administración windows server 2003

5/12/2018 Administración Windows Server 2003 - slidepdf.com

http://slidepdf.com/reader/full/administracion-windows-server-2003 1/130

Administración Windows Server 2003 Empezar con Windows Server 2003

1:Introducción a redes

Introducción Tipos de redes Protocolos IPv6

Arquitectura Cliente/Servidor TCP/IP en Windows Server

2: Instalación de Windows Server

Una visión general de Windows Server Introducción al Directorio Activo (AD)

Instalación y configuración de un servidor con Windows Server

3: Administración de equipos

Sistemas de archivos Sistemas de archivos distribuidos

4: Usuarios y Grupos

Usuarios y Grupos Perfiles

Intellimirror Directivas

5: Recursos

Impresoras Software Windows Update

6: DHCP, WINS y DNS en Windows Server

Instalación/configuración servidor DHCP Instalación/configuración servidor DNS Instalación/configuración servidor WINS

7: IIS- Servicios Web, ftp, nntp, smtp. Servicio Pop.

Instalación IIS 6.0 Configurar Web Configurar FTP Configurar SMTP



Configurar NNTP Instalación/configuración servicio POP

8: Seguridad interna

IntroducciónHerramientas de administraciónVisor de sucesos

RegistroServicios

9: Gestión de datos

Copias de seguridadRecuperación de datosRecuperación del sistema

10: Seguridad externa

Implementando la seguridad Perimetral y de Red © Iván González Vilaboa [MS MVP Windows Server IIS]



1: Introducción a Redes

Introducción

Cuando oímos la palabra "red" supongo que nos viene a la memoria una imagen rápidamente, lo quutilizan los pescadores para su trabajo diario, lo que hay en una portería de fútbol, .... En general soutilidades para "atrapar" algo, y su forma es bastante genérica, formada por multitud de filamentos,cuerdas, hilos... todos anudados entre ellos. Por supuesto la RAE (Real Academia Española de lalengua) nos lo define siempre como primera acepción:

1. f. Aparejo hecho con hilos, cuerdas o alambres trabados en forma de mallas, y convenientementedispuesto para pescar, cazar, cercar, sujetar, etc.

En esta ocasión, nos saltaremos las 9 acepciones primeras para acudir a la décima, que parece queadapte mejor a lo que deseamos conocer:

10. f. Conjunto de ordenadores o de equipos informáticos conectados entre sí que pueden intercambinformación.

Aunque si lo estudiamos detenidamente nos daremos cuenta enseguida que una red comunica a cauno de los nudos (nodos) con el resto, mediante un hilo (cable físico o medio oportuno (wireless)), amenos de forma física. Y digo física, lo que no significa que realmente puedan comunicarse, ya quepara ello se necesitarán algunas cosas más.

Quede claro entonces que una red física se determina por todos aquellos dispositivos que seencuentran físicamente con la capacidad de poderse comunicar, pero para ello, nosotros mismoshemos de crear las condiciones necesarias, utilizando los medios lógicos a nuestro alcance paraconseguir una red lógica la cual, además de estar físicamente unida es capaz de intercambiar información entre sus miembros, o sea, comunicarse.

Lo primero se conseguirá utilizando los dispositivos dedicados para esa misión, como las interfaces red, los conmutadores, concentradores, enrutadores, cables etc...

Lo segundo es misión de los clientes y protocolos de red diseñados al efecto.

Sin red físicamente interconectada (por el medio que se considere) no existe red lógica y por tanto npuede haber intercambio de información, igualmente, a partir de una red física correcta pero sin redlógica puede darse el caso de intercambiar información, pero de forma anómala e incorrecta y por supuesto indebidamente configurada.

Las redes tienen varias topologías básicas: Bus, Estrella, Anillo, Malla, o combinando algunas de ellformar una topología híbrida.

Topología de bus

Una topología de bus está caracterizada por un medio (cable) principal con dispositivos deinterconectados a lo largo de las conexiones del mismo. Se consideran topologías pasivas. ordenadores "escuchan" el BUS. Cuando están listas para transmitir se aseguran que el BUS esté y envían sus paquetes. Su arquitectura es ETHERNET. Las redes de bus comúnmente utilizan ccoaxial como medio de comunicación, los ordenadores se conectan al bus mediante un conector Ben forma de T. En ambos extremos de la red existen terminadores Las redes de BUS son fácileinstalar y de extender. Son muy susceptibles a roturas de cable, conectores y cortos en el cable



son muy difíciles de encontrar. Un problema físico en la red, tal como un conector T, impidfuncionamiento de toda la red.

Topología de EstrellaEn una topología de estrella, los ordenadores en la red se conectan a un dispositivo central seaconcentrador (HUB) o un conmutador (SWITCH). Cada ordenador se conecta con su propio c(típicamente par trenzado) a un puerto del hub o switch. Este tipo también es paDebido a que la topología estrella utiliza un cable de conexión para cada ordenador, es muy fácexpandir, sólo dependerá del número de puertos disponibles en el hub o switch (aunque se pueconectar hubs o switchs en cadena para así incrementar el número de puertos). La desventaja de topología en todo caso es si el dispositivo central falla, entonces toda la red se cae.

Topología de Anillo

Una topología de anillo conecta los dispositivos de red uno tras otro sobre el cable en un círculo fíLa topología de anillo mueve información sobre el cable en una dirección y es considerada como topología activa. Las computadoras en la red retransmiten los paquetes que reciben y los envían siguiente computadora en la red. El acceso al medio de la red es otorgado a una computadoraparticular en la red por un "token". El token circula alrededor del anillo y cuando un ordenador deenviar datos, espera al token. El ordenador entonces envía los datos sobre el cable. El ordendestino le responde (al que le envió los datos) que fueron recibidos correctamente. El ordenador transmitió los datos, crea un nuevo token y los envía al siguiente, empezando el ritual de paso de too estafeta (token passing) nuevamente.



Topología de Malla

La topología de malla (mesh) utiliza conexiones redundantes entre los dispositivos de la red así cuna estrategia de tolerancia a fallos. Cada dispositivo en la red está conectado a todos los de(todos conectados con todos). Este tipo de tecnología requiere mucho cable (cuando se utiliza el ccomo medio, pero puede ser inalámbrico también). Pero debido a la redundancia, la red puede seoperando si una conexión se rompe. Las redes de malla, obviamente, son mas difíciles y caras instalar que las otras topologías de red debido al gran número de conexiones requeridas.

Tipos de redes

¿Cómo conocemos a las redes?

Las redes tienen unos tipos definidos según su alcance: Internet, MAN, WAN y LAN.

Internet

Conocida como la red de redes, no es sino una grandísima red en la que conviven todas y cada unalas topologías, lo cual parece indicar que es híbrida, a ella se interconectan multitud de redes y millode ordenadores.

MAN

Red de área Metropolitana, la constituyen varias WAN.



WAN

Red de área extensa, atraviesan rutas públicas y está formada por varias LAN interconectadas por dispositivos de conmutación, a los que no les concierne el contenido de la información, sólo retransmla misma.

LAN

Con un área menor que una WAN, desde una pequeña oficina a un Campus Universitario. Comparterecursos propios, como impresoras, datos, aplicaciones,... lo que las hace económicamente rentablede ahorro de tiempo. Disponen de puentes (bridges) para unir partes distantes de la misma, deencaminadores (enrutadores) para su comunicación con otras LAN y/o WAN.

Conceptos generales:

Interfaz de red: La conocemos como tarjeta de red, forma los paquetes de datos que serántransmitidos hacia el medio de conexión, recibe los paquetes desde el medio, comprueba errores a físico, convierte los datos para la capa superior, identifica al dispositivo con una dirección física únicaconocida como MAC address.

Nodo: Ordenadores, estaciones de trabajo, conectados a la red y desde los cuales accederemos a recursos compartidos de la red.

Broadcast: Definición de una transmisión de datos para todos los nodos, todas las redes disponen una dirección de red y una de broadcast, primera y final del segmento IP configurado.

Sniffer: Dispositivo hardware/software que intercepta los paquetes que se transmiten por la red, losconmutadores dificultan su tarea y además las interfaces de red que tengan un sniffer deben estar emodo promiscuo.

Repetidor: Simple dispositivo encargado de amplificar la señal que se transmite por el medio, evitansu atenuación en grandes distancias.

Puente(bridge): Un dispositivo con entrada/salida y viceversa que conectan dos segmentos de red una LAN o en su caso dos LAN, tienen una tabla con las direcciones MAC de los equipos queconforman ambos lados, restringiendo los paquetes que intentan atravesarlo, es decir, si los paquetetienen como destino una dirección de un lado no los deja pasar hacia el otro lado.

Encaminador/enrutador(router): Dispositivo que permite la unión de dos o más LAN (o segmentosred), toma como referencia las direcciones lógicas (IP), al igual que los puentes restringen los paquepero además encaminarán aquéllos que no pertenezcan a ninguna de sus direcciones hacia el exter

(a diferencia de los puentes), según sus tablas de enrutamiento decidirán que ruta, además de ser lamás eficiente, tomarán en su caso.

Brouter: Dispositivo con funciones de puente o de router, seleccionable en su configuración.

Pasarela(gateway): Un gateway sería el encargado de interconectar redes con distintos protocolos

Hub: Concentradores para varios nodos, su topología es BUS, es decir, se limitan a repetir todo eltráfico de red sea para quién sea, funcionamiento por broadcast y reducen el ancho de bandaconsiderablemente.



Conmutador(switch): Concentradores inteligentes, transmitirán por cada una de sus bocas lainformación que corresponda y no se limitan a repetir todos los datos, mantienen su ancho de banda

Protocolos

La familia de protocolos TCP/IP IP (Transport Control Protocol/ Internet Protocol) es la base actual dInternet y de las redes. Esta formada por más protocolos de los que su nombre indica y lo que realizes permitir que los equipos se comuniquen entre s. Windows Server necesita de TCP/IP para su

Directorio Activo (AD, Active Directory)

Existen dos estándares al respecto, el modelo ISO OSI y el propio TCP/IP.

El modelo OSI

El modelo ISO OSI comienza con la premisa de que la comunicación entre dos equipos es tan compque no podría considerarse como una sola entidad. Por ello el proceso de comunicación debe dividien capas diferentes, donde cada una se situará sobre la inferior, utilizando funciones asignadas por capa. Dejando a los desarrolladores el funcionamiento interno de las mismas. Siete son las capasdefinidas por la ISO OSI, en orden ascendente:

y Física: Es la encargada de dejar las secuencias de bits en los medios o de recogerlas. Seimplementa por hardware.

y Enlace de datos: Define los paquetes (tramas), permitiendo el envío de los mismos entreequipos interconectados físicamente. Se implementa combinando hardware y software.

y Red: Se encarga que los equipos se envíen tramas mediante las capas inferiores. Seimplementa por software y no es fiable, es decir, los paquetes pueden perderse, dañarse oencaminarse incorrectamente. La confiabilidad le corresponde a capas superiores.

y Transporte: Se encarga de la transmisión fiable de datos a través de la red. Utiliza lacomunicación extremo a extremo añadiéndole confiabilidad.

y Sesión: Controla la comunicación entre aplicaciones de lado a lado. Abre y cierra las sesioney

Presentación: Traduce los formatos de los datos para las diferentes aplicaciones.y Aplicación: Aplicaciones y usuarios; por ejemplo el programa de correo.

El modelo DARPA (TCP/IP)

Modelo utilizado en internet. Con sólo cuatro capas aunque compatibles con el modelo OSI.

Veamos una tabla de correspondencia entre modelos.

IP Internet Protocol



Para una comprensión de TCP/IP es necesario conocer uno de sus protocolos más importantes: IP.es el bloque de construcción de red del resto de protocolos y capas. Se halla perfectamente definidola RFC 791, Protocolo de Internet. IP ofrece varios servicios a la capa superior:

y Protocolo de red: Protocolo de red y enrutable. La cabecera contiene la información necesapara el encaminamiento de un paquete, con dirección IP de origen y dirección IP de destino. Udirección IP tiene dos componentes, la parte de dirección de red y la parte de host. La entregapaquetes y su enrutamiento es posible al tener una dirección de red de destino. Así mismo

también contiene una cuenta de saltos para limitar el número de enlaces por los que pasará epaquete antes de ser descartado.y Protocolos de clientes múltiples: IP es un transportador entre redes para los protocolos de

capa superior, pudiendo transportar distintos protocolos, pero cada paquete IP sólo puedecontener datos de un protocolo. Tanto el cliente como el servidor utilizan el mismo protocolo, el paquete no necesita indicar protocolo de origen y destino. Algunos protocolos son TCP, ICIGMP o UDP.

y Entrega de datagramas: Proporciona un servicio de entrega sin conexión y no confiable a loprotocolos de capas superiores. Sin conexión: no hay negociación previa entre nodos IP paraenviar datos y no se crea ni mantiene conexión lógica. No confiable: El paquete se envía sinsecuencia y sin confirmación de llegada a su destino, esto es responsabilidad de TCP.

y Independencia de la capa de interfaz de red: IP es independiente de la tecnología presentela interfaz de red. Utiliza una dirección de 32 bits (ipv4) que es independiente del esquema dedireccionamiento de la capa de interfaz de red.

y Fragmentación y reensamblado: Para ser compatible con el tamaño máximo de trama dedistintas tecnologías de la capa de interfaz de red, IP permite la fragmentación de una carga reenviarla por un enlace con una MTU menor que el tamaño del datagrama IP. Los enrutadorel host fragmentan la carga y puede ocurrir en varias ocasiones. El host de destino reensamblos fragmentos.

y Extensible mediante opciones IP: Si se necesita pueden utilizarse opciones IP paracaracterísticas no disponibles en la cabecera estándar. Las opciones se anexan a la cabeceraañadiendo funcionalidad personalizada. Por ejemplo especificar una ruta que pueda seguir undatagrama IP en una red IP.

y Tecnología de intercambio de paquetes de datagramas: Cada paquete es un datagrama,cuya dirección de destino es significativa y que será examinada por cada enrutador, el cualtomará independientemente su decisión de enrutamiento para reenviar el paquete. Ello hace las rutas de cada paquete puedan ser distintas, y llegar en distinto orden del que se envió.-Un datagrama está formado por una cabecera IP y una carga IP. La cabecera tiene un tamañentre 20 y 60 bytes, con incrementos de 4 bytes. Proporciona compatibilidad de enrutamientoidentificación de carga, tamaño del datagrama y cabecera, compatibilidad de fragmentación yopciones IP. Mientras la carga tiene un tamaño variable entre 8 bytes (datagrama de 68 bytescon cabecera de 60 bytes) y 65515 bytes ( un datagrama de 65535 bytes con cabecera de 20bytes).-

Quizás lo que más interese a éste nivel sean las direcciones IP; Es muy importante que la asignacide éstas sean únicas y correctas a todos los nodos de la red. No es que parezca tener demasiadadificultad dicha asignación, pero en realidad hacerlo usando técnicas de subred si que lo complica.

Una dirección IP es una dirección lógica de 32 bits (ipv4) que puede ser:

y Una dirección IP de unidifusión, que se asigna a una única interfaz de red. Se utilizan encomunicaciones de uno a uno.

y Una dirección IP de difusión, que está diseñada para ser recibida por todos los nodos IP delmismo segmento de red. Se utilizan en comunicaciones de uno a todos.



y Una dirección IP de Multidifusión, es una dirección para escuchar en un segmento de red o endistintos. Se utilizan en comunicaciones de uno a varios.

¿Cómo se expresan? Una IP es un valor de 32 bits, que pueden manejar perfectamente los equipos. Sin embargo nosotrono pensamos en binario, normalmente lo hacemos en decimal, por lo que parece más habitualexpresarlas así.La IP se divide en octetos, cantidades de 8 bits, si la dirección es de 32 bits entonces nos encontram

con 4 octetos. Por tanto expresamos la dirección IP con cuatro octetos decimales separados por unpunto, conocido como notación decimal con puntos.Esto es una IP: 00001010000000011111000101000011Si la dividimos en cuatro octetos: 00001010 00000001 11110001 01000011Cada octeto se pasa a base 10: 10.1.241.67Si observamos vemos que el número mayor sería 11111111, lo que en decimal supone 255.Utilizaremos la notación w.x.y.z para referirnos a las direcciones IP.Clases de direcciones Hay 5 clases de direcciones IP, clasificadas como Clase A, B, C, D y E.Las direcciones de la clase A se destinan para redes con gran número de hosts. El primer octeto es Id de red, los restantes Id de host.w = Id de red.x.y.z = Id de host

Un ejemplo: 10.0.1.137Id de red = 10Id de host = 0.1.137

A esta clase se le asignan las direcciones comprendidas desde 1.0.0.0 a 126.0.0.0, y de ellas 10.0.0para ámbito privado.

Las direcciones de la clase B para redes de tamaño mediano, aquí los dos primeros octetos serán ede red y los segundos el Id de host.w.x = Id de redy.z = Id de host

Un ejemplo: 172.16.0.25Id de red = 172.16Id de host = 0.25

Aquí tenemos desde 128.0.0.0 hasta 191.255.0.0, siendo el rango 172.16.0.0 hasta 172.31.0.0 pararedes privadas.

Las direcciones de la clase C serían para redes pequeñas, en donde el Id de red le corresponde a lotres primeros octetos, siendo el último el significativo Id de host.w.x.y = Id de redz = id de host

Un ejemplo: 192.168.0.29Id de red: 192.168.0Id de host: 29

Aquí está el rango comprendido entre 192.0.0.0 hasta 223.255.255.0, extrayendo el rango 192.168.0hasta 192.168.255.0 para el ámbito privado.Estas tres clases son para IP de difusión.



La clase D se destina para direcciones IP de multidifusión y las de la clase E son direccionesexperimentales.

El rango 127.x.y.z se reserva como direcciones de bucle invertido.Veamos unas tablas:

Como vemos, la primera dirección y la última no son utilizables, ya que la primera w.0.0.0, w.x.0.0,w.x.y.0 es la dirección de red y la última w.255.255.255, w.x.255.255, w.x.y.255 está destinada adifusión (broadcast).Con las máscaras de red podemos segmentar una red en distintas subredes, se verá pero esto indicque la primera y última dirección de esa subred también son inutilizables.

Para que un host o un enrutador puedan distinguir el Id de red del Id de host, la RFC 950 define el ude una máscara de bits para identificar cada Id. Llamada máscara de subred o máscara de direcciónEn cada configuración de dirección IP ha de existir una máscara de subred. Se expresa con el mism

formato que las IP pero no son direcciones IP.Genéricamente tenemos:

Así cuando expresamos un Id de red podemos hacerlo correctamente de dos formas:

- 192.168.4.0, 255.255.255.0- 192.168.4.0/16

¿Cómo se determina el Id de red?

Con el resultado del AND lógico entre la IP y la máscara de subred.

Un ejemplo:

IP 10000011 01101011 10100100 00011010Máscara 11111111 11111111 11110000 00000000Id de red 10000011 01101011 10100000 00000000

131.107.160.0/20, o 131.107.160.0, 255.255.240.0

Utilizando la máscara podemos dividir cada red en subredes, si nos fijamos, las posibilidades sonexactas, es decir: /9, /10, /11, /12, ............./31.

Un ejemplo con la clase C:/25 = 126 host en dos subredes, 255.255.255.128/26 = 62 host en cuatro subredes, 255.255.255.192/27 = 30 host en ocho subredes, 255.255.255.224/28 = 14 host en dieciséis subredes 255.255.255.240/29 = 6 host en treinta y dos subredes 255.255.255.248/30 = 2 host en sesenta y cuatro subredes 255.255.255.252



¿Bueno y todo esto?

Veámoslo con un ejemplo:

Tenemos una red de clase C con ID de red 192.168.0.0, la subdividimos en 2 subredes utilizando192.168.0.0/25, todos los equipos están físicamente conectados al mismo medio, pero forman dosredes lógicas distintas.

Así tenemos que el equipo con IP 192.168.0.1/25 no puede comunicarse con el equipo con IP192.168.0.129/25, pero si con todos los que tengan un Id menor o igual a 126 y con ninguno que lotenga superior. Por supuesto las direcciones 192.168.0.0 y 192.168.0.126 no son aplicables a host, tampoco la 192.168.0.127 y 192.168.0.255, direcciones de red y broadcast respectivamente de cadasegmento. Para que se vieran se necesitaría un enrutador o cambiar la máscara de subred.

Tabla de enrutamiento (accesible con el comando route print desde la línea de comandos)

Esta tabla contiene las rutas en memoria del nodo (cada nodo tiene una) y cada entrada presenta lainformación necesaria para el reenvío de paquetes para un intervalo de IP de destino. Además contila puerta (o puertas) de enlace predeterminadas para las rutas. Todo ello es utilizado para generar la

interfaz de próximo salto y la IP de próximo salto.

El primero es el dispositivo físico o lógico a través del que se reenvía el datagrama IP, el segundo ladirección IP del nodo al que se reenvía el datagrama.

Una ruta de la tabla tiene la información necesaria para identificar el destino, la interfaz y dirección dpróximo salto y además decidir la ruta más conveniente cuando hay varias.

