CERTIFICACIN MICROSOFT

FUNDACIN TOMILLO
TECNOLOGAS BASE WINDOWS 2008 SERVER

NDICE DE CONTENIDOS
1. Caractersticas y versiones. 2. Proceso de instalacin de un servidor Windows 2008 Server. 3. Active Directory. 3.1. Instalacin de Active Directory en el servidor 3.2. Objetos estndar; Usuarios, grupos y equipos. 3.3. Objetos contenedores: Unidades organizativas, dominios, rboles y bosques. 3.4. Directivas. 4. Sistema de archivos: Cuotas de disco. Compartir y Seguridad . 4.1. Cuotas de disco. 4.2. Compartir archivos. 4.3. Permisos de Seguridad (NTFS). 5. DHCP. 5.1. Funcionamiento general de DHCP. 5.2. Proceso de instalacin y configuracin del servidor DHCP. 6. DNS. 6.1. Estructura del sistema y formato de nombres. 6.2. Funcionamiento del sistema: Clientes y servidores. 6.3. Comparativa nombres NETBIOS vs nombres DNS. 6.4. Instalacin y configuracin de un servidor DNS. 6.5. Instalacin y configuracin de un cliente DNS. 7. Principales herramientas administrativas. 7.1. Consola de administracin del servidor. 7.2. Acceso a herramientas administrativas, MSCONFIG, Shell y PowerShell. 7.3. Administracin de discos. 7.4. Auditorias. Registro/Visor de eventos. 8. Roles especficos 2008 Server Active Directory. ANEXO Virtualizacin bsica de servidores en estaciones de trabajo

AUTOR ROBERTO QUIRS GARCA

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

WINDOWS 2008 SERVER

1. Caractersticas y versiones.
Los sistemas operativos Windows Server han sido diseados como sistemas operativos para servidores en estructuras Cliente-Servidor. En cuanto a las tcnicas de administracin de CPU, memoria y E/S funcionan de forma similar a sus hermanos Windows 2000 Professional, XP, Vista o 7. Las caractersticas adicionales que aportan los servidores se pueden resumir en tres conjuntos: - Soportan hardware ms potente (hasta 64 microprocesadores y 2 TBytes de RAM). - Active Directory: Base de datos centralizada con todos los objetos de la red (ordenadores, usuarios, grupos, permisos, dominios, etc.). - Inclusin de un enorme nmero de servicios.

VERSIONES WINDOWS 2008 SERVER (R1)

Standard Edition Nmero procesadores soportados Memoria RAM mxima soportada Reloj procesador mnimo recomendado Memoria mnima recomendada Active Directory Servidor de archivos Servidor de impresin Servidor DHCP Servidor DNS Servidor VPN Servidor Web / Aplicaciones Servidor correo entrante (POP3) Servidor de correo saliente (SMTP) Servidor de terminales Enrutador software Soporte software RAID1 y RAID5 Clster de conmutacin por error Clster equilibrio de carga de red 1-4 4GB / 32GB(*) 2 GHz 1 GB SI SI SI SI SI SI SI Bsico Bsico SI SI SI NO SI Enterprise Edition 1-8 64GB / 2TB(*) 3 GHz 2 GB SI SI SI SI SI SI SI Bsico Bsico SI SI SI 16 Nodos SI DataCenter Edition 8-64 64GB / 2TB(*) 3 GHz 2 GB SI SI SI SI SI SI SI Bsico Bsico SI SI SI 16 Nodos SI Web Edition 1-4 4GB / 2TB(*) 1 GHz 1 GB NO SI NO NO SI Parcial SI NO NO NO SI SI NO SI

En todas las versiones hay ediciones para 32 y 64 bits. (*) = 64 bits Todas las versiones incluyen un modo operativo denominado Server Core: Se suprime casi completamente la interface grfica, administrndose mediante lnea de comandos y lenguaje de scripting muy mejorado basado en .NET Framework denominado PowerShell. Adems se especializa en los roles (funciones) ms importantes. La ltima release es 2008 Server R2 (22 de Octubre de 2009), que dispone del ncleo de Windows 7 (N.T 6.1), existiendo nicamente versiones para 64 bits.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

TECNOLOGAS DE CLUSTER
Equilibrio de carga en la red (NLB): La tecnologa de equilibrio de carga en la red (NLB) distribuye el trfico IP entrante a travs de un clster de servidores (conjunto de servidores trabajando en comn). Esta tecnologa es ideal para posibilitar la escalabilidad y proporciona disponibilidad para servidores Web y de correo. Clster de conmutacin por error: Proporciona tolerancia a fallos. Varios servidores trabajan juntos y coordinados de tal manera que si uno falla los otros se hacen cargo de su trabajo.

2. Proceso de instalacin de un servidor Windows 2008 Server.

La instalacin de un servidor de la red basado en Windows 2008 Server es sencilla, muy similar al resto de versiones. El orden de los pasos puede variar algo en funcin de la versin. PASO 1. Preparacin del hardware (real o virtual) con espacio en disco mnimo 10 GBytes. PASO 2. Arranque desde CD/DVD (Mquinas reales/virtuales) o ISO (Mquinas virtuales) CD/DVD: Ajustar la opcin BOOT SEQUENCE del BIOS Setup. ISO: Ajustar la opcin de utilizacin de unidad ptica del hardware virtual (Unidad o archivo ISO). PASO 3. Introducir el DVD del sistema (o asignar ISO) y arrancar el PC. PASO 4. Seleccin del Idioma. PASO 5. Introduccin del Cdigo de Producto y mtodo de Activacin. PASO 6. Seleccin del tipo de instalacin (versin y normal/server core). PASO 7. Aceptacin del Contrato de Licencia. PASO 8. Seleccin de actualizacin: Sobre 2003 Server o instalacin limpia. PASO 9. Ejecucin del administrador de disco para preparar las particiones a utilizar. PASO 10. Extraccin y copia de los archivos para la instalacin del sistema en el disco duro. PASO 11. Arranque desde el disco duro y continuacin de la instalacin con el Asistente. PASO 12. Introducir contrasea del usuario local Administrador. PASO 13. Generacin del Men Inicio y del Escritorio para el Administrador local. PASO 14. FIN DE LA INSTALACIN.

Al reiniciar el se lanza automticamente el asistente para las tareas iniciales de configuracin, para las que hay que tener presentes los siguientes aspectos: El servidor est disponible sin Active Directory (solo dispone de usuarios locales) ni servicios de red como servidor DHCP, Servidor DNS o Servidor de aplicaciones. La conexin al PC se har con el usuario Administrador local hasta que se instale Active Directory. Al tratarse de un servidor es vital asignarle IP esttica fija. Por lo que y ajustar manualmente los parmetros. Si se tiene pensado que sea servidor DNS en la IP del servidor DNS se pondr 127.0.0.1. Tambin es importante asignarle nombre a la mquina local. Si es el primer servidor obligatoriamente se configurar en trabajo en grupo ya que no existir ningn servidor controlador de dominio. Una vez instalado y configurado inicialmente el sistema operativo comenzar la labor de administracin: Instalacin de Active Directory, asignacin de permisos, directivas, instalacin de servicios como los servidores DHCP y DNS, etc.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

3. Active Directory.
Active Directory es una Base de Datos de los objetos de red organizada de forma estructurada y jerrquica. A la estructura se le denomina Servicios de Directorio (Directory Services). La instalacin de Active Directory en un ordenador con Windows 2008 Server lo convierte en un controlador de dominio, es decir, le permite administrar usuarios, sesiones, autenticacin y permisos de todo un dominio.

3.1. Instalacin de Active Directory en el servidor

Mtodos: (1) Inicio, Ejecutar, DCPROMO. (2) Consola de Administracin del Servidor: Agregar rol (funcin) Controlador de Dominio.

