You are on page 1of 282

Captulo 1 | Pgina 1 |

Captulo 1 Introduccin a Windows Server 2003


Bienvenido a la nueva familia de Servidores Microsoft! A lo largo de este curso iremos aprendiendo sobre las nuevas tecnologas 2003 y cmo aplicarlas Las nuevas caractersticas de Windows Server 2003 hacen que sea, hasta el momento, el sistema operativo ms estable, robusto, escalable y sobre todo mejor orientado a per eccionar la per ormance y las prestaciones para Servidores en distintos roles! "plicaci#n, Servicios Web, Servicios de $irectorio, Servicios %ile & 'rint y Servicios de (n raestructura) La optimi*aci#n de todas estas caractersticas, sin duda, tambi+n con i,uran a la amilia Windows Server 2003, como la plata orma ms que recomendable para los ne,ocios, reduciendo notablemente aspectos tales como el -./) Un poco de istori a $esde el lan*amiento de los sistemas operativos de 0edes, pasando por Windows 1-, los sistemas se ueron per eccionando a la medida de las necesidades de las empresas) $esde las ya conocidas di erencias que introdujo Windows 2000 sobre su predecesor Windows 1- 2)0, lle,amos hoy en da al Sistema /perativo #ptimo para las

e3i,encias del mercado (n ormtico, donde se han implementado notables mejoras con respecto a su predecesor Windows 2000) 4n el caso de Windows Server 2003, +ste est basado en e3periencias del mercado consumidor (n ormtico, y es por eso que en +l encontraremos muchas caractersticas de las que siempre nos pre,untamos 5Se puede hacer esto6))))5y aquello6 7asta el momento sin respuesta, pero a partir de ahora, esas pre,untas encuentran posibles respuestas en Windows Server 2003) $urante este m#dulo estaremos haciendo una introducci#n a las nuevas caractersticas y uncionalidades de la amilia de Servidores Windows Server 2003) "l inali*ar este captulo 8sted tendr los conocimientos necesarios para describir uncionalidades, caractersticas y requerimientos de los distintos sistemas operativos de esta amilia) 1! "uevas Caracterst icas Storage Servicios #eb Active !irectory "nstalacin

1!1! #uto$ated S%ste$ &ecover% 4sta nueva herramienta permite recuperar el sistema operativo a su estado anterior) 5.#mo unciona6 8tili*a un $is9ette con in ormaci#n de la con i,uraci#n y un set de bac9up) .uando 8sted quiera iniciar el proceso de 0ecovery tendr que tener ese dis9ette, el set de :ac9up de la System 'atition y el .d;0om de instalaci#n de Windows Server 2003)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de

8so

Captulo 1 | Pgina 2 |
'ara este proceso, necesitar el dis9ette y los medios de "S0 que contienen los archivos de :ac9up) 4l sistema operativo ser restaurado al mismo estado que tena en el momento del :ac9up "S0, permiti+ndole arrancar su sistema) 'ara crear un set "S0, vea el si,uiente lin9 en el -ech1et>(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@prodtechnol@windowsserver2003@proddo cs@server@recoveryBautomaticBsr)asp "ota' $urante el proceso de 0estore la System 'artition ser ormateada destruyendo todos los datos, y el bac9up ser restaurado a su locaci#n ori,inal) -odos los archivos modi icados con posterioridad al momento del bac9up, se perdern)

1!2! Snaps ot In(raestructura )&eplica (ro$ *edia +S,


$sta nueva y asombrosa caracterstica le permite resolver el siguiente problema% 4scenario con dos locaciones! un .ontrolador de $ominio en la Locaci#n " y la necesidad de instalar un .ontrolador de $ominio en la Locaci#n :) " simple vista esto no sera un problema, pero si le a,re,amos que el vnculo W"1 que une los dos puntos es de C2 Dbps y que el directorio inicial contiene 20000 # ms objetos, ahora s hay una di icultad! el tiempo necesario para la replicaci#n inicial, sumado que durante ese proceso, obviamente no se podr usar el vnculo normalmente) Soluci#n! en Windows Server 2003 8sted podr instalar el .ontrolador de $ominio en la Locaci#n : a partir de un :ac9up del .ontrolador e3istente en la Locaci#n ") 4ste proceso ser descripto detalladamente en el .apitulo 2)

1!3! -olu$e S adow Cop%


4ste nuevo servicio ayuda a recuperar archivos perdidos err#neamente) 'ara ello el servicio Shadow .opy ,uarda versiones anteriores de archivos para su posterior recuperaci#n, eliminando la necesidad de recurrir al

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 3 |
0estore de bac9up) 5.#mo unciona6 8tili*a un cache en disco para el almacenamiento de versiones de archivos, que lue,o se pueden recuperar cuando sea necesario desde esa copia)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina . |
#ni$acin Interactiva' 8sted proda simular mediante la si,uiente animaci#n el uso de Eolume Shadow .opy) Si quiere bajar la animaci#n ha,a clic9 ac) Si quiere ver la animaci#n en (nternet 43plorer ha,a clic9 ac)

Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@prodtechnol@windowsserver2003@proddo cs@entserver@snapshotBenable)asp http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@prodtechnol@windowsserver2003@proddo cs@entserver@accessin,BshadowBcopiesBtop)asp

1!.! /ncr%pted 0ile S%ste$ )/0S,


La nueva uncionalidad del 4%S en Windows Server 2003 permite reali*ar una encripci#n del sistema de archivos en orma se,ura y tambi+n que otros usuarios ten,an acceso a esos archivos) 4sta uncionalidad es muy importante puesto que si bien en ocasiones es necesario darle se,uridad a ciertos archivos, tambi+n es importante poder compartirlos entre usuarios) 4l sistema de encripci#n que utili*a 4%S es una combinaci#n de dos m+todos, encripci#n "sim+trica y 'ublic Dey (n rastructure >'D(?, puntos que sern e3plicados detalladamente en el capitulo F GSe,uridadG)

1!1! +river &oll2ac3


4sta es una nueva utilidad para el manejo de versiones en $rivers de dispositivos y permite volver a la versi#n anterior del $river) Si este ocasiona problemas, tambi+n hay mejoras en cuanto a la veri icaci#n de uncionamiento de los drivers con la nueva versi#n del G$river Eeri ier E2G y irmado de $rivers)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 1 |
Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?! http!@@www)microso t)com@technet@treeview@de ault)asp6u rlA@technet@prodtechnol@ windowsserver2003@proddocs@standard@devm,rBoverviewB0H)asp

1!4! #ctive +irecto r% &eamos las nuevas funcionalidades del Servicio de !irectorio 'ue trae #indo(s Server 2003 A!M) versin 2 0 "hora es sencillo mi,rar a "ctive $irectory utili*ando las mejoras de "ctive $irectory =i,ration -ool >"$=-?) "$=- 2)0 permite mi,rar passwords desde =icroso t Windows 1-I 2)0 a Windows 2000 y Windows Server 2003, o desde Windows 2000 a $ominios Windows Server 2003) *enombr ado de !ominio s 4ste es el soporte para cambiar nombres $omain 1ame System >$1S? y@o 1et:(/S de dominios e3istentes en un orest, conservando toda la estructura del $irectorio) 4n escenarios de reestructuraci#n de dominios, esto otor,a una ,ran le3ibilidad) S c + e m a La le3ibilidad de "ctive $irectory, ahora permite la desactivaci#n de atributos y de inici#n de clases en "ctive

$irectory Schema) "simismo se a,re,a una nueva uncionalidad que permite borrado de Schema) , r o u p o l i c y Junto con Windows Server 2003, =icroso t lan*# una herramienta para la administraci#n de K'/ Kroup 'olicy =ana,ement .onsole >K'=.?, que permite administrar mLltiples dominios, activar y desactivar 'olicies y hacer soporte para dra,;and;drop en la herramienta) -ambi+n incluye la uncionalidad de :ac9up, 0estore y copia de 'olicies, y trae una herramienta de 0eportes para anali*ar la utili*aci#n de 'olicies) 4ncontrar mejoras sustanciales de las 'olicies y muchas ms con i,uraciones para administrar en orma centrali*ada) *elacio nes de confian .a Windows Server 2003 trae tambi+n sustanciales mejoras en cuanto al manejo de las relaciones de con ian*a (nter;%orest) La caracterstica 5Cross60orest #ut entication5 permite a un usuario de %orest acceder en orma se,ura a recursos en otro %orest, utili*ando Derberos # 1-L=, sin sacri icar los bene icios del GSin,le sin,;onG y acilitando la administraci#n) "simismo permite seleccionar cilmente usuarios y ,rupos para incluirlos en ,rupos locales de otros %orest, manteniendo la se,uridad y los S($ de cada objeto, a pesar de tratarse de di erentes %orest) -olicies *estriccin Soft(are de de

'or medio de estas 'olicies se pueden prote,er los entornos de

So tware no autori*ados, especi icando el So tware que s lo est) -ambi+n se pueden reali*ar e3cepciones creando re,las espec icas) *eplicacin de miembros en los grupos "nteriormente los miembros de un ,rupo eran un atributo del mismo, con lo cual, si durante la replicaci#n se modi icaba el ,rupo en dos .ontroladores de $ominio di erentes, el resultado era que la Lltima modi icaci#n se replicaba) 4s decir, si se a,re,aban dos usuarios a ,rupos, uno no era aMadido, pero se tena una limitaci#n en cuanto a la cantidad de usuarios por ,rupo >Limitaci#n del "tributo? de m3imo N000) " partir de Windows Server 2003, ahora cada usuario en un ,rupo es un atributo di erente, eliminando la limitaci#n de N000 usuarios y resolviendo los problemas de replicaci#n)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 4 |
Mane/o de Sites

4l manejo de sites incluye un nuevo al,oritmo de (nter;Site -opolo,y Kenerator >(S-K?, eliminando la limitaci#n del nLmero m3imo de Sites en N00 a N000 Sites >'robado en laboratorio 3000?) "ota' -odas estas caractersticas estn e3plicadas con ms detalle en el .apitulo 2 G"ctive $irectoryG 1!7! &e2oot &eason Collector 5/vent 8rac3er5 4l 4vent -rac9er es una nueva herramienta que permite recolectar para uturos anlisis, los motivos por los cuales un Server se reinicia, se apa,a, o ue apa,ado por alta de ener,a) 4n este caso la herramienta le pre,untar, en el shutdown o restart, el motivo del desper ecto para almacenarlo)

1!9! 5&e$ote Installation Services5 &IS


=ejoras en el soporte para instalaci#n!

-odas las versiones de Windows 2000 >incluidas Server y "dvanced Server? Windows O' 'ro essional
-odas las versiones de Windows Server 2003 -odas las versiones de C2;bit Windows O' y Windows Server 2003

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 7 |
Si quiere pro undi*ar en este tema le recomendamos el si,uiente lin9 en el -ech1et >(n,les?!

http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@prodtechnol@windowsserver2003@proddo cs@standard@sa,B0(SB"rchitecture)asp

1!:! IIS 4!0 6 Internet In(or$ation Services 4!0 4ste componente del sistema operativo tuvo si,ni icantes cambios con respecto a la versi#n anterior, que a continuaci#n se detallan! Ar'uitectura de procesos 0ault1 tolerant ((S C)0 asla web sites y aplicaciones en unidades llamadas G"pplication 'oolsG) Los "pplication 'ools proveen una orma conveniente de administrar web sites y aplicaciones e incrementan la con iabilidad, puesto que errores en un "pplication 'ool no causan errores en otros, o allas en el server) 2ea lt+ mo

nito ring ((S C)0 chequea peri#dicamente el estatus de los "pplication 'ools y los reinicia automticamente en caso de alla de web sites o aplicaciones dentro de ese "pplication 'ool, incrementando la disponibilidad) "simismo prote,e el server y otras aplicaciones, deshabilitando en orma automtica web sites y aplicaciones, si allan en un perodo de tiempo corto) 3uevo driver 4ernel1mode 5 2))- sys Windows Server 2003 introduce un nuevo driver 9ernel;mode , protocolo 7--' protocol >7--')sys?, incrementando la per ormance y escalabilidad) 4ste driver est especialmente diseMado para mejorar el tiempo de respuesta del Web Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 9 |
"ntegracin con Aplicaciones

((S C)0 o rece inte,raci#n con "S')14-, =icroso t )14%ramewor9 y O=L Web Services, pasando a ser la plata orma especialmente diseMada para aplicaciones )1et) S e g u r i d a

d ((S C)0 es 5;oc3ed6down server <% de(ault5, en otras palabras, est se,uro desde su instalaci#n, requiriendo que el administrador habilite las unciones especiales y necesarias para correr el Web Site) Sin estas tareas s#lo puede o recer contenido esttico y e3tensiones dinmicas deshabilitadas) -odo esto hace de ((S C)0 el Web Server ms se,uro)

1!10! -ersiones

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de

8so

Captulo 1 | Pgina : |
Windows Sever 2003 presenta cuatro versiones con di erentes uncionalidades que estn descriptas en el si,uiente cuadro 'ara servicios web y hostin,, esta versi#n provee una plata orma para el desarrollo y la instalaci#n rpida de servicios y aplicaciones web) Solo Eersi#n /4=

'ara servicios de administraci#n de 0edes, esta versi#n de Windows Server 2003 es ideal para ile and print servers, web servers, y wor9,roups) -ambi+n provee acceso remoto a redes)

.ontiene todas las caractersticas de Windows Server 2003 Standard y provee escalabilidad y disponibilidad incrementada) 4sta versi#n es ideal para servers utili*ados en ,randes redes y para bases de datos de uso intensivo) .ontiene todas las caractersticas de Windows Server 2003 4nterprise 4dition y, adems, soporte para ms memoria y ms .'8 por computadora) 4sta versi#n es ideal para uso de datawarehouses de ,ran tamaMo, procesamiento online, transacciones >/L-'? y proyectos de consolidaci#n de servidores) 4l soporte en cuanto a memoria, procesadores y uncionalidad vara en las di erentes versiones) 4s por ello que 8sted deber tener en cuenta las necesidades al momento de la elecci#n del Sistema operativo) 1 .'8 @ 0"= 2 .'8 2 K: Serv er #eb Server 2 .'8 2K: Puede correr' ((S C)0 1L:S $1S, $7.', W(1S ;i$itaciones ' 1o $. 'romo 1o "plicaciones 1o -S "pp $nterprise Server F .'8 32 K: >3FC? C2 K: >C2;:it? #ll (eatures (ro$ Standard plus' F;node .lusterin, C2;bit Eersion !atacenter F;C2 .'8 C2K: >3FC? NH2 K: >C2;:it? #ll (eatures (ro$ /nterprise= plus' $atacenter pro,ram ;$atacenter 7.L ;=aintenance =ulti;instance support

.aracteristicas

"uevas Caracteristic as' 1L:S 'ersonal %irewall

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 10 | 1!11! &e>ueri$ientos

4n el si,uiente cuadro se presentan los requerimientos mnimos y recomendados para cada versi#n de
Windows Server 2003)

Windows Server 2003 &e>ueri$ientos del Siste$a &e>ueri$iento -elocidad de CPU $ni$a /dition H33 =7* Standard /nterprise /dition
H33 =7* para arquitectura 3FC P33 =7* para arquitectura (tanium

+atacenter /dition
200 =7* para arquitectura 3FC P33 =7* para arquitectura (tanium P33 =7*

/dition H33 =7*

We2

-elocidad de CPU &eco$endada

NN0 =7*

P33 =7*

NN0 =7*

&#* *ni$a &#* &eco$endada

H2F =: 2NC =: 2 K:

H2F =: 2NC =: 32 K: or para arquitectura 3FC NH2 K: para arquitectura (tanium

NH2 =: H K: C2 K: para arquitectura 3FC NH2 K: para arquitectura (tanium 0equerido F =nimo =3imo C2

H2F =: 2NC =: 2 K:

&#* *?i$a

Soporte *ultiprocesado r S*P /spacio *ni$o en +isco

7asta 2

7asta F

7asta 2

H)N K:

H)N K: para arquitectura 3FC 2)0 K: para arquitectura (tanium

H)N K: para arquitectura 3FC 2)0 K: para arquitectura (tanium

H)N K:

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 11 | 2! 0uncionalidades

Los servidores desempeMan muchos papeles en el ambiente client@server de una red) "l,unos servidores se con i,uran para proporcionar la autenti icaci#n y otros se con i,uran para uncionar con otros usos) "simismo, muchos proporcionan los servicios de red

que permiten a usuarios comunicar o encontrar otros servidores y recursos en la red) .omo administrador de sistemas, de 8sted se espera que sepa los tipos primarios de servidores y qu+ unciones reali*an en su red) 2!1! +o$ain controller )#ctive +irector%, Los .ontroladores de dominio almacenan datos del directorio y manejan la comunicaci#n entre los usuarios y los dominios, incluyendo procesos de cone3i#n del usuario, autenti icaci#n y bLsquedas del directorio) .uando 8sted instala "ctive $irectory en una computadora que corre Windows Server 2003, la computadora se convierte en .ontrolador de dominio >$omain .ontroler?) "ota' 4n una red Windows Server 2003, todos los servidores en el dominio que no sean $omain .ontrolers se llaman =ember Servers) Los servidores no asociados a un dominio se llaman wor9,roup Servers) 2!2 ! 0il e ser ver 8n %ile Server proporciona una locali*aci#n central en su red donde puede almacenar y compartir archivos con los usuarios a trav+s de su red) .uando los usuarios requieren un archivo importante, tal como un plan de proyecto, pueden tener acceso al archivo en el %ile Server en ve* de pasar el archivo entre sus computadoras separadas) 2!3! Prin t Serv er 8n 'rint Server proporciona una locali*aci#n central en su red, donde los usuarios pueden imprimir) 4l 'rint Server provee a los clientes los drivers actuali*ados de la impresora y maneja la cola de impresi#n y la se,uridad)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 12 | 2!.! +"S server

4l $omain 1ame System >$1S? es un servicio estndar de (nternet y de -.'@(') 4l servicio de $1S permite a las computadoras cliente, colocar en su red y resolver nombres de dominio $1S) 8na computadora con i,urada para proporcionar servicios del $1S en una red, es un servidor $1S, lo que es necesario para poner en uncionamiento "ctive $irectory) 2!1! #pplication Server 8n servidor de "plicaciones proporciona la in raestructura y los servicios de "plicaciones en un sistema) Los servidores tpicos de aplicaciones incluyen los si,uientes servicios! 0esource poolin, >por ejemplo, pool de cone3iones de base de datos y pool de objetos? "dministraci#n de transacciones distribuidas .omunicaci#n asincr#nica, tpicamente messa,e queuin, 8n modelo de objetos de activaci#n just;in;time "utomatic 43tensible =ar9up Lan,ua,e >O=L? e (nter aces de Web Service para acceso a objetos de ne,ocio Servicios de detecci#n de %ailover y uncionamiento de aplicaciones con se,uridad inte,rada =icroso t (nternet (n ormation Services >((S? proporciona las herramientas y las caractersticas necesarias para manejar cilmente un Web Server se,uro) Si 8sted planea hacer hostin, de Web y Sitios %ile -rans er 'rotocol >%-'? con ((S, con i,ure el Server como "pplication Server) 2!4! 8er$inal server

8n -erminal Server provee a las computadoras alejadas, el acceso a los pro,ramas basados en Windows que uncionan en Windows Server 2003 Standard 4dition, Windows Server 2003 4nterprise 4dition o Windows Server 2003 $atacenter 4dition) .on un -erminal Server, 8sted instala una aplicaci#n en un solo punto y en un solo servidor) Los usuarios mLltiples, entonces, podrn tener acceso a la aplicaci#n sin la instalaci#n de la misma en sus computadoras) Los usuarios pueden correr pro,ramas, y utili*ar los recursos de la red de una posici#n remota, como si +stos recursos ueran instalados en su propia computadora) Eeremos mas de este tema en el capitulo C 2!7! ;a erra$ienta *anage @our Server

.uando Windows Server 2003 es instalado y un administrador reali*a el lo,on por primera ve*, la herramienta =ana,e Qour Server corre automticamente) 8sted utili*a esta herramienta para a,re,ar o para quitar 0oles a Servers) .uando a,re,ue un 0ol de Server a una computadora, la herramienta =ana,e Qour Server a,re,ar ese rol de la lista de roles disponibles) $espu+s que el Server 0ole se a,re,ue a la lista, usted podr utili*ar varios wi*ards que le ayudarn a administrar roles espec icos del Server) La herramienta =ana,e Qour Server tambi+n provee archivos de ayuda espec icos a los 0oles de Servers, tiene chec9lists y recomendaciones de troubleshootin,)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 1 |

Captulo 2 Instalacin % *igracin


1! Introduccin

" lo lar,o de este captulo 8sted ir descubriendo los m+todos de instalaci#n de Windows Server 2003, como as tambi+n los m+todos de mi,raci#n desde otras versiones) 'ara poder reali*ar las prcticas contenidas en esta unidad deber tener una copia de evaluaci#n de Windows Server 2003 que se encuentra en!
http!@@www)microso t)com@windowsserver2003@evaluation@trial@de ault)msp3

-ambi+n ser necesario que cuente con el hardware apropiado, el cual debe cubrir los requerimientos para la instalaci#n de Windows Server 2003 descriptos durante el .aptulo H) $e no contar con hardware adicional, su,erimos utili*ar el so tware de emulaci#n de .omputadoras Eirtuales, que lo puede obtener en!
http!@@www)microso t)com@window s3p@virtualpc@

4ste so tware permite crear .omputadoras Eirtuales dentro de su sistema y asi,narle recursos de disco y memoria, es decir, una computadora dentro de su computadora) 0ecuerde que esta unidad contiene tambi+n prcticas de mi,raci#n desde Windows 1- Server 2)0 y Windows 2000 Server, por lo que ser necesario que cuente con .$ de evaluaci#n de estos productos)
"l inali*ar este captulo 8sted tendr la habilidad de!

'repararse para una instalaci#n de Windows Server 2003) (nstalar Windows Server 2003 desde un .$) (nstalar Windows Server 2003 desde la red) Solucionar

problemas de instalaci#n) 43aminar la activaci#n de Windows Server 2003)


$escribir c#mo automati*ar instalaciones de Windows Server 2003)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 2 | 2! Instalacin

2!1! Introduccin a la instalacin de Windows Server 2003 La instalaci#n y con i,uraci#n de Windows Server 2003 es similar al proceso de instalaci#n de Windows 2000 Server, por lo que los administradores e3pertos en este Lltimo podrn utili*ar sus conocimientos para llevarla a cabo) Sin embar,o, hay un importante nLmero de mejoras! 3uevo Asistente para instalacin% el nuevo "sistente para instalaci#n de Windows Server 2003 conserva la mayor parte del diseMo del "sistente para la instalaci#n de Windows 2000 Server) 1o obstante, su diseMo ha mejorado para que sea ms cil encontrar in ormaci#n y tareas relacionadas con la instalaci#n) 4l nuevo "sistente re leja el diseMo basado en tareas de Windows Server 2003, mediante la a,rupaci#n de las tareas comunes con documentaci#n e in ormaci#n necesarias para ayudar a los administradores a reali*arlas) Actuali.acin din6mica% ahora el "sistente proporciona a los usuarios la opci#n de descar,ar archivos de instalaci#n y controladores actuali*ados de =icroso t) 4sta opci#n tambi+n se puede incluir en una secuencia de comandos como parte de una instalaci#n desatendida) 7omprobacin de compatibilidad% el "sistente permite a los

usuarios reali*ar una prueba de compatibilidad detallada en sus '.s) .omo parte del proceso de comprobaci#n de compatibilidad, 8sted puede visitar el sitio Web de =icroso t en busca de actuali*aciones dinmicas) 43iste tambi+n una herramienta adicional que puede utili*ar para comprobar compatibilidad de aplicaciones G"pplication .ompatibility -ool9itG, herramienta que puede obtener de!
http!@@www)microso t)com@windowsserver2003@compatible@appcompat)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 3 |
Asistente para instalacin de #indo(s Server 2003

'ara obtener in ormaci#n sobre compatibilidad de hardware! http!@@www)microso t)com @whdc@hcl@de ault)msp3

2!2! Seleccionando 0ile S%ste$ 8na ve* que 8sted haya creado la partici#n donde planea instalar Windows Server 2003, la instalaci#n permitir que seleccione el sistema de archivos para darle ormato) .omo con Windows 12)0, Windows 2000 y Windows O' 'ro essional, Windows Server 2003 soporta sistema de archivos 1-%S y %"-HC@%"-32) 3 ) 0 S
8tili*ar 1-%S para particiones, requiere! las

Seguridad a nivel arc+ivo y carpeta 1-%S permite controlar el acceso a los archivos y a las carpetas) 7ompresin de disco 1-%S permite comprimir archivos para crear ms espacio disponible) 7uotas de disco 1-%S permite controlar el uso del disco por usuario)
$ncripcin de arc+ivos 1-%S permite transparentemente encriptar, archivos y carpetas)

La versi#n de 1-%S en Windows Server 2003 soporta remote stora,e y mountin, de volLmenes en carpetas) =icroso t Windows 2000, Windows O' 'ro esional, Windows Server 2003 y Windows 1- son los Lnicos sistemas operativos que pueden tener acceso a datos sobre un disco duro local que ten,a ormato 1-%S) 'ara compatibilidad en 1-%S y Windows 1- 2)0 con i,uraciones de doble boot, Windows 1- 2)0 requiere Service 'ac9 2 mnimo) 'ara obtenerlo se recomienda usar Service 'ac9 C)
http!@@www)microso t)com@ntserver@nts@downloads@recommended@S'C@3 FCLan,)asp

en

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina . |
0A) y 0A)32

1ormalmente, 8sted no utili*ara %"- o %"-32 para dar ormato a la partici#n del sistema, a menos que requiera un dual boot entre Windows Server 2003 y otro sistema operativo) %"- y %"-32 no o recen las caractersticas de se,uridad que provee 1-%S) Si 8sted requiere las caractersticas de 1-%S, particularmente se,uridad a nivel archivos y carpetas, es recomendable que use sistema 1-%S) "ota' Si eli,e dar ormato a la partici#n usando %"-, la instalaci#n automticamente dar ormato a particiones que son mayores de 2 K: en %"-32) 2!3! Seleccionando *odo de ;icencia$iento 2!3!1! *odelo de licencia$iento para Windows Server 2003' lo >ue no se a $odi(icado "unque hubo cambios en el modelo de licenciamiento de Windows Server 2003, +stos son los elementos que no han cambiado! .ada copia instalada del so tware de servidor requiere la compra de una licencia de servidor de
Windows)

Se requiere una Licencia de "cceso para .liente de Windows >."L de Windows? para poder acceder al uso del so tware del servidor) 1o se requiere una ."L si el acceso al servidor es a trav+s de (nternet y no est Gautenti icadoG ; por ejemplo el acceder a un sitio Web para obtener in ormaci#n ,eneral donde no se intercambian credenciales de identi icaci#n;) 8na ."L de Windows >'er Server? puede aLn ser desi,nada para su uso con un solo servidor, autori*ando acceso por medio de cualquier dispositivo o usuario, cuando la modalidad de so tware de licencia para el servidor est+ de inida en G'er ServerG) 4n esta modalidad, el nLmero de ."LRs de Windows es i,ual al numero m3imo de cone3iones corrientes)

8na ."L de Windows >'er $evice o 'er 8ser? puede ser desi,nada para su uso con cualquier nLmero de servidores, autori*ando el acceso por medio de un dispositivo espec ico o usuario, cuando la modalidad de licencia del so tware de servidor est+ de inida en G'er $evice o 'er 8serG >anteriormente llamada modalidad G'er SeatG?) Se requiere una licencia de "cceso de .liente a -erminal Server >."L -S? para utili*ar un Servidor -erminal u hospedar una sesi#n de inter ase de usuario ,r ica remota >K8(?, e3cepto para una sesi#n de consola) 4n Windows 2000, haba una e3cepci#n a este requerimiento de licencia y eso cambiar)
2!3!2! Ca$2ios en el licencia$iento de Windows Server 2003

7A8 basada en 3uevo 9suario) =icroso t ha introducido un nuevo tipo de ."L) "dems del ."L e3istente basado en dispositivo >."L 'er $evice?, un nuevo ."L basado en usuario >."L 'er 8ser? estar disponible) 8sted puede esco,er entre un ."L 'er $evice para Windows para cada dispositivo que acceda sus servidores, o un ."L 'er 8ser Windows para cada nombre de usuario que acceda a sus servidores) "l tener dos tipos de ."LRs, 8sted podr utili*ar el modelo que ten,a ms sentido para su or,ani*aci#n) 'or ejemplo, una ."L para 8suario Windows qui*s ten,a ms sentido si su compaMa tiene la necesidad que sus empleados ten,an acceso remoto utili*ando mLltiples dispositivos) Los ."L de $ispositivo Windows pueden tener ms sentido si su compaMa tiene mLltiples trabajadores que comparten dispositivos) Similarmente, los Servidores -erminales >-S? o recern tanto ."LRs basadas en $ispositivo como en 8suario! ."L 'er $evice -S y ."L 'er 8ser -S)
'ara obtener mas in ormaci#n! http!@@www)microso t)com@windowsserver2003@howtobuy@licensin,@overview)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 1 | 2!.! +eter$inando pertenencia a Wor3group o +o$inio

$urante la instalaci#n, 8sted debe ele,ir un dominio o un wor9,roup como ,rupo de se,uridad para la pertenencia de la computadora) 2!.!1! +o$inio $urante la instalaci#n 8sted puede a,re,ar la computadora a un dominio e3istente como member server, operaci#n que requiere lo si,uiente!
8n nombre de $ominio) 8n ejemplo de un nombre de dominio $1S vlido es )microso t)com)

8na cuenta de computadora) "ntes de unir una computadora a un dominio, tiene que e3istir una cuenta para esa computadora en el $ominio) 8sted puede crear la cuenta antes de la instalaci#n o, si tiene privile,ios administrativos en el dominio su icientes, puede crear esta cuenta durante la instalaci#n) Si la cuenta de la computadora se crea durante la instalaci#n, el pro,rama de instalaci#n le pedir que in,rese usuario y contraseMa con autoridad para a,re,ar cuentas de computadoras al dominio) 8n domain controller disponible y un server corriendo el servicio $1S Server) 'or lo menos un domain controller y un $1S server deben estar online al momento de a,re,ar una

computadora al dominio 2!.!2! Wor3group .omo con Windows 1- 2)0, 8sted puede a,re,ar la computadora a un wor9,roup, Lnicamente si est en una red pequeMa sin un dominio o si se est preparando para a,re,ar a un dominio ms adelante) 4l nombre del wor9,roup que 8sted asi,ne puede ser el nombre de un wor9,roup e3istente o de un wor9,roup nuevo que cree durante la instalaci#n

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 4 | 2!1! C ec3list


"ntes de instalar Windows Server 2003, complete las si,uientes tareas! Eeri icar que todo el hardware est+ listado en la 7.L) Eeri icar que los componentes cumplan el mnimo hardware requerido)

Seleccionar el sistema de archivos para la partici#n, en cual instalar


Windows Server 2003, a menos que usted necesite una con i,uraci#n dual boot de ormato usando 1-%S) $eterminar si utili*ar 'er $evice o 'er 8ser como modo de licenciamiento)

$eterminar el nombre del dominio al que 8sted quiere a,re,ar o el wor9,roup que crear) Si va a usar un dominio, el nombre estar en ormato $1S! server)domain >donde server es el nombre de su computadora y dominio es el nombre del dominio al cual pertenece su computadora?) Si a,re,a a un wor9,roup, el nombre estar en ormato >1et:(/S?)

.rear una cuenta de computadora en el dominio, usando el nombre de la computadora que 8sted est instalando) "unque un administrador de dominio puede crear una cuenta de computadora antes de la instalaci#n, 8sted puede crear tambi+n una cuenta de computadora durante la instalaci#n si tiene privile,ios administrativos su icientes en el dominio) 'or de ecto, los usuarios pueden crear hasta H0 cuentas de computadora en el dominio)
$eterminar la contraseMa para la cuenta del "dministrador local)

2!4! Instalando desde Co$pact +isc

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 7 |

La instalaci#n de Windows Server 2003 desde compact disc implica encender la computadora de compact disc o loppy dis9s y proceder con varios wi*ards) "unque el proceso de instalaci#n no es perceptiblemente di erente de Windows 1- 2)0 o Windows 2000, tener e3periencia con el proceso de la instalaci#n de Windows Server 2003 le ayudar a reali*ar este proceso ms e icientemente)

2!4!1! 0unciona$iento del Progra$a de instalacin


La porci#n de modo te3to de instalaci#n en Windows Server 2003 no es di erente a la porci#n de instalaci#n en modo te3to de Windows 1- 2)0 y Windows 2000) 0eali*ar una instalaci#n implica los pasos si,uientes! 'ara comen*ar la instalaci#n hay que apa,ar la computadora, insertar el .$;0/= en la lectora y encender la computadora) .omo alternativa, se puede correr Winnt)e3e) 8na versi#n mnima de Windows Server 2003 se copia en memoria y entonces la porci#n de instalaci#n en modo te3to se inicia) -('! Si utili*a un loppy de $/S con car,a de $rivers para la lectora de .$;0/=, ase,Lrese de car,ar el driver Smart$rive) $e lo contrario, la instalaci#n puede demorar ms de lo normal) Seleccionar la partici#n en la cual instalar Windows Server 2003)

Seleccionar un sistema de archivos para la partici#n nueva) -ambi+n se puede ele,ir dar ormato a la partici#n nueva) La instalaci#n copia archivos al disco y ,raba parmetros de con i,uraci#n) Lue,o se reinicia la computadora y se inicia el Wi*ard de instalaci#n de Windows Server 2003) La locaci#n por de ecto de los archivos de la instalaci#n de los sistemas operativos Windows Server 2003 es la carpeta Windows)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 9 | 2!4!2! Iniciando el WiAard de instalacin de Windows Server 2003

$espu+s de instalar las caractersticas de se,uridad y con i,urar los dispositivos, el Wi*ard le solicitar la si,uiente in ormaci#n! .on i,uraci#n 0e,ional 1ombre y or,ani*aci#n 'roduct 9ey >de 2N caracteres? =odo de Licenciamie nto 1ombre para la computadora y contraseMa para la cuenta del "dministrador local) .omponentes opcionales de Windows Server 2003) 2!4!3! Instalacin de Co$ponentes para "etwor3ing $espu+s de recopilar la in ormaci#n sobre su computadora, el Wi*ard lo ,uiar a trav+s de la instalaci#n de componentes para networ9in,) 4ste se,mento del proceso de instalaci#n comien*a con la detecci#n de las tarjetas de red) 'ara continuar con el Wi*ard, se deben se,uir los pasos si,uientes! 4n primer lu,ar tiene que instalar componentes de networ9in, en con i,uraci#n tpica o custom) La instalaci#n tpica incluye!

.liente para 0edes =icroso t .ompartir archivos e impresoras para 0edes =icroso t (nternet 'rotocol >-.'@('? en una instalaci#n tpica, que se con i,ura para direcci#n (' dinmica) 'ara con i,urar -.'@(', deber ele,ir una instalaci#n custom)
",re,ar a wor9,roup o a dominio)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina : | 2!4!.! 0in de la instalacin

$espu+s de instalar los componentes de networ9in,, el pro,rama de instalaci#n termina de la si,uiente manera! .opia los archivos restantes, por

ejemplo los accesorios y :(-="'S) "plica la con i,uraci#n que 8sted especi ic# anteriormente) Kuarda la con i,uraci#n al disco duro local)
Suita archivos temporales y reinicia la computadora)

/bten,a ms in ormaci#n sobre la instalaci#n nueva!


http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32C2HF

2!4!1! Practica 1 2!4!1 !1! B2Cet ivos $espu+s de terminar esta prctica, 8sted podr instalar Windows Server 2003, como member server de un wor9,roup) 2!4!1!2! Pre6 re>uisito s "ntes de trabajar en esta prctica, deber tener una computadora que cumpla con el mnimo hardware requerido para instalar Windows Server 2003 o el so tware .onnecti3 Eirtual '. or Windows)
'ara terminar esta prctica, necesitar lo si,uiente!

4l compact disc Windows Server 2003 4valuation 4dition) 4l %loppy dis9 =S;$/S para boot >optional?) Si su computadora se con i,ura para arrancar de .$; 0/=, usted puede instalar Windows Server 2003 sin usar el %loppy $is9) (n ormaci#n para instalaci#n en sistemas sin opci#n de arranque desde .$;0/=! http!@@support)microso t)com@de ault)asp36scidA9bTen; usTFH0NC2
8n nombre de computadora y una (' address)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 10 | /Cercicio 1


Instalacin de Windows Server 2003

H) 4ncender la computadora con el .$;0/= Windows Server 2003) 2) 'resionar 41-40 cuando apare*ca la noti icaci#n del Setup en la pantalla) 3) 'resionar 41-40 cuando apare*ca el mensaje #elcome to Setup en la pantalla) Leer el #indo(s Server 2003 8icensing Agreement y presionar %F para aceptar los t+rminos de licenciamiento) 2) 'resionar . en la lista de particiones e3istentes para crear una partici#n en el dis9 0) N) .uando se pida seleccionar el tamaMo de la partici#n en el cuadro 7reate partition of si.e :in MB;, borrar el valor e3istente, a,re,ar un valor de 2000 a <000 y presionar 41-40) C) 'resionar 41-40 en la lista de particiones e3istentes para seleccionar 7% 3e( :9nformatted; ==== MB partition) P) 'resionar 41-40 para seleccionar 0ormat t+e partition using t+e 3)0S file system) F) Suitar el loppy dis9 del drive si usted comen*# con +l la

instalaci#n) U) $ejar el compact disc de Windows Server 2003 en la lectora de .$;0/=) H0) 8a computadora se reiniciar6 autom6ticamente) HH) 4sperar la inali*aci#n del proceso de detecci#n de dispositivos) H2) 7acer clic9 en 3e>t de la p,ina *egional Settings5) H3) (n,resar nombre y or,ani*aci#n) 7acer clic9 en 1e3t) H2) 4scribir el product 9ey en la p,ina ?our -roduct @ey) Lo puede obtener en el Site desde donde descar,# el producto) HN) 4le,ir 'er $evice A 20 en el modo de licenciamiento HC) 8sar el si,uiente passwordA -assA(0rd >donde 0 es *ero? para la cuenta del "dministrador local HP) 1o instalar componentes adicionales HF) "justar echa y hora en la p,ina $ate and -ime Settings, y hacer clic9 en 3e>t) HU) 7acer clic9 en 7ustom settings del cuadro de dilo,o 3et(or4 Settings, y presionar 3$=)) 20) 7acer clic9 en properties de -.'@(' y colocar los si,uientes parmetros! (' address! HU2)HCF)H)200 subnet mas9! 2NN)2NN)2NN)0 2H) 7acer clic9 en 3e>t de la p,ina 3et(or4ing 7omponents) 22) ",re,ar un Wor9,roup llamado GWor9,roupG 23) $ejar el .$;0/= de Windows Server Server 2003 en la lectora durante el resto del proceso)
22) 8na ve* completado el proceso de instalaci#n la computadora se reiniciar automticamente

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 11 | 2!7! Instalando desde la red

Las instalaciones desde la red uncionan del mismo modo que en Windows 1-2)0 y Windows 2000) -odava hay tres requisitos para comen*ar una instalaci#n desde la red! 8n $istribution Server que conten,a los archivos de la instalaci#n i3FC) >Las computadoras (tanium usan la carpeta iaC2) 4stas carpetas se encuentran en el .$;0/= de Windows Server 2003?) 8na partici#n disponible de 2,b en la computadora) 8n cliente de red para poder conectarse al $istribution Server)

"ota' =icroso t Windows 'reinstallation 4nvironment >Win'4? permitir a un cliente conectarse al $istribution Server) /bten,a in ormaci#n en!
http!@@www)microso t)com@licensin,@pro,rams@sa@sam@win'e)asp

Los pasos para la instalaci#n son similares a Windows 1- 2)0 y Windows 2000T s#lo se tiene que conectar al $istribution Server y ejecutar Winnt)e3e) $urante el proceso inicial se copian los archivos necesarios en el disco local y lue,o la computadora reinicia y ejecuta) " partir de ese momento, el proceso de instalaci#n es normal)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 12 | 2!9! Usando &e$ote Instalation Services )&IS,

4l Servicio 0emote (nstallation Services >0(S? permite a las computadoras cliente conectarse con un servidor durante la ase de inicial de encendido e instalar remotamente Windows 2000 >en todas sus versiones?,Windows O' >32 y C2 :it? o Windows Server 2003 >en todas sus versiones?) 4s un proceso totalmente di erente a la instalaci#n desde la red ya que +sta se reali*a ejecutando Winnt)e3e) 8na instalaci#n remota no requiere que los usuarios sepan d#nde se encuentran los archivos de instalaci#n o la in ormaci#n a suministrarle al pro,rama de instalaci#n) 0(S permite con i,urar las opciones de la instalaci#n) 'or ejemplo, usted podra tener una alternativa que provea a los usuarios una instalaci#n mnima sin opciones y otra que provea a los usuarios opciones adicionales) 'or de ecto, todas las im,enes estn disponibles para todos los usuarios) Sin embar,o, 8sted puede restrin,ir las im,enes que estn disponibles para los usuarios utili*ando permisos 1-%S en el archivo de respuesta) Los pasos si,uientes permiten determinar qu+ im,enes puede seleccionar y descar,ar un usuario) H) (nstalar 0(S) 2) .on i,urar los componentes opcionales que 8sted planea instalar en la computadora del cliente) 3) Las im,enes que se almacenan en el 0(S server) 2) 4l cliente se conecta usando 're;:oot 43ecution 4nvironment >'O4? en el adaptador de red, o usando G1etwor9 :oot $is9G que

es creado por 0(S) N) 4l sistema operativo se instala en el cliente desde el 0(S server con poca o nin,una intervenci#n del usuario) 8sted puede controlar la in ormaci#n requerida por usuario, creando y usando scripts) -ambi+n puede crear a +stos manualmente o puede utili*ar el Setup =ana,er Wi*ard) /bten,a in ormaci#n acerca del Setup =ana,er!
http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT32323F

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 13 | 2!9!1! &e>uisitos para &IS Server

"ctive $irectory $7' Server


$1S Server

/bten,a in ormaci#n acerca de 0(S Server!


http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32NFC2

2!:! Usando S%ste$ Preparation 8ool )s%sprep,

.uando 8sted quiera instalar Windows 2000,Windows O' o Windows Server 2003 en varias computadoras que tienen id+ntico hardware, uno de los m+todos que podra se,uir para ello es utili*ar la duplicaci#n de disco) .reando una ima,en del disco de una instalaci#n de Windows 2000, Windows O' o Windows Server 2003, y copiando esa ima,en sobre las computadoras mLltiples de destino, 8sted ahorra tiempo en deployment de Windows 2000, Windows O' o Windows Server 2003) 'ara instalar Windows 2000, Windows O' o Windows Server 2003 usando duplicaci#n de disco, con i,ure una computadora de re erencia y duplique una ima,en de disco al server, usando Sysprep)in para preparar la computadora a duplicar) 4l proceso de la duplicaci#n de disco consiste en los pasos si,uientes! (nstalar y con i,urar el sistema operativo en la computadora de re erencia) (nstalar y con i,urar los aplicativos en la computadora de re erencia) 4jecutar sysprep)e3e en la computadora de re erencia) -ambi+n puede ejecutar el Setup =ana,er Wi*ard para crear el archivo Sysprep)in ) Sysprep)in proporciona respuestas, como por ejemplo, el nombre de computadora al =ini;Setup que se ejecuta en las computadoras destino) "dems, este archivo se puede utili*ar para especi icar drivers especiales) 4l Setup

=ana,er Wi*ard crea una carpeta Sysprep en el root del disco y coloca el archivo Sysprep)in en esa carpeta) 4l =ini;Setup chequea la carpeta Sysprep en busca de ese archivo para reali*ar la instalaci#n del sistema operativo)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 1. |
Lue,o se debe apa,ar la computadora de re erencia y ejecutar el So tware de duplicaci#n de disco) .olocar el disco duplicado en la computadora destino) 4ncender la computadora destino) 8n =ini;Setup se ejecutar inmediatamente solicitando! 1ombre de computadora, 'assword del "dministrador local y 'roduct Dey)

/bten,a in ormaci#n acerca de Sysprep Eersi#n 2)0 en! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32NFNF

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 11 | 2!10! #ctivando la Copia de Windows Server 2003

$ebido a la piratera y a otras ormas de uso desautori*ado, los compradores no pueden estar siempre se,uros de tener una copia ,enuina de Windows Server 2003) 4s por ello que =icroso t desarroll# para Windows Server 2003 la herramienta G'roduct "ctivationG para ase,urarle que cada instalaci#n de su producto Windows Server 2003 ten,a una licencia vlida del producto) I$portante' .lientes que compran Eolume License ",reement no necesitarn activar su producto) Si 8sted no tiene un contrato Eolume License, tiene C0 das de perodo de ,racia en el cual podr activar la instalaci#n de su producto) Si e3pira el perodo de ,racia y 8sted no ha terminado la activaci#n aLn, todas las caractersticas dejarn de uncionar, a e3cepci#n de la caracterstica de la activaci#n del producto) $espu+s de instalar Windows Server 2003, se ejecutar el wi*ard de activaci#n y re,istraci#n) 8sted puede cancelar el wi*ard y activar Windows Server 2003 ms adelante) 'ara activar

Windows Server 2003 usando el Wi*ard 'roduct "ctivation! 7a,a clic9 en Start y "ctivate Windows) (n,rese la identi icaci#n Gproduct 9eyG) 4l wi*ard intentar establecer una cone3i#n a =icroso t por (nternet) Si usted no tiene una cone3i#n a (nternet pero tiene un m#dem conectado con una lnea tele #nica, el wi*ard detectar el m#dem e intentar hacer una cone3i#n directa a =icroso t) Si la cone3i#n no puede ser establecida, usted puede activar su copia de Windows Server 2003 llamando un representante de clientes de =icroso t) 3! *igracin desde Windows "8 .!0

www.microsoft.com/latam/technet

< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 14 |
" continuaci#n se detalla la mi,raci#n de $omain .ontrollers y =ember Servers ejecutando Windows 1- 2)0 a Windows Server 2003 para sistemas operativos de Server) +esde Windows 1- 3)NH o 2)0 '$. o :$. Windows 1- 3)NH o 2)0 =ember Server Windows 1- 3)H o 3)N &esulta do Windows Server 2003 $omain .ontroller Windows Server 2003 =ember Server 'rimero debe mi,rar a Windows 1- 3)NH # 2)0

