no se encuentran en el disco, des-perdiciando espacio y tiempo de manejo. En esta sección, revisará las fuentes de Windows Server 2008, cómo agregar y quitar fuentes y cómo utilizar fuentes.

Fuentes en Windows Server 2008Hay tres fuentes de software en Windows Server 2008:

▼ Fuentes de contorno Almacenadas como conjunto de comandos para dibujar un carácter particular. Como resultado, las fuentes pueden ser escaladas a cualquier tamaño (por ello se les denomina fuentes escalables) y pueden girarse. Las fuentes de contorno son las utilizadas en pantalla e impresora. Windows Server 2008 da soporte a tres tipos de fuentes de contorno: TrueType desarrolladas por Microsoft para Windows 95; OpenType (también desarrolladas por Microsoft), como exten-sión del tipo TrueType con mayor cantidad de formas —versales y versalitas—, incluso más detalle en las mismas; asimismo, Type 1 y PostScript, desarrolladas por Adobe Systems, Inc. Todas las fuentes de contorno en Windows Server 2008 son fuentes OpenType

NOTA En Windows 95/98, las fuentes de contorno de Microsoft fueron identificadas como

TrueType y se colocaron en su icono las letras “TT” para identificarlas. De Windows 2000 en

adelante, las mismas fuentes fueron identificadas OpenType con esquemas TrueType y se

les agregó una “O” a sus iconos para identificarlas.

■ Fuentes de mapa de bits También llamadas fuentes de barrido, se encuentran almacenadas como imagen de mapa de bits para un tamaño, grosor e impresora específicos. No pueden escalarse ni girarse. Se incluyen para compatibilidad con sistemas antiguos y casi nunca se utilizan. Las fuentes de mapa de bits, en Windows Server 2008, tienen una letra A en sus iconos

▲ Fuentes vectoriales Son creadas con segmentos de línea que pueden ser escaladas y giradas. Se utilizan principalmente en plotters, pero no en impresoras ni pantalla

Se puede ver y trabajar con las fuentes instaladas en Windows Server 2008 abriendo la ventana Fuentes, mostrada en la figura 13-7, haciendo clic en Inicio|Panel de control y haciendo doble clic en Fuentes.

Si no ha instalado ninguna otra fuente y tampoco una aplicación ha instalado fuentes pro-pias, verá 197 fuentes en el sistema de Windows Server 2008. Las fuentes con una O en el icono



son OpenType o TrueType, están firmadas digitalmente y son archivos con extensión .ttf. Las fuentes con las letras TC en sus iconos son fuentes de tipo OpenType o TrueType sin firma digital y son archivos con extensión .ttc. Las fuentes con una A en el icono son fuentes de tipo mapa de bits o vectoriales, sin firma digital y con extensión .fon. Las fuentes de tipo TrueType antiguas que están disponibles en versiones antiguas de Windows tienen las letras TT en su icono, sin firma digital, con extensión .ttf.

En la ventana Fuentes, es posible ver una fuente haciendo doble clic en su icono. Esto abre una ventana donde se muestra la fuente en varios tamaños e información acerca de ella, como se ilustra en la figura 13-8. En esta ventana, es posible imprimir la fuente haciendo clic en el botón Imprimir. En algunas ocasiones es práctico guardar un cuaderno con ejemplos impresos de todas las fuentes disponibles en el servidor de impresión.

Figura 13-7. Algunas de las muchas fuentes de Windows Server 2008.



Figura 13-8. Haga doble clic en una fuente para desplegar ejemplos de ella en varios tamaños.

Agregue y elimine FuentesEs posible agregar fuentes adicionales a las instaladas en Windows Server 2008, aplicando los siguientes pasos:

1. Haga clic en Inicio|Panel de con-trol y doble clic en Fuentes. Se abrirá la ventana Fuentes, como en la figura 13-7.

2. Haga clic en el menú Archivo y escoja la opción Instalar nueva fuente. Abra la unidad y carpeta donde está contenida la fuente que se desea instalar (puede ser un CD-ROM, dispositivo USB u otro disco duro en la red), como se muestra a continuación:



3. Seleccione de la lista las fuentes que desea instalar (mantenga oprimida la tecla ma-yús y haga clic para seleccionar fuentes contiguas en la lista o mantenga oprimida la tecla ctrl y haga clic para seleccionar fuentes que no son contiguas) y después dé clic en Instalar. Cuando la instalación esté completa, haga clic en Cerrar. Las nuevas fuentes instaladas aparecerán en la ventana Fuentes.

Es posible eliminar fuentes; para ello, sólo necesita seleccionar la fuente y luego oprimir la tecla supr. Como opción, es posible hacer clic derecho en la fuente y luego en la opción Eliminar. En cualquier caso, se le preguntará si está seguro de eliminar la fuente. Haga clic en Sí para confirmar la eliminación de la fuente. En caso de que haya cometido un error y desee recuperar la fuente, la encontrará en la Papelera de reciclaje.

Utilice fuentesLas fuentes suelen utilizarse o aplicarse en las aplicaciones. Por ejemplo, en Microsoft Word es posible seleccionar una línea de texto y luego abrir la lista de fuentes, como se muestra en la figura 13-9. Cada aplicación es diferente, pero todas tienen una función similar. Una ca-racterística interesante de las versiones recientes de Microsoft Word y muchas aplicaciones es que puede revisar el aspecto de la fuente en la lista, como se ve en la figura 13-9.

Figura 13-9. Las fuentes se utilizan en aplicaciones como se muestra aquí en Microsoft Word 2007.



El uso correcto de las fuentes puede ser un activo importante en la transmisión de un mensaje de forma correcta, pero también puede afectar al mismo si se utiliza en forma in-apropiada. Las dos reglas principales que habrán de considerarse en el uso de las fuentes son: no utilizar demasiadas fuentes y emplear fuentes complementarias juntas. En un do-cumento de una sola página, tal vez baste utilizar dos tipos (y se pueden usar los estilos negritas y cursivas para tener hasta ocho fuentes distintas), mientras en un documento más largo es apropiado utilizar tres (y hasta cuatro) tipos. Las fuentes complementarias son más subjetivas. Arial y Times Roman suele considerárseles complementarias entre sí, al igual que Futura y Garamond, además de Palatino y Optima. En cada uno de estos pares, un tipo (por ejemplo, Arial) es sans serif (sin los pequeños decorados en los extremos) usada para títulos y encabezados, mientras el otro tipo (por ejemplo, Times Roman) es serif (con decorados en los extremos) empleada para el cuerpo del texto. Existen, por supuesto, mu-chas otras opciones y consideraciones en el uso sofisticado de fuentes.

CONFIGURE Y USE SERVICIOS DE IMPRESIÓNServicios de impresión ofrece un medio centralizado para administrar la impresión en red, tanto a otros servidores de impresión e impresoras en red (las conectadas directamente a la red), como al servidor local. Es posible instalar y vigilar la actividad de las impresoras en red y servidores de impresión, además de configurar sus permisos, prioridades e im-presión temporal a disco. Además de observar las colas de impresión y redirigir las colas de impresión, si es necesario. Los servicios de impresión tienen tres servicios de función: Servidor de impresión, Impresión en Internet y el Servicio LPD, para UNIX.

Instale los servicios de impresiónServicios de impresión son una función instalada en el Administrador del servidor.

1. Haga clic en Inicio|Administrador del servidor. En el panel a la izquierda del Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de funciones, haga clic en la opción Agregar funciones ubicada en el lado derecho. En el Asistente para añadir funciones que se abre, haga clic en Siguiente.

2. En la lista de funciones, haga clic en Servicios de impresión y clic en Siguiente. Lea la introducción a los servicios de impresión y la información adicional y haga clic en Siguiente.

3. Seleccione los servicios de función que desee instalar, entre los siguientes:

a. Servidor de impresión, ofrece la función de Administrador de impresión para varias impresoras en red y servidores de impresión.



b. Servicio LPD, permite a equipos basados en UNIX imprimir en las impresoras compartidas conectadas al servidor local.

c. Impresión en Internet, permite a los usuarios con el cliente de impresión en In-ternet instalado, recurrir a un navegador Web para conectarse a las impresoras compartidas del servidor e imprimir en ellas mediante el protocolo de impresión en Internet (IPP, Internet Printing Protocol). El servicio de función Impresión en Internet también crea un sitio Web desde el que los usuarios pueden adminis-trar trabajos de impresión en el servidor.

4. Si selecciona Impresión en Internet sin el servidor Web (IIS) instalado, se abrirá el cuadro de diálogo Agregar servicio de función requerido, indicando que se instala-rá el servidor Web (IIS) y otros servicios de función necesarios. Haga clic en el botón Agregar servicios de función requeridos.

5. Haga clic en Siguiente. Si eligió impresión en Internet y necesita instalar el servidor Web (IIS), lea la página de introducción al servidor Web (IIS) (consulte el capítulo 9), haga clic en Siguiente, escoja los servicios de función de IIS o deje la selección predetermina-da (esto último es lo más recomendable) y una vez más haga clic en Siguiente.

6. Se le muestran funciones y servicios de función elegidos para su instalación. Si los datos que aparecen no son correctos, haga clic en Anterior y realice las modificacio-nes necesarias. Cuando todo esté listo, haga clic en Instalar.

7. Cuando la instalación finalice, haga clic en Cerrar.

NOTA Administración de impresión puede administrar un servidor de impresión (un equipo al

que se ha conectado una impresora), que ejecute Windows 2000 o una versión posterior.

Administre impresoras e impresión Los servicios de impresión instalan Administración de impresión en el Administrador del servidor (véase la figura 13-10) y en el menú Herramientas administrativas. En esencia, son lo mismo, excepto que Administración de impresión, ubicado en la ventana Administra-dor del servidor, sólo permite la administración de impresoras locales conectadas al servidor donde se ejecuta el Administrador de servidor. En el resto de esta sección se utilizará Admi-nistración de impresión, localizado en el menú Herramientas administrativas, pero cuando haga referencia al servidor de impresión local y sus impresoras, se utilizará Administración de impresión ubicado en la ventana del Administrador del servidor.



Figura 13-10. Administración de impresión está disponible en la ventana Administrador

de servidor como en el menú Herramientas administrativas.

Administre servidores de impresión en redDe acuerdo con la instalación inicial, Administración de impresión sólo administra al servi-dor de impresión local y sus impresoras. Para administrar otros servidores de impresión e impresoras, los servidores deben añadirse al Administrador de impresión. Para ello:

1. Haga clic en Inicio|Herramientas administrativas|Administración de impresión. En el panel de la izquierda, haga clic derecho en Administración de impresión y escoja la opción Agregar o quitar servidores.

2. Escriba los nombres de uno o más servidores de impresión, separándolos con co-mas o haga clic en el botón Examinar, busque el servidor y haga clic en el botón Seleccionar servidor. Haga clic en el botón Agregar a la lista.

3. Cuando todos los servidores que desee administrar estén en la lista, haga clic en Aceptar. Abra servidores de impresión en el panel de la izquierda de Adminis-tración de impresión: deberá ver todos los servidores recién añadidos, como se muestra a continuación:



Agregue impresoras a Servidores de impresiónPara administrar las impresoras ubicadas en servidores de impresión remotos, debe notifi-car al Administrador de impresión sobre su existencia.

1. Con la ventana Administración de impresión abierta, como se describió en la sec-ción anterior, haga clic derecho en el servidor al que está conectada la impresora y haga clic en la opción Agregar impresora.

2. Se abrirá el Asistente para la instalación de impresoras de red, haga clic en un mé-todo de instalación y clic en Siguiente.

3. Haga clic en la impresora que desea instalar y después en Siguiente. Si se le pide, iden-tifique el controlador que desea utilizar y haga clic en Siguiente. Ingrese el nombre de la impresora y determine si desea compartirla. De hacerlo así, escriba el nombre del recurso compartido, su ubicación y un comentario. Después haga clic en Siguiente.

4. Revise la configuración de la impresora mostrada; haga clic en Atrás para realizar cualquier cambio necesario; luego clic en Siguiente. Se instalan la impresora y su controlador.

5. Cuando se le indique que la instalación ha concluido, puede elegir entre imprimir una página de prueba o instalar otra impresora. Una vez todo listo, haga clic en Finalizar.

Administre la impresiónUna vez que haya instalado los servidores de impresión e impresoras conectadas a ellos, es posible seleccionar una o más impresoras, en un servidor o mediante un filtro en todos los servidores, en Administración de impresión y administrar esa impresora o grupo de impresoras, como se describió en páginas anteriores de este capítulo. Esto le permite, en-tre otras tareas, administrar las acciones para compartir, pausar, reanudar, cancelar todos los trabajos, cambiar nombre y eliminar la impresora.



Los filtros permiten especi-ficar un atributo de impresora y seleccionar sólo las impresoras que cuentan con dicho atributo. Además de utilizar filtros duran-te el proceso de administración, también es posible recibir un aviso vía correo electrónico o solicitar que se ejecute una secuencia de comandos cuando una impresora cuenta con los atributos especi-ficados por un filtro. Es posible utilizar uno de los cuatro filtros personalizados estándar, mostrados a la derecha o crear un filtro personalizado. Para crear un nuevo filtro personalizado haga lo siguiente:

1. Abra Administración de impresión, como ya se describió en “Administre servido-res de impresión en red”, en el panel de la izquierda, haga clic derecho en Filtros personalizados y seleccione Agregar nuevo filtro de impresora.

2. En el Asistente para nuevo filtro de impresora que se abre, escriba un nombre para el filtro, ingrese una descripción, haga clic en Mostrar número total de impresoras junto al nombre del filtro de impresora y dé clic en Siguiente.

3. Seleccione un campo y una condición y escriba un valor. Repita esta operación to-das las veces que sea necesario, como se muestra en la figura 13-11. Cuando todo esté listo, haga clic en Siguiente.

Figura 13-11. Los filtros pueden ser muy específicos para seleccionar un conjunto determinado

de impresoras en una red.



4. Si desea recibir una notificación por correo electrónico, haga clic en la opción co-rrespondiente y capture la información necesaria. Si desea ejecutar una secuencia de comandos, elija Ejecutar script, capture la ruta de acceso y los argumentos de la secuencia de comandos y luego haga clic en Finalizar.

Transfiera una carga de impresiónSi una impresora tiene una cantidad considerable de trabajo acumulado y desea descargarla, para acelerar la impresión u otro motivo, es posible hacerlo con Administración de impresión.

1. Con la ventana Administración de impresión abierta, como se describió en la sec-ción “Administre servidores de impresión en red”, en el panel de la izquierda, haga clic derecho en el servidor con la carga a transferir y haga clic en la opción Exportar impresoras a un archivo.

2. En el asistente Migración de impresoras que se abre, revise los objetos que se ex-portarán y haga clic en Siguiente. Escriba un nombre para el archivo o haga clic en Examinar para localizar un archivo y haga clic en Siguiente. Se exportarán las colas de impresión e información de los archivos. Haga clic en Finalizar.

3. De regreso a Administración de impresión, en el panel de la izquierda, haga clic de-recho en el servidor al que desea transferir la carga haga clic en Importar impresoras desde un archivo. Una vez más, se abrirá el asistente Migración de impresoras.

4. Ingrese el nombre del archivo o haga clic en el botón Examinar, para localizar el archivo, clic en Siguiente. Se importarán las colas de impresión y su información. Seleccione el modo de importación, escoja entre sobrescribir impresoras existentes o mantener impresoras existentes e importar copias y seleccione cómo se mostrará la lista de impresoras en el directorio.

5. Haga clic en Siguiente. Se realizará la importación. Cuando se indique que la im-portación está completa, dé clic en Finalizar.



CONFIGURE Y USE UN SERVIDOR DE FAXEl Servidor de fax ofrece una opción de administración centralizada para el envío de faxes en el servidor local y la red a que se está conectado. Con Servidor de fax, es posible en-viar y recibir faxes, además de administrar dispositivos de fax conectados a la red, su uso y configuración.

Instale Servidor de faxEl Servidor de fax es una función de servidor instalada desde el Administrador del servidor:

NOTA El Servidor de fax requiere que se hayan configurado Servicios de impresión. En

las siguientes instrucciones se supone que ya se han instalado los servicios de impresión,

como se describió antes en este capítulo.

1. Haga clic en Inicio|Administrador del servidor. En el panel de la izquierda del Administrador del servidor, haga clic en Funciones. Bajo la sección Resumen de funciones, dé clic en la opción Agregar funciones, ubicada en el panel a la derecha. En el Asistente para agregar funciones que se abre, haga clic en Siguiente.

2. En la lista de funciones, haga clic en Servidor de fax. (Si no instaló Servicios de impresión, como ya se indicó en este capítulo, se le notificará que debe instalarlos; para ello, haga clic en Añadir servicios de función requeridos.) Haga clic en Siguien-te. Lea la introducción al Servidor de fax, así como cualquier información adicional que requiera y después clic en Siguiente.

3. Agregue usuarios de fax al hacer clic en Agregar, ingresar nombres de usuarios o clic en el botón Avanzadas, en Buscar ahora, en los nombres que desee añadir (mantenga oprimida la tecla ctrl para seleccionar varios usuarios) y dos veces en Aceptar.

4. Haga clic en Siguiente y escoja los usuarios que pueden acceder a la bandeja de entra-da del servidor de fax: sólo los asistentes de enrutamiento o todos los usuarios. Haga clic en Siguiente. Si escogió la primera opción, será necesario que los elija usando el mismo proceso descrito en el paso 3. Haga clic en Siguiente cuando todo esté listo.

5. Revise sus opciones. Si desea realizar un cambio, haga clic en Anterior. Cuando esté listo, haga clic en Instalar, después en Cerrar cuando se le indique que la instalación ha concluido correctamente.

Una vez completada la instalación y, tal vez, después de reiniciar el servidor, aparecerá la función Servidor de fax y sus servicios de función, como se muestra en la figura 13-12. El servicio de función de fax también está disponible al hacer clic en Inicio|Herramientas administrativas|Administrador del servicio de fax.

Habilite fax y escáner de WindowsFax y escáner de Windows es la herramienta de fax en Windows Vista, disponible una vez que ha instalado la función de Servidor de fax. Fax y escáner de Windows suministran el medio para enviar y recibir faxes en el servidor, tanto para administrar la recepción como



para enviar faxes. Es posible enviar un fax al escanear directamente un documento y luego enviarlo, además de “imprimir” en el fax desde una aplicación como Microsoft Word. Fax y escáner de Windows requieren que el servidor cuente con un fax módem y línea telefónica conectada (consulte el capítulo 8 para conocer cómo configurar y trabajar con módems).

Figura 13-12. La función Servidor de fax permite envío y recepción de faxes en el servidor local,

además de la administración del envío y recepción de faxes en la red.

Fax y escáner de Windows es una herramienta del Administrador de servidor que se instala por separado. Además, es necesario instalar un dispositivo de fax.

Instale Fax y escáner de Windows1. Haga clic en Inicio|Administrador de servidor. En el panel de la izquierda, haga

clic en Características y, en el panel de la derecha, clic en Agregar características.

2. En la lista de características, haga clic en Experiencia de uso y en Siguiente. Dé clic en Instalar y en Cerrar; cuan-do se le indique que el equipo debe reiniciarse, haga clic en Sí para reiniciarlo.

3. Tras reanudar la instalación y completarla, haga clic en Cerrar para terminar.



Instale un dispositivo de fax

NOTA Es posible abrir la ventana Fax y escáner de Windows desde el Administrador del

servidor, ya sea con el Administrador del servicio de fax abierto, o desde la ventana Admi-

nistrador del servicio de fax abierta desde Herramientas administrativas, haciendo clic en

el icono Consola de fax, ubicado en la barra de herramientas.

1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la ventana Fax y escáner de Windows, como se muestra en la figura 13-13.

2. Haga clic en Nuevo fax, clic en Conectarse a un módem fax, escriba el nombre del módem fax y dé clic en Siguiente.

3. Seleccione si el módem fax deberá responder automáticamente a las llamadas en-trantes o notificar al usuario.

4. Si aparece un mensaje indicando que el Firewall de Windows ha bloqueado algunas funciones de este programa, haga clic en Desbloquear.

5. Cuando la configuración termine, aparecerá la ventana Nuevo fax. Consulte la sec-ción “Envíe un mensaje por fax”, en la siguiente página.

Figura 13-13. Fax y escáner de Windows permite el envío y la recepción de faxes

en Windows Server 2008.



Envíe y reciba faxesFax y escáner de Windows permite enviar y recibir faxes de manera directa, de la misma forma que haría con un correo electrónico; se envía un fax desde un programa, como Micro-soft Word, lo que se logra especificando “fax” como impresora; y luego se permite escanear documentos que serán incluidos en el fax.

Envíe un mensaje por faxPara enviar un mensaje por fax como si fuera correo electrónico:

1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows, dé clic en Nuevo fax. Después de la primera vez que haya hecho clic en Nuevo fax, la ven-tana Nuevo fax aparecerá de inmediato, como se muestra en la figura 13-14.

2. Seleccione una portada, si desea una (consulte “Cree una portada de fax”, en páginas posteriores de este capítulo), escriba el número telefónico que habrá de utilizarse para enviar el fax (o clic en el botón Para y seleccione un número telefónico de su lista de contactos), escriba el asunto del nuevo fax y cualquier comentario adicional para la portada y luego el mensaje.

Figura 13-14. La ventana de mensaje Nuevo fax tiene el aspecto de un formulario de mensaje

de correo electrónico.



3. Haga clic en Vista previa, en la barra de herramientas, para ver la portada antes o después de añadir el texto al fax. También es posible incluir documentos e imáge-nes haciendo clic en los botones respectivos en la barra de herramientas.

4. Cuando todo esté listo, haga clic en el botón Enviar. Se cerrará la ventana Nuevo fax y aparecerá el cuadro de diálogo Revisión del estado del fax, donde, al dar clic en el botón Ver detalles, es posible revisar el estado de los faxes que se envían. (Si no aparece el cuadro en la ventana Fax y escáner de Windows, dé clic en Herramientas y seleccione Monitor de estado del fax.)

5. Apenas se haya enviado el fax, se verá reflejado en su estado en el cuadro de diálogo. Al terminar, cierre el cuadro de diálogo y la ventana Fax y escáner de Windows.

Envíe un fax al “imprimirlo”Imprimir un fax es tan fácil como cualquier otro método de impresión.

1. Abra un documento en un programa, Microsoft Word, por ejemplo. En éste, haga clic en el menú Archivo o el botón de Microsoft Office y clic en Imprimir. Abra la lista de impresoras, dé clic en fax y Aceptar. Aparecerá el cuadro de diálogo Nuevo fax con el documento de Word incluido en la sección de archivos adjuntos.



2. Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”. Si ésta es la primera vez que utiliza el fax, aparecerá primero el cuadro de diálogo de configuración, como se describió en la sección “Instale un dispositivo de fax”.

Digitalice y envíe por fax un documentoPara digitalizar y enviar por fax un documento (asumiendo que tiene un escáner conec-tado al servidor):

1. Encienda el escáner y coloque el documento que desea digitalizar en él.

2. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows. Se abrirá la ventana Fax y escáner de Windows.

3. Haga clic en Nueva digitalización, en la barra de herramientas. Se abrirá el cuadro de diálogo Nueva digitalización. El escáner recién instalado deberá aparecer en el área superior izquierda. Cambie de escáner, si lo desea.

4. Elija color, tipo de archivo y resolución que desea utilizar y haga clic en Vista previa. La imagen en el escáner aparecerá en un cuadro de diálogo.

5. Ajuste los márgenes alrededor de la página, arrastrando las líneas punteadas en los cuatro lados. Cuando todo esté listo, haga clic en Digitalizar.



Figura 13-15. Con un escáner, es posible digitalizar y enviar por fax cualquier documento.

6. La imagen digitalizada aparecerá en la ventana Fax y escáner de Windows. Cuando la digitalización esté completa, haga clic en Reenviar como fax, como se presenta en la figura 13-15. La ventana Nuevo fax se abrirá con la imagen digitalizada inclui-da como documento adjunto.

7. Siga las instrucciones a partir del paso 2 de la sección “Envíe un mensaje por fax”. Si es la primera vez que utiliza el fax, aparecerá el cuadro de diálogo de configuración, como se describió en la sección “Instale un dispositivo de fax”.

Reciba un faxPara recibir un fax se utiliza la ventana Fax y escáner de Windows y es necesario tener con-figurado el fax, como se describió en la sección anterior “Instale un dispositivo de fax”.



1. Con el módem fax conectado al equipo y una línea telefónica, con el fax configura-do, cuando recibe una llamada telefónica también recibirá un mensaje en la pantalla indicando una llamada entrante; en estas condiciones puede dar clic en el mensaje para recibir la llamada como fax. Es posible descolgar el teléfono y ver si se escucha un tono de fax para luego hacer clic en el mensaje.

2. Si se seleccionó que no se le notifique de la recepción de un fax (recepción automá-tica) en la configuración del fax (véase la sección anterior “Instale un dispositivo de fax”), es posible ver el estado de un fax haciendo clic en el menú Herramientas —de la ventana Fax y escáner de Windows— y clic en la opción Monitor de estado de fax. Ahí, es posible revisar cuándo se recibe un fax.

3. Si se hace clic en el mensaje entrante, aparecerá el cuadro de diálogo Revisar estado del fax. Al hacer clic en el botón Ver detalles, es posible consultar los eventos del fax conforme ocurren. Una vez recibido el fax, también se recibirá un mensaje al respecto y lo desplegará el cuadro de diálogo Revisar estado del fax.

4. Para ver y posiblemente imprimir un fax, haga clic en Inicio|Todos los progra-mas|Fax y escáner de Windows y haga clic en la opción Fax ubicada en la parte inferior izquierda.

5. Si se abre la ventana Fax y escáner de Windows mientras el fax es recibido, haga clic en Entrante —del panel de navegación— y observe cómo se recibe el fax.

6. Cuando haya recibido el fax, haga clic en Bandeja de entrada en el panel de navega-ción, recorra la lista de faxes ubicada en la parte superior y haga clic en el fax que desea ver. Éste será desplegado en la parte inferior del panel.



7. Con un fax seleccionado y desplegado, es posible utilizar la barra de herramientas para responder el fax, enviando un nuevo fax al remitente; reenviar el fax a uno o más destinatarios; reenviar el fax como correo electrónico o eliminar el fax. También es posible hacer clic derecho en la imagen del fax del panel y, en el menú desplega-do, ver, aumentar o disminuir el tamaño, guardar e imprimir el fax.

8. Cuando termine, cierre la ventana Fax y escáner de Windows.

Cree una portada de faxWindows Server 2008 incluye cuatro portadas de fax, además de un editor de portadas de fax, donde es posible modificar una de las portadas incluidas o crear una propia. Para mo-dificar una portada existente haga lo siguiente:

1. Haga clic en Inicio|Todos los programas|Fax y escáner de Windows y en la opción Fax, ubicada en la esquina inferior izquierda.

2. Haga clic en el menú Herramientas y en la opción Portadas. Haga clic en Copiar, seleccione una de las cuatro portadas estándar y haga clic en Abrir (para este ejemplo se seleccionó el archivo generic.cov). Seleccione la portada y haga clic en Abrir. La portada se abrirá en el Editor de portadas de fax, como se ilustra en la figura 13-16.

PRECAUCIÓN Las cuatro portadas estándar contienen campos codificados añadiendo da-

tos en forma automática. Si se modifican, se perderá la capacidad del llenado automático.

3. Utilice las herramientas ubicadas en la barra de herramientas Dibujo, para modifi-car una portada existente, de tal modo que cree una nueva portada.

4. Cuando haya formado la portada de su agrado, dé clic en el botón Guardar, para al-macenarla con el nombre actual o clic en el menú Archivo y seleccione Guardar como, para darle a la portada un nuevo nombre. Cierre el Editor de portadas de fax y el cua-dro de diálogo Portadas de fax, además de la ventana Fax y escáner de Windows.

Administre el envío de faxes en redLa administración del envío de faxes en red es manejada por el Administrador de servicio de fax, al que tiene acceso desde el Administrador del servidor o Herramientas administrativas.

Haga clic en Inicio|Herramientas administrativas|Administrador del servicio de fax.En su defecto, haga clic en Inicio|Administrador del servidor y, en el panel de la iz-

quierda, abra la opción Funciones, luego la opción Servidor de fax.



Figura 13-16. La creación de una portada de fax propia le permite dar identidad propia

a su negocio o actividad.

En cualquier caso, abra Fax en el panel de la izquierda, en caso de que ésta no se encuen-tre ya desplegada, como se muestra en la figura 13-17.

Agregue un dispositivo de faxWindows Server 2008 reconoce e instala automáticamente todos los dispositivos de fax Plug and Play. Para que el Administrador del servicio de fax muestre el dispositivo, cierre y abra de nuevo el Administrador de servidor, abra Servidor de fax|Fax|Dispositivos y proveedores|Dispositivos y, si es necesario, oprima f5 para actualizar la vista.



Figura 13-17. El Administrador del servicio de fax es la opción “Fax”, disponible en el Administrador

del servidor y la ventana Administrador del servicio Microsoft fax.

Configure un dispositivo de fax1. En el panel de la izquierda del Administrador del servicio de fax, abra la opción

Fax|Dispositivos y proveedores|Dispositivos, haga clic derecho en el módem que aparece en el panel derecho o central, dependiendo del Administrador del servicio de fax que esté utilizando y haga clic en Propiedades, para abrir el cuadro de diálo-go Propiedades del módem.



2. En la sección General, escriba una descripción, identificador del destinatario y re-mitente (en general, el número telefónico), seleccione si desea contar con respuesta manual o automática.

3. En la ficha Módem FSP de Microsoft, puede habilitar la opción de respuesta adap-table, si el módem cuenta con esta característica.

4. Tras configurar el módem, haga clic en Aceptar.


14

471

CAPÍTULO

Administración de Windows Server

2008



Una de las fortalezas más grandes de Windows Server 2008 es la disponibilidad de herramientas administrativas para controlar las diversas facetas del sistema opera-tivo. El propósito de este capítulo es dar un vistazo a las herramientas de propósito

general, que no forman parte de la configuración de red, administración de archivos ni impresión. La descripción de estas herramientas se divide en dos partes: herramientas de administración del sistema y usuarios. Las primeras son para facilitar la ejecución de dife-rentes áreas del sistema operativo y equipo que no se han descrito antes. La administración de usuarios del equipo con sus diversas necesidades y particularidades, tanto en grupos como de manera individual, es una tarea importante para la que Windows Server 2008 ha destinado recursos considerables.

El área de administración del sistema tiene tres características principales para adminis-trar Windows Server 2008: el Administrador del servidor, Herramientas administrativas y Panel de control. Las tres se han mencionado en diversas ocasiones en este libro, sobre todo el Administrador del servidor. Por ello, este capítulo se concentrará en las áreas del Panel de control y las Herramientas administrativas no mencionadas.

USE EL PANEL DE CONTROL La ventana Panel de control, en la figura 14-1, ha sido parte de Windows durante mucho tiempo. Es una carpeta con diversas herramientas para controlar y mantener la información de configuración, sobre todo del hardware de sistema. El contenido del Panel de Control de Windows Server 2008 puede variar en gran medida respecto a versiones previas de Win-dows, debido a la capacidad del Administrador del servidor para instalar sólo las funciones, servicios de función y características necesarias. Algunas herramientas del Panel de control relacionadas con funciones específicas se describieron cuando se habló de esas funciones. Aquí se describirán las siguientes herramientas del Panel de control:

SUGERENCIA En Windows Server 2008, puede elegir entre dos vistas del Panel de

control, la Vista clásica predeterminada y la Ventana principal del Panel de control, la

predeterminada en Windows Vista. La Vista clásica, que muestra todas las herramientas

disponibles, suele ser más fácil de usar y ahorra algunos pasos.

▼ Reproducción automática

■ Programas predeterminados

■ Administrador de dispositivos

■ Centro de accesibilidad

■ Opciones de carpeta

■ Teclado

■ Mouse

■ Configuración regional y de idioma

■ Sistema

▲ Barra de tareas y menú Inicio


473 Capítulo 14: Administración de Windows Server 2008

Muchas de las otras herramientas del Panel de control se describen en otros lugares de este libro o están fuera del alcance de éste. Antes de analizar cualquiera de las herra-mientas, abra el Panel de control y observe las herramientas disponibles haciendo clic en Inicio|Panel de control.

Debido a la gran cantidad de variaciones, es probable contar con herramientas diferen-tes a las mostradas en la figura 14-1, dependiendo del hardware y software con que cuente y los componentes de Windows Server 2008 instalados.

Reproducción automáticaReproducción automática permite determinar qué debe ocurrir cuando se in-serta o conecta en el equipo un CD, DVD, tarjeta de memoria, memoria USB u otro objeto.

1. En el Panel de control, haga doble clic en Reproducción automática. Se abrirá la ventana Reproducción automática, como se ilustra en la figura 14-2.

Figura 14-1. La Vista clásica predeterminada del Panel de control muestra todas las

herramientas instaladas.



Figura 14-2. La especificación de las acciones de Reproducción automática evita

determinarlas una y otra vez.

2. Para cada tipo de dispositivo multimedia, haga clic en la lista desplegable y escoja la acción de su interés cuando ese tipo de dispositivo multimedia se conecte al equipo.

3. Al terminar, haga clic en Guardar.

NOTA Si no elige un tipo de dispositivo en la ventana Reproducción automática y luego in-

serta ese tipo de medio, surgirá un cuadro de diálogo preguntando qué desea hacer. En ese

cuadro de diálogo, puede especificar que siempre desea ejecutar la acción seleccionada.

Programas predeterminadosHacer doble clic en el icono Programas predeterminados, del Panel de control, le permite abrir una de tres ventanas que, en dos casos, son para especificar una asociación entre tipos de archivo y programas. La tercera ventana es de Reproducción automática, ya descrita.



La primera opción, Establecer programas predeterminados, permite seleccionar el pro-grama que se desea utilizar para un fin particular y todos sus archivos relacionados. Por ejemplo, es posible seleccionar el uso de Internet Explorer para navegar y abrir archivos Web relacionados.

La segunda opción, Asociar un tipo de archivo o protocolo con un programa, permite iden-tificar el programa que se desea abrir con un tipo de archivo particular. Haga clic en la extensión del archivo que desea cambiar, después en Cambiar programa y doble clic en el pro-grama que desea utilizar.

Administrador de dispositivosEl Administrador de dispositivos, mostrado en la figura 14-3, sirve para vi-sualizar y configurar todo su hardware en un solo lugar. De inmediato verá si tiene un problema de hardware; por ejemplo, en la figura 14-3 el controla-dor de sonido multimedia tiene un problema, que se indica con un icono de signo de admiración. Es posible abrir el dispositivo directamente haciendo doble clic en él y resolver el problema. En muchos casos, esto se logra actua-lizando los controladores. El botón Reinstalar el controlador, ubicado en la ficha General, abrirá el cuadro de diálogo Actualizar software de controlador, que le será de ayuda. Dos problemas comunes que suelen solucionarse son un controlador faltante o erróneo (como en el caso de la figura 14-3), o el uso incorrecto de recursos, algunas veces debido a que los correctos no estaban disponibles. Si se abre el cuadro de diálogo Propiedades de un disposi-tivo y se observa la sección General, se obtiene un reporte rápido del estado del dispositivo. La ficha Controlador permite actualizar, desinstalar o deshabilitar el controlador, mientras la ficha Detalles ofrece información detallada sobre el dispositivo.