Al instalar AD el ordenador se convierte en controlador de dominio (DC). ste puede ser de varios tipos: - Controlador de dominio para un dominio nuevo. Crea un dominio nuevo. - Controlador Adicional de dominio: Replica a un controlador existente sin crear dominio. - Dominio Secundario: Crea un dominio dentro de otro (ejemplo: cm.tomillo.org en tomillo.org). Hay que tener presente que Active Directory utiliza el sistema de nombres de domino (DNS), incluido el nombre del propio servidor. Por esta razn si se selecciona Controlador de dominio para un dominio nuevo hay que lanzar la instalacin del servidor DNS, bien desde la propia instalacin de Active Directory o bien con los procedimientos descritos en el Epgrafe 6. NOTA: En el epgrafe 6 se explica el funcionamiento del sistema de nombres de dominio de forma genrica y su implantacin en Windows Server. En el servidor, ahora controlador de domino, desaparecen los usuarios locales una vez instalado Active Directory. El Administrador local se convierte en el Administrador del dominio. Los archivos quedan instalados de forma predeterminada en: Base de Datos y Registro: Directorio \ WINDOWS\ NTDS Archivos Pblicos del Dominio: Directorio \ WINDOWS \ SYSVOL y subdirectorios \ WINDOWS \ SYSVOL\ SYSVOL \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ POLICIES \ WINDOWS \ SYSVOL\ SYSVOL \ DOMINIO \ SCRIPTS Compartida con el nombre SYSVOL Contiene las directivas Contiene Comandos de Inicio de Sesin (Compartida con el nombre NETLOGON)

Mtodos de desinstalacin Mtodo 1. Usar la Consola de Administracin del Servidor: Quitar rol (funcin) Controlador de Dominio. Mtodo 2. Inicio, Ejecutar, DCPROMO. Accesos administrativos - Inicio, Programas, Herramientas Administrativas, Usuarios y Equipos de Active Directory - Inicio, Programas, Herramientas Administrativas, Sitios y servicios de Active Directory - Inicio, Programas, Herramientas Administrativas, Dominios y confianzas de Active Directory - Consola de Administracin del Servidor, Funciones, Controlador de Dominio.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

3.2. Objetos estndar

Usuarios
Son un principal de seguridad. Representan a una persona, permitiendo iniciar sesiones en red y tener acceso a los recursos mediante permisos. En Microsoft Windows pueden ser de dos tipos: - Usuarios locales: Usuarios de la mquina local que no se conectan a ningn dominio. Se administran con el Administrador de Equipos, Usuarios Locales. - Usuarios Globales: Usuarios de Active Directory, objetos principales de seguridad que se pueden conectar a un dominio directamente o a un dominio en el que se confa. Se administran con Active Directory mediante cuentas de usuario. Principal de Seguridad: Entidad a la que se asigna automticamente un Identificador de Seguridad (SID) para iniciar sesiones de red y obtener acceso a recursos. Lo son los usuarios, los grupos de seguridad y los equipos (ordenadores unidos al dominio). Perfiles de Usuario Al igual que en los sistemas para estaciones el perfil de usuario la herramienta que permite especificar el aspecto del escritorio, barra de tareas y men inicio, etc. Ahora hay tres tipos: - Perfil local: Solo accesible en la estacin de trabajo donde se ha creado (se guarda en la carpeta \Documents and settings\NombreUsuario de la estacin) - Perfil mvil (red): Perfil accesible en un servidor Windows 2008 que puede modificarse tanto por el propio usuario como por los administradores. Se guarda en el servidor (archivo principal ntuser.dat). - Perfil obligatorio (red): Perfil accesible en un servidor Windows 2008 que puede modificarse por los administradores (los cambios realizados por los usuarios no tienen efecto). Se guarda en el servidor (archivo principal ntuser.man). Archivo de comandos para inicio de sesin Se pueden realizar Scripts (comandos de inicio) en archivos BAT o utilizar Windows Scripting Host (con Visual Basic Script o Java Script). Para facilitar el uso hay variables de acceso a los elementos. Scripting mediante BAT Comandos de smbolo Sistema DOS Comando NET Variables principales %HOMEDRIVE%: Letra asignada al directorio particular de usuario %HOMEPATH%: Ruta de acceso al directorio particular de usuario %OS%: Sistema operativo en el que funciona la estacin %USERDOMAIN%: Dominio en el que est la cuenta de usuario %USERNAME%: Nombre del usuario

Ejemplo: Crear con un editor un archivo denominado ARCHIVO.BAT con el contenido que se muestra a continuacin para asociarlo posteriormente a cuentas de usuario. @ECHO OFF NET TIME \\SERVIDOR /YES NET USE F: /DELETE NET USE F: \\SERVIDOR\PROGRAMAS /YES NET USE LPT1: /DELETE IF %USERDOMAIN%=XCOM THEN USE LPT1: \\PRINCIPAL\LASERJET III Una vez realizado se asigna su ejecucin en la ficha de los usuarios a los que se quiera aplicar (ver administracin). Usuarios creados en la instalacin: Administrador e Invitado (Deshabilitado). Administracin: Inicio, Programas, Herramientas administrativas, Usuarios y Equipos de Active Directory.

Ejercicio: Crear al menos tres usuarios y editar sus propiedades principales.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Grupos
Son listas de objetos (usuarios, equipos y otros grupos). Pueden ser de 2 Tipos y tener 4 mbitos. Grupo de Seguridad: (Principal de Seguridad). Se muestran en las listas de acceso de control discrecional (DACL) pudiendo tener acceso a los recursos mediante permisos. Grupo de distribucin: No son principales de Seguridad. Se utilizan para correo electrnico Locales: Slo pueden tener miembros de usuarios locales (W2000 Professional/XP/Vista/7 o Server sin AD). Local Dominio (AD): Global (AD): Universal (AD): Miembros: Elementos de su dominio Miembros: Cualquier dominio Miembros: Cualquier dominio Concesin Permisos: En su dominio Concesin Permisos: En su dominio Concesin Permisos: Cualquier dominio

Locales de Dominio: Se utilizan para definir y administrar los recursos en un solo dominio. Globales: Su uso simplifica el control de un dominio con usuarios del propio o de otros dominios. Universales: Se utilizan para consolidar grupos que abarcan varios dominios. Grupos principales creados en la instalacin: Locales de Dominio Administradores DHCP Administradores DNS Administradores Windows Media Servidores RAS e IAS Usuarios DHCP Usuarios WINS Globales Administracin de Empresas Administradores de Esquemas Administradores del Dominio Controladores del Dominio Invitados del Dominio Usuarios del Dominio

Administracin: Inicio, Programas, Herramientas administrativas, Usuarios y Equipos de Active Directory.

Ejercicio: Crear dos grupos y asignarle los usuarios generados en el ejercicio anterior.

Equipos
Son objetos que se crean automticamente al unir las estaciones al dominio y las representan para aplicarles permisos y para que las estaciones reciban las polticas de seguridad del dominio. Unin de estaciones al dominio Ya que seguramente todava no se disponga de un servidor DHCP la configuracin TCP/IP de las estaciones se har, de momento, de forma esttica (manual), teniendo en cuenta que, de momento, las estaciones tienen que estar en la misma red IP que el servidor y que se pondr como servidor DNS la IP del servidor Windows 2008, ya que al instalar Active Directory tambin pas a ser servidor DNS. Teniendo en cuenta estos aspectos el procedimiento a realizar en una estacin con Windows 95/98/ME/2000/XP/Vista/7 para unirla al dominio creado es muy sencillo: Paso 1. Acceder a Mi PC. botn derecho Propiedades. Paso 2. Acceder a la pestaa Nombre de equipo. Pulsar en Cambiar. Paso 3. Introducir el nombre que se quiere dar al equipo y el nombre del dominio al que se quiere unir. Paso 4. Se piden las credenciales de un usuario que pueda realizar esta operacin (por ejemplo el Administrador del dominio). A partir de ese momento cuando arranque la estacin se puede elegir si trabajar en modo local o conectarse al dominio al que se ha unido.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

3.3. Objetos contenedores

Unidad Organizativa - Conjunto de usuarios, grupos, equipos y otras unidades organizativas. - No es un Principal de seguridad. - Es el mbito ms pequeo al que se le pueden aplicar Directivas. - Se utiliza para ver fcilmente los objetos y facilitar la administracin. Dominio - Conjunto de equipos definidos por el administrador de una red Windows 2008 Server que comparten una base de datos de directorio comn. - Un dominio tiene un nombre nico y permite el acceso a las cuentas de usuario y de grupo. - Tiene sus propias Directivas de seguridad, representando un lmite nico de Seguridad. - Puede tener relaciones de Seguridad (confianza) con otros dominios. - En general, Active Directory est compuesto por uno o ms dominios. rbol - Conjunto de dominios conectados entre s con relaciones de confianza transitivas y bidireccionales. - Los dominios del rbol comparten una configuracin comn. - Constituyen un espacio de nombres comn con una estructura de rbol (como los directorios). Al primero se le denomina raz, si un dominio A est encima de otro B, se dice que A es dominio principal de B y que B es dominio secundario de A. Bosque Conjunto de dominios conectados entre s con relaciones de confianza transitivas y bidireccionales pero no tienen un espacio de nombres comn.
ms.com (raz)

secundario1.ms.com

secundario2.ms.com

terciario. secundario1.ms.com

CONCEPTOS ASOCIADOS
Relaciones de Confianza: Permiten a un controlador de dominio A autenticar usuarios de un controlador de dominio B. Se dice que B confa en A. Las relaciones pueden ser: - Transitivas (dominios de un mismo rbol/bosque) / Intransitivas (dominios de bosques diferentes). - Bidireccionales (dominios de un mismo rbol/bosque) / Unidireccionales (dominios de bosques diferentes). Si se une un dominio a un mismo bosque se establecen las relaciones AUTOMTICAMENTE. Replicaciones: Sistema por el cual los usuarios y los servicios tienen acceso a cualquier parte del bosque. Para que sea posible el sistema desarrolla un sistema de comunicacin AUTOMTICO entre los diferentes controladores de dominio del rbol. Administracin: Inicio, Programas, Herramientas administrativas, Dominios y confianzas de Active Directory.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