-en,a en cuenta para la mi,raci#n de Windows 1- 3)H@3)N@3)NH, los requerimientos de hardware necesarios para Windows Server 2003) /bten,a ms in ormaci#n en! http!@@www)microso t)com@windowsserver2003@up,radin,@nt2@de ault)msp3

3!1! *igracin de *e$2er Servers "ntes que 8sted mi,re a Windows Server 2003, es importante que ha,a bac9 up de los archivos crticos para ase,urar que sus datos sean preservados si el proceso alla) 'ara preservar sus archivos crticos y con i,uraciones deber reali*ar las si,uientes tareas! 0esolver los errores listados en 4vent Eiewer 7acer %ull :ac9up de todos los discos 7acer :ac9up de la 0e,istry "ctuali*ar el $isco de reparaci#n de emer,encia >0dis9? 0emover el so tware de protecci#n antivirus $espu+s de completar estas tareas, introdu*ca el .$;0/= de Windows Server 2003 y comience el proceso de instalaci#n) 4ste proceso es similar a una instalaci#n nueva) Si lo reali*a desde la red ejecute Winnt32)e3e)

"ota' Se puede dar el caso que la partici#n de sistema no ten,a espacio para el proceso de mi,raci#n) 1o obstante, en el mismo disco 8sted posee espacio adicional para obtener in ormaci#n sobre c#mo e3pandir esa partici#n)
http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT32NFNP "l inali*ar el proceso, su Server pasar a ser un Windows Server 2003 member Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 17 | 3!2! *igracin de +o$inios

'ara comprender el proceso de mi,raci#n, lo dividiremos en dos posibles procesos! =i,raci#n $irecta > (n; 'lace? o reestructuraci#n)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de

8so

Captulo 2 | Pgina 19 | 3!2!1! 8er$inologas

4n la si,uiente tabla se enumeran los t+rminos y sus si,ni icados relacionados con el proceso de mi,raci#n! !omain Migration 4s el proceso de mover al usuario, las cuentas de ,rupo y cuentas las de la computadora de un dominio Windows 1- 2)0 a un dominio Windows Server 2003) La mi,raci#n del dominio se puede reali*ar haciendo up,rade del dominio Windows 1- 2)0 a Windows Server 2003, o creando un nuevo orest Windows Server 2003 y copiando el usuario, el ,rupo, y las cuentas de la computadoras desde el dominio Windows 1- 2)0 al nuevo orest) -ambi+n se puede alcan*ar la mi,raci#n del dominio usando una combinaci#n de estos dos m+todos) Source !omain 4s el dominio desde el cual los Security 'rincipals deben ser mi,rados) )arget !omain 4s el dominio en el cual sern mi,rados los Security 'rincipals) 8n -ar,et $omain puede estar en el mismo orest Windows Server 2003 o en un orest di erente al del Source $omain)
Account !omain! .ontiene las cuentas de usuarios y ,rupos en el modelo =ultiple =aster $omain de Windows 1- 2)0)

*esource !omain 4s un dominio de Windows 12)0 utili*ado para ile, print Server y otros servicios de aplicaciones) "dems, contiene las cuentas principales de computadoras) 7onsolidate !omains Sirve para reestructurar un nLmero ,rande de dominios en un nLmero pequeMo) 8evels of domain and forest functionality 4s una caracterstica en Windows Server 2003 que proporciona la compatibilidad hacia atrs para los diversos sistemas operativos de Windows que utili*an "ctive $irectory) Windows Server 2003 utili*a niveles del dominio y de la uncionalidad del orest para identi icar la uncionalidad que se puede introducir en

el dominio y los niveles del orest) La implementaci#n de uncionalidad de dominio o orest habilita para introducir nuevas caractersticas en Windows Server 2003, las cuales no se pueden activar hasta que todos los $omain .ontrollers sean mi,rados en la or,ani*aci#n) $e este modo los niveles proveen :ac9ward .ompatibility) Los niveles del dominio y de la uncionalidad del orest substituyen la caracterstica del modo de dominio de Windows 2000) 7lone Sirve para crear nuevas cuentas en el -ar,et $omain) 4s una copia de las cuentas en el Source domain pero tambi+n mantiene el Source "ccount 'rimary Security (denti ier >S($? en su atributo S($;7istory) 4n el Lnico momento que usted puede clonar cuentas es cuando est mi,rando cuentas entre orest) S"!12istory 4s un atributo de "ctive $irectory Security 'rincipals que es usado para almacenar S($s de objetos movidos como cuentas de usuarios y ,rupos de se,uridad) 3!2!2! *igracin In6Place 4ste proceso determina las acciones necesarias para conservar la estructura anterior) 'or lo tanto si 8sted tena 2 dominios Windows 1- 2)0, al inali*ar obtendr los mismos 2 dominios con la misma estructura en Windows Server 2003)
$l proceso a llevar a cabo incluye%

=i,raci#n en primer t+rmino del '$. de Windows 12)0) -ip! (nstale un nuevo :$., retrelo de la red, promueva a '$. e instale Windows Server 2003 en esa computadora) " continuaci#n pon,a nuevamente en la red esa computadora y despromueva en '$. productivo a :$.) Lue,o mi,re todos los :$. del $ominio)
La estructura completa es conservada en la nueva estructura Windows Server 2003)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 1: | 3!2!3! &eestructuracin de +o$inio

4ste proceso determina las acciones necesarias para reestructurar la estructura anterior >consolidaci#n de $ominios?) 'or lo tanto si 8sted tena 2 dominios Windows 1- 2)0, al inali*ar obtendr H dominio Windows Server 2003 que contendr todas las cuentas)
$l proceso a llevar a cabo incluye%

=i,rar en primer t+rmino de un '$. de Windows 1- 2)0 o instalaci#n de un orest nuevo) 8tili*ar la herramienta "ctive $irectory =i,ration -ool >"$=v2? para copiar objetos) 4sta herramienta permite conservar el S($;7istory de los objetos y en esta nueva versi#n permite la mi,raci#n de passwords) "ota' "$=- v2 est disponible en el .$;0/= de Windows Server 2003) /bten,a ms in ormaci#n acerca de "$=-!
http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32NFNH

.! *igracin desde Windows 2000 8n primer paso es ele,ir el mejor sistema operativo equivalente al que usted est utili*ando actualmente) La si,uiente tabla muestra las equivalencias!
Windows Server 2003 Windows 2000 Server

Standard 4dition 4nterprise 4dition $atacenter 4dition Web 4dition

Windows 2000 Server Windows 2000 "dvanced Server Windows 2000 $atacenter Server 1o 4quivalent

.!1! *igracin de *e$2er Servers Windows 2000


"ntes que 8sted mi,re a Windows Server 2003, es importante que ha,a bac9up de archivos crticos para ase,urar que sus datos sean preservados en el caso que el proceso alle) Las si,uientes tareas sirven para preservar sus archivos crticos y con i,uraciones! 0esolver los errores listados en 4vent Eiewer 7acer %ull :ac9up de todos los discos 7acer :ac9up de la 0e,istry "ctuali*ar el $isco de reparaci#n de emer,encia >0dis9? 0emover el so tware de protecci#n antivirus $espu+s de completar estas tareas, introdu*ca el .$;0/= de Windows Server 2003 y comience el proceso de instalaci#n) 4ste proceso es similar a una instalaci#n nueva, si lo reali*a desde la red ejecute Winnt32)e3e) "ota' Se puede dar el caso que la partici#n del sistema no ten,a espacio para el proceso de mi,raci#n, sin embar,o, en el mismo disco 8sted posee espacio adicional para obtener in ormaci#n sobre c#mo e3pandir esa partici#n! http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT32NFNP "l inali*ar el proceso su server pasar a ser un Windows Server 2003 =ember Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 20 | .!2! *igracin de +o$inios

4l up,rade de "ctive $irectory puede ser ,radual y reali*ado sin interrupci#n de las operaciones) Si 8sted si,ue las recomendaciones del up,rade de dominio, no ser necesario poner o line el dominio para mi,rar los $omain .ontrollers, los =ember Servers o las Wor9stations) 4n "ctive $irectory, un dominio es una colecci#n de computadoras, usuarios y ,rupos de inidos por el administrador) 4stos objetos comparten una base de datos comLn de

directorio, Security 'olicies y Security 0elationships con otros dominios) 8n orest es una colecci#n de uno o ms dominios "ctive $irectory que comparten clases y atributos >schema?, in ormaci#n de sites y replicaci#n >con i,uration? y capacidades de bLsquedas orest;wide >,lobal catalo,?) Los dominios en el mismo orest contienen relaciones de con ian*a two;way transitivas) 'ara prepararse para up,rade de dominios que contienen Windows 2000 $omain .ontrollers, es recomendable que aplique Service 'ac9 2 o superior a todos los $omain .ontrollers Windows 2000) "ntes de mi,rar un $omain .ontroller Windows 2000 a Windows Server 2003, o instalar "ctive $irectory en el primer $omain .ontroller Windows Server 2003, ase,Lrese que el dominio est preparado) 4stas dos herramientas command;line lo ayudarn en la mi,raci#n de $omain .ontroller! Winnt32! 8se Winnt32 para comprobar la compatibilidad de up,rade del server) #dprep! 8se "dprep en el Schema /perations =aster para preparar el orest) "dprep est contenido en el .$;0/= de Windows Server 2003 en la carpeta (3FC o ("C2) -en,a en cuenta que esta herramienta modi ica el Schema, por lo cual la cantidad de objetos que conten,a el "ctive $irectory ser el tiempo requerido para completar las operaciones) 'or otra parte es aconsejable que corra esta herramienta Lnicamente en el Schema =aster, puesto que en caso de corte de comunicaciones en la red no correr el ries,o que la operaci#n quede a la mitad del proceso)
/l proceso a llevar a ca2o inclu%e'

4jecutar adprep)e3e @ oretprep para preparar el orest 4jecutar adprep)e3e @ domainprep para preparar el $ominio =i,rar los $omain .ontrollers ,radualmente o bien instalar una copia nueva de Windows Server 2003, promoviendo esa instalaci#n a $omain .ontroller)

"l inali*ar estas tareas habr elevado de versi#n el "ctive $irectory e3istente) /bten,a ms in ormaci#n acerca de la mi,raci#n de Windows 2000
http!@@www)microso t)com@windowsserver2003@evaluation@whyup,rade@win29@w29tows03;2)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 2 | Pgina 21 | .!2!1! Prctica 2

$urante esta prctica 8sted reali*ar un proceso de mi,raci#n de Windows 1- 2)0 =ember Server a Windows Server 2003 y un proceso de mi,raci#n de Windows 2000 =ember Server a Windows Server 2003)
-a so s a se gui r

'rimero instale un Windows 1- Server 2)0, en instalaci#n =ember Server)

Si,a los pasos descriptos en la prctica H, iniciando la instalaci#n desde el sistema operativo, es decir, ejecute Winnt32)e3e o ejecute la instalaci#n colocando el .$;0/=)
*esultado% 'roceso de mi,raci#n de Windows 1- 2)0 a Windows Server 2003

(nstale ahora Windows 2000 Server como =ember Server) Si,a los pasos descriptos en la prctica H, iniciando la instalaci#n desde el sistema operativo, es decir, ejecute Winnt32)e3e o ejecute la instalaci#n colocando el .$;0/=) &esultado' 'roceso de mi,raci#n de Windows 2000 a Windows Server 2003 "ota' 0ecuerde que para reali*ar estas prcticas puede utili*ar el so tware .onnecti3 Eirtual '.) Bpcional' Si tiene tiempo puede reali*ar la misma prctica, desde Windows 1- 2)0 '$. y desde
Windows 2000 $omain .ontroller, reali*ando el proceso de up,rade (n;'lace)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 1 |

Ca pit ul o 3 Instalacin % Con(iguracin de Servicios +DCP= +"S % WI"S


1! Int rod ucc in $urante este captulo 8sted ir asimilando conocimientos acerca de los servicios de red tales como $7.' >$ynamic 7ost .on i,uration 'rotocol?, W(1S >Windows (nternet 1ame System? y $1S >$omain 1ame System?) 4ste Lltimo, en particular, le ser de mucha utilidad para el desarrollo del captulo 2) 'ara la reali*aci#n de las prcticas contenidas en el presente m#dulo, necesitar la instalaci#n de Windows Server 2003 que reali*# en la prctica H del captulo 2, y una instalaci#n adicional)
Al finali.ar este captulo 9sted tendr6 la +abilidad de%

$escribir las caractersticas de los servicios $7.', $1S y W(1S) (nstalar y con i,urar servicios de red)

Solucionar problemas de servicios de red)

2! +DCP 6 +%na$ic Dost Con(iguration Protocol 2!1! EPor >uF utiliAar +DCPG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 2 | 2!1!1! +e(inicin

!ynamic 2ost 7onfiguration -rotocol :!27-; es un estndar (' para simpli icar la administraci#n de la con i,uraci#n del (' del cliente) 4l estndar $7.' permite que 8sted utilice los servidores de $7.' para manejar la asi,naci#n dinmica de las direcciones y la con i,uraci#n

de otros parmetros (' para clientes $7.' en su red) 2!1!2! EPor >uF utiliAar +DCPG 4n redes -.'@(', $7.' reduce la complejidad y el trabajo administrativo de re;con i,urar las computadoras cliente) 'ara entender por qu+ $7.' es Ltil para con i,urar clientes -.'@(', es importante comparar la con i,uraci#n manual de -.'@(' con la con i,uraci#n automtica que utili*a $7.') 2!1!3! Con(iguracin $anual de 8CPHIP .uando 8sted reali*a la con i,uraci#n (' para cada cliente, in,resando manualmente in ormaci#n como la (' address, subnet mas9 o de ault ,ateway, pueden lle,ar a producirse errores de tipeo, que es probable deriven en problemas de comunicaci#n o problemas asociados a la (' duplicada) 'or otra parte, hay car,a administrativa adicional en las redes donde las computadoras se mueven con recuencia de una subnet a otra y, en adici#n, cuando necesita cambiar un valor (' para varios clientes, tiene que actuali*ar la con i,uraci#n (' de cada cliente) 2!1!.! Con(iguracin auto$tica 8CPHIP .uando 8sted con i,ura un $7.' Server para dar soporte a clientes $7.', +ste provee automticamente la in ormaci#n de la con i,uraci#n a clientes $7.' y tambi+n se ase,ura que los clientes de la red utilicen la con i,uraci#n correcta) "dems, si 8sted necesita reali*ar un cambio en la con i,uraci#n (' de varios clientes, podr reali*arlo una ve* en el $7.' Server, para que el $.7' actualice automticamente la con i,uraci#n del cliente re lejando el cambio) $ / e m p l o 8sted necesita con i,urar H00 computadoras con la

con i,uraci#n (', pero sin $7.' no le quedar otra alternativa que con i,urar manualmente cada una de las computadoras individualmente) " esto hay que sumarle que se tiene que documentar la con i,uraci#n (' de cada cliente, y que si se tiene que reali*ar un cambio en la con i,uraci#n (' de los clientes, tambi+n tendra que re; con i,urarla manualmente en cada uno de ellos) 'ero $7.' tiene la soluci#n a esto) .on $7.' 8sted s#lo tendr que a,re,ar la con i,uraci#n al $7.' Server, que actuali*a los H00 clientes de la red) "dems, cuando necesite reali*ar un cambio de con i,uraci#n (', el mismo ser e ectuado una ve* solamente en el $7.' Server, requiriendo simplemente que cada cliente -.'@(' renueve su con i,uraci#n)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 3 | 2!2 EC$o el +DCP asigna direcciones IPG

2!2!2!1 Introduccin

$7.' permite manejar la asi,naci#n de (' de una locali*aci#n central, y por lo tanto 8sted puede con i,urar el $7.' Server para asi,nar direcciones de (' a una sola subnet o mLltiples subnets) "simismo, el $7.' Server puede asi,nar la con i,uraci#n (' a los clientes en orma automtica) 2!2!2!2 +e(inicin 4l lease es el espacio de tiempo en el cual un cliente $7.' puede utili*ar una con i,uraci#n dinmicamente asi,nada de (') "ntes de la e3piraci#n del tiempo de lease, el cliente debe renovarlo u obtener un nuevo lease del $7.') 2!2!2!3 #signacin de direcciones IP 4l $7.' administra la asi,naci#n y el release de la con i,uraci#n (', concediendo la con i,uraci#n (' al cliente) 4l estado del $7.' lease depende del tiempo en que el cliente pueda utili*ar los datos de la con i,uraci#n (' antes de liberarla y despu+s de renovar los datos) 4l proceso de asi,nar la con i,uraci#n (' se conoce como !27- 8ease ,eneration -rocess, y el proceso de renovar los datos de la con i,uraci#n (' se conoce como !27- 8ease *ene(al -rocess)

La primera ve* que un cliente $7.' se a,re,a a la red, el mismo debe solicitar la con i,uraci#n (' al $7.' Server para que, cuando +ste reciba la solicitud, el server seleccione una direcci#n (' del ran,o de direcciones que el administrador ha de inido en el scope) 4l $7.' Server o rece la con i,uraci#n (' al cliente de $7.') Si el cliente acepta la o erta, el $7.' Server asi,nar la direcci#n (' al cliente por un perodo de tiempo especi icado) 4l cliente entonces utili*ar la direcci#n (' para tener acceso a la red)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina . | 2!3! EC$o (unciona el proceso +DCP ;ease IenerationG

$l cliente !27enva un broadcasts5 pa'uete !27-!"S7B&$* para locali.ar al !27- Server 4ste paquete $7.'$(S./E40 es el mensaje que los clientes $7.' envan la primera ve* que se conectan a la red y solicitan la in ormaci#n (' de un $7.' Server) 43isten dos ormas de comen*ar el proceso $7.' Lease Keneration) La primera ocurre cuando una computadora cliente se enciende o se inicia -.'@(' por primera ve*, y la se,unda ocurre cuando un cliente intenta renovar su lease y recibe una dene,aci#n >$7.' 1".D?) >'or ejemplo, un cliente puede no lo,rar una renovaci#n cuando 8sted lo mueve a otra subnet)? $l !27- Server enva un broadcast pa'uete !27-B00$* al cliente 4l paquete $7.'/%%40 es un mensaje que el $7.' Server utili*a para o recer el lease de una direcci#n (' al cliente, cuando +ste se conecta a la red) .ada $7.' Server que responde, reserva la direcci#n (' o recida para no o recerla nuevamente a otro cliente $7.', antes de la aceptaci#n del cliente inicial) Si el cliente no recibe una o erta despu+s de cuatro peticiones, utili*a una (' en la ,ama reservada a partir del HCU)2N2)0)H a HCU)2N2)2NN)2N2) 4l uso de una de estas direcciones auto; con i,uradas (' ase,ura que los clientes situados en una subnet $7.' Server inaccesible, puedan comunicarse con otros clientes) =ientras tanto el cliente $7.' continLa buscando un $7.' Server disponible cada cinco minutos) .uando el $7.' Server lle,ue a estar disponible, los clientes recibirn direcciones vlidas (', permitiendo que esos clientes se comuniquen con clientes en su subnet y en otras tambi+n) $l cliente !27enva un broadcasts5 pa'uete !27-*$C9$S) 4l paquete $7.'04S84S- es el mensaje que un cliente enva al $7.' Server para solicitar o renovar su lease de (') 4l cliente $7.' responde al primer paquete $7.'/%%40 que recibe con un broadcasts de $7.'04S84S- para aceptar la o erta) 4l paquete $7.'04S84S- incluye la identi icaci#n del server que o erta y el cliente que acept#) -odos los otros $7.' Servers despu+s eliminan sus o ertas y conservan sus direcciones de (' para otros lease) $l !27- server enva un broadcast5 !27-A7@ al cliente 4l paquete $7.'".D es un mensaje que $7.' Server enva a un cliente como acuse de recibo y inali*aci#n del proceso de lease) 4ste mensaje contiene un lease vlido para la direcci#n (' y la otros datos de con i,uraci#n (') .uando el cliente $7.' recibe el ac9nowled,ment, inicia -.'@(' usando la con i,uraci#n (' provista por el $7.' Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 1 |
"ota' 8sted puede ver todo el proceso de lease capturando los paquetes con 1etwor9 =onitor) -en,a en cuenta que el cliente y el server utili*an los puertos CP y CF 8$') 'ara reali*ar el proceso en ambientes se,uros ser necesario que permita la comunicaci#n de esos puertos entre el cliente y el server)

2!. EC$o (unciona el proceso +DCP ;ease &enewalG

2!.!1! +e(iniciones
!27- 8ease *ene(al -rocess es el proceso por el cual un cliente $7.' renueva o actuali*a sus datos de con i,uraci#n (' con el $7.' Server) 4l cliente $7.' renueva la con i,uraci#n (' antes de la e3piraci#n del tiempo de lease) Si el perodo de lease e3pira y el cliente $7.' todava no ha renovado su con i,uraci#n (', pierde los datos de la con i,uraci#n (' y comien*a nuevamente el proceso $7.' Lease Keneration)

2!.!2! Perodo de ;ease


4l proceso de Lease 0enewal es el resultado del valor de tiempo del lease) 4l valor de

perodo de lease se ase,ura que el $7.' manten,a la in ormaci#n (' y que los clientes actualicen o renueven re,ularmente sus datos de con i,uraci#n (') -eniendo $7.' se mantiene esta in ormaci#n e implica que puede administrar el direccionamiento (' desde el $7.' Server) 4l cliente debe renovar su con i,uraci#n (' antes de la e3piraci#n del perodo de lease) 4n los intervalos espec icos, un cliente $7.' intenta renovar su lease para ase,urarse tener actuali*ada su con i,uraci#n) 4n cualquier momento durante el perodo de lease, el cliente $7.' puede enviar un paquete de $7.'04L4"S4 al $7.' Server para liberar la con i,uraci#n (' y para cancelar el lease restante)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 4 | 2!.!3! Proceso auto$tico 5;ease &enewal5

8n cliente $7.' intenta renovar automticamente su lease al N0V del tiempo de e3piraci#n) 4l cliente $7.' tambi+n intenta renovar su lease cada ve* que la computadora se reinicie, y para intentarlo enva paquete de $7.'04S84S- al $7.' Server directamente, del cual obtuvo el lease) Si el $7.' Server est disponible, renueva el lease y enva al cliente un paquete de $7.'".D con la nueva duraci#n del lease y cualquier parmetro de con i,uraci#n actuali*ado) 4l cliente actuali*a su con i,uraci#n cuando recibe el ac9nowled,ment) Si el $7.' Server no est disponible, el cliente continuar utili*ando sus parmetros actuales de con i,uraci#n) Si el cliente $7.' no puede renovar su lease la primera ve*, entonces el cliente $7.' enviar un broadcasts $7.'$(S./E40 para actuali*ar su lease de la direcci#n cuando e3pira al FP)N V de la duraci#n del lease) 4n esta etapa, el cliente $7.' acepta el lease que cualquier $7.' Server le o re*ca) Si el cliente $7.' reinicia su computadora y el $7.' Server no responde al paquete $7.'04S84S-, el cliente $7.' intentar conectar con el $e ault Kateway) Si esta tentativa alla, el cliente cesar el uso de la direcci#n (') Si el $7.' Server responde con un paquete $7.'/%%40

para actuali*ar el lease del cliente, +ste puede renovar su lease de acuerdo a la o erta del mensaje del server y continLa la operaci#n) 'ero si el lease e3pir#, el cliente deber suspender inmediatamente el uso de la direcci#n (' actual) 4l cliente $7.', entonces, comen*ar un nuevo proceso de $7.' Lease $iscovery, intentando obtener un nuevo lease de una nueva (') Si el cliente $7.' alla al recibir la (', el cliente se asi,nar una direcci#n usando la asi,naci#n automtica de (' en el ran,o
H C U ) 2 N 2 ) 0 ) 0 )

2!.!.! Proceso $anual ;ease &enewal Si necesita actuali*ar la con i,uraci#n $7.' inmediatamente, 8sted puede renovar manualmente el lease (')>'or ejemplo, si quiere que los clientes $7.' obten,an rpidamente la direcci#n del $7.' Server de un nuevo router instalado en la red, renueve el lease del cliente para actuali*ar la con i,uraci#n)? /Ce$plo' c!Wincon i , @renew 2!1! Prctica 1' EC$o agregar el servicio +DCP ServerG 'ara a,re,ar un $7.' Server, 8sted deber instalar $7.' Service en una computadora corriendo =icroso tI WindowsI Server 2003)
Antes de agregar el servicio !27- Server%

Eeri icar que la con i,uraci#n (' en el servidor est+ correcta) Eeri icar que la con i,uraci#n (' del servidor conten,a una direcci#n (' esttica y una subset mas9 en ambientes ruteados un $e ault Kateway)
Eeri icar que la cuenta de usuario ten,a los permisos necesarios)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 7 |
-ara agregar el servicio !27- Server deber6%

H) (niciar sesi#n usando una cuenta no;administrativa) 2) 7acer clic9 en Start y despu+s en 7ontrol -anel) 3) "brir las Administrative )ools en el .ontrol 'anel y hacer clic9 derecho en Manage ?our Server, seleccionando *un as) 2) Seleccionar )+e follo(ing user en el cuadro *un As e in,resar una cuenta de usuario y password que ten,a los permisos apropiados para reali*ar la tarea, haciendo clic9 en B@) N) 7acer clic9 Add or remove a role de la ventana =ana,e Qour Server) C) 7acer clic9 en 3e>t de la p,ina -reliminary Steps) P) Seleccionar !27- server en el wi*ard .on i,ure Qour Server, y en 3e>t) F) 7acer clic9 en 3e>t de la p,ina Summary of Selections, U) 7acer clic9 en 7ancel del wi*ard 1ew Scope para no crear el scope en ese momento) H0) 7acer clic9 en 0inis+ del wi*ard .on i,ure Qour Server) 2!4! EC$o se autoriAa el servicio +DCP ServerG

2!4!1! +e(iniciones 8a autori.acin de !27- es el proceso de re,istrar el servicio $7.' Server en un dominio "ctive $irectory, con el prop#sito de dar soporte a clientes $7.') La autori*aci#n $7.' es solo para $7.' Servers corriendo Windows Server 2003 y Windows 2000 en "ctive $irectory) 2!4!2! EPor >uF autoriAar el +DCP ServerG "utori*ar al $7.' Server provee la capacidad de controlar la adici#n de los $7.' Servers al dominio) La autori*aci#n debe ocurrir antes que el $7.' Server pueda otor,ar leases a clientes $7.') Solicitar la autori*aci#n de $7.' Servers previene que $7.' Servers desautori*ados o re*can direcciones (' invlidas a clientes) Si 8sted est con i,urando un $7.' Server, la autori*aci#n debe ocurrir como parte del dominio "ctive $irectory) Si 8sted no autori*a el $7.' Server en "ctive $irectory, el servicio $7.' no se podr iniciar correctamente y entonces el $7.' Server no podr responder a los pedidos de clientes) 4l $7.' Server controla el direccionamiento (' enviado a los clientes $7.' en la red) Si el $7.'

www.microsoft.com/latam/technet

< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 9 |
Server se con i,ura incorrectamente, los clientes recibirn una con i,uraci#n incorrecta de direccionamiento (')

2!4!3! EPor >uF un +DCP Server autoriAado re>uiere #ctive +irector%G


"ctive $irectory se requiere para autori*ar un $7.' Server) .on "ctive $irectory, los $7.' Servers no autori*ados no pueden responder a los pedidos de clientes) 4l servicio $7.' Server, en un server miembro de "ctive $irectory, veri ica su re,istraci#n con un $omain .ontroller de "ctive $irectory) Si el $7.' Server no est re,istrado, el servicio no se iniciar y consecuentemente el $7.' Server no asi,nar direcciones a clientes)

2!4!.! Stand6alone +DCP Server


:ajo ciertas circunstancias, un $7.' Server corriendo Windows 2000 o Windows Server 2003, se inicia si incluso no est autori*ado) Si el $7.' Server corriendo Windows Server 2003 o Windows 2000 est instalado como stand;alone server no es miembro de "ctive $irectory) Q si est situado en una subnet donde $7.'(1%/0= no ser transmitido a otros $7.' Servers autori*ados, el servico $7.' Server iniciali*ar y proveer leases a clientes en la subnet) 8n stand;alone server corriendo Windows 2000 o Windows Server 2003 enva un paquete broadcast $7.'(1%/0=) Si no hay respuesta al paquete $7.'(1%/0=, entonces el servicio $7.' Server iniciali*ar y comen*ar a atender a los clientes) Si un $7.' Server autori*ado recibe un paquete $7.'(1%/0=, responde con un paquete $7.'".D y entonces el servicio $7.' Server parar) 8n stand;alone $.7' Server continuar uncionando si recibe un $7.'".D de otro $7.' Server que no sea miembro de "ctive $irectory)

2!7! Prctica 2' EC$o autoriAar el servicio +DCP ServerG


I*PB&8#"8/' 1o realice esta prctica hasta haber terminado la teora y la prctica del .apitulo 2) 'ara autori*ar el servicio $7.' Server, un miembro del ,rupo 4nterprise "dministrators lo a,re,a a una lista de $7.' Servers autori*ados, los cuales pueden dar servicio a clientes $7.' en el dominio) 4l proceso de autori*aci#n unciona solamente con servers corriendo Windows Server 2003 y Windows 2000 en un dominio) La autori*aci#n no es posible si los $7.' Servers corren versiones anteriores como =icroso t Windows 1-I u otros so tware $7.' Server) -ara autori.ar el servicio !27Server deber6% H) 2) 3) "brir la consola $7.') Seleccionar el server en la consola 7acer clic9 en Aut+ori.e del menL Action,

2)

'ara veri icar que el $7.' server est+ autori*ado! en la consola, presionar %N para re rescar la vista, y veri icar que el $7.' Server ahora se visualice con una lecha verde hacia arriba)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina : | 2!9! EJuF son los +DCP ScopesG

2!9!1! +e(ini cin

8n scope es un ran,o de direcciones vlidas (' que estn

disponibles para asi,nar a computadoras cliente en una subnet en particular) 8sted puede con i,urar un scope en el $7.' Server para determinar el pool de direcciones (' que ese server asi,nar a clientes) Los scopes determinan las direcciones (' que se asi,nan a los clientes) 8sted debe de inir y activar un scope antes que los clientes puedan usar el $7.' Server para una con i,uraci#n dinmica -.'@(') "simismo puede con i,urar tantos scopes en el $7.' Server como lo necesite para su ambiente de red) 2!9!2! Propiedades de Scope
9n scope tiene las siguientes caractersticas%

3et(or4 "!% 4l 1etwor9 ($ para el ran,o de direcciones (' Subnet mas4% La subnet mas9 para el 1etwor9 ($ 3et(or4 "- address range% 4l ran,o de direcciones (' disponibles para los clientes 8ease duration% 4l perodo de tiempo que el $7.' Server asi,na a la direcci#n del cliente *outer% La direcci#n del $e ault Kayeway Scope name% (denti icador para prop#sitos administrativos
$>clusion range% 4l ran,o de direcciones (' en el scope e3cluidas para la asi,naci#n)

.ada subnet puede tener un $7.' scope que conten,a un solo y continuo ran,o de direcciones (') $irecciones espec icas o ,rupos de direcciones se pueden e3cluir del ran,o del $7.' scope) 4n ,eneral, solamente un scope puede ser asi,nado a una subnet) Si ms de un scope se requiere en una subnet, los scopes debern crearse primero y lue,o combinarse en un superscope)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 10 |

2!:! Prctica 3' EC$o con(igurar un +DCP ScopeG


-ara configurar un !27- scope%

H) "brir la consola $7.') 2) 7acer clic9 en el $7.' Server de la consola) 3) 7acer clic9 en 3e( Scope del menL Action) 2) 7acer clic9 en 3e>t del 3e( Scope #i.ard) N) .on i,urar el 3ombre y !escripcin en la p,ina Scope 3ame) C) .on i,urar, en la p,ina "- Address *ange, la direcci#n (' inicial HU2)HCF)H)H, la direcci#n (' inal HU2)HCF)H)2N2 y la Subnet mas4 2NN)2NN)2NN)0) P) .on i,urar, en la p,ina Add $>clusions, la direcci#n (' inicial HU2)HCF)H)20 y la direcci#n (' inal HU2)HCF)H)30, si es aplicable) F) .on i,urar, en la p,ina 8ease !uration, los !as, 2oras y Minutos) >4l de ault es F das?) U) .on i,urar !27- Bptions y seleccionar 3o5 " (ill configure t+ese options later) H0) .lic9 0inis+ en la p,ina 7ompleting t+e 3e( Scope #i.ard) -ara activar el !27- scope% 7acer clic9 derecho sobre el scope de la consola, y en "ctivate 2!10 EJuF es una reserva +DCPG 9na reserva es una direcci#n (' permanente reservada a un cliente espec ico) 8sted puede reservar una direcci#n (' permanente a un dispositivo en la red) La reserva se reali*a a la direcci#n =". del dispositivo) 2!10!1 Prctica .' #ctividades para con(igurar una reserva +DCP' H) "brir la consola $7.') 2) 7acer clic9 en *eservations de la consola, 3) 7acer clic9 en 3e( *eservation del menL Action 2) (n,resar, en el cuadro 3e( *eservation, los valores si,uientes! a) 1ombr e de la reserva

b) $irecci #n (' c) $irecci#n =". >sin ,uiones? d) $escripci#n N) Seleccionar, en Supported types, una de las opciones si,uientes! a) :oth b ) $ 7 . ' o n l y c ) : / / ' o n l y
C) 7acer clic9 en Add del cuadro 3e( *eservations, y despu+s en 7lose)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 11 | 2!11! EJuF son las opciones de +DCPG

8as opciones de !27- son los parmetros de con i,uraci#n que un servicio de $7.' asi,na a los clientes cuando asi,na la direcci#n (') 2!11!1! Bpciones co$unes de +DCP *outer :!efault ,ate(ay;% 4s la direcci#n de cualquier $e ault Kateway o router) 4l router se re iere comLnmente como $e ault Kateway) !omain name% 8n $omain 1ame $1S de ine el dominio $1S al cual pertenece una computadora cliente) La computadora cliente puede utili*ar esta in ormaci#n para actuali*ar el $1S Server de modo que otras computadoras puedan locali*ar al cliente) !3S and #"3S Servers% Son las direcciones de los $1S y W(1S Servers para los clientes, a utili*ar en la comunicaci#n de red)

2!12! Prctica 1' EC$o con(igurar opciones de +DCPG -ara configurar una opcin de !27- Server deber6% H) "brir la consola $7.') 2) 7acer clic9 en Server Bptions de la consola, bajo el nombre del server 3) 7acer clic9 en 7onfigure Bptions del menL Action) 2) Seleccionar la opci#n que 8sted desea con i,urar en el cuadro Server Bptions de la lista Available Bptions) N) .ompletar, bajo !ata entry, la in ormaci#n que se requiere para con i,urar esta opci#n) C) 7acer clic9 en B@ del cuadro Server Bptions) -ara configurar un scope !27- deber6% H) "brir la consola $7.' y bajo el scope apropiado, hacer clic9 en Scope Bptions) 2) 7acer clic9 en 7onfigure Bptions del menL Action 3) Seleccionar, en el cuadro Scope Bptions, la opci#n que usted desea con i,urar de la lista
Avail able Bptio ns

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 12 |
2) N) .ompletar, bajo !ata entry, la in ormaci#n que se requiere para con i,urar esta opci#n) 7acer clic9 en B@ del cuadro Scope Bptions)

2!13! EJuF es el +DCP &ela% #gentG

2!13!1! +e(inicin
4l !27- *elay Agent es una computadora o router con i,urado para escuchar broadcast $7.'@://-' de clientes $7.' y reenviar esos mensajes a los $.7' Servers en di erentes subnets) $7.'@://-' 0elay ",ents es parte de los estndares $7.' y ://-', y unciona se,Ln los documentos estndar *e'uest for 7omments >0%.s? que describen el diseMo del protocolo y el comportamiento relacionado) 8n *07 DE<217ompliant *outer es un router que soporta el reenvo de tr ico $7.' broadcast) Los clientes $7.' utili*an broadcasts para obtener el lease del $7.' Server) Los 0outers normalmente no pasan broadcasts e3cepto que est+n con i,urados espec icamente para dejarlos pasar) 'or lo tanto, sin con i,uraci#n adicional, los $7.' Servers solo proveen direcciones (' a clientes en su subset local) 'ara que 8sted pueda asi,nar direcciones a clientes en otros se,mentos, deber con i,urar la red para que los $7.' broadcasts puedan lle,ar desde el cliente al $.7' Server) 4sto se puede hacer de dos maneras! con i,urando los routers que conectan las subnets para dejar pasar $7.' broadcasts, o con i,urando $.7' 0elay ",ents) Windows Server 2003 soporta el servicio 0outin, and 0emote "ccess con i,urado para uncionar como $7.' 0elay ",ent)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 13 | 2!1.! EC$o (unciona el +DCP &ela% #gentG

4l $7.' 0elay ",ent soporta el proceso Lease Keneration entre el cliente $7.' y el $7.' Server, cuando se separan por un router) 4sto habilita al cliente $7.' para recibir una direcci#n (' del $7.' Server) 8os siguientes pasos describen el funcionamiento de !27*ea4y Agent% H) 2) 4l cliente $7.' enva un paquete broadcast $7.'$(S./E40) 4l $7.' 0elay ",ent, desde la subnet del cliente, reenva el mensaje $7.'$(S./E40 al $7.' Server usando unicast) 3) 4l $7.' Server usa unicast para enviar el mensaje $7.'/%%40 al $7.' 0elay ",ent) 2) 4l $7.' 0elay ",ent enva un paquete broadcast $7.'/%%40 al cliente $7.' en su subnet) N) 4l cliente $7.' enva un paquete broadcast $7.'04S84S-) C) 4l $7.' 0elay ",ent, desde la subnet del cliente, reenva el mensaje $7.'04S84S- al $7.' Server, usando

unicast) P) 4l $7.' Server usa unicast para enviar el mensaje $7.'".D al $7.' 0elay ",ent)
F) 4l $7.' 0elay ",ent enva un paquete broadcast $7.'".D al cliente $7.' en su subnet)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 1. | 2!1.!1 Prctica 4' EC$o con(igurar el +DCP &ela% #gentG

-ara agregar un !27- *elay Agent deber6%

H) "brir la consola 0outin, and 0emote "ccess) 2) 7acer clic9 derecho en el server y despu+s en 7onfigure and $nable *outing and *emote Access) 3) 7acer clic9 en 1e3t de la pantalla del wi*ard #elcome to t+e *outing and *emote Access Server Setup #i.ard) 2) Seleccionar 7ustom configuration en la p,ina 7onfiguration, y hacer clic9 en 3e>t) N) Seleccionar 8A3 routing en la p,ina 7ustom 7onfiguration y hacer clic9 en 3e>t) C) 7acer clic9 en 0inis+ de la p,ina 7ompleting t+e *outing and *emote Access Server Setup #i.ard) P) 7acer clic9 en ?es del cuadro de advertencia de *outing and *emote Access, para iniciar el

servicio)
F) 7acer clic9 en 0inis+ de la p,ina )+is Server is 3o( a *emote AccessF&-3 Server

U) 43pandir el server y el "- *outing en la consola, y seleccionar ,eneral) H0) 7acer clic9 derecho en ,eneral y despu+s en 3e( *outing -rotocol) HH) 7acer clic9 en !27- *elay Agent del cuadro 3e( *outing -rotocol y despu+s en B@)

-ara configurar la direccin "- del !27- Server en el !27- *elay Agent deber6% H2) "brir la consola 0outin, and 0emote "ccess) H3) Seleccionar !27- *elay Agent en la consola) H2) 7acer clic9 derecho en !27- *elay Agent y despu+s en -roperties) HN) (n,resar la direcci#n (' del $7.' Server al que quiere enviar los pedidos $7.', en ,eneral del campo Server address) HC) 7acer clic9 en Add, y despu+s en B@) -ara +abilitar el !27- *elay Agent en una interfase del router deber6% HP) "brir la consola *outing and *emote Access) HF) Seleccionar !27- *elay Agent en la consola HU) 7acer clic9 derecho en !27- *elay Agent y despu+s en 3e( "nterface) 20) Seleccionar la inter ase donde quiere habilitar el $7.' 0elay ",ent, y despu+s hacer clic9 en B@) 2H) Eeri icar si est seleccionado el cuadro *elay !27- pac4ets en ,eneral del cuadro !27- *elay -roperties, en ,eneral)

'ara obtener ms in ormaci#n acerca de $7.'!


http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HC http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32N2P3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT30CH02 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233C0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233NN

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 11 | 3! +escripcin de +o$ain "a$e S%ste$

$1S es un servicio de resoluci#n de nombres que resuelve direcciones le,ibles >como www)microso t)com? en direcciones (' >como HU2)HCF)0)H?) !omain 3ame System :!3S; es una base de datos jerrquica distribuida, que contiene mapeos de nombres de host $1S a direcciones (') $1S habilita la locali*aci#n de computadoras y servicios usando nombres al anum+ricos, ms ciles de recordar) $1S tambi+n habilita la locali*aci#n de servicios de red, como 4;mail Servers y $omain .ontrollers en "ctive $irectoryI) .on $1S, los nombres de host residen en una base de datos distribuida en mLltiples servers, disminuyendo la car,a en un servidor y la capacidad para administrar este sistema de nombres) "simismo, dado que se distribuye la base de datos de $1S, su tamaMo es ilimitado y el uncionamiento no se de,rada cuanto ms servidores se a,re,an) (nter1(. es responsable de dele,ar la responsabilidad administrativa de porciones del 1amespace de dominio, y tambi+n de re,istrar nombres de dominio) 4stos Lltimos son administrados a trav+s del uso de la base de datos distribuida y almacenada en 1ame Servers, locali*ados en toda la red) .ada 1ame Server contiene archivos de base de datos que poseen in ormaci#n para una re,i#n, dominio etc), creando as la jerarqua) 'ara obtener ms in ormaci#n acerca de (nter1ic!
http!@@ww w)internic)

net

3!1 EJuF es el +o$ain "a$espaceG

4l !omain 3amespace es un rbol de nombres jerrquico que utili*a $1S para identi icar y locali*ar un host en un dominio dado, concerniente a la ra* del rbol) Los nombres en la base de datos $1S establecen una estructura l#,ica llamada $omain 1amespace, que identi ica la posici#n de un dominio en el rbol y su dominio superior) La convenci#n principal es simplemente +sta! para cada nivel de dominio, un perodo >)? se utili*a para separar a cada descendiente del subdominio y de su dominio de nivel superior)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 14 |
4l 0ully Cualified !omain 3ame :0C!3; es el nombre de dominio $1S que indica con certe*a la locali*aci#n del host al que se re iere, y su ubicaci#n en el $omain 1amespace)

3!1!1 Prctica 7' EC$o instalar el servicio +"S ServerG


'ara a,re,ar un $1S Server, 8sted debe instalar $1S service en una computadora corriendo =icroso tI WindowsI Server 2003) Antes de agregar el servicio !3S Server deber6%

Eeri icar que la con i,uraci#n (' en el servidor est+ correcta) Eeri icar que la con i,uraci#n (' del servidor conten,a una direcci#n (' esttica, una subnet mas9 y un $e ault Kateway en ambientes ruteados) Eeri icar que la cuenta de usuario ten,a los permisos adecuados) -ara agregar el servicio !3S Server deber6% H) (niciar sesi#n usando una cuenta no;administrativa) 2) 7acer clic9 en Start y despu+s en 7ontrol -anel) 3) "brir las Administrative )ools en el 7ontrol -anel y hacer clic9 derecho en Manage ?our Server, seleccionando *un as) 2) Seleccionar )+e follo(ing user en el cuadro *un As, in,resar una cuenta de usuario y password que ten,a los permisos apropiados para reali*ar la tarea, y hacer clic9 en B@) N) 7acer clic9 en Add or remove a role de la ventana =ana,e Qour Server) C) 7acer clic9 en 3e>t de la p,ina -reliminary Steps) P) Seleccionar !3S server en el wi*ard 7onfigure ?our Server, y hacer clic9 en 3e>t) F) 7acer clic9 en 3e>t de la p,ina Summary of Selections, U) (n,resar el .$ =icroso t Windows Server 2003, si se lo pide) H0) 7acer clic9 en 7ancel de la p,ina #elcome to t+e 7onfigure a !3S Server #i.ard, HH) 7acer clic9 en 0inis+ de la p,ina 7onfigure ?our Server (i.ard) 3!2 EJuF es una Juer% +"SG

8na Cuery es una solicitud de resoluci#n de nombre enviado a un $1S Server) 7ay dos tipos de Suery! 0ecursiva e (terativa)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 17 | 3!2!1 EC$o (unciona una Juer% &ecursivaG

8na Cuery *ecursiva es una solicitud de resoluci#n al $1S Server, en el caso que el cliente realice la Suery directamente al $1S Server) La Lnica respuesta aceptable a una Suery 0ecursiva es la respuesta completa o la respuesta en donde el nombre no puede ser resuelto) 8na Suery 0ecursiva nunca se redirecciona a otro $1S Server) Si el $1S consultado no obtiene la respuesta de su propia base o del cache o de otros $1S, la respuesta es un error, indicando que no puede resolver el nombre) 3!2!2 EC$o (unciona una Juer% IterativaG

" di erencia de las Suerys 0ecursivas, cuando un cliente reali*a un pedido de resoluci#n y el $1S Server no obtiene la respuesta de su propia base o del cache, la Suery (terativa consulta a otros $1S Servers en nombre del cliente para devolver la respuesta) 4jemplo! si usted necesita acceder a un sitio Web en (nternet, normalmente consultara al $1S de su (S', y +ste Lltimo se encar,ara de

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 19 |

contactar a otros $1S Servers hasta lo,rar la respuesta) 'ero analice lo si,uiente! es imposible en (nternet que el $1S de su (S' conten,a todas las resoluciones posibles en toda la red (nternet, y por eso las bases de $1S se distribuyen y se resuelven nombres de orma (teractiva)