La tabla de enrutamiento contiene la información referente a:

-Destino: Junto a la máscara de red, representa el intervalo de direcciones IP al que se puede tener

acceso con esta ruta. Puede ser una Id de red o una dirección IP.-Máscara de red: Máscara de bits utilizada para determinar los bits significativos de Destino. Debeformarse por una serie de bits 1 contiguos seguidos por una serie de bits 0 contiguos. Como hemosdicho, Destino y máscara definen el intervalo de IP. Un datagrama IP con dirección IP de destino deintervalo coincide con la ruta. Para determinar si una IP de destino de un datagrama reenviado coinccon una ruta, se realiza un AND lógico a nivel de bit entre la IP de destino y la máscara. El resultadocompara con el valor del campo Destino para la ruta. Si coinciden, la ruta es correcta para el paquetse utiliza la IP de próximo salto.-IP de próximo salto: IP a la que se reenviará el datagrama IP si coincide con la ruta. Es relevantepara enlaces de difusión, e irrelevante en enlaces punto a punto. Para rutas de segmentos de reddirectamente conectados, el campo Próximo salto puede configurarse con la IP de la interfaz de ese

segmento de red.-Interfaz: Designación de la interfaz lógica o física utilizada al reenviar datagramas mediante esta ruPuede ser un nombre lógico o la IP de la propia interfaz. Windows utiliza la IP asignada a la interfaz red.-Métrica: Coste de la ruta, ayuda a determinar la ruta a elegir entre varias con el mismo destino ymáscara, se utilizará la ruta con métrica más baja. Se utiliza para reflejar la cuenta desaltos(enrutadores hasta el destino).

Las rutas pueden ser de los tipos:

-Ruta de host: Ruta a un IP específica, por tanto la máscara de red es /32 (255.255.255.255). Se

utilizaría para especificar una ruta más óptima a host específicos en una subred remota.



-Ruta de Id de red: ruta para destinos con clase, sin clase, de subred y de superred. La máscara seencuentra entre /1 y /31.-Ruta predeterminada: Ruta hacia todos los destinos, se utiliza cuando no hay coincidencias con edestino. Viene representada por 0.0.0.0 y una máscara /0, mejor 0/0. Una puerta de enlacepredeterminada configurada en un host, crea una ruta predeterminada en la tabla de enrutamiento. Sutiliza para enrutamiento estático y para resumir todos los destinos de una gran red IP, como Interne

y Ruta predeterminada 0/0: es la ruta para cuando nos hay otras coincidencias. En caso de ser elegida, el paquete se reenvía a la IP de la puerta de enlace predeterminada (192.168.0.1)mediante la interfaz con IP 192.168.0.4.

y

Ruta de bucle invertido 127.0.0.0/8, coincide con cualquier ruta comprendida entre 127.0.0.0 127.255.255.255. Todos los datagramas de este intervalo se reenvían a la dirección reservadde bucle invertido 127.0.0.1 mediante la interfaz de bucle invertido (127.0.0.1).

y Ruta de red conectada directamente 192.168.0.0/24. El datagrama IP se reenvía a la IP dedestino mediante la interfaz asignada a la IP 192.168.0.4. (ruta de subred conectada localmen

y Ruta de host local 192.168.0.4/32, todo el tráfico dirigido a la IP de host local se reenvía a ladirección de bucle invertido (127.0.0.1) mediante la interfaz de bucle invertido(127.0.0.1)

y Ruta de difusión dirigida a todas las subredes 192.168.0.255/32. Los paquetes destinados a ldirección de difusión dirigidas a todas las subredes se envían como difusiones de nivel MAC,mediante la interfaz con IP 192.168.0.4

y Ruta de multidifusión 224.0.0.0/4, se utiliza para coincidir con todas las direcciones de clase D

reservadas para el tráfico IP de multidifusión. Se envían como multidifusiones de nivel MACutilizando la interfaz con IP 192.168.0.4y Ruta de difusión limitada 255.255.255.255/32, ruta de host para dirección de difusión limitada

Los datagramas dirigidos a esta dirección se envían como difusiones de nivel MAC mediante interfaz con IP 192.168.0.4.

Las métricas de enrutamiento 20 indican una interfaz ethernet a 100 Mbps.(Las rutas de las interfaces virtuales vmware han sido eliminadas a propósito)

ICMP (Internet Control Message Protocol)



Este protocolo informa de condiciones de error y control en nombre de IP. Protocolo extensible,proporciona funciones para comprobar la conectividad IP y ayudar en la configuración automática dehost. No hace que IP sea confiable. Aunque informa de un error, no tiene requisitos de cómo ha detratarlos. Depende de la implementación TCP/IP interpretar el error y ajustar su comportamiento.

Los tipos de ICMP son:0 Respuesta de eco3 Destino inaccesible

4 Flujo de origen5 Redirección8 Solicitud de eco (Eco)9 Anuncio de enrutador 10 Solicitud de enrutador 11 Tiempo de espera agotado12 Problema de parámetros



Protocolo ARP

ARP es un protocolo utilizado en redes basadas en difusión., como ethernet y Token Ring. Resuelvedirección IP de próximo salto de un nodo a su dirección correspondiente de control de acceso al medMAC, conocida como dirección física, hardware o de adaptador de red. La dirección MAC resuelta sconvierte en la MAC de destino en la cabecera Ethernet o Token Ring a la que se dirige un datagramIP cuando se envía en el medio. En resumen, ARP resuelve la dirección de capa de internet(IP) a unde la capa de interfaz de red(MAC).

Está formado por dos mensajes:

Solicitud ARP, el nodo de reenvío utiliza éste para averiguar la direccin MAC correspondiente a uIP específica.

Respuesta ARP, se utiliza para responder al solicitante ARP. Una trama MAC de unidifusión enviadala MAC de destino del solicitante.

Puesto que la solicitud es una difusión MAC, todas las IP de próximo salto deben alcanzarsedirectamente(la misma subred) desde la que envía la solicitud. Si una entrada de la tabla deenrutamiento contiene una IP próximo salto no válida y no puede alcanzarse directamente por lainterfaz, ARP no podrá responder la solicitud.

Windows mantiene una tabla basada en RAM de asignaciones IP-MAC conocida como caché ARP.Cuando se completa un intercambio ARP, el solicitante y el contestador almacenan la correspondenIP-MAC en su caché, los siguientes paquetes reenviados a las ya resueltas utilizarán la MAC de lacaché ARP. La caché siempre se comprueba antes de enviar una solicitud ARP. Existe una diferentpara cada interfaz IP.

El comando arp desde el símbolo de sistema nos ofrece los parámetros utilizables con el propiocomando.



Por ejemplo arp -a mostrará la caché RAM. Si esta sale vacía, sólo hemos de efectuar un ping a unade la red y repetir el comando, ahora nos aparecerá dicha resolución, con la IP utilizada en el ping y correspondiente MAC.

Protocolo TCP

En la capa de transporte hay dos protocolos que se utilizan normalmente: TCP y UDP(User DatagraProtocol). TCP es el encargado de proporcionar un servicio de entrega confiable entre extremos.

TCP tiene las siguientes características:

y Orientado a la conexión: Antes de transferir información, dos procesos de la capa de aplicanegocian una conexión TCP mediante el proceso de establecimiento de conexión TCP. Y secierra mediante finalización de conexión TCP.

y Dúplex completo: Para cada principal TCP hay una canalización de salida y una de entrada.Los datos pueden salir entrar y salir simultáneamente. La cabecera TCP contiene el número dsecuencia de los datos de salida y una confirmación de los de entrada.

y Fiable: Los datos se envían secuencialmente y se espera confirmación de recepción. En casfallar la respuesta se transmite de nuevo. El receptor descarta los duplicados y los que estánfuera de secuencia se reordenan en la correcta. Siempre se utiliza una suma de comprobaciópara verificar la integridad de nivel de bit del segmento TCP.

y Secuencia de bytes: TCP ve los datos de entrada y salida como una secuencia continua debytes. TCP no reconoce límites de mensajes o registros en la secuencia. El protocolo de la cade aplicación debe proporcionar el análisis de la secuencia de bytes de entrada.

y Control de flujo del emisor y del receptor: en evitación de un envío masivo de datos a la vesaturar la red, TCP implementa control de flujo del emisor que, gradualmente, escala la cantidde datos enviados a la vez, y a su vez control de flujo del receptor para evitar que el emisor edatos que no puede recibir, indicando la cantidad de espacio libre en el búfer del propio recep

y Segmentación de datos de la capa de aplicación: TCP segmenta los datos obtenidos desdcapa de aplicación para adaptarlos a un datagrama IP. Cambia el tamaño máximo que puederecibir cada uno y lo ajustan mediante la PMTU.

y Entrega de uno a uno: Una conexión TCP es un circuito lógico punto a punto entre dosprotocolos de la capa de aplicación. TCP no proporciona servicio de entrega de uno a varios.

Un segmento TCP se envía como un datagrama IP. Tiene una cabecera y un segmento, cuyo tamañmáximo es de 65495 bytes.

La cabecera TCP es de longitud variable, sin opciones TCP tiene 20 bytes de longitud.Los campos que contiene son:

y Puerto de origen: Indica el protocolo de la capa de aplicación de origen que envía el segmenLa combinación de la IP de origen y el puerto de origen crean un socket de origen, direcciónúnica desde la que se envía el segmento.

y Puerto de destino: Indica el protocolo de la capa de aplicación destino. Aquí se crea un sockde destino, dirección única a la que se envía el segmento.

y Número de secuencia: Número de secuencia basado en secuencias de bytes de salida.y Número de confirmación: Número de secuencia del siguiente octeto de la secuencia de byt

de entrada que el receptor espera recibir.y Desplazamiento de datos: Indica el inicio del segmento TCP.y Reservado: campo sin utilizar.



y Indicadores: Aquí se encuentran 6 indicadores TCP, URG(urgente), ACK, PSH, RST, SYN yFIN.

y Ventana: Número de bytes de espacio disponible en el búfer de recepción del emisor de estesegmento. Al indicarlo está informando de la cantidad que se pueden enviar y almacenar.

y Suma de comprobación: Comprueba la integridad a nivel de bit para el segmento.y Puntero urgente: Ubicación de datos urgentes dentro del segmento.y Opciones: Se pueden agregar opciones en tamaños de 4 bytes.

ipv6

Después de décadas es obvio que para la versión actual de IP (ipv4) ha pasado el tiempo. Actualmepresenta ciertas desventajas:

y Espacio de direcciones limitado, todas las direcciones públicas parecen estar en uso ya.y Infraestructura de enrutamiento lineal, que ha provocado que en las tablas de enrutamiento

troncales de internet existan más de 80.000 rutas, lo que hace un reenvío más lento del tráficy Configuración, Ipv4 debe configurarse manualmente o en todo caso mediante DHCP.y Seguridad.y Calidad de servicio (QoS).y Movilidad.

Por ello la IETF comenzó el desarrollo de un protocolo que sustituya a Ipv4 y capaz de resolver losproblemas y que, además, fuera extensible para solucionar problemas adicionales en el futuro. EstoIpv6.Ipv6:

y Espacio de direcciones enorme, sus direcciones tienen una longitud de 128 bits, el espacio dedirecciones es 3,4*1038 de direcciones posibles.

y IInfraestructura de enrutamiento jerárquica, las direcciones públicas Ipv6 se conocen comodirecciones globales, están diseñadas con una infraestructura que se adapta a la típica jerarqglobal-regional-local de los ISP que suele existir entre una organización o equipo particular y red troncal de Internet. Pueden resumirse, generando así pocas entradas de enrutamiento entablas de los enrutadores troncales de Internet.

y Configuración automática, los host pueden configurar automáticamente sus direcciones Ipv6 otros parámetros de configuración, incluso sin un DHCP.

y Seguridad integrada, al contrario que ipv4, se requiere la compatibilidad de Ipv6 con IPSec.y Más compatibilidad con QoS, con un equivalente al campo TOS de ipv4, que tendrá una única

interpretación para la entrega no estándar. El campo Etiqueta de flujo de la cabecera de ipv6



indica el flujo de paquetes, haciendo que la determinación de reenvío para servicios de entregno predeterminados sea más eficaz en enrutadores intermedios.

y Movilidad integrada.

Arquitectura Cliente/Servidor

Una arquitectura es un conjunto de reglas, definiciones, términos y modelos que se emplean para

producir un producto.La arquitectura Cliente/Servidor agrupa conjuntos de elementos que efectúan procesos distribuidos computo cooperativo.

Beneficios: Mejor aprovechamiento de la potencia de cómputo (Reparte el trabajo).Reduce el tráfico en la Red.Opera bajo sistemas abiertos.Permite el uso de interfaces gráficas variadas y versátiles.

¿Qué es el Cliente?

Conjunto de Software y Hardware que invoca los servicios de uno o varios servidores.Características: El Cliente oculta al Servidor y la Red.Detecta e intercepta peticiones de otras aplicaciones y puede redirigirlas.Dedicado a la cesión del usuario ( Inicia...Termina ).El método más común por el que se solicitan los servicios es a través de RPC (Remote ProcedureCalls).Funciones Comunes del Cliente: Mantener y procesar todo el dialogo con el usuario.Manejo de pantallas.Menús e interpretación de comandos.



Entrada de datos y validación.Procesamiento de ayudas.Recuperación de errores.

¿Qué es el Servidor? Conjunto de Hardware y Software que responde a los requerimientos de un cliente.Tipos Comunes de Servidores: Servidor de Archivos.

Servidor de Bases de Datos (SQL, CBASE, ORACLE, INFORMIX).Servidor de ComunicacionesServidor de Impresión.Servidor de Terminal.Servidor de Aplicaciones.Funciones Comunes del Servidor:

Acceso, almacenamiento y organización de datos. Actualización de datos almacenados. Administración de recursos compartidos.Ejecución de toda la lógica para procesar una transacción.Procesamiento común de elementos del servidor (Datos, capacidad de CPU, almacenamiento en discapacidad de impresión, manejo de memoria y comunicación).

Red de comunicación. Es todo aquel conjunto de elementos basados en hardware y software que permite establecer un enentre los clientes y los servidores, se clasifican por su tamaño LAN, MAN y WAN.Características de la comunicación:

A través de este medio, el cliente debe localizar e iniciar la comunicación con el servidor.No se utiliza la metodología de compartición de archivos, ya que todos los accesos a la información llevan a cabo a través de peticiones por medio de comunicación.Debido a que los programas de manejo y control de información ( Archivos y bases de datos solo seenvían y reciben los resultados de las operaciones (Tráfico igual a Datos leídos o escritos).Debido a la flexibilidad de establecer sesiones con múltiples servidores y manejo de información envarias bases de datos (en sitios remotos es requerido el uso de estilos transaccionales y cooperativo

TCP/IP en Windows Server

La instalación de los protocolos TCP/IP en Windows Server se incluye por defecto en la propiainstalación de Windows. Aunque en caso de necesidad pueden instalarse desde una sesión deadministrador, abriendo el panel de control y accediendo a la carpeta de conexiones de red, selecciola conexión de área local que se desee y seleccionar propiedades, tenemos a nuestro alcance losbotones de instalar/desinstalar y propiedades.Si ya tenemos instalado TCP/IP, podemos acceder mediante el botón propiedades:



Y tener acceso a la propia configuración de la IP y otros valores necesarios:

Y además, mediante el botón Avanzadas, a propiedades avanzadas:



Cabe recordar que si utilizamos instalar un nuevo protocolo, en Windows Server ya nos aparece nueva versión, es decir, Ipv6:



2: Instalación de Windows Server

Una visión general de Windows Server

Con un intento de mejora en aspectos como la seguridad, capacidad de red y el directorio activo,Windows Server pretende ser el centro del nodo de comunicaciones de cada empresa. Parece que mejor manera de aprovechar al máximo la tecnología que ofrece es su implantación junto a un clientcomo Windows XP Professional. Mediante tecnologías como IntelliMirror, RIS, instalación de softwaun almacenamiento de documentos y parámetros de los usuarios, que se replican en otros servidoreparece obtenerse:

y Un mejor acceso, cualquier usuario puede iniciar sesión en cualquier equipo de la red y todossus documentos y parámetros le acompañarán.

y Mayor disponibilidad, La información replicada en los servidores puede hallarse también en loy estar disponible aún cuando el usuario no esté conectado a la red. En cuanto se conectandicha información se sincroniza con la nueva.

y Mejor protección, todos los archivos residen en el servidor, con lo que se facilita la realizacióncopias de seguridad como un procedimiento habitual y centralizado.

Para una gestión administrativa se dispone de las MMC (Microsoft Management Console).

Disponemos de la tecnología de Directiva de grupo, con la que podemos diseñar opciones de laconfiguración, de seguridad, de instalación y de mantenimiento de software, secuencias de comandoscripts de inicio y cierre.

Servicios de Terminal Server, con lo que el proceso de las aplicaciones y sus datos tienen lugar en epropio servidor, utilizando un cliente en las máquinas locales para ello.

Disponemos de interoperabilidad con otros sistemas operativos, como Unix, Netware, o servicios decompartimiento de archivos e impresoras con Macintosh.

Parece pues que Windows Server representa un avance en fiabilidad, disponibilidad y manejabilidadNos encontramos ante un sistema más versátil que sus predecesores (NT, Windows 2000 Server) yestá basado en conceptos de gestión y administración introducidos en Windows 2000 Server.

y Un Servicio de directorio activo (Active Directory), extensible y escalable, utiliza DNS comosistema de espacio de nombres, un estándar de Internet.

y La tecnología IntelliMirror, un conjunto de características de administración de cambios yconfiguraciones que dan soporte para Raid, discos espejo que duplican el entorno y datos deusuario, además de centralizar la administración de las instalaciones y del mantenimiento desoftware.

y Una mejor Arquitectura de seguridad, introduciendo mejoras en tarjetas inteligentes, claves dcifrado públicas y privadas, protocolos de seguridad... Así como herramientas que analizan laseguridad del sistema y que permiten aplicar configuraciones uniformes de seguridad a grupo

y Terminal Server (Terminal Services), lo que permite iniciar sesiones y administrar otros sistemde forma remota.

y Windows Scripting Host, creación de scripts para automatizar tareas habituales deadministración; crear/eliminar cuentas de usuario, añadir impresoras, predeterminarlas,etc...http://www.microsoft.com/technet/community/scriptcenter



Aunque Windows Server incluye muchas más características, podríamos decir que Active Directoryresalta sobre las demás, y que comprender sus estructuras y procedimientos es esencial si queremoser buenos administradores de sistemas Windows Server.

Las versiones de Windows Server se dividen en cuatro:(Comparación de versiones)

Web Edition, una edición un poco recortada en la que se ofrecen servicios web y susaplicaciones, aunque no incluye Active Directory, pero si DFS(Distributed File System),

EFS(Encryting File System) y Escritorio Remoto para administración., soporta 2GB de Ray dos procesadores.

Standard Edition, evolución de Windows 2000 Server, ofrece servicios y recursos a otrossistemas de red, soporta hasta 4GB de Ram y dos procesadores.

Enterprise Edition, una ampliación de la edición anterior, en la que se incluye soporte parClusters (Cluster service), metadirectorio y servicios Macintosh. Compatible con equiposIntel de 64 bits. Pueden usar hasta 32GB de Ram en x86 y 64GB en 64bits, soportando

ocho procesadores.

Datacenter Edition, el vértice de la pirámide, mejora aún más las características de clústepuede usar hasta 64GB de Ram (128GB en equipos 64 bits), necesita un mínimo de ochprocesadores y soporta hasta 32.

Un servidor con Windows Server (Excluyendo Web Edition) puede configurarse de tres formas:Controlador de dominio, Servidor miembro o Servidor independiente.Los Controladores de dominio almacenan información de directorios (necesitan pues AD) y

proporcionan servicios de autenticación y de directorios al dominio.Los servidores miembros forman parte de un dominio pero no guardan información de directorios.Los Servidores independientes no forman parte del dominio y tienen su propia base de datos deusuario, por ello autentican los inicios de sesión.Los servidores pueden configurarse como:

y Servidor de aplicacionesy Servidor DHCPy Servidor DNSy Controlador de dominioy Servidor de archivos

y Servidor de correoy Servidor de impresióny Servidor de acceso remoto/VPNy Nodo de clúster de servidores (Enterprise Edition)y Streaming media Server y Terminal Server y Servidor WINS

NOTA: En el CD hay un directorio Support Tools, contiene una colección de herramientas y utilidadepara gestión, su instalación puede realizarse con Suptools.msi y un buen artículo al respecto lo podéencontrar en: http://www.microsoft.com/spain/technet/comunidad/articulos_mvp.mspx



También se dispone de la versión Windows Server 2003 R2. Web Windows Server R2

Introducción al Directorio Activo AD

Active Directory es el corazón de Windows Server 2003. En la práctica toda la administración afecta AD. Dicha tecnología está basada en protocolos estándar de Internet, con un diseño apropiado paradefinir la estructura de una red.

AD utiliza DNS(Domain Name System), por lo que presenta una estructura jerárquica, en base a laidentificación de equipos, dominios de organización y dominios de nivel superior. DNS también se utpara resolver nombres de host a direcciones IP. Con DNS la jerarquía de AD puede ser en función aInternet o independiente y privada. Es indispensable configurar DNS en la red antes de poder disponde AD.

AD proporciona estructuras lógicas y físicas, las primeras nos ofrecen: Unidades Organizativas (OU

Dominios, árboles de dominios y Bosques de dominios; y las segundas: Subredes y Sitios.

Se dispone de varias herramientas para la administración de AD, entre ellas las hay graficas y en línde comandos, mientras hay algunas herramientas de soporte sólo disponibles en inglés.

Directorio Activo en Technet Directorio Activo en Microsoft

Instalando Windows Server 2003

Instalación y configuración inicial de un servidor con Windows Server

Es muy interesante comprobar la compatibilidad de nuestro hardware con Windows Server 2003, paevitarnos sorpresas posteriores. Podemos visitar la página webhttp://www.microsoft.com/whdc/hcl/search.mspx y si la instalación la hacemos sobre un equipo que tiene un sistema operativo, aprovechar una de las opciones de comprobar la compatibilidad del sistelo que hará que se nos informe del hardware y/o software que no es compatible.