3.4. Directivas (GPOs).

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema, cada una de las polticas del sistema establece una configuracin del objeto al que afecta . Por ejemplo se pueden definir polticas para las siguientes acciones: Establecer el ttulo del explorador de Internet. Ocultar el panel de control. Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE ... mbito de aplicacin - A nivel de equipo local. - A nivel de sitio. - A nivel de dominio. - A nivel de Unidad Organizativa. Directivas segn el objeto al que configuran Respecto al objeto al que configuran las directivas se clasifican en dos categoras: Configuracin del equipo: Se divide, as u vez, en las siguientes categoras - Configuracin de software - Configuracin de Windows - Plantillas administrativas Configuracin del usuario: Se divide, as u vez, en las siguientes categoras - Configuracin de software - Configuracin de Windows - Plantillas administrativas Objetos contenedores de las GPOs Las GPOs pueden estar contenidas en cuatro tipos de objetos: Equipos Locales: Son aplicadas nicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son las nicas polticas que se aplican a los equipos que no estn en un dominio, como servidores independientes o clientes de red. Sitios de Active Directory: Se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa. Proceso de GPOs Competencia entre contenedores Una GPO puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (OU). Como un usuario, por ejemplo, estar en un equipo local que a su vez se ubicar en un sitio, pertenecer a un dominio y ser miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Se podra dar el caso, por tanto, de que las GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos, el sistema de GPOs est implementado para asegurar que siempre se aplicarn las polticas, y para ello establece una forma de prioridad entre stas por la cual, segn dnde estn asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a continuacin se describen.

En esta figura se muestra la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras, las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, por tanto el panel de control ser visible. Competencia dentro de un mismo contenedor Tambin se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique ms de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre s las GPOs que son aplicadas a se contenedor. Cmo se resuelve esta problemtica? Muy simple: prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor. Esto no significa que una GPO anule a las que estn situadas debajo de ella. Las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior. Procesamiento en modo de bucle inverso Cuando se dispone de equipos que estn en un entorno en el cual se desea tener control sobre su configuracin independientemente del usuario que inicie sesin en l, como por ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., se precisa de un mecanismo que altere la forma de ordenacin del procesamiento en las directivas de configuracin de usuario. Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los equipos del aula no puedan acceder al entorno de red. Lo lgico ser crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionara, ya que como la deshabilitacin del panel de control es una configuracin de usuario y el usuario no pertenece a la OU, no se ve afectado por esta poltica. El procesamiento en modo de bucle inverso permite hacer que s se apliquen las polticas de configuracin de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica. Herencia Las GPOs se heredan: Las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. 2. 3. Las OUs de primer nivel heredan del Dominio Las OUs hijas heredan de las de primer nivel Las OUs de nivel 3 heredan de las hijas

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

4. Sistema de archivos: Cuotas de disco. Compartir y Seguridad.

4.1. Cuotas de disco
Las cuotas de disco son un sistema que realiza un seguimiento y controla el uso del espacio de disco en los volmenes NTFS por parte de los usuarios (locales o de dominio). Solamente el grupo administradores puede configurar el sistema de cuotas para: - Evitar que se utilice ms espacio de disco del asignado y registrar un evento cuando un usuario sobrepase un lmite de espacio de disco especificado. - Registrar un evento cuando un usuario sobrepase un nivel de advertencia de espacio de disco especificado, es decir, el punto en el que un usuario se acerca a su lmite de cuota. Cuando se habilitan cuotas de disco se pueden configurar dos valores: El lmite de la cuota de disco y el nivel de advertencia de la cuota de disco. Por ejemplo, se puede configurar un lmite de cuota de disco de 500 MB y un nivel de advertencia de cuota de disco de 450 MB. En este caso, el usuario no puede almacenar ms de 500 MB de archivos en el volumen. Si el usuario almacena ms de 450 MB de archivos en el volumen se puede configurar el sistema de cuotas de disco para que registre un evento de sistema. A partir del momento en el que se habiliten las cuotas de disco para un volumen se realizar automticamente un seguimiento del uso cuantitativo del volumen que hagan todos los usuarios. Se pueden habilitar cuotas en volmenes locales, volmenes de red y unidades extrables, pero slo en los volmenes a los que se haya aplicado el formato de sistema de archivos NTFS. No es posible utilizar la compresin de archivos para impedir que los usuarios excedan sus lmites de cuota, ya que el seguimiento de los archivos comprimidos se realiza en funcin de su tamao sin comprimir. Por ejemplo, si el tamao de un archivo de 50 MB se reduce a 40 MB despus de la compresin, Windows utiliza el tamao original del archivo para asignar el lmite de cuota. Habilitar cuotas de disco Para poder habilitar cuotas en un volumen NTFS es necesario ser miembro del grupo Administradores. En los volmenes que ya contienen archivos Windows calcula el espacio de disco utilizado por todos los usuarios que han copiado, guardado o tomado posesin de archivos del volumen hasta ese momento. El lmite de cuota y el nivel de advertencia se aplican a continuacin a los usuarios ya existentes con arreglo a los clculos realizados, as como a los usuarios que empiezan a utilizar el volumen a partir de ese momento. Se pueden establecer distintas cuotas o deshabilitar cuotas para uno o varios usuarios. Tambin se pueden establecer cuotas para determinados usuarios que an no hayan copiado, guardado o tomado posesin de archivos del volumen. Para habilitar cuotas de disco hay que proceder con los siguientes pasos: Paso 1. Abrir Mi PC. Paso 2. Hacer click con el botn secundario del ratn en el volumen para el que desean habilitar cuotas de disco y, a continuacin, hacer click en Propiedades. Paso 3. En el cuadro de dilogo Propiedades, click en Cuota. Paso 4. En la pestaa Cuota hay que activar la casilla Habilitar la administracin de cuota. Paso 5. Seleccionar una o varias de las siguientes opciones y, despus, hacer click en Aceptar.

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Paso 6. Se pueden ajustar los valores de cuota para los usuarios existentes (botn Valores de cuota). Denegar espacio de disco a los usuarios que sobrepasen su lmite de cuota Los usuarios que sobrepasen sus lmites de cuota recibirn el error " espacio insuficiente en el disco" y no podrn escribir ms datos en el volumen si no eliminan o mueven antes uno o varios archivos. Cada programa trata este error de un modo especfico. Para el programa ser como si el volumen estuviera lleno. Si se desactiva esta casilla de verificacin los usuarios pueden sobrepasar el lmite de cuota. Puede ser til habilitar cuotas y no limitar el uso del espacio de disco cuando no se desea denegar a los usuarios el acceso a un volumen pero s realizar un seguimiento del uso del espacio de disco por parte de cada usuario. Tambin se puede especificar si debe registrarse o no un evento cuando los usuarios superen su nivel de advertencia de cuota o su lmite de cuota. Limitar espacio de disco a Hay que escribir la cantidad de espacio de disco que pueden utilizar los nuevos usuarios del volumen y la cantidad de espacio de disco que debe utilizarse para que se escriba un evento en el registro del sistema. Los administradores pueden ver estos eventos en el Visor de eventos. Registrar evento cuando un usuario exceda su lmite de cuota Si se han habilitado las cuotas se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su lmite de cuota. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local. Registrar evento cuando un usuario exceda su nivel de advertencia Si se han habilitado las cuotas, se escribe un evento en el registro de sistema del equipo local cada vez que un usuario sobrepasa su nivel de advertencia. Los administradores pueden ver estos eventos en el Visor de eventos si aplican el filtro de eventos de disco. De forma predeterminada los eventos de cuota se escriben cada hora en el registro del sistema del equipo local.

Ejercicio: Asignar cuotas de 100 MBytes en el volumen de sistema a los usuarios creados.