3!2!3 EC$o (unciona el cac ing de +"S ServerG

7ac+ing es el proceso de almacenar la in ormaci#n reciente temporalmente, y resulta en un subsistema especial de la memoria para un acceso ms rpido) .uando un server est procesando una Suery 0ecursiva, puede ser que se requiera enviar varias Suerys para encontrar la respuesta de initiva) 4n el peor de los casos para resolver un nombre, el server local comien*a en el 0oot $1S y trabaja hacia abajo hasta que encuentra los datos solicitados) 4l server ,uarda la in ormaci#n de la resoluci#n en su cache por un tiempo determinado) 4ste periodo de tiempo se denomina -ime to Live >--L? y es especi icado en se,undos) 4l administrador del server que contiene la primary *one donde estn los datos, decide el valor del --L) .uanto ms pequeMo sea el valor del --L, le ayudar a mantener datos ms consistentes en caso de cambios) Sin embar,o, esto tambi+n ,enerar ms car,a de trabajo sobre el 1ame Server) $espu+s que el $1S Server ,uarda en cache los datos, el --L comien*a a decrecer hacia abajo hasta lle,ar a 0 >*ero? y en ese punto el re,istro es eliminado del cache de $1S Server) =ientras el valor de --L est activo, el $1S Server resuelve los pedidos utili*ando el re,istro de cache)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 1: | 3!3! Prctica 9' EC$o con(igurar propiedades del servicio +"S ServerG

'ara con i,urar propiedades del servicio $1S Server, 8sted necesita actuali*ar los 0oot 7ints en el $1S Server) Los 0oot 7ints determinan si su server consulta a los root de (nternet o si el root es un server interno) -ara actuali.ar los *oot 2ints en el !3S Server deber6% H) 2) 3) 2) "brir la consola de $1S) Seleccionar el server apropiado en la consola $1S) 7acer clic9 en -roperties del menL Action) 4n *oot 2ints, 8sted puede hacer clic9 en! Add, para a,re,ar un 1ame Server) ",re,ue la (' de su server) $dit, para editar un 1ame Server) *emove, para quitar un 1ame Server) 7opy from Server, para copiar la lista de 1ame Servers desde otro $1S Server) 7acer clic9 en B@ para cerrar el cuadro -roperties) .errar la consola $1S

N) C)

3!. EC$o se al$acenan % se $antienen los datos +"SG

8na .ona es una parte conti,ua del espacio de nombres de dominio en el que un servidor $1S tiene autoridad para resolver consultas $1S) 4l espacio de nombres $1S se puede dividir en di erentes *onas, que almacenan in ormaci#n de nombres acerca de uno o varios dominios $1S, o partes de ellos) 'ara cada nombre de dominio $1S incluido en una *ona, +sta se convierte en el ori,en autori*ado de la in ormaci#n acerca de ese dominio)
Antes de crear .onas5 siguientes conceptos% debe comprender los

)ipos de .onas Los servidores $1S pueden alojar varios tipos de *ona) 'ara limitar el nLmero de servidores $1S en la red, puede con i,urar uno solo que admita o aloje varias *onas) -ambi+n puede con i,urar varios servidores para alojar una o varias *onas con el in de proporcionar tolerancia a errores y distribuir la car,a de trabajo administrativa y de resoluci#n de nombres)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 20 |
Arc+ivo de .ona Los re,istros de recursos que se almacenan en un archivo de *ona de inen a +sta) 4l archivo de *ona almacena in ormaci#n que se utili*a para convertir nombres de host en direcciones (' y viceversa) I$portante' 'ara crear *onas y administrar un servidor $1S que no se ejecuta en un controlador de dominio, debe ser miembro del ,rupo de administradores en ese equipo) 'ara con i,urar un servidor $1S que se ejecuta en un controlador de dominio, debe ser miembro de los ,rupos administradores de $1S, administradores de dominio o administradores 4nterprise)

3!.!1! Identi(icacin tipos de Aonas

de

4n la tabla si,uiente se describen los cuatro tipos de *onas que se pueden con i,urar, as como los archivos de *ona asociados con ellas) /stndar Principal' .ontiene una versi#n de lectura y escritura del archivo de *ona que se almacena en un archivo de te3to estndar) Los cambios reali*ados en la *ona se re,istran en dicho archivo) /stndar Secundario' .ontiene una versi#n de s#lo lectura del archivo de *ona que se almacena en otro archivo de te3to estndar) Los cambios e ectuados en la *ona se re,istran en el archivo de *ona principal y se replican en el archivo de *ona secundaria) .ree una *ona secundaria estndar para crear una copia de una *ona e3istente y de su archivo de *ona) $e esta orma se puede distribuir la car,a de trabajo de la resoluci#n de nombres entre varios servidores $1S) Integrada de #ctive +irector%' 4n lu,ar de almacenar la in ormaci#n de *ona en un archivo de te3to, se almacena en "ctive $irectory) Las actuali*aciones de la *ona se producen automticamente durante la replicaci#n de "ctive $irectory) .ree una *ona inte,rada de "ctive $irectory para simpli icar el planeamiento y la con i,uraci#n de un espacio de nombres $1S) 1o es necesario con i,urar servidores $1S para especi icar c#mo y cundo se producen las actuali*aciones, ya que "ctive $irectory mantiene la in ormaci#n de *ona)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 21 |
Kona Stu2' La *ona Stub son las copias de una *ona que contienen solamente los re,istros que son necesarios identi icar en el server autoritativo $1S para esa *ona) 8na *ona stub contiene un subconjunto de datos de la *ona que consisten en re,istros S/", 1S, y ") Las *ona Stub puede ser utili*ada donde un servidor interno $1S representa al 0oot en lu,ar de los 0oot Servers de (nternet)

3!.!1!1 Konas /stndar Principales


4l servidor principal de una *ona actLa como punto de actuali*aci#n de la *ona) Las *onas reci+n creadas son siempre de este tipo) .on Windows Server 2003, las *onas principales se pueden utili*ar de una de dos ormas! como *onas estndar principales o como *onas principales inte,radas con "ctive $irectory) 4n las *onas estndar principales, s#lo un servidor puede alojar y car,ar la copia maestra de la *ona) Si crea una *ona y la mantiene como *ona estndar principal, no se permite nin,Ln servidor principal adicional para la *ona) S#lo un servidor puede aceptar actuali*aciones dinmicas y procesar los cambios de *ona) 4l modelo principal estndar supone un punto de concentraci#n de errores) 'or ejemplo, si por cualquier motivo el servidor principal de una *ona no est disponible para la red, no se puede reali*ar nin,una actuali*aci#n dinmica de la *ona) -en,a en cuenta que las consultas de nombres en la *ona no se ven a ectadas y pueden continuar sin interrupci#n, siempre y cuando los servidores secundarios de la *ona est+n disponibles para responderlas) La adici#n de una nueva *ona principal a un servidor e3istente puede llevarse a cabo siempre que se necesiten dominios o subdominios adicionales en el espacio de nombres de dominio $1S) 'or ejemplo, podra tener una *ona para un dominio de se,undo nivel como microso t)com y desear a,re,ar una *ona principal para el nuevo subdominio como itppro)microso t)com) 4n este ejemplo puede crear la *ona nueva para el subdominio con el "sistente para con i,uraci#n de *ona nueva del complemento $1S) .uando haya inali*ado, debe crear una dele,aci#n en la *ona principal del nuevo dominio >como la *ona microso t)com? para completar la adici#n del nuevo subdominio y su *ona principal) 4n las *onas principales estndar, al,unas veces puede ser necesario cambiar el servidor principal desi,nado para una *ona) 'or ejemplo, supon,amos que el servidor principal actual de una *ona principal estndar es Servidor " y el nuevo servidor principal de la *ona es Servidor :) 'ara in luir en el cambio de estado del Servidor " al Servidor :, realice los si,uientes cambios de *ona! H) ",re,ue un nuevo re,istro de recursos >00? de host >"? para el Servidor :) 2) "ctualice el re,istro de recursos de servidor de nombres >1S? de la *ona para quitar el Servidor " e incluir el Servidor : como servidor autori*ado y con i,urado, que apunta al nuevo re,istro de recursos 00 " a,re,ado en el paso H) 3) .ambie el nombre del campo de propietario del re,istro de recursos de inicio de autoridad >S/"? para la *ona del Servidor " al Servidor :)

2) N)

Suite el re,istro de recursos " anti,uo del Servidor ") .ompruebe la *ona principal para ase,urarse que los re,istros de dele,aci#n >re,istros de recursos 1S o "? utili*ados se actuali*an para hacer re erencia al Servidor :)

3!.!1!2 Konas Secundarias

/stndar

Las especi icaciones de diseMo de $1S recomiendan el uso de al menos dos servidores $1S para alojar cada *ona) 'ara las *onas de tipo estndar principal, se necesita un servidor secundario para a,re,ar y con i,urar la *ona que aparece ante otros servidores $1S de la red) Los servidores secundarios pueden proporcionar un medio para aliviar el tr ico de consultas $1S en reas de la red en las que una *ona se consulta y utili*a mucho) "dems, si un servidor principal deja de ser operativo, un servidor secundario puede reali*ar parte de la resoluci#n de nombres en la *ona hasta que el servidor principal est+ disponible)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 22 |
Si a,re,a un servidor secundario, intente ubicarlo lo ms cerca posible de los clientes que requieran muchos nombres en la *ona) "dems, es recomendable colocar servidores secundarios a trav+s de un router, ya sea en otras subredes >si se utili*a una L"1 ruteada? o en vnculos W"1) $e esta manera, se usa e ica*mente un servidor secundario como copia de se,uridad local en aquellos casos en los que un vnculo de red intermedio se convierte en un punto de concentraci#n de errores entre servidores y clientes $1S que utili*an la *ona) .omo el servidor principal siempre mantiene la copia maestra de las actuali*aciones y cambios e ectuados en la *ona, el servidor secundario depende de mecanismos de trans erencia de *onas $1S para obtener su in ormaci#n y mantenerla actuali*ada) "l,unas cuestiones como los m+todos de trans erencia de *ona, ya sea mediante trans erencias de *ona completas o incrementales, se simpli ican cuando se utili*an servidores secundarios) "l considerar el impacto de las trans erencias de *ona causadas por los servidores secundarios, ten,a en cuenta su ventaja como ori,en de copia de se,uridad de in ormaci#n y comprela con el costo a,re,ado que suponen en la in raestructura de red) 8na re,la sencilla es que por cada servidor secundario que se a,re,a, aumenta el uso de la red >debido al tr ico adicional ,enerado en la replicaci#n de *ona? y el tiempo necesario para sincroni*ar la *ona en todos los servidores secundarios)

3!.!1!3 Konas Integradas de #ctive +irector%


4n Windows Server 2003 puede a,re,ar ms servidores principales para una *ona, mediante las caractersticas inte,radas de almacenamiento y replicaci#n de directorios del servicio $1S) 'ara ello, es necesario cambiar una *ona e inte,rarla en "ctive $irectory)

'ara inte,rar una *ona e3istente en "ctive $irectory, cambie el tipo de una *ona en el servidor principal de ori,en donde se cre# por primera ve*) 8na ve* que el tipo de *ona haya cambiado de estndar principal a (nte,rada de "ctive $irectory, podr a,re,ar la *ona a otros servidores $1S) " tal e ecto, deber con i,urarlos de modo que usen la opci#n para iniciar desde servicios de directorio cuando inicialicen el servicio $1S) .uando se selecciona esta opci#n, otros servidores $1S que uncionan como controladores de dominio para el dominio de "ctive $irectory y tienen instalado el servicio $1S pueden consultar el directorio y car,ar automticamente todas las *onas inte,radas de +l, que se almacenan en la base de datos de directorios) 1o se requiere nin,Ln otro paso) .ualquier servidor $1S que uncione como parte de "ctive $irectory es tambi+n, de manera predeterminada, servidor principal para las *onas inte,radas de directorio) 4n las *onas principales inte,radas de directorio, los servidores secundarios se admiten pero no son necesarios para o recer tolerancia a errores) 'or ejemplo, dos servidores $1S que uncionan como controladores de dominio de Windows Server 2003 pueden ser servidores principales redundantes para una *ona y o recer las mismas ventajas que supone a,re,ar un servidor secundario, adems de otras adicionales) .omo el archivo de *ona se mantiene en el conte3to de nombres de dominio de "ctive $irectory, los controladores de dominio deben estar en el mismo dominio para actuar como servidores principales redundantes en una *ona) .uando sea necesario compartir esta in ormaci#n de *ona entre dominios, deber crearse un servidor de *ona secundaria estndar) "ota' 4ste tipo de *ona se ver ms claramente en el captulo 2 G"ctive $irectoryG)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 23 | 3!1 EJuF son &esource &ecords % &ecord 8%pesG

Los archivos de *ona contienen la in ormaci#n a la que un servidor $1S hace re erencia para reali*ar dos tareas distintas! convertir nombres de host en direcciones (' y convertir direcciones (' en nombres de host) 4sta in ormaci#n se almacena como re,istros de recursos que llenan el archivo de *ona) 8n archivo de *ona contiene los datos de resoluci#n de nombres para una *ona, incluidos los re,istros de recursos con in ormaci#n para responder a consultas $1S) Los re,istros de recursos son entradas de base de datos que incluyen varios atributos de un equipo, como el nombre de host o el nombre de dominio completo, la direcci#n (' o el alias) 8os servidores !3S pueden contener siguientes tipos de registros de recursos% los

# ) ost,' .ontiene la in ormaci#n de asi,naciones de nombre a direcci#n (', que se utili*a para asi,nar un nombre de dominio $1S a una direcci#n (' de host en la red) Los re,istros de recursos " tambi+n se conocen como re,istros de host) "S )na$e server,' $esi,na los nombres de dominio $1S de los servidores que tienen autoridad en una *ona determinada o que contienen el archivo de *ona de ese dominio) C"#*/ )canonical na$e,' 'ermite proporcionar nombres adicionales a un servidor que ya tiene un nombre en un re,istro

de recursos ") 'or ejemplo, si el servidor llamado webserverH)nwtraders)ms t aloja el sitio web de nwtraders)ms t, debe tener el nombre comLn ww)nwtraders)ms t) Los re,istros de recursos .1"=4 tambi+n se conocen como re,istros de alias) *L )$ail e?c anger,' 4speci ica el servidor en el que las aplicaciones de correo electr#nico pueden entre,ar correo) 'or ejemplo, si tiene un servidor de correo que se ejecuta en un equipo llamado mailH)nwtraders)ms t y desea que todo el correo de nombre$e8suarioXnwtraders)ms t se entre,ue en este servidor, es necesario que el re,istro de recursos =O e3ista en la *ona de nwtraders)ms t y apunte al servidor de correo de ese dominio)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 2. |
SB# )Start #ut orit%,' (ndica el punto de partida o el punto ori,inal de autoridad para la in ormaci#n almacenada en una *ona) 4l re,istro de recursos S/" es el primero que se crea cuando se a,re,a una *ona nueva) .ontiene tambi+n varios parmetros que utili*an otros equipos que emplean $1S para determinar cunto tiempo utili*arn la in ormaci#n de la *ona y con cunta recuencia hay que reali*ar actuali*aciones) P8& )pointer,' Se utili*a en una *ona de bLsqueda inversa creada en el dominio in;addr)arpa para desi,nar una asi,naci#n inversa de una direcci#n (' de host a un nombre de dominio $1S de host) S&- )service,' Lo re,istran los servicios para que los clientes puedan encontrar un servicio mediante $1S) Los re,istros S0E se utili*an para identi icar servicios en "ctive $irectory y tambi+n se conocen como re,istros de ubicaci#n de servicio)

3!4 Creacin de Aonas de 2Ms>ueda estndar

4n la mayora de las bLsquedas de $1S los clientes suelen reali*ar una bLsqueda directa, que es una solicitud para asi,nar un nombre de equipo a una direcci#n (') $1S proporciona tambi+n un proceso de bLsqueda inversa, que permite a los clientes solicitar un nombre de equipo en unci#n de la direcci#n (' del equipo)

3!4!1! Creacin de 2Ms>ueda directa

una

Aona

de

'ara crear una *ona de bLsqueda directa, ha,a clic9 en BGs'ueda directa en la p,ina Hona de bGs'ueda directa o invers a del "sistente para *ona nueva) 4l asistente lo ,ua por el proceso de asi,nar un nombre a la *ona y al archivo de *ona, y asimismo crea automticamente la *ona, el

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 21 |
archivo de *ona y los re,istros de recursos necesarios para el servidor $1S en el que se crea la *ona)

3!4!2! Creacin de 2Ms>ueda inversa

una

Aona

de

'ara crear una *ona de bLsqueda inversa, ha,a clic9 en BGs'ueda inversa en la p,ina Hona de bGs'ueda directa o inversa del "sistente para *ona nueva) 4l asistente le indica c#mo especi icar la identi icaci#n de la red o el nombre de *ona y c#mo comprobar el nombre del archivo de *ona se,Ln la in ormaci#n de identi icaci#n de la red) "simismo crea automticamente la *ona, el archivo de *ona y los re,istros de recursos necesarios para el servidor $1S en el que se crea la *ona) 4l dominio in;addr)arpa es un dominio $1S especial de nivel superior que est reservado para la asi,naci#n inversa de direcciones (' en nombres de host $1S) 'ara crear el espacio de nombres inverso, se orman subdominios en el dominio in;addr)arpa con el orden inverso de los nLmeros en notaci#n decimal con puntos de las direcciones (') 'ara cumplir los estndares 0%., el nombre de la *ona de bLsqueda inversa requiere el su ijo de dominio in;addr)arpa) "l crear una *ona de bLsqueda inversa, este su ijo se a,re,a automticamente al inal de la identi icaci#n de la red) 'or ejemplo, si la red utili*a el identi icador de red de clase : HP2)HC)0)0, el nombre de la *ona de bLsqueda inversa se convierte en HC)HP2)in; addr)arpa)

3!7! Con(iguracin de Aonas estndar

'ara cada *ona, el servidor que mantiene los archivos de *ona principal estndar se llama servidor principal, y los servidores que alojan los archivos de *ona secundaria estndar se llaman servidores secundarios) 8n servidor $1S puede alojar el archivo de *ona principal estndar >como servidor principal? de una *ona y el archivo de *ona secundaria estndar >como servidor secundario? de otra *ona) -uede configurar uno o varios servidores !3S para alo/ar%

8na o varias *onas principales estndar) 8na o varias *onas secundarias estndar)
8na combinaci#n de *onas principales estndar y *onas secundarias estndar) "ota' 'ara crear una *ona secundaria estndar, debe crear primero una *ona principal estndar)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 24 |

3!7!1 /speci(icacin de un *aster Server +"S para una Aona secundaria

"l a,re,ar una *ona secundaria estndar, debe desi,nar uno o varios servidores $1S en donde obtener la in ormaci#n de *ona) 4l servidor o servidores desi,nados se conocen como =aster Servers $1S) 8n Master Server !3S trans iere in ormaci#n de *ona al servidor $1S secundario) 8sted puede desi,nar un servidor principal u otro servidor secundario como =aster Server $1S para una *ona secundaria estndar) 'ara especi icar un =aster Server $1S en la p,ina =asters Servers del "sistente para *ona nueva, escriba la direcci#n (' del =aster Server en el cuadro $irecci#n (' y ha,a clic9 en ",re,ar) 3!9 Prctica :' Con(igurando Aonas +"S .on i,urar una *ona de bLsqueda del tipo primario "o$2re de Aona! n(traders msft

$espu+s de terminar esta tarea, obtendr una *ona primaria con i,urada) H) "brir la consola $1S) 2) 7acer clic9 derecho en el $1S Server de la consola $1S, y despu+s en 3e( Hone) 3) 7acer clic9 en 3e>t de la p,ina #elcome to t+e 3e( Hone #i.ard 2) Seleccionar -rimary .one en la p,ina Hone )ype y despu+s hacer clic9 en 3e>t) N) Seleccionar 0or(ard loo4up .one en la p,ina 0or(ard or *everse 8oo4up Hone, y despu+s hacer clic9 en 3e>t) C) (n,resar el nombre $1S para la *ona en la p,ina Hone 3ame, y hacer clic9 en 3e>t) P) 7acer clic9 en 3e>t de la p,ina Hone 0ile para aceptar los de aults) F) 7acer clic9 en 0inis+ de la p,ina 7ompleting t+e 3e( Hone #i.ard) U) .errar la consola $1S) 3!:! Proceso de trans(erencia de Aona

'ara proporcionar disponibilidad y tolerancia a errores en la resoluci#n de nombres, los datos de la *ona deben estar disponibles desde ms de un servidor $1S de una red) 'or ejemplo, si se utili*a un solo servidor $1S y +ste no responde, las consultas de nombres allarn) .uando se con i,ura ms de un servidor para alojar una *ona, se requieren trans erencias de *ona para replicar y sincroni*ar los datos de la *ona entre todos los servidores que estn con i,urados para alojarla)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 27 | 3!:!1! 8rans(erencia de Aona

La transferencia de .ona es el proceso en el que un archivo de *ona se replica en otro servidor $1S) Las trans erencias de *ona se producen cuando las asi,naciones de nombres y direcciones (' cambian en el dominio) .uando esto ocurre, los archivos de *ona modi icados se copian desde un =aster Server a sus servidores secundarios) 3!:!2! 8rans(erencia de Aona incre$ental 4n Windows Server 2003, la in ormaci#n de una *ona se actuali*a mediante transferencias de .ona incrementales :"=0*;, que s#lo replican los cambios reali*ados en el archivo de *ona, en lu,ar de replicar todo el archivo) Los servidores $1S que no admiten (O%0 solicitan el contenido entero de un archivo de *ona cuando inician una trans erencia de *ona) 4sto se conoce como "O%0 o transferencia de .ona completa) $l proceso de transferencia de .ona se inicia cuando se produce una de las siguientes situaciones% 8n servidor maestro enva al servidor o servidores secundarios una noti icaci#n anunciando que se ha producido un cambio en la *ona) .uando el servidor secundario recibe la noti icaci#n, consulta los cambios en el =aster Server) .ada servidor secundario consulta peri#dicamente un servidor maestro para comprobar si hubo cambios en el archivo de *ona, incluso si no se le ha noti icado nin,Ln cambio) 4sto ocurre cuando se inicia el servicio Servidor $1S en el servidor

secundario o cuando transcurre el intervalo de actuali*aci#n en el servidor secundario) 3!10! Introduccin a las actualiAaciones din$icas

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 29 |
8sted puede con i,urar servidores $7.' para asi,nar automticamente direcciones (' a equipos cliente) .uando un cliente recibe una nueva direcci#n (' de un servidor $7.', se debe actuali*ar la in ormaci#n de asi,naciones de nombres a direcciones (' almacenadas en el servidor $1S) 4n Windows 2003, los servidores y los clientes $7.' pueden re,istrar y actuali*ar dinmicamente esta in ormaci#n de los servidores $1S con i,urados para permitir actuali*aciones dinmicas)

3!10!1 Protocolo actualiAacin din$ica

de

4l protocolo de actuali*aci#n dinmica permite a los equipos cliente actuali*ar automticamente sus re,istros de recursos en un servidor $1S sin necesidad de

intervenir el administrador) $e orma predeterminada, los equipos con Windows 2000, Windows O' y Windows Server 2003 se con i,uran para reali*ar actuali*aciones dinmicas cuando tambi+n se con i,uran con una direcci#n (' esttica)

3!10!2 Proceso actualiAacin din$ica

de

.uando un servidor $7.' asi,na una direcci#n (' a un cliente $7.' basado en Windows 2000 # Windows Server 2003, se produce el si,uiente proceso! H) 2) 3) 2) 4l cliente inicia un mensaje de solicitud $7.' al servidor $7.', en el que solicita una direcci#n (') 4ste mensaje incluye el nombre de dominio completo) 4l servidor $7.' devuelve al cliente un mensaje de con irmaci#n $7.', en el que se otor,a una concesi#n de direcci#n (') 4l cliente enva al servidor $1S una solicitud de actuali*aci#n $1S de su propio re,istro de bLsqueda directa, el re,istro de recursos " >direcci#n?) 4l servidor $7.' enva actuali*aciones para el re,istro de bLsqueda inversa del cliente $7.', el re,istro de recursos '-0 >puntero?) 'ara reali*ar esta operaci#n, el servidor $7.' utili*a el nombre de dominio completo que obtuvo en el primer paso)

3!10!3! #ctualiAaciones din$icas para clientes con versiones anteriores de Windows


Los equipos cliente que ejecutan versiones anteriores de Windows no admiten actuali*aciones dinmicas) $ebe con i,urar el servidor $7.' para que actualice siempre los re,istros de recursos " y '-0 de esos clientes) 4n tal caso, se produce el proceso si,uiente! H) 4l cliente inicia un mensaje de solicitud $7.' al servidor $7.', en el que solicita una direcci#n (') " di erencia de los mensajes de solicitud $7.' de los clientes $7.' basados en Windows 2000, la solicitud no incluye un nombre de dominio completo) 2) 4l servidor devuelve al cliente un mensaje de con irmaci#n $7.', en el que se otor,a una concesi#n de direcci#n (') 3) 4l servidor $7.' enva al servidor $1S actuali*aciones de los re,istros de recursos "y '-0 del cliente )

3!10!.! Con(iguracin del +"S Server para per$itir actualiAaciones din$icas


'ara con i,urar un servidor $1S de modo que permita actuali*aciones dinmicas, abra el cuadro de dilo,o -ropiedades de la *ona en el servidor $1S que desee con i,urar) 4n la icha ,eneral, en el cuadro de lista IAllo( !ynamic updatesJ, ha,a clic9 en ?es) 4n la tabla si,uiente se describen las opciones disponibles para las actuali*aciones dinmicas) 3o $eshabilita las actuali*aciones dinmicas para la *ona ?es 7abilita las actuali*aciones dinmicas para la *ona Bnly secure updates 'ermite las actuali*aciones dinmicas se,uras de una *ona inte,rada de "ctive $irectory reali*adas desde equipos cliente autori*ados)

'ara obtener ms in ormaci#n acerca de $1S!

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 2: |
http!@@www)microso t)com@Windows2000@technolo,ies@communications@dns@de ault)asp http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFH2NUH http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32322N http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HU http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222NU http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222C0 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HP http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCNHF http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCNCP http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3232HF

.! +escripcin de WI"S )Windows Internet "a$e S%ste$,

4l m+todo ms habitual para resolver nombres 1et:(/S remotos y locales es el uso de un servidor de nombres 1et:(/S) .uando un usuario ejecuta determinados comandos, como net use, o hace que una aplicaci#n 1et:(/S interactLe con la red, se inicia el proceso de resoluci#n de nombres 1et:(/S) 4n la cach+ de nombres 1et:(/S es donde se

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 30 |
comprueba si se encuentra la asi,naci#n de nombre 1et:(/S en direcci#n (' del host de destino) 4n caso que el nombre 1et:(/S no se encuentre en la cach+, el cliente intentar determinar la direcci#n (' del host de destino mediante otros m+todos) Si el nombre no se puede resolver con la cach+, el nombre 1et:(/S del host de destino se enva al servidor de nombres 1et:(/S con i,urado para el host de ori,en) 8na ve* que el nombre se convierte en una direcci#n (', se devuelve al host de ori,en) W(1S es la implementaci#n de =icroso t de un servidor de nombres 1et:(/S) -ara 'ue #"3S funcione correctamente en una red5 cada

cliente debe%

0e,istrar su nombre en la base de datos W(1S) "l iniciar un cliente, +ste re,istra su nombre en el servidor W(1S con i,urado) 0enovar el re,istro a intervalos con i,urables) Los re,istros de los clientes son temporales y, por lo tanto, los clientes W(1S deben renovar re,ularmente su nombre o, de lo contrario, su concesi#n caducar) Liberar los nombres de la base de datos al cerrarse) Si el cliente W(1S ya no necesita su nombre, por ejemplo cuando se apa,a, enva un mensaje para indicar al servidor W(1S que lo libere) 9na ve. 'ue se +a configurado con #"3S como mKtodo de resolucin de nombres5 el cliente lo usar6 para llevar a cabo resoluciones de nombres 3etB"BS -ara ello debe reali.ar las acciones siguientes% H) Si el cliente no puede resolver el nombre en su cach+, enva una consulta de nombre a su servidor W(1S principal) Si +ste no responde, el cliente enviar la solicitud dos veces ms) 2) Si el cliente no recibe una respuesta del servidor W(1S principal, vuelve a enviar la solicitud a todos los servidores W(1S adicionales, con i,urados en el cliente) Si un servidor W(1S resuelve el nombre, responder al cliente con la direcci#n (' del nombre 1et:(/S solicitado) 3) 4n caso que no se reciba nin,una respuesta, el servidor W(1S enviar un mensaje indicando que el nombre no se encuentra, y el cliente pasar al si,uiente m+todo de resoluci#n de nombres con i,urado) .!1 Prctica 10' Instalacin de WI"S 'ara crear un servidor W(1S, instale W(1S en un equipo donde se ejecute #indo(s Server 2003) -ara instalar #"3S deber6% H) 7acer doble clic9 en Add F remove programs del 'anel de control) 2) 7acer clic9 en Add F remove #indo(s components) 3) 7acer clic9 en 1etwor9 Services y en $etails de la p,ina #indo(s components del "sistente para componentes de Windows, en 7omponents) 2) "ctivar la casilla de veri icaci#n #"3S Service 4n el cuadro de dilo,o 3et(or4 Services, en

N)

Subcomponents, y hacer clic9 en B4) 7acer clic9 en 3e>t)

.!2! /studio de los registros de la 2ase de datos WI"S

La snap;in W(1S de =icroso t =ana,ement .onsole >==.? permite al usuario ver el contenido de la base de datos W(1S y buscar entradas espec icas)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 31 |
#pertura de la 2ase de datos WI"S -ara abrir la base de datos #"3S deber6%

H) 43pandir el nombre del servidor en W(1S y hacer clic9 en Active registries) 2) 7acer clic9 con el bot#n secundario del mouse en Active registries y lue,o hacer clic9 en find by o(ner) 3) 7acer clic9 en All B(ners del cuadro de dilo,o find by o(ner, en la icha B(ners, y lue,o hacer clic9 en 0ind) .!2!1! /studio de la in(or$acin de registro de WI"S W(1S muestra todos los re,istros de la base de datos y or,ani*a la in ormaci#n de re,istro de W(1S
en las columnas si,uientes!

3ombre de registro 4l nombre 1et:(/S re,istrado, que puede ser un nombre Lnico o puede representar a un ,rupo, un ,rupo de (nternet o un equipo multitarjeta)

)ipo 4l servicio que re,istr# la entrada, incluido el identi icador de tipo he3adecimal) !ireccin "- La direcci#n (' correspondiente al nombre re,istrado) $stado 4l estado de la entrada de la base de datos, que puede ser "ctivo, Liberado o $esechado) Si el estado de la entrada es $esechado, +sta ya no estar activa y se quitar de la base de datos) -ropietario 4l servidor W(1S desde que se ori,ina la entrada) $ebido a la replicaci#n, no es necesariamente el mismo servidor desde el que se est viendo la base de datos) &ersin 1Lmero he3adecimal Lnico, asi,nado por el servidor W(1S durante el re,istro de nombres) Los asociados del servidor lo utili*an para identi icar nuevos re,istros durante la replicaci#n) 7aducidad =uestra la echa de caducidad de la entrada) .uando un replicado se almacena en la base de datos, los datos de caducidad correspondientes se establecen de acuerdo con la hora del servidor W(1S de recepci#n, adems del intervalo de renovaci#n establecido en el cliente) .!3! &eplicacin de WI"S

"unque un servidor W(1S puede admitir ms de N)000 clientes en condiciones normales de car,a de trabajo, puede instalar tambi+n un se,undo servidor para proporcionar tolerancia a errores en la resoluci#n de nombres 1et:(/S) $icho servidor permitir, al mismo tiempo, locali*ar el tr ico de resoluci#n) $e esta orma, si se produce un error en uno de los servidores W(1S, el otro servidor continuar reali*ando la resoluci#n de nombres 1et:(/S en la red) .ada servidor W(1S de una red mantiene su propia base de

datos W(1S) 'or lo tanto, si hay varios servidores W(1S en la red, debern con i,urarse para replicar los re,istros de su base de datos en el resto de los servidores W(1S) La replicaci#n de bases de datos W(1S ,aranti*a que un cliente W(1S con i,urado para usar un servidor W(1S distinto, pueda resolver nombres re,istrados con un servidor W(1S)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 32 |
-or e/emplo%

4l host " de la subred H se re,istra con el servidor W(1S " de la subred H) 4l host : de la subred 2 se re,istra con el servidor W(1S : de la subred 2) .uando se produce una replicaci#n de W(1S, cada servidor W(1S actuali*a su base de datos con la nueva entrada procedente de la base de datos del otro servidor) .omo resultado de la replicaci#n, ambos servidores W(1S disponen de in ormaci#n acerca de ambos hosts, y los hosts " y : pueden resolver mutuamente sus nombres si se ponen en contacto con su servidor W(1S local) 'ara que se produ*ca la replicaci#n, cada servidor W(1S deber con i,urarse con un asociado de replicaci#n, como mnimo) "l con i,urar un asociado de replicaci#n para un servidor W(1S, puede especi icarlo como asociado de e3tracci#n, como asociado de inserci#n o como asociado de e3tracci#n e inserci#n para el proceso de replicaci#n) .!3!1 EC$o (unciona la replicacin Pus G

.!3!1! 1! +e(ini cin La replicaci#n -us+ es el proceso de copia de los re,istros actuali*ados desde un W(1S Server a otros, siempre que el W(1S Server que conten,a datos actuali*ados, alcance un valor especi icado de cambios) $l proceso de replicacin -us+ funciona de la siguiente forma% H) 4l 'ush 'artner noti ica a sus 0eplication 'artners, siempre que el nLmero de cambios a su base de datos del W(1S pase un valor espec ico con i,urable) 'or

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 33 |
ejemplo, 8sted puede con i,urar el 'ush 'artner para noti icar a los 0eplication 'artners cuando ocurran N0 cambios en la base) 2) .uando los 0eplication 'artners respondan a la noti icaci#n con un pedido de r+plica, el 'ush 'artner enva la r+plica de las entradas nuevas en la base)

.!3!2 EC$o (unciona replicacin PullG

una

.!3!2!1! +e(inici n
La replicaci#n -ull es el proceso de copia de los re,istros actuali*ados desde un W(1S Server a otros W(1S Servers, en intervalos espec icos de tiempo) $l proceso de replicacin -ull funciona de la siguiente forma% H) 4l 'ull 'artner solicita los cambios en la base de W(1S en intervalos de tiempo) 'or ejemplo, 8sted puede con i,urar un 'ull 'artner para solicitar los cambios cada F horas) 2) Los 0eplication 'artners responden enviando las entradas nuevas de la base)

-ambi+n e3iste la posibilidad de con i,urar 0eplications 'artners de modo 'ush@'ull) 4sto le ase,ura que bajo determinada cantidad de cambios, se produ*ca la replicaci#n en intervalos de tiempo)

.!.! Prctica 11' EC$o con(igurar una replicacin WI"SG


'ara poder hacer esta prctica 8sted necesitar dos instalaciones de Windows Server 2003 con el servicio de W( 1S ins tal ad o) 'or de ault, los W(1S 0eplication 'artners son con i,urados como 'ush@'ull 'artners) 'ara modi icar esta con i,uraci#n y satis acer las necesidades de su red, 8sted puede especi icar los parmetros 'ush y 'ull para cada 0eplication 'artner) -ara configurar una replicacin #"3S deber6%

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 3. |
H) Seleccionar, en la consola W(1S, el W(1S Server al que quiere a,re,ar un 0eplication 'artner, y hacer clic9 en *eplication -artners) 2) 7acer clic9 en 3e( *eplication -artner del menL Action, 3) (n,resar, en el campo #"3S Server, el nombre o la (' del W(1S Server a a,re,ar como 0eplication 'artner) >Se,unda .omputadora? 2) 7acer clic9 en B@) -ara modificar el tipo de *eplication -artner deber6% H) 2) 3) 2) 43pandir el W(1S Server en la consola W(1S) 7acer clic9 en *eplication -artners de la consola W(1S) 7acer clic9 derecho en el server apropriado del cuadro de detalles, y lue,o hacer clic9 en -roperties Seleccionar una de las si,uientes opciones en el cuadro Server -roperties, en Advanced, en el campo! *eplication partner type! u s + u l l u

s + F u l l N) C) 7acer clic9 en B@ del cuadro Server -roperties) .errar la consola W(1S)

'ara obtener ms in ormaci#n acerca de W(1S! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32322U

.!1! *anteni$iento .!1!1! <ac3up 8sted debe reali*ar tareas de mantenimiento en perodos de tiempo espec ico) 'ara ayudarle en esta tarea, el W(1S Server puede ser con i,urado para reali*ar los bac9ups automticamente) -en,a en cuenta que todos los so tware de bac9up no reali*an esta tarea ya que la base de datos es un archivo con privile,ios e3clusivos del sistema operativo, siempre que el servicio est+ iniciado) -ara especificar el directorio de bac4up de #"3S deber6% H) 7acer clic9 derecho sobre el W(1S Server de la consola W(1S, y despu+s hacer clic9 en -roperties) 2) (n,resar el directorio donde quiere reali*ar los bac9ups del W(1S Server, en ,eneral en el campo !efault bac4up pat+) "ota' 4l W(1S Server reali*ar un bac9up automticamente cada 22 horas) .!1!2! Co$pactar la 2ase de datos 'ara reali*ar las operaciones de reparaci#n y@o compactaci#n debe utili*ar la herramienta apropiada! la base de W(1S, que es un archivo que se encuentra en WWindowsWsystem32WWins y su nombre es Wins)mdb) La herramienta que usted debe utili*ar es jetpac9, y el comando es!

/etpac4 LSystemroot LMSystem32M#insM#ins mdb )emp mdb $onde VsystemrootV es el directorio de instalaci#n del sistema operativo y temp,mdb es una base temporal) Lue,o debe copiar la base temporal con el nombre Wins)mdb y eliminar la base anterior) 0ecuerde que para reali*ar esta tarea debe estar detenido el servicio de W(1S Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 31 | .!4! Procesos de resolucin de no$2res e integracin WI"S H +"S .!4!1! &esolucin de no$2res de ost

$l proceso de resolucin de nombres de 2BS) en un cliente cumple con el siguiente diagrama% H) 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as la resoluci#n se encuentra en el $1S cach+ local del cliente y inali*a el proceso) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 2) 4l cliente reali*a una query al $1S primario) Si el $1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 3) 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as, la resoluci#n se encuentra en el 1et:(/S cach+ local del cliente y inali*a el proceso) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 2) 4l cliente reali*a una query al W(1S primario) Si el W(1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) N) Si hasta el momento no pudo resolver el nombre, el cliente reali*a un :roadcast local) Si resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) C) 'or Lltimo tendr que consultar el archivo local L=7/S-S que se encuentra en VsystemrootVWsystem32WdriversWetc) 4ste archivo es una base esttica de resoluci#nT no tiene e3tensi#n y tampoco se actuali*a) Si este Lltimo proceso no es e3itoso, el cliente no lo,ra la resoluci#n)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 34 |
/Ce$plo de arc ivo DBS8S

.!4!2! &esolucin de no$2res "et<IBS

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 37 |
$l proceso de resolucin de nombres de 3etB"BS en un cliente cumple con el siguiente diagrama% H) 2) 3) 2) 4l cliente veri ica si ya obtuvo la resoluci#n en otra oportunidad) $e ser as, la resoluci#n se encuentra en el 1et:(/S cach+ local del cliente y inali*a el proceso) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 4l cliente reali*a una query al W(1S primario) Si el W(1S resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) Si hasta el momento no pudo resolver el nombre, el cliente reali*a un :roadcast local) Si resuelve la consulta, el proceso inali*a) Si no obtiene la resoluci#n, si,ue al paso si,uiente) 'or Lltimo tendr que consultar el archivo local L=7/S-S que se encuentra en VsystemrootVWsystem32WdriversWetc) 4ste archivo es una base esttica de resoluci#nT no tiene e3tensi#n y tampoco se actuali*a) Si este Lltimo proceso no es e3itoso, el cliente no lo,rar la resoluci#n)

/Ce$plo de #rc ivo ;*DBS8

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 3 | Pgina 39 | .!4!3! Introduccin a la integracin WI"S % +"S

4l inte,rar W(1S con $1S habilita a los clientes a usar e3clusivamente $1S para la resoluci#n de nombres) Los clientes podrn acceder a los datos de W(1S a trav+s del $1S server) Sin embar,o, el $1S Server no puede locali*ar recursos sin reali*ar una query a W(1S) 4n Windows Server 2003, 8sted puede con i,urar inte,raci#n entre W(1S y $1S para habilitar a clientes no;W(1S para resolver nombres 1et:(/S, usando un $1S Server) 8sted puede con i,urar $1S inte,rado con W(1S Servers) -ara configurar una .ona !3S

para uso de #"3S loo4up deber6% H) "brir $1S en el menL Administrative )ools) 2) 43pandir, en la consola $1S, el server donde est la *ona a con i,urar, e3pandir 0or(ard 8oo4up Hones, y lue,o hacer clic9 en la *ona) 3) 7acer clic9 derecho en la *ona, y lue,o en -roperties) 2) Seleccionar el cuadro 8se #"3S for(ard loo4up, del cuadro -roperties, en #"3S) N) (n,resar la direcci#n (' del W(1S Server, del cuadro "- address, y lue,o hacer clic9 en Add)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 1 |

Captulo . #ctive +irector% Services

1! Introduccin

$urante este captulo 8sted ir asimilando conocimientos acerca de los servicios de directorio >"ctive $irectory Services? de Windows Server 2003, en particular, sobre al,unas caractersticas nuevas de este servicio) 'ara el desarrollo de las prcticas contenidas en esa unidad, necesitar la instalaci#n de Windows Server 2003 reali*ada en la prctica H del captulo 2 y una instalaci#n adicional)
Al finali.ar este captulo 9sted tendr6 las +abilidades de%

$escribir las caractersticas del servicio de directorio "ctive $irectory) (denti icar estructuras l#,icas y sicas) (nstalar y con i,urar "ctive $irectory en la red) (denti icar caractersticas re erentes a la replicaci#n) Solucionar problemas de "ctive $irectory) 1!1! +e(inicin 4n una red de =icroso tI WindowsI Server 2003, el servicio de directorio "ctive $irectoryI proporciona la estructura y las unciones para or,ani*ar, administrar y controlar el acceso a los recursos de red) 'ara implementar y administrar una red de Windows Server 2003, deber comprender el prop#sito y la estructura de "ctive $irectory) "ctive $irectory proporciona tambi+n la capacidad de administrar centralmente la red de Windows Server 2003) 4sta capacidad si,ni ica que puede almacenar centralmente in ormaci#n acerca de la empresa, por ejemplo, in ormaci#n de usuarios, ,rupos e impresoras, y que los administradores pueden administrar la red desde una sola ubicaci#n) "ctive $irectory admite la dele,aci#n del control administrativo sobre los objetos de +l mismo) 4sta dele,aci#n permite que los administradores asi,nen a un ,rupo determinado de administradores, permisos administrativos espec icos para objetos, como cuentas de usuario o de ,rupo)

"ctive $irectory es el servicio de directorio de una red de Windows Server 2003, mientras que un servicio de directorio es aquel que almacena in ormaci#n acerca de los recursos de la red y permite que los mismos resulten accesibles a los usuarios y a las aplicaciones) Los servicios de directorio proporcionan una manera coherente de nombrar, describir, locali*ar, tener acceso, administrar y ase,urar la in ormaci#n relativa a los recursos de red) 1!2! ;a (uncionalidad "ctive $irectory proporciona uncionalidad de servicio de directorio, como medio para or,ani*ar, administrar y controlar centralmente el acceso a los recursos de red) "simismo hace que la topolo,a sica de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener acceso a cualquier recurso sin saber d#nde est el mismo o c#mo est conectado sicamente a la red) 8n ejemplo de este tipo de recurso es una impresora) "ctive $irectory est or,ani*ado en secciones que permiten el almacenamiento de una ,ran cantidad de objetos) .omo resultado, es posible ampliar "ctive $irectory a medida que crece una or,ani*aci#n, permitiendo que una or,ani*aci#n que ten,a un Lnico servidor con unos cuantos centenares de objetos, cre*ca hasta tener miles de servidores y millones de objetos)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 2 |
8n servidor que ejecuta Windows Server 2003 almacena la con i,uraci#n del sistema, la in ormaci#n de las aplicaciones y la in ormaci#n acerca de la ubicaci#n de los per iles de usuario en "ctive $irectory) 4n combinaci#n con las directivas de ,rupo, "ctive $irectory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicaci#n central, al tiempo que utili*a una inter a* de administraci#n coherente) "dems, "ctive $irectory proporciona un control centrali*ado del acceso a los recursos de red, al permitir que los usuarios s#lo inicien sesi#n una sola ve* para obtener pleno acceso a los recursos mediante "ctive $irectory)

1!3! /structura ;gica de #ctive +irector%

"ctive $irectory proporciona el almacenamiento se,uro de la in ormaci#n sobre objetos en su estructura jerrquica l#,ica) Los objetos de "ctive $irectory representan usuarios y recursos, como por ejemplo, las computadoras y las impresoras) "l,unos objetos pueden lle,ar a ser containers para otros objetos) 4ntendiendo el prop#sito y la unci#n de estos objetos, 8sted podr reali*ar una variedad de tareas, incluyendo la instalaci#n, la con i,uraci#n, la administraci#n y la resoluci#n de problemas de "ctive $irectory)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 3 |

8a estructura lgica de Active !irectory incluye los siguientes componentes%

Bb/ects 4stos son los componentes bsicos de la estructura l#,ica) Bb/ect classes Son las plantillas o los modelos para los tipos de objetos que se pueden crear en "ctive $irectory) .ada clase de objeto es de inida por un ,rupo de atributos, los cuales de inen los valores posibles que se pueden asociar a un objeto) .ada objeto tiene una combinaci#n Lnica de los valores de atributos) Brgani.ational units 8sted puede utili*ar estos container objects para or,ani*ar otros objetos con prop#sitos administrativos) /r,ani*ando objetos en /r,ani*ational 8nit, se hace ms cil locali*ar y administrar objetos) 8sted puede tambi+n dele,ar la autoridad para administrar las /r,ani*ational 8nit) 4stas Lltimas pueden contener otras /r,ani*ational 8nits para simpli icar la administraci#n de objetos) !omains Son las unidades uncionales core de la estructura l#,ica de "ctive $irectory, y asimismo es una colecci#n de los objetos administrativos de inidos, que comparten en una base de datos comLn del directorio, polticas de la se,uridad y relaciones de con ian*a con otros $omains) Los $omains proporcionan las tres unciones si,uientes! 8n lmite administrativo para los objetos =edios de administrar la se,uridad para los recursos compartidos 8na unidad de r+plica para los objetos !omain trees Son $omains a,rupados en estructuras de jerarqua) .uando se a,re,a un se,undo dominio a un tree, se convierte en .hild del tree 0oot $omain) 4l dominio al cual un .hild $omain se une, se llama 'arent $omain) 4l .hild $omain puede tener sus propios .hild $omain, y su nombre se combina con el nombre de su 'arent $omain para ormar su propio y Lnico nombre, $omain 1ame System >$1S?) 8n ejemplo de ellos sera corp)nwtraders)ms t) $e este modo, un tree tiene un 1amespace conti,uo) 0orests 8n %orest es una instancia completa de "ctive $irectory, y consiste en uno o ms trees) 4n un solo two;level tree, el cual se recomienda para la mayora de las or,ani*aciones, todos los .hild $omains se hacen .hildren del %orest 0oot $omain para ormar un tree conti,uo) 4l primer dominio en el orest se llama %orest 0oot $omain, y el nombre de ese dominio se re iere al orest, por ejemplo, nwtraders)ms t) 'or de ecto, la in ormaci#n en "ctive $irectory se comparte solamente dentro del orest) $e esta manera, la se,uridad del orest estar contenida en una sola instancia de "ctive $irectory) 1!.! ;a estructura (sica de #ctive +irector%

4n contraste con la estructura l#,ica y los requisitos administrativos de los modelos, la estructura sica de "ctive $irectory optimi*a el tr ico de la red, determinando c#mo y cundo ocurre la replicaci#n y el tr ico de lo,on) 'ara optimi*ar el uso del ancho de banda de la red "ctive $irectory, 8sted debe entender la estructura sica del mismo)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina . |
8os elementos de la estructura fsica de Active !irectory son%

!omain controllers 4stas computadoras corren =icroso tI WindowsI Server 2003 o Windows 2000 Server y "ctive $irectory) .ada $omain .ontroller reali*a unciones de almacenamiento y replicaci#n, y adems soporta solamente un domain) 'ara ase,urar una disponibilidad contnua de "ctive $irectory, cada domain debe tener ms de un $omain .ontroller) Active !irectory sites Los sites son ,rupos de computadoras

conectadas) .uando 8sted establece sites, los $omain .ontrollers que estn dentro de un solo site pueden comunicarse con recuencia) 4sta comunicaci#n reduce al mnimo el estado de la latencia dentro del site, esto es, el tiempo requerido para un cambio que se realice en un $omain .ontroller y sea replicado a otros domain controllers) 8sted crea sites para optimi*ar el uso del ancho de banda entre domain controllers en diversas locaciones) Active !irectory partitions .ada $omain .ontroller contiene las si,uientes particiones de "ctive
$irectory!