Si ya hemos determinado que nuestro equipo cumple con la compatibilidad adecuada o deseamosseguir con la instalación aunque no estemos seguros, esto es lo que iremos viendo sucesivamentedurante el proceso de instalación:Partiendo del escenario planteado, es decir un equipo sin sistema anterior, podremos observar dosfases diferenciadas y separadas por un reinicio, la primera con una interfaz de texto y la segunda deuna manera más gráfica. Pero veámoslo mediante imágenes...Comienza la instalación:

La primera bifurcación: se nos ofrecen tres opciones, como se observa en la imagen, instalar ahora,reparar/recuperar una instalación existente o salir de la instalación de Windows sin instalarlo. Nosotrpor supuesto pulsamos la tecla ENTRAR y con ello seleccionamos instalar Windows ahora.



Luego se nos presentará el contrato de licencia para el usuario final, lo leeremos y si lo encontramosconforme pulsaremos la tecla F8, con lo que aceptaremos dicho contrato y proseguiremos con lainstalación.

Siguiente bifurcación, hemos de elegir el lugar donde instalar Windows, aquí podemos crear unapartición en el espacio que no está particionado, eliminar alguna/s para aumentar el espacio, odirectamente elegir el espacio libre y pulsar ENTRAR.



Qué sistema de archivos elegimos para el formato de la partición? Bueno, si deseamos todo el potede Windows para nuestro servidor, la que viene marcada por defecto, que es NTFS.

Se procede a formatear la partición con el formato elegido en la pantalla anterior.



Despusé del formato, el proceso de instalación efectúa la copia de archivos necesarios para lossiguientes pasos.

Terminada la copia de archivos se inicia la configuración.

La primera fase ha finalizado y se procede al reinicio.La primera de las pantallas que se nos muestra es la que desde ese momento veremos al iniciar elsistema o reiniciarlo, sea por alguna actualización, instalación de nuevo hardware o software, u otras



Iniciando el sistema.

Aquí nos muestra los tres pasos ya llevados a cabo y el que comienza: Instalando Windows.



Instalando dispositivos.

Por defecto tenemos la configuración en Español. Pulsando en personalizar podremos comprobar qtodo está correcto.



Las opciones regionales, avanzadas y, configuración regional y de idioma, en ésta última el botóndetalles nos da paso al idioma del dispositivo de entrada.



Escribiremos nuestro nombre y nuestra organización.

Introduciremos la clave del producto.



Aquí hemos de elegir el modo de licencia, recordemos: Por servidor se refiere a las conexionesconcurrentes al software del servidor, mientras Por dispositivo o usuario se aplica al dispositivo o

usuario sin importar a qué servidor se acceda.

Nombre de equipo y contraseña del administrador, si la misma no cumple los requisitos de unacontraseña segura recibiremos una advertencia, aunque nos permitirá seguir utilizando la propuesta

Luego configuramos los valores de fecha y hora.



Seguidamente se instala la red.

Para la configuración de red podemos elegir una configuración típica y modificarla después o hacerlpersonalizada desde el inicio.



Si la hacemos personalizada nos aparecer n cada adaptador de red del equipo, seleccionaremos elProtocolo de Internet(TCP/IP) y pulsaremos en propiedades.

Configuraremos la IP, la máscara de subred y la puerta de enlace predeterminada. Luego pondremoIP del DNS. En el caso de que el servidor se promocione a DC o se configure el servicio DNS, hemode reconfigurar éste último valor.



Luego seleccionaremos si el equipo estar como un servidor stand-alone(independiente) o pertenece

un dominio existente(servidor miembro) introduciendo el nombre del dominio al que se unirá, si fuesesegundo caso habría que configurar el DNS de dicho dominio en la configuración de TCP/IP vistaanteriormente.

Comienza la copia de archivos.



Luego instalar los elementos del menú de inicio.

Registrar los componentes.



Guardar la configuración.

Eliminar los archivos temporales innecesarios.



Se reiniciará.

Aquí se nos muestra la pantalla de inicio, pulsando Ctrl-Alt-Supr iniciaremos el sistema.



Nos mostrará la ventana de inicio de sesión, y lo haremos como administrador para terminar los pasiniciales.

Unos consejos:Un servidor deber a dedicarse simplemente a eso, a Servidor, no deber a plantearse su uso como unestación de trabajo más, aunque esto parece que depende mucho de cada cual y de sus necesidadePensando en que sólo realizará dichas tareas, siempre configuro el menú de inicio clásico, dejo el fode pantalla en el clásico azul y configuro el equipo para el máximo rendimiento.Sobre todo, antes de realizar cualquier conexión a internet, activar el cortafuegos y después actualizel sistema con todos los parches de windows update que crea necesarios.Luego activo el sistema si la versión instalada no es Corporativa y exenta de dicha activación.



Clic derecho sobre la conexión de red local, propiedades, avanzadas.

Marco la casilla de verificación para activar la protección y observo como el icono de la conexiónmuestra un candado sobre la misma.



Visito windows update y actualizo todo lo que creo necesario.

Activo la copia de windows pulsando en el systray sobre el icono de advertencia o navego por el botinicio, programas, accesorios, herramientas del sistema, Activar windows.Luego sigo el asistente de activación.

Desde aquí ya puedo promocionar el servidor a DC si es mi deseo, unirlo a un dominio si no lo hicedurante la instalación o dejarlo como servidor independiente.

NOTA:* Debido a las diversas versiones, sp's etc... puede que las imágenes de las pantallas mostrano coincidan en todos los casos.

3: Administración de equipos

Sistemas de archivos

Un sistema de archivos garantiza la organización lógica de los datos en los discos duros y proporcioal sistema operativo las rutinas necesarias para que puedan ser accedidos, modificados y eliminadoCualquier sistema operativo suele tener soporte para varios sistemas de archivos, aunque sólo sea modo lectura. Los sistemas de archivos de la familia Microsoft que podemos encontrarnos son: FAT(FAT16 y FAT32) y NTFS (NTFS4, NTFS5).



NTFS (New Technology File System) fue diseñado para NT e incorporaba un sistema de seguridadintegrado que nos permitía asignar permisos a archivos y directorios a nivel de usuarios y grupos. Smejoras han hecho que desde Windows 2000 Server se puedan crear particiones dinámicas y con ela posibilidad de Cuotas de disco, sistemas de archivos cifrados (EFS) y desfragmentación NTFS.

Antes de entrar en los puntos siguientes, vamos a recordar ciertas definiciones:

y Unidad física: El propio disco duro, sin más.y Unidad lógica: Fragmento que se comporta como una partición y que está dentro de una

partición extendida.y Unidad de asignación: Es la unidad más pequeña de espacio de disco duro administrado, se

llama clúster.y Partición: Puede ser el total del tamaño del disco o una parte.y Partición primaria: Partición que el sistema marca como iniciable o arrancable, así como MS

DOS sólo soportaba una, Windows Server(2000 o 2003) pueden tener hasta cuatro por disco(límite de particiones en una unidad física).

y Partición extendida: partición que no es de inicio y que a su vez puede contener unidadeslógicas. Sólo puede haber una por disco.

y Disco básico: Unidad física tradicional, dividida o no en varias particiones, no admiten funcioavanzadas de administración de discos, pero pueden convertirse en muchos casos en discosdinámicos.

y Disco dinámico: Unidad física administrada que puede utilizarse para crear varios volúmeney Volumen: Unidad de espacio en disco compuesta de uno o varios fragmentos de uno o más

discos dinámicos.y Volumen simple: Un equivalente a partición. Parte de un solo disco dinámico, con una letra

unidad o ninguna y puede montarse en cero o más puntos de montaje.y Volumen lógico: equivalente a unidad lógica.y Volumen distribuido: conjunto de fragmentos de discos duros combinados en una sola unid

Se les da formato como una unidad física, pueden tener una letra de unidad, pero abarcan vaunidades físicas, no ofrecen tolerancia a fallos, en todo caso aumentan la posibilidad de estosaunque emplean más eficientemente el espacio de disco disponible.

y Volumen extendido: Parecido a volumen distribuido, y a veces sinónimo, cualquier volumendinámico que se haya ampliado desde su tamaño original. Si se utiliza partes de varias unidafísicas es más propio llamarlo volumen distribuido.

y RAID (matriz redundante de discos independientes): Utilizar varias unidades físicas en unmatriz para ofrecer mayor tamaño, tolerancia a fallos y mayor rendimiento. Hay varios nivelesRAID-0, RAID-1, RAID-5,etc. La numeración no indica mejor rendimiento o tolerancia a fallos,solo diferencias de métodos.

y Volumen seccionado: Como los volúmenes distribuidos combinan varios fragmentos de discen una sola entidad. Utilizan un formato especial para escribir por igual en cada uno de losfragmentos para aumentar el rendimiento. No ofrecen tolerancia a fallos sino lo contrario, peroson más rápidos. Aunque suelen denominarse RAID-0 puede inducirse a error, ya que elseccionamiento no implica redundancia.

y Volumen con espejo: Pareja de volúmenes dinámicos, contienen datos idénticos y son vistocomo una sola unidad. En caso de fallo en alguno, el otro puede independizarse para seguir ofreciendo acceso completo. Se denomina RAID-1 y ofrece tolerancia a fallos.

y Volumen RAID-5: Como los volúmenes seccionados, combina varios fragmentos de variosdiscos en una sola entidad con los datos distribuidos por igual en todos los fragmentos. Escrila información de paridad de cada sección en un fragmento distinto, lo que permite larecuperación en caso de fallo de un solo disco. Ofrecen rendimiento excelente para operacionde lectura, siendo un poco más lentos para escritura que otras opciones.



Introducción a los sistemas de archivos

Comparación entre NTFS, FAT y FAT32

Administrador de Discos

Windows Server trae una interfaz nueva, basada en MMC y que además añade un nuevo conjunto dposibilidades. No sólo permite administrar los discos duros locales, sino también unidades de otrosequipos que ejecuten Windows XP, Windows 2000 o Windows Server, pudiendo administrar tareas d

disco y asignaciones de espacio desde una estación de trabajo.

Discos dinámicos Otra característica importante es el concepto de disco dinámico. Al transformar los discos en discosdinámicos se ofrece la posibilidad de administrarlos sin necesidad de reinicio en la mayoría de casos

Ampliar su volumen, distribuirlos entre varios discos, seccionar el volumen, crear un espejo o agregaa RAID-5, todo desde la propia MMC y sin necesidad de reinicio una vez convertido en discosdinámicos. La conversión primera necesita un reinicio.Se dispone de un conjunto de asistentes para la adición de nuevas unidades físicas, creación devolúmenes, creación de particiones, creación de unidades lógicas y la eliminación de particiones,

volúmenes o unidades lógicas.



El sistema de archivos NTFS existe desde la primera versión de Windows NT. Desde Windows 2000siguiendo con Windows Server 2003 se han introducido cambios significativos para que soporte nuecaracterísticas, como las instantáneas, cuotas de disco y cifrado de archivos y del sistema de archiven el nivel del disco físico.

Cuotas de disco: Hasta Windows 2000 los administradores de Windows NT no podían limitar los recursos de disco deusuarios sin software adicional, ahora se proporcionan cuotas recomendadas o absolutas de disco p

usuarios o grupos. Sin embargo, cada volumen o partición se trata como una entidad separada, por que no se pueden aplicar cuotas a un tamaño total en el servidor o en la empresa. También caberecordar que una vez aplicada y los usuarios llegan a su límite recibirán un mensaje de disco llenohasta que eliminen archivos suficientes para quedar por debajo del límite, y eso incluye la papelera dreciclaje pues los archivos que la ocupan también cuentan y hay que vaciarla.Por defecto las cuotas de disco están deshabilitadas en todas las particiones y/o volúmenes. Hay quhabilitarlas en cada una de ellas/os en las/os que se quiera establecer una cuota. Y sólo estándisponibles para los volúmenes que tengan asignada una letra de unidad. Pueden establecerse cuodiferentes para cada usuario o grupo de usuarios, o idéntica para todos.Botón derecho en la letra de unidad, propiedades, pestaña cuota y seleccionar "Habilitar laadministración de cuota". Después podemos limitar el uso del disco para esa unidad, tenemos lasopciones:

y Denegar espacio de disco a usuarios que excedan el límite de cuota: Esto se aplica a toda lautilización del disco, sinó, los límites son orientativos.

y Limitar espacio de disco a: Nos permitirá establecer el límite de espacio de disco para los nueusuarios del volumen.

y Establecer el nivel de advertencia en: Aquí establecemos el límite en el que los usuarios recibel mensaje de advertencia.

y Opciones de registro: registrar cuando se supera el límite, el nivel de advertencia o dejarlo enblanco sino queremos registrar dichos eventos.

Nos saldrá un mensaje de confirmación, si todo ha ido bien, aceptaremos para examinar el disco yhabilitar las cuotas.El único inconveniente al habilitar las cuotas siguiendo estos pasos es que sólo se aplican a losusuarios, no a los administradores, a no ser que explícitamente se indique una entrada de cuotadistinta. Para ello debemos realizar unos pasos extra:

Abierta la ventana de cuotas de la unidad, pulsaremos en el botón "Valores de cuota" y tendremos uventana que contiene entradas para todos los que hayan almacenado archivos en ese volumen, amenos que se hayan eliminado.Podemos modificar las propiedades de cualquier entrada con doble clic en ella, apareciendo un cuadde diálogo donde podemos definir la cuota.Un consejo: Huir de el establecimiento de cuotas para cada usuario, al final es una pesadilla.Por supuesto en Windows Server podemos exportar o importar las cuotas de un volumen a otro, tansimple como abrir las entradas de ambos volúmenes y arrastrarlas de uno al otro, o escoger la entray seleccionar exportar para guardarla en un archivo y luego en el volumen receptor escoger importa



Sistemas de archivos Distribuidos

Cuando se comparten archivos en una red siempre aparecen dificultades de acceso por parte de losusuarios para buscar aquéllos que necesitan. Si sólo existe un servidor el problema parece menosgrave, pero cuando existen diversos servidores de archivos y en distintos lugares se aprecia cualquiayuda a los usuarios para encontrar los recursos compartidos, al final siempre se gana en tiempo.El sistema de archivos distribuidos (DFS) se diseñó para evitar este problema y a la vez, añadir ciertventajas como el equilibrio de carga, la tolerancia adicional a fallos y la conservación del ancho debanda intra-sitios.DFS oculta la estructura de los archivos compartidos bajo carpetas virtuales, de forma que los usuarven una única estructura contigua de carpetas, cuando en la realidad puedan estar en varios servidopor toda la red.La ventaja más clara es tener un único punto de acceso a los recursos compartidos de la red. Tambi

permite una organización de los mismos y al mismo tiempo administrar una mejor disponibilidad ytolerancia a errores, con el añadido de la funcionalidad de equilibrio de carga.Dfs conforma un conjunto virtual de recursos compartidos de archivos organizado jerárquicamente, cel que los usuarios sólo necesitan conectarse a un servidor (el de la estructura DFS) para tener accea todas las carpetas compartidas, estén donde estén.Dfs esconde a los usuarios la estructura real de carpetas, aprovecha el AD para la replicación yoptimización de sitios, usando las réplicas para el equilibrio de carga. Los usuarios recorren losrecursos compartidos aislados de los archivos reales, por lo que desconocen la procedencia de losarchivos a los que acceden. El administrador sólo necesita modificar los vínculos, sin necesidad dedesconectar los recursos, para que apunten a cualquier otro servidor, de forma totalmente transparea los usuarios.



Dfs en ningún caso complica la seguridad, sigue manteniéndose NTFS, aún cuando se definenpermisos para la raíz Dfs.Para acceder a una estructura Dfs es necesario un cliente Dfs, y los hay parawindows95/98/me/NTsp3/2000/XP/2003.Una raíz Dfs puede albergarse en cualquier equipo ejecutando Windows Server (en cualquiera de suversiones) y en Windows 2000 Server, sea en dominio o de forma independiente.

Apertura de una raíz Dfs

Hemos de crear una raíz Dfs para trabajar con Dfs, para ello podemos seguir al asistente que se nosofrece en la siguiente ruta:Inicio->Programas->Herramientas administrativas->Sistema de archivos distribuidos.O abrir el Panel de control y pulsar en Herramientas administrativas->Sistema de archivos distribuido

Seguidamente elegiremos crear una nueva raíz, con clic derecho sobre Sistema de archivos distribudel árbol de la izquierda.

Desde aquí hemos de seguir al 'Wizard' seleccionando las opciones que se nos solicitan, entre ellas

y Seleccionar el tipo de raíz DFSy

El servidor que lo albergará



y La ruta del recurso a crear y el nombre con que se compartirá.y Una vez creada la raíz DFS, hemos de añadir vínculos DFS.y Elegiremos la raíz a la que se desea agregar el vínculo.y Comando Nuevo vínculo del menú Acción.y Escribiremos el nombre de la carpeta compartida en Nombre de vínculo.y Escribiremos la ruta UNC o DNS, o pulsaremos en examinar para buscarla.y Si se desea, escribiremos comentarios.y Configuraremos el tiempo en segundos que los clientes almacenarán la referencia en la cach

antes de volver a comprobar si es correcta.y Le daremos a Aceptar.

4: Usuarios y Grupos

Usuarios y Grupos

En una red es imprescindible conseguir que los usuarios tengan todo lo que necesiten y evitar losproblemas que impidan su trabajo. Acceso a archivos, carpetas, aplicaciones, impresoras, internet,etc... requeridos para su trabajo. Así que manos a la obra.

Grupos

Por definición, los grupos en Windows Server son objetos del servicio de Active Directory o, del equlocal, que a su vez pueden contener usuarios, contactos, equipos, y otros grupos.El objetivo es una administración más simple, para que el administrador pueda asignar derechos ypermisos por grupo y no a usuarios individuales.En Windows Server nos encontramos con los grupos de seguridad y los grupos de distribución, auncasi todos los grupos utilizados son de seguridad ya que son a los que se pueden asignar permisos.Cada grupo de seguridad tiene asignado un ámbito de grupo, que definirá como se asignan lospermisos a sus miembros.Los grupos de distribución no tienen seguridad activada y sólo se pueden usar con aplicaciones de

correo electrónico para enviar correos a conjuntos de usuarios.

ámbitos de Grupos

Los ámbitos: Cuando creamos un grupo se le asigna un ámbito de grupo, encontrándonos con grupglobales, grupos locales de dominio y grupos universales.

ámbito global Es un grupo global en cuanto los permisos se conceden sobre los recursos de cualquier dominio. Lousuarios de pertenencia provienen del dominio en el que se crea el grupo por lo que en este sentido parece global. Son adecuados para cuentas de usuario y grupo y a su vez pueden pertenecer a grup

universales o locales de dominio en cualquier dominio y como miembros pueden tener a otros grupoglobales en el mismo dominio y cuentas individuales del mismo dominio.ámbito local de dominio Es un grupo contrario al anterior, pues sus miembros pueden provenir de cualquier dominio y suspermisos sólo pueden definirse para recursos del dominio en el que se crea el grupo. Como miembrpueden tener a otros grupos locales de dominio en el mismo dominio, globales de cualquier dominiouniversales de cualquier dominio y cuentas individuales de cualquier dominio.ámbito universal Un grupo universal puede tener miembros pertenecientes de cualquier dominio y se le pueden asignpermisos a recursos de cualquier dominio. Sólo está disponible en dominios en modo nativo. Sus



miembros pueden ser otros grupos universales, globales y cuentas individuales. Deben utilizarsecomedidamente pues afectan al rendimiento de la red.

Para los anidamientos entre grupos hemos de tener en cuenta que sus reglas se aplicancompletamente en modo nativo y no en modo mixto.

Es muy importante una correcta planificación pues afectan al rendimiento de la red, veámoslo:

Cuando un usuario inicia sesión el DC determina los miembros del grupo del usuario y le asigna untestigo de seguridad, que incluye el SID de todos los grupos a los que pertenezca y el ID del propiousuario. Cuantos más grupos pertenezca el usuario más se tarda en la creación del testigo y por enen iniciar sesión. Por otra parte el testigo será enviado a cada equipo al que accede el usuario, dondse comparará todos los SID con los permisos de los recursos compartidos. Un gran número de usuaañadidos a un gran número de recursos consume ancho de banda y tiempo de proceso.En cuanto a los grupos universales tienen un impacto por sí mismos en el rendimiento de la red, puetodos los grupos con sus miembros se muestran en el catalogo global, cualquier cambio en un grupocon ámbito universal será transmitido a todos los servidores de catálogo global del árbol de dominioaumentando el tráfico de réplica. Los grupos globales o locales también están en el catálogo global no así sus miembros individuales, por lo que el consumo es menor.

Un buen artículo sobre grupos: Grupos

Los grupos, al igual que las cuentas de usuario (como veremos) obtienen un identificador exclusivo monitorizarlos (SID) en el momento de su creación.

Cuentas de usuario

Definamos dos tipos de cuentas, aquéllas que se circunscriben al Active Directory y que llamaremoscuentas de usuario de dominio y las que se crean para tener acceso al equipo local que llamaremoscuentas de usuario locales.