Fundacin Tomillo

10

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

4.2. Compartir archivos

El sistema de comparticin de archivos de Windows 2008 Server es idntico al de Windows XP/Vista/7. Cuando se comparte un directorio o una unidad se establecen permisos de directorio compartido a travs de la red (de forma local no quedan protegidos). Las caractersticas de esta funcin (Compartir archivos), ahora denominada Servidor de archivos, son: - Los permisos se aplican a todos los directorios y archivos de la carpeta compartida. - Se pueden definir para todas las unidades (FAT, FAT32 y NTFS) y todas las versiones Windows. - Solo pueden establecer permisos los miembros de: Administradores y Operadores de Servidores. - Relacin de permisos: Leer Cambiar Control Total Explorar y Ejecutar programas. Lectura, creacin, modificar y borrar. Todos los de cambiar y tomar posesin de archivos.

Hay que tener presente que al disponer de Active Directory los permisos se establecen a usuarios globales y a grupos de seguridad, y no solo a usuarios/grupos locales. Carpetas compartidas creadas en la instalacin : ADMIN$ (administracin remota del equipo), IPC$ (comunicacin entre programas), NETLOGON (inicio de sesin en red), PRINT$ (administracin remota de impresoras) y letraUnidad$ (permite conectar al directorio raz).

4.3. Permisos de Seguridad (NTFS)

Los permisos de seguridad, al igual que los permisos de directorio compartido, funcionan igual que en los sistemas para estaciones ya que, en este caso, son atributos del sistema de archivos NTFS. Nuevamente hay que tener presente que al disponer de Active Directory los permisos se establecen a usuarios globales y a grupos de seguridad, y no solo a usuarios/grupos locales. - Los permisos se pueden ajustar manualmente en un directorio o heredar del directorio superior. - Solo puede cambiarlos el propietario del directorio y quien haya recibido permiso del propietario. - Los Permisos efectivos para los usuarios que se conectan de forma remota se calculan teniendo en cuanta los permisos de Directorio compartido y los permisos de Seguridad aplicndose LOS MS RESTRICTIVOS (de forma local solo se aplican los permisos de Seguridad). Permisos estndar Control Total Modificacin Lectura Lectura y Ejecucin Listar Escribir Mximo nivel, comprende todas las acciones Permite todas las operaciones menos eliminar, cambiar permisos y tomar posesin Ver nombres y permisos Ver nombres, permisos y Ejecutar programas Los mismos permisos que Lectura y Ejecucin pero slo aplicables a Carpetas Crear y modificar archivos. Ver permisos.

Propietario de un directorio, archivo u objeto Cuando un usuario crea un directorio, un archivo o un objeto pasa, automticamente, a ser el propietario del elemento. El usuario puede asignar permisos (incluido el permiso especial Tomar Posesin) pero no puede transferir la propiedad a otro usuario. Tambin pueden tomar posesin los Administradores (pero tampoco pueden transferir la Propiedad).

Ejercicio: Crear una estructura de directorios y permisos con un directorio para programas a la que accedan los usuarios creados, un directorio personal por usuario al que solo acceda el propio usuario con control total sobre l y un directorio de datos comn para todos los usuarios.

Fundacin Tomillo

11

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

5. DHCP.
5.1. Funcionamiento general de DHCP
DHCP (Protocolo de Configuracin Dinmica de HOST) es un sistema que simplifica el proceso de configuracin de los parmetros TCP/IP. Consiste en la asignacin de IPs automticas (dentro de un mbito seleccionado) por parte de un servidor DHCP (ordenador que proporciona IPs bajo peticin) a un HOST que haga una peticin de Direccin IP (cliente DHCP). En la imagen se muestra el funcionamiento de peticiones y concesiones. Los clientes DCHP deben renovar peridicamente sus direcciones IP antes de que expire la concesin. La informacin proporcionada por el servidor DHCP al cliente DHCP no se limita a la direccin IP se puede proporcionar tantos datos como en una asignacin esttica ( mscara de subred, puerta de enlace, servidores DNS, etc.).

5.2. Proceso de instalacin y configuracin del servidor DHCP

Paso 1 Instalacin Servidor DHCP. Usar la consola de Administracin del servidor, rol Servidor DHCP. Paso 2 Autorizar al Servidor DHCP. Inicio, Programas, Herramientas Administrativas, DHCP. Paso 3 Crear mbito(s). Acceder con Inicio, Programas, Herramientas Administrativas, DHCP, Servidor) Configurar: Nombre del mbito, Direcciones IP ofrecidas (Mscara de Subred), Direcciones IP excluidas, Duracin de las concesiones, Direcciones IPs reservadas (asignacin permanente) y Ajustar las opciones de cada mbito (prevalecen sobre las del Servidor). Paso 4 Activar mbitos. Paso 5 Ajustar Opciones del Servidor: Opciones de mbito predeterminadas para todos los mbitos, Lista de enrutadores para los clientes DHCP y Opciones DNS. SEGUIMIENTO DE ACTIVIDAD DEL SERVIDOR Actual: Herramientas Administrativas, DHCP, Servidor, mbito, Concesiones de direcciones. Histrico: La actividad del servidor DHCP se registra en archivos Log situados por omisin en el directorio C: \WINDOWS\SYSTEM32\DHCP. Se puede cambiar en la consola DHCP (Inicio, Programas, Herramientas Administrativas, DHCP) con el botn secundario del ratn sobre el servidor, Propiedades, ficha Opciones avanzadas. Visor de eventos. Para que una estacin Windows trabaje como cliente DHCP nicamente hay que verificar que este corriendo el cliente DHCP, que en Windows funciona como un servicio, y que se demande su utilizacin ajustando los parmetros TCP/IP para obtenerlos de forma automtica.

Fundacin Tomillo

12

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

6. DNS.
6.1. Estructura del sistema y formato de nombres
El DNS (Sistema de Nombres de Dominio) es un mecanismo que trata de hacer amigable la asignacin de nombres a direcciones IP evitando la duplicacin de nombres en Internet. DNS es necesario si los ordenadores estn conectados a Internet y se quiere trabajar con nombres en lugar de direcciones IP, por ejemplo con un navegador de Internet. Tambin es necesario si se utiliza Active Directory, ya que DNS es el sistema utilizado para los nombres de los objetos. La tabla de HOST fue el primer mtodo de asociacin nombre Host-Direccin IP. Sigue existiendo en un archivo local de disco pero suele tener bsicamente una entrada: 127.0.0.1 En general DNS consta de: Un espacio de Nombres jerrquico: Este espacio divide la base de datos donde se alojan los Hosts (ordenadores) en elementos denominados dominios. Servidores de nombres de dominio (Servidores DNS): Ordenadores que contienen bases de datos con informacin acerca de los Hosts y de los subdominios del dominio que controlan (bsicamente tablas IPnombres). Clientes DNS (resolvedores de nombres): Elementos que hacen las peticiones de informacin a los servidores de nombres de dominio (servidores DNS). localhost

ESPACIO DE NOMBRES
Nombre completo Host + todos sus dominios padres hasta la raz (separados por puntos). Formato nombre host.subdominios.dominio - Mximo por cada campo:63 caracteres - Mximo total:255 caracteres - No se distingue entre minsculas y maysculas - Dominios y Host no pueden usar los caracteres _ : , / \ ? . @ # $ % & ( ) { } [ ] ; " < > ' Estructura

Fundacin Tomillo

13

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Dominios de nivel superior y de segundo nivel Los dominios del nivel ms alto, denominado nivel superior, funcionan como registradores de los dominios de segundo nivel. Si se quiere registrar un dominio en ellos (y que por tanto que cuelgue de ellos) por ejemplo zacker.com, hay que pagar una cuota. El espacio original tuvo 7 dominios de alto nivel generales ms los dominios de cdigo de pas (239 dominios con designacin ISO). com organizaciones comerciales edu organizaciones educativas gov Instituciones del gobierno int organizaciones internacionales mil organizaciones militares net organizaciones de la red org organizaciones no comerciales

6.2. Funcionamiento del sistema: Clientes y servidores

Paso 1. Un usuario especifica un nombre DNS en un sistema cliente. Paso 2. El Conversor, a travs del API, genera una consulta recursiva DNS con el nombre del servidor pedido. Paso 3. El sistema cliente transmite el mensaje al servidor DNS identificado en su configuracin IP. Paso 4. El servidor DNS del cliente analiza sus registros para ver si es la fuente autorizada (puede resolver el nombre). Si lo es devuelve un mensaje de aceptacin, si no lo es genera una consulta iterativa al servidor raz. Paso 5. El servidor de nombre de raz recibe la consulta iterativa y devuelve un mensaje al servidor original. Paso 6. El servidor genera una nueva consulta iterativa al servidor de dominio de nivel superior. Examina el dominio de segundo nivel pedido y transmite al servidor original una referencia que contiene las direcciones de los servidores autorizados de ese segundo nivel. Paso 7. El servidor original genera otra consulta iterativa al servidor de segundo nivel, que responde con una lista de servidores de dominio de tercer nivel. Este proceso se repite hasta encontrar la referencia buscada. Paso 8. Cuando se localiza el servidor transmite al servidor original la direccin en un mensaje de respuesta. Paso 9. El servidor original devuelve la direccin al sistema cliente. Cliente: Ordenador que hace la consulta. Conversor: El componente del cliente que genera la consulta DNS (resolucin de nombre). Tipos de consulta Recursivas: El servidor recibe la consulta y tiene que dar una respuesta sin consultar a ningn otro. Iterativas (no recursivas): El servidor puede responder con su informacin o redirigirse a otro servidor. Servidor: Sistema que tiene la base de datos con nombres, direcciones de Host y subdominios. Servidor Raz: Servidores que tienen o acceden a la informacin de todas las direcciones de los servidores autorizados de los dominios de nivel superior en Internet. Bsqueda: Directa (conversin nombre a direccin IP) e Inversa (conversin direccin IP a nombre).

