Beruflich Dokumente
Kultur Dokumente
avanzados
Preparacin para la certificacin MCSA - Examen 70-412
A. Prlogo 16
B. Condiciones requeridas 17
1. Nivel/conocimientos 17
2. Certificaciones anteriores 17
3. Equipo necesario para los trabajos prcticos 17
1. Men Inicio 24
2. Panel de control 25
3. Los programas 26
4. Los mtodos abreviados de teclado 27
D. El direccionamiento IP 31
1. Direccionamiento IP dinmico 31
2. Direccionamiento IP esttico 31
G. Trabajos prcticos 36
1. Servicio de directorio 68
2. Gestin del servicio de directorio 69
a. Administrar Active Directory 70
b. Particiones Active Directory 74
3. Gestin de identidades y de acceso 75
4. Administracin de unidades organizativas 76
a. Agregar una UO empleando la interfaz grfica 77
b. Agregar una UO empleando comandos DOS 81
c. Agregar una UO con PowerShell 81
5. Directivas de grupo 82
a. Administracin de las directivas de grupo 82
b. Solucin de problemas de directivas de grupo 84
C. Niveles funcionales 91
1. Niveles funcionales de bosque 91
2. Niveles funcionales de dominio 92
3. Elevar el nivel funcional 93
D. Controladores de dominio 94
1. Roles FSMO 95
2. Catlogo global 98
C. IPAM 172
1. Presentacin del servidor IPAM 172
2. Administracin del servidor IPAM 173
3. Instalar y configurar la gestin de direcciones IPAM 175
4. Administracin del espacio de direcciones IP 182
a. Intervalos de direcciones IP 182
b. Direcciones IP 184
c. Bloques de direcciones IP 185
5. Supervisar y administrar IPAM 186
a. Servidores DNS y DHCP 186
b. mbitos DHCP 187
c. Supervisin de zonas DNS 187
d. Grupos de servidores 188
6. Catlogo de eventos 188
D. BranchCache 291
b. Particiones 363
2. Administracin de dominios Active Directory 363
a. Gestin administrativa 363
b. Particiones 363
3. Despliegue distribuido AD DS 363
a. Dominios o bosques mltiples 364
b. Actualizacin a Windows Server 2012 R2 365
c. Migracin a Windows Server 2012 R2 366
d. Relaciones de confianza 367
e. Enrutamiento de sufijo de nombre 371
B. Presentacin de AD CS 447
1. Servicios de certificados AD CS 447
a. CA independiente 448
b. CA empresarial 448
c. Administracin de AD CS 448
2. Jerarqua de CA 450
a. Infraestructura de dos capas 450
b. Infraestructura de tres capas 451
c. CA raz 453
d. CA intermedia 454
e. CA emisora 454
3. Servicios de roles AD CS 454
a. Entidad de certificacin 454
b. Solicitud de certificados a travs de la Web 455
c. Respondedor en lnea 455
d. Inscripcin de dispositivos de red 455
e. Inscripcin de certificados 455
f. Directiva de certificados 456
4. Certificados 456
a. Plantillas de certificado 457
b. Solicitud de certificado 459
1. Instantneas 656
2. Papelera de reciclaje de Active Directory 660
ndice 691
Para ayudarle en una preparacin eficaz del examen, este libro cubre todos los objetivos
oficiales, tanto desde un punto de vista terico como prctico. Ha sido redactado por un
consultor , certificado por Microsoft. De esta forma, su saber hacer pedaggico y tcnico
conducen a un enfoque claro y visual, de un alto nivel tcnico.
Captulo tras captulo podr validar sus conocimientos tericos, empleando un gran nmero
de preguntas-respuestas (150 en total) haciendo hincapi tanto en los elementos
fundamentales como las caractersticas especficas de los conceptos cubiertos.
Cada captulo termina por unos trabajos prcticos (75 en total) que proporcionarn los medios
para medir su autonoma. Estas operaciones en concreto, le permitirn forjar una primera
experiencia significativa y adquirir verdaderas competencias tcnicas acerca de un conjunto de
situaciones reales, ms all de los objetivos fijados para el examen.
A este dominio del producto y sus conceptos, se aade la preparacin especfica para la
certificacin: podr acceder de forma gratuita a 1 examen en lnea, destinado a entrenarle en
condiciones cercanas a las de la prueba. En este sitio, cada pregunta est planteada dentro del
espritu de la certificacin y, para cada una, se encuentran respuestas suficientemente
comentadas para cubrir o identificar sus lagunas.
Armelin ASIMANE
Armelin ASIMANE es Ingeniero de sistemas, especializado en las tecnologas Microsoft y Citrix
desde hace aos. Despus de haber obtenido varias certificaciones en estos dos dominios, cre
en 2012 un blog informtico (infonovice.fr) para compartir su conocimiento, experiencia y su
pasin por el universo de las nuevas tecnologas.
Introduccin
El examen 70-412 "Configuracin de servicios avanzados de Windows Server 2012 R2" es el
ltimo de los tres exmenes obligatorios para la obtencin de la certificacin MCSA Windows Server
2012 R2.
Para asistirle en una preparacin eficaz del examen, este libro cubre todos los objetivos oficiales,
tanto desde un punto de vista terico como prctico. Ha sido redactado por un consultor certificado
tcnicamente por Microsoft. De esta forma, su experiencia pedaggica y tcnica se traduce en un
enfoque claro y visual, de un alto nivel tcnico. Captulo tras captulo podr validar sus conocimientos
tericos, gracias a una gran cantidad de preguntas-respuestas (150 en total) que hacen hincapi
tanto en los elementos fundamentales como en las caractersticas especficas de los conceptos
abordados. Cada captulo finaliza con un trabajo prctico (75 en total) que le proporcionar los
medios necesarios para evaluar su autonoma. Estas operaciones concretas, que sobrepasan los
objetivos fijados por el examen, le permitirn desarrollar una experiencia significativa y adquirir
verdaderas competencias tcnicas en situaciones reales.
A este dominio del producto y sus conceptos, se aade la preparacin especfica para la certificacin:
podr acceder de forma gratuita a 1 examen en lnea, destinado a entrenarle en condiciones
similares a las de la prueba. En este sitio, cada pregunta est planteada dentro del espritu de la
certificacin y, para cada una, se proveen respuestas suficientemente comentadas para cubrir o
identificar sus lagunas.
Prlogo
Este libro pertenece a la coleccin Certificaciones de Ediciones ENI y tiene como objetivo la
preparacin para la certificacin Microsoft 70-412: Configuracin y administracin avanzada de los
servicios Windows Server 2012 y Windows Server 2012 R2.
Implementacin de los servicios avanzados de red bajo Microsoft Windows Server 2012 R2
Los captulos Presentacin de Windows Server 2012 R2 y Los servicios de dominio Active Directory
sirven de recordatorio bsico de la administracin de los servidores de Microsoft.
Cada captulo est compuesto por una parte terica y una parte prctica con trabajos prcticos en
condiciones de casos reales que puedan surgir en una empresa.
Se puede consultar la tabla detallada con los objetivos oficiales de la certificacin al final del
libro.
Condiciones requeridas
Antes de leer este libro, es importante saber a qu pblico est dirigido, as como el nivel requerido
para el aprendizaje y poder aprobar la certificacin Microsoft 70-412: Configuracin y administracin
avanzada de los servicios Windows Server 2012 R2.
1. Nivel/conocimientos
Este libro se dirige a toda persona que cuente con una experiencia significativa en entornos
Windows. Sin embargo, se recordarn algunos conceptos bsicos para refrescar la memoria de
todos. Un administrador Windows podr seguir fcilmente el contenido de este libro mientras que un
tcnico de sistemas y redes podr posiblemente tener algunas lagunas sobre la parte de
administracin avanzada de Microsoft Windows Server 2012 R2.
2. Certificaciones anteriores
No es necesario haber obtenido las certificaciones particulares de versiones anteriores de Windows
para seguir el plan de certificacin MCSA o MCSE Windows Server 2012 R2. Para aquellos que ya
cuenten con las certificaciones del entorno Windows Server 2008, es posible realizar una
actualizacin aprobando un nico examen (70-417).
Es preferible aislar la red de su entorno de laboratorio para no alterar otros componentes de red
fsicos de su empresa o su red domstica. El laboratorio que servir para trabajar en los diferentes
trabajos prcticos estar compuesto por las mquinas siguientes:
Mquina IP
DC-01 192.168.0.100
DC-02 192.168.0.101
DC-CORE 192.168.0.102
IPAM-01 192.168.0.103
CLIENT1 192.168.0.104
OXYDC-01 192.168.0.105
ISCSI-01 192.168.0.106
CACHE-01 192.168.0.107
CLIENT2 192.168.0.108
FILES-01 192.168.0.109
DC-03 192.168.0.110
DC-04 192.168.0.111
CS-01 192.168.0.112
CS-02 192.168.0.113
NLB-01 192.168.0.114
NLB-02 192.168.0.115
El plan de estudios de la certificacin de Microsoft
Una certificacin de Microsoft es un activo importante en el mundo empresarial, especialmente en los
clientes de gran cuenta. Afrontar la certificacin le permite poner a prueba sus conocimientos y
competencias tcnicas acerca de un producto de la gama de software del fabricante. Microsoft ha
actualizado su plan de estudios de certificacin para el producto Windows Server 2012 R2. Aprobar el
conjunto de las certificaciones proporciona acceso a dos ttulos especficos: MCSA y MCSE.
A partir de enero de 2014, Microsoft ha actualizado el plan de certificacin MCSA, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
El plan MCSE Desktop Infrastructure est compuesto de las certificaciones 70-415 (Diseo e
implementacin de una infraestructura cliente Microsoft) y 70-416 (Implementacin de entornos de
puestos de trabajo Microsoft). Este conjunto de competencias permiten validar la capacidad de
implementar un entorno de trabajo seguro para todo tipo de dispositivos (fijos o mviles).
MCSE Server Infrastructure
El plan MCSE Server Infrastructure est compuesto por las certificaciones 70-413 (Diseo e
implementacin de una infraestructura de servidores Microsoft) y 70-414 (Implementacin de una
infraestructura de servidores Microsoft avanzada). Este conjunto de competencias permiten validar
la capacidad de implementar una infraestructura compleja basada en Windows Server 2012 R2.
El conjunto de los exmenes del plan se presenta en forma de preguntas de seleccin mltiple. Para
aprobar el examen, es necesario inscribirse en un centro concertado con Microsoft.
A partir de abril de 2014, Microsoft ha actualizado el plan de certificacin MCSE, teniendo en cuenta
el contenido adicional de Windows Server 2012 R2.
Requisitos previos y objetivos
1. Requisitos previos
Contar con un buen conocimiento de los entornos Windows.
2. Objetivos
Conocer las novedades del sistema operativo Windows Server 2012 R2.
Novedades en BranchCache
Novedades en PowerShell v4
Novedades en Hyper-V
Para obtener ms informacin sobre las novedades de Windows Server 2012 R2, puede consultar el
sitio oficial de Microsoft en la siguiente direccin: http://technet.microsoft.com/es-es/library/dn250019
Windows Server 2012 R2 Foundation: esta edicin con funcionalidad limitada del sistema
operativo servir para las pequeas organizaciones que deseen dotarse de una solucin todo-
en-uno, ya que esta edicin slo est disponible en versin OEM (preinstalado en equipos
nuevos). En esta edicin, no es posible realizar virtualizacin con Hyper-V.
Windows Server 2012 R2 Essentials: esta edicin con funcionalidades limitadas del sistema
operativo est ms adaptada a las PYMES. En esta edicin, tampoco es posible realizar
virtualizacin con Hyper-V.
Windows Server 2012 R2 Standard: esta edicin ms completa del sistema operativo
corresponder a estructuras ms importantes. Se encuentran disponibles todas las
funcionalidades a excepcin de la virtualizacin con Hyper-V, que est limitada a solo dos
mquinas virtuales.
Windows Server 2012 R2 Datacenter: esta edicin del nuevo sistema operativo para
servidores de Microsoft es la ms completa. Ofrece todas las funcionalidades existentes sin
ninguna limitacin a nivel de creacin de mquinas virtuales. Esta edicin corresponder
perfectamente a entornos complejos como, por ejemplo, estructuras Cloud.
En el marco de los trabajos prcticos de este manual, utilizaremos las versiones Datacenter de
Windows Server 2012 R2.
Procesador: arquitectura de 64 bits exclusivamente, velocidad de 1,4 GHz como mnimo (es
recomendable contar con un procesador multincleo).
Memoria RAM: 512 MB mnimo (recomendado contar con al menos 1024 MB).
Disco duro: 32 GB mnimo (la instalacin real requiere en torno a 10 GB, es necesario que el
sistema cuente con espacio para gestionar la memoria en el disco).
Un monitor: una resolucin mnima de 800 x 600 (es recomendable contar con una resolucin
mnima de 1024 x 768).
Si desea emplear el sistema operativo para la funcionalidad de virtualizacin de servidor (Hyper-
V), es preciso asegurar que el procesador cuenta con el juego de instrucciones dedicadas a la
virtualizacin (AMD-V para los procesadores AMD e INTEL-VT para los procesadores INTEL).
Nueva interfaz grfica
Microsoft, que nos haba habituado a la interfaz grfica presente en las anteriores versiones de
Windows, cambia de rumbo presentando, con la llegada de Windows 8, una nueva interfaz grfica.
Esta nueva interfaz, que supone cambiar bastantes hbitos, comienza de forma notable eliminando el
tradicional men Inicio. Microsoft justifica la opcin grfica de Windows 8 refirindose al hecho de que
el men Inicio est anticuado, se utiliza poco y no se adapta bien a la evolucin de las pantallas
tctiles. Los usuarios y empresas han respondido negativamente a esta revolucin, lo que podra
frenar significativamente el despliegue masivo de este nuevo sistema operativo. Frente a esta
protesta, Microsoft ha decidido escuchar las necesidades de sus usuarios, reintegrando
el menInicio en Windows 8.1 y Windows Server 2012 R2. Para acceder a las aplicaciones instaladas
en el equipo debemos, en lo sucesivo, pasar por el men Inicio. Este men se estructura empleando
grandes cuadros que representan las aplicaciones y es completamente personalizable (cambiar el
tamao de los cuadros, desplazar los iconos, etc.).
1. Men Inicio
El tradicional botn Inicio vuelve a aparecer en Windows Server 2012 R2 y Windows 8.1. Haciendo
clic con el botn izquierdo del ratn en l podemos acceder a la pantalla de inicio de la nueva
interfaz grfica, mientras que un clic con el botn derecho har aparecer el men Inicio.
2. Panel de control
El acceso al panel de control tambin ha sido rediseado. Existen varias formas de acceder:
mediante el men Inicio, la pantalla de inicio o a travs de accesos directos en la pantalla. Por
ejemplo, es posible acceder pasando el cursor de su ratn por la esquina superior derecha y luego
desplazando el cursor hacia abajo. Esta accin hace aparecer un men en el que vemos un
engranaje titulado Configuracin. Despus de hacer clic sobre l, podemos acceder al men Panel
de control.
El acceso al Panel de control puede, tambin, realizarse a travs de la lista de aplicaciones
presente en la pantalla de inicio o realizando una bsqueda en la nueva barra de herramientas
escribiendo panel.
3. Los programas
El acceso a las aplicaciones se realiza mediante la pantalla de inicio o el men Inicio.
Por defecto, varias aplicaciones estn ocultas. Para mostrar todas las aplicaciones instaladas, haga
clic en el botn .
servidor).
1. Instalacin completa
La instalacin completa de Windows Server 2012 R2 corresponde a la instalacin del sistema
operativo integrando la interfaz grfica de usuario. La administracin de un servidor instalado en
este modo podr llevarse a cabo mediante las herramientas de administracin estndar y la
navegacin en el SO se realizar empleando las tradicionales ventanas de Windows adems de la
nueva interfaz grfica. En adelante es posible desinstalar la parte grfica desde la lnea de
comandos PowerShell o empleando la interfaz grfica:
Servicio DHCP
Servicio DNS
BranchCache
Hyper-V
Servicios de impresin
iSCSI
Servidor Telnet
Migracin Unix
Por defecto, los roles y caractersticas de servidor no se instalan en el disco duro durante la
instalacin del sistema operativo en modo de instalacin mnima. Para instalar un componente, se
deber contar con acceso a una conexin a Internet en la mquina para que el sistema pueda
descargar automticamente los componentes restantes. Si no existe un acceso a Internet
disponible, es posible cargar las fuentes de instalacin de Windows a partir de un DVD-ROM de
instalacin escribiendo el comando PowerShell siguiente:
Para conocer el nombre de un rol o caracterstica de servidor, bastar con escribir el comando
PowerShell siguiente: Get-WindowsFeature
El direccionamiento IP
Para poder comunicarse en una red, un servidor provisto de un sistema operativo Microsoft debe
tener una direccin IP configurada y conforme a la subred en la que se encuentre. La direccin IP de
un equipo se configura en los parmetros de la tarjeta de red.
1. Direccionamiento IP dinmico
Por defecto, un sistema operativo no posee una direccin IP despus de su instalacin. La direcin
IP se configura automticamente mediante un servideor DHCP (Dynamic Host Configuration Protocol)
que se encarga de atribuir todos los parmetros de la configuracin de red.
2. Direccionamiento IP esttico
Si deseamos configurar el equipo con parmetros especficos, es posible desactivar la opcin de
configuracin automtica para introducir manualmente los parmetros de configuracin de una
tarjeta de red. Hablamos, en este caso, de una direccin IP esttica.
Los protocolos de red
Los protocolos de red permiten definir la manera en que se efectuarn las comunicaciones y otras
transferencias de datos. Estos protocolos estn estructurados en varias capas donde cada una tiene
un alcance y un rol determinado. Es posible encontrar el detalle de las capas en forma de modelos
centrndonos especficamente en el modelo OSI (Open Systems Interconnection, que presenta siete
capas de comunicacin) y en el modelo TCP/IP (Transfer Configuration Protocol/Internet Protocol, que
cuenta con cuatro capas de comunicacin). Existen varios protocolos de transferencia de datos, pero
el seleccionado para la red Internet es el protocolo TCP/IP, que cuenta con las versiones IPv4 e IPv6.
1. Modelo TCP/IP
El modelo TCP/IP constituye un conjunto de protocolos organizados en cuatro capas de
comunicacin distintas. Encontramos, en particular, las capas siguientes:
TCP: garantiza el transporte de los datos en modo conectado (con acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte TCP son
fiables. Mediante el sistema de acuses de recibo, dos equipos que se comunican
conjuntamente pueden garantizar que el conjunto de datos se ha recibido correctamente.
UDP: garantiza el transporte de los datos en modo sin conexin (sin acuses de recibo). Se
dice que las comunicaciones garantizadas mediante el protocolo de transporte UDP no son
fiables. Sin control de errores, la comunicacin es ms rpida.
La capa de Aplicacin: agrupa las aplicaciones estndar de red tales como TELNET, FTP,
SMTP.
2. Protocolo IP
Para comunicarse en la red, un equipo debe estar provisto fsicamente de una tarjeta de red y
lgicamente de una direccin IP. La direccin IP permite identificar a un host en la red para
comunicarse con l. Existen dos tipos de direcciones IPv4. Las direcciones que emplean el protocolo
IPV4 y las direcciones que emplean el protocolo IPv6.
a. Direccionamiento IPv4
Una direccin IPv4 est codificada en 32 bits, con 4 bytes separados por un punto. Cada byte
representa un nmero decimal con un valor entre 0 y 255.
Una direccin IPv4 posee una mscara de subred que define por una parte la direccin de red (los
primeros bytes) y, por otra parte, la direccin de la mquina en la red (los ltimos bytes).
Las direcciones IPv4 privadas: permiten comunicarse en una red de rea local.
Las direcciones IPv4 privadas tienen cinco tipos de clase no direccionables en Internet para definir
direcciones IP de red de rea local:
Inicio Fin Notacin Mscara de
CIDR subred
b. Direccionamiento IPv6
Una direccin IPv6 est codificada en 128 bits, equivalentes a 16 bytes en grupos de dos
separados por dos puntos (:) y representados en hexadecimal. Una direccin IPv6 no posee
mscara de subred, sino prefijos que definen el ID de red de la misma forma que una direccin
IPv4.
La direccin IPv6 posee ciertas similitudes con la direccin IPv4. Por ejemplo:
0.0.0.0 (IPv4)
:: (IPv6)
127.0.0.1 (IPv4)
::1 (IPv6)
169.254.0.0/16 (IPv4)
::64 (IPv6)
::255.255.255.255 (IPv6)
224.0.0.0/4 (IPv4)
FF00::/8 (IPv6)
Existen varios tipos de direcciones cuando se utiliza el protocolo IPv6. Cada tarjeta de red posee
varias direcciones IPv6. Encontramos, en particular, las direcciones IPv6 de tipo:
monodifusin
multidifusin
La administracin de Windows Server 2012 R2
El sistema operativo Windows Server 2012 R2 puede administrarse de diferentes maneras. Para facilitar la
administracin, es importante conocer y saber manipular las principales herramientas grficas dedicadas a la gestin
del servidor.
Las Carpetas compartidas: permite consultar los diferentes recursos compartidos activos
en el servidor o crear nuevos recursos compartidos de red.
Los Usuarios y grupos locales: permite gestionar las cuentas y grupos de usuarios
locales, definirlos o restablecer las contraseas.
El almacenamiento
Esta categora agrupa:
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Para realizar los siguientes trabajos prcticos, bastar una mquina virtual con las caractersticas
mnimas para ejecutar Windows Server 2012 (una vCPU a 1,4 GHz en arquitectura de 64 bits, un disco
duro de 20 GB como mnimo (suficiente para nuestro entorno de prueba) y 1024 GB de RAM). Habr
que asegurarse que la BIOS de la mquina virtual est configurada para arrancar desde la unidad de
CD-ROM:
La mquina virtual deber, a su vez, contar con una tarjeta de red que podremos configurar
posteriormente.
Paso 3: introduzca el nmero de serie del producto Windows Server 2012 R2 y haga clic
enSiguiente:
Paso 4: seleccione la edicin que especifica servidor con una GUI y haga clic en Siguiente:
Paso 5: marque la opcin Acepto los trminos de licencia y haga clic en Siguiente:
Paso 6: haga clic en Personalizada: instalar solo Windows (avanzado):
Paso 11: al iniciar la sesin, la consola Administrador del servidor se abre automticamente.
Haga clic en Configurar este servidor local:
Paso 2: una vez terminada la instalacin del sistema operativo, se abrir una simple ventana
DOS:
Para administrar Windows Server 2012 R2 en modo Server Core, es posible utilizar comandos
DOS o PowerShell.
Para conocer el nombre actual del equipo, escriba el comando DOS hostname:
Para modificar el nombre del servidor y llamarlo DC-CORE, escriba el comando DOS
siguiente:netdom renamecomputer <hostname> /NewName:DC-CORE
Paso 1: en la consola Administrador del servidor, haga clic en Configurar este servidor local:
Paso 2: a continuacin, haga clic en Direccin IPv4 asignada por DHCP, IPv6 habilitado:
Para respetar las buenas prcticas, si el servidor a configurar est destinado a convertirse en un
controlador de dominio (rol Active Directory Domain Services), habr que contar con la
configuracin de la seccin Servidor DNS introduciendo la direccin IP de bucle invertido (127.0.0.1)
como direccin IP del servidor DNS alternativo, o no preferido.
Para configurar la direccin IP del servidor DNS preferido, escriba el comando siguiente:
Para configurar la direccin IP del servidor DNS auxiliar, escriba el comando siguiente:
Escriba el comando PowerShell siguiente para configurar la direccin IP de la interfaz del servidor
DNS:
Paso 4: escriba DC-CORE1 como el nuevo nombre a asignar al servidor DC-CORE, y valide
pulsando la tecla [Intro]:
Paso 5: escriba INFONOVICE\Administrador, que es una cuenta con permisos de
administracin en el servidor para poder efectuar la operacin de cambio de nombre del equipo.
Valide, a continuacin, pulsando la tecla [Intro]:
Paso 8: al reiniciar el servidor, abra de nuevo una sesin en el servidor Core y, a continuacin,
escriba el comando hostname para validar que el nombre del servidor se ha cambiado
correctamente:
Paso 9: escriba la direccin de la pasarela por defecto asociada a la tarjeta de red a configurar
(por ejemplo: 192.168.0.254) y, a continuacin, pulse la tecla [Intro] para validar:
Paso 10: teclee el nmero 2para indicar la direccin de los servidores DNS asociados a la tarjeta
a configurar:
Paso 11: escriba la direccin IP del servidor DNS preferido (por ejemplo: 192.168.0.100) y, a
continuacin, pulse la tecla [Intro] para validar:
Paso 12: haga clic en Aceptar:
Paso 13: escriba la direccin IP del servidor DNS alternativo (por ejemplo: 192.168.0.101), y,
a continuacin, pulse la tecla [Intro] para validar:
Paso 14: haga clic en Aceptar:
Paso 15: la direccin IP de la tarjeta de red seleccionada est configurada en adelante de forma
esttica. Teclee 4para volver al men principal:
La direccin IP est configurada y el servidor est listo para comunicarse en la red.
Resumen del captulo
Tras la lectura de este captulo, hemos visto los conceptos bsicos de la navegacin en Windows
Server 2012 R2 y la configuracin mnima para empezar a utilizar el sistema operativo en una red.
Podra resumirse de la manera siguiente:
Al igual que Windows 8.1, Windows Server 2012 R2 cuenta con la nueva pantalla de inicio.
Instalacin completa
Instalacin mnima
1. Preguntas
1 Cules son las cuatro ediciones de Windows Server 2012 R2?
7 Es compatible el componente DNS con una instalacin mnima de Windows Server 2012 R2?
14 Cules son las caractersticas mnimas para instalar Windows Server 2012 R2?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, sume un
punto.
3. Respuestas
1 Cules son las cuatro ediciones de Windows Server 2012 R2?
Windows Server 2012 R2 Foundation (versin OEM, limitada a 15 usuarios y sin Hyper-V)
Para mostrar el panel del men derecho de Windows, basta con pulsar simultneamente las teclas
+ C.
La instalacin completa de Windows Server 2012 corresponde a una instalacin del sistema
operativo provista de una interfaz grfica y del conjunto de componentes disponibles.
7 Es compatible el componente DNS con una instalacin mnima de Windows Server 2012 R2?
El componente DNS est disponible en la instalacin mnima de Windows Server 2012 R2.
Una direccin IP dinmica representa una direccin IP asignada mediante un servidor DHCP. La
direccin IP asignada posee una concesin durante la cual ningn otro equipo podr recibir la
direccin configurada.
Uno de los requisitos para la instalacin de Windows Server 2012 R2 consiste en instalar el
sistema operativo en un procesador de arquitectura de 64 bits com o m nim o.
El comando sconfigpermite llamar a una interfaz de fcil manejo para configurar los elementos
bsicos de un Servidor Core.
14 Cules son las caractersticas mnimas para instalar Windows Server 2012 R2?
Las caractersticas mnimas de instalacin de Windows Server 2012 R2 son las siguientes:
La capa de red corresponde a la capa fsica del equipo (la tarjeta de red, por ejemplo).
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar el sistema operativo Windows Server 2012 R2.
2. Objetivos
Comprender el rol de un directorio Active Directory en una empresa.
1. Requisitos previos
Conocer los fundamentos IPv4.
2. Objetivos
Comprender el rol de un servidor DNS.
Configurar DNSSEC.
Este rol de servidor (disponible en la instalacin completa de Windows o en un servidor Core) puede
implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de
un dominio, o en un controlador de dominio. Sin embargo, un servidor DNS puede o no estar
integrado en un dominio Active Directory. La implementacin de DNS dentro de Active Directory
aporta funcionalidades adicionales como, por ejemplo, una seguridad reforzada.
Los servidores DNS en Internet estn organizados de forma jerrquica. En la cima de esta jerarqua
se encuentran los llamados servidores DNS raz. Actualmente existen 13 servidores raz a escala
mundial. Los servidores raz que representamos esquemticamente por un punto redirigen las
peticiones DNS a los servidores del nivel jerrquico inferior que cuenten con autoridad sobre los
recursos solicitados.
Los servidores DNS situados bajo los servidores raz se conocen como servidores de primer nivel o,
ms exactamente, servidores TLD (Top Level Domains). Los servidores TLD gestionan los registros de
ms alto nivel del tipo *.com, *.net, *.org, etc. Cada pas posee a su vez un registro de ms alto
nivel del tipo *.es (Espaa), *.de (Alemania), *.it (Italia), *.nz (Nueva Zelanda), *.fr (United-Kingdom:
Reino Unido), *.be (Blgica), etc.
Los servidores DNS situados en los servidores TLD se conocen como servidores de segundo nivel. Es
en este nivel donde un proveedor de nombres de dominio podr asignar un nombre de dominio
nico para empresas o particulares de tipo infonovice.es, infonovice.com. Para cada nombre de
dominio, es posible crear un subdominio del tipo mail.infonovice.es, calendario.infonovice.es, etc.
El cliente DNS efecta las peticiones DNS con destino al puerto UDP 53 de un servidor DNS (local o
remoto).
Cuando se realiza una solicitud de resolucin de nombres por parte de un cliente a un servidor DNS,
la respuesta se registra en la cach DNS. Esta operacin se efecta a travs del servicio de nombres
de Windows llamado Cliente DNS, que se encarga de actualizar la cache DNS y registrar el nombre
de host del equipo en el servidor DNS local.
Si se detiene el Cliente DNS, el equipo no podr registrarse a s mismo en un servidor DNS ni podr
actualizar la cach con los resultados de solicitudes DNS.
Para consultar el contenido de la cach DNS de un equipo cliente, basta con escribir el comando
siguiente: ipconfig /displaydns
Para registrar el nombre de host de un equipo en el servidor DNS local, escriba el comando
siguiente: ipconfig /registerdns
Cuando un puesto cliente desea acceder a un servicio, tal como un sitio web, cuenta con un
mecanismo de peticiones DNS que lo gestiona de forma completamente transparente para el
usuario:
1. Un usuario quiere acceder al sitio web infonovice.es empleando su navegador
web. Una vez que se ha introducido la URL, el puesto cliente realiza una
peticin DNS al servidor DNS de su proveedor de acceso Internet (ISP) para
saber si ste conoce la direccin IP del nombre de dominio infonovice.es.
3. Uno de los 13 servidores raz contactados responde al servidor DNS del ISP
indicndole los servidores DNS con autoridad para la zona es.
4. El servidor DNS del ISP contacta, a continuacin, con uno de los servidores DNS
de la zona es solicitndole la direccin IP de los servidores DNS que tengan el
nombre de dominio infonovice.es.
5. Uno de los servidor DNS de la zona es responde al servidor DNS del ISP
indicndole el nombre y la direccin IP del servidor DNS que tiene autoridad en
el dominio infonovice.es.
6. El servidor DNS del ISP contacta, a continuacin, con los servidores DNS con
autoridad sobre el dominio infonovice.es solicitndole la direccin IP del nombre
del dominio.
8. El servidor DNS del ISP responde al puesto cliente indicndole la direccin IP del
nombre de dominio infonovice.es.
El proceso de instalacin del rol de servidor copia a su vez el complemento llamado DNS, disponible
en las herramientas administrativas o una nueva MMC. Tambin es posible instalar estas consolas
en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1,
instalando las herramientas de administracin RSAT (Remote Server Administration Tools).
Es posible administrar un servidor DNS usando la consola grfica (MMC) o por lnea de comandos
Dnscmd o PowerShell.
De manera predeterminada un servidor DNS genera registros, que pueden consultarse mediante el
complemento Visor de eventos, en la seccin Registros de aplicaciones y servicios, del
registroDNS Server (o directamente en la consola DNS, en la seccin Registros globales del
registroEventos DNS):
Estos registros realizados por el servidor DNS pueden servir para realizar diagnsticos en la
resolucin de problemas o simplemente para verificar el correcto funcionamiento del servicio. Los
registros almacenados pueden ser de varios niveles:
Informacin
Advertencia
Error
Comentario
Crtico
b. Registros DNS
Un servidor DNS puede gestionar varios tipos de registros llamados registros de recursos. Estos
registros permiten identificar un equipo, un servidor, un servicio, un alias o un controlador de
dominio. Estos recursos puede crearlos dinmicamente el sistema de instalacin del rol de servidor
DNS o un equipo cliente que se registre en el servidor DNS. Tambin es posible que un
administrador cree manualmente estos registros. No es posible crear un registro de recursos en
una zona DNS.
Host A o AAAA: este tipo de registro de recursos permite identificar un equipo en la red
empleando su direccin IP y su nombre de dominio FQDN. Un host A corresponde a un
equipo identificado empleando su direccin IPv4, mientras que un host AAAA corresponde a
un equipo identificado mediante su direccin IPv6.
Alias (CNAME): este tipo de registro se denomina tambin, nombre cannico. Permite
identificar un equipo en la red mediante un nombre diferente al FQDN.
Inicio de autoridad (SOA): este tipo de registro se crea en primer lugar y permite indicar
los parmetros de una zona (SOA = Start Of Authority). Encontraremos, en particular, los
siguientes parmetros:
Numero de serie: este nmero se incrementa con cada actualizacin del archivo.
Intervalo de reintento: indica el perodo durante el cual un servidor DNS secundario que
no poda ponerse en contacto con el servidor DNS primario debe esperar antes de volver
a solicitar la actualizacin de la zona para recuperar un registro SOA.
Expira despus de: indica el tiempo tras el que el servidor DNS secundario que no ha
podido recuperar el registro SOA del servidor DNS principal deja de responder a las
solicitudes de clientes para el nombre de la zona DNS.
Un servidor DNS almacena diferentes tipos de registros en su base de datos (por ejemplo:
registros de tipo A - Hostname). Cuando los registros dinmicos ya no sirven, se eliminan
automticamente.
Por defecto, un equipo cliente intentar renovar su registro DNS (refrescar su marca de
tiempo) tras cada arranque, con cada expiracin de la concesin de direccin IP asignada o
cada 24 horas.
Para activar los parmetros de caducidad/borrado a nivel de zona, hay que editar las propiedades
de la zona DNS haciendo clic en Caducidad en la pestaa General:
No basta con habilitar el parmetro de borrado del servidor DNS o de las zonas para que el
proceso arranque. Para ello, es preciso iniciarlo manualmente haciendo clic en Borrar registro de
recursos obsoletos desde el men contextual (haciendo clic con el botn derecho) en el servidor
DNS seleccionado.
Para activar la limpieza automtica de los registros obsoletos habr que editar las propiedades del
servidor DNS, pestaa Opciones avanzadas, y marcar la opcin correspondiente:
Los registros DNS dinmicos se crean con una marca de tiempo. Los parmetros de
caducidad/borrado se basan en esta marca de tiempo para establecer si el registro debe borrarse
o no:
Los registros DNS estticos no se crean con una marca de tiempo. En consecuencia, la opcin de
caducidad/borrado no podr eliminar estos registros:
d. Reenviadores del servicio DNS
Los reenviadores
Cuando no es posible resolver una peticin DNS buscando informacin en el espacio de nombres
configurado, el servidor DNS puede llamar a un reenviador. Un reenviador es un conjunto de
servidores DNS que permiten al servidor DNS local transmitir todas sus peticiones DNS no
resueltas. Si no es posible encontrar un servidor DNS disponible como reenviador, el servidor DNS
local reenva las consultas no resueltas a uno de los 13 servidores DNS raz.
Generalmente, el administrador encargado del servidor DNS de un dominio configura los
reenviadores indicando los servidores DNS del ISP (proveedor de acceso a Internet). Para acceder
a este parmetro, hay que mostrar las propiedades del servidor DNS del dominio y, a continuacin,
seleccionar la pestaa Reenviadores.
Existen tambin servidores DNS pblicos (tambin llamados OpenDNS) como los famosos
servidores DNS de Google cuyas direcciones IP son las siguientes:
8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
De esta forma, cuando una peticin no puede resolverse, el servidor DNS del dominio transfiere la
peticin al servidor DNS del ISP o al que est configurado en la pestaa Reenviadores.
Los reenviadores condicionales tienen tambin como funcin transferir peticiones DNS a otros
servidores DNS siempre que stas tengan como destino un dominio en particular. De esta forma,
toda peticin DNS que posea el nombre de dominio configurado ser siempre transferida a los
servidores DNS con autoridad sobre los registros de recursos.
Para crear un redirector condicional, basta con indicar la direccin o direcciones IP de los servidores
DNS del dominio de destino.
Un redirector condicional funciona de la misma forma que una zona de rutas internas a diferencia
de que la configuracin de los servidores DNS del dominio objetivo es esttica, mientras que una
zona de rutas internas actualizar de forma dinmica la lista de servidores DNS del dominio de
destino.
Es posible alojar un redirector condicional en una particin de directorio Active Directory (a nivel del
bosque o del dominio).
La copia de seguridad de las zonas DNS es un aspecto importante para el administrador del
sistema. En caso de siniestro, ser muy importante disponer de una copia de seguridad de la
configuracin del servidor DNS para poder restablecer el servicio rpidamente. Tambin se
recomienda implementar una estrategia de copia de seguridad adecuada para evitar cualquier
accidente. Una copia de seguridad completa del servidor basta para guardar la configuracin DNS,
pero tambin es posible guardar las zonas DNS integradas o no en Active Directory de forma
individual.
Realizar una copia de seguridad de las zonas primarias consistir entonces en agregar a la
directiva de copia de seguridad los archivos con extensin *.dns.
Las zonas DNS integradas en Active Directory se almacenan en una particin del directorio.
En otras palabras, la copia de seguridad completa de un controlador de dominio guarda a
su vez las zonas DNS integradas en Active Directory. Es posible, sin embargo, almacenar
una zona integrada en Active Directory por lnea de comandos mediante PowerShell o
Dnscmd.
Copia de seguridad de una zona DNS integrada en Active Directory empleando Dnscmd:
4. Zonas DNS
Un servidor DNS tiene como funcin gestionar los registros de recursos. Un recurso representa la
asociacin de una direccin IP y un nombre de dominio llamado FQDN (Fully Qualified Domain Name).
Para albergar y gestionar mejor estos recursos, un servidor DNS almacena los registros en
contenedores llamados zonas DNS. Una zona agrupa un conjunto de registros vinculados a un
dominio o un espacio de nombres. Microsoft Windows Server 2012 R2 puede gestionar de forma
nativa tres tipos de zona (las zonas principales, las zonas secundarias y las zonas de rutas
internas), adems de una zona especial llamada GlobalNames que no est disponible de manera
predeterminada.
a. Zona principal
Una zona principal contiene todos los registros DNS sobre los que el servidor tiene autoridad. Esta
zona puede o no estar integrada en Active Directory. Una zona principal funciona en lectura o
escritura, salvo si esta ltima est almacenada en un controlador de dominio de solo lectura
(RODC: Read Only Domain Controller). Si la zona no est integrada en Active Directory, se
almacenar en el servidor dentro de un archivo con la extensin *.dns en la
carpeta%SYSTEMROOT%\System32\dns. Almacenar la zona principal en Active Directory
asegura la actualizacin de los registros DNS as como la replicacin nativa para todos los
contralores de dominio del bosque.
b. Zona secundaria
Una zona secundaria contiene una rplica de una zona principal. Una zona secundaria funciona en
solo lectura. No es posible que un cliente la actualice. Para actualizarla, la zona secundaria
interrogar a la zona principal para recuperar la informacin a actualizar. Esta zona se almacena
en la carpeta %SYSTEMROOT%\System32\dns en un archivo con extensin *.dns. El
inconveniente de una zona secundaria es que no puede almacenarse en una particin del
directorio Active Directory. Por ello, el administrador de los servidores DNS de una empresa deber
crear en cada servidor una zona DNS secundaria que contenga un espacio de nombres de otro
bosque.
Una zona de bsqueda inversa permite recuperar un nombre de host cuando solo se conoce su
direccin IP. Por defecto, la zona de bsqueda inversa no se crea automticamente durante la
instalacin del servidor DNS. Habr que crearla y configurarla manualmente indicando la subred en
la que debe crearse la zona.
Una zona de rutas internas es, al igual que un reenviador condicional, un puntero que apunta a los
servidores DNS de otro dominio o espacio de nombres. A diferencia de un reenviador condicional, la
zona de rutas internas actualiza dinmicamente la lista de servidores DNS que tienen autoridad
sobre el espacio de nombres remoto. Asimismo, se almacena una zona de rutas internas en la
carpeta %SYSTEMROOT%\System32\dns en un archivo de extensin *.dns, aunque tambin
puede estar integrada en Active Directory.