Aunque Windows Server muestra nombres de usuario para indicar privilegios y permisos, losidentificadores clave de las cuentas son los SID(Security Identifiers), exclusivos y generados al creacuentas, lo forman un prefijo del identificador de seguridad del dominio y un identificador relativoexclusivo asignado por el maestro de identificadores relativos. Estos identificadores son utilizados pmonitorizar las cuentas, aparte del nombre de usuario. De entre las funciones del SID las dos másimportantes son permitir cambiar fácilmente el nombre de usuario y eliminar cuentas sin preocuparseque alguien pueda obtener acceso a los recursos con sólo crear una cuenta. Ya que cuando se camel nombre a un usuario se solicita un SID para un nombre nuevo, al eliminar una cuenta se indica quSID ya no será válido, así que cuando creamos una nueva aún con el mismo nombre, el SID serádiferente.

Creación de usuarios y grupos

Las herramientas presentes en Windows Server para la creación de usuarios y grupos son: Usuariosequipos de Active Directory y Usuarios y grupos locales; con la primera administraremos las cuentasun dominio AD y con la segunda administraremos las cuentas de un equipo local.

En el caso de ser un DC la segunda quedará anulada y todas las cuentas locales creadasanteriormente a la promoción se ajustarán al AD.

Crearemos una cuenta de usuario de dominio desde la herramienta de Usuarios y equipos de AD,pudiendo ser una cuenta nueva o una cuenta nueva que herede las opciones de una existente. Elasistente nos solicitará varios datos para la cuenta, entre ellos el nombre de inicio de sesión, la



contraseña (que deberá ajustarse a las directivas de contraseñas) y algunos valores sobre las mismque elegiremos marcando las casillas correspondientes.Crearemos una cuenta de usuario local desde la herramienta Administración de equipos del conjuntHerramientas administrativas del panel de control. En este caso cambiará la forma del nombre de inde sesión, si en el anterior será del estilo nombre@dominio, aquí sólo aparecerá nombre.

Para la creación de grupos se utilizan las mismas herramientas, aunque la segunda sólo nos servirápara crear grupos locales y añadir miembros.

Tip: limitar inicios de sesión concurrentes

Restricting Concurrent Logons Cconnect.exe: Con-Current Connection Limiter Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0 LimitLogin.exe

Perfiles

Los perfiles de usuario son el propio entorno del usuario, tal como la configuración de escritorio,

opciones de menú o la propia red. En Windows Server todo usuario tiene un perfil, y en cada equipoel que inicie sesión habrá una copia del mismo, o lo que es lo mismo, estará presente en el disco dudel equipo y por tanto si accede a varios equipos tendrá un perfil en cada uno, esto se denomina perlocal y como ya se indica se almacena localmente, lo cual podría provocar que el usuario tuviese unperfil distinto en cada equipo donde accede. Para evitar esto es posible la creación de un perfil al qupuedan acceder otros equipos, lo que se denomina perfil móvil. Con un perfil móvil el usuario puedetener el mismo perfil independientemente del equipo en el que inicia sesión, obligatoriamente losperfiles móviles han de almacenarse en un servidor que ejecute Windows Server; cuando un usuarioinicia sesión en cualquier equipo el perfil es descargado desde el servidor y almacenado localmentecomo una copia, los cambios se almacenarán al cerrar la sesión tanto en la copia local como la delservidor.

El administrador puede controlar los perfiles o permitir a los propios usuarios a que lo hagan ellosmismos. Los perfiles controlados por el administrador son perfiles obligatorios, los usuarios quedisponen de este perfil sólo podrán cambiar su entorno durante la sesión ya que al cerrarla estoscambios no se guardarán y por tanto al volver a iniciar sesión cargará de nuevo el perfil original.Si no se cambia la configuración predeterminada los perfiles serán locales, por lo que una vez creadusuario y éste inicie sesión en un equipo, se almacenará en el disco duro de dicho equipo.

¿Qué contiene un perfil?

Dentro de cada perfil se encuentran las siguientes carpetas:

y

Configuración local: Datos de programa, historial y archivos temporales.y Cookiesy Datos de programa: configuraciones específicas de programas determinadas por los

desarrolladores de los mismos y configuración de seguridad específica del usuario.y Entorno de red: Accesos directos a Mis sitios de red.y Escritorio: Archivos, carpetas, accesos directos, apariencia.y Favoritos: Accesos directos a ubicaciones favoritos, especialmente sitios web.y Impresoras: Accesos directos a elementos de la carpeta impresoras.y Menú inicio: Elementos del menú de inicio del usuario.y Mis documentosy Plantillasy

Reciente: Accesos directos a carpetas y archivos utilizados recientemente.



y SendTo: Elementos del menú Enviar a.

Perfiles móviles

Los perfiles móviles han de almacenarse en un servidor que ejecute Windows Server, para elloseguiremos los siguientes pasos:

y Crear un recurso compartido en el servidor, asegurándonos que los permisos de recurso sea

totales para el grupo todos. Por ejemplo: Perfilesy Acceder a las propiedades del/los usuarios en la consola Usuarios y equipos de Active Direct

seleccionando la pestaña Perfil y escribiendo la ruta en el campo Ruta de acceso al perfil. Poejemplo: \\servidor\perfiles\usuario

El directorio usuario se creará automáticamente cuando inicie sesión por primera vez.Perfiles obligatorios Se crea de la misma manera que un perfil móvil, hacerlo obligatorio es cambiar la extensión al archivNtuser.dat por Ntuser.man.La posible ventaja es que dicho perfil puede ser pre configurado y ser asignado a varios usuarios coque todos dispondrían del mismo perfil.

Intellimirror

Intellimirror es un conjunto de características de Windows ® Server para la administración, cambio yconfiguración del entorno de usuario, conjugando las ventajas de una administración centralizada corendimiento y flexibilidad de una computación distribuida.Básicamente, IntelliMirror proporciona a los usuarios la posibilidad de tener siempre acceso a suentorno personal. Los usuarios tienen acceso permanente a toda su información y software, estén oconectados a la red, con la garantía añadida de que sus datos permanecen seguros y están siempredisponibles.IntelliMirror permite al administrador establecer las directivas una vez, sabiendo que se aplicarán sin

ninguna intervención administrativa adicional.IntelliMirror incorpora tres características:

y Administración de datos del usuario;y Instalación y mantenimiento del software;y Administración de la configuración de los usuarios.

Las características de IntelliMirror se pueden usar de forma independiente o conjunta, en función denecesidades.¿Qué es IntelliMirror? Intellimirror puede ser configurado para el control y la administración de:

y Datos de los usuarios: archivos, documentos, hojas de cálculo, libros de trabajo y otrainformación que crean los usuarios y emplean para llevar a cabo su trabajo.

y Instalación y mantenimiento del software: comprende la instalación, configuración, reparacióndesinstalación de aplicaciones, actualizaciones y Service packs.

y Configuración del usuario: incluye las personalizaciones del sistema operativo y las aplicacionque definen el entorno informático de un usuario. Por ejemplo, la configuración de idioma,diccionarios personalizados, distribución del escritorio, combinaciones de colores y otraspreferencias del usuario.

La mayoría de características se aplican mediante la Directiva de grupo y AD, pero no son exclusiva

para el uso de muchas otras. Muchas se pueden establecerá nivel local o por directivas locales, otra



como las carpetas sin conexión sólo necesitan que el cliente windows acceda a un servidor compaticon SMB.

IntelliMirror permite administrar los cambios y configuraciones por medio de un sistema deadministración basado en directivas. La administración basada en directivas consiste en usar ladirectiva local o Directiva de grupo para definir la configuración y capacidades de un usuario o equipLa directiva local se define en un equipo local, mientras que la Directiva de grupo se configura en AcDirectory y afecta a grupos de usuarios o equipos. Mediante el uso de la Directiva de grupo, IntelliM

sirve de ayuda para centralizar y simplificar la administración de cambios y configuraciones.La Directiva de grupo se puede usar para aplicar, de forma centralizada, requisitos a grupos de usuay equipos. Una vez que se aplica la Directiva de grupo, el sistema conserva ese estado sin que seanecesaria ninguna otra intervención.Administración de datos de los usuarios El usuario siempre tiene acceso a sus datos, esté o no conectado a la red, ya que intellmirror losalmacena en lugares de la red especificados y los presenta al usuario como datos locales. Esto pueconfigurarse mediante diversos métodos, de forma manual, para cada usuario, o de forma globalmediante la Directiva de grupo.Uno de los métodos es redirigir carpetas específicas del usuario a un recurso en la red y establecer dicho recurso como sin conexión. Ello hace que cuando el usuario guarda un documento en dichacarpeta se guarde en la red, aunque a posteriori se sincroniza localmente, dicha sincronización serealiza de forma transparente al usuario y en segundo plano.El usuario realiza su trabajo de forma normal, tanto si está conectado como si no, no afectándole lasinterrupciones del servicio de red. Todas las modificaciones y cambios se efectúan en la copia local en cuanto vuelve a estar conectado se sincroniza automáticamente. Si hay cambios en ambas copiadeberá escoger entre conservar ambas copias o sincronizarlas basándose en una u otra.

Instalación y mantenimiento del software El usuario tiene acceso a las mismas aplicaciones en cualquier equipo en el que inicie sesión. Elusuario no percibe ninguna configuración o instalación significativa, simplemente tiene las aplicaciondisponibles, sólo se realizan instalaciones o reparaciones en casos necesarios. Si las aplicaciones sasignan mediante la directiva de grupo, se crean accesos directos en el menú de inicio y se adecua registro a la asociación de archivos necesarias. Windows Installer será el encargado en este caso decomprobar que los archivos y parámetros necesarios están disponibles en cuanto un usuario accedela aplicación o intenta abrir un archivo asociado a ella, y en caso necesario los recuperará del puntodistribución. Otra opción sería que la Directiva de grupo publique las aplicaciones y estas aparecen agregar o quitar programas, así el usuario decide instalar o no dicha aplicación publicada.

La reparación también la realiza el servicio windows installer en cuanto detecta que falta algún archiimprescindible para la aplicación, recuperándola del punto de distribución de forma automática, asícuando el usuario abre la aplicación no hay errores.

Administración de las configuraciones de los usuarios La configuración de un usuario, al igual que sus datos, puede seguir a disposición de éste sea cual sel equipo en el que se inicie la sesión ya que IntelliMirror usa la Directiva de grupo y Active Directorypara almacenar todas los valores importantes de configuración.

Directivas

Las directivas tienen un orden de aplicación que denominaremos Regla nemotécnica y que es LSDOLocal (Directivas Locales)Site (Directivas de sitio)Domain (Directivas de Dominio)OU (Directivas de Unidad organizativa)



En este orden se irán aplicando por defecto, por tanto, las locales las primeras y las de OU las ultima

Podemos forzar la aplicación de directivas con los comandos:

En windows 2000: secedit:227448 Using Secedit.exe to Force Group Policy to Be Applied Again En windows XP/2003: gpupdate:298444 A Description of the Group Policy Update Utility

La Directiva de grupo es un conjunto de objetos y normas que definen qué recursos están disponible

para que los use un grupo determinado. La Directiva de grupo no se define a nivel de usuario o deequipo local. La Directiva de grupo se basa en los agrupamientos y permisos de Active Directory, enlos que se incluyen los Grupos de seguridad. Esos grupos pueden incluir varios equipos y usuarios,desde un único equipo o usuario a varios millones.Los objetos de Directiva de grupo (GPO) pueden definir varios aspectos del entorno de escritorio qutiene que controlar un administrador, por ejemplo el software asignado, la posibilidad de instalar o noaplicaciones adicionales, así como de modificar los valores de configuración del equipo local.Las GPO se van creando de forma acumulativa, desde el agrupamiento de mayor tamaño (el dominal menor (el usuario o equipo individual). Cada valor sucesivo anula los anteriores, y cada nivel deconfiguración tiene un grado de detalle superior al que le precede. No todos los valores de Directivagrupo tienen un efecto obvio e inmediato en las actividades del usuario. Muchas de las directivas qupueden aplicarse sirven para bloquear o controlar qué puede hacer un usuario en un equipo. Losusuarios no se dan cuenta de que existe esa directiva, ni siquiera son conscientes de que se estéaplicando.

5. Recursos

5.1. Impresoras

Antes de entrar en el uso de Windows Server 2003 como un servidor de impresión, echemos unvistazo a cómo Windows Server 2003 trata a las impresoras y servidores de impresión.

5.1.1. Terminología

Dentro de una confusa terminología de impresión a causa de un diferente uso de nombres para elmismo objeto, encontramos los términos utilizados ahora: impresora, para referirse a la que efectúaimpresión real e impresora lógica para significar la interfaz de software. Podemos tener una impreslógica asociada a una impresora, o varias impresoras lógicas asociadas a una impresora. En elsegundo caso, utilizamos cada una en distintos niveles de prioridad, mientras una controla la impresnormal y otra gestiona los trabajos menos prioritarios y que deberían imprimirse en horas menossaturadas. También podemos asociar una impresora lógica a varias impresoras físicas (permitiendoenviar los trabajos a la primera impresora libre). Esta disposición suele llamarse grupo de impresió

5.1.2. Servidores de impresión

Son equipos (o dispositivos de red) que administran las comunicaciones entre las impresoras y losclientes que quieren imprimir en ellas.

y Windows XP o Windows 2000 Professional pueden actuar como servidores de impresión también, persólo soportan 10 usuarios de forma simultánea, y no soportan clientes M acintosh o NetWare.

Los servidores de impresión en Windows Server 2003 proporcionan a los clientes los controladoresadecuados de impresora y mantienen la cola de impresión, gestionando la comunicación entreimpresoras y clientes y así reducir la carga en los equipos clientes. Asimismo ofrecen auditoría sobr



los documentos impresos, y capacidad de ubicación de impresoras, mediante exploración de la red búsqueda de la base de Active Directory .

Importante: Un equipo que actúa como un servidor de impresión está parcialmente ocupado en lastareas de impresión, por lo que cualquier otra aplicación del servidor que se ejecute en el mismo equse verá afectada en su rendimiento, siendo la impresión la afectada si el servidor comparte archivosque este servicio tiene precedencia sobre el resto.

Las impresoras pueden conectarse al servidor de impresión mediante conexiones de red, puertoparalelo, serie, mediante USB y por el puerto 1394 IEEE. Aún así, lo más apropiado sería utilizar lasimpresoras de red: son más rápidas, fáciles de localizar (no necesitan estar cerca del servidor deimpresión) y reducen la cantidad de potencia de procesamiento utilizada en el servidor de impresión

5.1.3. Instalación de impresoras

Para añadir impresoras al sistema Windows Server 2003, al igual que versiones anteriores, se utilizaAsistente para agregar impresoras. Recordemos que después de añadir una impresora es necesaconfigurar los permisos apropiados para la misma, configurar las opciones de instalación y establecelos parámetros de impresión predeterminados.

5.1.4. ¿Impresoras compartidas?

No sólo los servidores, ni si se utilizan como servidores de impresión, pueden compartir impresoras.verdad es que dependerá de nuestra estructura de red lo que hará que dejemos que se compartanimpresoras desde los equipos que no son servidores de impresión o no. Se nos complicará laadministración de las mismas, sus niveles de prioridad, su auditoría, etc... Además de aumentar lacarga de los equipos clientes.

5.1.5. Asignar las impresoras a los usuarios automáticamente.

Podemos asignar las impresoras a los usuarios mediante scripts de inicio de sesión. Sea una o variaincluso podemos asignar la que será predeterminada. Un ejemplo de un script:

<<<<comienza scriptSet WshNetwork = CreateObject("WScript.Network")PrinterPath = "\\nombre servidor\nombre recurso compartido"PrinterDriver = "nombre del controlador"WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver WshNetwork.SetDefaultPrinter "\\nombre servidor\nombre recurso compartido"finaliza script>>>>

5.2. Software

Una de las tareas más tediosas de un administrador es la gestión de software en los equipos clienteTodo esto exige mucho tiempo al tener que ir donde se encuentra cada equipo y realizar cadainstalación/configuración.

Desde Windows 2000 se ha dado un gran salto hacia delante, con los servicios de instalación ymantenimiento de software y los servicios de instalación remota.

Se recomienda tener un buen conocimiento sobre la Directiva de Grupo antes de utilizar estasherramientas.



Para implantar una aplicación hay que crear o editar el objeto directiva de grupo (GPO) y añadir elpaquete del Instalador de Windows propio de la aplicación a la directiva de instalación y mantenimiede software del usuario o del equipo, según se desee. La directiva de grupo pondrá la aplicación adisposición del grupo de usuarios o de equipos correspondiente.

Cuando el usuario inicie sesión o se reinicie el equipo se aplicará la directiva y la aplicación se instade forma automática, se añadirá a la lista de agregar o quitar programas o, se instalará al utilizarla laprimera vez desde el menú Inicio.

Las tecnologías utilizadas son:

y RIS: Permite la instalación remota de Windows 2000/XP professional y windows server 2003 equipos de la red.http://support.microsoft.com/default.aspx?scid=kb;es-sp;298750 http://support.microsoft.com/default.aspx?scid=kb;es-es;325862 http://support.microsoft.com/default.aspx?scid=kb;es;304314 http://support.microsoft.com/default.aspx?scid=kb;es-sp;300483

y IntelliMirror: Permite a los usuarios acceder a sus datos y aplicaciones desde cualquier equien la red que ejecute W indows 2000/XP Professional o W indows Server 2003. Distribuye l

datos, el software y las configuraciones mediante una metodología de extracción, lo que vienedecir que los clientes solicitan sus datos de Active Directory a medida que los van necesitandy SMS: Gestiona la implantación de software en redes complejas, controla el calendario y

proporciona posibilidades de inventario, ofreciendo herramientas de planificación y diagnósticPuede insertar el software prácticamente en clientes que utilicen cualquier versión de Window

Además de la capacidad de actualizar sus versiones de Windows. En contra tiene que necesde una instalación inicial grande y no es barato.http://www.microsoft.com/spain/servidores/smserver/

y MOM: Proporciona una capa de gestión sobre servidores Microsoft permitiendo supervisar lared y determinar qué tareas se necesitan realizar. Herramienta potente que se puede utilizar cuando la red crece tanto que es necesaria una manera de gestionar las herramientas degestión.http://www.microsoft.com/spain/servidores/mom/

5.3. Windows Update

Diremos que Windows Update es un software basado en páginas web de actualización para lossistemas operativos de Microsoft.

Dicho servicio sirve para que cada equipo que ejecuta uno de estos sistemas operativos, incluidoWindows Server 2003, pueda obtener rápidamente cualquier actualización del propio sistema.

El acceso al servicio se realiza mediante una página web, la cual nos instala un control activeX,comprobando aquello que es necesario actualizar en nuestro sistema.

Windows Update nos muestra tres tipos de actualizaciones:

y Actualizaciones críticas: partes del propio sistema.y Actualizaciones de software: limitado al que lleva el sistema.y Actualizaciones hardware: controladores de componentes.

Una vez comprobado la presencia del ActiveX, éste realizará la comprobación y nos mostraráclasificado en los tres tipos descritos, las actualizaciones disponibles para nuestro equipo, las cuales

podemos marcar, o no, y proceder a descargarlas e instalarlas.



Por otra parte encontramos también a Office.Update, que realiza la misma tarea, aunque con distintointerfaz web, que Windows Update, pero para los productos Office de Microsoft.

Así mismo, en el momento actual, Microsoft ha implementado el sitio Microsoft Update, que con elfuncionamiento de Windows Update, comprueba, no sólo las actualizaciones del sistema, sinó queademás, comprobará las que necesitemos para Office(desde 2003), SQL, y Exchange Server si lostenemos instalados en nuestro equipo.

Así mismo podemos configurar las actualizaciones automáticas para que nuestro sistema sea elencargado de conectarse a Windows Update o MS Update y compruebe la existencia deactualizaciones críticas, y según como lo configuremos, proceda a su descarga, y/o a su descarga einstalación.

Bien, hasta aquí la parte que seguramente ya conocemos todos, pero... estamos hablando de unservidor con Windows Server 2003 y posiblemente con una red y un dominio activo funcionando, ¿toy cada una de las estaciones han de actualizarse vía internet, cuando muchas tienen los mismossistemas y necesitan los mismos parches? La respuesta es no.

Tenemos alternativas para que nuestra red se actualice frente a nuestros servidores, mientras nosot

descargamos las actualizaciones una sola vez y con ello disminuimos la utilización del ancho de ban

Entre estas alternativas nos encontramos con:

y SUS y WSUS y SMS

SUS lo podemos encontrar aquí

Pero como podréis comprobar el soporte a dicho producto termina en diciembre de 2006, y realmen

parece evidente que su sustituto es WSUS.

WSUS lo hallaremos en:

wsus/default.mspx

servidores/wus/default.aspx

seguridad/herramientas/wsus.mspx

Finalmente, SMS: aquí.

En definitiva, cada uno de ellos nos dará ciertas posibilidades para la implementación de la distribucde actualizaciones dentro de nuestra red.

6.DHCP, WINS y DNS en Windows Server

6.1.DHCP



6 .1.1. ¿Qué es? ¿Cuál es su función?

En realidad DHCP es un protocolo para usar en un entorno cliente/servidor, aunque normalmentesiempre hablamos más de la parte servidor, refiriéndonos siempre al Servidor DHCP.

Su función desde la parte servidor se circunscribe a facilitar automáticamente datos sobre la red queotra forma deberíamos configurar manualmente en los clientes, mientras que en la parte cliente esprácticamente buscar si hay algún servidor activo y solicitarle dichos datos.