Fundacin Tomillo

14

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

6.3. Comparativa nombres NETBIOS vs nombres DNS

NetBIOS Plano 15 caracteres (+1) Difusin, Servidor WINS Sistema respaldo, nombres locales DNS Jerrquico 255 caracteres Servidor DNS Internet / Active Directory

Tipo Longitud Serv. Nombres Utilizacin

6.4. Instalacin y configuracin de un servidor DNS

Instalacin Servidor DNS Usar la consola Asistente para configurar su servidor: Inicio, Programas, Herramientas administrativas, Administre su servidor (aadir servidor DNS, en caso de que no est instalado). Accesos administrativos - Inicio, Programas, Herramientas Administrativas, DNS - Administre su servidor (Servidores DNS). Configuracin del Servidor Al crear el dominio con la instalacin de Active Directory se ha creado una zona que corresponde al dominio. Por lo tanto no es necesario generar zonas, si bien se pueden efectuar ms zonas y modificar la existente. Los parmetros bsicos a configurar son los servidores raz utilizados (Microsoft ha dispuesto una lista) y la tabla con las direcciones IP y nombres que gestionar el servidor DNS. Sugerencias de raz Una vez abierto el acceso administrativo situarse sobre el servidor a configurar y pulsar el botn secundario del ratn, Propiedades, pestaa Sugerencias de raz. Edicin de entradas Las direcciones IP de los hosts y sus nombres DNS deben estar en las tablas del servidor. Hay tres formas de introducir la informacin en la tabla: - De forma manual creando entradas de registro host. - Automticamente desde servidor DHCP autorizado. - Automticamente al mquinas al dominio. un

unir

Fundacin Tomillo

15

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Creacin de zonas La zona es el inicio de autoridad de la informacin del dominio. En un dominio con solo dos niveles (dominio y Hosts) zona es sinnimo de dominio. Cuando se instala un servidor de dominio secundario para una zona existente se realiza una transferencia inicial completa de todos los registros correspondientes a la zona. A continuacin se expone el procedimiento de creacin de una zona. Paso 1. Acceder a Inicio, Programas, Herramientas administrativas, DNS (o consola Adm. del servidor). Paso 2. Desplegar las ramas del servidor en la parte izquierda de la pantalla. Paso 3. Situarse sobre el servidor y desplegar las Carpetas Zonas de bsqueda directa y Zonas de bsqueda inversa. Paso 4. Hacer click con el botn secundario del ratn sobre Zonas de bsqueda directa (o Zonas de bsqueda inversa) y Marcar crear nueva zona. Paso 5. Seleccionar el tipo de zona: Principal: Crea la zona (la almacena en Active Directory o en un archivo de texto en funcin de la casilla Almacenar en Active Directory). Secundaria: Crea una copia de una zona existente en otro servidor. Proporciona tolerancia a errores y equilibrio de carga. Zona de cdigo auxiliar: Crea una copia con solo el Servidor de nombres, inicio de autoridad y registro de Host. Sin privilegios sobre la zona. Paso 6. Seleccionar el mbito de replicacin. Paso 7. Introducir el nombre de la Zona. Paso 8. Seleccionar procedimiento de actualizaciones dinmicas.

6.5. Instalacin y configuracin de un cliente DNS

Para que una estacin Windows trabaje como cliente DNS nicamente hay que verificar que este corriendo el cliente DNS, que en Windows funciona como un servicio, y que se demande la utilizacin de un servidor ajustando los parmetros TCP/IP de la estacin poniendo la direccin IP del servidor DNS en Propiedades de Red. Se pueden introducir directamente dos direcciones IP de servidores DNS (Principal y Secundario). Si se dispone de un servidor DHCP y se ha configurado para que entregue IPs de servidores DNS se puede seleccionar la opcin Obtener la direccin del servidor DNS automticamente.

Fundacin Tomillo

16

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

7. Principales herramientas administrativas

7.1. Administrador del servidor
No se trata de una herramienta propiamente dicha, se trata de un elemento que permite acceder de forma centralizada a todas las funciones del servidor: Accesos directos a todos los servicios instalados (rplica organizada de Inicio, Programas, Herramientas administrativas), a Windows Update, a la Ayuda/soporte tcnico, a Microsoft Technet, etc. Resumiendo, a travs de este componente se pueden administrar casi todas las funciones del servidor. Accesos (1) Barra de Herramientas Inicio Rpido (2) Botn Secundario sobre Equipo, Administrar. (3) Inicio, Programas, Herramientas Administrativas, Configuracin del Servidor.

Funcin: Permite acceder de forma centralizada a los servicios instalados y a las herramientas ms importantes en la administracin de un servidor.

Funciones: Acceso para agregar, Quitar y Administrar las funciones (roles) del servidor: Servidor de archivos, Servidor de DNS, Servidor DHCP, Controlador de dominio, Servidor de aplicaciones, etc. Caractersticas: Acceso para agregar, Quitar y Administrar las caractersticas (aplicaciones aadidas) del servidor: PoerShell, Administrador de directivas de grupo, Herramientas de administracin remota, Servidor SMTP, etc. Diagnstico: Los elementos de este grupo aparecen en todas las versiones de Windows: Visor de eventos, Rendimiento y Administrador de dispositivos, Configuracin: Los elementos de este grupo aparecen en casi todas las versiones de Windows: Programador de Tareas, firewall, Servicios y Control WMI. Almacenamiento: Los elementos de este grupo aparecen en todas las versiones de Windows: Copias de seguridad y Administracin de discos.

Fundacin Tomillo

17

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

7.2. Herramientas Administrativas, MSCONFIG y Powershell.

Herramientas Administrativas: Adems de la nueva y mejorada consola de administracin del servidor, Windows 2008 Server tambin conserva los accesos directos mediante el men inicio a todas las herramientas administrativas, tanto las comunes, como las correspondientes a los servicios que se vayan instalando.

El acceso se realiza a travs de: Inicio, Programas, Herramientas administrativas. MSCONFIG: La herramienta tradicional de todas las versiones de Microsoft Windows para seleccionar las aplicaciones, servicios y modo de arranque tambin est disponible en Windows 2008 Server. Accesos (1) Inicio, Ejecutar, MSCONFIG. (2) Inicio, Programas, Herramientas Administrativas, Configuracin del Sistema.

Sell y Powershell: Al igual que todas las versiones de Microsoft Windows, tanto Server como para estaciones, se incluye el intrprete de comandos CMD (COMMAND). La novedad es que esta versin dispone de la posibilidad de trabajar en modo Server Core, es decir a travs de comandos, para lo cual se incluye un intrprete de comandos muy mejorado desde el que se pueden realizar absolutamente todas las tareas de administracin: PowerShell. En modo Server Core se lanza automticamente, pues no hay otro interface. En instalaciones completas tambin se puede utilizar, previa instalacin de esta caracterstica mediante la Consola de Administracin del Servidor, Caractersticas, Agregar caracterstica. Una vez instalada estar accesible a travs del Men Inicio.