Por ejemplo: el administrador del dominio infonovice.priv desea que los puestos cliente puedan
resolver las peticiones destinadas al dominio oxylive.local ubicado en otro bosque. Podr decidir
crear una zona de rutas internas que tenga como objetivo reenviar todas las peticiones DNS
destinadas a los servidores DNS con autoridad en el espacio de nombres oxylive.local.
e. Zona GlobalNames
Una zona GlobalNames es un tipo de zona especial incorporada en Windows Server 2008. Su rol es
realizar las mismas funciones que el tradicional servidor WINS (Windows Internet Name Service). Es
decir, su objetivo es registrar las direcciones IP correspondientes a los nombres de equipos en
formato NetBIOS y no FQDN. No es posible actualizar una zona GlobalNames dinmicamente. Solo
puede almacenar registros estticos. Por ello, la utilizacin de estas zonas debe limitarse a un
nmero de equipos restringido. En cierto modo, un registro GlobalNames vuelve a crear un alias
para un equipo existente declarado en una zona DNS principal.
Por defecto, una zona GlobalNames no aparece en las opciones de configuracin de un servidor
DNS. Para emplear esta nueva funcionalidad, es preciso activarla manualmente siguiendo estas
operaciones:
Paso 1: abra un smbolo del sistema PowerShell haciendo clic en el icono asociado:
Paso 2: escriba el comando PowerShell siguiente para activar las zonas GlobalNames:
Paso 4: haga clic con el botn derecho en el servidor y, a continuacin, haga clic en Zona
nueva:
Paso 7: marque la opcin Para todos los servidores DNS que se ejecutan en controladores
de dominio en este bosque: infonovice.priv y haga clic en Siguiente:
Paso 8: marque la opcin Zona de bsqueda directa y haga clic en Siguiente:
Llegados a este punto, la zona GlobalNames creada est operativa en lo sucesivo. Para probarla y
verificar su funcionamiento, tendremos que realizar las operaciones siguientes:
Paso 4: haga clic en Examinar... para seleccionar un equipo cliente declarado en una de las
zonas de bsqueda directa, escriba el nombre del alias (ejemplo: TestGlobalNames) que
desea utilizar y haga clic en Aceptar:
Paso 5: abra un smbolo del sistema DOS y escriba el comando siguiente Ping <Nombre
del alias GlobalNames previamente definido>:
Cuando el servicio DNS se encuentra integrado con Active Directory, el asistente de configuracin va
a crear automticamente dos zonas de bsqueda directa:
La zona _msdcs.<Nombre de dominio Active Directory>: esta zona contiene los diferentes
registros a escala del bosque que permiten a los equipos cliente descubrir los controladores
de dominio de la red, los controladores de dominio que implementan el catlogo global, los
servidores Kerberos para la autenticacin o el emulador PDC. Esta zona aporta a su vez
informacin de geolocalizacin. Asimismo, un usuario asignado a un sitio Active Directory
remoto no tendr ningn problema para ubicar los recursos cercanos a su sitio.
La zona que lleva el nombre del dominio Active Directory: esta zona contendr los registros
de los distintos servicios de red, como la zona _msdcs, as como los registros de los clientes
DNS.
6. Seguridad del servicio DNS
Como puede ver, el servidor DNS es un componente muy importante de una red. Su objetivo es
resolver las solicitudes para proporcionar a los clientes la correspondencia entre nombre de dominio
FQDN y direccin IP. Cada solicitud resuelta se almacena, a continuacin, en la cach del servidor
DNS. Por este motivo es importante tener en cuenta la seguridad de su mecanismo para evitar que
un individuo malintencionado contamine el DNS (DNS Cache Poisoning) o intercepte los datos
enviados por un servidor DNS. Para proteger y asegurar un servidor DNS, Microsoft pone a
disposicin de los administradores de sistemas las herramientas para securizar la cach y firmar,
mediante criptografa, los registros DNS.
La cach DNS permite acelerar el tratamiento de peticiones DNS dentro de una red. La securizacin
por bloqueo de cach DNS es una funcionalidad aparecida con Windows Server 2012. La funcin de
bloqueo de cach permite prohibir la actualizacin de un registro ya existente. De esta forma, una
persona malintencionada no podr modificar un registro de cach para dirigir a los clientes DNS a
un sitio web fraudulento. Para funcionar, esta opcin se basa en la duracin de un registro
tambin llamada TTL (Time To Live).
La funcin de bloqueo de cach permite de esta forma que un registro no sea eliminado antes de
que expire su duracin. Es, no obstante, posible ajustar esta opcin indicando en qu momento es
posible sobrescribir un registro DNS en cach mediante una actualizacin. La opcin de bloqueo de
cach est configurada de forma predeterminada con un parmetro fijo del 100%. Esto quiere
decir que un registro DNS en cach no puede ser sobrescrito mientras su duracin no haya
expirado.
Para conocer los parmetros de bloqueo de cach de un servidor DNS, basta con escribir el
comando PowerShell siguiente: Get-DnsServerCache
Para configurar el bloqueo de cach DNS, hay que utilizar los comandos PowerShell o DnsCmd
siguientes:
En el ejemplo anterior, se protege contra escritura, los registros de cach hasta que su
duracin haya llegado al 60%.
En el ejemplo anterior, se protege contra escritura, los registros de cach hasta que su
duracin haya llegado al 50%.
Para reforzar la seguridad de la cach de un servidor DNS Microsoft ha introducido la funcin del
grupo de sockets DNS. Esta tecnologa permite configurar un servidor DNS para que pueda utilizar
un nico puerto aleatorio disponible dentro de un intervalo de puertos y de esta forma realizar
peticiones DNS.
Por defecto, el grupo de sockets est disponible dese la instalacin del rol de servidor DNS en
Windows Server 2012 R2. Su tamao inicial tiene un valor fijo en 2500, pero es posible ajustar
este tamao modificando el parmetro asociado de 0 a 10000. La configuracin del grupo de
sockets DNS contiene tambin una lista de exclusin que comprende un intervalo de puertos
fuente que no se utilizarn.
Los parmetros vinculados al grupo de sockets DNS son los siguientes:
SocketPoolSize
SocketPoolExcludedPortRanges
DnsCmd
El registro de Windows
Escriba el comando siguiente para verificar los parmetros del grupo de sockets:
Escriba el comando siguiente para configurar la lista de exclusin del grupo de sockets:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Base: Decimal
c. Implementar DNSSEC
La seguridad del servicio DNS no se limita solo a su cach. El conjunto de solicitudes enviadas por
un servidor DNS a sus clientes es tambin vulnerable. Para proteger este flujo de datos, es posible
implementar DNSSEC (Domain Name System Security Extension), un protocolo estandarizado por la
IETF que ha llegado con Windows Server 2012 (esta funcionalidad exista previamente en Microsoft
Windows Server 2008 R2 pero se ha visto mejorada con Windows Server 2012). Esta funcionalidad
aporta un nivel de seguridad adicional permitiendo la firma digital de una zona. Para firmar una
zona DNS, bastar con mostrar el men contextual de una zona y hacer clic en DNSSEC / Firmar
la zona:
Cuando una zona ha sido firmada por DNSSEC, las peticiones DNS enviadas como respuesta a los
clientes dispondrn de una clave cifrada que certifica que la informacin proporcionada es correcta
y no se ha visto alterada por una persona malintencionada.
Cuando un servidor DNS no cuenta con la autoridad para el registro solicitado esto le lleva a hacer
una bsqueda recursiva para consultar otros servidores DNS, la implementacin de DNSSEC
permite garantizar la integridad de los datos recibidos por otros servidores DNS.
Cuando una zona DNS est firmada digitalmente, todos los registros DNS de la zona se firman
automticamente. Cada registro de recursos del servidor DNS firmado por DNSSEC se ver
completado por un nuevo registro llamado RRSIG (Resource Record SIGnature). Este registro
contendr la firma asociada al registro DNS original. Si es necesario actualizar un registro ya
firmado por DNSSEC, es imperativo firmar el nuevo registro despus de la modificacin.
La firma de una zona crea una clave privada en el servidor y luego almacena una clave pblica en
cada registro de recurso (como para una infraestructura PKI con una asociacin de claves
pblicas/privadas). Este proceso permite a su vez, a los clientes, verificar una respuesta recibida
comparando la clave pblica con la clave privada del servidor DNS.
Para que un equipo cliente verifique las respuestas aportadas por un servidor DNS hay que
configurar su tabla de resolucin de nombres (NRPT, Name Resolution Policy Table). Una tabla NRPT
contiene el conjunto de reglas de gestin que definen la manera en que un equipo cliente debe
validar las respuestas a peticiones DNS. La configuracin de este parmetro en el conjunto de los
equipos cliente de un dominio se puede hacer empleando una GPO (Group Policy Object, u objeto
de directiva de grupo).
Por defecto, al firmar una zona, el servidor DNS sobre el que se realiza la operacin se convierte
en el maestro de claves. Esto quiere decir que el servidor DNS realizar la gestin de las claves de
cifrado de la zona.
Los equipos cliente que deseen resolver una respuesta de peticin DNS firmada deben poseer la
clave pblica de la firma digital. Para recuperar esta clave pblica, los equipos cliente podrn hacer
una llamada al nuevo registro DNS llamado DNSKEY. Este registro permite publicar la clave pblica
necesaria para descifrar un registro firmado.
La clave privada KSK (Key Signing Key) es una clave de autenticacin que permite, como su nombre
indica, firmar otras claves encargadas de firmar una zona.
La clave privada ZSK (Zone Signing Key) es una clave de autenticacin que permite, como su
nombre indica, firmar los registros de una zona.
Los registros NSEC (Next Secure): cuando un cliente DNS hace una peticin para resolver un
nombre de recurso no existente en el dominio, el servidor DNS no puede firmar la respuesta para
un registro inexistente. Por ello, se emplean los registros NSEC, que permiten firmar las
respuestas realizadas para los registros de recursos que no existen. La firma de estas respuestas
sin seguimiento permite certificar a un cliente que el registro de recursos buscado no existe. El
aspecto negativo de este registro, es que permite la enumeracin de los dominios padres. Si un
cliente hace una peticin a un nombre de dominio no existente, el registro NSEC creado de esta
forma, empleando un registro RRSIG, deja aparecer sistemticamente el nombre del dominio padre
y as sucesivamente. Esto puede causar un fallo de seguridad cuando no deseamos que un cliente
pueda enumerar la totalidad de los dominios de una infraestructura. Por este motivo se han
creado los registros NSEC3, con el fin de corregir este fallo de seguridad.
Los registros NSEC3 (Next Secure 3) permiten, al igual que los registros NSEC, firmar las
respuestas de registro no existentes en la zona DNS. La diferencia estriba en el hecho de que este
registro no permite numerar los dominios padre mediante un sistema de cifrado que permite
presentar al cliente solo una parte de la informacin solicitada.
Para que una infraestructura DNSSEC est operativa, es necesario que un servidor establezca
relaciones de confianza con el conjunto de servidores DNS que la componen. Para ello, empleamos
un procedimiento llamado Anclaje de veracidad (Trust Anchor). Un anclaje de veracidad define los
servidores o entidades aprobados empleando un registro DNS del tipo DNSKEY o DS que indica
dnde se encuentra la clave pblica. Los anclajes de veracidad se guardan en las zonas
especiales, almacenadas en el archivo de configuracin TrustAnchors.dns. Los anclajes de
veracidad pueden crearse en la carpeta Puntos de confianza del rbol de la consola DNS.
Get-DnsServer
Si un puesto cliente no est configurado de forma dinmica, habr que configurar manualmente la
direccin IP as como las distintas opciones de configuracin de red que le permiten comunicarse.
Esta operacin manual permite configurar una direccin IP en modo esttico. Si opta por emplear
direcciones IP estticas para el conjunto de sus equipos, las acciones repetitivas y manuales de la
configuracin de las tarjetas de red son susceptibles de generar errores humanos. La
implementacin de un servidor DHCP dentro de una red permite centralizar la configuracin IP y, de
esta manera, limitar los riesgos debidos a errores de configuracin. Mediante esta herramienta de
administracin ser posible difundir automticamente los cambios de configuracin de red al
implementar actualizaciones al conjunto de los equipos cliente.
Los clientes DHCP pueden ser de diferentes tipos. Todo perifrico susceptible de comunicarse a
travs de una red es un cliente potencial de DHCP. Los principales dispositivos DHCP que lo emplean
con mayor frecuencia son: un smartphone (Wi-Fi), una impresora (Ethernet o Wi-Fi), una televisin
conectada (Ethernet o Wi-Fi), un ordenador (Ethernet o Wi-Fi), una consola de videojuegos
(Ethernet o Wi-Fi), un servidor, etc. Los sistemas operativos integran un cliente DHCP, versin 4 o 6
(el cliente DHCPv6 est incluido a partir de Windows Vista), para poder contactar con un servidor
DHCP.
El rol de servidor DHCP (disponible en una instalacin completa de Windows o en un servidor Core)
puede implementarse en un servidor independiente del dominio (Standalone), en un servidor
miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DHCP instalado
dentro de un dominio, Active Directory o no, debe estar autorizado antes de poder distribuir
direcciones IP en un dominio. Si un administrador olvida autorizar un servidor DHCP, no podr
distribuir las direcciones IP dentro de un dominio Active Directory.
El proceso de instalacin del rol de servidor copiar a su vez el complemento llamado DHCP,
disponible en las herramientas administrativas o una nueva MMC. Tambin es posible instalar estas
consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como
Windows 8.1 instalando las herramientas de administracin RSAT (Remote Server Administration
Tools). Para llamar a esta consola, tambin podemos escribir el comando dhcpmgmt.msc.
Es posible, tambin, hacer clic en el botn DHCP de la pantalla de inicio de Windows Server 2012
R2:
Es posible administrar un servidor DHCP mediante la consola grfica (MMC) o por lnea de comandos
Netsh o PowerShell.
Cuando una concesin alcance el 50% de su duracin, el cliente DHCP har una solicitud de
renovacin automtica. La concesin se renueva, adems, al reiniciar el sistema operativo de
manera predeterminada. Por consiguiente, un cliente DHCP que se mantiene conectado a la red est
seguro de conservar la misma direccin IP.
Un servidor DHCP est configurado para escuchar las peticiones de cliente en el puerto 67.
Para obtener una direccin IP, un equipo cliente que utilice el protocolo de red IPv4 efectuar las
siguientes acciones:
1. El equipo cliente enva una solicitud de difusin (Broadcast) con destino a un
servidor DHCP disponible en la red (en el puerto 67 del servidor DHCP). El
mensaje enviado contiene la direccin MAC del equipo solicitante. Esta peticin
se llama DHCP-DISCOVER (descubrimiento) y, como su nombre indica, tiene
como objetivo descubrir los servidores DHCP en una red.
Un cliente DHCP Windows registrar por defecto su nombre de host en el servidor DNS asociado a
su configuracin IP y el servidor DHCP registrar el PTR (Pointer Records, registro de puntero) del
equipo cliente en el servidor DNS. Cada cliente Windows tendr en las propiedades de la conexin
de red, un parmetro que indica que el cliente es responsable de registrarse en el servidor DNS.
Cuando la concesin asignada expira, el servidor DNS no borra automticamente el registro DNS
asociado al equipo cliente. Se puede configurar un servidor DHCP para que gestione el registro de
los nombres de host y los PTR as como la eliminacin de los registros DNS cuando las concesiones
han caducado. Bastar con aadir la opcin 081 en la configuracin del servidor DHCP para que
este ltimo pueda registrar los nombres de host A y los registros PTR.
Todas las tarjetas de red cliente emplean de forma predeterminada el protocolo de red IPv6,
configurando una direccin local llamada Link local. Esta direccin, equivalente a las direcciones
APIPA en el protocolo IPv4, permite comunicar con otros equipos ubicados en la misma red local.
Esta direccin de enlace local no es direccionable desde el exterior de la red.
Con la aparicin del protocolo IPv6, las peticiones de difusin ya no se utilizan, dando paso a otros
mecanismos de descubrimiento en la red. A diferencia del protocolo IPv4 que emplea las peticiones
de descubrimiento para localizar un servidor DHCP, el protocolo IPv6 puede llamar a otro protocolo
de red como NDP (Neighbor Discovery Protocol, protocolo de descubrimiento de vecinos). Este
protocolo ser el encargado de localizar los diferentes hosts de la red local, en particular los
routers.
Por defecto, un equipo cliente que utilice el protocolo IPv6 empezar configurando su interfaz de
red sin estado (Stateless mode) y tratar de contactar con un router. Si no hay ningn router que
proporcione informacin de comunicacin de red IPv6, la interfaz de red proceder entonces a
realizar una autoconfiguracin con estado (Stateful mode) conectando con un servidor DHCPv6.
Para distribuir este tipo de direccin IP hay que comprar un bloque de direcciones IPv6 a travs de
un organismo regional o de registro Internet.
Los mbitos DHCP: esta opcin de configuracin permite crear un rango de direcciones IP
asociado a una subred. Cada equipo que realice una peticin de direccin IP dinmica recibir
una direccin perteneciente al mbito configurado. Un mbito se define mediante un nombre,
una descripcin, un rango de direcciones IP a distribuir y una subred. Un mbito puede,
tambin, definir un rango de direcciones IP excluidas del rango a distribuir a los clientes, una
duracin de concesin, al igual que las opciones DHCP. Un nico servidor DHCP puede poseer
varios mbitos, pero el servidor DHCP debe estar conectado a cada subred y disponer de un
agente de retransmisin DHCP instalado para poder acceder a las dems subredes. Un
mbito DHCP permite centralizar los parmetros de configuracin de red de un equipo cliente.
Para crear un nuevo mbito hay que hacer clic con el botn derecho en el protocolo a
configurar y, a continuacin, en el men contextual hacer clic en mbito nuevo...:
Concesiones de direcciones: las concesiones indican la lista de equipos cliente que han
obtenido una direccin IP. En esta vista, ser tambin posible ver el detalle de cada
concesin concedida, como la direccin IP asignada, el nombre del equipo cliente y la fecha de
expiracin.
Reservas: la reserva permite asignar siempre a un cliente la misma direccin IP. Para ver un
ejemplo concreto de este uso especfico, permite a un cliente albergar un servicio como un
sitio web, accesible permanentemente en la misma IP. Por lo tanto, si el servicio es accesible
desde el exterior, no habr ningn problema para hacer una traduccin de puertos (NAT) en
el firewall. Para realizar una reserva de direccin IP debemos indicar la direccin IP a reservar
as como la direccin MAC del equipo cliente al que se le asignar.
Para agregar nuevas opciones al mbito, bastar con hacer clic con el botn derecho
enOpciones de mbito y, a continuacin, hacer clic en Configurar opciones....
Directivas: las directivas permiten asignar una direccin IP a un equipo cliente en funcin de
ciertos criterios tales como su direccin MAC, su clase de proveedor o usuario, su identificador
o informacin de agente de retransmisin:
Los supermbitos: permiten agrupar dos o ms mbitos existentes en servidor DHCP dentro
del mismo nombre. Un supermbito agrupa, en este caso, una coleccin de mbitos del
servidor DHCP.
Las Opciones del servidor: adems de asignar una direccin IP a un cliente, el servidor DHCP
permite distribuir varios parmetros de configuracin de red tales como la puerta de enlace
predeterminada, la IP del servidor DNS, el sufijo DNS del dominio, los servidores WINS, etc. Es
posible asignar los parmetros a todos los mbitos o nicamente a los mbitos especificados
mediante filtros. Tambin es posible utilizar filtros para aplicar parmetros a los clientes que
tengan reservas de direcciones IP especficas.
Los Filtros: permiten autorizar o denegar la atribucin de una direccin IP a un equipo cliente
en funcin de su direccin MAC. Si los filtros por direccin MAC estn activos dentro del
servidor DHCP, solo los equipos cuyas direcciones MAC figuren en la lista de los clientes
autorizados podrn utilizar los servicios ofrecidos por el servidor DHCP.
El servicio DHCP en Microsoft Windows Server 2012 R2 ofrece las siguientes funcionalidades
aparecidas con Windows Server 2012:
La Proteccin de nombres: permite proteger los registros DNS de los clientes DHCP. En la
prctica, un equipo cliente no Windows puede registrar su nombre de host en un servidor
DNS no seguro. Si el nombre ya existe, se sobrescribe con la nueva informacin. Para evitarlo,
la funcin de proteccin de nombres puede funcionar de forma tal que sea el servidor DHCP
quien realice los registros A y PTR de los clientes DHCP. Si el nombre de host ya existe en el
servidor DNS seguro, la actualizacin no tendr lugar.
Para hacer funcionar la opcin Proteccin de nombres, el servidor DHCP utiliza un registro
llamado DHCID (Dynamic Host Configuration IDentifier). Este registro adicional contiene la
informacin de un host que haya hecho una solicitud de direccin IP antes de que el servidor
DHCP se haya registrado en el servidor DNS. Cuando se hace una nueva solicitud de direccin
IP, el servidor DHCP interroga al servidor DNS para saber si el registro DHCID se corresponde
con un nombre ya registrado. Si el nombre de host existe, el servidor DHCP puede
rpidamente identificar si se trata de la mquina original que cre el DHCID o no. Si no fuera
el caso, el registro DNS no se sobrescribir. La proteccin de nombres DHCP es vlida para
los protocolos IPv4 e IPv6. Este ltimo puede activarse a nivel del nodo del protocolo
correspondiente en la consola DHCP o a nivel de un mbito.
Para que la funcin de Proteccin de nombres funcione, hace falta que la actualizacin
dinmica est habilitada en el servidor DNS.
Los mbitos divididos (Split-mode): permiten dividir un mbito DHCP para que sea
gestionado por dos servidores DHCP diferentes. Para hacer esto, el servidor DHCP sobre el
que ejecutamos la operacin conservar el mbito a gestionar y, a continuacin, crear un
mbito de exclusin con las direcciones IP que gestionar el segundo servidor DHCP. En el
segundo servidor DHCP, el mbito principal se configurar como mbito de exclusin y el
mbito previamente excluido se configurar como un mbito gestionado por el segundo
servidor DHCP. Esta funcin tiene como objetivo aumentar la tolerancia a fallos.
En Windows Server 2012 R2, la alta disponibilidad del servidor DHCP funciona con dos servidores
DHCP que sincronizarn sus concesiones de direcciones IP. Esta funcionalidad de conmutacin
automtica solo funciona con el protocolo IPv4.
La funcin de conmutacin automtica por error puede funcionar en dos modos de configuracin
diferentes: Espera activa y Equilibrio de carga.
El modo Espera activa: en este modo, es el primer servidor DHCP quien distribuye las
direcciones IP a los clientes mientras que el segundo servidor solo interviene si el primer
servidor deja de responder. El primer servidor DHCP tiene en cuenta la distribucin del 95%
de las direcciones IP presentes en el mbito y el segundo toma el 5% restante.
Cuando el primer servidor no responde, el servidor secundario se hace cargo para entregar
las direcciones IP en el grupo de direcciones IP 5% a su cargo. Cuando se termina el 5% de
las direcciones del grupo de direcciones IP, el segundo servidor gestiona entonces el 100%
del grupo de direcciones. Por defecto, si el servidor DHCP principal est fuera de lnea ms de
una hora, el segundo servidor DHCP toma el control del rango completo de direcciones IP. Es
posible modificar este valor predeterminado modificando la opcin Plazo mximo para
clientes o MCLT (Maximum Client Lead Time).
El modo Equilibrio de carga: en este modo, los servidores DHCP configurados garantizan
cada uno el 50% de la distribucin de las direcciones del mbito. Cuando uno de los
servidores falla, el servidor DHCP restante proporciona el 100% de la distribucin de las
direcciones IP del mbito. Se puede ajustar el porcentaje de gestin de las IP en los dos
servidores (por ejemplo un 80% para el primer servidor DHCP y un 20% para el segundo).
En una infraestructura DHCP con alta disponibilidad, el servicio emplear el puerto TCP 647 para
escuchar el trfico proveniente del segundo servidor. Al activar esta funcionalidad, el servicio DHCP
crear automticamente dos reglas de entrada/salida en el firewall para autorizar la escucha en los
puertos TCP.
Para implementar esta funcionalidad, bastar con hacer clic con el botn derecho en el mbito a
cubrir y, a continuacin, hacer clic en Configurar conmutacin por error. Por ltimo, ser necesario
asignar un servidor asociado para la sincronizacin de las concesiones de direcciones IP:
Esta ltima est planificada cada 60 minutos. En funcin de las necesidades de una
infraestructura, es tambin posible modificar la planificacin por defecto modificando la clave del
registro siguiente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\
Parameters\BackupInterval
c. Restauracin
Una vez restaurada la base de datos el administrador recuperar la configuracin de sus mbitos y
otras opciones de su servidor DHCP tal y como se haba guardado antes del accidente.
IPAM
Un administrador de sistemas y redes debe manejar y conocer sus equipos como la palma de su mano. Para hacer esto,
emplear diferentes herramientas que le permitirn inventariar y gestionar su red, su parque de hardware y su software.
La gestin de direcciones IP empleando IPAM (IP Address Management) es una nueva caracterstica de servidor integrada a
partir de Microsoft Windows Server 2012.
Centralizar la gestin de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active
Directory.
Hbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
La base de datos IPAM debe purgarse manualmente porque no existen parmetros para
configurar una limpieza automtica.
IPAM puede gestionarse mediante la interfaz grfica del Administrador del servidor o por lnea de comandos Windows
PowerShell. Con Windows Server 2012 R2, Microsoft ha agregado 55 nuevos comandos PowerShell para mejorar la gestin y
administracin de un servidor IPAM.
Para obtener ms informacin puede consultar el vnculo siguiente:http://technet.microsoft.com/library/jj553807.aspx
La base de datos IPAM est almacenada bajo el nombre ipam.mdf, acompaada del archivo de
registro de transacciones llamado ipam_log.ldf.
El proceso de instalacin de IPAM crear automticamente las reglas de firewall para autorizar al servidor IPAM a
comunicarse con los clientes empleando el puerto de comunicaciones 48885. Para ello, se crearn en el firewall las dos reglas
siguientes:
Se debe utilizar solamente una cuenta de administracin del dominio (y no una cuenta local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se cumplan los siguientes
requisitos previos:
Paso 1: abra una sesin en el servidor IPAM-01 y abra la consola Administrador del servidor.
Paso 10: haga clic en Cerrar cuando el aprovisionamiento se haya efectuado correctamente.
Paso 11: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Configurar deteccin de servidores:
Paso 12: haga clic en el botn Agregar para agregar el dominio infonovice.priv en la lista de
dominios a descubrir.
Paso 13: verifique que los servicios Controlador de dominio, Servidor DHCP y Servidor
DNSestn correctamente marcados y, a continuacin, haga clic en Aceptar.
Paso 14: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar deteccin de servidores:
Paso 15: una banda amarilla aparece durante la ejecucin del descubrimiento de servidores.
Haga clic en Ms para ver el detalle de la tarea, a continuacin cierre la ventana de detalle
cuando la etapa indique que el descubrimiento de servidores se ha Completado.
Paso 16: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM.
Paso 18: abra un smbolo del sistema PowerShell en el servidor IPAM como administrador y, a
continuacin, escriba el siguiente comando:
Paso 19: abra una sesin en el controlador de dominio DC-01, abra la consola de
Administracin de directivas de grupo. En el rbol de consola, deber ver aparecer las tres GPO
siguientes en la raz del dominio:
GPO-IPAM_DC_NPS
GPO-IPAM_DHCP
GPO-IPAM_DNS
Paso 20: abra una sesin en el servidor IPAM-01 para navegar en la consola Administrador del
servidor IPAM y, a continuacin, INVENTARIO DE SERVIDOR. Haga clic con el botn derecho
en el servidor DC-01 y, a continuacin, haga clic en Editar servidor....
Paso 22: cambie al servidor DC-01, abra un smbolo del sistema DOS como administrador y
escriba gpupdate /force.
Paso 23: cambie al servidor DC-02, abra un smbolo del sistema DOS como administrador y
escriba gpupdate /force.
Las etapas 22 y 23 tienen como objetivo aplicar las directivas de grupo creadas previamente.
Paso 24: seleccione un servidor, haga clic con el botn derecho y haga clic en Actualizar el
estado de acceso del servidor. Repita la operacin en el segundo servidor y pulse a
continuacin la tecla [F5] para actualizar la vista. Deber ver aparecer los dos servidores con un
estado Desbloqueado:
Paso 25: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga
clic en Iniciar deteccin de servidores:
Su servidor IPAM est en adelante instalado y listo para ser utilizado para la gestin de direcciones IP de los diferentes
servicios de red DHCP y DNS de su empresa.
La seccin Bloques de direcciones IP permite identificar los mbitos creados en los servidores DHCP gestionados por IPAM.
Esta vista permite visualizar directamente el nmero de direcciones IP disponibles en cada mbito, su tasa de utilizacin as
como el rango de direcciones IP cubierto. Un bloque de direcciones IP comprende un mbito DHCP que contiene sus
direcciones IP. Cuando seleccionamos un bloque de direcciones IP es posible personalizar su visualizacin segn varias
vistas.
a. Intervalos de direcciones IP
Esta vista permite visualizar los intervalos de direcciones IP que representan los mbitos configurados en los servidores
DHCP:
Aqu recuperamos el detalle del intervalo de direcciones IP disponible con la direccin IP inicial y la direccin IP final, el
servidor DHCP a cargo de la gestin del mbito, as como las estadsticas de uso y asignacin de las direcciones IP
disponibles en los intervalos de direcciones IP. La asignacin de direcciones IP est representada bajo la forma de un
porcentaje de uso del intervalo de direcciones disponible.
A partir de esta vista, podemos crear mbitos DHCP haciendo clic en TAREAS y, a continuacin, enAgregar intervalo de
direcciones IP:
Clculo de uso: define si las estadsticas de uso del mbito se calcularn automticamente
o manualmente por el administrador.
b. Direcciones IP
Esta vista permite visualizar las direcciones IP creadas manualmente o importadas desde un archivo Excel, de cara a
confeccionar un inventario de las direcciones IP utilizadas en la red empresarial.
Es posible crear una direccin IP para inventariar haciendo clic en TAREAS y, a continuacin,Agregar direccin IP:
c. Bloques de direcciones IP
Esta vista permite visualizar los diferentes bloques de direcciones IP creados que corresponden a los mbitos gestionados
en un dominio pblico o privado.
Es posible crear un bloque de direcciones IP haciendo clic en TAREAS y, a continuacin, enAgregar bloque de direcciones
IP:
5. Supervisar y administrar IPAM
Esta seccin de IPAM permite supervisar y configurar los servicios de red como DHCP o DNS. Existen varias vistas que
permiten tener acceso rpidamente a los diferentes elementos de configuracin.
En esta vista podemos verificar el estado de los servicios DNS y DHCP y acceder a los principales parmetros de
configuracin haciendo clic con el botn derecho en cada servidor.
Tambin ser posible crear un mbito DHCP, modificar las opciones de un servidor DHCP o finalmente sus diferentes
propiedades.
Si desplegamos el men contextual de un servidor DNS ser incluso posible arrancar la consola MMC de administracin de
un servidor DNS:
b. mbitos DHCP
En esta vista podemos visualizar los mbitos creados en el servidor DHCP. Tambin es posible configurarlos o duplicarlos
para crear un nuevo mbito, que podremos modificar:
d. Grupos de servidores
Igual que con la vista Servidores DHCP y DNS, esta vista permite ver el conjunto de servidores asociados al servicio de red
gestionado por IPAM. Con la diferencia de que es posible, esta vez, crear grupos lgicos que permiten identificar los
servicios por zona geogrfica, roles, entidades, o segn los criterios definidos por un administrador:
6. Catlogo de eventos
Esta seccin agrupa simplemente el registro de eventos de los diferentes cambios de configuracin de los servicios de red
empleando IPAM. Esto permite registrar los responsables de las posibles modificaciones de la infraestructura para identificar
rpidamente qu se ha modificado en la configuracin y, especialmente quin lo ha modificado:
Tambin es posible realizar un seguimiento de las direcciones IP gracias a los eventos de BAIL. De este modo, ser posible
recuperar fcilmente informacin del tipo: qu usuario ha recibido qu direccin IP y en qu puesto?
Trabajos prcticos
La empresa INFONOVICE desea crear un departamento informtico dedicado con un dominio
Active Directory. Para ello, solicita sus servicios para instalar los controladores de dominio y
configurar los principales componentes de red tales como DNS, DNSSEC, DHCP e IPAM.
OXYLIVE es una nueva filial. Los equipos cliente de la empresa INFONOVICE debern poder
resolver los nombres de equipo que albergan los recursos en el dominio de esta filial.
El servicio DHCP deber configurarse para cambiar a un servidor DHCP de seguridad en caso de
error.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Mscara de subred:255.255.255.0
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
caractersticas.
Paso 2: haga clic en Siguiente:
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en DNS:
Paso 14: seleccione Zona de bsqueda inversa para IPv4 y haga clic en Siguiente:
Paso 15: introduzca el ID de red 192.168.0 y haga clic en Siguiente:
Paso 19: agregar el rol de servidor AD DS para crear un nuevo bosque cuyo dominio raz
serinfonovice.priv:
Paso 20: marque la opcin Crear delegacin DNS e indique la informacin de conexin de la
cuenta Administrador local del servidor:
Complete las siguientes ventanas para poder instalar Active Directory.
Paso 1: una vez instalado el dominio Active Directory, vaya a la pantalla de inicio y haga clic
enDNS:
Paso 9: en las propiedades de la zona, seleccione las actualizaciones dinmicas Solo con
seguridad:
Paso 3: despliegue el men contextual y haga clic en Establecer caducidad/borrado para todas
las zonas:
Paso 4: marque la opcin Borrar registros de los recursos obsoletos y haga clic en Aceptar:
Paso 5: marque la opcin Aplicar esta configuracin a las zonas integradas en Active
Directory existentes y haga clic en Aceptar:
Paso 6: despliegue de nuevo el men contextual del servidor DNS y, a continuacin, haga clic
enPropiedades:
Paso 4: informe el nombre DNS del dominio Active Directory de la empresa OXYLIVE, es
deciroxylive.local, en el campo Dominio DNS. A continuacin, escriba la direccin IP de un servidor
DNS del dominio oxylive.local, es decir 192.168.0.105 y haga clic en Aceptar:
Paso 5: en el servidor DNS del dominio oxylive.local OXYDC- 01, cree un registro DNS de tipo
CNAME llamado archivos con direccin IP 192.168.0.105:
Paso 6: marque la opcin El servidor DNS DC-01 es el maestro de claves y haga clic
enSiguiente:
Paso 7: haga clic en Siguiente:
Paso 13: verifique los parmetros de la clave de autenticacin (ZSK) y, a continuacin, haga clic
en Aceptar:
Paso 14: haga clic en Siguiente:
Paso 15: marque la opcin Usar NSEC3 y, a continuacin, haga clic en Siguiente:
Los parmetros de iteraciones y salt permiten limitar los ataques por diccionario o por fuerza
bruta para descifrar la encriptacin.
Paso 19: verifique que la zona seleccionada incluye un pequeo logotipo en forma de candado
que indica que la zona est firmada y, a continuacin, que los
registros RRSIG, DNSKEY yNSEC3 se han creado correctamente:
Paso 20: podemos constatar que despus de la firma de la zona se han creado dos archivos en
la carpeta %SYSTEMROOT%\System32\dns: dsset-infonovice.priv y keyset-infonovice.priv.
Paso 1: en la pantalla de inicio de Microsoft Windows Server 2012 R2, haga clic en el
iconoAdministracin de directivas de grupo:
Paso 2: despliegue el rbol y seleccione el objeto de directiva de grupo (GPO) llamado Default
Domain Policy:
En la pestaa DNSSEC, marque las opciones Habilitar DNSSEC en esta regla y Requerir a
los clientes DNS que comprueben que el servidor DNS haya validado el nombre y la
direccin.
Paso 6: verifique que la regla creada previamente figura en la tabla de directiva de resolucin de
nombres (NRPT) y haga clic en Aplicar:
Paso 7: cierre el editor de administracin de directivas de grupo y ejecute el comando
DOSgpupdate /force.
Paso 8: conctese al equipo CLIENT1, abra una ventana DOS y ejecute el comando gpupdate
/force. Esta operacin tiene como objetivo actualizar las directivas de seguridad del dominio.
Paso 9: siempre en el equipo CLIENT1, abra una ventana PowerShell y escriba el
comando Resolve-dnsname -name CLIENT1.infonovice.priv -type dnskey -
server DC-01 -dnssecok. De esta forma interrogamos los registros DNSSEC de la
zonainfonovice.priv.
Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y
caractersticas:
Paso 12: en el panel de la consola Administrador del servidor, haga clic en el panel de
informacin amarillo con un signo de exclamacin y haga clic en Completar configuracin de
DHCP:
Paso 13: haga clic en Siguiente:
Paso 14: haga clic en Confirmar para autorizar el servidor DHCP en Active Directory:
Paso 15: haga clic en Cerrar:
El servicio DHCP est en adelante instalado y autorizado en Active Directory para la distribucin
de direcciones IP en la red.
Paso 16: repita los pasos 1 al 15 para instalar el rol de servidor DHCP en el servidor DC-02.
Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el
iconoDHCP:
Paso 8: deje la duracin de concesin DHCP por defecto y haga clic en Siguiente:
Paso 9: marque la opcin Configurar estas opciones ahora y haga clic en Siguiente:
Paso 5: conctese al equipo CLIENT1 y verifique que la tarjeta de red est configurada para
recibir una direccin IP de forma automtica. A continuacin, escriba el comando ipconfig
/renew.
Paso 6: escriba el comando ipconfigy verifique que la direccin IP es 192.168.0.155.
Paso 6: marque la opcin Este servidor DHCP autorizado, seleccione el servidor DHCP dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 7: verifique que est seleccionado algn servidor asociado y haga clic en Siguiente:
Paso 10: asegrese que cada etapa de verificacin de la conmutacin por error se lleva a cabo
correctamente y, a continuacin, haga clic en Cerrar:
Paso 11: en el rbol de consola, seleccione DHCP y haga clic en Agregar servidor...:
Paso 12: marque la opcin Este servidor DHCP autorizado, seleccione el servidor dc-
02.infonovice.priv y haga clic en Aceptar:
Paso 13: despliegue el rbol del servidor dc-02.infonovice.priv hasta el protocolo IPv4 para
verificar que el mbito creado en el servidor DC-01 se ha replicado correctamente:
Paso 14: abra una sesin en el equipo CLIENT1 y, a continuacin, despliegue los detalles de
conexin de la tarjeta de red. Identifique y recuerde la direccin IP del servidor DHCP IPv4:
Paso 15: cambie al servidor DC-01 y, a continuacin, en la consola DHCP, detenga el servicio en
el servidor dc-01.infonovice.priv:
Paso 16: cambie de nuevo al equipo CLIENT1 y ejecute los siguientes comandos DOS:ipconfig
/releasee ipconfig /renew.
Paso 17: abra las propiedades de la tarjeta de red para confirmar que el servidor DHCP IPv4 ha
cambiado correctamente al servidor de espera activa ubicado en dc-02.infonovice.priv
(192.168.0.101):
Resumen del captulo
A lo largo de este captulo hemos podido ver todos los aspectos de los servicios de red avanzados de
Microsoft Windows Server 2012 R2. Se podra resumir de la manera siguiente:
Los servidores DNS permiten realizar la correspondencia entre un nombre de dominio y una
direccin IP.
Los servidores DNS de Internet estn estructurados segn una jerarqua donde la raz est
representada por un punto.
El borrado de los registros DNS no est activado de forma predeterminada. Hay que hacerlo
manualmente.
Un servidor DNS posee varias zonas. Las zonas de bsqueda principales, secundarias, de
bsqueda inversa, de rutas internas o GlobalNames.
Un servidor DHCP asigna las direcciones IP a los clientes que realizan una peticin.
1. Preguntas
1 Para qu sirve un servidor DNS?
5 Cules son los dos modos de funcionamiento de la conmutacin por error automtica en caso
de fallo de un servidor DHCP?
13 Su red cuenta con dos servidores de correo electrnico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. Qu servidor de correo
electrnico contactarn los usuarios para enviar e-mails?
17 Qu comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
18 Qu comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 Para qu sirve un servidor DNS?
Un servidor DNS permite realizar la correspondencia entre nombres de dominio y direcciones IP.
Cuando un cliente solicita una direccin IP a un servidor DHCP obtiene una concesin con una
validez de 8 das.
5 Cules son los dos modos de funcionamiento de la conmutacin por error automtica en caso
de fallo de un servidor DHCP?
La funcin de conmutacin automtica por error puede funcionar en dos modos de configuracin
diferentes: Espera activa y Equilibrio de carga.
Hbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del
bosque Active Directory.