Centro de accesibilidadEl Centro de accesibilidad permite al usuario con limitaciones físicas usar más fácilmente Windows Server 2008. El cuadro de diálogo Centro de accesibilidad, mostrado en la figura 14-4, se abre al hacer doble clic en la opción Centro de accesibilidad, del Panel de control. En la mitad superior de la ventana aparecen cuatro opciones predeterminadas y todo lo que necesita hacer es oprimir la barra espaciadora cuando la opción que quiera esté se-leccionada (tiene un borde rectangular). En la mitad inferior de la ventana aparecen siete opciones para facilitar el uso o reemplazo de monitor, teclado, ratón y audio. En cada ventana que se abre con dichas opciones se presenta una serie de opciones que habilitan y configuran la mejor accesibilidad. Muchas de estas características se repiten en diferentes ventanas. En la tabla 14-1 se presenta un resumen de estas características, así como la manera en que se habilitan y deshabilitan.

Figura 14-3. El Administrador de dispositivos provee información de cualquier falla

en el hardware.



Opciones de carpetaEl elemento Opciones de carpeta, en el Panel de control, permite personalizar la forma en que carpetas y archivos se muestran y manejan en diferentes ventanas de Windows Server 2008, incluidas las del explorador de Windows y Equipo. El cuadro de diálogo Opciones de carpeta se abre al hacer doble clic en el icono Opciones de carpeta, del Panel de control; también es posible acceder al cuadro de diálogo haciendo clic en el menú He-rramientas y seleccionando Opciones de carpeta en el Explorador de Windows o en Equipo. El cuadro de diálogo Opciones de carpeta tiene tres fichas: Gene-ral, Ver y Buscar.

Figura 14-4. Windows Server 2008 provee diversas características para mejorar

la accesibilidad al equipo para personas con limitaciones físicas.



Área Opción Descripción Habilitar o deshabilitar

Teclado Tecladoen pantalla

Permite que el ratón u otro dispositivo puntero seleccione teclas a partir de una imagen en pantalla.

Centro de accesibilidad.

Teclado Teclasespeciales

Permite al usuario simular el efecto de pulsar un par de teclas, como ctrl+a, oprimiendo una tecla a la vez. Las te-clas mayús, ctrl y alt “permanecen” oprimidas hasta que oprime una segun-da tecla, que Windows Server 2008 in-terpreta como si se hubieran oprimido ambas teclas al mismo tiempo.

Oprima la tecla mayús, a la derecha o izquierda del teclado, cinco veces conse-cutivas.

Teclado Teclasinterruptoras

Emite un sonido cuando se oprimen la teclas bloq mayús, bloq num o bloq despl.

Mantenga oprimida la te-cha bloq num por cinco segundos.

Teclado Teclas de filtro Permiten al usuario oprimir dos veces una tecla en sucesión rápida y que se interprete como un solo tecleo, además de reducir la velocidad de repetición del teclado.

Mantenga oprimida la te-cha mayús derecha por ocho segundos.

Teclado Configuración del teclado

Controla el retardo entre repeticiones, velocidad de repetición y velocidad de parpadeo del cursor.


Sonido Notif icación visual desonidos

Despliega un indicador visual cada vez que el equipo emite un sonido. El indicador puede ser una barra de tí-tulos activa, una ventana activa o un escritorio intermitentes.

Abra el Centro de accesi-bilidad y haga clic en Usar texto y alternativas visua-les para los sonidos.

Sonido Subtítulosde texto

Indica a los programas compatibles que desplieguen leyendas cuando se usan sonidos y pronunciaciones.

Abra el Centro de accesi-bilidad y haga clic en Usar texto y alternativas visua-les para los sonidos y haga clic en Activar los subtítu-los de texto para los diálo-gos leídos.

Monitor Ampliador Aumenta el tamaño del área de la pan-talla alrededor del puntero del ratón.


Monitor Narrador Lee el texto en la pantalla. Centro de accesibilidad.

Monitor Contraste alto Utiliza colores de alto contraste y fuen-tes especiales para facilitar el uso de la pantalla.

Oprima juntas las teclas mayús izquierda, alt e impr pant.

Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad (Continúa).



Área Opción Descripción Habilitar o deshabilitar

Monitor Opciones del cursor

Cambia la velocidad a la que parpadea el cursor, además del ancho del cursor y el punto de inserción de texto.

Siempre activo.

Ratón Punterosdel ratón

Establece el color y tamaño de los pun-teros del ratón. Centro de accesibilidad.

Ratón Teclas deratón

Permite al usuario utilizar el teclado numérico para mover el puntero del ratón en la pantalla, en lugar de utili-zar el ratón.

Oprima al mismo tiempo las teclas mayús izquierda, alt y bloq num.

Ratón Configuración del ratón

Controla la velocidad del doble clic e intercambio de los botones primario y secundario entre otras opciones.

Centro de accesibilidad

Tabla 14-1. Herramientas disponibles en el Centro de accesibilidad.



GeneralLa ficha General permite seleccionar la manera de manejar tres situaciones distintas:

▼ Tareas Permite seleccionar entre mostrar el panel de tareas del lado izquierdo de la ventana o utilizar la Vista clásica de Windows. La mejor opción depende de cada usuario. El panel de tareas ofrece un medio sencillo de ejecutar tareas comunes, como copiar o mover archivos o carpetas; sin embargo, ocupa más espacio y no puede mostrarse con el panel de carpetas

■ Examinar carpetas Permite elegir entre abrir una nueva ventana siempre que una carpeta nueva se abre o utilizar repetidamente la misma ventana. Abrir una nue-va ventana para cada carpeta es conveniente si le interesa comparar el contenido de dos carpetas, pero también congestiona la pantalla. La opción predeterminada, también la más popular, es utilizar la misma ventana

▲ Acciones al hacer clic en un elemento Permite configurar si quiere abrir una car-peta o archivo mediante un clic —como haría en un navegador Web— o con doble clic, como se hace tradicionalmente en Windows. Si se elige un solo clic, entonces es posible elegir elementos con sólo señalar el elemento seleccionado. Si elige doble clic, un solo clic servirá para seleccionar el elemento. Para los nuevos usuarios, la opción de un solo clic ahorra tiempo y confusión entre lo que significa un clic o dos. Si ha utilizado el doble clic por años, es difícil dejar de hacerlo, de modo que si intenta probar el uso de un solo clic, podría terminar confundido

VerLa ficha Ver determina cómo se visualizan los archi-vos, carpetas y sus atributos en Equipo o Explorador de Windows. La lista Configuración avanzada cuen-ta con diversas opciones que pueden ser activadas y desactivadas según las preferencias personales. En particular, el autor prefiere activar las opciones Mos-trar la ruta completa en la barra de título, Mostrar todos los archivos y carpetas ocultos, además de des-activar Ocultar extensiones de archivos y Ocultar ar-chivos protegidos. Cada usuario puede probar dife-rentes opciones de configuración y siempre es posible regresar a la configuración predeterminada, al hacer clic en el botón Restaurar valores predeterminados.

SUGERENCIA Existe una diferencia importante entre abrir Opciones de carpeta desde el

Panel de control y desde Equipo o Explorador de Windows. Desde el Panel de control, se

configura como opción predeterminada para aplicar la configuración a todas las carpetas;

desde Equipo o Explorador de Windows, se establece que la configuración afecte sólo

a la carpeta en uso, a menos que se haga clic en la opción Aplicar a todas las carpetas,

en la ficha Ver.



BuscarLa ficha Buscar determina qué buscará y cómo opera una búsqueda. En general, la con-figuración predeterminada es el punto medio ideal entre velocidad y una búsqueda satisfactoria. El uso de un índice puede aumentar la velocidad de búsqueda, pero si se activa la función Servicio de Búsqueda en Windows (inhabilitada como opción prede-terminada), se reemplazan las opciones de indizado con las asociadas al servicio. El uso de lenguaje natural en las búsquedas permite rastrear mediante frases comunes en español como “reporte financiero de la semana pasada”.

TecladoLa opción Teclado, en el Panel de control, permite establecer una configuración para el te-clado. El cuadro de diálogo puede abrirse desde la opción de configuración del teclado en el Centro de accesibilidad. La ficha Velocidad permite configurar la rapidez y retraso de la repetición. Es posible hacer clic en el cuadro de texto de esta sección para verificar la configuración. En esta sección también es posible configurar la velocidad de intermitencia del cursor (aunque la relación con el teclado es mínima).

La ficha Hardware muestra la descripción del dispositivo que Windows cree está utilizando y, mediante Propiedades, se abre el acceso a los controladores que el dispo-sitivo utiliza.

MouseLa opción Mouse en el Panel de control permite establecer una configuración para el ra-tón. Se trata del mismo cuadro de diálogo que puede abrirse desde la opción de configu-ración del ratón en el Centro de accesibilidad. La ficha Botones permite configurar el ratón para utilizarlo con la mano derecha o izquierda. Esto se logra invirtiendo el orden de los botones primario y secundario. Es posible también ajustar la velocidad con que dos clics se interpretan como doble clic, además de activar y desactivar el Bloqueo de clic, para arrastrar objetos sin mantener oprimido el botón del ratón.



La ficha Punteros permite seleccionar o crear un esquema del aspecto de los punteros del ratón en diferentes situaciones. La ficha Opciones de puntero permite configurar la rapi-dez con que se mueve el puntero, activar la opción de que éste se desplace automáticamente al botón predeterminado de un cuadro de diálogo al abrirlo, mostrar el rastro del puntero mientras se mueve el ratón, ocultar el puntero mientras se escribe y mostrar la ubicación del puntero cuando se oprima la tecla ctrl. Esta última opción es muy útil en una laptop, donde tiende a perderse de vista el puntero.

La ficha Rueda (en caso de contar con un ratón que tenga incluida una rueda) per-mite determinar el grado de desplazamiento vertical y horizontal que realizará la rueda. De forma similar a la ficha Hardware del cuadro de diálogo Teclado, la de este cuadro de diálogo muestra la descripción del dispositivo, le permite detectar y solucionar problemas relacionados con él y, al hacer clic en Propiedades, se permite acceso a los controladores que el dispositivo usa.

Configuración regional y de idiomaSe abre desde el Panel de control, ilustrado en la figura 14-5. Permite determinar cómo se visualizarán números, fechas, moneda y horas en el equipo, además del idioma que habrá de utilizarse. Al seleccionar la ubicación primaria del equipo, Francia, por ejemplo, el resto de las configuraciones, incluidos formatos de número, monedas, hora y fecha, cambian automática-mente para aplicar los formatos estándares de la ubicación actual. Luego es posible realizar cambios en las configuraciones de números, moneda, tiempo, etcétera, además de personali-zar cómo desea desplegar esos elementos haciendo clic en Personalizar este formato.

Figura 14-5. Configuración regional e idioma controla el formato que se da a números,

fechas, horas y monedas.



La ficha Ubicación permite establecer la ubicación utilizada por el software para deter-minar dónde se encuentra el usuario, para varios fines, como el reporte del clima. La ficha Teclados e idiomas permite seleccionar el idioma en que el usuario escribirá en forma prede-terminada, además de instalar o desinstalar paquetes de idiomas complementarios. La ficha Administrativo permite establecer el idioma utilizado por los programas que no utilizan codificación Unicode, además de copiar la configuración regional e idioma a la cuenta pre-determinada del usuario o cuentas de usuario de sistema.

NOTA La configuración personalizada para números, moneda, hora y fechas sólo se

mantiene mientras se use la misma ubicación. Cuando se cambia a una nueva región y

luego se vuelve a la original, la configuración personalizada no regresará, pero es posible

utilizar un perfil independiente para evitar que esto ocurra. Consulte la sección “Emplee

perfiles de usuario” en páginas posteriores de este capítulo.

SistemaAl hacer doble clic en Sistema, en el Panel de control, se abrirá la ventana Sistema, mostrada en la figura 14-6. También puede abrirse al dar clic derecho en Equipo y seleccionar Pro-piedades. Al hacer clic en Administrador de dispositivo, se abre la ventana Administrador de dispositivos, ya descrita en este capítulo y mostrada en la figura 14-3. Al pulsar clic en Configuración de Acceso remoto, Configuración avanzada del sistema y Cambiar la configu-ración, se abren las secciones respectivas del cuadro de diálogo Propiedades del sistema.

Figura 14-6. La ventana Sistema es una pantalla informativa y puerta de enlace

a otras opciones de configuración.



La primera ficha permite dar al equipo una descripción, así como cam-biar su nombre e identificación en la red. Al hacer clic en Cambiar, es posible escribir un nuevo nombre y unirse a un dominio o grupo de trabajo.

NOTA Si el equipo es un controlador de dominio, no será posible modificar su identifica-

ción en la red ni conectarla a un dominio diferente.

HardwareLa ficha Hardware permite abrir el Administrador de dispositivos, que también se abre al hacer doble clic en la opción Administrador de dispositivos ubicada en el Panel de control, como ya se describió en este capítulo. También es posible abrir el cuadro de diálogo Con-figuración de controladores de Windows Update, que maneja la forma en que Windows Update busca nuevos controladores de dispositivo.

Opciones avanzadasLa ficha Opciones avanzadas, del cuadro de diálogo Propiedades del sistema, brinda acceso a la configuración de dos características del sistema operativo:

NOTA También existe una sección llamada Perfiles de usuario, que se describe más

adelante en este mismo capítulo, bajo el tema “Emplee perfiles de usuario”.



▼ Rendimiento Optimiza el rendimiento entre las aplicaciones en ejecución y ser-vicios ejecutándose en segundo plano, como sucedería en un servidor de archivos o impresión; también es posible identificar los efectos visuales que se desean y de-terminar la cantidad de espacio en disco, a destinar para archivos temporales de paginación y almacenamiento de memoria en disco. Por último, en opciones de ren-dimiento se le pregunta cómo quiere usar la Prevención de ejecución de datos, que evita que los programas ejecuten código en las áreas reservadas de la memoria de sistema. Esto proporciona protección contra amenazas a la seguridad

▲ Inicio y recuperación Aquí es posible seleccionar el sistema operativo que se uti-lizará para iniciar el sistema, el tiempo que habrá de esperarse para la selección manual del sistema operativo y las acciones que habrán de seguirse, si se presenta una falla del sistema

Barra de tareas y menú InicioLa ventana Propiedades de la barra de tareas y el menú Inicio, mostrada en la figura 14-7, puede abrirse desde el Panel de control (con la opción “Barra de tareas y menú Inicio”) o ha-ciendo clic derecho en un área vacía de la barra de tareas y eligiendo la opción Propiedades. Esta ventana permite determinar cómo deberá visualizarse la barra de tareas, qué elementos están presentes en ésta, si se utilizará el menú Inicio con su nueva apariencia o en su versión clásica, además de personalizar apariencia y contenido del menú Inicio.



USE EL ADMINISTRADOR DE TAREASEl Administrador de tareas de Windows permite ver y controlar qué se ejecuta en Windows Server 2008. Puede abrir el Administrador de tareas, mostrado en la figura 14-8, al dar clic derecho en un área vacía de la barra de tareas, elegir el Administrador de tareas (o la com-binación de teclas ctrl+alt+supr) y seleccionar Iniciar el Administrador de tareas. La ficha Aplicaciones muestra las tareas en ejecución y permite finalizar una tarea, cambiarla o crear una nueva abriendo un programa, carpeta, documento o recurso de Internet.

La ficha Procesos muestra los procesos cargados. Éstos incluyen los programas necesa-rios para aplicaciones en ejecución, además de los procesos del sistema operativo activos. Es posible visualizar gran cantidad de información para cada uno de los procesos y selec-cionar lo que se desea desplegar seleccionando el menú Ver|Seleccionar columnas, como

Figura 14-7. Debido a su uso frecuente, la barra de tareas y el menú Inicio deberían

configurarse para facilitar su uso.



Figura 14-8. El Administrador de tareas de Windows es el “tablero de instrumentos”

que suministra controles e información sobre lo que ocurre.

se muestra a continuación. Tras seleccionar las columnas que desea desplegar, es posible organizarlas al arrastrar sus encabezados y ordenar la lista al hacer clic en la columna que desea ordenar. Para terminar cualquier proceso, escójalo y haga clic en Finalizar proceso.



La ficha Servicios muestra muchos de los ya disponibles en Windows Server 2008. Al hacer clic en Servicios se abre la ventana Servicios, que muestra cada uno y sus detalles; per-mite iniciar, detener y configurar cada uno de los servicios. Si hace doble clic en un servicio, se abre el cuadro de diálogo Propiedades (mostrado en la figura 14-9).

Figura 14-9. La ventana Servicios permite control manual de muchos de los servicios

de Windows.

PRECAUCIÓN Windows inicia y detiene casi todos los servicios de manera automática;

sólo deben iniciarse o detenerse de manera manual en situaciones en que busque corregir

alguna falla.

La ficha Rendimiento, mostrada en la figura 14-10, despliega la manera en que las tareas en ejecución usan el CPU y la memoria del equipo y cuáles son los componentes de ese uso. Esta información es muy importante en servidores con gran carga de trabajo. Es posible ver si CPU o memoria (incluso ambos) alcanzan su límite y qué hace el sistema para mane-jarlo. Si se cuenta con múltiples CPUs, es posible ver el uso de cada uno y asignar activida-des a determinado procesador haciendo clic derecho en los procesos, en la ficha Procesos. También es posible establecer la prioridad de un proceso al hacer clic derecho en él, en la ficha Procesos. Si hace clic en Monitor de recursos, se abre la ventana del mismo nombre, que ilustra el uso del disco y red, además de CPU y memoria.

La ficha Funciones de red muestra cómo se usa una conexión de red en particular. Si cuenta con varias tarjetas o adaptadores de red en el equipo, aparecerán en la parte inferior de la ventana y es posible seleccionar la que se desea revisar. La escala en la gráfica cambia automáticamente para dar la lectura más precisa posible.



La ficha Usuarios muestra los usuarios conectados al servidor. Es posible desconectar, terminar la sesión o enviar un mensaje a cualquiera de ellos.

USE LA CONSOLA DE ADMINISTRACIÓNDE MICROSOFT

La consola de administración de Microsoft (MMC, Microsoft Management Console) es una interfaz a la que puede agregar herramientas de administración y luego personalizarlas. Es posible crear varias consolas diferentes que contengan, cada una, diferentes herramien-tas para distintos propósitos administrativos y almacenar dichas consolas como archivos .msc. Existen dos tipos de herramientas administrativas que es posible agregar en una MMC: herramientas independientes —denominadas complementos— y funciones añadidas —llamadas extensiones—. Las extensiones funcionan con complementos determinados, dis-ponibles para éstos. Las extensiones se añaden automáticamente a algunos complementos, mientras otros requieren una selección manual de sus extensiones. El ejemplo de un com-plemento con extensiones automáticas es el Administrador de equipos y una de sus muchas extensiones: el Desfragmentador de disco. Existen dos modos para crear consolas: el modo Autor, en el que las consolas pueden agregarse y revisarse, mientras en el modo Usuario, la consola está inmovilizada y no puede modificarse. El modo Usuario tiene, además, una opción de acceso completo y dos opciones de acceso limitado.

Figura 14-10. La ficha Rendimiento puede indicarle si CPU o memoria están sobrecargados.



Windows Server 2008 incluye varias consolas predeterminadas utilizadas en capítulos anteriores. Éstas, a las que hemos llamado “ventanas” (porque eso son), se localizan en la carpeta Herramientas administrativas (Inicio|Herramientas administrativas) e incluyen el Administrador de equipos, la Herramienta de diagnóstico de memoria, el Programador de tareas y muchas otras. Todas las consolas preconstruidas se encuentran en modo Usuario y no pueden modificarse.

NOTA El contenido del menú Herramientas administrativas depende de las funciones

instaladas por el Administrador de servidor.

Cree una consola MMCPermite administrar varios equipos remotos en la red. En esta consola única, se añadiría al Administrador de equipos para tales unidades. Por tanto, como administrador del servidor, sería posible ver en forma remota gran parte de la información administrativa de los equi-pos remotos, como se muestra en la figura 14-11. Utilice las siguientes instrucciones para crear una consola similar a la mostrada en la figura:

NOTA Para dar el siguiente conjunto de pasos, como en casi todo este capítulo, es nece-

sario iniciar una sesión como administrador.

1. Haga clic en Inicio|Ejecutar. En el cuadro de diálogo Ejecutar, escriba mmc y haga clic en Aceptar. Se abrirá la MMC mostrando únicamente Raíz de consola, la venta-na en que se añaden los complementos.



2. Haga clic en el menú Archivo y escoja Agregar o quitar complemento. Se abrirá el cuadro de diálogo del mismo nombre.

Figura 14-11. MMC permite administrar discos en varios equipos.



3. Haga clic en cualquiera de los complementos que desconozca para ver su descrip-ción, en la parte inferior del cuadro de diálogo.

4. Tras echar un vistazo a todos los complementos deseados, dé doble clic en Admi-nistrador de equipos. Se abrirá el cuadro de diálogo Administrador de equipos, pidiendo que elija entre el equipo local u otro. Tal vez quiera o no incluir el equipo local en esta consola. Suponga que sigue las instrucciones y hace clic en Finalizar. En el cuadro de diálogo Agregar o quitar complementos aparecerá la opción Admi-nistrador de equipos (Local).

5. Haga doble clic en Administrador de equipos por segunda vez, haga clic en la op-ción Otro equipo, busque el de su elección, luego de localizarlo, haga clic en Finali-zar. Aparecerá el Administrador de equipos correspondiente al segundo equipo, en el cuadro de diálogo Agregar o quitar complementos.

6. Repita el paso 5 para todos los equipos que desee administrar desde la nueva consola. En el cuadro de diálogo Agregar o quitar complementos, seleccione una instancia del Administrador de equipos, del lado derecho y clic en Editar extensiones. Se desple-gará la lista de extensiones, como se muestra a continuación.

7. Verá que la opción predeterminada es seleccionar todas las extensiones, que ya hizo. Si se desea eliminar algunas de las extensiones, haga clic en la opción Sólo habilitar las extensiones seleccionadas, quite la marca de las extensiones no deseadas (al hacer esto una vez, se aplicará a todos los complementos del Administrador de equipos).



8. Luego de completar todos los cambios deseados para las extensiones, haga clic en Aceptar para cerrar el cuadro de diálogo Extensiones, dé clic de nuevo en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos. Se le regresa a la MMC y sus complementos aparecen en el panel de la izquierda. Abra varios de los complementos y extensiones para tener una vista similar a la figura 14-11.

9. En la MMC, haga clic en el menú Archivo y escoja Opciones, para abrir el cuadro de diálogo Opciones. Ahí es posible seleccionar entre Modo autor y Modo usuario. Revise la descripción de lo que significa cada modo, así como la descripción de cada una de las opciones del modo Usuario.

10. Cuando haya seleccionado el modo que desea utilizar, haga clic en Aceptar, para cerrar el cuadro de diálogo Opciones y volver a la ventana MMC.

11. Una vez más, dé clic en el menú Archivo y seleccione Guardar como. Escriba un nom-bre que signifique algo y dé clic en el botón Guardar. Por último, cierre la MMC.

Utilice una consola MMCLas consolas personalizadas se almacenan en la carpeta Herramientas administrativas del área del administrador en su disco duro (C:\Usuarios\Administrador\AppData\Roa-ming\Microsoft\Windows\Menú Inicio\Programas\Herramientas administrativas). Si no ha creado una o más consolas personalizadas, tampoco tendrá aquí una carpeta Herramientas administrativas, pero, tras crear la primera consola, la carpeta se crea en forma automática y la nueva consola se coloca en su interior. Ésta no es la misma carpeta Herramientas admi-nistrativas con todas las consolas integradas, aunque cuando inicia sesión como Administrador, ambas carpetas Herramientas administrativas se abrirán como si fueran la misma desde el menú Inicio|Todos los programas:

1. Haga clic en Inicio|Todos los progra-mas | Herramientas administrativas | su consola (no el menú Herramien-tas administrativas que se encuentra a la derecha del menú Inicio).

2. Abra uno de sus equipos remotos y revise Administrador de almacena-miento y discos.

3. Cuando termine de ver qué puede hacer con la nueva consola, ciérrela.



EXPLORE EL REGISTROEl Registro es el depósito central de toda la información de configuración en Windows Server 2008. Contiene las configuraciones aplicadas en el Administrador del servidor, el Panel de control, muchos de los cuadros de diálogo Propiedades y Herramientas adminis-trativas. Casi todos los programas obtienen información sobre el equipo local y el usuario actual desde el Registro y escriben información en éste para ser usada por el sistema ope-rativo y otros programas. El Registro es una base de datos jerárquica compleja que casi en ningún caso puede modificarse directamente. La mayor parte de los valores almacenados en el Registro puede modificarse en el Administrador del servidor, el Panel de control, cuadros de diálogo Propiedades o Herramientas administrativas.

PRECAUCIÓN Si edita el Registro directamente, podría realizar algún cambio erróneo

que inutilice el sistema fácilmente, por lo que es muy recomendable editar el Registro de

manera directa, sólo como última opción para aplicar un cambio.

Una vez consciente de la advertencia anterior, vale la pena entender y dar un vistazo al Re-gistro. El Editor del registro de Windows Server 2008 permite ver y hacer cambios al Registro.

SUGERENCIA Si se realiza un cambio inservible en el Registro, es posible restaurarlo

con la información que contenía la última vez que el equipo inició, si reinicia el equipo y

oprime la tecla F8 inmediatamente después de la pantalla inicial. Haga clic en La última

configuración válida conocida utilizada y oprima la tecla ENTER. Se utilizará la copia de se-

guridad más reciente del Registro para arrancar el equipo.

Inicie el Editor del Registro al hacer clic en Inicio|Ejecutar, escriba regedit y dé clic en Aceptar. En el panel de la izquierda, abra varias carpetas para darse una idea de lo que es el Registro, como se muestra en la figura 14-12.

Claves y subárboles El Registro consta de dos claves primarias, o subárboles (HKEY_USERS y HKEY_LOCAL_MACHINE) y tres claves subordinadas, también llamadas subárboles (HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT). HKEY_CURRENT_USER está subordinada a HKEY_USERS, mientras HKEY_CURRENT_CONFIG y HKEY_CLAS-SES_ROOT están subordinadas a HKEY_LOCAL_MACHINE. Cada uno de los cinco sub-árboles es una carpeta en el Editor del Registro, todas mostradas en el mismo nivel para facilitar su uso. El propósito de cada subárbol es el siguiente:

HKEY_USERSContiene la información predeterminada común a todos los usuarios y usada siempre que un usuario inicia sesión.

▼ HKEY_CURRENT_USER Contiene las preferencias o perfil del usuario conectado al equipo. Esto incluye contenido del escritorio, colores de la pantalla, configuración del Panel de control y contenido del menú Inicio. La configuración aquí almacenada



Figura 14-12. El Registro es una base de datos con estructura jerárquica compleja.

tiene precedencia sobre la almacenada en HKEY_LOCAL_MACHINE, donde están duplicadas. En páginas posteriores de este capítulo, en la sección “Emplee perfiles de usuario”, se describe cómo configurar y administrar los perfiles de usuario

HKEY_LOCAL_MACHINEContiene la configuración del equipo y sistema operativo sin relación con el usuario. In-cluye tipo y modelo de CPU; cantidad de memoria; teclado, ratón y puertos disponibles en hardware; controladores, fuentes y configuración de los diversos programas.

▼ HKEY_CURRENT_CONFIG Maneja el perfil de hardware de la configuración actual del equipo. Incluye unidades, puertos y controladores necesarios para el hardware instalado

▲ HKEY_CLASSES_ROOT Contiene el registro de los tipos de archivo, rela-cionados con sus respectivas extensiones de archivo, para los programas que pueden abrirlos



Claves, subclaves y subárbolesEn cada una de las claves primarias o subárboles existen claves de nivel inferior y, dentro de tales claves, subclaves; a su vez, dentro de las subclaves hay subclaves de nivel inferior y así sucesivamente para muchos niveles. Por ejemplo, en la figura 14-13 se muestra una subclave nueve niveles abajo de HKEY_LOCAL_MACHINE. Puede asumirse que claves y subcla-ves son carpetas con otras carpetas en su interior y más carpetas dentro de esas carpetas.

Varias de las claves inmediatamente bajo las dos claves primarias (HKEY_LOCAL_MA-CHINE y HKEY_USERS) son agrupaciones profundas de claves y subclaves. Estas claves (BCD, Components, SAM, Security, Software y System), llamadas subárboles, se almacenan en archivos separados en la carpeta C:\Windows\System32\Config (asumiendo una ins-talación predeterminada). Cada subárbol tiene al menos dos archivos y muy a menudo tres o más. El primer archivo, sin extensión, es el Registro que contiene la información actual del registro. El segundo archivo, con la extensión .log, es una bitácora de cambios efectuados en el archivo Registro. El tercer archivo, con la extensión .sav, es el respaldo de La última configuración válida conocida del Registro (se dice que es la última configuración válida conocida pues el equipo inició con dicha configuración). El último tipo de archivo Registro, con extensión .evt, da seguimiento a los eventos conforme ocurren en el Registro.

Figura 14-13. Por lo general, existen muchas subclaves dentro de cada clave en el Registro.

NOTA La clave SAM toma su nombre de Security Account Manager (administrador de

cuenta de seguridad). Ésta se utiliza para almacenar nombre de usuario y contraseña en

equipos locales.



Es posible trabajar con los subárboles para almacenar un grupo determinado de valores de configuración, hacer cambios en dichos valores y luego restaurar los valores originales o añadir éstos a los nuevos. A continuación se describen los comandos del menú Archivo en el Editor del Registro que permiten hacerlo:

▼ Exportar Se utiliza para guardar un subárbol seleccionado en el disco o dispositi-vo de almacenamiento externo. Para utilizar este comando, haga clic en el subárbol, después en el menú Archivo. Seleccione Exportar, haga clic en una carpeta, escriba un nombre y haga clic en Guardar. Es posible restaurar o cargar un subárbol al-macenado; o hacer clic derecho en un subárbol y clic en Exportar, para lograr el mismo objetivo

■ Importar Se utiliza para reemplazar un subárbol existente en el Registro. Para utili-zar este comando, seleccione el subárbol que habrá de reemplazarse. Haga clic en el menú Archivo, seleccione Importar, dé clic en una unidad y carpeta, escriba o selec-cione un nombre y haga clic en Abrir. El subárbol restaurado sobrescribirá al actual

■ Cargar subárbol Se utiliza para agregar un subárbol almacenado a uno existente. Para utilizar este comando seleccione HKEY_LOCAL_MACHINE o HKEY_USERS, haga clic en el menú Archivo y seleccione Cargar subárbol. Haga clic en una unidad y carpeta, escriba o seleccione un nombre y haga clic en Abrir. Cuando se solicite, escriba el nombre que desea asignar al subárbol que habrá de cargarse y clic en Aceptar. Se crea una nueva subclave con el nombre establecido. Ahora, el software que ya conoce de su existencia puede utilizar este recurso

▲ Descargar subárbol Se utiliza para eliminar un subárbol cargado (este proceso no puede realizarse si se trata de un subárbol restaurado). Para descargar un subárbol cargado, elíjalo, haga clic en el menú Archivo y escoja Descargar subárbol.

NOTA Es posible realizar una copia completa del Registro sin identificar las claves o

subárboles de manera individual. En el Editor del Registro, haga clic en el icono Equipo,

ubicado en la parte superior del árbol del Registro. Haga clic en el menú Archivo, seleccio-

ne Exportar, haga clic en una unidad y carpeta en que se almacenará el archivo, escriba

un nombre y haga clic en Guardar.

Entradas y tipos de datosEn el nivel más bajo del árbol del Registro, se pueden observar entradas de datos en el panel de la derecha para una clave seleccionada. Todas las entradas de datos cuentan con tres ele-mentos: un nombre del lado izquierdo, un tipo de datos al centro y un dato en el lado derecho. En la figura 14-13 se observan dos entradas de datos del lado derecho. El tipo de datos determina cómo interpretar y utilizar el dato. Además, el Editor del Registro tiene un editor para cada tipo de datos. En la tabla 14-2 se ofrece el nombre de cada tipo de datos, su editor y descripción.

SUGERENCIA Es posible abrir de manera automática el editor correspondiente a cada

tipo de datos haciendo doble clic en el nombre ubicado en la columna izquierda de la en-

trada de datos.



Tabla 14-2. Tipos de datos usados en el Registro.

Tipo de datos Editor Descripción

REG_BINARY Binary Un valor simple expresado en el Editor del Registro como número hexadecimal; en general es un número complejo, analizado y utilizado para establecer directivas.

REG_DWORD Dword Un valor simple compuesto por un nú-mero hexadecimal de ocho dígitos como máximo; usualmente es un número sim-ple, como los decimales 16, 60 o 1 024.

REG_SZ String Una cadena de caracteres simple, como un nombre de archivo; puede incluir espacios en blanco.

REG_EXPAND_SZ String Una cadena de caracteres simple con una variable que el sistema operativo reem-plaza con su valor actual; un ejemplo es la variable de entorno Systemroot, reem-plazada con el directorio raíz de Windows Server 2008 (como opción predetermina-da, C:\Windows).

REG_MULTI_SZ Multi-String

Varias cadenas de caracteres separadas por espacios en blanco, comas u otro signo de puntuación, de manera que cada cade-na no puede contener espacios en blanco, comas u otro signo de puntuación.

REG_FULL_RESOURCE_DESCRIPTOR Array Una serie de números hexadecimales que representan una matriz, utilizada para al-macenar una lista de valores.

TRABAJE CON EL PROCESO DE ARRANQUEEl proceso de arranque o encendido de Windows Server 2008 es nuevo y, de alguna manera, más simple que en Windows Server 2003. Este proceso puede ser controlado y es probable que presente problemas que pueden ser atendidos. Por ello, es importante entender qué suce-de durante el arranque, qué se ve en la pantalla y los archivos en uso.

Pasos en el proceso de arranqueEl proceso de arranque tiene cinco etapas principales: prearranque, arranque, carga, ini-cialización e inicio de sesión. En cada una de estas etapas se dan varios pasos que cargan y utilizan archivos. En cada una de estas etapas revise el proceso que ocurre, la manera en que se usa cada archivo determinado y lo que se despliega en pantalla.