Fundacin Tomillo

18

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

7.3. Administrador de discos

Utilidad para administrar particiones, volmenes y unidades lgicas. Dispone de tres zonas de operacin, permitiendo dos tipos de acciones (lgicas y fsicas). - Unidades lgicas - Discos Fsicos - Volmenes Acciones desde Discos Fsicos Crear volmenes Convertir en Bsico / Dinmico Reactivar Disco Extraer disco Acciones lgicas Crear/Eliminar/Extender volumen Asignar letras Reactivar volumen Asignar / Quitar Espejo

Notas sobre el uso Para convertir un Disco Dinmico en bsico este no ha de tene r ningn volumen (estar vaco). Si se extiende un volumen de un disco simple a ms discos se convierte automticamente en distribuido. Reactivar: Esta opcin se utiliza cuando se producen errores de entrada/salida transitorios. Nmero mnimo de discos fsicos para los diferentes tipos de volumen: Simple (1) Distribuido (2) Seccionado (2) Reflejado (2) RAID 5 (3) SUSTITUCIN DE UN DISCO DE UN VOLUMEN REFLEJADO DEFECTUOSO Paso 1. Ejecutar la Accin Quitar Espejo en el disco que falla, este disco puede ofrecer varios tipos de error: "Error de Redundancia", "Sin conexin", o simplemente, no aparecer). Paso 2. Apagar el servidor. Paso 3. Sustituir el disco defectuoso por uno que funcione. Paso 4. En el volumen que aun funciona seleccionar Aadir Espejo y asociarlo al nuevo disco. Paso 5. Durante algunos minutos se copiar el disco y se sincronizar (aparece mensaje "Regenerando"). SUSTITUCIN DE UN DISCO DE UN VOLUMEN RAID 5 DEFECTUOSO Paso 1. Localizar y, previo apagado del servidor, desconectar el disco que falla este disco puede ofrecer varios tipos de error: "Error de Redundancia", "Sin conexin", o simplemente, no aparecer). Paso 2. Instalar un disco nuevo con espacio libre suficiente para alojar la informacin. Paso 3. Posicionarse sobre el volumen y Ejecutar la Accin Reparar Volumen. Paso 4. La reparacin se efecta en segundo plano (mientras el volumen est marcado como "Regenerando")

Debido al tiempo empleado para las sustituciones, en los servidores que ejecutan aplicaciones crticas (que requieren atencin inmediata) es preferible el uso de RAID hardware (se instalan como volmenes simples).

Fundacin Tomillo

19

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

7.4. Auditorias. Registro/Visor de eventos.

El programa de auditoria de Microsoft Windows determina la gestin de los elementos que desean monitorizarse y las acciones realizadas por los registros. En la prctica se trata de establecer controles: Controles Preventivos: Detienen o previenen un evento. Ejemplos de controles preventivos son la autenticacin y los permisos de usuario (Herramienta: Usuarios y Equipos de Active Directory). Controles de Deteccin: Registran e informan los eventos despus de ocurrir. (Herramienta: Registro y Visor de Eventos). Controles de Correccin: Controles establecidos despus de un evento para que no se repita. Registro de Eventos El Registro de Eventos se almacena en archivos de eventos (.EVT), se organizan en grupos y se pueden visualizar con el Visor de Eventos. Los grupos son los siguientes: Registro del Sistema: Eventos registrados por los componentes del sistema (hardware y S.O.). Registro de Aplicacin: Eventos registrados por los programas. Registro de Seguridad: accesos de usuarios, inicios de sesiones, etc. Componentes aadidos: Servidor DNS, Servicio de Directorio, Replicacin, etc. Operaciones principales con el del visor de eventos - Limpiar el registro de Eventos. - Ver un evento (doble click sobre el evento). - Ajustar las Propiedades del Grupo de eventos: Nombre, nmero mximo de registros, etc. (Botn derecho sobre el Grupo de evento, Propiedades, General) - Establecer filtros (Botn derecho sobre el Grupo de evento, Propiedades, Filtro). - Guardar en un archivo los eventos. Relacin de principales Acciones Auditables Eventos y Seguridad
Inicio y cierre de sesin Acceso a objetos Uso de Privilegios Administracin de usuarios y grupos Cambios en Directivas de Seguridad Reinicio y cierre del sistema Rastreo de procesos

Acceso a Impresoras
Imprimir Administrar Impresora Administrar documentos Cambio de permisos Tomar Posesin

Accesos archivos y carpetas

Leer Escribir Eliminar Ejecutar Cambio de permisos Tomar posesin

Implementacin de la auditoria con Windows 2003 Server La auditoria se establece con diferentes herramientas que registran los eventos en el registro. Los elementos a auditar y el acceso a las herramientas son los siguientes: Auditoria de Eventos y Seguridad: Se establecen mediante una Directiva de Auditoria (Accesible desde una directiva de Grupo o desde la Directiva de seguridad del dominio). Para cada elemento se puede seleccionar auditar aciertos y/o errores. Auditoria de objetos de Active Directory: Inicio, Programas, Herramientas administrativas, Usuarios y equipos Active Directory, acceder al men ver y seleccionar caractersticas avanzadas. A continuacin hay que elegir el objeto a auditar pulsando con el botn derecho del ratn sobre l, Propiedades, Seguridad, Avanzada, Auditoria. A continuacin se eligen las acciones a auditar. Auditoria de Archivos: Botn derecho sobre el volumen de disco, Propiedades, Avanzada, Auditoria. A continuacin se eligen los usuarios y grupos a auditar y, por ltimo, se eligen las acciones a auditar. Auditoria de Impresoras: Panel de Control, Impresoras, Botn derecho sobre la impresora a auditar, Propiedades, Seguridad, Avanzadas, Auditoria. A continuacin se eligen los usuarios y grupos a auditar y, por ltimo, las acciones.

Fundacin Tomillo

20

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

8. Roles especficos 2008 Server Active Directory

En la versin 2008 Server Active Directory, que ahora pasa a llamarse Servicios de Dominio de Active Directory (AD DS) ha sido ampliado con nuevas funcionalidades que se implementan en formal de funciones de servidor: Servicios Certificate Server de AD (AD CS): Proporciona las funciones necesarias para emitir y revocar certificados digitales para usuarios, equipos y servidores. Incluye los servicios de funcin entidad de certificacin, Inscripcin Web de entidad de certificacin, respuesta en lnea y el Protocolo de inscripcin de certificados de Microsoft. Servicios de Federacin AD (AD FS): Complementa las funciones de autenticacin de Active Directory extendindolas a la Web mediante inicio de sesin nico en la Web (SSO). Servicios de Directorio Ligero AD (AD LDS): Proporciona un almacn de datos para aplicaciones compatibles con el directorio que no necesitan Active Directory (ser instaladas en un controlador de dominio). Rigths Management Services AD (AD RMS): Proporciona acceso controlado a mensajes de correo electrnico, documentos y pginas Web de la intranet.

8.1. Servicios Certificate Server de AD (AD CS)

Es muy comn hoy en da que en algunos de nuestros escenarios por motivos de seguridad debamos instalar una entidad emisora de certificados. Algunas aplicaciones como citrix, nos lo pide para poder instalarlo. Servicios de Certificate Server de Active Directory , a travs del Asistente para agregar
funciones, permite desplegar esta estructura utilizando los siguientes componentes: - CA (Entidades de certificacin). Las CA raz y subordinadas se usan para emitir certificados a los usuarios, equipos y servicios, as como para administrar la validez de los certificados. - Inscripcin en web de CA. La inscripcin en web permite a los usuarios conectarse a una CA mediante un explorador web, con el fin de: - Solicitar certificados y revisar solicitudes de certificados. - Recuperar listas de revocacin de certificados (CRL). - Realizar inscripciones de certificados de tarjeta inteligente. - Servicio de respuesta en lnea. El Servicio de respuesta en lnea implementa el Protocolo de estado de certificados en lnea (OCSP), mediante la descodificacin de las solicitudes de estado de revocacin correspondientes a certificados concretos, evala el estado de estos certificados y devuelve una respuesta con firma que contiene la informacin solicitada de estado del certificado. - Servicio de inscripcin de dispositivos de red. El Servicio de inscripcin de dispositivos de red permite a los enrutadores y otros dispositivos de red la obtencin de certificados basados en el Protocolo de inscripcin de certificados simple (SCEP) de Cisco Systems Inc. Requisitos para usar AD CS Las CA se pueden configurar en servidores que ejecutan diferentes sistemas operativos, entre los que se incluyen Windows 2000 Server, Windows Server 2003 y Windows Server 2008. Sin embargo, no todos los sistemas operativos son compatibles con todas las caractersticas ni requisitos de diseo, por lo que la creacin de un diseo ptimo precisar de una cuidadosa planeacin y pruebas de laboratorio antes de implementar AD CS en un entorno de produccin. Aunque puede implementar AD CS con un solo servidor para una sola CA, la existencia de varias implementaciones puede implicar el uso de varios servidores configurados como raz, una directiva, las CA emisoras y otros servidores configurados como servicios de respuesta en lnea.