Centralizar la gestin de los servicios de red DNS, DHCP, NPS (Network Policy Server) y
Active Directory.
El servidor IPAM debe ser m iem bro de un dom inio (y no controlador de dominio).
Se debe utilizar solamente una cuenta de administracin del dominio (y no una cuenta
local).
Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se
respeten los siguientes requisitos previos:
Para eliminar el contenido de la cach DNS de un equipo cliente basta con escribir el comando
siguiente: ipconfig /flushdns
Los registros DNS de tipo MX permiten indicar los servidor de correo electrnico de la red.
13 Su red cuenta con dos servidores de correo electrnico. El servidor A posee un registro DNS
de prioridad 5 mientras que el servidor B posee una prioridad 10. Qu servidor de correo
electrnico contactarn los usuarios para enviar e-mails?
Para enviar e-mails, se contactar primero con el servidor A porque, cuanto mayor es el nmero
que indica la prioridad de un servidor de correo electrnico, menor es su importancia.
Los reenviadores de un servidor DNS permiten indicar a qu servidores DNS reenviar las peticiones
que no se han podido resolver.
Los reenviadores condicionales permiten redirigir las peticiones DNS de un dominio en particular a
los servidores que cuenten con autoridad para la zona.
17 Qu comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv
integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory basta con
ejecutar el comando dnscmd siguiente: dnscmd /ZoneExport infonovice.priv
Infonovice.BackupZone
18 Qu comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS
infonovice.priv integrada en Active Directory?
Para hacer una copia de seguridad de una zona DNS integrada en Active Directory, basta con
ejecutar el comando Windows PowerShell siguiente: Export-DnsServerZone -Name
infonovice.priv -Filename Infonovice.BackupZone
Requisitos previos y objetivos
1. Requisitos previos
Conocer las bases de un sistema de archivos NTFS.
2. Objetivos
Conocer los diferentes sistemas de archivo gestionados por Windows.
Servicios de almacenamiento
Los siguientes servicios se instalan cuando compartimos archivos o cuando se promueve un servidor
a controlador de dominio:
Servidor de archivos
Estos roles y caractersticas permiten, tambin, tener un servidor de archivos de forma nativa listo
para almacenar y compartir datos con los usuarios y equipos de la red.
Cada volumen o particin montado en el sistema operativo puede estar formateado en uno de los
sistemas de archivo siguientes:
Compartir datos
Implementar cuotas
Implementar instantneas
Espacio de nombres DFS (gestin de los espacios de nombres para las carpetas
compartidas).
En la consola Administrador del servidor es posible ver, de un solo vistazo, el estado del
rolServicios de archivos y de almacenamiento partiendo del panel:
Eventos: provee un acceso directo al Visor de eventos para observar posibles registros de
error, crticos o advertencias, vinculados al rol Servicios de archivos y almacenamiento.
Servicios: muestra los detalles sobre el estado de los servicios Windows vinculados al rol
del servidor.
Rendimiento: muestra una vista del visor de rendimiento para consultar el uso de los
recursos procesador y memoria vinculados al rol del servidor.
Formatear
Inicializar un disco
Un grupo de almacenamiento es una agrupacin de varios discos fsicos que permite crear
discos virtuales. Estos discos se ven como discos lgicos por el sistema operativo y podemos
crear en ellos particiones.
Recurso compartido SMB (Server Message Block): crea un recurso compartido utilizando el
protocolo SMB.
Recurso compartido NFS (Network File System): crea un recurso compartido utilizando el
protocolo NFS.
iSCSI: permite gestionar los discos virtuales iSCSI, con la condicin de agregar el rol de
servicio Servidor de destino iSCSI.
Iniciador iSCSI
Esta consola permite gestionar las conexiones a los grupos de almacenamiento iSCSI.
Es posible visualizar y aadir roles y servicios de rol dedicados al almacenamiento desde la consola
Administrador del servidor. Microsoft Windows Server 2012 R2 gestiona los roles y los siguientes
servicios dedicados al rol Servicios de iSCSI y archivos:
Servidor de archivos
Desduplicacin de datos
Carpetas de trabajo
Replicacin DFS
Para verificar la presencia del rol Servidor del servicio de archivos y almacenamiento:
Para verificar la presencia de los servicios del rol Servicio de archivos y almacenamiento:
El rendimiento de una infraestructura iSCSI en una red Ethernet es menor en comparacin con la
tecnologa SAN en una red de fibra ptica. Por este motivo, no es recomendable emplear una
infraestructura iSCSI en un entorno de produccin, sino mejor en el marco de una maqueta o un
laboratorio de pruebas. Las mejores prcticas de Microsoft recomiendan el uso de una red Gigabit
para el despliegue de una infraestructura iSCSI.
Este protocolo de almacenamiento de red funciona en modo cliente/servidor. Los clientes se llaman
iniciadores y se benefician de la consola de administracin Iniciador iSCSI, disponible en las
herramientas administrativas:
La consola Iniciador iSCSI funciona de manera conjunta con un servicio Windows llamado Servicio
del Iniciador iSCSI de Microsoft:
Este servicio se instala por defecto al instalar el sistema operativo, pero debe arrancarse con la
primera ejecucin de la consola:
Si el servicio Iniciador iSCSI de Microsoft no est arrancado, no es posible configurar la conexin a
un servidor de destino iSCSI. Una vez configurado, el cliente enva los comandos iSCSI a los
servidores de destino empleando la red IP utilizando el puerto de comunicaciones
predeterminado3260. Este servicio utiliza el archivo C:\Windows\System32\iscsiexe.dll para
gestionar el descubrimiento y las conexiones a los servidores de destino.
Durante la conexin de un cliente iniciador mediante una tarjeta de red Ethernet, el sistema
operativo utiliza un controlador de sistema encargado de transportar los datos de la pila de
almacenamiento a la pila de red. Este controlador se almacena en la siguiente
ubicacin:C:\Windows\System32\Drivers\msiscsi.sys.
Infraestructura iSCSI:
Para implementar la alta disponibilidad en una infraestructura iSCSI, los clientes iniciadores pueden
configurarse con varias rutas de acceso a los servidores de destino. Al no poder contar con
conmutadores para redes de fibra ptica, una red Gigabit ser muy apreciada para conservar las
mnimas ganancias de rendimiento.
Para que un cliente que utiliza la consola Iniciador iSCSI pueda comunicarse con un dispositivo de
almacenamiento que emplee el servicio de rol Servidor de destino iSCSI, el administrador debe
configurar en los servidores de destino identificadores nicos llamados IQN (iSCSI Qualified Name).
Si la resolucin de nombres de los servidores de destino no est disponible empleando los IQN,
tambin es posible configurar la consola Iniciador iSCSI indicando la direccin IP o el nombre FQDN
de los servidores de destino.
Una infraestructura iSCSI funciona perfectamente con las aplicaciones que necesitan
almacenamiento por bloque tales como los hipervisores Citrix XenServer, VMware vSphere (ESX) o
Microsoft Hyper-V.
Clientes: el administrador utiliza la consola Iniciador iSCSI para configurar las conexiones
a los servidores de destino. Esta consola se instala por defecto con el sistema operativo a
partir de Windows Server 2008. Para asegurar la alta disponibilidad de una infraestructura
iSCSI, la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los
servidores de destino empleando la tecnologa Microsoft MPIO (Multipath I/O).
La consola Iniciador iSCSI presenta dos funcionalidades a partir de Windows Server 2012:
Solicitud de ID (no funciona con las versiones del sistema operativo anteriores a
Windows 8 para los clientes y Windows Server 2012 para los servidores): permite
identificar de forma ms sencilla un cliente iSCSI agregando automticamente el ID de
iniciador (IQN) a un host seleccionado en el dominio.
3. Almacenamiento NFS
Inicialmente la tecnologa NFS (Network File System) consista en instalar un servidor de archivos
para compartir los datos entre servidores UNIX/Linux utilizando el protocolo de transporte TCP/IP
para el transporte de los datos. Hoy en da, NFS existe tambin en los sistemas operativos Windows
o Macintosh, para compartir datos con servidores UNIX/Linux.
En Microsoft Windows Server 2012 R2, la implementacin de un servidor NFS se realiza a travs del
servicio de rol Servidor para NFS. Para un equipo que ejecute el sistema operativo Windows
Server 2012, la conexin a una cabina de almacenamiento NFS se realiza utilizando la caracterstica
de servidor Cliente para NFS.
4. Almacenamiento DAS
La tecnologa de almacenamiento DAS (Direct Attached Storage) corresponde a la conexin de un
dispositivo de almacenamiento directamente a un servidor, sin pasar por la red. Todo disco interno,
externo o extrable (por ejemplo un dispositivo USB como una llave o tarjeta de memoria) es
considerado como un almacenamiento DAS, es decir directamente conectado al servidor.
5. Almacenamiento NAS
La tecnologa NAS (Network Attached Storage) corresponde a un servidor de archivos donde los
volmenes o carpetas se comparten a travs de la red mediante protocolos de comparticin tales
como CIFS (Common Internet File System) o SMB (Server Message Block).
Optimizar el uso del almacenamiento
Hoy en da, todas las empresas poseen en sus infraestructuras informticas un servidor de archivos
que los administradores deben gestionar para optimizar el acceso de los usuarios. Este captulo
detalla lo esencial de las funcionalidades vinculadas a la gestin de un servidor de archivos para
optimizar mejor los datos almacenados en la red.
a. Funcionamiento FSRM
Al agregar el servicio de rol FSRM se agrega la consola Administrador de recursos del servidor de
archivos en las herramientas administrativas:
Esta consola de administracin es un complemento llamado fsrm.msc, accesible desde una MMC.
Este complemento se almacena en la ubicacin siguiente: %Windir%\system32\fsrm.msc
b. Administracin FSRM
Administracin de cuotas
Administracin de clasificaciones
2. Administracin de cuotas
La seccin Administracin de cuotas de la consola Administrador de recursos del servidor de
archivos permite implementar la funcionalidad de cuotas en el servidor de archivos. Las cuotas
permiten limitar el uso del espacio en disco de un volumen lgico o de una carpeta:
Al implementar cuotas en un volumen, todas las nuevas carpetas creadas en l tendrn una
limitacin relativa al espacio en disco disponible. Las plantillas de cuota agrupan plantillas
predefinidas de reglas de cuota aplicables directamente en un volumen o archivo.
Cuota mxima: esta opcin permite impedir a los usuarios superar el lmite de
almacenamiento fijado por el administrador.
Cada cuota puede configurarse con un umbral de notificacin que advierte al administrador cuando
el espacio de almacenamiento de un volumen o carpeta se ha alcanzado. Es posible enviar una
alerta por e-mail o empleando el visor de eventos automticamente cuando el espacio en disco
disponible alcanza un umbral definido en funcin del porcentaje de espacio en disco utilizado.
Para crear una cuota en la carpeta C:\Compartir para que los usuarios de la red no puedan
almacenar ms de 3 MB de datos, bastar con realizar el siguiente procedimiento:
Haga clic con el botn derecho en Cuotas y, a continuacin, haga clic en Crear cuota.
En la ventana Crear cuota haga clic en Examinar en la seccin Ruta de acceso de cuota.
Marque la opcin Guardar la cuota personalizada sin crear una plantilla y haga clic
enAceptar.
Para crear una plantilla de cuota que permita a los usuarios de red almacenar 1 GB de datos en
una carpeta determinada dentro del servidor de archivos, basta con realizar el siguiente
procedimiento:
Haga clic con el botn derecho en Plantillas de Cuota y, a continuacin, haga clic en Crear
plantilla de cuota.
Tambin ser posible crear una nueva cuota empleando este modelo predefinido.
Al implementar una regla de filtrado en una carpeta, se excluirn automticamente todos los
archivos nuevos que se correspondan con la regla creada y asignada a la carpeta. Las plantillas de
cuota agrupan plantillas predefinidas de filtrado de archivos que pueden aplicarse directamente en
un volumen o archivo:
Con una regla de filtrado es posible prohibir que se almacenen archivos de los siguientes tipos,
agrupados en la seccin Grupos de archivos:
Es posible configurar el filtrado de archivos de una carpeta o de un volumen empleando una regla de
filtrado de dos maneras distintas:
Filtrado activo: esta opcin permite impedir a los usuarios almacenar los archivos no
autorizados detallados en la regla de filtrado.
Filtrado pasivo: esta opcin permite a los usuarios almacenar los archivos no autorizados
por el administrador. La ausencia de bloqueo permite analizar el uso del almacenamiento de
los archivos con la posibilidad de editar los informes. Estos informes permiten detallar
aquellos usuarios que almacenan archivos no deseados en la red.
Las reglas de filtrado determinan as el tipo de archivos que los usuarios pueden almacenar en la
red.
Para crear un filtro de archivos que permita excluir automticamente los contenidos de tipo audio y
vdeo en el servidor de archivos, basta con realizar el siguiente procedimiento:
Haga clic con el botn derecho en Filtros de archivos y, a continuacin, haga clic en Crear
filtro de archivos.
En la ventana Crear filtro de archivos, haga clic en Examinar de la seccin Ruta de acceso al
filtro de archivos.
Para crear una plantilla de filtro de archivos que nos permita prohibir el almacenamiento de
archivos de tipo AutoCAD, bastar con seguir el procedimiento siguiente:
Haga clic con el botn derecho en Plantillas de filtro de archivos y, a continuacin, haga clic
en Crear plantilla de filtro de archivos.
En esta vista es posible ver que la plantilla de filtro llamada Bloquear archivos AUTOCAD
emplea un filtrado de tipo Activo y utiliza el grupo de archivos llamado Archivos AUTOCAD.
Una vez creada la plantilla de filtro, puede crear un filtro de archivos que emplear la plantilla
de filtro Bloquear archivos AUTOCAD. Los usuarios no podrn almacenar ningn archivo de
extensin *.dwg o *.dxf en las carpetas cubiertas por el filtro.
4. Administracin de la clasificacin
La seccin Administracin de clasificaciones de la consola Administrador de recursos del servidor
de archivos permite definir reglas de clasificacin de cara a configurar las propiedades de los
archivos o carpetas almacenados en el servidor a partir de condiciones definidas por el
administrador.
Las reglas de clasificacin: permiten examinar los datos de un servidor para modificar las
propiedades de clasificacin en funcin del contenido.
De esta forma es posible asignar una propiedad de clasificacin a un objeto almacenado si contiene,
por ejemplo, una palabra determinada. Estas propiedades de clasificacin se pueden utilizar para
otras funciones de Windows Server 2012 R2 como el control de acceso dinmico. La clasificacin de
archivos ya exista en Windows Server 2008 R2. El sistema operativo Windows Server 2012 aporta
sin embargo algunas novedades, como por ejemplo la posibilidad de personalizar el error mostrado
en la pantalla cuando un usuario no puede acceder a un recurso que posee un tipo de clasificacin
que indica que los archivos estn reservados estrictamente a la direccin.
Para poner en prctica el uso de la clasificacin de archivos podemos, por ejemplo, tomar la carpeta
C:\Compartir y crear un conjunto de archivos de texto que contengan diferentes valores. Crearemos
a continuacin un archivo de texto llamado C:\Compartir\Documentos.txt que contenga las palabras
"DIRECCIN INFONOVICE". Vamos tambin a crear una propiedad de clasificacin y una regla de
clasificacin que permita examinar los archivos de texto de la carpeta C:\Compartir. Si el examen
descubre la cadena "DIRECCIN INFONOVICE", la regla de clasificacin asignar el valor
"VERDADERO" a la propiedad de clasificacin creada.
Para crear una propiedad de clasificacin del tipo VERDADERO/FALSO para saber si el archivo
examinado contiene la frase "DIRECCIN INFONOVICE", basta con realizar el procedimiento
siguiente:
Haga clic con el botn derecho en Propiedades de la clasificacin y, a continuacin, haga clic
en Crear propiedad local.
Para crear una regla de clasificacin aplicable sobre un conjunto de datos respetando la propiedad
de clasificacin "DIRECCIN INFONOVICE", basta con seguir el procedimiento siguiente:
Haga clic con el botn derecho en Reglas de clasificacin y, a continuacin, haga clic en Crear
regla de clasificacin.
6. Desduplicacin de datos
La desduplicacin de datos es un servicio de rol del Servicio de archivos y almacenamiento. La
desduplicacin de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad. Para ahorrar espacio en el almacenamiento asignado, esta funcin elimina los duplicados
conservando una nica copia y sustituyendo los duplicados por enlaces simblicos que hacen
referencia al archivo guardado.
Para agregar este componente, basta con abrir el Administrador del servidor, hacer clic
enAgregar roles y caractersticas y, a continuacin, marcar el servicio de rol siguiente: Servicio
de archivos y almacenamiento - Servicios de iSCSI y archivo - Desduplicacin de datos.
Para instalar la desduplicacin de datos empleando PowerShell, basta con escribir el comando
siguiente:
En esta ventana, tambin es posible seleccionar las carpetas a excluir del proceso de
desduplicacin para que el contenido no sea tenido en cuenta. El botn Establecer programacin
de desduplicacin permite planificar la ejecucin del proceso en un periodo de la semana bien
definido. Tambin es posible seleccionar los das de ejecucin y la hora de inicio del proceso de
desduplicacin.
Para activar la desduplicacin empleando PowerShell, basta con escribir el comando siguiente:
c. Verificar la desduplicacin
Para validar que el proceso de desduplicacin de datos ha funcionado, basta con realizar el
procedimiento siguiente:
Verifique el tamao del archivo ALTools.exe en cada carpeta. En las propiedades del archivo, el
tamao en el disco deber ser ms pequeo que al principio.
BranchCache
BranchCache es una tecnologa de Microsoft que permite reducir el trfico de red WAN (Wide Area
Network) entre los sitios, permitiendo alojar en cach aquellos archivos que se utilicen con mayor
frecuencia.
1. Presentacin de BranchCache
La tecnologa BranchCache apareci con el sistema operativo Windows Server 2008 R2 y el cliente
Windows 7. La necesidad se ha acrecentado con el aumento de las estructuras que funcionan con
sitios remotos (sucursales, usuarios desplazados, anexos...) donde los servidores de la
infraestructura no se encuentran dentro de la empresa. Cada usuario que desea acceder a los
recursos alojados en un sitio remoto puede sufrir lentitud y problemas de velocidad a travs de una
conexin de red remota.
SMB (Server Message Block): este protocolo lo utilizan los recursos compartidos en una red
Microsoft. Cualquier recurso consultado por un usuario remoto a travs de un recurso
compartido de red puede almacenarse, potencialmente, en cach si se ha implementado
BranchCache.
BITS (Background Intelligent Transfer Service): este protocolo lo utilizan las aplicaciones (por
ejemplo: Windows Update) para transferir en segundo plano los datos de un servidor a los
clientes utilizando los momentos en los que el ancho de banda demandado es menor. Los
datos transferidos a travs del componente Windows BITS pueden almacenarse en cach en
una infraestructura BranchCache.
Cuando un usuario intenta leer el contenido de un recurso empleando uno de estos protocolos,
BranchCache se encarga de poner en cach el archivo en caso de que otro usuario de la red lo
necesite. A da de hoy, solo los clientes Windows 7, 8 u 8.1 pueden utilizar las caractersticas de
BranchCache instaladas en los servidores Windows Server 2008 R2, Windows Server 2012 o
Windows Server 2012 R2. El uso de la funcionalidad BranchCache reduce de esta forma el trfico en
las redes WAN garantizando una buena conexin entre sitios.
a. Funcionamiento de BranchCache
Los clientes que ejecuten el sistema operativo Windows 7, Windows 8 o Windows 8.1 poseen un
cliente nativo BranchCache configurado como un servicio Windows. Por defecto, este servicio se
encuentra detenido y el tipo de arranque est configurado como Manual.
Cuando se crea una directiva de grupo para activar BranchCache en los equipos cliente Windows 8
u 8.1 el servicio Windows arranca en un modo de funcionamiento de cach hospedada. Esto quiere
decir que los clientes comienzan buscando un servidor de cach en la red local. Si el servidor de
cach no existe, los clientes cambian al modo de funcionamiento de cach distribuida. Esta
configuracin automtica de los clientes Windows puede configurarse mediante una GPO para
definir previamente el modo de cach distribuida u hospedada.
b. Administracin de BranchCache
Para utilizar BranchCache en los equipos cliente, debemos primero activarlo. La activacin de esta
caracterstica se puede realizar por tres mtodos:
Directivas de grupo (GPO): bastar con editar una GPO vinculada a una UO que contenga
los equipos deseados. Los parmetros de activacin de BranchCache y configuracin del
modo de cach se encuentran en la siguiente ubicacin: Configuracin del equipo -
Directivas - Plantillas administrativas - Red - BranchCache.
Get-BCClientConfiguration
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach hospedada:
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach distribuida:
Enable-BCDistributed
Configurar un servidor para convertirse en servidor de cach y registrar el punto de
conexin de servicio (SCP - Service Connection Point) en Active Directory:
Enable-BCHostedServer -RegisterSCP
Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de cach hospedada:
No es posible aplicar los comandos netsh si alguna GPO ha configurado previamente el modo
de cach a emplear para el host definido.
Cuando los equipos cliente utilizan el modo de cach hospedada, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 80:
Deteccin del mismo nivel de BranchCache: permite la deteccin de los equipos cliente
que albergan contenido en cach empleando el protocolo WS-Discovery.
Cuando los equipos cliente utilizan el modo de cach distribuida, el administrador debe configurar
un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 3702.
Publicacin de Hash
Cuando un servidor de archivos posee el rol "BranchCache para archivos de red", es posible crear
una directiva de grupo con el objetivo de generar tablas de dispersin (hash) para los datos
compartidos (las tablas de dispersin (hash) representan informacin del contenido).
2. Modo de cach
Es posible configurar una infraestructura BranchCache segn dos modos de cach. Cach
hospedada o cach distribuida. Es posible utilizar ambos modos al mismo tiempo en una
infraestructura de red compleja, pero solo uno de los dos modos puede estar activo en cada sitio
remoto.
El modo de cach distribuida consiste en autorizar a los equipos cliente a escribir en la cach local
de su disco una copia de los recursos consultados en el servidor de archivos de la central (funciona
tambin cuando se trata de un acceso http/https a un servidor Web). Este modo de escritura en
cach no requiere un servidor de cach en el sitio remoto. No es aconsejable utilizar este modo de
la tecnologa BranchCache salvo que el sitio remoto cuente con pocos equipos de usuario.
2. El archivo solicitado por el usuario se descarga a la cach local del equipo cliente
y el usuario accede a su archivo.
3. Implementar BranchCache
Para implementar BranchCache configurando los equipos cliente de los sitios remotos para utilizar
esta tecnologa hay que configurar las directivas de grupo o ejecutar los comandos PowerShell o
Netsh en cada equipo.
Para configurar BranchCache empleando directivas de grupo, hay que editar la seccin siguiente de
la GPO: Configuracin del equipo - Directivas - Plantillas administrativas - Red - BranchCache.
Activar BranchCache.
Los equipos cliente ubicados en un sitio remoto se beneficiarn de un servidor de cach que
permite mejorar los tiempos de acceso a aquellos archivos utilizados con mayor frecuencia.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Disco de datos: 30 GB
Paso 1: en el servidor ISCSI-01, abra el Administrador del servidor y haga clic en Agregar roles
y caractersticas.
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, seleccione el tipo de
instalacin y el servidor de destino.
Paso 3: en la ventana Seleccionar roles de servidor, despliegue el rbol del rol Servicios de
archivos y almacenamiento, marque a continuacin la opcin correspondiente al servicio de
rolServidor del destino iSCSI. Cuando el pop-up Agregar caractersticas para el Servidor del
destino iSCSI aparezca, haga clic en Agregar caractersticas y haga clic en Siguiente:
Paso 6: en el panel del Administrador del servidor, haga clic en Servicios de archivos y
almacenamiento. A continuacin, seleccione iSCSI.
Paso 7: en la seccin Disco virtual iSCSI haga clic en Tareas y, a continuacin, en Nuevo disco
virtual iSCSI.
Paso 10: escriba 10 GB para el tamao del disco virtual y, a continuacin, haga clic en Siguiente:
Paso 11: seleccione Nuevo destino iSCSI y haga clic en Siguiente.
Paso 14: en la ventana Agregar id. de iniciador, seleccione la opcin Consultar el id. al equipo
de iniciador en el equipo iniciador y haga clic en Examinar.
Paso 15: en la ventana Seleccionar Equipo, escriba el nombre del servidor DC-01 y, a
continuacin, haga clic en Aceptar dos veces.
Paso 16: se genera el IQN del servidor iniciador, a continuacin haga clic en Siguiente (recuerde
apunta el IQN generado para el resto del taller).
Paso 17: en la ventana Habilitar autenticacin, haga clic en Siguiente y, a continuacin, haga
clic en Crear:
Paso 18: una vez creado el disco virtual, haga clic en Cerrar.
Repita las etapas 6 a 18 para crear el disco virtual ISCSI-02 de 10 GB con iniciador autorizado,
el servidor DC-01.
Paso 2: en la pestaa Destinos, seccin Conexin rpida, escriba el nombre del servidor de
destino (ISCSI-01), en el que los discos virtuales han sido creados, y haga clic en Conexin
rpida.
Paso 9: haga clic con el botn derecho (en la parte gris, bajo el nombre de los discos) en cada
disco virtual conectado y, a continuacin, haga clic en En lnea:
Paso 10: el estado de los discos se muestra como Sin inicializar. Haga de nuevo clic con el
botn derecho en un disco virtual y haga clic en Inicializar disco:
Paso 11: verifique que los dos discos virtuales estn seleccionados, marque a continuacin la
opcin GPT (Tabla de particiones GUID) para seleccionar el tipo de particin y haga clic
enAceptar:
Paso 12: los discos muestran ahora un estado en lnea. Haga clic con el botn derecho sobre un
disco y, a continuacin, haga clic en Nuevo volumen simple...:
Paso 13: haga clic cuatro veces en Siguiente y haga clic en Finalizar para dar formato a los
discos virtuales.
Paso 14: el disco formateado estar visible, en lo sucesivo, en el explorador de Windows y listo
para ser utilizado. Repita las etapas 12 y 13 para formatear el segundo disco virtual:
2. Implementar BranchCache
Este taller permite instalar, configurar y desplegar BranchCache utilizando el modo de cach
hospedada en una red que posee un sitio remoto. Para realizar este taller, tendr que crear la UO
INFONOVICE\Equipos para incluir aqu las cuentas de los equipos CLIENT1 y CLIENT2, y crear, a
continuacin, la UO INFONOVICE\Servidores para incluir el servidor de archivos FILES-01.
Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y haga clic
enAgregar roles y caractersticas.
Paso 2: haga clic tres veces en Siguiente, despliegue el rbol del servicio de rol de
archivosServicios de archivos y almacenamiento - Servicios de iSCSI y archivo y, a
continuacin, marque la opcin BranchCache para archivos de red. En la ventana Asistente
para agregar roles y caractersticas, haga clic en Agregar caractersticas.
Paso 1: en el servidor CACHE-01 (situado en el sitio remoto), abra el Administrador del servidor
y haga clic en Agregar roles y caractersticas.
Paso 2: haga clic cuatro veces en Siguiente, marque la opcin BranchCache y, a continuacin,
haga clic dos veces en Siguiente e Instalar:
Enable-BCHostedServer -RegisterSCP
Paso 5: verifique que el estado del servicio BranchCache es arrancado escribiendo el siguiente
comando PowerShell: Get-BCStatus
Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 6: haga doble clic en el parmetro Activar BranchCache para editarlo y, a continuacin,
marque la opcin Habilitada y haga clic en Aceptar:
Paso 7: haga doble clic en el parmetro Habilitar deteccin automtica de cach hospedada
mediante un punto de conexin de servicio para editarlo y, a continuacin, marque la
opcinHabilitada y haga clic en Aceptar:
Paso 8: cierre la consola Editor de administracin de directivas de grupo.
Paso 9: abra una ventana de smbolo del sistema en cada equipo cliente para escribir el
siguiente comando: gpupdate /force.
Este procedimiento permite configurar el modo de cach utilizado por los clientes cuando se ha
habilitado la funcionalidad BranchCache.
Paso 3: escriba Modo de cach - BranchCache en el campo Nombre y haga clic en Aceptar:
Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 7: haga doble clic en el parmetro Configurar BranchCache para archivos de red para
editarlo y, a continuacin, marque la opcin Habilitada. Introduzca el valor 0 en el campo Escribir
la latencia de red de ida y vuelta mxima tras la cual comienza el almacenamiento en
cachpara forzar a BranchCache a actualizar la cache con todos los archivos recuperados de la
red. Haga clic en Cerrar.
Paso 8: cierre la consola Editor de administracin de directivas de grupo.
Para autorizar la actualizacin en cach de una carpeta compartida, debemos activar BranchCache en
la carpeta correspondiente.
Paso 1: en el servidor de archivos FILES-01, cree una nueva carpeta llamada Compartidas en la
raz del disco C:\.
Paso 2: haga clic con el botn derecho en la carpeta compartida y haga clic en Propiedades.
Paso 4: en la ventana Uso compartido avanzado, marque la opcin Compartir esta carpeta y, a
continuacin, en Permisos.
Paso 5: marque la opcin Permitir del permiso Control total para todos y, a continuacin, haga
clic en Aceptar.
Paso 6: en la ventana Uso compartido avanzado, haga clic en Cach.
Paso 8: haga clic dos veces en Aceptar para cerrar las ventanas de las propiedades de la
carpeta compartida.
Paso 9: repita los pasos 2 al 8 en el conjunto de las carpetas compartidas que desee hacer
compatibles con la tecnologa BranchCache.
Configure el hash
Para autorizar a un servidor de archivos que utiliza la tecnologa BranchCache para generar la
informacin de contenido llamada Hash, es necesario crear previamente la siguiente directiva de
grupo y aplicarla a los servidores de archivos concernientes. Los servidores de archivos deben
moverse y ubicarse en una nueva UO llamada Servidores.
Paso 4: haga clic con el botn derecho en el objeto GPO previamente creado y haga clic enEditar.
Paso 8: en el servidor FILES-01 abra un smbolo del sistema DOS y, a continuacin, escriba el
siguiente comando gpupdate /forcey reinicie el equipo.
Paso 6: haga clic con el botn derecho en Reglas de entrada y, a continuacin, haga clic
enNueva regla.
Paso 9: en la ventana Accin, marque la opcin Permitir la conexin y, por ltimo, en Finalizar.
Paso 10: la regla aparece, a continuacin, con una marca de verificacin verde:
Paso 11: cree una nueva regla de entrada como se indica en los pasos 5 y 6. Marque la
opcinPredefinida y, a continuacin, seleccione la regla BranchCache - deteccin del mismo
nivel (usa WSD) y haga clic en Siguiente:
Paso 12: en la ventana Reglas predefinidas, verifique la informacin mostrada y haga clic
enSiguiente.
Paso 13: en la ventana Accin, marque la opcin Permitir la conexin y, a continuacin, haga
clic en Finalizar.
Paso 14: la regla aparece, a continuacin, con una marca de verificacin verde:
Paso 16: actualice las directivas de grupo en los equipos cliente ejecutando el
comando gpupdate /forcedesde un smbolo del sistema.
Validar la configuracin
El siguiente procedimiento permite simular una conexin lenta con el sitio remoto. Esta operacin solo
se debe realizar en un entorno de prueba para validar el funcionamiento de BranchCache en una
maqueta.
Paso 1: en el servidor de archivos FILES-01, escriba el comando siguiente para abrir el Editor de
directivas de grupo local: gpedit.msc.
Paso 2: despliegue el rbol de la consola desde el nodo siguiente: Configuracin del equipo -
Configuracin de Windows. Seleccione QoS basada en directiva, haga clic con el botn derecho
y haga clic en Crear nueva directiva:
Paso 3: en el campo Nombre de directiva escriba Prueba conexin lenta. Marque la
opcinEspecificar velocidad de salida del acelerador y escriba el valor 56 Kbits/s para simular
un sitio remoto conectado a la central a travs de un modem de 56K. A continuacin, haga clic
tres veces en Siguiente y por ltimo en Finalizar:
Paso 4: verifique que la directiva de QoS llamada Prueba conexin lenta aparece en la
consolaEditor de directivas de grupo local y, a continuacin, cierre la ventana:
Paso 5: en el servidor de archivos FILES-01, copie el archivo C:\Windows\System32\mmc.exe, en
la carpeta C:\Compartir creada en la etapa 6.2.5.
Paso 6: abra una sesin en el equipo CLIENT1 y navegue hasta la carpeta de red
siguiente:\\FILES-01\Compartir\
Paso 7: copie el archivo mmc.exe en el escritorio del equipo CLIENT1. Preste atencin, el archivo
tardar un momento antes de copiarse en el escritorio debido a la directiva QoS implementada en
copiar la etapa anterior.
Paso 8: inicie una sesin en el equipo CLIENT2, navegue a la carpeta de red \\FILES-
01\Compartiry copie el archivo mmc.exe en el escritorio. Comprobar que el archivo tarda menos
tiempo en copiarse.
Resumen del captulo
En este captulo hemos visto todos los aspectos relacionados con los servicios de archivos avanzados
en Microsoft Windows Server 2012 R2. Podra resumirse de la siguiente manera:
Windows Server 2012 R2 gestiona varios tipos de formato de particin, tales como ReFS o
NTFS.
BranchCache es una tecnologa que permite poner en cach los archivos ms utilizados por los
usuarios remotos.
BranchCache puede funcionar segn dos modos. El modo de cach hospedada, que necesita
un servidor de cach en el sitio remoto, o el modo de cach distribuida, que consiste en poner
en cach los archivos de manera local en el equipo cliente que haya realizado una peticin de
acceso al recurso.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 Qu es un grupo de almacenamiento?
8 Qu es un IQN?
11 Qu es un filtrado activo?
12 Qu es un filtrado pasivo?
14 Qu es la tecnologa BranchCache?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 Qu es un grupo de almacenamiento?
Un grupo de almacenamiento es una agrupacin de varios discos fsicos que permite crear discos
virtuales. El sistema operativo ver estos discos como discos lgicos y ser posible crear
particiones en ellos.
Por defecto, el servicio Iniciador iSCSI enva los comandos iSCSI a un servidor de destino
empleando el puerto 3260.
Mediante la tecnologa Microsoft Multipath I/O (MPIO), la consola Iniciador iSCSI es capaz de
gestionar 32 rutas de acceso diferentes a los servidores de destino.
La desduplicacin de datos permite buscar y eliminar los datos duplicados sin comprometer su
integridad.
8 Qu es un IQN?
Un IQN (iSCSI Qualified Name) es un nombre nico que identifica un servidor de destino o un
iniciador iSCSI. Este ltimo se genera automticamente en funcin del nombre del servidor y el
nombre DNS del dominio.
Una cuota mxima permite impedir que los usuarios superen el lmite de almacenamiento fijado
por el administrador.
Una cuota de advertencia permite a los usuarios superar el lmite de almacenamiento fijado por el
administrador con objeto de analizar el uso del espacio de almacenamiento.
11 Qu es un filtrado activo?
Un filtrado activo permite impedir a los usuarios almacenar archivos no autorizados definidos en
una regla de filtrado.
12 Qu es un filtrado pasivo?
Un filtrado pasivo permite a los usuarios almacenar los archivos no autorizados por el
administrador, pero con el objeto de analizar el uso del almacenamiento empleando los informes.
Estos informes permiten incluir aquellos usuarios que almacenan archivos no deseados en la red.
Un informe de almacenamiento permite visualizar las estadsticas de uso del servidor de archivos.
Esto permite identificar rpidamente los archivos de mayor tamao.
14 Qu es la tecnologa BranchCache?
La tecnologa BranchCache permite reducir el uso del ancho de banda poniendo en cach los
archivos que se utilizan con mayor frecuencia.
El modo de cach hospedada funciona con un servidor de cach en el sitio remoto. Cada archivo
consultado por los usuarios del sitio remoto puede alojarse en la cach del servidor de cach para
que los dems usuarios puedan acceder localmente al archivo sin tener que utilizar el ancho de
banda WAN.
El modo cach distribuida permite autorizar a los equipos cliente a almacenar en su cach local los
archivos consultados. Cada equipo cliente realiza una peticin de acceso a un archivo consultado
previamente por los compaeros de la misma red para saber si alguno posee la copia del archivo en
cach.
Requisitos previos y objetivos
1. Requisitos previos
Conocer las bases del control de acceso NTFS.
2. Objetivos
Saber configurar los recursos para el control de acceso dinmico.
1. Presentacin de DAC
La seguridad NTFS ha supuesto una revolucin en la gestin de los permisos de acceso a los
recursos de un servidor de archivos. Sin embargo, esta tecnologa se ha visto ms bien limitada para
ciertos casos concretos. En algunas grandes infraestructuras donde la seguridad es crucial, la
gestin de permisos NTFS puede considerarse insuficiente siendo demasiado restrictiva o bien
insuficiente. Por esta razn Microsoft ha creado la tecnologa de control de acceso dinmico para
aportar a los administradores herramientas adicionales que complementan a los permisos NTFS. El
DAC permite afinar los permisos de acceso a los recursos mediante un nuevo componente del
servidor.
2. Funcionamiento de DAC
El control de acceso funciona de manera conjunta con la tecnologa de gestin de permisos de
acceso NTFS (ampliamente extendida y utilizada en las anteriores versiones de Windows). En la
mayora de las empresas, los administradores configuran cada recurso modificando una lista de
control de acceso, tambin llamada ACL (Access Control List). Las ACL permiten, por ejemplo, definir
grupos o usuarios con permisos de lectura, escritura o modificacin sobre un recurso.
Para gestionar el acceso a los recursos, hay que planificar y configurar previamente una directiva de
acceso central que se aplicar a los servidores que albergarn los recursos a proteger. Esto no
exime del uso y configuracin de las tradicionales ACL provistas para la seguridad NTFS. El control de
acceso dinmico combina ambas tecnologas. Cuando un usuario solicita un acceso a los recursos de
una infraestructura que utiliza DAC, debe no solamente cumplir con las demandas impuestas por las
ACL (seguridad NTFS clsica) sino adems con las condiciones fijadas por la directiva de acceso
central configurada en el control de acceso dinmico. Si se verifican las condiciones impuestas por
ambas tecnologas, el usuario podr entonces acceder al recurso solicitado.
Adems de basarse en las ACL, el control de acceso dinmico puede tambin utilizar la informacin
de clasificacin de un objeto para autorizar o no el acceso en funcin de la directiva de acceso
central definida para el recurso. Por ejemplo, es posible autorizar el acceso a los recursos donde la
propiedad de clasificacin indique "SECRETO DEFENSA" solamente a los miembros del grupo
DIRECCIN.
Para autorizar a un usuario acceder a un recurso, el DAC se basa tambin en los servicios de
dominio Active Directory (AD DS), mediante una autenticacin Kerberos V5.
Una vez implementado el control de acceso dinmico, podemos realizar las acciones siguientes:
Permite ocultar las carpetas compartidas para que se visualicen solamente aquellas
carpetas sobre las que el usuario tiene permisos de acceso.
Permite auditar los accesos denegados sobre un recurso para saber qu usuario ha
intentado acceder.
Permite auditar el tipo de equipo o componente del equipo que ha intentado acceder o
bien accedido al recurso.
a. Notificaciones
El control de acceso dinmico puede basarse, tambin, en notificaciones de Usuario (User Claims) o
notificaciones de Equipo (Device Claims):
Por ejemplo, mediante las notificaciones especificadas en una directiva de acceso dinmico
podemos autorizar a un usuario a acceder a un archivo si pertenece al departamento
CONTABILIDAD y si su equipo tienen una particularidad especfica, como el sistema operativo u
otras caractersticas.
Una directiva de acceso central permite definir todas las condiciones de acceso a un recurso. Esta
directiva puede aplicarse sobre uno o varios archivos o carpetas.
Las directivas de acceso se crean mediante la consola de administracin ADAC (Active Directory
Administrative Center), se aplican, a continuacin, mediante GPO (Group Policy Object). Cada
directiva de acceso central contiene una o varias reglas de acceso central y cada regla contiene los
parmetros que determinan las condiciones de acceso a un recurso. Cuando se emite la directiva
de acceso central, es obligatorio configurar las propiedades del recurso a proteger. Para ello,
basta con asignar la directiva adecuada en las opciones avanzadas de la pestaa Seguridad de
las propiedades del recurso.
La creacin de una directiva de acceso central requiere la configuracin de los siguientes campos:
Miembro: permite identificar las reglas de acceso central que componen la directiva de
acceso central.
Una regla de acceso central permite definir el alcance del recurso de destino. La limitacin de los
permisos de acceso est definida mediante condiciones que validan el acceso o no a un recurso.