Prearranque El prearranque es un proceso dependiente del hardware, habilitado por el siste-ma básico de entrada-salida (BIOS, Basic Input-Output System). Este proceso se inicia cuando



enciende o reinicia el equipo. El primer paso que se da es la revisión del hardware disponible y su condición, empleando la rutina de prueba automática de encendido (POST, Power-On Self Test). Luego el BIOS ejecuta la carga inicial de programa (IPL, Initial Program Load), que loca-liza el dispositivo de arranque y, si el dispositivo es un disco duro, se lee el registro maestro de arranque (MBR, Master Boot Record) del primer sector del disco. En caso contrario, se obtiene la información equivalente del dispositivo de arranque. A partir de esta información, se obtie-nen datos de la partición, se lee el sector de arranque e inicia el programa del administrador de arranque de Windows (Bootmgr.exe). En la pantalla, verá la comprobación de la memoria, identificación del hardware y búsqueda del dispositivo de arranque.

Arranque El administrador de arranque de Windows lee los datos de configuración de arranque (BCD, Boot Configuration Data) y, si existe más de una partición de arranque, pre-guntará al usuario cuál partición desea utilizar, además del sistema operativo. Si no se rea-liza una selección en un tiempo preestablecido, se cargarán la partición predeterminada y el sistema operativo correspondiente. Si Windows Server 2008 está en proceso de arranque, se ejecutará el programa cargador de arranque de Windows (Winload.exe). Si tiene más de un perfil de hardware, puede oprimir la tecla barra espaciadora para seleccionar el que desea utilizar (por ejemplo, una laptop que en ocasiones usaría con una estación fija). Si oprime la tecla barra espaciadora, puede elegir el perfil de hardware que desee; en caso contrario, se utiliza el predeterminado.

Carga Una vez realizada la selección de sistema operativo y el perfil de hardware, se des-pliega la pantalla de “presentación” de Windows Server 2008, con una barra móvil al cen-tro. Mientras esto sucede, el cargador de arranque de Windows carga al núcleo del sistema operativo, la capa de abstracción de hardware ofrece la interfaz entre el sistema operativo y un conjunto particular de hardware, el archivo de Registro y los controladores de los dispo-sitivos básicos de hardware, como teclado, monitor y ratón.

Inicialización El núcleo del sistema operativo se inicializa y toma control sobre el carga-dor de arranque de Windows, inicia la interfaz gráfica, completa el Registro con la clave HKEY_LOCAL_MACHINE\HARDWARE y la subclave HKEY_LOCAL_MACHINE\SYS-TEM\SELECT (conocida como “conjunto clon de control”), además de cargar el resto de los controladores de dispositivo. Por último, inicia el administrador de la sesión, que ejecuta cualquier archivo de comandos en tiempo de ejecución, crea un archivo de paginación para el Administrador de memoria virtual, genera vínculos con el sistema de archivos que pue-den utilizarse con los comandos de DOS y, al final, inicia el subsistema de E/S para manejar todas las entradas y salidas de Windows Server 2008.

Inicio de sesión Inicia la interfaz gráfica de usuario (GUI, Graphic User Interface) de Win-dows Server 2008 y despliega la pantalla de inicio de sesión. Tras iniciar correctamente una sesión se arrancan los servicios necesarios, el último conjunto de control correcto se escribe en la base del conjunto clon de control y se ejecutan los programas de inicio.

Control del proceso de arranqueWindows Server 2008 proporciona la utilería Configuración del Sistema (véase la figura 14-14) para ejercer cierto control en el proceso de arranque. Con él, es posible determinar el modo de inicio: normal, de diagnóstico y selectivo; determine cuál de los diversos sistemas



Figura 14-14. La utilería Configuración del sistema permite controlar el proceso de arranque.

operativos es el predeterminado, cuáles opciones utilizar, cuáles servicios están habilitados y cuáles aplicaciones se ejecutan desde el inicio, además de ejecutar diversas herramientas, como Restauración del sistema y Monitor de rendimiento.

Para ejecutar la utilería Configuración del sistema:

1. Haga clic en Inicio|Herramientas administrativas|Configuración del sistema.

2. En ficha General, seleccione el modo de inicio.

3. Haga clic en la ficha Arranque, escoja el sistema operativo que se utilizará como opción predeterminada y dé clic en Establecer como predeterminado.

4. Haga clic en la ficha Servicios, revise los servicios en ejecución y desmarque cual-quier servicio que no desee ejecutar la próxima vez que el equipo arranque.

5. Haga clic en la ficha Inicio de Windows, revise las aplicaciones en ejecución y desmar-que cualquier aplicación que no desee ejecutar la próxima vez que el equipo arranque.

6. Haga clic en la ficha Herramientas, seleccione la herramienta que desee abrir y haga clic en Iniciar.

7. Haga clic en Aceptar cuando termine de utilizar la utilería Configuración del sistema.

Corrija problemas de arranqueDiversas situaciones pueden causar que un equipo no arranque. Para contrarrestar este hecho, Windows Server 2008 cuenta con varias características que ayudan a sortear el problema y le permiten corregirlo. Entre estas características se encuentran:



▼ Volver a la última configuración válida conocida de los archivos de Registro

▲ Utilizar la opción de arranque en Modo seguro y Opciones avanzadas

Regrese a la última configuración válida conocidade los archivos de RegistroSi un equipo no completa correctamente el proceso de arranque y hace poco intentó instalar un nuevo elemento de hardware o software o modificó el Registro, el problema suele deberse a que el Registro intenta cargar un controlador de dispositivo que no funciona apropiada-mente, así como el resultado de algún otro problema en el Registro. En general, conocería la razón del problema tras la etapa de inicialización o inicio de sesión. La solución más rápi-da para un problema con el Registro consiste en volver a la última configuración correcta de los archivos del Registro, siguiendo los pasos descritos a continuación:

1. Reinicie el equipo y oprima f8, inmediatamente después de seleccionar el dispositi-vo de arranque (u oprima f8, inmediatamente después de que aparezca la pantalla de presentación del equipo).

2. Utilice las flechas del teclado para elegir La última configuración válida conocida y luego oprima enter. Se utilizará La última configuración válida conocida de los archivos de Registro para iniciar Windows Server 2008.

SUGERENCIA Los archivos de La última configuración válida conocida del Registro se

almacenaron la última vez que completó correctamente el proceso de arranque e inicio de

sesión en Windows Server 2008.

El uso de La última configuración válida conocida y la Recuperación automática del sistema son los únicos medios automatizados para reparar un problema al arrancar Windo-ws Server 2008. El resto de las técnicas requieren que trabaje manualmente con los archivos necesarios para arrancar Windows Server 2008.

Utilice el Modo seguro y otras opciones avanzadasModo seguro utiliza los controladores mínimos predeterminados para arrancar los servicios básicos de Windows Server 2008, con la idea de que, en este modo, pueda solucionar el problema que evita el arranque normal. Modo seguro inicia con los mismos pasos utiliza-dos para iniciar la última configuración válida conocida, excepto que selecciona uno de los tres modos seguros: Modo seguro, Modo seguro con funciones de red y Modo seguro con símbolo del sistema. El modo seguro básico no incluye funciones de red y trabaja con una interfaz gráfica de Windows mínima. La segunda opción de modo seguro añade capacida-des de red y la tercera coloca al usuario en un símbolo del sistema; por lo demás, estas dos opciones son iguales a la primera.

Cuando arranca en Modo seguro, se observa en la pantalla una lista de controladores, a medida que se cargan. Si el arranque falla en algún punto, es posible observar el último con-trolador cargado. Una vez que se ingresa en Windows, si no cuenta con un ratón disponible, será necesario recordar la combinación de teclas rápidas con las que se realizan funciones importantes, como las mostradas en la tabla 14-3.



Mientras trabaja en Modo seguro, es muy útil la ventana Información del sistema, como se muestra en la figura 14-15. Para abrir la ventana Información del sistema haga clic en Inicio|Todos los programas|Accesorios|Herramientas de sistema|Información del siste-ma. En la ventana Información del sistema, son muy valiosas las secciones Recursos de hardware|Conflictos/uso compartido, Componentes|Dispositivos con problemas y Entor-no de software|Ejecutando tareas.

Tabla 14-3. Combinación de teclas rápidas disponibles al trabajar en Modo seguro.

Función Combinación de teclas rápidas

Abrir menú Inicio ctrl+esc

Abrir menú contextual mayús+f10

Cerrar ventanas activas alt-f4

Abrir la ayuda f1

Abrir Propiedades alt+enter

Buscar por archivos o carpetas f3

Cambiar de tarea alt+esc

Cambiar de programa alt+tab

Cambiar de sección ctrl+tab

Activar las teclas del ratón mayús izquierda+alt izquierda+bloq num

Deshacer crtl+z

De manera adicional a las opciones de Modo seguro y La última configuración válida conocida, el menú Opciones avanzadas tiene las siguientes opciones. Éstas son adicionales a la opción Iniciar Windows normalmente y a oprimir la tecla esc (con lo que vuelve al menú de opciones del sistema operativo).

▼ Habilitar el registro de arranque Registra en el archivo ntbtlog.txt todos los even-tos que toman lugar durante el arranque, localizadas como opción predeterminada en la carpeta C:\Windows. En el archivo se registra la carga de todos los archivos del sistema y los controladores, como se muestra a continuación, de manera tal que puede observar si alguno falló mientras se cargaba. El registro de los eventos que toman lugar durante el arranque se realiza en todas las opciones avanzadas de arranque, excepto en La última configuración válida conocida



■ Habilitar video de baja resolución (640x480) Inicia Windows en modo de pantalla de baja resolución (VGA), con una definición de 640×480, utilizando un controlador válido conocido, como opción predeterminada. El resto de los controladores y ca-pacidades se carga normalmente. El modo VGA también se utiliza en la opción de Modo seguro

■ Modo de restauración de servicios de directorio Restaura Active Directory en controladores de dominio y luego inicia en Modo seguro, utilizando el modo nor-mal de video y mantiene disponible el ratón. En los equipos que no son controladores de dominio, esta opción es igual a Modo seguro

▲ Modo de depuración Esta opción habilita el depurador de Windows y luego arranca el equipo con la configuración normal. Esto permite trabajar en secuencias de comandos que podrían interferir con el proceso correcto de arranque

Figura 14-15. La ventana Información de sistema puede ser útil para rastrear un problema.

NOTA Si usa un equipo de 64 bits y la versión x64 de Windows Server 2008, aparecerán

dos opciones avanzadas adicionales: Deshabilitar el reinicio automático cuando se pre-

senta una falla (que permite observar la causa de la falla) y Deshabilitar la firma forzada de

controladores (que permite el uso de controladores sin firma).



USE DIRECTIVAS DE GRUPOLas directivas de grupo proporcionan los medios para establecer los estándares y pautas que una organización desea aplicar al uso de sus equipos. Las directivas de grupo pretenden reflejar las políticas generales de una organización y pueden establecerse de manera jerár-quica desde un equipo local en el extremo inferior, a un sitio particular, dominio y varios niveles de unidades organizativas (OU, Organizational Unit) en el extremo superior. En general, las unidades de nivel inferior heredan directivas de las unidades superiores, aun-que es posible bloquear las de alto nivel, además de forzar su herencia, si se desea. Las directivas de grupo se dividen en directivas de usuario, que prescriben lo que puede hacer un usuario, mientras las directivas del equipo determinan lo que está disponible en un equi-po. Las directivas de usuario son independientes del equipo en que el usuario trabaja y se mantienen aunque el usuario cambie de equipo. Cuando el equipo se enciende (arranca), las directivas de grupo del equipo correspondientes se cargan y almacenan en el Registro en HKEY_LOCAL_MACHINE. Cuando el usuario inicia una sesión en un equipo, las di-rectivas de grupo para el usuario correspondiente se cargan y almacenan en el Registro en HKEY_CURRENT_USER.

Las directivas de grupo pueden ser muy benéficas para la organización e individuos que la integran. Todos los equipos de una organización pueden ajustarse automáticamente a cualquier usuario que inicie una sesión. Entre esto se incluye un escritorio personalizado con un menú Inicio personalizado y un conjunto único de aplicaciones. Las directivas de grupo controlan el acceso a archivos, carpetas y aplicaciones, además de la capacidad para cambiar configuración del sistema y aplicaciones, así como eliminar archivos y carpetas. Las directivas de grupo pueden automatizar tareas cuando un equipo se enciende o apaga y cuando un usuario inicia o cierra una sesión. Además, las directivas de grupo pueden almacenar automáticamente archivos y accesos directos en carpetas específicas.

Cree y cambie directivas de grupoLas directivas de grupo pueden existir en el nivel del equipo local, sitio, dominio y la OU. Aunque el proceso para crear o cambiar directivas de grupo es el mismo para niveles de sitio, dominio y OU, es suficientemente diferente en el nivel del equipo local para que valga la pena describirlo por separado.

Cambie directivas de grupo en el nivel del equipo localCada equipo con Windows Server 2008 sólo tiene una directiva de grupo local creada du-rante la instalación y almacenada por omisión en C:\Windows\System32\GroupPolicy. Dado que sólo puede existir una directiva de grupo local, no es posible crear otra, pero sí es posible editar la directiva existente siguiendo los pasos descritos a continuación:

1. Haga clic en Inicio|Ejecutar, escriba gpedit.msc y oprima enter o haga clic en Aceptar. Se abrirá la ventana Editor de directivas de grupo local.

2. Abra varios niveles del árbol ubicado del lado izquierdo, de manera que llegue a un nivel que muestre directivas y sus valores asignados del lado derecho, como se muestra en la figura 14-16.



Figura 14-16. Edite las directivas de grupo propiedades como inicio para el uso de directivas.

3. Haga doble clic en una directiva para abrir su cuadro de diálogo. En éste es posible cambiar los valores de la directiva local, habilitándola o deshabilitándola y también agregando o eliminando usuarios o grupos.

4. Agregue usuarios o grupos adicionales haciendo clic en Agregar usuarios o grupo y seleccionando los usuarios o grupos que desea añadir.

5. Expanda Configuración de usuario | Plantillas administrativas | Componentes de Windows | Internet Explorer | Configuración de Internet | Configuración avanza-da | Exploración, dé doble clic en la primera configuración y luego dé clic en Valor siguiente para revisar todos los valores. Todos ellos tienen seleccionada la opción “No configurada”.

6. Haga clic en la ficha Explicación, en cualquier cuadro de diálogo Propiedades, para obtener una descripción detallada de la directiva y los efectos de habilitarla, desha-bilitarla o dejar la directiva sin configurar.

7. Realice cualquier cambio que desee a las directivas de grupo en el equipo local y luego cierre los cuadros de diálogo abiertos y la ventana Directiva de grupo.



Aunque las directivas de grupo puedan implementarse en el nivel del equipo local y son para el equipo, como opción predeterminada se espera que se sobrescriban en los nive-les de dominio u OU.

Revise las directivas de grupo en los nivelesde dominio y OULas directivas de grupo arriba del nivel del equipo local son objetos de Active Directory y, por tanto, se denominan objetos de directiva de grupo (GPO, Group Policy Object). Se crean como un objeto, pero se almacenan en dos piezas: un contenedor de directiva de grupo y una planti-lla de directiva de grupo. Los contenedores de directiva de grupo (GPC, Group Policy Container) se almacenan en Active Directory y contienen pequeñas piezas de información que rara vez cambian. Las plantillas de directiva de grupo (GPT, Group Policy Template) son un conjunto de car-petas almacenadas, como opción predeterminada, en C:\Windows\Sysvol\Sysvol\nombre dominio\Policies\ con componentes del usuario y la máquina, como se muestra en la figura 14-17. Las GPT almacenan grandes piezas de información que cambia frecuentemente.

Es posible revisar un GPO relacionado con un dominio u OU, abriendo Administración de directivas de grupo, en el Administrador del servidor o su propia MMC. Vea, a continua-ción, cómo se hace esto:

Figura 14-17. Cuando instala la función Servicios de dominio de Active Directory,

se crea una estructura de carpetas para almacenar las plantillas de directiva de grupo.



PRECAUCIÓN Aunque vale la pena comprender cuáles son la directiva de dominio pre-

determinada y la directiva de controlador de dominio predeterminada, éstas se encuentran

en la parte superior de la pirámide de directivas y no deben modificarse, excepto cuando

un programa lo requiera.

1. Haga clic en Inicio|Administrador del servidor y abra Características|Administra-ción de directivas de grupo.

O bien, haga clic en Inicio|Ejecutar y escriba gpmc.msc. En cualquier caso, abra Bosque|Dominios|nombre de dominio|Objetos de directiva de

grupo y haga clic en Default Domain Policy.

2. En el panel de la derecha, haga clic en la ficha Configuración y clic en la opción Mostrar todo, ubicada en el extremo derecho de las directivas, para ver los detalles, como se muestra en la figura 14-18 (si se está ejecutando gpmc.msc).

3. En el panel de la izquierda, haga clic derecho en Default Domain Policy y seleccione Editar. Se abrirá el Editor de administración de directivas de grupo. En la ventana del editor abra, por ejemplo, Configuración del equipo | Directivas | Configuración de Windows|Configuración de seguridad|Directivas locales y dé clic en Opciones de seguridad, para ver la lista de directivas mostrada en la figura 14-19.

Figura 14-18. La configuración de directivas de grupo puede ser revisada en

Administración de directivas de grupo.



4. Haga doble clic en una directiva, para abrir su cuadro de diálogo Propiedades y luego dé clic en la sección Explicación, para ver una descripción de la direc-tiva, los efectos de su configuración y algunas notas. Cuando termine, cierre el cuadro de diálogo Propiedades.

5. Abra, revise y después cierre otros obje-tos y propiedades bajo Configuración del equipo y después bajo Configuración de usuario. Cuando termine, cierre el Editor de administración de directivas de grupo.

Figura 14-19. La Administración de directivas de grupo se puede realizar

a un nivel muy detallado.



Trabaje con objetos de directivas de grupoEs posible respaldar, restaurar, copiar, eliminar y cambiar el nombre de los GPO al hacer clic derecho en ellos. También crear un nuevo GPO utilizando la opción GPO de inicio. He aquí cómo:

1. En Administración de directivas de grupo, abra Bosque|Dominios|nombre de domi-nio y dé clic en GPO de inicio.

2. Si es la primera vez que se crean GPO de inicio, haga clic en el botón Crear carpeta de GPO de inicio.

3. En el panel de la izquierda, haga clic derecho en la opción GPO de inicio y clic en Nuevo. Escriba un nombre para el GPO de inicio, añada los comentarios deseados y haga clic en Aceptar.

4. En el panel de la derecha, haga clic derecho en el nuevo GPO de inicio y haga clic en Editar. Se abrirá la ventana del Editor de GPO del iniciador de directivas de grupo.

5. Abra, por ejemplo, Configuración del equipo|Plantillas administrativas|Red|Co-nexiones de red|Firewall de Windows|Perfil de dominio y haga clic en una de las configuraciones para ver su descripción, como lo muestra la figura 14-20.

6. Haga doble clic en una configuración para abrir su cuadro de diálogo Propiedades, donde es posible modificar la configuración y añadir comentarios. Haga clic en Aceptar cuando termine.

7. Abra, modifique y cierre todas las directivas que desee y sus configuraciones co-rrespondientes. Cuando esté listo, cierre el Editor de GPO del iniciador de directi-vas de grupo.

8. Para crear un nuevo GPO a partir de un GPO de inicio, haga clic derecho en el GPO de inicio que desee utilizar y haga clic en la opción Nuevo GPO a partir de GPO de inicio. Escriba un nombre para el nuevo GPO y haga clic en Aceptar.

SUGERENCIA Un “GPO de inicio” ofrece un conjunto de plantillas administrativas nece-

sarias en un GPO que pueden modificarse y luego utilizarse para crear un nuevo GPO.



Figura 14-20. Con el uso de un GPO de inicio, es posible configurar un GPO para

un propósito particular y utilizarlo para crear uno o más GPO.

9. En el panel de la izquierda, bajo Administración de directivas de grupo, abra Bos-que | Dominios | nombre del dominio | Objetos de directiva de grupo y haga clic derecho en el nuevo GPO. En el menú contextual, es posible editar y realizar diversas ope-raciones con un GPO predeterminado.



10. Una vez que tiene un GPO, puede vincularlo con un dominio, OU o sitio, al hacer clic derecho en el dominio, OU o sitio; dar clic en la opción Vincular un GPO exis-tente, seleccionar el GPO y clic en Aceptar.

11. Cuando todo esté listo, cierre la ventana Administración de directivas de grupo.

EMPLEE PERFILES DE USUARIOSi usted es el único usuario del equipo, puede modificar a la medida de sus gustos y nece-sidades individuales escritorio, menú Inicio, carpetas, conexiones de red, Panel de control y aplicaciones. Si varios usuarios utilizan el mismo equipo, como suele suceder con un servi-dor, éstos sólo podrían molestarse entre sí en el caso de que se realizara este tipo de cambios. La forma de evitar esto es creando un perfil de usuario para cada usuario que contiene la configuración individual sólo para él, que se carga cuando inicia una sesión en el equipo.

Cuando crea una nueva cuenta de usuario e inicia una sesión en un equipo con Windows Server 2008, automáticamente se crea un perfil de usuario, y cuando cierra la sesión la con-figuración se almacena en dicho perfil. Al iniciar nuevamente una sesión, la configuración almacenada se utiliza para ajustar el sistema a la forma que tenía cuando la sesión cerró por última vez. Al instalar Windows Server 2008, establece un perfil de usuario predetermina-do, utilizado por todos los nuevos usuarios como opción predeterminada, almacenado con el nombre del usuario cuando éste cierra la sesión. El primer usuario que se crea al instalar Windows Server 2008 es Administrador, mientras la configuración inicial se almacena con dicho usuario. Un perfil de usuario es un conjunto de carpetas almacenadas en la carpeta Usuarios, en el volumen del sistema en que instala el sistema operativo. En la figura 14-21 se muestran las carpetas de un perfil de usuario llamado Administrador. En la misma figura puede observarse una carpeta para todos los usuarios y una predeterminada, con archivos, carpetas y configuraciones aplicables a todos los usuarios.

Existen tres tipos de perfiles de usuario: local, roaming y obligatorio.

NOTA Los accesos directos en la lista de la carpeta Usuarios (carpetas con una flecha)

son carpetas donde se colocan programas antiguos configurados para versiones antiguas

de Windows.

Cree perfiles de usuario localLos perfiles de usuario local se generan automáticamente cuando se crea un nuevo usuario e inicia sesión en el equipo; el perfil cambia cada vez que el usuario hace cambios al entorno, como los hechos al escritorio o al menú Inicio. Cuando el usuario cierra la sesión, cualquier cambio realizado se almacena en el perfil de usuario. Éste es un proceso automático y están-dar en Windows Server 2008. Sin embargo, una cuenta de usuario local se limita al equipo en que se crea. Si el usuario inicia una sesión en un equipo diferente, se crea un nuevo perfil de usuario local en ese equipo. Un perfil de usuario de roaming elimina la necesidad de tener un perfil diferente en cada equipo.



Figura 14-21. Los perfiles de usuario cuentan con un conjunto de carpetas

para su uso en el equipo.

Cree perfiles de usuario de roamingUn perfil de usuario de roaming se configura en un servidor de manera tal que cuando inicie una sesión por primera vez en un equipo en el mismo dominio que el servidor, será autentificado por el servidor y su perfil de usuario completo será enviado al equipo, donde se almacenará como perfil de usuario local. Cuando cierre la sesión en el equipo, cualquier cambio realizado en la configuración del perfil se almacenará en equipo y servidor. La próxima vez que inicie sesión en el equipo, su perfil local se comparará con su perfil en el servidor y sólo los cambios en éste se descargarán al equipo, reduciendo así el tiempo de inicio para la sesión.



El proceso para crear un perfil de usuario de roaming consta de cinco pasos:

1. Cree una carpeta para almacenar los perfiles.

2. Cree una cuenta de usuario.

3. Asigne la carpeta de los perfiles a la cuenta de usuario.

4. Cree un perfil de usuario de roaming.

5. Copie una plantilla de perfil al usuario.

Cree una carpeta de perfilesLos perfiles de usuario de roaming pueden almacenarse en cualquier servidor (no es nece-sario que el servidor se encuentre en un controlador de dominio). En realidad, debido al ta-maño de la descarga, la primera vez que un usuario inicia sesión en un nuevo equipo, tiene sentido no almacenar los perfiles de usuario de roaming en el controlador del dominio. No existe carpeta predeterminada para almacenar perfiles de roaming, así que debe crear una dando los pasos siguientes:

1. Inicie sesión como Administrador en el servidor donde desea que resida la carpeta de perfiles y abra el Explorador de Windows (Inicio|Equipo).

2. Haga clic en Disco local (C:) en la lista de carpetas. Dé clic derecho en un área en blanco del panel de la derecha y haga clic en Nuevo|Carpeta.

3. En el cuadro de nombre de la nueva carpeta, escriba el nombre que asignará a la car-peta donde se ubicarán los perfiles. Debe ser un nombre que reconozca fácilmente, como “Perfiles”. Oprima enter.

4. Haga clic derecho en la nueva carpeta y clic en Compartir. En el cuadro de diálogo de Archivos compartidos, haga clic en la flecha al lado del botón Agregar y en la opción Todos, en Agregar y en Compartir.

5. Dé clic en Listo, para cerrar el cuadro de diálogo Archivos compartidos. Deje abier-ta la ventana del Explorador de Windows.

Cree una cuenta de usuarioTodos los usuarios de un dominio deben tener una cuenta de usuario en ese dominio. Ha visto cómo crear una cuenta de usuario en capítulos anteriores (3 y 7) y se tocará el tema de nuevo en el capítulo 15, pero aquí se incluyen algunos pasos, para refrescar esos conocimientos:

1. Mientras se encuentra en una sesión iniciada como Administrador, abra la ventana Usuarios y equipos de Active Directory (Inicio | Herramientas administrativas | Usua-rios y equipos de Active Directory).

2. Abra el dominio en que desea crear la cuenta; luego abra Users. Eche un vistazo a los usuarios existentes para asegurarse de que el usuario que desea crear no se ha generado aún.



3. Haga clic en el menú Acción, luego en Nuevo|Usuario. Se abrirá el cuadro de diá-logo de Nuevo objeto–Usuario. Escriba nombre de usuario y de inicio de sesión de usuario y después dé clic en Siguiente.

4. Ingrese la contraseña del usuario, seleccione cuándo deberá cambiarla el usuario y haga clic en Siguiente. Revise la configuración realizada. Si quiere cambiar algo, haga clic en el botón Atrás y realice los cambios necesarios. Cuando todo esté lis-to, haga clic en Finalizar.

Para continuar con estos ejercicios, cree varias cuentas nuevas: por lo menos una con perfil de roaming regular y otra que será plantilla para perfil preconfigurado. Deje abierta la ventana Usuarios y equipos de Active Directory cuando termine.

Asigne la carpeta de perfiles a una cuenta de usuarioPara utilizar un perfil de roaming, la cuenta del usuario debe especificar que su perfil está almacenado en la carpeta de perfiles antes establecida. De otra forma, Windows Server 2008 buscará en la carpeta de Usuarios del equipo la información del usuario que inició la sesión. En los pasos siguientes se muestra cómo asignar la carpeta de perfiles a una cuenta de usuario:

1. En la carpeta Usuarios y equipos de Active Directory\nombre del dominio\Users, donde añadió al nuevo usuario, haga clic derecho en uno de los usuarios creados en el paso anterior y luego seleccione Propiedades. Se abrirá el cuadro de diálogo Propiedades del usuario.

2. Haga clic en la ficha Perfil. En el cuadro de texto Ruta de acceso al perfil escriba \\nombreservidor\nombrecarpeta\nombreiniciosesión. Por ejemplo, si el nombre

de servidor en que está almacenado el perfil es ServidorCentral, la carpeta es Per-files y el nombre de inicio de sesión del usuario Manuel, entonces debe escribir \\servidorcentral\perfiles\manuel.



3. Cierre el cuadro de diálogo Propiedades y repita el proceso para el otro usuario.

Cree un perfil de usuario de roaming Una vez configurada una carpeta compartida en un servidor y especificada en la cuenta del usuario que el perfil del usuario localizará en dicha carpeta del servidor, se creará el perfil de usuario y almacenará en el servidor, en el momento en que el usuario inicie una sesión en cualquier equipo de la red. Dé los pasos siguientes:

1. Inicie sesión con una de las nuevas cuentas de usuario creadas en cualquier equi-po de la red. Realice algunos cambios en el escritorio y menú Inicio y después cierre la sesión.

2. Eche un vistazo a la carpeta creada en el servidor para almacenar los perfiles de usuario. Verá cómo ha creado una nueva carpeta de perfiles con el nombre de inicio de sesión del usuario utilizado en el paso 1.

3. Inicie sesión con este mismo usuario en otro equipo de la red. Los cambios realiza-dos al escritorio y menú Inicio estarán presentes.

Aunque la técnica anterior es apropiada para alguien a quien se desea dar libertad absoluta en el sistema y está bien informado sobre cómo adaptarlo a sus necesidades y deseos, si desea poner límites al usuario o alguien que no tiene mucho conocimiento so-bre cómo cambiar el sistema, es posible crear una plantilla de perfil y después asignarla a uno o más usuarios.

Para construir una plantilla, simplemente inicie sesión con el usuario de “plantilla”, creado en el equipo que desea utilizar para el perfil y después efectúe los cambios necesa-rios que quiere reflejar en el perfil. Si la plantilla se asignará a varias personas, asegúrese de que hardware y aplicaciones son los mismos tanto en el grupo que utilizará el perfil como en el equipo usado para crear el perfil.



Copie o asigne una plantilla de perfil a un usuarioPuede manejar una plantilla de dos diferentes maneras. Puede “copiarla” para crear un nuevo perfil que luego se asigna a un usuario o asignar la plantilla tal como está a varios usuarios. Verá cómo hacer esto, siguiendo los pasos descritos a continuación:

NOTA El proceso de “copia” en este caso utiliza una técnica especial y no puede realizar-

se con el comando Copiar de Equipo o el Explorador de Windows.

1. En la carpeta Usuarios y equipos de Active Directory\nombre de dominio\Users en que se añadió al nuevo usuario, dé clic derecho en la plantilla de perfil ya creada y clic en Copiar. Se abrirá el cuadro de diálogo Copiar objeto – Usuario.

2. En este cuadro de diálogo, escriba nombre de usuario, nombre de inicio de sesión y contraseña.

3. Repita los pasos 1 y 2 para asignar la plantilla a varios usuarios.

4. Inicie sesión con cada uno de los nuevos usuarios en uno o más equipos y asegúrese de que todo funciona correctamente. Una posibilidad en caso de que la conexión no funcione es un error de escritura en la ruta del perfil capturada en el cuadro de diálogo Propiedades del usuario.

Utilice perfiles de usuario obligatoriosUn perfil de usuario obligatorio es un perfil de roaming que no puede modificarse; es sólo para lectura. Esto es muy valioso cuando varios usuarios comparten el mismo perfil. En el momento en que un usuario termina una sesión en un equipo donde se ha utilizado un per-fil obligatorio no se almacenan los cambios realizados por el usuario. El perfil no evita que el usuario realice cambios mientras está abierta su sesión, pero los cambios no se almacenan. Un perfil de usuario obligatorio se crea tomando un perfil de usuario de roaming y, en la carpeta con el nombre del usuario, cambiando el nombre del archivo del sistema Ntuser.dat por Ntuser.man.

ACTUALICE WINDOWS SERVER 2008Cuando termina la instalación de Windows Server 2008 y después, se generan recordatorios en un pequeño globo, de manera periódica, en la parte inferior derecha de la pantalla, para “Mantenerse al día con actualizaciones automáticas”. Si se habilita la opción de actualizacio-nes automáticas, el sistema determinará por sí mismo si existen actualizaciones disponibles para Windows Server 2008 y de manera automática o manual las descargará de Internet; asimismo, las instalará periódicamente. Esto garantiza que el sistema cuente con las últimas correcciones generadas por Microsoft. Si se opta por no instalar las actualizaciones de mane-ra automática, aún es posible descargarlas de Internet e instalarlas manualmente.



Actualizaciones manualesPara obtener e instalar manualmente las actualizaciones, debe abrir el sitio Web de Win-dows Update y permitir que rastree su sistema para determinar si es necesaria una actualización, descargarla y después instalarla. Siga los pasos descritos a continuación para realizar una actualización manual:

1. Haga clic en Inicio | Todos los programas | Windows Update. Se abrirá la venta-na Windows Update.

2. Haga clic en Buscar actualizaciones. Se establecerá una conexión con Internet, se buscarán actualizaciones en el sitio de Microsoft y se le indicará si hay alguna.

3. Si se tienen actualizaciones que necesitan o pueden ser instaladas, haga clic en Ins-talar actualizaciones.

4. Haga clic en Aceptar cuando se muestre el contrato de licencia; después de ello comenzará la descarga. Cuando la transferencia esté completa, las actualizaciones se instalarán automáticamente. Cuando la instalación esté completa, dependien-do de la actualización, quizás necesite reiniciar el equipo. Si el equipo lo solicita, haga clic en Aceptar.

5. En caso de que no se le solicite reiniciar el equipo, cierre la ventana Windows Up-date. Las actualizaciones están instaladas y listas para usarse.

Actualizaciones automáticasSi se activa la opción de actualizaciones automáticas, Windows se conecta a Internet, va al sitio Web de Windows Update y determina si hay actualizaciones necesarias para descargar. En ese caso, Actualizaciones automáticas, de acuerdo con la opción seleccionada, le notificarán la disponibilidad de la actualización o bien si la descargará automáticamente. De igual forma, es posible elegir entre instalarlas automática o manualmente, una vez concluida la descarga. Si decide dar los tres pasos automáticamente (detectar las actualizaciones necesarias, descargar-las e instalarlas), es posible programar un horario para que se realice esta tarea.



Active la opción de actualizaciones automáticasLas actualizaciones automáticas se activan de dos maneras. Poco después de instalar Win-dows Server 2008, el sistema preguntará si se desea activar la opción de actualizaciones automáticas. Esto abre el asistente para configuración de actualizaciones automáticas. Si-guiendo las instrucciones del asistente, es posible activarlas. También puede acceder a la opción de actualizaciones automáticas en cualquier momento mediante el Panel de control. Con los siguientes pasos se describe cómo activar la opción de actualizaciones automáticas desde el Panel de control:

1. Haga clic en Inicio|Panel de control y haga doble clic en Sistema. Se abrirá la ven-tana Sistema; en ella, haga clic en el vínculo Windows Update ubicado en la parte inferior izquierda de la pantalla.