Fundacin Tomillo

21

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Proceso de diseo y estructura

Paso 1: Identificar los requerimientos sobre certificados. En esta fase deben identificarse todos los elementos de la empresa afectados por el proceso de despliegue de certificados mediante Active Directory CS. Paso 2: Eleccin de Entidades certificadoras Raz. Hay que identificar el nmero de Entidades Certificadoras raz, razones de su eleccin, y cules son. Esta informacin se utilizar en la siguiente fase. Paso 3: Diseo de la jerarqua. En esta fase se ha de determinar el nmero de emisores de certificados, emisores subordinados y la relacin entre stos. Paso 4: Diseo de la estructura.

Fundacin Tomillo

22

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

ANEXO

VIRTUALIZACIN BSICA EN ESTACIONES

A.1. Arquitectura de un sistema basado en mquinas virtuales. De forma general una mquina virtual es un programa que emula el hardware de un ordenador y permite ejecutar programas, incluidos sistemas operativos, como si fuese un ordenador real. Para disponer de varias mquinas u ordenadores sobre un ordenador real, en primer lugar hay que instalar un sistema operativo sobre la mquina real, a este sistema operativo se le denomina Sistema operativo anfitrin. En este sistema anfitrin se instala el programa que permite crear diferentes mquinas virtuales, cuyo hardware ha de estar sustentado por el hardware real. El programa, de forma general, se denomina sistema de virtualizacin o, simplemente, virtualizador. El virtualizador crea, soporta y administra diferentes mquinas virtuales, cuyo hardware suele ser una copia aislada del hardware real. Las mquinas virtuales se comportan a todos los efectos como las mquinas reales, de hecho la primera tarea a realizar es instalar un sistema operativo real en cada mquina virtual. A estos sistemas operativos, para diferenciarlos del anfitrin, se les denomina sistemas operativos invitados. Una caracterstica esencial de las mquinas virtuales es que los procesos que ejecutan estn limitados por los recursos y abstracciones proporcionados por ellas. Estos procesos no pueden escaparse de los ordenadores virtuales.

Fundacin Tomillo

23

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

A.2. Entornos de aplicacin. En general, los usos ms tpicos de las maquinas virtuales estn orientados a la capacidad de aprovechar al mximo el hardware disponible , reducir el espacio fsico que ocupan los ordenadores y la portabilidad de las mquinas virtuales, lo cual supone claras ventajas a mltiples niveles. Uno de los usos domsticos ms extendidos de las mquinas virtuales consiste en ejecutar sistemas operativos para probarlos. De esta forma se puede ejecutar un sistema operativo bajo prueba (Linux, por ejemplo) desde nuestro sistema operativo habitual (Windows por ejemplo) sin necesidad de instalarlo directamente en el ordenador y sin miedo a que se desconfigure el sistema operativo anfitrin. Los principales usos de las maquinas virtuales en entornos corporativos se detallan a continuacin: Consolidacin de servidores: Convertir muchos servidores fsicos en virtuales. De este modo se aprovecha el hardware disponible de la mejor manera posible, se facilita la administracin, se reducen costes de hardware y costes de mantenimiento. Adems las infraestructuras necesarias para construir y mantener el Centro de Proceso de Datos es mucho menor por las siguientes causas: - Reduccin del nmero de mquinas fsicas. - Menor consumo elctrico. - Menor disipacin de calor. - Menor cantidad de cableado de comunicaciones al reducirse el nmero de conexiones fsicas de los servidores. Recuperacin ante desastres: Las maquinas virtuales se pueden salvar muy fcilmente de un desastre ya que uno o varios archivos representan a la mquina real y el contenido de sus dispositivos de almacenamiento. Adems su estado se puede almacenar, por lo que en caso de desastre se puede recuperar la informacin con enorme rapidez. Prueba de aplicaciones: En muchas ocasiones se necesita un entorno limpio para probar una aplicacin. Usar una maquina virtual permite instalar un sistema operativo desde cero, probar la aplicacin y luego eliminar la mquina. Ejecucin de entornos completos sin instalacin ni configuracin. La posibilidad de disponer de mquinas virtuales ya instaladas y con todo el software necesario configurado hace que no se pierda el tiempo en realizar las tareas de instalacin y configuracin de dicho software. Aplicaciones porttiles. Con el uso de las maquinas virtuales se pueden tener PCs completos listos para usar en dispositivos USB, Io que puede ser de mucha utilidad para tener un entorno privado y usarlo en cualquier PC.

Fundacin Tomillo

24

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

A.3. Soluciones disponibles. Los productos de virtualizacin ms populares hoy en da son: Microsoft Virtual PC, VMWare y VirtualBox. Microsoft Virtual PC: Suite de virtualizacin de Microsoft para Windows y para MacOS. Virtual PC emula un PC estndar y todo el hardware asociado. VMWare: Un completo conjunto de aplicaciones de virtualizacin, con herramientas de pago orientadas a la empresa y otras gratuitas ms orientadas al uso personal. Hasta hace poco tiempo solo se ofreca de manera gratuita la aplicacin VMWare Player, que permita ejecutar distintas mquinas virtuales ya creadas y que se podan descargar desde Internet. Desde fechas recientes se ofrece tambin de manera gratuita VMWare Server, que permite no slo ejecutar mquinas ya creadas sino crear las mquinas desde el comienzo. VirtualBox: una herramienta desarrollado por Sun Microsystems (hoy Oracle) para Windows y para Linux (la versin para MAC actualmente est en desarrollo en fase pre-alfa) liberada bajo licencia GPL y con un rendimiento similar al de otras aplicaciones como Virtual PC o VMWare. A continuacin se relacionan, en formato de comparativa, las caractersticas principales de los tres productos.

Facilidad de instalacin Los tres productos se instalan de manera muy sencilla mediante un asistente. VirtualBox y Virtual PC se instalan rpidamente. Sin embargo, VMWare server tarda bastante tiempo en instalarse y dependiendo de la mquina puede llegar a tardar ms de media hora.

Sistemas operativos anfitriones soportados VirtualBox: Windows, Linux VMWare server: Windows, Linux Virtual PC 2007: Windows, MacOS

Sistemas operativos invitados soportados VirtualBox: DOS, Windows, Linux, OS/2, OpenBSD, FreeBSD, Netware, Solaris. VMWare server: DOS, Windows, Linux, FreeBSD, Netware, Solaris, Virtual Appliances. Virtual PC 2007: DOS, Windows, OS/2.

Facilidad de creacin de mquinas virtuales VirtualBox: Fcil. VMWare server: Fcil. Virtual PC 2007: Fcil.

Existencia de mquinas virtuales disponibles en Internet VMWare server dispone de las llamadas Virtual Appliances, que son mquinas virtuales preconfiguradas y listas para ser usadas. En Internet se pueden encontrar muchas y de muchos tipos.

Fundacin Tomillo

25

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Integracin con el sistema operativo anfitrin: display, carpetas compartidas, drag&drop Los tres sistemas disponen de herramientas que permiten mejorar la integracin del sistema invitado con el anfitrin una vez instalado. En el caso de VMWare, se llaman VMWare Tools, y en el caso de Virtual PC, Virtual Machine additions. Tanto VMWare como Virtual PC permiten usar drag&drop y carpetas compartidas con el sistema anfitrin.

Capacidad de importar mquinas creadas con otras herramientas VMWare server es capaz de importar mquinas creadas con Virtual PC.

Rendimiento VirtualBox: Muy bueno. VMWare server: Muy bueno. Virtual PC 2007: Muy bueno si se le instalan las Virtual Machine Additions.

Si bien se podra afirmar que las tres aplicaciones son buenas soluciones de virtualizacin hay que tener en cuenta los siguientes aspectos para determinar la eleccin sobre cul utilizar. VMWare es el producto ms completo y dispone de la existencia de mquinas virtuales disponibles en Internet que agilizan el uso de las mquinas virtuales y por la cantidad de informacin que existe sobre ella en la red, si bien se trata de la nica aplicacin de pago. Virtual PC 2007 es una herramienta que no podr ser usada por los usuarios de Linux, si bien tiene un rendimiento muy elevado tanto con sistemas operativos anfitriones como con sistemas operativos invitados de Microsoft. Adems es gratuito. Virtual BOX es una solucin muy compensada al permitir sistemas operativos invitados Windows y Linux, y es gratuita, si bien su rendimiento es algo menor.

Fundacin Tomillo

26

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

A.4. Creacin y administracin de mquinas virtuales. El proceso de trabajo con sistemas virtuales es similar independientemente del producto elegido, si bien WMWare Server viene ya con un sistema operativo anfitrin incorporado (Linux). El proceso de forma general consiste en: (1) Instalar el Sistema operativo anfitrin. (2) Instalar la aplicacin de Virtualizacin. (3) Crear las mquinas virtuales. (4) Instalar los sistemas operativos invitados en las mquinas virtuales. En este epgrafe vamos a describir los pasos (2), (3) y (4) utilizando VirtualBOX sobre un sistema operativo anfitrin Windows. Una vez descargado el programa desde la Web de Sun Microsystems lanzamos su instalacin.