$omain 'artition, que contiene la r+plica de todos los objetos en ese domain) 4sta partici#n es replicada solamente a otros $omain .ontrollers en el mismo domain) .on i,uration 'artition, que contiene la topolo,ia del orest) La topolo,a re,istra todas las cone3iones de los $omain .ontrollers en el mismo orest) Schema 'artition, que contiene el schema del orest) .ada orest tiene un schema de modo que la de inici#n de cada clase del objeto sea constante) Las particiones .on i,uration y Schema 'artitions son replicadas a cada $omain .ontroller en el orest) "pplication 'artitions 'pcionales) que contienen los objetos relacionados a la se,uridad y son utili*ados por una o ms aplicaciones) Las "pplication 'artitions son replicadas a $omain .ontrollers espec icos en el orest) 1!1! EJuF son los Bperations *astersG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 1 |
.uando un cambio se reali*a a un domain, el cambio se replica a todos los $omain .ontrollers del mismo) "l,unos cambios, por ejemplo los que se hacen en el schema, son replicados a todos los domains en el orest) 4ste tipo de replicaci#n es llamada Multimaster *eplication)

1!1!1! Bperaciones Single *aster


$urante la replicaci#n multimaster, puede ocurrir un con licto de r+plica donde se ori,inen actuali*aciones concurrentes en el mismo atributo del objeto y en dos $omain .ontrollers) 'ara evitar con lictos de r+plica, 8sted puede utili*ar Single *aster &eplication, la cual asi,na un $omain .ontroller como el Lnico y en el que se pueden reali*ar cambios de directorio) $e esta manera, los cambios no pueden ocurrir en diversos lu,ares de la red al mismo tiempo) "ctive $irectory usa Sin,le =aster 0eplication para los cambios importantes, por ejemplo, la adici#n de un nuevo domain o cambios al schema del orest)

1!1!2! Bperations *aster &oles


Las operaciones que utili*an Sin,le =aster 0eplication van junto a roles espec icos en el

orest o en el domain) 4stos roles se llaman Bperations Master *oles) 'ara cada /peration =aster 0ole, solamente el $omain .ontroller que tiene el rol puede reali*ar los cambios asociados al directorio) 4l $omain .ontroller que es responsable de un rol en particular se llama /perations Master para ese rol) "ctive $irectory, por su parte, almacena la in ormaci#n sobre el $omain .ontroller que cumple un rol especi ico) Los /perations =aster 0oles son a nivel orest o nivel domain, y "ctive $irectory de ine cinco de ellos, los cuales tienen una locali*aci#n por de ecto) *oles 0orest1(ide forest1(ide son% Nnicos en el forest5 los roles

Sc+ema master .ontrola todas las actuali*aciones al schema) 4l schema contiene la de inici#n de clases de objetos y atributos que se utili*an para crear todos los objetos de "ctive $irectory, como usuarios, computadoras, e impresoras) !omain 3aming Master .ontrola la adici#n o el retiro de domains en el orest) .uando se a,re,a un nuevo domain al orest, solamente el $omain .ontroller que ten,a el rol $omain 1amin, =aster, podr a,re,ar el nuevo domain) 7ay solamente un Schema =aster y un $omain 1amin, =aster por orest) "mbos roles estn en el primero domain controller del root domain
*oles !omain1(ide -ara cada domain en el forest5 los roles domain1(ide son%

-rimary domain controller emulator :-!7; "ctLa como un '$. Windows 1- para soportar a los :ac9up $omain .ontrollers >:$.s? que corren =icroso t WindowsI 1- en domains, en modo mi3to) 4ste tipo de domain tiene $omain .ontroller corriendo Windows 12)0) 4l '$. 4mulator es el primer $omain .ontroller que se crea en un nuevo domain) *elative identifier master .uando se crea un nuevo objeto, el $omain .ontroller crea un nuevo Security 'rincipal, que representa al objeto, asi,nndole un 8nique Security (denti ier >S($?) 4l S($ consiste en un $omain S($, que es i,ual para todos los Security 'rincipals creados en el domain, y un relative identi ier >0($?, el cual es Lnico para cada security principal creado en el domain) 4l 0($ =aster asi,na bloques de 0($s a cada $omain .ontroller en el domain) 4l $omain .ontroller entonces asi,na el 0($ a los objetos se crean del bloque asi,nado de 0($s) "nfrastructure master .uando los objetos se mueven de un domain a otro, el (n rastructure =aster actuali*a las

re erencias al objeto en ese domain y la re erencia al objeto en el otro dominio) La re erencia del objeto contiene el /bject Klobally 8nique (denti ier >K8($?, el $istin,uished 1ame y el S($) "ctive $irectory actuali*a peri#dicamente el $istin,uished 1ame y el S($, en la re erencia

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 4 |
al objeto para re lejar los cambios reali*ados en el objeto real, por ejemplo, movimientos en y entre domains o la eliminaci#n del objeto) .ada domain en el orest tiene su propio '$. 4mulator, 0($ =aster e (n rastructure =aster)

1!1!3! 8rans(erencia de Bperations *aster &oles

8sted colocar los /perations =aster 0oles en un orest cuando implemente una estructura de orest y dominio) Los /perations =aster 0oles se trans ieren, solamente cuando se reali*a un cambio importante en la in raestructura del dominio) -ales cambios incluyen el desarme de un $omain .ontroller que haya tenido un rol, y la adici#n de un nuevo $omain .ontroller que satis a,a mejor las operaciones de un rol espec ico) La trans erencia de /perations =aster 0oles implica mover el rol de un $omain .ontroller a otro) 'ara trans erir roles, los dos $omain .ontrollers deben estar uncionando y conectados a la red) 1in,una p+rdida de datos ocurre cuando 8sted trans iere /perations =aster 0ole) "ctive $irectory replica el actual /peration =aster 0ole al nuevo $omain .ontroller, ase,urando que el nuevo /peration =aster 0ole obtendr la in ormaci#n necesaria para dicho rol) 4sta trans erencia utili*a el mecanismo de la r+plica del directorio)

'ara obtener in ormaci#n sobre el proceso de trans erencia! http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT322F0H

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 7 | 2! EJuF es el servicio de directorioG

8n servicio de directorio es un dep#sito estructurado de la in ormaci#n sobre personas y recursos en una or,ani*aci#n) 4n una red Windows Server 2003, el servicio de directorio es "ctive $irectory)
2!1! #ctive +irector% tiene las siguientes capacidades'

-ermite a usuarios y aplicaciones tener acceso a la informacin sobre ob/etos 4sta in ormaci#n se almacena en orma de valores atributos) 8sted buscar objetos basndose en su clase, atributo, valor del atributo, locali*aci#n dentro de la estructura de "ctive $irectory, o cualquier combinaci#n de estos valores) 2ace transparentes la topologa y los protocolos fsicos de la red $e esta manera, un usuario en una red puede tener acceso a cualquier recurso, por ejemplo a una impresora, sin saber d#nde est el recurso o d#nde est conectado sicamente con la red) o 'ermite el almacenamiento de un nLmero muy ,rande de objetos) $ado que se or,ani*a en particiones, "ctive $irectory puede ampliarse mientras que una or,ani*aci#n crece) 'or ejemplo, un directorio puede ampliarse de un solo servidor con al,unos objetos a millares de servidores y millones de objetos) -uede funcionar como servicio 3on1Bperating System "ctive $irectory in "pplication =ode >"$@"=? es una

nueva capacidad de =icroso t "ctive $irectory y actLa en escenarios de aplicaciones $irectory;4nabled) "$@"= unciona como servicio 1on;/peratin, System que, como tal, no requiere instalaci#n sobre un $omain .ontroller) .orrer servicios 1on; /peratin, System si,ni ica que mLltiples instancias de "$@"= pueden uncionar concurrentemente en un solo servidor, siendo cada instancia independientemente con i,urable) 'ara obtener ms in ormaci#n acerca de "$"= >"ctive $irectory "plication =ode?!
http!@@www)microso t)com@windowsserver2003@techin o@overview@adam)msp3

2!2! EJuF es el Sc e$aG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 9 |

4l Schema de "ctive $irectory contiene las de iniciones de todos los objetos, como por ejemplo usuarios, computadoras e impresoras almacenados en "ctive $irectory) Sobre $omain .ontrollers corriendo Windows Server 2003, hay solamente un Schema para todo el orest) $e esta manera, todos los objetos que se crean en "ctive $irectory cumplen con las mismas re,las) 4l Schema tiene dos tipos de de iniciones! /bject .lasses y atributos) 8n ejemplo de /bject .lasses son los usuarios, la computadora y la impresora, que describen los objetos posibles que se pueden crear en el directorio) .ada /bject .lass es una colecci#n de atributos) Los atributos se de inen separadamente de los /bject .lasses) .ada atributo se de ine solamente una ve* y

puede ser utili*ado en mLltiples /bject .lasses) 'or ejemplo, el atributo de la descripci#n se utili*a en muchos /bject .lasses, pero se de ine solamente una ve* en el Schema para ase,urar consistencia) "simismo 8sted puede crear nuevos tipos de objetos en "ctive $irectory e3tendiendo el Schema) 'or ejemplo, para un aplicaci#n 4;mail Server, se podra ampliar el 8ser .lass en "ctive $irectory con nuevos atributos que conten,an in ormaci#n adicional, como la direcci#n y el e; mail de los usuarios) Sobre $omain .ontrollers Windows Server 2003, 8sted puede revertir cambios al Schema desactivndolos y permitiendo a las or,ani*aciones, de esta orma, mejorar el uso de las caractersticas de e3tensibilidad de "ctive $irectory) -ambi+n se puede rede inir una clase o atributo del Schema, por ejemplo, cambiar la sinta3is de la secuencia de 8nicode del atributo llamado Sales=ana,er a $istin,uished 1ame)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina : | 2!3 EJuF es el Ilo2al CatalogG

4l global 7atalog es un repositorio de in ormaci#n que contiene un subconjunto de atributos de todos los objetos en "ctive $irectory) Los miembros del ,rupo Schema "dmins pueden cambiar los atributosque son almacenados en el Klobal .atalo,, dependiendo de los requerimientos de la or,ani*aci#n)
$l ,lobal 7atalog contiene%

Los atributos que se utili*an con ms recuencia en queries, por ejemplo, irst name, last name y lo,on name de los usuarios) La in ormaci#n que es necesaria para determinar la locali*aci#n de cualquier objeto en el directorio) 8n subconjunto por de ecto de los atributos para cada tipo de objeto) Los permisos de acceso para cada objeto y atributos, que son almacenados en el Klobal .atalo,) Si 8sted busca un objeto y no tiene los permisos apropiados para verlo, el objeto no aparecer en los resultados de la bLsqueda) Los permisos de acceso ase,uran que los usuarios puedan encontrar solamente los objetos a los cuales les han asi,nado el acceso) 4l ,lobal 7atalog Server es un $omain .ontroller que procesa e icientemente queries intra orest al Klobal .atalo,) 4l primer $omain .ontroller que 8sted crea en "ctive $irectory se convierte automticamente en Klobal .atalo, Server) 8sted puede con i,urar Klobal .atalo, Servers adicionales para balancear el tr ico para lo,on y queries)
$l ,lobal 7atalog permite a usuarios reali.ar dos funciones importantes%

:uscar in ormaci#n en "ctive $irectory en todo el orest, sin importar la locali*aci#n de los datos) 8sar in ormaci#n del membership del 8niversal Kroup en el proceso de lo,on a la red) Los Klobal .atalo, Servers replican su contenido en un esquema de replicaci#n) 7asta Windows 2000 estas r+plicas eran del tipo ull sync, pero a partir de Windows Server 2003 se hacen de modo partial sync, es decir, solo se replican cambios en lu,ar de enviar el catalo,o completo) 'ara poder utili*ar esta nueva caracterstica de Windows Server 2003, 8sted puede tener el nivel uncional del orest en modo Windows 2000 o Windows server 2003, pero solamente se harn r+plicas parciales entre los servidores Klobal .atalo, que corran Windows Server 2003)
2!. EJuF son los +istinguis ed % &elative +istinguis ed "a$esG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 10 |

L$"' utili*a un nombre que representa objetos en "ctive $irectory por una serie de componentes que se relacionan con la estructura l#,ica) 4sta representaci#n es llamada !istinguis+ed 3ame del objeto, e identi ica el domain donde se locali*a el objeto y la trayectoria completa por la cual el objeto es alcan*ado) 4l $istin,uished 1ame debe ser Lnico en

el "ctive $irectory orest) 4l *elative !istinguis+ed 3ame de un objeto identi ica Lnicamente el objeto en su container) $os objetos en el mismo container no pueden tener el mismo nombre) 4l 0elative $istin,uished 1ame siempre es el primer componente del $istin,uished 1ame, pero puede no ser siempre un .ommon 1ame) 'ara un usuario llamado Su*an %ine de Sales /r,ani*ational 8nit en .ontoso)ms t domain, cada elemento de la estructura l#,ica se representa en el si,uiente $istin,uished 1ame! C"NSuAan 0ine=BUNSales=+CNcontoso=+CN$s( t

.1 es el .ommon 1ame del objeto en su container) /8 es la /r,ani*ational 8nit que contiene el objeto) 'uede haber ms de un valor de /8 si el objeto reside en una /r,ani*ational 8nit anidada a ms niveles) $. es el $omain .omponent, por ejemplo )com) o )ms t)) 7ay siempre al menos dos $omain .omponents, pero posiblemente ms si el domain es un child domain) Los domain components de los $istin,uished 1ame estn basados en $omain 1ame System >$1S?) 2!1! #ctive +irector% Snap6ins % Derra$ientas Windows Server 2003 proporciona un nLmero de snap;ins y herramientas command;line para administrar "ctive $irectory) 8sted puede tambi+n administrar "ctive $irectory usando "ctive $irectory Service (nter aces >"$S(?) "$S( es una inter a* simple de ,ran alcance para crear scripts reutili*ables para administrar "ctive $irectory) "ota' La herramienta "$S( 4dit puede instalarse, desde el .$ de Windows Server 2003) La misma se encuentra en la carpeta WSupportW-ools)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 11 |
8a tabla siguiente describe los snap1ins administrativos comunes para administracin de Active !irectory Snap6in "ctive $irectory 8sers and .omputers +escripci n 4s una =icroso t =ana,ement .onsole >==.? que se utili*a para administrar y publicar la in ormaci#n en "ctive $irectory) 8sted puede administrar cuentas de usuario, ,rupos, y cuentas de computadora, a,re,ar computadoras al domain, administrar polticas de cuentas, derechos de usuario, y polticas de auditoria) 4s una ==. que se utili*a para administrar $omain -rusts y %orest -rusts, a,re,ar su ijos user principal name, y cambiar niveles de uncionamiento de domains y orest) "ctive $irectory Sites and Services 4s una ==. que usted utili*a para administrar replicacion de directorio) 4s una ==. que se utili*a para administrar el Schema) 1o est disponible por de ecto en el menu 8sted debe a,re,arlo manualmente)

"ctive $irectory $omains and -rusts

"ctive $irectory Schema "dministrative -ools)

8a tabla siguiente describe las +erramientas de command1line para utili.ar cuando se 'uiera administrar Active !irectory Derra$ienta $sadd +escripci n ",re,a objetos a "ctive $irectory, tales como computadoras, usuarios, ,rupos, or,ani*ational units y contactos) =odi ica objetos en active $irectory, tales como computadoras, servidores, usuarios, ,rupos, or,ani*ational units y contactos) .orre queries en "ctive $irectory se,Ln criterios especi icados) 8sted puede correr queries contra servidores, computadoras, ,rupos, usuarios, sites, or,ani*ational units, y particiones) =ueve objetos dentro de un dominio, a una nueva locali*aci#n en "ctive $irectory o renombra un solo objeto sin moverlo) Suprime un objeto de "ctive $irectory) =uestra atributos seleccionados de una computadora, contacto, ,rupo, or,ani*ational unit, servidor o usuario de "ctive $irectory) (mporta y e3porta datos de "ctive $irectory usando ormato separado por comas) .rea, modi ica y borra objetos de "ctive $irectory) 'uede tambi+n e3tender el Schema de "ctive $irectory y e3portar in ormaci#n de usuarios y ,rupos a otras aplicaciones o servicios) 'ara obtener ms in ormaci#n acerca de las herramientas command;line! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322CF2

$smod

$squery

$smove $srm $s,et .svde Ldi de

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 12 | 3! Instalacin de #ctive +irector% 3!1! &e>uisitos para instalar #ctive +irector%

"ntes de instalar "ctive $irectory, 8sted debe ase,urarse que la computadora puede ser con i,urada como $omain .ontroller, cumpliendo con los requisitos de hardware y del sistema operativo) "dems, el $omain .ontroller deber tener acceso al $1S Server, que deber cumplir con ciertos requisitos para soportar la inte,raci#n con "ctive $irectory)
8a lista siguiente identifica los re'uisitos para la instalacin de Active !irectory%

8na computadora corriendo =icroso tI WindowsI Server 2003 Standard 4dition, 4nterprise 4dition o
$atacenter 4dition) Windows Server 2003 Web 4dition no soporta "ctive $irectory)

8n mnimo de 2N0 me,abytes >=:? de espacio en disco)200 =: para la base de datos de "ctive $irectory y N0 =: para lo,s de transacciones de "ctive $irectory) Los requisitos de tamaMo del archivo para la base de "ctive $irectory y los archivos lo,, dependen del nLmero y el tipo de objetos en el domain) Se requerir el espacio de disco adicional si el $omain .ontroller tambi+n es Klobal .atalo, Server)

8na partici#n o un volumen con ormato 1-%S) La partici#n 1-%S se requiere para la carpeta SQSE/L)

Los privile,ios administrativos necesarios para crear un domain, si es que 8sted est creando uno en una red e3istente Windows Server 2003)
-.'@(' instalado y con i,urado para utili*ar $1S)

8n $1S Server autoritativo para el $1S $omain y soporte para los requisitos enumerados en la si,uiente tabla) S*& *esource *ecords :Mandatory; Service 8ocator *esource :S*&; Son re,istros $1S que identi ican los servicios espec icos que o recen las computadoras en una red Windows Server 2003) 4l $1S Server que soporta la instalaci#n de "ctive $irectory necesita soporte de S0E 0esource 0ecords) $e lo contrario, 8sted deber con i,urar el $1S localmente durante la instalaci#n de "ctive $irectory o con i,urar el $1S manualmente despu+s de la instalaci#n de "ctive $irectory) !ynamic 9pdates :Bpcional; =icroso t recomienda que los servidores $1S tambi+n soporten actuali*aciones dinmicas) 4l protocolo dinmico de actuali*aci#n permite a los servidores y a los clientes, en un ambiente $1S, a,re,ar y actuali*ar la base de datos del $1S automticamente, lo que reduce es uer*os administrativos) Si 8sted utili*a so tware $1S que soporta S0E 0esource 0ecords pero que no soporta el protocolo dinmico de actuali*aci#n, deber in,resar los S0E 0esource 0ecords manualmente en la base $1S) "ncremental Hone )ransfers :Bpcional; 4n una trans erencia incremental de *ona, los cambios reali*ados en una *ona en el =aster $1S Server, deben ser replicados a los $1S Servers secundarios de esa *ona) Las trans erencias incrementales de la *ona son opcionales, pero se recomiendan porque ahorran

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 13 |
ancho de banda de la red, replicando solamente los re,istros nuevos o modi icados entre los $1S Servers, en ve* del archivo de base de datos entero de la *ona)

3!2 /l proceso de instalacin de #ctive +irector%

$l proceso de la instalacin reali.a las siguientes tareas% "nicia el protocolo de autenticacin @erberos version E

Aplica la politica 8ocal Security Aut+ority :8SA; 4sta con i,uraci#n indica que el server es un $omain
.ontroller)

7rea las particiones de Active !irectory 8na partici#n del directorio es una porci#n del $irectory 1amespace) .ada partici#n del directorio contiene una jerarqua o subtree de los objetos del directorio en el rbol del directorio) $urante la instalaci#n, se crean las particiones si,uientes en el primer domain controller del orest! Schema $irectory 'artition .on i,uratio n $irectory 'artition

$omain $irectory 'artition %orest $1S Yone si est inte,rada en el active directory
$omain $1S Yone 'artition si est inte,rada en el active directory

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 1. |
Las particiones, entonces, se actuali*arn a trav+s de la r+plica, en cada uno de los $omain .ontrollers creados subsi,uientemente en el orest) 7rea la base de datos y los logs de Active !irectory La locaci#n por de ecto para la base de datos y los archivos de lo,s es VsystemrootVW1tds) 7rea el forest root domain Si el servidor es el primer $omain .ontroller en la red, el proceso de la instalaci#n crea el %orest 0oot $omain, y entonces le asi,nar los /perations =aster 0oles al $omain .ontroller, incluyendo! 'rimary $omain .ontroller >'$.? 4mulator 0elative (denti ier >0($? /perations =aster $omain;1amin, =aster Sc he m a = as te r (n rastr ucture =aster

7rea la carpeta compartida del volumen del sistema 4sta estructura de carpetas reside en todos los
Windows Server 2003 $omain .ontrollers y contiene las si,uientes carpetas!

La carpeta compartida SQSE/L, que contiene in ormaci#n de Kroup

'olicy) La carpeta compartida 1et Lo,on, que contiene los lo,on scripts para computadoras que no corren Windows
Server 2003)

7onfigura pertenencia al site apropiado para el !omain 7ontroller Si la (' del servidor que 8sted est promoviendo a $omain .ontroller est dentro de una subnet de inida en "ctive $irectory, el wi*ard colocar el $omain .ontroller en el site asociado con la subnet) Si no se de ine nin,Ln objeto de subnet o si la (' del servidor no est dentro del ran,o de la subnet presente en "ctive $irectory, el servidor se colocar en el site $e ault;%irst;Site;1ame) 4l primer site se instala automticamente cuando 8sted crea el primer $omain .ontroller en el orest) 4l wi*ard de instalaci#n de "ctive $irectory crea un objeto servidor del $omain .ontroller en el site apropiado) 4l objeto servidor contiene la in ormaci#n requerida para la r+plica y asimismo contiene una re erencia al objeto de la computadora en la /8 $omain .ontrollers, representando que el $omain .ontroller est siendo creado) -ermite seguridad en el !irectory Service y en 0ile *eplication 0olders 4sto implica controlar el acceso de usuario a objetos de "ctive $irectory) Aplica el pass(ord para la cuenta del administrador !S*M 8sted utili*a la cuenta para iniciar el $omain .ontroller en $irectory Services 0estore =ode) 3!2!1! Practica 1' EC$o crear la estructura del 0orest % el +o$ainG 8sted utili*a "ctive $irectory (nstallation Wi*ard para crear la estructura de orest y domain) .uando instale "ctive $irectory por primera ve* en una red, tendr que crear el %orest 0oot $omain, y despu+s de ello utili*ar el wi*ard para crear trees y .hild $omains adicionales) 4l "ctive $irectory (nstallation Wi*ard ,uar a 8sted en el proceso de la instalaci#n y le solicitar la in ormaci#n necesaria, que vara se,Ln las opciones que seleccione)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 11 |
-ara crear el 0orest *oot !omain5 deber6 reali.ar los siguientes pasos%

H)

7acer clic9 en Start, despu+s en *un y escribir dcpromo) Lue,o presionar 4nter) 4l Wi*ard veri icar! Si el usuario actualmente validado es un miembro del ,rupo de administradores locales) Si en la computadora est uncionando en un sistema operativo que soporte "ctive
$irectory)

Si una instalaci#n o un retiro anterior de "ctive $irectory no ha ocurrido sin reiniciar la computadora, o que una instalaci#n o un retiro de "ctive $irectory no est en marcha) Si cualesquiera de estas cuatro veri icaciones allan, un mensaje de error aparecer y 8sted saldr del wi*ard) 2) 4n la p,ina #elcome5 hacer clic9 en 3e>t) 3) 4n la p,ina Bperating System 7ompatibility, hacer clic9 en 3e>t) 2) 4n la p,ina !omain 7ontroller )ype, hacer clic9 en !omain controller for a ne( domain, y despu+s hacer clic9 en 3e>t) N) 4n la p,ina 7reate 3e( !omain, hacer clic9 en $omain in a new orest, y despu+s en 3e>t) C) 4n la p,ina 3e( !omain 3ame, in,resar el $1S 1ame para el nuevo domain >nwtraders)ms t?, y despu+s hacer clic9 en 3e>t) P) 4n la p,ina 1et:(/S $omain 1ame, veri icar 1et:(/S 1ame >1W-0"$40S?, y despu+s hacer clic9 en 1e3t) 4l nombre 1et:(/S identi ica el domain a las computadoras de cliente corriendo versiones

anteriores de Windows y Windows 1-) 4l wi*ard veri ica que le nombre 1et:(/S sea Lnico) Si no lo es, le pedir cambiar el nombre) F) 4n la p,ina !atabase and 8og 0olders, especi icar la locali*aci#n en la cual se desea instalar las carpetas de la base de datos y de los lo,s) $espu+s hacer clic9 en 3e>t) U) 4n la p,ina S+ared System &olume, especi icar la locaci#n en la cual se desea instalar la carpeta de SQSE/L, o hacer clic9 en Bro(se para ele,ir una locaci#n, y despu+s hacer clic9 en 3e>t) H0) 4n la pa,ina !3S *egistration !iagnostics, veri icar si un servidor e3istente de $1S es autoritario para este orest o, en caso de necesidad, hacer clic9 en "nstall and configure t+e !3S server on t+is computer5 and set t+is computer to use t+is !3S server as its preferred !3S server, y despu+s hacer clic9 en 3e>t) HH) 4n la pa,ina -ermissions, especi icar se si asi,nan los permisos por de ecto en los objetos usuario y ,rupo compatible con los servidores que uncionan con versiones anteriores de Windows o Windows 1-, o solamente con los servidores Windows Server 2003) H2) .uando se pre,unte, especi icar el password para $irectory Services 0estore =ode) Los $omain .ontrollers Windows Server 2003 mantienen una versi#n pequeMa de la base de datos de cuentas de =icroso t Windows 1- 2)0) La Lnica cuenta en esta base de datos es la cuenta del administrador y la misma se requiere para la autenti icaci#n al encender la computadora en $irectory Services 0estore mode, porque "ctive $irectory no se inicia de este modo) H3) 0epasar la p,ina Summary, y despu+s hacer clic9 en 3e>t para comen*ar la instalaci#n)
H2) .uando se pre,unte, reiniciar la computadora)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 14 | 3!2!2 Prctica 2 )Bpcional,' EC$o agregar un +o$ain Controller adicionalG

'ara llevar a cabo esta prctica 8sted necesitar dos computadoras o dos Eirtual '., con un $omain .ontroller instalado >'rctica H? y un Windows Server 2003) 4l procedimiento es similar a la creaci#n de un nuevo $omain .ontrollerT solamente se debe seleccionar, en la primera pantalla del wi*ard, la opci#n Add additional !omain 7ontroller for e>isting domain) 4l resto del proceso se puede reali*ar de dos ormas! H) Bver t+e net(or4% 4sto requiere, en el caso que 8sted ten,a ,ran cantidad de objetos, un enlace con ancho de banda su iciente o bastante tiempo para la replica inicial)
*eplicate from Media% 4sta nueva caracterstica de Windows Server 2003,

2)

permite reali*ar la replica inicial por medio de un bac9up, de la si,uiente manera! 'rimero debe reali*ar un bac9up del System State en el $omain .ontroller e3istente) Lue,o debe hacer lle,ar ese bac9up a la computadora destino) 4n la computadora destino deber reali*ar la operaci#n de restore en una locaci#n alternativa > 4lija una carpeta ej! .!W1-$S0estore? 'or Lltimo corra el wi*ard dcpromo Fadv 4l wi*ard le permitir seleccionar la opci#n 0rom Media 3!3! EC$o reno$2rar un +o$ain ControllerG 4n Windows Server 2003, 8sted puede renombrar un $omain .ontroller despu+s que haya sido instalado) 'ara renombrar un $omain .ontroller, deber tener derechos de $omain "dmin) .uando 8sted renombre un $omain .ontroller, deber a,re,ar el nuevo nombre del $omain .ontroller y remover el nombre viejo de las bases de $1S y "ctive $irectory) 4l renombrado de

un $omain .ontroller es solamente posible si el $omain %unctional Level es con i,urado como Windows Server 2003) -ara renombrar un !omain 7ontroller5 deber6 reali.ar los siguientes pasos% H) 4n .ontrol 'anel, hacer doble;clic9 en System) 2) 4n el cuadro System -roperties, en 7omputer 3ame, hacer clic9 7+ange) 3) .uando se pre,unte, con irmar si se desea renombrar el $omain .ontroller) 2) (ncorporar el nombre de computadora completo >incluyendo el primary $1S su i3?, y despu+s hacer clic9 en B@) 8sted podr cambiar el 'rimary $1S su i3 de un $omain .ontroller cuando renombre el $omain .ontroller) Sin embar,o, el cambiar el 'rimary $1S su i3 no mueve el $omain .ontroller a un nuevo "ctive $irectory domain) 'or ejemplo, si 8sted renombra dc2)nwtraders)ms t a dcH)contoso)ms t, la computadora si,ue siendo un $omain .ontroller del dominio nwtraders)ms t, aunque su 'rimary $1S su i3 es contoso)ms t) 'ara mover un $omain .ontroller a otro domain, 8sted debe primero de,radar el $omain .ontroller y entonces promoverlo en el nuevo dominio) /bten,a in ormaci#n acerca de instalaci#n de "ctive $irectory!
http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT322PN3 http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCH0C http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCH0F

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 17 | 3!.! EC$o solucionar pro2le$as en la instalacin de #ctive +irector%G

"l instalar "ctive $irectory, 8sted puede encontrar problemas) Zstos pueden ser credenciales incorrectas de se,uridad, el uso de nombres que no son Lnicos, una red no iable o recursos escasos) " continuaci#n se describen al,unos problemas comunes que 8sted puede lle,ar a encontrar mientras instala "ctive $irectory, y al,unas estrate,ias para resolverlos) )ener acceso negado mientras 'ue crea o agrega !omain 7ontrollers .errar la sesi#n y despu+s iniciar con una cuenta que pertene*ca al ,rupo local de administradores) Las credenciales deben ser de un usuario que sea miembro de $omain "dmins o 4nterprise "dmins) $l nombre !3S o 3etB"BS del domain no es Gnico .ambiar el nombre a un nombre Lnico) $l domain no puede ser contactado .omprobar que haya conectividad de red entre el servidor que 8sted est promoviendo a $omain .ontroller y que por lo menos haya un $omain .ontroller en el dominio) 8tili*ar el comando pin, desde command prompt para probar la conectividad con cualquier $omain .ontroller del dominio) Eeri icar que el $1S proporcione la resoluci#n de nombres, por lo menos a un $omain .ontroller en el dominio) .! EJuF son las Aonas +"S #ctive +irector% IntegratedG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 19 | .!1! Introduccin

8na ventaja de inte,rar el $1S y "ctive $irectory es la capacidad de inte,rar *onas de $1S en la base de datos de "ctive $irectory) 8na *ona es una porci#n del $omain 1amespace, que a,rupa re,istros l#,icamente, permitiendo trans erencias de *ona de +stos re,istros para uncionar como una unidad)

.!2! Konas #ctive +irector% Integrated Los =icroso t $1S Servers almacenan la in ormaci#n que es utili*ada para resolver nombres de host a direcciones (' y direcciones (' a nombres de host, usando una base de datos en ormato de archivo que ten,a una e3tensi#n )dns para cada *ona) 8as Honas Active !irectory "ntegrated son primarias y stub, y se almacenan como objetos en la base de "ctive $irectory) 8sted puede almacenar objetos de *ona en "ctive $irectory "pplication 'artition o en "ctive $irectory $omain 'artition) Si los objetos de *ona se almacenan en "ctive $irectory "pplication 'artition, solamente los $omain .ontrollers que suscriban a esa "pplication 'artition pueden participar en la r+plica de esta partici#n) Sin embar,o, si los objetos de *ona se almacenan en "ctive $irectory $omain 'artition, se replican a todos los $omain .ontrollers en el dominio) .!3! -entaCas de Konas #ctive +irector% Integrated
8as Honas Active siguientes venta/as !irectory "ntegrated ofrecen las

Multimaster replication .uando 8sted con i,ura Yonas "ctive $irectory (nte,rated, las actuali*aciones dinmicas al $1S se basan en el modelo multimaster) 4n este modelo, cualquier servidor autoritativo $1S, por ejemplo un $omain .ontroller corriendo $1S Server, es primario para la *ona) $ado que la =aster .opy de la *ona se mantiene en la base de "ctive $irectory >la cual se replica completamente a todos $omain .ontrollers del dominio?, la *ona se puede actuali*ar por los $1S Servers uncionando en cualquier $omain .ontroller del dominio) Secure dynamic updates $ebido a que las *onas de $1S son objetos de "ctive $irectory en Yonas "ctive $irectory (nte,rated, 8sted puede aplicar permisos a los re,istros dentro de esas *onas y tambi+n puede controlar qu+ computadoras pueden actuali*ar sus re,istros) $e esta manera, las actuali*aciones que utili*an el protocolo dinmico de actuali*aci#n pueden venir solamente de las computadoras autori*adas) 'ara obtener ms in ormaci#n acerca de Yonas "ctive $irectory (nte,rated!

http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHCH0H

.!.! Prctica 3' -eri(icacin de Kona integrada con #ctive +irector% $urante esta prctica 8sted veri icar si su $1S Server, tiene la *ona inte,rada con "ctive $irectory) -ara verificar !3S% H) "brir la consola de $1S) 2) 7acer clic9 en el nombre del server) 3) 7acer clic9 en la *ona a veri icar) 2) 7acer clic9 derecho en la *ona, y despu+s en -roperties) N) 4n el cuadro .one type, veri icar Active !irectory "ntegrated
C) 'ara cambiar el tipo de *ona, hacer clic9 en 7+ange)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 1: | 1! EJuF es la (uncionalidad de 0orest % +o$ainG

1!1! Introduccin

4n Windows Server 2003, la uncionalidad de orest y domain proporciona una manera de permitir caractersticas nuevas orest;wide o domain;wide de "ctive $irectory en su ambiente de red) $iversos niveles de la uncionalidad del orest y del dominio estn disponibles, dependiendo de su ambiente de red) 1!2! EJuF es la (uncionalidad de do$inioG La uncionalidad del dominio habilita las caractersticas que a ectarn el dominio entero y solamente ese dominio) .uatro niveles uncionales de dominio estn disponibles! #indo(s 2000 mi>ed Zste es el nivel uncional por de ecto) 8sted puede levantar el nivel uncional del dominio a Windows 2000 native o Windows Server 2003) Los dominios =i3ed;mode pueden contener Windows 1- 2)0 bac9up $omain .ontrollers, pero no pueden utili*ar ,rupos de se,uridad universales, anidamiento de ,rupos o capacidades de Security (denti ier >S($? 7istory) #indo(s 2000 native 8sted puede utili*ar este nivel uncional si el dominio contiene solamente $omain .ontrollers Windows 2000 y Windows Server 2003) "unque los $omain .ontrollers uncionen en Windows 2000 Server, no estn preparados para la uncionalidad de dominio) .aractersticas de "ctive $irectory, como ,rupos de se,uridad universales, anidamiento de ,rupos y capacidades de Security (denti ier >S($? 7istory, estn disponibles)

#indo(s 2003 Server 4ste es el nivel uncional ms alto para un dominio) 8sted puede utili*arlo solamente si todos los $omain .ontrollers en el dominio uncionan en Windows Server 2003) -odas las caractersticas de "ctive $irectory para el dominio estn disponibles para su uso) #indo(s 2003 "nterim 4ste nivel es un nivel uncional especial que soporta $omain .ontrollers Windows 1- 2)0 y Windows server 2003) 1!3! EJuF es la (uncionalidad de (orestG La uncionalidad de orest habilita caractersticas a trav+s de todos los dominios dentro de su orest) $os niveles uncionales de orest estn disponibles! Windows 2000 y Windows Server 2003) 'or de ecto, los orests uncionan en nivel uncional Windows 2000) 8sted puede elevar el nivel uncional del orest a Windows Server 2003, para que habilite las caractersticas que no estn disponibles en el nivel uncional Windows 2000, incluyendo!

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 20 |
0elaciones de con ian*a entre orest 0eplicaci#n mejorada

I$portante' 8sted no puede bajar el nivel uncional del dominio o del orest despu+s que se haya elevado) 1!.! &e>uisitos para Windows Server 2003 a2ilitar nuevas caractersticas en

1!.!1

Introduccin "dems de las caractersticas bsicas de "ctive $irectory en $omain .ontrollers individuales, nuevas caractersticas orest;wide y domain;wide estn disponibles cuando se cumplen ciertas condiciones) 'ara habilitar las nuevas caractersticas domain;wide, todos los $omain .ontrollers en el dominio deben correr Windows Server 2003, y el nivel uncional del dominio se debe elevar a Windows Server 2003) 8sted debe ser administrador del dominio para elevar el nivel uncional del dominio) 'ara habilitar las nuevas caractersticas orest;wide, todos los $omain .ontrollers en el orest debern correr Windows Server 2003, y el nivel uncional del orest se debe elevar a Windows Server 2003) 8sted debe ser 4nterprise "dministrator para elevar el nivel uncional del orest) 'ara obtener mas in ormaci#n acerca de niveles de uncionalidad!
http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT322CU2

1!.!2 Prctica .' EC$o elevar el nivel (uncionalG 4levar la uncionalidad del orest y del dominio a Windows Server 2003 habilita ciertas caractersticas, por ejemplo, orest trusts, que no est disponible en otros niveles uncionales) 8sted puede elevar la uncionalidad

del orest y del dominio usando "ctive $irectory $omains and -rusts) -ara elevar el nivel funcional del dominio5 debe reali.ar los siguientes pasos% H) 2) "brir "ctive $irectory $omains and -rusts) 7acer clic9 derecho en la consola, en el nodo para el nivel uncional de dominio que usted desea elevar, y despu+s hacer clic9 en *aise !omain 0unctional 8evel) 3) Seleccionar el nivel uncional Windows Server 2003 en el cuadro Select an available domain functional level, y despu+s hacer clic9 en *aise)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 21 |
-ara elevar el nivel funcional del forest5 deber6 reali.ar los siguientes pasos%

H)

4n "ctive $irectory $omains and -rusts, en la consola, hacer clic9 derecho en Active !irectory !omains and )rusts, y despu+s clic9 en *aise 0orest 0unctional 8evel) 2) 4n el cuadro Select an available forest functional level, seleccionar #indo(s Server 2003, y despu+s hacer clic9 en *aise)

"ota' 8sted debe elevar el nivel uncional de todos los dominios en un orest a Windows 2000 native o ms alto, antes de elevar el nivel uncional del orest) 4! EC$o (uncionan los 8rusts entre 0orestsG

4!1! Introduccin Windows Server 2003 soporta cross; orest trusts, el cual permite que los usuarios en un orest ten,an acceso a recursos en otro orest) .uando un usuario intente tener acceso a un recurso en un trustin, orest, "ctive $irectory primero locali*ar el recurso) $espu+s de locali*ar el recurso, el usuario podr ser autenticado y tener acceso al recurso) 4ntender c#mo este proceso trabaja, le ayudar a locali*ar problemas que pueden presentarse con cross; orest trusts) 4!2! EC$o es accedido un recursoG Lo que si,ue es una descripci#n de c#mo un cliente Windows 2000 'ro essional o Windows O' 'ro essional locali*a y tiene acceso a un recurso en otro orest que ten,a Windows 2000 Server o Windows Server 2003 server) H) 8n usuario que inicia sesi#n al dominio vancouver)nwtraders)ms t intenta tener acceso a una carpeta compartida en el orest contoso)ms t) La computadora del usuario contacta al D$. en un domain controller en vancouver)nwtraders)ms t y solicita un service tic9et usando el S'1 de la computadora, donde reside el recurso) 8n S'1 puede ser el nombre de $1S de un host o dominio, o puede ser el $istin,uished 1ame de un Service .onnection 'oint /bject) 2) 4l recurso no se encuentra en vancouver)nwtraders)ms t y

el $omain .ontroller de vancouver)nwtraders)ms t reali*a queries al Klobal .atalo, para ver si el recurso est situado en

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 22 |
otro dominio en el orest) $ado que el Klobal .atalo, contiene solamente la in ormaci#n sobre su propio orest, no encuentra el S'1) 4l Klobal .atalo, entonces comprueba su base de datos para saber si hay in ormaci#n sobre orest trusts establecidos con su orest) Si el Klobal .atalo, encuentra uno, compara los name su i3es que estn listados en el orest trust -$/ para el su i3 de destino S'1) $espu+s de encontrar una i,ualdad, el Klobal .atalo, proporciona la in ormaci#n de routin, sobre c#mo locali*ar el recurso al $omain .ontroller en vancouver)nwtraders)ms t) 3) 4l $omain .ontroller en vancouver)nwtraders)ms t enva una re erencia para su dominio 'arent, nwtraders)ms t, a la computadora del usuario) 2) La computadora del usuario contacta al $omain .ontroller en nwtraders)ms t por la re erencia al $omain .ontroller del %orest 0oot $omain del orest contoso)ms t) N) 8sando la re erencia del $omain .ontroller en nwtraders)ms t, la computadora contacta al $omain .ontroller en el orest contoso)ms t para el pedido de servicio al service tic9et) C) 4l recurso no est situado en el %orest 0oot $omain del orest contoso)ms t, y por eso el $omain .ontroller contacta a su Klobal .atalo, para buscar el S'1) 4l Klobal .atalo, busca el S'1 y lo enva al $omain .ontroller) P) 4l $omain .ontroller enva la re erencia seattle)contoso)ms t a la computadora del usuario) F) La computadora del usuario contacta al D$. en el $omain .ontroller en seattle)contoso)ms t y ne,ocia el tic9et para el acceso del usuario al recurso en el dominio seattle)contoso)ms t) U) La computadora enva el server service tic9et a la computadora en la cual est el recurso compartido, donde se leen las credenciales de se,uridad del usuario y se construye el access to9en, que da el acceso de usuario al recurso) "ota' 0ecuerde que para poder utili*ar esta nueva caracterstica, debe tener los dos orest en nivel Windows Server 2003) Los trust entre orest en Windows Server 2003 le permiten validar usuarios usando Derberos vN, utili*ando la se,uridad propia del protocolo) -ambi+n le permite que los trust sean transitivos entre dos orest, no as, en mLltiples orest) 'or ejemplo! 4l orest" tiene establecido un trust con el orest :, y todos los dominios en los dos orest pueden utili*ar el trust) 'ero si a su ve* el orest : tiene un trust con el orest ., no e3iste nin,Ln tipo de relaci#n entre el orest " y el orest .) 'ara obtener ms in ormaci#n acerca de trust! http!@@support)microso t)com@de ault)asp36 scidA9bTen;usT32NFP2 http!@@support)microso t)com@de ault)asp36scidA9bTen;usTFHC30H

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 23 | 7! &eplicacin en #ctive +irector%

7!1! &eplicacin dentro de Sites


8os puntos dominantes de la replicacin de Active !irectory dentro de site son% 8a replicacin ocurre cuando +ay%

8na adici#n de un objeto a "ctive $irectory) 8na modi icaci#n de los valores de un atributo de objeto) 8n cambio de nombre de un contenedor de objetos)
8na eliminaci#n de un objeto del directorio)

7+ange notification .uando un cambio ocurre en un domain controller, el domain controller noti ica a sus replication partners en el mismo site) 4ste proceso se llama chan,e noti ication) *eplication latency 0etraso entre el tiempo que ocurre un cambio y el tiempo que la actuali*aci#n alcan*a a todos los $omain .ontrollers en el site) 'or de ecto la 0eplication Latency es HN se,undos) 9rgent replication 4n lu,ar de esperar el tiempo por de ecto, los atributos sensibles de se,uridad que se actuali*an

disparan un inmediato mensaje de chan,e noti ication) 7onvergence .ada actuali*aci#n en "ctive $irectory eventualmente propa,a a todos los $omain .ontrollers en el site que contiene la partici#n en la cual la actuali*aci#n ue hecha) 4sta propa,aci#n completa se llama conver,ence)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 2. |
-ropagation dampening 4l proceso de prevenir la r+plica innecesaria) .ada $omain .ontroller asi,na a cada cambio de atributo y objeto un 8pdate Sequence 1umber >8S1? para prevenir la r+plica innecesaria) 7onflicts .uando actuali*aciones concurrentes que ori,inan en dos r+plicas master separadas son inconsistentes, los con lictos pueden presentarse) "ctive $irectory resuelve tres tipos de con lictos! atributo, .ontenedores eliminados, y con lictos de 0elative $istin,uished 1ame >0$1?) ,lobally uni'ue stamp "ctive $irectory mantiene un stamp que contiene el version number, timestamp, y server ,lobally unique identi ier >K8($? que "ctive $irectory creado durante la actuali*aci#n ori,inaria)

7!2!