2. Haga clic en Cambiar configuración. Se abrirá la ventana Cambiar configuración, como se muestra en la figura 14-22. Determine el nivel de automatización deseado, haciendo clic en una de las tres opciones mostradas:

Figura 14-22. Puede seleccionar el nivel de automatización para la instalación

de actualizaciones del sistema operativo.



a. La primera opción revisa si existen actualizaciones disponibles, las descarga e instala, todo de manera automática en un día y hora especificados.

b. La segunda opción determina automáticamente si existen actualizaciones disponibles y las descarga automáticamente; luego pregunta al usuario an-tes de instalarlas.

c. La tercera opción determina automáticamente si existen las actualizaciones necesarias, después pregunta al usuario si desea descargarlas y pregunta de nuevo antes de instalarlas.

d. La cuarta opción es manual y todo el proceso se realiza a petición directa del usuario.

3. Haga clic en Aceptar para cerrar la ventana.

Use actualizaciones semiautomáticasSi se selecciona la segunda o tercera opción, se visualizará un aviso cada vez que existan ac-tualizaciones listas para descargarse o instalarse. Al hacer clic en el aviso, se abrirá el cuadro de diálogo de actualizaciones automáticas. Si hace clic en el botón Detalles, es posible ver las actualizaciones disponibles, además de una descripción de cada una. Es posible seleccionar de manera individual la descarga e instalación de cada una de las actualizaciones propues-tas haciendo clic en el cuadro de selección.

Conserve las actualizaciones automáticasUna vez instaladas las actualizaciones automáticas, la ventana Windows Update mostrará la fecha de la última búsqueda de actualizaciones, la última vez que se instalaron actuali-zaciones, cuál es la configuración actual para la realización de actualizaciones; además de permitir la revisión de las actualizaciones instaladas y permitirá realizar una búsqueda de actualizaciones disponibles, además de modificar la configuración actual.


15

521

CAPÍTULO

Control de seguridad en Windows Server

2008



La seguridad es un tema tan amplio que resulta difícil obtener una imagen general. Una forma de lograr esto consiste en ver las demandas de seguridad en una red computacional. Una vez que las demandas se definen, también puede ver cómo

las maneja Windows Server 2008. Entre las demandas de seguridad se incluyen las siguientes (son también las secciones más importantes de este capítulo):

▼ Autentificar al usuario Conocer quién usa el equipo o conexión de red

■ Control del acceso Establecer y mantener límites sobre lo que un usuario pue-de hacer

■ Aseguramiento de los datos almacenados Evitar que los datos almacenados se usen incluso con acceso

▲ Aseguramiento de la transmisión de datos Evitar que se dé mal uso a los datos en una red

Windows Server 2008 utiliza un método de varias capas para implementar seguridad y suministra varias funciones empleadas para manejar demandas de seguridad. La estrategia central de seguridad de Windows Server 2008 es el uso de Active Directory para almacenar cuentas de usuario y proporcionar servicios de autentificación, aunque las características de seguridad están disponibles sin Active Directory. Éste proporciona una centralización de administración de seguridad, muy benéfica para la imposición fuerte de seguridad. En cada una de las siguientes secciones, una demanda de seguridad se explica con más detalle y se analizan las opciones que atienden tal demanda en Windows Server 2008, siendo éstas la forma de implementarlas.

NOTA En casi todos los conjuntos de pasos de este capítulo se requiere inicio de sesión

como Administrador.

AUTENTIFIQUE AL USUARIOAutentificación es el proceso de verificar que usuarios u objetos sean lo que se supone deben ser. En su forma más simple, la autentificación de usuario de un equipo incluye validación de nombre de usuario y contraseña contra entrada almacenada, como se hace en un equipo estándar. En su forma más completa, la autentificación de usuario requiere el uso de mé-todos sofisticados para validar un posible usuario, al usar, tal vez, una tarjeta inteligente o dispositivo biométrico en cualquier lugar de la red, contra credenciales en Active Directory. En el caso de objetos, como documentos, programas y mensajes, la autentificación requiere usar validación de certificados. En Windows Server 2008, las tres formas de autentificación están disponibles y ambas formas de usuario emplean un solo concepto que permite a los usuarios, una vez autentificados, obtener acceso a otros servicios en el equipo local o red, dependiendo de su entorno y permisos, sin reinsertar su nombre de usuario y contraseña.

En la instalación predeterminada, cuando inicia un equipo con Windows Server 2008, existe una petición para oprimir ctrl+alt+supr. Esto detiene todos los programas que se ejecutan en el equipo, excepto la petición para insertar su nombre de usuario y contraseña. El propósito de detener todos los programas es evitar que un programa de caballo de Troya


523 Capítulo 15: Control de seguridad en Windows Server 2008

capture su nombre de usuario y contraseña. Si la combinación de nombre de usuario/con-traseña ingresada no es correcta, se le dan cinco oportunidades para corregirla, después de las cuales el equipo se inmoviliza 30 segundos. Luego se da, como opción, una oportunidad y cinco oportunidades, separadas por 30 segundos de inactividad, luego el patrón se repite para insertar nombre de usuario y contraseña correctos. Este patrón hace más difícil desci-frar una contraseña pues no puede intentar una nueva contraseña de manera repetida.

Una vez ingresados nombre de usuario y contraseña, deben autentificarse. Esto puede hacerse en el equipo local, donde el usuario estará limitado a ese equipo, o en un servidor que da soporte a una red, tal vez con Active Directory, en cuyo caso el usuario accederá a la red.

Autentificación de usuario de equipo localPara tener un nombre de usuario y contraseña aceptados en un equipo independiente local, deben insertarse antes una cuenta de usuario con ese nombre de usuario y contraseña, en la base de datos Usuarios y grupos locales, en el archivo del administrador de cuentas de se-guridad (SAM, Security Account Manager) o HKEY_LOCAL_MACHINE en Registro. Aquí se muestran los pasos para configurar una cuenta de usuario:

NOTA Si está en un controlador de dominio de Active Directory, no tendrá Usuarios

ni grupos locales en Administración de equipos. Debe utilizar Usuarios y equipos de

Active Directory.

1. Mientras siga en la sesión como Administrador, haga clic en Inicio | Herramientas administrativas | Administración de equipos. Se abre la ventana Administración de equipos.

2. En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos locales, haga clic en Usuarios, clic derecho en el panel derecho y luego en Usuario nuevo, para abrir el cuadro de diálogo Usuario nuevo.

3. Inserte un nombre de usuario de hasta 20 caracteres. No puede contener sólo pun-tos o espacios; tampoco puede tener “ / \ [ ] : ; | = , + * ¿ <> @; asimismo, espacios o puntos se eliminan.

4. Inserte un nombre completo, descripción (opcional), contraseña de hasta 14 carac-teres con mayúsculas o minúsculas, confirmación y después seleccione lo que debe hacer el usuario con la contraseña, como se muestra en la figura 15-1. Una contra-seña debe tener al menos ocho caracteres de largo y una mezcla de mayúsculas, minúsculas, números y caracteres especiales.

5. Cuando haya ingresado esta información en forma correcta, dé clic en Crear y des-pués en Cerrar. Ahora podrá salir de la sesión de Administrador e iniciar como su nuevo usuario. Inténtelo para confirmar que funciona.

Con la entrada de nombre de usuario y contraseña, el nuevo usuario podrá hacer cual-quier acción en ese nivel de permiso de usuario en dicho equipo. Si éste se conecta después a una red, la cuenta debe restablecerse ahí para que el usuario pueda usar dicha red.



Autentificación de usuario de redEn un entorno de red, la autentificación de usuarios es manejada por uno de varios mé-todos, dependiendo si está habilitado Active Directory. Si no lo está utilizando, entonces la autentificación se maneja en un nivel más básico. Si Active Directory está en uso, habrá disponibles varias técnicas de autentificación más avanzadas en Windows Server 2008. Si los usuarios vienen de Internet, también podrán utilizar certificados, además de protocolos de autentificación capa de conector seguro (SSL, Secure Sockets Layer) o seguridad de capa de transporte (TLS, Transport Layer Security). En el caso de los certificados, Windows Server 2008 puede tomar un certificado autentificado y asignarlo a un usuario para que se integre con el resto del sistema (consulte “Autentificación de certificado”, en páginas pos-teriores de este capítulo).

En todos estos métodos, primero debe establecer una cuenta de usuario en el servidor antes de que la autentificación se efectúe. Sin Active Directory, el procedimiento para confi-gurar una cuenta de usuario es el mismo que con el equipo local, analizado en la sección anterior, excepto que debe hacerse en cada servidor de la red. Con Active Directory y Ser-vicios de Certificate Server de Active Directory, que requieren Active Directory para uso completo, el procedimiento es un poco diferente. Aquí se muestran los pasos:

1. Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Se abre el cuadro de diálogo Usuarios y equipos de Active Directory.

2. En el panel de la izquierda, abra el dominio aplicable y después la carpeta Users. Haga clic en el menú Acción y en Nuevo | Usuario.

Figura 15-1. Un nuevo usuario o equipo individual insertado a través

de Administración de equipos.



3. En el cuadro de diálogo Nuevo objeto – Usuario, escriba el nombre del usuario y de inicio de sesión, como verá aquí, y después haga clic en Siguiente.

4. Inserte y confirme la contraseña, seleccione cómo quiere que el usuario cambie la contraseña y después haga clic en Siguiente.

5. Revise sus opciones, utilice Atrás, si es necesario, para realizar cualquier cambio, y haga clic en Finalizar cuando la cuenta esté a su gusto.

Al establecer esta cuenta de usuario en Active Directory, con las directivas apropiadas, el usuario podrá iniciar sesión en cualquier lugar de la red, que puede extenderse a Internet y autentificarse.

Autentificación KerberosKerberos versión 5 es el protocolo de autentificación predeterminado de Windows Server 2008, y Kerberos, en sus diferentes versiones, es el protocolo predeterminado de casi todo Internet. Esto significa que las mismas rutinas de autentificación de Windows Server 2008 pueden validar un cliente de Windows Server 2008 local y un cliente UNIX conectado a Internet. Kerberos fue desarrollado originalmente por MIT para autentificación de Inter-net (http://Web.mit.edu/kerberos/www/). La Internet Engineering Task Force (IETF) da mantenimiento a la especificación de Kerberos versión 5, que, junto con una revisión gene-ral, se encuentra en la solicitud de comentario 1510 (RFC, Request For Comment; consulte el capítulo 5 para conocer un análisis de las RFC), disponible en línea en http://www.ietf.org/rfc/rfc1510.txt.

Además de la semejanza con Internet y varios sistemas, Kerberos aporta otro beneficio importante para usuarios de Windows Server 2008. En otros esquemas de autentificación, cada vez que un usuario intenta acceder a diferentes servicios de red, tal servicio debe ir al servidor de autentificación para configurar la autenticidad del usuario. Esto no significa



que el usuario deba iniciar sesión de nuevo, pero cada servicio tiene que obtener su pro-pia confirmación, creando bastante tráfico de red. Éste no es el caso con Kerberos, que suministra para cada usuario un boleto cifrado con el ID de usuario y contraseña que los dispositivos de red pueden usar para identificar y validar. El sistema de boleto de Kerbe-ros también valida el servicio de red para el usuario, proporcionando autentificación entre usuario y servicio.

NOTA El boleto de Kerberos también se conoce como boleto de servicio o de usuario.

Todos son el mismo objeto.

Kerberos usa un centro de distribución de claves (KDC, Key Distribution Center) en cada controlador de dominio, que almacena las cuentas de usuario ingresadas en Active Directory de la red. Cuando un usuario intenta iniciar sesión en cualquier parte de la red, tiene lugar el siguiente proceso:

1. El nombre de usuario y contraseña se cifran y envían a KDC.

2. KDC valida la combinación del nombre de usuario y contraseña.

3. Se construye un boleto que cifra nombre de usuario y contraseña, además de una clave para transferir información entre el usuario y cualquier otro servicio de red.

4. El boleto se devuelve al punto de inicio de sesión del usuario, donde se presenta al servicio de red, que proporciona la autenticidad para el usuario.

5. La capacidad del servicio para aceptar y utilizar el boleto prueba la autenticidad del servicio ante el usuario.

6. Cualquier información transferida entre usuario y servicio se hace mediante la cla-ve de cifrado en el boleto.

7. Si el usuario ingresa a otro servicio de red, mientras aún está en la sesión del primer servicio de red, el boleto se presenta automáticamente al segundo servicio, que ofre-ce una autentificación mutua inmediata y la capacidad para transferir información de forma segura.

En los pasos anteriores seguramente habrá visto otro gran beneficio de Kerberos: la inclusión de una clave de cifrado en el boleto, que permite al usuario y servicio de red trans-ferir información de forma segura. Esto resuelve automáticamente otra de las demandas de seguridad: asegurar los datos en la transmisión.

Kerberos es un medio poderoso de autentificación y un valor importante de Windows Server 2008.

Reemplazos de contraseñasEl vínculo más débil en el esquema de seguridad de Windows Server 2008 es, tal vez, el uso de contraseñas. Los usuarios dan contraseñas a otros o las olvidan y las contraseñas se roban o sólo se “encuentran” de varias formas. No existe nada que relacione una con-traseña con un individuo. Con la contraseña de alguien a la mano, nada puede evitar que se haga pasar por esa persona en un sistema protegido por contraseña. Dos posibles reem-plazos a las contraseñas son las tarjetas inteligentes y los dispositivos biométricos.



Tarjetas inteligentes Las tarjetas inteligentes son piezas de plástico del tamaño de una tar-jeta de crédito con un circuito resistente a falsificaciones incrustado y que almacena perma-nentemente un ID, contraseña, firma digital, clave de cifrado o cualquier combinación de éstas. Las tarjetas inteligentes requieren número de identificación personal (PIN, Personal Identification Number), para añadir un segundo nivel (tarjeta inteligente además de PIN, en lugar de contraseña) que una persona haciéndose pasar por otra debería obtener, para iniciar sesión en un sistema. Además, es posible configurar tarjetas inteligentes para que se bloqueen tras varios intentos incorrectos de insertar un PIN.

Windows Server 2008 da soporte completo a tarjetas inteligentes y le permite usarlas para iniciar sesión en un equipo o red, también para habilitar autentificación basada en certificado, con el fin de abrir documentos o realizar otras tareas. Las tarjetas inteligentes re-quieren un lector conectado al equipo mediante un puerto USB, PCMCIA o sólo una ranura “PC Card” o ExpressCard. Con un lector de tarjetas inteligentes, los usuarios no tienen que oprimir ctrl+alt+supr. Sólo necesitan insertar su tarjeta y en ese momento se les pide su PIN. Con una tarjeta válida y un PIN, los usuarios se autentifican y se les admite en el siste-ma de la misma forma que se haría al insertar un nombre de usuario y contraseña válidos.

Varios lectores de tarjeta inteligente son compatibles con Plug and Play; los controladores para esos dispositivos están incluidos en Windows Server 2008 o se encuentran disponibles por parte del fabricante. Para instalarlos se requiere un poco más que conectarlos. Con un lector de tarjetas inteligentes instalado, puede configurar nuevas cuentas (como se describió antes); después, en caso de cuentas nuevas y viejas, puede abrir el cuadro de diálogo Propie-dades del usuario, al dar doble clic en un usuario, en la ventana Usuarios y equipos de Active Directory (consulte “Autentificación de usuario de red”, en páginas anteriores de este capí-tulo, para conocer las instrucciones sobre la manera de abrir esta ventana). En el cuadro de diálogo Propiedades del usuario, haga clic en la ficha Cuenta, desplace la lista Opciones de cuenta y ponga una marca en La tarjeta inteligente es necesaria para un inicio de sesión (si no está instalada una tarjeta inteligente o Windows Server 2008 no la detecta, tal vez esta opción no esté visible).

NOTA En caso de duda, el PIN está cifrado y se coloca en la tarjeta inteligente cuando

se fabrica. No está almacenado en el equipo ni en Active Directory.

Las tarjetas inteligentes son muy valiosas para ingresos remotos a una red; un miembro del personal que se encuentra de viaje podría usarlas con una laptop, tal vez mediante una red privada virtual (VPN, Virtual Private Network) en Internet. Las tarjetas inteligentes también se utilizan con frecuencia en la emisión de certificados de autenticidad para do-cumentos y otros objetos (consulte la exposición relacionada con certificados, en páginas posteriores de este capítulo, bajo “Transmisión segura de datos”).

Dispositivos biométricos Las tarjetas inteligentes proveen un grado adicional de seguridad sobre las contraseñas, pero si alguien obtiene la tarjeta y PIN, es libre de hacer lo que quiera. La única forma de estar totalmente seguro de que el equipo se comunica con la persona real es solicitar alguna identificación física. Éste es el propósito de los dispositivos biométricos, que identifican a la persona por rasgos físicos, como voz, palma de la mano, huella digital, cara u ojos. A menudo, estos dispositivos se usan con una tarjeta inteligente para reemplazar el PIN. Ahora los dispositivos biométricos están entrando al mundo comercial con algunas



laptops, que tienen lectores de huella digital incorporados. Aunque no se ha integra-do ninguna función en Windows Server 2008 para manejarlos específicamente, sí están disponibles controladores y tecnología implementada. Los escáneres de huella digital conectados por USB y software pueden comprarse por menos de 50 dólares. Otros disposi-tivos pueden costar varios cientos o incluso varios miles de dólares para un escaneo de rostro. En los próximos años, estos dispositivos estarán en todos lados, así que, dependiendo de sus necesidades, tal vez sea conveniente que los tenga en mente.

Autentificación de certificadoSi quiere que los usuarios ingresen en la red a través de Internet, pero le preocupa que enviar nombres de usuario y contraseñas en forma pública los ponga en peligro, entonces reemplácelos con un certificado digital (o sólo “certificado”), expedido por una autoridad de certificación (CA, Certification Authority), que lo firma digitalmente e indica que el porta-dor es quien dice ser o qué objeto y emisor son lo que representan. Existen CA públicas y privadas. Una organización puede ser su propio CA y enviar certificados a sus empleados, vendedores o clientes, para que dichas personas puedan autentificarse cuando intentan en-trar a la red de la organización. Además, una CA pública muy confiable, como VeriSign (http://www.verisign.com/), puede enviar un certificado a una persona, objeto, organiza-ción o sitio Web. Una persona u organización que recibe el certificado, si confía en la CA, puede estar razonablemente segura de que quien lo presenta es la persona que pretende ser. Además de un certificado, la mayoría de los CA suministran un portador con clave de cifrado en el certificado, para que se den transmisiones seguras de datos.

Para configurar un certificado de autentificación, deben darse estos pasos:

1. El usuario debe obtener un certificado.

2. Debe establecerse una cuenta para el usuario.

3. La autoridad de certificación debe estar en Lista de certificados confiables.

4. El certificado debe asignarse a la cuenta de usuario.

Configure Servicios de Certificate Services de Active Directory El usuario puede obtener un certificado de varias formas; una de ellas es mediante un controlador de dominio de Win-dows Server 2008 con Servicios Certificate Services de Active Directory (AD CS) instala-do. AD CS es una función que debe instalarse en el Administrador del servidor. Aquí se muestra como:

1. Haga clic en Inicio|Administrador del servidor, después en Funciones, en el panel de la izquierda. Haga clic en Agregar funciones, para abrir el cuadro de diálogo Asistente para agregar funciones.

2. Haga clic en Servicios de Certificate Server de Active Directory, si no está marcada (si lo está, AD CS ya se encuentra instalado en este equipo y puede pasar a la si-guiente sección). Haga clic en Siguiente.



3. Lea las notas y cualquiera de los artículos de Ayuda, si lo desea. Observe que si instala AD CS, no podrá cambiar el nombre del equipo, dé clic en Siguiente.

4. Seleccione los servicios de función que quiera usar con AD CS:

▼ Entidad de certificación para enviar y administrar certificados, se requiere en todos los casos

■ Inscripción Web de entidad de certificación para proporcionar una interfaz Web que solicite y renueve certificados

■ Servicio de respuesta en línea para proporcionar información de certificado disponible en redes complejas

▲ Servicio de inscripción de dispositivos de red para enviar y administrar certi-ficados a enrutadores y otros dispositivos sin cuentas de red

NOTA La exposición en este capítulo cubrirá Entidad de certificación e Inscripción Web

de entidad de certificación, pero Servicio de respuesta en línea y Servicio de inscripción de

dispositivos de red están fuera del alcance de este libro.

5. Haga clic en Siguiente y seleccione el tipo de autoridad de certificado (CA) que habrá de instalarse entre las siguientes opciones:

▼ Empresa Si este servidor es parte de un dominio, puede utilizar Servicio de directorio para enviar y administrar certificados

▲ Independiente Si el servidor no puede usar Servicio de directorio para enviar y administrar certificados, todavía puede ser parte de un dominio

6. Haga clic en Siguiente y seleccione el nivel de CA para este servidor:

▼ CA raíz Si éste es el primero y único CA, enviará sus propios certificados

▲ CA subordinado Si este CA obtendrá sus certificados de un CA más alto

7. Haga clic en Siguiente y elija entre crear una nueva clave privada o usar una exis-tente.

8. Haga clic en siguiente y seleccione el proveedor de servicios de cifrado (CSP, Cryptographic Service Provider) que quiere usar para generar la clave privada, el algo-ritmo hash (que se explica bajo “Protocolo de autentificación de desafío de saludo”, en el capítulo 10), y la longitud de la clave, como se muestra en la figura 15-2. Bajo circunstancias normales, excepto si usa tarjetas inteligentes, querrá dejar las opciones predeterminadas. Si está usando tarjetas inteligentes, tal vez necesite seleccionar un CSP manejado por la tarjeta inteligente.

9. Haga clic en Siguiente, acepte el nombre predeterminado o inserte un nombre y sufijo para la CA y dé clic de nuevo en Siguiente. Seleccione el periodo de validez para los certificados generados por esta CA.

10. Haga clic en Siguiente. Se le muestra dónde se almacenará el certificado de base de datos y el registro. Una vez más, haga clic en Siguiente. Si IIS está en ejecución, haga clic en Sí, para detener temporalmente los servicios de información de Internet (IIS, Internet Information Services). Si la función IIS no está instalada, puede seleccionar los servicios de función que quiere instalar (consulte el capítulo 9 para conocer más información sobre IIS).



Figura 15-2. El envío de certificados requiere una clave privada para firmarlos, después

la clave privada se utiliza para validarlos.

11. Revise las selecciones hechas. Si quiere realizar cambios, dé clic en Anterior. Cuando esté listo, haga clic en Instalar. Se instalarán la función (o funciones) y los servicios de función.

12. Haga clic en Cerrar cuando se le indique que ha completado la instalación en for-ma correcta. Cierre el Administrador del servidor. Reinicie el equipo (aunque no se le pide).

Revise la CA Una vez instalada la autoridad de certificación, puede revisarla con estos pasos:

1. Haga clic en Inicio|Herramientas administrativas|Certification Authority. En el panel de la izquierda, abra la nueva CA recién creada y dé clic en Certificados emi-tidos. Deberá ver uno o más certificados, como éste (si no ve ningún certificado y reinició el equipo, haga clic en Actualizar en el menú Acción).



2. Haga doble clic en uno de los certificados; para abrirlo, haga clic en la ficha Detalles y luego en los campos, para ver los detalles del certificado abierto. Haga clic en Aceptar cuando haya terminado de revisar el certificado.

3. De regreso a la ventana Entidad de certificación, haga clic en Plantillas de certifi-cado, en el panel de la izquierda. A la derecha, puede ver los tipos de certificados disponibles y su propósito.

4. Haga doble clic en una de sus plantillas para abrir su cuadro de diálogo Propieda-des. Cuando haya terminado de ver las propiedades, cierre el cuadro de diálogo y la ventana Entidad de certificación.

Solicite un certificado Con AD CS instalado, usuarios, equipos y otros servicios pueden so-licitar certificados para identificarse a sí mismos. Por lo general, los certificados se emiten automáticamente a equipos y usuarios como entidades conocidas y confiables en la red. El certificado que se creó automáticamente cuando AD CS se instaló, fue enviado al servidor en que reside AD CS. También es posible pedir explícitamente un certificado a través de intranet, Internet o el servidor con AD CS.

Solicite un certificado a través de una conexión Web La forma más común de que los usuarios pidan un certificado para su uso es a través de Internet o una intranet. Al hacer esto, el usuario accede a una página Web creada y mantenida por AD CS. Use estos pasos para so-licitar un certificado a través de un intranet o Internet:

1. Abra su explorador e inserte el URL o dirección del servidor con AD CS. La di-rección deberá verse como esta http://nombredelservidor/certsrv/. La página debe aparecer como se muestra en la figura 15-3.

2. Haga clic en Solicitar un certificado y dé clic en Certificado de usuario. Si quiere que el usuario tenga una tarjeta inteligente, haga clic en Más opciones, donde puede seleccionar un proveedor de servicios de cifrado (CSP) y el formato de solicitud.



3. Haga clic en Enviar. Se le indica que el sitio Web está solicitándole un nuevo certi-ficado y pregunta si quiere continuar. Haga clic en Sí. Si el usuario o equipo ya es conocido por el servidor, se expedirá un certificado. De otra forma, se le dirá que la solicitud está pendiente.

4. Cuando vea Certificado emitido, haga clic en Instalar este certificado. Se le indica que el sitio Web está agregando un certificado al equipo y le pregunta si está seguro de realizar eso. Haga clic en Sí, pues es lo que quiere hacer. Se le indica que el certi-ficado está instalado y puede cerrar su explorador.

Solicite directamente un certificado Solicitar un certificado directamente de AD CS es algo común para documentos, otros objetos o servicios. Requiere la consola Certificado en la consola de administración de Microsoft (MMC, Microsoft Management Console). Aquí se muestra cómo configurar la consola Certificado (suponiendo que no lo haya hecho antes) y cómo solicitarle un certificado:

1. Haga clic en Inicio | Ejecutar, escriba mmc y dé clic en Aceptar. Se abre la con-sola MMC.

Figura 15-3. Es posible solicitar certificados en una red.



2. Haga clic en el menú Archivo y seleccione Agregar o quitar complemento. En el cuadro de diálogo Agregar o quitar complemento, haga clic en Certificados, en Agregar, en Mi cuenta de usuario (dependiendo de dónde quiere administrar los certificados) y en Finalizar.

NOTA Si selecciona administrar certificados para Mi cuenta de usuario, el complemen-

to que cree sólo emitirá certificados para usted. Si selecciona administrar certificados

para Cuenta de servicio o Cuenta de equipo, debe seleccionar el servicio o equipo que

habrá de administrarse —servidor Web o equipo local— y podrá enviar certificados para

el servicio o equipo.

3. Haga clic en Aceptar para completar el proceso de adición o retiro de complemen-tos. En la consola de la izquierda, abra Certificados: usuario actual | Personal | Certificados, como se muestra aquí.

4. Haga clic en el menú Acción y seleccione Todas las tareas|Solicitar un nuevo certi-ficado. Se abre el asistente Inscripción de certificados.

5. Haga clic en Siguiente, seleccione un tipo de certificado que apoye el propósito del certificado por enviar (seleccione Administrador, al menos para un certificado) y dé clic en Inscribir.

6. Cuando se indique que el certificado está instalado, haga clic en Finalizar y se emi-tirá un nuevo certificado.

7. Cierre la consola Certificados, haga clic en Sí, para guardar las opciones de esta nueva consola en un archivo llamado Certificados.msc, haga clic en Guardar y, por último, cierre MMC.

Haga una lista de las autoridades de certificado Para aceptar certificados presentados a la red, la CA debe conocerse en la red. Esto se logra al aparecer en una lista como CA confiable, en-tre los certificados de confianza (CTL, Certificate Trust List), que se mantiene como parte de las directivas de grupo. En los siguientes pasos se muestra cómo abrir la directiva de grupo, analizada en el capítulo 14, crear una CLT y una entrada en ésta (para tales pasos, se asume que desea trabajar con la CTL en el nivel de dominio, pero también puede hacerlo en el nivel del equipo local y OU):



1. Haga clic en Inicio|Administrador del servidor y abra Características|Adminis-tración de directiva de grupo|Bosque|Dominios |nombre de dominio|Objetos de directiva de grupo, como se muestra en la figura 15-4.

2. Haga clic derecho en Default Domain Policy y seleccione Editar. Se abre la ventana Editor de administración de directiva de grupo.

3. En el panel de la izquierda, abra Configuración del equipo | Directivas | Confi-guración de Windows | Configuración de seguridad | Directivas de clave pública. Haga clic en Confianza empresarial. Haga clic en el menú Acción y seleccione Nuevo | Lista de certificados de confianza. Se abre el Asistente para crear lista de certificados de confianza.

4. Haga clic en Siguiente. Si así lo desea, inserte un prefijo de identificación para la CTL, inserte los meses o días que serán válidos, seleccione los propósitos de la CTL y haga clic en Siguiente.

Figura 15-4. Una lista de certificados de confianza puede mantenerse en un objeto

de directiva de grupo (GPO).



5. En el cuadro de diálogo Certificados en la CTL, haga clic en Agregar desde el almacén. Se abre el cuadro de diálogo Seleccionar certificado, en que se eligen los certificados cuyos emisores quiere incluir en la CTL. Al principio de la lista, encontrará los certificados que su nueva CA emitió mientras seguía los pasos an-teriores en este capítulo.

6. Haga doble clic en uno de los certificados que creó. Cuando se abre, tal vez encuen-tre que no es de confianza, aunque se creó en el mismo equipo. Se le indica que debe agregarse a la CTL para ser de confianza.

7. Seleccione los certificados cuyos emisores quiere en la CTL y oprima y mantenga oprimida ctrl mientras selecciona más de un certificado. Haga clic en Aceptar. La nueva lista de certificados aparecerá en el Asistente para crear la lista de certificados de confianza.

8. Haga clic en Siguiente. Debe adjuntar un certificado, tal vez el suyo, para que sirva como firma digital para la CTL; la clave de cifrado utilizada con la firma de certifi-cado se utilizará con el archivo que contenga la CTL.

NOTA El usuario actual debe crear, con la plantilla Administrador, el certificado que se-

leccione para agregar la firma digital a la CTL, de manera similar al certificado Firma crea-

do en “Solicite un certificado”.

9. Haga clic en Seleccionar de almacén, escoja el certificado que quiere usar y haga clic en Aceptar y después en Siguiente. Si así lo desea, puede agregar una marca de tiempo; en seguida haga clic una vez más en Siguiente.

10. Inserte un nombre fácil de recordar y una descripción para la CTL, dé clic en Siguien-te. Revise las configuraciones elegidas y dé clic en Atrás, si necesita corregir algo; cuando esté listo, haga clic en Finalizar. Se le dirá si la CTL se ha creado con éxito.

11. Haga clic en Aceptar. La nueva CTL aparece a la derecha de la ventana Editor de admi-nistración de directiva de grupo. Haga doble clic en ésta. Se abre la CTL y, en la ficha Lista de confianza, verá una lista de entidades de certificado agregadas a su CTL.



12. Haga clic en una CA. Verá detalles tras un certificado, como se muestra a continua-ción, y si hace clic en Ver certificado, verá el certificado completo. Cierre la CTL y el Editor de administración de directiva de grupo.

Asigne certificados a cuentas de usuario El núcleo de la seguridad orientada al usuario de Windows Server 2008 son las cuentas de usuario con nombre de usuario y contraseña para iniciar sesión, la base de los permisos del sistema que controlan el acceso a los recursos del equipo y la red. Alguien que llega a Windows Server 2008 con un certificado, pero sin nom-bre de usuario ni contraseña para una cuenta de usuario y permisos inherentes, no podrá iniciar sesión. La solución es asignar o relacionar un certificado con una cuenta de usuario, para que alguien que presente un certificado aceptable se adjunte a una cuenta de usuario y reciba los permisos para iniciar sesión con nombre de usuario y contraseña. Windows Server 2008 asigna certificados de dos formas: mediante Servicios de dominio de Active Di-rectory e Internet Information Services (IIS). También se pueden asignar certificados a una cuenta de usuario (asignaciones uno a uno) o varios certificados a una cuenta (asignaciones varios a uno). La asignación mediante IIS se analizó en el capítulo 9.

La asignación de certificados mediante Servicios de dominio de Active Directory se hace con los siguientes pasos:



1. Haga clic en Inicio | Herramientas administrativas | Usuario y equipos de Ac-tive Directory.

2. Haga clic en el menú Ver y elija Características avanzadas (si no está marcada).

3. En el panel de la izquierda, abra el dominio con la cuenta de usuario que quiere asignar y después dé clic en Users.

4. En la lista de usuarios, a la derecha, escoja la cuenta de usuario a la que se asignará un certificado.

5. Haga clic en el menú Acción, seleccione Asignaciones de nombre (si no lo ve, repita el paso 2) para abrir el cuadro de diálogo Asignación de identidad de seguridad. Haga clic en la ficha Certificados X.509, en seguida en Agregar, para abrir el cuadro de diálogo Agregar certificado.

6. Busque una identificación o tipo, ruta y nombre del certificado que quiere usar, dé clic en Abrir. A menudo los certificados, con la extensión .cer, están en la carpeta C:\Windows\System32\Certsrv.

7. Si no encuentra un archivo CER, tal vez necesite encontrar uno en la consola Certifi-cados, de MMC. Para ello, haga clic en Inicio|Ejecutar, escriba mmc y oprima enter. Después dé clic en el menú Archivo, seleccione Abrir y, luego, el archivo Certificados.msc. Haga clic en Abrir, abra Raíz de consola | Certificados: usuario actual | Personal | Certificados, y seleccione el certificado que quiera usar.

8. Haga clic en el menú Acción y seleccione Todas las tareas|Exportar. Haga clic en Siguiente, en No exportar la clave privada y en Siguiente. Acepte el formato DER bi-nario codificado, haga clic en Siguiente, inserte un nombre de archivo útil y explore dónde quiere almacenarlo. Haga clic en Siguiente, Finalizar y Aceptar, cuando se le indique que la exportación fue correcta. Cierre la consola Certificados.

9. Haga doble clic en el certificado que utilizará, éste se despliega en un segundo cua-dro de diálogo Agregar Certificado.



10. Si quiere una asignación uno a uno, deben marcarse Usar emisor para seguridad de identidad alternativa y Usar Asunto para seguridad de identidad alternativa (siempre está marcada Usar emisor para seguridad de identidad alternativa, como opción predeterminada y está atenuada casi siempre, así que no puede cambiarla). Si quiere una asignación varios a uno, sólo debe marcarse Usar emisor para seguri-dad de identidad alternativa.

11. Haga clic en Aceptar. El certificado se despliega de nuevo en el cuadro de diálogo Asignación de identidad de seguridad; haga clic una vez más en Aceptar. Cierre la ventana Usuarios y equipos de Active Directory.

Ahora, cuando un usuario presenta este certificado, se asignarán a la cuenta de usuario relacionada y se le darán los permisos asociados con ésta.

CONTROLE EL ACCESOLas cuentas de usuario identifican a la gente y le permiten iniciar sesión en un equipo y, tal vez, en una red. Lo que pueden hacer después dependerá de los permisos dados a éste o a los grupos a los que pertenecen, así como de la propiedad del objeto que quieren usar. Cuando Windows Server 2008 usa el sistema de archivo de nueva tecnología (NTFS, New Technolo-gy File System), permite a un administrador asignar varios niveles de permisos para usar un objeto (archivo, carpeta, disco duro, impresora), además de asignar propietarios y derechos de propietario. (No puede hacer esto con sistemas de archivo FAT o FAT32.)