En resumen llamaremos a un equipo cliente DHCP cuando está configurado para obtener suconfiguración de red desde un Servidor DHCP, un cliente se comunicará con un servidor y solicitarádatos que necesita, como la IP que usará dentro de la red, la máscara correspondiente, la IP de lapuerta de enlace predeterminada, las IP de los servidores DNS que consultará o en su caso de losservidores WINS, los cuales realizarán la conversión de nombres a IP, lo que se denomina resolucióalgo así como conocer la IP del equipo llamado PACO01 o en DNS www.paco.local o paco.local , etc

El rango de IP's y datos de configuración que un servidor DHCP podrá entregar a las solicitudes de lclientes DHCP se denomina normalmente ámbito, ello incluye ciertas opciones que el administradodesea que los clientes obtengan también.

Las opciones se dividen en varios subgrupos:

y Opciones predefinidas, nos permiten definir opciones predeterminadas para todas las compatibles delservidor y crear algunas nuevas para ese servidor.

y Opciones de servidor, que son los valores asignados a todos los clientes y ámbitos definidos en elservidor.(a menos que se omitan por ámbito, clase o cliente)

y Opciones de ámbito, aquéllas que sólo se aplican a clientes de un ámbito específico.y Opciones de clase, podemos definir clases de opciones definidas por el usuario o fabricante,

proporcionando datos a una clase específica de clientes DHCP.y Opciones reservadas de cliente, se configuran para un cliente DHCP reservado e individual.

Los equipos utilizan el protocolo DHCP para obtener una concesión inicial, renovarla y detectar

servidores no autorizados.

6 .1.2. Instalación/Configuración Servidor DHCP

Para poder configurar el servicio DHCP, primero debe instalarse en el servidor. DHCP no se instala manera predeterminada durante la instalación típica de Windows Server 2003 Standard Server oWindows Server 2003 Enterprise Server. Puede instalarse DHCP durante la instalación inicial deWindows Server 2003 o después de que la instalación inicial haya terminado.

Para instalar el servicio:

Inicio Panel de Control Agregar o quitar programas Agregar o quitar componentes deWindows

En el propio asistente, Componentes Servicios de red pulsamos en detalles.

Activamos(marcamos) la casilla de verificación Protocolo de configuración dinámica de host (DHCP)aceptamos.

Pulsaremos en siguiente y se nos pedirá el CD de Windows Server 2003, la instalación copiará losarchivos necesarios; una vez completado pulsamos Finalizar.



Después de instalar e iniciar el servicio DHCP, hemos de crear un ámbito, que como hemos dicho eintervalo de direcciones IP validas que se pueden conceder a los equipos cliente DHCP de la red.Microsoft recomienda que cada servidor DHCP del entorno tenga al menos un ámbito que no sesuperponga con ningún otro ámbito de servidor DHCP de su entorno. En Windows Server 2003, losservidores DHCP de un dominio basado en Active Directory deben estar autorizados para impedir qse pongan en conexión servidores DHCP falsos. Windows Server 2003 cierra todos los servidoresDHCP no autorizados que encuentra.

Para crear un ámbito nuevo:

Inicio Programas Herramientas Administrativas DHCP

En el árbol de consola, con clic derecho en el servidor DHCP seleccionar ámbito nuevo.

Nos aparece un asistente para ámbito nuevo, pulsamos en siguiente y describimos el nombre ydescripción del propio ámbito, y pulsamos en siguiente.

Definimos el intervalo de direcciones IP que podrán concederse como parte del ámbito, por ejemplo192.168.1.1 hasta 192.168.1.155; indicamos la máscara de subred, pulsamos siguiente.

Si nos interesa especificamos las direcciones que deseamos excluir del intervalo especificado. Comlas Ip de los DC, de los servidores DHCP, o de DNS; pulsamos siguiente.

Configuramos el tiempo de vigencia de la concesión, es decir, una vez concedida una dirección IP aequipo el tiempo que podrá utilizarla antes de caducar y renovarla. En días, horas y minutos.Pulsaremos siguiente.

Configuramos la IP de la puerta de enlace predeterminada para el uso de los clientes que obtienen dirección del ámbito; pulsamos en Agregar para añadirla y pulsamos siguiente.

Si hay servidores DNS, indicaremos el dominio, pulsando en Resolver comprobaremos que el DHCPpone en contacto con el DNS y determinar su IP. Pulsaremos en Agregar para añadirlo en la lista deDNS. Pulsamos siguiente.

Si utilizamos un servidor WINS haremos lo mismo que para el DNS. Pulsamos siguiente.

Para activar el ámbito pulsaremos en Activar éste ámbito, y así los clientes podrán obtener direccionIP del mismo. Pulsamos siguiente.

Pulsaremos finalizar

En el árbol, seleccionamos el servidor y seleccionamos Autorizar en el menú Acción.

Si un equipo cliente no obtiene los datos (IP, etc...), es porque no ha encontrado o no ha podidocontactar con un servidor autorizado de DHCP. Ello puede indicar errores en la red o que el servidorse encuentra activo o tiene problemas. Si el servidor está activo y hay otros equipos que si obtienendatos correctamente, habría que comprobar que el que no los obtiene no tiene problemas en suconexión de red y sus dispositivos relacionados (cables, adaptadores) funcionan correctamente.

Si sucede en general y nadie obtiene los datos, puede que el problema está en el servidor, porque nestá iniciado el servicio correctamente, o que el servidor no haya sido autorizado. Si ha dejado de



funcionar y hasta ese momento lo hacía correctamente, lo mejor es dar un vistazo en el visor desucesos para ver si hay alertas relacionadas.

Para reiniciar el servicio DHCP:Pulsamos en Inicio y, a continuación, en Ejecutar . Tecleamos cmd y acto seguido pulsamos ENTEDesde la ventana de símbolo del sistema teclearemos el comando net start dhcpserver y pulsaremENTER, o si lo preferimos podemos pulsar en Inicio, seleccionar Panel de control, Herramientasadministrativas y, después, pulsar en Administración de equipos. Expandimos Servicios y

Aplicaciones y, luego, pulsamos en Servicios. Buscamos el Servidor DHCP y pulsamos doble clic eél. Hemos de comprobar que Inicio está en Automático y que Estado del servicio también está enIniciado. Si no es así, deberemos pulsar en Iniciar . Luego en Aceptar y, después podemos cerrar lventana Administración de equipos.

6 .1.3. Configurar un nuevo servidor de Protocolo de configuración dinámica de host (DHCP) basado e

W indows Server 2003 en un dominio de Active Directory deW indows Server 2003.

Instalar el servicio DHCP

Podemos instalarlo durante o después de la instalación inicial de Windows Server, pero en este caso

debe existir un servidor DNS en funcionamiento.

Para instalar el servicio:

Inicio Panel de Control Agregar o quitar programas Agregar o quitar componentes deWindows

En el propio asistente, Componentes Servicios de red pulsamos en detalles.

Activamos(marcamos) la casilla de verificación "Protocolo de configuración dinámica de host (DHCPaceptamos.

Pulsaremos en siguiente y se nos pedirá el CD de Windows Server 2003, la instalación copiará losarchivos necesarios; una vez completado pulsamos Finalizar.

Después de instalarlo e iniciarlo debemos crear un ámbito y el servidor debe estar autorizado dentrodominio Active Directory.

Cuando instalamos y configuramos el servicio DHCP en un controlador de dominio, se suele autorizservidor la primera vez que se agrega a la consola de DHCP. Sin embargo, si lo instalamos yconfiguramos en un servidor miembro o en un servidor independiente, hemos de autorizarloexpresamente.

Autorizar un servidor DHCP

Hemos de iniciar sesión como miembro de administradores.

Inicio programas herramientas administrativas DHCP

En el árbol seleccionamos el servidor, si hay una flecha roja en la parte inferior derecha del objeto,significa que no se ha autorizado.

Pulsamos con el botón secundario del ratón en el servidor y, seguidamente, pulsamos Autorizar.



Después de unos momentos, volvemos a pulsar con el botón secundario del ratón y pulsamos Actualizar.

Debe aparecer una flecha de color verde en la esquina inferior derecha para indicar que se haautorizado el servidor.

6.2.DNS

Todos los equipos que ejecutan TCP/IP deben tener una IP única. Los equipos trabajan fácilmente con estasdirecciones, pero no las personas, las cuales identifican mejor los sistemas mediante un nombre. Así, tenemos q para facilitar la comunicación, los usuarios utilizan nombres y los equipos utilizan direcciones IP, y ello de formtransparente.Existen dos espacios de nombres principales y métodos de resolución de los mismos utilizados en WindowsServer: NetBIOS implementado por el servicio WINS (Windows Internet Naming Service) y el sistema de nomde dominio DNS ( Domain Name System).

DNS es un servicio estándar del grupo IETF, que permite a los equipos cliente resolver nombres de dominio DNlos cuales se usan para buscar y acceder a recursos en otros equipos de la red o de otras redes.Sus componentes esenciales son:

y Espacio de nombres de dominio y registros de recursos (RR) asociados, no es más que una base de datosdistribuida de información de nombres.

y Servidores de nombres DNS, almacenan el espacio de nombres de dominio y RR, para responder a las consultalos clientes DNS.

y Resolución DNS, utilidad de cliente DNS para contactar con el servidor de nombres y emitir una consulta con elde obtener la información de los registros de recursos.

El espacio de nombres de dominio es jerárquico, estructurado en forma de árbol, comienza en una raíz; cadadominio puede tener dominios secundarios.

No hay diferencias entre minúsculas ni mayúsculas, el dominio www.pepe.com es el mismo queWWW.PEPE.COM. Este nombre se conoce como FQDN o nombre completo de dominio. Un dominio secunda podría ser hola.pepe.com.

La raíz sin nombre es "." el punto, desde aquí tendríamos los dominios de nivel superior y luego los de segundonivel.

Por ejemplo: com, edu, gov, int, biz, name, org,....es, uk, it..... son dominios de nivel superior.

Un registro de recursos tiene la información de un dominio de la base de datos del DNS, cuya información puedser recuperada por un cliente para su uso. Cada DNS contiene los RR del espacio de nombres para el que tieneautoridad.

Windows Server utiliza varios RR, entre ellos:

Tipo deRR Contenido Utilización

A Dirección del host Guarda la IP de un equipo específico

CNAME Alias Un alias de equipo o host



MX Agente de intercambiode correo Enrutamiento de mensajes a un servidor de correo.

NS Servidor de nombres Lista de servidores autorizados para un dominio, o los DNS autorizados para cualqusubdominio delegado.

PTR Puntero Se usa para búsqueda inversa

SOA Inicio de autoridad Determina el DNS principal de una Zona DNSSRV Localizador de servicios Proporciona capacidad de buscar el servidor que tiene un servicio específico.

El sistema de nombres de dominio (DNS) de Windows Server ofrece resolución de nombres, compatibilidad coActive Directory e interoperabilidad con otras tecnologías basadas en estándares.

Una correcta implementación de DNS en un infraestructura cliente/servidor permitirá que los propios recursos una red busquen otros recursos con la resolución de nombres.

DNS es el método principal de resolución en Windows Server, además de ser un requisito obligatorio para ActiDirectory, aunque no a la inversa, Active Directory no es necesario para DNS. Su integración hace que laresolución de nombres tenga una seguridad, rendimiento y disponibilidad mejores.

Para utilizar las zonas integradas, el DNS ha de ejecutarse en un controlador de dominio y exclusivamente conzonas principales.

Windows Server ha añadido nuevas características al DNS, como:

y Reenvío condicional. Permite reenviar consultas DNS en función del nombre de dominio DNS de la consultay Zonas de rutas internas. Permiten sincronizar los servidores DNS que alojan zonas principales con los servidore

DNS que tienen autoridad en sus respectivas zonas secundarias.y Zonas integradas de Active Directory. Permiten almacenar datos de zona en la base de datos de Active Directo

La información de zona de un servidor DNS principal en una zona integrada de Active Directory siempre se repl

Además de utilidades como:

Active Directory Sizer

Calcula el hardware necesario para implementar Active Directory en función del perfil, la información de domiy la topología de sitios de la organización. Active Directory Sizer utiliza información del usuario y fórmulasinternas para calcular el número de:

y controladores de dominio por dominio por sitio.y servidores de catalogo global por dominio por sitio.y CPU por equipo y tipo de CPU.y discos necesarios para el almacenamiento de datos de Active Directory.

Además, Active Directory Sizer calcula:

y la cantidad de memoria necesaria.y el uso de ancho de banda en la red.y el tamaño de la base de datos del dominio.



y el tamaño de la base de datos del catalogo global.y el ancho de banda necesario para la replicación entre sitios.

Netdiag

Ayuda a aislar problemas de red y conectividad. Netdiag realiza una serie de pruebas que se pueden utilizar pardeterminar el estado del cliente de red.

Dnscmd.exe Esta herramienta de línea de comandos se puede utilizar para llevar a cabo la mayoría de las tareas que se puedrealizar en el complemento MMC ( M icrosoft M anagement Console) de DNS.

Términos importantes relacionados con DNS:

y Servidor de nombres con autoridad. Servidor que tiene autoridad para resolver consultas DNS en una zonaespecificada. Los servidores de nombres con autoridad contienen un archivo de zona local con registros de recupara los equipos de la zona. En cada zona hay como mínimo un servidor de nombres con autoridad.

y Reenvío condicional. Esta función permite especificar un nombre de dominio y una dirección IP internos que elreenviador asocia con el nombre de dominio designado en la consulta. En DNS de Windows Server 2003 se pueagregar condiciones basadas en nombres a los reenviadores DNS para mejorar el rendimiento de la resolución dnombres. Después de crear una correspondencia entre el nombre de dominio designado en la consulta y el nomde dominio especificado en la condición, el reenviador pasa la consulta a un servidor DNS del dominio especificLos servidores DNS configurados para utilizar el reenvío condicional pueden llevar a cabo la resolución de nombsin utilizar la recursividad.

y Delegación. Proceso que consiste en distribuir la responsabilidad de los nombres de dominio entre diferentesservidores DNS de la red. Para cada nombre de dominio delegado se debe crear al menos una zona. Cuantos mdominios se deleguen, más zonas será necesario crear.

y Espacio de nombres DNS. Estructura jerárquica del árbol de nombres de dominio. Cada etiqueta que se utiliza eun nombre de dominio completo (FQDN) indica un nodo o rama del árbol del espacio de nombres de dominio. ejemplo, host1.contoso.com es un FQDN que representa el nodo host1, que está situado bajo el nodo Contoso,

se encuentra bajo el nodo com, que a su vez está bajo la raíz de Internet.y Resolución de DNS. Servicio que se ejecuta en los equipos cliente y envía consultas a un servidor DNS.y Servidor DNS. Equipo en el que se ejecuta el servicio Servidor DNS. Los servidores DNS mantienen información

acerca de una parte de la base de datos DNS y resuelven consultas DNS.y Espacio de nombres externo. Espacio de nombres público, como Internet, al que se puede tener acceso media

un dispositivo conectado. Debajo de los dominios de nivel superior, la Corporación de Internet para la asignaciónombres y números (ICANN, Internet Corporation for Assigned Names and Numbers) y otras autoridades denomenclatura en Internet delegan dominios en organizaciones como los proveedores de servicios de Internet (que a su vez delegan subdominios en sus clientes.

y Nombre de dominio completo (FQDN). Nombre DNS que identifica de forma exclusiva un nodo de un espacio dnombres DNS. El FQDN de un equipo es una expresión concatenada que se compone del nombre del equipo (po

ejemplo, cliente1) y el sufijo DNS principal del equipo (por ejemplo, contoso.com).y Espacio de nombres interno. Espacio de nombres controlado por las organizaciones, lo que incluye el acceso almismo. Las organizaciones pueden utilizar el espacio de nombres interno para proteger de Internet los nombredirecciones IP de los equipos internos. Una organización puede tener varios espacios de nombres internos. Lasorganizaciones pueden crear sus propios servidores raíz y los subdominios que necesiten. El espacio de nombreinterno puede coexistir con un espacio de nombres externo.

y Servidor de nombres. Servidor DNS que responde a las solicitudes de resolución DNS de los clientes dentro de zona especificada y resuelve nombres completos en direcciones IP. Las zonas pueden contener servidores denombres principales y secundarios.

y Servidor de nombres maestro. Servidor que tiene autoridad para la resolución de nombres en una zona. Si unservidor maestro es un servidor de nombres principal, debe contener un archivo de zona local de registros de



recursos. Si un servidor maestro es un servidor de nombres secundario, debe obtener los registros de recursos la zona en otro servidor de nombres maestro durante una transferencia de zona.

y Servidor de nombres principal. Servidor que se encarga de la resolución de nombres para la zona en la que tienautoridad. Los servidores de nombres principales tienen una base de datos DNS principal de registros de recurscon asignaciones de nombres de host a direcciones IP. Los registros de la base de datos DNS principal estáncontenidos en un archivo de zona local.

y Servidor de nombres secundario. Servidor que debe obtener los registros de recursos de una zona en un servidde nombres maestro durante una transferencia de zona. Los servidores de nombres secundarios no disponen darchivo de zona local. Si un servidor secundario es un servidor de nombres maestro, tiene autoridad para laresolución de nombres en una zona, pero debe obtener los registros de recursos en otro servidor de nombresmaestro. Si un servidor secundario no es un servidor de nombres maestro, se puede utilizar con fines deredundancia y equilibrio de carga.

y Registro de recursos (RR). Estructura estándar de base de datos DNS que contiene información utilizada paraprocesar las consultas DNS. Por ejemplo, un registro de recursos de dirección (A) contiene una dirección IPcorrespondiente a un nombre de host. La mayoría de los RR básicos estn definidos en el documento RFC 1035"Domain Names Implementation and Specification" (Nombres de dominio: implementación y especificación), pen otros RFC se definen tipos de RR adicionales que están aprobados para su uso en DNS.

y Zona de rutas internas. Copia parcial de una zona que se puede alojar en un servidor DNS y utilizar para resolveconsultas recursivas o iterativas. Las zonas de rutas internas contienen los registros de recursos de inicio deautoridad (SOA) de la zona, los registros de recursos DNS en los que se enumeran los servidores con autoridad

zona y los registros de recursos de adherencia de host (A) necesarios para contactar con los servidores que tienautoridad en la zona.y Zona. En una base de datos DNS, parte contigua del árbol DNS que un servidor DNS administra como una entid

nica independiente. La zona contiene registros de recursos para todos los nombres de la zona.y Archivo de zona. Archivo formado por los registros de recursos de la base de datos DNS que definen la zona. Ca

servidor de nombres principal contiene un archivo de zona.y Transferencia de zona. Proceso que consiste en mover el contenido del archivo de zona ubicado en un servidor

nombres principal a un servidor de nombres secundario. La transferencia de zonas proporciona tolerancia a erral sincronizar el archivo de zona de un servidor de nombres principal con el archivo de zona de un servidor denombres secundario. El servidor de nombres secundario puede continuar realizando la resolución de nombres produce un error en el servidor de nombres principal. La transferencia de zonas proporciona también equilibrio

la carga al dividir la carga de la red entre los servidores de nombres principales y secundarios durante períodoslos que tiene lugar un volumen alto de consultas de resolución de nombres.

Agre gando un DNS:

Necesitamos un servidor ejecutando Windows Server en la red.

Inicio Configuración Panel de control Agregar o quitar programas Agregar o quitar componenteWindows Servicios de red Componentes Detalles

Activaremos la casilla correspondiente a Sistema de nombres de dominio(DNS) y pulsaremos en aceptar.

Seguiremos los pasos del asistente pulsando en siguiente, se nos pedirá el CD de Windows Server. El programacopiará lo necesario para el DNS y las herramientas.

Cuando haya terminado la copia pulsaremos Finalizar.

Inte grar DNS de Windows Server en el dominio DNS

Si el entorno ya tiene un dominio DNS y una infraestructura DNS, y Active Directory no está activado, podemoutilizar el dominio DNS existente y delegar ciertas zonas a este servidor. Utilizaremos el dominio DNS existen por ejemplo, el equipo está ejecutando programas que requieren búsquedas DNS no admitidas en los servidores



DNS, como búsquedas DNS de registros de servicio (SRV). Para completar el siguiente paso se tiene que haberinstalado primero el servidor DNS de Windows Server.

Si los servidores DNS de la organización no pueden efectuar búsquedas de registros SRV (y no se puedenactualizar para hacerlo), podemos integrar un servidor DNS de Windows Server directamente en la zona DNS yexistente. Para ello, delegamos ciertas zonas al servidor DNS de Windows Server. Algunos pasos adicionalesnecesarios son la creación de nuevas zonas en el servidor DNS de Windows Server para determinadas zonas deotros servidores DNS y la habilitación de la actualización dinámica en las zonas nuevas.

U tilizar el A sistente para confi gurar servidor DNS con el fin de dele gar zonas al servidor DNS

Pulsamos en Inicio, seleccionamos Programas, pulsamos en Herramientas administrativas y, luego, en DNS.

Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y,después, expandimos el objeto servidor para expandir el árbol.

Pulsamos con el botón secundario del mouse (ratón) en el objeto servidor y pulsaremos en Configurar un servidDNS para iniciar el Asistente para configurar servidor DNS. Siguiente.

Pulsamos en Crear una zona de búsqueda directa (recomendado para redes pequeñas) y, luego, Siguiente.

Pulsaremos en Un proveedor de servicios de Internet (ISP) administra la zona y una copia secundaria de sólolectura reside en este servidor.

En el cuadro de diálogo Nombre de zona, escribimos el nombre de la zona (por ejemplo, microsoft.com onuevaZona.microsoft.com).

En el cuadro de diálogo Servidores maestros DNS, escribiremos la dirección IP de un servidor DNS conocido.Pulsamos en Siguiente.

Pulsaremos en No, no reenviar consultas y, luego, en Siguiente.