;in3ed *ultivalued #ttri2utes


$l proceso por el cual lin4ed multivalued attributes se replican vara5 dependiendo del nivel funcional del forest% .uando el nivel uncional del orest es menor que Windows Server 2003, cualquier cambio que uera reali*ado a un atributo de miembros de ,rupo dispara la r+plica de la lista entera del atributo miembro) 4l multivalued $e$2er attribute se considera un solo atributo con el in de la r+plica en este caso) 4sta r+plica aumenta la probabilidad de sobreescribir un cambio del atributo miembro que otro administrador reali*# en otro domain controller, antes que el primer cambio uera replicado) .uando el nivel uncional del orest se cambia a Windows Server 2003, un valor individual replica cambios a lin9ed multivalued attributes) 4sta uncionalidad mejorada replica solamente cambios del atributo miembro de ,rupo y no a la lista entera del atributo de miembro) $e esta orma se elimina la restricci#n de N000 usuarios m3imo por ,rupo, esta restricci#n estaba dada en Windows 2000 por el valor m3imo que puede tener el atributo de miembros de un ,rupo)

7!3!

Ieneracin auto$tica de la topologa de replicacin

.uando usted a,re,a $omain .ontrollers a un site, "ctive $irectory usa el Dnowled,e .onsistency .hec9er >D..? para establecer una trayectoria de la r+plica entre $omain .ontrollers)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 21 |
4l D.. es un proceso que unciona en cada $omain .ontroller y ,enera la topolo,a de la r+plica para todas las particiones del directorio que se conten,an en ese $omain .ontroller) 4l D.. corre en los intervalos espec icos cada HN minutos por de ecto y diseMa las rutas de replicaci#n entre $omain .ontrollers de las cone3iones ms avorables que estn disponibles en ese momento) 4ste proceso ue mejorado con respecto al proceso de Windows 2000, haciendo que esta nueva caracterstica elimine la limitaci#n e3istente de un m3imo de N00 sites en "ctive $irectory) "ctualmente se ha probado hasta 3000 sites y el soporte m3imo es de N000 sites) "ota' 'ara aprovechar esta caracterstica usted debe tener el orest en nivel uncional Windows Server 2003 # Windows Server 2003 (nterim)

7!.! Creando % Con(igurando Sites

8sted utili*a sites para controlar el tr ico de replicaci#n, tr ico de lo,on y las queries del cliente al Klobal .a tal o, Se rv er)

7!.!1! EJuF son los sitesG


4n "ctive $irectory, los sites ayudan a de inir la estructura sica de una red) 8na o ms subnets -.'@(' en una ran,o de inido de direcciones de ine un site, el cual de ine alternadamente un ,rupo de $omain .ontrollers que tienen velocidad y costo similares) Los Sites consisten en objetos server, que contienen objetos de cone3i#n que permiten la r+plica)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 24 | 7!.!2! EJuF son o2Cetos su2netG

Los objetos subnet identi ican las direcciones de red las cuales utili*an las computadoras en los sites) 8na subnet es un se,mento de una red -.'@(' a la cual se asi,na un sistema de direcciones l#,icas (') $ado que objetos subnet representan la red sica, +stos hacen sites) 'or ejemplo, si tres subnets estn situados en tres campus en una ciudad, y estos campus estn conectados con hi,h;speed, cone3iones altamente disponibles, usted podra asociar cada una de esas subnets a un site) 8n site puede consistir en una o ms subnets) 'or ejemplo, en una red que tiene tres subnets en 0edmond y dos en 'ars, usted puede crear un site en 0edmond, un site en 'aris, y entonces a,re,ar las subnets a los sites respectivos) 7!.!3! EJuF son los Site ;in3sG
8os Site 8in4s son cone>iones 'ue usted puede +acer entre sites para!

7abilitar la replicaci#n =anejar los horarios en los cuales usted quiere replicar, =anejar un costo de acuerdo al enlace que este utili*ando, y el protocolo de replicaci#n (' >0'.? o S=-') 'ara obtener mas in ormaci#n acerca de sites!
http!@@support)microso t)com@de ault)asp36scidA9bTen;usT32332U

7!.!. Prctica 1' Creando % Con(igurando Sites % Su2nets -ara crear un site5 deber6 reali.ar los siguientes pasos% H) "brir "ctive $irectory Sites and Services del menu Administrative )ools) 2) 7acer clic9 derecho en Sites en la consola, y despu+s hacer clic9 en 3e( Site) 3) (n,resar el nombre del nuevo site en el cuadro 3ame) 2) 7acer clic9 en un site lin9 object, y despu+s hacer clic9 en B@ dos veces) -ara crear un subnet ob/ect5 deber6 reali.ar los siguientes pasos%

H) 4n "ctive $irectory Sites and Services, en la consola, hacer doble;clic9 en Sites, hacer clic9 derecho en Subnets, y despu+s hacer clic9 en 3e( Subnet) 2) 4n el cuadro Address, in,resar la direcci#n (' de la subnet) 3) 4n el cuadro Mas4, in,resar la subnet mas9 que describe el ran,o de direcciones de la subnet)
2) Seleccionar el site a asociar con la subnet, y despu+s hacer clic9 en B@)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 27 | 9! Daciendo 2ac3up de #ctive +irector%

7acer bac9up de "ctive $irectory es esencial para mantener la base de datos de "ctive $irectory) 8sted puede hacer bac9up de "ctive $irectory usando una ,raphical user inter ace >K8(? y herramientas command;line, que provee Windows Server 2003) 8sted con recuencia debe hacer bac9up del System State data en $omain .ontrollers de modo que pueda restaurar los datos ms actuales) 4stableciendo un schedule re,ular de bac9up, 8sted tiene una mejor ocasi#n de recuperaci#n de datos cuando sea necesario) $l System State !ata en un !omain 7ontroller incluye los siguientes componentes% Active !irectory 4l System State $ata no contiene "ctive $irectory a menos que el servidor en el cual 8sted est haciendo bac9up del System State $ata sea un $omain .ontroller) "ctive $irectory est presente solamente en $omain .ontrollers) )+e S?S&B8 s+ared folder 4sta carpeta compartida contiene plantillas de Kroup 'olicy y lo,on scripts) La carpeta compartida SQSE/L est presente solamente en domain controllers) )+e registry 4ste repositorio base de datos contiene la in ormaci#n sobre la con i,uraci#n de la computadora) System startup files Windows Server 2003 requiere estos archivos

durante su ase de encendido inicial) (ncluyen los boot y archivos de sistema que estn prote,idos por Windows ile protection) )+e 7BMO 7lass *egistration database La base de datos .lass 0e,istration contiene in ormaci#n sobre .omponent Services applications) )+e 7ertificate Services database 4sta base de datos contiene los certi icados del servidor que Windows Server 2003 utili*a para autenticar usuarios) 4sta base solamente est presente si el servidor est uncionando como certi icate server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 29 |
-ara reali.ar la operacin de bac4up usted puede utili.ar la +erramienta provista por #indo(s Server 2003% H) 7acer clic9 en Bac4up en el menu Start, All -rograms, Accessories, System )ools) 2) 7acer clic9 en 3e>t en la p,ina #elcome to t+e Bac4up or *estore #i.ard ) 3) 4n la p,ina Bac4up or *estore, hacer clic9 en Bac4up files and settings, y despu+s hacer clic9 en 3e>t) 2) 4n la p,ina #+at to Bac4 9p, hacer clic9 en 8et me c+oose (+at to bac4 up, y despu+s hacer clic9 en 3e>t) N) 4n la p,ina "tems to Bac4 9p, e3pandir My 7omputer, seleccionar el System State, y despu+s hacer clic9 en 3e>t) C) 4n la p,ina Bac4up )ype5 !estination5 and 3ame, hacer clic9 en Bro(se, seleccionar una locaci#n para el bac9up, hacer clic9 en Save, y despu+s hacer clic9 en 3e>t) P) 4n la p,ina 7ompleting t+e Bac4up or *estore #i.ard, hacer clic9 en 0inis+) F) 4n la p,ina Bac4up -rogress, hacer clic9 en 7lose)

9!1 &estauracin de #ctive +irector%

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo . | Pgina 2: |
8sted puede utili*ar uno de los tres m+todos para restaurar "ctive $irectory de medios de bac9up! primary restore, normal >nonauthoritative? restore, y authoritative restore) H) -rimary restore 4ste m+todo reconstruye el primer domain controller en el dominio cuando no hay otra manera de reconstruir el dominio) 0eali*ar un primary restore solamente cuando todos los domain controllers en un domain se perdieron, y usted desea reconstruir el dominio usando el bac9up) 3ormal restore 4ste m+todo reinstala los datos de "ctive $irectory al estado antes del

2)

bac9up, actuali*a los datos con el proceso normal de r+plica) 0eali*ar un normal restore solamente cuando usted desea restaurar un solo domain controller a un buen estado previamente conocido) 3) Aut+oritative restore 8sted reali*a este m+todo en tndem con un restore normal) 8n restore autoritativo marca datos espec icos y evita que la r+plica sobreescriba esos datos) Los datos autoritativos entonces se replican a trav+s del dominio)

-ara reali.ar un primary restore de Active !irectory5 deber6 reali.ar los siguientes pasos% H) 2) 3) 2) N) C) P) F) U) 0einiciar su domain controller en $irectory Services 0estore =ode) (niciar la utilidad de :ac9up) 7acer clic9 en Advanced Mode en la p,ina #elcome to t+e Bac4up or *estore #i.ard , 4n la p,ina #elcome to Bac4up 9tility Advanced Mode , sobre *estore and Manage Media, seleccioar qu+ desea restaurar, y despu+s hacer clic9 en Start *estore) 4n el cuadro #arning, hacer clic9 en B@) 4n el cuadro 7onfirm *estore, hacer clic9 en Advanced) 4n el cuadro Advanced *estore Bptions , hacer clic9 en #+en restoring replicated data sets5 mar4 t+e restored data as t+e primary data for all replicas, y despu+s hacer clic9 en B@ dos veces) 4n el cuadro *estore -rogress, hacer clic9 en 7lose) 4n el cuadro Bac4up 9tility, hacer clic9 en ?es)

Captulo 1 | Pgina 1 |

Captulo 1 I$ple$entacin= #d$inistracin % *onitoreo de Iroup Polic%


$urante este captulo 8sted ir asimilando los conocimientos que necesita para hacer una correcta administraci#n, diseMo e implementaci#n de Kroup 'olicy) 'ara poder reali*ar las prcticas de esta unidad es necesario que haya concluido las prcticas de los captulos 2 y 3)

1! Intr oduc cin


8sted utili*a Kroup 'olicy en "ctive $irectoryI para centrali*ar el manejo de usuarios y computadoras en una empresa) .on i,urando Kroup 'olicy puede centrali*ar policies para una or,ani*aci#n entera, dominio, sitio u or,ani*ational unit, y asimismo puede descentrali*ar la con i,uraci#n de Kroup 'olicy, con i,urndolo para cada departamento en el nivel or,ani*ational unit) 8sted puede ase,urarse que los usuarios ten,an los ambientes que requieren para reali*ar sus trabajos y hacer cumplir las polticas de las or,ani*aciones, incluyendo re,las de ne,ocio, metas y requisitos de se,uridad) "dems, puede bajar el -otal .ost o /wnership controlando ambientes del usuario y de computadora, de modo tal que se redu*ca el nivel de ayuda t+cnica a los usuarios y la productividad perdida de los mismos a causa de sus errores)

Al terminar este captulo 9sted podr6%

.rear y con i,urar Kroup 'olicy objects >K'/s?) .on i,urar intervalos de actuali*aci#n de Kroup 'olicy y con i,uraciones de Kroup 'olicy) "dministrar K'/s) 1!1! EJuF es Iroup Polic%G Kroup 'olicy le otor,a control de administraci#n sobre los usuarios y las computadoras de su red, y por lo tanto le permite de inir el estado del ambiente de trabajo de los usuarios una sola ve*, con iando en =icroso tI WindowsI Server 2003 para hacer cumplir continuamente la con i,uraci#n de Kroup 'olicy que de ini#) -ambi+n podr aplicar con i,uraciones de Kroup 'olicy a trav+s de una or,ani*aci#n entera o a ,rupos espec icos de usuarios y de computadoras)

Captulo 1 | Pgina 2 |

1!2! EJuF son User % Co$puter Con(iguration SettingsG

'ara ms in ormaci#n acerca de Kroup 'olicy! =icroso t (ntelli=irrorI) Kroup 'olicy Settin,s /verview) 8sted puede hacer cumplir los Kroup 'olicy Settin,s para las computadoras y los usuarios usando .omputer
.on i,uration y 8ser .on i,uration en Kroup 'olicy)

,roup -olicy Settings para usuarios incluye con i,uraciones espec icas del sistema operativo, con i,uraciones de escritorio, con i,uraciones de se,uridad, opciones de aplicaciones assi,ned y published, con i,uraciones de aplicaciones, opciones de older redirection, y scripts de user lo,on y lo,o ) Los Kroup 'olicy Settin,s de usuario se aplican cuando los usuarios inician sesi#n en la computadora y durante un ciclo de actuali*aci#n peri#dico) Kroup 'olicy Settin,s modi ica el ambiente de escritorio del usuario para los requisitos particulares

o hace cumplir loc9down policies en usuarios, y est contenido debajo de 9ser 7onfiguration en el editor de Kroup 'olicy /bject)
!eba/o de 9ser 7onfiugration5 tambiKn se encuentran%

La carpeta So tware Settin,s! contiene con i,uraciones de so tware que se aplican a los usuarios sin importar en qu+ computadora inicien sesi#n) 4sta carpeta tambi+n contiene con i,uraciones que se coloquen all de (ndependent So tware Eendors >(SEs?) La carpeta Windows Settin,s! contiene con i,uraci#n Windows que se aplica a los usuarios sin importar en qu+ computadora inicien sesi#n) 4sta carpeta tambi+n contiene los si,uientes puntos! 0older &edirection= Securit% Settings % Scripts ) Kroup 'olicy Settin,s para las computadoras incluye la manera en que el sistema operativo se comporta, el comportamiento de escritorio, con i,uraciones de se,uridad, scripts de startup y shutdown, opciones de aplicaciones assi,ned a la computadora y con i,uraciones de aplicaciones) Las Kroup 'olicy relacionadas a la computadora, se aplican cuando el sistema operativo se iniciali*a y durante un ciclo peri#dico de actuali*aci#n) 4n ,eneral, las con i,uraciones de computadora Kroup 'olicy toman precedencia al estar en con licto con Kroup 'olicy de usuario) www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 3 |
Las Kroup 'olicy Settin,s que modi ican el ambiente para requisitos particulares de escritorio y para todos los usuarios de una computadora, o que hacen cumplir las polticas de se,uridad en las computadoras de una red, se contienen debajo de 7omputer 7onfiguration en el editor de Kroup 'olicy /bject) !eba/o de 7omputer 7onfiguration5 tambiKn se

encuentran%

La carpeta So tware Settin,s! contiene las con i,uraciones de so tware que se aplican a todos los usuarios que inicien sesi#n en la computadora) 4sta carpeta posee con i,uraci#n de instalaci#n de so tware y puede contener otras con i,uraciones que se coloquen all de (SEs) La carpeta Windows Settin,s! contiene con i,uraciones Windows que se aplican a todos los usuarios que inicien sesi#n en la computadora) 4sta carpeta tambi+n contiene los si,uientes puntos! Securit% Settings % Scripts)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina . |
Security Settings est disponible debajo de la carpeta Windows Settin,s que se encuentra debajo de .omputer .on i,uration y 8ser .on i,uration en el editor de Kroup 'olicy /bject) Security Settin,s o Security 'olicies son las re,las que 8sted con i,ura en una computadora o las computadoras mLltiples que prote,en recursos en una computadora o una red) .on Security Settin,s, 8sted puede especi icar Security 'olicy de una or,ani*ational unit, domain o site) 'ara ms in ormaci#n sobre e3tender Kroup 'olicy, ver los m+todos "van*ados e3tendiendo Kroup 'olicy en! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA @ technet@prodtechnol@windowsserver2003@proddocs@server@sa,BS'conce ptsB30)asp

1!3! Prctica 1' Con(igurando ;ocal Co$puter Polic% Settings -ara agregar ,roup -olicy Bb/ect $ditor a una 7ustomMM7 deber6% H) 2) 3) "brir una .ustom==.) ",re,ar el snap;in Kroup 'olicy /bject 4ditor) Kuardar la .ustom==.)

-ara evitar 'ue los usuarios apaguen el servidor usando 8ocal -olicy Setting deber6% H) 43pandir, en la .ustom==., el snap;in 8ocal 7omputer -olicy) 2) 43pandir, en la consola, 9ser 7onfiguration) 43pandir Administrative )emplates y despu+s hacer clic9 en Start Menu and )as4bar) 3) 7acer doble;clic9 en *emove and prevent access to t+e S+ut !o(n command, del panel de los detalles 2) 7acer clic9 en $nabled del cuadro *emove and prevent access to t+e S+ut !o(n command -roperties, y despu+s hacer clic9 en B@) N) .errar y ,uardar todos los pro,ramas y hacer lo, o ) -ara probar la policy deber6%

H) 2) se 3)
1!.! ;as

(niciar sesi#n como 9ser con una contraseMa) 7acer .lic9 en Start y veri icar que el bot#n S+ut !o(n haya quitado del menL Start) .errar y ,uardar todos los pro,ramas y hacer lo, o )

erra$ientas usadas para crear IPBs

Active !irectory 9sers and 7omputers 8sted puede abrir el editor de Kroup 'olicy /bject desde "ctive $irectory 8sers and .omputers para administrar K'/s para dominios y or,ani*ational units) 4n el cuadro 'roperties para un dominio u or,ani*ational unit, hay una len,[eta Kroup 'olicy, con la cual se puede manejar K'/s para el dominio u or,ani*ational units) Active !irectory Sites and Services 8sted puede abrir el editor de Kroup 'olicy /bject desde "ctive $irectory Sites and Services para manejar K'/s de sites) 4n el cuadro 'roperties para el site, hay una len,[eta Kroup 'olicy, con la cual se puede manejar K'/s para el site) ,roup -olicy Management 7onsole La Kroup 'olicy =ana,ement .onsole es un sistema de inter ases pro,ramables para el manejo de Kroup 'olicy, as como las ==. snap;in que se construyen en estas inter ases pro,ramables tambi+n) Los componentes de Kroup 'olicy =ana,ement, por su parte, consolidan la administraci#n de Kroup 'olicy a trav+s de la empresa) La Kroup 'olicy =ana,ement .onsole combina la uncionalidad de componentes mLltiples en una sola inter a* de usuario >8(?) La 8( se estructura para emparejar la manera en que se utili*a y maneja Kroup www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 1 |
'olicy) "simismo incorpora la uncionalidad relacionada con Kroup 'olicy de las herramientas

si,uientes en una sola ==. snap;in! "ctive $irectory 8sers and .omputers "ctive $irectory Sites and Services 0esultant Set o 'olicy >0So'? Kroup 'olicy =ana,ement tambi+n proporciona las si,uientes capacidades e3tendidas que no estaban disponibles en herramientas anteriores de Kroup 'olicy) .on Kroup 'olicy =ana,ement, 8sted puede! 7acer :ac9 up y restore de K'/s)

.opiar e importar K'/s) 8sar iltros Windows =ana,ement (nstrumentation >W=(?) Kenerar reportes de K'/ y 0So')
:Lscar para K'/s)

,roup -olicy Management vs default ,roup -olicy tools "ntes de Kroup 'olicy =ana,ement, 8sted administraba Kroup 'olicy usando una variedad de herramientas Windows, incluyendo "ctive $irectory 8sers and .omputers, "ctive $irectory Sites and Services y 0So') 'ero ahora, Kroup 'olicy =ana,ement consolida la administraci#n de todas las tareas base de Kroup 'olicy en una sola herramienta) Kracias a esta administraci#n consolidada, la uncionalidad de Kroup 'olicy ya no es requerida en las otras herramientas) $espu+s de instalar Kroup 'olicy =ana,ement, 8sted aLn utili*a cada una de las herramientas de "ctive $irectory para sus prop#sitos previstos de administraci#n de directorio, por ejemplo, crear un usuario, computadora y ,rupo) Sin embar,o, usted puede utili*ar Kroup 'olicy =ana,ement para reali*ar todas las tareas relacionadas con Kroup 'olicy) La uncionalidad de Kroup 'olicy ya no estar disponible con las herramientas de "ctive $irectory cuando instale Kroup 'olicy =ana,ement) Kroup 'olicy =ana,ement no sustituye al editor de Kroup 'olicy /bject) 8sted todava debe editar K'/s, usando el editor de Kroup 'olicy /bject) Kroup 'olicy =ana,ement inte,ra la uncionalidad de edici#n proporcionando acceso directo al editor de Kroup 'olicy /bject) "ota' La Kroup 'olicy =ana,ement .onsole

no viene con Windows Server 2003) Usted de2e descargar lo de'


http!@@www)microso t)com@windowsserver2003@,pmc@ de ault)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 4 | 1!1! Prctica 2' EC$o crear una IPBG

8tilice los procedimientos si,uientes para crear un nuevo K'/ o un lin9 a una K'/ e3istente, usando "ctive $irectory 8sers and .omputers, y para crear una K'/ en un site, dominio u or,ani*ational unit) -ara crear una ,-B nueva o +acer un lin4 a una ,-B e>istente usando Active !irectory 9sers and 7omputers% H) 7acer clic9 derecho en el contenedor de Active !irectory >dominio u or,ani*ational unit?, que est

en el "ctive $irectory 8sers and .omputers, para crear una K'/) $espu+s hacer clic9 en -roperties)
2) 4le,ir una de las opciones si,uientes, en el cuadro -roperties, sobre la len,[eta ,roup -olicy!

-ara crear una ,-B nueva, hacer clic9 en 1ew, in,resar un nombre para la K'/ nueva y presionar 41-40) -ara +acer un lin4 a una ,-B e>istente, hacer clic9 en "dd y seleccionar la K'/ de la lista) La K'/ o el lin9 que usted crea, se e3hibe en la lista de K'/s que estn lin9eadas al contenedor de "ctive $ i r e c t o r y ) 1!4! EJuF es un IPB ;in3G

-odas las K'/s se almacenan en un contenedor de "ctive $irectory llamado Kroup 'olicy /bjects) .uando una K'/ es utili*ada por un site, dominio u or,ani*ational unit, la K'/ es lin9eada al contenedor Kroup 'olicy /bjects) .onsecuentemente, 8sted puede centrali*ar la administraci#n y el deploy de K'/s a muchos dominios u or,ani*ational units)

.uando 8sted crea un K'/ lin9 a un site, dominio u or,ani*ational unit, podr reali*ar dos operaciones separadas! crear la K'/ nueva y lin9earla al site, dominio u or,ani*ational unit) "l dele,ar permisos para lin9ear una K'/ al dominio, or,ani*ational unit o site, 8sted tendr que modi icar los permisos para el dominio, or,ani*ational unit o site que desee dele,ar) 'or de ecto, solamente miembros de los ,rupos $omain "dmins y 4nterprise "dmins tienen los permisos necesarios para lin9ear K'/s a domains y or,ani*ational units) \nicamente los miembros del ,rupo 4nterprise "dmins tienen los permisos para lin9ear K'/s a sites) =iembros del ,rupo Kroup 'olicy .reator /wners pueden crear K'/s, pero no pueden lin9ear)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 7 |
.uando 8sted crea una K'/ en el contenedor Kroup 'olicy /bjects, la K'/ no se aplica a nin,Ln usuario o computadora hasta que el K'/ lin9 sea creado) 8sted puede crear una unlin9ed K'/ usando Kroup 'olicy =ana,ement y tambi+n puede lle,ar a crear unlin9ed K'/s en una or,ani*aci#n ,rande, donde un ,rupo cree K'/s y otro ,rupo cree lin9s de K'/s al site, dominio u or,ani*ational unit)

1!7! Prctica 3' EC$o crear un IPB ;in3G


'ara reali*ar esta prctica deber instalar previamente K'=.) >Eea el punto 2)3 ms adelante? 8tilice los procedimientos si,uientes para crear y lin9ear K'/s) 'ara lin9ear una K'/ cuando usted lo crea!

H) 4n la Kroup 'olicy =ana,ement de la consola, e3pandir el orest conteniendo el dominio en el cual 8sted desea crear y lin9ear la K'/) 43pandir !omains y reali*ar uno de los si,uientes pasos! -ara crear una ,-B y lin4earla al dominio, hacer clic9 derecho en el dominio y despu+s hacer clic9 en
.reate and Lin9 a K'/ 7ere)

-ara crear una ,-B y lin4earla a una organi.ational

unit, e3pandir el dominio que contiene la or,ani*ational unit, hacer clic9 derecho en la or,ani*ational unit, y despu+s hacer clic9 en 7reate and 8in4 a ,-B 2ere)
2) 4n el cuadro 3e( ,-B, in,resar el nombre para la K'/ nueva y despu+s hacer clic9 en B@) 'ara lin9ear una K'/ e3istente al site, dominio u or,ani*ational unit!

H)

4n Kroup 'olicy =ana,ement de la consola, e3pandir el orest conteniendo el dominio en el cual 8sted desea lin9ear una K'/ e3istente) 43pandir !omains y el dominio) 2) 7acer clic9 derecho en el dominio, site u or,ani*ational unit) $espu+s hacer clic9 en 8in4 an $>isting ,-B) 3) 4n el cuadro Select ,-B, hacer clic9 en la K'/ que 8sted desea lin9ear y despu+s hacer clic9 en B@) 1!9! EC$o se +irector%G eredan per$isos de Iroup Polic% en #ctive

La orden en la cual Windows Server 2003 aplica K'/s depende del contenedor de "ctive $irectory al cual es lin9eada la K'/) Las K'/s se aplican primero al site, despu+s a dominios y por Lltimo a or,ani*ational units en los dominios) 8n contenedor child hereda K'/s del contenedor parent) 4sto si,ni ica que un contenedor child puede tener muchos Kroup 'olicy Settin,s aplicados a sus usuarios y computadoras, sin tener un K'/ lin9eado a +l) Sin embar,o, no hay jerarqua de dominios como en las or,ani*ational units, por ejemplo, las parent or,ani*ational units y child or,ani*ational units) Las K'/s son acumulativas, implicando que estn heredadas) La herencia de Kroup 'olicy

es el orden en el cual Windows Server 2003 aplica K'/s) 4ste orden y la herencia de K'/s determinan, en Lltima instancia, qu+ con i,uraciones a ectan a usuarios y computadoras) Si hay K'/s mLltiples que se ijan en el mismo valor, por de ecto la K'/ que se aplic# Lltima, tomar precedencia) 8sted puede tambi+n tener K'/s mLltiples lin9eadas al los mismos contenedores) 'or ejemplo, puede tener tres K'/s lin9eadas a un solo dominio) 4l orden en el cual se aplican las K'/s puede a ectar el resultado de www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 9 |
la con i,uraci#n de Kroup 'olicy) 7ay tambi+n un orden o prioridad de Kroup 'olicy y de K'/s para cada contenedor)

1!:! EJuF sucede cuando

a% con(licto de IPBsG

Las combinaciones complejas de K'/s pueden crear con lictos y consecuentemente requerir modi icar el comportamiento de la herencia por de ecto) .uando una con i,uraci#n de Kroup 'olicy se con i,ura para una or,ani*ational unit parent y la misma con i,uraci#n de Kroup 'olicy no se con i,ura para la or,ani*ational unit child, los objetos de esta Lltima heredan la con i,uraci#n de Kroup 'olicy de la or,ani*ational unit parent) .uando se con i,ura una Kroup 'olicy para ambas, or,ani*acional unit parent y or,ani*ational units child, las con i,uraciones para estas or,ani*ational units se aplican) Si las con i,uraciones son incompatibles, la or,ani*ational unit child conserva sus propia con i,uraci#n de Kroup 'olicy) 'or ejemplo, una con i,uraci#n de Kroup 'olicy para la or,ani*ational unit se aplica por Lltimo a la computadora o el usuario sobreescribe la que est en con licto de con i,uraci#n de Kroup 'olicy para un contenedor, que es de ms alta jerarqua en "ctive $irectory) Si el orden de herencia por de ecto no resuelve las necesidades de su or,ani*aci#n, 8sted puede modi icar las re,las de herencia para K'/s espec icas) Windows Server 2003 proporciona las dos si,uientes opciones para cambiar el orden de herencia por de ecto! 3o Bverride :$nforced;

4sta opci#n se utili*a para prevenir que contenedores child iltren K'/s con prioridad ms alta de con i,uraci#n) 4sta alternativa es Ltil para hacer cumplir K'/s que representen re,las de ne,ocio de la or,ani*aci#n) La opci#n 3o Bverride se ija sobre una base individual de K'/) 8sted puede ijar esta opci#n en una o ms K'/s se,Ln lo requiera) .uando se ija ms de una K'/ en 3o Bverride, la K'/ ms alta en la jerarqua de "ctive $irectory, ijada en 3o Bverride, tomar precedencia) Bloc4 -olicy in+eritance 4sta opci#n se utili*a en contenedores child para bloquear herencia de todos los contenedores parent) 4s Ltil cuando una or,ani*ational unit requiere una Lnica con i,uraci#n de Kroup 'olicy) Bloc4 -olicy in+eritance se ija basndose en el contenedor) 4n caso de con licto, la opci#n 3o Bverride toma siempre precedencia sobre la opci#n Bloc4 -olicy in+eritance)

1!10! <lo>ueo de +eplo%$ent de IPB


8sted puede prevenir en un contenedor child la herencia de todas las K'/s de los contenedores parent, habilitando Bloc4 -olicy in+eritance en el contenedor child) $e esta manera, evita que el contenedor herede todas las con i,uraciones Kroup 'olicy) 4sto es Ltil cuando un contenedor de "ctive $irectory requiere con i,uraciones Lnicas de Kroup 'olicy y 8sted desea ase,urarse que las con i,uraciones de Kroup 'olicy no se hereden) 'or ejemplo, se puede utili*ar Bloc4 -olicy in+eritance cuando el administrador de una or,ani*ational unit deba controlar todas las K'/s para ese container)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina : |
Al usar Bloc4 -olicy in+eritance5 deber6 considerar lo siguiente%

1o se puede ele,ir selectivamente qu+ K'/s bloquea) Bloc4 -olicy in+eritance a ecta todas las K'/s de todos los contenedores parent, e3cepto las K'/s con i,uradas con la opci#n 3o Bverride sin K'=. instalada y $nforced con K'=. instalada)

Bloc4 -olicy in+eritance no bloquea la herencia de una K'/ lin9eada a un contenedor parent, si el lin9 se con i,ura con la opci#n 3o Bverride) 1!11! EC$o con(igurar Iroup Polic% /n(orce$entG

I$portante' "ntes de instalar Kroup 'olicy =ana,ement, la opci#n $nforced se llama 1o /verride en "ctive $irectory 8sers and .omputers) -ara configurar enforcement de ,-B lin4 deber6% H) 4n Kroup 'olicy =ana,ement de la consola, e3pandir el orest con el lin9 en el cual 8sted desea con i,urar el en orcement) Lue,o, se,uir uno de si,uientes pasos! -ara configurar enforcement de ,-B lin4 a un dominio, e3pandir $omains y el dominio que contiene el K'/ lin9) -ara configurar enforcement de ,-B lin4 a una organi.ational unit, e3pandir $omains y el dominio que contiene la or,ani*ational unit) $espu+s e3pandir la or,ani*ational unit que pueda incluir parent o child or,ani*ational unit y que conten,a el K'/ lin9) -ara configurar enforcement de ,-B lin4 a un site ,

e3pandir Sites, y lue,o e3pandir el site que contiene el K'/ lin9) 2) 7acer clic9 derecho en el K'/ lin9 y despu+s hacer clic9 en $nforced para permitir o inhabilitar el en orcement)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 10 | 1!12! 0iltrado de #plicacin de IPB

'or de ecto, todos los Kroup 'olicy Settin,s contenidos en las K'/s, a ectan al contenedor y se aplican a todos los usuarios y computadoras de ese contenedor, el cual no puede producir los resultados que 8sted desea) 8sando la caracterstica de iltrado, se puede determinar qu+ con i,uraciones se aplican a los usuarios y a las computadoras en el contenedor espec ico) 8sted puede iltrar el deployment de K'/ ijando permisos en el K'/ Lin9 para determinar el acceso de lectura o ne,ar el permiso en la K'/) 'ara que los Kroup 'olicy Settin,s se apliquen a una cuenta de usuario o de computadora, la cuenta

debe tener por lo menos el permiso de lectura para una K'/ y de aplicaci#n) Los permisos por de ecto para una K'/ nueva tienen el si,uiente "ccess .ontrol 4ntries >".4s?! "uthenticated 8sers) 'ermitir read y permitir apply Kroup 'olicy $omain "dmins, 4nterprise "dmins and SQS-4=) 'ermitir read, 'ermitir Write, 'ermitir .reate "ll .hild objects, 'ermitir $elete "ll .hild objects
9sted puede utili.ar los siguientes mKtodos de filtrado%

$>plicitly deny 4ste m+todo se utili*a al ne,ar el acceso a la Kroup 'olicy) 'or ejemplo, 8sted podra ne,ar e3plcitamente el permiso al ,rupo de se,uridad de los administradores, lo cual prevendra a los administradores en la or,ani*ational unit de la recepci#n de K'/ Settin,s) *emove Aut+enticated 9sers 8sted puede omitir a los administradores de la or,ani*ational unit del ,rupo de se,uridad, lo cual si,ni ica que no tienen nin,Ln permiso e3plcito para la K'/) 'ara ms in ormaci#n acerca de Kroup 'olicy!
http!@@support)microso t)com@de ault)asp36scidA9bTen;usT322P23

http!@@microso t)com@downloads@details)asp36
%amily(dA$2C4FF:.;$22N;24F%;""24;:U.2P0CH%P."&displaylan,Aen

http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@technet@


prodtechnol@windowsserver2003@mana,ement@,p@de ault)asp

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 11 |

2! #d$inistracin del entorno de usuario

La administraci#n del entorno de usuario implica controlar lo que +stos pueden hacer cuando inician sesi#n en la red) 4sto se hace a trav+s de Kroup 'olicy, controlando las computadoras de escritorio, las cone3iones de red y las inter aces de usuario) 8sted maneja los ambientes de usuario para ase,urarse que los mismos ten,an lo necesario para reali*ar sus trabajos) $e esta manera, no podrn corromper o con i,urar incorrectamente sus ambientes) 7uando 9sted configura y mane/a ambientes de usuario de forma centrali.ada5 puede reali.ar las siguientes tareas% Mane/ar los usuarios y las computadoras 4sto es posible controlando la con i,uraci#n de escritorio del usuario con policies basadas en re,istry) "s, 8sted se ase,ura que los usuarios ten,an los mismos ambientes, incluso si ellos inician sesi#n de diversas computadoras) "simismo, 8sted puede controlar c#mo =icroso t WindowsI Server 2003 maneja el user pro iles, el cual conoce la orma en que los datos personales de un usuario estn disponibles) .on redirectin, user olders de los discos duros locales del usuario a una locali*aci#n central en un servidor, 8sted puede ase,urarse que los datos del usuario est+n disponibles para ellos, sin importar la computadora desde la cual inicien sesi#n) !eploy soft(are 4l so tware se instala en las computadoras o en los usuarios con servicio de directorio "ctive $irectoryI) .on la instalaci#n del so tware, 8sted puede ase,urarse que los usuarios ten,an sus pro,ramas requeridos, service pac9s, y hot i3es) 2!1! EJuF son los Iroup Polic% Settings /na2le o +isa2leG

Si 8sted inhabilita un policy settin,, est inhabilitando la acci#n del policy settin,) 'or ejemplo, los usuarios por de ecto pueden tener acceso al .ontrol 'anel) 'ara ello, 8sted no necesita inhabilitar el policy settin, -ro+ibit access to t+e 7ontrol -anel, a menos que previamente haya aplicado un policy settin, habilitndolo) 4n esta situaci#n, 8sted habr ijado otro policy settin, para deshabilitar el aplicado previamente) 4sto es provechoso cuando se heredan policy settin,s y no se desea usar iltrado para aplicar policy settin,s a un ,rupo y a otro no) 8sted puede aplicar una K'/ que permita un policy settin, en la parent or,ani*ational unit y otro policy settin, que deshabilite la K'/ en la child or,ani*ational unit) Si 8sted permite un policy settin,, estar consintiendo la acci#n del policy settin,) 'or ejemplo, para revocar a al,uien acceso al .ontrol 'anel, 8sted puede habilitar el policy settin, -ro+ibit access to t+e 7ontrol -anel)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 12 |
8n K'/ lleva a cabo los valores que cambian re,istry para los usuarios y las computadoras que estn con ormes al K'/) La con i,uraci#n por de ecto para un policy settin, es 3ot 7onfigured)

Si 8sted desea ijar a una computadora o a un usuario un policy settin,, de nuevo al valor pre ijado o de nuevo a la local policy, deber seleccionar la opci#n 3ot 7onfigured) 'or ejemplo, 8sted puede permitir un policy settin, para al,unos clientes, y al usar la opci#n 1ot .on i,ured, la policy invertir a la policy por de ecto, o local policy settin,) "l,unas K'/s requieren proporcionar una cierta in ormaci#n adicional despu+s de permitir el objeto) .iertas veces 8sted puede necesitar seleccionar un ,rupo o una computadora si el policy settin, necesita volver a diri,ir al usuario a una cierta in ormaci#n) /tras veces, por ejemplo,para permitir pro3y settin,s, 8sted deber proporcionar el nombre o la direcci#n (nternet 'rotocol >('? del pro3y server y el nLmero de puerto) Si el policy settin, es multi;valued y los settin,s estn en con licto con otro policy settin,, el con licto de multi; valued settin,s se substituyen por el Lltimo policy settin, que ue aplicado)

2!2! Prctica .' EC$o editar un Iroup Polic% SettingG


.omo administrador de sistemas, 8sted debe editar Kroup 'olicy settin,s) 8tilice el si,uiente procedimiento para reali*ar esta tarea) H) 4n Kroup 'olicy =ana,ement de la consola, nave,ar los ,roup -olicy B b / e c t s ) 7acer clic9 derecho en la K'/ y despu+s en $dit) 4n el editor de Kroup 'olicy /bject, buscar el Kroup 'olicy settin, que se desear editar, y despu+s hacer doble;clic9) 4n el cuadro -roperties, con i,urar el Kroup 'olicy settin, y despu+s hacer clic9 en B@)

2) 3) 2)

2!3! EJuF son los scripts de Iroup Polic% SettingsG


8sted puede utili*ar los scripts de Kroup 'olicy para con i,urar scripts centrali*ados que corran automticamente cuando la computadora se inicia y se apa,a, y tambi+n cuando los usuarios inician sesi#n y la cierran) 8sted puede especi icar cualquier script que corra en Windows Server 2003, incluyendo archivos batch, pro,ramas ejecutables y scripts soportados por Windows Script 7ost >WS7?) -ara ayudar al usuario a mane/ar y configurar sus ambientes5 deber6%

.orrer scripts que realicen las tareas que 8sted no puede reali*ar con otros Kroup 'olicy settin,s) 'or ejemplo, con i,urar el entorno de usuario con cone3iones de red, cone3iones de impresora, shortcuts a aplicaciones y documentos corporativos) Limpiar los escritorios cuando los usuarios cierran la sesi#n y apa,an la computadora) 8sted puede quitar las cone3iones que a,re,# con los scripts de lo,on o startup, de modo que la computadora est+ en el mismo estado que cuando el usuario la encendi#) .orrer scripts pre;e3istentes, ijados para manejar los ambientes de usuario hasta que se con i,ure con otro Kroup 'olicy settin,s que remplace esos scripts

"ota' $esde "ctive $irectory 8sers and .omputers, 8sted puede asi,nar scripts de lo,on individualmente a las cuentas del usuario en el cuadro -roperties de cada uno de ellos) Sin embar,o, Kroup 'olicy es el m+todo pre erido para correr scripts porque se pueden manejar estos scripts centrali*ados junto con startup, shutdown, y lo,o scripts) 'ara ms in ormaci#n acerca de scriptin,, vea -ech1et Script .enter en!
http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@scriptcenter@de ault)asp

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 13 | 2!.! Prctica 1' EC$o asignar Scripts con Iroup Polic%G

'ara implementar script 8sted utili*a Kroup 'olicy, a,re,ndolo a la con i,uraci#n apropiada en un Kroup 'olicy template) 4sto indica que el script puede correr durante el startup, shutdown, lo,on o lo,o ) -ara agregar un script a la ,-B deber6% H) 4n Kroup 'olicy =ana,ement, editar la K'/) 2) 4n el editor de Kroup 'olicy /bject de la consola, buscar 8ser .on i,uration@Windows Settin,s@Scripts >Lo,on@Lo,o ?) 3) 4n el panel de detalles, hacer doble;clic9 en 8ogon) 2) 4n el cuadro 8ogon -roperties, hacer clic9 en Add) N) 4n el cuadro Add a Script, con i,urar cualquiera de las con i,uraciones si,uientes que se desee utili*ar) $espu+s, hacer clic9 en B@!

Script 3ame (n,resar el path del script o hacer clic9 en Bro(se para locali*ar el archivo de script en la carpeta compartida 1etlo,on del $omain controller) Script -arameters (n,resar los parmetros que se desean utili*ar, de la misma manera que se in,resara en command line) C) 4n el cuadro 8ogon -roperties, con i,urar cualquiera de las si,uientes con i,uraciones que se deseen utili*ar! 8ogon Scripts for 4sta lista enumera todas los scripts que estn actualmente asi,nados a la K'/ seleccionada) Si se asi,nan mLltiples scripts, +stos sern procesados en el orden que se especi ic#) 'ara mover el script en la lista, hacer clic9 en el script y despu+s 9p o !o(n) 2!1! EJuF es 0older &edirectionG .uando 8sted redirecciona olders, cambia la locaci#n de las carpetas del disco duro local de la computadora del usuario, a una carpeta compartida en un servidor de la red) $espu+s de redireccionar una carpeta a un servidor, +sta se,uir apareciendo como local para el usuario) .uatro son las carpetas que orman parte del user pro ile y que se pueden redireccionar! =y $ocuments, "pplication $ata, $es9top y Start =enu) Almacenando datos en la red5 los beneficios de los usuarios son la disponibilidad creciente y los bac4up frecuentes de sus datos *edireccionar carpetas tiene los siguientes beneficios% Los datos en las carpetas estn disponibles para el usuario, sin importar la computadora cliente desde la que el usuario inicie sesi#n) Los datos en las carpetas se almacenan centrali*ados, y por esto es ms cil la administraci#n y el bac9up para su res,uardo) Los archivos que se locali*an adentro de carpetas redireccionadas, como los archivos de un roamin, user pro ile, no se copian y no se ,uardan en la computadora del usuario que inicia sesi#n) 4sto si,ni ica que cuando el usuario inicia sesi#n en la computadora cliente, no se

utili*ar espacio de almacenamiento para esos archivos y los datos que puedan ser con idenciales no quedan en dicha computadora) Los datos se almacenan en una carpeta compartida de red que puede ser parte de las reas rutinarias de bac9up) 4sto es ms se,uro porque no requiere nin,una acci#n de parte del usuario) .omo administrador, 8sted puede utili*ar Kroup 'olicy para con i,urar dis9 quotas, limitando la cantidad de espacio que es tomado por los usuarios)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 1. | 2!4! Carpetas >ue pueden ser redireccionadas

8sted puede redireccionar las carpetas =y $ocuments, "pplication $ata, $es9top y Start =enu) 8na or,ani*aci#n puede redireccionar estas carpetas para preservar datos y con i,uraciones importantes del usuario) 7ay varias ventajas al redireccionar cada una de estas carpetas, que varan se,Ln las necesidades de la or,ani*aci#n) 9sted puede utili.ar redireccin para cual'uiera de las siguientes carpetas en el user profile% My !ocuments La redirecci#n de
porque la carpeta =y $ocuments es particularmente ventajosa

tiende a a,randarse con el tiempo) La tecnolo,a / line %iles da el acceso a

usuarios a =y $ocuments, incluso cuando los usuarios no estn conectados a la red) 4sto es particularmente Ltil para ,ente que utili*a las computadoras porttiles) Ap pli cat io n !a ta Los Kroup 'olicy settin, controlan el comportamiento de los "pplication $ata cuando el cachin, del lado del cliente est habilitado) 4sta con i,uraci#n sincroni*a los datos de aplicaciones centrali*ados en un servidor de la red con la computadora local) .onsecuentemente, el usuario puede trabajar en lnea o uera de lnea) Si al,unos cambios se reali*an a los datos de aplicaci#n, la sincroni*aci#n actuali*a los datos del aplicativo sobre el cliente y el servidor) ! e s 4 t o p 8sted puede redireccionar el escritorio y todos los archivos, shortcuts y carpetas a un servidor centrali*ado) S t a r t M e n u .uando se redirecciona el Start =enu, sus sub olders tambi+n se redireccionan) 2!7! Con(iguraciones re>ueridas para con(igurar 0older &edirection

7ay tres con i,uraciones disponibles para %older 0edirection! none, basic y advanced) :asic %older 0edirection es para los usuarios que deben rediri,ir sus carpetas a un rea comLn o para los usuarios que necesitan que sus datos sean privados) 9sted tiene las siguientes opciones b6sicas para 0older *edirection% *edirect folder to t+e follo(ing
-odos los usuarios redireccionan sus carpetas a un rea comLn donde

location

pueden ver o utili*ar otros datos en carpetas redirecionadas) 'ara hacer esto, elija la con i,uraci#n Basic y con i,ure la )arget folder location to *edirect folder to t+e follo(ing location 4s aconsejable utili*ar esta opci#n para todas las carpetas que conten,an los datos que no son privados) 7reate a folder for eac+ user under t+e root pat+ 'ara los usuarios que necesitan sus carpetas redireccionadas con datos privados, elija con i,uraci#n Basic y con i,ure )arget folder location to 7reate a folder for eac+ user under t+e root pat+ 4s aconsejable utili*ar esta opci#n para los usuarios que necesitan sus datos privados, como los ,erentes que ,uardan datos personales sobre empleados) .uando 8sted selecciona Advanced specify locations for various user groups, las carpetas son redireccionadas a di erentes locaciones, basadas en ,rupos de se,uridad de los usuarios)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de

8so

Captulo 1 | Pgina 11 |

8as opciones avan.adas para 0older *edirection son las siguientes% Select a group:s; "qu es donde se especi ica a qui+n aplicar la redirecci#n) )arget 0older 8ocation "qu se pueden ele,ir cualquiera de las si,uientes opciones!