La creacin de una regla de acceso central requiere la configuracin de los siguientes campos:
Recursos de destino: contiene una lista de criterios que delimitan los recursos.
La seccin Permisos propuestos propone un conjunto de permisos definidos por el sistema. Estas
propuestas aleatorias respetan las mejores prcticas del fabricante y pueden aplicarse
directamente reemplazando los permisos actuales. La accin de aceptar los permisos propuestos
reemplazando los actuales no es irreversible. Es posible revertirlas en todo momento, desde la
seccin Permisos actuales.
En esta consola, el nodo Control de acceso dinmico ofrece el acceso a las siguientes opciones:
Central Access Policies: esta opcin contiene las directivas de acceso central. Cada directiva
contiene las reglas de acceso central que determinan los grupos o usuarios con acceso a los
recursos a securizar.
Central Access Rules: esta opcin contiene las reglas de acceso central que definen los
atributos de permisos de acceso a los recursos. El acceso est definido mediante condiciones
que especifican los recursos sobre los que se aplica la regla. Las reglas de acceso central se
utilizan en una directiva de acceso central.
Claim Types: esta opcin contiene los diferentes tipos de notificaciones creadas para los
usuarios o los equipos. Las notificaciones permiten, en particular, especificar los atributos de
los objetos que deseamos emplear para verificar un acceso.
Resource Properties: esta opcin contiene varias propiedades de recursos predefinidas que
se encuentran desactivadas por defecto. La lista permite responder a varios casos prcticos y
tambin es posible crear nuevas propiedades de recursos personalizadas.
Resource Property Lists: esta opcin contiene una lista de propiedades de recursos
llamadaGlobal Resource Property List. Una lista de propiedades de recursos contiene todas las
propiedades de recursos que pueden utilizarse en las reglas de clasificacin o de acceso
central.
El control de acceso dinmico puede utilizar la clasificacin de los recursos para controlar el acceso.
Se utiliza, en este caso, la consola Administracin de recursos del servidor de archivos junto a la
consola Active Directory Administration Center.
Cuando se publica una directiva de acceso central empleando directivas de grupo, es posible
verificar previamente o reparar el acceso a los recursos mediante la pestaa Acceso efectivo. Esta
pestaa es accesible desde la configuracin avanzada de los permisos NTFS de un recurso:
4. Crear una o ms reglas de acceso central. Estas reglas definen los recursos
impactados mediante las condiciones de acceso.
6. Crear y configurar una directiva de grupo (GPO) para desplegar en los servidores
de archivo afectados. Refrescar las directivas de grupo en los servidores de
archivo (gpupdate /force).
Tambin es posible emplear la consola de administracin de las clasificaciones de datos para aplicar
las directivas de acceso central automticamente a travs de varios servidores de archivos y, de
esta manera, generar informes sobre las directivas aplicadas.
Trabajos prcticos
La empresa INFONOVICE posee un servidor de archivos que almacena el conjunto de los archivos y
carpetas de la empresa. Los usuarios acceden a los recursos securizados empleando el tradicional
sistema de seguridad NTFS. El departamento de Recursos Humanos posee archivos y otro tipo de
informacin sensible para el conjunto de colaboradores. Por este motivo, se le necesita para
implementar una solucin que aporte un mayor nivel de seguridad en la integridad y el acceso a los
datos, aunque el directorio dedicado a RRHH se encuentre ya securizado con permisos NTFS. Como
administrador, es responsable de implementar un control de acceso dinmico para que solo los
usuarios del departamento de RRHH puedan tener acceso a la carpeta compartida RH_FILES. Todos
los intentos de acceso a la carpeta dedicada al departamento de RRHH debern ser auditados para
conocer la identidad de las personas a las que se haya denegado el acceso a los datos
confidenciales. Los usuarios con acceso a la carpeta compartida RH_FILES solo pueden acceder desde
aquellos equipos que pertenezcan al grupo de seguridad de dominio local GL_RH_Computers. Los
dems empleados almacenan sus archivos en un directorio compartido llamado COMN. Esta carpeta
deber estar, tambin, securizada. Los usuarios pertenecientes a la direccin de la empresa debern
poder consultar todos los documentos.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Instale y configure el servidor de archivos FILES-01 como servidor miembro del dominio
infonovice.priv, en la UO INFONOVICE\Equipos.
Edite las propiedades de las cuentas de equipo informando los campos Descripcin con RRHH para
el equipo CLIENT1 y EMPLEADOS para el equipo CLIENT2.
Cree una cuenta de usuario en la UO INFONOVICE\RRHH llamado Juan DUPONT (Login: jdupont),
miembro del grupo GG_RH_Users.
Edite las propiedades de la cuenta de usuario Juan DUPONT, vaya a la pestaa Organizacin y
en el campo Departamento indique RRHH.
Edite las propiedades de la cuenta de usuario Luis PAREDES, vaya a la pestaa Organizacin y
en el campo Departamento indique DIRECCIN.
El usuario Juan DUPONT es miembro del departamento de recursos humanos. Este usuario utiliza el
equipo CLIENT1 y debe tener acceso a la carpeta compartida RH_FILES.
El usuario Marcos LABLANCA es un simple usuario del dominio. Este usuario utiliza el equipo CLIENT2 y
no debe tener acceso a la carpeta compartida RH_FILES. Solo debe tener acceso a la carpeta
compartida COMN.
1. Configurar Kerberos
Este taller tiene como objetivo activar el soporte del controlador de dominio Kerberos para las
notificaciones, la autenticacin compuesta y la proteccin Kerberos para poder utilizar el control de
acceso dinmico.
La notificacin Usuario y Equipo aparece, ahora, en la consola Active Directory Administrative Center:
Paso 3: abra la carpeta Claim Types y, a continuacin, en la seccin Tareas del panel derecho,
haga clic en Nuevo, y seleccione Tipo de notificacin:
Paso 4: en la seccin Atributo de origen, desmarque el tipo de notificacin Usuario, marque a
continuacin, el tipo de notificacin Equipo y seleccione el atributo description. A continuacin,
haga clic en Aceptar:
Paso 4: edite la propiedad del recurso Department haciendo doble clic en ella. En la
seccinValores sugeridos, haga clic en el botn Agregar:
Paso 5: en la ventana Agregar un valor sugerido, escriba RRHH en el campo Valor y Nombre
para mostrar. A continuacin, haga clic en Aceptar:
El valor RRHH debe aparecer, a continuacin, en el filtro de bsqueda de valores sugeridos:
Paso 6: vuelva a cerrar la ventana de propiedad de recurso Department haciendo clic enAceptar.
4. Configurar la clasificacin
Este taller tiene como objetivo activar y configurar la clasificacin de los archivos y carpetas de la
carpeta compartida COMN en la que el departamento de Recursos Humanos almacena, en ocasiones,
archivos confidenciales sin darse cuenta. La implementacin de la clasificacin de datos debe permitir
identificar todos los archivos que contengan la cadena de caracteres "Recursos Humanos" para poder
clasificarlos como datos altamente confidenciales. La implementacin del control de acceso dinmico
debe de esta forma permitir securizar los datos del departamento de RRHH.
Paso 5: en la pestaa mbito, haga clic en Agregar para seleccionar la carpeta E:\COMN:
Paso 6: en la pestaa Clasificacin, seleccione Clasificador de contenido en el men
desplegable de la seccin Mtodo de clasificacin. En la seccin Propiedad, seleccione la
propiedad Confidentiality y seleccione el valor High. A continuacin, haga clic en Configurar:
Paso 7: en la pestaa Parmetros, haga clic en la lista desplegable de Tipo de expresin para
seleccionar Cadena y, a continuacin, en el campo Expresin, indique el valor Recursos
Humanos. A continuacin, haga clic en Aceptar:
Paso 8: en la pestaa Tipo de evaluacin marque la opcin Volver a evaluar los valores de
propiedad existentes y, a continuacin, marque la opcin Sobrescribir el valor existente. Haga
clic en Aceptar para validar la regla de clasificacin:
La regla de clasificacin creada aparece, a continuacin, en la consola.
Paso 10: cuando aparezca la ventana Ejecutar clasificacin, marque la opcin Ejecutar
clasificacin en segundo plano y haga clic en Aceptar.
Paso 11: edite las propiedades de cada uno de los archivos de la carpeta E:\COMN para
comprobar que la pestaa Clasificacin contiene correctamente asignada la
propiedadConfidentiality con el valor High para los archivos Privado1.txt y Privado2.txt solamente.
Paso 12: edite las propiedades de la carpeta E:\RH_FILES. Vaya a la pestaa Clasificacin,
seleccione la propiedad Department y, a continuacin, asigne el valor RRHH. Haga clic
enAceptar:
Paso 3: abra la carpeta Central Access Rules y, a continuacin, en la seccin Tareas del panel
derecho, haga clic en Nuevo y seleccione Regla de acceso central:
Paso 6: en la ventana Regla de acceso central, configure la condicin para indicar que la regla
de acceso central se aplica a los usuarios pertenecientes al departamento de RRHH y, a
continuacin, haga clic en Aceptar:
Paso 7: en la seccin Permisos, haga clic en el botn Editar.
Paso 9: en la ventana Entrada de permiso para Permisos, haga clic en Seleccionar una entidad
de seguridad y agregue el grupo Usuarios autentificados. Haga clic en Agregar una condicin,
configrela como se indica en la siguiente captura de pantalla y haga clic tres veces en Aceptar.
Paso 10: cree una nueva regla de acceso central llamada Acceso a los archivos de RRHH. En la
seccin Recursos de destino, haga clic en Editar y agregue la condicin siguiente:
Haga clic en Aceptar.
Paso 11: en la seccin Permisos, haga clic en Editar, elimine la cuenta Administrador y el
grupoTodos.
Paso 12: a continuacin, agregue el grupo Usuarios autentificados con las condiciones
siguientes:
Esta regla de acceso central, cuando se aplica a un recurso, especifica por sus caractersticas
que los miembros del grupo GG_RH_Direction pueden acceder al recurso especificado siempre
que se conecten desde un equipo perteneciente al grupo GG_RH_Computers (CLIENT1).
Paso 13: haga clic tres veces en Aceptar para validar y crear la regla de acceso central.
Paso 3: abra la carpeta Central Access Rules y a continuacin, en la seccin Tareas del panel
derecho, haga clic en Nuevo y seleccione Directiva de acceso central:
Paso 4: en la seccin General, escriba Pertenencia al departamento de RRHH en el
campo Nombrey a continuacin, en la seccin Reglas de acceso central miembros, haga clic en
el botnAgregar:
Paso 7: cree una nueva directiva de acceso central. En la seccin General, escriba Archivos de
Recursos Humanos en el campo Nombre y, a continuacin, en la seccin Reglas de acceso
central miembros, haga clic en el botn Agregar:
Paso 8: en la ventana Agregar reglas de acceso central, seleccione la regla llamada Acceso a
archivos RRHH para agregarla en esta directiva de acceso central. A continuacin, haga clic
enAceptar:
Paso 9: para crear la directiva de acceso central llamada Archivos de RRHH, vuelva a hacer clic
enAceptar.
Las dos directivas de acceso central creadas aparecen en la carpeta Central Access Policies:
7. Publicar una directiva de acceso
Este taller tiene como objetivo publicar una directiva de acceso central mediante las directivas de
grupo Active Directory.
Paso 2: despliegue el rbol de la consola hasta la UO INFONOVICE y cree una nueva directiva de
grupo llamada Control de acceso RRHH vinculada a la UO Equipos.
Paso 4: haga clic con el botn derecho en Directiva de acceso central y haga clic en Administrar
directivas de acceso central.
Paso 7: edite el parmetro Personalizar mensaje para errores de acceso denegado. Marque la
opcin Habilitada y, a continuacin, escriba el siguiente mensaje de error que se mostrar
cuando se deniegue el acceso: "No dispone de permisos de acceso para los datos del departamento
de RRHH." A continuacin, marque la opcin Permitir que los usuarios soliciten asistencia y haga
clic en Aceptar para validar:
Paso 8: edite el parmetro Permitir la asistencia de acceso denegado en el cliente para todos
los tipos de archivos. Marque la opcin Habilitada y haga clic en Aceptar.
Paso 10: inicie una sesin en el servidor FILES-01 y ejecute el comando siguiente para refrescar
las directivas de grupo: gpupdate /force
Paso 11: edite las propiedades de la carpeta compartida E:\RH_FILES. En la pestaa Seguridad,
haga clic en Opciones avanzadas y, a continuacin, en la pestaa Directiva central. Haga clic
enCambiar para seleccionar la directiva de acceso central Pertenencia al departamento de
RRHH y haga clic dos veces en Aceptar.
Paso 12: edite las propiedades de la carpeta E:\COMN. En la pestaa Seguridad, haga clic
enOpciones avanzadas y, a continuacin, en la pestaa Directiva central. Haga clic
en Cambiarpara seleccionar la directiva de acceso central Archivos de RRHH y haga clic dos
veces enAceptar.
Paso 4: una vez denegado el acceso al recurso, haga clic en Solicitar asistencia. En el campo
dedicado a la explicacin, indique que el usuario JDUPONT pertenece al departamento de RRHH y,
a continuacin, haga clic en Enviar mensaje:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos al control de acceso dinmico de
Microsoft Windows Server 2012 R2, que podemos resumir de la manera siguiente:
La implementacin requiere la creacin de una directiva de acceso central que contenga las
reglas de acceso central.
1. Preguntas
1 Qu es una notificacin?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /3
3. Respuestas
1 Qu es una notificacin?
Una notificacin permite definir el conjunto de los atributos de objeto de tipo Usuario o Equipo, que
servirn para verificar las condiciones de acceso de una regla de directiva de acceso.
Una propiedad de recurso permite aadir informacin adicional a un recurso para controlar el acceso
dinmico y gestionar el control de acceso. Una propiedad de recurso puede contener diferentes
tipos de valor con algunas selecciones mltiples.
Los permisos efectivos permiten verificar previamente los permisos de un usuario o de un grupo
en funcin de sus parmetros de pertenencia a un grupo, las notificaciones aplicadas o el puesto de
trabajo desde el que se debe acceder al recurso.
Requisitos previos y objetivos
1. Requisitos previos
Conocimiento bsico del directorio Active Directory.
2. Objetivos
Conocer los componentes de una infraestructura Active Directory.
a. Gestin administrativa
b. Particiones
Particin del esquema: una nica particin del esquema se replica en todos los
controladores de dominio del bosque.
Particin DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la particin ForestDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
a. Gestin administrativa
El conjunto de los miembros del grupo de seguridad predefinido llamado Admins. del
dominioposeen control total en el dominio. Los miembros de este grupo no tienen privilegios
administrativos en los dems dominios del bosque o en otros bosques.
b. Particiones
Particin del dominio: todos los objetos de un dominio se almacenan en la particin del
dominio en cada controlador de dominio. Los datos no se replican a otros controladores de
dominio pertenecientes a otros bosques. Mediante los objetos de dominio, es posible
vincular las directivas de grupo a un dominio, una UO o un sitio. No existe herencia de
directivas de grupo de un dominio a otro. Cada dominio posee pues sus propias directivas
de grupo.
Particin DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS
integradas en Active Directory, la particin DomainDnsZones permite replicar la zona
integrada en AD DS en el conjunto de los controladores de dominio del bosque.
3. Despliegue distribuido AD DS
La mayora de las instalaciones pueden operar con el uso de un nico servicio de dominio de Active
Directory. Agregar varios dominios a un bosque complica la implementacin y la administracin de la
infraestructura Active Directory. En varias estructuras, la implementacin de una arquitectura
compleja puede resultar beneficioso y aportar gran cantidad de funcionalidad o seguridad. Antes de
desplegar una infraestructura compleja de dominios AD DS conviene saber y conocer las distintas
topologas as como el impacto de las diferentes configuraciones dentro del bosque.
Al comprar una empresa, puede resultar til integrar el parque informtico recin adquirido
como un nuevo bosque a la infraestructura Active Directory existente. Esto permite evaluar
mejor el permetro de cara a preparar una fusin de Active Directory.
Facilitar la replicacin Active Directory cuando una empresa posee sitios remotos
interconectados a la sede central mediante una conexin lenta. Agregar un dominio
suplementario para cada uno de los sitios remotos permite mejorar los procesos de
autenticacin de los usuarios que se conectarn de manera local en el dominio vinculado a
su sitio. De esta forma, solo las replicaciones AD entre los dominios padres e hijos tendrn
lugar a travs del vnculo WAN.
No se recomienda actualizar un controlador de dominio a Windows Server 2012 R2. Para respetar
las buenas prcticas, la operacin consiste en integrar los nuevos controladores de dominio con el
sistema operativo Windows Server 2012 R2 en la infraestructura existente. Una vez que los
controladores de dominio estn operativos, podemos eliminar los servidores con sistemas
operativos obsoletos sin problema alguno (con la condicin de transferir previamente los roles
FSMO a los controladores de dominio que ejecuten Windows Server 2012 R2). Si ningn
controlador de dominio de la infraestructura Active Directory ejecuta el sistema operativo Windows
Server 2012 R2, habr que actualizar el esquema del bosque antes de promover el controlador de
dominio. La herramienta adprep.exe (disponible en el DVD de instalacin de Windows Server 2012
R2 en la carpeta \Support\adprep) permite actualizar el esquema de Active Directory manualmente.
Antes de implementar los controladores de dominio Windows Server 2012 R2 en un entorno
existente, hay que verificar que el nivel funcional del dominio sea al menos Windows Server 2008
porque los niveles funcionales anteriores no estn soportados.
Antes de realizar una actualizacin de los controladores de dominio conviene verificar los
siguientes elementos:
Verificar que el esquema del directorio Active Directory no ha sufrido muchas modificaciones
manuales diferentes de las aportadas por los productos Microsoft para evitar problemas con
identificadores de objeto (Object ID) cuando extendamos el esquema con la herramienta
Adprep.exe. Si ste fuera el caso, habr que probar la extensin del esquema previamente
en un entorno de pruebas para validar el procedimiento.
Verificar que el nivel funcional del dominio sea al menos Windows Server 2008.
Contar con servidores miembro del dominio corriendo bajo el sistema operativo Windows
Server 2012 R2.
Una vez verificados los requisitos previos, es importante realizar una prueba en un entorno de
verificacin. Si el entorno de la maqueta no se corresponde completamente a la realidad de su
parque informtico, no podr jamas validar el buen funcionamiento de la extensin del esquema
del directorio Active Directory, y no estar libre de posibles problemas.
Identifique los servidores que alberguen los roles FSMO empleando el comando: netdom
query fsmo
Utilice el DVD-ROM de instalacin para efectuar la extensin del esquema de Active Directory
empleando los comandos siguientes en este orden:
adprep /gpprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro
de infraestructura)
Promueva los servidores miembro bajo Windows Server 2012 R2 a controladores de dominio.
Transfiera los roles FSMO a los controladores de dominio Windows Server 2012 R2.
Cuando se hayan completado todas las acciones, los controladores de dominio con sistemas
operativos anteriores a Windows Server 2012 R2 pueden ser degradados.
Una vez que el conjunto de los controladores de dominio ejecuten el sistema operativo Windows
Server 2012 R2, podr aumentar el nivel funcional del dominio a Windows Server 2012 R2.
La migracin Active Directory consiste en desplazar los objetos de un dominio A (dominio fuente) a
un dominio B (dominio de destino). Los objetos migrados corresponden a las cuentas de equipo,
cuentas de usuario, cuentas de servicio o los grupos de seguridad. La necesidad de migrar los
datos puede intervenir en diferentes situaciones tales como una reestructuracin de la
infraestructura Active Directory existente (consolidacin) o la compra de una nueva empresa
(fusin).
Para facilitar la migracin de los recursos de un dominio a otro, Microsoft pone a disposicin de los
administradores una herramienta gratuita llamada ADMT (Active Directory Migration Tool). Esta
herramienta garantiza la migracin de los recursos entre los dominios Active Directory del mismo
bosque (migracin intra-bosque) o bosques independientes (migracin inter-bosque). Es posible
utilizar ADMT empleando una interfaz grfica o por lnea de comandos, lo que permite automatizar
las tareas de migracin.
Antes de realizar una migracin empleando la herramienta ADMT es importante respetar los
siguientes requisitos previos:
Configurar los servidores DNS para que los dominios fuente y de destino puedan resolver
los nombres de dominio asociados (posibilidad de crear reenviadores condicionales en los
servidores DNS).
Configurar las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Preparar un entorno de maqueta para realizar las pruebas de migracin y de esta forma
validar los procedimientos de migracin y vuelta atrs.
Configurar los Firewall de los dominios fuente y de destino para autorizar la comparticin de
archivos e impresoras en la red.
Configurar los dominios fuente y de destino para activar el soporte del atributo SID-History
de los objetos migrados. Este atributo permite a los usuarios migrados conservar sus
accesos a recursos del dominio fuente. Una vez migrados al dominio de destino, los objetos
obtendrn un nuevo SID que no podr ser gestionado en el dominio fuente.
Una vez cumplidos estos requisitos previos es importante migrar los recursos por lotes, con el fin
de reducir el impacto ocasionado por un posible error. Los grupos de seguridad globales deben ser
migrados antes que las cuentas de usuario y dems recursos (servidores o cuentas de equipo).
Verifique los requisitos previos ADMT y configure los permisos de administracin en los dos
dominios.
Cree las relaciones de confianza bidireccional entre los dominios fuente y de destino.
Una vez migrados todos los recursos, es posible degradar los controladores de dominio del
dominio fuente.
d. Relaciones de confianza
Las relaciones de confianza de Active Directory permiten autorizar a los usuarios de otro dominio o
bosque para acceder a los recursos internos de la empresa. Por defecto, durante la creacin de un
subdominio o de dominios pertenecientes a un mismo bosque, se crean automticamente
relaciones de confianza transitivas para autorizar a los usuarios a autenticarse en los dominios del
mismo bosque. Cuando un administrador desea conceder un acceso a los recursos del dominio
para los usuarios de otro bosque, se debe crear manualmente una relacin de confianza no
transitiva. Para limitar el trfico y las peticiones entre dominios de un mismo bosque, se pueden
crear manualmente relaciones de confianza directa llamadas abreviadas para conceder el acceso a
los recursos. Al agregar un nuevo rbol de dominio al bosque se crea automticamente una
relacin de confianza transitiva.
Antes de crear relaciones de confianza, conviene saber que existen diferentes tipos de relaciones
de confianza con distintos tipos de transitividad y distintas direcciones que indican el sentido de la
confianza.
El tipo de confianza
El tipo de confianza permite definir la relacin de aprobacin que puede existir entre dos bosques.
Existen dos tipos de confianzas:
Confianza externa: este tipo de confianza no es transitiva, lo que significa que los usuarios
del dominio raz de cada bosque no pueden acceder a los recursos del dominio raz del otro
bosque. Al no ser transitiva la relacin de confianza, los dominios secundarios del bosque
no pueden aprobar a los dominios de un bosque externo.
Confianza de bosques: este tipo de confianza es transitiva, lo que significa que los usuarios
del dominio raz de cada bosque pueden acceder a los recursos del dominio raz del otro
bosque:
La direccin de la confianza
La direccin de la confianza indica el sentido en el que deben aprobarse los dominios
correspondientes (bidireccional o unidireccional). Para autorizar a los usuarios de un dominio a
acceder a los recursos de otro dominio, siempre hay que pensar que la relacin de confianza se
realiza en el sentido del dominio de los recursos hacia el dominio de las cuentas de usuario. El
sentido de la relacin de confianza es pues muy importante.
En los siguientes esquemas, la flecha negra indica el sentido de la confianza y las dems flechas
indican el sentido de acceso a los recursos por los usuarios.
Bidireccional: los usuarios de cada dominio pueden acceder respectivamente a los recursos
del otro dominio.
Unidireccional de entrada: los usuarios del dominio A pueden acceder a los recursos del
dominio B.
Unidireccional de salida: los usuarios del dominio B pueden acceder a los recursos del
dominio A.
Por defecto, al crear una relacin de confianza entre un dominio y un bosque externo, el filtrado de
los SID de seguridad se activa para evitar cualquier suplantacin de identidad. Todo objeto de
grupo (con la excepcin de los grupos de difusin), equipo o usuario de Active Directory posee un
atributo SID. Durante una migracin de recursos de un dominio a otro, las cuentas migradas
conservan sus atributos de seguridad SID correspondientes al dominio de origen. El SID del
dominio origen se convierte automticamente en el atributo SID-History para adquirir un nuevo SID
correspondiente al dominio de destino. Si el filtrado de los SID est activado en el dominio de
destino, no se conservar el atributo SID-History porque las referencias del atributo no
correspondern al dominio Active Directory. Para que los usuarios migrados puedan continuar
utilizando los recursos del dominio de origen hay que desactivar el filtrado de los SID.
Preste atencin, si un administrador crea una relacin de confianza entre dos bosques con el
objetivo de implementar una autenticacin con Kerberos, la sincronizacin temporal de los
dominios correspondientes no puede superar un desfase de 5 minutos.
El enrutamiento de sufijo de nombre permite agregar los nombres de sufijo (tambin llamados
sufijos UPN: User Principal Name) como complemento a las cuentas de usuario. De esta forma, el
administrador puede definir en las propiedades de una cuenta de usuario el nombre del sufijo a
emplear para verificar un inicio de sesin en el dominio. Este nombre de sufijo puede ser diferente
de su nombre de dominio. Al igual que una direccin de correo electrnico, un sufijo de nombre se
puede escribir de la siguiente manera: login@<Nombre del dominio>.
Por defecto, cuando editamos las propiedades de una cuenta de usuario, solo el sufijo de nombre
correspondiente al nombre de dominio aparece en la lista desplegable:
Mediante el sufijo de nombre, un usuario puede iniciar sesin en el dominio indicando su login de
conexin seguido del nombre de sufijo autorizado para su cuenta.
Para agregar sufijos de nombre adicionales, basta con realizar las siguientes etapas:
Haga clic con el botn derecho en Dominios y confianzas de active Directory (en la raz de
consola) y haga clic en Propiedades.
Para realizar los siguientes trabajos prcticos deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Paso 1: inicie una sesin en el servidor DC-03 que es miembro del dominio infonovice.priv y a
continuacin, en el Administrador del servidor, haga clic en Agregar roles y caractersticas.
Paso 5: en los roles de servidor, marque la opcin correspondiente al rol Servicios de dominio
de Active Directory, a continuacin haga clic en Agregar caractersticas de la ventana
emergente que aparece, y haga clic en Siguiente:
Paso 6: en la ventana Seleccionar caractersticas, haga clic en Siguiente.
Paso 10: haga clic en el signo de exclamacin del panel triangular amarillo y, a continuacin,
haga clic en Promover este servidor a controlador de dominio:
Paso 14: en la ventana Opciones del controlador de dominio, deje las opciones por defecto y, a
continuacin, escriba la contrasea DSRM (P@ssw0rd) y haga clic en Siguiente:
Paso 15: en la ventana Opciones de DNS, verifique que la informacin de identificacin indicada
para la creacin de una delegacin se corresponde a la cuenta Administrador del dominio
INFONOVICE y haga clic en Siguiente:
Paso 16: en la ventana Opciones adicionales, verifique que el nombre NETBIOS que aparece se
corresponde con el dominio USA y haga clic en Siguiente.
Paso 17: en la ventana Rutas de acceso, deje las opciones por defecto y haga clic
en Siguiente(en entornos de PRODUCCIN, es recomendable especificar una particin dedicada
para cada ubicacin de los elementos de la base de datos AD DS, archivos de registro y directorio
SYSVOL).
Paso 19: en la ventana Comprobacin de requisitos previos, haga clic en Instalar (en este
punto, verifique que no aparece ningn error en el resumen).
Paso 20: tras el reinicio, podemos constatar que el servidor DC-03 se ha promovido
correctamente controlador de dominio en el subdominio usa.infonovice.priv.
Paso 2: despliegue el rbol de la consola Dominios y confianzas de Active Directory, haga clic
con el botn derecho en el dominio infonovice.priv y, a continuacin, haga clic en Propiedades.
Paso 5: en la ventana Nombre de confianza escriba oxylive.local (que corresponde al nombre del
dominio al que queremos dar confianza) en el campo Nombre. A continuacin, haga clic
enSiguiente:
Paso 12: en la ventana Se ha completado la seleccin de confianzas, haga clic dos veces
enSiguiente.
Paso 15: en la ventana Finalizacin del Asistente para nueva confianza, haga clic
en Finalizary, a continuacin, haga clic en Aceptar para cerrar la ventana emergente de
informacin sobre la activacin del filtrado de identificador de seguridad (SID).
Paso 16: podemos en adelante constatar, en la pestaa Confianzas de las propiedades del
dominio infonovice.priv, que la relacin de confianza externa con el dominio oxylive.local se ha
creado correctamente. La relacin de confianza no es transitiva porque se trata de un tipo de
aprobacin de bosque externo:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la implantacin distribuida de
Active Directory en Microsoft Windows Server 2012 R2. Podramos resumirlo de la manera siguiente:
Una infraestructura Active Directory se encuentra organizada jerrquicamente con una gestin
administrativa que incluye bosques y dominios.
Las relaciones de confianza permiten autorizar a los usuarios externos para acceder a los
recursos internos del dominio.
1. Preguntas
1 Cul es el nombre del grupo de usuarios que poseen permisos de administracin con control
total sobre todos los objetos del bosque?
4 Qu herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
6 Qu consola de administracin permite personalizar los sufijos UPN de los usuarios del
dominio?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /7
3. Respuestas
1 Cul es el nombre del grupo de usuarios que poseen permisos de administracin con control
total sobre todos los objetos del bosque?
El grupo integrado Administradores de empresas posee control total sobre el conjunto del bosque.
Cuando una infraestructura Active Directory no cuenta con ningn controlador de dominio que
emplee el sistema operativo Windows Server 2012 R2, es imperativo actualizar el esquema antes
de integrar el primer controlador de dominio bajo Windows Server 2012 R2. El administrador utiliza
entonces la herramienta ADPREP.exe, disponible en la carpeta \Support\adprep del DVD de
instalacin.
4 Qu herramienta permite migrar los objetos de Active Directory y los recursos de un dominio
a otro?
La herramienta de migracin ADMT (Active Directory Migration Tools) permite migrar los recursos
de un dominio fuente a un dominio de destino. Esta herramienta est disponible de forma gratuita
en el sitio de Microsoft.
El historial de SID (SID-History) es un atributo asociado a una cuenta de usuario. Cuando se migra
una cuenta de usuario de un dominio a otro, este ltimo conserva el atributo SID de su cuenta
inicial en el atributo SID-History de su nueva cuenta de usuario en el nuevo dominio. Esta accin
tiene como objeto conservar los permisos de acceso a los recursos del dominio original que no han
sido todava migrados.
6 Qu consola de administracin permite personalizar los sufijos UPN de los usuarios del
dominio?
La consola Dom inios y confianzas de Activ e Directory permite personalizar los sufijos UPN
disponibles para el conjunto de los usuarios del dominio. Basta con editar las propiedades del nodo
raz de la consola para agregar los sufijos UPN.
Una relacin de confianza consiste en autorizar a los usuarios de un dominio para acceder a los
recursos de otro dominio.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los servicios de dominio Active Directory.
2. Objetivos
Comprender los sitios Active Directory.
Una red fuertemente conectada representa un sitio de Active Directory donde las
replicaciones de los cambios aportados a Active Directory son instantneas.
Una red menos fuertemente conectada estara representada por conexiones lentas, menos
fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de
red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sera posible
realizar por la noche la replicacin de las particiones del directorio entre dos sitios para no
interferir con el trfico de los usuarios y penalizar la calidad de servicio en entornos con
anchos de banda reducidos. Hablamos de una conexin lenta cuando su ancho de banda es
inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la
red. De esta forma, un usuario conectado a un sitio donde la conexin con la sede central sea
lenta se ver obligado a conectarse a un controlador de dominio de su sitio.
Los sitios
La programacin de replicacin
La ubicacin de los servicios permite a los clientes de un sitio localizar el controlador de dominio
ms cercano a su ubicacin geogrfica, o un servicio de red prximo a su sitio, con el objetivo de
utilizar los recursos de su sitio en lugar de solicitar recursos de un sitio remoto.
Los sitios de Active Directory ayudan a localizar los servicios, incluyendo aquellos proporcionados
por los controladores de dominio. Durante el inicio de sesin, los clientes de Windows se redirigen,
automticamente, a un controlador de dominio de su sitio. Si no se encuentra disponible ningn
controlador de dominio en el sitio, se les redirige hacia el controlador de dominio de otro sitio que
ser capaz de identificarles.
Para que un usuario identifique los recursos disponibles en su sitio, el equipo cliente efecta una
peticin DNS para consultar el conjunto de registros de tipo SRV. Un registro SRV permite indicar
qu servidor ofrece un servicio en la red:
Cada servidor que se une a un dominio anuncia los servicios creando registros DNS
llamadosUbicacin de servicio o registro SRV.
Mediante los sitios, los usuarios contactan con los servidores del sitio que disponen del servicio
adecuado.
2. Los sitios
Durante la creacin del primer dominio de un bosque, los servicios de dominio Active Directory crean
automticamente un sitio por defecto llamado Default-First-Site-Name (es recomendable renombrar
el sitio por defecto para darle un nombre ms representativo).
Tambin es recomendable crear un sitio para una parte de la red que albergue al menos un
controlador de dominio o un servicio de recursos DFS replicado.
Para definir un sitio, hay que crear un objeto de clase Site. Este objeto es un contenedor que
permite gestionar la replicacin entre controladores de dominio.
3. Las subredes
Las subredes permiten a los clientes saber a qu sitio pertenecen en funcin de su direccin IP. Es
importante definir cada subred IP (IPv4 o IPv6) como un objeto de tipo subred Active Directory (LAN,
WAN, VPN). Si la direccin IP de un cliente no est comprendida en el rango de direcciones de una
subred, el cliente no ser capaz de determinar a qu subred pertenece y esto puede acarrear
problemas de rendimiento.
Un sitio es solo til cuando los clientes y los servidores saben a qu sitio pertenecen. Para conseguir
esto, la direccin IP del equipo cliente debe estar asociada a un sitio existente, y son los objetos de
clase subred los que permiten establecer esta asociacin. Por tanto debemos definir previamente las
subredes de cada sitio.
Una subred est asociada a un sitio. Cuando un cliente se conecta al dominio, se identifica de
inmediato con su direccin IP para ser redirigido a un controlador de dominio de su sitio. Los objetos
de tipo Subred se almacenan en la particin de configuracin del
directorio:CN=Subnet,CN=Schema,CN=Configuration,DC=<Dominio raz del
bosque>
Un sitio puede poseer varias subredes. Las conexiones VPN deben definirse, tambin, en los objetos
de subred.
Como recordatorio, cuando una empresa tiene una infraestructura de Active Directory con varios
dominios, un servidor de catlogo global tiene una rplica de los objetos de los otros dominios. De
esta forma, un usuario de un dominio A podr efectuar una bsqueda de un objeto situado en un
dominio B consultando un servidor de catlogo global de su dominio:
Para definir un controlador de dominio como servidor de catlogo global, basta con abrir la
consolaSitios y servicios de Active Directory, editar las propiedades del objeto NTDS Settings
asociado al controlador de dominio que se va a configurar y marcar la opcin Catlogo global.
Los servidores de catlogo global tienen una utilidad muy importante en una infraestructura
multisitio.
Todos los sitios pertenecientes al mismo vnculo de sitio pueden replicarse entre s gracias a la
topologa de replicacin calculada automticamente.
Por defecto cuando creamos un bosque, el objeto vnculo de sitios DEFAULTIPSITELINK se crea en
el complemento Sitios y servicios de Active Directory. En una estructura Active Directory compuesta
de varios sitios se recomienda crear manualmente los vnculos de sitios que reflejen la topologa
fsica de la red.
Por defecto, todos los vnculos de sitios creados automticamente por la topologa de replicacin
son transitivos, lo que significa que estn interconectados para aumentar la tolerancia a fallos
relacionados con la replicacin. Para desactivar la transitividad de los vnculos de sitios
automticos, basta con deshabilitar la opcin Enlazar todos los vnculos a sitios en las
propiedades del nodo vinculado al protocolo de transporte IP: Sites\Inter-Site Transport\IP.
Si la transitividad de los vnculos de sitios se encuentra deshabilitada, el administrador debe
entonces configurar manualmente los vnculos de sitios para obtener una ruta de replicacin vlida
en caso de error o prdida de contacto con uno de los sitios, hablamos entonces de creacin de
puentes de sitios.
Durante la edicin de las propiedades de un vnculo de sitios, podemos configurar las opciones
siguientes:
La descripcin.
La programacin de la replicacin.
La descripcin del vnculo de sitios es una informacin disponible para los administradores de la
infraestructura Active Directory. Permite identificar claramente un vnculo de sitios y conocer su
utilidad en el caso de una topologa de replicacin compleja.
Los costes del vnculo de sitios se utilizan para gestionar el trfico de replicacin. Los costes ms
altos se utilizan para enlaces lentos y los costes ms bajos para enlaces rpidos. Por defecto,
todos los vnculos estn configurados con un coste con el valor 100.
La replicacin entre sitios se basa en la exploracin, no hay notificacin de cambios para iniciar el
proceso de replicacin. De manera predeterminada, cada 3 horas (180 minutos) un servidor
cabeza de puente interrogar a sus asociados de replicacin para determinar si existen
modificaciones disponibles. Podemos modificar este valor para reducir el intervalo de exploracin,
sabiendo que el valor mnimo es de 15 minutos.
La programacin de la replicacin del vnculo de sitios permite indicar la franja horaria autorizada
para la exploracin y la replicacin entre sitios.
Los vnculos de sitios deben poseer al menos dos sitios para poder ser creados.
7. Los puentes de sitio
Los puentes de sitio permiten crear manualmente vnculos entre sitios transitivos cuando la creacin
de vnculos automtica est desactivada. Cada vnculo de sitios posee entonces un controlador de
dominio servidor haciendo de cabeza de puente.
Cada sitio puede estar configurado para disponer de un servidor cabeza de puente que replicar los
datos a un servidor cabeza de puente de otro sitio. La creacin de un puente de sitio se hace a
travs de la consola Sitios y servicios de Active Directory, en el contenedor Inter-Site Transports \
IP:
Trabajos prcticos
La empresa INFONOVICE posee un sitio en Madrid y otro en Len, y desea configurar los sitios de
Active Directory para que los usuarios de cada ciudad puedan identificar los recursos de sus sitios.
Para ello, solicitan sus servicios para configurar los controladores de dominio empleando la consola
Sitios y servicios de Active Directory para que los clientes puedan identificar su sitio de pertenencia.
Los sitios estn conectados empleando un enlace de alta velocidad. Para evitar cualquier problema de
prdida de comunicacin con el servidor de catlogo global del sitio de Len, activar la funcionalidad
de actualizacin en cach de los grupos universales.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Paso 2: despliegue el rbol de la consola para seleccionar el sitio por defecto llamado Default-
First-Site-Name.
Paso 3: haga clic con el botn derecho en el sitio por defecto y, a continuacin, haga clic
enCambiar nombre. Escriba Madrid y valide la modificacin:
Paso 2: en el rbol de la consola, haga clic con el botn derecho en la carpeta Sites y, a
continuacin, haga clic en Nuevo sitio - Sitio.
Paso 3: en la ventana Nuevo objeto: Sitio, escriba Len en el campo Nombre. A continuacin,
seleccione el objeto de vnculo a sitios llamado DEFAULTIPSITELINK y haga clic en Aceptar:
Paso 4: la siguiente ventana le informa sobre las mejores prcticas a seguir despus de la
creacin de un objeto Sitio. Lalas y haga clic en Aceptar:
Paso 2: despliegue el rbol de la consola para desarrollar los nodos Sites, Madrid y Servers.
Aparece el conjunto de controladores de dominio porque el sitio Madrid era previamente el sitio
por defecto:
Paso 3: haga clic con el botn derecho en el controlador de dominio DC-02 y haga clic en Mover.
4. Crear subredes
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 3: a continuacin, haga clic con el botn derecho en la carpeta Subnets y haga clic
enNueva - Subred.
Paso 6: haga de nuevo clic con el botn derecho en la carpeta Subnets y haga clic en Nueva -
Subred.
Paso 2: despliegue el rbol de la consola para desarrollar el nodo Sites - Len - Servers - DC-
02.
Paso 4: en la ventana Propiedades: NTDS Settings, verifique que la opcin Catlogo globalest
seleccionada y, a continuacin, haga clic en Aceptar:
El controlador de dominio DC-02 est, ahora, configurado para actuar como catlogo global en el
sitio de Len.