Pulsamos en Finalizar para guardar la nueva configuración y configurar el servidor DNS.

Como este servidor DNS sólo será responsable de atender a zonas que admiten registros SRV y actualizacionesdinámicas, se deben delegar en l algunas zonas de los otros servidores DNS. Entre éstas se encuentran:

y _tcp.Nombre de dominio DNS (por ejemplo: _tcp.micompañía.com)y _udp.Nombre de dominio DNS (por ejemplo: _udp.micompañía.com)y

_msdcs.Nombre de dominio DNS (por ejemplo: _msdcs.micompañía.com)y _sites.Nombre de dominio de directorio DNS (por ejemplo: _sites.micompañía.com)

Tenemos que repetir las dos secciones siguientes para cada zona que creemos. Una vez delegadas las zonas en servidor DNS, creamos una zona para cada una de las zonas anteriores en el servidor DNS de Windows Server.

C rear una zona nueva para las zonas del servidor DNS de Windows Server

Pulsamos en Inicio, seleccionamos Programas, Herramientas administrativas y, luego, pulsamos en DNS.



Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y,después, expandimos el objeto servidor para expandir el árbol.

Pulsamos con el botón secundario del mouse en Zonas de búsqueda directa y, después, pulsamos en Zona

Nueva. Siguiente.

Pulsamos en Zona principal para crear una copia maestra de la nueva zona. Pulsamos en Siguiente.

Escribimos el nombre de la nueva zona (por ejemplo, _tcp.micompañía.com) y, luego, pulsamos en Siguie

Pulsamos en Aceptar para aceptar el nombre de archivo predeterminado para el nuevo archivo de zona y, despen Siguiente.

Pulsaremos en Permitir actualizaciones dinámicas y, a continuación, en Siguiente.

Pulsamos en Finalizar.

Activar las actualizaciones dinámicas en la zona nueva

En la consola de administración DNS, pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor el panel izquierdo de la consola y, después, expandimos el objeto servidor para expandir el árbol.

Pulsamos con el botón secundario del mouse en el objeto servidor y, a continuación, en Propiedades.

En la pestaña General, pulsamos en el cuadro desplegable Permitir actualizaciones dinámicas y, después, en Sí.Finalmente pulsamos en Aceptar.

Repetiremos los pasos de Crear una zona nueva para las zonas del servidor DNS de Windows Server y, luego, l pasos de Activar las actualizaciones dinámicas en la zona nueva por cada zona creada en el servidor DNS deWindows Server.

Opciones para confi gurar su gerencias de raíz o reenviadores si no están disponibles

Si no se detecta ningún servidor DNS durante la configuración inicial de DNS de Windows Server, normalmensistema designar al nuevo servidor DNS como "servidor raíz", que es la máxima autoridad para todas lasactividades de resolución de nombres. Por tanto, el nuevo servidor DNS no puede reenviar a otro servidor ni a lservidores raíz de Internet las consultas de resolución de nombres que no pueda resolver. Como resultado, unservidor DNS de Windows Server que se haya configurado como servidor raíz desactiva las opciones para agrereenviadores automáticamente.

Si más adelante decide que este servidor DNS debe integrarse en un entorno DNS mayor como Internet, se tend

que quitar la zona "raíz" de búsqueda directa.

Para quitar la zona raíz de búsqueda directa:

y Pulsamos en Inicio, seleccionamos Programas, Herramientas administrativas y, luego, pulsamos en DNS.y Pulsamos en el objeto Servidor DNS correspondiente a nuestro servidor en el panel izquierdo de la consola y,

después, lo expandimos para expandir el árbol.y Pulsamos en Zonas de búsqueda directa para expandirlo.y Seleccionamos la zona marcada con un punto y presionamos SUPR.y Pulsamos en Aceptar para confirmar que deseamos eliminar la zona.



6.3.WINS

WINS proporciona resolución de nombres NetBIOS en direcciones de protocolo de Internet (IP) para una redWindows. Los clientes de una red habilitada para WINS pueden registrar, actualizar y quitar de forma dinámicanombres de una base de datos mantenida por WINS. Un administrador también puede asignar entradas estáticauna base de datos WINS para equipos que ejecuten sistemas operativos distintos de Windows y proporcionar redundancia mediante la replicación de la base de datos WINS entre más de un servidor WINS de la red. En el de las direcciones que están fuera de la red, se puede habilitar el servidor WINS de forma que haga referencia a

archivo LMHosts configurado estáticamente.El procedimiento que se utiliza para instalar WINS incluye dos pasos. En el primer paso se configuran los valoTCP/IP estáticos para el servidor y, en el segundo paso, se instala WINS.Antes de comenzar la instalación, recopilamos la información siguiente:

y Una dirección IP estática para el servidor WINS. Si el servidor reside en una red basada en el Protocolo deconfiguración dinámica de host (DHCP), tiene que excluir la dirección IP del ámbito DHCP. (Configuración del DH

y La máscara de subred.y La dirección IP de la puerta de enlace predeterminada (enrutador).y La dirección IP del servidor DNS preferido.y La dirección IP del servidor DNS alternativo, si corresponde.

C onfi gurar el direccionamiento T CP/ I P estático

NOTA: las direcciones IP que aparecen se utilizan para redes internas y no funcionan en Internet, sirven deejemplo. Si no hay servidor DNS alternativo, dejamos en blanco el cuadro Servidor DNS alternativo. Si la red scuenta con una subred, dejamos en blanco el cuadro Puerta de enlace predeterminada.Para configurar el direccionamiento TCP/IP estático en el equipo servidor WINS:

y Pulsamos en Inicio, seleccionamos Panel de control, Conexiones de red y, a continuación, pulsamos con el botósecundario del mouse (ratón) en Conexión de área local.

y Pulsamos en Propiedades del menú contextual. (clic derecho en la conexión de área local)y Pulsamos en Protocolo Internet (TCP/IP) y, luego, en Propiedades.y Pulsamos en Usar la siguiente dirección IP.y En el cuadro Dirección IP, escribimos la dirección IP que usará, por ejemplo, 172.16.32.11.y En el cuadro Máscara de subred, escribimos la máscara de subred correspondiente de la red, por ejemplo,

255.255.255.0. y En el cuadro Puerta de enlace predeterminada, escribimos la IP del enrutador correspondiente, por ejemplo,

172.16.32.1.

Para establecer la configuración DNS del servidor WINS:

y Pulsamos en Usar las siguientes direcciones de servidor DNS.y En el cuadro Servidor DNS preferido, escribimos la IP del servidor DNS, por ejemplo, 172.16.4.11.y En el cuadro Servidor DNS alternativo, escribimos la IP de un servidor DNS alternativo si hay alguno disponible, ejemplo, 172.16.8.11.y Pulsamos en Avanzadas, pestaña WINS y, luego, en Agregar.y Escribimos la misma IP que asignamos al servidor. En el ejemplo, escribiríamos 172.16.32.11. Pulsamos en

Agregar.y Cerramos el cuadro de diálogo Servidor WINS TCP/IP y, luego, pulsaremos dos veces en Aceptar.

Instalar WINS

NOTA: Hemos de iniciar sesión como administrador local.



y Pulsamos en Inicio, seleccionamos Panel de control, pulsamos en Agregar o quitar programas y, luego, pulsamen Agregar o quitar componentes de Windows.

y Cuando se inicie el Asistente para componentes de Windows, pulsamos en Servicios de red (sin activar la casillaverificación) y, luego, pulsamos en Detalles.

y En el cuadro de diálogo Servicios de red, activamos la casilla de verificación Servicio WINS y, luego, pulsamos eAceptar.

y Siguiente y seguimos las instrucciones que nos aparecen en pantalla para completar la instalación.y Pulsamos en Finalizar, cerramos el cuadro de diálogo Agregar o quitar programas y, luego, cerramos el Panel d

control.

NOTA: para asegurar la disponibilidad, podemos agregar más servidores WINS a la red y configurarlos comoasociados de replicación. Hay información si buscamos "Replicación de WINS" en la Ayuda de Windows.

7: IIS- Servicios Web, f tp, nntp, smtp. Servicio Pop.

7.1. Instalación IIS 6.0

Internet Information Server (IIS) es el servicio web que lleva Windows Server 2003, y para proceder a suinstalación o añadir/quitar componentes, hemos de ir a Panel de control y utilizar el asistente de Agregar o quit

programas.

De la lista que se nos mostrará nos interesa "Servidor de aplicaciones Web" y luego pulsamos el botón detalles



y después Instalar Internet Information Services (IIS)

Volvemos a pulsar en Detalles para ver la lista de componentes opcionales, que por defecto son:

y Archivos comunesy Extensiones de servidor de FrontPage 2002y Complemento de Servicios de Internet Information Server y Administrador de Servicios de Internet Information Server



y Servicio NNTPy Servicio SMTPy Servicio World Wide Web

El servicio NNTP es para tener un servidor de Noticias y el SMTP es necesario (junto al servicio POP3 que no halla aquí) para realizar tareas de servidor de correo.

Seleccionando Servicio World Wide Web y pulsando en "Detalles" vemos la lista de subcomponentes opcional por defecto está seleccionado el Servicio World Wide Web solamente.

Pulsamos en Aceptar cuando hayamos elegido los que deseamos y el foco retrocede al asistente de componente

windows.

Pulsamos en siguiente y, seguidamente en finalizar, lo que terminará el asistente.

7.2. Conf igurar web

Como conf igurar autenticación anónima:

y Pulsar "Inicio", seleccionamos Herramientas Administrativas y después pulsamos en Administrador deInternet Information Server(IIS)



y Expandimos la rama que corresponde al nombre del servidor que vamos a configurar, pulsamos el botóderecho sobre Sitios Web, y seguidamente pulsamos propiedades.

y En el cuadro de diálogo Propiedades de sitios Web, pulsamos en la pestaña Seguridad de directorios.y En Autenticación y control de acceso, pulsamos Modificar.y Activamos la casilla de verificación "Habilitar acceso anónimo"



NOTA: la cuenta de usuario mostrada en el cuadro Nombre de usuario se emplea únicamente para el accesoanónimo, a través de la cuenta Invitado de Windows.De forma predeterminada, el servidor crea y utiliza la cuenta IUSR_nombreDeEquipo. La contraseña de la cude usuario anónimo sólo se utiliza en Windows; los usuarios anónimos no inician sesión con nombre de usuariocontraseña.

y En acceso autenticado, activamos la casilla de verificación "Autenticación de Windows integrada" yseguidamente pulsamos en Aceptar dos veces.

Conf iguración básica del sitio web:

y Pulsamos en Inicio, seleccionamos Herramientas Administrativas y, seguidamente, pulsamos en Servicde Internet Information Server (IIS)



y Expandimos el nombre del servidor que vamos a configurar, luego, expandimos Sitio Web predeterminy pulsamos en Propiedades.

y Pulsamos en la pestaña Sitio Web. Si hay varias direcciones IP asignadas al equipo, en el cuadro DirecIP seleccionamos la que deseamos asignar al sitio.

y Pulsamos en la ficha Rendimiento. Aquí lo utilizamos para establecer las propiedades relativas a memouso del ancho de banda y número de conexiones web.



Al configurar el ancho de banda de red de un sitio determinado, puede controlarse mejor la cantidad de tráfico q

atraviesa el sitio. Si restringimos el ancho de banda en un sitio web de baja prioridad, permitimos aumentar elacceso a otros sitios. De forma similar, cuando se especifican el número de conexiones se liberan recursos paraotros sitios. La configuración siempre es específica para el sitio y debe ajustarse a medida que el tráfico de red uso cambien.

y Active la casilla de verificación Limitar el ancho de banda de red total disponible para este sitio web paconfigurar IIS de forma que regule el ancho de banda, en kilobytes por segundo (KB/S)

y Active la casilla de verificación Conexiones de sitio Web para seleccionar un número específico o ilimide conexiones a servicios web.

Nota: cada cliente que explora un sitio Web suele utilizar tres conexiones.

y Pulsamos en la pestaña Directorio Particular Aquí decidimos si usar el contenido web almacenado en local, pulsando en Un directorio de este equipoescribiendo la ruta de acceso en Ruta de acceso local.



Nota: Para más seguridad, no deben crearse carpetas de contenido Web en la Raíz.

Si deseamos utilizar el contenido almacenado en otro equipo, pulsamos Un recurso compartido de otro equipo yescribimos la ubicación en Directorio de red.

Si lo que queremos es utilizar el contenido almacenado en otra dirección web, pulsaremos en Una redirección adirección URL y escribimos la ubicación en el cuadro Redirigir a. En El cliente se enviará a, activamos la casilverificación adecuada.

y Pulsamos en la pestaña Documentos. Aquí figuran los documentos que IIS utilizará como inicio predeterminados. Si deseamos otro, debemos agregarlo. Y luego pulsamos en Aceptar para cerrar el cuaPropiedades de sitio Web predeterminado.



y Pulsamos con el botón secundario del ratón en Sitio Web predeterminado y, a continuación, pulsamos ePermisos.

Aquí aparecen las cuentas de usuario con permisos en este sitio. Si queremos otras, hemos de agregarlas.

y Pulsamos en Aceptar para volver a la ventana de servicios de Internet Information Server.y Detendremos y reiniciaremos el servicio sitio web predeterminado.

De esta forma, el servidor está configurado para aceptar las solicitudes Web de entrada al sitio Web predeterminado. Puede sustituir el contenido del sitio Web predeterminado por el contenido Web que desee o puede crear un sitio Web nuevo.

7.3. Conf igurar f tp



FTP depende de los servicios de IIS, por tanto si no está instalado debemos proceder a instalar IIS, para hacerlo junto al FTP:

1. Inicio, panel de control, Agregar o quitar programas2. Agregar o quitar componentes de Windows3. Componentes, Servidor de aplicaciones, Instalar Servicios de Internet Information Server (IIS) (no activ

ni desactivar la casilla de verificación), pulsamos en Detalles.4. Activamos las casillas, si no lo están, de:

o

Archivos comuneso Servicio de Protocolo de transferencia de archivos (FTP)o Administrador de servicios de Internet Information Server

5. Activaremos las casillas de verificación situadas junto a otros servicios o subcomponentes relacionadosIIS que deseemos instalar y luego pulsamos Aceptar hasta volver a asistente para componentes deWindows.

6. Pulsaremos siguiente, cuando se pida, insertaremos el CD de Windows Server en la unidad de CD o DVo especificaremos una ruta de acceso si est en una unidad de red. Luego pulsamos Aceptar.

7. Pulsamos en finalizar, tendremos IIS y FTP instalados.

Conf igurar el servidor FTP Para configurar el servicio FTP para conexiones anónimas:

1. Accedemos al Administrador de servicios de Internet Information Server o abrimos el complemento de 2. Expandimos el servidor.3. Expandimos Sitios FTP.4. Pulsando con el botón derecho del ratón en Sitio FTP predeterminado, seleccionamos Propiedades.5. Accedemos a la pestaña Cuentas de seguridad.



6. Activamos la casilla de verificación Permitir sólo conexiones anónimas si no está activada. Asíconfiguramos el FTP para que permita nicamente conexiones anónimas. Los usuarios no pueden inicisesión con su nombre de usuario y contraseña.

7. Pulsamos en la pestaña Directorio Particular 8. Activamos las casillas de verificación Lectura y Registrar visitas (si no lo están), y desactivamos la casi

de verificación Escritura (si está activada).9. Pulsamos Aceptar

7.4. Conf igurar smtp

SMTP depende de los servicios de IIS, por tanto si no está instalado debemos proceder a instalar IIS, para hace junto al SMTP:

y Inicio, panel de control, Agregar o quitar programasy Agregar o quitar componentes de Windowsy Componentes, Servidor de aplicaciones, Instalar Servicios de Internet Information Server (IIS) (no activ

ni desactivar la casilla de verificación), pulsamos en Detalles.y Activamos las casillas, si no lo están, de:

o Servicio de SMTPy Activaremos las casillas de verificación situadas junto a otros servicios o subcomponentes relacionados

IIS que deseemos instalar y luego pulsamos Aceptar hasta volver a asistente para componentes deWindows.

y Pulsaremos siguiente, cuando se pida, insertaremos el CD de Windows Server en la unidad de CD o DVo especificaremos una ruta de acceso si está en una unidad de red. Luego pulsamos Aceptar.

y Pulsamos en finalizar, tendremos IIS y SMTP instalados



Conf igurar un servidor SMTP de IIS independiente para retransmitir a un dominio remoto.

y Iniciamos el Administrador de servicios de Internet Information Server o abrimos el complemento IIS.y Expandimos el servidor, luego expandimos el Servidor virtual SMTP predeterminado.y Con el botón secundario en Dominios seleccionamos Nuevo y luego Dominio.y Pulsamos en Remoto y después siguiente



y Escribimos el nombre del nuevo dominio en Nombre.Podemos especificar un único dominio o utilizar el comodín (*) al principio o separado por un punto deresto de nombre para especificar más de uno.

y Pulsamos en finalizar

y En el panel derecho, pulsamos con el botón secundario del ratón en el nuevo dominio remoto yseleccionamos propiedades.

y Pulsamos la pestaña General.y En Seleccione la configuración adecuada para el dominio remoto, active la casilla de verificación Permi

que el correo entrante se retransmita a este dominio con objeto de permitir que el servidor SMTP actúecomo servidor de retransmisión de correo.

y En Dominio de enrutamiento, haga clic en Reenviar todo el correo al host inteligente y, a continuación,escriba la dirección IP o el nombre de dominio completo (FQDN) del servidor de correo corporativo de

red interna. Si utiliza una dirección IP, asegúrese de escribirla entre corchetes "[ ]". Por ejemplo,[nnn.nnn.nnn.nnn]. Y pulsamos Aceptar.

y Detenemos y reiniciamos el servidor virtual SMTP. (pulsamos con el botón secundario del ratón en elServidor Virtual SMTP Predeterminado y luego detener, luego con la misma operación pulsamos en Ini



Conf igurar permisos de operador Se pueden establecer las cuentas de usuario que tendrán permisos de operador para el servidor virtual SMTP.Después de configurar las cuentas de usuario de Windows, podemos dar o quitar permisos si agregamos o quitausuarios de la lista Operadores.

Asignando permisos de operador:

y Iniciamos el Administrador de servicios de IIS o el complemento de IIS.y Expandimos el servidor y Con el botón secundario sobre el servidor virtual accedemos a propiedadesy Pulsamos en la pestaña Seguridad y luego en agregar y Seleccionamos la cuenta de usuario que deseamos agregar y pulsamos Agregar y luego Aceptar. La cue

aparece en la lista Operadores.y Pulsamos Aceptar y salimos del Administrador de IIS o cerramos el complemento de IIS.

Para quitar los permisos de operador:

Se trata de quitar la cuenta de la lista de Operadores.

y Iniciamos el Administrador de IIS o abrimos el complemento IIS.y Expandimos el servidor y Con el botón secundario sobre el servidor virtual SMTP accedemos a propiedades.y Pulsamos la pestaña Seguridady En la lista de Operadores elegimos la cuenta a quitar y pulsamos quitar, luego Aceptar.y Salimos del Administrador de IIS o cerramos el complemento IIS.



Autenticación de las conexiones entrantes

Tenemos tres métodos posibles, podemos seleccionar y utilizar, uno, dos o tres.

y

o Acceso anónimo: No se requiere ningún nombre de cuenta o contraseña. Lo cual significa que scarece de autenticación. (No recomendable)

o Autenticación básica: El usuario y la contraseña se envían como texto y no cifrado. El dominiodebe anexarse al nombre de cuenta para autentificarse. E.g. dominio pepe.es, cuenta juan, debe

configurarse como [email protected] Autenticación de Windows integrada: se autentican el nombre y contraseña de la cuenta de

Windows.y Iniciamos el Administrador de IIS o abrimos el complemento de IISy Expandimos el servidor y Con el botón secundario sobre el servidor virtual SMTP accedemos a propiedades.y Pulsamos en la pestaña Acceso, luego en Control de Acceso y pulsamos en Autenticación



y Para acceso anónimo: activaremos Acceso anónimo y desactivamos las dos restantes.y Para texto sin cifrar: activamos Autenticación básica, pulsando además Sí en el mensaje posterior y

definimos un dominio de windows en el cuadro Dominio predeterminado. Desactivaremos las otras dosy

Para utilizar autenticación de Windows integrada: Activamos la casilla de Autenticación de Windowsintegrada y desactivamos las restantes.y Pulsaremos en Aceptar las veces necesarias dependiendo de la autenticación elegida.y Salimos del Administrador o cerramos el complemento.

Autenticación de los mensajes salientes

Se dispone de los tres métodos descritos para los mensajes entrantes.Podemos cambiar la opción establecida para un dominio específico. Es decir, el nivel de autenticación tratará lamayor parte de transmisiones y permitir excepciones para direcciones individuales. Por ejemplo:

y Si los mensajes se envían a varias direcciones, deshabilitamos la autenticación. Si los intentos de entreglos mensajes a una dirección no tienen éxito por los requisitos de autenticación, agregue un dominio rem para la dirección y seguidamente habilitamos la autenticación para el dominio en el nivel requerido.

y Si los mensajes se envían a una dirección que requiere autenticación, se determina el nivel requerido paconectarse y, seguidamente, se habilita el servidor con el mismo nivel. Si se desea además enviar a otradirecciones, se configuran dominios remotos y se establecen las opciones de autenticación.