Cuando instala Windows Server 2008, casi todos los archivos, carpetas, discos duros e impresoras contienen permisos de la mayoría de usuarios —excepto los administradores—, para realizar casi todas las tareas con estos objetos. Puede cambiar los permisos predeter-minados de forma rápida al usar una propiedad llamada herencia, que indica que todos los archivos, subcarpetas y archivos en subcarpetas heredan automáticamente (toman) los per-misos de sus carpetas contenedoras. Sin embargo, cada archivo, carpeta y otros objetos en NTFS de Windows Server 2008 tiene su propio conjunto de descriptores de seguridad que se adjuntan a éstos cuando se crean, y con el permiso apropiado estos descriptores pueden cambiarse individualmente.

PropiedadInicialmente, el creador de un objeto o administrador otorga todos los permisos. El creador de un objeto es el propietario. El propietario de un objeto tiene derecho de conceder o negar permisos, además de otorgar a otros el permiso Tomar posesión, que permite ser el propie-tario. Un administrador puede tomar propiedad de alguien más, pero un administrador no puede otorgar la propiedad a objetos que el administrador no creó.

Puede revisar la propiedad y cambiarla mediante el cuadro de diálogo Propiedades del objeto. En el caso de un archivo o carpeta, abra el cuadro de diálogo Propiedades —en el Explorador de Windows— y vea cómo cambiar la propiedad con estos pasos:



1. Haga clic en Inicio|Equipo. En el panel de la izquierda, arrastre Carpetas a la parte más alta del panel; abra disco y carpetas necesarias para ver, en el panel de la dere-cha, la carpeta o archivo cuya propiedad quiere ver o cambiar.

2. En el panel de la derecha, haga clic derecho en la carpeta o archivo y escoja Propiedades.

3. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad y después en Op-ciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad avanzada.

4. Haga clic en la ficha Propietario, donde verá quién es el propietario actual y las per-sonas a quienes se puede transferir la propiedad. Cuando haya terminado, dé clic en Aceptar, dos veces, para cerrar los dos cuadros de diálogo aún abiertos. También cierre el Explorador de Windows.

La concesión de permisos para tomar propiedad se describe en “Permisos”, en páginas posteriores de este capítulo.

GruposLos grupos o cuentas de grupo son colecciones de cuentas de usuario que pueden tener per-misos asignados, al igual que las cuentas de usuario. Casi todos los permisos se otorgan a grupos, no individuos, y después se hace que los individuos sean miembros de grupos. Por tanto, es importante tener un conjunto de grupos que manejen la mezcla de personas en su organización, así como la mezcla de permisos que quiere establecer. En Windows Server 2008 están integrados varios grupos estándar con permisos asignados previamente, pero puede crear sus propios grupos y asignar usuarios a éstos.

Revise los grupos pertenecientes a Windows Server 2008, vea qué permisos contienen y después cree los propios si es necesario. Al igual que con las cuentas de usuario, se ven los grupos de forma diferente, dependiendo de si están en un servidor independiente o un con-trolador de dominio de Active Directory.



Grupos en servidores y estaciones de trabajo independientesPara ver y agregar grupos a servidores y estaciones de trabajo, necesita utilizar la ventana Administración de equipos, de la siguiente manera:

1. Haga clic en Inicio|Herramientas administrativas | Administración de equipos.

2. En el panel de la izquierda, abra Herramientas del sistema | Usuarios y grupos loca-les, dé doble clic en Grupos. Se desplegará la lista de grupos integrados, como ésta:

3. Haga doble clic en varios grupos para abrir sus respectivos cuadros de diálogo Pro-piedades, donde verá los miembros de cada grupo.

4. Haga clic en el menú Acción y clic en Nuevo grupo. Se abre el cuadro de diálogo Grupo Nuevo.

5. Inserte un nombre de grupo de hasta 256 caracteres en mayúsculas o minúsculas. No puede contener sólo puntos o espacios; tampoco puede contener “ / [ ] : ; | = , + * ? < > @; los espacios o puntos se eliminan. Ingrese la descripción de lo único que puede hacer un grupo y haga clic en Agregar. Se abre el cuadro de diálogo Seleccio-nar usuarios.



6. Haga clic en Avanzadas, ingrese nombre de usuario y contraseña, si se le pide. Haga clic en Buscar ahora, mantenga oprimida ctrl y seleccione los usuarios que quiere incluir en el grupo. Haga clic en Aceptar. Cuando haya seleccionado todos los que quie-re incluir, haga clic en Aceptar. Su nuevo grupo debe parecerse a éste:

7. Cuando su grupo está de la forma que quiere, haga clic en Crear y después clic en Cerrar. El nuevo grupo aparecerá en la lista en la derecha de la ventana Administra-ción de equipos. Cierre tal ventana cuando esté listo.

Grupos en controladores de dominio de Active DirectoryPara ver y agregar grupos en un controlador de dominio de Active Directory, necesita usar la ventana Usuarios y equipos de Active Directory. En esta ventana encontrará dos conjuntos de grupos: los de la carpeta Builtin —parecidos a los que vio en el servidor in-dependiente— y los de las carpetas Users —creados por Active Directory—. Los grupos de Builtin están limitados a un dominio local (denominados de ámbito local de dominio), mientras los grupos de Users pueden estar limitados por el dominio o no ser ilimitados (denominados de ámbito global). Revise ambos conjuntos de grupos y agregue un nuevo grupo a Users con los siguientes pasos:

1. Haga clic en Inicio | Herramientas administrativas | Usuarios y equipos de Active Directory. Se abre la ventana Usuarios y equipos de Active Directory.



3. Haga clic en Users, en el panel de la iz-quierda. Verá una mezcla de usuarios y grupos, pero un conjunto diferente de grupos que dan soporte a Active Direc-tory y sus operaciones de red.

4. Haga clic en el menú Ver y seleccione Opciones de filtro. Haga clic en Mostrar sólo los siguientes tipos de objetos, escoja Grupos, como se muestra a continua-ción y clic en Aceptar. Una vez más, abra la carpeta Users; su ventana Usuarios y equipos de Active Directory se parecerá a la figura 15-5.

5. Haga doble clic en varios grupos para abrirlos. Contienen mucha información, más que los grupos en servidores y estaciones de trabajo independientes.

2. En el panel de la izquierda, abra el dominio en que quiere trabajar y después abra la carpeta Builtin. Verá una lista de grupos con muchos de los mismos grupos que vio en el servidor independiente.



6. Mientras Users aún está seleccionado en el panel de la izquierda, haga clic en el menú Acción y seleccione Nuevo|Grupo. Se abre el cuadro de diálogo Nuevo obje-to – Grupo.

7. Inserte un Nombre de grupo de hasta 256 caracteres. No puede contener sólo puntos o espacios, estos se eliminan. Observe que el nombre anterior a Windows 2000 se llena automáticamente. Sólo se utilizarán los primeros 20 caracteres de este nombre, de modo que, si lo desea, puede insertar su propio nombre de grupo corto en este campo.

8. Seleccione el ámbito del grupo. Aquí se muestran las opciones de ámbito:

▼ Dominio local Puede contener usuarios y grupos globales o universales de cualquier dominio de Windows Server 2008 o Windows NT, pero sus permisos se limitan al dominio actual

■ Global Puede contener grupos y usuarios globales sólo del dominio actual, pero se pueden dar permisos en cualquier dominio

▲ Universal Puede contener usuarios y grupos globales o universales de cual-quier dominio de Windows Server 2008, y tener permisos en cualquier dominio, pero se limitan a grupos de distribución

Figura 15-5. Active Directory proporciona varios grupos estándar.



9. Seleccione el tipo de grupo. Los grupos de Distribución se usan para distribuir correo electrónico y fax, donde los grupos de seguridad se utilizan para asignar permisos. Haga clic en Aceptar cuando haya terminado.

10. Haga clic derecho en su nuevo grupo y elija Propiedades. Se abre el cuadro de diá-logo Propiedades. Inserte una descripción y dirección de correo electrónico, como se muestra aquí:

11. Haga clic en Miembros, Agregar, Avanzadas y en Buscar ahora; después, mantenga oprimida ctrl y escoja las cuentas de usuario que quiera incluir en el grupo. Cuan-do esté listo, haga clic dos veces en Aceptar. Vea las otras fichas y realice cualquier cambio necesario. La ficha Seguridad se analizará en la siguiente sección.

12. Cuando haya completado el grupo de la forma que quiere, haga clic en Aceptar y cierre Usuarios y equipos de Active Directory.

PermisosLos permisos autorizan a un usuario o grupo para realizar funciones en un objeto. Los objetos, como archivos, carpetas e impresoras, tienen un conjunto de permisos asociados que pueden asignarse a usuarios y grupos. Los permisos específicos dependerán del objeto, pero todos los objetos tienen al menos dos permisos: Lectura y Modificar o Cambiar. Los permisos se configuran inicialmente en una de tres formas:

▼ La aplicación o proceso que crea un objeto puede establecer sus permisos al crearlo



■ Si el objeto permite heredar permisos y no se establecieron en la creación, un objeto contenedor puede propagar los permisos al objeto. Por ejemplo, una carpeta conte-nedora puede propagar sus permisos a una subcarpeta

▲ Si ni el creador ni la carpeta superior establecen los permisos para un objeto, enton-ces las opciones predeterminadas del sistema de Windows Server 2008 lo harán

Una vez creado el objeto, sus permisos pueden cambiarse por su propietario, adminis-trador o cualquiera con autoridad para cambiar los permisos. En las siguientes secciones se ven los permisos predeterminados para tres objetos utilizados comúnmente (carpetas, recursos compartidos y archivos) y cómo estos permisos predeterminados se cambian.

Permisos de carpetaLos permisos de carpeta se establecen en la ficha Seguridad, del cuadro de diálogo Propieda-des, como se muestra en la figura 15-6. Puede hacer clic en esta ficha y cambiar los permisos con estos pasos:

1. Haga clic en Inicio | Equipo. Se abre el Explorador de Windows.

Figura 15-6. Un conjunto de permisos predeterminados se configura automáticamente

para cada objeto en Windows Server 2008.



2. En el panel Carpetas, a la izquierda, abra el disco de arranque, haga clic derecho en un área en blanco del panel de la derecha y seleccione Nuevo|Carpeta. Escriba un nombre para la nueva carpeta y oprima enter.

3. Haga clic derecho en la nueva carpeta y seleccione Propiedades. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad. Deberá ver un cuadro de diá-logo similar al de la figura 15-6.

Encontrará que con una instalación predeterminada de Windows Server 2008, hay cuatro grupos para permisos. Dos de éstos son de dominio (los grupos Administradores y Usuarios), mientras los dos restantes son grupos de sistemas: uno para las funciones del sistema opera-tivo interno (grupo System) y otro representando al propietario y dueño del objeto. Si hace clic en cada grupo y revisa sus permisos, verá que Administradores y System tienen per-misos para todo. Todos los permisos mostrados aquí están atenuados, esto significa que se han heredado de un objeto contenedor (la carpeta raíz en este caso) y no se han establecido específicamente para este objeto.

NOTA Los permisos predeterminados en Windows Server 2003 y 2008 son muy diferen-

tes de Windows 2000 y versiones anteriores de Windows NT, donde el grupo Todos tenía

permiso para hacer cualquier cosa en casi todas las carpetas del sistema operativo. Win-

dows Server 2003 y 2008 empezaron con la filosofía opuesta, donde sólo Administradores

tienen permiso para hacer todo, y Usuarios (todos los demás) tienen permisos limitados.

Éste es un fortalecimiento de la seguridad por parte de Microsoft.

Agregue nuevos permisosPara agregar nuevos permisos:

1. Haga clic en Editar, en la parte media de la ficha Seguridad, para abrir el cuadro de diálogo Permisos. Haga clic en Agregar.

2. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en Avan-zadas y luego en Buscar ahora. Haga doble clic en un solo usuario, grupo o equipo al que quiere asignar el permiso; en su lugar, mantenga oprimida ctrl mientras hace clic en varios objetos y después clic en Aceptar. Dé clic en Aceptar una vez más.

Si selecciona el nuevo grupo que creó antes en la sección Grupos para añadirlo aquí, verá que el grupo eligió automáticamente los mismos permisos que para el grupo Usuarios, porque el nuevo grupo recién creado es automáticamente un miembro de ese grupo.

3. Seleccione uno de los nuevos usuarios, grupos o equipos a los que se darán permi-sos y después haga clic en Permitir, en los permisos que quiera asignar a esa enti-dad; de no ser así, haga clic en Negar, para excluir específicamente un permiso. Las tareas que pueden realizarse con cada permiso son las siguientes:

▼ Control total La suma de todos los otros permisos, además de eliminar sub-carpetas, cambiar permisos y tomar posesión

■ Modificar La suma de los permisos Lectura y ejecución y Escritura, además de eliminar permisos de carpeta



■ Lectura y ejecución Igual que Mostrar el contenido de la carpeta, pero hereda-do por las carpetas y archivos

■ Mostrar el contenido de la carpeta Permisos de Lectura, además de ver la lista de subcarpetas y archivos en una carpeta, así como ejecutar archivos y desplazarse entre carpetas para llegar a otros archivos y carpetas, donde el usuario tal vez no tenga permiso para acceder a carpetas intermedias (heredados sólo por carpetas)

■ Lectura Ver los contenidos de subcarpetas y archivos en la carpeta, además de ver los atributos de la carpeta (Archivo, Oculto, Sólo lectura), propietario y permisos

■ Escritura Crear subcarpetas y archivos dentro de la carpeta, además de ver al propietario y permisos para la carpeta y cambiar sus atributos

▲ Permisos especiales Permisos detallados contenidos en los otros seis permisos

4. Seguido de seleccionar los permisos que quiere usar, haga clic en Aceptar y después en Opciones avanzadas. Se abre el cuadro de diálogo Configuración de seguridad avanzada, como se muestra en la figura 15-7. Observe que casi todos los permisos se han heredado y Creator Owner aparece aquí con un permiso Especial. Esto que parece inconsistente se debe al permiso de la carpeta contenedora, aplicado sólo a las subcarpetas y archivos.

Figura 15-7. Los permisos detallados tras los permisos de carpetas pueden verse

en el cuadro de diálogo Configuración de seguridad avanzada.



5. Seleccione un usuario o grupo y haga clic dos veces en Editar. Aparece el cuadro de diálogo Entrada de permiso, como se muestra a continuación. Contiene un nivel más detallado de permisos, llamados Permisos especiales, dentro de los permisos primarios descritos en el paso 3. Los permisos especiales otorgados por cada permi-so primario se muestran en la tabla 15-1.

NOTA Sincronizar no es un permiso predeterminado, a menos que la carpeta esté con-

figurada para éste.

6. Haga cualquier cambio requerido a los permisos detallados, y marque la casilla de verificación en la parte inferior, si quiere que los permisos se propaguen a subcar-petas y archivos de esta carpeta; haga clic en Aceptar cuatro veces para cerrar todos los cuadros de diálogo.

SUGERENCIA Denegar a todos el permiso Control completo evita que cualquiera haga

lo que guste con la carpeta, incluidos los administradores. La carpeta aparece como si

estuviera bloqueada permanentemente para todos y si, por ejemplo, intenta borrarla, se le

negará el acceso. Sin embargo, un administrador todavía puede cambiar los permisos por

algo más razonable y después puede eliminarse la carpeta.



Tabla 15-1. Permisos espaciales otorgados por permisos primarios para carpetas.

Permisos especiales Lectura EscrituraMostrar elcontenidode la carpeta

Lectura y ejecución Modificar

Control total

Recorrer carpeta/ejecutar archivo

Sí Sí Sí Sí

Mostrar carpeta/leer datos

Sí Sí Sí Sí Sí

Leer atributos Sí Sí Sí Sí Sí

Leer atributos extendidos

Sí Sí Sí Sí Sí

Crear archivos/escribir datos

Sí Sí Sí

Crear carpetas/anexar datos

Sí Sí Sí

Escribir atributos Sí Sí Sí

Escribir atributos extendidos

Sí Sí Sí

Eliminar subcarpe-tas y archivos

Sí

Eliminar Sí Sí

Permisos de lectura Sí Sí Sí Sí Sí Sí

Cambiar permisos Sí

Tomar posesión Sí

Sincronizar Sí Sí Sí Sí Sí Sí

Permisos primarios

Comparta permisosLos recursos compartidos son carpetas compartidas y existe un conjunto un poco diferente de permisos para quienes no tienen o administran las carpetas. Al igual que con las carpetas regulares, los permisos de carpetas compartidas se establecen en la ficha Seguridad, del cua-dro de diálogo Propiedades de la carpeta. Los primeros tres grupos estándar se ven iguales, pero Usuarios ahora tiene más permisos, aunque todavía pueden estar limitados y no se pueden agregar o cambiar permisos. Un administrador está en condiciones de abrir este cuadro de diálogo y cambiar el permiso de la misma forma que haría para carpetas no compartidas.



Permisos de archivoLos permisos de archivo se establecen en la ficha Seguridad, del cuadro de diálogo Pro-piedades del archivo, como se muestra a continuación. Como verá, son muy similares a los permisos de carpeta excepto porque se limitan a archivos. Esto significa que el permiso Mostrar el contenido de la carpeta no está disponible y las definiciones de permisos indivi-duales cambian un poco.

▼ Control total La suma de todos los otros permisos, además de cambiar permisos y tomar posesión

■ Modificar La suma de los permisos Lectura y ejecución y Escritura, además de eliminar permisos y modificar el archivo

■ Lectura y ejecución El permiso Lectura, además de ejecutar aplicaciones

■ Lectura Ver el contenido del archivo, además de revisar sus atributos (Archivo, Oculto, Sólo lectura), permisos y propietarios

■ Escritura Escribir en un archivo, además de ver permisos y propietario del archi-vo, así como cambiar sus atributos

▲ Permisos especiales Permisos únicos que deben establecerse para usuarios o grupos con nombre, como se describió en el cuadro de diálogo Configuración de seguridad avanzada



ASEGURE LOS DATOS ALMACENADOSLa autentificación de usuarios coloca una cerradura en las puertas exteriores del equipo, mientras el control de acceso coloca cerraduras en las puertas interiores, pero si alguien pasa esas barreras, los datos estarán disponibles para cualquiera que lo desee. Por ejemplo, al-guien puede tomar un disco duro y acceder a éste con otro sistema operativo; robar una laptop y descifrar metódicamente las contraseñas. Incluso, más simple y común, un empleado pue-de acceder, a propósito o por error, a datos que no debe tener y decide darles mal uso.

La respuesta a estos escenarios es que los datos no se puedan usar sin clave. Esto se hace al cifrar un archivo, carpeta o todo el disco; así, no importará cómo se acceda a éste, ya sea con otro sistema operativo o utilería de bajo nivel, cifrado e ilegible sin una clave; también la clave estará cifrada para ser excepcionalmente difícil de obtener y usar.

Cifrado de archivos y carpetasEl cifrado de archivos y carpetas se ha integrado en NTFS de Windows Server 2008, deno-minada sistema de cifrado de archivos (EFS, Encrypting File System). Una vez que EFS se activa para un archivo o carpeta, sólo la persona que cifró el archivo o carpeta podrá leerlo, con la excepción de que un administrador especialmente designado tendrá una clave de recupe-ración para acceder al archivo o carpeta. La persona que cifró el archivo no tendrá que dar pasos adicionales para acceder a él, y el archivo se cifra de nuevo siempre que se guarda. Todo cifrado y descifrado se hace tras bambalinas sin ser evidente para el usuario.

NOTA Ni archivos ni carpetas del sistema, ni los archivos o carpetas comprimidas pueden

cifrarse. Tiene la opción de descomprimir un archivo o carpeta comprimido y después cifrarlo.

El proceso de cifradoEl cifrado real de un archivo o carpeta se hace con una clave de cifrado simétrica, la misma para cifrado y descifrado, además muy rápida. La clave de cifrado simétrica (también deno-minada clave secreta) se cifra por sí sola mediante la clave pública del propietario incluida en su certificado EFS. (Consulte “El cifrado de clave pública y privada”, en páginas posteriores de este capítulo.) Por tanto, el propietario con una clave privada que coincide con la clave pública es el único que puede abrir el archivo cifrado (excepto por el administrador de re-cuperación). Cuando se crea o regenera el archivo y asigna una clave asimétrica, ésta se cifra dos veces, una para el propietario y otra para el administrador de recuperación. Después, si surge la necesidad, el administrador de recuperación puede usar su clave privada o pública para descifrar el archivo.

La clave asimétrica cifrada se almacena como parte de un archivo. Cuando una apli-cación pide el archivo, NTFS va y la obtiene, ve si el archivo está cifrado y llama a EFS. EFS trabaja con protocolos de seguridad para autentificar al usuario, usa su clave privada para descifrar el archivo y pasa el archivo descifrado a la aplicación que la pide, todo en se-gundo plano, sin signo de que esto toma lugar. Las rutinas de cifrado y descifrado son tan rápidas en casi todos los equipos que ejecutan Windows Server 2008, que rara vez nota el tiempo agregado.



SUGERENCIA Debido a que muchas aplicaciones guardan archivos temporales y secun-

darios durante la ejecución normal, se recomienda que los contenedores de cifrado sean

carpetas en lugar de archivos. Si luego se indica a una aplicación almacenar todos los

archivos en esa carpeta, donde todos los archivos se cifran automáticamente al guardar,

se mejora la seguridad.

Consideraciones relacionadas con el cifradoSe deben cumplir varios requisitos para usar cifrado de archivos y carpetas:

▼ En Windows 2000 o posterior, NTFS debe estar en uso. Cualquier otro sistema de archivos, ya sea NTFS o FAT de Windows NT 4, no funcionará con EFS

■ AD CS debe estar instalado y en ejecución en un equipo independiente o en un dominio. Si no lo está, EFS enviará sus propios certificados, pero Windows Server 2008 los considerará “no confiables”

■ El usuario del archivo o carpeta debe tener un certificado EFS. Si no existe uno, se creará automáticamente

▲ Deben existir uno o más administradores de agente de recuperación de certificados. Si no existe uno, se designa automáticamente a un administrador predeterminado y se envía un certificado. El administrador predeterminado en un equipo indepen-diente es el administrador local; en un dominio, es el administrador de dominio, en el primer controlador de dominio instalado

Administradores de agente de recuperación La razón para requerir un administrador de agente de recuperación se pone en evidencia por la situación en que alguien deja una orga-nización —tal vez por un accidente— y se necesitan sus archivos cifrados. Otra situación es cuando un empleado malhumorado cifra archivos compartidos antes de dejar la organi-zación. EFS se deshabilita sin un agente de recuperación, para que los archivos no puedan cifrarse sin un medio de descifrarlos. Es posible asignar varios agentes de recuperación a un archivo o carpeta EFS, pero debe haber por lo menos uno. Para cada agente de recuperación y el usuario, una copia de la clave de cifrado simétrica cifrada con la clave pública de la persona se almacena con el archivo cifrado. Quien descifre el archivo sólo revelará los datos y no cualquiera de las otras claves.

Copie y mueva archivos EFSCopiar y mover archivos y carpetas EFS tiene un significado especial. Aquí se muestran las reglas:

▼ Si copia o mueve un archivo o carpeta sin cifrado a una carpeta cifrada, el elemento copiado se cifrará

■ Copiar o mover archivos o carpetas cifradas a otro sistema de archivos, como NTFS de Windows NT 4 o FAT32 de Windows 98, elimina el cifrado, aunque sólo el propietario o agente de recuperación puede hacer esto. Todos los demás tienen acceso denegado

▲ La creación de copias de seguridad de archivos o carpetas cifrados con Copias de seguridad de Windows Server 2008 deja los elementos cifrados



Use el cifrado de archivos y carpetasEl proceso real de cifrar un archivo o carpeta es muy sencillo; sólo se activa el atributo Cifra-do. Dado que existe un administrador de agente de recuperación y el usuario que activa el cifrado tiene un certificado EFS, queda muy poco por hacer. En las siguientes secciones verá el proceso completo, incluida la certificación.

Cree certificados EFSEn páginas anteriores de este capítulo, bajo “Autentificación de certificado”, se expuso la configuración de AD CS y la solicitud de certificados. Con los siguientes pasos se muestra cómo pedir un certificado de Agente de recuperación de EFS:

1. Mientras siga en su sesión como el administrador que será el agente de recupera-ción, abra MMC al hacer clic en el menú Inicio, seleccione Ejecutar, escriba mmc y dé clic en Aceptar.

2. En la Consola, haga clic en el menú Archivo, seleccione Abrir y haga doble clic en su consola Certificados. En el panel de la izquierda, abra Raíz de consola|Certificados: usuario actual|Personal|Certificados.

3. Haga clic en el menú Acción y escoja Todas las tareas|Solicitar un nuevo certifica-do. Se abre el asistente Inscripción de certificado. Haga clic en Siguiente.

4. Seleccione Agente de recuperación de EFS como plantilla de certificado, mostrada a continuación, y haga clic en Inscribir y luego en Finalizar.

SUGERENCIA Cuando cree copias de seguridad de datos cifrados, asegúrese de que

las claves del usuario y el agente de recuperación también se respalden, lo que se puede

hacer con AD CS.

5. Cierre MMC.



Cifre un archivo y una carpetaEl cifrado de archivos o carpetas puede hacerse desde el Explorador de Windows o la línea de comandos.

NOTA Los archivos y carpetas cifrados se despliegan en verde en el Explorador de

Windows.

Cifre un archivo desde el Explorador de Windows Aquí se muestran los pasos para cifrar un archivo desde el Explorador de Windows.

1. Haga clic en Inicio|Equipo. En el árbol de carpetas, a la izquierda, abra el disco y carpetas necesarias para desplegar el archivo correcto que quiere cifrar.

2. Haga clic derecho en el archivo y escoja Propiedades. En la ficha General, haga clic en Avanzadas. Se abre el cuadro de diálogo Atributos avanzados.

3. Haga clic en Cifrar contenido para proteger datos.

4. Haga clic dos veces en Aceptar. Se obtiene una Advertencia de cifrado acerca de que el archivo no está en una carpeta cifrada; esto significa que cuando edite el archi-vo, no se cifrarán los archivos temporales o de seguridad que pudieran crearse.

5. Seleccione la opción correcta. Si no quie-re ver esta advertencia en el futuro, haga clic en Siempre cifrar sólo el archivo. Haga clic en Aceptar.



Cifre una carpeta desde el Explorador de Windows El cifrado de una carpeta desde el Explo-rador de Windows es muy similar, como verá en estos pasos:

1. Abra el Explorador de Windows y des-pliegue, en el panel de la derecha, la car-peta que quiere cifrar.

2. Haga clic derecho en la carpeta y dé clic en Propiedades. En la ficha General, haga clic en Opciones avanzadas. Se abrirá el cuadro de diálogo Atributos avanzados.

3. Haga clic en Cifrar contenido para prote-ger datos y haga clic dos veces en Aceptar. Se abre el cuadro de diálogo Confirmar cambio de atributos.

4. Se le pregunta si quiere aplicar el cifrado sólo a esta carpeta o a la carpeta, sus achi-vos y subcarpetas. Si selecciona Aplicar cambios sólo a esta carpeta, los archivos o carpetas existentes en la carpeta que está cifrando no se cifrarán, mientras sí se cifrarán los archivos y carpetas que se crean o copian en la carpeta a continuación del cifrado. Si selecciona Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos, se cifrarán los archivos y carpetas existentes, además de los elementos que se creen o copien en el futuro.

5. Seleccione las opciones correctas. Haga clic en Aceptar.

Pruebe el cifrado de archivos¿Qué pasa cuando alguien intenta acceder a un archivo cifrado? Inténtelo. Salga de su se-sión, inicie sesión como otro usuario y después pruebe abrir el archivo. Parece como si se fuera a abrir y después se presenta un pequeño mensaje:

SUGERENCIA Para descifrar un archivo o una carpeta, sólo siga los mismos pasos uti-

lizados para cifrarlo y elimine la marca de verificación en Cifrar contenido para proteger

datos. Por supuesto, debe ser la persona que cifró originalmente el archivo o carpeta, o un

agente de recuperación.

PRECAUCIÓN Si seleccionó que se aplicarán cambios a esta carpeta y a todas sus

subcarpetas y archivos para una carpeta compartida con archivos y subcarpetas perte-

necientes a otros, se cifrarán esos archivos y carpetas con su clave, de tal modo que los

propietarios no podrán usarlos.



El mensaje real varía dependiendo de la aplicación con que intente abrir el ar-chivo. Si el acceso es apropiado, el administrador de agente de recuperación podrá resolver el problema.

Muy bien, ¿y qué pasa cuando quiere copiar el archivo a un sistema de archivos que no es NTFS de Windows Server 2008, como una máquina con FAT32 de Windows 98 en la red? El archivo ya no está cifrado cuando hace eso, ¿correcto? Inténtelo de nuevo, primero al ini-ciar sesión con el usuario que cifró el archivo. Todo funcionará como se supone (el archivo se copiará y ya no estará cifrado). Después salga de su sesión e inicie sesión como otro usuario e intente copiar el archivo. Una vez más, parece como si fuera a funcionar y después aparece otro pequeño mensaje.

Cifre un disco con BitLockerWindows Vista y Windows Server 2008 tienen una nueva característica llamada Cifrado de unidad BitLocker. BitLocker cifra todo el disco o volumen en que está instalado Windows (y en Windows Server 2008 también pueden cifrarse discos o volúmenes adicionales); de este modo, si le roban el equipo, se pierde o le quitan el disco, la información en esa uni-dad estará protegida. BitLocker requiere que esté conectado un dispositivo USB, como una unidad flash que contenga la clave para iniciar el equipo o restaurarse de una suspensión (la llamaremos “clave USB”). Si el equipo tiene un Módulo de plataforma confiable (TPM Trusted Platform Module) versión 1.2 —un componente de hardware—, BitLocker verifica-rá además la integridad del sistema cuando inicia, usará la clave USB opcional y permitirá el uso de un número de identificación personal (PIN) como opción. Si BitLocker con TPM encuentra que la integridad del sistema se ha comprometido, empezando con los archivos de arranque inicial o el disco ya no está en el equipo original, el sistema se bloqueará y no iniciará. En ese momento, puede iniciarse un proceso de recuperación de BitLocker. Por tanto, BitLocker tiene cuatro métodos de autentificación:

▼ BitLocker solo y una clave USB

■ BitLocker con TPM y sin componente de autentificación

■ BitLocker con TPM y una clave USB

▲ BitLocker con TPM y un PIN

El uso de BitLocker es todo, menos transparente; aparte de conectar la clave USB o in-sertar un PIN, no existe evidencia de que está en uso. Si BitLocker bloquea el sistema debido



a una brecha de seguridad o una falla de hardware, alguien con la clave de recuperación apropiada podrá implementar de forma sencilla el proceso de recuperación, en general con un dispositivo USB o contraseña de recuperación.

Instalación de BitLockerEn Windows Server 2008, BitLocker no está instalado y debe añadirse como una caracterís-tica en el Administrador del servidor.

1. Haga clic en Inicio | Administrador del servidor. Haga clic en Características, en el panel de la izquierda y clic en Agregar características, en el panel de la derecha. Se abrirá el Asistente para agregar características.

2. Haga clic en Cifrado de unidad BitLocker, en Siguiente y, por último, en Instalar.

3. Haga clic en Cerrar luego en Sí para reiniciar el equipo. Al reiniciar, la instalación continuará. Cuando se le indique que la instalación tuvo éxito, haga clic en Cerrar.

Configure y controle BitlockerBitLocker se configura y controla en el panel de control BitLocker. Si el equipo que está con-figurando no tiene TPM, necesita primero cambiar una directiva de grupo para permitir el uso de una clave USB en lugar de TPM. Si piensa que tiene TPM (se le dirá rápidamente si no tiene), puede omitir los tres primeros pasos en la siguiente serie.

1. Si va a usar una clave USB, insértela. Después haga clic en Inicio|Ejecutar, escriba gpedit.msc y oprima enter para abrir el Editor de directivas de grupo local.

2. En el panel de la izquierda, abra Configuración del equipo | Plantillas administrativas | Compo-nentes de Windows | Cifrado de unidad BitLoc-ker. En el panel de la derecha, haga doble clic en Configuración del panel de control: habilitar op-ciones de inicio avanzadas, para abrir el cuadro de diálogo con ese nombre.



3. Haga clic en Habilitada y asegúrese de que exista una marca de verifica-ción, a un lado de Permitir BitLocker sin TMP compatible. Haga clic en ésta; si no está seleccionada, dé clic en Aceptar y cierre el Editor de direc-tivas de grupo local.

4. Haga clic en Inicio | Panel de control y dé doble clic en Cifrado de unidad BitLocker.

5. En la ventana Cifrado de unidad BitLocker que se abre, haga clic en Activar BitLoc-ker, bajo la unidad de Sistema, como se muestra en la figura 15-8.

Se le pregunta si realmente quiere usar el Cifrado de unidad BitLocker en un ser-vidor, porque reduce el rendimiento y sólo se necesita si el servidor está en una ubicación insegura (como una oficina).

6. Si quiere seguir adelante, haga clic en Continuar con el Cifrado de unidad BitLoc-ker. Si tiene un TPM, puede decidir que se use BitLocker sin claves adicionales, sin necesidad de PIN o clave USB, al hacer clic. Sin TPM, sólo tiene la opción Requerir llave de inicio USB en cada inicio y necesita hacer clic en ella.

7. Si decide usar un PIN, se le pide que inserte y confirme su PIN. Si selecciona usar una clave USB y tiene varias unidades extraíbles, haga clic en la unidad correcta. En cualquier caso, dé clic en Guardar.

8. Se le pregunta dónde quiere almacenar la contraseña de recuperación e indica que es recomendable almacenar la contraseña en varios lugares. Se recomienda que, cómo mínimo, la almacene en una clave USB y un disco duro, en lugar de almace-narla en cada equipo que esté cifrando (porque si roban el equipo, el ladrón tendrá la clave). Haga clic en una opción y después repita para guardar o imprimir la clave las veces que quiera.

Figura 15-8. Primero debe habilitar BitLocker en la unidad de Sistema y después puede

cifrar las unidades restantes en el servidor.



9. Haga clic en Siguiente. Se le indica que el cifrado está por iniciar y se le da la opción de ejecutar una revisión del sistema para ver si las claves que almacenó están dis-ponibles. Es muy recomendable hacer la revisión. Haga clic en Continuar.

10. Asegúrese de que la clave USB esté conectada y dé clic en Reiniciar ahora. Tras reiniciar, debe ver un mensaje en un globo, en la bandeja del sistema que dice “Ci-frado de unidad BitLocker (xx% completado)”. Si vuelve a abrir el panel de control BitLocker, verá que el cifrado de unidad está en proceso.