6. Configurar la cach
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 3: en la parte derecha de la ventana Sitios y servicios de Active Directory, haga clic con
el botn derecho en NTDS Site Settings y haga clic en Propiedades:
Paso 4: en la ventana Propiedades: NTDS Site Settings, marque la opcin Habilitar cach de
pertenencia al grupo universal. En la lista desplegable, especifique la actualizacin de la cach
desde Madrid y, a continuacin, haga clic en Aceptar:
Los sitios Active Directory son objetos del directorio almacenados en la particin de
configuracin.
Los sitios ayudan a los clientes a autenticarse en un controlador de dominio de su mismo sitio.
El catlogo global contiene un juego de atributos parcial de los objetos del bosque.
La consola Sitios y servicios de Active Directory permite gestionar los sitios y vnculos de sitio.
Un vnculo a sitio contiene varios sitios que estn autorizados a replicarse entre s.
1. Preguntas
1 En qu particin del directorio se almacenan los objetos Sitios?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /8
3. Respuestas
1 En qu particin del directorio se almacenan los objetos Sitios?
El complemento Sitios y servicios de Active Directory permite gestionar los objetos Site. Este
complemento se encuentra en la carpeta %SYSTEMROOT%\System 32\dssite.m sc
Los objetos Subred estn almacenados en la particin Configuration del directorio en la ubicacin
siguiente: CN=Subnet,CN=Schem a,CN=Configuration,DC=<Dom inio raz del bosque>
Para configurar un controlador de dominio como servidor de catlogo global hay que abrir la consola
Sitios y servicios de Active Directory, editar las propiedades NTDS Settings asociado al objeto de
servidor, y marcar la opcin Catlogo global.
Un vnculo de sitio debe poseer al menos dos sitios para poder ser creado.
La funcionalidad UGMC (Universal Group Membership Caching) permite almacenar en cach los
datos de pertenencia a grupos universales. sta permite autorizar la autenticacin de usuarios
cuando ningn servidor de catlogo global est disponible.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los servicios de dominio Active Directory.
2. Objetivos
Comprender la replicacin de Active Directory.
Configuracin: contiene los objetos que representan la estructura lgica del bosque - los
dominios - y la topologa fsica - los sitios, las subredes y los servicios.
Esquema: define las clases de objeto y sus atributos, que pueden estar contenidos en la
base de datos de Active Directory.
Particin de esquema
Particin de configuracin
Particin de dominio
Particin de aplicacin
Los servicios de dominio Active Directory son responsables de mantener actualizados los datos
contenidos en cada controlador de dominio implementando una topologa de replicacin que
encargar a los controladores de dominio replicar las particiones modificadas que se encuentran en
los controladores de dominio configurados en la topologa de replicacin. Los controladores de
dominio se convierten en asociados de replicacin. Este conjunto de rplicas entre los controladores
de dominio aporta un gran nivel de tolerancia a fallos. Si algn controlador de dominio se quedara,
sbitamente, sin servicio, tanto la autenticacin de los usuarios como la gestin de los permisos
dentro del dominio seguiran funcionando, porque los asociados de replicacin todava en lnea
contienen, tambin, una copia de la base de datos Active Directory.
a. Programacin de la replicacin
Como mencionamos previamente, cada controlador de dominio conserva y mantiene una copia
actualizada de la base de datos Active Directory pero, cmo saber cundo y qu replicar?
Una infraestructura de replicacin de varios maestros implica que cualquier controlador de dominio
de escritura puede forzar una replicacin cuando se modifica su contenido. Para saber si ha tenido
lugar algn cambio en el dominio, los controladores de dominio interrogan peridicamente a sus
asociados de replicacin para saber si la replicacin es necesaria o no (Polling).
Para sitios conectados mediante enlaces de baja velocidad, puede ser imperativo reducir el trfico
de replicacin Active Directory autorizando a los controladores de dominio a escrutar las
actualizaciones de sus asociados de replicacin en una franja horaria donde la tasa de actividad
de los usuarios sea inferior. Solo las actualizaciones importantes, como la modificacin de una
contrasea, podrn generar una replicacin inmediata entre los diferentes asociados de la
topologa de replicacin.
b. Topologa de replicacin
Por defecto, los servicios de dominio Active Directory crean automticamente la topologa de
replicacin. Cuando un administrador agrega un controlador de dominio, el objeto que representa
la cuenta de equipo del servidor se agrega automticamente en la consola Sitios y servicios de
Active Directory. Para construir la topologa de replicacin, los servicios de dominio Active
Directory utilizan el componente Comprobador de coherencia (KCC, Knowledge
ConsistencyChecker) que crea automticamente un objeto de conexin en la consola Sitios y
servicios de Active Directory para indicar los diferentes asociados de replicacin de los
controladores de dominio. Esto permite saber en qu controladores de dominio replicar los datos.
Si se elimina algn controlador de dominio, el comprobador de coherencia actualiza los objetos de
conexin reorganizando dinmicamente la topologa de replicacin.
Cuando dos sitios de una infraestructura intercambian datos, la topologa de replicacin Active
Directory (KCC) emplea una ruta lgica para replicar los datos. Cada sitio se encuentra lgicamente
conectado a otro sitio a travs de un controlador de dominio que se encargar de replicar los
datos entre los sitios.
Si la infraestructura Active Directory est compuesta de varios sitios, una topologa de replicacin
entre sitios (ISTG: Inter Site Topology Generator) se despliega para que cada sitio pueda encontrar
una ruta de replicacin a travs de un controlador de dominio perteneciente a otro sitio. El
generador de topologa entre sitios crea automticamente los objetos de conexin para crear las
rutas de replicacin Active Directory.
DS-RPC (Directory Service Remote Procedure Call): DS-RPC aparece en el complemento Sitios
y servicios de Active Directory bajo la forma IP. IP se utiliza en toda replicacin entre
sitios y es el protocolo preferido por defecto por la replicacin entre sitios.
ISM-SMTP (Inter Site Messaging - Simple Mail Transfer Protocol): este protocolo solo se utiliza
cuando las conexiones entre los sitios no son fiables o no estn siempre disponibles. La
implementacin de una autoridad certificadora permite la securizacin del trfico de
replicacin en las redes no fiables. El inconveniente de utilizar el SMTP en una topologa de
replicacin es que este ltimo no puede utilizarse para replicar el contexto de nomenclatura
del dominio. Por este motivo, la replicacin Active Directory empleando el protocolo SMTP en
el conjunto de los controladores de dominio de la empresa debe asegurarse en un dominio
separado. Muy pocas organizaciones utilizan el protocolo SMTP para la replicacin Active
Directory debido a la carga administrativa requerida para configurar y gestionar una
autoridad de certificacin (CA).
En una topologa de replicacin, no puede haber ms de tres saltos. Esto permite optimizar la
replicacin y limitar el trfico en la red. En una red compuesta de 3 a 5 controladores de dominio, a
razn de cerca de 15 segundos de espera por salto, una modificacin en Active Directory se
replicar en menos de un minuto.
Para visualizar la topologa de replicacin, basta con realizar los siguientes pasos:
Desde el Administrador del servidor, abra la consola Sitios y servicios de Active Directory.
c. Objetos de conexin
Cuando un administrador edita un objeto de conexin, puede modificar los elementos siguientes:
La programacin
El asociado de replicacin
El campo Contextos de nomenclatura replicados indica las particiones que se replicarn en el
asociado de replicacin. Encontramos, en particular, las particiones de:
Esquema
Configuracin
ForestDnsZone
DomainDnsZone
El botn Cambiar programacin permite especificar las franjas horarias autorizadas para realizar
una replicacin Active Directory entre los asociados de replicacin del objeto de conexin
especfico:
El botn Cambiar de la seccin Replicar desde permite especificar el controlador de dominio sobre
el que se replicarn los datos Active Directory:
Haga clic con el botn derecho en el objeto de conexin generado por el comprobador de
coherencia y haga clic en Replicar ahora:
Haga clic con el botn derecho en NTDS Settings, haga clic en Todas las tareas y, a
continuacin, en Comprobar la topologa de replicacin.
Haga clic con el botn derecho en NTDS Settings, haga clic en Nuevo y, a continuacin,
despliegue en Conexin.
El nuevo objeto de conexin aparece, ahora, en la consola Sitios y servicios de Active Directory:
d. Replicacin a los RODC
Una infraestructura Active Directory utiliza un sistema de replicacin de varios dominios, debido a
que un administrador puede crear o modificar objetos en cualquier controlador de dominio y los
cambios se replican en otros controladores de dominio. Un controlador de dominio de solo lectura
(RODC) no puede ser alterado por un administrador. Esto no impide al comprobador de coherencia
(KCC) crear objetos de conexin destinados a replicar los datos de un controlador de dominio de
escritura sobre un controlador de dominio de solo lectura. En este caso particular, el comprobador
de coherencia crear una topologa de replicacin unidireccional para actualizar los controladores
de dominio de solo lectura.
Sin embargo, a veces ocurre que una operacin necesita una escritura en la base de datos Active
Directory. En este caso, el controlador de dominio de solo lectura transfiere la solicitud de escritura
a un controlador de dominio en escritura. Una vez realizada la modificacin, el controlador de
dominio que haya realizado el registro replica el contenido de la base de datos Active Directory que
contiene el controlador de dominio de solo lectura. El controlador de dominio de solo lectura indica
de esta forma a la aplicacin o el usuario que haya realizado la solicitud de escritura el nombre del
controlador de dominio que debe contactar para seguir las operaciones de modificacin de la base
de datos Active Directory:
La principal utilidad de un controlador de dominio de solo lectura (RODC: Read Only Domain
Controller) es mejorar el proceso de autenticacin de los usuarios de un sitio remoto y mejorar la
seguridad sin almacenar ninguna contrasea. Sin embargo, es posible activar la escritura en cach
de algunas contraseas de cuentas de usuario configurando una directiva de replicacin de
contraseas para los controladores de dominio de solo lectura. Cuando la contrasea de una
cuenta de usuario se almacena en cach, el servidor RODC puede autenticar directamente a un
usuario asignndole un ticket de servicio que le permite acceder a los recursos. En caso contrario,
el servidor RODC transmite la solicitud de autenticacin del usuario a un controlador de dominio en
escritura. Solo las cuentas de usuario miembros del grupo de seguridad del dominio local Grupo de
replicacin de contrasea RODC permitida, pueden tener su contrasea guardada en cach en
un RODC.
La directiva de replicacin de contrasea de un servidor RODC define, entonces, aquellas cuentas
de usuario cuyas contraseas se almacenarn en cach. Para acceder a la configuracin de la
directiva de replicacin de contraseas basta con editar las propiedades de un controlador de
dominio en lectura desde la consola Usuarios y equipos de Active Directory:
La directiva de replicacin de contraseas de un RODC contiene varios grupos por defecto:
Administradores
Opers. de cuentas
Opers. de servidores
Solo el grupo donde las contraseas RODC estn permitidas tiene configurado el parmetro
comoPermitir. Por defecto, el grupo llamado Grupo de replicacin de contrasea RODC
permitida no contiene ninguna cuenta de usuario definida. El administrador debe, por tanto,
configurar manualmente la directiva de replicacin de contraseas.
Para que un usuario cuya contrasea se ha guardada en cach pueda iniciar una sesin en un
controlador de dominio de solo lectura, la contrasea de la cuenta del equipo del usuario debe
estar, tambin, configurada para guardarse en cach.
En una infraestructura Active Directory que emplea una replicacin de varios dominios, si dos
administradores trabajan cada uno en un controlador de dominio distinto y realizan una
modificacin al mismo tiempo sobre el mismo objeto, indicando valores diferentes para el mismo
atributo, se puede producir un conflicto de replicacin. Para evitar esta situacin, Microsoft ha
implementado un sistema de deteccin de conflictos que permite aportar una solucin adecuada
para todas las posibles situaciones que puedan causar un conflicto de actualizacin.
Para ello, cada objeto de Active Directory posee los siguientes atributos especficos que ayudan a
resolver conflictos de replicacin:
La carpeta SYSVOL es una carpeta local que se crea automticamente durante la promocin de un
servidor a controlador de dominio para albergar los servicios de dominio Active Directory.
Scripts de inicio de sesin: si un administrador crea un script de inicio de sesin para que
los usuarios puedan acceder a l desde la red, el script ser depositado en la
carpetaC:\Windows\SYSVOL\domain\scripts.
La carpeta SYSVOL es muy importante para el buen funcionamiento de los servicios de dominio
Active Directory.
Para que cada controlador de dominio mantenga y albergue una misma copia del directorio
SYSVOL, el proceso de replicacin definido por el comprobador de coherencia asegura que el
conjunto de los controladores de dominio estn actualizados. Se trata de una replicacin de
archivos de un controlador de dominio a otro. En las versiones anteriores de Windows Server, el
proceso encargado de replicar el directorio SYSVOL era FRS (File Replication System). A partir de
Windows Server 2008, se utiliza el proceso DFS-R (Distributed File System Replication).
Para realizar la replicacin de la carpeta SYSVOL con DFS-R, el nivel funcional del dominio debe
estar configurado al menos como Windows Server 2008.
Para migrar el sistema de replicacin de la carpeta SYSVOL para utilizar el sistema de replicacin
DFS-R, el administrador del sistema debe utilizar la herramienta DFSRMIG ubicada
enC:\Windows\System32\Dfsrmig.exe.
0 (start): etapa por defecto del controlador de dominio. Solo se utiliza FRS para replicar el
directorio SYSVOL en esta etapa.
1 (prepared): se crea una copia del directorio SYSVOL en una carpeta llamada
SYSVOL_DFSR y, a continuacin, se agrega al juego de replicacin existente. DFS-R replica a
continuacin el contenido de las carpetas SYSVOL_DFSR en todos los controladores de
dominio. FRS sigue replicando las carpetas SYSVOL originales y los clientes siguen utilizando
el directorio SYSVOL en esta etapa.
Getglobalstate: esta opcin reporta del estado de la migracin DFS-R global en curso.
Getmigrationstate: esta opcin reporta el estado de la migracin en curso de cada
controlador de dominio. La opcin Getmigrationstatepermite controlar el progreso de
los controladores de dominio indicando el estado de la migracin DFS-R.
En caso de producirse algn problema al pasar de una etapa a la siguiente, es posible volver
a las etapas anteriores utilizando la opcin setglobalstate. Sin embargo, despus de haber
usado la opcin setglobalstate para especificar la etapa 3 (eliminated), es imposible volver a las
etapas anteriores.
Dcdiag.exe: es una herramienta por lnea de comandos que permite diagnosticar el estado
de los servicios de directorio. Esta herramienta realiza un nmero de verificaciones y genera
un informe del estado global de la replicacin y de la seguridad de los servicios de dominio de
Active Directory. El uso de la herramienta dcdiag.exe sin parmetros ejecuta un conjunto de
pruebas y presenta los resultados.
Ejemplo de comandos dcdiag.exe:
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Requisitos previos:
1. Configurar la replicacin
Paso 1: abra el Administrador del servidor y, a continuacin, en el men Herramientas, haga
clic en Sitios y servicios de Active Directory.
Paso 2: despliegue el rbol de la consola: Sitios y servicios de Active Directory - Sites - Inter-
Site Transports - IP. Haga clic con el botn derecho en IP y haga clic en Nuevo vnculo a sitios.
Paso 6: haga clic con el botn derecho en DEFAULTIPSITELINK para cambiar el nombre del
vnculo por defecto escribiendo CENTRALES:
Paso 7: edite las propiedades del vnculo CENTRALES para configurar el campo Replicar
cada en60 minutos. Asigne solamente los sitios de Madrid y Len en este vnculo y haga clic
en Aceptar:
La replicacin est, ahora, configurada con los vnculos de sitio creados manualmente. Los
controladores de dominio situados en el vnculo CENTRALES se replicarn cada 60 minutos, mientras
que los controladores de dominio situados en el vnculo SUCURSALES se replicarn entre s cada 240
minutos:
Paso 4: haga clic con el botn derecho en el controlador de dominio DC-04 (cuyo tipo est
indicado como solo lectura, GC) y haga clic en Propiedades.
Paso 7: seguidamente busque el grupo de seguridad global llamado Usuarios-Toledo y haga clic
en Aceptar dos veces:
Paso 9: en la ventana Directiva de replicacin de contraseas avanzada para DC-04, haga clic
en la pestaa Directiva resultante y, a continuacin, haga clic en el botn Agregar.
Paso 10: busque la cuenta de usuario llamada Usuario1 y, a continuacin, haga clic en Aceptar.
La cuenta aparece con una configuracin resultante Permitir. Esto quiere decir que la contrasea
de la cuenta de usuario seleccionado est autorizada a ser guardada en cach en el servidor
RODC:
Paso 13: busque las cuentas de usuario Usuario1 y Usuario2 y, a continuacin, haga clic
enAceptar:
Paso 14: se abre la ventana Rellenar contraseas previamente. El mensaje de aviso indica que
las cuentas de equipo usadas para el inicio de sesin por los usuarios seleccionados deben
agregarse tambin al grupo de contrasea autorizado en RODC. Haga clic en S:
Paso 15: haga clic en Aceptar:
Paso 16: agregue el grupo de seguridad global Equipos-Toledo en el grupo llamado Grupo de
replicacin de contrasea RODC permitida:
Paso 17: repita las etapas 11 a 12 para buscar las cuentas de equipo Equipo1 y Equipo2. Haga
clic en S para rellenar las contraseas de las cuentas de equipo:
3. Monitorizar la replicacin
Paso 1: abra un smbolo del sistema con privilegios de administrador.
Paso 2: escriba el comando siguiente para mostrar todos los socios de replicacin del controlador
de dominio DC-01:
repadmin /kcc
Paso 5: escriba el comando siguiente para forzar la sincronizacin del controlador de dominio DC-
01 con todos sus socios de replicacin:
dcdiag /test:topology
Paso 7: escriba el comando siguiente para comprobar la puntualidad del controlador de dominio
sobre el que se ejecuta el comando:
dcdiag /test:replications
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la replicacin de Active Directory
en Microsoft Windows Server 2012 R2. Podramos resumirse de la siguiente manera:
En una infraestructura Active Directory que cuente con ms de un controlador de dominio, cada
modificacin en el directorio se replica en los dems controladores de dominio.
Existen dos tipos de controladores de dominio. Los controladores de dominio de escritura y los
controlador de dominio de solo lectura (RODC).
El directorio est dividido en varias particiones que se replican, algunas a escala de bosque
(particin de esquema y de configuracin) y otras a escala de dominio (particin de dominio y
de aplicacin).
Los servidores RODC pueden guardar en cach la contrasea de las cuentas de usuario y
equipos mediante una directiva de replicacin de contraseas.
1. Preguntas
1 Qu componente de la infraestructura Active Directory es responsable de la creacin de una
topologa de replicacin?
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicacin.
9 Cite dos mtodos que permitan forzar la replicacin Active Directory entre dos socios de
replicacin.
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /9
3. Respuestas
1 Qu componente de la infraestructura Active Directory es responsable de la creacin de una
topologa de replicacin?
El complemento Sitios y servicios de Active Directory permite gestionar las replicaciones Active
Directory.
4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver
conflictos de replicacin.
Para resolver conflictos de replicacin, Active Directory puede verificar los siguientes atributos:
Para migrar el sistema de replicacin FRS de la carpeta SYSVOL para utilizar el sistema de
replicacin DFS-R los administradores pueden utilizar la herramienta DFSRMIG ubicada en:
C:\Windows\System32\Dfsrmig.exe
9 Cite dos mtodos que permitan forzar la replicacin Active Directory entre dos socios de
replicacin.
1. Requisitos previos
Conocimiento bsico de la administracin de Windows Server 2012 R2.
2. Objetivos
Saber administrar una infraestructura de clave pblica.
1. Presentacin de PKI
Las infraestructuras de clave pblica (PKI) se han creado con el objetivo de probar a los dems que
es realmente quien dice ser durante un intercambio de datos a travs de una red informtica. La
identidad de cada entidad, componente de red, individuo, sistema u otros puede ser verificada
empleando un certificado emitido por una entidad de certificacin aprobada. Los certificados digitales
forman parte integral de una infraestructura de claves pblicas y pueden ser totalmente
transparentes para un usuario que emplea un ordenador a diario. Encontramos el uso de los
certificados en todo tipo de elementos, sea para securizar una conexin VPN IPsec (Virtual Private
Network Internet Protocol security), el intercambio de correos electrnicos, efectuar un pago en lnea
en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos
o carpetas utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de
clave pblica nos ayudan pues a securizar las comunicaciones informticas y, en particular, a
establecer vnculos de confianza entre las personas fsicas y los certificados digitales igual que lo
hara un documento nacional de identidad. Un administrador a cargo de una infraestructura de clave
pblica debe distribuir los certificados digitales con extremo cuidado a las personas que formen
parte de su organizacin y revocar los certificados de aquellos usuarios que ya no formen parte de
la misma.
Por ejemplo, cuando consulta el sitio Internet de su banco para verificar sus cuentas, el acceso se
encuentra probablemente securizado empleando una pgina web HTTPS que utiliza un certificado
SSL. Si muestra las propiedades del certificado, puede constatar que posee informacin de la
entidad de certificacin que ha proporcionado el certificado a su banco. Su navegador acepta
mostrar la pgina solicitada porque el certificado ha sido emitido por una entidad de certificacin
comercial aprobada como, por ejemplo, VeriSign. Por defecto, su navegador de Internet contiene
una lista de entidades de certificacin comerciales aprobadas. Esta lista se actualiza
automticamente cuando realiza una actualizacin de su sistema operativo. La lista de
certificaciones comerciales aprobadas est disponible en las opciones de su navegador web
(pestaa Contenido para Internet Explorer y la pestaa Cifrado en opciones, o la
opcin avanzadopara Mozilla Firefox):
2. Componentes de una PKI
Una infraestructura de clave pblica se compone de varios elementos de los cuales algunos ofrecen
servicios a los usuarios. Encontramos por ejemplo los elementos siguientes:
Las entidades de certificacin (CA: Certificate Authority): permiten crear y gestionar los
certificados. Las entidades de certificacin pueden estar estructuradas bajo diferentes formas
jerrquicas que podemos definir de dos o tres niveles.
Los certificados digitales: los certificados los distribuye una entidad de certificacin
aprobada por la organizacin (CA interna o comercial). Los certificados sirven para autenticar
un servicio, un servidor, un usuario o un sitio comercial. En el caso de un sitio web, por
ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS del sitio web
accedido por los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no
podr acceder a la informacin securizada. Esto permite asignar un certificado vlido para un
nico servicio. Lo mismo ocurre con un certificado de usuario que contiene el nombre y
apellidos de la persona interesada. La autenticacin por certificado solo funciona si se verifica
la identidad del usuario.
Las claves pblicas y las claves privadas: se emplean para cifrar y descifrar los datos.
Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar
certificados a una entidad de certificacin declarada en Active Directory o mediante un
formulario de una pgina web de la entidad de certificacin. Tambin pueden acceder a sitios
securizados por certificados. Los equipos cliente tienen una lista de entidades emisoras de
certificados de confianza (accesible desde un navegador web o el complemento Certificados),
lo que les permite validar el acceso a sitios web mediante certificados emitidos por entidades
de certificacin comerciales.
Las listas de revocacin de certificados (CRL: Certificate Revocation Lists): representan las
listas emitidas por entidades de certificacin y los certificados digitales que ya no son vlidos
o estn revocados. Una entidad de certificacin mantiene actualizada esta lista que contiene
el detalle de la asignacin de certificados indicando las fechas de validez, as como aquellos
certificados que han sido revocados. Cuando se presenta un certificado para acceder a un
servicio, un inicio de sesin o una solicitud de cifrado, el sistema de autenticacin o de
verificacin accede automticamente a una lista de revocacin diaria desde una entidad de
certificacin aprobada para verificar la validez del certificado. Si ste aparece en la lista, el
acceso es simple y llanamente denegado. Si la CRL introducida en el certificado no se puede
obtener, el acceso es igualmente denegado.
Los respondedores en lnea: los clientes pueden emplear un respondedor en lnea para
interrogar a una entidad de certificacin directamente para conocer el estado de un
certificado recin presentado. Este proceso es ms rpido que la descarga y la consulta de
una nueva lista de revocacin de certificados.
A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo
un componente que permite la instalacin, configuracin y gestin de entidades de certificacin. A
partir de Windows Server 2008, este componente aparece como un rol de servidor, mejor conocido
bajo el nombre de Active Directory Certificate Services (AD CS).
3. Cifrado
Cuando un administrador desea securizar datos informticos, puede implementar todo tipo de
sistemas o tecnologas haciendo imposible el acceso de una persona no autorizada. Pero, qu pasa
si los datos securizados son interceptados en la red o sustrados con el robo de un servidor o de un
disco duro de la empresa? Todo dato no protegido puede, por definicin, accederse de forma
abierta. Esto quiere decir que cualquier persona con malas intenciones puede acceder a sus datos
sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para garantizar la integridad
de sus datos, es posible securizar el conjunto de los elementos basndose en certificados para
cifrar y descifrar los datos o informacin del sistema.
Una infraestructura de clave pblica ofrece a su vez servicios criptogrficos, que permiten mantener
la integridad de los datos del sistema de informacin. Una infraestructura PKI se basa en dos
mtodos de cifrado de los datos:
Cifrado simtrico (por clave secreta): el uso de un cifrado simtrico necesita el intercambio
de un secreto compartido entre dos componentes o personas que desean comunicarse. El
cifrado se realiza empleando un mecanismo especfico y el secreto intercambiado entre los
dos asociados consiste en revelar el funcionamiento del mecanismo de cifrado. Esto permite a
diferentes asociados poder descifrar los datos cifrados empleando un secreto definido en un
algoritmo. Cualquier individuo que posee el secreto podr, por tanto, descifrar los datos.
Cifrado asimtrico (por clave pblica): el uso de un cifrado asimtrico permite cifrar los
datos empleando un sistema de pares de claves. Se utiliza una clave pblica para cifrar los
datos, mientras que se utiliza una clave privada para descifrarlos. La clave pblica puede ser
conocida por todos y puede ser intercambiada en redes no seguras. La clave privada debe
sin embargo ser segura y conocida solamente por la persona que va a acceder a los datos
cifrados.
Presentacin de AD CS
Los servicios de certificados de Active Directory en Windows Server 2012 R2 se presentan bajo la
forma de un rol de servidor. Este rol permite, en particular, implementar una infraestructura jerrquica
de claves pblicas para crear y gestionar los certificados. Mediante AD CS es posible responder a
diferentes necesidades empresariales como la securizacin de las comunicaciones VPN, WAN, LAN e
inalmbricas, securizar los sitios web IIS o securizar mensajes electrnicos emitidos por un servidor
de mensajera Microsoft Exchange.
1. Servicios de certificados AD CS
Es posible instalar AD CS como una entidad de certificacin independiente o empresarial. AD CS
puede proporcionar los servicios de certificados al interior o al exterior de la red empresarial. AD CS
integra funcionalidades adicionales con el sistema operativo Windows Server 2012. Encontramos, en
particular, las novedades siguientes:
Los servicios de rol AD CS pueden instalarse en cualquier edicin de Windows Server 2012
R2.
Los servicios de rol AD CS pueden instalarse en una instalacin mnima (Core Server).
Los equipos miembro de un grupo de trabajo pueden, ahora, realizar una peticin de
renovacin de un certificado.
Los servicios AD CS y los clientes PKI reconocen, ahora, los sitios AD DS.
En la versin del sistema operativo Microsoft Windows Server 2008 R2 el tipo de entidad de
certificacin empresarial solo puede instalarse en la edicin Enterprise o Datacenter.
a. CA independiente
Acceso a la informacin de entidad emisora (AIA: Authority Information Access): las AIA
permiten indicar a los usuarios la ubicacin donde encontrar el certificado de la entidad de
certificacin raz.
b. CA empresarial
Una entidad de certificacin empresarial se encuentra integrada en los servicios de dominio Active
Directory. En una infraestructura de claves pblicas, las CA empresariales se utilizan, por lo
general, como entidad de certificacin emisora. La instalacin de este tipo de CA se realiza en un
servidor miembro de un dominio. De esta forma, los usuarios del dominio pueden enviar las
solicitudes de certificados que pueden aprobarse directamente en la entidad de certificacin
empresarial encargada de emitir los certificados. La instalacin de este tipo de CA es dependiente
del sistema operativo que la alberga.
c. Administracin de AD CS
La instalacin del rol de servidor AD CS agrega a las herramientas administrativas del sistema
operativo la consola de administracin Entidad de certificacin:
La consola de administracin certsrv permite visualizar el estado del servidor mediante un icono
en la autoridad de certificacin (Servicio Windows detenido o arrancado). Tambin podemos detener
o arrancar una entidad de certificacin desde el complemento:
2. Jerarqua de CA
Una infraestructura de claves pblicas puede funcionar empleando un nico servidor independiente
que tenga el rol de servidor AD CS. Sin embargo, cuando su infraestructura est compuesta por
varias entidades de certificacin, hablamos de una jerarqua de CA. El uso de un nico servidor para
la explotacin de los servicios de certificados puede debilitar la seguridad de la infraestructura de
claves pblicas. Para reforzar la seguridad, podemos agregar entidades de certificacin adicionales a
una PKI. Existen diferentes tipos de jerarqua de CA cuya topologa corresponder a los requisitos
de seguridad o necesidades empresariales. En una jerarqua CA de varias capas, un servidor CA raz
se encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar
los certificados a los usuarios, equipos o servicios. En una jerarqua de CA, el nivel ms alto se
denomina entidad de certificacin raz. Todo ataque contra el servidor que contiene la CA raz, o
cualquier CA, puede comprometer la seguridad del conjunto de las CA intermedias o subyacentes.
Por ello es importante securizar las entidades de certificacin de mayor nivel colocndolas fuera de
lnea o inaccesibles a cualquier intento de intrusin. En la mayora de las situaciones, las PKI se
implementan en infraestructuras de dos o tres capas.
Una infraestructura de entidad de certificacin de dos capas aporta un mnimo de seguridad pues
permite situar fuera de lnea a la CA raz para mantener nicamente a la CA emisora para la
asignacin y aprobacin de certificados. Generalmente, se implementa una CA raz independiente
en el nivel ms alto y se ubica una CA empresarial emisora en el nivel ms bajo para proporcionar
los servicios de certificados a los equipos y usuarios de la red.
Segn el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de
certificacin:
Una infraestructura de entidad de certificacin de tres capas aporta un nivel mayor de seguridad y
disponibilidad porque las CA de mayor nivel pueden dejarse fuera de lnea y las CA emisoras
pueden implementarse de manera redundante para aportar una mejor disponibilidad o cubrir una
mayor zona geogrfica. Generalmente, se configura una CA raz independiente en el nivel ms alto
y, a continuacin, se ubican en segundo nivel las CA raz independientes intermedias. Por ltimo,
las CA empresariales emisoras se sitan en el nivel ms bajo para proporcionar los servicios de
certificados a los equipos o usuarios de la red.
La CA raz tiene el nivel ms alto de una jerarqua de CA. Durante la creacin de una nueva
entidad de certificacin raz, hay que crear obligatoriamente una nueva clave privada.
La seleccin de un algoritmo hash: los algoritmos hash permiten securizar las claves
utilizando un algoritmo de clculo especfico, destinado a generar informacin cifrada del par
de claves.
14 proveedores de cifrado:
4 longitudes de clave:
512
1024
2048
4096
7 algoritmos hash:
SHA256
SHA384
SHA512
SHA1
MD5
MD4
MD2
d. CA intermedia
Es necesario instalar, como mnimo, una entidad de certificacin intermedia en una jerarqua de
certificados de tres capas. Su objetivo es aportar un nivel de seguridad adicional para proteger a
la entidad de certificacin raz. La CA intermedia recibe un certificado de la CA raz para funcionar y
emitir un certificado a la CA emisora para que ella funcione a su vez.
e. CA emisora
Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a
los usuarios, servidores y dems componentes que realicen una solicitud. El uso de una CA
empresarial permite la inscripcin automtica de los usuarios o los equipos.
3. Servicios de roles AD CS
El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a
cuatro en Windows Server 2008 R2.
a. Entidad de certificacin
El servicio de rol Entidad de certificacin tiene como objetivo realizar las misiones siguientes:
Expedir certificados.
Revocar certificados.
En Windows Server 2012 R2, es posible en adelante utilizar los comandos de lnea PowerShell
para realizar una copia de seguridad o restaurar el servicio de rol entidad de certificacin (CA):
Para realizar una copia de seguridad del servicio entidad de certificacin, basta con ejecutar el
comando PowerShell siguiente: Backup-CARoleService
Para restaurar el servicio entidad de certificacin, basta con ejecutar el comando PowerShell
siguiente: Restore-CARoleService
El servicio de rol Inscripcin web de entidad de certificacin permite emitir y renovar los
certificados a los usuarios y equipos que no son miembros de un dominio, no estn conectados a
la red o que no ejecutan un sistema operativo de Microsoft.
c. Respondedor en lnea
El servicio de rol Respondedor en lnea utiliza el protocolo OCSP (Online Certificate Status Protocol).
Su objetivo es proporcionar informacin sobre el estado de revocacin de certificados emitidos as
como una lista de revocacin de certificados. El uso de este servicio en lnea es ms rpido que la
consulta a una CRL (Certificate Revocation List, lista de revocacin de certificados). Para instalar
este servicio de rol como una entidad de certificacin empresarial, el servidor debe ser miembro de
un dominio Active Directory.
El servicio de rol Servicio de inscripcin de dispositivos de red (NDES) permite a los dispositivos
de red que no ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD
CS. Este servicio de rol emplea el protocolo SCEP (Simple Certificate Enrollment Protocol) para
comunicarse con los diferentes componentes de la red.
e. Inscripcin de certificados
El servicio de rol Servicios web de inscripcin de certificados permite a los usuarios o equipos
solicitar un certificado utilizando el protocolo HTTPS. La instalacin solo puede realizarse en un
servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de
certificacin empresarial.
f. Directiva de certificados
4. Certificados
Un certificado digital puede ser emitido por una entidad de certificacin interna o pblica. Sin
embargo, tambin es posible generar un certificado autofirmado si no se encuentra disponible
ninguna entidad de certificacin. Por defecto, todo sistema Microsoft integra las herramientas que
permiten gestionar los certificados autofirmados. Un certificado autofirmado significa que el sistema
se atribuye un certificado que reconoce como vlido por si mismo. Un certificado autofirmado solo lo
reconoce como vlido el sistema que lo ha generado.
Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe
accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que
accedan al sitio web reciben sistemticamente un mensaje de aviso de su navegador, indicando que
el certificado presentado por el sitio no se ha verificado y que el acceso es potencialmente peligroso.
Para que los usuarios no reciban este mensaje debe instalar el certificado autofirmado por IIS en su
almacn local Entidad de certificacin raz de confianza.
La fecha de validez.
Un nmero de serie.
a. Plantillas de certificado
Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas
que pueden personalizarse previamente. Estas plantillas solo estn disponibles en un servidor que
albergue el rol AD CS como entidad de certificacin empresarial emisora.
Autenticacin Kerberos.
EFS bsico.
Controlador de dominio.
Servidor web.
Equipo.
Usuario.
Administrador.
Tambin es posible crear o duplicar plantillas de certificado para completar la lista existente.
Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben
asignar permisos de inscripcin en el certificado especfico.
Para gestionar las plantillas de certificado, basta con hacer clic con el botn derecho en el
contenedor Plantillas de certificado de la consola Entidad de certificacin y, a continuacin,
hacer clic en Administrar.
DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptogrfica
definida por la Unin internacional de telecomunicaciones. El formato de archivo DER
(Distinguished Encoding Rules) lo utilizan con frecuencia equipos informticos que ejecutan
un sistema operativo diferente de Windows.
X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las
infraestructuras de mensajera que soportan la norma de criptografa S/MIME
(Secure/Multipurpose Internet Mail Extension).
b. Solicitud de certificado
Existen varios mtodos que permiten solicitar un certificado a una entidad de certificacin. Se
puede efectuar una solicitud de certificado desde:
El complemento Certificados.
Para responder a estas necesidades, se le pide implementar una solucin de infraestructura de clave
pblica. sta tendr como objetivo proteger los diferentes servicios y accesos mediante un certificado
emitido por una entidad de certificacin. Debe instalarse empleando el rol de servidor AD CS y debe
disearse como una jerarqua de dos capas.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 3: en el paso Seleccionar roles de servidor, marque la opcin correspondiente al
rolServicios de certificados de Active Directory y, a continuacin, haga clic en el botn Agregar
caractersticas. A continuacin, haga clic en Siguiente:
Paso 12: en el paso Especifique el tipo de CA, marque la opcin CA raz y, a continuacin, haga
clic en Siguiente:
Paso 13: en el paso Clave privada, marque la opcin Crear una clave privada nueva y, a
continuacin, haga clic en Siguiente:
Paso 16: en el paso Perodo de validez, indique 10 Aos para especificar la fecha de expiracin
del certificado y, a continuacin, haga clic en Siguiente.
Paso 17: en el paso Base de datos de CA, especifique la ubicacin de la base de datos de
certificados en la carpeta D:\CA\CertDB y, a continuacin, especifique la ubicacin del registro de
la base de datos en la ubicacin siguiente: D:\CA\CertLog. Haga clic en Siguiente.
Paso 18: en el paso Confirmacin, verifique los parmetros de su entidad de certificacin raz y,
a continuacin, haga clic en Configurar.
Paso 21: haga clic en la pestaa Extensiones y, a continuacin, agregue un nuevo punto de
distribucin de lista de revocacin de certificados haciendo clic en Agregar.
Paso 22: en el campo Ubicacin, escriba la URL siguiente y haga clic en Aceptar:
Paso 25: haga clic en la lista desplegable para seleccionar la extensin Acceso a la informacin
de entidad (AIA) y, a continuacin, haga clic en Agregar.
Paso 26: en el campo Ubicacin, escriba la URL siguiente y haga clic en Aceptar:
Paso 28: haga clic en S para volver a iniciar el servicio de certificados de Active Directory ahora.
Paso 29: de vuelta en la consola de gestin certsrv, despliegue el rbol para seleccionar la
carpeta Certificados revocados. Haga clic con el botn derecho sobre ella, seleccione Todas las
tareas y, a continuacin, haga clic en Publicar:
Paso 30: en la ventana Publicar lista de revocacin de certificados, haga clic en Aceptar para
crear una nueva lista.
Paso 31: en la consola certsrv, haga clic con el botn derecho en la entidad de
certificacinInfonovice-Root-CA y, a continuacin, haga clic en Propiedades.
Paso 33: en la ventana Certificado, haga clic en la pestaa Detalles y, a continuacin, haga clic
en Copiar en archivo.
Paso 34: en el Asistente para exportar certificados, haga clic en Siguiente en la pantalla de
bienvenida.
Paso 35: deje las opciones por defecto y haga clic en Siguiente para exportar el certificado en
formato DER binario codificado X.509.
Paso 36: cree la carpeta C:\Compartir en el servidor CS-02 y comprtala con permisos de lectura
y escritura para el grupo Todos. Haga clic en Examinar en el paso que permite exportar el
archivo e indique la siguiente ubicacin \\CS-02\Compartir\Certificado-Root.cer y, a
continuacin, haga clic en Guardar, Siguiente y Finalizar.
Paso 37: una vez exportado el certificado, haga clic en Aceptar para cerrar el conjunto de
ventanas.
Paso 38: navegue hasta la carpeta C:\Compartir en el servidor CS-02 para copiar aqu los dos
archivos presentes en la carpeta siguiente y, a continuacin, comparta la carpeta CertEnroll:
C:\Windows\System32\Certsrv\CertEnroll
Paso 39: vaya al panel de control del servidor CS-02, haga clic en Ver el estado y las tareas de
red, y, a continuacin, haga clic en Cambiar configuracin de uso compartido avanzado.
Paso 40: en la seccin Invitado o pblico, seleccione Activar el uso compartido de archivos e
impresoras y haga clic en Guardar cambios:
Paso 41: abra una sesin en el servidor DC-01 con privilegios de administracin para el dominio
Infonovice.priv. Abra la consola de gestin DNS y cree el Host A siguiente en la zona de bsqueda
directa de Infonovice.priv:
Nombre: CS-01
Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar roles y
caractersticas.
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 11: en el paso Credenciales, compruebe que se ha informado una cuenta de administrador
del dominio Infonovice.priv y, a continuacin, haga clic en Siguiente.
Paso 12: en el paso Servicios de rol, marque las opciones asociadas a los roles Entidad de
certificacin e Inscripcin web de entidad de certificacin. A continuacin, haga clic
enSiguiente:
Paso 13: en el paso Tipo de instalacin, marque la opcin CA empresarial y haga clic
enSiguiente.