7reate a folder for eac+ user under t+e root pat+ 8tili*ar para los datos con idenciales) *edirect to t+e follo(ing location 8tili*ar para los datos compartidos) *edirect to t+e local userprofile location 8tili*ar para los usuarios que utili*an una me*cla de computadoras cliente que no son parte de "ctive $irectory por un lado y s lo son por otro) *oot -at+ 4n este cuadro, se especi ica el servidor y el nombre de la carpeta compartida a la que se desear redireccionar) 2!9! Prctica 4' EC$o con(igurar 0older &edirectionG 8sted con i,ura %older 0edirection usando el editor de Kroup 'olicy /bject) -ara configurar 0older *edirection deber6% H) 4n Kroup 'olicy =ana,ement, editar o crear la K'/) 2) 4n el editor de Kroup 'olicy /bject de la consola, e3pandir 9ser 7onfiguration, e3pandir #indo(s Settings, y despu+s e3pandir 0older *edirection) Los conos para las cuatro carpetas que pueden ser redireccionadas se muestran) 3) 7acer clic9 derecho en la carpeta que se desea redireccionar y despu+s hacer clic9 en -roperties) 2) 4n el cuadro -roperties, de la len,[eta Setting, hacer clic9 en una de las si,uientes opciones!

Basic 1 *edirect everyonePs folder to t+e same net(or4 s+are point -odas las carpetas a ectadas por esta K'/ se almacenan en la misma carpeta compartida de red) Advanced 1 *edirect personal folders based on t+e userPs members+ip in a #indo(s Server 2003 security group Las carpetas se redireccionan a otras compartidas de la red y basadas en los miembros de ,rupos de se,uridad) 'or ejemplo, carpetas que pertenecen a los usuarios del ,rupo de contabilidad se redireccionan al servidor de contabilidad, y las carpetas que pertenecen a los usuarios en el ,rupo de comerciali*aci#n se redireccionan al servidor de comerciali*aci#n) N) 4n el cuadro -roperties, hacer .lic9 en Add) C) :ajo )arget folder location, en el cuadro *oot pat+, in,resar el nombre de la carpeta compartida en la red a utili*ar, o hacer clic9 en Bro(se para locali*arla) P) 4n la len,[eta Settings, con i,urar las opciones que se desean utili*ar y despu+s hacer clic9 en B@) 2!:! EJuF es IpupdateG

,pupdate es una herramienta command;line que actuali*a los local Kroup 'olicy settin,s y Kroup 'olicy settin,s almacenados en "ctive $irectory, incluidas las con i,uraciones de se,uridad) 'or de ecto, las con i,uraciones de se,uridad se actuali*an cada U0 minutos en un puesto de trabajo o un servidor, y cada cinco minutos en un $omain .ontroller) 8sted puede correr ,pupdate para probar una Kroup 'olicy settin, o aplicar inmediatamente un Kroup 'olicy settin,

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 14 |
8os e/emplos siguientes demuestran cmo 9sted puede utili.ar el comando gpupdate% 7%Mgpupdate 7%Mgpupdate Ftarget%computer 7%Mgpupdate Fforce F(ait%D00 7%Mgpupdate Fboot Ipupdate tiene los siguientes par$etros!

F)arget%Q7omputer R 9serS 4speci ica la actuali*aci#n solamente de usuario o computadora para sus policy settin,s) 'or de ecto, la policy de usuario y computadora son actuali*adas) F0orce 0eaplica todos los policy settin,s) 'or de ecto, solamente los policy settin,s que han cambiado se reaplican) F#ait%Q&alueS %ija el nLmero de se,undos para esperar el procesamiento de policy) 'or de ecto, es de
C00 se,undos) 4l valor R 0 R si,ni ica no esperar) 4l valor R ; H R si,ni ica esperar inde inidamente) F8ogoff .ausa un lo,o despu+s de actuali*ar la con i,uraci#n de Kroup 'olicy settin,s)

FBoot 'rovoca que la computadora se reinicie despu+s de la actuali*aci#n de Kroup 'olicy settin,s) FSync 'rovoca que la pr#3ima con i,uraci#n de policy settin, se aplique sincr#nicamente)

2!10! EJuF es IpresultG

$ebido a que 8sted puede aplicar niveles traslapados de policy settin,s a cualquier computadora o usuario, Kroup 'olicy ,enera un reporte que resulta de aplicar policies al lo,on) ,presult e3hibe el reporte que resulta de aplicar policies que se hacen cumplir en la computadora para el usuario especi icado al lo,on) 4l comando gpresult e3hibe los Kroup 'olicy settin,s y el 0esultant Set o 'olicy >0So'? para un usuario o una computadora) 8sted puede utili*ar gpresult para ver qu+ con i,uraciones de la K'/ son e ectivas y locali*ar problemas en

la aplicaci#n) 8os e/emplos siguientes demuestran cmo se puede utili.ar el comando gpresult% 7%Mgpresult Fuser targetusername Fscope computer 7%Mgpresult Fs srvmain Fu maindomF+iropln Fp pAss#23 Fuser targetusername Fscope 9S$* 7%Mgpresult Fs srvmain Fu maindomF+iropln Fp pAss#23 Fuser targetusername F. Tpolicy t>t 7%Mgpresult Fs srvmain Fu maindomF+iropln Fp pAss#23
Ipresult tiene los siguientes par$etros!

Fs 7omputer 4speci ica el nombre o direcci#n (' de una computadora remota) 'or de ecto es la computadora local) Fu !omainM9ser 4l comando unciona con los permisos de la cuenta del usuario que se especi ica 8ser o $omain@8ser) 4l de ecto son los permisos del usuario que se encuentre autenticado en la computadora y que ejecute el comando)
Fp -ass(ord 4speci ica el password de la cuenta del usuario que se especi ica en el parmetro @u)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 17 |
Fuser )arget9ser3ame 4speci ica el nombre del usuario del que se e3hiben los datos 0So')

Fscope QuserRcomputerS 43hibe los policy settin,s del usuario o computadora) Los valores vlidos para el parmetro @scope son user o computer) Si se omite el parmetro @scope, ,presult e3hibe a ambos, usuario y computadora)

Fv 4speci ica que la salida e3hibir in ormaci#n verbose de la policy)

F. 4speci ica que la salida e3hibir toda la in ormaci#n disponible acerca de Kroup 'olicy) $ado que este parmetro produce ms in ormaci#n que el parametro @v, se debe redireccionar la salida a un archivo de te3to cuando se utilice este parmetro >por ejemplo, s puede escribir gpresult F. Tpolicy t>t?)
FJ 43hibe la ayuda en la ventana de comandos)

www.microsoft.com/latam/technet

< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 19 | 3! #d$inistracin de instalacin de So(tware

=icroso tI WindowsI Server 2003 incluye una caracterstica llamada (nstalaci#n y mantenimiento de so tware que utili*a el servicio de "ctive $irectoryI, Kroup 'olicy y =icroso t Windows (nstaller para instalar, mantener y quitar so tware en las computadoras en su or,ani*aci#n) 8sando el m+todo de administraci#n e instalaci#n de so tware basado en policy, 8sted puede ase,urarse que los pro,ramas que los usuarios requirieran para reali*ar sus trabajos, est+n disponibles siempre y donde sea necesario) 3!1! ;a instalacin del So(tware % el proceso de $anteni$iento

4n Windows Server 2003, 8sted puede utili*ar Kroup 'olicy para manejar el proceso de instalaci#n de so tware centrali*ado a partir de una locali*aci#n) "dems, Kroup 'olicy settin,s puede aplicarse a los usuarios o computadoras en un site, dominio u or,ani*ational unit para instalar automticamente, actuali*ar o quitar so tware) "plicando Kroup 'olicy settin,s al so tware, 8sted puede manejar varias ases de la instalaci#n del so tware

sin instalar so tware en cada computadora individualmente) 8a lista siguiente describe cada fase en la instalacin del soft(are y proceso de mantenimiento% H) -reparation 'rimero hay que instalar el so tware usando la estructura corriente de Kroup 'olicy object >K'/?, y tambi+n identi icar los ries,os al usar la in raestructura actual para instalar so tware) 'ara preparar los archivos que permitan a un pro,rama ser instalado con Kroup 'olicy, 8sted debe copiar los archivos Windows (nstaller pac9a,e para un pro,rama a un so tware distribution point, el cual puede ser una carpeta compartida en un servidor) "simismo puede adquirir el archivo Windows (nstaller pac9a,e del vendedor del pro,rama o crear el archivo pac9a,e usando una utilidad de terceras partes) 2) !eployment "qu hay que crear una K'/ que instala el so tware en la computadora y lin9ea la K'/ a un contenedor apropiado de "ctive $irectory) 4l so tware estar instalado cuando la computadora se encienda o cuando un usuario inicie el pro,rama) 3) Maintenance 4l so tware se actuali*a con una nueva versi#n o reinstalando el so tware con un service pac9 o un so tware update) $e esta maner, estar automticamente actuali*ado o reinstalado cuando la computadora se encienda o cuando el usuario inicie el pro,rama) 2) *emoval 'ara eliminar el so tware que no es requerido, se necesita quitar el so tware pac9a,e settin, de la K'/ que ori,inalmente instal# el so tware) 4l so tware entonces se quitar automticamente cuando la computadora se encienda o cuando un usuario inicie sesion)
3!2! EJuF es Windows InstallerG

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 1: |
'ara habilitar Kroup 'olicy para instalaci#n y administraci#n de so tware, Windows Server 2003 usa Windows (nstaller) 4ste componente automati*a la instalaci#n y el retiro de pro,ramas, aplicando un sistema de re,las centralmente de inidas durante el proceso de la instalaci#n) #indo(s "nstaller contiene dos componentes%

#indo(s "nstaller service 4ste servicio del lado del cliente automati*a completamente la instalaci#n del so tware y proceso de la con i,uraci#n) 4l servicio Windows (nstaller puede tambi+n modi icar o reparar un pro,rama instalado e3istente) 'ara instalar un pro,rama lo hace directamente del .d;0/= o usando Kroup 'olicy) 'ara ello, el servicio Windows (nstaller requiere un Windows (nstaller pac9a,e) #indo(s "nstaller pac4age 4ste archivo pac9a,e contiene toda la in ormaci#n que el Windows (nstaller service requiere para instalar o quitar so tware) 4l "rchivo contiene!

4s un archivo Windows (nstaller con e3tenci#n )msi) "rchivos uente e3ternos, que son requeridos para instalar o quitar el so tware) (n ormaci#n estndar sobre el so tware y el pac9a,e) "rchivos del producto o una re erencia a un punto de instalaci#n donde residen los archivos del producto) 8as venta/as de usar tecnologia #indo(s "nstaller incluye% 7ustom installations .aractersticas opcionales de un aplicativo) 'or ejemplo, clip art o un diccionario, puede ser visible en un pro,rama sin que la caracterstica sea instalada) "unque los comandos de menL son accesibles, la caracterstica no est instalada hasta que el usuario acceda al menL de comandos) 4ste m+todo de instalaci#n ayuda a reducir la complejidad y la cantidad de espacio de disco duro que el pro,rama utili*a) *esilient applications Si un archivo crtico se borra o se corrompe, el pro,rama adquiere automticamente una nueva copia del archivo de la uente de la instalaci#n, sin requerir la intervenci#n del usuario) 7lean removal Windows (nstaller quita aplicaciones sin dejar archivos hu+r anos o inadvertidamente romper otro aplicativo, por ejemplo, cuando un usuario borra un archivo compartido que otro aplicativo requiera) -ambi+n, Windows (nstaller quita todas las con i,uraciones de re,istry relacionadas y almacena las transacciones de instalaci#n en una base de datos y archivos de lo, subsecuentes)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 20 | 3!3! +escripcin del proceso de So(tware +eplo%$ent

.uando 8sted instala so tware, est especi icando c#mo se instalan los aplicativos y c#mo se mantienen los mismos en su or,ani*aci#n) -ara instalar nuevo Soft(are5 utili.ando ,roup -olicy5 deber6% H) 7rear un soft(are distribution point 4sta carpeta compartida en su servidor contiene el pac9a,e y los archivos del so tware para instalar)

.uando el so tware se instala en una computadora local, el Windows (nstaller copia archivos a la computadora) 2) 9tili.ar la ,-B para instalar soft(are 8sted debe crear o reali*ar cambios necesarios a la K'/ para el contenedor en donde desea instalar el aplicativo) "l mismo tiempo puede con i,urar la K'/ para instalar so tware para una cuenta de usuario o de computadora) 4sta tarea tambi+n incluye seleccionar el tipo de instalaci#n que se requiere) 3) Ca$2iar las caractersticas de la instalacin del so(tware! $ependiendo de sus requisitos, 8sted puede cambiar las caractersticas que ueron ijadas durante la instalaci#n inicial del so tware) 3!.! #ssigning So(tware vs! Pu2lis ing So(tware

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 21 |
;os dos tipos de instalacin son' asi,nar so tware y publicar so tware)

8sando la asi,naci#n de so tware, 8sted se ase,ura que el

so tware est+ siempre disponible para el usuario) .uando +ste inicie sesi#n, aparecern Start menu shortcuts y des9top icons para el aplicativo) 'or ejemplo, si el usuario abre un archivo que utili*a =icroso t 43cel en una computadora que no tiene 43cel, pero 43cel ha sido asi,nado al usuario, Windows (nstaller instala 43cel en la computadora cuando el usuario abre archivo) "dems, el asi,nar so tware hace al so tware resilient) Si por cualquier ra*#n el usuario quita el so tware, Windows (nstaller lo reinstalar la pr#3ima ve* que el usuario inicie sesi#n e inicie el aplicativo) 8sando la publicaci#n de so tware, 8sted se ase,ura que el so tware est+ disponible para que los usuarios lo instalen en sus computadoras) Windows (nstaller no a,re,a shortcuts en el escritorio del usuario o en el Start menu, y no reali*a entradas en re,istry local) $ado que los usuarios deciden instalar el published so tware, 8sted puede publicar so tware solamente a los usuarios y no a las computadoras)
9sted puede asignar y publicar soft(are usando uno de los mKtodos de la tabla siguiente% *Ftodo de instalacin *Ftodo 1 .on i,urando al usuario) .uando 8sted asi,ne so tware a un usuario, el so tware se anunciar en el escritorio del mismo cuando inicie sesi#n) La instalaci#n no comen*ar hasta que el usuario ha,a doble;clic9 al inicio de la aplicaci#n o a un archivo asociado con la aplicaci#n) 4ste es un m+todo llamado activaci#n de documento) Si el usuario no activa el aplicativo, el so tware no es instalado) $e esta orma, se ahorra espacio en el disco duro y tiempo) 8sando "dd or 0emove 'ro,rams) 8n usuario puede abrir el .ontrol 'anel y hacer doble;clic9 en "dd or 0emove 'ro,rams para e3hibir los aplicativos disponibles) 4l usuario puede seleccionar un aplicativo y entonces hacer clic9 en "dd) *Ftodo 2 .on i,urando la computadora) .uando 8sted asi,ne so tware a una computadora, nin,un aviso ocurrir) 4n su lu,ar, el so tware se instalar automticamente cuando la computadora se encienda) "si,nando so tware a una computadora 8sted se ase,ura que ciertos aplicativos est+n siempre disponibles en esa computadora, sin importar qui+n la utili*a) 8sted no puede asi,nar so tware a una computadora que sea domain controller)

"si,naci#n

'ublicaci#n

8sando la activaci#n de documentos) Si usted publica un aplicativo en "ctive $irectory las e3tenciones de nombre de archivo de los documentos soportados por la aplicaci#n sern asociadas en el directorio)

3!1! Prctica 7' EC$o utiliAar una IPB para instalar So(twareG
$espu+s de crear un so tware distribution point, 8sted deber crear una K'/ que instale esos aplicativos, y despu+s lin9ear la K'/ al contenedor que conten,a los usuarios o computadoras en donde desee instalar el so tware) I$portante' 1o asi,nar ni publicar un Windows (nstaller pac9a,e ms de una ve* en la misma K'/) 'or ejemplo, si 8sted asi,na =icroso t / ice O' a computadoras que son a ectadas por una K'/, no deber asi,nar ni publicar a los usuarios a ectados por la misma K'/) -ara utili.ar una ,-B para instalar soft(are5 tendr6 'ue reali.ar los

siguientes pasos% H) 2) .rear o editar la K'/) :ajo 9ser 7onfiguration o 7omputer 7onfiguration >dependiendo si 8sted est asi,nando el so tware a los usuarios o a las computadoras o publicndolo a los usuarios?, e3pandir Soft(are Settings, hacer clic9 derecho en Soft(are "nstallation, marcar 3e(, y despu+s hacer clic9 en -ac4age) 4n el cuadro 0ile Bpen, hacer browse al so tware distribution point, usando el nombre 8niversal 1amin, .onvention >81.?) 'or ejemplo, OOServer"a$eOS are"a$e, seleccionar el archivo pac9a,e y despu+s hacer clic9 en Bpen)

3)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 22 |
2) 4n el cuadro !eploy Soft(are, seleccionar el m+todo de instalaci#n y despu+s hacer clic9 en B@)

3!4! Prctica 9' EC$o ca$2iar las opciones para la instalacin de So(twareG
8n K'/ puede contener varias con i,uraciones que a ecten c#mo un aplicativo es instalado, manejado y quitado) 8sted puede de inir las con i,uraciones por de ecto ,lobal para los nuevos pac9a,es en la K'/, tambi+n puede cambiar al,unas de estas con i,uraciones ms adelante, editando las propiedades del pac9a,e en la e3tensi#n de la instalaci#n de so tware) $espu+s de instalar un so tware pac9a,e, reci+n podr cambiar las caractersticas de la instalaci#n que ueron ijadas durante la instalaci#n inicial del so tware) 'or ejemplo, 8sted puede prevenir a usuarios la instalaci#n del so tware pac9a,e usando la activaci#n de documento) -ara configurar las opciones implcitas para reali.ar los siguientes pasos% H) 2) la instalacin del soft(are5 deber6

.rear o editar la K'/) :ajo 9ser 7onfiguration o 7omputer 7onfiguration, e3pandir Soft(are Settings, hacer clic9 derecho en Soft(are "nstallation y despu+s en -roperties) 4n la len,[eta ,eneral, con i,urar las opciones si,uientes de la instalaci#n de so tware!

3)

!efault pac4age location #+en adding ne( pac4ages to user settings


"nstallation user interface options

2)

4n la len,[eta Advanced, seleccionar la opci#n 9ninstall t+e application (+en t+ey fall out of t+e scope of management)

-ara cambiar las caractersticas de la instalacin de soft(are5 deber6% H) 4n So tware (nstallation, hacer clic9 derecho en el pac9a,e instalado, y despu+s hacer clic9 en

-roperties)
2) 4n el cuadro -roperties de la len,[eta !eployment, cambiar las si,uientes opciones!

!eployment type !eployment options


"nstallation user interface options

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 23 | 3!7! EJuF es la $odi(icacin de So(twareG

Las modi icaciones se asocian a un Windows (nstaller pac9a,e en la instalaci#n anterior que utilice ese Windows (nstaller pac9a,e para instalar o modi icar el aplicativo) (nstalar varias con i,uraciones de un aplicativo, permite a diversos ,rupos en su or,ani*aci#n utili*ar un paquete de so tware de diversas maneras) 8sted puede utili*ar modi icaciones de so tware o archivos mst >tambi+n llamado arc+ivos de transformacin? para instalar varias con i,uraciones de un aplicativo) 8n archivo )mst es un custom so tware pac9a,e que modi ica c#mo Windows (nstaller instala el msi pac9a,e asociado) Windows (nstaller aplica modi icaciones a pac9a,es en el orden que 8sted especi ique) 'ara ,uardar modi icaciones en un archivo )mst, deber correr el custom installation wi*ard y ele,ir el archivo )msi en el cual desea basar la trans ormaci#n) 8sted deber determinar el orden en el cual aplicar las trans ormaciones a los archivos antes de asi,nar o publicar el aplicativo) /Ce$plo' 8na or,ani*aci#n ,rande, por ejemplo, puede querer instalar =icroso t / ice O', pero los requisitos por departamento para el / ice suite varian e3tensamente en la or,ani*aci#n) 4n lu,ar de con i,urar manualmente cada uno de los departamentos, 8sted puede utili*ar di erentes K'/s y archivos )mst en combinaci#n con los archivos )msi por de ecto, para que cada departamento instale varias con i,uraciones de / ice O') 4n este ejemplo, 8sted puede correr el / ice O' custom

installation wi*ard del / ice 0esource Dit para crear el archivo de trans ormaci#n)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 2. | 3!9! 8ipos de actualiAacin de So(tware

Las tareas en una or,ani*aci#n son dinmicas y variadas) 8sted

puede utili*ar Kroup 'olicy para instalar y administrar so tware up,rades que cumplan con requisitos departamentales en su or,ani*aci#n) Las actuali*aciones implican tpicamente cambios importantes al so tware y tienen nuevos nLmeros de versi#n) Keneralmente, un nLmero substancial de archivos cambia para una actuali*aci#n) &arios acontecimientos en el ciclo de vida de un aplicativo pueden accionar la necesidad de una actuali.acin5 incluyendo lo siguiente% 8na nueva versi#n del so tware se lan*a y contiene nuevas y mejoradas caractersticas) 'arches y se,uridad o realces uncionales se han hecho al so tware desde el lan*amiento pasado) 8na or,ani*aci#n decide utili*ar un so tware de diversos vendedores) 2ay tres tipos de actuali.aciones% Mandatory upgrades 4stas actuali*aciones substituyen automticamente una vieja versi#n del so tware con la nueva version) 'or ejemplo, si los usuarios utili*an actualmente la versi#n del pro,rama H)0, se quita esta versi#n, y la versi#n del pro,rama 2)0 se instala la pr#3ima ve* que la computadora se encienda o el usuario inicie sesi#n) Bptional upgrades 4stas actuali*aciones permiten que los usuarios decidan cundo actuali*ar la nueva versi#n) 'or ejemplo, los usuarios pueden determinar si desean actuali*ar a la versi#n 2)0 del so tware o continuar usando la versi#n H)0) Selective upgrades Si al,unos usuarios requieren una actuali*acion pero no otros, 8sted puede crear K'/s mLltiples para que se apliquen a los usuarios que requieran la actuali*aci#n y crear los paquetes de so tware apropiados en ellas)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de

8so

Captulo 1 | Pgina 21 | 3!:! Prctica :' EC$o actualiAar el So(tware instaladoG

8sted utili*a la instalaci#n de so tware para establecer el procedimiento de actuali*aci#n de so tware a la versi#n actual) -ara instalar una actuali.acin5 deber6% H) 2) (nstalar la versi#n si,uiente del so tware) "brir So tware (nstallation, hacer clic9 derecho en la nueva versi#n, y despu+s hacer clic9 en -roperties)
4n el cuadro -roperties de la len,[eta 9pgrades, en la secci#n -ac4ages t+at

3)

t+is pac4age (ill upgrade, hacer clic9 en Add, y despues seleccionar la versi#n anterior >actual? del so tware) 8sted puede actuali*ar un aplicativo usando la K'/ actual o seleccioando una K'/ espec ica) Si ambas versiones del pro,rama tienen un Windows (nstaller 'ac9a,e de orma nativa, este paso se reali*ar automticamente) 2) 7acer .lic9 en -ac4age can upgrade over e>isting pac4age o 9ninstall t+e e>isting pac4age5 t+en install t+e upgrade pac4age, y despues hacer clic9 en B@) N) Seleccionar el tipo de actuali*aci#n! 'ara reali*ar un mandatory up,rade, seleccionar el cuadro *e'uired upgrade for e>isting pac4ages, y despu+s hacer clic9 en B@) 'ara reali*ar un optional up,rade, limpiar el cuadro *e'uired upgrade for e>isting pac4ages, y despu+s hacer clic9 en B@) 3!10! EC$o (unciona la reinstalacin de So(twareG

*edeployment es la aplicaci#n de service pac9s y actuali*aciones de so tware al so tware instalado) 8sted puede instalar un pac9a,e instalado or*ando la reinstalaci#n del so tware) La reinstalaci#n puede ser necesaria si el so tware pac9a,e instalado previamente es actuali*ado pero si,ue teniendo la misma versi#n, o si hay problemas de interoperabilidad o virus que la reinstalaci#n del so tware arre,le) .uando 8sted marca un archivo pac9a,e para reinstalaci#n, el so tware se anuncia a cada uno de los que se ha concedido el acceso al aplicativo, ya sea a trav+s asi,naci#n o publicaci#n) 4ntonces, dependiendo de c#mo el pac9a,e ori,inal haya sido instalado, uno de estos tres escenarios ocurrir!

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 24 |
.uando usted asi,ne so tware a un usuario, el Start menu, los shortcuts de escritorio y la con i,uraci#n de re,istry sern relevantes al so tware y actuali*ados la pr#3ima ve* que el usuario inicie sesi#n) La pr#3ima ve* que el usuario inicie el so tware, el service

pac9 o actuali*aci#n de so tware se aplicar automticamente) .uando usted asi,ne so tware a una computadora, el service pac9 o actuali*aci#n de so tware se aplicar automticamente la pr#3ima ve* que la computadora se encienda) .uando 8sted publique e instale so tware, el Start menu, los shortcuts de escritorio y la con i,uraci#n de re,istry, sern relevante al so tware y actuali*ados la pr#3ima ve* que el usuario inicie sesi#n) La pr#3ima ve* que el usuario inicie el so tware, el service pac9 o actuali*aci#n de so tware se aplicar automticamente)

3!11! Prctica 10' EC$o reinstalar So(twareG


8sted utili*a la instalaci#n de so tware para establecer el procedimiento de reinstalaci#n del mismo) "ntes de reinstalar, ase,Lrese que el servicio incluya un nuevo archivo Windows (nstaller pac9a,e >)msi ?) $e lo contrario, 8sted no podr reinstalar el so tware, porque solamente el nuevo archive pac9a,e contiene las instrucciones para instalar los archivos nuevos que el service pac9 o actuali*aci#n de so tware contiene) -ara reinstalar soft(are5 deber6% un

/btener el service pac9 o actuali*aci#n de so tware del vendedor del aplicativo y colocar los archivos en las carpetas apropiadas de instalaci#n) H) 2) 3) 4ditar la K'/ que ori,inalmente instal# el so tware) "brir So tware (nstallation, hacer clic9 derecho en el nombre del archive pac9a,e, marcar All )as4s, y despu+s hacer clic9 en *edeploy Application) 4n el cuadro de dilo,o, hacer clic9 en ?es)

3!12! *Ftodos para >uitar So(tware instalado

'uede ser necesario quitar el so tware si una versi#n no es soportada en adelante o si los usuarios no requieren ms el so tware) 8sted puede or*ar el retiro del so tware o dar a los usuarios la opci#n de continuar, usando el viejo so tware) Da% dos $Ftodos de re$ocin'

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 27 |
0orced removal 8sted puede or*ar la remoci#n del so tware, lo cual automticamente remover el so tware de la computadora la pr#3ima ve* que la computadora se encienda o la pr#3ima ve* que un usuario inicie sesi#n, en caso de un Kroup 'olicy settin, de usuario) 4l so tware se remover antes que apare*ca el escritorio del usuario) Bptional removal 8sted puede quitar el so tware de la instalaci#n del mismo sin or*ar el retiro del so tware) 4l so tware no se quita realmente de las computadoras) 4l so tware no aparece ms en Add or *emove -rograms, pero los usuarios pueden todava utili*arlo) Si los usuarios remueven manualmente el so tware, no podrn reinstalarlo)

3!13! Prctica 11' EC$o >uitar So(tware instaladoG


.uando 8sted utili*a Kroup 'olicy para instalar so tware, puede con i,urar la K'/ para remover el so tware viejo, si no es ms requerido por su or,ani*aci#n) -ambi+n quitar so tware viejo con i,urando la K'/ que permite a los usuarios un optionally up,rade a un nuevo so tware pac9a,e) -ara 'uitar soft(are instalado5 deber6% H) 2) 3) "brir la K'/ que ue utili*ada ori,inalmente para instalar el so tware) 4n So tware (nstallation, hacer clic9 derecho al nombre del pac9a,e, marcar All )as4s, y despu+s hacer clic9 en *emove) 4n el cuadro *emove Soft(are, hacer clic9 a una de las si,uientes opciones, y despu+s hacer clic9 en B@)

"mmediately uninstall t+e soft(are from users and computers Allo( users to continue to use t+e soft(are5 but prevent ne( installations

"ota' 8sted debe ase,urarse que los usuarios reinicien sus computadoras si el cambio a ecta a la computadora, o que inicien sesi#n nuevamente si el cambio a ecta al usuario)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 29 |

.!

Iroup Polic% *anage$ent Console )IP*C,

.onjuntamente con =icroso tI Windows Server) 2003, =icroso t est lan*ando una nueva herramienta Kroup 'olicy =ana,ement que uni ica la administracion de Kroup 'olicy) La =icroso t Kroup 'olicy =ana,ement .onsole >K'=.? proporciona una sola soluci#n para manejar todas las areas relacionadas a Kroup 'olicy) .onsiste en un nuevo =icroso t =ana,ement .onsole >==.? snap;in y un sistema de inter ases de scriptin, para la administraci#n de Kroup 'olicy =ana,ement .onsole) La K'=. ayuda manejar una empresa con ms e icacia) .!1! EJuF es la Iroup Polic% *anage$ent ConsoleG

La Kroup 'olicy =ana,ement .onsole >K'=.? es una herramienta nueva para manejar Kroup 'olicy en Windows Server 2003)
8a ,-M7%

'ermite que usted maneje Kroup 'olicy para mLltiples orests, dominios y or,ani*ational units a partir de una inter a* constante) 43hibe los lin9s, herencia y dele,aci#n de Kroup 'olicy =uestra los contenedores a los cuales se aplican policy) 'roporciona reportes 7-=L de las con i,uraciones) 'roporciona las herramientas para mostrar el 0esultant Set o 'olicies >0So'? y e3perimentar con combinaciones propuestas de policies) "ota' La K'=. no viene con Windows Server 2003) 8sted puede descar,arla de http!@@www)microso t)com@windowsserver20 03@,pmc@de ault)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 2: | .!2! IP*C &e>uisitos del Siste$a

K'=. ayuda a manejar ambos dominios basados en Windows 2000 y Windows Server 2003 con "ctive $irectoryI service) $n cual'uier caso5 la computadora en la cual corre ,-M7 debe funcionar con uno de los sistemas operativos siguientes%
Windows Server 2003)

Windows O' 'ro essional con Service 'ac9 H >S'H? y =icroso t )14- %ramewor9) "dems, es requerido un hot i3 post; S'H >S%4 S32C2CU?) 4ste S%4 actuali*a su versi#n de ,pedit)dll a version N)H)2C00)HHFC, la cual se requiere para K'=.) 4ste S%4 se incluye con K'=. y la instalaci#n de K'=. le pre,unta sobre su instalaci#n) Sin embar,o, si el len,uaje de K'=. no concuerda con el len,uaje de su sistema operativo, K'=. no instalar el S%4 y se necesitar obtener e instalar por separado este S%4, que ser incluido en Windows O' Service 'ac9 2) .!3! Instalacin de IP*C La instalaci#n de K'=. es un proceso simple que implica la ejecuci#n de un Windows (nstaller >)=S(? pac9a,e) Los archivos necesarios sern instalados en la carpeta PS%ste$&ootPOProgra$ 0ilesOIP*C) a r a

e l l o % H) 7acer $oble;clic9 en gpmc msi pac9a,e y en 3e>t) 2) "ceptar el 4nd 8ser License ",reement >48L"?, y hacer clic9 en 3e>t) 3) 7acer .lic9 en 7lose para terminar la instalaci#n) Sobre la terminaci#n de la instalaci#n, la len,[eta Kroup 'olicy que apareca en las p,inas de propiedades de sites, dominios y or,ani*ational units >/8s? en el "ctive $irectory snap;ins, es actuali*ada para proporcionar un acceso directo a la K'=.) La uncionalidad que e3isti# previamente en la len,[eta ori,inal de Kroup 'olicy no estar ms disponibleT toda la uncionalidad para manejar Kroup 'olicy estar disponible a trav+s de la K'=.)
-ara abrir el ,-M7 snap1in directamente5 utili.ar alguno de los mKtodos siguientes%

7acer .lic9 en Start, clic9 *un, in,resar ,-M7 msc, y despu+s hacer clic9 en B@) 7acer .lic9 en el acceso ,roup -olicy Management en la carpeta Administrative )ools del Start =enu o en el .ontrol 'anel) .rear una consola custom ==. H) 7acer .lic9 en Start, clic9 *un, in,resar MM7, y despu+s hacer clic9 en B@) 2) 4n el menu 0ile, hacer clic9 en AddF*emove Snap1in5 hacer clic9 en Add, seleccionar ,roup
-olicy Management, hacer clic9 en Add, hacer clic9 en 7lose, y despu+s hacer clic9 en B@)

'ara reparar o quitar K'=., usar Add or *emove -rograms en .ontrol 'anel) "lternativamente, correr el ,pmc)msi pac9a,e, seleccionr la opci#n apropiada, y hacer clic9 en 0inis+)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 30 | .!.! Iroup Polic% *odeling % Iroup Polic% &esults

,roup -olicy Modeling

Windows Server 2003 tiene una nueva caracterstica de ,ran alcance! Kroup 'olicy =ana,ement) 4sta permite que el usuario simule la aplicaci#n de policy que sera aplicada a los usuarios y a las computadoras antes aplicar realmente policies) 4sta caracterstica, es conocida como 0esultant Set o 'olicy >0So'?) 4l =odo de planeamiento en Windows Server 2003, se inte,ra en K'=. como Kroup 'olicy =odelin,) 4sto requiere un domain controller Windows Server 2003 en el orest porque la simulaci#n es reali*ada por un servicio que est solamente presente en domain controllers Windows Server 2003) Sin embar,o, usando esta caracterstica, 8sted puede simular el resultant set o policy para cualquier computadora en el orest, incluyendo las que uncionan con =icroso t WindowsI 2000)

,rou p -olic y *esul ts 4sta caracterstica permite que los administradores determinen el resultant set o policy que ue aplicada a una computadora espec ica y >opcionalmente? el usuario que inici# sesi#n en esa computadora) Los datos que se presentan son similares a los datos de Kroup 'olicy =odelin,) Sin embar,o, son di erentes a Kroup 'olicy =odelin, puesto que no son una simulaci#n) 4s el resultado real de resultant set o policy obtenido de la computadora destino) -ambi+n di iere Kroup 'olicy =odelin,, con los datos de Kroup 'olicy 0esults que se obtienen del cliente, y no se simula en el domain controller) 4l cliente debe correr Windows O', Windows Server 2003 o superior) 1o es posible conse,uir Kroup 'olicy 0esults para una computadora que corra Windows 2000 o anterior)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 31 | .!1! #d$inistrando $Mltiples 0orests


MGltiples forests pueden ser agregados f6cilmente a la consola -ara ello deber6%

H) 7acer clic9 derecho al nodo de la ra* ,roup -olicy Management, y seleccionar Add 0orestU

2) 4speci icar el nombre $1S o 1et:(/S del dominio deseado en el orest que no se haya car,ado en K'=., y hacer clic9 en B@) 4l orest especi icado aparecer como nodo secundario en la consola y ser car,ado en la consola con el dominio que ue incorporado en el cuadro Add 0orest) 'ara quitar un nodo de orest, simplemente ha,a clic9 derecho en el nodo, y seleccione *emove) 'or de ecto usted puede a,re,ar solamente orest a la K'=. si hay 2;way trust con el orest del usuario que corre la K'=.) .!4! Contenido de +o$inios $entro de cada dominio, K'=. proporciona una vista basada en policy de "ctive $irectory y los componentes asociados a las Kroup 'olicy, por ejemplo, K'/s, W=( ilters y K'/ lin9s) La visi#n en K'=. es similar a la visi#n en "ctive $irectory 8sers and .omputers ==. snap;in, que muestra la jerarqua de /8) Sin embar,o, K'=. di iere de este snap;in porque en ve* de mostrar usuarios, computadoras y ,rupos en /8s, e3hibe las K'/s que estn lin9eadas a cada contnedor)
7ada nodo de dominio en ,-M7 e>+ibe los puntos siguientes%

-odas las K'/s lin9eadas al dominio) -odas las top;level /8s y una vista del rbol de /8s y K'/s lin9eadas a cada una de las /8s) Los contenedores de ,roup -olicy Bb/ects muestran todas las K'/s en el dominio)
4l contenedor #M" 0ilters muestra todos los W=( %ilters en el dominio)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 32 |

.!7! &eportes de con(iguracin de IPB

La len,[eta de con i,uraci#n de K'/ o K'/ lin9 en K'=., muestra un in orme 7-=L que e3hibe todas las con i,uraciones de inidas en la K'/) 7aciendo clic9 en esta len,[eta se ,enera un in orme de las con i,uraciones en la K'/) 4ste in orme puede ser ,enerado por cualquier usuario con acceso de lectura al K'/) Sin K'=., usuarios que no tenan acceso de escritura a un K'/ no podrn leer y revisar con i,uracion en esa K'/) 4sto es porque el editor de Kroup 'olicy /bject requiere que el usuario ten,a permisos de lectura y escritura al abrir la K'/)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 33 |
Los in ormes 7-=L tambi+n hacen cil que el administrador ten,a visi#n de todas las con i,uraciones que se conten,an en un K'/ de un vista*o) Seleccionando la opci#n S+o( All arriba del in orme, +ste se ampla completamente y se muestran todas las con i,uraciones) 'ara ver o ,uardar un in orme directamente en un browser Web, 8sted debe utili*ar (nternet

43plorer C o 1etscape P) 1etscape P no soporta la uncionalidad que permita mostrar u ocultar datos en in ormes)

.!9! Bperaciones con IPB


Las operaciones K'/ se re ieren a la capacidad de bac4up >e3port?, restore, import y copy de K'/s) 7acer bac9up de K'/ consiste en hacer copia de los datos de K'/ al sistema de archivos) /bservar que la uncti#n Bac4up tambi+n sirve como la unci#n de la e3portaci#n para K'/s) 4l 0estore de K'/ toma un bac9up e3istente y recrea la K'/ en el dominio) 4l prop#sito del restore es reajustar un K'/ espec ico de nuevo al estado id+ntico que tenia cuando ue reali*ado el bac9up) 'or lo tanto, la operacion de restore no puede ser utili*ada para trans erir K'/s a trav+s de dominios) 'ara esta operaci#n debe utili*ar la importaci#n de K'/ # la operaci#n de copy)

.!9 !1! <a c3 up


$l Bac4up de ,-B pone una copia de todos los datos relevantes de ,-B en una locali.acin especificada del sistema de arc+ivos 8os datos relevantes incluyen% 4l K'/ K8($ y dominio) .on i,uraci ones K'/) La $iscretionary "ccess .ontrol List >$".L? de la K'/) Los W=( ilter lin9) La operaci#n de bac9up solamente hace bac9up de componentes de la K'/ que estn en "ctive $irectory y en la estructura de archivo de K'/ en SQSE/L) La operaci#n no

captura los datos almacenados uera del K'/, por ejemplo W=( ilters e (' Security policies) Zstos son objetos separados con su propio sistema de permisos y es posible que un administrador que reali*a el bac9up o el restore, pueda no tener los permisos requeridos en esos otros objetos)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 3. |
8os administradores pueden +acer bac4up de una o m6s ,-Bs usando los mKtodos siguientes% 7acer clic9 derecho en la K'/ bajo el nodo ,roup -olicy ob/ects y ele,ir Bac4 upU del menL de conte3to) 7acer clic9 derecho en una o ms K'/s en la len,[eta 7ontents del nodo ,roup -olicy ob/ects y ele,ir Bac4 upU del menL de conte3to) 4sto hace bac9up de las K'/>s? seleccionadas) 4n el nodo ,roup -olicy Bb/ects, hacer clic9 derecho y ele,ir la opci#n Bac4 9p AllU 4sto hace bac9up de todas las K'/s en el dominio)

8se los K'/ bac9up scripts) 8sted puede escribir sus el propios scripts o puede utili*ar la muestra de scripts incluida con K'=. en la carpeta K'=.Wscripts ) 7ay dos scripts Bac4up,-B (sf y Bac4upAll,-Bs (sf que se incluyen con K'=., los cuales usted pueden utili*ar para hacer bac9up de K'/s)

.!9!2! &estore La operaci#n de 0estore de K'/ restaura la K'/ a un

estado anterior y puede ser utili*ada en los casos si,uientes! se reali*a bac9up a la K'/ pero se ha removido desde entonces, o la K'/ est viva y se desea volverla a un estado anterior)
8a operacin de restore substituye los componentes siguientes de una ,-B%

.on i,u racione s de K'/) ".Ls en la K'/)


Los W=( ilter lin9s)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 1 | Pgina 31 |
9sted puede reali.ar un restore de ,-Bs usando cual'uiera de los mKtodos siguientes%

'ara hacer restore una K'/ e3istente, hacer clic9 derecho a la K'/ en el contenedor ,roup -olicy ob/ects y seleccionar *estore from Bac4upU 4sto abre el *estore ,roup -olicy Bb/ect #i.ard) 8sar los K'/ restore scripts) 8sted puede escribir sus propios scripts o utili*ar las muestras de scripts includas con K'=. en la

carpeta IP*COscripts
7ay dos scripts *estore,-B (sf y *estoreAll,-Bs (sf)

.!9!3! I$port La operaci#n de importaci#n trans iere con i,uraci#n en una K'/ e3istente de "ctive $irectory, usando un bac9up de K'/ en la locali*aci#n del sistema de archivos como su uente) Las operaciones de importaci#n se pueden utili*ar para trans erir con i,uraciones a trav+s de K'/s dentro del mismo dominio, a trav+s de dominios en el mismo orest o en orest separados) Las operaciones de importaci#n son ideales para emi,rar Kroup 'olicy a trav+s de ambientes donde no hay con ian*a) 8as operaciones de importacin se pueden reali.ar usando cual'uiera de los mKtodos siguientes% 7acer clic9 derecho en la K'/ bajo el nodo Kroup 'olicy /bjects y hacer clic9 en (mport Settin,s) 4sto iniciar un wi*ard que lo ,uiar en el proceso de seleccionar el bac9up y opcionalmente especi icando una tabla de mi,raci#n si es apropiado) 8sar uno de los scripts "mport,-B (sf o "mportAll,-Bs (sf que se incluyen con
K'=.)

.!9!.! Cop% H) 8na operaci#n de copia trans iere con i,uraciones usando una K'/ e3istente en "ctive $irectory como la uente y crea un K'/ nueva como su destino) 8na operaci#n de copia se puede utili*ar para trans erir con i,uraciones a un K'/ nuevo cualquiera en el mismo dominio, en otros dominios, en el mismo orest o en orest separados) 'uesto que una operaci#n de copia utili*a un K'/ e3istente en "ctive $irectory como ori,en, la con ian*a se requiere entre el ori,en y los dominios de la destino)

2)

8as operaciones de copia se pueden reali.ar usando cual'uiera de los mKtodos siguientes%

7acer clic9 derecho en la K'/ ori,in, ele,ir la copy y

hacer clic9 derecho en el contenedor


,roup -olicy Bb/ects del dominio deseado de destino) 4le,ir la opci#n paste)

8sar dra, and drop para arrastrar la K'/ ori,in al contenedor ,roup -olicy Bb/ects en el dominio destino)
8sar el script 7opy,-B (sf command;line que se incluye con K'=.)

'ara obtener mas in ormaci#n! http!@@www)microso t)com@windowss erver2003@,pmc@de ault)msp3 http!@@www)microso t)com@windowss erver2003@,pmc@mi,r,po)msp3 http!@@www)microso t)com@,rouppoli cy http!@@www)microso t)com@technet@, rouppolicy

Captulo 4 | Pgina 1 |

Capitulo 4 I$ple$entacin % #d$inistracin de 8er$inal Server en Windows Server 2003!