Use un equipo con BitLockerUsar un equipo con BitLocker no es muy diferente a usar uno sin éste, excepto que, a menos que tenga TPM, debe conectar la clave USB antes de iniciar el equipo. Existen varios proble-mas lógicos que debe tener en mente:

▼ Si crea, copia o mueve un archivo de una unidad o volumen BitLocker, se cifrará automáticamente, pero sólo permanecerá así en esa unidad. Dado que el sistema se inicia con la clave USB, PIN o TPM, el archivo estará disponible de la misma forma que estaba antes de instalar BitLocker

■ Si copia o mueve un archivo de una unidad o volumen BitLocker a otra unidad sin cifrado, el archivo se descifrará automáticamente en la segunda unidad

■ Si comparte archivos en la unidad BitLocker, otros usuarios con permisos apro-piados podrán ver y usar los archivos como harían en una unidad sin BitLocker. Los archivos permanecerán cifrados en la unidad BitLocker, pero el usuario po-drá copiar, con el permiso correcto, el archivo a una unidad no cifrada donde puede descifrarse

▲ Si el equipo en que trabaja tiene TPM e instaló BitLocker, cuando inicia, busca cual-quier condición que puede representar algún intento de intrusión. Puede tratarse de cambios a los archivos de inicio, errores de disco o cambios al sistema básico de entrada y salida (BIOS, Basic Input/Output System). Cuando TPM con BitLocker perciba cualquiera de estas condiciones, bloqueará el sistema y evitará que inicie. Los mismos elementos que TPM/BitLocker revisa pueden verse afectados por una falla de hardware, que causaría el bloqueo del sistema. Sin embargo, con la clave de recuperación el sistema puede desbloquearse fácilmente

SUGERENCIA Una vez iniciado el equipo con la clave USB, es buena idea quitarla y

mantenerla en un lugar seguro.

Puede deshabilitar temporalmente BitLocker o desactivarlo por completo al hacer clic en Desactivar BitLocker, en el panel de control Cifrado de unidad BitLocker. Deshabilitar la unidad le permite al sistema reiniciar sin clave, como tal vez quiera hacerlo para actualizar el sistema, cambiar el BIOS o cualquiera de los archivos de inicio, pero la unidad permanece cifrada y usa una clave de texto simple almacenada en su equipo. Desactivar BitLocker des-cifra el disco, que quizás tarde un poco.



Puede duplicar la clave de inicio o contraseña de recuperación al hacer clic en Admi-nistrar claves de BitLocker, en el panel de control Cifrado de unidad BitLocker. Cuando haga clic en Duplicar la contraseña de recuperación, se abrirá el mismo cuadro de diálogo Guardar la contraseña de recuperación ya visto y podrá guardar una copia de la contraseña de recuperación en otra clave USB, carpeta de un disco duro o imprimirla. Si hace clic en Duplicar la clave de inicio, puede seleccionar otra clave USB para guardarla.

Recupere BitLockerSi la clave USB no está presente o el sistema se bloquea por alguna otra razón, tendrá un mensaje indicando que BitLocker ha evitado que el sistema inicie y debe insertar una clave USB (puede ser una con clave de inicio o contraseña de recuperación) y oprimir esc para reiniciar, u oprimir enter para ver una pantalla donde puede insertar la contraseña de re-cuperación. Si no tiene teclado numérico, puede usar las claves de función como números (F1=1, F2=2, F10=0, etc.). Una vez que haya insertado la contraseña correcta, el proceso de inicio continúa automáticamente.

EL CIFRADO DE CLAVE PRIVADA Y PÚBLICAEn la actualidad, existen varios esquemas de cifrado para asegurar la transmisión de datos: cifrado de clave privada, cifrado de clave pública y la combinación de ambos. Al conjunto de los tres esquemas, tecnología y estándares o protocolos que los rodean se les conoce co-lectivamente como infraestructura de clave pública (PKI, public key infrastructure). En Windows Server 2008, PKI es parte integral del sistema operativo, sobre todo en Active Directory. Windows Server 2008 ha implementado los tres esquemas de clave de cifrado, que dan so-porte completo con AD CS.

Cifrado de clave privadaEl cifrado de clave privada o cifrado simétrico (también usado en el cifrado de archivos y carpetas, como ya se expuso) es relativamente antiguo y utiliza una sola clave para cifrar y descifrar un mensaje. Esto significa que la clave por sí sola debe transferirse de un emi-sor a un receptor. Si esto se hace a través del teléfono, Internet e incluso un servicio de mensajería, una persona no autorizada simplemente necesita interceptar la transferencia de clave para obtenerla y descifrar dicho mensaje. Sin embargo, el cifrado de clave priva-da tiene un beneficio importante: es mucho más rápido (mil veces más rápido) que otras opciones. Los esquemas de clave privada son, por tanto, valiosas en situaciones donde no tiene que transferir la clave o puede hacerlo con seguridad (para uso personal en cifrado de datos, como ya se analizó, o durante el envío de información a alguien conocido). En Windows Server 2008 hay varios esquemas de clave privada para intercambiar informa-ción. Si transfiere información entre equipos de Windows Server 2008 y Windows Vista, el estándar de cifrado avanzado (AES, Advanced Encryption Standard) 128 se utilizará como opción predeterminada, con la aplicación de una clave de 128 bits. Entre las mismas versiones de Windows, AES-192 y AES-256, también hay disponibles con claves mayores. Para intercambios con versiones más antiguas de Windows y otros sistemas operativos, la



opción predeterminada es 3DES (cifrado de tres pasos instrumentado con el estándar de cifrado de datos: Data Encrypting Standard). El DES más antiguo, que usa una clave 56 bits, ya no se considera muy seguro.

Cifrado de clave públicaEl cifrado de clave pública o cifrado asimétrico, desarrollado a mediados de la década de 1970, utiliza un par de claves (pública y privada). La clave pública es conocida y transferida en forma pública para cifrar un mensaje. La clave privada nunca deja a su creador y se usa para descifrar el mensaje. Si dos personas utilizan dicha técnica, cada una genera una clave pública y una privada y después intercambian la clave pública abiertamente, sin importar quién las copie. Cada persona cifra su mensaje para el otro mediante la clave pública de la otra persona y después se envía el mensaje. Entonces puede descifrarse y leerse el mensaje con la clave privada almacenada por el receptor. Las claves públicas y privadas usan un al-goritmo matemático que las relaciona con el mensaje cifrado. Con el uso de otros algoritmos matemáticos es muy sencillo generar pares de claves, pero sólo si se tiene la clave pública, es extremadamente difícil generar la clave privada. El proceso de cifrado de clave pública es lento, en comparación con el cifrado de clave privada. El de clave pública es mejor para entornos abiertos, donde emisor y receptor no se conocen.

Cifrado combinado de clave pública y privada Casi todos los cifrados en Internet realmente son una combinación de métodos de cifrado de clave pública y privada. La combinación más común, capa de conector seguro (SSL), fue desarrollada por Netscape para desplazamientos entre HTTP y TCP/IP. SSL proporciona una seguridad alta y medios muy rápidos para autentificación y cifrado.

Recuerde que el cifrado de clave privada es muy rápido, pero tiene el problema de que transfiere la clave, mientras el cifrado de clave pública es muy seguro pero lento. Si quisiera iniciar una transmisión segura a través de una clave pública para cifrar y enviar una clave privada, entonces puede usar la clave privada de forma segura para enviar rápi-damente la cantidad de datos que desee. Así funciona SSL. Utiliza una clave pública para enviar una clave privada elegida en forma aleatoria y, al hacerlo, configura un “conector seguro” con el que cualquier cantidad de datos puede cifrarse, enviarse y descifrarse rápi-damente. En seguida de que el encabezado SSL ha transferido la clave privada, el emisor cifra automáticamente toda la información transferida en ambas direcciones durante una sesión dada (incluido URL, cualquier solicitud de un ID de usuario y contraseña, toda la información Web HTTP y cualquier dato insertado en un formulario) y el receptor la des-cifra automáticamente.

Existen varias versiones de SSL; la versión 3 es la más usada. Provee más seguridad que las versiones anteriores y ofrece autentificación mejorada.

Otra combinación de métodos de clave pública y privada es seguridad de capa de trans-porte (TLS), estándar de seguridad abierto similar a SSL 3. TLS, que fue diseñado por Inter-net Engineering Task Force (IETF), emplea algoritmos de cifrado diferentes de SSL. Por otra parte, TSL es muy similar a SSL, incluso tiene la opción de revertir SSL si fuera necesario. SSL 3 y TLS han sido propuestos por el comité de estándares World Wide Web Consortium (W3C) como estándares de seguridad.



Claves de cifrado y certificadosEl uso de PKI en Windows Server 2008 e Internet depende de certificados digitales para enviar, autentificar y mantener claves de cifrado. (Consulte “Autentificación de certificado”, en páginas anteriores de este capítulo, para conocer una exposición acerca de los certifica-dos y cómo enviarlos y usarlos.) Para obtener una clave de cifrado, se obtiene un certificado que incluye la clave. Para autentificar ésta, se utiliza el certificado que la incorpora. La clave se almacena en un certificado, que es el medio por el que se mantienen las claves en una organización. AD CS suministra todos estos servicios en Windows Server 2008.

NOTA Windows Server 2008 incluye una característica llamada siguiente generación de

cifrado (CNG, Criptography Next Generation) que interactúa con PKI para permitir la crea-

ción y uso de algoritmos de cifrado personalizados. No obstante, el uso de éstos está más

allá del alcance de este libro.

TRANSMISIÓN SEGURA DE DATOSHasta el momento, en este capítulo se ha expuesto la relación entre seguridad de equipos y su contenido, sin mencionar transmisión de datos entre equipos, mediante correo elec-trónico u otra forma de transferencia de información en una LAN, intranet o Internet. Sin embargo, la necesidad de extender una red a partes remotas de una organización, clientes y proveedores es muy real y requiere la transmisión segura de datos. Transmisión segura de datos significa que el cifrado de la información se transmite para no ser leída ni mal empleada por quienes no deben hacerlo. El cifrado de la información es tan antiguo como la humanidad y realmente ha florecido con el advenimiento de los equipos de cómputo. El cifrado de datos se ha vuelvo tan sofisticado, que el gobierno de Estados Unidos ha expre-sado su preocupación temiendo no descifrarlos (¿puede imaginarse eso?); hasta hace pocos años tenía prohibido movilizarlos hacia tecnología más avanzada (de todas formas, todos accedían a ellos por Internet).

Implemente la seguridad en la transmisión de datosPuede pensar que SSL y TLS son estupendos, pero que su uso es complejo. En realidad, am-bos son fáciles de usar, ya sea a través de Internet o internamente en una LAN.

Implemente transmisiones seguras en Internet y la intranetPara implementar transmisiones seguras en Internet e intranet, requiere un servidor Web compatible con SSL o TLS, como Microsoft IIS 7, además de un explorador Web que le dé soporte, como Microsoft Internet Explorer 7, ambos incluidos en Windows Server 2008. En el explorador, para visitar un sitio Web con SSL o TSL implementados, simplemente nece-sita comenzar el URL con https://en lugar de http:// (consulte el capítulo 9 sobre IIS, para adquirir detalles respecto a la manera de implementar sitios Web seguros). SSL entrará en acción, sin siquiera percatarse de lo que pasa; explorador y servidor deciden qué algoritmo de cifrado usar para transferir una clave privada y después emplean dicha clave, al igual que el esquema de cifrado de clave privada elegido para cifrar y descifrar todos los demás datos durante la sesión.



Una vez conectado mediante SSL, su explorador indicará que se ha establecido una co-nexión segura. IE7 despliega un icono de candado a la derecha de la barra de direcciones.

NOTA Aunque la combinación de cifrado público y privado es relativamente fácil, aun

resulta mucho más lento que si no se tuviera cifrado. Por eso, se recomienda sólo utilizar

SSL cuando envía información importante, como datos financieros o de una tarjeta de

crédito, no para todo el sitio Web.

Implemente una transmisión segura LANAunque SSL puede usarse en una LAN e intranet, requiere un servidor de seguridad (cuya función cumple IIS) y puede interponerse en el camino de aplicaciones que trabajan en una LAN. La respuesta a esto es la seguridad de protocolo de Internet (IPSec, Internet Protocol Secu-rity), funcionando entre dos equipos de una red para proporcionar transmisión cifrada de información sin un servidor de seguridad ni bloqueos entre aplicaciones. IPSec es parte de IP y funciona en la tercera capa (de red), bajo cualquier aplicación, por ello no interfiere con éstas (consulte el análisis de las capas de red en “El modelo OSI” en el capítulo 5).

El proceso IPSec IPSec está automatizado casi en su totalidad; una vez que las directivas de grupo se establecen para esta operación, los usuarios de red no perciben que su comunica-ción de red está tomando lugar en forma segura. El proceso para establecer y aplicar IPSec es el siguiente:

1. Se definen las directivas de dominio o equipo local para especificar cuál es el tráfico de red que necesita asegurarse y cómo se manejará esa seguridad.

2. Con base en las directivas, IPSec establece un conjunto de filtros para determinar cuáles paquetes de red demandan transmisiones seguras.

3. Cuando IPSec recibe de una aplicación remitente una serie de paquetes de red que requieren transmisión segura, el equipo emisor notifica esto al equipo receptor. Am-bos equipos intercambian credenciales y se autentifican entre sí, según las directi-vas IPSec.

4. Dada la autentificación, los dos equipos establecen un algoritmo con el que cada equipo puede generar la misma clave privada sin retransmitirla en red, nuevamen-te de acuerdo con las directivas IPSec.

5. El equipo emisor utiliza la clave privada para cifrar los paquetes que transmite, los firma de forma digital para que el equipo receptor conozca quién envía los paquetes y después transmite los paquetes.

6. El equipo receptor autentifica la firma digital y utiliza la clave para descifrar los paquetes y enviarlos a la aplicación receptora.

Configure IPSec Para configurar y usar IPSec, sólo necesita establecer o revisar las directi-vas predeterminadas de IPSec. Puede hacer esto mediante el complemento Seguridad IP en MMC, con estos pasos:

1. Haga clic en Inicio | Ejecutar, escriba mmc y oprima enter. Se abre la consola MMC.

2. Haga clic en el menú Archivo y seleccione Agregar o quitar complementos; vaya hacia abajo y dé doble clic en Administrador de las directivas de seguridad IP.



3. Seleccione si quiere administrar las directivas de seguridad para el equipo local, dominio AD del que es miembro este equipo, otro dominio AD o equipo (en este ejemplo se usa un dominio) y dé clic en Finalizar.

4. Si está abierto, cierre el cuadro de diálogo Agregar complementos independientes y dé clic en Aceptar para cerrar el cuadro de diálogo Agregar o quitar complementos. Abra Raíz de consola y dé clic en Directivas de seguridad IP en Active Directory, para que su MMC se vea como aquí:

5. Haga clic derecho en Secure Server y clic en Propiedades. En la ficha Reglas verá una lista de Reglas de seguridad IP, como se muestra aquí:

6. Seleccione la regla All IP Traffic y haga clic en Editar. Se abre el cuadro de diálogo Propiedades de Modificar la regla. Revise cada una de las fichas y regrese a la ficha Acción de filtrado.

7. Haga clic en Request Security y luego en Editar, con lo que desplegará una lista de métodos de seguridad similar a la lista en la figura 15-9. Puede seleccionar cada uno de éstos y dar clic de nuevo en Editar, para elegir el método de seguridad particular que quiere para una situación dada.

8. Cuando haya terminado, haga clic dos veces en Aceptar, después clic dos veces en Ce-rrar para volver a la consola IPSec, donde también puede hacer clic en el botón Cerrar, contestando Sí para guardar la configuración de la consola con el nombre IPSec.

Verá que la acción predeterminada de IPSec en Windows Server 2008 es pedir segu-ridad en todo el tráfico. Se trata de una opción predeterminada segura; sus datos estarán mejor protegidos. El lado negativo de esta opción predeterminada es que la negociación de seguridad entre equipos, cifrado y descifrado de datos, además de los bits adicionales



que se transmitirán, toman tiempo. Esto también usa mucho más ancho de banda en la red. Sólo usted y su organización pueden determinar qué es más importante (tiempo y ancho de banda o la seguridad). Lo importante es que Windows Server 2008 concede la opción, permitiéndole determinar qué aspecto de la red tiene mayor prioridad.

Figura 15-9. Windows Server 2008 presenta muchas opciones para especificar

el nivel de seguridad utilizado.


ÍNDICE

567

Números100BaseF, 111100BaseFX, 107100BaseT (Fast Ethernet), 107 adaptadores, 114, 115 instalación, 111100GBase (100 Gigabit Ethernet, 100GbE), 107 1000Base (Gigabit Ethernet): diseño, 130 instalación, 1111000BaseF (fibra 1000Base), 107 especificaciones, 112 estándares, 120 y láseres, 1201000BaseT, 107, 112 10Base2 (Thinnet, Cheapernet), 106-107 especificaciones, 112 instalación, 11110Base5 (Thicknet), 106 especificaciones, 112 instalación, 11110BaseF (fibra 10Base), 107, 112 10BaseT (par trenzado), 107 adaptadores, 114, 115 especificaciones, 112 instalación, 11110GBaseF (fibra l0GBase), 112 10GBaseT (10 Gigabit Ethernet, l0GbE), 107, 112 3Com: conmutadores, 127

y adaptadores de red, 115 3DES (cifrado de tres pasos con el estándar de cifrado de datos), 298, 56164 bits, versión, 251

AAcceso directo a memoria directo (DMA), 145 Acceso múltiple de percepción de portador con detección de colisiones (CSMA/CD), 105 Acceso rápido, barra de herramientas, 161 Acceso remoto (véase Terminal Services)Acceso Web de Terminal Services, 326, 347-349 configuración, 347 e IIS 7, 347 uso, 347-349 y Conexión de escritorio remoto, 347 y Sitios de confianza, 347Acceso Web de TS (véase Acceso Web de Terminal Services) Accesos directos (objetivo de carpetas): a confianzas, 207-208 creación, 346 y nombre de espacio DFS, 405 Acciones, panel, 269 Acciones al hacer clic, 480 ACL (lista de control de acceso), 371 ACT (véase Conjunto de herramientas de compatibilidad de aplicaciones)Active Directory (AD), 17, 188, 214

INDICE MATTHEWS 01.indd 567INDICE MATTHEWS 01.indd 567 1/14/09 12:23:07 PM1/14/09 12:23:07 PM


acceso directo a confianzas, 207-208 actualización, 46-47 árboles, 205-207 bosques, 204-205 configuración, 200 controladores de dominio en, 188, 196-198, 541-544 copias de seguridad, 211 detección y resolución de colisiones, 213-214 e IPSec, 312 entorno, 188-189 esquemas, 200-201 estructura, 200, 203-209 funciones, 188 información, 193 instalación, 194-200 mejora, 46-47 objetos, 200-203 OU, 208-209 publicar elementos, 201-203 RAS, 226 replicación, 210-213 servicios, 209 unidades organizativas, 189, 190 y autentificación de usuario, 524 y controladores de dominio primarios, 196 y DNS, 190-192 y dominios, 46-47, 188, 191-194, 203-204 y el maestro de operaciones, 46-47, 199-200 y MMC, 197 y nombre de espacio, 190 y nombre de espacio DNS global, 193-194 y publicación de directorio, 201-202 y publicación de impresora, 202-203 y seguridad, 522 y servidor de catálogo global, 198-199 y sitios, 209-210 y Terminal Services, 326 y VPN, 309, 312Active Directory Rights Management Services, 73 Actualizaciones, 516-519 automáticas, 517-519 automáticas de mantenimiento, 519 automáticas, uso, 518 con Windows Update, 46 manuales, 517 para Active Directory, 46-47 semiautomáticas, 519 Actualizar página, 266 AD (véase Active Directory)AD CS (véase Certificate Services de Active Directory) AD DS (véase Servicios de dominio de Active Directory) Adaptadores, 113, 114, 142-147 conexiones, 113-114 configuración, 142-147 consideraciones, 112 controladores, 143-145 costo, 110 de Linksys, 113

de red multipuerto, 114 de red que no funcionan, 147 memoria, 114 multipuerto, 114 nombres de marcas, 115 para administración remota, 115 para inicio remoto, 115 que no funcionan, 147 recursos, 145-147 y la interfaz de componente periférico, 113-115Adelante, botón, 266 Administración (véase Administración del sistema) Administración de almacenamiento y recursos compartidos, 376-382 Asistente para aprovisionamiento de almacenamiento, 376, 380 Asistente para aprovisionamiento de carpetas compartidas, 376, 381-382 Funciones, 376 y Servicios de archivo, 375Administración de directivas de grupo, 507, 508 Administración de discos, 369, 373-375, 383 Administración de discos, panel, 15, 384-386 Administración de dispositivos, 475-176 Administración de documentos, 441Administración de equipos, 15, 524 Administración de impresión, 16, 71 Administración de impresoras, 441Administración de seguridad, 17 Administración de sistema, 12-18 administración de impresión, 16 administración de seguridad, 17 administración de sistema de archivos, 14-15 administración del sistema, 13-14 con Panel de control, 18 e IIS 7, 251, 269-273 en Windows NT, 202 herramientas, 12, 13, 18 remota, 269-273 y Active Directory, 202 y licencias, 353Administración de volumen dinámico, 401-404 Administración del servidor, 13-14 Administración del Sistema de archivos distribuido, 407-416 de Espacios de nombres DFS, 407-409 de Replicación DFS, 409-412 inicio, 406-107Administración DFS (véase Administración de sistema de archivos distribuido) Administración remota, 269-273 con IIS 7, 269-273 con Servicio de administración, 269, 270-271 de servidores Web, 269-273 Administrador de cuentas de seguridad (SAM), 497, 523 Administrador de Internet Information Services (IIS), 265-269 abrir, 264-266


569Índice

barra de herramientas de Navegación, 266 en Administrador del servidor, 264 panel Acciones, 269 panel Conexiones, 266-267Administrador de licencias de Terminal Services, 326, 353-358 activación de servidor, 356-358 configuración de usuario, 358 implementación, 353 servicio de función, 354-356Administrador de licencias de TS (véase Administrador de licencias de Terminal Services) Administrador de memoria virtual, 499Administrador de Puerta de enlace de Terminal Services, 350-351 Administrador de recursos del servidor de archivos (FSRM), 375, 412-116 Administrador de RemoteApp de TS, 338 Administrador de servicios de Fax, 460, 467 Administrador de Terminal Services, 325, 334-335 Administrador del servidor, 4, 13, 70-80 Administrador de impresión, 71 Administrador de Internet Information Services (IIS), 264 e instalación, 9, 13, 253 Herramientas administrativas, 490 y características, 14 y DFS, 406 y el panel Administración de discos, 15 y Fax y escáner de Windows, 460 y funciones, 13 y funciones de servidor, 72-73 y Terminal Services, 330Administrador Web, 292Administradores de agente de recuperación, 552 Administradores, grupo, 546 Adobe Systems, Inc., y fuentes, 448 Adprep, 47ADSI (Interfaz de servicio de Active Directory), 201 ADSL (línea asimétrica de suscripción digital), 219 AES (estandar de cifrado avanzado), 561 Agente de sesiones de Terminal Services, 326 habilitación, 351-353 y Active Directory, 326Agregar funciones, 489 Agrupación en clústeres, 6, 251, 370 Alámbrica, red, 110 Almacenamiento en caché: plantilla, 252 reglas de almacenamiento en caché de salida, 268AltaVista, 240 Ámbitos, 157 adición, 166-167 de dominio local, 541 de servidor de licencias, 355 global, 541 globales, 543 opciones de nivel, 171

rangos, 168 universales, 543 y DHCP, 166-168, 171American Registry for Internet Numbers (ARIN), 159, 160Ampliador, 479Ancho de banda, administración, 252 Antes del arranque, 499APIPA (véase Direccionamiento IP automático privado) Aplicación, capa, 103 delegación, 269 APNIC (Asia Pacific Network Information Center), 159Apuntador urgente, 139Árboles: en Active Directory, 205-207 y DNS, 206 y dominios, 206, 207 Archivos: cifrado, 396, 400-101, 551-556 cifrado de archivos de prueba, 555-556 compresión de datos, 396-397 comprimidos con NTFS, 398 de Registro, 501 descifrado, 555 EFS, 552-553 permisos, 550 permisos especiales, 550 ARCnet, 104 Área de trabajo, cableado, 122 Arial, 452 ARIN (véase American Registry for Internet Numbers)ARP (Protocolo de resolución de direcciones), 156 Arranque, 499 arranque de red PXE, 88 desde una unidad de DVD, 48, 49, 50, 58 directo, 48-50 dual, 32-33 e instalación limpia, 58-59 imágenes, 85-87 remoto, 115 y BIOS, 50Arriba, en panel Conexiones, 267 Asia Pacific Network Information Center (APNIC), 159 Asignación: de Active Directory, 189 de certificados, a cuentas de usuario, 536-538 de controlador, en espacio de trabajo del Administrador de Internet Information Services (IIS), 267 de nombres a dominios, 200 de nombres a servidores, 160 Asignador de descubrimiento de topología, 150 de nivel de vínculos, 150 Asistente para agregar funciones, 74, 75, 327 Asistente para agregar impresora, 429-431 Asistente para aprovisionar almacenamiento, 376, 380 Asistente para aprovisionar una carpeta compartida, 376, 381-382 Asistente para carpeta compartida, 380



Asistente para la instalación de Servicios de dominio de Active Directory, 195, 196 Asistente para programación de copias de seguridad, 418, 421 Asistente para recuperación, 423-425 Ask (sitio Web), 240 ASP (véase Páginas activas de servidor) ASP.NET (páginas de servidor activo con el uso de Microsoft .NET Framework), 248, 249, 254Atrás, botón: de Internet Explorer, 239 de la barra de herramientas Navegación, 266 Audio, transmisión por secuencia, 290, 292 Autentificación, 522-538 básica, 255 con contraseñas, 526-528 de asignaciones de certificado de cliente de IIS, 255 de certificado, 528-538 de certificado con AD CS, 528-530 de certificado en servidores enpresariales, 529 de certificado en servidores independientes, 529 de usuario, 522-526 de usuario en el equipo local, 523-524 de Windows, 255 espacios de trabajo en el Administrador de Internet Information Services (IIS), 267 integrada, 249, 255 usuario, 524 Windows, 255 y Active Directory, 524 y capa de conector seguro, 524Autor, modo, 489 Autoría y versión distribuidas de Web (WebDAV), 248 Autoridad de certificación (CA), 309-311, 528 administración, 310-311 con AD CS, 529 configuración, 309-310 instalación, 309-310 lista, 533-536 raíz, 529 resumen, 530-531 subordinada, 529 y servidor VPN, 309-311 Autoridad de certificado subordinada, 529 Autorización de URL, 255 Avanzado, ficha, 484-485 Ayuda, en la barra de herramientas Navegación, 266

BBandejas de alimentación de papel, 439 BDC (véase Controladores de dominio de copia de seguridad) “Bien conectados”, sitios, 209-210 Biométricos, dispositivos, 527BIOS (véase Sistema de entrada/salida básico)Bloque de mensaje de servidor (SMB), 382 Bloqueo de clic, 481

Bob Metcalfe, 104 Boletos, sistema, 526Bosques: en Active Directory, 204-205 y replicación, 410 Botones, ficha, 481Botones del ratón, 479Búfer, inclusión, 290 Bus serial universal (USB): adaptadores, 113, 142 e impresoras, 430 escáner de huella digital, 527 y BitLocker, 556Buscar, ficha, 481 Búsqueda capacidad, 239 de sitios Web, 241-243 en idioma natural, 481 inversa, 160 zonas de bosque inversa, 160, 174-176, 192

CCA (véase Autoridad de certificación) Cableado, 116-122 área de trabajo, 122 cable de fibra óptica, 118-121 comparaciones de costos, 122 doblado, 117 dúplex, 120 en topología de estrella, 119 espina dorsal, 121 estándares TIA/EIA, 121-122 horizontal, 121 largo del, 118 par trenzado sin blindar, 116-118 simplex, 120 y topología de estrella, 119, 130 zipcord, 120, 122 Canalizar, 435Cancelar impresión, 445 Capa de conectores seguros (SSL): para autentificación de usuario, 524 y cifrado, 562Capacidad, rastreo para planeación, 252 Carga de impresión, 457 Carga de procesos de arranque, 499 Carga inicial del programa (IPL), 499 Cargador de arranque de Windows, 499 Cargar subárbol, 497 Carpetas: cifrado, 396, 400-401, 551-556 compartidas, 376 compresión de datos, 396-397 descifrado, 555 exploración, 480 perfiles, 513 permisos, 545-547


571Índice

permisos especiales, 547 Cartucho, fuentes, 447 Caseras, tecnologías de red, 110-111CCK (codificación complementaria de llaves), 108 CD (disco compacto), 6 Centro de accesibilidad, 476-477 Centro de distribución de claves (KDC), 526 Centro de Favoritos, 241 Centro de redes y recursos compartidos, 63-64, 66, 76 Certificados: asignar a cuentas de usuario, 536-538 cifrado, 563 EFS, 552, 553 emisión, 313-315 mediante conexión Web, 531-532 seguridad, 262 solicitud, 531-533 solicitud directa, 532-533 y servidor VPN, 313-315 Certificados de seguridad: en IIS 7, 262 en Puerta de enlace de Terminal Services, 329 CGI, 254 CHAP (protocolo de autentificación de desafío de saludo), 296-297 Cheapernet (véase 10Base2) Cifrado, 551-563 archivos EFS, 552-553 asimétrico (cifrado de clave pública), 562 certificados, 563 certificados EFS, 553 cifrado de archivos de prueba, 555-556 cifrado de clave privada, 561, 562 cifrado de clave pública, 562 claves, 563 con BitLocker, 556-561 consideraciones, 552-553 de archivos, 396, 400-401, 551-556 de carpetas, 396, 551-556 de clave privada (cifrado asimétrico) para certificados, 529 de clave privada (cifrado simétrico), 561, 562 de clave privada y de clave pública, 562 de clave pública (cifrado asimétrico), 562 de discos duros, 400-401 de PIN, 527 de unidades, 556-561 desde el Explorador de Windows, 554-555 en sistema de boletos, 526 proceso, 551-552 simétrico (secreto), claves, 551 y administradores de agente de recuperación, 552 y la capa de conectores seguros, 562 y sistemas de archivo FAT, 552Cifrado de sistema de archivos (EFS), 551-552 certificados, 552, 553 copia y movimiento de archivos, 552-553 para cifrado, 553

y WDS, 82 Cifrado de unidad BitLocker, 556-561 cifrado con, 556-561 configuración, 557-559 controles, 557-559 instalación, 557 modos de autentificación, 556 recuperación con, 561 uso de equipos, 560-561 y PIN, 556Cifrado de punto a punto de Microsoft (MPPE), 295, 297C-ip, campo, 284 Circuitos virtuales, 103Citrix, 325Claves (subárboles), 494-497 cifrado, 563 HKEY_LOCAL_MACHINE, 495 HKEY_USERS, 494 y subárboles, 496-497 y subclaves, 496-497Claves de producto, 56 Claves secretas (cifrado simétrico), 551 Clic en el Monitor de recursos, 488 Clientes: diferencia entre servidores y, 100 en redes, 99, 100 opciones de nivel, 171 Servicios de nombre de Internet, 181-182 servidor, LAN, 99-100 Cloruro de polivinilo (PVC), 117Clúster de conmutación por error, 6 CMP (véase Plenum, cable) CMR (véase PVC, cable)CNG (Siguiente generación de cifrado), 563 Codificación complementaria de llaves (CCK), 108 Cola de impresión, 437, 440 Cola de impresora, 443-447 Colisiones, 105 detección/resolución, 213-214 y replicación, 214 y velocidad, 108 .COM, 190COM, puertos, 219, 430 Compartir, permiso, 549 Compatibilidad de aplicaciones, 28-29 Compatibilidad del sistema, 24-27 Compendio de mensajes, 296, 297 Complementarias, fuentes, 452 Complementos, 489Compresión de datos, 395-398 archivos comprimidos NTFS, 398 en discos duros, 395-398 en el espacio de trabajo del Administrador de Internet Information Services (IIS), 267 para archivos, 396-397 para carpetas, 396-397 para volúmenes, 395-396 y cuotas, 399



y sin compresión, 396Compresión diferencial remota (RDC), 409 Comunicaciones, 11-12, 218 conexión a Internet, 11-12, 235-246 en Windows Server 2008, 12 externas, 11-12 hardware, 12 Servicio de acceso remoto, 12, 223-230 telefonía, 218-223 y enrutador de Windows Server 2008, 230-235 Concentradores, 123Concesiones, 157 dirección de monitor, 172 duración, 168-169 Conectores seguros, 562 Conexión a Escritorio remoto (RDC), 360 administración mediante, 359 con RemoteApp de TS, 343-346 configuración, 360-363 habilitación, 359 uso, 359-360 y Acceso Web de TS, 347 y modo de servidor de aplicaciones, 335 y RemoteApp de TS, 340 y Terminal Services, 326, 330Conexiones automáticas, 356 externas, 11-12 principales cruzadas, 121Conexiones, panel, 266-267 Confiabilidad, 250Confianza, relaciones, 205 Configuración compartida, 268 de partición de datos, 210 de Windows Server 2008, 8-10 Configuración del sistema, utilería, 499, 500 Configuración regional y de idioma, 482-483 Conjunto de aplicaciones, 250 Conjunto de clon de control, 499 Conjunto de herramientas de compatibilidad de aplicaciones (ACT), 90, 92 Conjunto redundante de discos independientes/económicos (RAID), 369 Conmutadores, 123-127 apilables, 124-126 de capa 3, 123 empresariales (modulares), 126-127 independientes, 123-124 modulares (empresariales), 126-127 segmentación, 123Consola Administración, 256Consola de administración de IIS, 256Consola de administración de Microsoft (MMC), 489-493 creación, 490-493 uso, 493 y Active Directory, 197 y certificados, 532-533