Paso 14: en el paso Tipo de CA, marque la opcin CA subordinada y haga clic en Siguiente.
Paso 15: en el paso Clave privada, marque la opcin Crear una clave privada nueva y, a
continuacin, haga clic en Siguiente.
Paso 16: en el paso Criptografa para la CA, deje las opciones por defecto y haga clic
enSiguiente.
Paso 17: en el paso Nombre de CA, escriba Infonovice-Emisor-CA en el campo Nombre comn
para esta entidad de certificacin y, a continuacin, haga clic en Siguiente:
Paso 18: en el paso Solicitud de certificado, marque la opcin Guardar una solicitud de
certificado en un archivo del equipo de destino, identifique la ubicacin de grabacin del archivo
de solicitud de certificado y, a continuacin, haga clic en Siguiente:
Paso 19: en el paso Base de datos de CA, especifique la ubicacin de la base de datos de
certificados en la carpeta D:\CA\CertDB, informe a continuacin la ubicacin del registro de la base
de datos en la siguiente carpeta: E:\CA\CertLog. A continuacin, haga clic en Siguiente:
Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv. Navegue hasta la carpeta \\CS-02\Compartir, haga clic con el botn derecho en el
archivo Certificado-Root.cer y haga clic en Instalar certificado y en Abrir.
Paso 2: en el Asistente para importar certificados, marque la opcin Equipo local en la ventana
de bienvenida y, a continuacin, haga clic en Siguiente.
Paso 3: en el paso Almacn de certificados, marque la opcin Colocar todos los certificados en
el siguiente almacn y, a continuacin, haga clic en Examinar.
Paso 5: haga clic en Siguiente y en Finalizar. Una vez realizada con xito la importacin del
certificado, haga clic en Aceptar.
Paso 8: inicie una sesin en el servidor CS-01 con credenciales de administracin y abra, a
continuacin, la consola de administracin Entidad de certificacin. Haga clic con el botn
derecho en la entidad de certificacin Infonovice-Root-CA y seleccione Todas las tareas y, a
continuacin, haga clic en Enviar solicitud nueva:
Paso 10: despliegue el rbol de la consola y seleccione la carpeta Solicitudes pendientes. Haga
clic con el botn derecho en la solicitud disponible, seleccione Todas las tareas y, a continuacin,
haga clic en Emitir:
Paso 11: despliegue el rbol de la consola certsrv, seleccione la carpeta Certificados emitidos.
Haga clic con el botn derecho en el certificado disponible y haga clic en Abrir.
Paso 12: en la ventana Certificado, haga clic en la pestaa Detalles y, a continuacin, haga clic
en Copiar en archivo.
Paso 13: en la ventana Asistente para exportar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 14: en el paso Formato de archivo de exportacin, marque la opcin Estndar de sintaxis
de cifrado de mensajes: certificados PKCS #7 (.P7B). Marque la opcin Incluir todos los
certificados en la ruta de certificacin (si es posible) y haga clic en Siguiente:
Paso 15: en el paso Archivo que se va a exportar, haga clic en Examinar. Navegue hasta la
carpeta compartida \\CS-02\Compartir y escriba CA-intermedio.p7b en el Nombre de archivo.
Haga clic en Guardar.
Siguiendo las mejores prcticas, la entidad de certificacin raz debe desconectarse de la red
despus de su instalacin. En condiciones reales, la operacin de transferencia de un certificado
a otro equipo debe realizarse empleando un soporte extrable.
Paso 16: haga clic en Siguiente y, a continuacin, en Finalizar. Cuando la exportacin del
certificado se haya realizado con xito, haga clic en Aceptar dos veces.
Paso 17: inicie una sesin en el servidor CS-02 con una cuenta de administrador del dominio
Infonovice.priv y abra la consola de administracin Entidad de certificacin. Haga clic con el
botn derecho en la entidad de certificacin Infonovice-Emisor-CA, seleccione Todas las tareas y,
a continuacin, haga clic en Instalar el certificado de CA:
Paso 18: navegue hasta la carpeta compartida \\CS-02\Compartir para seleccionar el archivo CA-
Intermedio.p7b. Haga clic en Abrir.
Paso 19: en la consola de administracin certSrv en el servidor CS-02, haga clic con el botn
derecho en la entidad de certificacin y, a continuacin, haga clic en Todas las tareas e Iniciar
servicio.
El inicio del servicio de certificados puede realizarse, tambin, haciendo clic en el tringulo verde
de la barra de tareas.
Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
enAdministracin de directivas de grupo.
Paso 1: inicie una sesin en el servidor CS-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Administrador de Internet Information Services (IIS).
Paso 2: en la parte izquierda del rbol de la consola seleccione el nombre del servidor que
contiene la entidad de certificacin empresarial emisora. En la parte central, haga doble clic
enCertificados de servidor.
Organizacin: INFONOVICE
Pas o regin: ES
El campo Nombre comn corresponde a la URL definitiva, es decir
http://certificados.infonovice.priv.
Paso 12: cambie a la consola de administracin IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 14: cambie a la consola de administracin IIS, despliegue el rbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Tipo: https
Puerto: 443
Paso 17: despliegue el rbol de Default Web Site y seleccione la carpeta virtual certsrv. En la
parte central, haga doble clic en Configuracin de SSL.
Paso 19: en el servidor DC-01, abra el Administrador del servidor, haga clic en Herramientas y,
a continuacin, en DNS.
Paso 20: despliegue el rbol de la consola y, a continuacin, cree un registro CNAME en la Zona
de bsqueda directa infonovice.priv. Indique la siguiente informacin y haga clic en Aceptar:
6. Solicitar un certificado
Este taller permite solicitar un certificado a la entidad de certificacin emisora. El certificado a emitir
ser de tipo Bsico EFS, para el usuario Juan Dupont.
Paso 1: inicie una sesin en el servidor CS-02 con una cuenta de administrador del
dominioInfonovice.priv. Arranque el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Entidad de certificacin.
Paso 3: en la lista de plantillas de certificados disponibles, haga clic con el botn derecho en EFS
bsico y, a continuacin, haga clic en Propiedades.
Paso 4: en la ventana Propiedades: EFS bsico, haga clic en la pestaa Seguridad. Seleccione
el grupo Usuarios autentificados, marque el permiso Inscribirse como autorizado y, a
continuacin, haga clic en Aceptar:
Paso 6: inicie una sesin en el equipo CLIENT1 con una cuenta de usuario del dominio
Infonovice.priv (conctese con el usuario: jdupont; si esta cuenta de usuario no existe en su
dominio Active Directory, crela).
Paso 8: despliegue el rbol de la consola para seleccionar el contenedor Personal. Haga clic con
el botn derecho encima y seleccione Todas las tareas y haga clic en Solicitar un nuevo
certificado.
Paso 12: cuando la operacin finalice con xito, haga clic en Finalizar.
Las entidades de certificacin permiten emitir y gestionar certificados a travs del rol de
servidor AD CS.
Entidad de certificacin
Respondedor en lnea
1. Preguntas
1 Cul es el objetivo de una infraestructura de clave pblica en una red empresarial?
8 Cite dos mtodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificacin comercial aprobada.
11 Cules son los seis servicios de rol del rol del servidor AD CS?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 Cul es el objetivo de una infraestructura de clave pblica en una red empresarial?
Una infraestructura de clave pblica permite securizar el acceso, las comunicaciones o la integridad
de los datos en una red empresarial
En una jerarqua de entidad de certificacin de tres capas, cada nivel debe ser instalado segn el
tipo de CA siguiente:
8 Cite dos mtodos que permitan visualizar la lista de certificados emitidos por una entidad de
certificacin comercial aprobada.
Para visualizar la lista de certificados emitidos por una entidad de certificacin comercial aprobada,
podemos:
Una CRL (lista de revocacin de certificados) permite visualizar los certificados digitales invlidos o
revocados. Esta lista se actualiza automticamente desde una entidad de certificacin.
Las AIA (Authority Information Access) permiten indicar a los usuarios la ubicacin del certificado
de la entidad de certificacin raz.
11 Cules son los seis servicios de rol del rol del servidor AD CS?
Entidad de certificacin
Respondedor en lnea
Inscripcin de certificados
Directivas de certificados
Autenticacin Kerberos
EFS bsico
Controlador de dominio
Servidor Web
Equipo
Usuario
Administrador
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos bsicos de la administracin de Windows Server 2012 R2.
2. Objetivos
Comprender la gestin de derechos AD RMS.
1. Presentacin de AD RMS
AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en su
empresa. Este rol permite, en particular, preservar la propiedad intelectual as como el contenido de
datos hospedados o intercambiados con otros asociados. La proteccin de un servidor de archivos
con los permisos tradicionales NTFS pueden verse limitados en un proceso de gestin de derechos
digitales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido
de los archivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un
documento Word, el sistema verifica las ACL para verificar que el usuario est autorizado para leer o
modificar el contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede
impedir que el contenido se conserve. De este modo, el usuario que abra el archivo tambin puede
imprimir los datos visualizados, o copiarlos para modificarlos ms tarde. AD RMS permite responder a
esta necesidad de seguridad implementando una capa adicional a travs de una nueva tecnologa
que puede basarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS
(Servicios de certificados) y AD FS (Servicios de federacin). Mediante la implementacin del rol de
servidor AD RMS, es posible proteger el contenido de sus datos tanto en el interior de su red
empresarial como en el exterior. Este rol de servidor es, en cierta medida, una evolucin del servicio
de administracin de derechos de Microsoft (RM: Rights Management), disponible con el sistema
operativo Windows Server 2003 en la forma de un servicio Windows llamado RMS (Rights
Management Services).
a. Funcionamiento de AD RMS
Para proteger los datos confidenciales de su empresa, una infraestructura de gestin de derechos
Active Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas
de proteccin de los datos as como el intercambio de certificados y licencias de acceso al servicio.
La configuracin de la infraestructura, as como los registros de actividad, se almacenan en una
base de datos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS
que se autentica automticamente en un directorio Active Directory para garantizar que el usuario
est habilitado para utilizar el contenido protegido. El usuario obtiene, a continuacin, un
certificado que le permite descifrar los datos protegidos. Los servicios de gestin de derechos se
basan a su vez en los servicios Web IIS. El conjunto de usuarios o grupos que deben tener acceso
a los servicios de administracin de derechos Active Directory deben poseer una direccin de
correo electrnico configurada en su perfil Active Directory.
XPS Viewer
La instalacin de una infraestructura de este tipo requiere la formacin de los usuarios, ya que son
ellos los que deben definir los elementos a securizar indicando si el documento puede ser
sobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento de
manera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios
autenticados o que dispongan de un certificado vlido pueden acceder a los datos protegidos.
Cuando un usuario securiza un documento empleando los servicios de administracin de derechos,
la infraestructura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el
usuario forma parte de su organizacin, o de una entidad aprobada por los servicios de
federacin, el cliente AD RMS instalado en la mquina cliente solicita automticamente una licencia
de uso a la infraestructura AD RMS.
Para facilitar la gestin de los derechos cuando un usuario genera contenido, un administrador de
la infraestructura AD RMS puede a su vez desplegar plantillas de directivas de permisos. En funcin
del uso del contenido, un usuario podr aplicar la plantilla de directiva directamente sin tener que
preocuparse de los elementos a configurar para proteger eficazmente su contenido.
La instalacin de un servidor AD RMS crea un primer servidor en un clster raz. Este clster no
necesita contar con las tecnologas de clustering de Microsoft o de equilibrio de carga de red. Un
clster raz AD RMS aporta simplemente una solucin de alta disponibilidad para las peticiones de
los usuarios utilizando una tecnologa propia de los servicios de gestin de derechos de Active
Directory. Si la infraestructura AD RMS va a trabajar con un solo servidor de gestin de derechos,
es posible utilizar una base de datos interna llamada WID (Windows Internal Database), que est
integrada en el sistema operativo. Esta instancia de base de datos solo permite la creacin de un
nico servidor en el clster AD RMS raz. Una infraestructura AD RMS soporta como mnimo la
utilizacin de una base de datos Microsoft SQL Server 2008.
La instalacin del primer servidor del clster raz AD RMS necesita la creacin de una clave de
cifrado. Esta clave debe asignarse a todos los servidores que se unan al clster para que estos
puedan, a su vez, cifrar los certificados o las licencias a transmitir a los usuarios. Existen dos
mtodos de almacenamiento de esta clave de cifrado:
b. Administracin de AD RMS
El clster AD RMS raz es accesible a travs de una URL que es preferible asociar a un alias DNS
declarado previamente en el servidor de nombres de su organizacin. El clster AD RMS raz utiliza
las carpetas virtuales siguientes en el rbol del sitio web predeterminado:
_wmcs
admin
certification
decommission
groupexpansion
licensing
Estas carpetas virtuales albergan los servicios web utilizados por la gestin del clster AD RMS. La
consola de administracin est configurada para apuntar a la URL del clster AD RMS utilizando los
protocolos HTTP o HTTPS segn la configuracin del administrador de servicios de Internet (IIS). En
entornos de produccin, es preferible securizar el acceso al clster AD RMS implementando la
autenticacin SSL, ofreciendo as una proteccin mediante la aprobacin de un certificado.
Para verificar si el servicio Web administrador de roles AD RMS est operativo, basta con acceder a
la URL siguiente:
o bien
https://cluster-adrms.infonovice.priv/_wmcs/licensing
https://cluster-adrms.infonovice.priv/_wmcs/certification/certification.asmx
Si el clster emplea una base de datos interna en lugar de una base de datos empresarial
comoMicrosoft SQL Server, el proceso de instalacin instala la base de datos WID (Windows Internal
Database), que emplea los servicios Windows siguientes:
Directivas de confianza:
Dominios de usuario de confianza: permite conceder licencias de uso a los usuarios que
posean un certificado de cuenta de derechos emitido en un clster AD RMS externo.
Plantillas de directiva de derechos: permite definir las reglas de proteccin del contenido
aplicadas a los documentos a proteger.
Directivas de exclusin:
Aplicaciones: permite bloquear las aplicaciones que no estn aprobadas por el clster AD
RMS. Para bloquear una aplicacin, basta con indicar el nombre del ejecutable a excluir,
as como su versin. Por defecto, la directiva de exclusin Aplicaciones est deshabilitada.
Directivas de seguridad:
Informes:
Informes de estadsticas: permite obtener las estadsticas de los usuarios que han
recibido un certificado de cuenta de derechos desde el clster AD RMS.
c. Componentes de AD RMS
Los servicios de gestin de derechos Active Directory presentan una infraestructura compleja. Se
basan en la instalacin y gestin de los siguientes componentes:
Un servidor SQL.
Deben protegerse los datos solamente para un uso interno o tambin para su uso
externo?
Todas estas preguntas son esenciales para definir la arquitectura final de su infraestructura AD
RMS. Por ejemplo, la opcin de utilizar una base de datos interna o distinta de Microsoft SQL
Server tendr un impacto en la implementacin de los clsteres de servidores AD RMS. Solo una
base de datos Microsoft SQL Server puede recibir varias conexiones, de ah la posibilidad de crear
un clster de servidores AD RMS. El uso de una base de datos interna solo permite aceptar una
conexin, de ah la instalacin de un nico servidor AD RMS en la infraestructura. Esto puede
interesar para un entorno de prueba o maqueta, pero no convendr para un entorno de
produccin.
La base de datos centralizada del clster AD RMS debe instalarse, como mnimo, en una
versin de Microsoft SQL Server 2008 (si la infraestructura cuenta con un solo servidor AD
RMS, es posible utilizar la base de datos interna de Microsoft).
Los equipos cliente deben utilizar, todos ellos, un cliente AD RMS vlido. Por defecto, los
sistemas operativos cliente como Microsoft Windows Vista, Windows 7 o Windows 8
integran un cliente AD RMS. Del lado de los servidores los sistemas operativos como
Microsoft Windows Server 2008, 2008 R2, 2012 y 2012 R2 integran un cliente AD RMS.
En cuanto a los requisitos tcnicos, los servidores que compongan el clster AD RMS deben
responder a las siguientes caractersticas mnimas:
Por defecto, el asistente de creacin de una plantilla de directiva de permisos ofrece la posibilidad
de autorizar o restringir los permisos siguientes:
Control total
Ver
Editar
Guardar
Imprimir
Reenviar
Responder
Responder a todos
Extraer
Permitir macros
Ver derechos
Editar derechos
El proceso de proteccin de un documento es el siguiente:
Una vez introducidas las credenciales, la aplicacin interroga al clster empleando la URL
configurada para saber si el usuario est autorizado y si puede recuperar una licencia de
uso.
El usuario aprobado obtiene una licencia de uso que le permite descifrar el contenido
protegido.
Trabajos prcticos
La empresa INFONOVICE desea securizar el acceso a sus datos almacenados en el servidor de
archivos. Despus de la compra de la empresa OXYFILM, se le pide implementar la tecnologa AD RMS
para securizar el contenido de los datos compartidos entre los dominios INFONOVICE.priv y
OXYFILM.local. El conjunto de los documentos generados por los usuarios del departamento de RRHH
deben securizarse para que usuarios del departamento de marketing puedan tener acceso solo de
lectura, con restricciones para copiar o imprimir el contenido.
Para responder a esta necesidad, se le pide implementar la tecnologa AD RMS para que los dos
bosques puedan intercambiar los datos, cuyo contenido debe estar protegido para limitar la copia o
impresin.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv, en el Administrador del servidor, haga clic en Herramientas y, a continuacin,
en DNS.
Paso 2: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.
Paso 4: inicie una sesin en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local a continuacin, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 5: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.
INFONOVICE\Usuarios
INFONOVICE\RRHH
INFONOVICE\Grupos
INFONOVICE\Cuentas de servicio
Apellidos: Dupont
Contrasea: P@ssw0rd
E-mail: jdupont@infonovice.priv
Apellidos: Lablanca
Contrasea: P@ssw0rd
E-mail: mlablanca@infonovice.priv
Apellidos: svc-adrms
Contrasea: P@ssw0rd
Paso 12: cree los siguientes grupos de seguridad en la UO INFONOVICE\Grupos, con las
caractersticas siguientes:
mbito: Global
E-mail: RRHH@infonovice.priv
mbito: Global
E-mail: marketing@infonovice.priv
mbito: Global
E-mail: superusers@infonovice.priv
Paso 13: en DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en DNS.
Paso 17: en la lista de plantillas de certificado disponibles, seleccione el certificado Servidor Web,
haga clic con el botn derecho encima y haga clic en Plantilla duplicada.
Paso 18: en la ventana Propiedades de plantilla nueva, seleccione Windows Server 2012 en
el campo Entidad de certificacin de la seccin Compatibilidad y haga clic en Aceptar para
validar la seleccin. A continuacin, seleccione Windows 8 / Windows Server 2012 en el
campoDestinatario del certificado y haga clic en Aceptar para validar la seleccin.
Paso 19: haga clic en la pestaa General de la ventana Propiedades de plantilla nueva y
escriba Servidor Web ADRMS en el campo Nombre para mostrar de la plantilla. A continuacin,
marque la opcin Publicar certificado en Active Directory.
Paso 20: haga clic en la pestaa Seguridad de la ventana Propiedades de plantilla nueva y
haga clic en Agregar para seleccionar la cuenta de equipo FILES-01. Marque los
permisos Leer yInscribirse, a continuacin haga clic en Aceptar para cerrar las propiedades de
la nueva plantilla de certificado y cierre la consola de plantillas de certificado.
Paso 21: en la consola Entidad de certificacin, haga clic con el botn derecho en Plantillas de
certificado, haga clic en Nuevo y, a continuacin, en Plantilla de certificado que se va a emitir.
Seleccione la plantilla de certificado llamada Servidor Web ADRMS y, a continuacin, haga clic
enAceptar:
2. Instalar AD RMS
Este taller permite instalar el rol de servidor AD RMS en el servidor de archivos FILES-01. Este primer
servidor constituye el clster AD RMS.
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar roles y
caractersticas.
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 5: en el paso Active Directory Rights Management Services, haga clic en Siguiente.
Paso 6: en el paso Seleccionar servicios de rol, marque la opcin Servidor de Active Directory
Rights Management Services y, a continuacin, haga clic en Siguiente:
Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente.
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en la bandera con la
notificacin amarilla. A continuacin, haga clic en Realice tareas de configuracin adicionales.
Paso 3: en el paso Clster de AD RMS, la opcin Crear un nuevo clster raz de AD RMS est
previamente seleccionada porque se trata de la configuracin del primer servidor de la
infraestructura. Haga clic en Siguiente.
Paso 4: en el paso Base de datos de configuracin, marque la opcin Usar Windows Internal
Database en este servidor y haga clic en Siguiente.
Paso 5: en el paso Cuenta de servicio, haga clic en Especificar para indicar la cuenta de
servicioINFONOVICE\svc-adrms. A continuacin, haga clic en Siguiente:
Paso 6: en el paso Modo criptogrfico, marque la opcin Modo criptogrfico 2 (esto permite
mejorar la seguridad) y, a continuacin, haga clic en Siguiente.
Paso 8: en el paso Contrasea de la clave del clster, escriba P@ssw0rd en el campo dedicado
a las contraseas y, a continuacin, haga clic en Siguiente.
Paso 9: en el paso Sitio web del clster, seleccione el rol Default Web Site y haga clic
enSiguiente.
Paso 10: en el paso Direccin de clster, marque la opcin Usar una conexin cifrada con
SSLen la seccin Tipo de conexin y, a continuacin, escriba CLUSTER-ADRMS.infonovice.priv en el
campo https:// de la seccin Nombre de dominio completo. A continuacin, haga clic
enSiguiente:
Paso 11: en el paso Certificado de servidor, marque la opcin Elegir un certificado existente
para cifrado SSL y, a continuacin, haga clic en Siguiente.
Paso 13: en el paso Registro de SCP, marque la opcin Registrar el SCP ahora y, a
continuacin, haga clic en Siguiente.
Paso 15: en el paso Resultado, compruebe que se han configurado los servicios AD RMS y, a
continuacin, haga clic en Cerrar.
Paso 16: abra el Administrador del servidor del servidor FILES-01, haga clic
en Herramientasy, a continuacin, en Administrador de Internet Information Services (IIS).
Paso 17: en la parte izquierda del rbol de la consola, seleccione el nombre del servidor. En la
parte central, haga doble clic en Certificados de servidor.
Paso 18: en la parte derecha, haga clic en Crear una solicitud de certificado.
Organizacin: INFONOVICE
Pas o regin: ES
El campo Nombre comn corresponde a la URL definitiva, es decir http://CLUSTER-
ADRMS.infonovice.priv.
Paso 22: abra el navegador Internet Explorer, escriba la URL siguiente: http://CS-02/certsrv, y
haga clic en Solicitar un certificado.
Paso 24: haga clic en Enviar una solicitud de certificado con un archivo.
Paso 27: cambie a la consola de administracin IIS y, en la parte derecha, haga clic enCompletar
solicitud de certificado.
Paso 29: cambie a la consola de administracin IIS, despliegue el rbol y seleccione Default Web
Site. En la parte derecha, haga clic en Enlaces.
Paso 30: en la ventana Enlaces, haga doble clic en el tipo de vnculo https.
Tipo: https
Puerto: 443
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Paso 2: en el rbol de la consola, haga clic con el botn derecho en el nombre del clster servidor
local y, a continuacin, haga clic en Eliminar.
Paso 4: haga clic con el botn derecho en el nodo raz de la consola y haga clic en Agregar
clster.
Paso 5: en la ventana Agregar clster, seleccione HTTPS con nmero de puerto 443 en la
seccin Protocolo de conexin. Marque la opcin Equipo remoto y escriba cluster-
adrms.infonovice.priv en la seccin Conectar a. Marque la opcin Conectar como e introduzca las
credenciales de conexin de una cuenta de administrador del dominio Infonovice.priv, a
continuacin, haga clic en Finalizar.
Paso 6: la consola de administracin AD RMS permite, en lo sucesivo, administrar el clster a
travs de servicios web:
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Paso 2: despliegue el rbol de la consola y seleccione Superusuarios en el nodo Directivas de
seguridad.
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
Nombre: Lectura
Paso 7: en el paso Agregar derechos de usuario, haga clic en Agregar en la seccin Usuarios y
derechos para especificar el grupo de seguridad global GG_MARKETING_Users (E-mail:
marketing@infonovice.priv) y, a continuacin, haga clic en Aceptar:
Paso 12: en la consola de administracin de Consola de servicios AD RMS, haga clic en Cambiar
la ubicacin del archivo de plantillas de directiva de derechos distribuidas:
Paso 14: la plantilla de directiva de derechos distribuidos creada previamente aparece, ahora, en
la carpeta E:\Plantillas del servidor FILES-01:
7. Crear una directiva de exclusin
Este taller permite crear una directiva de exclusin de aplicacin para prohibir que se pueda consultar
el contenido protegido por AD RMS mediante versiones de Word obsoletas. Solo las versiones de
Word Office 2010 y 365 estarn aceptadas.
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del dominio
Infonovice.priv y a continuacin, en el Administrador del servidor, haga clic en Herramientas y
en Active Directory Rights Management Services.
8. Proteger el contenido
Este taller permite crear un documento Word desde el pack Office 2010 y protegerlo antes de enviarlo
a otros usuarios. Una vez securizado el documento, se debe realizar una prueba para confirmar que
los usuarios del departamento de Marketing solo tienen derechos de lectura en el documento.
Paso 1: inicie una sesin en el equipo CLIENT1 con la cuenta de usuario Juan Dupont (nombre
de usuario: jdupont, contrasea: P@ssw0rd).
Paso 4: haga clic en la pestaa Archivo del documento Word y, a continuacin, vaya a la
seccinInformacin. En la seccin Permisos haga clic en Proteger documento, seleccione a
continuacinRestringir permisos por personas y haga clic en Administrar credenciales:
Paso 5: en primer lugar, la aplicacin Microsoft Word contacta con los servicios de dominio de
Active Directory para recuperar la URL del clster AD RMS:
Paso 11: inicie una sesin en el equipo CLIENT1 con la cuenta de usuario Marcos
Lablanca(nombre de usuario: mlablanca, contrasea: P@ssw0rd).
Paso 15: una vez abierto el documento, intente modificar el contenido. Haga clic con el botn
derecho en la pgina para verificar que el conjunto de las opciones de modificacin o de copia
estn sombreadas:
Paso 16: haga clic en Archivo para confirmar que las opciones Guardar, Guardar
como eImprimir estn deshabilitadas:
Paso 17: haga clic en Proteger documento y, a continuacin, en Ver permisos para confirmar
que solo estn habilitadas las opciones de lectura mediante un programa:
Paso 18: transfiera el archivo Confidencial.docx al equipo CLIENT3 del dominio Oxyfilm.local, y abra
el documento despus de iniciar sesin con una cuenta de administrador del dominio
Oxyfilm.local.
Paso 19: acepte el certificado presentado por la URL del clster AD RMS y, a continuacin, haga
clic en S para aceptar la verificacin de las credenciales. El contenido no estar accesible porque
las credenciales de la cuenta de usuario proporcionada no forman parte de un dominio aprobado
por el clster AD RMS del dominio Infonovice.priv. Haga clic en No para no utilizar otro juego de
credenciales:
Para que los usuarios de otro dominio puedan acceder al contenido protegido por AD RMS, hay
que crear una directiva de confianza para aprobar al dominio que alberga a los usuarios.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los servicios de gestin de
derechos de Active Directory con la implementacin del rol de servidor AD RMS en Microsoft Windows
Server 2012 R2. Podra resumirse de la manera siguiente:
AD RMS constituye un medio excelente para proteger el contenido de los datos generados en
una organizacin implementando una tecnologa de gestin de derechos digitales como lo hara
un DRM para el contenido musical.
AD RMS es una extensin de los permisos NTFS y permite proteger la integridad de los datos.
Su implementacin permite prohibir, a aquellos usuarios con acceso al contenido, que lo copien,
impriman o incluso que lo transfieran.
AD RMS protege los documentos mediante un cifrado basado en un certificado y una licencia de
uso. Cualquier persona que desee leer un documento protegido por la infraestructura de
gestin de derechos de Active Directory debe contar con un cliente AD RMS actualizado, un
certificado de cuenta de derechos as como una licencia de uso.
Una infraestructura AD RMS debe configurarse para que las propias aplicaciones permitan
proteger el contenido.
Los equipos cliente que ejecuten Windows XP deben contar con al menos el Service Pack 2
para disponer del cliente AD RMS.
Por defecto, los servicios web de AD RMS escuchan en el puerto 80 de los servicios IIS. En un
entorno de produccin, es preferible implementar un acceso SSL HTTPS utilizando el puerto
443.
Una infraestructura AD RMS es compleja y est basada en varias tecnologas como: AD DS, AD
FS, AD CS.
Para extender las caractersticas de los servicios AD RMS hacia el exterior de la organizacin,
hay que crear una URL de clster Extranet.
Para aprobar otras infraestructuras AD RMS, hay que crear una directiva de confianza y, a
continuacin, intercambiar los certificados de licencia de los servidores.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 Para qu sirve la clave de cifrado del clster AD RMS?
4 Qu es un clster raz?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /6
3. Respuestas
1 Para qu sirve la clave de cifrado del clster AD RMS?
La clave de cifrado del clster AD RMS se genera durante la instalacin del primer servidor del
clster raz. Cada servidor que necesite unirse al clster raz debe presentar esta clave de cifrado.
Cuando un usuario protege el contenido de uno de sus archivos, el clster asigna al documento
una licencia de publicacin que define los permisos del documento.
Cuando un usuario autorizado intenta acceder al contenido protegido, el clster proporciona una
licencia de uso que permite abrir el archivo.
4 Qu es un clster raz?
Un clster raz de AD RMS representa un conjunto de servidores que ejecutan el rol de servidor AD
RMS. Los servidores pueden unirse mediante una URL de clster para responder a las peticiones de
licencias de uso y gestin de certificados.
Los integrantes del grupo superusuarios reciben el conjunto de licencias propietarias para poder
descifrar todo tipo de contenido protegido por la infraestructura AD RMS.
Requisitos previos y objetivos
1. Requisitos previos
Tener conocimientos bsicos de la administracin de Windows Server 2012 R2.
2. Objetivos
Comprender la utilidad de los servicios de federacin de Active Directory.
Para aportar a los administradores una mayor flexibilidad para la gestin de las relaciones de
confianza entre asociados u otros servicios en lnea, Microsoft ha implementado en su sistema
operativo Windows Server 2012 R2 los servicios de federacin de Active Directory. La tecnologa
existe desde Windows Server 2003 R2 pero, a partir de Windows Server 2008, los servicios de
federacin de Active Directory se presentan como un rol de servidor llamado AD FS (Active Directory
Federation Services).
1. Presentacin de AD FS
Active Directory Federation Services es un rol de servidor que permite extender la gestin de la
autenticacin al exterior de su red empresarial. La implementacin de esta tecnologa no requiere la
apertura de los diferentes canales de red empleados por el trfico de los servicios de dominio de
Active Directory, sino que simplemente se conforma con el uso de comunicaciones cifradas a travs
del protocolo HTTPS (puerto generalmente abierto previamente en el firewall de una infraestructura
que ya publica servicios web o de mensajera Webmail). Los servicios de federacin proporcionados
por el rol de servidor AD FS permite obtener una nica autenticacin (SSO: Single Sign On) en las
aplicaciones de tipo Web (Web SSO). No es necesario trabajar con varias organizaciones para
implementar AD FS. Tambin podemos utilizar AD FS dentro de una misma organizacin, o entre dos
bosques que posean relaciones de confianza entre s. AD FS en Windows Server 2012 R2 se basa
en la versin AD FS 3.0 y Microsoft ha agregado comandos de gestin PowerShell adicionales as
como una integracin con el control de acceso dinmico.
a. Funcionamiento de AD FS
AD FS permite autorizar a los usuarios de sus asociados a acceder a sus recursos. Cuando un
usuario intenta acceder a uno de sus recursos contenido dentro del permetro de publicacin, los
servicios de federacin efectan un proceso de validacin automtico utilizando la informacin de
conexin introducida y la informacin de autenticacin del usuario que previamente ha abierto una
sesin en su dominio de origen (anlisis del token de acceso Windows). De esta forma, la
infraestructura AD FS comunica con los servicios de dominio AD DS internos o los de sus asociados.
Esto permite asegurar que las credenciales proporcionadas son vlidas antes de presentar y
autorizar el acceso al recurso solicitado. Si uno de sus asociados no cuenta con el directorio AD DS,
los servicios de federacin pueden, tambin, trabajar de manera conjunta con el rol de servidor AD
LDS (Active Directory Lightweight Directory Services), que es el equivalente a un servicio de
directorio ms ligero que los servicios de directorio de AD DS. Mediante este proceso de
autenticacin, los usuarios de cada organizacin federada solo tienen la necesidad de autenticarse
durante el inicio de sesin de su equipo cliente para utilizar a continuacin una aplicacin web sin
tener que identificarse de nuevo (sin necesidad de introducir el nombre de usuario y la
contrasea).
Servicios AD RMS
Servicios Citrix
Para trabajar con otras organizaciones que utilicen a su vez servicios de federacin y servicios de
dominio Active Directory, los administradores a cargo de la implementacin de AD FS deben crear
relaciones de confianza federadas.
No hay que confundir las relaciones de confianza (que hacen referencia a la relacin de
confianza tradicional entre los bosques de Active Directory) con las relaciones de confianza de
federacin (que hacen referencia a una relacin de confianza federada entre dos bosques de
Active Directory).
Dado que la autenticacin de los usuarios est basada, en parte, en los token de acceso
Windows, la sincronizacin horaria de los equipos de la infraestructura juega un rol importante. El
emulador PDC de cada controlador de dominio tiene la funcin de sincronizar la hora de los
equipos correspondientes. Sin embargo, si trabajamos con diferentes organizaciones que
gestionan sus propios directorios AD DS, no es sencillo gestionar estos datos horarios. Por este
motivo, Microsoft recomienda a todas las organizaciones basar su sincronizacin horaria en
servidores externos, utilizando el protocolo NTP (Network Time Protocol).
Cuando un usuario se autentica en una aplicacin compatible con AD FS, el navegador web crea
una cookie local, permitiendo asi al usuario autenticarse en SSO ms rpidamente.
b. Administracin de AD FS
El asistente de instalacin del rol de servidor AD FS instala a su vez el servicio Active Directory
Federation Services:
Este servicio se encuentra detenido por defecto. Primero hay que configurar los servicios de
federacin empleando el asistente de la consola de administracin AD FS para poder arrancar el
servicio.
Al aadir el rol de servidor AD FS se instalan tambin los servicios Web (IIS) con la
caractersticaAutenticacin de asignaciones de certificado de cliente.
El asistente de instalacin ofrece dos tipos de instalacin de los servicios de federacin. Es posible
realizar los siguientes tipos de instalacin:
Instalacin en una granja de servidores: esta opcin permite dotar de alta disponibilidad a
los servicios de federacin, adems de un sistema de equilibrio de carga de los servidores
AD FS.
Servicio:
Extremos
Certificados
Descripciones de notificaciones
Relaciones de confianza:
Almacenes de atributos
2. Notificaciones
Las notificaciones contienen informacin especfica acerca de un usuario o un equipo que se
autentica en una aplicacin compatible con AD FS.
Cuando un usuario realiza una solicitud de acceso a una aplicacin Web, el directorio AD DS que
efecta la autenticacin puede proporcionar las notificaciones solicitadas a un servidor de federacin
que transmite, a su vez, los datos a la aplicacin.
Notificaciones de usuarios: este tipo de notificacin es relativo a los atributos del usuario
que puede presentarse a un servidor de federacin. El atributo UPN (User Principal Name)
representa el atributo con mayor prioridad. Las direcciones de correo electrnico se utiliza,
tambin como parmetros de notificacin de usuario.
3. Infraestructura AD FS
Una infraestructura AD FS puede complicarse muy rpidamente en funcin del nmero de asociados
que requieran acceso a los recursos de la organizacin. Por este motivo, resulta muy importante
conocer bien los diferentes componentes de una infraestructura AD DS.
a. Infraestructura
Una infraestructura AD FS entre dos asociados que permita un acceso a las aplicaciones Web
externas se presenta segn el esquema siguiente:
El proceso de autenticacin SSO en un servidor Web que hospeda aplicaciones compatibles con AD
FS es el siguiente:
10. El navegador web crea una cookie local para que el usuario pueda volver a
conectarse al sitio Web con SSO.
b. Componentes
Servidores de federacin: los servidores de federacin poseen el rol del servidor AD FS.
Encontramos generalmente un servidor de federacin en el dominio que alberga los
recursos y otro en el dominio que alberga las cuentas de usuario.
Los clientes: los clientes son los usuarios que desean acceder a las aplicaciones habilitadas
para AD FS a travs de su equipo cliente. Una vez autenticados en el dominio AD DS de su
organizacin, pueden acceder a las aplicaciones Web externas a su organizacin y
habilitadas para AD FS sin tener que volver a introducir sus credenciales de conexin.
Las notificaciones: las notificaciones pueden ser de varios tipos. Pueden ser notificaciones
de identidad, de proveedor, de grupo, etc. Las notificaciones contienen por ejemplo, el
conjunto de datos vinculados al objeto de usuario o equipo.
Las veracidades de usuarios de confianza: son los servidores de federacin que reciben
los tokens de seguridad (tokens) de los usuarios externos a partir de un proveedor de
notificaciones aprobado. El servidor de federacin acepta las notificaciones proporcionadas
y genera nuevos tokens de seguridad que puede utilizar el servidor Web para autorizar a
los usuarios remotos.
4. Instalar y configurar AD FS
La instalacin de los servicios de federacin Active Directory requiere el conocimiento de las
siguientes recomendaciones y requisitos previos:
AD DS
AD LDS
ADAM
Proveedor de notificacin
Usuario de confianza
Para responder a esta necesidad, se le pide implementar la tecnologa AD FS para extender las
funcionalidades de los componentes AD RMS internos y obtener un acceso Web SSO para los servicios
Web de la empresa.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
1. Preparar el despliegue AD FS
Este taller permite preparar la instalacin del rol de servidor AD FS.
Paso 1: inicie una sesin en el servidor DC-01 con una cuenta de administrador del dominio
Infonovice.priv en el Administrador del servidor, haga clic en Herramientas y, a continuacin,
enDNS.
Paso 2: despliegue el rbol de la consola , haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.
Paso 4: inicie una sesin en el servidor DC-05 con una cuenta de administrador del
dominioOxyfilm.local y, a continuacin, en el Administrador del servidor, haga clic
en Herramientas y enDNS.
Paso 5: despliegue el rbol de la consola, haga clic con el botn derecho en Reenviadores
condicionales y, a continuacin, haga clic en Nuevo reenviador condicional.
Paso 7: verifique la sincronizacin horaria de los dos controladores de dominio y los equipos
integrantes del dominio. El conjunto de los equipos de la infraestructura debe estar
perfectamente sincronizado.
Paso 8: acceda al servidor FILES-01 y, desde el Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de Internet Information Services (IIS).
Organizacin: INFONOVICE
Unidad organizativa: AD FS
Pas o regin: ES
Paso 12: en el paso Entidad de certificacin en lnea, haga clic en Seleccionar para indicar la
entidad de certificacin Infonovice-Root-CA (hospedada en el servidor CS-03, que debe instalarse
y configurarse segn los requisitos previos del taller). Escriba FILES-01.infonovice.priv en el
campoNombre descriptivo y haga clic en Finalizar:
Paso 13: en la consola Administrador de Internet Information Services (IIS), despliegue el
rbol de la consola para seleccionar el sitio Default Web Site. En la parte derecha, haga clic
enEnlaces.
Paso 15: en la ventana Agregar enlace de sitio, introduzca la informacin siguiente y haga clic
en Aceptar:
Tipo: https
Puerto: 443
Paso 21: haga clic con el botn derecho en Entidades de certificacin raz de confianza y, a
continuacin, haga clic en Importar.
Paso 22: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 23: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
05.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 25: en el paso Finalizacin del Asistente para importar certificados, haga clic
enFinalizar.
Paso 30: haga clic con el botn derecho en Entidades de certificacin raz de confianza y, a
continuacin, haga clic en Importar.
Paso 31: en la ventana Asistente para importar certificados, haga clic en Siguiente en la
pantalla de bienvenida.
Paso 32: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC-
03.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente.
Paso 34: en el paso Finalizacin del Asistente para importar certificados, haga clic
enFinalizar.
Paso 35: acceda al servidor FILES-01, descargue e instale el archivo Windows Identity
Foundation SDK - Espaol (WindowsIdentityFoundation-SDK-3.5.msi).
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 5: en el paso Servicios de federacin de Active Directory (AD FS), haga clic enSiguiente.