-erminal Server, en =icroso tI Windows Server 2003, o rece la e3periencia de WindowsI para diversi icar hardware de escritorio mediante la emulaci#n de terminales)

As imismo soporta una amplia gama de clientes y me/ora los ambientes de cmputo al%

"mpliar la

amilia Windows escalable, que da servicio a

compaMas que deseen implementar la soluci#n de Gcliente del,adoG para o recer Windows de 32;bits a una ,ran variedad de dispositivos de hardware de escritorio heredados) .ombinar el bajo costo de una terminal con los bene icios de un ambiente administrado, basado en Windows) -ambi+n o rece el mismo ambiente de bajo costo y administraci#n central de un mainframe tradicional con terminales, pero aMade la amiliaridad, acilidad de uso y variedad de soporte para aplicaciones que o rece una plata orma de sistema operativo Windows)
Al finali.ar este capitulo 9sted tendr6 la +abilidad de%

(mplementar 0emote $es9top para administraci#n (nstalar -erminal Server


"dministrar un entorno -erminal Server

1! Int rod ucc in -erminal Services permite el acceso de mLltiples usuarios a Windows Server 2003, permitiendo que varias personas inicien sesiones en un servidor simultneamente) Los administradores pueden instalar aplicaciones basadas en Windows del -erminal Server y ponerlas a disposici#n de todos los clientes que se conecten con el servidor) "unque los usuarios pueden tener diversos hardware y sistemas operativos, la sesi#n -erminal que se abre en el escritorio del cliente conserva el mismo aspecto y uncionalidad para todos)

Captulo 4 | Pgina 2 | 1!1! EC$o (unciona 8er$inal ServicesG

#indo(s Server 2003 )erminal Server consiste en cuatro componentes%

)erminal Server% 4ste nLcleo de servidor multi;usuario proporciona la capacidad de alber,ar varias sesiones simultneas de clientes en Windows Server 2003 y en versiones uturas de Windows Server) "simismo puede alber,ar en orma directa escritorios de cliente multi; usuario compatibles, que se ejecuten en una variedad de hardware) Las aplicaciones estndar basadas en Windows, si estn escritas adecuadamente, no requieren nin,una modi icaci#n para ejecutarse en -erminal Server, y la ve* se pueden utili*ar todas las in raestructuras de administraci#n y tecnolo,as estndar basadas en Windows server 2003 para administrar los escritorios cliente) -rotocolo de escritorio remoto% 4ste 'rotocolo es un componente clave de -erminal Server y permite al cliente comunicarse con -erminal Server en una red) Se basa en el protocolo -)H20 de la 8ni#n (nternacional de -elecomunicaciones >8(-?, y es un protocolo de multi; canal que est ajustado para ambientes empresariales de ancho de banda elevado, y que dar soporte a tres niveles de encriptaci#n) 7liente de )erminal Server% 4s el so tware de cliente que presenta una inter a* Windows de 32 bits amiliar, en una ,ran variedad de hardware de escritorio! 1uevos dispositivos -erminal basados en Windows >incrustados?) .omputadoras personales que ejecutan Windows UN, Windows UF y Windows 1-

Wor9station 3)NH o 2)0, Windows 2000 o O' 'ro essional)


.omputadoras personales que ejecutan Windows or Wor9,roups 3)HH)

7erramientas de administraci#n! "dems de todas las herramientas de administraci#n amiliares de Windows Server 2003, -erminal Server aMade un administrador de licencias de -erminal Services, la con i,uraci#n de -erminal Server >==.? y herramientas de administraci#n para -erminal Server y para sesiones de clientes) "simismo, se han a,re,ado dos nuevos objetos al =onitor de rendimiento, que son Sesi#n y 8suario, para permitir ajustarlos al servidor en un ambiente de usuarios mLltiples)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 3 | 1!2! /ntornos de Usuario

$espu+s de instalar el so tware de cliente, los usuarios acceden al -erminal Server abriendo 0emote $es9top .onnection .lient del menL -rogramsFAccesoriesF 7ommunications .uando un usuario conecta e inicia sesi#n al -erminal Server, el escritorio de Windows Server 2003 aparece en el escritorio del cliente) .uando un usuario inicia un pro,rama, si el pro,rama no est uncionando en orma local, es al,o totalmente transparente) 1!3! Caractersticas % ventaCas

Las caractersticas de -erminal Server proporcionan varias ventajas que una or,ani*aci#n puede utili*ar, como instalaci#n, acceso y manejo de los aplicativos de ne,ocio)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina . |
Instalacin CentraliAada

Las or,ani*aciones pueden instalar aplicaciones de ne,ocios, puesto que el uncionamiento de los pro,ramas se reali*ar enteramente en el servidor) -erminal Server tiene el -./ ms bajo para un solo dispositivo de aplicativo que unciona en una lnea del aplicativo de ne,ocio, por ejemplo, un sistema de reservas o un .all .enter)
Asimismo proporciona siguientes venta/as% las

Menos +ard(are costoso 4mpleados que reali*an s#lo los trabajos que requieran el acceso a un pro,rama de ne,ocio y que se puedan equipar de terminales o computadoras menos costosas) Acceso f6cil a soft(are nuevo o actuali.ado .uando -erminal Server se habilita en Windows Server 2003, los administradores no tienen que instalar aplicaciones en cada computadora de escritorio) 4l aplicativo ya est instalado en el servidor y los clientes tienen acceso automtico a la nueva o actuali*ada versi#n de so tware) #cceso al escritorio Windows Server 2003 -erminal Server puede e3tender Windows Server 2003 y aplicaciones basadas en Windows a una variedad de clientes)
Al mismo tiempo5 permite%

$/ecutar aplicaciones #indo(s -erminal Server puede hacer disponibles aplicaciones Windows a una amplia ,ama de clientes) 4stas aplicaciones basadas en

Windows pueden uncionar en diversos sistemas, en el operativo o el hardware, con poca o nin,una modi icaci#n) Ampliar el uso de un e'uipo m6s vie/o 8na or,ani*aci#n puede implementar -erminal Server como tecnolo,a transitoria para tender un puente sobre sistemas operativos viejos, con entornos de escritorio Windows Server 2003 y aplicaciones 32;bit basadas en Windows) Sustituir las terminales basados en te>to $ado que muchos terminales basados en Windows pueden soportar conectividad de emulaci#n terminal en el mismo dispositivo, las or,ani*aciones pueden sustituir terminales basadas en te3to por terminales basadas en Windows) 4stas Lltimas permiten a usuarios que trabajan con datos de sistemas, tener acceso a so tware ms nuevo basado en Windows, como por ejemplo =icroso t /utloo9) Seguridad y confiabilidad incrementadas $ebido a que nin,Ln pro,rama o datos de usuario residen en el cliente, -erminal Server puede proporcionar un ambiente ms se,uro para los datos sensibles) -ambi+n proporciona soporte de encripci#n multinivel, el cual se permite que siempre haya ries,o de intercepci#n desautori*ada de transmisi#n en la cone3i#n entre el servidor y el cliente) 7ay tres niveles de encripci#n disponibles! low, medium y hi,h) -odos estos niveles usan el Standard 0ivest;Shamir; "dleman >0S"? 0.2 4ncryption) 4ste es un estndar de encripci#n para los datos que se envan sobre redes pLblicas, como por ejemplo (nternet) #d$inistracin % soporte $eCorados )erminal Server tiene varias caractersticas 'ue son Gtiles para la administracin y tareas de soporte5 las cu6les puede tambiKn ayudar a reducir los costos de administracin y soporte% *emote administration) 0emote $es9top "dministration es una nueva caracterstica en -erminal Server para Windows Server 2003) 4st diseMado para proveer a operadores y administradores, el acceso remoto a servidores =icroso t :ac9/ iceI y $omain .ontrollers) 4l administrador tiene acceso a las herramientas de inter a* ,r icas que estn disponibles en el ambiente

Windows, incluso si no se est utili*ando una computadora basada en Windows para administrar el servidor)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 1 |
*emote support Los administradores pueden reali*ar soporte remoto para un usuario que inicia sesi#n al -erminal Server, si,uiendo la sesi#n del cliente desde otra sesi#n de cliente) Los administradores o el personal de soporte pueden tambi+n reali*ar acciones de teclado y de mouse a nombre de un usuario, usando 0emote .ontrol) 0emote .ontrol puede ser Ltil para el entrenamiento o el soporte de usuarios en sistemas o aplicaciones nuevas)

1!.! Plani(icando la instalacin

1!.!1! Identi(icando aplicaciones de Cliente


"ntes de instalar -erminal Server, identi ique las aplicaciones que 8sted piensa instalar en el escritorio del cliente) La mayora de los pro,ramas que uncionan correctamente en Windows Server 2003, se ejecutan tambi+n en -erminal Server) #plicaciones en Windows 2asadas

Los aplicativos que se instalan en un -erminal Server deben ser compatibles con

Windows Server 2003) Si un pro,rama no unciona en Windows Server 2003, no uncionar en el ambiente multiusuario de -erminal Server) "plicaciones 32;bit uncionan ms e icientemente que aplicaciones HC;bit, tomando ventaja completa del hardware y el sistema operativo 32;bit) 4jecutando aplicaciones HC;bit en -erminal Server se puede reducir el nLmero de usuarios que el procesador soporte, tanto como un 20 por ciento, y aumentar la memoria requerida por un usuario, a un N0 por ciento) #plicacio nes *S6 +BS 'uesto que aplicaciones basadas en =icroso t =S;$/SI nunca ueron diseMadas para a ambientes de trabajo mLltiples, ejecutar aplicaciones =S;$/S en -erminal Server puede retardar el uncionamiento del sistema con procesos ociosos) Si el uncionamiento del servidor se retarda perceptiblemente cuando los usuarios utili*an aplicaciones =S;$/S, se necesitar ajustar las con i,uraciones del sistema)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 4 | 1!.!2! Identi(icando re>uisitos de Dardware del Cliente

.omputadoras cliente que se conectan con un -erminal Server no requieren tener mucha ener,a de proceso, y por lo tanto, es muy cil inte,rar -erminal Server en una red que tiene computadoras y equipos viejos) 8er$inal Server soporta las siguientes plata(or$as =icroso t Windows 2000@O'@2003 =icroso t Windows 1-I versions 3)NH and 2)0 =icroso t Windows UN =icroso t Windows UF =icroso t Windows or Wor9,roups 3)HH

=icroso t Windows .4, 7andheld '. 4dition 3)0 Windows .4, 7andheld '. 'ro essional 4dition 3)0 Windows;based -erminals &e>uisit os de Dardwa re
La tabla si,uiente describe los requisitos de hardware espec icos de cliente para -erminal Server) Bperating S%ste$ Windows 2000 Windows 1- versions 3)NH o 2)0 Windows UF Windows UN Windows or Wor9,roups 3)HH Windows .4, 7andheld '.@'0/ &#* 32 me,abytes >=:? HC =: HC =: HC =: HC =: Eendor CPU 'entium 2FC 2FC 3FC 3FC Eendor -ideo EK" EK" EK" EK" EK" Eendor

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 7 | 1!.!3! +eter$inando la con(iguracin del Server para el soporte de usuarios

Con(iguracin del Siste$a

'uesto que todo el proceso de aplicaciones ocurre en el servidor, el -erminal Server requiere normalmente ms recursos de servidor que una computadora ejecutando Windows Server 2003) "se,urar que su servidor pueda acomodar su base de usuarios es crucial para determinar la manera en que el uncionamiento del servidor -erminal Server debe soportar a usuarios) 4n adici#n, es necesario considerar los actores si,uientes! con i,uraci#n del sistema, dispositivos peri +ricos y caractersticas de usuario)
Antes de instalar )erminal Server5 considere las siguientes recomendaciones%

)ipo de servidor Se recomienda instalar -erminal Server en un =ember Server y no en un $omain .ontroller) (nstalar -erminal Server en un $omain .ontroller puede obstaculi*ar el uncionamiento del servidor debido a la memoria adicional, el tr ico de la red y el tiempo de procesador que requiere reali*ar las tareas de un $omain .ontroller en el dominio) *AM Keneralmente, un -erminal Server requiere un adicional de 2 a H0 =: o 0"= para cada sesi#n terminal en administraci#n, o ms, en modo aplicaci#n 0ile system Se recomienda instalar un -erminal Server en una partici#n ormateada con 1-%S %ile System, ya que +ste proporciona la se,uridad para los usuarios en un ambiente mLltiple de sesi#n que tienen acceso a las mismas estructuras de datos) +ispositivos Peri(Fricos

8os dispositivos perifKricos pueden tambiKn afectar el funcionamiento del )erminal


Server%

!iscos duros La velocidad de disco es crtica para el uncionamiento del -erminal Server) Small .omputer System (nter ace >S.S(? dis9 drives, especialmente dispositivos compatibles con S.S( y Scsi;2 rpidos, tienen un rendimiento de procesamiento perceptiblemente mejor que otros tipos de discos) 4sto es menos importante en los sistemas que no almacenan 8ser 'ro iles y datos en el -erminal Server, pero s a ectar el tiempo de car,a del pro,rama inicial) 'ara un rendimiento ms alto de disco, es importante considerar el uso de S.S( 0edundant "rray o (ndependent $is9s >0"($? .ontroller) 0"($ .ontroller pone automticamente los datos en discos mLltiples para aumentar el rendimiento del disco y para mejorar la con iabilidad de los datos) Adaptador de red 4l adaptador de red de alta; per ormance es recomendado, especialmente si los usuarios requieren acceso a datos que se almacenan en los servidores de red o ejecutan aplicaciones client@server) 8sando adaptadores mLltiples, se puede aumentar perceptiblemente el throu,hput de la red, y tambi+n se puede incrementar la se,uridad del sistema en la separaci#n del acceso de cliente de servicios bac9;end)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 9 |
Caractersticas de Usuario

Los patrones de uso de los usuarios de computadoras pueden tener un impacto si,ni icativo en el uncionamiento de -erminal Server) 8a prueba de funcionamiento de Microsoft clasifica a usuarios en las tres categoras siguientes% !ata1entry (or4er 4stos trabajadores uncionan tpicamente con un solo aplicativo que utili*an para la entrada de datos >por ejemplo, aplicaciones de ne,ocio escritos en =icroso t Eisual :asicI?) Structured1)as4 (or4er 4stos trabajadores ejecutan uno o dos pro,ramas al mismo tiempo) Los usuarios tpicos ejecutan los pro,ramas que e3i,e el sistema in ormtico no pesado >por ejemplo, un procesador de te3tos y un browser?) Los pro,ramas se abren y cierran con recuencia) @no(ledge (or4er Los trabajadores de conocimiento ejecutan tres o ms pro,ramas simultneamente, y ,eneralmente dejan los pro,ramas abiertos) Dnowled,e wor9ers tambi+n pueden ejecutar pro,ramas que e3i,en al sistema intensamente >por ejemplo, queries detalladas en ,randes bases de datos?) 1!1! Instalando 8er$inal Server 'ara instalar -erminal Server, se debe habilitar el componente -erminal Server lue,o de la instalaci#n, usando el Windows .omponents wi*ard) 8sted puede habilitar -erminal Server de dos modos! con -erminal "pplication Server o 0emote $es9top "dministration) 4ste Lltimo no requiere licenciar y permite solamente tres cone3iones) -erminal Server Licensin, se puede instalar con -erminal Server o por s mismo en una otra computadora) .uando se instale -erminal Server Licensin,, se deber especi icar si el servidor de licencias servir al dominio, Wor9,roup o site) 'ara habilitar -erminal Server >"pplication?, el proceso se reali*a mediante el Wi*ard de Windows .omponents) 4n cambio, para habilitar 0emote $es9top "dministration >(nstalado por de ecto? debe hacerlo desde las propiedades de System len,[eta G0emoteG y seleccionar la opci#n G"llow users to connect remotely to this computerG)

-erminal Server se habilita a,re,ando el componente G-erminal ServerG y usando Windows .omponents en AddF*emove -rograms wi*ard)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina : | 1!4! Con(igurando #cceso de Usuario

Los usuarios que tienen cuentas en un -erminal Server se habilitan para iniciar sesi#n en el servidor por de ecto) 'ara inhabilitar el proceso de cone3i#n para un usuario, se debe limpiar el cuadro Allo( logon to )erminal Server en la len,[eta )erminal Services -rofile del cuadro 'roperties para la cuenta del usuario, y lue,o hacer clic9 en Apply) 4n esta len,[eta, 8sted tambi+n puede especi icar home directories y user pro iles para los usuarios) 1!7! Instalando &e$ote +es3top Connection 0emote $es9top .onnection viene incluido en Windows O' y Windows Server 2003, pudiendo tambi+n ser instalado en otras computadoras por varios m+todos) 9tili.ando +erramientas, por ejemplo =icroso t Systems =ana,ement Server o Windows 2000
Kroup 'olicy usando publish@assi,n del Windows (nstaller;based 0$. >)msi?)

7ompartiendo la carpeta Vsystemroot VWsystem32WclientsWtsclientWwin32 en Windows Server


2003) >4sto se puede hacer tambi+n con Windows 2000 Server)?

"nstalando directamente desde el 7! de #indo(s =- o #indo(s Server 2003, usando R'er orm "dditional -as9sR del menu autoplay ) >4sto no requiere la instalaci#n del sistema operativo)?

!escargando el Soft(are *!7 desde http!@@www)microso t)com@windows3p@remotedes9top@

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 10 |

1!7!1!

Inter(aA $eCorada

Las sesiones remotas usando 0emote $es9top .onnection puden reali*arse en hi,h;color y ull; screen con una barra de cone3i#n para permitir la conmutaci#n rpida entre la sesi#n remota y el escritorio local) La cone3i#n remota se puede modi icar para requisitos particulares y para satis acer sus necesidades, con las opciones para pantalla, recursos locales, pro,ramas y e3periencia) La con i,uraci#n de la len,[eta e3periencia permite que 8sted elija su velocidad de cone3i#n y opciones ,r icas, por ejemplo themes o menu y window animation para optimi*ar la per ormance de cone3iones con bajo ancho de banda) 1!7!2! &edireccin de recursos del Client

La redirecci#n de recursos est disponible para los clientes Windows Server 2003 o Windows O' 'ro essional, y o rece una variedad de tpoRs de datos a rediri,ir) 'ara ma3imi*ar se,uridad, cada tipo de redirecci#n puede ser habilitado o inhabilitado por separado por el cliente o el servidor) -ambi+n se e3hibe un alerta de se,uridad cuando se solicita una redirecci#n del sistema de archivos, puerto o una Smart .ard, habilitando al usuario para recha*ar la redirecci#n o incluso cancelar la cone3i#n si lo desea) 0emote $es9top .onnection habilita la re,eneraci#n de audio >por ejemplo noti icaciones de GerrorG o Gnew mailG,

se pueden redireccionar al cliente?) .ombinaciones de teclas, como "lt;-ab y .ontrol; 4scape, son enviadas a la sesi#n remota por de ecto, mientras que .ontrol;"lt; $elete es mantenido siempre por la computadora del cliente para mantener la se,uridad del servidor) (n ormaci#n -ime Yone puede tambi+n rediri,irse del servidor a los clientes, habilitando un servidor para manejar usuarios mLltiples a trav+s de di erentes -ime Yones) Los pro,ramas con caractersticas de calendario pueden aprovechar la redirecci#n de -ime Yone) *edirecci on de 0ile System 4l copiado de archivos entre el cliente y el servidor es ms cil) Los discos del .liente, locales y de red, ahora estn disponibles dentro de la sesi#n del servidor) Los usuarios pueden tener acceso a sus propios discos locales y trans erir los archivos entre el cliente y el servidor sin tener que salir de la sesi#n remota) *edireccion de puertos e impresoras (mpresoras locales y de red instaladas en el cliente estn disponibles en la sesi#n remota, con nombres sencillos) Los puertos seriales del cliente pueden ser montados de modo que el so tware en el servidor pueda tener acceso al hardware conectado) .lientes que reconocen Smart .ards;Windows 2000, Windows O', y Windows .4 )14-; pueden proporcionar credenciales de Smart .ards para el inicio de sesi#n a la sesi#n remota en Windows Server
2 0 0 3 )

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 11 | 1!9! Instalando aplicaciones en 8er$inal Server

'ara hacer un aplicativo disponible para usuarios mLltiples, una instalaci#n del aplicativo debe copiar archivos de pro,rama a una locali*aci#n central en el servidor, en lu,ar del 7ome $irectory de los usuarios) "ota' a los ines de se,uridad, se recomienda instalar los aplicativos en una partici#n 1-%S)
2ay dos mKtodos para instalar programas en un )erminal Server%

9sando AddF*emove -rograms en el 7ontrol -anel o el comando 7+ange 9ser del 7ommand prompt 4l primero ejecuta automticamente el comando .han,e 8ser, que es el m+todo pre erido para instalar pro,ramas en un -erminal Server) -ara instalar un programa usando AddF*emove -rograms, deber6 reali.ar los siguientes pasos% H) (niciar sesi#n en el -erminal Server como administrador y cerrar todos los pro,ramas) 2) 7acer .lic9 en Start5 Settings y despu+s en 7ontrol -anel) 3) 4n .ontrol 'anel, hacer doble;clic9 en AddF*emove -rograms) 2) 7acer .lic9 en Add 3e( -rograms y despu+s en 7! o 0loppy)

N)

Seleccionar el archivo de setup para el aplicativo, hacer doble;clic9 en el ejecutable, y despu+s hacer clic9 en 3e>t) C) 4n la p,ina 7+ange 9ser Bption, veri icar si est seleccionando All users begin (it+ common application settings) P) (nstalar el pro,rama en el disco local se,Ln las instrucciones del pro,rama de instalaci#n)
F) Se,uir las instrucciones en el wi*ard para inali*ar la instalaci#n)

9sando el comando 7+ange 9ser5 solamente cuando no se pueda instalar el aplicativo usando AddF*emove -rograms -ara instalar un programa usando el comando 7+ange 9ser5 deber6 reali.ar los siguientes pasos% H) (niciar sesi#n en el -erminal Server como administrador y cerrar todos los pro,ramas) 2) 4n una ventana de lnea de comandos, in,resar c+ange user Finstall y despu+s presionar 41-40) H) (nstalar el pro,rama en el disco local se,Ln las instrucciones del pro,rama de instalaci#n) 2) 4n una ventana de lnea de comandos, in,resar c+ange user Fe>ecute cuando la instalaci#n se complete) 'ara obtener ms in ormaci#n!
http!@@www)microso t)com@windowsserver2003@technolo,ies@terminalservices@de ault)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 12 | 2! #d$inistracin &e$ota con &e$ote +es3top


*emote !es4top para administracin incluye las siguientes caractersticas y venta/as%

"dministraci#n ,r ica de servidores Windows Server 2003 y Windows 2000 desde cualquier cliente -erminal Services) >Los clientes estn disponibles para las computadoras que uncionen con Windows or Wor9,roups, Windows UN, Windows UF, Windows .4 2)HH, Windows .4)14-, Windows 1-I, Windows 2000, Windows O' 'ro essional, y =acintosh /S;O)?
"ctuali*aciones remotas, reinicio y promoci#n @ desmonte de $omain .ontrollers) "cceso a los servidores, utili*ando cone3iones de bajo ancho de banda, hasta con H2F;bit de encripci#n)

(nstalaci#n y ejecuci#n remota de aplicaciones, con el acceso rpido a los discos locales y a los medios >'or ejemplo, cuando se copian archivos ,randes y virus scans?) 'osibilidad que dos administradores remotos puedan compartir una sesi#n para los prop#sitos de colaboraci#n) 0emote $es9top 'rotocol >0$'?) 4sto incluye la impresi#n local y de red, redirecci#n de %ile System, mapeo del clipboard >cut, copy y paste?, redirecci#n de Smart .ard, redirecci#n de dispositivos serie, y soporte para cualquier pro,rama de canal virtual 0$') 2!1! Integrando 8er$inal Services 4l componente -erminal Services de la amilia Windows Server 2003 se inte,ra irmemente en el 9ernel y est disponible en cada instalaci#n de Windows Server 2003) 7abilitar 0emote $es9top or "dministration no requiere espacio de disco adicional y tiene un impacto mnimo en la per ormance) Solo se necesitan alrededor de 2 me,abytes >=:? de la memoria del servidor, con un impacto insi,ni icante en el uso de la .'8) La per ormance se a ecta Lnicamente cuando se inicia una sesi#n remota, similar en costo a la consola)

4s por estas ra*ones que =icroso t recomienda habilitar 0emote $es9top or "dministration en cada computadora y $omain .ontroller Windows Server 2003) 4sto proporcionar le3ibilidad y sensibilidad sustanciales en la administraci#n de los servidores de una or,ani*aci#n, sin importar su locali*aci#n) 2!2! Prctica 1' Da2ilitando &e$ote +es3top (or #d$inistration -erminal Server y 0emote $es9top or "dministration ahora se con i,uran por separado en Windows Server 2003, proporcionando opciones ms le3ibles para la administraci#n) &e$ote +es3top (or #d$inistration 0emote $es9top or "dministration es instalado por de ecto en Windows Server 2003, pero por ra*ones de se,uridad viene precon i,urado como deshabilitado) Se puede habilitar con System en el control panel) "dems de las dos sesiones virtuales que estn disponibles en Windows 2000 -erminal Services 0emote "dministration mode, un administrador puede tambi+n conectarse remotamente con la consola verdadera de un servidor, a trav+s de 0emote $es9top or "dministration en Windows Server 2003) 7erramientas que antes no uncionaran en una sesi#n virtual, porque ellas interactuaban con la Rsession 0R, ahora uncionan remotamente)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 13 |

-ara +abilitar *emote !es4top for Administration deber6%

H) 4n el control panel, hacer doble;clic9 en System) 2) 7acer clic9 en la len,[eta *emote, y despu+s seleccionar el cuadro Allo( users to connect remotely to t+is computer) 3) 7acer clic9 en Apply y despu+s en B@) -ara reali.ar una cone>in al Servidor deber6% H) (niciar sesi#n normalmente en otro equipo con Windows O' # Windows Server 2003) 2) 4n Start5 *un, in,resar mstsc e>e y despu+s presionar $3)$*) 3) 4n el cuadro 7omputer, in,resar el nombre del servidor al cual desea conectarse y despu+s presionar $3)$*) -ara reali.ar una cone>in a la consola deber6% H) (niciar sesi#n normalmente en otro equipo con Windows O' #

Windows Server 2003) 2) 4n Start *un, in,resar mstsc e>e Fconsole Fv%nombredelserver, y despu+s presionar $3)$*) 3) Eeri icar si lue,o de iniciar la sesi#n de consola el servidor al cual 8sted se conect#, ha bloqueado la sesi#n activa)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 1. |
&ecuerde' 'ara reali*ar esta prctica debe tener al menos dos equipos, ya que es imposible conectar la consola dentro de la misma sesi#n) 'ara obtener ms in ormaci#n! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233N3

2!3! Derra$ientas de #d$inistracin " continuaci#n, una muestra limitada de las herramientas de administraci#n que pueden ayudarle a manejar sesiones remotas! Conectar con la consola
-ara conectar con la consola5 los administradores pueden elegir uno de los mKtodos siguientes% 8tili*ar 0emote $es9top =icroso t =ana,ement .onsole >==.? snap;in) 4jecutar el pro,rama 0emote $es9top .onnection >mstsc)e3e? con el switch @console) .rear p,inas 0emote $es9top Web .onnection con la propiedad .onnect-oServer.onsole)

8er$inal Services Iroup Polic% Kroup 'olicy puede ser utili*ado para administrar -erminal

Services para las computadoras que ejecuten sistemas operativos Windows Server) -erminal Services Kroup 'olicies puede con i,urar cone3i#n de -erminal Services, de 8ser 'olicies y de -erminal Server .lusters, y administrar sesiones -erminal Services)
&e$ote +es3tops **C

La consola 0emote $es9tops =icroso t =ana,ement .onsole >==.? Snap;in habilita a administradores a con i,urar mLltiples cone3iones -erminal Services) 4s Ltil tambi+n para manejar muchos servidores que ejecuten Windows Server 2003 %amily o Windows 2000 Server) 8na e3hibici#n nave,able del rbol permite que los administradores vean, controlen y cambien rpidamente entre las sesiones mLltiples de una sola ventana) .omo con la herramienta 0emote $es9top .onnection, las computadoras remotas tambi+n se pueden con i,urar para ejecutar pro,ramas espec icos sobre la cone3i#n, y para redireccionar discos locales en la sesi#n remota) La

in ormaci#n de lo,on y el rea de pantalla del cliente se pueden con i,urar en el snap; in) "simismo, los administradores pueden crear cone3iones remotas a la sesi#n de consola de una computadora Windows Server /peratin, Systems)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 11 |
8er$inal Services *anager

4sta utilidad, tsadmin)e3e, se utili*a para administrar usuarios -erminal Services, sesiones y procesos en cualquier servidor de la red ejecutando -erminal Services) 8sando esta herramienta, 8sted puede conectar y desconectar, cerrar sesi#n, resetear y controlar remotamente sesiones) -ambi+n puede utili*arla para conectarse con otros servidores en dominios con iados, manejar sesiones sobre un servidor remoto, enviar mensajes a los usuarios o cerrar sesiones y terminar procesos) 8er$inal Services Con(iguratio n 4sta utilidad, tscc)msc, se utili*a para cambiar la con i,uraci#n de la encripci#n por de ecto, y para con i,urar timeouts de reset y disconnect) 'ara con i,urar timeouts de reset y disconnect para cuentas individuales, se debe utili*ar la len,[eta de las

sesiones en el cuadro "ccount 'roperties del usuario) =uchas de las con i,uraciones se pueden ijar tambi+n con -erminal Services Kroup 'olicy o Windows =ana,ement (nstrumentation) 4n ese caso, la con i,uraci#n de -erminal Services se sobrescribe) / v e n t i e w e r 8se 4vent Eiewer, eventvwr)msc, para buscar los acontecimientos que pudieron haber ocurrido como dialo,os pop;up en la consola del servidor) Co$$a nd6line Utilitie s
7ommand1line utilities incluye lo siguiente%

Cuery 9ser 4sta es una utilidad de lnea de comando, quser, listas usuarios activos y desconectados) !isconnect 4sta utilidad de lnea de comando, tsdiscon, desconecta la sesi#n) 8n procedimiento anlo,o apa,a el monitor mientras que deja uncionando de la computadora) $esconectar, es tambi+n accesible con Start@Shutdown) 'ara volver a conectar a la sesi#n, inciela simplemente al servidor, otra ve* con el mismo usuario desde 0emote $es9top .onnection)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 14 | 3! 8er$inal Server co$o Servidor de #plicaciones

4l componente -erminal Services de =icroso tI WindowsI Server 2003 se estructura en la undaci#n s#lida proporcionada por "pplication Server =ode en Windows 2000 -erminal Services, e incluye las nuevas capacidades del cliente y del protocolo en Windows O') -erminal Services le deja entre,ar vitrtualmente, aplicaciones basadas en Windows o el escritorio de Windows, a cualquier dispositivo, incluyendo los que no pueden ejecutar Windows) -erminal Services en Windows Server 2003 puede mejorar las capacidades de instalaci#n del so tware de una empresa para una variedad de escenarios, habilitando le3ibilidad sustancial en in raestructura y administraci#n de aplicativos) .uando un usuario ejecuta un aplicativo en -erminal Server, la ejecuci#n del aplicativo ocurre en el servidor, y solamente la in ormaci#n de teclado, mouse y display es trasmitida en la red) .ada usuario ve solamente su sesi#n individual, la cual es manejada en orma transparente por el sistema operativo del servidor, y es independiente de cualquier otra sesi#n de cliente) 3!1

! <e ne( ici os


-erminal Services en Windows Server 2003 proporciona tres importantes bene icios) <ene(icio (nstalaci#n rpida y centrali*ada de aplicaciones) +escripcin -erminal Server es #ptimo para instalar rpidamente aplicaciones basadas en Windows a trav+s de la empresa, especialmente aplicaciones que se actuali*an con recuencia, que se utili*an con recuencia o de administraci#n di cil) -erminal Server reduce considerablemente el ancho de banda requerido en la red para tener acceso a datos remotamente) 8sando -erminal Server para ejecutar un aplicativo sobre cone3iones de bajo ancho de banda, por ejemplo dial;up o Lin9s W"1 compartidos, resulta muy e ica* para tener acceso remotamente y manipular ,randes cantidades de datos, dado que solamente se transmite la pantalla de datos, en lu,ar de los datos en s mismos) -erminal Server ayuda a que los usuarios sean ms productivos, permitiendo el acceso a los pro,ramas actuales en cualquier dispositivo)

"cceso a datos utili*ando cone3iones de bajo ancho de banda

Windows dondequiera

3!2!

Caractersticas #dicionales de ad$inistracin


8as caractersticas siguientes me/oran la fle>ibilidad de )erminal Services en #indo(s Server 2 0 0 3 % ,roup -olicy Kroup 'olicy puede ser utili*ado para controlar las propiedades de -erminal Services) 4sto habilita la con i,uraci#n de ,rupos de servidores simultneamente, incluyendo la con i,uraci#n para las nuevas caractersticas, por ejemplo per;computer -erminal Services pro ile path, y deshabilitando el wallpaper mientras que est conectado remotamente) #indo(s Management "nterface -rovider 8n proveedor completo de Windows =ana,ement (nstrumentation >W=(? habilita la con i,uraci#n por medio de scripts de -erminal Services) 8n nLmero de alias de W=( son incluidos para proveer un simple ront end de tareas recuentes, usando W=() -rinter Management siguientes maneras% 8a administracin de impresoras se +a me/orado de las

4l mapeo de 'rinter driver se ha real*ado) .uando un driver no machea con el cliente, es con iado un $river 'ath que permite especi icar otro standard printer drivers, el cual se a,re,a en los -erminal Servers) La corriente de la impresi#n se comprime para mejorar la per ormance en enlaces lentos entre un servidor y un cliente)
8er$inal Services *anager

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 17 |
-erminal Services =ana,er mejorado, habilita una administraci#n ms cil de ,randes arrays de servers, reduciendo la enumeraci#n automtica del servidor) 4sto da acceso directo a los servidores arbitrados por nombre, y provee una lista de servidores pre eridos) 8er$inal Server ;icense *anager 4l -erminal Server License =ana,er se ha mejorado dramticamente para hacer ms cil activar un -erminal Server License Server, y asi,narle las licencias) Single Session Polic% .on i,urando Sin,le Session 'olicy se permite al administrador limitar usuarios a una sola sesi#n, sin importar si est activo o no >lo mismo que a trav+s de una ,ranja de servidores?) Client /rror *essages =s de 20 nuevos mensajes de error de cliente hacen ms cil dia,nosticar problemas de la cone3i#n del cliente)

3!3! *eCoras en la Seguridad


4l modelo de acceso a -erminal Server ahora se con orma mejor con los paradi,mas de administraci#n de Win do ws Ser ver) &e$ote +es3top Users Iroup 4n ve* de a,re,ar a usuarios a una lista en -erminal Services .onnection .on i,uration >-S..? 'ro,ram, 8sted simplemente los har miembros del ,rupo 0emote $es9top 8sers >0$8?) 'or ejemplo, el administrador puede a,re,ar el ,rupo G4veryoneG al ,rupo 0$8 para permitir que todos ten,an acceso al -erminal Server) 8sar un ,rupo verdadero de 1- tambi+n si,ni ica que el acceso a -erminal Servers puede ser controlado a trav+s Kroup 'olicy en ,rupos de servidores)

Securit% Polic% /ditor 'ara con i,uraciones adicionales en -erminal Services, los derechos de usuario se pueden asi,nar a los usuarios o a los ,rupos individuales, usando el Security 'olicy 4ditor) 7aciendo esto, 8sted le da a los usuarios la habilidad de iniciar sesi#n al -erminal Server, sin tener que ser un miembro del ,rupo 0emote $es9top 8sers descrito arriba) 1296 <it /ncr%p tion 'or de ecto, las cone3iones a -erminal Servers se ase,uran con H2F;bit, bi;direccional 0.2 encryption, cuando est utili*ando un cliente que soporta H2F;bit) >0$. es H2F;bit por de ecto?) 4s posible conectar clientes ms viejos con encripci#n mas baja de H2F;bit, a menos que se especi ique que solamente los clientes hi,h;encryption estn habilitados) So(tware &estriction Policies Las polticas de restricci#n de so tware en Windows Server 2003 habilitan a los administradores a utili*ar Kroup 'olicy para simpli icar el loc9in, down de -erminal Servers, solamente permitiendo que ciertos pro,ramas sean ejecutados por los usuarios especi icados) 'ara obtener mas in ormaci#n!

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 4 | Pgina 19 |
http!@@www)microso t)com@windows3p@pro@techin o@administration@restrictionpolicies@de ault)asp

4sta caracterstica de Windows sustituye la herramienta "ppSec >"pplication Security?, utili*ada en versiones anteriores de -erminal Services) 3!.! +irectorio de Sesin -erminal Servers puede ser or,ani*ado en G,ranjas)G 4sta con i,uraci#n permite clusters de load;balancin, de computadoras para o recer a sus usuarios un servicio de ault; tolerant)

La nueva caracterstica Session $irectory en -erminal Services habilita a los usuarios a reconectar una sesi#n especi ica desconectada dentro de la ,ranja, diri,i+ndose a un servidor car,ado cuando se conectan) 4l Session $irectory puede utili*ar el servicio Windows Load :alancin, o un Load :alancer de terceras partes, y el servicio puede uncionar en cualquier computadora ejecutando Windows Server 2003) Sin embar,o, los miembros de la ,ranja de -erminal Server deben ejecutar Windows Server 2003, 4nterprise 4dition) 3!1! Prctica 2' Instalacin de 8er$inal Server #pplication $urante esta prctica 8sted instalar -erminal Server para ejecutar aplicaciones) un

H) 4n el control panel, hacer doble;clic9 en AddF*emove -rograms, y despu+s en Windows .omponents) 2) Seleccionar )erminal Server, y despu+s hacer clic9 en 3e>t) 3) "ceptar la con i,uraci#n por de ecto, y hacer clic9 en 3e>t) 2) "l inali*ar la instalaci#n, hacer clic9 en 0inis+) 'ara instalar aplicativos, si,a las instrucciones en el punto H)F del capitulo) 0ecuerde que puede instalar, por ejemplo, =icroso t / ice O' para instalar =icroso t / ice 2000, requiriendo el 0esource Dit de / ice) 3!4! Windows S%ste$ &esource *anager Windows Server 2003 introduce un nuevo producto, que no viene con el .$ de Windows Server 2003) 4sta herramienta es compatible solamente con las versiones 4nterprise y $atacenter) Windows System 0esource =ana,er >WS0=?, permite administrar recursos de hardware, por ejemplo memoria y procesador, asi,nndole a los usuarios los recursos preestablecidos) $e esta orma, 8sted puede evitar que un usuario consuma recursos por dems, ejecutando tareas innecesarias o procesos mLltiples, sin limite de recursos) -ambi+n puede asi,nar a los recursos un schedule de horarios, por ejemplo, asi,nar durante el da una cantidad de recursos limitada y en horarios nocturnos, un limite superior o sin limite se,Ln sea el caso)

'ara obtener mas in ormaci#n y descar,a!


http!@@www)microso t)com@windowsserver2003@download s@wsrm)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 |

Capitulo 7 I$ple$entacin % Con(iguracin de IIS 4!0

!urante este captulo 9sted ir6 asimilando conocimientos acerca de los servicios (eb5 y al finali.ar mismo tendr6 la +abilidad de% (mplementar Servicios Web (nstalar ((SC
"dministrar un entorno de servicios Web

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 | 1! Introduccin

Los Servicios de =icroso t (nternet (n ormation Server >((S? C)0 con Windows Server 2003 proporcionan capacidades de servidor Web inte,rado, con iable, escalable, se,uro y administrable en una intranet, una e3tranet o en (nternet) ((S C)0 incorpora mejoras si,ni icativas en la arquitectura para cubrir las necesidades de los clientes alrededor del mundo) 1! 1! e nt aC a s ((S C)0 y Windows Server 2003 introducen muchas caractersticas nuevas para la administraci#n, disponibilidad, con iabilidad, se,uridad, rendimiento y escalabilidad de los servidores de aplicaciones Web) ((S C)0 tambi+n mejora el desarrollo de aplicaciones Web y la compatibilidad internacional) Juntos, ((S C)0 y Windows Server 2003, proporcionan la soluci#n para servidores Web ms con iable, productiva, conectada e inte,rada)
-entaCa +escripcin ((S C)0 proporciona un entorno de servidor Web ms inteli,ente y con iable para lo,rar la con iabilidad #ptima) 4ste nuevo entorno incluye la supervisi#n del estado de las aplicaciones y el reciclaje automtico de las mismas) Las caractersticas de con iabilidad aumentan la disponibilidad y acaban con el tiempo que los administradores dedican a reiniciar los servicios de (nternet) ((S C)0 est ajustado para proporcionar posibilidades de consolidaci#n y escalabilidad optimi*adas que sacan el m3imo provecho de cada servidor ((S C)0 proporciona una se,uridad y capacidad de administraci#n si,ni icativamente mejoradas) Las mejoras de se,uridad incluyen cambios tecnol#,icos y de procesamiento de solicitudes) "dems, se ha mejorado la autenticaci#n y la autori*aci#n) La instalaci#n predeterminada de ((S C)0 est completamente bloqueada, lo cual si,ni ica que la con i,uraci#n se establece al m3imo de se,uridad de orma predeterminada) ((S C)0 tambi+n proporciona capacidades de administraci#n aumentadas, una administraci#n mejorada con la metabase O=L y nuevas herramientas de lnea de comandos)

7onfiable y escalable

Seguro y administrable

!esarrollo y compatibilidad internacional me/orados

.on Windows Server 2003 e ((S C)0, los desarrolladores de aplicaciones se bene ician con un Lnico entorno de alojamiento de aplicaciones inte,rado, con una compatibilidad total con las caractersticas avan*adas y con la cach+ en modo de nLcleo) .reado en ((S C)0, Windows Server 2003 o rece a los desarrolladores unos elevados niveles de uncionalidad adicional, incluyendo un desarrollo de aplicaciones rpido y una amplia selecci#n de len,uajes) ((S C)0 tambi+n o rece compatibilidad internacional con los estndares Web ms recientes)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 2 |

1!2!

*eCoras % caractersticas nuevas


#indo(s Server 2003 proporciona nuevas caractersticas y me/oras en tres 6reas principales%

.on iabilidad y escalabilidad Se,uridad y capacidad de administraci#n


=ejor desarrollo y compatibilidad internacional

1!2!1! Con(ia2ilidad % escala2ilidad Windows Server 2003 proporciona las caractersticas si,uientes para obtener una con iabilidad y una escalabilidad mejoradas)
Caracterstica +escripcin

3ueva ar'uitectura de procesamiento de solicitudes

!eteccin de estado

.on la nueva arquitectura de procesamiento de solicitudes, ((S C)0 detecta automticamente las p+rdidas de memoria, las in racciones de acceso y otros errores) .uando se producen estas condiciones, la arquitectura subyacente proporciona una tolerancia a errores y la capacidad de reiniciar procesos cuando sea necesario) =ientras tanto, ((S C)0 continLa poniendo las solicitudes en cola sin interrumpir la e3periencia del usuario) ((S C)0 es capa* de supervisar el estado de los procesos de trabajo, las aplicaciones y los sitios Web) "simismo puede detectar el estado de los procesos de trabajo, como reciclar los procesos de trabajo en base a diversos actores, como el rendimiento, una plani icaci#n desi,nada, el nLmero de solicitudes y el consumo de memoria) -ambi+n puede reciclar los procesos de trabajo bajo demanda) ((S C)0 ha mejorado la orma en que el sistema operativo utili*a los recursos internos) 'or ejemplo, ((S C)0 no ubica previamente los recursos durante la iniciali*aci#n) Se pueden alojar muchos ms sitios en un Lnico servidor que ejecute ((S C)0 y un ,ran nLmero de procesos de trabajo pueden estar activos de orma simultnea) 4l inicio y el cierre de un servidor son procesos ms rpidos, en comparaci#n con las versiones anteriores de ((S) -odas estas mejoras contribuyen a aumentar la escalabilidad de los sitios con ((S C)0) Windows Server 2003 introduce un nuevo controlador en modo de nLcleo, 7--')SQS, para el anlisis y la cach+ de 7--', proporcionando una escalabilidad y un rendimiento aumentados) ((S C)0 se ha creado sobre 7--')SQS y est ajustado espec icamente para aumentar el rendimiento del servidor Web) "dems, 7--')SQS procesa directamente solicitudes en el nLcleo, bajo determinadas circunstancias)

$scalabilidad de los sitios

3uevo controlador en modo de nGcleo5 2))- S?S

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 |

1!2!2!

Seguridad % capacidad de ad$inistracin

Windows Server 2003 proporciona las caractersticas si,uientes para obtener una se,uridad y una escalabilidad mejoradas)

Caracterstica

+escripcin ((S C)0 proporciona una se,uridad si,ni icativamente mejorada) 'ara reducir la super icie de ataque de los sistemas, ((S C)0 no se instala de orma predeterminada en Windows Server 2003T los administradores deben seleccionarlo e instalarlo de orma e3plcita) ((S C)0 se entre,a en un estado bloqueado y Lnicamente sirve el contenido esttico) =ediante el uso del nodo de e3tensi#n de servicios Web, los administradores de sitios Web pueden habilitar o deshabilitar la uncionalidad de ((S en base a las necesidades individuales de la or,ani*aci#n) ((S C)0 e3tiende el uso de un nuevo marco de autori*aci#n que se proporciona con Windows Server 2003) "dems, las aplicaciones Web pueden utili*ar la autori*aci#n de direcciones 80L, ormando pareja con el "dministrador de autori*aciones para controlar la obtenci#n de acceso) La autori*aci#n dele,ada y restrin,ida, proporciona ahora a los administradores de dominio, el control para dele,ar Lnicamente a servicios y equipos particulares) La metabase de te3to de ((S C)0, con ormato O=L, proporciona unas capacidades mejoradas de copia de se,uridad y restauraci#n para los servidores que e3perimentan errores crticos) -ambi+n proporciona una recuperaci#n de errores de la metabase y una soluci#n de problemas mejorada) La modi icaci#n directa, mediante herramientas comunes de modi icaci#n de te3to, proporciona la capacidad de administraci#n mayor)

Servidor blo'ueado

Autori.acin

Metabase =M8

1!2!3!