Autenticación básica

y Iniciamos el Administrador de IIS o abrimos el complemento IIS.y Expandimos el servidor y Con el botón secundario del ratón sobre el servidor virtual accedemos a propiedades.y Pulsamos en la pestaña Entrega y luego en Seguridad salientey Pulsamos en Autenticación básica y escribimos el nombre y contraseña de la cuenta en los cuadros

correspondientes.y

Pulsamos en Aceptar dos vecesy Salimos del Administrador de IIS o cerramos el complemento de IIS

Autenticación de Windows Integrada Se requiere un nombre de cuenta y contraseña de Windows.

y Iniciamos el Administrador de IIS o abrimos el complemento de IISy Expandimos el servidor y Con el botón secundario del ratón sobre el servidor virtual accedemos a propiedades.y Pulsamos en la pestaña Entrega y luego en Seguridad saliente.y Pulsamos en Autenticación de Windows integraday

Escribimos el nombre de la cuenta y contraseña de windows en los cuadros.y Pulsamos Aceptar dos vecesy Salimos del Administrador o cerramos el complemento.

Deshabilitar la autenticación

y Iniciamos el Administrador de IIS o abrimos el complemento de IISy Expandimos el servidor y Con el botón secundario del ratón sobre el servidor virtual accedemos a propiedadesy Pulsamos en la pestaña Entrega y luego en Seguridad salientey Pulsamos en Acceso anónimoy Pulsamos dos veces en Aceptar y Salimos del Administrador o cerramos el complemento.

R estringiendo el acceso a direcciones IP Podemos permitir o denegar el acceso al servidor virtual SMTP a una lista de direcciones IP. Por defecto todas IP tienen acceso.Para establecer restricciones podemos especificar una dirección IP, un grupo de direcciones con una máscara dsubred o un nombre de dominio.Para hacerlo:

y Iniciamos el Administrador de IIS o abrimos el complemento de IISy Expandimos el servidor y Con el botón secundario del ratón sobre el servidor virtual accedemos a propiedadesy Pulsamos en la pestaña Acceso, luego en Control de conexión pulsamos en Conexióny Elegimos Sólo la lista siguiente o en Todos excepto la lista siguientey Pulsamos agregar y especificamos el equipo, grupo de equipos o dominio y luego pulsamos Aceptar y Para quitarlos seleccionamos el elemento o elementos y pulsamos en quitar, luego en Aceptar y Pulsamos Aceptar y salimos del Administrador de IIS o cerramos el complemento de IIS.



Conf igurar las restricciones de retransmisión Por defecto, se impide que los equipos retransmitan correo no deseado.A excepción de los que cumplen los requisitos de autenticación configurados, el acceso está bloqueado para to

Si el servidor virtual está en Internet, es recomendable no permitir la retransmisión. Así evitamos la propagaciócorreo no deseado.

y Iniciamos el Administrador de IIS o abrimos el complemento IISy Expandimos el servidor y Con el botón secundario del ratón sobre el servidor virtual accedemos a propiedadesy Pulsamos en la pestaña Acceso y luego en Restricciones de retransmisión en Retransmitir.y Seleccionamos Sólo los de la lista siguiente o en Todos excepto la lista siguientey Pulsando en agregar podemos agregar excepciones a la opción elegida.

Pulsamos en Aceptar y salimos del Administrador o cerramos el complemento.



10. Salimos del Administrador de servicios de Internet Information Server o cerramos el complemento IIS.

Ahora, el servidor FTP está configurado para aceptar las solicitudes de FTP entrantes. Copia o mueve a la carpede publicación de FTP los archivos para los que desees que esté disponible el acceso. La carpeta predeterminadunidad:\Inetpub\Ftproot, donde unidad es la unidad en la que está instalado IIS.



y Expandimos la rama que corresponde al nombre del servidor que vamos a configurar, pulsamos el botóderecho sobre Sitios Web, y seguidamente pulsamos propiedades.

y En el cuadro de diálogo Propiedades de sitios Web, pulsamos en la pestaña Seguridad de directorios.y En Autenticación y control de acceso, pulsamos Modificar.y Activamos la casilla de verificación "Habilitar acceso anónimo"



NOTA: la cuenta de usuario mostrada en el cuadro Nombre de usuario se emplea únicamente para el accesoanónimo, a través de la cuenta Invitado de Windows.De forma predeterminada, el servidor crea y utiliza la cuenta IUSR_nombreDeEquipo. La contraseña de la cude usuario anónimo sólo se utiliza en Windows; los usuarios anónimos no inician sesión con nombre de usuariocontraseña.

y En acceso autenticado, activamos la casilla de verificación "Autenticación de Windows integrada" yseguidamente pulsamos en Aceptar dos veces.

Conf iguración básica del sitio web:

y Pulsamos en Inicio, seleccionamos Herramientas Administrativas y, seguidamente, pulsamos en Servicde Internet Information Server (IIS)



y Expandimos el nombre del servidor que vamos a configurar, luego, expandimos Sitio Web predeterminy pulsamos en Propiedades.

y Pulsamos en la pestaña Sitio Web. Si hay varias direcciones IP asignadas al equipo, en el cuadro DirecIP seleccionamos la que deseamos asignar al sitio.

y Pulsamos en la ficha Rendimiento. Aquí lo utilizamos para establecer las propiedades relativas a memouso del ancho de banda y número de conexiones web.



Al configurar el ancho de banda de red de un sitio determinado, puede controlarse mejor la cantidad de tráfico q

atraviesa el sitio. Si restringimos el ancho de banda en un sitio web de baja prioridad, permitimos aumentar elacceso a otros sitios. De forma similar, cuando se especifican el número de conexiones se liberan recursos paraotros sitios. La configuración siempre es específica para el sitio y debe ajustarse a medida que el tráfico de red uso cambien.

y Active la casilla de verificación Limitar el ancho de banda de red total disponible para este sitio web paconfigurar IIS de forma que regule el ancho de banda, en kilobytes por segundo (KB/S)

y Active la casilla de verificación Conexiones de sitio Web para seleccionar un número específico o ilimide conexiones a servicios web.

Nota: cada cliente que explora un sitio Web suele utilizar tres conexiones.

y Pulsamos en la pestaña Directorio Particular Aquí decidimos si usar el contenido web almacenado en local, pulsando en Un directorio de este equipoescribiendo la ruta de acceso en Ruta de acceso local.



Nota: Para más seguridad, no deben crearse carpetas de contenido Web en la Raíz.

Si deseamos utilizar el contenido almacenado en otro equipo, pulsamos Un recurso compartido de otro equipo yescribimos la ubicación en Directorio de red.

Si lo que queremos es utilizar el contenido almacenado en otra dirección web, pulsaremos en Una redirección adirección URL y escribimos la ubicación en el cuadro Redirigir a. En El cliente se enviará a, activamos la casilverificación adecuada.

y Pulsamos en la pestaña Documentos. Aquí figuran los documentos que IIS utilizará como inicio predeterminados. Si deseamos otro, debemos agregarlo. Y luego pulsamos en Aceptar para cerrar el cuaPropiedades de sitio Web predeterminado.



y Pulsamos con el botón secundario del ratón en Sitio Web predeterminado y, a continuación, pulsamos ePermisos.

Aquí aparecen las cuentas de usuario con permisos en este sitio. Si queremos otras, hemos de agregarlas.

y Pulsamos en Aceptar para volver a la ventana de servicios de Internet Information Server.y Detendremos y reiniciaremos el servicio sitio web predeterminado.

De esta forma, el servidor está configurado para aceptar las solicitudes Web de entrada al sitio Web predeterminado. Puede sustituir el contenido del sitio Web predeterminado por el contenido Web que desee o puede crear un sitio Web nuevo.



7.5 Conf igurar nntp

NNTP es otro de los servicios que lleva IIS.

Se instala como el resto de componentes de IIS:

Al finalizar el proceso de instalación se habrá añadido al Administrador de IIS el nodo de Servidor virtual NNT predeterminado.



Pero podemos crear uno nuevo si lo deseamos:

Para crear un servidor virtual NNTP:

y Inicio, programas, herramientas administrativas, Administrador IISy En el servidor adecuado, seleccionamos nuevo del menú Acción y elegimos Servidor Virtual NNTPy Se inicia un asistente, escribimos la descripción del nuevo servidor virtual y pulsamos siguiente.y Luego se especifica la dirección IP que prestar el servicio y el número de puerto, pulsamos siguiente.

y En la ruta de acceso se especifica la ruta a los archivos internos, y pulsamos siguiente.



y Luego elegimos el medio local o remoto, de almacenamiento y pulsamos siguiente.y Después escribimos la ruta al almacén de contenido de noticias y pulsamos siguiente.y Pulsamos finalizar

El método de autenticación:

Para especificar un método de autenticación:

y Inicio, programas, herramientas administrativas, Administración de IIS.y Con el botón derecho del ratón sobre el servidor virtual NNTP, accedemos a propiedades. Luego pulsam

en la pestaña Acceso.y En Control de Acceso, pulsamos Autenticación.y Seleccionamos una o más de las casillas de verificación y pulsaremos Aceptar.

Las opciones son:o Permitir anónimoso Autenticación básicao Paquete de seguridad Windowso Administrado por IISo Activar autenticación de cliente SSL

y Pulsamos aceptar y regresamos al administrador de IIS.

Conf iguración de parámetros de un directorio virtual:

Un directorio virtual es una carpeta en local o remoto que almacenará el contenido de los grupos de noticias(newsgroups).

y En el Administrador de IIS, expandimos el NNTP que queremos, pulsamos en Directorios Virtuales.y En el panel de grupos de noticias, con el botón secundario sobre el directorio elegido elegimos propieda



y Bajo las propiedades del directorio virtual, pulsamos en contenidos. En el cuadro de diálogoespecificaremos el lugar de almacenamiento para los contenidos del directorio y pulsaremos aceptar.

y Aceptar

Para crear grupos de noticias:

y Iniciamos el Administrador de IIS y expandimos el servidor virtual NNTP y vemos el nodo de Grupos dnoticias.

y

Con el botón secundario del ratón en Grupos de noticias seleccionamos nuevo y pulsamos en Grupo denoticias.y Seguimos el asistente que aparece, escribimos el nombre, descripción y si queremos un nombre descrip

Pulsamos en finalizar.

Instalación/conf iguración servicio POP

Notas: El protocolo SMTP define de qué forma se comunican cliente y servidor para habilitar el envío demensajes, por otra parte POP3 define lo necesario para que una vez recibidos los mensajes en el servidor, el cli pueda descargarlos a su ordenador.

Hasta Windows Server 2003 los sistemas de servidor de MS no incorporaban un servidor POP, ahora yadisponemos de la posibilidad de poner en marcha nuestro propio servicio de e-mail al estar incluido en este S.O Necesitamos tener registrado un dominio.Instalando lo necesario Si contamos con una máquina con Windows Server 2003 conectada permanentemente a internet, con una IP fijque no pertenece a un dominio de Active Directory:Como siempre acudimos al icono de agregar o quitar programas del Panel de control, agregar o quitar componede Windows, Servicios de correo electrónico.

Recordemos que necesitamos tener instalado el Servidor SMTP (que está en las opciones de IIS para tener unservidor de correo).Ahora vamos a seguir configurando el servidor de correo, para configurar el servicio POP abrimos herramientaadministrativas y pulsamos en Servicio POP o en Administre su servidor y buscar servidor de correo(POP, SMtenemos un enlace a administrar este servidor; ambos abren la mmc del Servicio POP.



Como podremos leer se nos insta a comprobar el modo de autenticación antes de crear un dominio. Tenemos tropciones:

y Cuentas locales Windows (Local Windows accounts)y Integración con Active Directoryy Archivo de contraseña cifrada

El primer método nos serviría si nuestro servidor de correo no es un servidor miembro en un entorno de ActiveDirectory, o si lo es, queremos que las cuentas de usuario se almacenen en el servicio POP3 donde está instalad

El segundo si nuestro servidor de correo es en un controlador de dominio, o es un servidor miembro y queremoque las cuentas se almacenen en Active Directory.El tercero (el que usaremos en la configuración) nos servir por si no queremos usar active directory o noqueremos tener cuentas de usuario en la máquina local.

Dependiendo de la configuración del servidor estarán disponibles unos u otros métodos:

y Si el ordenador donde el servicio POP3 se está ejecutando es un servidor miembro en un dominio ActivDirectory, los tres métodos están disponibles.

y Si se está ejecutando en un controlador de dominio, los métodos disponibles son Integrado en ActiveDirectory y archivo de contraseña cifrada.

y En cualquier otro caso, Cuentas locales de windows y archivo de contraseña cifrada son los que estarándisponibles.

Clic derecho en el servidor y Propiedades, escogemos el método de autenticación Archivo de contraseña cifrad pulsamos en Aceptar. Así tendremos los buzones de correo sin que deban corresponder con usuarios de Windocon ello podremos crear libremente los que queramos.



Después ya creamos el dominio en el servicio POP, teniendo en cuenta que es el nombre del dominio que tengaregistrado en Internet.

Luego ya podemos crear buzones:



Aunque hay un apartado para el SMTP, veamos como configuraremos éste con los datos que hemos puesto en POP.Para llegar al servidor de envío (SMTP) abriremos el administrador de Internet Information Services (IIS) desdinicio Herramientas administrativas.En el apartado correspondiente a nuestro servidor (WWP) seleccionamos Servidor virtual SMTP predeterminalo expandimos, clic derecho sobre dominios, Nuevo.... Dominio, indicamos el tipo de dominio como Alias y ponemos el nombre, pulsamos finalizar. Ya tenemos el nuevo dominio en la lista de dominios que gestiona esteservidor SMTP.



Ahora hemos de modificar la seguridad para permitir el envío de correo. Hemos de asegurarnos que no puedautilizarse nuestro servidor de correo de forma discriminada por alguien para envío masivo de correo y ser una pasarela gratuita para los spammers y usuarios malintencionados. También es necesario su configuración para nuestros propios usuarios puedan enviar correos a servidores externos.

En Acceso tenemos también el Control de acceso, botón autenticación, que nos ofrece una ventana con los mét para éste servidor.

Ahora hemos de conseguir que cuando alguien envíe un correo a alguien@correo-wwp se entregue en nuestroservidor.Se ha de preparar el enrutador (router ), en todo caso los puertos 25(SMTP) y 110(POP3) han de estar encaminados hacia el servidor.Hemos de configurar una entrada en el DNS del dominio (normalmente el que nos registra nuestro dominio suetener un panel de control para que podamos modificar los registros), dicha entrada se compone de un registro A por ejemplo de nombre mail.correo-wwp que apunte a la IP pública de nuestra conexión (la IP pública del routey de un registro MX 10 que apunte al registro A. Normalmente en un plazo entre 24 y 48 horas las nuevas entradas del DNS se propagarán por Internet y el dom



de correo será accesible.Tengamos en cuenta que muchas de las configuraciones serán un poco diferentes y con matices si se está en unentorno Active Directory.

8: Seguridad interna

IntroducciónHerramientas de administraciónVisor de sucesosRegistroServicios

9: Gestión de datos

Copias de seguridadRecuperación de datosRecuperación del sistema

Implementando la seguridad perimetral y de red

Por Iván González Vilaboa [MS MVP Windows Server IIS]

Conocimientos imprescindibles:

y Descripción de los fundamentos de seguridad de una redy Experiencia práctica con Windows Server (2000/2003)y Experiencia con las herramientas de administración de Windows.

1. Implementando la seguridad perimetral y de red1. Introducción

a) Introducción

Defensa en profundidad:

El uso de una solución en niveles aumenta la posibilidad de que se detecten los intrusos y disminuye la posibilide que estos logren su propósito. Aplicando ACL y cifrado a los DATOS.

Reforzando a las aplicaciones con una solución antivirus.

Reforzando el sistema operativo con la administración de actualizaciones, utilizando autentificación, HIDS.

Utilizando segmentos de red, IPSec y NDIS en la red interna.

Con servidores de seguridad y sistemas de cuarentena en VPN en el perímetro.

Una seguridad física con vigilantes, bloques, dispositivos de seguimiento.

Realizando programas de aprendizaje para los usuarios, con directivas, procedimientos y concienciación.



Propósito y limitaciones de las defensas de perímetro.

y Los servidores de seguridad y enrutadores de borde configurados adecuadamente constituyen la piedra angulala seguridad del perímetro.

y Internet y la movilidad aumentan los riesgos de seguridad.y Las VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la

desaparición del concepto tradicional de perímetro de red.y Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos de red y las

direcciones de los equipos.y Actualmente, la mayor parte de ataques se producen a nivel de aplicación.

Propósito y limitaciones de las defensas de los clientes

y Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en lainterna.

y Las defensas de los clientes incluyen, entre otras:o Refuerzo de la seguridad del sistema operativoo Programas antiviruso Servidores de seguridad personales

y Las defensas de los clientes requieren que se configuren muchos equipos.y En entornos no administrados, los usuarios pueden omitir las defensas de los clientes.

Propósito y limitaciones de la detección de intrusos

y Detecta el modelo de ataques comunes, registra el tráfico sospechoso en registro de sucesos y/o alerta a losadministradores.

y Las amenazas y puntos vulnerables evolucionan constantemente, lo que deja a los sistemas en una situaciónvulnerable hasta que se conoce un ataque nuevo y se crea y distribuye una nueva firma.

Objetivos de seguridad en una red:

Defensa delperímetro Defensa de losclientes Detección deintrusos Control de accesoa la red Confidencialidad Acceso remseguro

Servidor ISA X X X X

Firewall deWindows X

802.1x WPA X X

IPSec X X X



2. Uso de defensas en el perímetro

Uso de def ensas en el perímetro

b) U so de defensas en el perímetro



Contra qué NO protegen los servidores de seguridad:

y Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidseguridad.

y Tráfico que atraviesa un túnel o sesión cifrados.y Ataques que se producen una vez que se ha entrado en una red.y Tráfico que parece legitimo.y Usuarios y administradores que intencionada o accidentalmente instalan virus.y Administradores que utilizan contraseñas poco seguras.

Servidores de seguridad de software y de hardware:

Factores dedecisión Descripción

Flexibilidad La actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidoresseguridad basados en software.

Extensibilidad Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limita

Elección deproveedores

Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad dnecesidades y no se depende de un único proveedor para obtener hardware adicional.

Costo El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Losservidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puedeactualizar fácilmente y el hardware antiguo se puede reutilizar.

Complejidad Los servidores de seguridad de hardware suelen ser menos complejos.

Disponibilidadglobal

El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarCon frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.



3. Uso de Microsoft Internet Security and Acceleration Server (ISA) para proteger los perímetros


Uso de Microsof t ® Internet Security and Acceleration Server (ISA) para proteger los

perímetros

c) U so de Microsoft ® Internet Security and Acceleration Server (IS A ) para prote ger los perímetros.

Análisis de la información de un paquete

Actualmente la mayoría de los cortafuegos comprueban solamente la información básica del paquete. Elequivalente en el mundo real a mirar el número y destino de un autobús y de no mirar a los pasajeros.

Asunciones fundamentales N3/N4

y Confiamos en que el tráfico sobre un puerto es lo que pensamos que debe ser (TCP80==HTTP)y Confiamos implícitamente que el tráfico que atraviesa está limpio (obviamos la revisión de este).y No utilizamos estos dispositivos para protegernos de las redes internas, ya que confiamos en nuestros usuariosy El usuario de la máquina 1.2.3.4 debe ser el único que siempre utiliza la misma máquina.y TCP 80 está casí siempre abierto para todo. Es el protocolo universal que hace de puente y evita el cortafuegosy La mayoría de estos errores dan lugar a una brecha de seguridad de la cual se responsabiliza generalmente al

Sistema Operativo, o a las aplicaciones, pero su origen puede ser la red.

Defensa delperímetro

Defensa de losclientes

Detección deintrusos

Control de accesoa la red Confidencialidad Acceso rem

seguro

Servidor ISA X X(*) X X



Firewall deWindows X

802.1x WPA X X

IPSec X X X

*Detección básica de intrusos, que se amplía gracias al trabajo de los asociados

Protección de los perímetros

ISA Server tiene completas capacidades de filtrado:

y Filtrado de paquetesy Inspección de estadoy Inspección del nivel de aplicación

o HTTP. FTP. SMTP. H.323, medios de trasmisión. RPC y otros.y ISA Server bloquea todo el tráfico de red a menos que usted lo permita.y ISA Server permite establecer conexiones VPN seguras.y ISA Server tiene las certificaciones ICSA y Common Criteria.

DMZ's en ISA Server (Zonas desMilitariZadas)

y ISA Server las llama "redes perimetrales"y Tipos:

o Opuesto con opuesto (DMZ regular)o Triple Interfaz (Subred apantallada)o Tercera opción interesante no documentada

y Bastante fácil de elegir

Pero primero...

Interfaces de Red

Dos tipos:

y Internay Externa

o Interfaz-Interneto DMZ

Interfaces Internas

y Puede tener más de unay Definida por la LAT: Cualquier interfaz cuya dirección IP está en la LAT es una interfaz interna.

Interfaces Externa

y Interfaz-InternetPuede tener sólo unaDebe ser la frontera



Sólo una interfaz con una puerta de enlace por defectoEstá conectada a InternetMás de una no está soportada y no trabaja

y DMZ

El resto de las interfaces en el ordenador

No incluida en la LAT, no conectada a Internet.

Comportamiento del tráfico

Diseño apropiado

y Servidores ISA opuesto-con-opuestoy LATs

Externo: rango(s) de direcciones IP de la red de la DMZInterno: rango(s) de direcciones IP de la red corporativa

y Alcanza a inspeccionar todoInternet a DMZDMZ a red corporativa

Diseño subóptimo

y El tráfico entrante y saliente de la DMZ no está bien protegido

El filtrado de paquetes es igual al de cualquier otro cortafuegosNo reconoce los protocolos de aplicacionesNo puede inspeccionar para cumplir con las reglasNo utiliza filtros de Web o aplicaciones

R ecomendación:

No utilizar diseños de triple interf az, si se utiliza, descargar la seguridad sobre los propios

servicios de la DMZ.