Como suele ser habitual en la mayora de los procesos de instalacin de los programas, tras el mensaje de bienvenida en el que se informa de la versin del programa, un asistente gua todo el proceso de instalacin. Como tambin suele ser habitual el primer paso consiste en la aceptacin de la Licencia de utilizacin.

Acto seguido el asistente de instalacin muestra la ventana ms importante del proceso. En ella hay que seleccionar los componentes que se desean instalar: VirtualBox Apllication: El programa de virtualizacin. VirtualBox USB Support: Soporte para utilizar dispositivos de almacenamiento USB en las mquinas virtuales. VirtualBox Networking: Componentes de red para que los sistemas invitados utilicen las comunicaciones fsicas.

Por defecto el programa se instala en Archivos de Programa\Sun\VirtualBox (se puede cambiar pulsando en el botn Browse).

Fundacin Tomillo

27

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Al pulsar en Next se procede al proceso de copia y configuracin del programa. Llegado este punto finaliza la instalacin del software de virtualizacin (Paso 2). Es el momento de comenzar la creacin de las mquinas virtuales que soportarn los sistemas operativos invitados (Paso 3). En primer lugar hay que iniciar la consola de VirtualBox desde el escritorio. Se trata de una consola de administracin muy sencilla: En la parte izquierda se encuentran las mquinas virtuales, en la parte derecha el hardware de la mquina virtual seleccionada en la parte izquierda, y en la zona superior los tpicos accesos mediante mens e iconos de acceso directo. Para crear una nueva mquina virtual simplemente hay que pulsar en el icono Nueva. El programa responde ejecutando un asistente de creacin de mquinas virtuales.

En primer lugar se solicita nombre para la mquina y el Sistema operativo invitado: Esta opcin la utiliza para seleccionar un icono que referencie al sistema y para sugerir la memoria y el disco recomendado. No obstante hay que tener presente que posteriormente se pueden modificar los valores sugeridos en funcin del sistema operativo invitado seleccionado. Una vez seleccionado el sistema se procede a ajustar los valores hardware, comenzando por la memoria.

Fundacin Tomillo

28

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

En funcin del sistema elegido se toma un valor inicial, valor que se puede ajustar a travs de una barra de desplazamiento o directamente de forma numrica (ver imagen adjunta). Evidentemente el lmite es la cantidad de memoria fsica disponible, esto es la memoria total menos la utilizada por el sistema operativo anfitrin.

A continuacin se procede a la creacin y configuracin del disco duro virtual. En este caso hay que tener presentes varias cuestiones: (1) Se puede crear o utilizar un disco existente creado con otra mquina virtual. (2) Los discos pueden tener tamao esttico (siempre el mismo) o bien dinmico (el disco ocupa solo el espacio realmente utilizado).

(3) En la ventana de seleccin de tamao y localizacin (ver imagen adjunta) se ha de indicar el nombre del disco, el directorio fsico donde quedar alojado el disco (por defecto lo almacena en el perfil del usuario activo en el sistema anfitrin) y el tamao. Tambin en este caso es obvio que el lmite es el espacio libre resultante en el disco duro fsico. (4) Por cada disco virtual se genera un archivo en el disco duro fsico. Pulsando en Siguiente finaliza la instalacin del disco duro virtual.

El proceso de creacin de la prcticamente terminado (Paso 3).

mquina

est

El asistente muestra los parmetros introducidos antes de confirmar la creacin (botn Terminar).

Fundacin Tomillo

29

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

A partir de este momento hay un acceso a la mquina creada en la parte izquierda de la consola y se pueden gestionar sus recurso en la parte derecha (ver imagen inferior). Antes de arrancar la mquina virtual hay que tener presente el paso siguiente a realizar: Instalar el sistema operativo invitado. Los programas de virtualizacin permiten utilizar soportes fsicos (CD / DVD) o imgenes ISO de los soportes.

VirtualBOX dispone de una consola de gestin de medios (discos duros e imgenes ISO). Para trabajar con soportes fsicos se procede con los discos CD/DVD al igual que en las mquinas reales.

Para trabajar con imgenes ISO primero hay que tenerlas almacenadas en el disco fsico y agregarlas a la consola de gestin de medios. Despus hay que editar el hardware virtual de la mquina para que asocie la imagen ISO seleccionada a un dispositivo de almacenamiento. Por ltimo solo queda encender la mquina virtual (doble click sobre su icono) y proceder de forma anloga a la instalacin de un sistema operativo en una mquina real (Paso 4).

Fundacin Tomillo

30

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

TRABAJO DE LABORATORIO
Partiendo del ordenador del laboratorio se pide crear una estructura basada en un entorno HyperV. Los elementos principales de la estructura sern tres ordenadores con Windows 2008 Server que desempearn los roles de servidor Central servidores de delegaciones, y cuatro estaciones Windows XP que desempearn el rol de estaciones, dos en cada delegacin. Se han de realizar todas las acciones que se consideren necesarias, tanto en las mquinas virtuales como en los sistemas operativos Windows 2008 Server y Windows XP Profesional. El entorno en el que se ha de desplegar la administracin del sistema quedan definidos en el esquema estructural y la tabla donde se indican los datos necesarios para la implementacin:

Tomillo.lan

Departamento Flix Gmez Garca Teodoro Snchez Lpez Amanda Ruano Ortega Matilde huertas Nuncio Cristiano Vilches Rodrguez Ascensin Gracia Garca Elosa Baos Renta Anastasio Guindas Lpez David Armando Guerra Santiago Risto Gmez Ginebra Martn Lpez Juan Luque Minaya Patricio Estrella Salinas Administracin Administracin Administracin Tcnico Tcnico Tcnico Tcnico Comercial Comercial Comercial Comercial Direccin Direccin

Turno Maana Maana Tarde Maana Maana Tarde Mixto Maana Maana Tarde Tarde Maana Mixto

Nombre inicio sesin fgg tsl aro mhn cvr agg ebr agl dag srg gml jlm pes

Puesto Jefe Trabajador Trabajador Jefe Trabajador Trabajador Trabajador Jefe Trabajador Trabajador Trabajador Jefe Trabajador

Notas
Turno de Maana 8:00 a 16:00 lunes a viernes Turno de Tarde 15:00 a 23:00 lunes a viernes Turno Mixto 10:00 a 16:30 lunes a sbado

Fundacin Tomillo

Curso Cisco-Microsoft 2011/2012

Windows 2008 Server Bsico

Tarea Previa: Configurar el direccionamiento IP de todas las mquinas para que se alcancen en una red privada Hyper-V.

Tarea 1. Convertir el servidor central en Controlador de dominio (Tomillo.lan) de nivel funcional Windows 2008 Server, servidor de archivos, y servidor DNS. Tarea 2. Convertir los servidores de las delegaciones en RODCs y servidores DHCP. Tarea 3. Integrar las 4 estaciones Windows XP en el dominio comprobando su funcionamiento. Su configuracin IP se realizar de forma dinmica. Tarea 4. Crear cuentas de usuario teniendo en cuenta los siguientes aspectos: Los usuarios podrn iniciar sesiones en cualquiera de las tres estaciones. Nombre de inicio de sesin: Nombre + inicial primer apellido + inicial segundo apellido Se ha de registrar el nombre completo de usuario. Slo podrn iniciar sesin en las horas indicadas en la tabla en relacin a los turnos.

Tarea 5. Crear grupos, uno por departamento, teniendo en cuenta que cada grupo tendr como miembros los usuarios de su departamento. Tarea 6. Crear Unidades Organizativas teniendo en cuenta los siguientes aspectos: Habr una por departamento. Contendrn los grupos y usuarios correspondientes. Tarea 7. Establecer un sistema de cuotas de disco para todos los usuarios, en el caso de los jefes ser de 500 MB mientras que la cuota para los trabajadores ser de 100 MB. Tarea 8. Tareas Programadas. - Programar un reinicio del ordenador todos los domingos a las 23:00. Motivo: Planificacin de mantenimiento de aplicaciones. Dar dos minutos de margen para abortar el reinicio. - Programar los das 1 de cada mes a las 0:00 una desfragmentacin del sistema de almacenamiento del Controlador de Dominio. Tarea 9. Definir GPOs. - Deshabilitar la cuenta del Administrador local en las estaciones de la sucursal 1. - Obligar a los usuarios del departamento comercial a cambiar la contrasea cada 30 das y que no sea igual que la ltima utilizada.

Fundacin Tomillo

ii