+esarrollo % co$pati2ilidad internacional $eCorados


Windows Server 2003 proporciona las caractersticas si,uientes para obtener un mejor desarrollo y compatibilidad internacional)

Caracterstica

+escripcin Windows Server 2003 o rece una e3periencia mejorada para el desarrollador con la inte,raci#n de ((S y =icroso t "S')14-) .readas a partir de ((S C)0, las mejoras de Windows Server 2003 o recen a los desarrolladores unos elevados niveles de uncionalidad, como el desarrollo de aplicaciones rpido >0"$? y una amplia selecci#n de len,uajes) 4n Windows Server 2003, la e3periencia de utili*ar "S')14y =icroso t )14- %ramewor9 se ha mejorado porque la arquitectura de procesamiento de solicitudes se inte,ra con ((S C)0) La in ormaci#n compartida a trav+s de los lmites ,eo,r icos, en una ,ran variedad de idiomas, est ,anado importancia en la economa ,lobal) 4n el pasado, la estructura no 8nicode del protocolo 7--' limitaba a los desarrolladores al sistema de las p,inas de c#di,os) "hora, con las direcciones 80L codi icadas en 8-%;F >%ormato de trans ormaci#n de 8nicode F?, el uso de 8nicode ya es posible) 4sta es una ventaja que proporciona la capacidad de admitir idiomas ms complejos, como el chino) ((S C)0 permite que los clientes obten,an acceso a las variables del servidor en 8nicode) -ambi+n a,re,a nuevas unciones de compatibilidad con el servidor que permiten a los desarrolladores obtener acceso a la representaci#n en 8nicode de una direcci#n 80L, y con ello mejorar la compatibilidad internacional)

"ntegracin de ""S y AS- 3$)

"nformacin compartida a travKs de los lmites geogr6ficos

'ara obtener mas in ormaci#n! http!@@www)microso t)com@windowsserver2003@iis@de ault)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 | 2! IIS co$o servidor de aplicaciones

$l servidor de aplicaciones es un nuevo rol del servidor de productos #indo(s Server 20035 combinado con las siguientes tecnologas% (nternet (n ormation Services >((S? C)0 =icroso t )14- %ramewor9 " S ' ) 1 4 " S ' 8$$( Services ./=]
=icroso t =essa,e Sueuin, >=S=S?

4l rol del servidor de aplicaciones combina estas tecnolo,as en una e3periencia cohesiva, dando a los desarrolladores y administradores Web la habilidad de hospedar aplicaciones dinmicas, por ejemplo un aplicativo de base de datos =icroso t "S')14-, sin la necesidad de instalar cualquier otro so tware en el servidor) Con(iguracin servidor aplicaciones del de

4l servidor de aplicaciones es con i,urable en dos lu,ares de Windows Server 2003! en .on i,ure Qour Server wi*ard y en "dd@0emove .omponents application) 7onfigure ?our Server #i.ard

4l Wi*ard .on i,ure Qour Server >.QS?, es un punto central para con i,urar roles en Windows Server 2003, y ahora incluye el rol de servidor de aplicaciones) 'ara tener acceso al Wi*ard .on i,ure Qour Server, ha,a clic9 en "dd o 0emove 0oles del Wi*ard =ana,e Qour Server) 4ste rol sustituye el rol e3istente del servidor Web) $espu+s de instalar este nuevo rol, la p,ina =ana,e Qour Server, tambi+n incluir una entrada para el nuevo rol)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 2 |
AddF*emove 7omponents Application

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 3 |

4l servidor de aplicaciones tambi+n se incluye en Windows Server 2003 "dd@0emove .omponents, como componente opcional top;level) "simismo las aplicaciones del servidor que pertenecen al servidor de aplicaciones >((S C)0, "S')14-, ./=], y =S=S?, pueden ser instaladas y con i,urar los componentes secundarios usando "dd@0emove .omponents) 8sando "dd@0emove .omponents para con i,urar el servidor de aplicaciones, se obtiene un control mayor sobre los componentes secundarios espec icos que sern instalados)

2!1! de &e>uest

#r>uitectura IIS 4!0 6"ueva ar>uitectura de procesa$iento

Los sitios Web y el c#di,o de aplicaciones estn lle,ando a ser cada ve* ms complejos) "l mismo tiempo, los sitios dinmicos y los aplicativos Web pueden contener c#di,o imper ecto que se escape de la memoria o cause errores, como por ejemplo violaciones de acceso) 'or lo tanto un servidor Web debe ser el encar,ado activo del ambiente runtime del aplicativo y automticamente detectar y responder a los errores del aplicativo) .uando ocurre un error del aplicativo, el servidor necesitar ser ault;tolerant, si,ni icando que debe reciclar y recomen*ar activamente el aplicativo culpable, mientras continLen haciendo cola las peticiones para el aplicativo, sin interrupci#n para el usuario) 4s por ello que ((S C)0 o rece una nueva arquitectura ault; tolerant de procesamiento de request que ha sido diseMada para proporcionar este activo manejo del runtime y para alcan*ar la con iabilidad y la escalabilidad dramticamente crecientes, combinando un nuevo modelo de proceso aislado llamado Wor9er 'rocess (solation =ode) 4ste Lltimo posee ,randes mejoras de uncionamiento, como por ejemplo Dernel =ode Sueuin, y .achin,) La versi#n anterior de ((S, ((S N)0, ue diseMada para tener un proceso llamado (netin o)e3e, que uncionaba como el proceso principal del servidor Web) 4n comparaci#n, ((S C)0 se ha rediseMado en dos nuevos componentes! el Dernel;=ode 7--' 'rotocol Stac9 >7--')sys? y el 8ser;=ode "dministration and =onitorin, .omponent) 4sta arquitectura permite que ((S C)0

separe las operaciones del servidor Web de proceso del sitio Web y el c#di,o del aplicativo ; sin sacri icar per ormance) 2))- sys 4l Dernel;=ode 7--' 'rotocol Stac9, encola y parsea pedidos entrantes 7--', y a la ve* cachea y retorna el contenido del site y la aplicaci#n) 7--')sys no car,a nin,Ln c#di,o de aplicativo, simplemente parsea y rutea pedidos)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina . |
### Service Administration and Monitoring 7omponent 4l 8ser; =ode .on i,uration and 'rocess =ana,er maneja operaciones del servidor y supervisa la ejecuci#n del c#di,o del aplicativo) .omo 7--')sys, este componente no car,a ni procesa nin,Ln c#di,o de aplicativos) "ntes de discutir sobre estos componentes, es importante introducir dos nuevos conceptos de ((S C)0! "pplication 'ools y Wor9er 'rocesses) 8os Application pools se utili*an para administrar Web sites y aplicaciones) .ada "pplication 'ool corresponde a una cola de petici#n en 7--')sys y al o los procesos de Windows que procesen estas peticiones) ((S C)0 puede soportar hasta 2,000 "pplication 'ools por servidor, y pueden haber mLltiples "pplication 'ools uncionando al mismo tiempo) 'or ejemplo, un servidor departamental puede tener 70 en un "pplication 'ool y inance en otros "pplication 'ool) "simismo un (nternet Service 'rovider >(S'? puede tener Web sites y aplicaciones de un cliente en un "pplication 'ool, y Web sites de otro cliente en un "pplication 'ool di erente) "pplication 'ools se separan de otros por lmites de proceso en Windows Server 2003) 'or lo tanto, un aplicativo en un "pplication 'ool no se a ecta por aplicativos en otros "pplication 'ools, y una petici#n del aplicativo no se puede rutear a otro "pplication 'ool) "simismo los aplicativos se pueden asi,nar cilmente a otros "pplication 'ool mientras que el servidor est uncionando) 9n #or4er -rocess procesa pedidos de servicios de los sitios Web y aplicativos en un "pplication 'ool) -odo el proceso de aplicativos Web, incluyendo la car,a de (S"'( ilters y e3tensiones, as como la autenti icaci#n y la autori*aci#n, es hecho por un nuevo WWW service $LL, el cual se car,a en uno o ms Wor9er 'rocesses) 4l Wor9er 'rocess ejecutable se llama W3wp)e3e)

2!2! D88P!s%s
4n ((S C)0, 7--')sys escucha peticiones y las encola apropiadamente) .ada cola de petici#n corresponde a un "pplication 'ool) $ado que nin,Ln c#di,o de aplicativo unciona en 7--')sys, no puede ser a ectado por altas en c#di,o 8ser;=ode, a ectando normalmente el estado del Web Service) Si un aplicativo alla, 7--')sys continLa aceptando y haciendo cola de nuevas peticiones en la cola apropiada hasta que uno de los si,uientes eventos sucedan! el proceso se ha recomen*ado y comien*a a aceptar peticiones, no hay colas disponibles, no hay espacio en las colas o el servicio Web en s mismo ha sido cerrado por el administrador) 'uesto que 7--')sys es un componente Dernel;=ode, la operaci#n que hace es especialmente e iciente, permitiendo a la arquitectura de ((S C)0 combinar el aislamiento de proceso con alto rendimiento al solicitar procesos) 8na ve* que el servicio de WWW note el aplicativo allado, comien*a un nuevo Wor9er 'rocess, si es que aLn hay peticiones e3cepcionales que esperan para ser mantenidas en el Wor9er 'rocess de un "pplication 'ool)

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 |
"s, mientras puede haber una interrupci#n temporal en el proceso de la petici#n del 8ser;=ode, un usuario no e3perimenta la alla porque las peticiones continLan siendo aceptadas y encoladas)

2!3! WWW Service #d$inistration and *onitoring Co$ponent


4l componente WWW Service "dministration and =onitorin, eleva una porci#n base del servicio WWW) .omo 7--')sys, nin,Ln c#di,o del aplicativo unciona en el componente WWW Service "dministration and =onitorin,) 4ste componente tiene dos responsabilidades primarias! con i,uraci#n de sistema y administraci#n del Wor9er 'rocess) Server Con(igur ation

4n el tiempo de la iniciali*aci#n, la porci#n del .on i,uration =ana,er del servicio WWW utili*a la con i,uraci#n en memoria de la metabase para iniciali*ar la tabla de ruteo del 1amespace de 7--')sys) .ada entrada en la tabla de ruteo contiene la in ormaci#n que rutea las 80Ls entrantes al "pplication 'ool que contiene el aplicativo asociado al 80L) 4stos pasos de pre;re,istro in orman a 7--')sys que hay un "pplication 'ool para responder a las peticiones en una parte espec ica del 1amespace, y ese 7--')sys puede solicitar que un Wor9er 'rocess se inicie para un "pplication 'ool cuando lle,ue una petici#n)

2!.! Wor3er Process *anage$ent


4n el rol de Wor9er 'rocess =ana,ement, el componente WWW Service "dministration and =onitorin, es responsable de controlar el curso de vida del Wor9er 'rocess que procesa las peticiones) 4sto incluye la determinaci#n de cundo comen*ar, reciclar o reiniciar un Wor9er 'rocess, si es que no puede procesar ms peticiones >se bloquea?) 4s tambi+n responsable de la supervisi#n de los Wor9er 'rocesses y puede detectar cuando uno de ellos ha terminado inesperadamente)

2!1! Wor3er Process Isolation *ode


((S C)0 introduce un nuevo modo de aislamiento de aplicaciones para manejar el proceso de Web sites y aplicaciones! Wor9er 'rocess (solation =ode) Zste unciona en todo el c#di,o del aplicativo en un ambiente aislado) Los aplicativos se pueden aislar totalmente de uno a otro, donde un error del aplicativo no a ecte a otro en un proceso diverso, usando "pplication 'ools) Las peticiones se tiran directamente al Dernel en ve* de tener un proceso 8ser;=ode y rutear a otros procesos 8ser;=ode) 'rimero, 7--')sys rutea el sitio Web y las peticiones del aplicativo al correcto "pplication 'ool) Lue,o, el Wor9er 'rocesses que sirve al "pplication 'ool enva los requests directamente a la cola del aplicativo en 7--')sys) 4ste modelo elimina los saltos de proceso innecesarios encontrados al enviar una petici#n out;o ;process $LL7ost)e3e >al i,ual que el caso en ((S 2)0 y N)0?, y aumenta la per ormance) Wor9er 'rocess (solation =ode evita que un aplicativo o sitio pare otro) "dems, separando aplicativos o sitios en Wor9er 'rocesses separados, simpli ica el nLmero de tareas administrativas, por ejemplo, poner un site@application online o o line >independientemente de todos los otros site@applications corriendo en el sistema?) 'ara mas in ormaci#n acerca de ((S C)0 con servidor de aplicaciones! http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@technet@ prodtechnol@windowsserver2003@proddocs@standard@iis welcome)asp

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 1 |

3! *eCoras en la Seguridad

La se,uridad ha sido siempre un aspecto importante de (nternet (n ormation Services) Sin embar,o, en las versiones anteriores del producto >e),) ((S N)0 en Windows 2000 Server?, el servidor no ue enviado en estado Gloc9ed downG por de ecto) =uchos servicios innecesarios, por ejemplo (nternet printin,, estaban habilitados en la instalaci#n) 4ndurecer el sistema era un proceso manual y muchas or,ani*aciones simplemente dejaron sus ajustes del servidor sin cambios) 4sto condujo a una e3tensa vulnerabilidad al ataque, porque aunque cada servidor se podra hacer se,uro, muchos administradores no reali*aron lo que necesitaron o no tenan las herramientas para hacerlo) 4s por ello que =icroso t ha aumentado perceptiblemente su oco en se,uridad desde el desarrollo de versiones anteriores de ((S) 'or ejemplo, a principios de 2002 el trabajo de desarrollo de todos los in,enieros de Windows ; ms de F)N00 personas ; ue puesto en asimiento mientras que la compaMa condujo el entrenamiento intensivo de la se,uridad) 8na ve* que el entrenamiento uera terminado, los equipos de desarrollo anali*aban la base del c#di,o de Windows, incluyendo 7--')sys e ((S C)0, para poner el nuevo conocimiento en ejecuci#n) 4sto representa una inversi#n sustancial para mejorar la se,uridad de la plata orma de Windows) "dems, durante la ase de diseMo del producto, =icroso t condujo la amena*a e3tensa que modelaba para ase,urarse que los desarrolladores del so tware de la compaMa entendieran el tipo de ataques que el servidor pudo hacer rente en implementaciones del cliente) "simismo los e3pertos de terceros han conducido las revisiones independientes de la se,uridad del c#di,o) 3!1! ;oc3ed Server

+own

de ecto) Los administradores deben seleccionar e instalar e3plcitamente ((S C)0 en todos los productos Windows Server 2003, e3cepto en Windows Server 2003 Web 4dition) 4sto si,ni ica que ahora ((S C)0 no tiene que ser desinstalado despu+s que Windows haya sido instalado, si no que es necesario para el rol del servidor >por ejemplo si el servidor se instala para uncionar como a mail o database server?) ((S
C)0 tambi+n ser deshabilitado cuando un servidor sea mi,rado a Windows Server 2003, a menos que el ((S

N)0 Loc9down -ool est+ instalado antes de la mi,raci#n o se haya con i,urado una llave del re,istro) "dems, ((S C)0 es con i,urado por de ecto en estado Gloc9ed downG cuando se instala) $espu+s de la instalaci#n, ((S C)0 acepta solamente los pedidos de archivos estticos hasta con i,urarlo para servir el contenido dinmico, y todos los time; outs y ajustes se ijan a los de ectos a,resivos de la se,uridad) ((S C)0 puede tambi+n ser deshabilitado usando Windows Server 2003 Kroup 'olicies) 3!2! "iveles $Mltiples de seguridad
La si,uiente tabla resume los niveles mLltiples de la se,uridad disponible en ((S C)0) "ivel de Seguridad de IIS 4!0 +escripcin =ucha se,uridad est sobre la reducci#n de la super icie del ataque de su sistema) 'or lo tanto, ((S C)0 no es instalado por de ecto en Windows Server 2003) Los administradores deben seleccionar e instalar e3plcitamente ((S C)0) La instalaci#n por de ecto de ((S C)0 e3pone solamente uncionalidad mnima) \nicamente los archivos estticos consi,uen uncionalidad, mientras que otros >por ejemplo el "S' y "S')14-? tendrn que ser permitidas e3plcitamente por el administrador) 4n 8p,rades a Windows Server 2003 de servidores con ((S instalado, si el administrador no instal# y no corri# la herramienta Loc9down -ool o si con i,ur# la llave del re,istro *etain#3S&7Status en el servidor que es actuali*ado, entonces ((S C)0 ser instalado en estado deshabilitado) .on Windows Server 2003, los administradores del dominio pueden

1o instalado por de ecto en Windows Server 2003

(nstala en estado loc9ed down

$eshabilitaci#n en up,rades

$eshabilitaci#n via

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 2 |

Kroup 'olicy .uenta de bajo privile,io ((S C)0 "S' Se,uro -odas las unciones 43tensiones de archivo reconocidas 7erramientas .ommand;line no accesibles a los usuarios Web

prevenir a usuarios la instalaci#n de ((S C)0 en sus computadoras) Wor9er 'rocess corre en conte3to low;privile,ed user por de ecto) 4sto reduce drsticamente el e ecto de ataques potenciales) "S' built;in siempre corren con una cuenta low;privile,ed >anonymous user?) Sirve solamente peticiones a los archivos que han reconocido e3tensiones de archivo y recha*a pedidos de e3tensiones no reconocidas) Los atacantes se aprovechan a menudo de herramientas command;line ejecutables va Web server) 4n ((S C)0, las herramientas command;line no pueden ser ejecutadas por el servidor Web) 8na ve* que los atacantes consi,uen el acceso a un servidor, intentan des i,urar sitios Web) 'ara prevenir que usuarios an#nimos Web sobrescriban el contenido del Web, +stos ataques pueden ser atenuados)

'rotecci#n de escritura para el contenido

3!3!

#2riendo (uncionalidad con IIS 4!0 We2 Service /?tensions

4n un es uer*o de reducir la super icie de ataque de su Web Server, ((S C)0 sirve solamente el contenido esttico despu+s de una instalaci#n por de ecto) La uncionalidad pro,ramtica proporcionada por (nternet Server "'( >(S"'(? 43tensions o .ommon Kateway (nter aces >.K(?, debe ser habilitada manualmente por un administrador de ((S C)0) (S"'() .K( e3tender la uncionalidad de sus p,inas Web, y por esta ra*#n se re erir como Web Service 43tensions) 'or ejemplo, para correr "ctive Server 'a,es >"S'? en esta versi#n de ((S C)0, el (S"'( pone "S')$LL en ejecuci#n, debi+ndose habilitar espec icamente como un Web Service 43tension) 8sando las caractersticas de Web Service 43tensions, los administradores del sitio Web pueden permitir o inhabilitar la uncionalidad de ((S C)0 basada en las necesidades individuales de la or,ani*aci#n) 4sta uncionalidad ,lobal se hace cumplir a trav+s del servidor entero) 3!.! Identidad con(igura2le de Wor3er Process Los aplicativos mLltiples corriendo o los sitios en un servidor Web, ponen requisitos adicionales en el servidor) Si un (S' recibe a dos compaMas en un servidor >que incluso pueden ser competidores?, tiene que ,aranti*ar el uncionamiento de estos dos aplicativos aislados de uno) 'rincipalmente, el (S' tiene que cerciorarse que un administrador malicioso para un aplicativo no pueda tener acceso a los datos del otro aplicativo) ((S C)0 proporciona este nivel del aislamiento con la identidad con i,urable por Wor9er 'rocess) Junto con otras caractersticas de aislamiento, como ancho de banda y uso de la .'8 o

reciclaje almacenado en la memoria, ((S C)0 proporciona un ambiente a los aplicativos mLltiples en un servidor para que se separen totalmente)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina 3 | 3!1! *eCoras SS;


2ay tres me/oras principales en Secure Soc4ets 8ayer :SS8; de ""S V 0 $stas son%

-erformance ((S N)0 ya proporcionaba el ms rpido so tware de implementaci#n para SSL del mercado) .onsecuentemente, el N0V de todos los sitios Web SSL corren en ((S N)0) ((S C)0 SSL es incluso ms rpido) =icroso t ha mejorado la implementaci#n de SSL para proveer ms per ormance y escalabilidad) *emotable 7ertification Bb/ect 4n ((S N)0, los administradores no podan manejar certi icados SSL remotamente porque el crypto,raphic service provider y certi icate store no era remoto) $ado que los clientes manejan centenares o aLn millares de servidores ((S con certi icados SSL, necesitan una manera de manejar certi icados remotamente) 4s por eso que el .ert/bject ahora permite que los clientes realicen esto)

Selectable 7ryptograp+icService -rovider Si se habilita SSL, la per ormance cae dramticamente porque la .'8 tiene que reali*ar muchas operaciones de cripto,ra a intensiva) Sin embar,o, ahora hay tarjetas aceleradoras basadas en hardware que permiten sacar los datos de estos c#mputos cripto,r icos) Los .rypto,raphic Service 'roviders pueden entonces poner sus propios .rypto "'( providers en el sistema) .on ((S C)0, es cil seleccionar un .rypto "'( provider de terceras partes) 3!4! #utoriAacin % autenti(icacin Si la autenti icaci#n contesta a la pre,unta G5Sui+n es usted6G, entonces la autori*aci#n contestar a la pre,unta G5Su+ puede usted hacer6G) La autori*aci#n est para permitir o ne,ar a un usuario que realice una cierta operaci#n o tarea) Windows Server 2003 inte,ra )14- 'assport como mecanismo soportado para la autenti icaci#n de ((S C)0) ((S C)0 ampla el uso de un nuevo ramewor9 de autori*aci#n que viene con Windows Server 2003) "dems, los aplicativos Web pueden utili*ar la autori*aci#n del 80L en tndem con "uthori*ation =ana,er para controlar el acceso) Integracin de !"/8 Passport con IIS 4!0 La inte,raci#n de )14- 'assport con ((S C)0 proporciona servicios de autenti icaci#n )14- 'assport en el servidor Web base) )14- 'assport 2)0 utili*a inter ases de las aplicaciones proporcionadas por componentes estndares 'assport, por ejemplo Secure Soc9ets Layer >SSL? 4ncryption, 7--' 0edirects y coo9ies) Los administradores pueden poner sus sitios y aplicativos Web a disposici#n de la base )14- 'assport entera, la cual abarca cerca de HN0)000)000 usuarios, sin tener que ocuparse de la administraci#n de cuentas pLblicas, por ejemplo la e3piraci#n o el aprovisionamiento de la contraseMa) $espu+s que haya autenticado a un usuario, con el )14'assport 8nique ($ >'8($? del usuario se podr mapear a una cuenta en =icroso t "ctive $irectoryI ; si tal aprovisionamiento se ha con i,urado para sus sitios Web) 4l to9en es creado por la Local Security "uthority >LS"? para el usuario y el sistema de ((S C)0 para la petici#n 7--') 'ara obtener mas in ormaci#n acerca de la se,uridad en ((S C)0!

http!@@www)microso t)com@windowsserver2003@techin o@overview@iise nhance)msp3

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 7 | Pgina . | .! Prctica 1' Instalando IIS 4!0 en Windows Server 2003
'ara poder reali*ar esta prctica 8sted necesitar tener instalado Windows Server 2003) -ara instalar ""S V 0 en #indo(s Server 20035 deber6% H) 2) 3) 2) N) C) P) F) $esde el control panel, hacer doble;clic9 en AddF*emove -rograms) 7acer clic9 en #indo(s 7omponents) Seleccionar Application Server, y hacer clic9 en !etails) Seleccionar el cuadro "nternet "nformation Services) (ntroducir el .$ de Windows Server 2003, una ve* que se le pida) 0eali*ar la comprobaci#n, una ve* inali*ado el proceso de instalaci#n) "brir el "nternet $>plorer, y escribir ttp'HHlocal ost) Eeri icar la aparici#n de la p,ina de

inicio de ((S C)0) 'ara obtener ms in ormaci#n acerca de la instalaci#n! http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3233F2 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT30UN0C

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 1 |

Captulo 9 Seguridad' "uevas (uncionalidades en Windows Server 2003


$urante este captulo 8sted ir asimilando conocimientos acerca de las mejoras de se,uridad introducidas en Windows Server 2003)
Al finali.ar este captulo podr6%

$escribir las uncionalidades de se,uridad


(mplementar y veri icar las uncionalidades de se,uridad

"ota' $ada la cantidad de in ormaci#n acerca de temas re erentes a se,uridad y tratndose este captulo de un resumen de las nuevas uncionalidades, su,erimos repasar los conocimientos adquiridos en Windows 2000, como as tambi+n las publicaciones de -echnet)

Si 8sted desea recibir el boletn de se,uridad =icroso t, suscrbase al mismo mediante esta direcci#n, que adems de ser ,ratuito, le ser de mucha utilidad en sus tareas diarias)
http!@@re,ister)microso t)com@subscription@subscribeme )asp6idAHCC

1! Int rod ucc in

Las empresas han ampliado sus redes tradicionales de rea local >L"1? mediante la combinaci#n de sitios de (nternet, intranets y e3tranets) .omo resultado, una mayor se,uridad de los sistemas resulta ahora ms importante que nunca) 'ara proporcionar un entorno in ormtico se,uro, el sistema operativo Windows Server 2003 aporta muchas caractersticas nuevas e importantes de se,uridad sobre aquellas incluidas ori,inalmente en Windows 2000 Server)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 2 | 1!1! In(or$tica de con(ianAa

Los virus e3isten y por ello que la se,uridad del so tware es un reto constante) 'ara hacer rente a +stos, =icroso t ha convertido la in ormtica de con ian*a en una iniciativa clave para todos sus productos) La in ormtica de con ian*a es un marco para desarrollar dispositivos basados en equipos y so tware se,uros y con iables, como los dispositivos y aparatos dom+sticos que utili*amos diariamente) "unque en la actualidad no e3ista nin,una plata orma de in ormtica de con ian*a, el nuevo diseMo bsico de Windows Server 2003 es un paso s#lido hacia la conversi#n de este concepto en realidad) 1!2! ;enguaCe co$Mn en tie$po de eCecucin 4l motor de so tware del len,uaje comLn en tiempo de ejecuci#n es un elemento clave de Windows Server 2003 que mejora la con iabilidad y acilita un entorno in ormtico se,uro) "simismo reduce el nLmero de errores y los a,ujeros de se,uridad causados por errores comunes de pro,ramaci#n, posibilitando que e3istan menos vulnerabilidades que los atacantes puedan e3plotar) 4l len,uaje comLn en tiempo de ejecuci#n veri ica que las aplicaciones puedan reali*arse sin errores, y a la ve* comprueba los permisos de se,uridad adecuados, ase,urando que el c#di,o realice e3clusivamente las operaciones correctas) 4sto se lleva a cabo comprobando aspectos como los si,uientes! la ubicaci#n desde la cual se ha descar,ado o instalado el c#di,o, si el c#di,o tiene una irma di,ital de un desarrollador de con ian*a, y si el c#di,o ha sido alterado desde su irma di,ital) 1!3! -entaCas Windows Server 2003 proporcionar una plata orma ms se,ura y econ#mica para la reali*aci#n de actividades empresariales)
-entaCa +escripcin

!isminucin de costos "mplementacin de est6ndares abiertos

4sto conlleva procesos de administraci#n de se,uridad simpli icados, como las listas de control de acceso y el "dministrador de credenciales) 4l protocolo (444 F02)HO acilita la se,uridad de las L"1 inalmbricas ante el peli,ro de espionaje dentro del entorno empresarial) Las caractersticas de se,uridad como el Sistema de archivos de ci rado >4%S?, los servicios de certi icado y la inscripci#n automtica de tarjetas inteli,entes, acilitan la se,uridad de una amplia ,ama de dispositivos) 4l 4%S es la tecnolo,a bsica para ci rar y desci rar archivos almacenados en volLmenes 1-%S) \nicamente el usuario que ci ra un archivo prote,ido puede abrirlo y trabajar con +l) Los servicios de certi icado son una parte del sistema operativo bsico que permite que una empresa actLe como si uera una entidad emisora de certi icados >."? y emita y administre certi icados di,itales) La inscripci#n automtica de tarjetas inteli,entes y las caractersticas de entidad de re,istro automtico proporcionan se,uridad a los usuarios empresariales, a,re,ando otro nivel de autenticaci#n) 4sto se reali*a de orma adicional a los procesos de se,uridad simpli icada, en or,ani*aciones preocupadas por su se,uridad)

-roteccin para e'uipos mviles y otros dispositivos nuevos

1!.! *eCoras % caractersticas nuevas


8a familia de #indo(s Server 2003 proporciona las siguientes caractersticas%

8na plata orma ms se,ura para reali*ar actividades empresariales La mejor plata orma para la in raestructura de claves pLblicas
8na e3tensi#n se,ura de sus actividades empresariales en (nternet 9na plataforma m6s segura para llevar a cabo actividades empresariales

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 3 |
Windows Server 2003 proporciona muchas caractersticas nuevas y mejoradas que se combinan para crear una plata orma ms se,ura para llevar a cabo actividades empresariales) Caracterstica +escripcin Windows Server 2003 proporciona se,uridad de (nternet mediante el uso de un servidor de se,uridad basado en so tware, llamado Servidor de se,uridad de cone3i#n a (nternet >(.%?) 4l (.% proporciona protecci#n a los equipos conectados directamente a (nternet o a los equipos ubicados detrs de un equipo host de cone3i#n compartida a (nternet >(.S? y que ejecute un (.%) 4l Servidor de autenticaci#n de (nternet >("S? es un Servidor de usuario de acceso tele #nico de autenticaci#n remota >0"$(8S? que administra la autori*aci#n y la autenticaci#n del usuario) -ambi+n administra cone3iones con la red mediante el uso de diversas tecnolo,as de conectividad, como el acceso tele #nico, las redes privadas virtuales >E'1? y los servidores de se,uridad)

Servidor de seguridad de cone>in a "nternet

Servidor "ASF*A!"9S seguro

*edes 8A3 $t+ernet e inal6mbricas seguras

Windows Server 2003 permite la autenticaci#n y la autori*aci#n de usuarios y equipos que se conectan a redes L"1 4thernet e inalmbricas) 4sto es posible por la compatibilidad de Windows Server 2003 con los protocolos (444 F02)HO) >Los estndares (444 F02 de inen m+todos para obtener acceso a redes L"1 y controlarlas)? Windows Server 2003 permitir que un administrador de sistemas utilice la e3i,encia de directivas o ejecuci#n para prevenir que se lleven a cabo en un equipo pro,ramas ejecutables) 'or ejemplo, aplicaciones espec icas de mbito corporativo pueden ver su ejecuci#n restrin,ida a menos que se ejecuten desde un directorio espec ico) Las directivas de restricci#n de so tware tambi+n pueden con i,urarse para prevenir la ejecuci#n de c#di,o mal intencionado o in ectado por virus) Windows Server 2003 proporciona se,uridad para redes L"1 4thernet e inalmbricas basadas en las especi icaciones (444 F02)HH y que sean compatibles con certi icados pLblicos implementados mediante la inscripci#n automtica o las tarjetas inteli,entes) 4stas mejoras en la se,uridad permiten el control de la obtenci#n de acceso a redes 4thernet en lu,ares pLblicos, como centros comerciales o aeropuertos) La autenticaci#n de equipos tambi+n se admite en un entorno operativo de protocolo de autenticaci#n e3tensible >4"'?) La se,uridad de la in ormaci#n es un problema de vital importancia para las or,ani*aciones de todo el mundo) 'ara aumentar la se,uridad de los servidores Web, los Servicios de (nternet (n ormation Server C)0 >((S C)0? se con i,uran para obtener la m3ima se,uridad) Su instalaci#n predeterminada es el estado GbloqueadoG) Las caractersticas de se,uridad avan*ada de ((S C)0 incluyen! servicios cripto,r icos que se pueden seleccionar, autenticaci#n de sntesis avan*ada y control con i,urable de la obtenci#n de acceso a los procesos) 4stas son s#lo al,unas de las tantas caractersticas de se,uridad que le permitirn reali*ar ne,ocios de orma La opci#n para ci rar la base de datos de archivos sin cone3i#n, ahora se encuentra disponible) 4sto es una mejora sobre Windows 2000, donde los archivos de la cach+ no podan ci rarse) 4sta caracterstica es compatible con el ci rado y desci rado de toda la base de datos sin cone3i#n) Se requieren privile,ios administrativos para con i,urar la orma en que se ci rarn los archivos sin cone3i#n) 4ste m#dulo cripto,r ico se ejecuta como un controlador en modo de nLcleo e implementa al,oritmos cripto,r icos aprobados por el 4stndar %ederal de 'rocesamiento de (n ormaci#n >%('S?) 4ntre estos al,oritmos cabe incluir! S7";H, $4S, 3$4S y un ,enerador de nLmero aleatorio aprobado) 4l m#dulo cripto,r ico, compatible con %('S de modo de nLcleo, permite que las or,ani*aciones ,ubernamentales implementen Se,uridad de 'rotocolo

!irectivas de restriccin de soft(are

Me/oras de la seguridad para servidores en redes 8A3 $t+ernet e inal6mbricas

Seguridad aumentada para servidores #eb

7ifrado de la base de datos de arc+ivos sin cone>in

7ompatible con 0"-S5 modo de nGcleo5 mdulo criptogr6fico

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina . |

(nternet >('Sec? compatible con %('S H20;H) 'ara ello debern utili*ar! Servidor y cliente de E'1 L2-' >'rotocolo de tLnel de capa 2?@('Sec) -Lneles L2-'@('Sec para cone3iones E'1 entre puertas de enlace) -Lneles ('Sec para cone3iones E'1 entre puertas de enlace) 4l nuevo paquete de se,uridad de sntesis es compatible con el protocolo de autenticaci#n de sntesis, junto con 0%. 2CHP y 0%. 2222) 4stos protocolos son compatibles con =icroso t (nternet (n ormation Server >((S? y el servicio "ctive $irectoryI) =ejoras en la se,uridad de los sistemas Se han reali*ado importantes mejoras para ,aranti*ar una se,uridad ,eneral de los sistemas, incluyendo! =ejoras del rendimiento en un 3N por ciento, al utili*ar la capa de soc9ets se,ura >SSL?) ((S no se instala de orma predeterminada) 'ara implementar ((S, primero debe instalarsemediante la opci#n ",re,ar o quitar pro,ramas del 'anel de control) .apacidad de comprobaci#n del bL er de =icroso t Eisual StudioI) >Los piratas in ormticos utili*an habitualmente las saturaciones del bL er para e3plotar un 4l administrador de credenciales de Windows Server 2003 proporcionar un almac+n se,uro para las credenciales del usuario, incluyendo contraseMas y certi icados O)N0U) 4stas credenciales proporcionan una e3periencia s#lida de inicios de sesi#n Lnicos para los usuarios, incluidos los usuarios m#viles) 8na "'( de Win32I se encuentra disponible para permitir que las aplicaciones basadas en cliente o en servidor obten,an credenciales del usuario) 4n Windows Server 2003, la cach+ de sesi#n SSL puede compartirse mediante mLltiples procesos) 4sto reduce el nLmero de veces que un usuario tiene que volver a autenticarse en las aplicaciones, y asimismo reduce los ciclos de .'8 en el servidor de aplicaciones)

3uevo pa'uete de seguridad de sntesis

Administrador de credenciales

Me/oras en la autenticacin de clientes SS8

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 1 |
8a me/or plataforma para la infraestructura de claves pGblicas

Windows Server 2003 acilitar la implementaci#n de una in raestructura de claves pLblicas, junto con tecnolo,as asociadas como las tarjetas inteli,entes)
Caracterstica +escripcin 4stas nuevas caractersticas importantes reducen de orma drstica la cantidad de recursos necesarios para administrar certi icados O)N0U) Windows Server 2003 posibilita la inscripci#n e implementaci#n automtica de certi icados para los usuarios) "simismo cuando el certi icado caduque, podr renovarse en orma automtica) La renovaci#n automtica e inscripci#n automtica de certi icados acilita la implementaci#n ms rpida de tarjetas inteli,entes y mejora la se,uridad de las cone3iones inalmbricas >(444 F02)HO? mediante la caducidad y renovaci#n automtica de La compatibilidad con la irma di,ital permite que los paquetes y contenedores e3ternos de Windows (nstaller se irmen di,italmente) 4sto proporciona a los administradores de tecnolo,as de la in ormaci#n, unos paquetes de Windows (nstaller ms se,uros, resultando de suma importancia si el paquete se enva a trav+s de (nternet) 4l servidor de certi icados incluido en Windows Server 2003 ahora es compatible con las .0L delta) 8na .0L hace que la publicaci#n de certi icados O)N0U revocados sea ms e ica*, y acilita que un usuario pueda recuperar un certi icado nuevo) Q como ahora se puede especi icar la ubicaci#n en la cual se encuentra almacenada la .0L, resulta ms cil moverla para alber,ar las necesidades de se,uridad y empresariales espec icas)

*enovacin autom6tica e inscripcin autom6tica de certificados

7ompatibilidad de #indo(s "nstaller con la firma digital

Me/oras en las listas de revocacin de certificados :7*8;

$>tensin segura de las actividades empresariales en "nternet 8na empresa necesita establecer una orma se,ura de comunicarse con sus empleados, clientes y asociados que no se encuentren dentro de su intranet) Windows Server 2003 acilitar este aspecto, ampliando de orma se,ura la obtenci#n de acceso a la red para personas y otras empresas que necesitan trabajar con datos o recursos del usuario) Caracterstica +escripcin 'uede asi,narse una identidad de 'assport a una identidad de "ctive $irectory en Windows Server 2003) 'or ejemplo, la asociaci#n de una identidad de 'assport con una identidad de "ctive $irectory permite que una empresa asociada pueda ser autori*ada para obtener acceso a los recursos a trav+s de ((S, en lu,ar de tener que iniciar sesi#n directamente en una red de Windows) La inte,raci#n con 'assport proporcionar una e3periencia de inicio de sesi#n Lnica, mediante el uso de ((S) Si trabaja con un asociado o una empresa que ha implementado un bosque de "ctive $irectory, puede utili*ar Windows Server 2003 para con i,urar una relaci#n de con ian*a entre los bosques del asociado o la empresa y sus propios bosques) 4sto le permite con iar de orma e3plcita en al,unos usuarios, en ,rupos o en todos, los que pertene*can a otro bosque) -ambi+n tiene la capacidad de establecer permisos en base a los usuarios o ,rupos que residen en el otro bosque) Las relaciones de con ian*a entre bosques acilitan la direcci#n de ne,ocios con otras empresas mediante "ctive $irectory)

"ntegracin con -assport

*elaciones de confian.a entre bos'ues

www.microsoft.com/latam/technet
< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 1 |

2! Personal 0irewall )IC0,

-ara obtener mas informacin acerca de "70%

4l (nternet .onnection %irewall >(.%? es una nueva caracterstica en Windows Server 2003, que le permite prote,er su cone3i#n a (nternet) 8tili*ando esta herramienta 8sted puede determinar qu+ servicios estarn disponibles desde (nternet hacia el Servidor corriendo Windows Server 2003 y qu+ servicios estarn disponibles desde su servidor hacia (nternet) 4sta nueva caracterstica le permite prote,er sus cone3iones, ya sean las que utili*an adaptadores de red como as tambi+n las que utili*an cone3iones tele #nicas) "ota' 8sted puede utili*ar (.% para prote,er cone3iones e3clusivamente en el servidor corriendo Windows Server 2003) Si necesitase habilitar acceso a (nternet se,uro para clientes internos deber anali*ar una implementaci#n de (nternet Security and "cceleration Server 2000 >(S" Server?)
http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3HPN30

2!1! Prctica 1' Da2ilitando IC0 -ara reali.ar esta pr6ctica 9sted deber6 tener dos instalaciones de #indo(s Server 2003 H) $esde el menL Start, hacer clic9 en 3et(or4 7onnections) 2) Seleccionar el adaptador de red, hacer clic9 derecho y despu+s hacer clic9 en -roperties) 3) 7acer clic9 en la len,[eta Advanced) 2) =arcar el cuadro "nternet 7onnection 0ire(all) N) 7acer clic9 en B@)
-ara comprobar la configuracin%

$esde la computadora :, intentar una cone3i#n del tipo OOno$2redeserver


Eeri icar si la cone3i#n pudo reali*arse)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 1 | 3! Usando Securit% 8e$plates para asegurar Co$putadoras

8sted puede usar Security -emplates para crear y alterar Security 'olicies que cumplan con las necesidades de su compaMa) Security 'olicies se puede implementar de di erentes maneras) 4l m+todo que 8sted usar depender del tamaMo y las necesidades de se,uridad de la or,ani*aci#n) $e esta manera, llas or,ani*aciones pequeMas, que no poseen una implementaci#n de "ctive $irectory, tendrn que con i,urar la se,uridad manualmente, mientras que las or,ani*aciones ,randes requerirn niveles de se,uridad altos) 'ara ello 8sted puede considerar el uso de Kroup 'olicy /bjects >K'/S? para instalar polticas de se,uridad) 3!1! EJuF es un Securit% Polic%G Los Security 'olicies son una combinaci#n de con i,uraciones de

se,uridad que a ectan la se,uridad de una computadora) 8sted puede usar Security 'olicy para establecer! "ccount 'olicies y Local 'olicies en la computadora local y en "ctive $irectory) Los si,uientes Security -emplates son una colecci#n de con i,uraciones de se,uridad predeterminadas) 8sted puede usar el Security -emplates Snap;in para modi icar los -emplates prede inidos o crear nuevos -emplates que cumplan con sus necesidades) Lue,o, en la creaci#n o modi icaci#n, se podrn utili*ar las si,uientes herramientas para aplicar las con i,uraciones de se,uridad! Security .on i,uration and "nalysis Snap;in, la herramienta de lnea de comando Secedit o Local Security 'olicy @ Kroup 'olicy para importar y e3portar Security -emplates) Windows Server 2003 provee los siguientes 8e$plates prede(inidos' !efault Security :Setup Security inf; 4ste -emplate es creado durante la instalaci#n del sistema operativo y representa la con i,uraci#n bsica aplicada durante la instalaci#n, incluyendo permisos de archivos para el 0oot del System $rive)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 2 |
!omain 7ontroller Security :!7 security inf;

4ste -emplate es creado cuando un Server es promovido a $omain .ontroller) .ontiene con i,uraciones de se,uridad

necesarias sobre archivos, re,istry y servicios) 8sted puede aplicar este -emplate usando Security .on i,uration and "nalysis Snap;in o con la herramienta Secedit) 7ompatibl e :7ompat( s inf; 4ste -emplate aplica con i,uraciones de se,uridad necesarias para todas aquellas aplicaciones que no est+n certi icadas por el Windows Lo,o 'ro,ram) Secur e :Secu reW in f; 4ste -emplate aplica con i,uraciones de se,uridad con alto nivel, a ectando la compatibilidad de aplicaciones) 'or ejemplo, Stron,er 'assword, Loc9out, y con i,uraciones de auditoria) 2ig+ly Secure :2icecW i nf; 4ste -emplate aplica las con i,uraciones de se,uridad ms elevadas posibles) 'ara ello impone restricciones sobre los niveles de encripci#n y el irmado de paquetes de datos sobre canales se,uros y entre clientes y servidores sobre los paquetes Server =essa,e :loc9 >S=:?) 'ara ms in ormaci#n acerca de secedit http!@@www)microso t)com@technet@tre eview@de ault)asp6urlA@technet@
prodtechnol@windowsserver2003@proddocs@datacenter@seceditBcmds)as p6 rameAtrue

3!2! EJuF es la

erra$ienta Securit% Con(iguration and #nal%sisG

La herramienta Security .on i,uration and "nalysis compara la con i,uraci#n de se,uridad entre la computadora local a una con i,uraci#n alterna que es importada del template >archivo )in ? y la almacenada en una base de datos separada >archivo )sdb?) .uando el anlisis se completa, 8sted puede anali*ar los ajustes de la se,uridad en rbol de la consola para ver los resultados) Las discrepancias estn marcadas con una bandera roja, las consistencias estn marcadas con una marca verde y los ajustes que no estn marcados con una bandera roja o una marca verde, no se con i,uran en la base de datos)

www.microsoft.com/latam/technet < 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so

Captulo 9 | Pgina 3 |
!espuKs de anali.ar los resultados usando la +erramienta Security 7onfiguration and Analysis5 9sted puede reali.ar varias tareas5 incluyendo% 4liminar las discrepancias con i,urando los ajustes en la base de datos a los ajustes actuales de la computadora) 'ara con i,urar ajustes de la base de datos, ha,a doble;clic9 en la con i,uraci#n del panel de detalles) (mportar otro template, combinando sus ajustes y sobrescribiendo ajustes donde hay un con licto) 'ara importar otro template, ha,a clic9 derecho en Security 7onfiguration and Analysis, y despu+s ha,a clic9 en "mport )emplate) 43portar los ajustes actuales de la base de datos a un template) 'ara e3portar otro template, ha,a clic9 derecho en Security 7onfiguration and Analysis, y despu+s ha,a clic9 en $>port )emplate) -ara mas informacin acerca de Security )ools% Security 7onfiguration Manager% http!@@www)microso t)com@technet@treeview@de ault)asp6 urlA@ technet@prodtechnol@windowsserver2003@proddocs@server@S4conceptsBS.=)asp

<est Practices (or Securit% Con(iguration and #nal%sis! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@
technet@prodtechnol@windowsserver2003@proddocs@server@sa,BS.=bp)asp

"nformacion adicional sobre seguridad% Introduccin 8Fcnica a seguridad!


http!@@www)microso t)com@windowsserver2003@techin o@overview@security)msp3

Iua de seguridad en Windows Server 2003! http!@@www)microso t)com@technet@treeview@de ault)asp6urlA@


technet@security@prodtech@Windows@Win2003@W20037K@SK.700)asp

IPsec en Windows Server 2003!


http!@@support)microso t)com@de ault)asp36scidA9bTen;usT323322 http!@@support)microso t)com@de ault)asp36scidA9bTen;usT3222CU

Pu2lic Qe% /ncr%ption


http!@@support)microso t)com@de ault)asp36scidA9bTen;usT2FHNNP http!@@support)microso t)com@de ault)asp36scidA9bTen;usT2U0PC0

www.microsoft.com/latam/technet

< 2003 =icroso t .orporation) -odos los derechos reservados) -erminos de 8so