Consolas, 489, 490 Contadores, 288, 289 Contaminación inalámbrica, 110Contenedores, 188 (véase también Grupos) Contenedores de directiva de grupo (GPC), 506 Contenido dinámico, 262, 263Contenido estático: compresión, 255-256 e IIS 7, 254, 255 Contenido Web dinámico, 262-263Contorno, fuentes, 448Contraseñas, 526-527 autentificación, 526-528 configuración, 183-184 fortaleza, 59, 76 largas, 184 para dominios, 76 y dispositivos biométricos, 527 y nombres de usuario, 183-184 y tarjetas inteligentes, 527Contraste alto, 479Control de acceso, 17, 538-550 con grupos, 539-544 con permisos, 544-550 propietario, 538-539Control remoto y conectar, 334 Control total, permisos, 546, 548, 550Controladores: en Administrador de dispositivos, 475 para adaptadores de red, 143-145 para impresoras, 428 para tarjetas inteligentes, 527 Controladores de dominio (DC), 188, 194 adición, 195 detección/resolución de colisión, 213-214 en Active Directory, 188, 196-198 en modo mixto, 198 PDC, 195, 196 remplazar existente, 196-198 replicación, 211 servidor como, 184 sólo lectura, 198, 214 y Terminal Services, 326 Controladores de dominio de copia de seguridad (BDC), 196, 198 Controladores de dominio de sólo lectura (RODC), 198, 214 Controladores de dominio primarios (PDC), 195, 196 emulador, 199 y Active Directory, 196Convención universal de asignación de nombres (UNC), 278 Convert.exe, 372-373 Copias de seguridad, 416 antes de la instalación, 40 completas (regulares), 416 copia, 416 de Windows Server, 416-426


573Índice

incrementales, 416 para Active Directory, 211 para optimizar el rendimiento, 423 programadas, 421 regulares (completas), 416 tipos, 416-117 una vez, 422-423 y el Asistente para recuperación, 423-425Copias de seguridad de Windows Server, 416-426 cambio de copias de seguridad programadas con, 421 inicio, 417 instalación, 417 optimización del rendimiento, 423 para copia de seguridad de una sola vez, 422-423 programación de copias de seguridad con, 418-420 uso, 417-423 y Asistente para recuperación, 423-125 y discos de recuperación, 425-426CoreFTP, 252 Correo, servidores, 190CRC (revisión de redundancia cíclica), 106 Creación de volúmenes reflejados, 260, 370 Crear nueva conexión, 267 Cs (user-agent), campo, 284 CSMA/CD (Acceso múltiple de percepción de portador con detección de colisiones), 105 Cs-method, campo, 284 CSP (véase Proveedor de servicio de cifrado; Proveedor de servicio de cifrado seleccionable) Cs-uri-query, campo, 284 Cs-username, campo, 284 CTL (lista de certificados de confianza), 533-535 ctrl+alt+supr: para seguridad, 522 y tarjetas inteligentes, 527 ctrl+n, 245 Cuartos de equipo, estándares, 121 Cuentas de equipo, 533 de grupo (véase Grupos) de servicio, 533 de usuario locales, 184 Cuentas de usuario, 523 certificados asignados a, 536-538 configuración, 183, 184 creación, 513-514 dominio, 183, 184 en Terminal Services, 336-337 local, 184 perfiles de usuario conectados a, 514-515 y certificados, 533Cuotas, 399-400

DDaemon de impresora de línea (LPD), servicio, 428, 452 Datacenter, edición, 6, 31 Datagramas, 132-133, 294

Date, campo, 284Datos almacenados asegurados, 17, 551 Datos de configuración de arranque (BCD), 84, 499 Datos, transmisión de: aseguramiento, 17 en trama ethernet, 106DC (véase Controladores de dominio)DDNS, dominios (véase Dominios DNS dinámicos)Default-Fist-Site-Name, 211 Delegación de características, 268 Delimitador de inicio de trama (SFD), 105 DEP (Prevención de ejecución de datos), 485 Departamento de comercio (Estados Unidos), 190 DES (véase Estándar de cifrado de datos) Desafío, serie, 296 Desarrollo de aplicaciones, 254 Descargar subárbol, 497 Descifrado, 551-552, 555 con BitLocker, 560 de archivos, 555 de carpetas, 555 Descripción, descubrimiento e integración universal (UDDI) Servicios, 73 Descriptores de seguridad, 538 Desfragmentación, 398-399 Desfragmentador de disco, 489Destino de la trama de Ethernet, 105 Destinos de carpetas (véase Accesos directos) Detección y resolución de problemas: con rastreo, 284-285 con registros, 282-284 de IIS 7, 279-289 mensajes de error, 280-282 Servicios de implementación de Windows, 89-91 y rendimiento del servidor, 285-289Detener, en la barra de herramientas Navegación, 266 DFS (véase Sistema de archivos distribuido) DHCP (véase Protocolo de configuración dinámica de host) Digitales certificados (véase Certificados) equipo, 104 servicios telefónicos, 218-219 Diodo emisor de luz (LED), 119, 120 Dirección de control de acceso a medios (MAC): en capa de vínculo de datos, 103 obtención, 122 y dirección física, 156 y trama Ethernet, 105-106Direccionamiento IP automático privado (APIPA), 151, 159 Direcciones IP jerárquicas, 135 lógica, 156 Direcciones, barra, 239Directiva de autorización de conexión de Terminal Services (TS CAP), 328Directiva de autorización de recursos de Terminal Services (TS RAP), 328



Directivas de controlador de dominio predeterminadas, 507 de dominio predeterminadas, 507 de equipo, 504 de red para RAS, 227-228 Directivas de grupo, 504-511 cambiar, 504-506 en el nivel de dominio, 506-508 en el nivel de equipo local, 504-506 en el nivel de OU, 506-508 resumen, 506-508 y AD DS, 506Directorios, 188 creación de directorios virtuales, 278 eliminación de directorios virtuales, 278-279 inicial, 276-277 jerárquicos, 190 principales, 276-277 publicación, 201-202 virtuales, 277-279 y función de objeto, 188Disco compacto (CD), 6 Disco de video digital (DVD), 6, 24 arranque desde, 48, 50, 58 instalación desde, 51 varias unidades, 50 y ROM, 6Discos de recuperación, 425-426 desconocidos, 390 dinámicos, 368 duros compartidos, 52 espacio, 6 limpieza, 41Discos duros: adición, 389-390, 394 cifrado, 400-401, 556-561 compartir, 52 compresión de datos, 395-398 cuotas, 399-400 de red, 51-52 desconocido, 390 desfragmentación, 398-399 DVD, 51 eliminación, 389, 390 expansión, 14 formateo, 391 letras asignadas, 394-395 locales, 51-52 lógicos, 394 nueva exploración, 389-390 partición, 14, 391 propiedades, 386-389 rastreo, 389-390 reducción, 14Dispositivos de impresión, 428 DIX estándar (Ethernet II), 104, 106 DMA (acceso directo a memoria), 145

DNS (véase Sistema de nombre de dominio) Documento predeterminado, 254 Dominios, 74, 188 accesos directos a confianzas, 208 almacenamiento, 192 contraseñas, 76 cuentas de usuario, 183, 184 (véase también Usuario, cuentas) de ámbito local, 541, 543 DFS, 404 diferencia entre grupos de trabajo y, 74 división, 209 en Active Directory, 188 en modo nativo, 47 estructura de Active Directory, 46-47 instalación, 74 nativos, 196 nivel, 506-508 para ISP, 188 partición de datos, 210 raíz de bosque, 206 registrar, 190 relaciones de confianza, 205 secundarios, 207 y Active Directory, 191-194, 203-204 y árboles, 206, 207 y replicación, 409 (véase también tipos específicos, como Dominios DNS dinámicos) Dominios DNS Dinámicos (DDNS), 176-178, 193 funciones, 194 y zonas DNS, 172DS (Servicios de dominio), 75-80DSL (línea de suscriptor digital), 219Dúplex, cableado, 120DVD (véase Disco de video digital)

EEAP (Protocolo de autentificación extensible), 297 EAP-TLS (Protocolo de autentificación extensible- seguridad en la capa de transporte), 297 Editor de registro, 497 EFS (véase Cifrado de sistema de archivos) EFS, archivos, 552-553EIA (Electronic Industries Association), 121 Electronic Industries Association (EIA), 121 Electronic Industries Association, estándares (véase TIA/EIA, estándares) Elevación del nivel funcional de dominio, 47 Eliminar conexión, 267 EMP (Empujar), campo, 139 Empujar (EMP), campo, 139 Encabezados: de host, 276 de respuesta HTTP, 267 en espacio de trabajo del Administrador de Internet Information Services (IIS), 267


575Índice

encabezados de respuesta, 267 host, 276 HTTP, 276 IPv4, 133-134 IPv6, 135 para varios sitios Web, 276 soporte, 276 y exploradores, 276Encyclopedia of Networking & Telecommunications (Sheldon), 97 Enrutadores, 128 adición, a RAS, 223-224 capacidades, 128 enrutadores remotos, 232 para servicio de acceso remoto, 223-224 remotos, 232 Windows Server 2008, 230-235 (véase también Windows Server 2008, enrutadores) Enrutamiento y acceso remoto, 229, 232 Enterprise, edición, 31 actualización, 51 requisitos, 6 Servicios de federación de Active Directory, 5Entorno de ejecución previo al arranque (PXE), 82-85, 88-91 configuración, 88 problemas con, 90-91 Entradas en el Registro, 497-498 Error, mensajes, 280-282 con direccionamiento, 274 en el Espacio de trabajo del Adminsitrador de IIS, 267 en IIS 7, 280-282 en Internet Explorer, 280 Escalabilidad, 251-252Escalables, fuentes, 448Escaneo y envío por fax, 463-464Escritorio: Escritorio remoto, 363-364 personalización, 61-63 URL, 240Escritorio remoto, 324, 363-364 uso, 363-364 usuarios, 358 y licencias, 353Escritura, permisos, 547, 550 Espacio de nombres, 190, 404, 407 del Sistema de archivos distribuido, 375, 407-409 DNS global, 193-194 Sistema de archivos distribuido, 375, 407-409 y Active Directory, 190Espacios de trabajo del Administrador de Internet Information Services (IIS), 267-269 en disco duro, 24, 40 libre, 82, 391Espina dorsal cableado, 121 colapsada, 126

Esquemas: básicos, 201 de Active Directory, 200-201 en Active Directory, 200-201 modificar, 201 partición de datos, 210 y maestro de operaciones, 200 Estaciones de trabajo: grupos, 540-541 independientes, 540-541 nodos, 111Estado de la concesión de dirección, 172 Estado y diagnóstico, 254 Estados Unidos, Departamento de Comercio, 190 Estandar de cifrado avanzado (AES), 561 Estándar de cifrado de datos (DES), 298, 561 Estándares de telecomunicaciones, 122 para opciones de entrada, 121 Estrella, topología, 129, 130 cableado, 119 redes de área local, 98 y cableado, 119, 130Estrella/bus, topología, 129 Ethernet, 104-108 especificaciones, 104-105 hardware, 106-108 método de acceso a medios, 105 topología, 106 trama, 105-106Ethernet 802.3 (IEEE 802.3), 104, 106 Ethernet I, 106Ethernet II (véase DIX, estándar) Ethernet, trama, 106 Expansión de discos duros, 14 Exploración de carpetas, 480 Exploración de directorio: e IIS, 7, 254 Espacio de trabajo del Administrador de Internet Information Services (IIS), 267Explorador de Windows: cifrado, 420 Opciones de carpeta, 480 y copias de seguridad, 398-399Exploradores: y encabezados de host, 276 y licencias, 356 (véase también tipos específicos, como Internet Explorer) Exportaciones: de configuraciones de sitio Web, 251 de subárboles, 497ExpressCard: adaptadores, 113, 114, 142 costo, 114Extendidas, particiones, 368, 369 Extendidos, volúmenes, 369, 403-404 Extensibilidad de .NET, 254 Extensiones, 489



Extensiones de archivo, 250 Extensiones de correo multipropósito de Internet (MIME), 268Extensiones de servidor de FrontPage, 258Extensiones ISAPI, 254

FFast Ethernet (véase 100BaseT) Fast Internet (IEEE 802.3u), 104 FAT, sistema de archivos, 370-373 conversión a NTFS, 372-373 y cifrado, 552FAT32, sistemas de archivos, 370-373 Favoritos, carpeta, 240 Fax, dispositivos de: adición, 467-468 configuración, 468-469 instalación, 459 Fax y escáner de Windows, 458-466 envío de faxes con, 461-464 escaneo con, 463-464 habilitación, 458-159 impresión para enviar con, 462-463 instalación de, 459 recepción de faxes con, 461-462, 464-466 y Administrador del servidor, 460 y portadas, 466Faxes: envío, 461-162 escaneo antes de enviar por fax, 463-464 impresión para envío, 462-463 portada, 466 recepción, 464-466Fechas, opciones, 483Fibra óptica, cables, 118-121 costo, 121 fibra de varios modos, 120 un solo modo, 120 y Ethernet, 107Fichas: apertura de sitios Web, 244-245 cambio entre, 245-246 cierre, 246 en el explorador de Internet, 244-246 filas, 244 y sitios Web, 244-246 Fidelidad inalámbrica (WiFI), estándar, 110 Filtro de solicitudes, 255 Filtros ISAPI, 254FIN (Finalizar), campo, 139 Firewalls, 317 Física capa, 102 dirección (hardware), 156, 170 partición (véase Volúmenes) .Fon, archivos, 449 Formateo:

de discos duros, 391 de volúmenes, 85 y particionamiento, 59FQDN (véase Nombres de dominio plenamente calificados) Fragmentación, 370FRS (Servicio de replicación de archivos), 375FSRM (véase Administrador de recursos del servidor de archivos)FTP (véase Protocolo de transferencia de archivos)Fuentes, 447-452 adición, 450-451 complementarias, 452 de cartucho, 447 de contorno, 448 de mapa de bits, 448 eliminación, 450-451 en Windows Server 2008, 448-450 escalables, 448 instalación, 448-449 PostScriptx, 448 residentes, 447 revisión, 449, 450 sans serif, 452 serif, 452 suaves, 447 TrueType, 448, 449 uso, 451-452 vectoriales, 448Full-duplex, tarjetas de red, 114Funciones, 9 de servicio de acceso remoto, 223-224 de servidores, 8 selección, 13 servidor, 70-80 y Administrador del servidor, 9, 13 y Servicios de archivo, 375 y Terminal Services, 326-331, 354-356 (véase también tipos específicos, como Servicios de impresión) Futura, 452FYI (Para su información), 131

GGaramond, 452GB (gigabyte), 6General, ficha, 480Ghost (Symantec), 260GHz (gigahertz), 6Gigabit Ethernet (véase 1000Base)Gigabyte (GB), 6Gigahertz (GHz), 6Google, 240 gov…, 188GPC (contenedores de directiva de grupo), 506 GPO (objetos de directiva de grupo), 508-511 GPO (véase Objetos de directiva de grupo)


577Índice

GPO de inicio, 509-510 GPT (plantillas de directiva de grupo), 506 GPT (tabla de partición GUID), 384 Grupos de Internet, registro, 182 de noticias, hospedaje, 253 de trabajo, 74 permisos, 17 registro, 182 Grupos (cuentas de grupo): adición de usuarios, 186 configuración, 183, 185 en controladores de dominio de Active Directory, 541-544 en servidores/estaciones de trabajo independientes, 540-541 permisos, 183Guardar conexiones actuales, 267Guardar en el disco local, 363GUI (véase Interfaz gráfica de usuario) GUID (véase Identificadores globalmente únicos)

HHabilitar registro de arranque, 502 Habilitar video de baja resolución, 503 Half-duplex, tarjetas de red, 114 Hardware: actualización, antes de la instalación, 41 conflicto, 41-42 deshabilitación antes de la instalación, 41-42 dirección (véase Dirección física) ficha, 484 para comunicaciones, 12 para ethernet, 106-108 para instalación, 41 para migración, 260 para red, 111-129, 299-301 para red privada virtual, 299-301 para servicio de acceso remoto, 299-301 para Windows Server 2008, 5-7 y Administrador de dispositivos, 476Heredado, 538Herramientas administrativas, 70, 256, 490 Hewlett Packard (HP), impresoras, 434, 440, 441 Historial, carpeta, 241HKEY_CLASSES_ROOT, 495HKEY_CURRENT_CONFIG, 495HKEY_CURRENT_USER, 494HKEY_LOCAL_MACH1NE, 495, 523HKEY_USERS, 494Hora, configuraciones, 483Hora de impresión, establecimiento, 446 Hospedaje: de sitios Web, 274-276 en IIS 7, 249 y tiempo de espera, 259Host local, 155 Host múltiple, registro, 182

HP, impresoras (véase Hewlett-Packard, impresoras) HTML (lenguaje de marcado de hipertexto), 252 HTTP (véase Protocolo de transferencia de hipertexto) encabezados, 267, 276 errores, 254 inicio de sesión, 254 redireccionamiento, 254 HTTPS (protocolo seguro de transferencia de hipertexto), 298

IIANA (véase Internet Assigned Numbers Authority)IBM, 104ICANN (Internet Corporation for Assigned Names and Numbers), 190 ICT (véase Tareas de configuración inicial) ID (identificadores) (véase tipos específicos, como Identificadores globalmente únicos) ID relativos, 199 Identidad de proceso, 250Identificadores (véase tipos específicos, como Identificadores globalmente únicos) Identificadores de seguridad (SID), 201, 371 Identificadores globalmente únicos (GUID), 200 en NT, 201 tabla de particiones, 384 y replicación, 214 IE (véase Internet Explorer)IE ESC (seguridad mejorada de Internet Explorer), 236 IEEE (véase Institute of Electrical and Electronics Engineers)IEEE 802.11a, 108IEEE 802.11b, 108IEEE 802.11g, 108IEEE 802.11n, 109IEEE 802.3 (Ethernet 802.3), 104 IEEE 802.3u, Fast Internet, 104 IEEE 802.3z, Gigabit Ethernet, 104IETF (véase Internet Engineering Task Force)IIS, permisos, 262 IIS 6, 256IIS 7 (véase Internet Information Services versión 7)Implementación de Windows Server 2008, 7-10, 18, 22 (véase también Instalación de Windows Server 2008) Importaciones: de configuraciones de sitio Web, 251 de subárboles, 497Impresión, 428-447 administración, 455-457 Administrar documentos, 441 cancelación, 445 con impresoras de red, 432-435 conceptos, 428 configuración, 435-443 configuración de usuario, 441-443 de todos los documentos, 444 de un solo documento, 444 en impresoras locales, 430-432



en la impresora local, 363-364 faxes, 462-163 hora, 446-447 inicio, 440 notificación, 446-447 pausado, 443-445 permisos especiales, 442 reanudación, 443-445 redireccionamiento de documentos, 445-446 reinicio, 443-445 requisitos del sistema, 429 y cola de impresión, 440 y envío para fax, 462-463 y páginas de separación, 440-441 y propiedades de documentos, 446-447Impresoras, 428 adición, 430-432 administración, 441, 453-157 bandejas de papel, 439 compartidas, 16, 441, 442 configuración, 436 controladores, 428 de Hewlett-Packard, 434, 440, 441 detección y resolución de problemas, 430 en Internet, 71, 452 locales, 430-432 permisos, 442 prioridad, 438-439, 446-147 red, 428, 430, 434-135 reinstalación, 430 solicitud, 443-447 y DHCP, 434Impresoras de red, 428, 432-435 compartidas, 430 conectadas a la red, 434-435 conectadas a otros equipos, 432-433 configuración, 432-435Impresoras locales: adición, 430-432 imprimir, 363-364, 430-432 Inclusión del lado del servidor (SSI), 254 Inclusión en el Registro: de dominio, 190 de nombres de dominio, 182 para grupos, 182 Incrementales, copias de seguridad, 416 Information Sciences Institute (ISI), 131 Infraestructura de clave pública (PKI), 561, 563 Inicio de sesión de proceso de arranque, 199, 499 personalizado, 255 Inicio y recuperación, 485 Inscripción Web de autoridad de certificación, 529 Instalación, 35-36, 48-59 arranque directo, 48 automatizada, 8, 48 completa, 37 con imagen, 87-88

desde disco duro local, 51-52 desde unidad de red, 51-52 desde unidad DVD, 49, 51 ejecución, 52-59 fallida, 53 manual, 7, 48 para actualizar, 53-55 para instalación limpia, 56-59 particionamiento, 59 por arranque directo, 48-50 variaciones con, 52 y actualizaciones, 53 y mejoras, 48 y Windows, 50-51 Instalación de Windows Server 2008, 7-8, 22-43, 46-80 a través de la red, 48 actualización, 31-32, 46-47 automatizada, 8, 48 completa, 37 configuración, 35-36, 48-59 consideraciones, 22 copia de seguridad previa, 40 de componentes opcionales, 38-39 de funciones, 8 fases, 48 limpia, 31-32, 56-59 limpieza previa del disco, 41 manual, 7 núcleo del servidor, 37-38 opciones, 29-30 preparación, 7, 22, 39-43, 46-47 red, 48 remota, 8, 48 requisitos del sistema, 22-29 tipo, 31-32 y arranque dual, 32-33 y configuración de servidor, 59-80 y edición Datacenter, 31 y edición Enterprise, 31 y edición Standard, 31 y hardware, 41 y migración, 43 y particionado, 33-35 y software, 40-42Instalación limpia, 31-32, 56 configuración, 56-59 de una nueva versión de Windows, 56-58 diferencia entre actualizaciones y, 93 ejecución, 56-59 resolución posterior, 58 y arranque, 58-59Institute of Electrical and Electronics Engineers (IEEE): IEEE 802.3/Ethernet 802.3, 104 IEEE 802.3u, Fast Internet, 104 IEEE 802.3z, Gigabit Ethernet, 104 y estándar DIX, 104 y trama Ethernet, 105-106


579Índice

Instrumentación de administración de Windows (WMI), 251 en IIS 6, 256 en IIS 7, 251Intel: y adaptadores de red, 115 y Ethernet, 104Intercambio activo, 385Interconexión básica, 142 Interconexión de sistemas abiertos (OSI), modelo, 101-104 capa de la aplicación, 103 capa de la sesión, 103, 179 capa de presentación, 103 capa de red, 103, 179, 230 capa de transporte, 103, 179 capa de vínculo de datos, 102-103 capa física, 102 y dispositivos de interconexión, 129 y PPTP, 295 y TCP/IP, 137 y VPN, 298 Interconexión, dispositivos, 122-129 conmutadores, 123-127 enrutadores, 128 puentes, 127Interfaz de componente periférico (PCI): costo, 114 en la tarjeta principal, 114 y adaptadores, 113-115 y la característica Wake on Lan, 115 Interfaz de servicio de Active Directory (ADSI), 201 Interfaz gráfica de usuario (GUI): para inicio de sesión, 499 PowerShell, 4 International Organization for Standardization (ISO), 101 Internet Assigned Numbers Authority (IANA), 156, 159Internet Corporation for Assigned Names and Numbers (ICANN), 190 Internet Engineering Task Forcé (IETF): y Kerberos, 525 y TLS, 562 Internet Explorer (IE): búsqueda, 239, 241 detección y solución de problemas de conexiones con, 239 mensajes de error, 280 menú, 246 Sitios de confianza, 347 y encabezados de host, 276Internet Information Services versión 7 (IIS 7), 4, 248-292 administración, 251 administración remota, 269-273 Administrador de Internet Information Services (IIS), 265-269 beneficios, 279 características, 249-252 confiabilidad, 250 descripción, 73

detección y resolución de problemas, 279-289 e impresión en Internet, 71 en Windows Web Server 2008, 5 escalabilidad, 251-252 funciones, 248-249 hospedaje de sitios Web, 274-276 instalación, 253-258, 262 mantenimiento, 263-265 mensajes de error, 280-282 personalización, 263-265 problemas, 279 protocolo simple de transferencia de correo, 249, 252 rastreo, 284-285 registros, 282-284 seguridad, 249-250, 261-263 servicios de Internet, 252-253 servicios NNTP, 253 servicios WWW, 252 SharePoint Services, 248-249 WebDAV, 248 y Accesos Web de TS, 347 y AD CS, 529 y ASP.NET, 248, 249 y contenido Web dinámico, 262-263 y páginas activas de servidor, 254 y protocolo de transferencia de archivos, 249, 252 y rendimiento del servidor, 285-289 y Servicios de Windows Media, 289-292 y servidores Web, 253-263 y sitios Web, 273-279Internet, 11-12, 235-246 autentificación, 525 búsqueda, 241-243 conexión a, 11-12, 235-246 diferencia entre WAN y, 97 localización de información, 239-243 nombres de dominio, 188 sitios Web, 239-243 transmisión segura, 563-564 y página principal predeterminada, 243 y pestañas, 244-246InterNIC (Network Solutions, Inc.): registradores acreditados, 276 y direccionamiento IP, 159 y DNS, 190Intranet, transmisiones, seguras, 563-564 Invitado, cuentas, 253 IP estáticas, direcciones, 76 IP, direcciones (véase Protocolo de Internet, direcciones) IP, replicación (RPC), 213 Ipconfig, 153IPL (carga inicial de programa), 499 IPSec (véase Seguridad de protocolo de Internet) IPv4 (véase Protocolo de Internet versión 4) IPv6 (véase Protocolo de Internet versión 6) IPX (intercambio de paquetes entre redes), 230 IRQ (solicitud de interrupción), líneas, 145 ISDN (Red digital de servicios integrados), 219



ISI (Information Sciences Institute), 131 ISO (International Organization for Standardization), 101 ISP (véase Proveedores de servicio de Internet) Itanium, sistemas, 5

KKDC (Centro de distribución de claves), 526 Kerberos versión 5, 525-526

LL2F (Reenvío de capa dos), 297 L2TP (véase Protocolo de entunelamiento de capa dos) La última configuración válida conocida, 494, 499, 501LAN (véase Redes de área local)LAN inalámbrica (WLAN), 108-110 costo, 110 desventajas, 110 diferencia entre red alámbrica y, 110 estándares, 108-109LCP (véase Protocolo de control de vínculos) LDAP, consultas, 192 LDAP Data Interchange Format, utilería, 192Lectores de tarjeta inteligente, 527Lectura, permisos, 547, 550Lectura y ejecución, permisos, 547, 550 LED (véase Diodo emisor de luz) Lenguaje de control de impresora (PCL), 440, 441 Lenguaje de marcado de hipertexto (HTML), 252 Lenguaje de marcado extensible (XML), 252 Letras para unidades de disco, 394-395 Licencia de acceso de clientes a Terminal Services (TS CAL), 353, 354Licencias de Terminal Services, 329, 353-354, 356-358 Licencias y asignación de éstas: administración, 353 instalación, 356-358 selección, 354 y Escritorio remoto, 353 y exploradores, 356Línea de comandos, entorno, 4 Línea de comandos, secuencias de comandos, 251 “Línea de negocios”, aplicaciones, 324 Línea de suscripción digital (DSL), 219 Línea de suscripción digital asimétrica (ADSL), 219 Líneas base, 286 Linksys: adaptadores, 113 conmutadores, 124-126 enrutadores, 128 productos LAN, 109Lista de certificados de confianza (CTL), 533-535 Lista de control de acceso (ACL, Access control list), 371 Live Search, 239 Lmhosts, 180 Localizadores uniformes de recursos (URL), 240 en Escritorio, 240

en la carpeta Favoritos, 240 en la carpeta Vínculos, 240-241 para compartir impresora, 203 LPD, servicio (véase Daemon de impresora de línea, servicio) LPT1, 430LUN (números de unidad lógicos), 376

MMAC, dirección (véase Dirección de control de acceso a medios)Macintosh y servidores de impresión, 428Maestros de operaciones, 46-47 Mail Exchanger, referencia (MX), 192Mapa de bits (rastreo), fuentes, 448, 449 Marcado telefónico, conexiones, 222-223 configuración, 304-305 establecimiento, 222-223 y servicio de acceso remoto, 304-306Marcas de tarjetas de red, 115-116 Marcas genéricas, 115MB (megabyte), 6 Mbps (megabits por segundo), 97 MBR (véase Registro de maestro de arranque) Megabyte (MB), 6 Mejoras: de edición Enterprise, 51 desinstalación, 53 diferencia entre instalación limpia y, 93 e instalación, 31-32, 46-17 ejecución, 53-55 instalación, 53-55 para hardware, 41 preparación, 46-47 servidores Web, 261 tiempo invertido, 54 Windows Server 2008 como, 4-5 y Active Directory, 46-47 y Windows Server 2003, 46Memoria: para adaptadores, 114 recomendación, 6 Memoria de acceso directo (RAM), 6, 23 Metabase, 251, 256 Método de acceso a medios, 105 Microsoft: Reproductor de Windows Media Player, 290 y CHAP, 297 y cuota de licensia, 353 y fuentes, 448 y nagware, 329 y problemas de compatibilidad, 91Microsoft .NET, framework, 248 Microsoft Assessment and Planning Toolkit Solution Accelerator, 24-27, 87 Microsoft Exchange, 189 Microsoft Message Queuing (MSMQ), 150


581Índice

Microsoft Office, Visio Professional, 131 Microsoft SQL Server 2005 Express, 87 Microsoft Windows Installer, paquete (véase .msi, paquete)Microsoft Word: y envio de fax, 458, 461 y fuentes, 451 Migración, 43 a espejo de servidor Web, 260 de servidores Web, 258-261 hardware, 260 métodos, 259-261 planeación, 259MIME (extensiones de correo multipropósito de Internet), 268 MIMO (varias entradas varias salidas), 109 Minipuerto WAN, 308, 316Miniservidores, 100 MIT y Kerberos, 525 Mixto, modo, 198MMC (véase Consola de administración de Microsoft) Módems (modulador-demulador), 218-222 conectados, 219 detección y resolución de problemas, 239 externos, 219 instalación, 219-222 integrados, 219 internos, 219 Modificar permisos, 546, 550 Modo de administración remota, 325, 358-364 Modo de depuración, 503Modo de restauración de servicios de directorio, 503Modo de servidor de aplicación de Terminal Services, 335-353 y RemoteApp de TS, 337-346 y Terminal Services, 335-337Modo seguro, 501-504Modo único (fibra monomodo), cables, 120 Módulo de plataforma confiable (TPM), 556, 557 Módulos, 268Moneda, opciones, 483 Monitor de confiabilidad y rendimiento, 286-288 Monitor de recursos, 488 Monitor de rendimiento, 499 Monitor de solicitudes, 254-255 Monitoreo del estado, 250 Monomodo (un solo modo), cables de fibra óptica, 120 Mostrar el contenido de la carpeta, 547 MPPE (véase Cifrado punto a punto de Microsoft) MS-CHAP v2 (Protocolo de autentificación de desafío de saludo de Microsoft versión 2), 296 .msi (Microsoft Windows Installer), paquete: creación, 342-343 uso, 345-346MSMQ (Microsoft Message Queuing), 150 Multimaestro, replicación, 198 Multimodo, cables de fibra, 120 Multiplexado de división de frecuencia ortogonal (OFDM), 108

Multiprocesamiento simétrico (SMP), 85 MX (referencia de Mail Exchanger), 192

NNagware, 329 Narrador, 479NAT (véase Traducción de dirección de red) Nativos dominios, 196 modo, 47 Navegación, barra de herramientas, 266 NCP (protocolo de control de red), 296 NDS (servicios de directorio de Novell), 189 .Net, 188.NET Framework: e IIS 7, 248 páginas activas de servidor, 248NetBEUI, 179, 180 NetBIOS, 156, 179, 180 Netscape Navigator, 276 Network Solutions, Inc. (véase InterNIC) NFS (véase Sistema de archivos de red)NIC (véase Tarjetas de red)Nivel de equipo local, 504-506 NNTP, servicios, 253No break (UPS), 41 Nodos, 111Nombres de equipo, 156 de marca, 115 de puerto, 275 de usuario, 183-184 “Nombres amigables” (véase Nombres de host)Nombres de dominio, 156, 188, 190 plenamente calificados, 76, 190, 192 registro, 182 resolución, 190, 191 Nombres de dominio plenamente calificados (FQDN), 76, 190, 192Nombres de host, 156 en zona DNS, 174 para probar redes, 153 y nombres de puerto, 275Notificación visual de sonidos, 478 Notificación, cuadro de texto, 446Novell Directory Services (NDS), 189NTFS (Sistema de archivos de nueva tecnología), 33, 371-373 archivos comprimidos, 398 conversión de sistemas de archivo FAT, 372-373 conversión de sistemas de archivo FAT32, 372-373 para WDS, 82 permisos, 202, 262 y cifrado, 400, 538 y control de acceso, 551Núcleo interno, 117 Nuevo rastreo, 389-390



Número de identificación personal (PIN), 527 cifrado, 527 y BitLocker, 556Números configuraciones, 483 de puerto, 275 de reconocimiento, 138 de secuencia, 138 Números de unidad lógicos (LUN), 376

OObjetos de Active Directory (ADO), 200-203 Objetos de directiva de grupo (GPO), 506, 508-511 GPO inicial, 509-510 y la lista de certificados de confianza, 533-534Obligatorios, perfiles de usuario, 516 Octetos, 175OFDM (multiplexado de división de frecuencia ortogonal), 108 OfficeJet, impresoras, 434 Opciones de carpeta, 477-480 Opciones de cursor, 479 OpenType, fuentes, 448, 449 Operaciones, maestro, 199-200 como emulador PDC, 199 e infraestructura, 199 para ID relativos, 199 y Active Directory, 199-200 y esquemas, 200 y nombre de dominio, 200Operativo, modo, 250 Óptima, 452 Origen, dirección, 105 OSI, modelo (véase Modelo de interconexión de sistemas abiertos)OU (véase Unidades organizativas)

PPágina principal, en la barra de Navegación, 266Página principal predeterminada, 243 Páginas activas de servidor (ASP): e IIS, 7, 252, 254 plantilla de almacenamiento en caché, 252 y CGI, 254Palatino, 452Palo Alto Research Center (PARC), 104 Panel de control, 472-486 Administración de dispositivos, 475-176 Centro de accesibilidad, 476-177 Configuración regional y de idioma, 482-483 ficha Buscar, 481 ficha General, 480 ficha Hardware, 484 ficha Opciones avanzadas, 484-485 ficha Ver, 480 Mouse, 481-482

Opciones de carpeta, 477-480 Programas predeterminados, 474-475 Propiedades de barra de tareas y del menú Inicio, 485-186 Reproducción automática, 473-174 Teclado, 481 ventana Sistema, 483-184 vista Principal, 472Pantalla, opciones, 479 Pantallas iniciales, 499 Papel, tipos, 439Paquetes, 137 en capa de red, 103 y datagramas, 132-133Par trenzado (véase 10BaseT) Par trenzado sin blindar (UTP), 116-118 categorías, 111, 118 conectar, 118 núcleo, 117 resistencia al fuego, 117 y ethernet, 107 y STP, 117Para su información (FYI), 131 PARC (Palo Alto Research Center), 104 Particiones y particionado: activas, 368 datos de configuración, 210 datos de dominio, 210 de configuración, 59 de discos duros, 14, 391 diferencia entre volúmenes y, 368 e instalación, 33-35 extendidas, 368, 369 formateo, 59 para WDS, 82 partición de datos de esquema, 210 primarias, 368, 393 reducción, 34 sistemas de almacenamiento dinámicos, 368 y replicación, 210PartitionMagic (Symantec), 34 Pausar impresión: de un solo documento, 445 para todos los documentos, 444PC Card (véase Personal Computer Memory Card International Association) PC-Card, 142PCI (véase Interfaz de componente periférico) PCI, adaptadores, 142PCL (véase Lenguaje de control de impresora) Pcl.sep, 440 PCMCIA (véase Personal Computer Memory Card International Association) PDC (véase Controladores de dominio primarios) Perfiles, carpetas, 513 Perfiles de usuario locales, 511-512 Periféricos, 6 Permisos, 544-550