Publicación opuesto-con-opuesto

y En la DMZMétodo de publicación normal

y En la red corporativaPublicación de recursos sobre el servidor ISA internoPublicación del servidor ISA interno sobre el servidor ISA externo

y Usar tarjetas SSL para HTTPShttp://microsoft.com/isaserver/partners/ssl.as AEP Crypto -- ¡

rápido y barato!

Alternativa interesante

y Diseño de triple interfacesy No interfaz de "DMZ"y Dos interfaces internas

Inspecciones de aplicaciones entre Internet y todas las interfaces internasNecesidad de proteger la comunicación a través de las interfaces¿Cómo?

Para presupuestos limitados

Protección de los clientes

Método Descripción

Funciones deproxy Procesa todas las solicitudes para los clientes y nunca permite las conexiones directas.

Clientesadmitidos

Se admiten todos los clientes sin software especial. La instalación del software de servidor de seguridISA en clientes Windows permite utilizar más funciones.

Reglas Las reglas de protocolo, reglas de sitio y contenido, y reglas de publicación determinan si se permite eacceso.

Complementos El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servid



de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizarfácilmente y el hardware antiguo se puede reutilizar.

Protección de los servidores Web

y Reglas de publicación en Webo Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de

seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estánday Inspección del tráfico SSLo Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropi

y que cumple los estándares.o Si se desea, volver a cifrar el tráfico antes de enviarlo al servidor Web.

URLScan

y El paquete de características 1 de ISA Server incluye URLScan 2.5 para ISA Server.y Permite que el filtro ISAPI de URLScan se aplique al perímetro de la red.

o Se produce un bloqueo general en todos los servidores Web que se encuentran detrás del servidor de

seguridad.o Se bloquean en el perímetro los ataques conocidos y los descubiertos recientemente.

Protección de Exchange Server

Método Descripción

Asistente parapublicación de correo

Configurar reglas de ISA Server con el fin de publicar servicios de correo interno para usuariosexternos de forma segura

Message Screener Filtra los mensajes de correo electrónico SMTP que entran en la red interna.

Publicación RPC Protege el acceso del protocolo nativo de los clientes Microsoft Outlook®

Publicación OWA Proporciona protección del servidor de solicitudes de cliente OWA para los usuarios remotos deOutlook que tienen acceso a Microsoft Exchange Server ® sin una VPN a través de redes que node confianza.



Tráfico que omite la inspección de los servidores de seguridad

y Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo qpermite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos.

y El tráfico VPN se cifra y no se puede inspeccionary El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos.

Inspección de todo el tráfico

y Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Recuerde: defensa en profundidad

y Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSLy Expanda las capacidades de inspección del servidor de seguridad

o Utilice complementos para el servidor de seguridad que permitan inspeccionar el tráfico de IM (Akonix Enterprise para ISA Server)

Inspección de SSL

y Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo qpermite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos.

y ISA Server puede descifrar e inspeccionar el tráfico SSL. El tráfico inspeccionado se puede enviar al servidor intesin cifrar o cifrado de nuevo.

Refuerzo de la seguridad de ISA Server

y Refuerzo de la pila de redo artículos 315669 y 324270 de Konwledge Baseo http://support.microsoft.com/default.aspx?scid=kb;es;315669 o http://support.microsoft.com/default.aspx?scid=kb;es;324270

y Deshabilite los protocolos de red innecesarios en la interfaz de red externa:o Cliente para redes Microsofto Compartir impresoras y archivos para redes Microsofto NetBIOS sobre TCP/IP

Ampliando la plataforma

y Ubicamos los cortafuegos en diferentes localizaciones por diversas razones. Se debe comprender las necesidadestablecer los filtros en concordancia.

y Amplíe la funcionalidad básica con filtros de protocolos que cubran en su escenario específico.y Ningún dispositivo será siempre la solución perfecta; las soluciones son más importantes que los dispositivos.



Recomendaciones

y Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica.y Utilice las capacidades de autentificación de ISA Server para restringir y registrar el acceso a Internet.y Configure reglas de publicación en Web para conjuntos de destinos específicos.y Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red.

4. Uso del cortafuegos de Windows para proteger a los clientes


Uso del cortaf uegos de Windows para proteger a los clientes

d) U so del cortafue gos de Windows para prote ger a los clientes

Información general sobre el cortafuegos de Windows

(Después de SP2 para XP y SP1 para 2003 Server, esta información puede quedar desfasada; previsto el SP2 pXP durante 2004 y SP1 2003 en 2005)

¿Qué es? Cortafuegos de Windows en Microsoft Windows XP y Microsoft Windows Server 2003.

¿Qué hace? Ayuda a detener los ataques basados en la red, como Blaster, al bloquear todo el tráfico entrante nsolicitado.

Caracterí sticas principales:

y Los puertos se pueden abrir para los servicios que se ejecutan en el equipo.y La administración corporativa se realiza a través de directivas de grupo.



Se puede habilitar activando la casilla de verificación enAvanzadas de las propiedades en cada conexión.Con el asistente para configuración de red.Con el Asistente para conexión nueva.Se habilita de forma independiente en cada conexión.

Al activarse el icono de conexión muestra un pequeño candado.



Configuración avanzada del cortafuegos de Windows:

Servicios de redAplicaciones basadas en Web

Opciones de registroOpciones del archivo de registro

y Configure el cortafuegos de Windows mediante directivas de grupo



y Combine el cortafuegos de Windows con Control de cuarentena de acceso a la red

Recomendaciones

y Utilice el cortafuegos de Windows en las oficinas domésticas y en las pequeñas compañías con el fin deproporcionar protección a los equipos que están conectados directamente a Internet.

y No active el cortafuegos de Windows en una conexión VPN (aunque debe habilitarlo en la conexión LAN o de actelefónico subyacente).

y Configure las definiciones de servicio para cada conexión de cortafuegos de Windows a través de la que desee qfuncione el servicio.

y Establezca el tamaño de registro de seguridad en 16 megabytes para impedir el desbordamiento que podríanocasionar los ataques de denegación de servicio.

Links informativos SP2 XP

y http://www.microsoft.com/spain/technet/recursos/wxpsp2/Informacion _SP/default.asp y http://www.microsoft.com/spain/technet/recursos/wxpsp2/mejoras/default.asp y http://download.microsoft.com/download/0/0/8/008764de-2ebc-4196-b43e-

bbc29304361e/WindowsXPSP2RC1 _ResumendeCaracteristicas.pdf

5. Protección de redes inalámbricas

Protección de redes inalámbricas

e) P rotección de redes inalámbricas

Aspectos de seguridad en dispositivos inalámbricos

y Limitaciones de Wired Equivalent Privacy (WEP)o Las claves WEP estáticas no se cambian de forma dinámica y, por lo tanto, son vulnerables a los ataqueo No hay un método estándar para proporcionar claves WEP estáticas a los clientes.o Escalabilidad: el compromiso de una clave WEP estática expone a todos los usuarios.

y Limitaciones del filtrado de direcciones MAC.o Un intruso podría suplantar una dirección MAC permitida.

Posibles soluciones

y Autentificación de nivel 2 basada en contraseñaso PEAP/MSCHAP v2 de IEEE 802.1x

y Autentificación de nivel 2 basada en certificadoso EAP-TLS de IEEE 802.1x

y Otras opcioneso Conexiones VPNL2TP/IPSec (la solución preferida) o PPTP

No permite usuarios móvilesResulta útil cuando se utilizan zonas interactivas inalámbricas públicasNo se produce la autentificación de los equipos ni se procesa la configuración establecida en directivas grupo

o IPSecProblemas de interoperabilidad



Comparaciones de la seguridad de WLAN

Tipo de seguridad de WLAN Nivel de seguridad Facilidad de implementación Facilidad de uso e integrac

WEP estático Bajo Alta Altos

PEAP de IEEE 802.1x Alto Media Altos

TLS de IEEE 802.1x Alto Baja Altos

VPN Alto (L2TP/IPSec) Media Bajos

IPSec Alto Baja Bajos

802.1x

y Define un mecanismo de control de acceso basado en puertoso Funciona en cualquier tipo de red, tanto inalámbrica como con cables.o

No hay ningún requisito especial en cuanto a claves de cifradoy Permite elegir los métodos de autentificación con EAPo Es la opción elegida por los elementos del mismo nivel en el momento de la autentificacióno El punto de acceso no tiene que preocuparse de los métodos de EAP

y Administra las claves de forma automáticao No es necesario programar previamente las claves de cifrado para la red inalámbrica

Requisitos del sistema para 802.1x

y Cliente: Windows XPy Servidor: IAS de Windows Server 2003

o Servicio de autentificación Internet: nuestro servidor RADIUSo Certificado en el equipo IAS

y 802.1x en Windows 2000



o El cliente e IAS deben tener SP3o Ver el artículo 313664 de Knowledge Base

http://support.microsoft.com/default.aspx?scid=kb;es;313664 o No se admite la configuración rápida en el clienteo Sólo se admiten EAP-TLS y MS-CHAPv2

Es posible que los futuros métodos de EAP en Windows XP y Windows Server 2003 no se puedan utiliza

Configuración de 802.1x

y Configurar Windows Server con IASy Unir un dominioy Inscribir un certificado de equipoy Registrar IAS en Active Directoryy Configurar el registro RADIUSy Agregar el punto de acceso como cliente RADIUSy Configurar el punto de acceso para RADIUS y 802.1xy Crear una directiva de acceso para clientes inalámbricosy Configurar los clientes

o No olvide importar el certificado raíz

Directiva de acceso

y Condición de directivao El tipo de puerto NAS coincide con Wireles

IEEE 802.11 o con otro tipo de red inalámbo Grupo de Windows = <algún grupo de AD>o Opcional; proporciona control administrati

Debe contener cuentas de usuario y de equ



Perfil de directivas de acceso:

Perfil:

y Tiempo de espera60 min.(802.11b) o 10 min. (802.11a/g).

y No elija métodos de autenticación reguy Tipo de EAP:EAP protegido; utilice

certificados de equipoy Cifrado: sólo el más seguro (MPPE de 12

bits)y Atributos: Ignore-User-Dialin-Properties

True



Wireless Protected Acces (WPA)

y Especificación de mejoras en la seguridad interoperables y basadas en estándares que aumenta enormemente nivel de protección de los datos y el control de acceso para los sistemas actuales y futuros de LAN inalámbrica.

y WPA requiere la autentificación de 802.1x para el acceso de redy Objetivos

o Cifrado mejorado de los datoso Permitir la autentificación de los usuarioso Compatible con versiones futuras de 802.11io Proporcionar una solución que no sea RADIUS para las oficinas domésticas o de pequeño tamaño.

y Wi-Fi Alliance comenzó las pruebas de certificación de la interoperabilidad de los productos de WPA en febrero2003



Recomendaciones:

y Utilice la autentificación de 802.1xy Organice en grupos a los usuarios y equipos inalámbricosy Aplique directivas de acceso inalámbrico con directivas de grupoy Utilice EAP-TLS para la autenticación basado en certificados y PEAP para la autenticación basada en contraseñay Configure una directiva de acceso remoto para permitir la autenticación de los usuarios y de los equiposy Desarrolle un método que se ocupe de los puntos de acceso sospechosos, como la autenticación de 802.1x bas

en LAN, las encuestas a sitios, la supervisión de la red y el entrenamiento de los usuarios.

6. Protección de comunicaciones mediante IPSec


Protección de comunicaciones mediante IPSec

f) P rotección de comunicaciones mediante I P Sec

Introducción a IPSEc

y ¿Qué es Seguridad de IP (IPSec)?o Un método para proteger el tráfico IP.o Una estructura de estándares abiertos desarrollada por el Grupo de trabajo de ingeniería de Internet (I

Internet Engineering Task Force)y ¿Por qué se debe utilizar IPSec?

o Para garantizar que las comunicaciones se cifran y se autentican en el nivel IP.o Para proporcionar seguridad en el transporte independiente de las aplicaciones o de los protocolos de

de aplicación.

Escenarios de IPSec:

y Filtrado básico para permitir o bloquear paquetesy Comunicaciones seguras en la LAN internay Replicación en los dominios a través de servidores de

seguridady Acceso a VPN a través de medios que no son de

confianza



Implementación del filtrado de paquetes de IPSec

y Filtros para tráfico permitido y bloqueadoy No se produce ninguna negociación real de las asociaciones de seguridad de IPSecy Los filtros se solapan: la coincidencia más específica determina la accióny No proporciona filtrado de estadoy Se debe establecer "NoDefaultExempt = 1"

Desde IP A IP Protocolo Puerto Origen Puerto destino Acción Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear

Cualquiera Mi IP de Internet TCP/IP Cualquiera 80 Permitir

El filtrado de paquetes no es suficiente para proteger un servidor:

y Los paquetes IP suplantados contienen consultas o contenido peligroso que puede seguir llegando a los puertoabiertos a través de los servidores de seguridad.

y IPSec no permite la inspección de estadoy Muchas herramientas que utilizan los piratas informáticos emplean los puertos de origen 80, 88, 135 y otros pa

conectar a cualquier puerto de destino.

Tráfico que IPSec no filtra:

y Direcciones de difusión IPo No puede proteger a varios receptores

y Direcciones de multidifusióno De 224.0.0.0 a 239.255.255.255

y Kerberos: puerto UDP 88 de origen o destinoo Kerberos es un protocolo seguro, que el servicio de negociación IKE puede utilizar para la autenticaciónotros equipos en un dominio.

y IKE: puerto UDP 500 de destinoo Obligatorio para permitir que IKE negocie los parámetros de seguridad de IPSec

y Windows Server 2003 configura únicamente la exención predeterminada de IKE.

Comunicaciones internas seguras:

y Utilice IPSec para permitir la autenticación mutua de dispositivoso Utilice certificados o Kerberoso La utilización de claves compartidas sólo es conveniente para pruebas

y

Utilice Encabezado de autenticación (AH) para garantizar la integridad de los paqueteso El Encabezado de autenticación proporciona integridad en los paqueteso El Encabezado de autenticación no cifra, con lo que se basa en los sistemas de detección de intrusos de

y Utilice Carga de seguridad encapsuladora (ESP) para cifrar el tráfico sensibleo ESP proporciona integridad en los paquetes y confidencialidado El cifrado impide la inspección de los paquetes

y Planee minuciosamente qué tráfico debe protegerse



IPSec para la replicación de dominios:

y Utilice IPSec para la replicación a través de servidores de seguridado En cada controlador de dominio, cree una directiva IPSec para proteger todo el tráfico a la dirección IP

otro controlador de dominio.y Utilice ESP 3DES para el cifradoy Permita el tráfico a través del servidor de seguridad:

o Puerto UDP 500 (IKE)o Protocolo IP 50 (ESP)

Acceso de VPN a través de medios que no son de confianza

y VPN de clienteo Utilice L2TP/IPSec

y

VPN de sucursalo Entre Windows 2000 0 Windows Server, con RRAS: utilice túnel L2TP/IPSec (fácil de configurar, aparececomo una interfaz enrutable)

o A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo de túnel puro de IPSec.o A la puerta de enlace RRAS de Microsoft Windows NT 4: utilice PPTP (IPSec no está disponible)



Estado de IPSec NAT Trasversal

y Manipulado por la necesidad para el acceso remoto sobre IPSec - basado en VPNsy Implementando en IETF estándar propuesto (Draft-02)y La interoperabilidad probada con enrutadores de 3ros para L2TP/IPSecy Previsto para L2TP/IPSec en Windows XP y anterioresy Previsto para todos los usos de IPSec en Windows Server 2003y Soportado por el Sistema Operativo

Versión Soporte L2TP/IPSec Soporte general del modo transporte de IPSec

Windows Server 2003 Sí Sí4



Windows XP Sí1 No recomendado5

Windows 2000 Sí2 No

Windows NT4 Sí3 No

Windows 98/Me Sí3 No

1. Windows Update o QFE2. QFE3. Con descarga de web4. FTP Activo no trabajará5. Algunas reducciones PTMU no trabajan

Estados estándares

y Draft-02 fue lo mejor disponible durante mucho tiempo - windowso Microsoft y otros lo han implementadoo Usable ahora

y Versión RFC en revisión ahorao Cambia algunos detalles pequeños en números estándareso Microsoft lo adoptará en lanzamientos futuros

Escenarios de implementación

y Filtrado básico de paquetes permitir/bloqueary Asegurar la comunicación interna en la LAN

o Cliente a servidoro Entre grandes grupos de ordenadores

y Usar IPSec para la replicación de dominios a través de cortafuegosy Establecimiento de túneles VPN sitio-a-sitioy Acceso desde red confiado, a máquinas autorizadas



El problema:

y Usted conoce quien es su gente.y Usted conoce quienes son sus ordenadoresy Usted sabe que está haciendo su gente y sus aplicaciones

Conociendo sus ordenadores

y Windows 2000 NO requiere ser miembro del dominioy ¿La directiva de grupo ayuda?

o No puede hacerla cumplir a sus miembroso Puede prohibir retirarse desde el dominioo No puede parar a los no miembros que se comunican sobre la red

Parar el acceso a red no confiable

y Usted requiere que sus usuarios sean miembros del dominio.y Por qué no, sus ordenadores, ¿también?

o "Muéstreme las credenciales"o Típicamente no puede parar que alguien se conecte en su LAN

y Acceso a red basado en: autentificación mutua=confianzao IKE Kerberos - trabaja dentro y atraviesa bosques con relación de confianza bidireccionalo Nivel de Bosque IPSec AH con Kerberos V miembros del dominio en los que se confía.o Autentificación del certificado de IKE - control más fino para la confianzao Autorice el acceso a red solamente a ordenadores específicos del dominio utilizando el derecho de inic

sesión "Acceso a este ordenador desde la red"

Conocer sus ordenadores

y Es buena idea porque usted...o Tiene (o desea) una directiva que requiera el uso de máquinas aprobadas solamente.o Desea forzar a los ordenadores del centro de datos a comunicarse solamente con otros aprobados (no

servidores extraños)



o Limitar las comunicaciones servidor-a-servidor en su DMZ para frustrar ataques MITM y spoofing dedirecciones

Hágalo con IPSec AH

y Autentificación de paqueteo La suma de comprobaciones significa la fuente es la fuenteo El contenido sea el contenido

y Fácil de localizar las averías con Netmony Los cortafuegos pueden filtrar el interior de AH en protocolos y puertos en caso de necesidady El sistema de Detección de Intrusos (NIDS) puede examinar el contenido de los paquetes en caso de necesidad

Escenarios

y TCI nivel empresarialo Prevenir que lo que no son miembros del dominio hagan cualquier cosao IPSec AH Certificado o Kerberoso Aplicar directivas de grupos con "dominio por defecto"

y TCI servidor-a-servidoro Prevenir servidores no autorizados o enmascarados en el centro de datoso Sólo certificados - enrollment manual

PRÓXIMOS PASOS

y Mover los enrutadores VPN con RRAS a Windows Server 2003y Mover los clientes VPN a Windows XP o Windows 2000

o Si fuese absolutamente necesario, descargue y use cliente Windows 98, Windows NT.y Mover los RAS VPN a L2TP/IPSec

o Descargar las actualizaciones de los clientes Windows XP y Windows 2000

Rendimiento de IPSec

y El procesamiento de IPSec tiene algunas consecuencias en el rendimientoo Tiempo de negociación de IKE, inicialmente entre 2 y 5 segundos

5 recorridos de ida y vueltaAutenticación: Kerberos o certificadosGeneración de claves criptográficas y mensajes cifradosSe realiza una vez cada ocho horas de forma predeterminada y se puede configurar

o El cambio de claves de la sesión es rápido: entre uno y dos segundos, dos recorridos de ida y vuelta, uncada hora y se puede configurar

o Cifrado de paquetesy ¿Cómo se puede mejorar?

o

Al descargar el proceso criptográfico en NIC, IPSec casi alcanza la velocidad de los dispositivos con cableRecomendaciones

y Planee minuciosamente la implementación de IPSecy Elija entre AH y ESPy Utilice directivas de grupo para implementar directivas IPSecy Considere el uso de NIC de IPSecy No utilice nunca la autenticación con claves compartidas fuera de un entorno de pruebay Elija entre la autenticación basada en Kerberos o en certificadosy Tenga cuidado al requerir el uso de IPSec para las comunicaciones con controladores de dominio y otros servid

de infraestructuras



Pasos siguientes

y Mantenerse informado sobre seguridady Suscribirse a boletines de seguridad http://www.microsoft.com/spain/technet/seguridad/boletines y Obtener las directrices de seguridad de Microsoft más recientes:

http://www.microsoft.com/latam/technet/seguridad/practicas.asp y Obtener aprendizaje adicional de seguridad:y Buscar seminarios de aprendizaje en línea y presenciales: http//www.microsoft.com/spain/technet/seminariosy Buscar un CTEC local que ofrezca cursos prácticos: http://www.microsoft.com/spain/technet/formacion/ctec/

Para obtener más información

y Sitio de seguridad de Microsoft (todos los usuarios)o http://www.microsoft.com/spain/seguridad

y Sitio de seguridad de Technet (profesionales de IT)o http://www.microsoft.com/spain/technet/seguridad

y Sitio de seguridad de MSDN (desarrolladores)o http://msdn.microsoft.com/security(este sitio está en inglés)

administración windows server 2003

Documents