Paso 9: en el centro de la consola AD FS, haga clic en el vnculo Asistente para configurar el
servidor de federacin de AD FS:
Paso 11: en el paso Seleccionar tipo de implementacin, marque la opcin Servidor de Entidad
de certificacin y, a continuacin, haga clic en Siguiente.
Paso 12: en el paso Nombre del servicio de federacin, verifique que el certificado SSL
seleccionado es FILES-01.infonovice.priv y haga clic en Siguiente.
Paso 15: inicie una sesin en el equipo CLIENT1 con las credenciales del usuario Juan
Dupont (nombre de usuario: jdupont y contrasea: P@ssw0rd). Abra Internet Explorer y valide la
instalacin accediendo a la siguiente URL: https://FILES-
01.infonovice.priv/federationmetadata/2007-06/federationmetadata.xml
Paso 16: repita las operaciones 1 a 14 en el servidor FS-02 del dominio Oxyfilm.local.
Paso 1: inicie una sesin en el servidor FILES-01 con credenciales de administracin del
dominioInfonovice.priv y, a continuacin, abra un smbolo de sistema PowerShell.
Paso 4: despliegue el rbol de la consola, haga clic con el botn derecho en ADFS \ Servicio \
Certificados, y haga clic en Agregar certificado de firma de token.
Paso 6: en la ventana AD FS, haga clic en S y, a continuacin, en Aceptar para ignorar los
mensajes de informacin.
Paso 7: en la seccin Firma de token, haga clic con el botn derecho en el certificado con el
nombre de objeto CN=FILES-01.infonovice.priv y, a continuacin, haga clic en Establecer como
principal.
Paso 8: en la ventana AD FS, haga clic en S para ignorar el mensaje informativo.
Paso 1: inicie una sesin en el servidor FILES-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, arranque el Administrador del servidor. Haga clic
enHerramientas y, a continuacin, en Administracin de AD FS.
Paso 3: en la ventana Editar reglas de notificacin para Active Directory, haga clic en Agregar
regla.
Paso 5: en el paso Configurar regla, introduzca los elementos siguientes, haga clic
en Finalizary, a continuacin, en Aceptar:
User-Principal-Name: UPN
Display-Name: Nombre
Paso 1: inicie una sesin en el servidor FS-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.
Paso 2: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 6: en el paso Seleccionar servicios de rol, marque la opcin Proxy FSP y, a continuacin,
haga clic en Siguiente.
Paso 7: deje las dems opciones por defecto haciendo clic en Siguiente y, por ltimo, haga clic
en Instalar.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los servicios de Federacin de
Active Directory con la implementacin del rol de servidor AD FS en Microsoft Windows Server 2012 R2.
Podra resumirse de la manera siguiente:
El almacn de atributos debe especificarse al implementar el primer servidor AD FS para que los
dems servidores lo utilicen.
Antes de ser accesibles para los usuarios, las aplicaciones deben primero estar habilitadas
para funcionar con AD FS. Un administrador debe crear las notificaciones adecuadas que deben
presentarse a la aplicacin.
AD FS permite realizar una autenticacin SSO para las aplicaciones de tipo Web.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 Sobre qu versin de AD FS estn basados los servicios de federacin de Active Directory?
2 Qu puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /4
3. Respuestas
1 Sobre qu versin de AD FS estn basados los servicios de federacin de Active Directory?
2 Qu puerto del firewall debe estar abierto para que una infraestructura AD FS pueda
funcionar correctamente?
Los servicios de federacin Active Directory solo necesitan el puerto 443 para intercambiar
informacin mediante el protocolo HTTPS.
Si el rol de servidor AD FS est instalado como servidor independiente, no es posible agregar otros
servidores. El administrador deber desinstalar el rol de servidor para volver a instalarlo en modo
granja de servidores.
1. Requisitos previos
Instalar y configurar la direccin IP de un equipo cliente.
2. Objetivos
Comprender la nocin de reparto de carga.
En comparacin, imagine una sala de cine con varias pelculas y una sola taquilla abierta. Si varios
clientes acuden a la vez, el taquillero se ver rpidamente desbordado y los clientes estarn
descontentos por la espera para acceder al contenido deseado. En este momento el cine abrir una
o ms taquillas para repartir la carga de trabajo entre varios empleados reduciendo as el tiempo de
espera de los clientes. En este caso concreto, la alta disponibilidad se garantiza mediante la difusin
de una misma pelcula en dos salas diferentes.
Extrapolemos este ejemplo llevndolo a una infraestructura informtica. Una empresa (el cine, en
nuestro ejemplo) que posea un nico servidor web (la pelcula, en nuestro ejemplo) y que no utilice
ninguna tcnica de reparto de carga se ver rpidamente saturado por un pico de utilizacin del
servicio por varios usuarios. La implementacin de una tcnica de reparto de carga consistir en
agregar uno o varios servidores ofreciendo un contenido idntico para que los usuarios puedan
acceder a travs de un punto de acceso nico (la taquilla de cine, en nuestro ejemplo). El equilibrio
de carga permite de esta forma incrementar la seguridad de un sistema de informacin ofreciendo
redundancia a los servidores y un acceso viable incluso en caso de fallo de uno de los servidores.
A una agrupacin de servidores se le denomina una granja, pero en una solucin de reparto de
carga hablaremos en concreto de un clster. Cada servidor integrado en un clster se representa
como un nodo del clster. Las peticiones de los usuarios se distribuyen, de esta manera, entre los
nodos que componen el clster.
Antes de implementar una solucin de reparto de carga, debemos conocer que existen varias
tecnologas software o hardware.
a. Tecnologas existentes
Para implementar una solucin de equilibrio de carga dentro de una infraestructura informtica,
debemos plantearnos la pregunta de qu tecnologa utilizar. Las soluciones hardware presentan
muchas ms opciones de configuracin y administracin que las soluciones software aunque son,
sin embargo, mucho ms costosas. Las soluciones software son en su mayora fciles de
implementar y ofrecen una excelente solucin de alta disponibilidad a menor coste. Cada una de
las tecnologas disponibles estar ms o menos adaptada a un servicio de su infraestructura.
Las soluciones hardware consisten en cabinas de red que registran las solicitudes
entrantes de los clientes que llegan a una direccin IP virtual para distribuirla a un host
disponible en un clster. Hoy en da, varios fabricantes ofrecen soluciones de reparto de
carga por hardware (por ejemplo, las cabinas ALOHA de Exceliance, NetScaler de
CITRIX,ACE de CISCO, etc.).
El reparto de carga de red o NLB (Network Load Balancing): esta solucin es una
funcionalidad integrada en Windows, fcil de implementar y de administrar. El principio de
funcionamiento consiste en repartir las peticiones entrantes a travs del
protocoloTCP/IP (Transmission Control Protocol/Internet Protocol) entre los servidores
disponibles de un clster.
El DNS Round-Robin (operacin por turnos): esta solucin de equilibrio de carga consiste
en registrar varias direcciones IP para un mismo nombre de dominio. Mediante un
mecanismo llamado de operacin por turnos, el servidor DNS atribuir una direccin IP por
reparto (mediante aquellas presentes en la configuracin del nombre de dominio
especifico) a los clientes que realicen una solicitud de resolucin de ese nombre de
dominio.
b. Ventajas e inconvenientes
Las ventajas:
Atacando una direccin IP virtual llamada VIP, los servidores que componen el clster
estn protegidos porque el usuario no conoce directamente la direccin IP de los
servidores que componen el clster
Alta disponibilidad
Los inconvenientes:
Soluciones costosas
Las ventajas:
Fcil de implementar
Integrado en Windows
Gratuito
Atacando una direccin IP virtual llamada VIP, los servidores que componen el clster
estn protegidos porque el usuario no conoce directamente la direccin IP de los
servidores que componen el clster.
Alta disponibilidad
Los inconvenientes:
DNS Round-Robin:
Las ventajas:
Fcil de implementar
Integrado en Windows
Gratuito
Los inconvenientes:
Esta solucin no permite conocer el estado de un servidor. Los usuarios pueden verse
dirigidos a un servidor fuera de servicio.
El software de terceros:
Las ventajas:
Alta disponibilidad
Los inconvenientes:
a. Prioritario
Este modo de equilibro de carga permite redirigir todas las peticiones entrantes a un servidor por
defecto. Dicho de otra forma, todas las peticiones de usuario se envan al servidor que tenga la
mayor prioridad del clster. Cuando el servidor prioritario no se encuentra disponible, o no
responde, las peticiones entrantes se envan directamente al servidor que tiene una prioridad
menor. Este modo de reparto de carga no est adaptado a escenarios muy escalables porque solo
se utiliza un servidor. Para definir un nodo prioritario, basta con indicar el valor 1 en sus
parmetros de prioridad. Este nmero corresponde a la mxima prioridad. El segundo servidor
tendr entonces el valor 2. Existen solo 32 niveles de prioridad porque el clster de equilibrio de
carga solo puede gestionar 32 hosts como mximo.
Para definir este tipo de reparto de carga, basta con seleccionar la opcin Un nico host en las
propiedades de una regla de puerto del clster:
b. Modo igual
Este modo de equilibrio de carga permite repartir el trfico entrante de la misma forma en el
conjunto de los hosts disponibles en el clster. De esta forma, cada nodo del clster trata una
carga idntica y puede responder eficazmente a un incremento de la carga. Cuando un host del
clster presenta un fallo de disponibilidad, el reparto se realiza de nuevo de forma equilibrada
entre los hosts restantes.
Para definir este tipo de reparto, basta con seleccionar la opcin Host mltiple en las propiedades
del clster de equilibrio de carga, y marcar, a continuacin, la opcin Igual en las propiedades de
una regla de puerto asociada a cada nodo del clster. En este modo, tambin podemos definir la
afinidad de las sesiones.
c. Modo manual
Este modo de equilibrio de carga permite definir incluso el porcentaje de reparto asignado a cada
nodo del clster. Cada nodo estar configurado con un peso que definir su carga en el clster
NLB:
Para definir este tipo de equilibrio de carga, basta con desmarcar la opcin Igual en las
propiedades de una regla de puerto asociada a cada nodo del clster y definir de forma manual, a
continuacin, la carga a tratar por cada nodo seleccionado:
3. Modos de transmisin
El conjunto de los nodos de una infraestructura de equilibrio de carga debe poseer una direccin IP
esttica ubicada en una misma subred. Las tarjetas de red deben estar configuradas en
modoUnicast (monodifusin) o Multicast (multidifusin). No se soportan entornos mixtos. Todos los
hosts de un clster debern pues utilizar el mismo modo de transmisin:
a. Unicast - Monodifusin
Durante la implementacin del clster NLB en modo unicast, la direccin MAC (Media Access Control),
asociada a la nica tarjeta de red, se desactiva y se remplaza por una direccin MAC virtual
generada automticamente. Todos los hosts del clster poseen entonces la misma direccin MAC,
lo cual hace imposible la comunicacin entre los hosts de un mismo clster.
En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 02-bf-
XX-XX-XX-XX:
Cuando un clster utiliza el modo unicast, los miembros intercambian peticiones de broadcast
para indicar su pertenencia al clster.
b. Multicast - Multidifusin
Este modo de transmisin puede utilizarse cuando un host cuenta con una o ms tarjetas de red.
La primera tarjeta de red estar dedicada al trfico del clster NLB y la segunda a la administracin
del servidor.
Cuando implementamos un clster NLB en modo multicast, se conserva la direccin MAC (Media
Access Control) asociada a la primera tarjeta de red. La interfaz dedicada al clster poseer una
direccin MAC diferente en cada host, adems de la direccin MAC del clster. La segunda tarjeta
de red permitir a cada nodo comunicarse dentro del clster o con las otras redes.
En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 03-bf-
XX-XX-XX-XX:
c. Multidifusin IGMP
Este modo de transmisin puede utilizarse cuando un host cuenta con una o ms tarjetas de red.
Combinando el modo de transmisin Multicast con IGMP (Internet Group Management Protocol), se
garantiza que el flujo de datos emitido por el clster NLB pasar por los puertos del conmutador
dedicados a cada nodo.
En este modo de difusin, el clster generar una direccin MAC virtual que comienza por 01-00-
XX-XX-XX-XX:
Ninguno (None): todas las peticiones de un cliente se dirigen a cualquier servidor miembro
del clster.
Sencillo (Single): todas las peticiones de un cliente se dirigen al mismo servidor despus de
una primera conexin.
Red (Network): todas las peticiones de un cliente se dirigen al mismo servidor en funcin de
su direccin IP. Esta opcin se utiliza, principalmente, cuando varios usuarios provienen de
subredes diferentes:
Por ejemplo, cuando un host est fuera de servicio y no responde, se le excluye automticamente
del clster NLB y no se le dirige ninguna peticin.
Para determinar si los servidores de un clster estn activos, se intercambian mensajes de latido
entre s, tambin llamados Heartbeat (latido de corazn), cuyo objetivo es comprobar su correcto
funcionamiento adems de su pertenencia al clster. El envo de estos mensajes est planificado
cada cinco segundos en cada host (este perodo se reduce a un segundo durante las fases de
convergencia, para que el clster establezca la lista de miembros activos). Si uno de ellos no es
capaz de emitir mensajes de latido, se considera fuera de servicio y se excluye automticamente del
clster NLB. Este proceso no necesita intervencin humana y es perfectamente autnomo.
En el caso de excluir un host del clster, se produce un fenmeno de convergencia. Los servidores
activos integrantes del clster convergen para determinar el conjunto de tareas siguientes:
Elegir un nuevo host por defecto (el que tenga la propiedad ms alta).
Verificar que las nuevas peticiones entrantes se gestionan en los hosts disponibles del
clster.
Es posible configurar la frecuencia de envo de los mensajes de latido en un clster modificando una
clave del registro en cada nodo.
La clave de registro siguiente permite configurar la frecuencia del envo de los mensajes de
latido llamados Heartbeat (valor expresado en milisegundos):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgPeriod (Valor por defecto: 1 seg., es decir 1000 m s en decimal):
La siguiente clave del Registro permite definir el nmero de mensajes de latido fallidos antes
de declarar un host como fuera de servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\
{GUID_INTERFACE}\Aliv eMsgTolerance (Valor por defecto: 5 intentos):
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permitir
garantizar el acceso a los servidores web que hospedan el sitio Intranet de la empresa. El sitio
intranet lo consulta, esencialmente, el personal de la empresa y la direccin le solicita que el acceso
est optimizado con por una solucin de reparto de carga de red.
La infraestructura debe apoyarse en dos servidores web bajo IIS albergando cada uno una copia del
sitio intranet. Los dos servidores miembros del dominio Infonovice.priv deben estar integrados en un
clster de reparto de carga de red.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Para complementar la parte terica del reparto de carga, aqu tiene algunos escenarios que le
permitirn utilizar las diferentes herramientas e implementar una infraestructura NLB. Para
establecer un laboratorio con mquinas virtuales, podemos crear una infraestructura de prueba en
la plataforma Cloud de Microsoft Azure (1 mes de evaluacin
gratuito:http://www.windowsazure.com/es-es).
Paso 4: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.
Antes de configurar la infraestructura de equilibrio de carga de red hay que verificar que las
direcciones IP de cada nodo estn configuradas de forma esttica y no utilizando DHCP. En nuestro
caso, vamos a configurar una infraestructura NLB en modo unicast a travs de una nica tarjeta de
red en cada host.
Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2,
con una cuenta con permisos de administrador.
enConfiguracin:
Paso 3: en la seccin Configuracin, haga clic en Panel de control:
Para acceder a esta ventana ms rpidamente, podemos escribir el comando ncpa.cplen una
ventana Ejecutar o Smbolo del sistema.
Paso 10: haga clic dos veces en Aceptar para salir de la ventana de propiedades del adaptador
de red.
Paso 11: la direccin IP de la tarjeta de red del servidor NLB-01 est ahora configurada de
forma esttica. Repita los pasos 1 al 10 en el servidor NLB-02 con la informacin de
configuracin IP siguiente:
La creacin de un clster de equilibrio de carga de red tendr como objetivo crear la direccin IP
virtual que ser el punto de entrada de todos los nodos del clster. En primer lugar, es preciso
verificar que la hora de cada servidor est perfectamente configurada y sincronizada.
Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: en el rbol de la consola, haga clic con el botn derecho en Clsteres de equilibrio de
carga de red y haga clic en Nuevo clster:
Paso 5: seleccione la interfaz de red que servir para el clster de equilibrio de carga y haga clic
en Siguiente.
Paso 6: en la ventana Clster nuevo: Parmetros de host, deje las opciones por defecto y, a
continuacin, haga clic en Siguiente.
Paso 7: en la ventana Clster nuevo: Direccin IP del clster, haga clic en Agregar para
especificar la direccin IP virtual del clster de equilibrio de carga.
Paso 8: escriba la direccin IP virtual siguiente, accesible a los usuarios y, a continuacin, haga
clic en Aceptar:
Paso 9: en la ventana Clster nuevo: Direcciones IP del clster, haga clic en Siguiente:
Paso 10: en la ventana Clster nuevo: Parmetros de clster, informe el campo Nombre
completo de Internet escribiendo Intranet.infonovice.priv, marque la opcin Multidifusin para
definir el modo de operacin del clster y haga clic en Siguiente:
Paso 11: en la ventana Clster nuevo: Reglas de puerto, haga clic en Finalizar.
Paso 12: el clster de equilibrio de carga de red Intranet.infonovice.priv est, ahora, configurado
con un nico host:
Es posible configurar un clster de equilibrio de carga de red con varias direcciones IP virtuales.
Tambin es posible aplicar una regla de puerto diferente por IP virtual del clster.
Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: en el rbol de la consola, haga clic con el botn derecho en el nombre del clster
(Intranet.infonovice.priv) y, a continuacin, haga clic en Propiedades de clster.
La regla de puerto por defecto redirige todas las peticiones de usuario entrantes de ambos
protocolos, TCP y UDP, a un puerto comprendido entre 0 y 65535. La regla de afinidad por
defecto est definida para "single".
Con una regla de configuracin de puerto es, tambin, posible bloquear el acceso a algunos puertos
TCP o UDP haciendo clic en la opcin Deshabilitar este intervalo de puerto:
Es posible crear varias reglas de puerto, asociadas o no a diferentes IP virtuales que pertenezcan al
clster de equilibrio de carga de red.
Configurar la afinidad
Para configurar la afinidad de una sesin hay que activar el modo de filtrado Host mltiple en una
regla de puerto y, a continuacin, marcar la opcin correspondiente a la afinidad de sesin deseada.
En nuestro caso, podemos seleccionar la afinidad Sencillo que permite a un usuario volver a conectar
al mismo servidor en caso de una prdida de conexin al clster:
Para realizar esta operacin, el segundo host NLB-02, debe estar configurado con una direccin
IP fija, adems de tener instalada la caracterstica del servidor Equilibrio de carga de red.
Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador.
Paso 2: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.
Paso 3: haga clic con el botn derecho en el nombre del clster (Intranet.infonovice.priv) y, a
continuacin, haga clic en Agregar host al clster.
Paso 5: seleccione la interfaz del host remoto a configurar para el clster de equilibrio de carga y,
a continuacin, haga clic en Siguiente:
Paso 6: en la ventana Agregar host al clster: Parmetros de host, verifique que tiene
asignada una prioridad igual a 2 y, a continuacin, haga clic en Siguiente:
El segundo nodo de un clster tendr por defecto un parmetro de prioridad fijado en 2, porque
el primer host de un clster es prioritario. Esto quiere decir que tiene un parmetro de prioridad
fijado en 1.
Paso 7: en la ventana Agregar host al clster: Reglas de puerto, haga clic en Finalizar.
Para administrar un clster de equilibrio de carga de red por lnea de comandos, hay que emplear el
ejecutable NLB.exe ubicado en el directorio C:\Windows\System32 del servidor que tenga la
caracterstica de equilibrio de carga de red:
Por ejemplo, si deseamos desactivar de forma remota todas las peticiones entrantes en un host
especfico del clster, basta con escribir el comando siguiente:
Para conocer la lista de opciones disponibles con el ejecutable NLB, basta con escribir el comando
siguiente: NLB help
Help
Ip2mac
Reload
Display
Query
Suspend
Resume
Start
Stop
Drainstop
Enable
Disable
Drain
Queryport
Params
Paso 2: escriba el siguiente comando, que permite identificar el nombre de la interfaz de red a
configurar:
Get-NetAdapter
Paso 3: escriba el siguiente comando para agregar una IP virtual al clster de equilibrio de carga:
Por ejemplo:
Paso 4: abra la consola Administrador de equilibrio de carga de red, edite las propiedades del
clster para verificar que la direccin IP virtual 192.168.0.204 se ha agregado correctamente:
Paso 5: para eliminar la direccin IP virtual agregada previamente, escriba el comando siguiente:
Paso 2: escriba el siguiente comando para identificar el nombre de la interfaz de red que desea
configurar:
Get-NetAdapter
Por ejemplo:
Paso 4: abra la consola Administrador de equilibrio de carga de red para verificar que el host
NLB-02 se ha detenido correctamente:
Paso 5: para arrancar un host del clster, escriba el comando PowerShell siguiente:
Este procedimiento describe cmo agregar la caracterstica IIS en un servidor Windows 2012 R2.
Paso 1: inicie una sesin en el servidor NLB-01 con sistema operativo Windows Server 2012 R2
con una cuenta con permisos de administrador local.
Paso 4: haga clic en Siguiente para pasar las pginas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 5: en la ventana Seleccionar roles de servidor, marque la opcin Servidor web (IIS).
Paso 10: repita los pasos 1 al 9 en el segundo servidor que compone el clster de equilibrio de
carga (NLB-02).
Paso 11: configure los parmetros del clster de equilibrio de carga para redefinir la regla de
puerto para un intervalo de 1 a 65535.
Paso 12: conctese al equipo CLIENT1 y acceda a uno de los servidores IIS escribiendo la URL
con la direccin IP virtual del clster, es decir http://192.168.0.202. Identifique a qu servidor
le ha redirigido el administrador de equilibrio de carga:
Ahora que los servidores de aplicacin Web estn configurados, vamos a simular la prdida de uno de
los nodos del clster para verificar que el acceso a otro servidor del clster est siempre disponible.
Paso 1: abra el men Inicio y, a continuacin, haga clic en Administrador de equilibrio de carga
de red.
Paso 2: en el ejercicio anterior, el clster de equilibrio de carga de red ha redirigido nuestra
peticin al servidor llamado NLB-01. Vamos, ahora, a simular el fallo de este ltimo prohibiendo
cualquier conexin a este servidor. Identifique el nodo NLB-01 en la consola Administrador de
equilibrio de carga de red, contenido en el clster previamente creado. Haga clic con el botn
derecho en el servidor y, a continuacin, haga clic en Controlar host - Detener:
Un clster NLB se compone de varios servidores que tienen la funcionalidad Equilibrio de carga
de red.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 Cuntos nodos es posible gestionar, como mximo, en un clster NLB?
16
32
64
2 En un modo de equilibrio de carga prioritario, cul de estas cifras significa que un servidor
tiene mayor prioridad?
6 En un clster NLB, a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /7
3. Respuestas
1 Cuntos nodos es posible gestionar, como mximo, en un clster NLB?
16
32
64
En una infraestructura que utiliza el equilibrio de carga de Microsoft, NLB puede funcionar con
clsteres compuestos de hasta 32 hosts. Esta limitacin del software es vlida para cualquier
edicin de Windows Server 2012 R2.
2 En un modo de equilibrio de carga prioritario, cul de estas cifras significa que un servidor
tiene mayor prioridad?
En un clster NLB podemos configurar tres modos de difusin. Unicast, multicast e IGMP
multicast.
Una regla de puerto permite configurar una directiva de reparto de carga agregando un filtrado de
las peticiones entrantes basado en el protocolo de red, el puerto y la direccin IP virtual del clster.
Mediante una regla de puerto es posible, tambin, configurar el modo de equilibrio de carga.
6 En un clster NLB, a partir de cuantos mensajes de latido ausentes se declara un host como
fuera de servicio?
Por defecto, se considera que un host est fuera de servicio y se le excluye de un clster NLB si no
responde a ms de 5 mensajes de latido.
La consola Adm inistrador de equilibrio de carga de red permite administrar un clster NLB
empleando una interfaz grfica.
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
2. Objetivos
Saber implementar una solucin de alta disponibilidad.
Soporte para 8000 mquinas virtuales en cada clster (frente a 1000 para Windows Server
2003 y 4000 para Windows Server 2012).
2. Funcionamiento de un clster
En el funcionamiento bsico de un clster, cuando un nodo deja de responder, el clster cambia
automticamente el servicio enviando a los usuarios a otro nodo disponible del clster. Un clster se
compone de varios componentes:
Las redes: un clster posee una red para comunicarse con los usuarios y una red diferente
para que los servidores se comuniquen entre ellos.
Los clientes: representan los usuarios que acceden al servicio hospedado en el clster.
Al igual que una infraestructura de equilibrio de carga (NLB), los nodos de un clster se comunican
entre s. De este modo, cada nodo conoce el estado de los otros nodos. Esta comunicacin permite
a los nodos del clster conocer en tiempo real cules son los nodos defectuosos, los nodos
entrantes o salientes del clster. En lo relativo al almacenamiento, los nodos del clster acceden al
mismo dispositivo de almacenamiento sea un volumen compartido en un disco duro, un elemento de
almacenamiento iSCSI o una cabina de almacenamiento SAN de fibra ptica. La opcin de la solucin
de almacenamiento se debe basar en las especificaciones de la empresa y las expectativas en
trminos de rendimiento. En cuanto a las tecnologas de particionado de discos, las particiones FAT
no estn soportadas. Los discos que componen el almacenamiento disponible pueden ser de tipo
MBR o GPT.
a. Redes
La implementacin de un clster de conmutacin por error requiere la configuracin de diferentes
redes de comunicacin. Los nodos del clster soportan los protocolos de comunicacin IPv4 e IPv6.
Segn las mejores prcticas, cada nodo del clster debe contar con al menos dos tarjetas de red
para poder configurar las redes siguientes:
Una red privada: este tipo de red permite a los nodos del clster de conmutacin por error
comunicarse entre s para intercambiar mensajes de latido llamados heartbeat en la versin
inglesa. Los mensajes de latido sirven para interrogar a los integrantes del clster y
verificar que cada nodo est en lnea. El envo de los mensajes de latido con destino a los
nodos del clster se realiza mediante el protocolo UDP por el puerto 3343.
Una red pblica: este tipo de red permite a los clientes conectarse al servicio hospedado
en los nodos del clster.
En la instalacin del clster, una de las tarjetas de red debe identificarse como red pblica y la otra
como red interna:
Si la infraestructura de conmutacin solo cuenta con nodos que disponen de una sola tarjeta de
red, es posible autorizar a los clientes a conectarse mediante una red interna marcando la
opcinPermitir que los clientes se conecten a travs de esta red:
Hablamos entonces de una red mixta que combina la red interna del clster de conmutacin por
error y la red pblica que acepta las comunicaciones de los equipos cliente.
Si los discos que componen el almacenamiento del clster estn accesibles mediante una red
iSCSI, es muy recomendable dedicar, tambin, esta red para separar la red interna de la red
pblica.
b. Conmutacin
Para respetar un nivel de calidad de servicio ptimo, los clsteres de conmutacin interrogan
permanentemente a los nodos que los componen para saber si estn activos. En caso de no
obtener respuesta de un nodo activo del clster, se le excluye automticamente para que los
recursos conmuten a otro nodo disponible del clster que se convierte entonces en el nodo activo.
El siguiente esquema ilustra las acciones realizadas por un clster durante una conmutacin de
recursos a otro nodo:
5. Los recursos compartidos se ponen en lnea para el nuevo nodo activo del
clster.
c. Volmenes compartidos
En la mayora de las infraestructuras, solo un nodo del clster alberga el servicio donde la
aplicacin est disponible para los usuarios. Este servidor se conoce como servidor activo y ejecuta
localmente la aplicacin con un acceso exclusivo en la ubicacin de almacenamiento de los datos
del aplicativo. Los dems nodos del clster se configuran como nodos pasivos. Cuando el nodo
activo queda fuera de servicio por un fallo, otro nodo del clster se convierte en el nodo activo y
ejecuta a su vez la aplicacin de manera local teniendo la precaucin de recuperar el acceso
exclusivo al recurso compartido de los datos del aplicativo. Para gestionar los accesos
concurrentes, Microsoft ha introducido a partir de Windows Server 2008 R2 la tecnologa de
volmenes compartidos, ms conocidos bajo el nombre de CSV en la versin inglesa del sistema
operativo (CSV: Cluster Shared Volumes). Los volmenes compartidos permiten pues a los nodos
de un clster de conmutacin por error acceder simultneamente a un mismo archivo hospedado
en una LUN del elemento de almacenamiento compartido. Los volmenes compartidos aparecen
bajo la forma de un sistema de archivos de tipo CSVFS (Cluster Shared Volume File System) y
utilizan la tecnologa de comparticin SMB 3.0 (Server Message Block) para activar los flujos de
datos compartidos entre los nodos de un clster. A diferencia de los sistemas de archivos NTFS, el
sistema de archivos CSVFS puede someterse a operaciones de mantenimiento manteniendo el
servicio en lnea. Es posible, por ejemplo, ejecutar el comando de verificacin del disco Check
Disk(Chkdsk.exe) sin necesidad de desmontar las particiones activas o reiniciar el sistema.
En comparacin con Windows Server 2008 R2, la consola de administracin conserva casi la misma
interfaz. Se han aadido a su vez comandos PowerShell adicionales para la gestin del clster
bajo Windows Server 2012 R2 y algunas caractersticas, como la utilidad Cluster.exe, se han
eliminado en Windows Server 2012.
Ha aparecido, tambin, una nueva caracterstica para el clster de conmutacin por error a partir
de Windows Server 2012. Es, ahora, posible actualizar el sistema operativo con parches de
Windows en cada nodo sin tener que interrumpir el servicio. Los parches (Hotfix) de Microsoft
pueden instalarse mediante el complemento Actualizacin compatible con clsteres (Cluster-
Aware Updating), disponible en las herramientas administrativas del sistema operativo.
Crear un nuevo clster: permite crear un clster de conmutacin por error aadiendo los
servidores que compondrn los diferentes nodos disponibles de la infraestructura de
conmutacin por error.
Inventario:
Almacenamiento
Sistema
Red:
Validar la configuracin de IP
Almacenamiento:
Validar los datos vitales de producto (Vital Product Data) del dispositivo SCSI
Cuando la configuracin del clster de conmutacin por error finaliza, tambin es posible
mostrar un informe de configuracin en formato *.mht desde el asistente de creacin del
clster.
Una vez establecida la conexin al clster, la consola de administracin permite visualizar las
tareas de administracin siguientes:
Nodos: permite gestionar los diferentes hosts del clster. Tambin podemos aadir un
nuevo host al clster o detener el servicio de clster.
Almacenamiento:
Discos: permite administrar los discos disponibles para un clster. La visualizacin indica
que nodo del clster es propietario del espacio de almacenamiento. Cuando un nodo
queda inactivo, el qurum determina el nodo al cul bascular (consulte la seccin
siguiente).
Redes: permite visualizar las redes internas o externas disponibles para el clster de
conmutacin por error.
Red de clsteres 1 y 2: permite definir qu red est dedicada a la red interna o a la red
de cliente.
Eventos de clster: permite visualizar los registros de eventos vinculados a la actividad del
clster de conmutacin por error.
f. Qurum
En un clster de conmutacin por error, un qurum determina el nmero de nodos que deben
estar en lnea para que el clster pueda garantizar el servicio a los usuarios. La opcin de dejar el
servicio en lnea se realiza mediante un sistema de votacin en el que cada nodo del clster o
disco compartido puede dar su voto. Para que la votacin sea justa, hace falta que el nmero de
nodos sea impar, para que haya forzosamente un voto ganador y no de igualdad. Si el nmero de
nodos disponibles para un voto es idntico, un componente del clster como un servidor de
archivos o un disco duro compartido puede agregarse como testigo para participar en el voto y de
esta forma aportar un voto decisivo. Cuando varios nodos de un clster se encuentran
defectuosos y el voto establece la parada del servicio, la funcionalidad de clster de conmutacin
cesa de inmediato deteniendo los servicios de Windows asociados a los nodos del clster.
Un qurum puede funcionar segn varios modos. La configuracin del tipo de qurum se realiza en
las propiedades del clster, ejecutando el Asistente para configurar qurum de clster.
Un qurum de clster puede funcionar en los modos de configuracin siguientes:
Mayora de disco y nodo (Node and Disk Majority): en este modo de qurum, los nodos
del clster y un disco de almacenamiento testigo pueden votar. Cuando la mayora de los
componentes estn en lnea y pueden votar, el servicio se mantiene en el clster.
Mayora de nodo (Node Majority): en este modo de qurum, solo los nodos del clster
pueden votar. No puede existir un componente testigo. Si ms de la mitad de los
componentes estn en lnea para votar, el servicio se mantiene en el clster.
Mayora de recurso compartido de archivos y nodo (Node and File Share Majority): en
este modo de qurum, los nodos del clster y un recurso compartido de archivos testigo
pueden votar. Cuando la mayora de los componentes estn en lnea y pueden votar, el
servicio se mantiene en el clster.
Antes de crear un clster de conmutacin por error, debemos verificar que cada nodo responde a
los requisitos previos descritos por Microsoft. Todos los servidores destinados a ser los diferentes
nodos del clster deben poseer las caractersticas siguientes:
La misma edicin del sistema operativo Windows Server 2012 R2 (Standard o Datacenter).
h. Los roles
Los roles permiten configurar las aplicaciones o servicios disponibles mediante la infraestructura de
clster de conmutacin por error. Es importante identificar y especificar el tipo de servicios a
prestar en alta disponibilidad porque no todas las aplicaciones pueden funcionar con una solucin
de clster de conmutacin por error. Antes de integrar un servicio o una aplicacin a este tipo de
infraestructura, es necesario contactar con el fabricante para saber si la aplicacin soporta este
tipo de implementacin. La seccin Roles de la consola del administrador de clsteres de
conmutacin por error permite configurar los parmetros de alta disponibilidad para un rol de
servidor. De esta forma, es posible definir las acciones que el clster debe realizar para restablecer
un servicio o una aplicacin. Si uno de los nodos del clster sufre un fallo (un fallo del sistema,
tarjeta de red fuera de servicio, u otros), el servicio cambia automticamente a otro nodo
disponible. Sin embargo, si es la aplicacin o el rol de servidor el que sufre el fallo, el clster es
capaz de reiniciar automticamente el servicio en funcin de los parmetros de los roles fijados
previamente en la consola de administracin. Antes de agregar ciertos roles de servidor, el
asistente verifica la presencia del rol en uno de los nodos del clster. Si el rol o servicio no existe,
entonces no es posible configurar el rol en el clster. Existen varios roles preconfigurados para
desplegarse como servicio en clster:
Servidor de archivos
Equipo virtual
Servicio genrico
i. Optimizacin de los CSV
Los volmenes compartidos de clster (Cluster Shared Volumes) en Windows Server 2012 R2 se
benefician de ciertas mejoras a nivel de la gestin y de la comparticin de recursos. En Windows
Server 2012 un nodo poda ser propietario de varios discos agregados a volmenes compartidos.
En adelante, el clster de conmutacin por error equilibra automticamente la propiedad de cada
nodo sobre los volmenes compartidos para optimizar las entradas y salidas sobre los discos
(optimizacin de entrada/salida, escritura y lectura en los discos).
En caso de fallo de uno de los nodos del clster, el cambio del nodo propietario del disco CSV
defectuoso a los otros nodos funcionales del clster se realizar de forma ms efectiva.
En Windows Server 2012, cada nodo posea una instancia nica del servicio "Servidor" a cargo de
administrar el conjunto del trfico SMB entre los nodos y el recurso compartido. En Windows Server
2012 R2 cada nodo puede, sin embargo, contar con varias instancias del servicio "Servidor" que se
supervisa para mejorar la continuidad del servicio y un cambio ms rpido a los otros nodos del
clster en caso de fallo.
Para verificar el estado de funcionamiento de los discos de volumen compartidos en cada nodo,
podemos en adelante utilizar el comando PowerShell siguiente:
Get-ClusterSharedVolumeState
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permitir
garantizar el acceso a los servidores web que hospedan el sitio Internet de la empresa. La
presentacin del sitio web permite a los usuarios depositar all los archivos comprimidos para ser
almacenados en un servidor de archivos. El sitio web infonovice.es lo consultan muchos internautas y
clientes potenciales, la direccin le solicita que el acceso al sitio sea redundante para que est
accesible permanentemente, 24h/7. El servidor de archivos se basa en una plataforma accesible
mediante un almacenamiento iSCSI.
Para responder a esta necesidad, se le pide implementar una solucin de clsteres de servidores
para que el sitio web pueda estar operativo en caso de fallo. La infraestructura debe basarse en dos
servidores web bajo IIS albergando cada uno una copia del sitio Internet. Los dos servidores deben
estar configurados en clster.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
A continuacin, cree los nuevos discos iSCSI con los parmetros siguientes desde
elAdministrador del servidor:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 3: en la ventana Seleccionar roles de servidor, marque la opcin Servidor Web (IIS).
Cuando se abra la ventana emergente Agregar caractersticas para el Servidor del destino
iSCSI, haga clic en Agregar caractersticas y en Siguiente.
Paso 4: deje las dems opciones por defecto haciendo clic en Siguiente y, a continuacin, haga
clic en Instalar y Cerrar.
Paso 4: en la ventana Conexin rpida, aparece un IQN en la seccin Destinos detectados, que
se corresponde al destino iSCSI llamado CLUSTER-IIS. Haga clic en Listo.
Paso 5: verifique que el IQN detectado tiene un estado Conectado luego haga clic en Aceptar.
Paso 6: vuelva al Administrador del servidor y, a continuacin, haga clic en la seccin Servicios
de archivos y de almacenamiento, Volmenes y discos.
Paso 7: seleccione cada disco de 10 GB, de tipo iSCSI y cuyo estado muestra Sin conexin. Haga
clic con el botn derecho encima y haga clic en Poner en lnea.
Paso 8: haga clic en S para confirmar la puesta en lnea del disco duro iSCSI.
Paso 9: cree un nuevo volumen en cada disco duro iSCSI con los parmetros siguientes y, a
continuacin, haga clic en Crear:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.
Paso 5: abra la consola Administrador del servidor en el servidor CLS-01, haga clic
enHerramientas y, a continuacin, en Administracin de clsteres de conmutacin por error.
Paso 8: en el paso Seleccionar servidores o un clster, haga clic en Examinar, introduzca los
nombres de los servidores a verificar (CLS-01; CLS-02), separndolos por un punto y coma y, a
continuacin, haga clic en Aceptar.
Paso 9: una vez seleccionados los servidores a verificar, haga clic en Siguiente:
Paso 10: en el paso Opciones de pruebas del asistente, marque la opcin Ejecutar todas las
pruebas y haga clic en Siguiente.
Paso 12: cuando terminen las pruebas, verifique que el resultado global valida que la
configuracin de la infraestructura seleccionada est adaptada para configurar un clster.
Verifique que la opcin Crear el clster ahora con los nodos validados est marcada y, a
continuacin, haga clic en Finalizar:
Paso 13: en el paso Antes de comenzar de la ventana Asistente para crear clster, haga clic
enSiguiente.
Paso 14: en el paso Punto de acceso para administrar el clster, escriba CLUSTER-IIS en el
campo Nombre del clster y, a continuacin, indique la direccin IP 192.168.0.200 en el
campoDireccin. A continuacin, haga clic en Siguiente:
Paso 15: en el paso Confirmacin, verifique que la opcin Agregar todo el almacenamiento
apto al clster se encuentra marcada y, a continuacin, haga clic en Siguiente.
Paso 16: en el paso Resumen, haga clic en Finalizar. El clster creado aparece, ahora, en la
ventana de la consola Administrador de clsteres de conmutacin por error:
Paso 2: despliegue el rbol del clster disponible en la consola, para seleccionar CLUSTER-
IIS.infonovice.priv - Almacenamiento - Discos. Seleccione uno de los discos donde el estado
muestre Almacenamiento disponible y, a continuacin, haga clic en Agregar a volmenes
compartidos de clster.
Paso 2: despliegue el rbol del clster para seleccionar el nodo Roles. En el men Acciones,
haga clic en Configurar rol.
Paso 4: en el paso Seleccionar rol, seleccione el rol Servicio genrico y haga clic en Siguiente.
Paso 9: en el paso Confirmacin, verifique los parmetros del rol a desplegar en el clster y, a
continuacin, haga clic en Siguiente.