583Índice

adición, 546-549 compartir permisos, 549 de impresión, 441 en IIS, 262 grupo, 17 para archivos, 550 para carpetas, 545-546 para grupos, 183 para impresoras, 442 predeterminado, 545, 546 primarios, 549 (véase también tipos específicos, como Control total, permisos)Permisos especiales, 547 para archivos, 550 para carpetas, 547 para impresión, 442 Personal Computer Memory Card International Association (PCMCIA, PC Card): costo, 114 y adaptadores, 113, 114Photosmart, impresoras, 434 PIN (véase Número de identificación personal) Ping, 153-154, 170 PKI (véase Intraestructura de clave pública) Plantillas almacenamiento en caché, 252 para perfiles de usuario, 515, 516 Plantillas de directiva de grupo (GPT), 506 Plenum, cable (CMP): costo, 122 fibra óptica, 120 UTP, 117 Plug and Play: adaptadores, 147 hardware de red, 301 módems, 219 tarjetas inteligentes, 527 Por dispositivo, CAL de TS, 354 Por usuario, CAL de TS, 354 Portada para faxes, 466 POST (prueba automática de encendido), 499PostScript, 440PostScriptx, fuentes, 448PowerShell, 4PPTP (véase Protocolo de entunelamiento de punto a punto)Preámbulo, 105Presentación, capa, 103 Prevención de ejecución de datos (DEP), 485 PriceSCAN, 115 Pricewatch, 115 Prioridad, establecimiento, 446Procesador, 23 Procesos de arranque, 498-504 arranque, 499 arranque previo, 499 carga, 499

control del, 499-500 corrección, 500-504 de inicialización de arranque, 499 etapas, 498-499 Habilitar registro de arranque, 502 Habilitar video de baja resolución, 503 inicialización, 499 inicio de sesión, 499 modo de depuración, 503 modo de restauración de servicios de directorio, 503 Modo seguro, 501-504Procesos de trabajo: en espacio de trabajo del Administrador de Internet Information Services (IIS), 268 identidad, 250 varios, 251 Programas predeterminados, 474-175 Propiedad, 538-539Propiedades de la barra de tareas y del menú Inicio, 485-486 Propiedades, cuadro de diálogo, 435, 436, 447 Propietarios, 538Protocolo de autentificación de desafío de saludo (CHAP), 296-297 Protocolo de autentificación de desafío de saludo de Microsoft versión 2 (MS-CHAP v2), 296 Protocolo de autentificación extensible (EAP), 297 Protocolo de autentificación extensible-Seguridad en la capa de transporte (EAP-TLS), 297 Protocolo de configuración dinámica de host (DHCP): administración, 166 agente de retransmisión, 226, 303 configuración, 158-159 consola, 168 duración de la concesión, 168-169 e impresoras, 434 habilitación, 164-165 implementación, 157-160 instalación, 80, 161-164 opciones, 171 opciones en el nivel del cliente, 171 opciones en el nivel del servidor, 171 rangos, 168 reserva de direcciones IP, 168-171 servidor, 73, 226 vigilancia de concesión de direcciones, 172 y ámbito, 166-168, 171 y dominios DDNS, 193 y WDS, 82 Protocolo de control de red (NCP), 296 Protocolo de control de transmisión (TCP), 136-139 encabezado, 138 funciones, 139 y la capa de transporte, 103Protocolo de control de transmisión/Protocolo de Internet (TCP/IP), 131-139 e impresoras, 434 IPv4, 132-134



IPv6, 135-136 y enrutadores, 230 y Ethernet, 106 y Terminal Services, 325 Protocolo de control de vínculos (LCP), 295, 296 Protocolo de entunelamiento de capa dos (L2TP), 297-298 conexiones, 321-322 configuración, 315-316 diferencia entre TS Gateway y, 349 e IPSec, 298, 309, 315-316 y red privada virtual, 297-298, 315-316Protocolo de entunelamiento de capa dos, servidor, 308-309 Protocolo de entunelamiento de conector seguro (SSTP), 298-299 Protocolo de entunelamiento de conector seguro (SSTP), servidor, 316-317 conexiones al utilizar, 321-322 configuración, 316-317Protocolo de entunelamiento de punto a punto (PPTP), 295-297 y CHAP, 296-297 y EAP, 297 y MPPE, 297 y red privada virtual, 295-297 Protocolo de entunelamiento de punto a punto (PPTP), servidor, 308 Protocolo de Escritorio remoto (RDP), 325 Protocolo de Internet (IP): e IIS 7, 255 funciones, 139 números, 190 y la capa de red, 103 y TCP (véase Protocolo de control de transmisión/Protocolo de Internet) Protocolo de Internet versión 4 (IPv4), 132-134, 150 direccionamiento, 131-132, 134 encabezado, 133-134 y ARIN, 160 y direcciones IP, 76, 77 Protocolo de Internet versión 6 (IPv6), 135-136, 150 direccionamiento, 132, 136 encabezado, 135 y ARIN, 160Protocolo de Internet, direcciones (direcciones IP), 131, 134, 190 asignación, 76, 190 bloques, 159-160 en DHCP, 168-171 especificaciones, 134 estáticas, 76 jerárquico, 135 mensajes de error con, 274 para varios sitios Web, 275-276 reserva, 168-171 resolución, 191 y FQDN, 192 y Sistema de nombre de dominio, 190

Protocolo de multidifusión confiable, 150 Protocolo de resolución de dirección (ARP), 156 Protocolo de transferencia de archivos (FTP): Consola de administración, 256 e IIS 7, 249, 252, 253 Servicio de publicación, 256 Protocolo de transferencia de hipertexto (HTTP): e IIS 7, 252, 254 y estructura DNS, 193Protocolo seguro de transferencia de hipertexto (HTTPS), 298Protocolo simple de transferencia de correo (SMTP), 213, 249, 252 e IIS 7, 252, 253 y cifrado, 213 y estructura DNS, 193, 252 y seguridad, 213 Protocolos, 213Protocolos de red, 131, 149 Asignador de detección de topologías de nivel de vínculos, 150 configuración, 149-153 de multidifusión, 150 IPv4, 132-134, 150 IPv6, 135-136, 150 multidifusión, 150 Respondedor de detección de topologías de nivel de vínculos, 150 revisión y cambio, 150-153 TCP, 136-139Proveedor de servicio de cifrado (CSP), 249, 309, 531 seleccionable, 249Proveedor de servicios de Internet (ISP), 236 dominios, 188 y VPN, 294 Prueba: de redes, 153-155 para servicio de acceso remoto, 304-306 para Servicios de implementación de Windows, 89 Sistema de nombres de dominio, 178-179Prueba automática de encendido (POST), 499Pscript.sep, 440 Publicación, 201 de impresoras, 202-203 de recursos compartidos, 203 directorio, 201-202 en Active Directory, 201-203 impresora, 202-203Puentes, 127 Puerta de enlace de Terminal Services, 326 certificados de seguridad, 329 configuración, 349-351 diferencia entre L2TP y, 349 y acceso remoto, 4Puerto a puerto, redes: en Windows Vista, 100 LAN, 98-99


585Índice

Puertos, 227-228 de destino, 138 de origen, 138 8172, 272Puesta en funcionamiento de servidores, 259 Punteros, ficha, 482 Punteros de ratón, 479 Punto a punto, conexiones, 294 Puntos activos (véase Puntos de acceso inalámbricos) Puntos de acceso de red (puntos activos), 109, 110Puntos de acceso fijos, 109 PVC (cloruro de polivinilo), 117 PVC, cable (cable riser, CMR): costo, 122 fibra óptica, 120 UTP, 117 PXE (véase Entorno de ejecución antes del arranque)

RRADIUS (Servicio de usuario de marcado telefónico de autentificación remota), 303 RAID (conjunto redundante de discos independientes/económicos), 369 RAID-5, volúmenes, 369, 370 Raíz, autoridad de certificado, 529 RAM (véase Memoria de acceso directo) Rangos, 168RAS (véase Servicio de acceso remoto) Rastreo, 284-285 e IIS 7, 255, 284-285 para capacidad de planeación, 252Rastreo, fuentes (véase Mapa de bits, fuentes) Ratón, 479, 481-482 RDC (compresión diferencial remota), 409 RDC (véase Conexión a Escritorio remoto) RDP (protocolo de escritorio remoto), 325 .Rdp, archivos: creación, 341-342 uso, 344-345Reanudación de la impresión: de un solo documento, 445 para todos los documentos, 444Recuperación con BitLocker, 561 Recurso, referencias, 192 Recursos compartidos, 203 Recursos de ubicación de servicios (SRV), 194 Red, adaptadores de (véase Adaptadores) Red, autentificación de usuario, 524-525 Red, capa, 103, 179, 230 paquetes, 103 y protocolo de Internet, 103Red, esquemas, 10-11, 97-111 LAN de cliente/servidor, 99-100 LAN punto a punto, 98-99 modelo OSI, 101-104 tarea, 100-104 tecnologías LAN, 104-111

tipos, 97-100 Red, ficha, 488 Red, hardware, 111-129 cableado, 116-122 dispositivos de interconexión, 122-129 tarjetas de interfaz de red, 112-116 Red, instalación, 48 Red, servidor, 63-67 Red, sistema operativo, 96 Red, tecnologías de: hogar, 110-111 inalámbricas, 108-110Red digital de servicios integrados (ISDN), 219 Red privada virtual (VPN), 294-322 configuración, 301-303 direcciones IP, 303 e IPSec, 315-316 e ISP, 294 hardware, 299-301 L2TP, 297-298, 315-316 PPTP, 295-297 preparación, 299-306 SSTP, 298-299 y Active Directory, 309, 312 y comunicaciones, 12 y modelo OSI, 298 y Puerta de enlace de TS, 351 y servicio de acceso remoto, 299-301, 303-306 y tarjetas inteligentes, 527Red privada virtual, cliente, 317-322 Red privada virtual, servidor, 306-317 conectar a, 318-322 configuración, 306-317 e IPSec, 312-313 servidor L2TP, 308-309 servidor PPTP, 308 servidor SSTP, 316-317 y autoridad de certificados, 309-311 y certificados, 313-315 y servicio de acceso remoto, 306-308Redes: clientes, 99, 100 conexión, 65-67 configuración, 142, 155-156 direccionamiento, 156-157 diseño, 130-131 estructura plana, 125 exploración, 67-70 jerárquica, 125 prueba, 153-155 punto a punto, 100Redes de área ámplia (WAN), 97 DFS, 408 diferencia entre Internet y, 97 diferencia entre redes de área local y, 98 y replicación, 204 Redes de área local (LAN), 98, 104-111 cliente, 99-100



con topología de estrella, 98 diferencia entre redes de área amplia y, 98 en topología de estrella, 98 ethernet, 104-108 punto a punto, 98-99 servidor, 99-100 sistema heredado, 193 tecnologías de red caseras, 110-111 tecnologías de red inalámbrica, 108-110 transmisiones seguras, 564-566 y NAT, 230 y replicación, 211 y Terminal Services, 4Redes de valor agregado (VAN), 294Redes jerárquicas, 125 Reducir: discos duros, 14 volúmenes, 391Reenvío de nivel dos (L2F), 297REG_BINARY, 498 REG_DWORD, 498 REG_EXPAND__SZ, 498 REG_FULL_RESOURCE_DESCRIPTOR, 498 REG_MULTI_SZ, 498 REG_SZ, 498Registro, 494-498 claves, 494-497 copia, 497 edición, 494 entradas, 497-498 HKEY_LOCAL_MACHINE, 495, 523 La última configuración válida conocida, 494, 499, 501 subárboles, 496-497 subclaves, 496-497 tipos de datos, 497-498Registro de arranque, 502 Registro maestro de arranque (MBR), 384, 499 Registro ODBC, 255Registros de puntero, 175 Registros e inclusión en el registro, 282-284 campos usados, 284 e IIS 7, 254, 282-284 en espacio de trabajo del Administrador de Internet Information Services (IIS), 268 herramientas, 254 HTTP, 254 ODBC, 255 Registros de arranque, 502Reinicio de la impresión: de un solo documento, 445 para todos los documentos, 444Relleno, 106, 139 Remota administración, 115 instalación, 8, 48 RemoteApp de Terminal Services, 326 acceso, 340 administración, 337-340 Conexión a Escritorio remoto con, 343-346

distribución del programa, 340-343 y acceso remoto, 4 y Acceso Web de TS, 340 y archivos .rdp, 341-342, 344-345 y Conexión a Escritorio remoto, 340 y el modo de servidor de aplicaciones de Terminal Services, 337-346 y paquete .msi, 342-343, 345-346Rendimiento: e IIS 7, 255-256 optimización, 485 Rendimiento, ficha, 488, 489 Reparar equipo, opción, 49 Replicación, 210-213 de Active Directory, 210-213 de controladores de dominio, 211 de sitios, 210-213 del Sistema de archivos distribuido, 375, 409-412 interna de sitio, 211 replicación interna de sitio, 211 replicación sitio a sitio, 211-212 Sistema de archivos distribuido, 375, 409-412 y bosques, 410 y colisiones, 214 y configuración de partición de datos, 210 y dominios, 210, 409 y GUID, 214 y partición de esquema de datos, 210 y particionamiento, 210 y WAN, 204 Replicación DFS (véase Replicación de sistema de archivos distribuidos)Reproducción automática, 473-474Reproductor de Windows Media (Microsoft), 290 Requisitos del sistema, 22-29 DVD-ROM, 24 espacio en disco duro, 24 memoria de acceso aleatorio, 23 para compatibilidad de aplicación, 28-29 para compatibilidad del sistema, 24-27 para impresión, 429 para instalación, 22-29 para procesadores, 23 para red, 24Réseaux IP Européans (RIPE), 159 Reservas, 169 Residentes, fuentes, 447 Resistencia al fuego, 117 Respondedor de detección de topologías de nivel de vínculos, 150 Restaurar (RST), campo, 139 Restricciones de dominio, 255 Revestimiento, 120Revisión de redundancia cíclica (CRC), 106RFC (véase Solicitudes de comentarios) 1510, 525 2284, 297 4291, 136 790, 134


587Índice

791, 134 793, 139 796, 134 RIPE (Réseaux IP Européans), 159 RIS (servicio de instalación remota), 35 Riser, cable (véase PVC, cable) RJ-45, conectores, 116-117 Roaming, perfiles de usuario, 512-513, 515 RODC (véase Controladores de dominio de sólo lectura) RPC (replicación IP), 213 RST (Restaurar), campo, 139Rueda, ficha, 482

SSAM (véase Administrador de cuentas de seguridad)Sans serif, fuentes, 452Scripts y herramientas de administración de IIS, 256Sc-status, campo, 284 Sc-substatus, campo, 284 Sc-win32-status, campo, 284 Secuencia de comandos, 251, 256 Segmentación de conmutadores, 123 Segmentos, 136 Seguridad, 4, 522-566 administrar, 17 autentificación, 522-538 con cifrado, 551-563 con transmisión segura de datos, 563-566 de servidores Web, 261-263 e IIS 7, 255 en IIS 7, 249-250, 261-263 para datos almacenados, 551 y Active Directory, 522 y ctrl+alt+supr, 522Seguridad de capa de transporte (TLS): e Internet Engineering Task Force, 562 para autentificación de usuario, 524 y cifrado, 562Seguridad de Protocolo de Internet (IPSec), 564 configuración, 313, 564-566 proceso, 564 y Active Directory, 312 y el protocolo de entunelamientode capa dos, 298, 315-316 y L2TP, 309 y VPN, 312-313, 315-316 Seguridad mejorada de Internet Explorer (IE ESC), 236 SEP, archivos, 440 Separadoras, páginas, 440-141 Serif, fuentes, 452 Server Core, 37-38 Servicio de acceso remoto (RAS), 223-230 configuración, 223, 224-226, 303-304 configuración de puerto, 227-228 direcciones IP, 303 directivas de red, 227-228 en Active Directory, 226

enrutamiento, 223-224 función, 223-224 habilitación, 224-226 hardware, 299-301 prueba, 304-306 reconfiguración, 306-308 Servicios de directivas y acceso a red, 303 uso, 228-230, 305-306 y comunicaciones, 12 y conexiones de marcado telefónico, 304-305 y red privada virtual, 299-301, 303-306 y servidor VPN, 306-308 Servicio de activación de procesos de Windows, 327 Servicio de administración, 270-271 administración remota con, 269, 270-271 configuración, 270-271 e IIS 7, 256, 271 instalación, 270Servicio de administración Web (WAS), 250Servicio de búsqueda de Windows, 375, 412 Servicio de indizado, 375 Servicio de inscripción de dispositivos de red, 529 Servicio de instalación remota (RIS), 35 Servicio de nombre de Internet de Windows(WINS), 179-182 configuración, 179-182 en clientes, 181-182 en servidor, 179-181 registros estáticos, 182 y compatibilidad, 156Servicio de publicación FTP, 256Servicio de replicación de archivos (FRS), 375 Servicio de respuesta en línea, 529 Servicio de usuario de marcado telefónico de autentificación remota (RADIUS), 303 Servicios de archivo de Windows Server 2003, 375, 412 de indización, 375 de replicación de archivo, 375Servicios de archivos, 373-375 Administración de almacenamiento y recursos compartidos, 375, 376-382 Administración de discos, 373-375, 383 Administrador de recursos del servidor de archivos, 375, 412-416 compresión de datos, 395-398 descripción, 73 instalación, 412-413 Servicio de búsqueda de Windows, 375, 412 servicios de función, 375 Sistema de archivos de red, 375, 412 Sistema de archivos distribuidos, 375, 404-116 Windows Server 2003, 375, 412Servicios de Certificate Services de Active Directory (AD CS), 528-530 configurar, 528 descripción, 73 pasos para usar, 524-525 Servicios de directivas y acceso a red: descripción, 73



para RAS, 303 y funciones de Terminal Services, 327 Servicios de directorio, 188, 189Servicios de directorio ligero de Active Directory, 73Servicios de dominio (DS), 75-80 Servicios de dominio de Active Directory (AD DS): Asistente para la instalación, 78, 80 configuración, 75-80 descripción, 73 instalación, 74-75 y directivas de grupo, 506 y WDS, 82 Servicios de federación de Active Directory: descripción, 73 en la edición Enterprise, 5 Servicios de implementación de Windows (WDS), 82-91 configuración, 74, 84-88 descripción, 73 detección y resolución de problemas, 89-91 e imagen de instalación, 87-88 e imágenes de arranque, 85-87 espacio libre, 82 instalación, 82-83 particiones, 82 prueba, 89 requisitos del sistema, 82 y AD DS, 82 y arranque de red PXE, 88, 90-91 y DHCP, 82 y DNS, 82 y Sistema de archivos distribuido, 82 y Sistema de cifrado de archivos, 82 y tarjetas de interfaz de red, 82Servicios de impresión, 16, 452-157 descripción, 73 instalación, 452-453 para administración de impresión, 453-457 Servicios de Internet, 252-253 Servicios de multimedia de transmisión por secuencias (véase Servicios de Windows Media)Servicios de Windows Media, 289-292 administración, 292 e IIS 7, 289-292 métodos de transmisión por secuencias, 290-291 Servidor de aplicaciones, 325 de Terminal Services, 325 descripción, 73 modo, 335 Servidor de archivos, 375 Servidor de fax, 458-469 administración, 466-469 descripción, 73 instalación, 458 y Fax y escáner de Windows, 458-466 Servidor de licencias, 355 Servidor de Windows Media, transmisión por secuencia, 291 Servidor, adaptadores (véase Adaptadores)

Servidor, nivel: delegación, 269 opciones DHCP, 171 Servidores, 59-80, 99 como controladores de dominio, 184 conexiones, 266 configuración, 59-80 de aplicaciones, 335 diferencia entre clientes y, 100 empresariales, 529 exploración, 67-70 funciones, 8, 72-73 inicialización, 59-61 instalación de funciones, 70-80 pasos, 259 personalización, 4, 59-63 primarios, 160 red, 63-67 rendimiento, 285-289 Servicio de nombres de Internet de Windows, 179-181 virtuales, 274 Servidores de catálogo global, 198-199 características, 199 consulta, 199 en varios sitios, 198 y replicación, 204 Servidores de impresión, 428, 452 adición de impresoras, 455 red, 454 Servidores IAS, grupo, 226Servidores independientes: certificado de autentificación, 529 grupos, 540-541 Sesión, capa, 103, 179 Sesiones, 103 SFD (inicio de delimitador de trama), 105 SharePoint Services, 248-249 Sheldon, Tom, 97 SID (véase Identificadores de seguridad) Siguiente generación de cifrado (CNG), 563 Simples, volúmenes, 369, 392-393 Simplex, cableado, 120SIN (Sincronizar), campo, 139 S-ip, campo, 284 Sistema básico de entrada/salida básico (BIOS): antes del arranque, 499 y arranque, 50 y BitLocker, 560Sistema de archivos de nueva tecnología (véase NTFS)Sistema de archivos de red (NFS): servicios, 375, 412 y recursos compartidos, 382 Sistema de archivos distribuido (DFS), 375, 404-416 basado en dominio, 404 configuración, 405-406 creación, 405-407 Espacios de nombres DFS, 375 instalación, 405-406


589Índice

Replicación DFS, 375 y Administrador del servidor, 406 y WDS, 82 Sistema de nombres de dominio (DNS), 160-161 administración, 172-173 dinámico, 176-178 directorios, 190, 192 espacio de nombres DNS global, 193-194 instalación, 74, 161-164 jerárquico, 190 prueba, 178-179 servidor, 73 y Active Directory, 190-192 y árboles, 206 y direcciones IP, 190 y HTTP, 193 y unidades organizativas, 190 y WDS, 82 zona DNS, 173-176Sistema de nombre de dominio, zona, 172, 173-176 creación de uno nuevo, 173-174 y nombre de dominio, 174 zonas de búsqueda inversa, 174-176 Sistema operativo, instalación, 46 Sistema, grupos, 546 Sistema, ventana, 483-484Sistemas de almacenamiento, 368-370 básicos, 14-15, 368-369 dinámicos, 14, 368, 369-370 para dominios, 192 tipos, 368-370Sistemas de almacenamiento dinámico, 14, 368, 369-370 conversión, 402 particionamiento, 368 volúmenes, 369Sistemas de archivos, 368, 370-373 administración, 14-15, 373 FAT, 370-373 FAT32, 370-373 herramientas para administrar, 15 NTFS, 371-373 Sistema de archivos distribuidos, 375, 404-407Sitio a sitio, replicación, 211-212 Sitios, 209-210 conectividad, 212-213 nivel, 269 protocolos, 213 vínculos, 212 y Active Directory, 209-210 y replicación, 210-213 Sitios de confianza (IE), 347 Sitios Web, 239-243 administración, 276-279 apertura en pestaña nueva, 244-245 búsqueda, 241-243 cambio entre, 245-246 carpeta Historial, 241 cierre, 246

como página principal predeterminada, 243 creación, 273-274 directorios principales, 276-277 directorios virtuales, 277-279 en carpeta Favoritos, 240 en la carpeta Vínculos, 240-241 hospedaje, 274-276 navegación directa a, 240-241 navegación, 239 predeterminados, 275 y pestañas, 244-246SmartFTP, 252SMB (Bloque de mensaje de servidor), 382SMP (multiprocesamiento simétrico), 85SMTP (protocolo simple de transferencia de correo), 249SMTP (véase Protocolo simple de transferencia de correo)Software: conflicto, 41-42 e instalación, 40-12 inventario, 40 Solicitud de interrupción (IRQ), líneas, 145 Solicitudes de comentarios (RFC): y CHAP, 296 y protocolos, 131 Solicitudes en cola, 250 Sonido, opciones, 479 S-port, campo, 284SQL Server 2005 Express (Microsoft), 87 SRV (Recursos de ubicación de servicios), 194 SSI (Inclusión del lado del servidor), 254 SSL (véase Capa de conectores seguros) SSTP (Protocolo de entunelamiento de conector seguro), 298-299 SSTP, servidor (véase Protocolo de entunelamiento de conector seguro, servidor)Standard, edición, 31 actualización desde, 51 requisitos, 6Suaves, fuentes, 447Subárboles (véase Claves), 496-197Subclaves, 496-497 Subdominios, 190 Subred, máscaras, 76, 134, 165 Subtítulos de texto, 478 Suma de verificación, 139 de encabezado, 136 Symantec: Ghost, 260 PartitionMagic, 34 Sysprint.sep, 441 Sysprtj.sep, 441

TTabla de particiones GUID (GPT), 384 Tareas de configuración inicial (ICT), 60-61, 257 Tareas: en la ficha General, 480



y red, 100-101 Tarjeta principal PCI, 114 Tarjetas de red (NIC), 112-116 adaptadores de red de servidor, 114 adaptadores de red multipuerto, 114 característica Wake on LAN, 115 conexión de adaptador, 113-114 Entorno de ejecución antes del arranque, 82-85 full-duplex, 114 half-duplex, 114 marcas, 115-116 para conexiones de área local, 231 selección, 114 y trama Ethernet, 106 y WDS, 82 Tarjetas inteligentes, 527TB (terabyte), 6TCP (véase Protocolo de control de transmisión) TCP, protocolos de red, 136-139 TCP/IP (véase Protocolo de control de transmisión/ Protocolo de Internet) TechNet, 131, 284Teclado, 478, 481 en pantalla, 478 Teclas de filtro, 478 especiales, 478 interruptoras, 478Telecommunications Industry Association, 121 Telecommunications Industry Association, estándares (véase TIA/EIA, estándares) Telefonía, 218-223 conexiones de acceso telefónico, 222-223 módems, 219-222 Teléfono, dar licencia por, 356 Terminal Server, 326 Terminal Services (TS), 324-335 componentes, 325-326 configuración, 326, 331-334 descripción, 73 instalación de funciones, 326-331 Modo de administración remota, 325, 358-364 modos, 325-326 para administrar servidores Web, 269 preparación, 335-337 razones para usar, 324 y acceso remoto, 4 y Active Directory, 326 y Administrador del servidor, 330 y Conexión de escritorio remoto, 326, 330 y controladores de dominio, 326 y modo de servidor de aplicaciones de Terminal Services, 335-337 y Servicios de directiva y acceso a red, 327Thicknet (véase 10Base5) Thinnet (véase 10Base2) TIA/EIA, estándares, 121-122 para cableado del área de trabajo, 122

para cableado horizontal, 121 para conexión de espina dorsal, 121 para conexiones cruzadas principales, 121 para cuartos de equipos, 121 para facilidades de entrada, 121 para telecomunicaciones, 122TIA/EIA-569, 121 TIA/EIA-587-A, 121 TIA/EIA-606, 121 TIA/EIA-607, 121 Tiempo de inactividad, 259 Tiempo de vida (TTL), 161, 180Time, campo, 284Times New Roman, 452Time-taken, campo, 284Tipos de datos en el Registro, 497-198 Tipos de fuentes, 447, 452TLS (véase Seguridad de capa de transporte, Transport Layer Security)Todos, grupo, 442, 548 Token Ring, 104Topología: de bus, 129, 130 para DFS, 404 para Ethernet, 106TPM (véase Módulo de plataforma confiable) Trabajo en red, 10, 96-139 básico, 142 componentes, 10 configuración, 63-65 exposición, 96-97 funciones, 147-149 hardware, 111-129, 299-301 requisitos del sistema, 24 TCP/IP, 131-dl39 topologías, 129-131 y adaptadores de red, 142-147 y redes de área local, 11 (véase también tipos específicos, como Red privada virtual) Trabajos de impresión en cola, 437 Traducción de dirección de red (NAT): para compartir conexiones de Internet, 234 y redes de área local, 230 Tramas, 296Transitivas, relaciones de confianza, 205-207 Transmisión por secuencia de audio, 290, 292 Transmisión por secuencia, métodos, 290-291 con servidor de medios, 291 con servidor Web, 290 de Servicios de Windows Media, 290-291Transmisión por secuencias de video, 290, 292Transmisiones seguras de datos, 563-566 en Internet, 563-564 en la Intranet, 563-564 Transmisor receptor, 109Transporte, capa, 103, 179


591Índice

TrueType, fuentes, 448, 449 TS (Terminal Services), configuración, 326 TS (véase Terminal Services)TS CAL (véase Licencia de acceso de cliente de Terminal Services) .Tt, archivos, 449 .Ttc, archivos, 449 TTL (véase Tiempo de vida) Túnel, 294

UUbicación, ficha, 483 UDDI (Descripción, descubrimiento e integración universal) Servicios, 73 UNC (convención universal de asignación de nombres), 278 Único, registro, 182 Unidad, letras, 394-395 Unidad de red, instalación, 51-52 Unidad local, configuración, 51-52 Unidades (véase Discos duros) Unidades lógicas, 33, 369, 394 Unidades organizativas (OU): directivas de grupo, 506-508 en Active Directory, 189, 190, 208-209 subdominios, 190 y DNS, 190 (véase también tipos específicos, como Dominios) Unión, 274Universal, ámbito, 543 UNIX: servicio de daemon de impresora de línea, 428 y Kerberos, 525 y recursos compartidos, 382 y servidores de impresión, 428UPS (no break), 41 URG (Urgente), campo, 139 Urgente (URG), campo, 139 URL (véase Localizadores uniformes de recursos) URL, autorización, 255 USB, clave, 556s, 559-561 User-agent (es), campo, 284 Usuario, autentificación, 17, 522-526 autentificación de usuario de red, 524-525 autentificación de usuario del equipo local, 523-524 con Kerberos versión 5, 525-526 y Active Directory, 524 y capa de conectores seguros, 524 Usuario, directivas, 504 Usuario, modo, 489 Usuario, perfiles, 511-516 asignación a cuenta de usuario, 514-515 creación, 511-512 local, 511-512 obligatorio, 516 plantillas, 515 roaming, 512-513, 515

Usuarios y equipos de Active Directory, 527 Usuarios, ficha, 489 Usuarios, grupo, 546 UTP mejorado de categoría 5 (véase UTP de categoría 5e) UTP, cableado (véase Par trenzado sin blindar)UTP Categoría 1, 118 Categoría 2, 118 Categoría 3, 107, 118 Categoría 4, 118 Categoría 5, 107, 118 Categoría 5e (categoría 5 mejorada), 118, 122 Categoría 6, 107, 118, 122

VVAN (redes de valor agregado), 294Varias entradas varias salidas (MIMO), 109Vectoriales, fuentes, 448, 449Verisign, 528Video, transmisión por secuencia, 290, 292 Vínculo de datos, capa, 102-103 Vínculos, carpeta, 240-241 Visio Professional, 131 Vista (véase Windows Vista) Vista clásica, 472Vista principal, 472Volúmenes: adición, 392-393 compresión de datos, 395-396 creación, 403-404 de sistemas de almacenamiento dinámicos, 369 diferencia entre particiones y, 368 distribuidos, 369, 403-404 eliminación, 391 extensión, 393-394 formateo, 85, 394 propiedades, 386-389 RAID-5, 369 reduccción, 391 reflejados, 369, 403 seccionados, 369, 370, 403 simples, 369, 392-393 y Administración de volumen dinámico, 401-404Volver a examinar los discos, 389 VPN (véase Red privada virtual, Virtual Private Networking) VPN, cliente, 317-322 VPN, servidor (véase Red privada virtual, servidor)

WW3C (World Wide Web Consortium), 562 Wake on LAN, característica, 115WAN (véase Redes de área amplia)WAS (servicio de administración Web), 250WDS (véase Servicios de implementación de Windows)



Web Server 2008 (véase Windows Web Server 2008) Web, servidores, 253-263 actualización, 261 administración remota, 269-273 descripción, 73 e IIS 7, 253-263 métodos de transmisión por secuencias con, 290 migración, 258-261 y funciones de Terminal Services, 327 y seguridad, 261-263WebDAV (autoría y versión distribuidas de Web), 248 WIFI (fidelidad inalámbrica), estándar, 110 Windows 2000: fuentes, 448 permisos, 546 y Active Directory, 196, 199 y cifrado, 396 y dominios, 191Windows 95: fuentes, 448 y Active Directory, 195Windows 98: fuentes, 448 y Active Directory, 195Windows Communication Foundation, 249 Windows NT: en GUID, 201 en WINS, 193 permisos, 546 y Active Directory, 195 y cifrado, 396 y dominios, 191-192Windows Server 2003, 375 Active Directory, 188 actualizaciones, 46 actualizar a SP1 o SP2, 46 instalación, 46 permisos, 546 Service Pack 1, 54 y dominios, 191, 193Windows Server 2008 Datacenter, Edición, 5 Windows Server 2008 Enterprise, Edición, 5 Windows Server 2008 para sistemas basados en Itanium, 5 Windows Server 2008, 4-18 administración, 12-18 como actualización, 4-5 comparación de edición, 5 conexiones externas con, 11-12 configuración, 8-10 consideraciones de hardware, 5-7 e impresión, 16 esquemas de red, 10-11 fuentes, 448-150 funciones, 7 implementación, 7-10 instalación, 7-8 preparación, 7 (véase también Ediciones especiales,

como Edición Enterprise)Windows Server 2008, Edición Standard, 5 Windows Server 2008, enrutadores, 230-235 configuración, 231-232 mantenimiento, 232-234 y compartir conexión a Internet, 234-235Windows Vista: como servidores de impresión, 428 conexión a Internet con, 318 e impresión, 16 IIS 7, 248 Panel de control, 472 particionamiento, 34 redes puerto a puerto, 100 SSTP, 316 transmisión por secuencia de audio y video, 290 y Ethernet, 104 y Microsoft Assessment and Planning Toolkit Solution Accelerator, 87-89 y redes cliente/servidor, 100 y VPN, 294Windows Web Server 2008, 5, 6 Windows XP: particionamiento, 34 transmisión por secuencia de audio y video, 290 Windows, sistemas: compatibilidad AD, 193 e instalación, 50-51 WINS (véase Servicio de nombre de Internet de Windows) WMI (véase Instrumentación de administración de Windows) Word (Microsoft) (véase Microsoft Word) World Wide Web Consortium (W3C), 562 WS_FTP, 252WWW, servicios, 252 (véase también tipos específicos, como Protocolo de transferencia de hipertexto)

XX.25, estándar, 297X.500, estándar, 189X.509, estándar, 189X64, velocidad del procesador, 6X86, velocidad del procesador, 6Xerox PARC (Palo Alto Research Center), 104Xerox, 104XML (Lenguaje de marcado extendible), 252

YYahoo!, 240

ZZipcord, cableado, 120, 122 Zona, transferencias, 160Zonas DNS (véase Sistema de nombre de dominio)


Windows Server 2008 Guía Administrador

Software

Transcript of Windows Server 2008 Guía Administrador