En este punto, el clster de dos servidores est configurado para reiniciar el servicio IIS en caso de
fallo. El almacenamiento de los sitios web est configurado en el servidor CLS-01. Solo este servidor
puede tener acceso al recurso compartido por el momento.
El segundo servidor CLS-02 no tiene acceso al recurso de almacenamiento iSCSI. Solamente en caso
de producirse un error, se desconectar el recurso compartido para volver a conectarse despus de la
conmutacin al nodo de respaldo.
6. Simular un fallo en el clster
Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic
enHerramientas y, a continuacin, en Administrador de clsteres de conmutacin por error.
Paso 2: identifique el nombre del servidor sobre el que se ejecuta el servicio proporcionado a los
usuarios y, a continuacin, conctese empleando una conexin de escritorio remoto.
Paso 4: vaya a la consola del Administrador de clsteres de conmutacin por error, despliegue
el rbol y seleccione el nodo Eventos de clster.
Paso 5: identifique un evento de error con ID 1069, correspondiente a una parada de servicio de
publicacin World Wide Web en el servidor CLS-01.
Paso 6: cambie de nuevo al servidor CLS-01 y verifique que el Servicio de publicacin World
Wide Web ha reiniciado correctamente.
Un clster de conmutacin por error ofrece una solucin software de alta disponibilidad.
Un clster de conmutacin por error en Windows Server 2012 R2 puede soportar hasta 64
nodos fsicos.
Un clster de conmutacin por error en Windows Server 2012 R2 puede soportar hasta 8000
mquinas virtuales.
Los clientes se comunican con la instancia de la aplicacin en clster mediante una direccin IP
virtual.
Un clster se vale de una red interna para que los nodos puedan comunicarse entre s, adems
de una red pblica para que los clientes puedan comunicarse con la instancia de la aplicacin
soportada por el clster.
Antes de crear un clster de conmutacin por error, los servidores integrantes deben pasar con
xito un conjunto de pruebas. Si algn servidor no supera las validaciones, entonces no podr
formar parte de los nodos de un clster.
Un clster de conmutacin por error permite configurar roles preconfigurados. Un rol permite
reiniciar un servicio fuera de lnea, ejecutar scripts predefinidos o cambiar una aplicacin a otro
nodo disponible en caso de fallo.
1. Preguntas
1 Qu es un clster?
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clster.
6 Cuntos nodos fsicos se soportan en un clster de servidores Windows Server 2012 R2?
7 Cuntas mquinas virtuales se soportan en cada clster Windows Server 2012 R2?
8 En un clster Windows Server 2012 R2, para que sirven los CSV?
10 Qu es un qurum de clster?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
3. Respuestas
1 Qu es un clster?
Los nodos del clster intercambian entre ellos mensajes de latido empleando el protocolo UDP en
el puerto 3343.
El servicio Windows Serv icio de clster permite administrar los servidores de un clster.
5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de
poder unirse a un clster.
Los servidores que quieran integrarse en un clster de conmutacin por error deben cumplir los
requisitos previos siguientes:
6 Cuntos nodos fsicos se soportan en un clster de servidores Windows Server 2012 R2?
7 Cuntas mquinas virtuales se soportan en cada clster Windows Server 2012 R2?
En Windows Server 2012 R2, cada clster puede mantener 8000 mquinas virtuales.
Los CSV (Cluster Shared Volumes), o volmenes compartidos, permiten a los nodos de un clster
acceder simultneamente a un mismo archivo albergado en una LUN del espacio de
almacenamiento. Este procedimiento se utiliza, en particular, para el almacenamiento de una
imagen virtual a la cual se necesita acceso simultneo por dos hosts Hyper-V.
El complemento Adm inistrador de clsteres de conm utacin por error permite administrar
un clster Windows Server 2012 R2.
10 Qu es un qurum de clster?
Un qurum es un voto que permite determinar cuntos nodos deben estar activos en un clster
para garantizar el servicio a los usuarios.
Mayora de recurso compartido de archivos y nodo (Node and File Share Majority).
Requisitos previos y objetivos
1. Requisitos previos
Saber instalar y configurar un sistema operativo Windows Server 2012 R2.
2. Objetivos
Saber implementar un clster de conmutacin por error Hyper-V.
1. Presentacin de Hyper-V
En el mundo de la virtualizacin de servidores, existen varios actores que ofrecen productos que
compiten con la solucin ofrecida por Microsoft. En entornos de produccin, encontramos
principalmente los productos siguientes:
VMware vSphere
Citrix XenServer
Microsoft Hyper-V
En el sistema operativo Windows Server 2012 R2, Microsoft ha integrado la versin 3 de Hyper-V. Un
hipervisor es una capa de software que se ejecuta directamente en una mquina fsica para poder
gestionar mltiples mquinas virtuales en un nico host. Este proceso est diseado para ofrecer a
las empresas muchas ventajas, como la alta disponibilidad, reduccin de costes y una gestin
centralizada del sistema de informacin.
Con esta nueva versin del sistema operativo, Microsoft proporciona a las empresas rendimientos
ms importantes y caractersticas mejoradas con respecto a la versin anterior en trminos de
virtualizacin con Hyper-V. Las infraestructuras de virtualizacin pueden beneficiarse en adelante de
las ventajas ofrecidas por las siguientes caractersticas:
4 TB de memoria RAM.
Una infraestructura Hyper-V en Windows Server 2012 R2 ofrece en adelante la posibilidad de:
Implementar la QoS (Quality of Service) en cada disco virtual para controlar y limitar el I/O
(Input/Output: entrada/salida) de las mquinas virtuales.
La instalacin del rol Hyper-V se realiza a travs del Administrador del servidor, agregando el rol
Hyper-V. Aadir este rol requiere un reinicio del servidor para implementar el hipervisor Hyper-V:
Antes de instalar el rol de servidor Hyper-V en las mquinas Windows Server 2012 R2 de un clster
debemos garantizar que cada servidor cuenta con la misma versin de procesador y con una
tarjeta de red dedicada al envo de mensajes de latido. Antes de unirse al clster Hyper-V, los
servidores deben contar con la misma versin del sistema operativo as como el mismo nivel de
parches o service pack.
b. Administracin de Hyper-V
%windir%\system32\mmc.exe "%windir%\system32\virtmgmt.msc"
Si su infraestructura Hyper-V est configurada en modo clster de conmutacin por error, las
mquinas virtuales asociadas al clster Hyper-V deben gestionarse mediante el
complementoAdministrador de clsteres de conmutacin por error:
La consola Administrador de Hyper-V permite conectarse a un host que ejecute el hipervisor de
Microsoft para administrar y gestionar la infraestructura virtual.
1. Replicacin
La replicacin permite aportar una solucin de alta disponibilidad basada en la redundancia de
mquinas virtuales. Activando la replicacin entre dos hosts Hyper-V y las mquinas virtuales, cada
host posee entonces una copia de la mquina virtual. Dado que esta copia est replicada, si uno de
los hosts que hospedan la mquina virtual se detuviera, alguno de los hosts restantes se hara
cargo arrancndola tambin. Para activar la replicacin, es necesario, en primer lugar, configurar los
hosts Hyper-V para la replicacin y, a continuacin, configurar las mquinas virtuales para replicar
segn sus parmetros de replicacin.
No obstante, existe otro mtodo de conmutacin comnmente llamado Guest Clustering. Este
mtodo no consiste en tener una mquina virtual hospedada en un host Hyper-V de un clster de
conmutacin por error, sino dos mquinas virtuales idnticas, hospedadas en hosts diferentes del
clster de conmutacin por error. De esta forma, en caso de fallo, la mquina virtual hospedada en
el segundo host Hyper-V puede tomar el relevo ms rpidamente. En este modo de conmutacin, las
mquinas virtuales comparten el mismo espacio de almacenamiento.
El clster de conmutacin por error Hyper-V en Windows Server 2012 R2 soporta los elementos
siguientes:
64 nodos.
Migracin rpida: permite desplazar una mquina virtual a otro host teniendo la precaucin
de guardar el estado del servidor antes de la conmutacin. Se vuelve a arrancar la mquina
una vez terminada la conmutacin por error.
Migracin en vivo: permite desplazar una mquina virtual en caliente a otro host del clster.
Se sincroniza el estado del servidor durante el tiempo completo que dure la conmutacin por
error.
Un clster de conmutacin por error tiene, tambin, en cuenta la migracin del almacenamiento de
una mquina virtual. De esta forma, es posible desplazar los archivos que componen una mquina
virtual de un elemento de almacenamiento a otro.
Adems, en lo sucesivo es posible exportar o clonar manualmente una mquina virtual en caliente.
Trabajos prcticos
La empresa INFONOVICE desea implementar una solucin de alta disponibilidad que permita
garantizar la disponibilidad de las mquinas virtuales en caso de prdida de uno de los hosts de la
infraestructura Hyper-V.
Para responder a esta necesidad, se le pide implementar una solucin de clster de conmutacin por
error para poder migrar en caliente una mquina virtual de un host Hyper-V a otro miembro del
clster.
Para realizar los siguientes trabajos prcticos, deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Ruta de acceso: Archivo HYPER-V.vhd (en cada particin E:\, F:\ y G:\)
Tamao: 30 GB
Paso 3: en la ventana Microsoft iSCSI, haga clic en S para iniciar el servicio Windows asociado.
Paso 5: en la ventana Conexin rpida, haga clic en Listo y, a continuacin, Aceptar para cerrar
la ventana.
Paso 7: haga clic con el botn derecho en los discos sin conexin y haga clic en Poner en lnea. A
continuacin, haga clic en S para confirmar la operacin.
Paso 8: haga clic con el botn derecho en uno de los nuevos discos en lnea, y haga clic enNuevo
volumen.
Paso 12: en el paso Especificar el tamao del volumen, indique 30 GB y haga clic en Siguiente.
Paso 13: en el paso Asignar a letra de unidad o carpeta, deje la letra por defecto y haga clic
enSiguiente.
Paso 14: en el paso Seleccionar configuracin del sistema de archivos, indique la siguiente
informacin y haga clic en Siguiente:
Paso 17: vuelva a realizar los pasos 6 al 16 seleccionando los dems discos en lnea. Para los
nombres de volumen, el segundo disco se llamar VM y el tercero QUORUM.
Paso 18: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enIniciador iSCSI.
Paso 19: en la ventana Microsoft iSCSI, haga clic en S para iniciar el servicio Windows
asociado.
Paso 20: en la ventana Propiedades: Iniciador iSCSI, en la pestaa General, escriba FILES-
01en el campo Destino y haga clic en Conexin rpida.
Paso 21: en la ventana Conexin rpida, haga clic en Listo y, a continuacin, Aceptar para
cerrar la ventana.
Paso 22: abra el Administrador del servidor, vaya a la seccin Servicios de archivos y
almacenamiento y haga clic en Discos.
Paso 23: haga clic con el botn derecho en cada disco sin conexin y haga clic en Poner en lnea.
A continuacin, haga clic en S para confirmar la operacin. Verifique que las tres particiones
aparezcan en el puesto de trabajo.
Paso 24: vaya al servidor HV-01 y, a continuacin, desde el Administrador del servidor,
agregue la caracterstica Clster de conmutacin por error. Repita la operacin en el
servidorHV-02.
Paso 25: desde la consola Administrador del servidor en HV-01, haga clic en Herramientas y,
a continuacin, en Administrador de clsteres de conmutacin por error.
Paso 28: en el paso Seleccionar servidores o un clster, agregue los servidores HV-01 y HV-
02 y haga clic en Siguiente.
Paso 29: en el paso Opciones de pruebas, marque la opcin Ejecutar todas las pruebas y haga
clic en Siguiente.
Paso 31: en el paso Resumen, verifique que las pruebas han concluido exitosamente y, a
continuacin, marque la opcin Crear el clster ahora con los nodos validados.
Paso 32: en la ventana Asistente para crear clster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 33: en el paso Punto de acceso para administrar el clster, escriba CLUSTER-HV en el
campo Nombre del clster y, a continuacin, haga clic en Siguiente.
Paso 34: en el paso Confirmacin, desmarque la opcin Agregar todo el almacenamiento apto
al clster y, a continuacin, haga clic en Siguiente.
Paso 37: verifique que los tres discos estn marcados y haga clic en Aceptar.
Etapa 38: verifique que los tres discos aparecen con un estado En lnea:
Paso 39: seleccione el disco cuyo nombre de volumen es VM (se debe tratar del disco nmero 1),
haga clic con el botn derecho encima y haga clic en Agregar a volmenes compartidos del
clster.
Paso 40: haga clic con el botn derecho en el nodo CLUSTER-HV.infonovice.priv, haga clic
enAcciones adicionales y, a continuacin, en Configurar opciones de qurum de clster.
Paso 41: en el paso Antes de comenzar del Asistente para configurar qurum de clster, haga
clic en Siguiente.
Paso 43: en el paso Seleccionar testigo de qurum, marque la opcin Configurar un testigo de
disco y haga clic en Siguiente.
Paso 44: marque la opcin del disco cuyo nombre de volumen es QUORUM y, a continuacin,
haga clic en Siguiente (se debe tratar del volumen G:\).
Paso 45: en el paso Confirmacin, haga clic en Siguiente.
En este punto, el nodo propietario de cada disco iSCSI debe ser el servidor HV-01. Si no fuera el
caso, realice la modificacin.
Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y a continuacin, en el Administrador del servidor, haga clic en Agregar
roles y caractersticas.
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin y Seleccionar servidor de destino.
Paso 10: en la etapa Progreso de la instalacin, haga clic en Cerrar y reinicie el servidor.
Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, cree el directorio C:\VM.
Paso 2: copie la carpeta que contiene la mquina virtual CLIENT2 en la carpeta C:\VM del
servidor HV-01.
Paso 4: en el rbol de la consola, seleccione el host Hyper-V, haga clic con el botn derecho
encima y haga clic en Importar mquina virtual.
Paso 6: en el paso Buscar carpeta, haga clic en Examinar para indicar la ruta C:\VM\CLIENT2.
Haga clic en Siguiente.
Paso 7: en el paso Seleccionar mquina virtual, haga clic en CLIENT2 y, a continuacin,
enSiguiente.
Paso 8: en el paso Elegir tipo de importacin, marque la opcin Copiar la mquina virtual y, a
continuacin, haga clic en Siguiente.
Paso 9: en el paso Elegir carpetas para archivos de mquina virtual, haga clic en Siguiente.
Paso 10: en el paso Elegir carpetas para almacenar discos duros virtuales, haga clic
enSiguiente.
Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv y, a continuacin, cree el directorio C:\REPLICACIN.
Paso 3: en el rbol de la consola, seleccione el host Hyper-V, haga clic con el botn derecho
encima y haga clic en Configuracin de Hyper-V.
Paso 8: abra una ventana Ejecutar, escriba firewall.cpl y haga clic en Aceptar:
Paso 9: en el men de la izquierda haga clic en Configuracin avanzada.
Paso 10: en el rbol de la consola, haga clic en Reglas de entrada y, a continuacin, en la lista
central, habilite la regla Escucha HTTP de rplica de Hyper-V (Tcp de entrada) y cierre todas
las ventanas del Firewall de Windows.
Paso 1: inicie una sesin en el servidor HV-02.infonovice.priv con una cuenta de administrador
del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, en Administrador de Hyper-V.
Paso 8: en el paso Elegir mtodo de replicacin inicial, marque la opcin Enviar copia inicial a
travs de la red de la seccin Mtodo de replicacin inicial. A continuacin, marque la
opcinIniciar replicacin inmediatamente de la seccin Programar replicacin inicial y haga clic
enSiguiente.
Paso 9: en el paso Finalizacin del Asistente para habilitar replicacin, haga clic en Finalizar.
Paso 10: seleccione la mquina virtual CLIENT1 y, en la columna Estado, observe el progreso de
la replicacin.
Paso 11: al finalizar la replicacin la mquina virtual CLIENT1 estar, tambin, visible en el host
Hyper-V HV-02. Haga clic con el botn derecho en la mquina virtual replicada y, a continuacin,
haga clic en Replicacin\Mantenimiento de la replicacin. Verifique que no ha habido errores en
la replicacin y haga clic en Cerrar.
Paso 12: haga clic con el botn derecho en la mquina virtual CLIENT1 y haga clic
enReplicacin\Conmutacin por error planeada.
Paso 13: en la ventana Conmutacin por error planeada, marque la opcin Iniciar la mquina
virtual de rplica tras la conmutacin por error y haga clic en Conmutacin por error:
Paso 14: verifique que la mquina virtual CLIENT1 ha iniciado en el host HV-02. Haga clic con el
botn derecho en la mquina virtual y, a continuacin, haga clic en Replicacin\Quitar
replicacin y confirme la eliminacin.
Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. A continuacin, copie el archivo C:\Users\Public\Documents\Hyper-V\Virtual
Hard Disks\CLIENT2.vhdx en la carpeta C:\ClusterStorage\Volume1.
Paso 2: en el Administrador del servidor del servidor HV-01, haga clic en Herramientas y, a
continuacin, en Administrador de clsteres de conmutacin por error. Despliegue el rbol de
la consola y haga clic con el botn derecho en Roles - Mquinas virtuales - Nueva mquina
virtual.
Paso 3: en la ventana Nueva mquina virtual, seleccione HV-01 y, a continuacin, haga clic
enAceptar.
Paso 4: en el paso Antes de comenzar del Asistente para crear nueva mquina virtual, haga
clic en Siguiente.
Paso 8: en el paso Conectar disco duro virtual, marque la opcin Usar un disco duro virtual
existente y haga clic en Examinar para seleccionar el
archivo:C:\ClusterStorage\Volume1\CLIENT2.vhdx. A continuacin, haga clic en Siguiente:
Paso 9: en el paso Finalizacin del Asistente para crear nueva mquina virtual, haga clic
enFinalizar.
Paso 10: en el paso Resumen, verifique que la creacin de la VM se ha llevado a cabo con xito
y, a continuacin, haga clic en Finalizar.
Paso 1: inicie una sesin en el servidor HV-01 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de clsteres de conmutacin por error.
Paso 2: despliegue el rbol de la consola para seleccionar el nodo Roles. Haga clic con el botn
derecho en la mquina virtual CLIENT-TEST y haga clic en Iniciar.
Paso 3: haga clic con el botn derecho en la mquina virtual CLIENT-TEST, haga clic en Mover y,
a continuacin, en Migracin en vivo y Seleccionar nodo.
Paso 4: en la ventana Mover mquina virtual, seleccione HV-02 y, a continuacin, haga clic
enAceptar.
Paso 5: haga clic con el botn derecho en la mquina virtual y haga clic en Conectar. Verifique
que la mquina virtual est accesible en el host HV-02.
Paso 1: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de Hyper-V.
Paso 2: haga clic con el botn derecho en la mquina virtual CLIENT2 y haga clic en Mover.
Paso 3: en la ventana Asistente para crear clster, haga clic en Siguiente en el paso Antes de
comenzar.
Paso 6: en el paso Elegir una nueva ubicacin para mquina virtual, haga clic en Examinar y
seleccione la carpeta C:\CLIENT2. Haga clic en Siguiente y, a continuacin, en Finalizar.
Paso 1: inicie una sesin en el servidor HV-02 con una cuenta de administrador del
dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a
continuacin, enAdministrador de Hyper-V.
Paso 4: en el paso Localizar disco, haga clic en Examinar para seleccionar la ubicacin del
archivo *.vhdx asociado a la mquina virtual y, a continuacin, haga clic en Siguiente.
Paso 5: en el paso Elegir accin, marque la opcin Expandirlo y, a continuacin, haga clic
enSiguiente.
Paso 6: en el paso Expandir disco duro virtual, escriba un valor superior al tamao actual del
disco. Haga clic en Siguiente y, a continuacin, en Finalizar.
Paso 7: conctese a la mquina virtual cliente e introduzca el comando
siguiente:compmgmt.msc. Navegue hasta el nodo Administracin de discos en la
seccinAlmacenamiento para verificar que el disco duro de la mquina virtual cuenta, en
adelante, con espacio sin asignar.
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a los clsteres de conmutacin en
Windows Server 2012 R2. Podra resumirse de la manera siguiente:
Hyper-V puede instalarse en un sistema operativo Windows Server 2012 R2 instalado en modo
Core Server o instalacin completa.
Los hosts de un clster intercambian mensajes de latido cada segundo para conocer el estado
de funcionamiento de los dems integrantes.
1. Preguntas
1 A qu puerto envan los hosts Hyper-V los mensajes de latido para los dems integrantes del
clster?
3 Despus de cuntos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los dems miembros de un clster?
4 Cul es la frecuencia de envo de los mensajes de latido enviados por los integrantes de un
clster?
6 Qu es la replicacin en Hyper-V?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /6
3. Respuestas
1 A qu puerto envan los hosts Hyper-V los mensajes de latido para los dems integrantes del
clster?
Los mensajes de latido se envan a los dems miembros del clster a travs del puerto TCP/UDP
3343.
En Windows Server 2012 R2, un clster de conmutacin por error puede soportar 8000 mquinas
virtuales.
3 Despus de cuntos mensajes de latido se declara el fallo de un host Hyper-V por parte de
los dems miembros de un clster?
Si un host Hyper-V no responde a 5 mensajes de latido, se declara como fallo y se inicia el proceso
de conmutacin de las mquinas virtuales.
4 Cul es la frecuencia de envo de los mensajes de latido enviados por los integrantes de un
clster?
Los miembros de un clster Hyper-V envan los mensajes de latido destinados a los dems
integrantes del clster cada segundo.
6 Qu es la replicacin en Hyper-V?
La replicacin permite dotar de redundancia a las mquinas virtuales, que pueden alojarse, de este
modo, simultneamente en dos hosts Hyper-V. Si uno de los hosts cae, la mquina virtual se
reactiva automticamente, en el host Hyper-V restante.
Requisitos previos y objetivos
1. Requisitos previos
Conocer los principios de una copia de seguridad de datos.
2. Objetivos
Saber implementar un plan de recuperacin de contingencias en caso de siniestro.
1. Recuperacin de desastres
La recuperacin de desastres consiste en restaurar el servicio que se haya visto impactado tras un
siniestro. Para ello, una empresa puede implementar un plan de recuperacin de desastres (PRD)
que consiste en definir las tareas y acciones a realizar para restaurar, en un tiempo rcord, el
servicio ofrecido a los usuarios. Un PRD contiene principalmente un plan de respaldo que consiste en
definir una poltica relativa al almacenamiento del conjunto de datos de la empresa para poder
restaurarlo en caso de necesidad. Antes de implementar una poltica de respaldo, una empresa
debe realizar un estudio preliminar que ayudar a definir claramente las necesidades y orientar la
manera ms adecuada de implementar el plan de respaldo. Para satisfacer mejor las exigencias
requeridas por un sistema informtico, es necesario respetar y seguir las mejores prcticas definidas
en las normas ITIL (Information Technology Infrastructure Library).
Las mejores prcticas contenidas en las publicaciones ITIL abogan por dar respuesta a las
siguientes preguntas antes de implementar un plan de recuperacin de desastres:
Definir los elementos a securizar y/o respaldar: securizar o respaldar el conjunto del
permetro informtico conlleva costes (software, hardware, espacio de almacenamiento en
disco o cinta, redundancia de equipos, etc.). Por este motivo, conviene evaluar previamente el
volumen de datos a almacenar realizando la seleccin de los elementos a conservar.
Evaluar los costes del respaldo: a mayor cantidad de datos a respaldar, mayor ser el coste
del plan de respaldo (equipo de copia de seguridad, espacio en disco, etc.). Para controlar su
presupuesto, es importante no descuidar los costes vinculados al respaldo. Todos los
elementos de la infraestructura de copia de seguridad deben ser evaluados, como el
hardware, software, volumen de datos, costes de retencin, costes de almacenamiento al
igual que los costes humanos (administrador, operador, etc.).
Definir las clusulas del contrato de nivel de servicio: las publicaciones que describen las
mejores prcticas informticas mencionan la gran importancia de definir previamente el nivel
de servicio ofrecido a los usuarios. Estas clusulas deben registrarse en un documento que
indique con claridad la calidad que se espera de los servicios (contrato entre cliente y
proveedor tambin llamado SLA: Service Level Agreement), as como los tiempos de
interrupcin de servicio mximos en caso de avera o siniestro. La duracin mxima de
interrupcin del servicio aceptable antes del reinicio de la actividad, tambin llamada RTO
(Recovery Time Objective) de acuerdo a las publicaciones ITIL.
Definir la poltica de retencin de los respaldos: cuando los respaldos se realizan en cinta,
online o en disco, se consume espacio de almacenamiento. La poltica de retencin de
respaldos define el tiempo durante el que es necesario conservar los archivos almacenados
antes de sobrescribirlos con una nueva copia de seguridad o, simplemente, destruirlos.
Cuanto mayor sea el perodo de conservacin de los respaldos, ms fcil ser para un
administrador restaurar datos eliminados hace varios das. El caso se presenta sobre todo
para las situaciones de eliminacin accidental de datos. Por ejemplo, si un usuario elimina
accidentalmente una carpeta importante y ningn usuario se da cuenta de ello en dos
semanas... ser entonces imposible para un administrador restaurar los datos eliminados si
la poltica de retencin de copias de seguridad impone una rotacin para la sobrescritura de
los archivos de una semana. Para poder restaurar en diferentes situaciones, es posible
implementar dos planes de respaldo simultneamente. Por ejemplo, un plan de respaldo
semanal en disco podra realizar copias de seguridad con un perodo de retencin de cuatro
semanas, mientras que otro plan de respaldo mensual en cinta podra realizar copias de
seguridad con un plazo de retencin de un ao.
Definir una poltica de restauracin de datos: existen diferentes mtodos para restaurar los
datos en funcin de los mtodos de copia de seguridad o recuperacin implementados para
securizar la infraestructura informtica. Durante un siniestro, conviene determinar
previamente los mtodos de recuperacin de los datos en funcin del tipo de situacin. Una
poltica de restauracin debe estar definida de acuerdo a las clusulas definidas en los
contratos de calidad de servicio. Por ejemplo, si un usuario pierde un archivo, ser ms rpido
intentar restaurar los datos mirando en la cach de instantneas que recuperar una cinta del
centro de respaldo de archivos. Esto permite restaurar los datos ms rpidamente y
aumentar el porcentaje de disponibilidad para respetar las clusulas de calidad de servicio
por parte de los administradores, as como reducir el tiempo de interrupcin mximo admisible
por los usuarios. Resulta bsico validar y probar regularmente cualquier plan de respaldo que
se implemente, con el objetivo de garantizar que la poltica de restauracin es operativa y
que los datos almacenados son explotables. Sucede con demasiada frecuencia que una
empresa respalda sus datos en cinta y que el da que se requiere una restauracin los
administradores se encuentran impotentes, con una cinta en blanco o datos inutilizables.
Conviene probar, sistemticamente, que el proceso de restauracin funciona y que los
archivos restaurados son accesibles por los usuarios. Esto garantiza la integridad de los
datos restaurados as como la calidad del servicio proporcionado.
Cloud
Soportes extrables
CD/DVD ROM
Ubicaciones de red
Instantneas
RAID
Esta herramienta permite principalmente gestionar las copias de seguridad locales (ubicacin de red,
volumen en disco) o en lnea (Windows Azure Online Backup).
Cuando ejecutamos una copia de seguridad con esta herramienta, el complemento Copias
deseguridad de Windows Server crea un disco virtual del volumen a respaldar. Este disco virtual es un
archivo imagen con formato *.vhdx, que es el nuevo formato de almacenamiento de las mquinas
virtuales en Microsoft Hyper-V3. Los discos virtuales VHDX pueden soportar 64 TB de datos. El disco
virtual dedicado para la copia de seguridad de los datos se crea en la ubicacin siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Backup [Fecha de la copia de
seguridad]
Se puede navegar en cualquier momento por los archivos de imagen de disco duro empleando un
complemento. La herramienta crea los archivos BackupGlobalCatalog y GlobalCatalog que registran la
configuracin de los volmenes respaldados en la siguiente ubicacin:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Catalog
Cada copia de seguridad realizada debe verificarse para garantizar que los datos son accesibles en
caso de requerir una restauracin urgente. Si ocurriera algn accidente durante el proceso de copia
de seguridad, la herramienta graba los registros de errores en la ubicacin siguiente:
[Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Logs
La consola de administracin Copias de seguridad de Windows Server permite gestionar los tipos
de Copias de seguridad local o Copias de seguridad en lnea. El men Acciones de la Copia de
seguridad local permite administrar los elementos siguientes:
Programar copia de seguridad: permite programar una copia de seguridad para ejecutarla
a intervalos regulares.
Hacer copia de seguridad una vez: permite ejecutar una copia de seguridad completa.
Recuperar: permite restaurar los datos a partir de elementos de una copia de seguridad ya
realizada mediante una copia de seguridad local o en lnea.
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server basta con iniciar el asistente Programar copia de seguridad desde el men Acciones de la
seccin Copia de seguridad local. El asistente para programar una copia de seguridad permite
seleccionar los elementos que se quiere copiar y, a continuacin, definir la frecuencia del respaldo.
Es posible planificar la ejecucin de las copias de seguridad para que se realicen una vez por
semana o varias veces al da:
La ubicacin de destino de una copia de seguridad planificada puede definirse en:
Un volumen
Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows
Server, basta con iniciar el asistente Hacer copia de seguridad una vez desde el
men Accionesde la seccin Copia de seguridad local. El asistente Copia de seguridad una
vez permite seleccionar los elementos a respaldar realizando una copia completa del servidor o
seleccionando elementos concretos para realizar una copia de seguridad personalizada. Es posible
seleccionar los siguientes elementos de una copia de seguridad:
Reconstruccin completa
Un volumen completo
Cuando se ejecuta una copia de seguridad de una vez, el detalle de la copia de seguridad se
muestra en la ventana central de la consola Copias de seguridad de Windows Server.
Para recuperar los datos mediante la herramienta Copias de seguridad de Windows Server,
basta con iniciar el asistente Recuperar desde el men Acciones de la seccin Copia de seguridad
local. El Asistente para recuperacin permite seleccionar los elementos a recuperar desde el
catlogo de copias de seguridad disponibles.
El asistente muestra un calendario con los datos en negrita indicando los elementos de copias de
seguridad disponibles en el catlogo de respaldos realizados con xito:
Archivos y carpetas
Volmenes
Aplicaciones
1. Instantneas
Las instantneas, tambin llamadas en ingls Shadow Copy, permiten implementar una copia de
seguridad automtica en los archivos modificados. Esto permite, en particular, restaurar un archivo a
una versin anterior cuando se realizan, por ejemplo, modificaciones errneas en un documento,
que luego se salvaguardan. Esta tecnologa utiliza el servicio Windows Volume Shadow Copy
Service (VSS) para realizar una copia de los archivos.
Establezca un tamao lmite para la gestin de las instantneas (el tamao mnimo se fija en
320 MB).
Para restaurar los datos que han sido modificados por error, basta con editar las propiedades
de la carpeta o archivo a restaurar y hacer clic en la pestaa Versiones anteriores. Esta vista
permite visualizar las versiones anteriores del archivo disponibles para poder seleccionar una
fecha adecuada para restaurar el archivo. Antes de restaurarlo, es posible visualizar el
contenido del archivo o de la carpeta haciendo clic en Abrir, para verificar si la copia es
conforme al elemento que deseamos restaurar. Haciendo clic en el botn Copiar, podemos
restaurar el elemento seleccionado a una ubicacin diferente. Haciendo clic
en Restaurarpodemos recuperar el archivo de la fecha seleccionada, sobrescribiendo la versin
actual.
2. Papelera de reciclaje de Active Directory
La papelera de reciclaje de Active Directory es una funcionalidad aparecida con Windows Server
2008. Esta funcionalidad permite restaurar objetos eliminados por error, cuando la opcin de
proteccin contra eliminacin accidental no est implementada. La activacin de esta opcin necesita
la elevacin del nivel funcional del bosque a Windows Server 2012. Despus de activada, ya no ser
posible modificar el nivel funcional del bosque ni desactivar la papelera de reciclaje de Active
Directory.
Para activar la papelera de reciclaje de Active Directory, basta con realizar el procedimiento
siguiente:
Haga clic en Aceptar para validar la activacin de la papelera de reciclaje de Active Directory:
Trabajos prcticos
La empresa INFONOVICE desea implementar un plan de recuperacin ante desastres que permitir
respaldar la totalidad de la informacin almacenada en el servidor de archivos. El nivel de servicio en
caso de siniestro no debe estar degradado mucho tiempo. Para ello, la empresa solicita planificar la
copia de seguridad a diario, con un umbral de prdida de datos mximo admisible fijado en medio da
de actividad. En lo relativo al directorio Active Directory, aunque la proteccin de objetos est activada
por defecto para evitar cualquier eliminacin accidental, se le solicita implementar la papelera de
reciclaje de Active Directory para poder restaurar cualquier objeto no protegido que fuera eliminado.
Para responder a cada necesidad, se le solicita implementar una solucin de copia de seguridad en
disco y en lnea para ofrecer dos mecanismos distintos de recuperacin de los datos. La
implementacin de instantneas se utilizar para cumplir el requisito del umbral de prdida de datos
mximo de medio da. El conjunto de los datos de usuario a respaldar se encuentra en la carpeta
compartida E:\COMN (cree los archivos en esta carpeta compartida bajo el nombre del recurso
compartido: COMN) del servidor de archivos. Las copias de seguridad se almacenarn de manera
local en el directorio compartido E:\BACKUP del servidor de archivos.
Para realizar los siguientes trabajos prcticos deber implementar las siguientes mquinas virtuales
que albergarn los siguientes roles:
Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de
instalacin, Seleccionar servidor de destino y Seleccionar roles de servidor.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Reconstruccin completa
La carpeta E:\COMN
Paso 12: el detalle de la copia de seguridad aparece en la parte central de la consola Copias de
seguridad de Windows Server. Navegue hasta la carpeta
E:\BACKUP\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad] para
constatar que la copia de seguridad del servidor se ha realizado correctamente:
Este procedimiento permite planificar una copia de seguridad empleando la herramienta Copias de
seguridad de Windows Server. Los datos a respaldar deben configurarse para archivarse en un
nuevo volumen dedicado al almacenamiento. Habr que agregar como requisito previo un nuevo disco
al servidor FILES-01 que se inicializar como el volumen F:\.
Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
Reconstruccin completa
Paso 8: en la ventana Especificar hora de copia de seguridad, marque la opcin Una vez al
dapara especificar la frecuencia de los respaldos y, a continuacin, en la lista desplegable,
seleccione 22:30. A continuacin, haga clic en Siguiente:
Paso 9: en la ventana Especificar tipo de destino, marque la opcin En un volumen y, a
continuacin, haga clic en Siguiente.
Paso 10: en la ventana Seleccionar volumen de destino, haga clic en Agregar. Seleccione el
volumen F:\, haga clic en Aceptar y, a continuacin, en Siguiente.
Paso 13: la copia de seguridad programada aparece, ahora, en el centro de la consola Copias de
seguridad de Windows Server:
Paso 14: cuando llega la hora de ejecucin, se inicia la copia de seguridad programada. Al
terminar la copia de seguridad, se muestra una notificacin en la ventana central de la
consolaCopias de seguridad de Windows Server:
Paso 4: en la ventana Introduccin, marque la opcin Este servidor y, a continuacin, haga clic
en Siguiente.
Paso 5: en la ventana Seleccionar fecha de copia de seguridad, haga clic en una fecha que
aparezca marcada en negrita en el calendario. Esta fecha debe corresponder a la ltima copia de
seguridad programada que se ha ejecutado en el servidor. Haga clic en Siguiente.
Paso 9: en la ventana Confirmacin, verifique que el conjunto de los archivos a restaurar son
correctos y, a continuacin, haga clic en Recuperar.
Instalacin de WAB
Este taller permite instalar la herramienta de copia de seguridad Windows Azure Backup (WAB).
Paso 2: haga clic en el vnculo PORTAL y acceda con una cuenta de usuario MICROSOFT (Hotmail,
MSN, Passport.Net, etc.), antes de ser redirigido a la web
siguiente:https://manage.windowsazure.com
Paso 4: Al terminar la creacin del almacn aparece una notificacin en la barra inferior:
Es posible crear un certificado autofirmado para el taller si no podemos obtener un certificado emitido
por una autoridad certificadora aprobada por Microsoft. Para crear el certificado autofirmado, basta
con seguir los pasos siguientes:
Descargue la herramienta MakeCert.exe desde el sitio web de Microsoft (el archivo Windows SDK
for Windows 8 and .NET Framework 4 contiene la herramienta MakeCert: sdksetup.exe).
La fecha de expiracin est en formato Americano, es decir los meses y los das cambian de
lugar: mes/da/ao.
Haga clic con el botn derecho en el archivo CertInfonovice.cer y haga clic en Instalar
certificado.
Marque la opcin Colocar todos los certificados en el siguiente almacn y haga clic
enExaminar para especificar el almacn de certificado Personal. Haga clic en Aceptar y, a
continuacin, en Siguiente.
Importe el certificado CertInfonovice.cer (tenga precaucin, el certificado no debe tener una fecha
de validez superior a 3 aos y una longitud de cifrado menor de 2048 bits):
Paso 7: haga clic en Descargar agente y seleccione Agente para Windows Server y System
Center - Data Protection Manager. Esta accin tiene como finalidad descargar el
ejecutableWABInstaller.exe (Windows Azure Backup Installer).
Paso 8: ejecute el archivo WABInstaller.exe (la ejecucin de este archivo puede realizarse en
un sistema operativo Microsoft Windows Server 2008 R2 SP1 o superior).
Paso 9: marque la opcin Acepto los trminos del Aviso complementario y haga clic en Aceptar.
Paso 13: en el paso Instalacin, cuando la instalacin termine, desmarque la opcin Buscar
actualizaciones ms recientes y haga clic en Finalizar.
Paso 14: vaya al men Inicio y, mediante la tecla Windows de su teclado, haga clic en el
programa Windows Azure Backup:
Paso 15: en el men Acciones, haga clic en Registrar servidor:
Paso 17: en el paso Identificacin del almacn, haga clic en Examinar. Seleccione el certificado
autofirmado creado en el paso anterior y, a continuacin, haga clic en Aceptar.
Este taller permite programar una copia de seguridad mediante la herramienta de copia de seguridad
Windows Azure Backup (WAB).
Paso 4: en el paso Seleccionar elementos para copia de seguridad, haga clic en Agregar
elementos.
El trabajo de copia de seguridad mediante Windows Azure Backup est programado. Este ltimo
tiene un lmite de 850 GB de datos.
Este taller permite recuperar los datos una copia de seguridad mediante la herramienta de copia de
seguridad Windows Azure Backup (WAB).
Paso 3: en el paso Introduccin, marque la opcin Este servidor y, a continuacin, haga clic
enSiguiente.
Paso 9: cuando finalice la restauracin de los datos eliminados, haga clic en Cerrar.
Paso 10: navegue hasta la carpeta C:\BACKUP para verificar que los
archivos Confidencial.txt,Importante.txt y Pblico.txt se han restaurado correctamente:
Resumen del captulo
A lo largo de este captulo, hemos visto todos los aspectos relativos a la copia de seguridad y
restauracin en Windows Server 2012 R2. Podra resumirse de la manera siguiente:
Una infraestructura Windows Server 2012 R2 necesita un plan de recuperacin ante desastres
que respete las mejores prcticas ITIL como los SLA, los RTO y los RPO.
La papelera de reciclaje de Active Directory permite recuperar los objetos del directorio
eliminados accidentalmente.
Validacin de conocimientos: preguntas/respuestas
Si cree que sus conocimientos acerca de este captulo son suficientes, responda a las siguientes
preguntas.
1. Preguntas
1 Qu es un PRD?
2 Qu es un SLA?
3 Qu es un RTO?
4 Qu es un RPO?
2. Resultados
Consulte las pginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un
punto.
Nmero de puntos: /7
3. Respuestas
1 Qu es un PRD?
2 Qu es un SLA?
Un SLA, o Service Level Agreement, permite definir el contrato de calidad de servicio que una
infraestructura debe proporcionar. Encontramos en particular las duraciones mximas de
interrupcin de servicio en caso de siniestro.
3 Qu es un RTO?
Un RTO, o Recovery Time Objective, permite definir la duracin mxima de interrupcin de servicio
antes de reanudar la actividad.
4 Qu es un RPO?
Un RPO, o Recovery Point Objective, permite definir la tolerancia a prdida de datos admisible en
caso de siniestro.
Las instantneas permiten realizar copias de archivos frecuentemente modificados para poder
recuperar una versin anterior en caso de una solicitud de restauracin urgente.
Un trabajo de copia de seguridad empleando Windows Azure Backup est limitado a un volumen de
datos inferior a los 850 GB.
Tabla de objetivos
Trabajos
Objetivo Captulos
prcticos